近日,工业和信息化部印发《工业控制系统网络安全防护指南》。该指南的制定旨在适应新时期工业控制系统网络安全形势,进一步指导企业提升工控安全防护水平,夯实新型工业化发展安全根基。
适用范围及防护对象
使用、运营工业控制系统的企业适用本指南。防护对象包括以下2类:
1. 工业控制系统
工业控制系统指在工业部门和关键基础设施中应用于各种工业生产的控制系统,通常被广泛应用于钢铁、有色、化工、装备制造等行业领域,对国家经济发展、社会稳定和国家安全具有重要意义。
2. 被网络攻击后可直接或间接影响生产运行的其他设备和系统。
随着it和ot的高度融合,越来越多的工业控制系统与mes、erp等管理信息系统之间进行互联互通,这些管理信息系统一旦被网络攻击后,极有可能会对工业控制系统产生直接或间接影响,从而影响生产运行,因此,工业控制系统网络安全防护体系建设也应同时考虑到与工业控制系统存在关联的其他设备和系统的安全防护。
防护指南对比
新版旧版防护指南对照图
防护要点对比分析
安全管理
1、资产管理
应对措施
工业企业应结合资产探测、脆弱性扫描等主动、被动技术手段,对资产信息进行梳理和识别,并建立资产清单,定期核查资产并进行评估,形成资产安全态势。落实资产管理责任部门和责任人,对数据库、文件、系统等进行备份管理。
对标产品及服务
工业漏洞扫描系统、工业安全检查工具箱、工业安全态势系统、安全风险评估、工业安全咨询服务。
2、配置管理
应对措施
工业企业应建立安全配置清单,定期开展安全基线核查工作,对账户及口令管理进行配置核查,及时清理过期账户。当发生重大配置变更时,应在离线环境中对配置变更进行安全性验证后方可实施。
对标产品及服务
基线管理系统、安全基线核查服务。
3、供应链安全
应对措施
建议建立供应链安全管理制度,包含供应链安全选择的原则、标准、供应商协议签订注意事项等内容,设置相应的供应链安全管理部门和人员进行供应链安全管理,明确供应商的相关责任和义务,加强供应链的安全保障。同时应对plc等设备进行脆弱性扫描。
对标产品及服务
工业漏扫系统、工业安全咨询服务。
4、宣传教育
应对措施
建立工业控制系统网络安全教育培训制度,明确教育培训开展的周期、内容、参加的人员等,并规定相应的奖惩机制,通过落实工业控制系统网络安全教育培训制度,增强企业人员的网络安全意识与专业技能水平。
对标产品及服务
工业信息安全教育培训服务
技术防护
1、主机和终端安全
应对措施
工业企业应根据实际情况,通过安装防病毒软件或者应用软件白名单技术,增强主机网络安全防御能力。通过拆除或封闭工业主机上不必要的外设接口及端口减少工业主机被感染的风险,实施外设管控措施。对关键主机或终端的访问采用双因子认证方法,加强对访问者身份认证的安全性。
对标产品及服务
edr(终端威胁防御系统)、工业主机卫士系统、安全u盘、双因子认证措施(数字证书、ukey、动态令牌、生物识别)。
2、架构与边界安全
应对措施
工业企业应合理划分工业控制系统安全区域,部署工业防火墙、工业网闸等设备实现区域间的隔离防护,并遵循最小权限原则实施严格的访问控制措施,对网间行为进行安全审计,对无线网络和远程访问、远程运维过程加强身份认证管理。
对标产品及服务
工业防火墙系统、工业网闸系统、工业安全审计系统、无线入侵防御系统、工业运维安全审计系统、vpn系统、网络安全准入系统。
3、上云安全
应对措施
工业企业自建工业云平台时,应通过部署云安全资源池实现工业云平台安全防护,对接入工业云平台的工业设备进行严格的双向身份认证和接入管控,对接入云平台的业务系统进行安全隔离防护,有效防范工业云平台面临的非法操作、网络攻击等安全威胁。
对标产品及服务
云安全资源池系统(云防火墙、云ips、云vpn、云工业防火墙、云工业入侵检测与审计系统、云堡垒机等)、数字证书系统、vpn系统。
4、应用安全
应对措施
工业企业对访问关键应用服务的用户,应采用双因子认证方式加强防护。工业自研软件应通过脆弱性检测评估或委托第三方机构开展安全性测试等方式。
对标产品及服务
工业运维审计系统、工业防火墙系统、工业漏扫系统、双因子认证措施(数字证书、ukey、动态令牌、生物识别)、代码审计服务。
5、系统数据安全
应对措施
工业企业应依据《工业和信息化领域数据安全管理办法(试行)》等政策法规要求,开展数据分类分级管理工作,对数据收集、存储、使用、加工、传输、提供、公开等环节进行安全防护,对出境数据依法依规开展数据出境安全评估工作。
对标产品及服务
数据安全管理平台、vpn系统、工业数据安全审计系统、工业数据库防火墙系统、容灾备份一体机、数据安全治理服务。
安全运营
1、监测预警
应对措施
要针对工业控制系统中的出现的未知入侵行为进行快速设定策略。同时搭建一套以蜜罐系统为主的工业仿真系统主动诱导攻击,记录攻击细节并产生告警,可定位攻击源,弥补网络防护体系短板,提升主动防御能力。
对标产品及服务
工业网络安全监测审计系统、工业入侵系统、工业漏扫系统、工业蜜罐系统、工业安全态势系统。
2、运营中心
应对措施
从措施的落地性方面考虑,工业生产业务连续性强,采用安全编排自动化与响应过程出现的误报威胁事件易对业务产生中断问题,造成生产事故。因此,建议在安全态势运营中,对采用安全编排自动化与响应技术措施时,结合人为判断参与到对威胁的处置中,从而实时态势感知、统一管理、及时应急处置等安全目标,提高工业企业风险发现能力,加快风险解决速度。
对标产品及服务
工业安全态势系统、安全运营服务。
3、应急处置
应对措施
制定应急管理制度、应急预案、留存日志、系统备份等手段。定期进行应急演练。针对重要设备、平台、系统访问和操作日志留存时间不少于六个月。
对标产品及服务
工业日志审计系统、容灾备份一体机、工业安全咨询服务。
4、安全评估
应对措施
依托专业的第三方团队,在系统上线前进行一次风险评估,并根据系统重要程度定期(每年一次/每半年一次/每季度一次)进行安全评估服务安全评估服务。
对标产品及服务
工业安全风险评估服务。
5、漏洞管理
应对措施
建议采用原理扫描、模糊扫描、登录扫描、静态扫描、分离式扫描、串口扫描等多种技术手段。全方位、高效的检测生产网络中的各类工业资产脆弱性风险以及配置合规性情况。并针对补丁进行离线测试后进行漏洞修复。如存在无法修复的情况应进行其它的安全加固手段。
对标产品及服务
工业安全加固服务、工业漏扫系统、工业脆弱性扫描服务。
责任落实
应对措施
应构建工业信息安全管理制度,制定企业安全标准,健全相关企业制度。
对标产品及服务
工业安全咨询服务。
· 对标产品及服务一览表 ·
工业控制系统作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。近年来,工业企业数字化转型步伐加快,工业控制系统开放互联趋势明显,工业企业面临的网络安全风险与日俱增,工业企业加强网络安全防护需求迫切。该指南聚焦安全风险管控与易发网络安全风险等,将进一步为相关企业走好新型工业化道路明晰前进方向。