众志成城 共筑工业信息系统安全

　　——中国工业信息系统安全联盟理事会扩大会议成功召开

　　工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）成立于1990年，是直属于工业和信息化部的一类科研事业单位，是中国电子信息产业发展研究院（赛迪集团）的核心成员单位，首家通过中国国家实验室认可委员会认可和计量认证的测评机构。近30年来，共承担了10万余款软硬件产品和1万余项信息系统工程的测试任务，测试业务覆盖金融、电信、能源、制造、交通、工商等众多行业领域，业务网络覆盖全国500多个大中型城市，所出具的测试报告在61个国家和地区实现互认。

　　中国软件评测中心先后申请了30余个国家科研项目，先后建立了包括国家云计算公共技术服务平台、国家物联网公共技术服务平台等在内的6个国家级技术平台，开发了具有自主知识产权的30余种专业测试工具。

　　中国软件评测中心以面向两化融合的安全可靠性保障为目标，在工业控制系统安全可靠测评验证方向进行深入研究和实践，搭建了工业控制系统安全可靠测试床，并获得工业和信息化部、国家发展和改革委员会、科学技术部等相关部委的认可，已获批工业控制系统安全可靠测评共性技术工业和信息化部重点实验室、国家级机器人检测与评定中心、信息物理系统测评北京市工程实验室、工业产品质量控制和技术评价实验室、北京市电子系统可靠性测评工程技术研究中心。现拥有涵盖计算机、控制工程、机械、软件、通信等多学科交叉的科研队伍近百名，其中博士30余人。

　　中国软件评测中心是首支支撑工业和信息化部开展工控系统安全检查的机构，已开展钢铁、化工、供水、有色、飞机制造等相关领域的工控系统安全检查工作；是第二届世界互联网大会独家工控系统安全专项检查机构，获得省领导批示及肯定；作为G20峰会网络安全保卫组专家组成员和技术支撑单位，圆满完成重点行业企业工控系统抽查、值守和驻点工作。

　　中国软件评测中心连续2年承担水、电、汽、热、交通、地铁、北汽、中石化、中石油、金隅、首农、同仁堂等20家北京市重点行业企业工控系统安全专项检查和工控系统安全培训工作。

　　依托已形成的检测能力，中国软件评测中心承担了大量工业控制系统测评项目，其中科技项目30余项，市场项目300余项，方向涉及离散型和流程型行业智能制造、重大装备、汽车电子、民爆、云制造、石油化工、轨道交通、电力电网等领域。

　　在科技项目方面，中国软件评测中心承担可编程逻辑控制器（PLC）安全仿真测试平台、面向工业控制系统安全可靠公共技术服务平台、工业控制系统深度安全检测与监测平台、典型工业控制系统信息安全测试评估平台、集散控制系统（DCS）信息安全风险检测评估和防护研究与标准制定等项目建设工作。在市场项目方面，中国软件评测中心承担过7·23甬温线事故调查、中国石油油气管道SCADA系统软件国产化研发与工业试验第三方评测、中石化油气调度国产化SCADA系统选型测试、杭州地铁中控轨道交通综合监控系统测评、国家电网电力调度SCADA系统D5000测评、冀北电力间歇式能源协调优化调度系统测评等项目。

　　近日，由中国电子信息产业发展研究院牵头的中国工业信息系统安全联盟理事会扩大会议在新世纪日航酒店召开。联盟内的研究所、高校、工控安全厂商、设计院等50多家机构代表出席。与会代表深入交流了当前工业信息系统在信息安全政策法规、标准体系、安全通报、自主可控、信息安全检查和风险评估、安全保障示范试点、攻防测试平台、安全集成服务等多方面的最新研究进展，探讨了工业信息系统安全的关键需求及应对策略。会议由工业和信息化部软件与集成电路促进中心软件处副处长魏威主持。

　　确保工业信息系统安全

　　中国电子信息产业发展研究院网络空间研究所所长刘权在会议致辞中表示，2016年5月20日，国务院发布《国务院关于深化制造业与互联网融合发展的指导意见》国发〔2016〕28号文，明确把提高工业信息系统安全水平作为一项主要任务，提出实施工业控制系统安全保障能力提升工程，制定完善工业信息安全管理等政策法规，健全工业信息安全标准体系，建立工业控制系统安全风险信息采集汇总和分析通报机制，组织开展重点行业工业控制系统信息安全检查和风险评估；组织开展工业企业信息安全保障试点示范，支持系统仿真测试、评估验证等关键共性技术平台建设，推动访问控制、追踪溯源、商业信息及隐私保护等核心技术产品产业化。

　　本次联盟理事会扩大会议邀请了多位行业专家，共同探讨如何落实国发〔2016〕28号文的文件精神，研究围绕工业信息系统的信息安全政策法规、标准体系制定，风险信息采集汇总和分析通报机制建立，重点行业工业信息系统安全检查和风险评估工作开展，仿真测试、评估验证等关键共性技术平台建设等方面开展工作，以切实加强我国工业信息系统的安全保障。

　　赛迪智库、工业和信息化部软件与集成电路促进中心、中国软件评测中心重点分析了当前我国工业信息系统面临的信息安全形势与存在的主要问题，分享了在工控安全政策、标准研究，信息报送通告、系统仿真测试、评估验证等关键共性技术平台建设，信息安全检查与风险评估，安全可靠测试评估等方面开展的工作，提出了加强我国工业信息系统安全的对策建议。

　　企业积极响应

　　中国电子科技网络信息安全有限公司、中国电子信息产业集团有限公司第六研究所、机械工业仪器仪表综合技术经济研究所、公安部三所等成员单位重点分享了目前国内工业控制系统信息安全标准在编制和发布方面存在的问题，以及工控领域安全产品检测面临的挑战。

　　北京理工大学、北京航空航天大学、中国科学院沈阳自动化研究所、解放军信息工程大学等高校和科研院所代表分享了在工控安全学科建设、人才培养、技术研究、产品研发等方面开展的具体工作。

　　北京和利时集团、中油龙慧自动化工程有限公司、北京科东电力控制系统有限责任公司、北京华热科技发展有限公司等工控厂商分析了目前国内各行业的工业控制系统面临的信息安全形势、存在的信息安全问题，以及在推进工控安全保障工作方面遇到的挑战，还分享了各自在工控安全标准编制、工控系统安全保障等方面开展的工作。

　　安天科技股份有限公司、北京知道创宇信息技术有限公司、东软集团股份有限公司、北京神州绿盟信息安全科技股份有限公司、北京安点科技有限责任公司、北京威努特技术有限公司、青岛海天炜业过程控制技术股份有限公司等信息安全厂商结合自身工业控制系统信息安全研究的实际情况，着重分析了工业控制系统信息安全事件的演化趋势，阐述了行业客户的实际需求，并提出了各自在工控安全方面的解决方案。

　　广西电网公司电力科学研究院等成员单位作为用户代表分析了自身在工业信息系统安全防护方面的问题和需求，强调随着电力输送和信息输送的双头并进，原本隔离的内部网络与互联网的接口越来越多，面临的信息安全风险急剧增加，希望能与联盟成员单位开展合作，共同保障我国电网安全。

　　河南信息安全研究院有限公司、湖南南方城墙信息安全科技股份有限公司、华信邮电咨询设计研究院有限公司、湖南南方城墙信息安全科技股份有限公司、北京锦龙信安科技有限公司（威客安全）、江苏先安科技有限公司、北京赛虎网络空间安全技术发展有限公司、北京卓越蓝军信息安全技术发展有限公司、恒安嘉新（北京）科技有限公司、上海嘉韦思信息技术有限公司、北京安证通信息科技股份有限公司等成员单位代表也根据自己的技术和发展情况发表了相关意见。

　　共同推进工控安全落地

　　中国软件评测中心主任助理周峰表示，本次联盟理事会扩大会议从工业信息系统安全政策法规、标准体系、安全通报、自主可控、信息安全检查和风险评估、安全保障等多方面进行了深入交流，梳理了联盟成员单位在工控安全领域的工作开展情况、存在的问题，以及工业信息系统安全解决方案等应对策略，对于联盟成员单位把握工业信息安全形势、研究工业信息安全策略、应对工控信息安全事件具有重要的指导意义，希望联盟能够承担起信息传递和共享、标准规划应用推广、安全测评保障等责任。周峰还从政府、市场、联盟服务三个方面规划了联盟的下一步工作，一是建立信息互通平台；二是建立联盟工作组和工作委员会；三是组织开展企业调研，形成用户需求文件，并在规划设计、系统集成、安全攻防、安全检测等方面开展项目跟踪和联合实施。最后，周峰还宣布将在今年11月份召开联盟大会，并将于2017年3月中旬举行工控安全攻防大赛。

　　■本报记者 赵明