序:
工业控制系统作为关键基础设施的重要组成部分,关乎企业安全、社会安全、经济安全乃至国家安全。随着制造强国建设稳步推进,制造业与互联网融合步伐不断加快,工业控制系统日趋数字化、网络化和智能化,在极大提高生产效率、提升创新能力、促进产业转型升级的同时,也面临着漏洞层出不穷、威胁加速渗透、攻击手段复杂多样等前所未有的信息安全挑战。自2010年“震网”事件爆发以来,德国钢铁厂遭受高级可持续性威胁(APT)攻击、乌克兰断电、美国网络瘫痪等事件屡屡发生,工业控制领域警钟长鸣。
党中央、国务院将工业控制系统信息安全(简称“工控安全”)作为网络空间安全的重要组成部分,给予高度重视,做出了一系列战略部署和政策指引。习近平总书记在党的十九大报告中全面系统深刻地论述了坚持总体国家安全观的重要思想,并在2018年4月20?21日召开的全国网络安全和信息化工作会议上更进一步强调指出,要“树立正确的网络安全观,加强信息基础设施网络安全防护”。《中华人民共和国网络安全法》对保障包括工业控制系统在内的关键信息基础设施安全做出明确规定。国务院先后颁布《中国制造2025》《关于深化制造业与互联网融合发展的指导意见》等指导性文件,围绕制造强国和网络强国建设战略目标,明确提出实施工业控制系统安全保障能力提升工程,为工控安全建设指明了方向。
当前,工控安全已成为实施制造强国和网络强国战略的重要保障,是维护我国工业安全、经济安全乃至国家安全的关键一环,具有重大的战略意义。为科学构建工控安全防护体系,工业和信息化部于2016年10月正式印发《工业控制系统信息安全防护指南》,这是近五年来我国在工控安全领域发布的首个标志性、权威性指导文件,明确了工业企业工控安全防护的基本要求。
为加快落实文件各项要求,助力工控安全防护取得实效,国家工业信息安全发展研究中心组织编写了《工业控制系统信息安全防护指引》一书。该书是我国第一本较为全面地介绍工控安全形势、政策、防护技术与实践的综合性普及读本,在深入研究和系统分析的基础上,重点基于《工业控制系统信息安全防护指南》要求,从安全管理、运行维护、技术操作等多维度,系统地提出了具体可行的防护策略、实施建议和解决方案,为工业企业开展工控安全防护工作提供了有益的技术指导。
在《工业控制系统信息安全防护指引》付梓出版之际,仅以此序表示祝贺。在此,我衷心希望此书能为提升企业工控安全防护水平、推动全社会工控安全意识普及、提升国家工控安全综合保障能力发挥积极作用。
前言:
工业控制系统广泛运用于工业、能源、交通、水利以及市政民生等领域,对生产设备的正常运行发挥着至关重要的作用。随着我国信息化和工业化深入融合,以及物联网、云计算和大数据等新一代信息技术的飞速发展,工业控制系统逐步走向开放、互联、通用,产品越来越多地采用通用协议、通用硬件和通用软件,与企业网甚至互联网的一体化融合程度不断加深,传统的信息安全威胁不可避免地扩散到工业控制领域,工业控制系统信息安全面临着日益严峻的挑战,成为国家网络空间安全的重要组成部分。近年来,国内外发生的多起工控安全事件充分表明,工业控制系统越来越成为国家间网络对抗的领域和有组织黑客攻击的重要目标。工业控制系统外部安全威胁和自身存在的安全漏洞,客观上要求我们必须高度重视工业控制系统信息安全问题,在积极推进两化深度融合的同时,下大力做好工控安全建设。
党中央、国务院高度重视工控安全建设,《国家网络空间战略》、《国家网络安全法》高度概括了工业信息安全对于保障关键国家信息基础设施正常运行、社会稳定和国家安全的重大意义,提出了指导原则。国务院先后发布《中国制造2025》、《国务院关于深化制造业与互联网融合发展的指导意见》等重要文件,对加强工控安全保障工作做出具体部署。
2016年10月,工业和信息化部为了贯彻落实党中央、国务院有关文件精神,提升工业控制系统信息安全防护水平,保障工业控制系统安全,在深入调查研究、广泛征求意见的基础上,发布了《工业控制系统信息安全防护指南》,分别从管理、技术角度系统地提出了十一个方面的安全防护工作要求,并在全国范围内大力开展宣贯培训工作,取得积极成果,获得热烈反响。
为帮助全国各地方工信主管部门及工业企业更好地贯彻落实《工业控制系统信息安全防护指南》(简称《防护指南》),提高广大从业人员工控安全防护意识和能力,在工业和信息化部指导下,我们编写了《工业控制系统信息安全防护指引》作为与《防护指南》相配套的技术读本。全书分为四个章节,第一章深刻阐述了工业信息安全的重大意义;第二章详细介绍了我国关于工业信息安全的指导原则、方针政策和工作部署,特别强调了工业企业在工控安全防护中的主体责任;第三章有针对性地普及了工控安全相关基础知识,对概念、知识点、通用防护措施以及技术手段作了通俗解释;第四章围绕《指南》所涉及的十一项防护要求,结合工控安全领域目前的主要做法,提出了可供工业企业参考的防护策略、实施建议和解决方案。
本书适用于面向地方、行业及企业开展工控安全防护技术培训,也适用于工业企业管理人员、技术人员以及高校、研究机构相关人员学习参考。
为适应工业领域新技术高速发展和工控安全形势的不断变化,本书的内容将适时更新和完善,恳请广大读者提出宝贵意见。