工信部印發(fā)《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護指南》
工信部近日印發(fā)《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護指南》(以下簡稱《防護指南》)?!斗雷o指南》定位于面向工業(yè)企業(yè)做好網(wǎng)絡(luò)安全防護的指導(dǎo)性文件,堅持統(tǒng)籌發(fā)展和安全,圍繞安全管理、技術(shù)防護、安全運營和責(zé)任落實4個方面,提出33項指導(dǎo)性安全防護基線要求,推動解決走好新型工業(yè)化道路過程中工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全面臨的突出問題,適用于使用、運營工業(yè)控制系統(tǒng)的企業(yè)。
工業(yè)控制系統(tǒng)作為工業(yè)生產(chǎn)運行的基礎(chǔ)核心,其網(wǎng)絡(luò)安全事關(guān)企業(yè)運營和生產(chǎn)安全、事關(guān)產(chǎn)業(yè)鏈供應(yīng)鏈安全穩(wěn)定、事關(guān)經(jīng)濟社會運行和國家安全。2016年,工信部出臺《工業(yè)控制系統(tǒng)信息安全防護指南》,對有效指導(dǎo)工業(yè)企業(yè)開展工控安全防護工作發(fā)揮了積極作用。
2017年以來,我國相繼頒布了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《密碼法》等法律法規(guī)及行業(yè)應(yīng)用方面的部門規(guī)章,現(xiàn)有政策文件未能充分銜接相關(guān)法律法規(guī)要求。與此同時,工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型步伐加快,工業(yè)控制系統(tǒng)開放互聯(lián)趨勢明顯,工業(yè)企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險與日俱增,工業(yè)企業(yè)加強網(wǎng)絡(luò)安全防護需求迫切。
為做好《防護指南》編制工作,工信部結(jié)合新形勢新要求,系統(tǒng)全面調(diào)研,深入分析新時期工控安全風(fēng)險和企業(yè)安全防護需求,廣泛征集地方工信主管部門、行業(yè)協(xié)會、部屬單位、工控廠商、工業(yè)企業(yè)、安全企業(yè)和專家學(xué)者等各方意見。
《防護指南》將有效滿足當(dāng)前和未來一個時期工控系統(tǒng)安全防護需求,指導(dǎo)工業(yè)企業(yè)切實提升工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全基線防護水平,推動企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展。防護對象包括工業(yè)控制系統(tǒng)以及被網(wǎng)絡(luò)攻擊后可直接或間接影響生產(chǎn)運行的其他設(shè)備和系統(tǒng)。
《防護指南》體現(xiàn)了三大特點。一是堅持與時俱進。結(jié)合推進新型工業(yè)化背景下的新形勢、新任務(wù)、新要求,針對性研究制定防護條款,在落實2016年以來我國在網(wǎng)絡(luò)和數(shù)據(jù)安全領(lǐng)域新出臺的法律法規(guī)的同時,聚焦新時期工業(yè)控制系統(tǒng)的新應(yīng)用趨勢及新安全風(fēng)險。
二是強調(diào)技管結(jié)合。從安全管理、技術(shù)防護、安全運營和責(zé)任落實4個方面提出防護要求,堅持技術(shù)和管理措施并重,督促企業(yè)落實工控安全主體責(zé)任。
三是注重實操實踐。針對工業(yè)控制系統(tǒng)應(yīng)用現(xiàn)狀、運行特點和安全需求,結(jié)合企業(yè)現(xiàn)有技術(shù)能力基礎(chǔ),提出可落地實操的明確安全要求,并通過實施基線安全防護等系列措施,切實提升工業(yè)企業(yè)安全防護水平。
如何指導(dǎo)企業(yè)做好網(wǎng)絡(luò)安全防護?《防護指南》提出,首先,聚焦安全風(fēng)險管控,突出管理重點對象,提升工業(yè)企業(yè)工控安全管理能力。圍繞工業(yè)控制系統(tǒng)資產(chǎn)、配置、供應(yīng)鏈和人員四大管理重點提出安全要求,在厘清系統(tǒng)資產(chǎn)底數(shù)、保障系統(tǒng)基本運行安全的基礎(chǔ)上,避免網(wǎng)絡(luò)安全風(fēng)險引入工業(yè)控制系統(tǒng),減少網(wǎng)絡(luò)安全事件的可能性。
其次,聚焦安全薄弱關(guān)鍵環(huán)節(jié),強化技術(shù)應(yīng)對策略,提升工業(yè)企業(yè)工控安全防護能力。在保障工業(yè)主機和終端設(shè)備自身安全的基礎(chǔ)上,進一步防范來自內(nèi)外部網(wǎng)絡(luò)的入侵攻擊,強調(diào)上云上平臺新型場景下的設(shè)備與業(yè)務(wù)安全,同時規(guī)范軟件和服務(wù)安全使用,落實數(shù)據(jù)安全分類分級保護。
再者,聚焦易發(fā)網(wǎng)絡(luò)安全風(fēng)險,增強威脅發(fā)現(xiàn)及處置能力,提升工業(yè)企業(yè)安全運營能力。圍繞網(wǎng)絡(luò)安全事件的事前、事中和事后環(huán)節(jié),提出部署網(wǎng)絡(luò)安全監(jiān)測手段、建設(shè)網(wǎng)絡(luò)安全運營中心和做好應(yīng)急處置等安全措施,并要求做好定期網(wǎng)絡(luò)安全風(fēng)險評估和防護能力評估,開展日常系統(tǒng)漏洞排查并實施安全加固。
最后,聚焦工業(yè)企業(yè)資源保障,堅持統(tǒng)籌發(fā)展和安全,督促企業(yè)落實網(wǎng)絡(luò)安全責(zé)任。圍繞建立工控安全管理制度,明確工控安全保護責(zé)任,確保安全技術(shù)措施與工業(yè)控制系統(tǒng)建設(shè)同步推進等方面提出安全要求。
工信部強調(diào),為更好指導(dǎo)各方落實《防護指南》相關(guān)要求,下一步將從政策宣貫、試點推廣、生態(tài)培育等方面,深入推進工控安全防護工作。
具體措施包括:做好政策宣貫培訓(xùn),組織開展系列宣傳活動,面向地方主管部門、工業(yè)企業(yè)等做好文件解讀和宣貫培訓(xùn),切實提升企業(yè)工控安全防護意識;推進安全評估試點,組織開展工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護能力評估試點工作,完善評估機制、流程和方式,形成一批可復(fù)制、可推廣的工控安全解決方案;探索重要系統(tǒng)識別認定,梳理研究重要工業(yè)控制系統(tǒng)的界定方法、判定規(guī)則等,研究制定重要工業(yè)控制系統(tǒng)識別認定相關(guān)文件;推進產(chǎn)業(yè)生態(tài)培育,依托試點示范、專項項目等,面向典型工業(yè)場景和工控安全防護需求,突破一批工控安全防護關(guān)鍵技術(shù),提升工控安全產(chǎn)品供給能力。(夏小禾)