李俊，博士，高級工程師。國家工業(yè)信息安全發(fā)展研究中心網(wǎng)絡與信息安全研究部主任助理，工業(yè)信息安全感知與評估技術工信部重點實驗室副主任?！?a class="innerlink" href="http://ihrv.cn/tags/工業(yè)控制" title="工業(yè)控制" target="_blank">工業(yè)控制系統(tǒng)信息安全防護指南》、《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》的牽頭編寫者，多次擔任工信部工控安全檢查評估工作組負責人。

　　編者按：近年來，工控安全事件頻頻發(fā)生，工控安全漏洞數(shù)量持續(xù)增長，工業(yè)控制系統(tǒng)面臨著日益嚴峻的安全形勢。今年以來，Strust2遠程代碼執(zhí)行漏洞、WannaCry惡意勒索軟件等事件對我國部分重點行業(yè)工業(yè)生產(chǎn)系統(tǒng)造成了嚴重影響。為切實保障制造強國和網(wǎng)絡強國建設，加強工業(yè)控制系統(tǒng)安全保障，迫切需要快速提升工控安全保障水平和事件應急處置能力，更好地支撐經(jīng)濟社會健康有序發(fā)展，維護國家安全。因此，2017年工信部發(fā)布《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》，本期，記者特別采訪了國家工業(yè)信息安全發(fā)展研究中心網(wǎng)絡與信息安全研究部主任助理、工業(yè)信息安全感知與評估技術工信部重點實驗室副主任李俊博士，請他詳細解讀《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》。

　　自動化博覽：出臺《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》的目的和意義是什么？

　　李?。撼雠_《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》（以下簡稱“應急指南”）的目的和意義主要有三點：

　　一是有利于建立健全工控安全事件應急工作機制。依據(jù)《國家網(wǎng)絡安全事件應急預案》制定《應急指南》，進一步完善工控安全事件應急制度，形成有效的工控安全應急工作機制，為工控安全事件應急管理與處置工作提供依據(jù)與方法。

　　二是有利于提升工控安全事件應急處置能力?！稇敝改稀访鞔_了工控安全事件應急工作的組織機構和職責，確定了工控安全事件的監(jiān)測通報、處置流程和具體措施，提出了應急隊伍、專家組、物資和經(jīng)費保障等應急力量和應急資源方面的要求，為應急處置工作提供行動指南。

　　三是有利于完善工控安全管理體系。《應急指南》的研究制定和宣貫落實，與工信部2016年印發(fā)的《工業(yè)控制系統(tǒng)信息安全防護指南》和2017年印發(fā)的《工業(yè)控制系統(tǒng)信息安全防護評估工作管理辦法》共同構建了工控安全管理體系。文件中提出的安全要求和管理方法覆蓋了工業(yè)控制系統(tǒng)規(guī)劃、設計、建設、運行、維護等全生命周期，為加強工控安全管理奠定了堅實基礎。

　　自動化博覽：《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》編制的原則是什么？

　　李?。骸稇敝改稀返木幹浦饕腥笤瓌t：

　　政府指導、企業(yè)主體。政府通過完善政策措施、加強監(jiān)督管理，指導企業(yè)樹立工控安全主體責任意識，督促企業(yè)將工控安全作為生產(chǎn)安全的重要組成部分，做好工控安全應急相關工作，加快提升工控安全事件應急能力。

　　預防為主、平戰(zhàn)結合。按照系統(tǒng)化、科學化管理思想，加強工控安全監(jiān)測與風險預判，及時掌握工控安全態(tài)勢，暢通信息傳輸渠道，充分發(fā)揮各方力量，將預防與消減有機結合，積極做好工控安全事件的預防和消減工作。

　　快速反應、科學處置。建立感知快、研判快、處置快、消減快的工控安全快速反應體系，不斷強化工控安全事件應急隊伍的整體應急水平和快速反應能力，科學管理、指揮有力，妥善處置工控安全事件。

　　自動化博覽：在編制《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》的過程中，主要從哪些方面進行考慮？

　　李?。骸稇敝改稀返木幹泼芮薪Y合工控安全事件應急工作實際，以防范重大工控安全事件為重點，厘清工業(yè)和信息化部、地方工業(yè)和信息化主管部門、技術支撐隊伍和企業(yè)職責，加強工控安全事件應急管理和組織協(xié)調，提升工控安全事件應急處置能力。

　　《應急指南》主要從工控安全風險監(jiān)測、信息報送與通報、應急處置、敏感時期應急管理等工作提出了一系列管理要求，明確了責任分工、工作流程和保障措施。

　?。?）加強風險監(jiān)測

　　風險監(jiān)測是掌握工控安全事件、感知風險動向的基礎性工作?！稇敝改稀芬髧夜I(yè)信息安全發(fā)展研究中心等技術機構、地方工業(yè)和信息化主管部門和工業(yè)企業(yè)做好風險監(jiān)測工作。其中，國家工業(yè)信息安全發(fā)展研究中心等技術機構負責組織開展全國工控安全風險監(jiān)測、預警通報等工作，地方工業(yè)和信息化主管部門負責組織開展本地區(qū)工控安全風險監(jiān)測工作，工業(yè)企業(yè)組織開展本單位工控安全風險監(jiān)測工作。

　?。?）開展信息報送與通報

　　信息報送與通報是幫助工控安全應急相關部門及時了解風險及事件全貌的重要途徑?！稇敝改稀访鞔_指出，地方工業(yè)和信息化主管部門、工業(yè)企業(yè)在開展風險監(jiān)測的同時，要及時將重要監(jiān)測信息報國家工業(yè)信息安全發(fā)展研究中心。國家工業(yè)信息安全發(fā)展研究中心負責匯總、整理和研判，并將結果報工業(yè)和信息化部。針對影響范圍大、危害程度深的風險信息，工業(yè)和信息化部及時向有關行業(yè)、地區(qū)、企業(yè)通報。此外，對于可能超出本地區(qū)應對能力范圍的安全風險和事件信息，地方工業(yè)和信息化主管部門應及時向工業(yè)和信息化部報告。

　　（3）做好應急處置

　　工控安全事件應急處置是應急工作的重中之重，做好工控安全應急處置對于維護國家安全、社會秩序、經(jīng)濟建設和公眾利益都具有舉足輕重的意義。對于工控安全應急處置工作，《應急指南》明確了以下幾方面要求：一是工業(yè)企業(yè)應積極開展先期處置。對于可能或已經(jīng)發(fā)生工控安全事件時，工業(yè)企業(yè)應采取科學有效的方法及時施救，力爭將損失降到最小，盡快恢復受損工業(yè)控制系統(tǒng)的正常運行。二是重點做好應急處置中的信息報送。應急處置過程中，地方工業(yè)和信息化主管部門和工業(yè)企業(yè)應及時報告事態(tài)發(fā)展變化情況和事件處置進展情況。三是必要時工業(yè)和信息化部將組織現(xiàn)場處置。必要時，工業(yè)和信息化部將派出工作組赴現(xiàn)場，指揮應急處置工作，并協(xié)調應急技術機構提供技術支援。四是應急結束后及時開展總結評估?！稇敝改稀芬?，應急工作結束后，相關工業(yè)企業(yè)應做好事件分析總結工作，并按時上報。

　?。?）保障措施

　　《應急指南》要求，建立覆蓋工業(yè)和信息化部、地方工業(yè)和信息化主管部門、工業(yè)企業(yè)三個不同層次的預案體系，促進工控安全應急管理工作規(guī)范化、制度化；通過定期組織開展應急演練，提高應對工控安全事件的技術能力；通過建立國家工控安全應急專家組和地方工控安全應急專家組，支持工控安全應急技術機構、基礎平臺建設，提升應急處置基礎能力。

　　此外，《應急指南》還強調了國家重要活動、會議等重要敏感時期的應急管理要求，明確工業(yè)和信息化部做好應急指導，地方工業(yè)和信息化主管部門和工業(yè)企業(yè)加強風險監(jiān)測、做好信息報送和應急值守等，確保重要敏感時期工業(yè)控制系統(tǒng)安全、平穩(wěn)運行。

　　自動化博覽：《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》于2017年5月31日正式印發(fā)，至今執(zhí)行的情況如何？

　　李?。骸稇敝改稀酚“l(fā)后，地方工業(yè)和信息化主管部門、應急技術機構、工業(yè)企業(yè)紛紛組織宣傳學習、積極貫徹落實。一是，部分地方工業(yè)和信息化主管部門開展了工控安全應急管理工作文件的編寫和完善，積極推動落實工控安全聯(lián)絡員機制，上報工控安全應急工作聯(lián)絡員。二是，地方工業(yè)和信息化主管部門按照《應急指南》要求，積極組織開展本地區(qū)工控安全風險監(jiān)測工作，通過風險監(jiān)測，及時發(fā)現(xiàn)工控安全風險隱患，采取相應的預防措施。三是，工控安全應急技術機構積極開展工控安全風險監(jiān)測，針對重要工控安全事件開展研判，發(fā)布威脅預警、提供事件處置援助等。四是，部分工業(yè)企業(yè)正逐步建立健全工控安全責任制，完善本單位工控安全應急管理工作，落實人財物保障，積極落實《應急指南》要求，做好工控安全應急工作。

　　自動化博覽：您認為《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》在后續(xù)的貫徹執(zhí)行工作中，會面臨哪些問題？如何解決？

　　李?。骸稇敝改稀钒l(fā)布后，地方工業(yè)和信息化主管部門、應急技術機構、工業(yè)企業(yè)都積極貫徹落實具體要求。但在后續(xù)的貫徹執(zhí)行工作中，還可能會面臨宣傳不到位、理解不到位、人員不到位和能力不到位等多種情況。

　　一是，宣傳不到位?！稇敝改稀钒l(fā)布后，地方工業(yè)和信息化主管部門和工業(yè)企業(yè)都開展了認真的學習，但由于地方工業(yè)和信息化主管部門又分為省、區(qū)、縣、市等多個層級，不同層級的地方工業(yè)和信息化主管部門可能只是簡單轉發(fā)《應急指南》，宣傳還可能存在不到位的情況。二是，理解不到位。地方工業(yè)和信息化主管部門、應急技術機構和工業(yè)企業(yè)可能還存在對《應急指南》中的應急體制、機制、應急流程等認識不到位、理解不到位的地方。三是，人員不到位。地方工業(yè)和信息化主管部門和工業(yè)企業(yè)可能還存在應急管理人員、應急聯(lián)絡員不明確，人員不到位的情況。四是，能力不到位。地方工業(yè)、信息化主管部門和工業(yè)企業(yè)的威脅監(jiān)測能力、應急處置水平參差不齊，還存在能力不到位的情況。

　　針對宣傳不到位和理解不到位，還需要地方工信主管部門、應急技術機構和工業(yè)企業(yè)高度重視，認真組織開展針對《應急指南》的宣傳，利用多種媒體、結合專家講座、技術普及等多種方式加強宣傳和解讀，確?！稇敝改稀飞钊肴诵?。針對人員不到位的問題，需要地方工信主管部門和工業(yè)企業(yè)積極落實《應急指南》要求，盡快明確響應的應急工作人員。針對能力不到位，還需要地方工信主管部門和工業(yè)企業(yè)通過人才引進、外部合作等多種途徑提升工控安全信息監(jiān)測和應急處置能力。

　　自動化博覽：《應急指南》要求，建立覆蓋工業(yè)和信息化部、地方工業(yè)和信息化主管部門、工業(yè)企業(yè)三個不同層次的預案體系，您認為這三個層次之間是什么樣的關系？各自的工作重點和難點在哪里？

　　李?。汗I(yè)和信息化部、地方工業(yè)和信息化主管部門、工業(yè)企業(yè)三個層次的預案體系各有側重、相輔相成、缺一不可，共同構成了工業(yè)信息安全應急預案體系這一有機整體。

　　工信部的重點是指導地方工業(yè)和信息化主管部門、應急技術機構、工業(yè)企業(yè)做好工控安全應急管理工作。難點是建立針對性強、快速有效的工控安全應急機制，做好工控安全事件的應急處置管理工作。

　　地方工信主管部門重點是指導本地區(qū)工控安全應急管理工作，難點是建立適合本地區(qū)的工控安全事件應急機制，組織做好本地區(qū)工控安全應急處置管理工作。

　　工業(yè)企業(yè)重點是做好本單位工控安全應急管理工作，落實人、財、物保障，難點是做好本單位工控安全監(jiān)測、處置等工作。

　　自動化博覽：圍繞《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》，接下來將開展哪些方面的工作？

　　李俊：圍繞《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》，下一步將開展以下幾方面工作：一是，加大《應急指南》的宣貫力度，組織地方工信主管部門負責人員參加《應急指南》的宣貫培訓會，組織工控安全應急演練，加強對工控安全應急機制、流程的熟悉和了解，加強對工控安全應急管理工作的認識。二是，繼續(xù)推動工控安全應急機制的建立和完善。督促地方工業(yè)和信息化主管部門和工業(yè)企業(yè)制定相應的工控安全應急制度，推動落實工控安全聯(lián)絡員機制。三是，繼續(xù)完善工控安全事件通報制度。做好地方工信主管部門、重要行業(yè)和工業(yè)企業(yè)的工控安全事件通報工作。四是，建立國家工控安全應急專家組，為工控安全應急管理提供技術咨詢和決策支持。地方工業(yè)和信息化主管部門建立本地區(qū)工控安全應急專家組，充分發(fā)揮專家在應急管理工作中的作用。五是，組織開展工控安全應急演練。工信部9月中旬在河北省選擇了1家典型工業(yè)企業(yè)，組織制定工控安全事件應急演練方案，開展了現(xiàn)場應急演練，邀請了有關政府機構、科研院所、企業(yè)、行業(yè)專家參加，檢驗了《指南》的相關內容。

　　自動化博覽：《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》和《工業(yè)控制系統(tǒng)信息安全防護指南》在內容或制定思路上是否有一定的聯(lián)系或延承？

　　李?。骸豆I(yè)控制系統(tǒng)信息安全事件應急管理工作指南》和《工業(yè)控制系統(tǒng)信息安全防護指南》都是為了貫徹落實《國務院關于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》（國發(fā)〔2016〕28號），保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全。在編制思路上都堅持“安全是發(fā)展的前提，發(fā)展是安全的保障”，從管理、技術兩方面明確工控安全相關要求。

　　從內容上看，《工業(yè)控制系統(tǒng)信息安全防護指南》第七條對安全監(jiān)測和應急預案演練做出了明確要求。要求在工業(yè)控制網(wǎng)絡部署網(wǎng)絡安全監(jiān)測設備，及時發(fā)現(xiàn)、報告并處理網(wǎng)絡攻擊或異常行為。制定工控安全事件應急響應預案，當遭受安全威脅導致工業(yè)控制系統(tǒng)出現(xiàn)異?；蚬收蠒r，應立即采取緊急防護措施，防止事態(tài)擴大，并逐級報送直至屬地省級工業(yè)和信息化主管部門，同時注意保護現(xiàn)場，以便進行調查取證。定期對工業(yè)控制系統(tǒng)的應急響應預案進行演練，必要時對應急響應預案進行修訂。

　　依據(jù)《工業(yè)控制系統(tǒng)信息安全防護指南》第七條相關規(guī)定，《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》進一步豐富完善了工控安全應急管理相關要求，對工控安全風險監(jiān)測、信息報送與通報、應急處置、敏感時期應急管理等工作提出了一系列管理要求，明確了責任分工、工作流程和保障措施。

　　自動化博覽：《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》之后，還會陸續(xù)發(fā)布哪些相關指南或法規(guī)？

　　李?。骸豆I(yè)控制系統(tǒng)信息安全事件應急管理工作指南》之后，工信部于今年8月發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》。下一步，還將根據(jù)工控安全工作需要，適時發(fā)布相應細則，逐步建立完善工控安全保障工作體系。

　　自動化博覽：《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》的發(fā)布對工業(yè)控制系統(tǒng)信息安全市場將有哪些影響？

　　李?。骸豆I(yè)控制系統(tǒng)信息安全事件應急管理工作指南》的第二十三條要求加強對工控安全事件應急裝備和工具的儲備，及時調整、升級軟硬件工具，建設完善工控安全事件應急技術服務平臺，不斷增強應急技術支撐能力。第二十四條要求各有關部門應積極利用現(xiàn)有政策和資金渠道，申請新增預算，支持工控安全應急技術機構建設、專家隊伍建設、基礎平臺建設、技術研發(fā)、應急演練、物資保障等，為工控安全應急管理工作提供必要的經(jīng)費支持。這將在一定程度上提振市場對工控安全技術、產(chǎn)品和服務的需求，促進工控安全市場的發(fā)展。