【解读】关基视角解读《工业控制系统网络安全防护指南》
工业控制系统作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。2016年,工业和信息化部出台《工业控制系统信息安全防护指南》,对有效指导工业企业开展工控安全防护工作发挥了积极作用。但是,随着工业企业数字化转型步伐加快,工业控制系统开放互联趋势明显,工业企业面临的网络安全风险与日俱增,工业企业加强网络安全防护需求迫切。
为了有效满足当前和未来一个时期工控系统安全防护需求,指导工业企业切实提升工业控制系统网络安全基线防护水平,推动企业数字化转型发展,工业和信息化部正式印发《工业控制系统网络安全防护指南》(以下简称《指南》)。
为贯彻落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律法规有关要求,支撑构建国家关键信息基础设施安全保障体系,指导关键信息基础设施运营者开展安全保护工作,在中央网信办网络安全协调局、公安部网络安全保卫局指导下,中国电子技术标准化研究院组织研制了《信息安全技术 关键信息基础设施安全保护要求》(以下简称《保护要求》)(GB/T 39204-2022)国家标准。
《指南》与《保护要求》分别从不同角度提出了对工业控制系统及关键信息基础设施的安全管理要求和技术规范,《指南》从安全管理、技术防护、安全运营和责任落实4个维度共16个方面给出了建议。
《保护要求》从3项基本原则和6个方面活动提出了111条安全要求。“3项基本原则”即以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防;“6个方面活动”即分析识别、安全防护、检测评估、监测预警、主动防御和事件处置。
本文旨在对比分析两部法规在工业控制系统网络安全防护方面的一致性与差异性,从而在不同客户的个性化场景下,采取管理和技术措施对工业控制系统全生命周期进行安全保护,提供依据和合理化建议。
安全管理的相同点和不同点
共同之处在于,《指南》与《保护要求》均强调了安全管理的重要性,明确了运营主体应当建立完善的管理制度,包括但不限于制定安全策略、实施风险评估、强化人员培训和资质管理等。两者都要求企业建立健全内部安全管理体系,确保组织结构、岗位职责清晰明确,并通过合规审计来检验制度执行效果。
不同之处主要体现在适用范围和侧重点上,《保护要求》针对的是关键信息基础设施这一特定领域,对于这类设施的安全管理要求更为严格,特别规定了顶层设计、整体防护的原则,并要求行业主管或监管部门深度参与指导和监督。而《指南》虽然同样关注全面的安全管理,但更加注重指导工业控制系统自身的日常安全管理工作流程,可能包含更多具体的技术操作层面的规定。
技术防护的共需与特性
在技术防护层面,《指南》明确提出使用工业防火墙、网闸等设备进行逻辑隔离,实行严格的访问控制,以及采用密码技术、容灾备份等措施来保障数据安全。这与《保护要求》中关于关键信息基础设施应采取多层次、全方位安全防护手段的要求相吻合,两者都强调了纵深防御体系的构建。
然而,《保护要求》还特别关注关键信息基础设施面临的高级持续威胁,要求实施国家认可的安全技术和产品,强调自主创新与自主可控,同时也对涉及国家安全的关键核心技术做了特殊保护规定。相比之下,《指南》更侧重于工业控制系统本身的防护体系建设和技术应用实践。
安全运行的相同与差异
无论是《指南》还是《保护要求》,都要求建立有效的安全监测预警机制和应急响应预案,以实现对潜在安全威胁的实时感知和快速处置。它们都倡导持续改进的安全运营模式,将定期检查、漏洞管理、事件报告等内容纳入日常运维之中。
而区别在于,《保护要求》由于着眼于关键信息基础设施的特殊地位,对安全运营的要求更加细致入微,可能会涉及到跨部门、跨行业的协同联动机制建设,以及与国家网络安全应急体系的对接等方面;《指南》则更多地聚焦于企业在工业控制系统日常运行维护中的实际操作步骤和技术措施的应用。
责任落实的共性与特性
在责任落实方面,《指南》和《保护要求》一致认为各运营单位必须承担起首要责任,从管理层到执行层,自上而下推动安全工作的落地执行。同时,二者也都强调社会各方参与,政府监管机构发挥引导和监督作用。
《保护要求》在法律责任方面设定了更为明确且严厉的追责机制,尤其是针对关键信息基础设施保护不力导致严重后果的情况,明确了相应的行政乃至刑事法律责任。相较之下,《指南》作为指导性文件,尽管同样强调责任落实,但其更偏向于提供操作指导和最佳实践,而非直接设定法律责任条款。
北京圣博润高新技术股份有限公司是一家专注于网络安全技术研究、产品研发和安全服务的高新技术企业。基于《指南》和《保护要求》的防护要求和梳理,圣博润为不同客户群体提供如下应对措施:
综上所述,《工业控制系统网络安全防护指南》与《关键信息基础设施安全保护要求》在多个方面既存在密切的内在联系,又各有其针对性和独特性,共同构成了我国工业控制系统网络安全防护工作的重要基石,为工业企业和关键信息基础设施运营者提供了全面而立体的指导框架。
实战型安全服务领航者
目前已获得
信息系统安全集成服务资质(一级)
信息安全应急处理服务资质(一级)
信息安全风险评估服务资质(一级)
信息安全服务资质(安全工程类二级)
信息安全等级保护安全建设服务机构能力评估合格证书
工业互联网安全整体解决方案专家
近年来,公司加大了新兴网络安全领域的技术研究和研发投入,在工控安全和工业互联网安全领域推出了一系列的安全产品。包括:工业防火墙、工业网闸、工控安全监测与审计、工控系统安全检查工具箱、工业互联网安全评估平台、工业互联网安全态势感知平台在内的完整产品系列。业务覆盖:产品研发、课题研究、安全服务、解决方案、安全竞赛等方面。
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
- 上周热门
- 如何使用 StarRocks 管理和优化数据湖中的数据? 2956
- 【软件正版化】软件正版化工作要点 2875
- 统信UOS试玩黑神话:悟空 2839
- 信刻光盘安全隔离与信息交换系统 2733
- 镜舟科技与中启乘数科技达成战略合作,共筑数据服务新生态 1267
- grub引导程序无法找到指定设备和分区 1231
- 华为全联接大会2024丨软通动力分论坛精彩议程抢先看! 165
- 2024海洋能源产业融合发展论坛暨博览会同期活动-海洋能源与数字化智能化论坛成功举办 163
- 点击报名 | 京东2025校招进校行程预告 163
- 华为纯血鸿蒙正式版9月底见!但Mate 70的内情还得接着挖... 159
- 本周热议
- 我的信创开放社区兼职赚钱历程 40
- 今天你签到了吗? 27
- 如何玩转信创开放社区—从小白进阶到专家 15
- 信创开放社区邀请他人注册的具体步骤如下 15
- 方德桌面操作系统 14
- 用抖音玩法闯信创开放社区——用平台宣传企业产品服务 13
- 我有15积分有什么用? 13
- 如何让你先人一步获得悬赏问题信息?(创作者必看) 12
- 2024中国信创产业发展大会暨中国信息科技创新与应用博览会 9
- 信创再发力!中央国家机关台式计算机、便携式计算机批量集中采购配置标准的通知 8
