2017年12月29日，工信部發(fā)布《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018-2020）》（以下簡稱行動(dòng)計(jì)劃），隨著《行動(dòng)計(jì)劃》官方解讀的發(fā)布，市場(chǎng)對(duì)該計(jì)劃也產(chǎn)生了熱議，本期特別刊出和利時(shí)智能技術(shù)有限公司總工程師朱毅明對(duì)該計(jì)劃的解讀，希望對(duì)相關(guān)同仁有所啟發(fā)！

以下為解讀全文：

工信部在12月29日發(fā)布的《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018-2020）》中明確提出堅(jiān)持安全和發(fā)展同步推進(jìn)、堅(jiān)持落實(shí)企業(yè)主體責(zé)任、堅(jiān)持因地制宜分類指導(dǎo)、堅(jiān)持技術(shù)和管理并重等四大基本原則，其中的因地制宜分類指導(dǎo)與技術(shù)和管理并重原則對(duì)于實(shí)現(xiàn)供給側(cè)改革，為工業(yè)企業(yè)提供既安全又經(jīng)濟(jì)的工控系統(tǒng)信息安全解決方案，推進(jìn)工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)的可持續(xù)發(fā)展具有現(xiàn)實(shí)的指導(dǎo)意義。

首先，工業(yè)企業(yè)門類眾多，生產(chǎn)工藝千差萬別，相同的工業(yè)控制系統(tǒng)在不同的行業(yè)應(yīng)用中信息安全風(fēng)險(xiǎn)差異極大。工控信息安全風(fēng)險(xiǎn)不能簡單地按照企業(yè)生產(chǎn)規(guī)模或控制復(fù)雜程度劃分，而是應(yīng)該按照工控系統(tǒng)信息安全危險(xiǎn)可能造成的經(jīng)濟(jì)和社會(huì)后果以及發(fā)生的可能性進(jìn)行評(píng)估，例如：用于能源、交通、市政等基礎(chǔ)設(shè)施或化工、冶金、醫(yī)藥、食品等涉及高危行業(yè)的工業(yè)控制系統(tǒng)，無論規(guī)模大小，都應(yīng)該采用嚴(yán)格的信息安全防護(hù)措施保證其安全穩(wěn)定運(yùn)行；用于一些離散制造業(yè)的工業(yè)控制系統(tǒng)即使規(guī)模巨大，但信息安全的危險(xiǎn)主要是相對(duì)可控的經(jīng)濟(jì)損失，一般不會(huì)產(chǎn)生大的社會(huì)影響或人身安全問題，可以選擇與其風(fēng)險(xiǎn)匹配的信息安全防護(hù)措施，不必過度設(shè)計(jì)。

其次，工控系統(tǒng)信息安全防護(hù)不僅僅是涉及計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)，而且要與傳統(tǒng)工業(yè)技術(shù)和管理手段相結(jié)合，形成信息與光機(jī)電技術(shù)一體化的全方位縱深防御體系，提供因地制宜、分類的解決方案，例如：在一些關(guān)鍵工業(yè)裝備上可以保留必要機(jī)械或電氣的多樣性保護(hù)手段，在工控系統(tǒng)完全失控的情況下提供最后的安全防線。

第三，對(duì)于工控系統(tǒng)信息安全，可以采用管理手段與技術(shù)手段相結(jié)合，以較低的實(shí)施成本和較快的實(shí)施速度，有效提高對(duì)惡意攻擊的難度，減緩攻擊實(shí)施的速度，提供較為充裕的時(shí)間采取必要的應(yīng)急措施，避免災(zāi)難性的后果。

在行動(dòng)計(jì)劃中還提到通過培育龍頭骨干企業(yè)和創(chuàng)建國家新型工業(yè)化產(chǎn)業(yè)示范基地（工業(yè)信息安全）實(shí)現(xiàn)產(chǎn)業(yè)發(fā)展能力提升，這一措施為國內(nèi)工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)發(fā)展提供了明確的政策引導(dǎo)。

目前國內(nèi)工業(yè)控制系統(tǒng)信息安全企業(yè)主要來自三個(gè)源頭，IT信息安全企業(yè)的工業(yè)業(yè)務(wù)部門、工控系統(tǒng)企業(yè)的信息安全部門和新創(chuàng)業(yè)的工控信息安全企業(yè)，即使是新創(chuàng)業(yè)的工控信息安全企業(yè)，其核心的骨干技術(shù)人員也大多來自IT信息安全企業(yè)和工控系統(tǒng)企業(yè)。由于工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)正處于爬坡上升階段，研發(fā)投入大，合同產(chǎn)出小，整個(gè)行業(yè)承受的壓力比較大，新創(chuàng)業(yè)的工控信息安全企業(yè)的壓力就更大。按照工信部的行動(dòng)計(jì)劃執(zhí)行，一方面加大對(duì)行業(yè)龍頭骨干企業(yè)的支持力度，幫助企業(yè)渡過暫時(shí)的困難，另一方面通過政策引導(dǎo)，落實(shí)企業(yè)對(duì)工控信息安全的主體責(zé)任，鼓勵(lì)大中型企業(yè)集團(tuán)主動(dòng)推進(jìn)自身的工控系統(tǒng)信息安全改進(jìn)，落實(shí)資金，帶動(dòng)整個(gè)行業(yè)的發(fā)展。這無疑對(duì)于目前的工業(yè)控制系統(tǒng)信息安全相關(guān)企業(yè)是極大的鼓勵(lì)。

本文轉(zhuǎn)自《自動(dòng)化博覽》2018年第一期