《中華人民共和國網路安全法》在第三十一條明確規定, ”國家對公共通信和資訊服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域, 以及其他一旦遭到破壞、喪失功能或者資料洩露, 可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施, 在網路安全等級保護制度的基礎上, 實行重點保護。 ”
在這樣的大背景下, 工信部發佈了《工業控制系統資訊安全防護指南》, 而在此之前, 工信部曾經發佈過工信部協[2011]451號《關於加強工業控制系統資訊安全管理的通知》(下文簡稱451號文), 從通知檔到防護指南,
差異性分析
適用範圍的差異
451號文適用於核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進製造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域;
《工業控制系統資訊安全防護指南》則直接指出該指南適用於工業控制系統應用企業以及從事工業控制系統規劃、設計、建設、運維、評估的企事業單位, 範圍更廣, 目標更加明確。
落實的手段差異
防護指南深化了對原有451號文要求的內容, 在工業控制系統資訊安全防護的落實手段上進行了強化。
◆ 原有451號文旨在加強各相關機構針對工業控制系統資訊安全的重要性和緊迫性的認識, 如各級政府工業和資訊化主管部門要加強對工業控制系統資訊安全工作的指導和督促檢查;
◆ 有關行業主管或監管部門、國有資產監督管理部門要加強對重點領域工業控制系統資訊安全管理工作的指導監督;
◆ 有關部門要加快推動工業控制系統資訊安全防護技術研究和產品研製;
國有大型企業要切實加強工業控制系統資訊安全管理的領導。 側重點在於加強各部門對工業控制系統資訊安全防護的認識上, 並沒有提出具體的責任要求。
防護指南對工控系統資訊安全防護落實手段進行了進一步的明確。 規定了地方工業和資訊化主管部門要根據工業和資訊化部的統籌安排, 對本行政區域內的工業企業進行指導並制定工控安全防護實施方案。 要求各相關單位建立工控安全管理機制、成立資訊安全協調小組等方式,
可以看出, 從原451號文到防護指南的推進, 工控系統安全防護落實的手段進一步得到了加強。 從要加強、要加快、切實加強到建立、成立、明確、部署, 整體防護落實手段有了一個質的飛躍。
技術方向的差異
目前防護指南深化了對原有451號文要求的內容, 強調了可落地的防護技術手段, 已經可以具體到工業防火牆和網閘等具體的措施上。
防護指南在原有451號文有關連接管理要求基礎上進行了細化, 涉及企業資訊網路(生產管理層、資訊管理層)和企業生產網路(過程監督層、程序控制層)的資料交互明確了防護措施。 除了指出禁止沒有防護的工業控制網路與互聯網連接,
◆ 涉及企業資訊網路向企業生產網路的遠端存取安全, 防護指南參考了電力等先進發展行業中已經採用並得到檢驗的技術手段, 如嚴格禁止工業控制系統面向互聯網開通HTTP、FTP、Telnet等高風險通用網路服務;確需遠端存取的, 採用資料單向存取控制等策略進行安全加固, 對訪問時限進行控制, 並採用加標鎖定策略。
◆ 涉及企業過程監督層、程序控制層的安全配置管理方面,防護指南在原有451號文有關配置管理要求基礎上進行了細化,加入了補丁管理和身份認證相關要求。如密切關注重大工控安全性漏洞及其補丁發佈,及時採取補丁升級措施。在補丁安裝前,需對補丁進行嚴格的安全評估和測試驗證;在工業主機登錄、應用服務資源訪問、工業雲平臺訪問等過程中使用身份認證管理。對於關鍵設備、系統和平臺的訪問採用多因素認證;合理分類設置帳戶許可權,以最小特權原則分配帳戶許可權。
◆ 防護指南對原有451號文有關應急管理要求進行了加深,引入了安全監測機制和應急預案演練手段。規定了需要在工業控制網路部署網路安全監測設備,報告並處理網路攻擊或異常行為;在重要工業控制設備前端部署具備工業協議深度包檢測功能的防護設備,限制違法操作;定期對工業控制系統的應急回應預案進行演練。
另外,防護指南還特別指出需要保留工業控制系統的相關訪問日誌,並對操作過程進行安全審計。
未完待續……
查看周邊內容請點擊文末“閱讀原文”
請點擊螢幕右上方“…”
NSFOCUS-weixin
◆ 涉及企業過程監督層、程序控制層的安全配置管理方面,防護指南在原有451號文有關配置管理要求基礎上進行了細化,加入了補丁管理和身份認證相關要求。如密切關注重大工控安全性漏洞及其補丁發佈,及時採取補丁升級措施。在補丁安裝前,需對補丁進行嚴格的安全評估和測試驗證;在工業主機登錄、應用服務資源訪問、工業雲平臺訪問等過程中使用身份認證管理。對於關鍵設備、系統和平臺的訪問採用多因素認證;合理分類設置帳戶許可權,以最小特權原則分配帳戶許可權。
◆ 防護指南對原有451號文有關應急管理要求進行了加深,引入了安全監測機制和應急預案演練手段。規定了需要在工業控制網路部署網路安全監測設備,報告並處理網路攻擊或異常行為;在重要工業控制設備前端部署具備工業協議深度包檢測功能的防護設備,限制違法操作;定期對工業控制系統的應急回應預案進行演練。
另外,防護指南還特別指出需要保留工業控制系統的相關訪問日誌,並對操作過程進行安全審計。
未完待續……
查看周邊內容請點擊文末“閱讀原文”
請點擊螢幕右上方“…”
NSFOCUS-weixin