據(jù)工信部網(wǎng)站消息,近日,工業(yè)和信息化部印發(fā)了《工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南》(以下簡稱《防護指南》)。現(xiàn)將有關內容解讀如下:
一、《防護指南》出臺的背景和意義是什么?
工業(yè)控制系統(tǒng)作為工業(yè)生產(chǎn)運行的基礎核心,其網(wǎng)絡安全事關企業(yè)運營和生產(chǎn)安全、事關產(chǎn)業(yè)鏈供應鏈安全穩(wěn)定、事關經(jīng)濟社會運行和國家安全。2016年,工業(yè)和信息化部出臺《工業(yè)控制系統(tǒng)信息安全防護指南》,對有效指導工業(yè)企業(yè)開展工控安全防護工作發(fā)揮了積極作用。2017年以來,我國相繼頒布了《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《密碼法》等法律法規(guī)及行業(yè)應用方面的部門規(guī)章,現(xiàn)有政策文件未能充分銜接相關法律法規(guī)要求。與此同時,工業(yè)企業(yè)數(shù)字化轉型步伐加快,工業(yè)控制系統(tǒng)開放互聯(lián)趨勢明顯,工業(yè)企業(yè)面臨的網(wǎng)絡安全風險與日俱增,工業(yè)企業(yè)加強網(wǎng)絡安全防護需求迫切。
為做好《防護指南》編制工作,工業(yè)和信息化部結合新形勢新要求,系統(tǒng)全面調研,深入分析新時期工控安全風險和企業(yè)安全防護需求,廣泛征集地方工信主管部門、行業(yè)協(xié)會、部屬單位、工控廠商、工業(yè)企業(yè)、安全企業(yè)、專家學者等各方意見!斗雷o指南》將有效滿足當前和未來一個時期工控系統(tǒng)安全防護需求,指導工業(yè)企業(yè)切實提升工業(yè)控制系統(tǒng)網(wǎng)絡安全基線防護水平,推動企業(yè)數(shù)字化轉型發(fā)展。
二、《防護指南》適用對象有哪些?
《防護指南》適用于使用、運營工業(yè)控制系統(tǒng)的企業(yè)。防護對象包括工業(yè)控制系統(tǒng)以及被網(wǎng)絡攻擊后可直接或間接影響生產(chǎn)運行的其他設備和系統(tǒng)。
三、《防護指南》的定位和總體考慮是什么?
《防護指南》定位于面向工業(yè)企業(yè)做好網(wǎng)絡安全防護的指導性文件,堅持統(tǒng)籌發(fā)展和安全,圍繞安全管理、技術防護、安全運營、責任落實四方面,提出三十三項指導性安全防護基線要求,推動解決走好新型工業(yè)化道路過程中工業(yè)控制系統(tǒng)網(wǎng)絡安全面臨的突出問題。
一是堅持與時俱進。結合推進新型工業(yè)化背景下的新形勢、新任務、新要求,針對性研究制定防護條款,在落實2016年以來我國在網(wǎng)絡和數(shù)據(jù)安全領域新出臺的法律法規(guī)的同時,聚焦新時期工業(yè)控制系統(tǒng)的新應用趨勢及新安全風險。二是強調技管結合。從安全管理、技術防護、安全運營、責任落實四方面提出防護要求,堅持技術和管理措施并重,督促企業(yè)落實工控安全主體責任。三是注重實操實踐。針對工業(yè)控制系統(tǒng)應用現(xiàn)狀、運行特點和安全需求,結合企業(yè)現(xiàn)有技術能力基礎,提出可落地實操的明確安全要求,并通過實施基線安全防護等系列措施,切實提升工業(yè)企業(yè)安全防護水平。
四、《防護指南》如何指導企業(yè)做好網(wǎng)絡安全防護?
一是聚焦安全風險管控,突出管理重點對象,提升工業(yè)企業(yè)工控安全管理能力。圍繞工業(yè)控制系統(tǒng)資產(chǎn)、配置、供應鏈、人員四大管理重點提出安全要求,在理清系統(tǒng)資產(chǎn)底數(shù)、保障系統(tǒng)基本運行安全的基礎上,避免網(wǎng)絡安全風險引入工業(yè)控制系統(tǒng),減少網(wǎng)絡安全事件的可能性。二是聚焦安全薄弱關鍵環(huán)節(jié),強化技術應對策略,提升工業(yè)企業(yè)工控安全防護能力。在保障工業(yè)主機和終端設備自身安全的基礎上,進一步防范來自內外部網(wǎng)絡的入侵攻擊,強調上云上平臺新型場景下的設備與業(yè)務安全,同時規(guī)范軟件和服務安全使用,落實數(shù)據(jù)安全分類分級保護。三是聚焦易發(fā)網(wǎng)絡安全風險,增強威脅發(fā)現(xiàn)及處置能力,提升工業(yè)企業(yè)安全運營能力。圍繞網(wǎng)絡安全事件的事前、事中、事后環(huán)節(jié),提出部署網(wǎng)絡安全監(jiān)測手段、建設網(wǎng)絡安全運營中心和做好應急處置等安全措施,并要求做好定期網(wǎng)絡安全風險評估和防護能力評估,開展日常系統(tǒng)漏洞排查并實施安全加固。四是聚焦工業(yè)企業(yè)資源保障,堅持統(tǒng)籌發(fā)展和安全,督促企業(yè)落實網(wǎng)絡安全責任。圍繞建立工控安全管理制度,明確工控安全保護責任,確保安全技術措施與工業(yè)控制系統(tǒng)建設同步推進等方面提出安全要求。
五、下一步如何推進《防護指南》落實?
為更好指導各方落實《防護指南》相關要求,下一步將從政策宣貫、試點推廣、生態(tài)培育等方面,深入推進工控安全防護工作。
一是做好政策宣貫培訓,組織開展系列宣傳活動,面向地方主管部門、工業(yè)企業(yè)等做好文件解讀和宣貫培訓,切實提升企業(yè)工控安全防護意識。二是推進安全評估試點,組織開展工業(yè)控制系統(tǒng)網(wǎng)絡安全防護能力評估試點工作,完善評估機制、流程和方式,形成一批可復制、可推廣的工控安全解決方案。三是探索重要系統(tǒng)識別認定,梳理研究重要工業(yè)控制系統(tǒng)的界定方法、判定規(guī)則等,研究制定重要工業(yè)控制系統(tǒng)識別認定相關文件。四是推進產(chǎn)業(yè)生態(tài)培育,依托試點示范、專項項目等,面向典型工業(yè)場景和工控安全防護需求,突破一批工控安全防護關鍵技術,提升工控安全產(chǎn)品供給能力。
免責聲明:
※ 以上所展示的信息來自媒體轉載或由企業(yè)自行提供,其原創(chuàng)性以及文中陳述文字和內容未經(jīng)本網(wǎng)站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本網(wǎng)站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。如果以上內容侵犯您的版權或者非授權發(fā)布和其它問題需要同本網(wǎng)聯(lián)系的,請在30日內進行。
※ 有關作品版權事宜請聯(lián)系中國企業(yè)新聞網(wǎng):020-34333079 郵箱:cenn_gd@126.com 我們將在24小時內審核并處理。