首頁 > 關于我們 > 新聞動態 > 深度解讀

解決之道出爐→→《工業控制系統網絡安全防護指南》

發布時間 2024-02-05

2016年10月17日,工業和信息化部發布了《工業控制系統信息安全防護指南》,指導工業企業開展工控安全防護工作。2024年1月19日,工業和信息化部發布了新版《工業控制系統網絡安全防護指南》(以下簡稱《指南》)。新版《指南》的內容從2016版的11個方面30項防護指導,演變為4個方面33項防護指導。


相較于2016版重點針對工業控制系統的安全防護,新版更加關注工業控制系統在運營、管理和使用場景方面的安全防護,也更貼合當前新型工業化發展過程中工業企業數字化轉型的安全需求,更易于工業企業在工控安全防護建設方面的具體實踐。本文通過詳細解讀《指南》中涉及的安全管理、技術防護、安全運營和責任落實四大方面內容并分別提出解決之道,幫助用戶更好地理解和應用《指南》。



篤行見真知 《指南》解決之道



《指南》包含安全管理、技術防護、安全運營和責任落實四個方面,列出了33項具體防護指導。為方便大家學習參考,這里對《指南》進行了架構總結,如下圖所示:



從圖中可以看出,《指南》在各個方面的指導內容非常精煉,注重實操性,大幅降低工業企業參考實踐的復雜度,綜合考慮了工業企業在成本、可行性和可操作性方面的需求。


安全管理


在安全管理方面,管理針對性強且內容重點突出,主要聚焦資產、配置、供應鏈、宣傳教育四個方向。


1、資產管理和配置管理是強化工控安全管理的重要基礎,加強這兩方面的安全管理,不僅能夠提升企業應對工控安全漏洞、勒索病毒等高危風險的能力,也能夠有效加強工業企業在發生安全事件后的溯源、應急處置和恢復能力。


解決之道:部署工業互聯網安全集中管理分析系統、工業控制系統安全檢查工具箱、工業防火墻等產品可覆蓋該項指導建議。


2、供應鏈安全是以往工控安全普遍忽視的盲區,信息化和數字化的發展使企業供應商的數量和類型也在不斷擴大,如何針對供應商進行安全管理也是亟待解決的重要問題,而安全管理方面的要求是供應商安全管理的重要步驟。


解決之道:建立供應商安全管理制度,部署超級SIM安全網關,從管理和技術領域覆蓋該項指導建議。


3、人員安全是網絡安全建設重要環節,安全意識宣貫和技能培訓是提升人員安全的重要手段,工控安全在人員安全意識和專業技術能力方面的要求更加專業、需求也更為迫切。


解決之道:建立宣傳教育相關安全管理制度,邀請網絡安全機構和企業提供相關培訓服務,有條件的企業可以部署工控安全實訓平臺,技管結合完整覆蓋該項指導建議。


技術防護


在技術防護方面,沒有復雜繁多的技術要求,直指工控安全的薄弱環節,提出針對性高、落地性強的指導建議,注重實踐操作。


1、主機和終端是近年來工控安全事件的重災區,勒索病毒、高危漏洞普遍出現在工業主機和終端環境中,由于特殊的使用場景和環境,工業企業在主機和終端安全防護方面一直非常謹慎,《指南》重點加強對防病毒、軟件白名單、USB管控以及設備準入的防護能力,不僅符合用戶的實際安全關切,覆蓋典型的安全風險,也是當前相關防護產品能夠具體落地的能力。


解決之道:部署工業主機衛士和網絡準入控制系統(NAC)可有效覆蓋該項指導建議。


2、云平臺、物聯網、5G網絡的應用,對工業企業網絡架構和邊界安全提出了新的要求,《指南》重點聚焦網絡分區分域、無線網絡、遠程訪問以及商用密碼使用等場景的安全防護,可進一步提升企業的邊界安全防護能力。


解決之道:部署工業防火墻、工業網閘、SDP訪問控制網關、網絡準入控制系統(NAC)、商用密碼服務管理平臺可有效覆蓋該項指導建議。


3、工業設備上云是企業工業互聯網建設的重要內容,由此帶來的安全威脅和風險如何進行防護和控制也是企業工控安全建設的重點,《指南》對上云的接入要求、過程和環境都提出了相應的建議。


解決之道:部署云安全資源池、工業物聯網安全網關(IoT-VBox)可有效覆蓋該項指導建議。


4、訪問制造執行系統(MES)、組態軟件和工業數據庫等應用服務已經普遍應用在工業企業的生產過程中,這些應用系統和軟件的訪問控制、權限管理以及開發迭代等方面的安全防護也是工業企業要重點加強的領域。


解決之道:通過提供代碼安全測試服務或部署代碼安全測試系統、SDP訪問控制網關可有效覆蓋該項指導建議。


5、系統數據安全以往對于工控安全并不是重點防護對象,而近年來工信部對工業領域數據安全管理的重視以及數據安全在工業數字化過程中的重要性,圍繞數據安全的能力建設成為工業企業必備的基礎能力。


解決之道:部署數據安全分類分級工具以及數據跨境安全評估服務可有效覆蓋該項指導建議。


安全運營


在安全運營方面,《指南》從監測預警、運營中心、應急處置、安全評估、漏洞管理五個方面提出了指導建議,覆蓋工業企業安全運營的基本需求。


推薦企業工業控制網絡部署監測審計相關設備或平臺、采用工業控制系統蜜罐等威脅誘捕技術提升安全監測預警和主動防御能力;鼓勵有條件的企業建設工業控制系統網絡安全運營中心;強調應急預案、日志存儲、備份恢復能力,提升企業應對安全事件的應急處置能力;定期開展安全風險評估,建立安全漏洞管理機制,提升企業自身安全免疫能力。


解決之道:建立工控安全運營中心或在已有網絡安全運營中心的基礎上部署工業互聯網安全態勢感知平臺,并建立配套的安全運營機制和流程。


責任落實


在責任落實方面,《指南》也從安全監督的角度,對工業企業的工控安全責任進行了統籌規劃,嚴格遵循“誰運營誰負責、誰主管誰負責”的原則,有效落實工控安全保護責任,并按照三同步原則加強企業資源保障力度。


解決之道:通過工控安全規劃咨詢服務,建立企業工控安全建設規劃,完善工控安全管理和技術體系,分階段、分步驟有效推進工控安全的能力建設。


隨著工業企業數字化轉型步伐加快,工業控制系統開放互聯趨勢明顯,工業企業面臨的網絡安全風險與日俱增,《指南》的發布和落實將切實提升工業企業在工業控制系統網絡安全基線的防護水平,解決走好新型工業化道路過程中工業控制系統網絡安全面臨的突出問題。多年來,啟明星辰持續深耕工控安全領域,在技術研發、安全研究、行業深化等方面不斷發力,沉淀了深厚的技術優勢和經驗,為工業企業的數字化轉型之路提供更加全面、有效、落地可行的解決方案,護航新型工業化高質量發展。

上一篇 下一篇