李俊,博士,高級工程師。國家工業信息安全發展研究中心網絡與信息安全研究部主任助理,工業信息安全感知與評估技術工信部重點實驗室副主任。《工業控制系統信息安全防護指南》、《工業控制系統信息安全防護能力評估工作管理辦法》的牽頭編寫者,多次擔任工信部工控安全檢查評估工作組負責人。
編者按:近年來,工控安全事件頻頻發生,工控安全漏洞數量持續增長,工業控制系統面臨著日益嚴峻的安全形勢。今年以來,Strust2遠程代碼執行漏洞、WannaCry惡意勒索軟件等事件對我國部分重點行業工業生產系統造成了嚴重影響。為切實保障制造強國和網絡強國建設,加強工業控制系統安全保障,迫切需要快速提升工控安全保障水平和事件應急處置能力,更好地支撐經濟社會健康有序發展,維護國家安全。因此,2017年工信部發布《工業控制系統信息安全事件應急管理工作指南》,本期,記者特別采訪了國家工業信息安全發展研究中心網絡與信息安全研究部主任助理、工業信息安全感知與評估技術工信部重點實驗室副主任李俊博士,請他詳細解讀《工業控制系統信息安全事件應急管理工作指南》。
自動化博覽:出臺《工業控制系統信息安全事件應急管理工作指南》的目的和意義是什么?
李俊:出臺《工業控制系統信息安全事件應急管理工作指南》(以下簡稱“應急指南”)的目的和意義主要有三點:
一是有利于建立健全工控安全事件應急工作機制。依據《國家網絡安全事件應急預案》制定《應急指南》,進一步完善工控安全事件應急制度,形成有效的工控安全應急工作機制,為工控安全事件應急管理與處置工作提供依據與方法。
二是有利于提升工控安全事件應急處置能力。《應急指南》明確了工控安全事件應急工作的組織機構和職責,確定了工控安全事件的監測通報、處置流程和具體措施,提出了應急隊伍、專家組、物資和經費保障等應急力量和應急資源方面的要求,為應急處置工作提供行動指南。
三是有利于完善工控安全管理體系。《應急指南》的研究制定和宣貫落實,與工信部2016年印發的《工業控制系統信息安全防護指南》和2017年印發的《工業控制系統信息安全防護評估工作管理辦法》共同構建了工控安全管理體系。文件中提出的安全要求和管理方法覆蓋了工業控制系統規劃、設計、建設、運行、維護等全生命周期,為加強工控安全管理奠定了堅實基礎。
自動化博覽:《工業控制系統信息安全事件應急管理工作指南》編制的原則是什么?
李俊:《應急指南》的編制主要有三大原則:
政府指導、企業主體。政府通過完善政策措施、加強監督管理,指導企業樹立工控安全主體責任意識,督促企業將工控安全作為生產安全的重要組成部分,做好工控安全應急相關工作,加快提升工控安全事件應急能力。
預防為主、平戰結合。按照系統化、科學化管理思想,加強工控安全監測與風險預判,及時掌握工控安全態勢,暢通信息傳輸渠道,充分發揮各方力量,將預防與消減有機結合,積極做好工控安全事件的預防和消減工作。
快速反應、科學處置。建立感知快、研判快、處置快、消減快的工控安全快速反應體系,不斷強化工控安全事件應急隊伍的整體應急水平和快速反應能力,科學管理、指揮有力,妥善處置工控安全事件。
自動化博覽:在編制《工業控制系統信息安全事件應急管理工作指南》的過程中,主要從哪些方面進行考慮?
李俊:《應急指南》的編制密切結合工控安全事件應急工作實際,以防范重大工控安全事件為重點,厘清工業和信息化部、地方工業和信息化主管部門、技術支撐隊伍和企業職責,加強工控安全事件應急管理和組織協調,提升工控安全事件應急處置能力。
《應急指南》主要從工控安全風險監測、信息報送與通報、應急處置、敏感時期應急管理等工作提出了一系列管理要求,明確了責任分工、工作流程和保障措施。
(1)加強風險監測
風險監測是掌握工控安全事件、感知風險動向的基礎性工作。《應急指南》要求國家工業信息安全發展研究中心等技術機構、地方工業和信息化主管部門和工業企業做好風險監測工作。其中,國家工業信息安全發展研究中心等技術機構負責組織開展全國工控安全風險監測、預警通報等工作,地方工業和信息化主管部門負責組織開展本地區工控安全風險監測工作,工業企業組織開展本單位工控安全風險監測工作。
(2)開展信息報送與通報
信息報送與通報是幫助工控安全應急相關部門及時了解風險及事件全貌的重要途徑。《應急指南》明確指出,地方工業和信息化主管部門、工業企業在開展風險監測的同時,要及時將重要監測信息報國家工業信息安全發展研究中心。國家工業信息安全發展研究中心負責匯總、整理和研判,并將結果報工業和信息化部。針對影響范圍大、危害程度深的風險信息,工業和信息化部及時向有關行業、地區、企業通報。此外,對于可能超出本地區應對能力范圍的安全風險和事件信息,地方工業和信息化主管部門應及時向工業和信息化部報告。
(3)做好應急處置
工控安全事件應急處置是應急工作的重中之重,做好工控安全應急處置對于維護國家安全、社會秩序、經濟建設和公眾利益都具有舉足輕重的意義。對于工控安全應急處置工作,《應急指南》明確了以下幾方面要求:一是工業企業應積極開展先期處置。對于可能或已經發生工控安全事件時,工業企業應采取科學有效的方法及時施救,力爭將損失降到最小,盡快恢復受損工業控制系統的正常運行。二是重點做好應急處置中的信息報送。應急處置過程中,地方工業和信息化主管部門和工業企業應及時報告事態發展變化情況和事件處置進展情況。三是必要時工業和信息化部將組織現場處置。必要時,工業和信息化部將派出工作組赴現場,指揮應急處置工作,并協調應急技術機構提供技術支援。四是應急結束后及時開展總結評估。《應急指南》要求,應急工作結束后,相關工業企業應做好事件分析總結工作,并按時上報。
(4)保障措施
《應急指南》要求,建立覆蓋工業和信息化部、地方工業和信息化主管部門、工業企業三個不同層次的預案體系,促進工控安全應急管理工作規范化、制度化;通過定期組織開展應急演練,提高應對工控安全事件的技術能力;通過建立國家工控安全應急專家組和地方工控安全應急專家組,支持工控安全應急技術機構、基礎平臺建設,提升應急處置基礎能力。
此外,《應急指南》還強調了國家重要活動、會議等重要敏感時期的應急管理要求,明確工業和信息化部做好應急指導,地方工業和信息化主管部門和工業企業加強風險監測、做好信息報送和應急值守等,確保重要敏感時期工業控制系統安全、平穩運行。
自動化博覽:《工業控制系統信息安全事件應急管理工作指南》于2017年5月31日正式印發,至今執行的情況如何?
李俊:《應急指南》印發后,地方工業和信息化主管部門、應急技術機構、工業企業紛紛組織宣傳學習、積極貫徹落實。一是,部分地方工業和信息化主管部門開展了工控安全應急管理工作文件的編寫和完善,積極推動落實工控安全聯絡員機制,上報工控安全應急工作聯絡員。二是,地方工業和信息化主管部門按照《應急指南》要求,積極組織開展本地區工控安全風險監測工作,通過風險監測,及時發現工控安全風險隱患,采取相應的預防措施。三是,工控安全應急技術機構積極開展工控安全風險監測,針對重要工控安全事件開展研判,發布威脅預警、提供事件處置援助等。四是,部分工業企業正逐步建立健全工控安全責任制,完善本單位工控安全應急管理工作,落實人財物保障,積極落實《應急指南》要求,做好工控安全應急工作。
自動化博覽:您認為《工業控制系統信息安全事件應急管理工作指南》在后續的貫徹執行工作中,會面臨哪些問題?如何解決?
李俊:《應急指南》發布后,地方工業和信息化主管部門、應急技術機構、工業企業都積極貫徹落實具體要求。但在后續的貫徹執行工作中,還可能會面臨宣傳不到位、理解不到位、人員不到位和能力不到位等多種情況。
一是,宣傳不到位。《應急指南》發布后,地方工業和信息化主管部門和工業企業都開展了認真的學習,但由于地方工業和信息化主管部門又分為省、區、縣、市等多個層級,不同層級的地方工業和信息化主管部門可能只是簡單轉發《應急指南》,宣傳還可能存在不到位的情況。二是,理解不到位。地方工業和信息化主管部門、應急技術機構和工業企業可能還存在對《應急指南》中的應急體制、機制、應急流程等認識不到位、理解不到位的地方。三是,人員不到位。地方工業和信息化主管部門和工業企業可能還存在應急管理人員、應急聯絡員不明確,人員不到位的情況。四是,能力不到位。地方工業、信息化主管部門和工業企業的威脅監測能力、應急處置水平參差不齊,還存在能力不到位的情況。
針對宣傳不到位和理解不到位,還需要地方工信主管部門、應急技術機構和工業企業高度重視,認真組織開展針對《應急指南》的宣傳,利用多種媒體、結合專家講座、技術普及等多種方式加強宣傳和解讀,確保《應急指南》深入人心。針對人員不到位的問題,需要地方工信主管部門和工業企業積極落實《應急指南》要求,盡快明確響應的應急工作人員。針對能力不到位,還需要地方工信主管部門和工業企業通過人才引進、外部合作等多種途徑提升工控安全信息監測和應急處置能力。
自動化博覽:《應急指南》要求,建立覆蓋工業和信息化部、地方工業和信息化主管部門、工業企業三個不同層次的預案體系,您認為這三個層次之間是什么樣的關系?各自的工作重點和難點在哪里?
李俊:工業和信息化部、地方工業和信息化主管部門、工業企業三個層次的預案體系各有側重、相輔相成、缺一不可,共同構成了工業信息安全應急預案體系這一有機整體。
工信部的重點是指導地方工業和信息化主管部門、應急技術機構、工業企業做好工控安全應急管理工作。難點是建立針對性強、快速有效的工控安全應急機制,做好工控安全事件的應急處置管理工作。
地方工信主管部門重點是指導本地區工控安全應急管理工作,難點是建立適合本地區的工控安全事件應急機制,組織做好本地區工控安全應急處置管理工作。
工業企業重點是做好本單位工控安全應急管理工作,落實人、財、物保障,難點是做好本單位工控安全監測、處置等工作。
自動化博覽:圍繞《工業控制系統信息安全事件應急管理工作指南》,接下來將開展哪些方面的工作?
李俊:圍繞《工業控制系統信息安全事件應急管理工作指南》,下一步將開展以下幾方面工作:一是,加大《應急指南》的宣貫力度,組織地方工信主管部門負責人員參加《應急指南》的宣貫培訓會,組織工控安全應急演練,加強對工控安全應急機制、流程的熟悉和了解,加強對工控安全應急管理工作的認識。二是,繼續推動工控安全應急機制的建立和完善。督促地方工業和信息化主管部門和工業企業制定相應的工控安全應急制度,推動落實工控安全聯絡員機制。三是,繼續完善工控安全事件通報制度。做好地方工信主管部門、重要行業和工業企業的工控安全事件通報工作。四是,建立國家工控安全應急專家組,為工控安全應急管理提供技術咨詢和決策支持。地方工業和信息化主管部門建立本地區工控安全應急專家組,充分發揮專家在應急管理工作中的作用。五是,組織開展工控安全應急演練。工信部9月中旬在河北省選擇了1家典型工業企業,組織制定工控安全事件應急演練方案,開展了現場應急演練,邀請了有關政府機構、科研院所、企業、行業專家參加,檢驗了《指南》的相關內容。
自動化博覽:《工業控制系統信息安全事件應急管理工作指南》和《工業控制系統信息安全防護指南》在內容或制定思路上是否有一定的聯系或延承?
李俊:《工業控制系統信息安全事件應急管理工作指南》和《工業控制系統信息安全防護指南》都是為了貫徹落實《國務院關于深化制造業與互聯網融合發展的指導意見》(國發〔2016〕28號),保障工業企業工業控制系統信息安全。在編制思路上都堅持“安全是發展的前提,發展是安全的保障”,從管理、技術兩方面明確工控安全相關要求。
從內容上看,《工業控制系統信息安全防護指南》第七條對安全監測和應急預案演練做出了明確要求。要求在工業控制網絡部署網絡安全監測設備,及時發現、報告并處理網絡攻擊或異常行為。制定工控安全事件應急響應預案,當遭受安全威脅導致工業控制系統出現異常或故障時,應立即采取緊急防護措施,防止事態擴大,并逐級報送直至屬地省級工業和信息化主管部門,同時注意保護現場,以便進行調查取證。定期對工業控制系統的應急響應預案進行演練,必要時對應急響應預案進行修訂。
依據《工業控制系統信息安全防護指南》第七條相關規定,《工業控制系統信息安全事件應急管理工作指南》進一步豐富完善了工控安全應急管理相關要求,對工控安全風險監測、信息報送與通報、應急處置、敏感時期應急管理等工作提出了一系列管理要求,明確了責任分工、工作流程和保障措施。
自動化博覽:《工業控制系統信息安全事件應急管理工作指南》之后,還會陸續發布哪些相關指南或法規?
李俊:《工業控制系統信息安全事件應急管理工作指南》之后,工信部于今年8月發布了《工業控制系統信息安全防護能力評估工作管理辦法》。下一步,還將根據工控安全工作需要,適時發布相應細則,逐步建立完善工控安全保障工作體系。
自動化博覽:《工業控制系統信息安全事件應急管理工作指南》的發布對工業控制系統信息安全市場將有哪些影響?
李俊:《工業控制系統信息安全事件應急管理工作指南》的第二十三條要求加強對工控安全事件應急裝備和工具的儲備,及時調整、升級軟硬件工具,建設完善工控安全事件應急技術服務平臺,不斷增強應急技術支撐能力。第二十四條要求各有關部門應積極利用現有政策和資金渠道,申請新增預算,支持工控安全應急技術機構建設、專家隊伍建設、基礎平臺建設、技術研發、應急演練、物資保障等,為工控安全應急管理工作提供必要的經費支持。這將在一定程度上提振市場對工控安全技術、產品和服務的需求,促進工控安全市場的發展。