工业控制系统作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。2016年,工业和信息化部出台《信息安全防护指南》,对有效指导工业企业开展工控安全防护工作发挥了积极作用。2017年以来,我国相继颁布了《网络安全法》《数据安全法》《密码法》等法律法规及行业应用方面的部门规章,现有政策文件未能充分衔接相关法律法规要求。与此同时,工业企业数字化转型步伐加快,工业控制系统开放互联趋势明显,工业企业面临的网络安全风险与日俱增,工业企业加强网络安全防护需求迫切。
为做好《网络安全防护指南》编制工作,工业和信息化部结合新形势新要求,系统全面调研,深入分析新时期工控安全风险和企业安全防护需求,广泛征集地方工信主管部门、行业协会、部属单位、工控厂商、工业企业、安全企业、专家学者等各方意见。《网络安全防护指南》将有效满足当前和未来一个时期工控系统安全防护需求,指导工业企业切实提升工业控制系统网络安全基线防护水平,推动企业数字化转型发展。
二、和《信息安全防护指南》相比,适用范围有哪些差异?
《信息安全防护指南》适用于工业控制系统应用企业以及从事工业控制系统规划、设计、建设、运维、评估的企事业单位。
《网络安全防护指南》则指出该指南适用于使用、运营工业控制系统的企业。防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统,适用对象更加明确。
《信息安全防护指南》通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施。
《网络安全防护指南》则明确了工业企业承担本企业工控安全主体责任,按照“谁运营谁负责、谁主管谁负责”的原则落实工控安全保护责任。强化企业资源保障力度,确保安全防护措施与工业控制系统同步规划、同步建设、同步使用。
四、和《信息安全防护指南》相比,防护要求有哪些差异?
架构与边界安全:对工业控制网络实施分区分域管理,对无线接入设备、远程访问设备实施严格访问控制。
上云安全:利用身份鉴别、安全通信等技术做好云平台防护,上云设备实施严格标识管理,确保不同业务系统安全隔离。
应用安全:对关键应用服务实施严格访问控制,企业自行或委托第三方机构对自主研发软件开展安全性测试。
系统数据安全:开展数据分类分级,建立重要数据和核心数据目录,围绕数据全生命周期实施安全防护需向境外提供数据时,依法依规进行数据出境评估。
监测预警:部署监测审计相关设备或平台,及时发现和预警安全风险。采用蜜罐等威胁诱捕技术提升主动防御能力。
运营中心:有条件的企业可建立网络安全运营中心,提升风险隐患集中排查和事件快速响应能力。
应急处置:制定应急预案,定期开展应急演练,备份日志数据并确保留存时间不少于六个月,便于开展事后溯源取证,对重要系统应用和数据定期开展备份恢复测试。
安全评估:开展新建系统、升级系统风险评估,重要工控系统每年至少开展一次防护能力相关评估。
漏洞管理:及时进行漏洞修补和安全加固,开展重要工控系统漏洞排查与补丁升级。
工业控制系统是工业生产运行的基础核心。为适应新时期工业控制系统网络安全(以下简称工控安全)形势,进一步指导企业提升工控安全防护水平,夯实新型工业化发展安全根基,制定本指南。