[獨(dú)家]水泥企業(yè)要切實(shí)重視工業(yè)控制系統(tǒng)信息安全防護(hù)

  近日，工信部下發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（工信部信軟〔2016〕338號(hào)），在下發(fā)的《指南》通知中指出，保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全制定《指南》。并要求地方工信主管部門推動(dòng)企業(yè)分期分批達(dá)到指南相關(guān)要求。

  工業(yè)控制系統(tǒng)信息安全是國家網(wǎng)絡(luò)和信息安全的重要組成部分，是推動(dòng)中國制造2025、制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的基礎(chǔ)保障。工控安全事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國家安全。近年來，隨著信息化和工業(yè)化融合的不斷深入，工業(yè)控制系統(tǒng)從單機(jī)走向互聯(lián)，從封閉走向開放，從自動(dòng)化走向智能化。在生產(chǎn)力顯著提高的同時(shí)，工業(yè)控制系統(tǒng)面臨著日益嚴(yán)峻的信息安全威脅?！吨改稀窂墓芾怼⒓夹g(shù)兩方面明確工業(yè)企業(yè)工控安全防護(hù)要求。

  《指南》充分考慮到當(dāng)前工控安全防護(hù)意識(shí)不到位、管理責(zé)任不明晰、訪問控制策略不完善等問題，明確工業(yè)控制系統(tǒng)應(yīng)用企業(yè)應(yīng)從十一個(gè)方面做好工控安全防護(hù)工作。一、安全軟件選擇與管理；二、配置和補(bǔ)丁管理；三、邊界安全防護(hù)；四、物理和環(huán)境安全防護(hù)；五、身份認(rèn)證；六、遠(yuǎn)程訪問安全；七、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練；八、資產(chǎn)安全；九、數(shù)據(jù)安全；十、供應(yīng)鏈管理；十一、落實(shí)責(zé)任。這十一個(gè)方面內(nèi)容涵蓋工業(yè)控制系統(tǒng)設(shè)計(jì)、選型、建設(shè)、測(cè)試、運(yùn)行、檢修、廢棄各階段防護(hù)工作要求，從安全軟件選型、訪問控制策略構(gòu)建、數(shù)據(jù)安全保護(hù)、資產(chǎn)配置管理等方面提出了具體實(shí)施細(xì)則。應(yīng)該說，《指南》所提的細(xì)則真細(xì)到家了。

  落實(shí)責(zé)任雖在《指南》中放在了第十一位，但確保工控安全的主體責(zé)任是在企業(yè)自己，是自己首先要做的事。企業(yè)要推進(jìn)工控安全工作，就要先明確工控安全管理責(zé)任人，之后逐項(xiàng)落實(shí)工控安全責(zé)任制。成立由企業(yè)負(fù)責(zé)人牽頭的，由信息化、生產(chǎn)管理、設(shè)備管理等相關(guān)部門組成的工業(yè)控制系統(tǒng)信息安全協(xié)調(diào)小組，建立健全工控安全管理機(jī)制，負(fù)責(zé)工業(yè)控制系統(tǒng)全生命周期的安全防護(hù)體系建設(shè)和管理，制定工業(yè)控制系統(tǒng)安全管理制度，部署工控安全防護(hù)措施，將主體責(zé)任逐級(jí)分解和落實(shí)到位。

  水泥工業(yè)控制系統(tǒng)也正處在從單機(jī)走向互聯(lián)，從封閉走向開放，從自動(dòng)化走向智能化的階段。當(dāng)前也存在安全防護(hù)意識(shí)不到位、管理責(zé)任不明晰、訪問控制策略不完善的在工業(yè)領(lǐng)域普遍存在的的問題。工業(yè)控制系統(tǒng)被黑客或有不當(dāng)企圖人侵入或遭惡意破壞，或由于管理松弛系統(tǒng)不經(jīng)意中毒等都存在著可能性，加上現(xiàn)發(fā)展到生產(chǎn)規(guī)模超大，一旦由于工控不安全引發(fā)生產(chǎn)事故，其造成的后果和損失遠(yuǎn)比人工傳統(tǒng)方式控制時(shí)要嚴(yán)重得多。從上一世紀(jì)八十年代，電腦開始使用時(shí)，計(jì)算機(jī)病毒就一直“伴”著，總有人動(dòng)歪腦筋使壞，“威脅”始終存在。同樣，在工控系統(tǒng)安全上，從來就沒有，也不會(huì)有所謂可以高枕無憂之說，隨時(shí)隨刻，都要保持高度警覺。工信部在解讀《指南》時(shí)，把工控安全提高到事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國家安全的高度是完全正確的。

  水泥企業(yè)應(yīng)在地方工信主管部門指導(dǎo)下，開展和完善企業(yè)工控安全防護(hù)工作，改善自身安全防護(hù)能力。