欢迎您访问工业控制系统信息安全产业联盟平台网站!
官方微信
用户名:
密码:
登录 注册
工控信息安全通关秘籍(政策篇)

点击数:3749 发布时间:2019-08-15 17:28

当下,互联网与工业融合创新带来的安全问题日益严峻,新兴需求也使工业安全领域备受关注。近三年来,国家针对工业安全领域出台多项政策、标准及白皮书,在这些政策、标准、白皮书的密集鼓励和推进下,工业安全行业迎来爆发式的发展。为此,工业控制系统信息安全产业联盟(简称工业安全产业联盟)特梳理、推出近三年(2017~2019)工控信息安全、信息安全领域的政策篇、标准篇、白皮书篇三大系列专题, 以飨读者。

工业控制系统广泛应用于能源、水利、石油化工、装备制造等工业生产领域,堪称是国家关键生产设施和基础设施运行的“神经中枢”,一旦遭到破坏,可能造成人员伤亡、环境污染、停产停工等严重后果,将严重威胁国家经济安全、政治安全、社会稳定和国家安全。当下,互联网与工业融合创新带来的安全问题日益严峻,新兴需求也使工业安全领域备受关注。近三年来,国家针对工业安全领域出台多项政策、标准及白皮书,在这些政策、标准、白皮书的密集鼓励和推进下,工业安全行业迎来爆发式的发展。


为此,工业控制系统信息安全产业联盟(简称工业安全产业联盟)特梳理、推出近三年(2017~2019)工控信息安全、信息安全领域的政策篇、标准篇、白皮书篇三大系列专题, 以飨读者。


本期推送第一期专题——政策篇,干货一网打尽,值得收藏!

1《工业互联网综合标准化体系建设指南》


发布单位:

工业和信息化部、国家标准化管理委员会

发布时间:

2019年3月8日


节选内容:

(三)安全体系

安全体系是工业互联网的保障。安全体系通过构建涵盖工业全系统的安全防护体系,打造满足工业需求的安全技术体系和相应管理机制,识别和抵御来自内外部的安全威胁,化解各种安全风险,是工业互联网可靠运行,实现工业智能化的安全可信保障。


工业互联网安全从防护对象、防护措施及防护管理三个维度构建。针对不同的防护对象部署相应的安全防护措施,根据实时监测结果发现网络中存在的或即将发生的安全问题并及时做出响应,并通过加强防护管理,明确基于安全目标的可持续改进的管理方针,从而保障工业互联网的安全。


工业互联网安全主要涉及设备、控制系统、网络、数据、平台、应用等方面的防护技术和管理手段,现有面向公网或专网的安全技术及管理标准尚不能满足工业互联网跨网络、跨领域的整体安全保障需求。现阶段针对工业互联网安全相关标准主要集中在工业控制系统领域,为支撑工业互联网健康发展,需要系统全面地开展工业互联网安全技术研究与标准研制。



2国家智能制造标准体系建设指南

(2018年版)


发布单位:

工业和信息化部、国家标准化管理委员会

发布时间:

2018年10月15日


节选内容:

2. 安全标准

主要包括功能安全、信息安全和人因安全三个部分。功能安全标准用于保证控制系统在危险发生时正确地执行其安全功能,从而避免因设备故障或系统功能失效而导致生产事故,包括面向智能制造的功能安全要求、功能安全系统设计和实施、功能安全测试和评估、功能安全管理等标准。信息安全标准用于保证智能制造领域相关信息系统及其数据不被破坏、更改、泄露,从而确保系统能连续可靠地运行,包括软件安全、设备信息安全、网络信息安全、数据安全、信息安全防护及评估等标准。人因安全标准用于避免在智能制造各环节中因人的行为造成的隐患或威胁,通过合理分配任务,调节工作环境,提高人员能力,以保证人身安全,预防误操作等,包括工作任务、环境、设备、人员能力、管理支持等标准。



3《关于加强电力行业网络安全工作的指导意见》


发布单位:

国家能源局

发布时间:

2018年9月21日


节选内容:

 《意见》围绕进一步落实电力企业网络安全主体责任,完善网络安全监督管理体制机制,加强全方位网络安全管理,强化关键信息基础设施安全保护,加强行业网络安全基础设施建设,加强电力企业数据安全保护,提高网络安全态势感知、预警及应急处置能力,支持网络安全自主创新与安全可控;积极推动电力行业网络安全产业健康发展,推进网络安全军民融合深度发展,加强网络安全人才队伍建设,拓展网络安全国际合作等12方面提出30条具体要求。


    《意见》的出台,将有力促进电力行业网络安全责任体系和网络安全监督管理体制机制的健全完善,进一步提升电力监控系统安全防护水平,强化网络安全防护体系,提高自主创新及安全可控能力,有力防范和遏制重大网络安全事件,保障电力系统安全稳定运行和电力可靠供应。



4《工业互联网发展行动计划(2018-2020年)》


发布单位:

工业和信息化部

发布时间:

2018年6月7日


节选内容: 

(七)安全保障水平增强行动

行动内容:

25.健全安全管理制度机制,出台工业互联网安全指导性文件,明确并落实企业主体责任,对工业行业和工业企业实行分级分类管理,建立针对重点行业、重点企业的监督检查、信息通报、应急响应等管理机制。


26.初步建立工业互联网全产业链数据安全管理体系,强化平台及数据安全监督检查和风险评估,支持开展安全认证。


27.指导督促企业强化自身网络安全技术防护,推动加强国家工业互联网安全技术保障手段及数据安全防护技术手段建设,提升安全态势感知和综合保障能力。


时间节点:2020 年前,安全管理制度机制和标准体系基本完备。企业、地方、国家三级协同的安全技术保障体系初步形成。



5《关于进一步加强核电运行安全管理的指导意见》


发布单位:

国家发展改革委、国家能源局、生态环境部、国防科工局

发布时间:

2018年5月22日


节选内容:

八、加强核电厂网络安全管理

将网络安全纳入核电安全管理体系,加强能力建设,保障核电厂网络安全。


(十七)开展网络安全能力建设。核电厂要建立健全电力监控系统安全防护管理制度,对网络威胁进行评估和风险分析,合理配置网络安全监控工具,建立核电厂防范网络攻击、数据操纵或篡改的能力,定期开展网络安全检查。核电集团和核电厂要加强网络安全能力建设,研究建立核电厂网络安全实验室、工控系统测试平台等基础设施。


(十八)做好网络等级保护测评。核电厂要制定生产控制大区、管理信息大区安全防护总体方案,完成等保定级、备案,并定期进行等级测评,建立网络安全事件应急响应预案并定期进行演练。


(十九)开展网络安全培训及评估工作。支持行业组织开展网络安全相关人员的技术培训,建立网络安全保护规范和协作机制,开展核电厂网络安全同行评估。


6《工业控制系统信息安全行动计划(2018-2020年)》


发布单位:

工业和信息化部 

发布时间:

2017年12月29日


节选内容:

(三)安全防护能力提升

加强防护技术研究。支持建设工控安全靶场、仿真测试等共性技术平台,研发工控安全防护技术工具集,加强分区隔离、安全交换、协议管控等关键技术攻关。开展防护能力建设试点示范,形成可复制、可推广的安全防护整体解决方案。探索工业云、工业大数据等新兴应用的安全架构设计,开展工业互联网安全防护技术研究和创新。


建立健全标准体系。制定工控安全分级、安全要求、安全实施、安全测评类标准,加快工控安全防护能力评估、工业控制系统设备产品安全、工业互联网平台安全等急用先行标准的发布和应用,鼓励企业、科研院所、行业组织等参与国际标准化工作。



7《关于深化“互联网+先进制造业”发展工业互联网的指导意见》


发布单位:

国务院

发布时间:

2017年11月27日


节选内容:

(六)强化安全保障。

提升安全防护能力。加强工业互联网安全体系研究,技术和管理相结合,建立涵盖设备安全、控制安全、网络安全、平台安全和数据安全的工业互联网多层次安全保障体系。加大对技术研发和成果转化的支持力度,重点突破标识解析系统安全、工业互联网平台安全、工业控制系统安全、工业大数据安全等相关核心技术,推动攻击防护、漏洞挖掘、入侵发现、态势感知、安全审计、可信芯片等安全产品研发,建立与工业互联网发展相匹配的技术保障能力。构建工业互联网设备、网络和平台的安全评估认证体系,依托产业联盟等第三方机构开展安全能力评估和认证,引领工业互联网安全防护能力不断提升。


建立数据安全保护体系。建立工业互联网全产业链数据安全管理体系,明确相关主体的数据安全保护责任和具体要求,加强数据收集、存储、处理、转移、删除等环节的安全防护能力。建立工业数据分级分类管理制度,形成工业互联网数据流动管理机制,明确数据留存、数据泄露通报要求,加强工业互联网数据安全监督检查。


推动安全技术手段建设。督促工业互联网相关企业落实网络安全主体责任,指导企业加大安全投入,加强安全防护和监测处置技术手段建设,开展工业互联网安全试点示范,提升安全防护能力。积极发挥相关产业联盟引导作用,整合行业资源,鼓励联盟单位创新服务模式,提供安全运维、安全咨询等服务,提升行业整体安全保障服务能力。充分发挥国家专业机构和社会力量作用,增强国家级工业互联网安全技术支撑能力,着力提升隐患排查、攻击发现、应急处置和攻击溯源能力。



8《工业控制系统信息安全防护能力评估工作管理办法》


发布单位:

工业和信息化部

发布时间:

2017年7月31日


节选内容:

近年来,随着两化融合发展的不断深入,安全威胁向工业控制系统加速渗透,工业领域面临严峻的信息安全挑战。我部于去年发布了《工业控制系统信息安全防护指南》(以下简称《防护指南》),从配置和补丁管理、边界安全防护、安全监测和应急预案演练等方面,对工业企业提出了30项工控安全防护要求。为检验《防护指南》的实践效果,综合评价工业企业工控安全防护能力,我部于年初组织编制了《管理办法(初稿)》,并选择电力、化工、汽车、有色、石化、烟草6个重点行业开展了工控安全预评估工作,对《管理办法(初稿)》的科学性、合理性和可操作性进行检验,结合工控安全预评估工作,进一步对《管理办法(初稿)》进行修改完善,组织专家开展专题研讨论证,最终形成《管理办法》。



9《关键信息基础设施安全保护条例(征求意见稿)》


发布单位:

网信办

发布时间:

2017年7月10日


节选内容:

第二十三条 运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障关键信息基础设施免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,严格身份认证和权限管理;

(二)采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为;

(三)采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密认证等措施。


10《工业控制系统信息安全事件应急管理工作指南》


发布单位:

工业和信息化部

发布时间:

2017年6月15日


节选内容:

第二十一条 工业和信息化部、地方工业和信息化主管部门、工业企业制定本级工控安全事件应急预案,定期组织应急演练。


第二十二条 工业和信息化部建立国家工控安全应急专家组,为工控安全应急管理提供技术咨询和决策支持。地方工业和信息化主管部门建立本地区工控安全应急专家组,充分发挥专家在应急管理工作中的作用。


第二十三条 加强对工控安全事件应急装备和工具的储备,及时调整、升级软硬件工具,建设完善工控安全事件应急技术服务平台,不断增强应急技术支撑能力。


第二十四条 各有关部门应积极利用现有政策和资金渠道,申请新增预算,支持工控安全应急技术机构建设、专家队伍建设、基础平台建设、技术研发、应急演练、物资保障等,为工控安全应急管理工作提供必要的经费支持。



11《信息产业发展指南》


发布单位:

工业和信息化部、国家发展改革委

发布时间:

2017年1月16日


节选内容:

推动信息安全技术和产业发展。着力突破关键基础软硬件和信息安全核心技术,增强漏洞挖掘修补、攻击监测溯源等能力,强化“互联网+”、5G、SDN等新技术、新业态的安全风险应对。实施国家信息安全专项,开展关键信息基础设施运行安全保护和要害信息系统网络安全试点示范。推动信息安全产品和服务的研发和产业化应用。充分发挥政府引导作用,加快培育骨干企业,发展特色优势企业,打造结构完整、层次清晰、竞争有力的产业格局。


提升工业信息安全保障能力。建立健全工业信息安全政策和标准体系,针对重点行业制定安全管理政策以及管理指南、测评能力要求等安全标准。建立工业信息安全管理体系,完善工业信息安全检查评测和信息共享机制,推动开展安全检查、漏洞发布、信息通报等工作,营造安全的工业互联网环境。建设工业信息安全仿真、测试和验证平台,开展测试评估、安全验证等技术研发,推动安全新技术、新产品试点应用,提升工业信息安全技术保障能力。




成员展示