下载文档原格式
解读《工业控制系统信息安全防备指南》拟订《指南》的背景通知中明确“为贯彻落实《国务院对于深入制造业与互联网交融发展的指导建议》(国发〔 2016 〕28 号),保障工业公司工业控制系统信息安全,工业和信息化部拟订《工业控制系统信息安全防备指南》。
”能够看出,《工业控制系统信息安全防备指南》是依据《建议》拟订的。
《建议》中有关要求《建议》“七大任务”中特意有一条“提高工业信息系统安全水平”。
工信部依据《十三五规划大纲》、《中国制造 2025 》和《建议》等要求编制的《工业和信息化部对于印发信息化和工业化交融发展规划(2016-2020 年)》中进一步明确,在十三五时期,我国两化交融面对的机会和挑战第四条就是“工业领域信息安全局势日趋严重,对两化交融发展提出新要求” ,其“七大任务”中也提到要“逐渐完美工业信息安全保障系统”,“六大要点工程”中之一就是“工业信息安全保障工程”。
以上这些,就是政策层面的指导思想和要求。
《指南》条款详尽解读《指南》整体思路借鉴了等级保护的思想,详细提出了十一条三十款要求,贴近实质工业公司真切状况,求实可落地。
我们从《指南》要求的主体、客体和方法将十一条分为三大类:a、针对主体目标(法人或人)的要求,包含第十条供给链管理、第十一条人员责任:1.10供给链管理(一)在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防备经验的企事业单位,以合同样方式明确服务商应肩负的信息安全责任和义务。
解读:工业控制系统的全生产周期的安全管理过程中,采纳合适于工业控制环境的管理和服务方式,要求服务商拥有丰富的安全服务经验、熟习工业控制系统工作流程和特色,且对安全防备系统和工业控制系统安全防备的有关法律法例要有深入的理解和解读,保证相应法律法例的有效落实,并以合同的方式商定服务商在服务过程中应该肩负的责任和义务。
(二)以保密协议的方式要求服务商做好保密工作,防备敏感信息外泄。
工控系统等保测评必读(对于即将出台的等保标准,听听主笔人怎么说系列之九)2017-07-17e安在线e安在线与其相忘于江湖,不如点击“蓝字”关注——《网络安全等级保护测评要求第5部分:工业控制系统安全扩展要求》解读《中华人民共和国网络安全法》第三十一条规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
”工业控制系统作为国家关键信息基础设施是等级保护工作的核心保护对象。
为了适应国家法律、政策的最新要求,工业控制系统等级保护相关标准需要扩展和完善,其中如何评价系统的安全状况将是开展后续工作的基础,下面请标准编制组为大家详细介绍工控系统测评要求的主要内容。
一、工业控制系统等级保护标准的编制意义随着信息化和工业化的发展,工业控制系统在能源、交通、水利、公共服务等重要行业和领域广泛应用,现代工业生产、输送、供应等自动控制环节均依赖于工业控制系统。
2010年“震网”病毒事件发生后,工业控制系统安全越来越引起各国政府与民众的高度关注,美国等发达国家陆续发布了针对工业控制系统保护的系列标准和框架等。
2013年,“棱镜门”事件表明,某些西方大国为维持其全球霸权,一直在利用其技术的原发优势,不断加强对其他国家网络空间的渗透、控制和破坏,对这些国家的社会秩序和国家安全构成了严重威胁。
2015年,乌克兰电网公司遭受恶意代码攻击,导致7个110KV变电站和23个35KV变电站故障,造成8000个用户断电。
乌克兰电网公司受网络攻击事件被认为是有史以上规模最大的电力系统攻击事件,其警示作用犹如棒喝,深刻揭示了工业控制系统安全防护形式之严峻和黑客攻击实力之强悍。
而对于我国来说,自改革开放以来,我国逐步从农业大国向工业国家发展,两化融合改变了现代工业生产方式,解放了社会生产力,但随之带来的安全现状不容忽视,由于核心技术落后于人,在较长一段时间内,关键设备大多从国外进口,国产水平较低,网络安全基础薄弱,维护网络空间安全,实现工业控制系统的“可控、能控、在控”的任务非常艰巨。
等级保护工业控制系统标准要求
工业控制系统是现代工业中不可或缺的核心部分,它对于保护工业设施的稳定
运行和生产过程的安全非常重要。
为了确保工业控制系统的安全性和可靠性,等级保护工业控制系统标准提出了一系列要求。
首先,等级保护工业控制系统标准要求系统设计和实施应考虑到整个系统的安
全性和保护等级。
这意味着系统应具备层次化的安全措施和安全防御机制,并根据系统的重要性和风险等级相应地设置安全级别。
这样可以确保系统能够适应不同的工业环境和需求,并提供相应的防护措施。
其次,等级保护工业控制系统标准要求系统应具备完善的身份认证和访问控制
机制。
只有经过授权的人员才能够访问和操作系统,确保系统资源和敏感数据不会被未经授权的人员获取和篡改。
同时,系统还应支持多层次的用户权限管理,对不同用户进行区分,确保只能够访问其需要的功能和数据。
此外,等级保护工业控制系统标准要求系统应具备完备的安全监测和报警机制。
系统应能够实时监测网络流量、设备状态和异常行为,并及时发出警报。
通过及时检测和响应异常情况,可以防止潜在的攻击并降低损失。
最后,等级保护工业控制系统标准要求系统应具备灵活的更新和维护机制。
安
全性是一个动态的过程,因此系统应能够及时更新和升级,以应对新出现的威胁和漏洞。
此外,系统的维护应是持续的,包括定期的漏洞扫描、安全补丁的安装等,以确保系统的安全性和可靠性。
总之,等级保护工业控制系统标准对系统的安全性和可靠性提出了明确的要求。
通过遵循这些标准,可以保障工业控制系统的正常运行,并有效地防范潜在的安全威胁。
工业控制信息安全标准首先,工业控制信息安全标准需要包括对网络安全的规定。
工业控制系统通常由多个网络组成,这些网络之间可能存在连接,因此网络安全是保障工业控制系统信息安全的基础。
在网络安全标准中,需要规定网络拓扑结构、网络访问控制、网络隔离等内容,以确保工业控制系统的网络安全。
其次,工业控制信息安全标准还需要规定对设备和数据的安全要求。
工业控制系统中包括大量的设备和数据,这些设备和数据的安全直接关系到整个系统的安全。
因此,需要规定设备的安全防护要求、设备的访问控制、数据的加密传输等内容,以确保设备和数据的安全。
此外,工业控制信息安全标准还需要规定对人员的安全管理要求。
工业控制系统的安全不仅仅依赖于技术手段,人员的安全意识和行为也至关重要。
因此,需要规定人员的安全培训要求、人员的权限管理、人员的安全行为规范等内容,以提高人员的安全意识和行为规范,从而提升整个系统的安全性。
另外,工业控制信息安全标准还需要规定对安全事件的监测和应急响应要求。
安全事件的监测和应急响应是保障工业控制系统信息安全的重要手段。
因此,需要规定安全事件的监测要求、安全事件的报告要求、安全事件的应急响应流程等内容,以及时发现和应对安全事件,减小安全事件对系统造成的影响。
最后,工业控制信息安全标准还需要规定对安全管理的要求。
安全管理是保障工业控制系统信息安全的基础,需要规定安全管理的组织架构、安全管理的责任分工、安全管理的审核评估等内容,以建立健全的安全管理体系,保障工业控制系统的信息安全。
综上所述,工业控制信息安全标准是保障工业控制系统信息安全的重要手段,需要包括网络安全、设备和数据安全、人员安全管理、安全事件监测和应急响应、安全管理等内容。
只有建立和完善工业控制信息安全标准,才能有效保障工业控制系统的信息安全,确保生产系统的稳定运行。
《工业控制系统网络安全等级保护的建设》摘要:【文献标志码,【文章编号,制定统一的工控系统安全管理规范,如保证工控系统设备的运行能满足最大生产需求,优化系统拓扑结构,杜绝系统单点漏洞;调整安全网关策略,防范包括(分布式拒绝服务)在内的各种安全风险;在系统中部署入侵防御系统(IDS)、入侵检测系统(IPS)、安全管理软件等,监测来自系统内外部的入侵;部署工控系统审计系统,对系统的操作、修改、设置等实行审计并记录[2];验证所有连接系统的用户身份,杜绝无相应权限的用户进行管理配置的操作;安装系统数据检查设施,依托数据采集技术,制定管理基线,依据系统实际情况管理和放行数据;增加多种登录方式,如声纹识别、面部识别等生物信息技术,实行双因子登录;防止远程管理系统主机和防火墙,若有实际需求,应当使用密文,防止用户身份信息在传输中被盗取;能防范无认证设施接入系统,防止信息资产流失许新锋Construction of the Network Security Level Protection of Industrial Control SystemXU Xin-feng(Zhengzhou University of Light Industry, Zhengzhou 450000, China)【摘要】现代卷烟工业企业的两化融合程度越来越高,网络的触角已经延伸到各个业务角落,工控网络安全风险也越来越突出。
因而,如何建立一个高质量、稳固牢靠的工控系统网络成为现代卷烟工业企业工控系统建设的一个重要组成部分。
论文剖析了现代卷烟工业企业工控系统安全等保2.0的情况,综合工控系统实际需求,提出等保工作部署的基本策略。
【Abstract】 The integration degree of modernization and industrialization of modern cigarette industrial enterprises is getting higher and higher, the network"s tentacles have been extended to various business corners, and industrial control network security risks have become increasingly prominent. Therefore, how to build a high-quality, stable and reliable industrial control system network has become an important part of the industrial control system construction of modern cigarette industry enterprises. This paper analyzes the safety and security guarantee 2.0 of the industrial control system of modern cigarette industrial enterprises, and combined with the actual needs of the industrial control system, it proposes the basic strategy of the level protection work deployment.【关键词】工业控制系统;安全防护体系建设;部署建议;边界控制【Keywords】 industrial control system; security protection system construction; deployment proposal; boundary control【中圖分类号】TB4 【文献标志码】A 【文章编号】1673-1069(2020)03-0112-021 引言保证各卷烟工业企业生产运行控制系统网络安全的一个有效方法就是工控系统网络安全等级保护制度,实行工控系统网络安全分级防护,能极大地降低当前卷烟工业企业遇到的工控系统网络安全风险,依据“核心优先”的思路,把相关资源优先投入到工控系统的安全防护之中,可以有效促进卷烟工业企业尽快打牢工控系统安全等保的根基。
工业控制系统信息安全风险评估浅谈一、工业控制系统信息安全风险评估的目的随着“两化融合”的进程日益推进,企业的业务需求和商业模式也在经历深刻的变革,传统意义上相对封闭的工控系统,正在逐步打破“信息孤岛”的局面,随之而来的一个负面影响就是其不可避免的暴露在各种网络攻击、安全威胁之下。
2017年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施,网络安全已经提高到了一个前所未有的高度。
在“第三章网络运行安全”的“第二节关键信息基础设施的运行安全”中明确说明:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
”由此可见,作为关键信息基础设施的一部分,工业控制系统信息安全需要重点关注及重点保护。
不同行业的工业控制系统差异较大,有其各自的特殊性,如何贯彻习总书记的“要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”的要求是每一个工控安全从业者需要深入思考的问题。
从风险评估入手,使用符合工控系统特点的理论、方法和工具,准确发现工控系统存在的主要问题和潜在风险,才能更好的指导工控系统的安全防护,才能建立满足生产需要的工控系统信息安全纵深防御体系。
二、如何开展工控系统信息安全风险评估评估流程图:风险评估流程●评估范围工控系统风险评估的范围概括讲包含如下三个大的方面:物理安全、技术安全和管理安全,其中每部分又可以划分为许多小的方面。
物理安全包含防雷、防火、防盗、温湿度控制等方面;技术安全包括工控网络安全、工控设备安全、工控主机的安全等,在具体的评估过程中,还要再具体细分,如边界防护安全、工控协议安全、工控数据安全等不同的内容;管理安全通常涉及机构、制度、流程、安全意识等。
●评估方法经验分析:又称为基于知识的分析方法,可以采用该方法找出当前工控系统的安全现状和安全基线之间的差距。
信息安全等级保护制度的主要内容目录一、内容概要 (3)1.1 制定背景与目的 (3)1.2 信息安全等级保护制度的意义 (4)二、信息安全等级保护制度的基本概念 (5)2.1 信息安全等级保护的定义 (7)2.2 信息安全等级保护制度的结构 (8)三、信息安全等级保护制度的主要内容 (9)3.1 第一级信息系统的安全保护 (10)3.1.1 安全物理环境 (12)3.1.2 安全通信网络 (13)3.1.3 安全区域边界 (14)3.1.4 安全计算环境 (15)3.1.5 安全建设管理 (16)3.1.6 安全运维管理 (17)3.2 第二级信息系统的安全保护 (18)3.2.1 安全物理环境 (20)3.2.2 安全通信网络 (21)3.2.3 安全区域边界 (22)3.2.4 安全计算环境 (23)3.2.5 安全建设管理 (25)3.2.6 安全运维管理 (26)3.3 第三级信息系统的安全保护 (27)3.3.1 安全物理环境 (28)3.3.2 安全通信网络 (29)3.3.3 安全区域边界 (30)3.3.4 安全计算环境 (31)3.3.5 安全建设管理 (32)3.3.6 安全运维管理 (33)3.4 第四级信息系统的安全保护 (34)3.4.1 安全物理环境 (36)3.4.2 安全通信网络 (37)3.4.3 安全区域边界 (38)3.4.4 安全计算环境 (39)3.4.5 安全建设管理 (41)3.4.6 安全运维管理 (42)四、信息安全等级保护制度的实施与管理 (43)4.1 实施原则与方法 (44)4.2 信息系统定级与备案 (45)4.3 安全建设与改造 (47)4.4 运维管理与安全检查 (48)五、信息安全等级保护制度的评估与升级 (49)5.1 评估流程与方法 (50)5.2 评估结果与应用 (52)5.3 升级与改造策略 (53)六、信息安全等级保护制度的法律法规与政策支持 (54)6.1 相关法律法规概述 (55)6.2 政策支持与引导 (56)七、结论与展望 (58)7.1 主要成果与贡献 (59)7.2 发展趋势与挑战 (60)一、内容概要信息安全等级保护制度是我国针对信息安全领域的一项基本国策,旨在保障国家关键信息基础设施和重要信息系统的安全稳定运行。
《信息系统安全等级保护定级报告》一、信息系统描述简述确定该系统为定级对象的理由。
从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象;二是该定级对象是否具有信息系统的基本要素,描述基本要素、系统网络结构、系统边界和边界设备;三是该定级对象是否承载着单一或相对独立的业务,业务情况描述。
二、信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》)(一)业务信息安全保护等级的确定、业务信息描述描述信息系统处理的主要业务信息等。
、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
、业务信息安全等级的确定依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。
(二)系统服务安全保护等级的确定、系统服务描述描述信息系统的服务范围、服务对象等。
、系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。
、系统服务受到破坏后对侵害客体的侵害程度的确定说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。
、系统服务安全等级的确定依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。
(三)安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,最终确定系统安全保护等级为第几级。
信息系统安全等级保护备案单位:(盖章)备案日期:受理备案单位:(盖章)受理日期:中华人民共和国公安部监制填表说明制表依据。
