纵深防御信息安全

工业和信息化部近期在工业控制系统方面下发了两个通知：一是加强工业控制系统信息安全管理；二是开展重要工业控制系统调查工作。杨学山副部长在地方信息安全工作会议上多次强调加强工业控制系统信息安全管理工作的重要性和紧迫性，明确要求各地认真抓紧抓好。

江苏省根据工信部的相关文件精神，按照江苏经信委领导的有关要求，结合工作实际，就加强工业控制系统信息安全管理问题谈点看法。

（一）1、情况不明。绝大部分省市从事信息安全工作的管理人员，目前既不知道本地区工业控制系统的数量，也不清楚工业控制系统的类型，更不了解重要工业控制系统的运营单位和设备、组网情况以及重要程度。

2、 联系不紧。工业控制系统涉及各行各业，建设规模大小不一、技术水平参差不齐、经济效益差别不小，建设单位既有政府组成部门或国务院国有资产监督管理委员会等专设直属机构，又有企事业单位。投资主体不但有中国大陆的，又有外资及港澳台投资企业。以上建设单位或投资主体各自为政，与信息安全主管部门目前在工业控制系统规划、建设、运营等工作方面基本上没有什么联系。

3、 管理不顺。各级网络与信息安全协调小组是辖区内信息安全工作的主要协调机构，其具体办事的办公室设在当地经信部门。由于各级经信部门成立时间不长，工作头绪多、压力大，加上各地、各部门和各单位在工业控制系统建设上的经费投入、建设运维等方面的自主性，减弱了信息安全主管部门目前对工业控制系统信息安全管理的力度。

（二）1、开展调查。一是思想认识不到位，重视不够，存在该报的不报；二是工业控制系统应列为重要工业控制系统；三是具体办事人员对数据采集与监控系统、分布式控制系统和可编程控制器等工业控制系统的类型了解不多，理解不透，也较难于正常填写上报。

加强对重要工业控制系统运营单位和设备、组网情况以及事故可能导致后果等调查内容的整理汇总，统计出产品的品牌、系统国产化率等综合数据，并建立江苏重要工业控制系统数据库。

2、 管理试点。在对重要工业控制系统基本情况调查分析的基础上，开展信息安全管理试点工作，摸索行之有效的管理办法。

3、 安全检查。建立工业控制系统信息安全检查制度，定期开展信息安全检查活动。检查内容以工信部提出的连接、组网、配置、设备选择与升级、数据和应急六个管理项为准。

（三）1、制定审查规范，明确安全控制。应采用基于漏洞库的匹配技术、插件技术等进行漏洞扫描，开展信息安全风险评估，并采取纵深防御的安全策略。在此基础上，结合日常管理的内容、方法、程序等，制定工业控制系统信息安全管理审查规范，明确管理、技术和运行控制的目标。

2、 出台管理办法，实行备案制度。随着计算机和网络技术的快速发展，特别是近年来两化融合的深化和物联网的推进，工业控制系统的产品越来越多地采用通用协议、通用硬件和通用软件，并以各种方式与互联网等恶意代码威胁着工业控制系统。

3、强化基础研究，掌握关键技术。工业控制系统使用的计算机硬件和软件，有一部分是原装进口的。因此，应建立相应组织机构，设立专项资金，组建专门研发团队，突破关键技术，生产核心设备，提高国产化率，牢牢掌握信息安全管理工作的主动权，这才是解决工业控制系统信息安全管理问题的根本所在。

这些系统服务于江苏经济的发展以及社会的和谐，其信息安全事关工业生产运行、经济安全和人民生命安全。