解读《工业控制系统信息安全防护指南》
2016年10月印发工业控制系统信息安全防护指南
2016年10月印发工业控制系统信息安全防护指南2016年10月印发工业控制系统信息安全防护指南一、引言及背景工业控制系统在现代社会的发展中扮演着重要的角色,它们被广泛应用于各个领域,如电力、石油、化工、交通等。
然而,随着信息技术的高速发展和互联网的普及,工业控制系统面临着越来越严峻的信息安全威胁。
为了加强对工业控制系统的信息安全保护,2016年10月,《工业控制系统信息安全防护指南》正式印发。
二、工业控制系统信息安全的挑战1. 工业控制系统与信息技术的融合随着信息技术的飞速发展,工业控制系统逐渐向数字化、网络化、智能化方向发展。
然而,这也给系统的信息安全带来了新的挑战。
工业控制系统的融合使其面临着来自互联网的恶意攻击、勒索软件的威胁、物联网的安全漏洞等问题。
2. 特殊性和复杂性与传统的信息系统相比,工业控制系统有其特殊性和复杂性。
工业控制系统往往运行在恶劣环境中,硬件设备的更新换代周期长,对系统进行升级和更新的难度较大。
工业控制系统中的设备和组件众多,其相互之间的交互复杂,因此对信息安全的防护要求更高。
三、《工业控制系统信息安全防护指南》的意义及主要内容1. 意义《工业控制系统信息安全防护指南》的印发,标志着我国对工业控制系统信息安全重要性的认识和重视程度的提高。
这一指南的出台对于保护工业控制系统的安全、稳定和可靠运行具有重大意义,有助于提高我国关键基础设施的信息安全。
2. 主要内容《工业控制系统信息安全防护指南》主要涵盖了以下几个方面的内容:(1) 工业控制系统的安全需求分析:通过对工业控制系统的特性和需求进行分析,明确安全防护的目标和重点。
(2) 工业控制系统的信息安全架构:指导工业控制系统的安全架构设计,包括系统组成、网络拓扑和安全策略等方面的设计原则。
(3) 工业控制系统的安全运维:提供工业控制系统安全运维的指导原则,包括设备管理、访问控制、事件处理等方面的内容。
(4) 工业控制系统的安全评估和测试:介绍工业控制系统安全评估和测试的方法和技术,帮助企业及时发现和修复安全漏洞。
2016年10月印发工业控制系统信息安全防护指南
2016年10月印发工业控制系统信息安全防护指南2016年10月,工业控制系统信息安全防护指南正式印发。
这是我国为了加强工业领域信息安全而采取的一项重要举措,也是对工业控制系统安全防护的重要指引。
工业控制系统是现代工业生产过程中不可或缺的一部分,它负责控制和监控生产设备的运行。
然而,随着信息技术的发展,工业控制系统也面临着越来越严重的安全威胁。
黑客攻击、病毒传播、数据泄露等安全问题对工业控制系统的稳定运行和生产安全造成了严重威胁。
为了提高工业控制系统的信息安全性,防止安全事件的发生,该指南提供了一系列的防护措施和技术要求。
首先,该指南强调了安全教育的重要性,要求企业对员工进行信息安全意识培训,提高他们对安全威胁的认识和应对能力。
同时,该指南还详细介绍了密码管理、远程访问控制、漏洞管理等技术要求,为安全防护提供了具体指导。
除了技术层面的要求,该指南还强调了信息共享的重要性。
在面对复杂多变的安全威胁时,信息共享可以帮助企业形成合力,共同应对安全挑战。
该指南建议企业加强与相关安全组织和专家的合作,积极参与信息安全漏洞的共享和修复。
这将有助于提高工业控制系统的整体安全性。
该指南还对安全防护的组织管理提出了要求。
企业应该建立健全的信息安全管理制度,明确责任,完善工业控制系统的安全审计和监控体系。
同时,企业还应该定期进行风险评估和安全检查,及时发现和修复潜在的安全风险。
总之,2016年10月印发的工业控制系统信息安全防护指南为工控系统安全提供了重要的指导和支持。
只有加强安全意识培训、采取科学的防护措施、加强信息共享和健全管理制度,才能有效应对安全威胁,保障工业控制系统的顺利运行和生产安全。
解读工业控制系统信息安全防护的指南
《工业控制系统信息安全防护指南》解读发布时间:2016-11-08 来源:信息化和软件服务业司工业控制系统信息安全(以下简称“工控安全”)是国家网络和信息安全的重要组成部分,是推动中国制造2025、制造业与互联网融合发展的基础保障。
2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》(以下简称《指南》),指导工业企业开展工控安全防护工作。
一、背景情况工控安全事关经济发展、社会稳定和国家安全。
近年来,随着信息化和工业化融合的不断深入,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化。
在生产力显著提高的同时,工业控制系统面临着日益严峻的信息安全威胁。
为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)文件精神,应对新时期工控安全形势,提升工业企业工控安全防护水平,编制本《指南》。
二、总体考虑《指南》坚持“安全是发展的前提,发展是安全的保障”,以当前我国工业控制系统面临的安全问题为出发点,注重防护要求的可执行性,从管理、技术两方面明确工业企业工控安全防护要求。
编制思路如下:(一)落实《国家网络安全法》要求《指南》所列11项要求充分体现了《国家网络安全法》中网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置等法规在工控安全领域的要求,是《国家网络安全法》在工业领域的具体应用。
(二)突出工业企业主体责任《指南》根据我国工控安全管理工作实践经验,面向工业企业提出工控安全防护要求,确立企业作为工控安全责任主体,要求企业明确工控安全管理责任人,落实工控安全责任制。
(三)考虑我国工控安全现状《指南》编制以近五年我部工控安全检查工作掌握的有关情况为基础,充分考虑当前工控安全防护意识不到位、管理责任不明晰、访问控制策略不完善等问题,明确了《指南》的各项要求。
(四)借鉴发达国家工控安全防护经验《指南》参考了美国、欧盟、日本等发达国家工控安全相关政策、标准和最佳实践做法,对安全软件选择与管理、配置与补丁管理、边界安全防护等措施进行了论证,提高了《指南》的科学性、合理性和可操作性。
解读工业控制系统信息安全防护指南
解读工业控制系统信息安全防护指南工业控制系统(Industrial Control System,简称ICS)作为现代工业领域的关键基础设施,在数字化转型的浪潮中扮演着越来越重要的角色。
然而,随着网络攻击日益复杂和频繁,工业控制系统面临着信息安全的重大挑战。
为了保护工业控制系统的安全性,制定并实施一套科学合理的信息安全防护指南变得至关重要。
本文将解读工业控制系统信息安全防护指南,帮助读者加深对工业控制系统信息安全的理解,并提供一些实用的建议。
一、工业控制系统信息安全现状分析随着工业控制系统与互联网的深度融合,工业控制系统信息安全面临着前所未有的挑战。
网络攻击手段日益多样化,传统的信息安全措施已经无法满足工业控制系统的需求。
此外,许多工业控制系统在设计和实施过程中存在漏洞和弱点,给攻击者提供了可乘之机。
因此,制定一套适合工业控制系统特点的信息安全防护指南势在必行。
二、工业控制系统信息安全防护指南的构成1. 安全策略与管理工业控制系统信息安全防护指南的基础是制定和执行安全策略与管理措施。
包括制定安全政策、风险评估与管理、安全培训与意识培养等,旨在确保系统操作人员和管理人员对信息安全的重要性有清晰的认识,并且能够采取必要的防护措施。
2. 边界防护边界防护是工业控制系统信息安全的第一道防线。
通过实施防火墙、入侵检测系统、虚拟专用网络等技术手段,限制来自外部网络的访问和攻击,并及时发现和响应潜在的安全威胁。
3. 身份认证与访问控制工业控制系统需要实现严格的身份认证与访问控制,确保只有经过授权的人员才能访问系统和进行相关操作。
这可以通过密码、智能卡、双因素认证等方式实现,并且需要对访问行为进行审计和监控。
4. 数据保护与隔离数据的保护与隔离是工业控制系统信息安全的关键环节。
通过加密通信、权限控制、数据备份等手段,确保工业控制系统中的数据不被非法获取、篡改或破坏,并保持数据的完整性和可靠性。
5. 恶意代码防护工业控制系统信息安全防护指南应包括恶意代码防护策略。
解读工业控制系统信息安全防护的指南
《工业控制系统信息安全防护指南》解读发布时间:2016-11-08 来源:信息化和软件服务业司工业控制系统信息安全(以下简称“工控安全”)是国家网络和信息安全的重要组成部分,是推动中国制造2025、制造业与互联网融合发展的基础保障。
2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》(以下简称《指南》),指导工业企业开展工控安全防护工作。
一、背景情况工控安全事关经济发展、社会稳定和国家安全。
近年来,随着信息化和工业化融合的不断深入,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化。
在生产力显著提高的同时,工业控制系统面临着日益严峻的信息安全威胁。
为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)文件精神,应对新时期工控安全形势,提升工业企业工控安全防护水平,编制本《指南》。
二、总体考虑《指南》坚持“安全是发展的前提,发展是安全的保障”,以当前我国工业控制系统面临的安全问题为出发点,注重防护要求的可执行性,从管理、技术两方面明确工业企业工控安全防护要求。
编制思路如下:(一)落实《国家网络安全法》要求《指南》所列11项要求充分体现了《国家网络安全法》中网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置等法规在工控安全领域的要求,是《国家网络安全法》在工业领域的具体应用。
(二)突出工业企业主体责任《指南》根据我国工控安全管理工作实践经验,面向工业企业提出工控安全防护要求,确立企业作为工控安全责任主体,要求企业明确工控安全管理责任人,落实工控安全责任制。
(三)考虑我国工控安全现状《指南》编制以近五年我部工控安全检查工作掌握的有关情况为基础,充分考虑当前工控安全防护意识不到位、管理责任不明晰、访问控制策略不完善等问题,明确了《指南》的各项要求。
(四)借鉴发达国家工控安全防护经验《指南》参考了美国、欧盟、日本等发达国家工控安全相关政策、标准和最佳实践做法,对安全软件选择与管理、配置与补丁管理、边界安全防护等措施进行了论证,提高了《指南》的科学性、合理性和可操作性。
《工业控制系统信息安全防护指南》
《工业控制系统信息安全防护指南》工业控制系统(ICS)是用于管理和控制基础设施、大型设备和数控系统等的自动化系统,包括一系列基础设施,如电厂、矿井、污水处理厂、港口、石油管道等。
由于庞大的规模和复杂的技术结构,这些系统存在许多安全隐患,使其极易受到各类网络攻击和软件漏洞侵害。
因此,保护工业控制系统的信息安全非常重要。
工业控制系统信息安全防护的基本原则包括:防范性安全、可恢复性、访问控制、安全监控和安全管理。
首先,工厂应该采取防范性措施,通过重点防护工业控制系统信息安全,保护系统免受外部攻击。
其次,应当加强系统可靠性,建立可恢复机制,在灾难发生后能够尽快恢复系统的正常运行。
此外,应该建立多层次的访问控制,并根据角色和权限设定访问权限。
同时,要建立安全监控系统,实时发现威胁和漏漏洞,及时采取有效的应急措施。
最后,要制定有效的安全管理制度,规范操作流程,加强员工管理,减少不当操作。
为了更好地防护工业控制系统信息安全,应当采用有效的安全策略和技术手段。
首先,要做好物理防护,防止外部攻击者进入系统,保护系统的安全。
其次,应使用多种技术手段,如基于规则的防火墙和入侵检测系统等,防止外部攻击者攻击系统。
此外,应当提高数据安全性,使用强制性的加密技术,如TLS/SSL加密,以及数据完整性验证和日志记录,有效地防止数据泄露和篡改。
最后,还应当进行安全设备维护和安全审计,通过定期审计来发现安全漏洞,并及时采取有效的措施进行修补。
总之,保护工业控制系统信息安全必须采取有效措施,加强物理防护、数据安全性、安全设备维护和安全审计等方面的保护,以防止安全威胁的发生和损害系统的正常运行。
因此,企业在建立工业控制系统信息安全防护指南时,应根据本身的实际情况,采取切实有效的防护措施,确保系统的安全性和可靠性。
解读《工业控制系统信息安全防护指南》
制系统资 产所 在区域 ,采用适 当的物 理安全防护措施 。
2 . 拆 除 或 封 闭 工 业 主 机 上 不 必要 的 US B 、 光 驱 、 无 线 等 接 口 。若 确 需
新政看 台
工业 控制 系统 信息 安全( 以 下 简
全防 护要 求 ,确立 企业 作 为工控 安全 责 任 主 体 ,要求 企业 明确 工控 安全 管理 责 任人 ,落实工控 安全 责任制 。 ( 三) 考 虑 我 国 工控 安全 现 状 《 指 南 》 编 制 以 近 五 年 我 部 工
防护的工业控制 网络与互联网连接 。
使用 ,通 过主机 外设安全管理技术手
新政看 台
3 . 强化工业控制设备、S C AD A软 件 、 工 业 通 信 设 备 等 的 登 录 账 户 及 密
等高 风 险 通 用 网 络服 务 。
入 账 户操 作 记 录 。
解读 :工业控 制系统面向互联网
= 、总体 考 虑
《 指 南 》坚 持 “ 安 全 是 发 展 的 前 提 ,发 展 是 安 全 的 保 障 ” ,以 当 前 我
国工业控制 系统 面临的安全问题为出
发 点 ,注 重 防护 要 求 的可 执 行 性 ,从 管 理 、 技 术 两 方 面 明确 工 业 企 业 工 控 安 全 防护 要 求 。编 制 思路 如 下 : 【 一) 落实 《 国 家 网络 安全 法 》要 求
彻落 实 《 国务院关于深化 制造 业与互
联 网融 合发 展 的指导 意见 》( 国发 [ 2 0 1 6 3 2 8 号) 文 件 精 神 ,应 对 新 时 期 工 控 安全 形 势 ,提 升 工 业 企 业 工控 安 全 防护 水 平 ,编 制 本 《 指南》 。
解读《工业控制系统信息安全防护指南》
解读《工业控制系统信息安全防护指南》
《工业控制系统信息安全防护指南》是一份指导工业控制系统(Industrial Control System,ICS)信息安全防护工作的指南。
该指南旨在帮助工业控制系统的运营者和维护者加强系统的信息安全保护,避免信息泄露、被黑客攻击、破坏等安全事件发生。
该指南主要包括以下内容:
1. 工业控制系统信息安全概述:介绍工业控制系统的特点、信息安全威胁与挑战。
2. 工业控制系统安全需求:明确工业控制系统的信息安全需求,包括保密性、完整性、可用性、可靠性等方面。
3. 工业控制系统信息安全风险评估:介绍对工业控制系统进行风险评估的方法和步骤,以识别和评估系统面临的信息安全风险。
4. 工业控制系统信息安全防护策略:提供一些常见的信息安全防护策略和措施,包括
网络安全控制、身份认证与授权、访问控制、事件监测与响应等。
5. 工业控制系统信息安全培训与意识:强调信息安全教育与培训的重要性,提供一些
信息安全培训和意识提升的建议和方法。
6. 工业控制系统信息安全检测与评估:介绍工业控制系统信息安全检测与评估的方法
和步骤,以验证系统的安全性。
7. 工业控制系统信息安全事件响应:提供了工业控制系统信息安全事件响应的指导和
步骤,以及一些应急响应措施。
总之,该指南为工业控制系统的信息安全提供了全面的指导,涵盖了从风险评估到防护策略、培训与意识、检测与评估、事件响应等多个方面,有助于提升工业控制系统的信息安全水平。
工控安全防护指南解读
工控安全防护指南官方解读
【前言】
为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)文件精神,工业和信息化部印发《工业控制系统信息安全防护指南》(以下简称《指南》),指导工业企业开展工控安全防护工作,提升工控安全的防护水平,保障工业控制系统安全。
一、工业控制系统信息安全防护指南解读
工业控制系统应用企业以及从事工业控制系统规划、设计、建设、运维、评估的企事业单位适用本指南。
工业控制系统应用企业应从以下十一个方面做好工控安全防护工作。
(一)安全软件选择与管理
1. 在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
解读:工业控制系统对系统可用性、实时性要求较高,工业主机如MES服务器、OPC服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在离线环境中进行测试与验证,其中,离线环境指的是与生产环境物理隔离的环境。
验证和测试内容包括安全软件的功能性、兼容性及安全性等。
2. 建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。
2016年10月印发工业控制系统信息安全防护指南
2016年10月印发工业控制系统信息安全防护指南2016年10月,国家互联网应急中心印发了《工业控制系统信息安全防护指南》。
这份指南为工业控制系统的信息安全提出了全面而系统的防护要求,以应对当前网络威胁对工业控制系统的威胁。
随着信息技术的快速发展,工业控制系统的网络化程度也在不断提高。
虽然网络化带来了许多便利,但也为安全问题提出了新的挑战。
工业控制系统的安全问题涉及到国家安全、经济安全甚至人身安全,因此加强工业控制系统信息安全的防护是一个紧迫的问题。
指南首先从工业控制系统的特点出发,重点分析了工业控制系统面临的安全风险,并提出了相应的应对策略。
其中,网络设备的安全防护被认为是最为关键的环节,因此指南对网络设备的配置、管理、监控等方面提出了一系列要求。
另外,指南还关注了供应商的信息安全责任,要求供应商明确安全责任、加强产品的安全性能,以降低系统被黑客攻击的风险。
指南还对工业控制系统的网络安全架构进行了规范。
指南建议按照网络分区原则,划分出不同的网络区域,并对不同区域间的通信进行严格控制。
此外,指南还要求对网络设备进行合理的接入控制、身份认证等措施,以确保只有合法用户可以访问工业控制系统。
指南还涉及到工业控制系统的远程访问安全,特别是对于远程接入的用户身份认证要求更为严格。
除了传统的用户名和密码认证,指南还建议采用双因素认证,增加远程访问的安全性。
此外,指南也提到了安全事件的处理和响应机制,要求及时发现和处理安全事件,并采取相应的纠正措施。
总的来说,2016年10月印发的《工业控制系统信息安全防护指南》是一份积极应对工业控制系统信息安全问题的重要文件。
它明确了工业控制系统信息安全的风险和要求,提出了一系列的防护措施。
有望在一定程度上提高工业控制系统的信息安全性,保护国家的经济和人身安全。
随着网络技术的不断发展,希望未来能够有更加完善和细化的防护措施,有效应对工业控制系统信息安全的威胁。
工业控制系统信息安全防护指南
工业控制系统信息安全防护指南工业和信息化部关于印发《工业控制系统信息安全防护指南》的通知为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),保障工业企业工业控制系统信息安全,制定《工业控制系统信息安全防护指南》,现印发你们。
工业和信息化部指导和管理全国工业企业工控安全防护和保障工作,并根据实际情况对指南进行修订。
地方工业和信息化主管部门根据工业和信息化部统筹安排,指导本行政区域内的工业企业制定工控安全防护实施方案,推动企业分期分批达到本指南相关要求。
工业和信息化部2016年10月17日工业控制系统信息安全防护指南工业控制系统信息安全事关经济发展、社会稳定和国家安全。
为提升工业企业工业控制系统信息安全(以下简称工控安全)防护水平,保障工业控制系统安全,制定本指南。
工业控制系统应用企业以及从事工业控制系统规划、设计、建设、运维、评估的企事业单位适用本指南。
工业控制系统应用企业应从以下十一个方面做好工控安全防护工作。
一、安全软件选择与管理(一)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
(二)建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。
二、配置和补丁管理(一)做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。
(二)对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。
(三)密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。
在补丁安装前,需对补丁进行严格的安全评估和测试验证。
三、边界安全防护(一)分离工业控制系统的开发、测试和生产环境。
(二)通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。
(三)通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。
解读工业控制系统信息安全防护指南
《工业控制系统信息安全防护指南》解读发布时间:2016-11-08 来源:信息化和软件服务业司工业控制系统信息安全(以下简称“工控安全”)是国家网络和信息安全的重要组成部分,是推动中国制造2025、制造业与互联网融合发展的基础保障。
2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》(以下简称《指南》),指导工业企业开展工控安全防护工作。
一、背景情况工控安全事关经济发展、社会稳定和国家安全。
近年来,随着信息化和工业化融合的不断深入,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化。
在生产力显著提高的同时,工业控制系统面临着日益严峻的信息安全威胁。
为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)文件精神,应对新时期工控安全形势,提升工业企业工控安全防护水平,编制本《指南》。
二、总体考虑《指南》坚持“安全是发展的前提,发展是安全的保障”,以当前我国工业控制系统面临的安全问题为出发点,注重防护要求的可执行性,从管理、技术两方面明确工业企业工控安全防护要求。
编制思路如下:(一)落实《国家网络安全法》要求《指南》所列11项要求充分体现了《国家网络安全法》中网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置等法规在工控安全领域的要求,是《国家网络安全法》在工业领域的具体应用。
(二)突出工业企业主体责任《指南》根据我国工控安全管理工作实践经验,面向工业企业提出工控安全防护要求,确立企业作为工控安全责任主体,要求企业明确工控安全管理责任人,落实工控安全责任制。
(三)考虑我国工控安全现状《指南》编制以近五年我部工控安全检查工作掌握的有关情况为基础,充分考虑当前工控安全防护意识不到位、管理责任不明晰、访问控制策略不完善等问题,明确了《指南》的各项要求。
(四)借鉴发达国家工控安全防护经验《指南》参考了美国、欧盟、日本等发达国家工控安全相关政策、标准和最佳实践做法,对安全软件选择与管理、配置与补丁管理、边界安全防护等措施进行了论证,提高了《指南》的科学性、合理性和可操作性。
解读《工业控制系统信息安全防护指南》
解读《工业控制系统信息安全防护指南》《工业控制系统信息安全防护指南》是一本指导工业控制系统信息安全防护的重要参考书。
本指南主要针对工业控制系统,提供了相关的信息安全防护策略和方法,以确保工业控制系统的安全性。
首先,本指南强调了工业控制系统的重要性。
工业控制系统在现代生产中扮演着举足轻重的角色,而这些系统的安全性对于企业的正常运营至关重要。
因此,本指南的发布意义重大。
指南中明确指出,工业控制系统的信息安全建设需要全面而系统地考虑。
与传统的信息系统不同,工业控制系统通常与实体设备直接相关,因此安全风险更加突出。
为此,本指南提出了一系列安全防护策略。
首先,指南提醒企业在选择工业控制系统供应商时要谨慎。
供应商的技术实力和安全措施是保证系统安全性的重要因素。
合作方能够提供全面的技术支持和安全保障,有助于解决潜在的安全隐患。
其次,指南强调了加密技术的重要性。
数据加密可以有效保护工业控制系统中的关键信息不被非法获取和篡改。
指南中详细介绍了常用的加密算法和加密技术的应用原理。
另外,指南还提出了网络隔离和非核心区域隔离的安全措施。
通过划分安全域和网络隔离,可以有效降低系统遭到攻击的风险。
此外,指南还提出了工业控制系统日志的重要性。
通过建立完善的日志管理系统,可以及时发现和分析异常活动。
此外,指南还详细介绍了工业控制系统漏洞挖掘和修复的方法。
安全漏洞是系统遭到攻击的重要入口,及时发现和修复漏洞是保护系统安全的关键。
指南中列举了常见的漏洞挖掘技术,并提出了漏洞修复的方法和步骤。
指南最后还介绍了工业控制系统信息安全的持续改进策略。
针对不断变化的安全威胁和攻击手段,本指南提出了及时更新和升级系统的原则。
此外,也强调了员工培训的重要性,只有员工具备了解安全知识的能力,才能更好地保护系统安全。
总的来说,《工业控制系统信息安全防护指南》是一本对工业控制系统信息安全非常有价值的指南。
它通过详细介绍安全防护策略和方法,帮助企业保护工业控制系统的安全性。
解读《工业控制系统信息安全防护指南》
解读《工业控制系统信息安全防护指南》解读《工业控制系统信息安全防护指南》制定《指南》的背景通知中明确“为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),保障工业企业工业控制系统信息安全,工业和信息化部制定《工业控制系统信息安全防护指南》。
”可以看出,《工业控制系统信息安全防护指南》是根据《意见》制定的。
《意见》中相关要求《意见》“七大任务”中专门有一条“提高工业信息系统安全水平”。
工信部根据《十三五规划纲要》、《中国制造2025》和《意见》等要求编制的《工业和信息化部关于印发信息化和工业化融合发展规划(2016-2020年)》中进一步明确,在十三五期间,我国两化融合面临的机遇和挑战第四条就是“工业领域信息安全形势日益严峻,对两化融合发展提出新要求”,其“七大任务”中也提到要“逐步完善工业信息安全保障体系”,“六大重点工程”中之一就是“工业信息安全保障工程”。
以上这些,就是政策层面的指导思想和要求。
《指南》条款详细解读《指南》整体思路借鉴了等级保护的思想,具体提出了十一条三十款要求,贴近实际工业企业真实情况,务实可落地。
我们从《指南》要求的主体、客体和方法将十一条分为三大类:a、针对主体目标(法人或人)的要求,包含第十条供应链管理、第十一条人员责任:1.10 供应链管理b、针对客体目标(被保护的资产或数据)的安全要求,包含第八条资产安全、第九条数据安全:1.8 资产安全(一)建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置原则。
解读:为实现和保持对组织机构资产的适当保护,确保所有资产可查,应建设工业控制系统资产清单,并明确资产使用及处置原则,配置资产清单,定期更新清单库,并对资产进行分类。
所有资产应指定责任人,并且明确责任人的职责,明确资产使用权。
制定资产在生产、调试、运行、维护、报废等过程中的处置原则。
(二)对关键主机设备、网络设备、控制组件等进行冗余配置。
工业和信息化部发布《工业控制系统信息安全防护指南》
工业 控制系统信息安全事关经济发展 、社会稳 定和国家安全 。近年来 ,随着信息化 和工业 化融合 的不断深 入 ,工业 控制系统从单机走 向互联 、从封 闭走 向开放 、从 自动化走 向智 能化。在生产力显著提高 的同时 ,工业 控制系统 面临着 E l 益严 峻的信息安 全威胁 。为贯彻落实《 国务院关于深化制造业与互联 网融合发展 的指导意见 》 ( 国发 [ 2 0 1 6 ]2 8 号) 文 件精神 ,应对新 时期 工控安全形势 ,提升工业企业工 控安全 防护水平 ,工 业和信息化 部编制 了 《 工业控制 系统信息安全 防护指南 》( 以下简称 《 指南》 ) ,近 日发 布 ,以指导工业 企业制定 工控安全 防护实施方案 ,推动企业分期分批达到本指南相关要求 。
《 指南 》坚持 “ 安全是发 展的前 提 ,发展是安全 的保障 ” ,以当前我 国工业 控制系统面临的安全问题为出发
点 ,注重防护要求的可执行性 ,从管理 、技术两方面 明确工业企业工控安全 防护要 求。 落实 《 国家 网络安全法 》要 求 《 指南 》所 列 1 1 项要求 充分体现 了 《 国家 网络安全法 》中网络安全支持 与促进 、网络运行安全 、网络信息安全 、监测 预警与应急处置等法规在 工控安 全领域 的要求 ,是 《 国家 网络安 全法 》在工业领域 的具体应用 。 突出工业企业 主体 责任 《 指南 》根据 我 国工控安全 管理工作实践 经验 ,面 向工业 企业提 出工控安 全防护 要求 ,确立企业作为工控安全责任 主体 ,要求企业 明确 工控安全管理责任人 ,落实工控安全责任制 。 考虑 我国工控安全现 状 《 指南 》编制 以近五年我部工 控安全检查工作 掌握 的有关情 况为基础 ,充分 考虑
解读《工业控制系统信息安全防护指南》
解读《工业控制系统信息安全防护指南》工业控制系统信息安全防护指南》是为了贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》而制定的。
该指南是根据政策层面的指导思想和要求编制的,旨在保障工业企业工业控制系统信息安全。
政策中明确要求提高工业信息系统安全水平,___根据要求编制了《___关于印发信息化和工业化融合发展规划(2016-2020年)》,其中提到工业信息安全形势日益严峻,对两化融合发展提出新要求。
工业控制系统信息安全防护指南》提出了十一条三十款要求,贴近实际工业企业真实情况,务实可落地。
指南的整体思路借鉴了等级保护的思想。
这些要求可以分为三大类,即针对主体目标(法人或人)的要求、针对工业控制系统的要求和针对安全管理的要求。
针对主体目标的要求包括第十条供应链管理和第十一条人员责任。
在选择工业控制系统规划、设计、建设、运维或评估等服务商时,应优先考虑具备工控安全防护经验的企事业单位,并以合同等方式明确服务商应承担的信息安全责任和义务。
同时,要求与工业控制系统安全服务方签定保密协议,要求服务商及其服务人员严格做好保密工作,尤其对工业控制系统内部的敏感信息进行重点保护,防范敏感信息外泄。
除此之外,《工业控制系统信息安全防护指南》还提出了其他要求,如加强网络安全防护、加强物理安全防护、加强安全事件应急处置等。
这些要求的提出有助于逐步完善工业信息安全保障体系,进一步提高工业信息系统的安全水平。
为了加强工控安全,需要建立工控安全管理机制并成立信息安全协调小组,明确工控安全管理责任人,部署工控安全防护措施。
这个职能部门应负责工业控制系统全生命周期的安全防护体系建设和管理,制定安全管理方针,持续实施和改进工业控制系统的安全防护能力,不断提升工业控制系统防攻击和抗干扰的水平。
针对资产和数据的安全要求,需要建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置原则。
所有资产应指定责任人,并且明确责任人的职责,明确资产使用权。
《工业控制系统信息安全防护指南》解读
《工业控制系统信息安全防护指南》解读工业控制系统(Industrial Control System,ICS)是指用于自动化和监控的硬件、软件和网络技术的集合,其作用是控制、监控和维护工业基础设施和制造过程的运行。
然而,在当今数字化的世界中,ICS系统已成为攻击者的目标,因此我们必须采取一系列的安全防护措施来保护ICS系统。
ICS系统的一些安全风险包括:1.远程访问:攻击者可以使用IRC、Telnet、SSH等协议,通过加密的隧道和VPN通道等方式远程访问ICS系统,将恶意程序和攻击载荷上传到控制器或工程站。
2.内部安全:成员数据被盗用或成员被欺诈的情况。
3.网络威胁:ICS系统往往是在闭环的网络中工作,但它们也与其他网络和互联网链接,因此易受到攻击。
因此,以下是工业控制系统数据安全防护指南:1.设计阶段的安全首先,工业控制系统发展的早期阶段,许多ICS系统没有经过安全审计和测试,安全性往往被忽视或被视为一个可选的新颖功能。
为了建立更好的安全性,工业控制系统开发过程中必须加强安全性声中,安全性从需求阶段开始,将应用程序的安全性考虑进去。
2.访问控制和身份验证访问控制是ICS安全的其中一个关键领域。
由于ICS系统提供许多运营商和维护人员访问的便利性,因此应在实现访问控制中注意身份验证。
必须为访问设置带密码保护的访问控制,维护管理者应将系统用户分组,按照最小权限原则提供处理访问资源的权限。
3.安全管理ICS安全管理是基于ISO 27001的标准和实践中心进行的,这些标准和最佳实践可以帮助ICS公司和运营商建立一条完整的ICS安全管理体系。
安全管理体系包括风险管理、内部审计、规则制定和实施、代码和配置审计、身份验证、漏洞管理、事件管理和信息共享等。
通过制定保护计划和保障计划,ICS生态的维护变得更加实用。
4.媒体安全和安全访问凭证介质安全性的增强是ICS的关键领域之一。
利用媒体安全的策略,包括敏感数据的保护、加密技术、交换的密钥、数字签名、时间戳和哈希膜板的使用。
2016年10月印发工业控制系统信息安全防护指南
2016年10月印发工业控制系统信息安全防护指南【最新版】目录1.工业控制系统信息安全防护指南的背景和重要性2.工业控制系统信息安全的概念和防护目标3.工业控制系统信息安全的技术体系4.工业控制系统信息安全的发展趋势5.工业控制系统信息安全防护指南的实施和应用正文一、工业控制系统信息安全防护指南的背景和重要性随着工业控制系统在过程生产、电力设施、水力油气和运输等领域的广泛应用,其信息安全问题逐渐成为一个广泛关注的热点问题。
传统的工业控制系统安全性主要依赖于技术的隐秘性,但随着企业对生产过程数据的日益关注,工业控制系统越来越多地采用开放的互联网技术实现与企业网的互连,这使得工业控制系统的通信应用存在许多漏洞,容易受到攻击。
因此,工业控制系统信息安全防护指南的制定和实施显得尤为重要。
二、工业控制系统信息安全的概念和防护目标工业控制系统信息安全通常包括功能安全、物理安全和信息安全三个方面。
功能安全是为了达到设备和工厂安全功能,受保护的、和控制设备的安全相关部分必须正确执行其功能,而且当失效或故障发生时,设备或系统必须仍能保持安全条件或进入到安全状态。
物理安全主要是指对工业控制系统的硬件设备和设施进行保护,防止外部破坏和损坏。
信息安全则是指对工业控制系统中的信息进行保护,防止信息泄露、篡改和破坏。
工业控制系统信息安全防护的目标是确保工业控制系统的稳定运行,防止因信息安全问题导致的生产事故和经济损失,同时,也要保障国家和企业的安全利益。
三、工业控制系统信息安全的技术体系工业控制系统信息安全的技术体系主要包括以下几个方面:1.安全防护策略:根据工业控制系统的实际情况,制定相应的安全防护策略,包括安全管理、安全技术和安全运营等。
2.安全防护技术:采用加密、认证、访问控制等技术手段,对工业控制系统中的信息进行保护。
3.安全监测和预警:通过安全监测和预警系统,实时监测工业控制系统的安全状态,及时发现和预警安全事件。
解读工业控制系统信息安全防护指南
解读工业控制系统信息安全防护指南工业控制系统信息安全防护指南是一份为工业控制系统提供信息安全防护措施的指南。
工业控制系统(Industrial Control System,简称ICS)是用于控制、监测和管理工业过程的计算机系统,包括传统的工控系统、自动化系统和物联网系统。
由于工控系统与现代工业生产密切相关,其信息安全受到了越来越多的关注。
该指南的目的是为工业控制系统提供一套全面的信息安全防护措施,以保护系统的机密性、完整性和可用性。
该指南从系统架构设计、访问控制、数据防护、安全监测、漏洞管理等多个方面介绍了必要的安全防护手段。
首先,该指南强调了系统架构设计的重要性。
在设计工控系统时,应考虑将安全作为设计的基本原则,包括划定网络边界、使用安全网络设备、实施网络分段和隔离等。
这些设计原则有助于提高系统的安全性,防止未经授权的网络入侵。
其次,该指南对访问控制方面进行了详细介绍。
访问控制是保护工控系统安全的关键环节,可以通过身份认证、访问控制列表、权限管理等方式实施。
指南建议采用多层次的访问控制策略,以确保只有合法用户能够访问系统,从而避免非法入侵和数据泄露。
在数据防护方面,该指南强调了数据加密、数据备份和灾备等重要措施。
数据加密可以防止数据被恶意篡改或窃取,备份和灾备措施可以在系统故障或攻击事件发生时提供紧急恢复能力,降低损失。
另外,该指南还介绍了安全监测和漏洞管理的重要性。
安全监测可以通过流量监测、事件日志分析等手段实时监控系统的安全状况,及时发现异常行为和攻击。
漏洞管理包括定期对系统和软件进行安全扫描和更新,修复系统中存在的漏洞,以减少系统被攻击的风险。
综上所述,工业控制系统信息安全防护指南提供了一套全面的安全防护措施,帮助工业控制系统提高信息安全性。
通过系统架构设计、访问控制、数据防护、安全监测和漏洞管理等多个方面的安全措施,可以有效减少工控系统被攻击的风险,保护系统的机密性、完整性和可用性,确保工控系统的稳定运行。
工业和信息化部关于《工业控制系统网络安全防护指南》的解读
工业和信息化部关于《工业控制系统网络安全防护指南》的解读文章属性•【公布机关】工业和信息化部,工业和信息化部,工业和信息化部•【公布日期】2024.01.30•【分类】法规、规章解读正文《工业控制系统网络安全防护指南》解读近日,工业和信息化部印发了《工业控制系统网络安全防护指南》(以下简称《防护指南》)。
现将有关内容解读如下:一、《防护指南》出台的背景和意义是什么?工业控制系统作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。
2016年,工业和信息化部出台《工业控制系统信息安全防护指南》,对有效指导工业企业开展工控安全防护工作发挥了积极作用。
2017年以来,我国相继颁布了《网络安全法》《数据安全法》《密码法》等法律法规及行业应用方面的部门规章,现有政策文件未能充分衔接相关法律法规要求。
与此同时,工业企业数字化转型步伐加快,工业控制系统开放互联趋势明显,工业企业面临的网络安全风险与日俱增,工业企业加强网络安全防护需求迫切。
为做好《防护指南》编制工作,工业和信息化部结合新形势新要求,系统全面调研,深入分析新时期工控安全风险和企业安全防护需求,广泛征集地方工信主管部门、行业协会、部属单位、工控厂商、工业企业、安全企业、专家学者等各方意见。
《防护指南》将有效满足当前和未来一个时期工控系统安全防护需求,指导工业企业切实提升工业控制系统网络安全基线防护水平,推动企业数字化转型发展。
二、《防护指南》适用对象有哪些?《防护指南》适用于使用、运营工业控制系统的企业。
防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。
三、《防护指南》的定位和总体考虑是什么?《防护指南》定位于面向工业企业做好网络安全防护的指导性文件,坚持统筹发展和安全,围绕安全管理、技术防护、安全运营、责任落实四方面,提出三十三项指导性安全防护基线要求,推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
解读《工业控制系统信息安全防护指南》制定《指南》的背景通知中明确“为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),保障工业企业工业控制系统信息安全,工业和信息化部制定《工业控制系统信息安全防护指南》。
”可以看出,《工业控制系统信息安全防护指南》是根据《意见》制定的。
《意见》中相关要求《意见》“七大任务”中专门有一条“提高工业信息系统安全水平”。
工信部根据《十三五规划纲要》、《中国制造2025》和《意见》等要求编制的《工业和信息化部关于印发信息化和工业化融合发展规划(2016-2020年)》中进一步明确,在十三五期间,我国两化融合面临的机遇和挑战第四条就是“工业领域信息安全形势日益严峻,对两化融合发展提出新要求”,其“七大任务”中也提到要“逐步完善工业信息安全保障体系”,“六大重点工程”中之一就是“工业信息安全保障工程”。
以上这些,就是政策层面的指导思想和要求。
《指南》条款详细解读《指南》整体思路借鉴了等级保护的思想,具体提出了十一条三十款要求,贴近实际工业企业真实情况,务实可落地。
我们从《指南》要求的主体、客体和方法将十一条分为三大类:a、针对主体目标(法人或人)的要求,包含第十条供应链管理、第十一条人员责任:1.10 供应链管理(一)在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。
解读:工业控制系统的全生产周期的安全管理过程中,采用适合于工业控制环境的管理和服务方式,要求服务商具有丰富的安全服务经验、熟悉工业控制系统工作流程和特点,且对安全防护体系和工业控制系统安全防护的相关法律法规要有深入的理解和解读,保证相应法律法规的有效落实,并以合同的方式约定服务商在服务过程中应当承担的责任和义务。
(二)以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。
解读:与工业控制系统安全服务方签定保密协议,要求服务商及其服务人员严格做好保密工作,尤其对工业控制系统内部的敏感信息(如工艺文件、设备参数、系统管理数据、现场实时数据、控制指令数据、程序上传/下载数据、监控数据等)进行重点保护,防范敏感信息外泄。
1.11 落实责任通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施。
解读:设立工业控制系统安全管理工作的职能部门,负责工业控制系统全生命周期的安全防护体系建设和管理,明确安全管理机构的工作范围、责任及工作人员的职责,制定工业控制系统安全管理方针,持续实施和改进工业控制系统的安全防护能力,不断提升工业控制系统防攻击和抗干扰的水平。
b、针对客体目标(被保护的资产或数据)的安全要求,包含第八条资产安全、第九条数据安全:1.8 资产安全(一)建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置原则。
解读:为实现和保持对组织机构资产的适当保护,确保所有资产可查,应建设工业控制系统资产清单,并明确资产使用及处置原则,配置资产清单,定期更新清单库,并对资产进行分类。
所有资产应指定责任人,并且明确责任人的职责,明确资产使用权。
制定资产在生产、调试、运行、维护、报废等过程中的处置原则。
(二)对关键主机设备、网络设备、控制组件等进行冗余配置。
解读:在系统运行过程中,可能出现的宕机、中断、死机、病毒攻击、自然灾害等资产被侵害的事件发生,导致系统无法正常工作,给企业和社会带来损失,甚至威胁到员工生命和财产安全。
对关键主机设备、网络设备、控制组件等进行冗余配置,防止重大安全事件的发生。
1.9 数据安全(一)对静态存储数据和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。
解读:在数据创建、使用、分发、共享、销毁的整个生命周期中,对重要数据如工艺文件、设备参数、系统管理数据、现场实时数据、控制指令数据、程序上传/下载数据、监控数据等应进行保护,如加密技术、安全存储介质等。
数据遭受破坏时及时采取必要的恢复措施。
风险评估对数据的分类分级原则应包含对企业经济影响、生产稳定性影响、人身安全、法律风险、名誉度损失等角度开展,根据数据的重要程度在信息存储、信息传输、信息交换、信息使用等过程中采取相应的防护措施。
(二)定期备份关键业务数据。
解读:为保证系统在灾难发生时,数据能够尽量还原真实数据,应对历史数据库服务器、实时数据服务器、先进控制系统、优化控制系统等重要系统设备进行硬件冗余,启用实时数据备份功能,保证当主设备出现故障时冗余设备可以无扰动的切换并恢复数据,对于关键的业务数据,应定期进行软备份。
(三)对测试数据进行保护。
解读:测试数据一般来源于真实的现场设备实时数据,有必要对测试数据进行安全防护,防止发生数据泄露、篡改、破坏,保护企业资产。
c、针对保护方法措施的要求,根据工业控制网络由内而外的结构包括:终端(第一条软件选择与管理、第四条物理环境安全);配置(第二条配置安全);网络(第五条身份认证、第三条边界防护、第六条远程安全);例外(第七条监测应急)。
1.1 安全软件选择与管理(一)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
解读:工业控制系统对可用性和实时性要求非常高,任何未经验证测试的软件都可能影响控制系的稳定性,应对防病毒软件或应用程序白名单软件进行离线测试,测试无风险后,方可在工业主机上部署。
目前工业主机有效防护机制有“黑名单机制”和“白名单机制”,相比之下工控网络则更加注重防护的“高可用性”和“高可靠性”,鉴于工业应用的特殊性,“黑名单机制”无法应对多元化的风险及威胁。
利用“白名单机制”可以建立工控行业应用程序信誉库,为工控应用程序提供可信认证、授权和评估,同时辅助沙箱检测技术和杀毒软件进行应用程序软件的安全性测试,从根本上保证了工控主机安全。
(二)建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。
解读:病毒和恶意代码是工控系统主要威胁之一,应对工控系统设备(例如操作员站、工程师站、控制服务器等)部署病毒和恶意代码集中监控、防护管理措施,对工业控制系统及临时接入的设备进行病毒和恶意代码扫描检测,防止遭受病毒和恶意软件攻击。
1.4 物理和环境安全防护(一)对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。
解读:重要的工程师站、数据库、服务器是工业控制系统的核心组件,为了防止来自人为的恶意破坏。
应对核心工业控制软硬件所在的位置,按照物理位置和业务功能进行区域划分,区域之间设置物理隔离装置。
在必要区域前设置交付或安装等过渡区域,特殊区域应配置电子门禁系统,7*24小时的视频监控。
对核心工业控制软硬件所在区域,出入口应安排专人值守,控制、鉴别和记录进入的人员,来访人员应经过申请和审批流程,并限制和监控其活动范围。
(二)拆除或封闭工业主机上不必要的USB、光驱、无线等接口。
若确需使用,通过主机外设安全管理技术手段实施严格访问控制。
解读:工业主机越来越多采用通用计算机,USB、光驱、无线等接口的使用,为病毒、木马、蠕虫等恶意代码入侵提供了途径,拆除或封闭工业主机上不必要的USB、光驱、无线等接口可以从根本上切断非法数据、程序的传播途径。
若确需使用,可以通过主机安全管理软件对外设的端口进行控制,记录文件的导入导出等操作痕迹,实现对端口的严格访问控制。
1.2 配置和补丁管理(一)做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。
解读:安全配置是基础性的安全防护措施,安全配置能够增强工控网络、工业主机和工控设备安全性,应建立工控系统安全配置清单,包括工控网络设备、工业主机、工控设备的安全配置清单。
在日常运维管理方面,指导管理人员对系统安全配置优化,避免存在安全隐患。
根据工业控制系统配置清单,定期对工业控制网络、工业主机和工业控制设备开展配置审计,及时发现配置问题。
(二)对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。
解读:工控系统的日常维护管理经常涉及到配置变更,但未经严格安全测试的重大变更可能会对工控系统造成破坏。
在工控系统重大配置变更之前,应制定变更计划,对变更可能出现的影响进行评估分析,并在工控系统离线环境中进行安全测试,保障配置变更的安全性和可靠性。
(三)密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。
在补丁安装前,需对补丁进行严格的安全评估和测试验证。
解读:工控系统较传统的IT系统更脆弱,在补丁升级方面要非常慎重,补丁升级可能会影响工控系统的稳定性,如果补丁升级失败,可能对工控系统造成破坏,导致工控系统运行中断。
因此,工控系统在补丁升级之前必须进行严格验证测试,包括安全性、稳定性、兼容性和可靠性验证测试。
1.5 身份认证(一)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。
对于关键设备、系统和平台的访问采用多因素认证。
解读:面对工业控制主机和系统的登录、访问过程中常见身份冒用,越权访问等安全风险,给工业控制生产活动带来安全隐患。
通过采取身份鉴别、角色判定、权限分配等安全措施实现工业主机登录、应用服务资源访问、工业云平台访问等过程的统一身份认证管理。
对于关键设备、系统和平台应采取如口令、usbkey、智能卡、生物指纹等多种认证方式组合的多因素认证方式。
一是避免他人盗用、误用,二是提高设备、系统和平台的攻击难度。
(二)合理分类设置账户权限,以最小特权原则分配账户权限。
解读:应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、篡改等原因造成的损失最小化,对超级管理员账号未禁止、各账户权限未实现分立制约等常见问题应及时发现并改正。
(三)强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认密码或弱密码,定期更新口令。
解读:对登录账户和密码要及时更新,密码要以多位数含数字、字母、特殊符号的组合方式提高密码强度,建议采用验证码机制,提高被暴力破解的难度。
避免使用默认密码、易猜测密码、空口令甚明文张贴密码的现象发生。
(四)加强对身份认证证书信息保护力度,禁止在不同系统和网络环境下共享。
解读:建议采用安全介质存储证书信息,对证书的申请、发放、使用、吊销等过程通过技术手段严格控制,并建立相关制度保障。
建议采用国际通用的安全商密算法或国密算法。
在不用系统和网络环境下禁止传递证书信息。
1.3 边界安全防护(一)分离工业控制系统的开发、测试和生产环境。