王建伟
制造业是立国之本、强国之基,是实体经济的核心构成。制造业高质量发展要求以提质增效为重点,加快结构调整,推动发展方式转变,实现新旧动能转换。工业控制系统是制造业的神经中枢,其安全防护事关工业生产稳定运行,事关人民生命财产安全。近年来,针对工业控制系统的网络攻击呈现出显著的政治、军事和经济意图,工业控制系统逐渐成为网络空间对抗的主战场,提升我国工控安全防护水平已成为实现制造业高质量发展的重要基础。
提升工控安全防护水平,必须厘清安全防护的基础要素,从供给侧和需求侧双向出发,有的放矢地开展工控安全工作,打牢制造业高质量发展的安全基础。
从供给侧看工控安全防护基础要素。一是核心技术产品的攻关。强化工业控制系统核心技术研究和关键产品研发能力,研制具备内生安全功能的产品,促进安全防护与业务场景有效衔接,是提升工控安全防护水平的根本途径。二是安全服务能力的提升。建设威胁可知、风险可控的技术防控能力,构建国家、地方、企业多级协同的技术保障体系,是提升工控安全防护水平的主要手段。三是产业发展生态的建设。构建多方协作机制,汇聚产业链上下游优势资源,充分释放产业集聚的叠加和倍增效应,培育具备国际竞争力的龙头骨干企业,是提升工控安全防护水平的重要保障。四是基础共性标准的应用。加快关键技术标准、核心产品标准和重点应用标准的研制,推动标准广泛应用,是提升工控安全防护水平的基本要求。
从需求侧看工控安全防护基础要素。一是安全主体责任的落实。建立与企业信息化发展战略相匹配的安全管理制度和技术防护体系,加大安全工作的人力、资金和技术投入力度,是提升工控安全防护水平的基本前提。二是技术防护能力的建设。促进工控安全防护解决方案与企业信息化建设深度融合,构建与实际生产环境紧耦合的安全防护策略,是提升工控安全防护水平的必然要求。三是专业人才队伍的培育。培养工业自动化和网络安全复合型人才,加强专业技能培训,建立人才选拔机制,是提升工控安全防护水平的核心关键。
习近平总书记指出,网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。为应对制造业发展中面临的网络安全风险,规范企业安全管理制度和技术防护体系建设,进一步夯实工控安全防护基础,2016年10月17日,工业和信息化部正式印发了《工业控制系统信息安全防护指南》(以下简称《指南》)。《指南》坚持企业的主体责任及政府的监管、服务职责,聚焦系统防护、安全管理等安全保障重点,提出了11项具体防护要求,为企业开展安全防护提供了根本依据。《指南》印发后,受到社会各界的高度关注,地方工信主管部门、工业企业、网络安全企业、工业控制系统厂商、科研机构等积极响应,在全国范围内形成了学习贯彻《指南》、落实防护要求的良好氛围。
一是增强意识,开展《指南》宣贯培训。扎实推进《指南》落实工作,在全国范围内分区域、分阶段開展《指南》宣贯培训,累计培训各地工信主管部门和重点领域工业企业工控安全负责人1200余人,促进企业安全意识大幅提升。支持江苏、浙江、四川、广东等8个省市开展技术专题培训,帮助各地建立工控安全专业技术队伍。
二是抓好落实,贯彻《指南》防护要求。引导产学研用依据《指南》防护要点,开展联合攻关和集成应用,研发具备安全功能的工业控制系统产品,促进内生安全水平提升。在冶金、石化、电力等重点行业,形成了一批安全解决方案。落实企业主体责任,以较低成本实现防护能力跃升,消减了自身面临的主要安全风险。
三是提升能力,建设技术支撑服务体系。加强工控安全技术保障能力建设,围绕落实《指南》要求,初步形成了产品检测、态势监测、风险处置和事件响应能力。加快工控安全标准体系建设,推动《指南》配套国家标准、行业标准、团体标准制修订,增强标准供给能力,近三年,推动发布工控安全国家标准13项。
《指南》发布以来,在工业和信息化部指导下,产学研用各方围绕落实《指南》开展了一系列工作,加快推动工控安全防护从理论研究进入概念普及和实践阶段,初步形成了政策指导、标准支撑、技术创新、产业协同的良好工作局面,工控安全综合防护水平显著提升,为守好制造业高质量发展的安全大门奠定了坚实基础。
目前通过落实《指南》,我国工控安全工作取得了阶段性成效,但同时也面临着不少困难和挑战。例如,部分企业落实工控安全防护主体责任还不到位;地方主管部门仍然缺乏有效的管理手段和支撑力量;科研机构尚未建立完善的技术支撑服务能力等。面对新形势、新问题,我们必须以习近平新时代中国特色社会主义思想为指导,牢固树立总体国家安全观,坚持安全和发展同步推进,以工控安全防护贯标为突破口,充分发挥《指南》及配套标准的规范和引领作用,推动安全防护步入实践深耕的新阶段,助力制造业迈入高质量发展的快车道。
第一,贯标推进机构要组织技术力量加快重点标准研制发布,扎实推进重点地区贯标培训深度行活动,进而在全国范围推动贯标工作。搭建公共服务平台,为企业提供自对标、自诊断服务,逐步形成贯标长效推进机制。
第二,地方工信主管部门要以贯标为工作抓手,充分调动区域内优势资源,建设地方贯标支撑队伍,引导工业企业积极参与贯标、实施贯标,扎实推进《指南》和配套标准落地落实。
第三,工业企业要切实落实安全防护的主体责任,积极参与贯标工作,将工控安全贯标纳入企业信息化发展战略,建立更加有效的安全管理制度和技术防护体系,探索形成安全防护样板工程。
第四,工业控制系统厂商和工控安全厂商要增强协同攻关和集成应用,研发具备安全功能的工业控制系统产品,配合贯标形成可操作、可复制的成套解决方案,助力工业企业提升安全防护水平。
本文原刊载于中国电子报