工業控制系統廣泛應用于能源、水利、石油化工、裝備制造等工業生產領域,堪稱是國家關鍵生產設施和基礎設施運行的“神經中樞”,一旦遭到破壞,可能造成人員傷亡、環境污染、停產停工等嚴重后果,將嚴重威脅國家經濟安全、政治安全、社會穩定和國家安全。當下,互聯網與工業融合創新帶來的安全問題日益嚴峻,新興需求也使工業安全領域備受關注。近三年來,國家針對工業安全領域出臺多項政策、標準及白皮書,在這些政策、標準、白皮書的密集鼓勵和推進下,工業安全行業迎來爆發式的發展。
為此,工業控制系統信息安全產業聯盟(簡稱工業安全產業聯盟)特梳理、推出近三年(2017~2019)工控信息安全、信息安全領域的政策篇、標準篇、白皮書篇三大系列專題, 以饗讀者。
本期推送第一期專題——政策篇,干貨一網打盡,值得收藏!
1《工業互聯網綜合標準化體系建設指南》
發布單位:
工業和信息化部、國家標準化管理委員會
發布時間:
2019年3月8日
節選內容:
(三)安全體系
安全體系是工業互聯網的保障。安全體系通過構建涵蓋工業全系統的安全防護體系,打造滿足工業需求的安全技術體系和相應管理機制,識別和抵御來自內外部的安全威脅,化解各種安全風險,是工業互聯網可靠運行,實現工業智能化的安全可信保障。
工業互聯網安全從防護對象、防護措施及防護管理三個維度構建。針對不同的防護對象部署相應的安全防護措施,根據實時監測結果發現網絡中存在的或即將發生的安全問題并及時做出響應,并通過加強防護管理,明確基于安全目標的可持續改進的管理方針,從而保障工業互聯網的安全。
工業互聯網安全主要涉及設備、控制系統、網絡、數據、平臺、應用等方面的防護技術和管理手段,現有面向公網或專網的安全技術及管理標準尚不能滿足工業互聯網跨網絡、跨領域的整體安全保障需求。現階段針對工業互聯網安全相關標準主要集中在工業控制系統領域,為支撐工業互聯網健康發展,需要系統全面地開展工業互聯網安全技術研究與標準研制。
2國家智能制造標準體系建設指南
(2018年版)
發布單位:
工業和信息化部、國家標準化管理委員會
發布時間:
2018年10月15日
節選內容:
2. 安全標準
主要包括功能安全、信息安全和人因安全三個部分。功能安全標準用于保證控制系統在危險發生時正確地執行其安全功能,從而避免因設備故障或系統功能失效而導致生產事故,包括面向智能制造的功能安全要求、功能安全系統設計和實施、功能安全測試和評估、功能安全管理等標準。信息安全標準用于保證智能制造領域相關信息系統及其數據不被破壞、更改、泄露,從而確保系統能連續可靠地運行,包括軟件安全、設備信息安全、網絡信息安全、數據安全、信息安全防護及評估等標準。人因安全標準用于避免在智能制造各環節中因人的行為造成的隱患或威脅,通過合理分配任務,調節工作環境,提高人員能力,以保證人身安全,預防誤操作等,包括工作任務、環境、設備、人員能力、管理支持等標準。
3《關于加強電力行業網絡安全工作的指導意見》
發布單位:
國家能源局
發布時間:
2018年9月21日
節選內容:
《意見》圍繞進一步落實電力企業網絡安全主體責任,完善網絡安全監督管理體制機制,加強全方位網絡安全管理,強化關鍵信息基礎設施安全保護,加強行業網絡安全基礎設施建設,加強電力企業數據安全保護,提高網絡安全態勢感知、預警及應急處置能力,支持網絡安全自主創新與安全可控;積極推動電力行業網絡安全產業健康發展,推進網絡安全軍民融合深度發展,加強網絡安全人才隊伍建設,拓展網絡安全國際合作等12方面提出30條具體要求。
《意見》的出臺,將有力促進電力行業網絡安全責任體系和網絡安全監督管理體制機制的健全完善,進一步提升電力監控系統安全防護水平,強化網絡安全防護體系,提高自主創新及安全可控能力,有力防范和遏制重大網絡安全事件,保障電力系統安全穩定運行和電力可靠供應。
4《工業互聯網發展行動計劃(2018-2020年)》
發布單位:
工業和信息化部
發布時間:
2018年6月7日
節選內容:
(七)安全保障水平增強行動
行動內容:
25.健全安全管理制度機制,出臺工業互聯網安全指導性文件,明確并落實企業主體責任,對工業行業和工業企業實行分級分類管理,建立針對重點行業、重點企業的監督檢查、信息通報、應急響應等管理機制。
26.初步建立工業互聯網全產業鏈數據安全管理體系,強化平臺及數據安全監督檢查和風險評估,支持開展安全認證。
27.指導督促企業強化自身網絡安全技術防護,推動加強國家工業互聯網安全技術保障手段及數據安全防護技術手段建設,提升安全態勢感知和綜合保障能力。
時間節點:2020 年前,安全管理制度機制和標準體系基本完備。企業、地方、國家三級協同的安全技術保障體系初步形成。
5《關于進一步加強核電運行安全管理的指導意見》
發布單位:
國家發展改革委、國家能源局、生態環境部、國防科工局
發布時間:
2018年5月22日
節選內容:
八、加強核電廠網絡安全管理
將網絡安全納入核電安全管理體系,加強能力建設,保障核電廠網絡安全。
(十七)開展網絡安全能力建設。核電廠要建立健全電力監控系統安全防護管理制度,對網絡威脅進行評估和風險分析,合理配置網絡安全監控工具,建立核電廠防范網絡攻擊、數據操縱或篡改的能力,定期開展網絡安全檢查。核電集團和核電廠要加強網絡安全能力建設,研究建立核電廠網絡安全實驗室、工控系統測試平臺等基礎設施。
(十八)做好網絡等級保護測評。核電廠要制定生產控制大區、管理信息大區安全防護總體方案,完成等保定級、備案,并定期進行等級測評,建立網絡安全事件應急響應預案并定期進行演練。
(十九)開展網絡安全培訓及評估工作。支持行業組織開展網絡安全相關人員的技術培訓,建立網絡安全保護規范和協作機制,開展核電廠網絡安全同行評估。
6《工業控制系統信息安全行動計劃(2018-2020年)》
發布單位:
工業和信息化部
發布時間:
2017年12月29日
節選內容:
(三)安全防護能力提升
加強防護技術研究。支持建設工控安全靶場、仿真測試等共性技術平臺,研發工控安全防護技術工具集,加強分區隔離、安全交換、協議管控等關鍵技術攻關。開展防護能力建設試點示范,形成可復制、可推廣的安全防護整體解決方案。探索工業云、工業大數據等新興應用的安全架構設計,開展工業互聯網安全防護技術研究和創新。
建立健全標準體系。制定工控安全分級、安全要求、安全實施、安全測評類標準,加快工控安全防護能力評估、工業控制系統設備產品安全、工業互聯網平臺安全等急用先行標準的發布和應用,鼓勵企業、科研院所、行業組織等參與國際標準化工作。
7《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》
發布單位:
國務院
發布時間:
2017年11月27日
節選內容:
(六)強化安全保障。
提升安全防護能力。加強工業互聯網安全體系研究,技術和管理相結合,建立涵蓋設備安全、控制安全、網絡安全、平臺安全和數據安全的工業互聯網多層次安全保障體系。加大對技術研發和成果轉化的支持力度,重點突破標識解析系統安全、工業互聯網平臺安全、工業控制系統安全、工業大數據安全等相關核心技術,推動攻擊防護、漏洞挖掘、入侵發現、態勢感知、安全審計、可信芯片等安全產品研發,建立與工業互聯網發展相匹配的技術保障能力。構建工業互聯網設備、網絡和平臺的安全評估認證體系,依托產業聯盟等第三方機構開展安全能力評估和認證,引領工業互聯網安全防護能力不斷提升。
建立數據安全保護體系。建立工業互聯網全產業鏈數據安全管理體系,明確相關主體的數據安全保護責任和具體要求,加強數據收集、存儲、處理、轉移、刪除等環節的安全防護能力。建立工業數據分級分類管理制度,形成工業互聯網數據流動管理機制,明確數據留存、數據泄露通報要求,加強工業互聯網數據安全監督檢查。
推動安全技術手段建設。督促工業互聯網相關企業落實網絡安全主體責任,指導企業加大安全投入,加強安全防護和監測處置技術手段建設,開展工業互聯網安全試點示范,提升安全防護能力。積極發揮相關產業聯盟引導作用,整合行業資源,鼓勵聯盟單位創新服務模式,提供安全運維、安全咨詢等服務,提升行業整體安全保障服務能力。充分發揮國家專業機構和社會力量作用,增強國家級工業互聯網安全技術支撐能力,著力提升隱患排查、攻擊發現、應急處置和攻擊溯源能力。
8《工業控制系統信息安全防護能力評估工作管理辦法》
發布單位:
工業和信息化部
發布時間:
2017年7月31日
節選內容:
近年來,隨著兩化融合發展的不斷深入,安全威脅向工業控制系統加速滲透,工業領域面臨嚴峻的信息安全挑戰。我部于去年發布了《工業控制系統信息安全防護指南》(以下簡稱《防護指南》),從配置和補丁管理、邊界安全防護、安全監測和應急預案演練等方面,對工業企業提出了30項工控安全防護要求。為檢驗《防護指南》的實踐效果,綜合評價工業企業工控安全防護能力,我部于年初組織編制了《管理辦法(初稿)》,并選擇電力、化工、汽車、有色、石化、煙草6個重點行業開展了工控安全預評估工作,對《管理辦法(初稿)》的科學性、合理性和可操作性進行檢驗,結合工控安全預評估工作,進一步對《管理辦法(初稿)》進行修改完善,組織專家開展專題研討論證,最終形成《管理辦法》。
9《關鍵信息基礎設施安全保護條例(征求意見稿)》
發布單位:
網信辦
發布時間:
2017年7月10日
節選內容:
第二十三條 運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障關鍵信息基礎設施免受干擾、破壞或者未經授權的訪問,防止網絡數據泄漏或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,嚴格身份認證和權限管理;
(二)采取技術措施,防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為;
(三)采取技術措施,監測、記錄網絡運行狀態、網絡安全事件,并按照規定留存相關的網絡日志不少于六個月;
(四)采取數據分類、重要數據備份和加密認證等措施。
10《工業控制系統信息安全事件應急管理工作指南》
發布單位:
工業和信息化部
發布時間:
2017年6月15日
節選內容:
第二十一條 工業和信息化部、地方工業和信息化主管部門、工業企業制定本級工控安全事件應急預案,定期組織應急演練。
第二十二條 工業和信息化部建立國家工控安全應急專家組,為工控安全應急管理提供技術咨詢和決策支持。地方工業和信息化主管部門建立本地區工控安全應急專家組,充分發揮專家在應急管理工作中的作用。
第二十三條 加強對工控安全事件應急裝備和工具的儲備,及時調整、升級軟硬件工具,建設完善工控安全事件應急技術服務平臺,不斷增強應急技術支撐能力。
第二十四條 各有關部門應積極利用現有政策和資金渠道,申請新增預算,支持工控安全應急技術機構建設、專家隊伍建設、基礎平臺建設、技術研發、應急演練、物資保障等,為工控安全應急管理工作提供必要的經費支持。
11《信息產業發展指南》
發布單位:
工業和信息化部、國家發展改革委
發布時間:
2017年1月16日
節選內容:
推動信息安全技術和產業發展。著力突破關鍵基礎軟硬件和信息安全核心技術,增強漏洞挖掘修補、攻擊監測溯源等能力,強化“互聯網+”、5G、SDN等新技術、新業態的安全風險應對。實施國家信息安全專項,開展關鍵信息基礎設施運行安全保護和要害信息系統網絡安全試點示范。推動信息安全產品和服務的研發和產業化應用。充分發揮政府引導作用,加快培育骨干企業,發展特色優勢企業,打造結構完整、層次清晰、競爭有力的產業格局。
提升工業信息安全保障能力。建立健全工業信息安全政策和標準體系,針對重點行業制定安全管理政策以及管理指南、測評能力要求等安全標準。建立工業信息安全管理體系,完善工業信息安全檢查評測和信息共享機制,推動開展安全檢查、漏洞發布、信息通報等工作,營造安全的工業互聯網環境。建設工業信息安全仿真、測試和驗證平臺,開展測試評估、安全驗證等技術研發,推動安全新技術、新產品試點應用,提升工業信息安全技術保障能力。
