《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 工控系統(tǒng)信息安全三年行動計劃官方解讀

工控系統(tǒng)信息安全三年行動計劃官方解讀

2018-08-15

  為貫徹落實《國務院關于深化制造業(yè)與互聯(lián)網融合發(fā)展的指導意見》《國務院關于深化“互聯(lián)網+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網的指導意見》等文件精神,,日前,,工業(yè)和信息化部正式印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020)》(以下簡稱《行動計劃》),,旨在深入落實國家安全戰(zhàn)略,加快我國工業(yè)控制系統(tǒng)信息安全保障體系建設,,提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全防護能力,,促進工業(yè)信息安全產業(yè)發(fā)展,。

  工業(yè)控制系統(tǒng)信息安全(以下簡稱工控安全)是實施制造強國和網絡強國戰(zhàn)略的重要前提,,關系到國家安全、經濟發(fā)展和社會穩(wěn)定,?!缎袆佑媱潯返陌l(fā)布引發(fā)各界廣泛關注。近日,,工業(yè)和信息化部信息化和軟件服務業(yè)司負責人就《行動計劃》內容進行了解讀,。

  問:《行動計劃》的定位是如何考慮的?

  答:隨著中國制造2025全面推進,,工業(yè)數(shù)字化,、網絡化、智能化加快發(fā)展,,新形勢下工控安全工作的重要性和緊迫性更加凸顯,。黨中央、國務院高度重視信息安全問題,。習近平總書記多次就網絡安全和信息化工作作出重要指示,,強調“安全是發(fā)展的前提,發(fā)展是安全的保障,,安全和發(fā)展要同步推進”,。《中國制造2025》提出要“加強智能制造工業(yè)控制系統(tǒng)網絡安全保障能力建設,,健全綜合保障體系”,。《國務院關于深化制造業(yè)與互聯(lián)網融合發(fā)展的指導意見》將“提高工業(yè)信息系統(tǒng)安全水平”作為主要任務之一,,2017年6月1日實施的《中華人民共和國網絡安全法》也要求對包括工業(yè)控制系統(tǒng)在內的“可能嚴重危害國家安全,、國計民生、公共利益的關鍵信息基礎設施”實行重點保護,。近期發(fā)布的《關于深化“互聯(lián)網+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網的指導意見》,,提出“建立工業(yè)互聯(lián)網安全保障體系、提升安全保障能力”的發(fā)展目標,,部署“強化安全保障”的主要任務,,為工業(yè)互聯(lián)網安全保障工作制定了時間表和路線圖,。

  《行動計劃》深入貫徹落實國家安全戰(zhàn)略,突出了落實企業(yè)主體責任,,從提升工業(yè)企業(yè)工控安全防護能力,,促進工業(yè)信息安全產業(yè)發(fā)展,加快工控安全保障體系建設出發(fā),,進一步明確了部門,、地方和企業(yè)做什么和怎么做,部署了五大能力提升行動,,為下一步開展工控安全工作提供了依據和指導,。

  問:《行動計劃》實施的主要目標是什么?

  答:到2020年,,一是建成工控安全管理工作體系,,企業(yè)主體責任明確,各級政府部門監(jiān)督管理職責清楚,,工作管理機制基本完善,。二是全系統(tǒng)、全行業(yè)工控安全意識普遍增強,,對工控安全危害認識明顯提高,,將工控安全作為生產安全的重要組成部分。三是態(tài)勢感知,、安全防護,、應急處置能力顯著提升,全面加強技術支撐體系建設,,建成全國在線監(jiān)測網絡,,應急資源庫,仿真測試,、信息共享,、信息通報平臺(一網一庫三平臺)。四是促進工業(yè)信息安全產業(yè)發(fā)展,,提升產業(yè)供給能力,,培育一批龍頭骨干企業(yè),創(chuàng)建3-5個國家新型工業(yè)化產業(yè)化產業(yè)示范基地(工業(yè)信息安全),。

  問:《行動計劃》強調落實企業(yè)主體責任,,企業(yè)應如何落實主體責任?

  答:工控安全是工業(yè)生產安全的重要組成部分,,工業(yè)企業(yè)作為工業(yè)控制系統(tǒng)運營者應承擔主體責任,。企業(yè)應從以下方面落實主體責任:一是貫徹落實《中華人民共和國網絡安全法》,按照“誰主管、誰負責,;誰運營,、誰負責”的原則,建立工控安全責任制,,明確企業(yè)法人代表,、經營負責人第一責任者的責任。二是抽調信息化,、生產管理,、運營維護、設備管理等相關部門人員,,組建企業(yè)工控安全管理機構,。三是按照《工業(yè)控制系統(tǒng)信息安全防護指南》要求,編制完善配置和補丁管理,、物理和環(huán)境安全防護等制度,,定期組織開展培訓,,切實推動各項制度落地實施,。四是以《工業(yè)控制系統(tǒng)信息安全防護能力評估工作指南》為指導,積極開展工控安全防護能力評估,。五是持續(xù)加大工控安全投入,,落實防護技術改造和隱患治理專項經費。

  問:《行動計劃》在主要目標里提出到2020年建成“一網一庫三平臺”,,“一網一庫三平臺”具體指的是什么,?

  答:“一網”是指全國工控安全在線監(jiān)測網絡。支持國家工業(yè)信息安全發(fā)展研究中心牽頭,,聯(lián)合地方,、行業(yè)等技術機構,建設以國家工控安全在線監(jiān)測平臺為中心,,縱向連接省級分中心,,橫向覆蓋重點工業(yè)行業(yè)的多級監(jiān)測網絡,實現(xiàn)對全國重要工業(yè)控制系統(tǒng)運行狀態(tài),、風險隱患的實時感知,、精準研判和科學決策。

  “一庫”是指工控安全應急資源庫,。按照《國家網絡安全事件應急預案》總體要求,,支持國家工業(yè)信息安全發(fā)展研究中心建設應急資源庫,匯聚漏洞,、風險,、解決方案、預案等信息,實現(xiàn)輔助決策,、預案演練等功能,。在突發(fā)工業(yè)信息安全事件時,支撐行業(yè)主管部門協(xié)調技術專家和專業(yè)隊伍對事件開展分析研判,,并調動相關應急資源及時有效的開展處置工作,。

  “三平臺”是指工控安全仿真測試平臺、信息共享平臺和信息通報平臺,。建設工控安全仿真測試平臺,,以化工生產、管道輸送,、污水處理,、智能制造等真實工業(yè)控制場景為基礎,模擬業(yè)務流程,,還原真實現(xiàn)場,,滿足培訓、測試,、驗證,、試驗等多元化需求。充分利用云計算,、大數(shù)據等技術手段,,建設國家工控安全信息共享平臺,建立共享清單,,明確共享內容,,推動形成政府引導、企業(yè)主體,、社會參與,、利益共享的工作機制。支持建設工控安全信息通報預警平臺,,及時發(fā)布風險預警信息,,跟蹤風險防范工作進展,形成快速高效,、各方聯(lián)動的信息通報預警體系,。

  附件

  工業(yè)控制系統(tǒng)信息安全行動計劃

  (2018-2020年)

  工業(yè)控制系統(tǒng)信息安全(以下簡稱工控安全)是實施制造強國和網絡強國戰(zhàn)略的重要保障,。近年來,,隨著中國制造全面推進,工業(yè)數(shù)字化,、網絡化,、智能化加快發(fā)展,,我國工控安全面臨安全漏洞不斷增多、安全威脅加速滲透,、攻擊手段復雜多樣等新挑戰(zhàn),。為全面落實國家安全戰(zhàn)略,提升工業(yè)企業(yè)工控安全防護能力,,促進工業(yè)信息安全產業(yè)發(fā)展,,加快我國工控安全保障體系建設,制定本行動計劃,。

  一,、總體要求

  (一)指導思想

  全面貫徹落實黨的十九大精神,,以習近平新時代中國特色社會主義思想為指引,,堅持總體國家安全觀,以落實企業(yè)主體責任為關鍵,,緊緊圍繞新時期兩化深度融合發(fā)展需求,,重點提升工控安全態(tài)勢感知、安全防護和應急處置能力,,促進產業(yè)創(chuàng)新發(fā)展,,建立多級聯(lián)防聯(lián)動工作機制,為制造強國和網絡強國戰(zhàn)略建設奠定堅實基礎,。確保信息安全與信息化建設同步規(guī)劃,、同步建設、同步運行,。

  堅持落實企業(yè)主體責任。確立企業(yè)工控安全主體責任地位,,強化責任意識,,把工控安全作為工業(yè)生產安全的重要組成部分,將安全要求納入企業(yè)生產,、經營,、管理各環(huán)節(jié)。

  堅持因地制宜分類指導,。準確把握工控安全在不同行業(yè),、不同地區(qū)的發(fā)展基礎和特征,結合工控安全威脅的多樣性和復雜性,,分類別,、分層次、分步驟精準施策,。

  堅持技術和管理并重,。統(tǒng)籌技術防護與安全管理,,充分運用先進技術提升工控安全防護能力,創(chuàng)新企業(yè)安全管理機制,,全面落實安全管理制度,。

  (三)主要目標

  到2020年,,全系統(tǒng)工控安全管理工作體系基本建立,,全社會工控安全意識明顯增強。建成全國在線監(jiān)測網絡,,應急資源庫,,仿真測試、信息共享,、信息通報平臺(一網一庫三平臺),,態(tài)勢感知、安全防護,、應急處置能力顯著提升,。培育一批影響力大、競爭力強的龍頭骨干企業(yè),,創(chuàng)建3-5個國家新型工業(yè)化產業(yè)示范基地(工業(yè)信息安全),,產業(yè)創(chuàng)新發(fā)展能力大幅提高。

  二,、主要行動

 ?。ㄒ唬┌踩芾硭教嵘?/p>

  落實企業(yè)主體責任。企業(yè)依據《中華人民共和國網絡安全法》建立工控安全責任制,,明確企業(yè)法人代表,、經營負責人第一責任者的責任,組建管理機構,,完善管理制度,。貫徹落實《工業(yè)控制系統(tǒng)信息安全防護指南》安全要求,持續(xù)加大工控安全投入,,落實防護技術改造和隱患治理專項經費,,積極開展防護能力評估。

  落實監(jiān)督管理責任,。工業(yè)和信息化部統(tǒng)籌制定工控安全政策標準,,開展宣貫培訓,定期組織全國檢查評估,,對納入審查范圍的工業(yè)控制系統(tǒng)產品與服務實施安全審查,。地方工業(yè)和信息化主管部門加快工控安全地方性法規(guī)建設,建立重要工業(yè)控制系統(tǒng)目錄清單,,加強日常監(jiān)督管理,,安排專項資金推動地方監(jiān)測,、預警、應急等保障能力建設,,持續(xù)完善地方工控安全保障體系,。

  (二)態(tài)勢感知能力提升

  建設全國工控安全監(jiān)測網絡,。支持國家級工業(yè)信息安全技術機構持續(xù)完善主動監(jiān)測,、被動誘捕、威脅情報獲取等工控安全在線監(jiān)測手段,,擴展工業(yè)控制系統(tǒng)資產識別種類,,提高識別精準度和搜索效率。建設以國家工控安全在線監(jiān)測平臺為中心,,涵蓋省級重要節(jié)點的監(jiān)測網絡,,實現(xiàn)對全國重要工業(yè)控制系統(tǒng)運行狀態(tài)、風險隱患的實時感知,、精準研判和科學決策,。

  實施信息共享工程。鼓勵行業(yè)主管部門,、企業(yè),、科研院所、聯(lián)盟協(xié)會等機構和個人積極參與信息共享工作,,建立共享清單,,明確共享內容,推動形成政府引導,、企業(yè)主體,、社會參與、利益共享的工作機制,。充分利用云計算,、大數(shù)據等技術手段,建設國家工控安全信息共享平臺,,實現(xiàn)信息的安全、可靠,、及時共享,。

  (三)安全防護能力提升

  加強防護技術研究,。支持建設工控安全靶場,、仿真測試等共性技術平臺,研發(fā)工控安全防護技術工具集,,加強分區(qū)隔離,、安全交換,、協(xié)議管控等關鍵技術攻關。開展防護能力建設試點示范,,形成可復制,、可推廣的安全防護整體解決方案。探索工業(yè)云,、工業(yè)大數(shù)據等新興應用的安全架構設計,,開展工業(yè)互聯(lián)網安全防護技術研究和創(chuàng)新。

  建立健全標準體系,。制定工控安全分級,、安全要求、安全實施,、安全測評類標準,,加快工控安全防護能力評估、工業(yè)控制系統(tǒng)設備產品安全,、工業(yè)互聯(lián)網平臺安全等急用先行標準的發(fā)布和應用,,鼓勵企業(yè)、科研院所,、行業(yè)組織等參與國際標準化工作,。

  (四)應急處置能力提升

  開展信息通報預警,。制定《工業(yè)信息安全信息報送與通報管理辦法》,,建立信息通報員、日常信息通報,、應急信息通報,、風險預警等制度。建設工控安全信息通報預警平臺,,及時發(fā)布風險預警信息,,跟蹤風險防范工作進展,形成快速高效,、各方聯(lián)動的信息通報預警體系,。

  建設國家應急資源庫。按照《國家網絡安全事件應急預案》總體要求,,支持國家級工業(yè)信息安全技術機構建設應急資源庫,,實現(xiàn)信息采集、輔助決策,、預案演練等功能,。在突發(fā)工業(yè)信息安全事件時,支撐行業(yè)主管部門協(xié)調技術專家和專業(yè)隊伍對事件開展分析研判,,并調動相關應急資源及時有效的開展處置工作,。

 ?。ㄎ澹┊a業(yè)發(fā)展能力提升

  培育龍頭骨干企業(yè)。面向工控安全領域產業(yè)發(fā)展需求,,加快培育一批技術水平高,、業(yè)務規(guī)模大、競爭能力強的工業(yè)控制系統(tǒng)生產企業(yè)和安全服務商,,支持龍頭骨干企業(yè)突破核心技術,,研發(fā)關鍵產品、提高服務能力,、創(chuàng)新商業(yè)模式,,聯(lián)合工業(yè)企業(yè)開展優(yōu)秀產品及解決方案示范,推動行業(yè)應用,。

  創(chuàng)建國家新型工業(yè)化產業(yè)示范基地(工業(yè)信息安全),。選擇工業(yè)基礎雄厚、產業(yè)鏈條完備,、聚集效應明顯的地區(qū)建設國家新型工業(yè)化產業(yè)示范基地(工業(yè)信息安全),。圍繞工業(yè)控制系統(tǒng)技術研發(fā)、應用示范,、產融合作,、人才培養(yǎng)等關鍵環(huán)節(jié),探索產業(yè)發(fā)展路徑,,促進產業(yè)集聚發(fā)展,,發(fā)揮先行先試和示范帶動作用。

  三,、保障措施

 ?。ㄒ唬┘訌娊M織協(xié)調

  在國家制造強國建設領導小組統(tǒng)一領導下,加強工控安全保障體系重大決策,、重大工程和重大問題的統(tǒng)籌協(xié)調,,全面落實行動計劃各項任務。各地工業(yè)和信息化主管部門要加強本地區(qū)統(tǒng)籌管理,,做好行動計劃的貫徹落實和組織保障,。

  (二)加大政策支持

  堅持政府引導和市場運作相結合,,充分調動社會力量支持工控安全保障體系建設,。支持有條件的地方設立專項,加大對工控安全基礎設施建設,、關鍵技術驗證測試平臺建設、產業(yè)創(chuàng)新發(fā)展的支持力度,。利用國家政策性信貸資金支持工業(yè)信息安全產業(yè)示范基地建設,。

 ?。ㄈ┘涌烊瞬排囵B(yǎng)

  鼓勵工業(yè)企業(yè)加強與院校合作,聯(lián)合培養(yǎng)工控安全專業(yè)人才,。打造國家工控安全高端智庫,,為工控安全戰(zhàn)略部署、規(guī)劃制定,、決策咨詢,、重大問題提供智力支持和技術支撐,培養(yǎng)一支門類齊全,、技術精湛的工控安全專業(yè)人才隊伍,。

  (四)鼓勵社會參與

  充分發(fā)揮行業(yè)協(xié)會,、產業(yè)聯(lián)盟等中介組織的積極作用,,支持開展技術研發(fā)、技能競賽,、標準推廣,、公共服務、國際合作等工作,,促進技術交流,、加強信息溝通,形成政產學研用高效聯(lián)動的發(fā)展格局,。


本站內容除特別聲明的原創(chuàng)文章之外,,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點,。轉載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者,。如涉及作品內容、版權和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]