2016年10月17日，工業(yè)和信息化部印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》。《指南》的發(fā)布對(duì)工業(yè)企業(yè)以及從事工業(yè)控制系統(tǒng)安全工作的企業(yè)起到了很好的指導(dǎo)作用，對(duì)擺在大家面前的很多困惑和難題給出了解答，并提供了針對(duì)工業(yè)控制系統(tǒng)面臨的網(wǎng)絡(luò)安全問題的解決思路和落地技術(shù)手段。針對(duì)《指南》，本期記者特別采訪了《指南》牽頭編制單位——工信部電子一所的網(wǎng)絡(luò)與信息安全研究部副主任張格先生，就《指南》發(fā)布意義、如何落地等問題進(jìn)行了深入探討。

　　張格：

　　工信部電子一所網(wǎng)絡(luò)與信息安全研究部副主任，高級(jí)工程師，長(zhǎng)期研究關(guān)鍵信息基礎(chǔ)設(shè)施和工控領(lǐng)域網(wǎng)絡(luò)安全技術(shù)，多次負(fù)責(zé)或參與了國(guó)家級(jí)工控安全檢查評(píng)估、態(tài)勢(shì)感知、應(yīng)急處置、重大活動(dòng)網(wǎng)絡(luò)安保等工作。擔(dān)任工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟常務(wù)副秘書長(zhǎng)、國(guó)家安全可靠技術(shù)與產(chǎn)業(yè)聯(lián)盟執(zhí)行秘書長(zhǎng)、國(guó)家網(wǎng)絡(luò)安全檢查專家委員會(huì)委員。

　　Q：

　　您認(rèn)為《指南》發(fā)布的意義是什么?

　　張格：

　　《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的出臺(tái)，主要有以下兩方面的意義:

　　第一，《指南》的發(fā)布，是對(duì)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求的充分落實(shí)。習(xí)總書記在2016年4月19日全國(guó)網(wǎng)絡(luò)安全和信息化工作座談會(huì)上強(qiáng)調(diào)要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，2016年11月7日全國(guó)人大通過的《中國(guó)人民共和國(guó)網(wǎng)絡(luò)安全法》中也有多個(gè)條款涉及了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求。工業(yè)控制系統(tǒng)是大部分國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行的核心大腦，《指南》的出臺(tái)對(duì)于提升國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)能力具有重要意義。

　　第二,《指南》的發(fā)布，為新時(shí)期、新形勢(shì)下做好工控安全防護(hù)工作提供了重要的參考。2011年，工信部出臺(tái)了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號(hào))文件，第一次對(duì)工控安全管理工作提出了具體要求。近年來隨著信息技術(shù)與工業(yè)生產(chǎn)活動(dòng)的不斷融合，工控安全形勢(shì)日益嚴(yán)峻，原451號(hào)文件在指導(dǎo)開展工控安全防護(hù)工作上存在操作性不強(qiáng)、技術(shù)性不夠等不足之處。工控安全主管部門和工業(yè)控制系統(tǒng)應(yīng)用單位，都急需一個(gè)簡(jiǎn)單明了、措施化、易于落地的防護(hù)指導(dǎo)手冊(cè)?！吨改稀吩诔浞挚紤]可操作性、務(wù)實(shí)性、實(shí)施便利性等基礎(chǔ)上，提出了11大項(xiàng)、30小項(xiàng)工控安全防護(hù)措施,為相關(guān)單位開展工控安全防護(hù)工作提供了有效參考。

　　Q：

　　《指南》在哪些方面對(duì)工業(yè)控制系統(tǒng)信息安全防護(hù)做出了方向性的引導(dǎo)?

　　張格：

　　首先，《指南》強(qiáng)調(diào)了工業(yè)企業(yè)承擔(dān)工控安全防護(hù)的主體責(zé)任。從性質(zhì)上看，工控安全是生產(chǎn)經(jīng)營(yíng)安全，《指南》要求建立健全企業(yè)的工控安全生產(chǎn)責(zé)任制，不斷完善企業(yè)工控安全管理制度、加強(qiáng)企業(yè)人員管理、供應(yīng)鏈管理及系統(tǒng)運(yùn)維管理。

　　其次，《指南》強(qiáng)調(diào)了要從工控系統(tǒng)全生命周期做好安全防護(hù)。由于工業(yè)生產(chǎn)各業(yè)務(wù)環(huán)節(jié)及相關(guān)系統(tǒng)之間的連接越來越緊密，工業(yè)控制系統(tǒng)在設(shè)計(jì)、選型、建設(shè)、測(cè)試、運(yùn)行、檢修、廢棄各階段均需要做好防護(hù)工作，《指南》中的防護(hù)措施貫穿了工控系統(tǒng)的整個(gè)生命周期。

　　最后，《指南》強(qiáng)調(diào)了工控安全防護(hù)要從系統(tǒng)與設(shè)備安全、網(wǎng)絡(luò)安全、主機(jī)安全和數(shù)據(jù)安全方面建立綜合防護(hù)能力。傳統(tǒng)的單點(diǎn)防護(hù)已經(jīng)不能應(yīng)對(duì)日益嚴(yán)峻的安全形勢(shì)，《指南》提出要在工控系統(tǒng)與設(shè)備、工業(yè)網(wǎng)絡(luò)、工業(yè)主機(jī)、工業(yè)數(shù)據(jù)各核心要素上都建立防護(hù)能力，大幅提高黑客攻擊工控系統(tǒng)的難度，切實(shí)提升工控系統(tǒng)安全水平。

　　Q：

　　您認(rèn)為《指南》在后續(xù)的貫徹執(zhí)行工作中，會(huì)面臨哪些問題?如何解決?

　　張格：

　　《指南》的印發(fā)，為工業(yè)企業(yè)開展工控安全防護(hù)提供了指導(dǎo)，在其貫徹執(zhí)行中，可能會(huì)有以下兩方面問題:

　　一是工控安全專業(yè)技術(shù)隊(duì)伍嚴(yán)重不足。當(dāng)前我國(guó)在工控安全方面的風(fēng)險(xiǎn)評(píng)估、防護(hù)方案規(guī)劃與實(shí)施方面的人才存在較大缺口，工業(yè)企業(yè)在落實(shí)《指南》中的防護(hù)措施時(shí)，急需相關(guān)專業(yè)技術(shù)人員來實(shí)施有關(guān)工作。下一步有關(guān)主管部門會(huì)通過專業(yè)建設(shè)、人才培育等多種措施，加快工控安全人才力量的建設(shè)。

　　二是工控安全防護(hù)的典型案例仍然不足。當(dāng)前我國(guó)開展工控安全防護(hù)工作的工業(yè)企業(yè)相對(duì)較少，已形成的工控安全防護(hù)典型案例不多，導(dǎo)致工業(yè)企業(yè)在落實(shí)《指南》時(shí)找不到太多可借鑒的成功案例或?qū)嵤┙?jīng)驗(yàn)。下一步工信部將加大《指南》的試點(diǎn)示范工作以及工控安全防護(hù)解決方案優(yōu)秀案例的推廣，帶動(dòng)工業(yè)企業(yè)圍繞《指南》部署防護(hù)手段，壯大工業(yè)信息安全產(chǎn)業(yè)。

　　Q：

　　政府對(duì)于《指南》的落地工作有哪些具體的規(guī)劃?

　　張格：

　　《指南》于2016年10月17日正式印發(fā)后，工信部于2016年12月6日在北京召開了《指南》全國(guó)宣貫會(huì)，啟動(dòng)了《指南》的宣貫工作。為推動(dòng)《指南》的落地，2017年工信部及地方工信主管部門將進(jìn)一步加大宣貫力度，繼續(xù)在全國(guó)范圍內(nèi)組織開展《指南》的宣貫和培訓(xùn)工作。同時(shí)，將組織開展全國(guó)工控系統(tǒng)安全防護(hù)評(píng)測(cè)能力檢查評(píng)估工作，綜合評(píng)價(jià)我國(guó)工控企業(yè)的工控安全防護(hù)水平。另外，為促進(jìn)優(yōu)秀防護(hù)產(chǎn)品應(yīng)用、培育防護(hù)解決方案優(yōu)秀案例，還將會(huì)組織開展工控安全防護(hù)試點(diǎn)示范專項(xiàng)工作，推動(dòng)《指南》在工業(yè)企業(yè)的落地實(shí)施。

　　Q：

　　《指南》之后，還會(huì)陸續(xù)發(fā)布哪些相關(guān)指南或法規(guī)?

　　張格：

　　工信部將圍繞國(guó)家工控安全工作的整體方案部署，建立健全工控安全政策法規(guī)體系。下一步，將組織制定工控安全三年行動(dòng)計(jì)劃，清晰指導(dǎo)我國(guó)工控安全工作，并出臺(tái)《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估方法》及其評(píng)估細(xì)則，通過工控安全防護(hù)水平綜合評(píng)價(jià)來促進(jìn)工業(yè)企業(yè)落實(shí)工控安全防護(hù)措施。

　　Q：

　　《指南》的發(fā)布，對(duì)于工業(yè)控制系統(tǒng)信息安全市場(chǎng)將有哪些影響?