首页 > 关于我们 > 新闻动态 > 深度解读

解决之道出炉→→《工业控制系统网络安全防护指南》

发布时间 2024-02-05

2016年10月17日,工业和信息化部发布了《工业控制系统信息安全防护指南》,指导工业企业开展工控安全防护工作。2024年1月19日,工业和信息化部发布了新版《工业控制系统网络安全防护指南》(以下简称《指南》)。新版《指南》的内容从2016版的11个方面30项防护指导,演变为4个方面33项防护指导。


相较于2016版重点针对工业控制系统的安全防护,新版更加关注工业控制系统在运营、管理和使用场景方面的安全防护,也更贴合当前新型工业化发展过程中工业企业数字化转型的安全需求,更易于工业企业在工控安全防护建设方面的具体实践。本文通过详细解读《指南》中涉及的安全管理、技术防护、安全运营和责任落实四大方面内容并分别提出解决之道,帮助用户更好地理解和应用《指南》。



笃行见真知 《指南》解决之道



《指南》包含安全管理、技术防护、安全运营和责任落实四个方面,列出了33项具体防护指导。为方便大家学习参考,这里对《指南》进行了架构总结,如下图所示:



从图中可以看出,《指南》在各个方面的指导内容非常精炼,注重实操性,大幅降低工业企业参考实践的复杂度,综合考虑了工业企业在成本、可行性和可操作性方面的需求。


安全管理


在安全管理方面,管理针对性强且内容重点突出,主要聚焦资产、配置、供应链、宣传教育四个方向。


1、资产管理和配置管理是强化工控安全管理的重要基础,加强这两方面的安全管理,不仅能够提升企业应对工控安全漏洞、勒索病毒等高危风险的能力,也能够有效加强工业企业在发生安全事件后的溯源、应急处置和恢复能力。


解决之道:部署工业互联网安全集中管理分析系统、工业控制系统安全检查工具箱、工业防火墙等产品可覆盖该项指导建议。


2、供应链安全是以往工控安全普遍忽视的盲区,信息化和数字化的发展使企业供应商的数量和类型也在不断扩大,如何针对供应商进行安全管理也是亟待解决的重要问题,而安全管理方面的要求是供应商安全管理的重要步骤。


解决之道:建立供应商安全管理制度,部署超级SIM安全网关,从管理和技术领域覆盖该项指导建议。


3、人员安全是网络安全建设重要环节,安全意识宣贯和技能培训是提升人员安全的重要手段,工控安全在人员安全意识和专业技术能力方面的要求更加专业、需求也更为迫切。


解决之道:建立宣传教育相关安全管理制度,邀请网络安全机构和企业提供相关培训服务,有条件的企业可以部署工控安全实训平台,技管结合完整覆盖该项指导建议。


技术防护


在技术防护方面,没有复杂繁多的技术要求,直指工控安全的薄弱环节,提出针对性高、落地性强的指导建议,注重实践操作。


1、主机和终端是近年来工控安全事件的重灾区,勒索病毒、高危漏洞普遍出现在工业主机和终端环境中,由于特殊的使用场景和环境,工业企业在主机和终端安全防护方面一直非常谨慎,《指南》重点加强对防病毒、软件白名单、USB管控以及设备准入的防护能力,不仅符合用户的实际安全关切,覆盖典型的安全风险,也是当前相关防护产品能够具体落地的能力。


解决之道:部署工业主机卫士和网络准入控制系统(NAC)可有效覆盖该项指导建议。


2、云平台、物联网、5G网络的应用,对工业企业网络架构和边界安全提出了新的要求,《指南》重点聚焦网络分区分域、无线网络、远程访问以及商用密码使用等场景的安全防护,可进一步提升企业的边界安全防护能力。


解决之道:部署工业防火墙、工业网闸、SDP访问控制网关、网络准入控制系统(NAC)、商用密码服务管理平台可有效覆盖该项指导建议。


3、工业设备上云是企业工业互联网建设的重要内容,由此带来的安全威胁和风险如何进行防护和控制也是企业工控安全建设的重点,《指南》对上云的接入要求、过程和环境都提出了相应的建议。


解决之道:部署云安全资源池、工业物联网安全网关(IoT-VBox)可有效覆盖该项指导建议。


4、访问制造执行系统(MES)、组态软件和工业数据库等应用服务已经普遍应用在工业企业的生产过程中,这些应用系统和软件的访问控制、权限管理以及开发迭代等方面的安全防护也是工业企业要重点加强的领域。


解决之道:通过提供代码安全测试服务或部署代码安全测试系统、SDP访问控制网关可有效覆盖该项指导建议。


5、系统数据安全以往对于工控安全并不是重点防护对象,而近年来工信部对工业领域数据安全管理的重视以及数据安全在工业数字化过程中的重要性,围绕数据安全的能力建设成为工业企业必备的基础能力。


解决之道:部署数据安全分类分级工具以及数据跨境安全评估服务可有效覆盖该项指导建议。


安全运营


在安全运营方面,《指南》从监测预警、运营中心、应急处置、安全评估、漏洞管理五个方面提出了指导建议,覆盖工业企业安全运营的基本需求。


推荐企业工业控制网络部署监测审计相关设备或平台、采用工业控制系统蜜罐等威胁诱捕技术提升安全监测预警和主动防御能力;鼓励有条件的企业建设工业控制系统网络安全运营中心;强调应急预案、日志存储、备份恢复能力,提升企业应对安全事件的应急处置能力;定期开展安全风险评估,建立安全漏洞管理机制,提升企业自身安全免疫能力。


解决之道:建立工控安全运营中心或在已有网络安全运营中心的基础上部署工业互联网安全态势感知平台,并建立配套的安全运营机制和流程。


责任落实


在责任落实方面,《指南》也从安全监督的角度,对工业企业的工控安全责任进行了统筹规划,严格遵循“谁运营谁负责、谁主管谁负责”的原则,有效落实工控安全保护责任,并按照三同步原则加强企业资源保障力度。


解决之道:通过工控安全规划咨询服务,建立企业工控安全建设规划,完善工控安全管理和技术体系,分阶段、分步骤有效推进工控安全的能力建设。


随着工业企业数字化转型步伐加快,工业控制系统开放互联趋势明显,工业企业面临的网络安全风险与日俱增,《指南》的发布和落实将切实提升工业企业在工业控制系统网络安全基线的防护水平,解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。多年来,启明星辰持续深耕工控安全领域,在技术研发、安全研究、行业深化等方面不断发力,沉淀了深厚的技术优势和经验,为工业企业的数字化转型之路提供更加全面、有效、落地可行的解决方案,护航新型工业化高质量发展。

上一篇 下一篇