為切實提升我國工業(yè)企業(yè)安全防護水平，工業(yè)和信息化部先后發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護指南》（以下簡稱《防護指南》）和《工業(yè)控制系統(tǒng)信息安全防護能力評估方法》（以下簡稱《評估方法》）等指導性文件，并在全國范圍內(nèi)主持開展工業(yè)控制系統(tǒng)年度企業(yè)自查、地區(qū)抽查、遴選評估等針對工業(yè)企業(yè)的多方位、多層次信息安全防護能力評估工作，對我國工業(yè)信息安全防護水平的提升起到了實質(zhì)性推動作用。

　　參照《評估方法》的有關要求，在執(zhí)行工業(yè)信息安全檢查評估工作中，相關工作組以量化評估的方式選取了國內(nèi) 32 家具有代表性的工業(yè)企業(yè)開展了調(diào)研評估工作。評估內(nèi)容針對工業(yè)企業(yè)工業(yè)控制系統(tǒng)的規(guī)劃、設計、建設、運行、維護等全生命周期安全防護能力等，并形成工業(yè)企業(yè)信息安全防護評估結果。評估結果表明，大多數(shù)工業(yè)企業(yè)信息安全防護水平已達到“基本合格”的狀態(tài)，但存在明顯短板，亟需進一步提升。

　　一、工業(yè)企業(yè)信息安全評估結果分析

　　通過分析 32 家重點行業(yè)工業(yè)企業(yè)信息安全評估數(shù)據(jù)，工業(yè)企業(yè)信息安全防護水平基本情況反映如下。

　?。ㄒ唬┙顺晒I(yè)企業(yè)的信息安全防護水平已滿足基線要求，但整體防護水平仍有待提升

　　從整體數(shù)據(jù)（見圖 1）來看，21.87% 的（7 家）工業(yè)企業(yè)評估結果為“不合格”，46.87% 的（15 家）工業(yè)企業(yè)評估結果為“基本合格”，15.63% 的（5 家）工業(yè)企業(yè)評估結果為“一般”，15.63% 的（5 家）工業(yè)企業(yè)評估結果為“良好”，尚無企業(yè)被評估為“優(yōu)秀”?！斗雷o指南》作為工業(yè)企業(yè)信息安全評估的基線要求，被評估為“良好”及“優(yōu)秀”水平的工業(yè)企業(yè)占比不足兩成，工業(yè)企業(yè)信息安全防護工作有待進一步強化。

　　圖 1 工業(yè)企業(yè)信息安全防護能力評估結果

　?。ǘ┕た匕踩雷o工作存在明顯短板

　　從各項得分情況來看（見圖 2），工業(yè)企業(yè)在“配置和補丁管理”和“安全軟件選擇與管理”兩方面得分率不足 60%，分別為 49.28% 和 58.70%?！鞍踩O(jiān)測和應急預案演練”“數(shù)據(jù)安全”和“供應鏈管理”得分率分別為 60.22%、61.66% 和 61.96%，均處于較低水平。工業(yè)企業(yè)在技術防護方面存在明顯短板，系統(tǒng)日常安全維護缺失，生產(chǎn)網(wǎng)絡安全狀態(tài)無法確定，終端安全防護不足，在安全策略配置和主機缺陷修復方面未采取有效措施，無法保證工控系統(tǒng)安全穩(wěn)定運行。

　　圖 2 各指標項得分結果

　?。ㄈ┕I(yè)企業(yè)數(shù)據(jù)安全、供應鏈管理等管理體系不健全

　　工業(yè)企業(yè)在數(shù)據(jù)安全、供應鏈等方面管理不足，未對數(shù)據(jù)按照重要程度進行分級分類管理，無法形成以數(shù)據(jù)為核心的安全防護體系，在數(shù)據(jù)安全防護方面存在缺失；供應鏈管理方面僅在與供應商的合同中體現(xiàn)部分內(nèi)容，如系統(tǒng)自身功能無法正常使用，企業(yè)對因系統(tǒng)、設備缺陷導致的信息安全事件責任劃分不明晰，工控系統(tǒng)后期安全維護方面關注較少。對于工控自研系統(tǒng)，安全防護能力更為薄弱。工業(yè)企業(yè)在數(shù)據(jù)安全、供應鏈管理方面管理制度明顯缺失，無法對工業(yè)數(shù)據(jù)、工控系統(tǒng)形成有效的安全保障。

　　二、我國工業(yè)企業(yè)信息安全防護短板原因分析

　?。ㄒ唬┻B續(xù)型生產(chǎn)作業(yè)給工業(yè)企業(yè)配置和補丁管理工作帶來挑戰(zhàn)

　　工業(yè)企業(yè)鋼鐵、石油、化工等多個行業(yè)現(xiàn)場主機因業(yè)務連續(xù)性無法停止進行安全修復，導致工業(yè)控制系統(tǒng)“帶病”運行。以乙烯生產(chǎn)工藝為例，工業(yè)控制系統(tǒng)在設計階段未同步進行安全保障建設，系統(tǒng)天然缺少安全防護體系；在上線前未進行安全評估檢測，無法確定工業(yè)控制系統(tǒng)的安全防護狀態(tài)；上線后開車連續(xù)運行時間通常 3 至 4 年，任何非計劃內(nèi)的停機或設備重啟都會對整個生產(chǎn)線造成經(jīng)濟損失，企業(yè)無法接受設備頻繁更新升級操作。當工控設備出現(xiàn)新的安全漏洞時，缺少相適應的維護保障機制，較難通過更新升級等方式來消除設備自身的安全威脅。此外，工業(yè)企業(yè)的生產(chǎn)任務繁重，停車檢修一般分工段分期進行，較少出現(xiàn)全流程停車檢修。由于流程行業(yè)的工控系統(tǒng)一般涉及大量生產(chǎn)工藝設備，存在跨設備、跨系統(tǒng)、跨工段的現(xiàn)象，因此僅利用檢修窗口期完成對于工控系統(tǒng)的安全補丁測試、驗證和安裝工作較難完成。

　?。ǘ﹪a(chǎn)安全軟件兼容適配問題制約工業(yè)企業(yè)安全防護能力的提升

　　安全軟件通常部署在工業(yè)控制系統(tǒng)的工程師站、操作員站及數(shù)據(jù)庫服務器中。雖然部分企業(yè)已安裝傳統(tǒng)安全軟件，但傳統(tǒng)安全軟件只能針對常規(guī)的病毒進行防護，并不完全適用于工控環(huán)境。且部分傳統(tǒng)軟件由于兼容性測試工作不足，影響工業(yè)軟件相關配置文件、支持組件等正常運轉，影響工控系統(tǒng)的穩(wěn)定運行?，F(xiàn)場核查中發(fā)現(xiàn)，國外安全廠商與橫河電機、西門子等工控廠商的深度合作，使其安全軟件在合作的工業(yè)企業(yè)應用中效果良好。相比國外安全廠商的快速發(fā)展，國內(nèi)安全廠商任重道遠。

　　（三）工控安全組織架構不明晰，管理體系不完善，安全管理難以落地

　　工業(yè)企業(yè)未設置專職工控安全管理部門，工控安全管理職責由信息化或設備生產(chǎn)等部門代管，將信息化管理制度落實在工業(yè)控制系統(tǒng)層面，導致制度與管理對象不匹配，無法有效落實管理，使得工業(yè)控制系統(tǒng)數(shù)據(jù)安全、供應鏈安全無法得到安全保障。企業(yè)生產(chǎn)現(xiàn)場按照信息化標準管理或僅對業(yè)務生產(chǎn)進行管理，對數(shù)據(jù)安全和供應鏈環(huán)節(jié)未進行規(guī)范化要求，導致出現(xiàn)管理短板，無法形成對工業(yè)控制系統(tǒng)數(shù)據(jù)、供應鏈等安全保障體系，不利于工業(yè)控制系統(tǒng)信息安全防護。

　　三、下一步工作建議

　?。ㄒ唬┰鷮嵧七M工控安全防護貫標工作，量化工控安全防護現(xiàn)狀

　　定期開展多層次的工控安全防護能力評估貫標工作，聯(lián)合地方主管部門組織開展各省市工業(yè)企業(yè)的工控安全防護培訓工作，充分調(diào)動地方工業(yè)信息安全資源，形成多級聯(lián)動的技術支撐體系，增強企業(yè)安全責任意識，針對企業(yè)安全短板整理歸納安全解決方案，全面提升企業(yè)安全防護能力，依靠貫標真正解決企業(yè)工控安全防護難題；依托《網(wǎng)絡安全法》《評估方法》《工業(yè)數(shù)據(jù)分類分級指南（試行）》，指導企業(yè)完善工控企業(yè)數(shù)據(jù)安全、供應鏈管理方面的管理體系，并對各行業(yè)工業(yè)企業(yè)信息安全保障能力進行量化，依托大數(shù)據(jù)分析方法分析我國工業(yè)企業(yè)工控安全現(xiàn)狀，進一步細化各行業(yè)工業(yè)信息安全平均線，有針對性地解決工業(yè)企業(yè)面臨的共性問題，為工業(yè)信息安全行業(yè)監(jiān)管提供科學指導。

　　（二）推動工業(yè)控制系統(tǒng)全生命周期安全檢測及評估

　　按照信息系統(tǒng)安全“三同步”原則，推動工業(yè)控制系統(tǒng)與安全保障措施同步設計、 同步建設、同步運行，完善工業(yè)控制系統(tǒng)安全防護體系；在工業(yè)控制系統(tǒng)上線前進行安全評估，檢驗系統(tǒng)上線前的安全狀態(tài)，健全系統(tǒng)因無法維護或漏洞修復引起的安全隱患；根據(jù)工業(yè)控制系統(tǒng)業(yè)務持續(xù)情況，合理安排維護管理策略，針對系統(tǒng)運行特點，在停車檢修期間修復系統(tǒng)內(nèi)存在的安全缺陷，完善系統(tǒng)內(nèi)設備、終端等安全策略，健全系統(tǒng)的安全防護體系。

　?。ㄈ┩苿訃a(chǎn)安全軟件的適配工作，提升工控企業(yè)終端防護能力

　　推動國內(nèi)安全廠商與工控企業(yè)的深度合作，在鋼鐵、石油、化工等多個行業(yè)進行試點，集中力量加強安全軟件的研發(fā)及測試，完善工控控制系統(tǒng)安全軟件的兼容性，提升安全軟件在不同工控環(huán)境下的可靠性和可用性，切實解決工業(yè)企業(yè)安全軟件供給不足的問題。同時，建立國產(chǎn)安全軟件的供應鏈管理體系，在安全軟件投入使用前需經(jīng)過第三方權威機構的安全測試，從供應鏈源頭保障工業(yè)控制系統(tǒng)的安全。