工業和信息化部關於印發《工業控制系統信息安全防護指南》的通知
文章推薦指數: 80 %
工業控制系統信息安全防護指南
工業控制系統信息安全事關經濟發展、社會穩定和國家安全。
為提升工業企業工業控制系統信息安全(以下簡稱工控安全)防護水平,保障工業控制系統安全,制定本指南。
工業控制系統應用企業以及從事工業控制系統規劃、設計、建設、運維、評估的企事業單位適用本指南。
工業控制系統應用企業應從以下十一個方面做好工控安全防護工作。
一、安全軟體選擇與管理
(一)在工業主機上採用經過離線環境中充分驗證測試的防病毒軟體或應用程式白名單軟體,只允許經過工業企業自身授權和安全評估的軟體運行。
(二)建立防病毒和惡意軟體入侵管理機制,對工業控制系統及臨時接入的設備採取病毒查殺等安全預防措施。
二、配置和補丁管理
(一)做好工業控制網絡、工業主機和工業控制設備的安全配置,建立工業控制系統配置清單,定期進行配置審計。
(二)對重大配置變更制定變更計劃並進行影響分析,配置變更實施前進行嚴格安全測試。
(三)密切關注重大工控安全漏洞及其補丁發布,及時採取補丁升級措施。
在補丁安裝前,需對補丁進行嚴格的安全評估和測試驗證。
三、 邊界安全防護
(一)分離工業控制系統的開發、測試和生產環境。
(二)通過工業控制網絡邊界防護設備對工業控制網絡與企業網或網際網路之間的邊界進行安全防護,禁止沒有防護的工業控制網絡與網際網路連接。
(三)通過工業防火牆、網閘等防護設備對工業控制網絡安全區域之間進行邏輯隔離安全防護。
四、物理和環境安全防護
(一)對重要工程師站、資料庫、伺服器等核心工業控制軟硬體所在區域採取訪問控制、視頻監控、專人值守等物理安全防護措施。
(二)拆除或封閉工業主機上不必要的USB、光碟機、無線等接口。
若確需使用,通過主機外設安全管理技術手段實施嚴格訪問控制。
五、身份認證
(一)在工業主機登錄、應用服務資源訪問、工業雲平台訪問等過程中使用身份認證管理。
對於關鍵設備、系統和平台的訪問採用多因素認證。
(二)合理分類設置帳戶權限,以最小特權原則分配帳戶權限。
(三)強化工業控制設備、SCADA軟體、工業通信設備等的登錄帳戶及密碼,避免使用默認口令或弱口令,定期更新口令。
(四)加強對身份認證證書信息保護力度,禁止在不同系統和網絡環境下共享。
六、遠程訪問安全
(一)原則上嚴格禁止工業控制系統面向網際網路開通HTTP、FTP、Telnet等高風險通用網絡服務。
(二)確需遠程訪問的,採用數據單向訪問控制等策略進行安全加固,對訪問時限進行控制,並採用加標鎖定策略。
(三)確需遠程維護的,採用虛擬專用網絡(VPN)等遠程接入方式進行。
(四)保留工業控制系統的相關訪問日誌,並對操作過程進行安全審計。
七、安全監測和應急預案演練
(一)在工業控制網絡部署網絡安全監測設備,及時發現、報告並處理網絡攻擊或異常行為。
(二)在重要工業控制設備前端部署具備工業協議深度包檢測功能的防護設備,限制違法操作。
(三)制定工控安全事件應急響應預案,當遭受安全威脅導致工業控制系統出現異常或故障時,應立即採取緊急防護措施,防止事態擴大,並逐級報送直至屬地省級工業和信息化主管部門,同時注意保護現場,以便進行調查取證。
(四)定期對工業控制系統的應急響應預案進行演練,必要時對應急響應預案進行修訂。
八、資產安全
(一)建設工業控制系統資產清單,明確資產責任人,以及資產使用及處置規則。
(二)對關鍵主機設備、網絡設備、控制組件等進行冗餘配置。
九、數據安全
(一)對靜態存儲和動態傳輸過程中的重要工業數據進行保護,根據風險評估結果對數據信息進行分級分類管理。
(二)定期備份關鍵業務數據。
(三)對測試數據進行保護。
十、供應鏈管理
(一)在選擇工業控制系統規劃、設計、建設、運維或評估等服務商時,優先考慮具備工控安全防護經驗的企事業單位,以合同等方式明確服務商應承擔的信息安全責任和義務。
(二)以保密協議的方式要求服務商做好保密工作,防範敏感信息外泄。
十一、落實責任
通過建立工控安全管理機制、成立信息安全協調小組等方式,明確工控安全管理責任人,落實工控安全責任制,部署工控安全防護措施
解決工控系統「裸奔」的問題 從這裡開始
當前,工控安全已成為世界各國關注的焦點之一。我們看到,近年來,全球重大工業信息安全事件頻發:2010年伊朗核設施遭受「震網病毒」攻擊;2016年美國東海岸大面積斷網;2017年「WannaCry...
搶先看|《2015年工業控制網絡安全態勢報告》
4月11日,由匡恩網絡撰寫的《2015年工業控制網絡安全態勢報告》正式公開發布,該報告披露了大量國內外重大工控網絡安全的事件和案例,並進行了深度分析,是了解國內外工控安全形勢,幫助政府、研究機構...
水電站集控中心解決方案
3.水電站集控中心解決方案3.1行業標準IEC62443-3(工業過程測量和控制安全-3)關於網絡和系統信息安全提出了指導性的網絡防護要求和建議。 根據IEC62443-3,5.6.2節基於工業...
布控工控安全防護工作,安全設備的「智慧」大腦
近日,信軟司組織召開《工業控制系統信息安全防護指南》宣貫會,要求工業控制系統應用企業要從工業控制設備的安全配置及定期進行配置審計等十一個方面做好工控安全防護工作。複雜的工控網絡必然需要配置多種安...
原創 | 智能製造背景下化工行業工業控制系統安全分析與探討
摘要:文章介紹了化工行業工業控制系統信息安全面臨的形勢,研究與分析在智能製造的背景下存在的信息安全漏洞與風險,提出了防範措施與建議。1概述眾所周知,工業控制系統(Industrial and C...
WNCRYP爆發世界兩大工業控制系統入侵事件,做好防禦工作!
本期導讀:伊朗布希爾核電站開車之際為何1/5的離心機報廢?烏克蘭西部伊萬諾-弗蘭科夫斯克地區為何突然30座變電站下線,使得超過23萬名居民陷入無電可用的困境?你的工控系統是在「裸奔」嗎?拿什麼手...
第一時間詳解《工業控制系統信息安全防護指南》
11月3日,工信部網站正式發布「工業和信息化部關於印發《工業控制系統信息安全防護指南》的通知」 (以下簡稱通知),牛君第一時間聯繫威努特的技術專家對通知進行了解讀,以下是全文: