近日,工業(yè)和信息化部印發(fā)了《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》(以下簡稱《防護(hù)指南》)?���,F(xiàn)將有關(guān)內(nèi)容解讀如下:
一����、《防護(hù)指南》出臺的背景和意義是什么?
工業(yè)控制系統(tǒng)作為工業(yè)生產(chǎn)運行的基礎(chǔ)核心�,其網(wǎng)絡(luò)安全事關(guān)企業(yè)運營和生產(chǎn)安全、事關(guān)產(chǎn)業(yè)鏈供應(yīng)鏈安全穩(wěn)定��、事關(guān)經(jīng)濟(jì)社會運行和國家安全�。2016年�����,工業(yè)和信息化部出臺《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》���,對有效指導(dǎo)工業(yè)企業(yè)開展工控安全防護(hù)工作發(fā)揮了積極作用�����。2017年以來���,我國相繼頒布了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《密碼法》等法律法規(guī)及行業(yè)應(yīng)用方面的部門規(guī)章���,現(xiàn)有政策文件未能充分銜接相關(guān)法律法規(guī)要求。與此同時���,工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型步伐加快����,工業(yè)控制系統(tǒng)開放互聯(lián)趨勢明顯����,工業(yè)企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險與日俱增,工業(yè)企業(yè)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)需求迫切�����。
為做好《防護(hù)指南》編制工作,工業(yè)和信息化部結(jié)合新形勢新要求��,系統(tǒng)全面調(diào)研���,深入分析新時期工控安全風(fēng)險和企業(yè)安全防護(hù)需求���,廣泛征集地方工信主管部門、行業(yè)協(xié)會����、部屬單位、工控廠商�、工業(yè)企業(yè)、安全企業(yè)�、專家學(xué)者等各方意見?����!斗雷o(hù)指南》將有效滿足當(dāng)前和未來一個時期工控系統(tǒng)安全防護(hù)需求�����,指導(dǎo)工業(yè)企業(yè)切實提升工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全基線防護(hù)水平����,推動企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展。
二����、《防護(hù)指南》適用對象有哪些?
《防護(hù)指南》適用于使用��、運營工業(yè)控制系統(tǒng)的企業(yè)����。防護(hù)對象包括工業(yè)控制系統(tǒng)以及被網(wǎng)絡(luò)攻擊后可直接或間接影響生產(chǎn)運行的其他設(shè)備和系統(tǒng)。
三�、《防護(hù)指南》的定位和總體考慮是什么?
《防護(hù)指南》定位于面向工業(yè)企業(yè)做好網(wǎng)絡(luò)安全防護(hù)的指導(dǎo)性文件��,堅持統(tǒng)籌發(fā)展和安全���,圍繞安全管理��、技術(shù)防護(hù)�����、安全運營�、責(zé)任落實四方面,提出三十三項指導(dǎo)性安全防護(hù)基線要求��,推動解決走好新型工業(yè)化道路過程中工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全面臨的突出問題��。
一是堅持與時俱進(jìn)�。結(jié)合推進(jìn)新型工業(yè)化背景下的新形勢、新任務(wù)���、新要求����,針對性研究制定防護(hù)條款�,在落實2016年以來我國在網(wǎng)絡(luò)和數(shù)據(jù)安全領(lǐng)域新出臺的法律法規(guī)的同時,聚焦新時期工業(yè)控制系統(tǒng)的新應(yīng)用趨勢及新安全風(fēng)險�����。二是強(qiáng)調(diào)技管結(jié)合�。從安全管理、技術(shù)防護(hù)���、安全運營���、責(zé)任落實四方面提出防護(hù)要求����,堅持技術(shù)和管理措施并重���,督促企業(yè)落實工控安全主體責(zé)任。三是注重實操實踐�����。針對工業(yè)控制系統(tǒng)應(yīng)用現(xiàn)狀�����、運行特點和安全需求��,結(jié)合企業(yè)現(xiàn)有技術(shù)能力基礎(chǔ)���,提出可落地實操的明確安全要求�����,并通過實施基線安全防護(hù)等系列措施��,切實提升工業(yè)企業(yè)安全防護(hù)水平��。
四�����、《防護(hù)指南》如何指導(dǎo)企業(yè)做好網(wǎng)絡(luò)安全防護(hù)���?
一是聚焦安全風(fēng)險管控�,突出管理重點對象��,提升工業(yè)企業(yè)工控安全管理能力�。圍繞工業(yè)控制系統(tǒng)資產(chǎn)、配置��、供應(yīng)鏈��、人員四大管理重點提出安全要求����,在理清系統(tǒng)資產(chǎn)底數(shù)、保障系統(tǒng)基本運行安全的基礎(chǔ)上����,避免網(wǎng)絡(luò)安全風(fēng)險引入工業(yè)控制系統(tǒng),減少網(wǎng)絡(luò)安全事件的可能性���。二是聚焦安全薄弱關(guān)鍵環(huán)節(jié)����,強(qiáng)化技術(shù)應(yīng)對策略,提升工業(yè)企業(yè)工控安全防護(hù)能力��。在保障工業(yè)主機(jī)和終端設(shè)備自身安全的基礎(chǔ)上����,進(jìn)一步防范來自內(nèi)外部網(wǎng)絡(luò)的入侵攻擊�����,強(qiáng)調(diào)上云上平臺新型場景下的設(shè)備與業(yè)務(wù)安全���,同時規(guī)范軟件和服務(wù)安全使用�����,落實數(shù)據(jù)安全分類分級保護(hù)��。三是聚焦易發(fā)網(wǎng)絡(luò)安全風(fēng)險�����,增強(qiáng)威脅發(fā)現(xiàn)及處置能力��,提升工業(yè)企業(yè)安全運營能力��。圍繞網(wǎng)絡(luò)安全事件的事前��、事中����、事后環(huán)節(jié),提出部署網(wǎng)絡(luò)安全監(jiān)測手段�、建設(shè)網(wǎng)絡(luò)安全運營中心和做好應(yīng)急處置等安全措施,并要求做好定期網(wǎng)絡(luò)安全風(fēng)險評估和防護(hù)能力評估��,開展日常系統(tǒng)漏洞排查并實施安全加固�。四是聚焦工業(yè)企業(yè)資源保障,堅持統(tǒng)籌發(fā)展和安全��,督促企業(yè)落實網(wǎng)絡(luò)安全責(zé)任����。圍繞建立工控安全管理制度,明確工控安全保護(hù)責(zé)任�,確保安全技術(shù)措施與工業(yè)控制系統(tǒng)建設(shè)同步推進(jìn)等方面提出安全要求。
五�、下一步如何推進(jìn)《防護(hù)指南》落實�����?
為更好指導(dǎo)各方落實《防護(hù)指南》相關(guān)要求�,下一步將從政策宣貫�、試點推廣、生態(tài)培育等方面���,深入推進(jìn)工控安全防護(hù)工作�。
一是做好政策宣貫培訓(xùn)����,組織開展系列宣傳活動�,面向地方主管部門、工業(yè)企業(yè)等做好文件解讀和宣貫培訓(xùn)����,切實提升企業(yè)工控安全防護(hù)意識。二是推進(jìn)安全評估試點��,組織開展工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力評估試點工作��,完善評估機(jī)制����、流程和方式�����,形成一批可復(fù)制�、可推廣的工控安全解決方案�����。三是探索重要系統(tǒng)識別認(rèn)定����,梳理研究重要工業(yè)控制系統(tǒng)的界定方法、判定規(guī)則等��,研究制定重要工業(yè)控制系統(tǒng)識別認(rèn)定相關(guān)文件����。四是推進(jìn)產(chǎn)業(yè)生態(tài)培育,依托試點示范����、專項項目等,面向典型工業(yè)場景和工控安全防護(hù)需求,突破一批工控安全防護(hù)關(guān)鍵技術(shù)����,提升工控安全產(chǎn)品供給能力。