logo
  • 加載中...
新聞頻道
工業控制體系信息安全防護指南解讀
時間:2017年07月07日信息來源:不詳點擊: 加入收藏 】【 字體:
    工業控制體系信息安全(以下簡稱“工控安全”)是國家網絡和信息安全的緊張組成部分,是推動中國制造2025、制造業與互聯網融合發展的基礎保障。2016年10月,工業和信息化部印發《工業控制體系信息安全防護指南》(以下簡稱《指南》),引導工業企業開展工控安全防護工作。

  

    一、背景情況

  

    工控安全事關經濟發展、社會穩固和國家安全。近年來,隨著信息化和工業化融合的賡續深入,工業控制體系從單機走向互聯,從封閉走向開放,從主動化走向智能化。在生產力明顯進步的同時,工業控制體系面臨著日益嚴厲的信息安全威脅。為貫徹落實《國務院關于深化制造業與互聯網融合發展的引導意見》(國發〔2016〕28號)文件精神,應對新時期工控安全形勢,提拔工業企業工控安全防護水平,編制本《指南》。

  

    二、總體考慮

  

    《指南》堅持“安全是發展的前提,發展是安全的保障”,以當前我國工業控制體系面臨的安全題目為出發點,看重防護要求的可實行性,從管理、技術兩方面明確工業企業工控安全防護要求。編制思路如下:

  

    (一)落實《國家網絡安全法》要求

  

    《指南》所列11項要求充分表現了《國家網絡安全法》中網絡安全支撐與促進、網絡運行安全、網絡信息安全、監測預警與應急處置等法規在工控安全領域的要求,是《國家網絡安全法》在工業領域的詳細應用。

  

    (二)凸起工業企業主體責任

  

    《指南》根據我國工控安全管理工作實踐經驗,面向工業企業提出工控安全防護要求,確立企業作為工控安全責任主體,要求企業明確工控安全管理責任人,落實工控安全責任制。

  

    (三)考慮我國工控安全近況

  

    《指南》編制以近五年我部工控安全檢查工作掌握的有關情況為基礎,充分考慮當前工控安全防護意識不到位、管理責任不明晰、訪問控制策略不完美等題目,明確了《指南》的各項要求。

  

    (四)借鑒發達國家工控安全防護經驗

  

    《指南》參考了美國、歐盟、日本等發達國家工控安全相干政策、標準和**實踐做法,對安全軟件選擇與管理、配置與補丁管理、邊界安全防護等措施進行了論證,進步了《指南》的科學性、合理性和可操作性。

  

    (五)強調工業控制體系全生命周期安全防護

  

    《指南》涵蓋工業控制體系設計、選型、建設、測試、運行、檢修、廢棄各階段防護工作要求,從安全軟件選型、訪問控制策略構建、數據安全珍愛、資產配置管理等方面提出了詳細實施細則。

      

    三、內容詳解

  

    《指南》堅持企業的主體責任及當局的監管、服務職責,聚焦體系防護、安全管理等安全保障重點,提出了11項防護要求,詳細解讀如下:

  

    (一)安全軟件選擇與管理

  

    1. 在工業主機上采用經過離線環境中充分驗證測試的防病毒軟件或應用程序白名單軟件,只許可經過工業企業自身授權和安全評估的軟件運行。

  

    解讀:工業控制體系對體系可用性、實時性要求較高,工業主機如MES服務器、OPC服務器、數據庫服務器、工程師站、操作員站等應用的安全軟件應事先在離線環境中進行測試與驗證,其中,離線環境指的是與生產環境物理隔離的環境。驗證和測試內容包括安全軟件的功能性、兼容性及安全性等。

  

    2. 建立防病毒和惡意軟件入侵管理機制,對工業控制體系及一時接入的設備采取病毒查殺等安全預防措施。

  

    解讀:工業企業必要建立工業控制體系防病毒和惡意軟件入侵管理機制,對工業控制體系及一時接入的設備采用需要的安全預防措施。安全預防措施包括定期掃描病毒和惡意軟件、定期更新病毒庫、查殺一時接入設備(如一時接入U盤、移動終端等外設)等。

  

    (二)配置和補丁管理

  

    1.做好工業控制網絡、工業主機和工業控制設備的安全配置,建立工業控制體系配置清單,定期進行配置審計。

  

    解讀:工業企業應做好假造局域網隔離、端口禁用等工業控制網絡安全配置,長途控制管理、默認賬戶管理等工業主機安全配置,口令策略合規性等工業控制設備安全配置,建立響應的配置清單,制訂責任人定期進行管理和維護,并定期進行配置核查審計。

  

    2.對龐大配置變更制訂變更計劃并進行影響分析,配置變更實施前進行嚴酷安全測試。

  

    解讀:當發生龐大配置變更時,工業企業應及時制訂變更計劃,明確變更時間、變更內容、變更責任人、變更審批、變更驗證等事項。其中,龐大配置變更是指龐大漏洞補丁更新、安全設備的新增或削減、安全域的重新劃分等。同時,應對變更過程中可能出現的風險進行分析,形成分析報告,并在離線環境中對配置變更進行安全性驗證。

  

    3.密切關看重大工控安全漏洞及其補丁發布,及時采取補丁升級措施。在補丁安裝前,需對補丁進行嚴酷的安全評估和測試驗證。

  

    解讀:工業企業應密切關注CNVD、CNNVD等漏洞庫及設備廠商發布的補丁。當龐大漏洞及其補丁發布時,根據企業自身情況及變更計劃,在離線環境中對補丁進行嚴酷的安全評估和測試驗證,對通過安全評估和測試驗證的補丁及時升級。

  

    (三)邊界安全防護

  

    1.星散工業控制體系的開發、測試和生產環境。

  

    解讀:工業控制體系的開發、測試和生產環境需實行不同的安全控制措施,工業企業可采用物理隔離、網絡邏輯隔離等體例進行隔離。

  

    2.通過工業控制網絡邊界防護設備對工業控制網絡與企業網或互聯網之間的邊界進行安全防護,禁止沒有防護的工業控制網絡與互聯網連接。

  

    解讀:工業控制網絡邊界安全防護設備包括工業防火墻、工業網閘、單向隔離設備及企業定制的邊界安全防護網關等。工業企業應根據現實情況,在不同網絡邊界之間部署邊界安全防護設備,實現安全訪問控制,阻斷非法網絡訪問,嚴酷禁止沒有防護的工業控制網絡與互聯網連接。

  

    3.通過工業防火墻、網閘等防護設備對工業控制網絡安全區域之間進行邏輯隔離安全防護。

  

    解讀:工業控制體系網絡安全區域根據區域緊張性和營業需求進行劃分。區域之間的安全防護,可采用工業防火墻、網閘等設備進行邏輯隔離安全防護。

  

    (四)物理和環境安全防護

  

    1.對緊張工程師站、數據庫、服務器等核心工業控制軟硬件所在區域采取訪問控制、視頻監控、專人值守等物理安全防護措施。

  

    解讀:工業企業應對緊張工業控制體系資產所在區域,采用適當的物理安全防護措施。

  

    2.拆除或封閉工業主機上不需要的USB、光驅、無線等接口。若確需使用,通過主機外設安全管理技術手段實施嚴酷訪問控制。

  

    解讀:USB、光驅、無線等工業主機外設的使用,為病毒、木馬、蠕蟲等惡意代碼入侵提供了途徑,拆除或封閉工業主機上不需要的外設接口可削減被感染的風險。確需使用時,可采用主機外設同一管理設備、隔離存放有外設接口的工業主機等安全管理技術手段。

  

    (五)身份認證

  

    1.在工業主機登錄、應用服務資源訪問、工業云平臺訪問等過程中使用身份認證管理。對于關鍵設備、體系和平臺的訪問采用多因素認證。

  

    解讀:用戶在登錄工業主機、訪問應用服務資源及工業云平臺等過程中,應使用口令密碼、USB-key、智能卡、生物指紋、虹膜等身份認證管理手段,需要時可同時采用多種認證手段。

  

    2.合理分類設置賬戶權限,以最小特權原則分配賬戶權限。

  

    解讀:工業企業應以知足工作要求的最小特權原則來進行體系賬戶權限分配,確保因事故、錯誤、篡改等緣故原由造成的損失最小化。工業企業需定期審計分配的賬戶權限是否超出工作必要。

  

    3.強化工業控制設備、SCADA軟件、工業通訊設備等的登錄賬戶及密碼,避免使用默認口令或弱口令,定期更新口令。

  

    解讀:工業企業可參考供給商保舉的設置規則,并根據資產緊張性,為工業控制設備、SCADA軟件、工業通訊設備等設定不同強度的登錄賬戶及密碼,并進行定期更新,避免使用默認口令或弱口令。

  

    4.增強對身份認證證書信息珍愛力度,禁止在不同體系和網絡環境下共享。

  

    解讀:工業企業可采用USB-key等安全介質存儲身份認證證書信息,建立相干制度對證書的申請、發放、使用、吊銷等過程進行嚴酷控制,保證不同體系和網絡環境下禁止使用雷同的身份認證證書信息,減小證書暴露后對體系和網絡的影響。

  

    (六)長途訪問安全

  

    1.原則上嚴酷禁止工業控制體系面向互聯網開通HTTP、FTP、Telnet等高風險通用網絡服務。

  

    解讀:工業控制體系面向互聯網開通HTTP、FTP、Telnet等網絡服務,易導致工業控制體系被入侵、攻擊、行使,工業企業應原則上禁止工業控制體系開通高風險通用網絡服務。

  

    2.確需長途訪問的,采用數據單向訪問控制等策略進行安全加固,對訪問時限進行控制,并采用加標鎖定策略。

  

    解讀:工業企業確需進行長途訪問的,可在網絡邊界使用單向隔離裝配、VPN等體例實現數據單向訪問,并控制訪問時限。采用加標鎖定策略,禁止訪問方在長途訪問期間實施非法操作。

  

    3.確需長途維護的,采用假造專用網絡(VPN)等長途接入體例進行。

  

    解讀:工業企業確需長途維護的,應通過對長途接入通道進行認證、加密等體例保證其安全性,如采用假造專用網絡(VPN)等體例,對接入賬戶執行專人專號,并定期審計接入賬戶操作記錄。

  

    4.保留工業控制體系的相干訪問日志,并對操作過程進行安全審計。

  

    解讀:工業企業應保留工業控制體系設備、應用等訪問日志,并定期進行備份,通過審計人員賬戶、訪問時間、操作內容等日志信息,追蹤定位非授權訪問舉動。

  

    (七)安全監測和應急預案演練

  

    1.在工業控制網絡部署網絡安全監測設備,及時發現、報告并處理網絡攻擊或非常舉動。

  

    解讀: 工業企業應在工業控制網絡部署可對網絡攻擊和非常舉動進行識別、報警、記錄的網絡安全監測設備,及時發現、報告并處理包括病毒木馬、端口掃描、暴力破解、非常流量、非常指令、工業控制體系協議包偽造等網絡攻擊或非常舉動。

  

    2.在緊張工業控制設備前端部署具備工業協議深度包檢測功能的防護設備,限定違法操作。

  

    解讀:在工業企業生產核心控制單元前端部署可對Modbus、S7、Ethernet/IP、OPC等主流工業控制體系協議進行深度分析和過濾的防護設備,阻斷不吻合協議標準結構的數據包、不吻合營業要求的數據內容。

  

    3.制訂工控安全事件應急相應預案,當遭受安全威脅導致工業控制體系出現非常或故障時,應立即采取緊急防護措施,防止事態擴大,并逐級報送直至屬地省級工業和信息化主管部門,同時細致珍愛現場,以便進行調查取證。

  

    解讀:工業企業必要自立或委托第三方工控安全服務單位制訂工控安全事件應急相應預案。預案應包括應急計劃的策略和規程、應急計劃培訓、應急計劃測試與演練、應急處理流程、事件監控措施、應急事件報告流程、應急支撐資源、應急相應計劃等內容。

  

    4.定期對工業控制體系的應急相應預案進行演練,需要時對應急相應預案進行修訂。

  

    解讀:工業企業應定期組織工業控制體系操作、維護、管理等相干人員開展應急相應預案演練,演練情勢包括桌面演練、單項演練、綜合演練等。需要時,企業應根據現實情況對預案進行修訂。

  

    (八)資產安全

  

    1.建設工業控制體系資產清單,明確資產責任人,以及資產使用及處置規則。

  

    解讀:工業企業應建設工業控制體系資產清單,包括信息資產、軟件資產、硬件資產等。明確資產責任人,建立資產使用及處置規則,定期對資產進行安全巡檢,審計資產使用記錄,并檢查資產運行狀況,及時發現風險。

  

    2.對關鍵主機設備、網絡設備、控制組件等進行冗余配置。

  

    解讀:工業企業應根據營業必要,針對關鍵主機設備、網絡設備、控制組件等配置冗余電源、冗余設備、冗余網絡等。

  

    (九)數據安全

  

    1.對靜態存儲和動態傳輸過程中的緊張工業數據進行珍愛,根據風險評估效果對數據信息進行分級分類管理。

  

    解讀:工業企業應對靜態存儲的緊張工業數據進行加密存儲,設置訪問控制功能,對動態傳輸的緊張工業數據進行加密傳輸,使用VPN等體例進行隔離珍愛,并根據風險評估效果,建立和完美數據信息的分級分類管理制度。

  

    2.定期備份關鍵營業數據。

  

    解讀:工業企業應對關鍵營業數據,如工藝參數、配置文件、設備運行數據、生產數據、控制指令等進行定期備份。

  

    3.對測試數據進行珍愛。

  

    解讀:工業企業應對測試數據,包括安全評估數據、現場組態開發數據、體系聯調數據、現場變更測試數據、應急演練數據等進行珍愛,如簽訂保密協議、回收測試數據等。

  

    (十)供給鏈管理

  

    1.在選擇工業控制體系規劃、設計、建設、運維或評估等服務商時,優先考慮具備工控安全防護經驗的企事業單位,以合劃一體例明確服務商答允擔的信息安全責任和任務。

  

    解讀:工業企業在選擇工業控制體系規劃、設計、建設、運維或評估服務商時,應優先考慮有工控安全防護經驗的服務商,并核查其提供的工控安全合同、案例、驗收報告等證實材料。在合同中應以明文條目的體例約定服務商在服務過程中應當承擔的信息安全責任和任務。

  

    2.以保密協議的體例要求服務商做好保密工作,提防敏感信息外泄。

  

    解讀:工業企業應與服務商簽訂保密協議,協議中應約定保密內容、保密時限、違約責任等內容。提防工藝參數、配置文件、設備運行數據、生產數據、控制指令等敏感信息外泄。

  

    (十一)落實責任

  

    通過建立工控安全管理機制、成立信息安全和諧小組等體例,明確工控安全管理責任人,落實工控安全責任制,部署工控安全防護措施。

  

    解讀:工業企業應建立健全工控安全管理機制,明確工控安全主體責任,成立由企業負責人牽頭的,由信息化、生產管理、設備管理等相干部門組成的工業控制體系信息安全和諧小組,負責工業控制體系全生命周期的安全防護系統建設和管理,制訂工業控制體系安全管理制度,部署工控安全防護措施。

  

    四、貫徹落實

  

    一是面向地方工業和信息化主管部門、中間企業等開展《指南》宣貫,依據《指南》要求組織培訓,引導工業企業進一步優化工控安全管理與技術防護手段。

  

    二是選擇工業聚集發展城市及地區,設立工控安全防護試點區,組織區內工業企業開展工控安全防護應用試點,挑選良好試點企業分享工控安全防護經驗,總結提煉工業控制體系防護示范案例。

  

    三是將《指南》要求納入年度工業行業網絡安全檢查項目,強化責任落實到位,管理、技術落實到位。通過自查、抽查、深度檢查等體例促進工業企業深入貫徹并落實《指南》。

  

    地方工信主管部門負責對本地區內的工控安全防護工作進行監督管理,并配合工業和信息化部做好工控安全相干工作。工業企業應按照《指南》各項要求,開展和完美工控安全防護工作,改善自身安全防護能力的同時,為周全提拔我國工業信息安全防護水平提供支持。

(作者:佚名編輯:admin)

我有話說

最新文章
推薦文章
熱門文章
网络棋牌频道网址 2019亚冠赛程 内蒙古快三开奖结果人 中国核电股票 青海十一选五走势图今日价格 彩吧3d图谜第二版 河南快三一定牛基本走 中翔配资 棋牌乐 广西快乐十分直播 重庆幸运农场有规律吗 青海快三跨度走势图 非公开发行股票是利好吗 广东快乐10分今天开奖走势图 三分pk10历史开奖记录 手机麻将游戏排名前十 股票配资平台哪个最好