《工业控制系统信息安全防护指南》产品措施匹配表
2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》(以下简称《指南》),指导工业企业开展工控安全防护工作。
背景情况
工控安全事关经济发展、社会稳定和国家安全。近年来,随着信息化和工业化融合的不断深入,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化。在生产力显著提高的同时,工业控制系统面临着日益严峻的信息安全威胁。为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)文件精神,应对新时期工控安全形势,提升工业企业工控安全防护水平,编制本《指南》。
总体考虑
《指南》坚持“安全是发展的前提,发展是安全的保障”,以当前我国工业控制系统面临的安全问题为出发点,注重防护要求的可执行性,从管理、技术两方面明确工业企业工控安全防护要求。编制思路如下:
(一)落实《国家网络安全法》要求
《指南》所列11项要求充分体现了《国家网络安全法》中网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置等法规在工控安全领域的要求,是《国家网络安全法》在工业领域的具体应用。
(二)突出工业企业主体责任
《指南》根据我国工控安全管理工作实践经验,面向工业企业提出工控安全防护要求,确立企业作为工控安全责任主体,要求企业明确工控安全管理责任人,落实工控安全责任制。
(三)考虑我国工控安全现状
《指南》编制以近五年我部工控安全检查工作掌握的有关情况为基础,充分考虑当前工控安全防护意识不到位、管理责任不明晰、访问控制策略不完善等问题,明确了《指南》的各项要求。
(四)借鉴发达国家工控安全防护经验
《指南》参考了美国、欧盟、日本等发达国家工控安全相关政策、标准和最佳实践做法,对安全软件选择与管理、配置与补丁管理、边界安全防护等措施进行了论证,提高了《指南》的科学性、合理性和可操作性。
(五)强调工业控制系统全生命周期安全防护
《指南》涵盖工业控制系统设计、选型、建设、测试、运行、检修、废弃各阶段防护工作要求,从安全软件选型、访问控制策略构建、数据安全保护、资产配置管理等方面提出了具体实施细则。
内容详解
指南要求 |
涉及产品和措施 |
产品解读 |
一、安全软件选择与管理 |
||
(一)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。 |
工控安全主机卫士 杀毒软件 |
1) 主机软件白名单防护、文件防护、日志记录审计、U盘使用记录等功能; 2) 病毒、木马查杀。 |
(二)建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。 |
杀毒软件 相关管理制度 |
|
二、配置和补丁管理 |
||
(一)做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。 |
工控安全主机卫士 工控安全检查工具箱 相关管理制度 |
1) 主机加固; 2) 对网络设备、工业主机进行安全评估、基线配置核查。 |
(二)对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。 |
工控仿真验证平台 相关管理制度 |
配置变更实施前在工控仿真验证平台进行充分验证 |
(三)密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。 |
工控仿真验证平台 相关管理制度 |
|
三、 边界安全防护 |
||
(一)分离工业控制系统的开发、测试和生产环境。 |
物理隔离措施 工业防火墙 网闸 |
对边界和区域进行逻辑隔离、逻辑强隔离、物理隔离 |
(二)通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。 |
工业防火墙 网闸 |
对工控网络与IT网络进行有效防护 |
(三)通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。 |
工业防火墙 网闸 VLAN技术 |
对工控网络内部区域进行逻辑隔离 |
四、物理和环境安全防护 |
||
(一)对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。 |
门禁系统 视频监控系统 相关管理制度 |
|
(二)拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用,通过主机外设安全管理技术手段实施严格访问控制。 |
工控安全主机卫士 安全U盘 |
|
五、身份认证 |
||
(一)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。 |
身份认证管理系统 USBkey、生物指纹、虹膜识别等认证设备 |
|
(二)合理分类设置账户权限,以最小特权原则分配账户权限。 |
工控安全主机卫士 工控安全检查工具箱 |
1) 对主机进行账户权限限制 2) 对网络设备、主机设备进行账户权限检查与限制 |
(三)强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认口令或弱口令,定期更新口令。 |
工控安全主机卫士 相关管理制度 |
|
(四)加强对身份认证证书信息保护力度,禁止在不同系统和网络环境下共享。 |
数字证书系统 |
为关键应用、关键用户和关键设备提供数字证书服务,实现高强度的身份认证、安全的数据传输以及可靠的行为审计 |
六、远程访问安全 |
||
(一)原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。 |
工控安全检查工具箱 工业防火墙 相关管理制度 |
|
(二)确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。 |
单向网闸 工业防火墙 VPN |
|
(三)确需远程维护的,采用虚拟专用网络(VPN)等远程接入方式进行。 |
VPN |
采用虚拟专用网络(VPN)等方式,对接入账户实行专人专号,并定期审计接入账户操作记录。 |
(四)保留工业控制系统的相关访问日志,并对操作过程进行安全审计。 |
工控网络审计和监测平台 |
通过审计人员账户、访问时间、操作内容等日志信息,追踪定位非授权访问行为。 |
七、安全监测和应急预案演练 |
||
(一)在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。 |
工控网络审计和监测平台 工控漏洞检测平台 |
及时发现、报告并处理包括病毒木马、端口扫描、暴力破解、异常流量、异常指令、工业控制系统协议包伪造等网络攻击或异常行为。 |
(二)在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。 |
工业防火墙 |
阻断不符合协议标准结构的数据包、不符合业务要求的数据内容。 |
(三)制定工控安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,应立即采取紧急防护措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证。 |
相关管理制度 工控网络审计和监测平台 |
|
(四)定期对工业控制系统的应急响应预案进行演练,必要时对应急响应预案进行修订。 |
相关管理制度 工控仿真验证平台 |
|
八、资产安全 |
||
(一)建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置规则。 |
相关管理制度 |
|
(二)对关键主机设备、网络设备、控制组件等进行冗余配置。 |
相关管理制度 |
|
九、数据安全 |
||
(一)对静态存储和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。 |
文件加密系统 VPN 相关管理制度 |
对静态存储的重要工业数据通过文件加密系统进行加密存储; 对动态传输的重要工业数据使用VPN进行加密传输 |
(二)定期备份关键业务数据。 |
数据备份系统 |
|
(三)对测试数据进行保护。 |
文件加密系统 |
|
十、供应链管理 |
||
(一)在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。 |
相关管理制度 |
|
(二)以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。 |
相关管理制度 |
|
十一、落实责任 |
||
通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施。 |
相关管理制度 |
《工业控制系统信息安全防护指南》产品措施匹配表相关推荐
- 工业控制系统信息安全产品标准及测评方法
1 工控系统安全现状 1.1 工控系统现状 目前,各类信息安全均面临着广泛的威胁,而工控系统尤为突出,主要是因为工业控制领域信息安全的先天不足: (1)工控设备(如PLC.DCS等)以及工控协议本身普 ...
- 信息安全技术 工业控制系统安全控制应用指南
声明 本文是学习GB-T 32919-2016 信息安全技术 工业控制系统安全控制应用指南. 下载地址 http://github5.com/view/585而整理的学习笔记,分享出来希望更多人受益, ...
- 工业控制系统信息安全与信息安全、功能安全的区别【转自工控工程网】
随着互联网的飞速发展,我国对于传统IT信息安全问题已有相关标准.法规,工业控制系统信息安全是否能依照而行?而在工业控制领域,一直以来备受关注的功能安全问题又与信息安全问题有着怎样的区别与联系?机械工业 ...
- 个人信息安全防护指南!
2018年,Facebook深陷数据丑闻,5000万用户信息遭泄露,公司市值一夜间蒸发367亿美元,一时间掀起舆论高潮的同时,也引发了我们每个人对信息安全的思考: 我们的隐私数据是否早已泄露,而我们却 ...
- 国内工业控制系统标准概述
国内工业控制系统 标准概述在国内,自 2010 年前后已陆续开展工业控制系统信息安全相关标准的研究制定工作.截至目前, 全国已有多个相关标委会开展了该领域标准执行工作.全国工业过程测量和控制标准化 技 ...
- 工业控制系统的安全防护建议
工业控制系统 攻击中的针对工业控制系统的攻击,不论在规模宏大的网络战(Cyberwar),还是在一般的网络 犯罪(Cybercrime)中,都可以发现 APT 的影子. 网络战中的 APT--Stux ...
- 为什么工业控制系统需要安全防护?
一.内因:工业控制系统最早和企业管理系统是隔离的:但近年来为了实现实时的数据采集与生产控制,满足"两化融合"的需求,引入了生产执行系统,即MES系统.MES系统的引入,使工业控制系 ...
- 工业控制系统安全控制列表
声明 本文是学习GB-T 32919-2016 信息安全技术 工业控制系统安全控制应用指南. 下载地址 http://github5.com/view/585而整理的学习笔记,分享出来希望更多人受益, ...
- 工业控制系统的安全建议
案例攻击者利用办公网窃取机密生产资料的攻击场景 案例起因** 工厂 B 得到那笔关键的订单后,一跃成为当地的明星企业.经过几年发展,不光拓展了 生产规模,还建立起一支初具规模的科研团队,开发出好几种新 ...
- 国外工业控制系统标准概述
其他方面 除了几个明显的直接与工业控制系统安全 相关的影响因素或解决思路外,还有一些经常被忽的情 况,在此也将该部分内容引出 ,期望为用户带来缓解风险的更多思路.- 系统集成问题 安全是一个整体 , ...
最新文章
- 最近ES遇到discover老是失败问题,ping主节点和node节点正常,抓包发现了大量的retransmission、tcp out of order、dup ack问题。...
- IE下a标签会触发window.onbeforeunload的问题
- 一文搞定时间复杂度和空间复杂度
- 虚拟机VirtualBox中Ubuntu无法全屏(终极解决方法)
- 使用Spring Cloud Gateway保护反应式微服务
- 现在学生物出路真有那么不济吗?
- VMware Workstation 端口映射 How to
- 全球首发!惯性导航导论(剑桥大学)第一部分
- collection集合 网_房地产信托业务(集合)2020年1-9月分析报告
- 蓝桥杯 ADV-211 算法提高 2-2整数求和
- 机器人环境感知算法之经典阶段
- 华为摄像头搜索软件_华为Mate 40 Pro评测:硬件和软件表现都近乎完美
- 当碰到非ARC写的文件时在ARC环境下运行报错时解决办法
- [日志]说一个人长的丑!如何说?
- JavaScript代码注释范例
- 串口服务器远程距离,基于串口服务器的变频器远程控制系统.pdf
- Oracle 计算起始日期之间的工作日天数(目前只支持同一年)
- 计算机电源接口在哪,电脑电源接口定义图解
- 最优潮流 OPF 算例资源网站
- 八大排序算法简明扼要
热门文章
- Excel 函数 自定义规则 VBA 实现 实时 语音 声音 提示 功能 股票 数据 资料 获取 盯盘 助手 K线图 模板
- USB协议详解第20讲(USB包-帧首包SOF)
- 注册表方法删除WINDOWS右键多余扩展项
- rocketmq实现延迟队列
- java 图片缩放 失真_Java图片缩小后不失真的代码(缩略图)
- 上海大学社会学考研能用计算机吗,上海大学
- Emily Morehouse的Python社区访谈
- 服务器维护封号,LOL客服的关于他们自己服务器问题导致账号被封号的问题
- Qt开发总结(19)——Qt Charts
- Ubuntu20.04微信安装 简单 使用方便