2017年12月29日，工信部發(fā)布了《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020)》，引發(fā)各界廣泛關(guān)注?！豆I(yè)控制系統(tǒng)信息安全行動計劃(2018-2020)》從安全管理水平、態(tài)勢感知能力、安全防護能力、應急處置能力、產(chǎn)品發(fā)展能力等方面對工業(yè)控制系統(tǒng)信息安全作出具體行動。

　　《行動計劃》指出重點提升工控安全態(tài)勢感知、安全防護和應急處置能力，促進產(chǎn)業(yè)創(chuàng)新發(fā)展，建立多級聯(lián)防聯(lián)動工作機制，為制造強國和網(wǎng)絡強國戰(zhàn)略建設奠定堅實基礎(chǔ)。確保信息安全與信息化建設同步規(guī)劃、同步建設、同步運行。

　　確立企業(yè)工控安全主體責任地位，強化責任意識，把工控安全作為工業(yè)生產(chǎn)安全的重要組成部分，將安全要求納入企業(yè)生產(chǎn)、經(jīng)營、管理各環(huán)節(jié)。

　　建成全國在線監(jiān)測網(wǎng)絡，應急資源庫，仿真測試、信息共享、信息通報平臺(一網(wǎng)一庫三平臺)，態(tài)勢感知、安全防護、應急處置能力顯著提升。

　　近日，工業(yè)和信息化部信息化和軟件服務業(yè)司負責人就《行動計劃》內(nèi)容進行了解讀。

　　問：《行動計劃》的定位是如何考慮的?

　　答：隨著中國制造2025全面推進，工業(yè)數(shù)字化、網(wǎng)絡化、智能化加快發(fā)展，新形勢下工控安全工作的重要性和緊迫性更加凸顯。黨中央、國務院高度重視信息安全問題。習近平總書記多次就網(wǎng)絡安全和信息化工作作出重要指示，強調(diào)“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進”?！吨袊圃?025》提出要“加強智能制造工業(yè)控制系統(tǒng)網(wǎng)絡安全保障能力建設，健全綜合保障體系”?！秶鴦赵宏P(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》將“提高工業(yè)信息系統(tǒng)安全水平”作為主要任務之一，2017年6月1日實施的《中華人民共和國網(wǎng)絡安全法》也要求對包括工業(yè)控制系統(tǒng)在內(nèi)的“可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設施”實行重點保護。近期發(fā)布的《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》，提出“建立工業(yè)互聯(lián)網(wǎng)安全保障體系、提升安全保障能力”的發(fā)展目標，部署“強化安全保障”的主要任務，為工業(yè)互聯(lián)網(wǎng)安全保障工作制定了時間表和路線圖。

　　《行動計劃》深入貫徹落實國家安全戰(zhàn)略，突出了落實企業(yè)主體責任，從提升工業(yè)企業(yè)工控安全防護能力，促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展，加快工控安全保障體系建設出發(fā)，進一步明確了部門、地方和企業(yè)做什么和怎么做，部署了五大能力提升行動，為下一步開展工控安全工作提供了依據(jù)和指導。

　　問：《行動計劃》實施的主要目標是什么?

　　答：到2020年，一是建成工控安全管理工作體系，企業(yè)主體責任明確，各級政府部門監(jiān)督管理職責清楚，工作管理機制基本完善。二是全系統(tǒng)、全行業(yè)工控安全意識普遍增強，對工控安全危害認識明顯提高，將工控安全作為生產(chǎn)安全的重要組成部分。三是態(tài)勢感知、安全防護、應急處置能力顯著提升，全面加強技術(shù)支撐體系建設，建成全國在線監(jiān)測網(wǎng)絡，應急資源庫，仿真測試、信息共享、信息通報平臺(一網(wǎng)一庫三平臺)。四是促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展，提升產(chǎn)業(yè)供給能力，培育一批龍頭骨干企業(yè)，創(chuàng)建3-5個國家新型工業(yè)化產(chǎn)業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全)。

　　問：《行動計劃》強調(diào)落實企業(yè)主體責任，企業(yè)應如何落實主體責任?

　　答：工控安全是工業(yè)生產(chǎn)安全的重要組成部分，工業(yè)企業(yè)作為工業(yè)控制系統(tǒng)運營者應承擔主體責任。企業(yè)應從以下方面落實主體責任：一是貫徹落實《中華人民共和國網(wǎng)絡安全法》，按照“誰主管、誰負責;誰運營、誰負責”的原則，建立工控安全責任制，明確企業(yè)法人代表、經(jīng)營負責人第一責任者的責任。二是抽調(diào)信息化、生產(chǎn)管理、運營維護、設備管理等相關(guān)部門人員，組建企業(yè)工控安全管理機構(gòu)。三是按照《工業(yè)控制系統(tǒng)信息安全防護指南》要求，編制完善配置和補丁管理、物理和環(huán)境安全防護等制度，定期組織開展培訓，切實推動各項制度落地實施。四是以《工業(yè)控制系統(tǒng)信息安全防護能力評估工作指南》為指導，積極開展工控安全防護能力評估。五是持續(xù)加大工控安全投入，落實防護技術(shù)改造和隱患治理專項經(jīng)費。

　　問：《行動計劃》在主要目標里提出到2020年建成“一網(wǎng)一庫三平臺”，“一網(wǎng)一庫三平臺”具體指的是什么?

　　答：“一網(wǎng)”是指全國工控安全在線監(jiān)測網(wǎng)絡。支持國家工業(yè)信息安全發(fā)展研究中心牽頭，聯(lián)合地方、行業(yè)等技術(shù)機構(gòu)，建設以國家工控安全在線監(jiān)測平臺為中心，縱向連接省級分中心，橫向覆蓋重點工業(yè)行業(yè)的多級監(jiān)測網(wǎng)絡，實現(xiàn)對全國重要工業(yè)控制系統(tǒng)運行狀態(tài)、風險隱患的實時感知、精準研判和科學決策。

　　“一庫”是指工控安全應急資源庫。按照《國家網(wǎng)絡安全事件應急預案》總體要求，支持國家工業(yè)信息安全發(fā)展研究中心建設應急資源庫，匯聚漏洞、風險、解決方案、預案等信息，實現(xiàn)輔助決策、預案演練等功能。在突發(fā)工業(yè)信息安全事件時，支撐行業(yè)主管部門協(xié)調(diào)技術(shù)專家和專業(yè)隊伍對事件開展分析研判，并調(diào)動相關(guān)應急資源及時有效的開展處置工作。

　　“三平臺”是指工控安全仿真測試平臺、信息共享平臺和信息通報平臺。建設工控安全仿真測試平臺，以化工生產(chǎn)、管道輸送、污水處理、智能制造等真實工業(yè)控制場景為基礎(chǔ)，模擬業(yè)務流程，還原真實現(xiàn)場，滿足培訓、測試、驗證、試驗等多元化需求。充分利用云計算、大數(shù)據(jù)等技術(shù)手段，建設國家工控安全信息共享平臺，建立共享清單，明確共享內(nèi)容，推動形成政府引導、企業(yè)主體、社會參與、利益共享的工作機制。支持建設工控安全信息通報預警平臺，及時發(fā)布風險預警信息，跟蹤風險防范工作進展，形成快速高效、各方聯(lián)動的信息通報預警體系。

　　昂楷工控數(shù)據(jù)庫審計系統(tǒng)，率先支持工控實時數(shù)據(jù)庫IP21 ( Aspen Tech) 的審計，保障生產(chǎn)安全，已成功應用于中國石化、寧夏熱電廠等多個項目。