破解工控安全防护问题 工信部提出行业性规范指导

　　“互联网 ”行动计划旨在推动生产制造模式的变革，产业的组织创新以及产业结构升级。传统产业在得到信息技术的融合和渗透后，取得巨大提升的同时，工业控制系统的网络安全也已成为业内热议的问题。

　　10月17日，工业和信息化部发布《通知》表示，为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号），保障工业企业工业控制系统信息安全，制定《工业控制系统信息安全防护指南》（简称《指南》），印发至地方工业和信息化主管部门。而地方工业和信息化主管部门根据工业和信息化部统筹安排，指导本行政区域内的工业企业制定工控安全防护实施方案，推动企业分期分批达到本指南相关要求。

　　破解工控安全防护问题 工信部提出行业性规范指导

　　11月3日，工信部正式在网站上发布了《指南》全文。作为工控安全领域首个重要标志性文件，《指南》对工业控制系统的系统边界等安全提出行业性规范指导，从安全软件、补丁管理、边界安全、物理环境安全、身份认证等11个方面对工业控制系统应用企业以及从事工业控制系统规划、设计、建设、运维、评估的企事业单位提出规范性指导。

　　在网络互连的大背景下，工业控制系统的互连已经成为不可避免的趋势。互连一方面可以提高生产力，提升创新能力，减少工业能源及资源消耗，助力产业模式转型升级，另一方面也会因为互联而诱发一系列网络安全问题，工业控制系统一直面临着来自内部和外部的各种恶意病毒的攻击。因而，工业控制系统当前遭受的网络攻击已上升至国家安全挑战之一。

　　目前，工业控制系统的通用化、网络化、智能化，信息安全防护形势日渐严峻：从2010-2016年国外的热点工控事件来看，一旦系统的信息安全出现漏洞，将对工业生产运营和国家经济安全造成重大的隐患，典型的如2010年伊朗的“震网”事件，2015年乌克兰的电力受BlackEnergy恶意软件攻击事件。

　　在我国，工业和信息化部电子科学技术情报研究所从2012年开始，持续跟踪、监测工业控制系统的网络安全风险，也发现了大量的工业控制系统网络安全风险漏洞，并且向主管部门通报了多个地区的多起关键基础设施高危网络安全风险，涉及的行业包括能源、市政供水、供气和供热等。

　　资料显示，黑客远程利用的漏洞达87%。从漏洞的类型来看，身份验证的漏洞数量最多，只要具有初步水平的网络攻击者就可以通过互联网来获得访问工业控制系统设备和系统的一些管理员权限，并且这些漏洞的潜在威胁正在不断加大。

　　对此，业内普遍认为《指南》的推出，是对原有纲领性文件的延伸和细化，具备极强的 *** 作性，将会促使相关系统应用企业和实施商，加大在工业控制系统安全防护的资源投入、产品研发、安全防护服务开发等。