工控信息安全范畴内的“关键信息基础设施”

自2017年6月1日起施行的《中华人民共和国网络安全法》中，第一次以法律条文形式界定了“关键信息基础设施”的范畴，这是中国建立严格的网络治理指导方针的一个重要里程碑。

因工业控制系统有着自身的技术特征和安全处理需求，因此有必要对关键信息基础设施领域里具有工控信息安全需求的范围进行梳理。

我们先看下《网络安全法》中对于关键信息基础设施的描述。

《网络安全法》第三十一条指出：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

国家互联网信息办公室在2017年7月10日发布的《关键信息基础设施安全保护条例（征求意见稿）》中，对于关键信息基础设施的概念和范畴进行了全面细致的总结。

《意见稿》的第十八条中有着这样的表述：下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：

（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

（四）广播电台、电视台、通讯社等新闻单位；

（五）其他重点单位。

基于上述两个网络信息安全领域的重要文件，我们就可以分析得出工控信息安全范畴内的“关键信息基础设施”，即那些采用了工业控制系统实现自动控制和运行的基础设施。

1、能源电力

毫无疑问，石油、水电、火电、核电、天然气、风能等领域，均使用了大量的工业自动化控制系统，这些系统一旦遭受到攻击而产生事故，后果不堪相信。

2、交通设施

轨道交通有信号控制系统和陆路的高速、隧道、桥梁等，也大量部署着工业控制系统。

3、水利设施

桥梁、涵洞、堤坝、水厂、污水处理。

4、化工、大型装备、食品药品、消费电子等大型工厂

凡是大型工厂，均承担着某领域供应链不可或缺的环节，其生产必须保持安全稳定。

5、国防军工

这是一个特殊的领域，也是工控系统安全最不能缺失的领域。

综上，这些具备工控信息安全独特需求的关键基础设施，将给予目前工控信息安全领域防护的企业带来广阔的市场空间，而我们需要提前准备的是，要仔细研究每一个领域的需求特征和行业特点，提供有针对性的安全防护解决方案，这样才能够在竞争中先人一步。

同时，上述领域对于工控信息安全培训的需求已经开始显现，一大批在相关岗位的一线员工急需受到安全知识的培训和安全意识的培养。

因此，《意见稿》中“第二十六条”明确指出，运营者（关键信息基础设施）网络安全关键岗位专业技术人员实行执证上岗制度，执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。

以上是政委粗浅地思考，还希望行业的专家和朋友们给予补充，让我们共同进步。