近日,工業(yè)和信息化部印發(fā)了《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》(以下簡稱《防護(hù)指南》)?,F(xiàn)將有關(guān)內(nèi)容解讀如下:
工業(yè)控制系統(tǒng)作為工業(yè)生產(chǎn)運行的基礎(chǔ)核心,其網(wǎng)絡(luò)安全事關(guān)企業(yè)運營和生產(chǎn)安全、事關(guān)產(chǎn)業(yè)鏈供應(yīng)鏈安全穩(wěn)定、事關(guān)經(jīng)濟(jì)社會運行和國家安全。2016年,工業(yè)和信息化部出臺《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,對有效指導(dǎo)工業(yè)企業(yè)開展工控安全防護(hù)工作發(fā)揮了積極作用。2017年以來,我國相繼頒布了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《密碼法》等法律法規(guī)及行業(yè)應(yīng)用方面的部門規(guī)章,現(xiàn)有政策文件未能充分銜接相關(guān)法律法規(guī)要求。與此同時,工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型步伐加快,工業(yè)控制系統(tǒng)開放互聯(lián)趨勢明顯,工業(yè)企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險與日俱增,工業(yè)企業(yè)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)需求迫切。
為做好《防護(hù)指南》編制工作,工業(yè)和信息化部結(jié)合新形勢新要求,系統(tǒng)全面調(diào)研,深入分析新時期工控安全風(fēng)險和企業(yè)安全防護(hù)需求,廣泛征集地方工信主管部門、行業(yè)協(xié)會、部屬單位、工控廠商、工業(yè)企業(yè)、安全企業(yè)、專家學(xué)者等各方意見?!斗雷o(hù)指南》將有效滿足當(dāng)前和未來一個時期工控系統(tǒng)安全防護(hù)需求,指導(dǎo)工業(yè)企業(yè)切實提升工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全基線防護(hù)水平,推動企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展。
《防護(hù)指南》適用于使用、運營工業(yè)控制系統(tǒng)的企業(yè)。防護(hù)對象包括工業(yè)控制系統(tǒng)以及被網(wǎng)絡(luò)攻擊后可直接或間接影響生產(chǎn)運行的其他設(shè)備和系統(tǒng)。
《防護(hù)指南》定位于面向工業(yè)企業(yè)做好網(wǎng)絡(luò)安全防護(hù)的指導(dǎo)性文件,堅持統(tǒng)籌發(fā)展和安全,圍繞安全管理、技術(shù)防護(hù)、安全運營、責(zé)任落實四方面,提出三十三項指導(dǎo)性安全防護(hù)基線要求,推動解決走好新型工業(yè)化道路過程中工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全面臨的突出問題。
一是堅持與時俱進(jìn)。結(jié)合推進(jìn)新型工業(yè)化背景下的新形勢、新任務(wù)、新要求,針對性研究制定防護(hù)條款,在落實2016年以來我國在網(wǎng)絡(luò)和數(shù)據(jù)安全領(lǐng)域新出臺的法律法規(guī)的同時,聚焦新時期工業(yè)控制系統(tǒng)的新應(yīng)用趨勢及新安全風(fēng)險。二是強(qiáng)調(diào)技管結(jié)合。從安全管理、技術(shù)防護(hù)、安全運營、責(zé)任落實四方面提出防護(hù)要求,堅持技術(shù)和管理措施并重,督促企業(yè)落實工控安全主體責(zé)任。三是注重實操實踐。針對工業(yè)控制系統(tǒng)應(yīng)用現(xiàn)狀、運行特點和安全需求,結(jié)合企業(yè)現(xiàn)有技術(shù)能力基礎(chǔ),提出可落地實操的明確安全要求,并通過實施基線安全防護(hù)等系列措施,切實提升工業(yè)企業(yè)安全防護(hù)水平。
一是聚焦安全風(fēng)險管控,突出管理重點對象,提升工業(yè)企業(yè)工控安全管理能力。圍繞工業(yè)控制系統(tǒng)資產(chǎn)、配置、供應(yīng)鏈、人員四大管理重點提出安全要求,在理清系統(tǒng)資產(chǎn)底數(shù)、保障系統(tǒng)基本運行安全的基礎(chǔ)上,避免網(wǎng)絡(luò)安全風(fēng)險引入工業(yè)控制系統(tǒng),減少網(wǎng)絡(luò)安全事件的可能性。二是聚焦安全薄弱關(guān)鍵環(huán)節(jié),強(qiáng)化技術(shù)應(yīng)對策略,提升工業(yè)企業(yè)工控安全防護(hù)能力。在保障工業(yè)主機(jī)和終端設(shè)備自身安全的基礎(chǔ)上,進(jìn)一步防范來自內(nèi)外部網(wǎng)絡(luò)的入侵攻擊,強(qiáng)調(diào)上云上平臺新型場景下的設(shè)備與業(yè)務(wù)安全,同時規(guī)范軟件和服務(wù)安全使用,落實數(shù)據(jù)安全分類分級保護(hù)。三是聚焦易發(fā)網(wǎng)絡(luò)安全風(fēng)險,增強(qiáng)威脅發(fā)現(xiàn)及處置能力,提升工業(yè)企業(yè)安全運營能力。圍繞網(wǎng)絡(luò)安全事件的事前、事中、事后環(huán)節(jié),提出部署網(wǎng)絡(luò)安全監(jiān)測手段、建設(shè)網(wǎng)絡(luò)安全運營中心和做好應(yīng)急處置等安全措施,并要求做好定期網(wǎng)絡(luò)安全風(fēng)險評估和防護(hù)能力評估,開展日常系統(tǒng)漏洞排查并實施安全加固。四是聚焦工業(yè)企業(yè)資源保障,堅持統(tǒng)籌發(fā)展和安全,督促企業(yè)落實網(wǎng)絡(luò)安全責(zé)任。圍繞建立工控安全管理制度,明確工控安全保護(hù)責(zé)任,確保安全技術(shù)措施與工業(yè)控制系統(tǒng)建設(shè)同步推進(jìn)等方面提出安全要求。
為更好指導(dǎo)各方落實《防護(hù)指南》相關(guān)要求,下一步將從政策宣貫、試點推廣、生態(tài)培育等方面,深入推進(jìn)工控安全防護(hù)工作。
一是做好政策宣貫培訓(xùn),組織開展系列宣傳活動,面向地方主管部門、工業(yè)企業(yè)等做好文件解讀和宣貫培訓(xùn),切實提升企業(yè)工控安全防護(hù)意識。二是推進(jìn)安全評估試點,組織開展工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力評估試點工作,完善評估機(jī)制、流程和方式,形成一批可復(fù)制、可推廣的工控安全解決方案。三是探索重要系統(tǒng)識別認(rèn)定,梳理研究重要工業(yè)控制系統(tǒng)的界定方法、判定規(guī)則等,研究制定重要工業(yè)控制系統(tǒng)識別認(rèn)定相關(guān)文件。四是推進(jìn)產(chǎn)業(yè)生態(tài)培育,依托試點示范、專項項目等,面向典型工業(yè)場景和工控安全防護(hù)需求,突破一批工控安全防護(hù)關(guān)鍵技術(shù),提升工控安全產(chǎn)品供給能力。