3

工控安全防护体系建设

 1 year ago
source link: https://netsecurity.51cto.com/article/710116.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

近年来,我国工控安全领域的政策法规建设在不断完善,合规监管已经成为工控安全市场发展的主要推动因素之一。而工控安全领域的合规需求包括国家法律、行业规范要求和行业标准要求等。工业生产企业应该严格按照相关的安全合规要求,开展企业的工控安全规划与建设。

工控安全法规政策梳理

我国工控安全领域的法规政策主要包括国家、产业、行业三个层面:

d76f845165d5ee909732756f6ddd85ab1d983a.png

国家层面

640?wx_fmt=svg&wxfrom=5&wx_lazy=1&wx_co=1

从国家层面来看,工控安全法规多是通过具体法律、条例中的规章,以管理维度要求工业生产企业在信息化过程中需要注意的事项。

1、网络安全法

2017年,我国颁布《中华人民共和国网络安全法》,标志着我国网络安全建设有法可依。《网络安全法》中,关键信息基础设施作为独立一节,体现了我国对关键信息基础设施的重视。而工业网络、工业系统承担着国家安全、国计民生、公共利益的职责,因此被认为是关键信息基础设施的一部分。

2、数据安全法与个人信息保护

《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,对关键信息基础设施运行过程中所产生的业务数据、个人隐私数据、运行数据等做出细化的防护规定。

3、网络安全等级保护制度2.0

2019年,网络安全等级保护制度2.0标准正式发布并实施。在《GBT22239-2019信息安全技术网络安全等级保护基本要求》中,除安全通用要求外,还提出了工业控制系统安全扩展要求,通过分析OT网络与IT网络的区别,进行了针对安全防护要求。

等保2.0的安全扩展要求主要针对于生产管理层、过程监控层、现场控制层和现场设备层。其中生产管理层和过程监控层注重对网络通讯和网络隔离进行要求,现场控制层和现场设备层作为OT网络的主体,包含了从设备、到资产再到网络通讯的全方位安全要求。

4、关键信息基础设施保护条例

2021年9月1日,《关键信息基础设施安全保护条例》(以下简称“条例”)实施,定义了从国家网信部门统筹,公安部监督,各级人民政府、各行业主管单位配合的监管体系。

《条例》细化了《网络安全法》中对关键信息基础设施的要求。《条例》更注重的是从架构层面的建设问题,要求工控企业具备的基本能力,并明确了如果没有达到要求时相应的处罚。这些要求及能力如何具体落地,工业企业还需根据等保2.0相关标准进行执行。

产业层面

640?wx_fmt=svg&wxfrom=5&wx_lazy=1&wx_co=1

从产业层面看,产业主管部门基于国家法律规定,将工控安全要求细化成可落地建设的指南,对在安全技术应用、实现防护要求的具体方法进行指导,并依据指导意见建立考核点,以检查落地的成效。

2011年10月,工信部发布关于工业控制安全的《关于加强工业控制系统信息安全管理的通知》(以下简称“《通知》”),从四个方面提出工控安全建设要求:加强对工业安全重要性的认识;落实工控安全中的六项管理要求;建立健全工控安全监管机制;强化工控系统安全组织领导工作。

2016年10月,工信部印发《工业控制系统信息安全防护指南》,从十一个方面要求工控企业做好安全防护工作。《工业控制系统信息安全防护指南》给出了第一个细化的工控安全落实管理、技术架构。《指南》共十一条,对工业系统的安全建设从管理、技术、应急处置、设备资产管理等多方面进行了建议。

2017年,工信部办公厅发布了“工业和信息化部关于印发《工业控制系统信息安全防护能力评估工作管理办法》的通知“,旨在检验《工业控制系统信息安全防护指南》的实践效果。在通知中,同时发布了《工业控制系统信息安全防护能力评估方法》,工信部、各行业单位将依照《评估办法》对部分工控安全企业进行检查。

2020年2月,工信部印发《工业数据分类分级指南(试行)》,要求工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。企业的研发数据、生产数据、运维数据、管理数据、外部数据需要进行分类处理,并依据一旦遭到篡改、破坏、泄露或分发利用后可能产生的潜在影响进行分级处理。

行业层面

640?wx_fmt=svg&wxfrom=5&wx_lazy=1&wx_co=1

从行业层面看,主要包括能源、电力、交通运输、生产制造等,由于工业领域各行业安全现状有所不同,各工业系统的安全需求具备差异化,因此各行业主管部门均在根据自身情况,推进行业内的工业安全建设指导,并形成行业标准。

工控安全防护体系建设

基于工控安全的监管合规要求,工业企业应根据自身生产设备及系统的实际情况,构建一套从工业设备管理、到网络安全防护再到综合安全管理的三层防护体系:

a31448e0119172f37ed870028408ec604fa2d4.jpg

1、 在工业设备管理层面,需要对对工业体系内部的物理设备进行管理,保证其运行的安全问题。针对工业系统及工业设备,企业需通过验证供应商资质、加密合同等方式,构建安全的采购供应链路。对于已部署的工业信息资产,做好设备的梳理工作,明确工控网络、资产、设备等拓扑结构,确保接入到工业系统的设备是可控的。同时还需要从物理安全层面、容灾层面进行考量。

2、 网络安全防护层则是通过部署安全产品,依照“一个中心三重防护”的安全要求进行。安全防护是进行工控安全体系建设的核心。安全防护能力建设可以分为针对计算环境的安全建设、对边界的安全建设以及对网络通讯的安全建设。需要注意的是,工控网络的安全防护需要做好分层防护,每一层次要根据企业自身的特点做好物理防护、终端防护、网络防护等。

随着安全设备数量的增加以及网络拓扑结构复杂度增加,统一安全管理平台将成为必备的安全产品。而由于工业企业安全运营能力的不足,企业需要考虑如何用好这些设备,可通过采购专业的安全服务,例如安全托管服务、安全测试服务、应急响应服务等,快速提升安全防护能力。

3、 安全管理是指建立相应的组织架构、管理体系,从制度维度做好工控安全防护。工业企业需构建专门的工控安全组织管理部门,明确组织架构,负责对企业内部网络安全的规划、建设、实施。建立相应的安全制度,以做到工业企业内部的人员管理、配置管理及补丁管理,做到记录和审计。构建一套应急响应流程,有效应对安全生产、网络安全、数据安全带来的风险。形成报送机制,有成熟的报送流程、报送格式、报送接口等。

工业环境的特殊性造成了工业企业的安全建设不能照搬互联网防护。当前,我国工控安全还处于起步阶段,工业领域整体防护水平有待提高,专业的工业安全人才缺乏。近年来,国家颁布的一系列网络安全法律法规一方面对工业安全提出了要求,另一方面也对工业安全的建设提供了指导。工业企业应根据自身的情况,由简入繁,以网络安全提升生产安全,完成两化融合的信息化改造,切实提升企业的生产能力。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK