解读《工业控制系统信息安全事件应急管理工作指南》
分类:工控动态 发表时间:2017-11-03李俊,博士,高级工程师。国家工业信息安全发展研究中心网络与信息安全研究部主任助理,工业信息安全感知与评估技术工信部重点实验室副主任。《工业控制系统信息安全防护指南》、《工业控制系统信息安全防护能力评估工作管理办法》的牵头编写者,多次担任工信部工控安全检查评估工作组负责人。
编者按:近年来,工控安全事件频频发生,工控安全漏洞数量持续增长,工业控制系统面临着日益严峻的安全形势。今年以来,Strust2远程代码执行漏洞、WannaCry恶意勒索软件等事件对我国部分重点行业工业生产系统造成了严重影响。为切实保障制造强国和网络强国建设,加强工业控制系统安全保障,迫切需要快速提升工控安全保障水平和事件应急处置能力,更好地支撑经济社会健康有序发展,维护国家安全。因此,2017年工信部发布《工业控制系统信息安全事件应急管理工作指南》,本期,记者特别采访了国家工业信息安全发展研究中心网络与信息安全研究部主任助理、工业信息安全感知与评估技术工信部重点实验室副主任李俊博士,请他详细解读《工业控制系统信息安全事件应急管理工作指南》。
自动化博览:出台《工业控制系统信息安全事件应急管理工作指南》的目的和意义是什么?
李俊:出台《工业控制系统信息安全事件应急管理工作指南》(以下简称“应急指南”)的目的和意义主要有三点:
一是有利于建立健全工控安全事件应急工作机制。依据《国家网络安全事件应急预案》制定《应急指南》,进一步完善工控安全事件应急制度,形成有效的工控安全应急工作机制,为工控安全事件应急管理与处置工作提供依据与方法。
二是有利于提升工控安全事件应急处置能力。《应急指南》明确了工控安全事件应急工作的组织机构和职责,确定了工控安全事件的监测通报、处置流程和具体措施,提出了应急队伍、专家组、物资和经费保障等应急力量和应急资源方面的要求,为应急处置工作提供行动指南。
三是有利于完善工控安全管理体系。《应急指南》的研究制定和宣贯落实,与工信部2016年印发的《工业控制系统信息安全防护指南》和2017年印发的《工业控制系统信息安全防护评估工作管理办法》共同构建了工控安全管理体系。文件中提出的安全要求和管理方法覆盖了工业控制系统规划、设计、建设、运行、维护等全生命周期,为加强工控安全管理奠定了坚实基础。
自动化博览:《工业控制系统信息安全事件应急管理工作指南》编制的原则是什么?
李俊:《应急指南》的编制主要有三大原则:
政府指导、企业主体。政府通过完善政策措施、加强监督管理,指导企业树立工控安全主体责任意识,督促企业将工控安全作为生产安全的重要组成部分,做好工控安全应急相关工作,加快提升工控安全事件应急能力。
预防为主、平战结合。按照系统化、科学化管理思想,加强工控安全监测与风险预判,及时掌握工控安全态势,畅通信息传输渠道,充分发挥各方力量,将预防与消减有机结合,积极做好工控安全事件的预防和消减工作。
快速反应、科学处置。建立感知快、研判快、处置快、消减快的工控安全快速反应体系,不断强化工控安全事件应急队伍的整体应急水平和快速反应能力,科学管理、指挥有力,妥善处置工控安全事件。
自动化博览:在编制《工业控制系统信息安全事件应急管理工作指南》的过程中,主要从哪些方面进行考虑?
李俊:《应急指南》的编制密切结合工控安全事件应急工作实际,以防范重大工控安全事件为重点,厘清工业和信息化部、地方工业和信息化主管部门、技术支撑队伍和企业职责,加强工控安全事件应急管理和组织协调,提升工控安全事件应急处置能力。
《应急指南》主要从工控安全风险监测、信息报送与通报、应急处置、敏感时期应急管理等工作提出了一系列管理要求,明确了责任分工、工作流程和保障措施。
(1)加强风险监测
风险监测是掌握工控安全事件、感知风险动向的基础性工作。《应急指南》要求国家工业信息安全发展研究中心等技术机构、地方工业和信息化主管部门和工业企业做好风险监测工作。其中,国家工业信息安全发展研究中心等技术机构负责组织开展全国工控安全风险监测、预警通报等工作,地方工业和信息化主管部门负责组织开展本地区工控安全风险监测工作,工业企业组织开展本单位工控安全风险监测工作。
(2)开展信息报送与通报
信息报送与通报是帮助工控安全应急相关部门及时了解风险及事件全貌的重要途径。《应急指南》明确指出,地方工业和信息化主管部门、工业企业在开展风险监测的同时,要及时将重要监测信息报国家工业信息安全发展研究中心。国家工业信息安全发展研究中心负责汇总、整理和研判,并将结果报工业和信息化部。针对影响范围大、危害程度深的风险信息,工业和信息化部及时向有关行业、地区、企业通报。此外,对于可能超出本地区应对能力范围的安全风险和事件信息,地方工业和信息化主管部门应及时向工业和信息化部报告。
(3)做好应急处置
工控安全事件应急处置是应急工作的重中之重,做好工控安全应急处置对于维护国家安全、社会秩序、经济建设和公众利益都具有举足轻重的意义。对于工控安全应急处置工作,《应急指南》明确了以下几方面要求:一是工业企业应积极开展先期处置。对于可能或已经发生工控安全事件时,工业企业应采取科学有效的方法及时施救,力争将损失降到最小,尽快恢复受损工业控制系统的正常运行。二是重点做好应急处置中的信息报送。应急处置过程中,地方工业和信息化主管部门和工业企业应及时报告事态发展变化情况和事件处置进展情况。三是必要时工业和信息化部将组织现场处置。必要时,工业和信息化部将派出工作组赴现场,指挥应急处置工作,并协调应急技术机构提供技术支援。四是应急结束后及时开展总结评估。《应急指南》要求,应急工作结束后,相关工业企业应做好事件分析总结工作,并按时上报。
(4)保障措施
《应急指南》要求,建立覆盖工业和信息化部、地方工业和信息化主管部门、工业企业三个不同层次的预案体系,促进工控安全应急管理工作规范化、制度化;通过定期组织开展应急演练,提高应对工控安全事件的技术能力;通过建立国家工控安全应急专家组和地方工控安全应急专家组,支持工控安全应急技术机构、基础平台建设,提升应急处置基础能力。
此外,《应急指南》还强调了国家重要活动、会议等重要敏感时期的应急管理要求,明确工业和信息化部做好应急指导,地方工业和信息化主管部门和工业企业加强风险监测、做好信息报送和应急值守等,确保重要敏感时期工业控制系统安全、平稳运行。
自动化博览:《工业控制系统信息安全事件应急管理工作指南》于2017年5月31日正式印发,至今执行的情况如何?
李俊:《应急指南》印发后,地方工业和信息化主管部门、应急技术机构、工业企业纷纷组织宣传学习、积极贯彻落实。一是,部分地方工业和信息化主管部门开展了工控安全应急管理工作文件的编写和完善,积极推动落实工控安全联络员机制,上报工控安全应急工作联络员。二是,地方工业和信息化主管部门按照《应急指南》要求,积极组织开展本地区工控安全风险监测工作,通过风险监测,及时发现工控安全风险隐患,采取相应的预防措施。三是,工控安全应急技术机构积极开展工控安全风险监测,针对重要工控安全事件开展研判,发布威胁预警、提供事件处置援助等。四是,部分工业企业正逐步建立健全工控安全责任制,完善本单位工控安全应急管理工作,落实人财物保障,积极落实《应急指南》要求,做好工控安全应急工作。
自动化博览:您认为《工业控制系统信息安全事件应急管理工作指南》在后续的贯彻执行工作中,会面临哪些问题?如何解决?
李俊:《应急指南》发布后,地方工业和信息化主管部门、应急技术机构、工业企业都积极贯彻落实具体要求。但在后续的贯彻执行工作中,还可能会面临宣传不到位、理解不到位、人员不到位和能力不到位等多种情况。
一是,宣传不到位。《应急指南》发布后,地方工业和信息化主管部门和工业企业都开展了认真的学习,但由于地方工业和信息化主管部门又分为省、区、县、市等多个层级,不同层级的地方工业和信息化主管部门可能只是简单转发《应急指南》,宣传还可能存在不到位的情况。二是,理解不到位。地方工业和信息化主管部门、应急技术机构和工业企业可能还存在对《应急指南》中的应急体制、机制、应急流程等认识不到位、理解不到位的地方。三是,人员不到位。地方工业和信息化主管部门和工业企业可能还存在应急管理人员、应急联络员不明确,人员不到位的情况。四是,能力不到位。地方工业、信息化主管部门和工业企业的威胁监测能力、应急处置水平参差不齐,还存在能力不到位的情况。
针对宣传不到位和理解不到位,还需要地方工信主管部门、应急技术机构和工业企业高度重视,认真组织开展针对《应急指南》的宣传,利用多种媒体、结合专家讲座、技术普及等多种方式加强宣传和解读,确保《应急指南》深入人心。针对人员不到位的问题,需要地方工信主管部门和工业企业积极落实《应急指南》要求,尽快明确响应的应急工作人员。针对能力不到位,还需要地方工信主管部门和工业企业通过人才引进、外部合作等多种途径提升工控安全信息监测和应急处置能力。
自动化博览:《应急指南》要求,建立覆盖工业和信息化部、地方工业和信息化主管部门、工业企业三个不同层次的预案体系,您认为这三个层次之间是什么样的关系?各自的工作重点和难点在哪里?
李俊:工业和信息化部、地方工业和信息化主管部门、工业企业三个层次的预案体系各有侧重、相辅相成、缺一不可,共同构成了工业信息安全应急预案体系这一有机整体。
工信部的重点是指导地方工业和信息化主管部门、应急技术机构、工业企业做好工控安全应急管理工作。难点是建立针对性强、快速有效的工控安全应急机制,做好工控安全事件的应急处置管理工作。
地方工信主管部门重点是指导本地区工控安全应急管理工作,难点是建立适合本地区的工控安全事件应急机制,组织做好本地区工控安全应急处置管理工作。
工业企业重点是做好本单位工控安全应急管理工作,落实人、财、物保障,难点是做好本单位工控安全监测、处置等工作。
自动化博览:围绕《工业控制系统信息安全事件应急管理工作指南》,接下来将开展哪些方面的工作?
李俊:围绕《工业控制系统信息安全事件应急管理工作指南》,下一步将开展以下几方面工作:一是,加大《应急指南》的宣贯力度,组织地方工信主管部门负责人员参加《应急指南》的宣贯培训会,组织工控安全应急演练,加强对工控安全应急机制、流程的熟悉和了解,加强对工控安全应急管理工作的认识。二是,继续推动工控安全应急机制的建立和完善。督促地方工业和信息化主管部门和工业企业制定相应的工控安全应急制度,推动落实工控安全联络员机制。三是,继续完善工控安全事件通报制度。做好地方工信主管部门、重要行业和工业企业的工控安全事件通报工作。四是,建立国家工控安全应急专家组,为工控安全应急管理提供技术咨询和决策支持。地方工业和信息化主管部门建立本地区工控安全应急专家组,充分发挥专家在应急管理工作中的作用。五是,组织开展工控安全应急演练。工信部9月中旬在河北省选择了1家典型工业企业,组织制定工控安全事件应急演练方案,开展了现场应急演练,邀请了有关政府机构、科研院所、企业、行业专家参加,检验了《指南》的相关内容。
自动化博览:《工业控制系统信息安全事件应急管理工作指南》和《工业控制系统信息安全防护指南》在内容或制定思路上是否有一定的联系或延承?
李俊:《工业控制系统信息安全事件应急管理工作指南》和《工业控制系统信息安全防护指南》都是为了贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),保障工业企业工业控制系统信息安全。在编制思路上都坚持“安全是发展的前提,发展是安全的保障”,从管理、技术两方面明确工控安全相关要求。
从内容上看,《工业控制系统信息安全防护指南》第七条对安全监测和应急预案演练做出了明确要求。要求在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。制定工控安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,应立即采取紧急防护措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证。定期对工业控制系统的应急响应预案进行演练,必要时对应急响应预案进行修订。
依据《工业控制系统信息安全防护指南》第七条相关规定,《工业控制系统信息安全事件应急管理工作指南》进一步丰富完善了工控安全应急管理相关要求,对工控安全风险监测、信息报送与通报、应急处置、敏感时期应急管理等工作提出了一系列管理要求,明确了责任分工、工作流程和保障措施。
自动化博览:《工业控制系统信息安全事件应急管理工作指南》之后,还会陆续发布哪些相关指南或法规?
李俊:《工业控制系统信息安全事件应急管理工作指南》之后,工信部于今年8月发布了《工业控制系统信息安全防护能力评估工作管理办法》。下一步,还将根据工控安全工作需要,适时发布相应细则,逐步建立完善工控安全保障工作体系。
自动化博览:《工业控制系统信息安全事件应急管理工作指南》的发布对工业控制系统信息安全市场将有哪些影响?
李俊:《工业控制系统信息安全事件应急管理工作指南》的第二十三条要求加强对工控安全事件应急装备和工具的储备,及时调整、升级软硬件工具,建设完善工控安全事件应急技术服务平台,不断增强应急技术支撑能力。第二十四条要求各有关部门应积极利用现有政策和资金渠道,申请新增预算,支持工控安全应急技术机构建设、专家队伍建设、基础平台建设、技术研发、应急演练、物资保障等,为工控安全应急管理工作提供必要的经费支持。这将在一定程度上提振市场对工控安全技术、产品和服务的需求,促进工控安全市场的发展。
摘自《工业控制系统信息安全》专刊第四辑