威斯尼斯人wns2299cn深度解读工信部《工业控制系统网络安全防护指南》
01 导读
近日,工业和信息化部印发了《工业控制系统网络安全防护指南》,围绕安全管理、技术防护、安全运营、责任落实四方面,提出33项指导性安全防护基线要求,推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。
02 官方解读
2.1《指南》出台的背景和意义?
工业控制系统作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。2016年,工业和信息化部出台《工业控制系统信息安全防护指南》,对有效指导工业企业开展工控安全防护工作发挥了积极作用。2017年以来,我国相继颁布了《网络安全法》《数据安全法》《密码法》等法律法规及行业应用方面的部门规章,现有政策文件未能充分衔接相关法律法规要求。与此同时,工业企业数字化转型步伐加快,工业控制系统开放互联趋势明显,工业企业面临的网络安全风险与日俱增,工业企业加强网络安全防护需求迫切。
为做好《指南》编制工作,工业和信息化部结合新形势新要求,系统全面调研,深入分析新时期工控安全风险和企业安全防护需求,广泛征集地方工信主管部门、行业协会、部属单位、工控厂商、工业企业、安全企业、专家学者等各方意见。《指南》将有效满足当前和未来一个时期工控系统安全防护需求,指导工业企业切实提升工业控制系统网络安全基线防护水平,推动企业数字化转型发展。
2.2《指南》适用对象有哪些?
《指南》适用于使用、运营工业控制系统的企业。防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。
2.3《指南》的定位和总体考虑?
《指南》定位于面向工业企业做好网络安全防护的指导性文件,坚持统筹发展和安全,围绕安全管理、技术防护、安全运营、责任落实四方面,提出三十三项指导性安全防护基线要求,推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。
(1)坚持与时俱进
结合推进新型工业化背景下的新形势、新任务、新要求,针对性研究制定防护条款,在落实2016年以来我国在网络和数据安全领域新出台的法律法规的同时,聚焦新时期工业控制系统的新应用趋势及新安全风险。
(2)强调技管结合
从安全管理、技术防护、安全运营、责任落实四方面提出防护要求,坚持技术和管理措施并重,督促企业落实工控安全主体责任。
(3)注重实操实践
针对工业控制系统应用现状、运行特点和安全需求,结合企业现有技术能力基础,提出可落地实操的明确安全要求,并通过实施基线安全防护等系列措施,切实提升工业企业安全防护水平。
2.4《指南》如何指导企业做好网络安全防护?
01 聚焦安全风险管控,突出管理重点对象,提升工业企业工控安全管理能力。围绕工业控制系统资产、配置、供应链、人员四大管理重点提出安全要求,在理清系统资产底数、保障系统基本运行安全的基础上,避免网络安全风险引入工业控制系统,减少网络安全事件的可能性。
02 聚焦安全薄弱关键环节,强化技术应对策略,提升工业企业工控安全防护能力。在保障工业主机和终端设备自身安全的基础上,进一步防范来自内外部网络的入侵攻击,强调上云上平台新型场景下的设备与业务安全,同时规范软件和服务安全使用,落实数据安全分类分级保护。
03 聚焦易发网络安全风险,增强威胁发现及处置能力,提升工业企业安全运营能力。围绕网络安全事件的事前、事中、事后环节,提出部署网络安全监测手段、建设网络安全运营中心和做好应急处置等安全措施,并要求做好定期网络安全风险评估和防护能力评估,开展日常系统漏洞排查并实施安全加固。
04 聚焦工业企业资源保障,坚持统筹发展和安全,督促企业落实网络安全责任。围绕建立工控安全管理制度,明确工控安全保护责任,确保安全技术措施与工业控制系统建设同步推进等方面提出安全要求。
2.5 下一步如何推进《指南》落实?
为更好指导各方落实《指南》相关要求,下一步将从政策宣贯、试点推广、生态培育等方面,深入推进工控安全防护工作。
做好政策宣贯培训
组织开展系列宣传活动,面向地方主管部门、工业企业等做好文件解读和宣贯培训,切实提升企业工控安全防护意识。
推进安全评估试点
组织开展工业控制系统网络安全防护能力评估试点工作,完善评估机制、流程和方式,形成一批可复制、可推广的工控安全解决方案。
探索重要系统识别认定
梳理研究重要工业控制系统的界定方法、判定规则等,研究制定重要工业控制系统识别认定相关文件。
推进产业生态培育
依托试点示范、专项项目等,面向典型工业场景和工控安全防护需求,突破一批工控安全防护关键技术,提升工控安全产品供给能力。
03 主要变化
2016年发布的《工业控制系统信息安全防护指南》涵盖工业控制系统设计、选型、建设、测试、运行、检修、废弃各阶段防护工作要求,从安全软件选型、访问控制策略构建、数据安全保护、资产配置管理等方面具体提出了十一条三十款要求。
时隔8年,新版《工业控制系统网络安全防护指南》定位于面向工业企业做好网络安全防护的指导性文件,坚持统筹发展和安全,围绕安全管理、技术防护、安全运营、责任落实四方面,提出33项指导性安全防护基线要求,推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。
3.1 名称的变化
为适应网络安全空间、网络安全法等内容,标准的名称由原来的“工业控制系统信息安全防护指南”改为“工业控制系统网络安全防护指南”。
3.2 适用范围的变化
由原先的“工业控制系统应用企业以及从事工业控制系统规划、设计、建设、运维、评估的企事业单位适用本指南。”调整为“使用、运营工业控制系统的企业适用本指南,防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。”
3.3 章节的变化
将原先的“十一条三十款要求”调整为“围绕安全管理、技术防护、安全运营、责任落实四方面,提出33项指导性安全防护基线要求”。
3.4 责任落实的变化
由原先的“通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施”调整为“工业企业承担本企业工控安全主体责任,建立工控安全管理制度,明确责任人和责任部门,按照‘谁运营谁负责、谁主管谁负责’的原则落实工控安全保护责任。”
3.5 内容的变化
1)安全管理
资产管理:全面梳理工业控制系统资产,明确资产管理责任部门和责任人,针对重要工业控制系统清单实施重点保护。
配置管理:强化口令管理,遵循最小授权原则设置账户权限,建立工业控制系统安全配置清单。
供应链安全:明确供应商各方需履行的安全责任和义务,使用具备资格的机构安全认证合格或者安全检测符合要求的设备。
宣传教育:定期开展工业控制系统网络安全意识宣传教育、专业技能培训及考核。
2)技术防护
主机和终端安全:定期升级对病毒库进行升级和恶意软件查杀,部署防病毒软件,实施应用软件白名单,限制外部设备接口,实施用户身份鉴别。
架构与边界安全:实施分区分域管理,部署防火墙,实现域间隔离,严格远程访问控制。
上云安全:确保工业云平台安全,对上云设备实施严格标识管理。
应用安全:对关键应用服务进行用户身份认证,自主研发软件需通过安全性测试。
系统数据安全:对数据进行分类分级,实施加密和访问控制,确保重要数据境内存储。
3)安全运营
监测预警:部署监测审计设备或平台,及时发现和预警安全风险。在边界采用蜜罐等威胁诱捕技术提升主动防御能力。
运营中心:建立网络安全运营中心,实现安全设备统一管理和策略配置。
应急处置:制定应急预案,定期开展应急演练,确保快速响应安全事件。
安全评估:开展新建系统、升级系统风险评估,重要工控系统每年至少开展一次防护能力相关评估。
漏洞管理:及时进行漏洞修补和安全加固,开展重要工控系统漏洞排查与补丁升级。
4)责任落实
工业企业承担主体责任,建立管理制度,明确责任人,确保安全措施与系统同步。
04 对工业企业的安全建议
威斯尼斯人wns2299cn在服务于国家级大型央企集团的过程中,构建了一套完整的工业网络安全保障能力体系,围绕“安全顶层规划、安全管理体系、安全技术体系、安全运营体系”实现了将管理、技术、人员、流程的融合打通,通过构建集团级的关键信息基础设施安全态势感知监测与指挥平台,为集团、二级单位、三级场站提供满足多级安全风险主动监测、分析预警、协同指挥、攻防对抗等全方位的能力提升。
顶层规划方面
威斯尼斯人wns2299cn总结出“摸清家底-看清风险-找出漏洞-建立防护-监测分析-闭环处置-持续优化”七步工作法,为每个集团客户量身定制符合自身实际情况、清晰可行的规划蓝图,按照“统一规划、统一标准、统一投资、统一建设、统一管理、统一运维”和“集中部署”的“六统一、大集中”管控原则进行总体规划和分步建设;
技术体系方面
围绕“纵深防御、主动防御、协同防护”的理念,为多层次的安全风险建立安全盾牌和实时监测手段,解决设备安全、网络安全、控制安全、应用安全、数据安全等多层次的重点防护和精准防护。并在关键网络节点和设备侧部署数据采集探针,实现集团层面的实时风险感知,为集团统一安全管理建立千里眼和管控抓手;
管理体系方面
首先在组织内落实“网络安全一把手责任制”,建立起清晰的安全管理组织、安全管理流程;其次在安全建设、安全运维阶段,明确各项安全责任与职责,保证安全管理和技术的有机结合,同时对过程活动进行记录和备案;最后对于重点的安全管理对象,例如资产管理、移动介质管理、供应链管理等领域,加强技术与管理的结合,以技术助管理,以管理落技术;
运营体系方面
基于ITIL理念建立集中化的多级安全运营支撑团队,按照“平战结合”思想,加强日常技术储备,建立应急预案库、定期进行演练,确保在事件发生时,做到科学化、程序化与规范化。当下属单位一旦出现重要网络安全事件时,按照预先设计的应急源库和应急处置流程进行快速响应和上下协同。
该体系目前已经成功应用于国内几十家大型集团,支撑了国家大型央企集团企业在各种复杂场景下完整的网络安全保障体系建设工作。
附表