信息安全技术工业控制系统安全检查指南

glb111

于 2023-02-19 19:39:01 发布

阅读量468

点赞数

文章标签：网络安全 web安全

本文链接：https://blog.csdn.net/glb111/article/details/128960718

版权

声明

本文是学习ITOT一体化工业信息安全态势报告（2019）. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

2019工业互联网安全工作进展

工业互联网安全重要文件

1）工业互联网综合标准化体系建设指南

2019年3月，为发挥标准在工业互联网产业生态体系构建中的顶层设计和引领规范作用，推动相关产业转型升级，加快制造强国和网络强国建设步伐，工业和信息化部、国家标准化管理委员会共同组织制定《工业互联网综合标准化体系建设指南》。

该建设指南从从工业互联网产业发展实际出发，运用综合标准化的理念和方式，着力构建重点突出、协调配套、科学开放、融合创新的工业互联网标准体系，加快基础共性、总体性、安全、应用等重点领域标准的制定和实施，促进工业互联网产业持续快速健康发展。

2）网络安全漏洞管理规定（征求意见稿）

2019年6月，为贯彻落实《中华人民共和国网络安全法》，加强网络安全漏洞管理，保证网络产品、服务、系统的漏洞得到及时修补，提高网络安全防护水平，工业和信息化部发布《网络安全漏洞管理规定（征求意见稿）》。中华人民共和国境内网络产品、服务提供者和网络运营者，以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织（或个人,应当遵守本规定。

3）水利网络安全管理办法（试行）

2019年8月，为确保水利信息化规划建设同步落实网络安全等级保护制度，明确运行阶段网络安全责任，强化监督检查和责任追究，有效保障水利网络安全，水利部组织编制了《水利网络安全管理办法（试行）》。

《办法》包括总则、网络安全规划建设、网络运行安全、监测预警与应急处置、监督考核与责任追究、附则共六章。《办法》指出，水利网络安全遵循“积极利用、科学发展、依法管理、确保安全”的方针，建立及时发现漏洞、及时有效处置漏洞和严格责任追究三套机制，确保水利信息化规划建设同步落实网络安全等级保护制度，明确运行阶段网络安全责任。

4）加强工业互联网安全工作的指导意见

2019年8月，为加快构建工业互联网安全保障体系，提升工业互联网安全保障能力，促进工业互联网高质量发展，推动现代化经济体系建设，护航制造强国和网络强国战略实施，工信部、教育部、国家能源局等十部委联合发布《加强工业互联网安全工作的指导意见》。

《意见》中包括推动工业互联网安全责任落实、构建工业互联网安全管理体系、提升企业工业互联网安全防护水平、强化工业互联网数据安全保护能力、建设国家工业互联网安全技术手段、加强工业互联网安全公服务能力、推动工业互联网安全科技创新与产业发展七大主要任务。同时，《意见》指出，到2025年，制度机制健全完善，技术手段能力显著提升，安全产业形成规模，基本建立起较为完备可靠的工业互联网安全保障体系。

5）关于促进网络安全产业发展的指导意见（征求意见稿）

2019年9月，为应对互联网、大数据、人工智能和实体经济深度融合伴生的新风险，积极应对5G、工业互联网、下一代互联网、物联网等新技术新应用带来的新挑战，工信部组织编写《关于促进网络安全产业发展的指导意见》（征求意见稿）。

《意见》中强调着力突破网络安全关键技术，积极创新网络安全服务模式，合力打造网络安全产业生态，大力推广网络安全技术应用，加快构建网络安全基础设施。通过以上多个方面加强5G、下一代互联网、工业互联网、物联网、车联网等新兴领域网络安全威胁和风险分析，大力推动相关场景下的网络安全技术产品研发。加强工业互联网、车联网、物联网安全管理，督促指导相关企业采取必要的网络安全技术措施。重点围绕工业互联网、车联网、物联网新型应用场景，建设网络安全测试验证、培训演练、设备安全检测等共性基础平台。支持构建基于商用密码、指纹识别、人脸识别等技术的网络身份认证体系。

6）工业大数据发展指导意见（征求意见稿）

2019年9月，为推进工业大数据发展，逐步激活工业数据资源要素潜力，不断提升数据治理和安全保障能力，工业和信息化部发布《工业大数据发展指导意见（征求意见稿）》

《意见》中强调到2025年，工业大数据资源体系、融合体系、产业体系和治理体系基本建成，形成从数据集聚共享、数据技术产品、数据融合应用到数据治理的闭环发展格局，工业大数据价值潜力大幅激发，成为支持工业高质量发展的关键要素和创新引擎。

7）工业互联网企业网络安全分类分级指南（试行）（征求意见稿）

2019年12月，为贯彻落实《加强工业互联网安全工作的指导意见》，推动工业互联网安全责任落实，对工业互联网企业网络安全实施分类分级管理，提升工业互联网安全保障能力和水平，工业和信息化部发布《工业互联网企业网络安全分类分级指南（试行）》（征求意见稿）。

依据企业属性，工业互联网企业主要包括三类：1，应用工业互联网的工业企业（简称“联网工业企业"），主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等行业；2.工业互联网平台企业（简称“平台企业”，主要指对外提供工业互联网平台等互联网信息服务的企业）；3.工业互联网基础设施运营企业，主要包括基础电信运营企业和标识解析系统建设运营机构。

工业安全标准体系建设

建立健全工业控制系统信息安全标准体系对工业信息安全建设具有重要的指导意义。通过工业信息安全标准体系的建设，可有效提高对工业信息安全风险的管控能力，通过与等级保护等工作接续起来，使得工业信息安全管理更加科学有效。同时，信息安全标准体系的建立将使得企业安全实施水平与国际先进水平接轨，从而加快工业控制系统信息安全的落实。

为了充分发挥生产、管理、科研、应用等各方面在各个行业、产业、企业、组织、机构的标准化工作中的作用，广泛开展信息安全领域的标准化工作，2002年，中国通信标准化协会（CCSA）成立。2016年，经国家标准化管理委员会批准成立全国信息安全标准化技术委员会（以下简称“信安标委”，TC260）。

信安标委是在信息安全专业领域内，从事全国标准化工作的技术工作组织，负责全国信息安全标准化的技术归口工作。另有全国电力系统管理及其信息交换标准化技术委员会（TC82）、全国电力监管标准化技术委员会（TC296）、全国工业过程测量和控制标准化技术委员会（TC124）共同推动工业控制系统信息安全标准工作。

2019年5月，网络安全等级保护制度2.0标准**《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》** 国家标准正式发布，2019年12月1日实施。等保2.0扩展了网络安全保护的范围，提高了对关键信息基础设施进行等级保护的要求，并且针对不同保护对象的安全目标、技术特点、应用场景的差异，采用了安全通用要求与安全扩展要求结合的方式，以更好地满足安全保护共性化与个性化要求，提升了等级保护的普适性与可操作性。同时，对工业控制系统提出了安全扩展要求，以适用工业控制的特有技术和应用场景特点。安全拓展要求主要针对物理环境安全、网络和通信安全、设备和计算安全、安全建设管理和安全运维管理提出了具体的标准。

2019年6月，国家标准**《信息安全技术工业互联网平台安全要求及评估规范》** 征求意见稿发布。工业互联网平台作为工业互联网的核心，由数据采集体系、工业PaaS平台和应用服务体系三大核心要素构成，是实体经济全要素连接的枢纽、资源配置的中心和智能制造的大脑。本标准对工业互联网相关组织开展安全防护工作提出了安全控制措施，可为工业互联网平台建设、运维、技术研发等方面安全防护工作提供规范性指导。

2019年7月，国家标准**《电力信息系统安全等级保护实施指南》** 正式实施。为规范电力信息系统安全等级保护实施的流程、内容和方法，加强电力信息系统的安全管理，防范网络攻击对电力信息系统造成的侵害，保障电力系统的安全稳定运行，依据国家和行业有关政策，制定此标准。该标准由国家能源局提出，由全国电力监管标准化技术委员会(SAC/TC296)归口。

2019年8月，国家标准**《信息安全技术工业控制系统网络审计产品安全技术要求》** 发布。随着工业化与信息化的深度融合，来自信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁，通用安全审计产品在面对工业控制系统的安全防护时显得力不从心，因此急需要一种能应用于工业控制环境的安全审计产品对工业控制系统进行安全防护。

2019年8月，国家标准**《信息安全技术工业控制网络监测安全技术要求及测试评价方法》** 发布。应用于工业控制环境的网络监测产品与通用网络监测产品的主要差异体现在：通用网络监测产品主要针对互联网通用协议进行分析和响应，应用于工业控制环境的网络监测产品除了能够分析部分互联网通用协议外，还具有对工业控制协议的深度解析能力，而无需对工业控制系统中不会使用的通用协议进行分析。应用于工业控制环境的网络监测产品可能有部分组件需部署在工业现场环境，因此比通用网络监测产品具有更高的环境适应能力。应用于工业控制环境的网络监测产品比通用网络监测产品具有更高的可用性、可靠性、稳定性。

2019年8月，国家标准**《信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法》** 发布。工业控制系统漏洞检测的目的是检查和分析系统的安全脆弱性，发现可能被入侵者利用的漏洞，并提出防范和补救措施，工业控制系统漏洞检测产品可以用于离线环境、工业控制系统试运行期间或工业系统维修期间，能够对工业控制系统中的工业控制设备、通信设备、安全保护设备以及工业控制软件等进行自动检测，发现存在的漏洞。

2019年8月，国家标准**《信息安全技术工业控制系统产品信息安全通用评估准则》** 发布。该标准定义了工业控制系统产品信息安全评估的通用安全功能组件和安全保障组件集合，规定了工业控制系统产品的安全要求和评估准则。该标准适用于工业控制系统产品安全保障能力的评估、产品安全功能的设计、开发和测试。

2019年8月，国家标准**《信息安全技术工业控制系统安全检查指南》** 发布。该标准制定的目的是为了指导我国国家关键基础设施中相关工业控制系统行业用户开展工业控制系统信息安全自评工作，掌握工业控制系统信息安全总体状况，及时有效发现工业控制系统存在的问题和薄弱环节，进一步健全工业控制系统信息安全管理制度，完善工业控制系统信息安全技术措施，提高工业控制系统信息安全防护能力，为国家对重点行业工业控制系统信息安全检查等工作提供支撑，为实现更安全的工业控制系统并在其内部进行有效的风险管理提供帮助。

2019年8月，国家标准**《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》** 发布。应用于工业控制环境的网络安全隔离与信息交换系统与通用网络安全隔离与信息交换系统的主要差异体现在：通用网络安全隔离与信息交换系统除了需具备基本的五元组过滤外，还需要具备一定的应用层过滤防护能力。用于工业控制环境的网络安全隔离与信息交换系统除了具有通用网络安全隔离与信息交换系统的部分通用协议应用层过滤能力外，还需要具有对工业控制协议应用层的过滤能力；结合工业控制环境中当前的信息安全防护技术水平，以及信息安全防护不得影响系统功能的正常运行，通用网络安全隔离与信息交换系统所要求的强制访问控制要求还不能够适应于工业控制环境；工业控制环境下的网络安全隔离与信息交换系统比通用网络安全隔离与信息交换系统具有更高的可用性、可靠性、稳定性等要求。

2019年8月，国家标准**《信息安全技术工业控制系统专用防火墙技术要求》** 发布。应用于工业控制环境的防火墙与通用防火墙的主要差异体现在：通用防火墙除了需具备基本的五元组过滤外，还需要具备一定的应用层过滤防护能力，用于工业控制环境的防火墙除了具有通用防火墙的部分通用协议应用层过滤能力外，还具有对工业控制协议应用层的过滤能力；用于工业控制环境的防火墙比通用防火墙具有更高的环境适应能力；工业控制环境中，通常流量相对较小，但对控制命令的执行要求具有实时性，因此，工业控制防火墙的乔吐量性能要求可相对低一些，而对实时性要求较高；工业控制环境下的防火墙比通用防火墙具有更高的可靠性、稳定性等要求。