您所在的位置:首页 > 资讯博览 » 仪控视点 »  仪控君解析《工业控制系统信息安全防护指南》

仪控君解析《工业控制系统信息安全防护指南》

  有209人浏览   日期:2016-12-23

工业控制系统信息安全是国家网络和信息安全的重要组成部分。近年来,随着信息化和工业化融合的不断深入,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化。在生产力显著提高的同时,工业控制系统面临着日益严峻的信息安全威胁。工信部根据《十三五规划纲要》、《中国制造2025》和《意见》等要求编制的《工业和信息化部关于印发信息化和工业化融合发展规划(2016-2020年)》中进一步明确,在十三五期间,我国两化融合面临的机遇和挑战第四条就是“工业领域信息安全形势日益严峻,对两化融合发展提出新要求”,其“七大任务”中也提到要“逐步完善工业信息安全保障体系”,“六大重点工程”中之一就是“工业信息安全保障工程”。

近日,工业和信息化部印发《工业控制系统信息安全防护指南》,涵盖工业控制系统设计、选型、建设、测试、运行、检修、废弃各阶段防护工作要求,坚持企业的主体责任及政府的监管、服务职责,聚焦系统防护、安全管理等安全保障重点,提出了11项防护要求。工业和信息化部信息化和软件服务业司对此文件作出了具体解读。我们从《指南》要求的主体、客体和方法将十一条分为三大类:

第一大类:针对主体目标(法人或人)的要求,包含第十条供应链管理、第十一条人员责任:

文件要求在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。对此的解读:工业企业在选择工业控制系统规划、设计、建设、运维或评估服务商时,应优先考虑有工控安全防护经验的服务商,并核查其提供的工控安全合同、案例、验收报告等证明材料。在合同中应以明文条款的方式约定服务商在服务过程中应当承担的信息安全责任和义务。

文件要求以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。对此的解读:工业企业应与服务商签订保密协议,协议中应约定保密内容、保密时限、违约责任等内容。防范工艺参数、配置文件、设备运行数据、生产数据、控制指令等敏感信息外泄。

文件要求通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施。对此的解读:设立工业控制系统安全管理工作的职能部门,负责工业控制系统全生命周期的安全防护体系建设和管理,明确安全管理机构的工作范围、责任及工作人员的职责,制定工业控制系统安全管理方针,持续实施和改进工业控制系统的安全防护能力,不断提升工业控制系统防攻击和抗干扰的水平。

第二大类:针对客体目标(被保护的资产或数据)的安全要求,包含第八条资产安全、第九条数据安全

文件要求建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置原则。对此的解读:为实现和保持对组织机构资产的适当保护,确保所有资产可查,应建设工业控制系统资产清单,并明确资产使用及处置原则,配置资产清单,定期更新清单库,并对资产进行分类。所有资产应指定责任人,并且明确责任人的职责,明确资产使用权。制定资产在生产、调试、运行、维护、报废等过程中的处置原则。

文件要求对关键主机设备、网络设备、控制组件等进行冗余配置。对此的解读:在系统运行过程中,可能出现的宕机、中断、死机、病毒攻击、自然灾害等资产被侵害的事件发生,导致系统无法正常工作,给企业和社会带来损失,甚至威胁到员工生命和财产安全。对关键主机设备、网络设备、控制组件等进行冗余配置,防止重大安全事件的发生。

文件要求对静态存储和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。对此的解读:工业企业应对静态存储的重要工业数据进行加密存储,设置访问控制功能,对动态传输的重要工业数据进行加密传输,使用VPN等方式进行隔离保护,并根据风险评估结果,建立和完善数据信息的分级分类管理制度。

文件要求定期备份关键业务数据、对测试数据进行保护。对此的解读:为保证系统在灾难发生时,数据能够尽量还原真实数据,应对历史数据库服务器、实时数据服务器、先进控制系统、优化控制系统等重要系统设备进行硬件冗余,启用实时数据备份功能,保证当主设备出现故障时冗余设备可以无扰动的切换并恢复数据,对于关键的业务数据,应定期进行软备份。测试数据一般来源于真实的现场设备实时数据,有必要对测试数据进行安全防护,防止发生数据泄露、篡改、破坏,保护企业资产。

第三大类:针对保护方法措施的要求,根据工业控制网络由内而外的结构包括:终端(第一条软件选择与管理、第四条物理环境安全);配置(第二条配置安全);网络(第五条身份认证、第三条边界防护、第六条远程安全);例外(第七条监测应急)。

文件要求在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。对此的解读:工业控制系统对系统可用性、实时性要求较高,工业主机如MES服务器、OPC服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在离线环境中进行测试与验证,其中,离线环境指的是与生产环境物理隔离的环境。验证和测试内容包括安全软件的功能性、兼容性及安全性等。

文件要求通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。对此的解读:工业控制网络边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。工业企业应根据实际情况,在不同网络边界之间部署边界安全防护设备,实现安全访问控制,阻断非法网络访问,严格禁止没有防护的工业控制网络与互联网连接。

文件要求原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。对此的解读:工业控制系统面向互联网开通HTTP、FTP、Telnet等网络服务,易导致工业控制系统被入侵、攻击、利用,工业企业应原则上禁止工业控制系统开通高风险通用网络服务。

文件要求在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。对此的解读:工业企业应在工业控制网络部署可对网络攻击和异常行为进行识别、报警、记录的网络安全监测设备,及时发现、报告并处理包括病毒木马、端口扫描、暴力破解、异常流量、异常指令、工业控制系统协议包伪造等网络攻击或异常行为。

据悉,工信部将面向地方与企业开展《指南》宣贯,指导工业企业进一步优化工控安全管理与技术防护手段,并开展工控安全防护应用试点:

一是面向地方工业和信息化主管部门、中央企业等开展《指南》宣贯,依据《指南》要求组织培训,指导工业企业进一步优化工控安全管理与技术防护手段。

二是选择工业聚集发展城市及地区,设立工控安全防护试点区,组织区内工业企业开展工控安全防护应用试点,遴选优秀试点企业分享工控安全防护经验,总结提炼工业控制系统防护示范案例。

三是将《指南》要求纳入年度工业行业网络安全检查项目,强化责任落实到位,管理、技术落实到位。通过自查、抽查、深度检查等方式促进工业企业深入贯彻并落实《指南》。

地方工信主管部门负责对本地区内的工控安全防护工作进行监督管理,并配合工业和信息化部做好工控安全相关工作。工业企业应按照《指南》各项要求,开展和完善工控安全防护工作,改善自身安全防护能力的同时,为全面提升我国工业信息安全防护水平提供支撑。

免责声明:
本网站部分内容来源于企业、合作媒体、网友提供和互联网的公开资料等,仅供参考。本网站对站内所有资讯的内容、观点保持中立,不对内容的准确性、可靠性或完整性提供任何明示或暗示的保证。如果有侵权等问题,请及时联系我们,我们将在收到通知后第一时间妥善处理该部分内容。

微信

关注仪控工程网官方微信账号:“bogongwang”,每日获得互联网最前沿资讯,热点产品深度分析!

关闭广告

关闭广告

二维码
意见反馈