热点动态
深圳市关于转发工业和信息化部有关工业控制系统和工业互联网安全工作法规的通知
发布时间:2020-10-12内容编辑:宇辰管理
点击数:
各有关单位:
为进一步加强工业企业工业控制系统、工业互联网安全管理工作,现转发工业和信息化部《工业控制系统信息安全防护指南》及解读(2016年)、《工业控制系统信息安全事件应急管理工作指南》(工信部信软〔2017〕122号)、《关于印发加强工业互联网安全工作的指导意见的通知》(工信部联网安〔2019〕168号)等文件给你们,请各企业结合自查要求,进一步做好有关安全工作。
特此通知。
附件:
1.工业控制系统信息安全防护指南及解读(2016年)
2.工业控制系统信息安全事件应急管理工作指南(工信部信软〔2017〕122号)
3.关于印发加强工业互联网安全工作的指导意见的通知(工信部联网安〔2019〕168号)
深圳市工业和信息化局
2020年10月10日
附件:附件1-3下载.zip
附件1
工业和信息化部关于印发《工业控制系统信息安全防护指南》的通知
为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),保障工业企业工业控制系统信息安全,制定《工业控制系统信息安全防护指南》,现印发你们。
工业和信息化部指导和管理全国工业企业工控安全防护和保障工作,并根据实际情况对指南进行修订。地方工业和信息化主管部门根据工业和信息化部统筹安排,指导本行政区域内的工业企业制定工控安全防护实施方案,推动企业分期分批达到本指南相关要求。
工业和信息化部
2016年10月17日
工业控制系统信息安全防护指南
工业控制系统信息安全事关经济发展、社会稳定和国家安全。为提升工业企业工业控制系统信息安全(以下简称工控安全)防护水平,保障工业控制系统安全,制定本指南。
工业控制系统应用企业以及从事工业控制系统规划、设计、建设、运维、评估的企事业单位适用本指南。
工业控制系统应用企业应从以下十一个方面做好工控安全防护工作。
一、安全软件选择与管理
(一)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
(二)建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。
二、配置和补丁管理
(一)做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。
(二)对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。
(三)密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。
三、 边界安全防护
(一)分离工业控制系统的开发、测试和生产环境。
(二)通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。
(三)通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。
四、物理和环境安全防护
(一)对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。
(二)拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用,通过主机外设安全管理技术手段实施严格访问控制。
五、身份认证
(一)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。
(二)合理分类设置账户权限,以最小特权原则分配账户权限。
(三)强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认口令或弱口令,定期更新口令。
(四)加强对身份认证证书信息保护力度,禁止在不同系统和网络环境下共享。
六、远程访问安全
(一)原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。
(二)确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。
(三)确需远程维护的,采用虚拟专用网络(VPN)等远程接入方式进行。
(四)保留工业控制系统的相关访问日志,并对操作过程进行安全审计。
七、安全监测和应急预案演练
(一)在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。
(二)在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。
(三)制定工控安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,应立即采取紧急防护措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证。
(四)定期对工业控制系统的应急响应预案进行演练,必要时对应急响应预案进行修订。
八、资产安全
(一)建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置规则。
(二)对关键主机设备、网络设备、控制组件等进行冗余配置。
九、数据安全
(一)对静态存储和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。
(二)定期备份关键业务数据。
(三)对测试数据进行保护。
十、供应链管理
(一)在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。
(二)以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。
十一、落实责任
通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施。
《工业控制系统信息安全防护指南》解读
工业控制系统信息安全(以下简称“工控安全”)是国家网络和信息安全的重要组成部分,是推动中国制造2025、制造业与互联网融合发展的基础保障。2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》(以下简称《指南》),指导工业企业开展工控安全防护工作。
一、背景情况
工控安全事关经济发展、社会稳定和国家安全。近年来,随着信息化和工业化融合的不断深入,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化。在生产力显著提高的同时,工业控制系统面临着日益严峻的信息安全威胁。为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)文件精神,应对新时期工控安全形势,提升工业企业工控安全防护水平,编制本《指南》。
二、总体考虑
《指南》坚持“安全是发展的前提,发展是安全的保障”,以当前我国工业控制系统面临的安全问题为出发点,注重防护要求的可执行性,从管理、技术两方面明确工业企业工控安全防护要求。编制思路如下:
(一)落实《国家网络安全法》要求
《指南》所列11项要求充分体现了《国家网络安全法》中网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置等法规在工控安全领域的要求,是《国家网络安全法》在工业领域的具体应用。
(二)突出工业企业主体责任
《指南》根据我国工控安全管理工作实践经验,面向工业企业提出工控安全防护要求,确立企业作为工控安全责任主体,要求企业明确工控安全管理责任人,落实工控安全责任制。
(三)考虑我国工控安全现状
《指南》编制以近五年我部工控安全检查工作掌握的有关情况为基础,充分考虑当前工控安全防护意识不到位、管理责任不明晰、访问控制策略不完善等问题,明确了《指南》的各项要求。
(四)借鉴发达国家工控安全防护经验
《指南》参考了美国、欧盟、日本等发达国家工控安全相关政策、标准和最佳实践做法,对安全软件选择与管理、配置与补丁管理、边界安全防护等措施进行了论证,提高了《指南》的科学性、合理性和可操作性。
(五)强调工业控制系统全生命周期安全防护
《指南》涵盖工业控制系统设计、选型、建设、测试、运行、检修、废弃各阶段防护工作要求,从安全软件选型、访问控制策略构建、数据安全保护、资产配置管理等方面提出了具体实施细则。
三、内容详解
《指南》坚持企业的主体责任及政府的监管、服务职责,聚焦系统防护、安全管理等安全保障重点,提出了11项防护要求,具体解读如下:
(一)安全软件选择与管理
1.在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
解读:工业控制系统对系统可用性、实时性要求较高,工业主机如MES服务器、OPC服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在离线环境中进行测试与验证,其中,离线环境指的是与生产环境物理隔离的环境。验证和测试内容包括安全软件的功能性、兼容性及安全性等。
2.建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。
解读:工业企业需要建立工业控制系统防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采用必要的安全预防措施。安全预防措施包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入U盘、移动终端等外设)等。
(二)配置和补丁管理
1.做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。
解读:工业企业应做好虚拟局域网隔离、端口禁用等工业控制网络安全配置,远程控制管理、默认账户管理等工业主机安全配置,口令策略合规性等工业控制设备安全配置,建立相应的配置清单,制定责任人定期进行管理和维护,并定期进行配置核查审计。
2.对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。
解读:当发生重大配置变更时,工业企业应及时制定变更计划,明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项。其中,重大配置变更是指重大漏洞补丁更新、安全设备的新增或减少、安全域的重新划分等。同时,应对变更过程中可能出现的风险进行分析,形成分析报告,并在离线环境中对配置变更进行安全性验证。
3.密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。
解读:工业企业应密切关注CNVD、CNNVD等漏洞库及设备厂商发布的补丁。当重大漏洞及其补丁发布时,根据企业自身情况及变更计划,在离线环境中对补丁进行严格的安全评估和测试验证,对通过安全评估和测试验证的补丁及时升级。
(三)边界安全防护
1.分离工业控制系统的开发、测试和生产环境。
解读:工业控制系统的开发、测试和生产环境需执行不同的安全控制措施,工业企业可采用物理隔离、网络逻辑隔离等方式进行隔离。
2.通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。
解读:工业控制网络边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。工业企业应根据实际情况,在不同网络边界之间部署边界安全防护设备,实现安全访问控制,阻断非法网络访问,严格禁止没有防护的工业控制网络与互联网连接。
3.通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。
解读:工业控制系统网络安全区域根据区域重要性和业务需求进行划分。区域之间的安全防护,可采用工业防火墙、网闸等设备进行逻辑隔离安全防护。
(四)物理和环境安全防护
1.对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。
解读:工业企业应对重要工业控制系统资产所在区域,采用适当的物理安全防护措施。
2.拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用,通过主机外设安全管理技术手段实施严格访问控制。
解读:USB、光驱、无线等工业主机外设的使用,为病毒、木马、蠕虫等恶意代码入侵提供了途径,拆除或封闭工业主机上不必要的外设接口可减少被感染的风险。确需使用时,可采用主机外设统一管理设备、隔离存放有外设接口的工业主机等安全管理技术手段。
(五)身份认证
1.在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。
解读:用户在登录工业主机、访问应用服务资源及工业云平台等过程中,应使用口令密码、USB-key、智能卡、生物指纹、虹膜等身份认证管理手段,必要时可同时采用多种认证手段。
2.合理分类设置账户权限,以最小特权原则分配账户权限。
解读:工业企业应以满足工作要求的最小特权原则来进行系统账户权限分配,确保因事故、错误、篡改等原因造成的损失最小化。工业企业需定期审计分配的账户权限是否超出工作需要。
3.强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认口令或弱口令,定期更新口令。
解读:工业企业可参考供应商推荐的设置规则,并根据资产重要性,为工业控制设备、SCADA软件、工业通信设备等设定不同强度的登录账户及密码,并进行定期更新,避免使用默认口令或弱口令。
4.加强对身份认证证书信息保护力度,禁止在不同系统和网络环境下共享。
解读:工业企业可采用USB-key等安全介质存储身份认证证书信息,建立相关制度对证书的申请、发放、使用、吊销等过程进行严格控制,保证不同系统和网络环境下禁止使用相同的身份认证证书信息,减小证书暴露后对系统和网络的影响。
(六)远程访问安全
1.原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。
解读:工业控制系统面向互联网开通HTTP、FTP、Telnet等网络服务,易导致工业控制系统被入侵、攻击、利用,工业企业应原则上禁止工业控制系统开通高风险通用网络服务。
2.确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。
解读:工业企业确需进行远程访问的,可在网络边界使用单向隔离装置、VPN等方式实现数据单向访问,并控制访问时限。采用加标锁定策略,禁止访问方在远程访问期间实施非法操作。
3.确需远程维护的,采用虚拟专用网络(VPN)等远程接入方式进行。
解读:工业企业确需远程维护的,应通过对远程接入通道进行认证、加密等方式保证其安全性,如采用虚拟专用网络(VPN)等方式,对接入账户实行专人专号,并定期审计接入账户操作记录。
4.保留工业控制系统的相关访问日志,并对操作过程进行安全审计。
解读:工业企业应保留工业控制系统设备、应用等访问日志,并定期进行备份,通过审计人员账户、访问时间、操作内容等日志信息,追踪定位非授权访问行为。
(七)安全监测和应急预案演练
1.在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。
解读:工业企业应在工业控制网络部署可对网络攻击和异常行为进行识别、报警、记录的网络安全监测设备,及时发现、报告并处理包括病毒木马、端口扫描、暴力破解、异常流量、异常指令、工业控制系统协议包伪造等网络攻击或异常行为。
2.在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。
解读:在工业企业生产核心控制单元前端部署可对Modbus、S7、Ethernet/IP、OPC等主流工业控制系统协议进行深度分析和过滤的防护设备,阻断不符合协议标准结构的数据包、不符合业务要求的数据内容。
3.制定工控安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,应立即采取紧急防护措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证。
解读:工业企业需要自主或委托第三方工控安全服务单位制定工控安全事件应急响应预案。预案应包括应急计划的策略和规程、应急计划培训、应急计划测试与演练、应急处理流程、事件监控措施、应急事件报告流程、应急支持资源、应急响应计划等内容。
4.定期对工业控制系统的应急响应预案进行演练,必要时对应急响应预案进行修订。
解读:工业企业应定期组织工业控制系统操作、维护、管理等相关人员开展应急响应预案演练,演练形式包括桌面演练、单项演练、综合演练等。必要时,企业应根据实际情况对预案进行修订。
(八)资产安全
1.建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置规则。
解读:工业企业应建设工业控制系统资产清单,包括信息资产、软件资产、硬件资产等。明确资产责任人,建立资产使用及处置规则,定期对资产进行安全巡检,审计资产使用记录,并检查资产运行状态,及时发现风险。
2.对关键主机设备、网络设备、控制组件等进行冗余配置。
解读:工业企业应根据业务需要,针对关键主机设备、网络设备、控制组件等配置冗余电源、冗余设备、冗余网络等。
(九)数据安全
1.对静态存储和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。
解读:工业企业应对静态存储的重要工业数据进行加密存储,设置访问控制功能,对动态传输的重要工业数据进行加密传输,使用VPN等方式进行隔离保护,并根据风险评估结果,建立和完善数据信息的分级分类管理制度。
2.定期备份关键业务数据。
解读:工业企业应对关键业务数据,如工艺参数、配置文件、设备运行数据、生产数据、控制指令等进行定期备份。
3.对测试数据进行保护。
解读:工业企业应对测试数据,包括安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等进行保护,如签订保密协议、回收测试数据等。
(十)供应链管理
1.在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。
解读:工业企业在选择工业控制系统规划、设计、建设、运维或评估服务商时,应优先考虑有工控安全防护经验的服务商,并核查其提供的工控安全合同、案例、验收报告等证明材料。在合同中应以明文条款的方式约定服务商在服务过程中应当承担的信息安全责任和义务。
2.以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。
解读:工业企业应与服务商签订保密协议,协议中应约定保密内容、保密时限、违约责任等内容。防范工艺参数、配置文件、设备运行数据、生产数据、控制指令等敏感信息外泄。
(十一)落实责任
通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施。
解读:工业企业应建立健全工控安全管理机制,明确工控安全主体责任,成立由企业负责人牵头的,由信息化、生产管理、设备管理等相关部门组成的工业控制系统信息安全协调小组,负责工业控制系统全生命周期的安全防护体系建设和管理,制定工业控制系统安全管理制度,部署工控安全防护措施。
四、贯彻落实
一是面向地方工业和信息化主管部门、中央企业等开展《指南》宣贯,依据《指南》要求组织培训,指导工业企业进一步优化工控安全管理与技术防护手段。
二是选择工业聚集发展城市及地区,设立工控安全防护试点区,组织区内工业企业开展工控安全防护应用试点,遴选优秀试点企业分享工控安全防护经验,总结提炼工业控制系统防护示范案例。
三是将《指南》要求纳入年度工业行业网络安全检查项目,强化责任落实到位,管理、技术落实到位。通过自查、抽查、深度检查等方式促进工业企业深入贯彻并落实《指南》。
地方工信主管部门负责对本地区内的工控安全防护工作进行监督管理,并配合工业和信息化部做好工控安全相关工作。工业企业应按照《指南》各项要求,开展和完善工控安全防护工作,改善自身安全防护能力的同时,为全面提升我国工业信息安全防护水平提供支撑。
附件2
工业和信息化部关于印发《工业控制系统信息安全事件
应急管理工作指南》的通知
工信部信软[2017]122号
各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门,有关中央企业:
为贯彻落实《中华人民共和国网络安全法》《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),指导做好工业控制系统信息安全事件应急管理相关工作,保障工业控制系统信息安全,制定《工业控制系统信息安全事件应急管理工作指南》,现印发你们。
工业和信息化部指导和管理全国工业控制系统信息安全应急工作,并根据实际情况对指南进行修订。地方工业和信息化主管部门根据工业和信息化部统筹安排,指导和管理本行政区域内的工业控制系统信息安全应急工作。
特此通知。
工业和信息化部
2017年5月31日
(联系电话:010-68208171)
工业控制系统信息安全事件应急管理工作指南
第一章 总 则
第一条 为加强工业控制系统信息安全(以下简称工控安全)应急工作管理,建立健全工控安全应急工作机制,提高应对工控安全事件的组织协调和应急处置能力,预防和减少工控安全事件造成的损失和危害,保障工业生产正常运行,维护国家经济安全和人民生命财产安全,依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》以及《国务院关于深化制造业与互联网融合发展的指导意见》等法规政策,制定本指南。
第二条 本指南适用于工业和信息化主管部门、工业企业开展工控安全应急管理工作。
第三条 工控安全事件是指由于人为、软硬件缺陷或故障、自然灾害等原因,对工业控制系统、工业控制系统数据造成或者可能造成严重危害,影响正常工业生产的事件。
第四条 坚持政府指导、企业主体,坚持预防为主、平战结合,坚持快速反应、科学处置,充分发挥各方力量,共同做好工控安全事件的预防和处置工作。
第二章 组织机构与职责
第五条 工业和信息化部指导地方工业和信息化主管部门、应急技术机构、工业企业做好工控安全应急管理工作。
第六条 地方工业和信息化主管部门负责指导本地区工控安全应急管理工作。
第七条 工控安全应急技术机构负责具体开展工控安全风险监测、态势研判、威胁预警、事件处置等工作。
第八条 工业企业负有工控安全主体责任,应建立健全工控安全责任制,负责本单位工控安全应急管理工作,落实人财物保障。
第三章 工作机制
第九条 工业和信息化部指导地方工业和信息化主管部门、应急技术机构、工业企业等建立工控安全联络员机制,指定工控安全应急工作联络员,报工业和信息化部备案,联络员和联络方式发生变化时需及时报工业和信息化部。工业和信息化部根据工作需要组织召开联络员会议。
第十条 地方工业和信息化主管部门指导本地区应急技术机构、工业企业建立工控安全应急值守机制,实行领导带班、专人值守工作制度,做好工控安全风险、威胁、事件信息日常监测和报告工作。应急响应状态下,实行“7×24”小时值守,加强信息监测、收集与研判,做好信息跟踪报告。
第四章 监测通报
第十一条 工业和信息化部指导国家工业信息安全发展研究中心等技术机构,组织开展全国工控安全风险监测、预警通报等工作,提升情报搜集、态势分析、风险评估和信息共享能力。
地方工业和信息化主管部门组织开展本地区工控安全风险监测工作。工业企业组织开展本单位工控安全风险监测工作。
第十二条 地方工业和信息化主管部门、工业企业定期将重要监测信息报国家工业信息安全发展研究中心,国家工业信息安全发展研究中心负责汇总、整理和研判,并将结果报工业和信息化部;针对可能超出本地区应对能力范围的安全风险和事件信息,及时上报,必要时工业和信息化部协调应急技术机构提供支持。
第十三条 工业和信息化部对可能影响我国工业控制系统的重大漏洞和风险,及时向有关行业、地区和工业企业发布情况通报。
第五章 敏感时期应急管理
第十四条 在国家重要活动、会议等敏感时期,工业和信息化部指导地方工业和信息化主管部门、应急技术机构、工业企业开展工控安全事件预防和应急管理工作。
第十五条 地方工业和信息化主管部门、工业企业加强工控安全监测和风险研判,对可能造成重大影响的风险和事件信息应及时上报,必要时实行24小时零报告制度。重点单位、重要部位实施24小时值守,保持通信联络畅通。相关工业企业应加强对工业控制系统的巡检巡查,原则上不在敏感时期对工业控制系统进行调整或升级。
第六章 应急处置
第十六条 对于可能发生或已经发生的工控安全事件,工业企业应立即开展应急处置,采取科学有效方法及时施救,力争将损失降到最小,尽快恢复受损工业控制系统的正常运行。当事发工业企业应急处置力量不足时,可请求上级主管部门协调应急技术机构提供支援。
第十七条 有关地方工业和信息化主管部门和工业企业应及时向工业和信息化部报告事态发展变化情况和事件处置进展情况。报告信息一般包括以下要素:事件涉及的工业控制系统名称及运营管理单位、时间、地点、原因、来源、类型、性质、危害、影响范围、发展趋势、处置措施等。
第十八条 工业和信息化部指导、督促事发企业开展应急处置工作,必要时派出工作组赴现场指挥协调应急处置工作,协调应急技术机构提供技术支援。
第十九条 应急处置结束、系统恢复运行后,相关工业企业要尽快消除事件造成的不良影响,做好事件分析总结工作,总结报告应在30天内以书面形式报工业和信息化部。
第二十条 对于工控安全事件性质、起因、范围、损失等,工业和信息化主管部门和相关人员应做好舆论宣传和引导工作。
第七章 保障措施
第二十一条 工业和信息化部、地方工业和信息化主管部门、工业企业制定本级工控安全事件应急预案,定期组织应急演练。
第二十二条 工业和信息化部建立国家工控安全应急专家组,为工控安全应急管理提供技术咨询和决策支持。地方工业和信息化主管部门建立本地区工控安全应急专家组,充分发挥专家在应急管理工作中的作用。
第二十三条 加强对工控安全事件应急装备和工具的储备,及时调整、升级软硬件工具,建设完善工控安全事件应急技术服务平台,不断增强应急技术支撑能力。
第二十四条 各有关部门应积极利用现有政策和资金渠道,申请新增预算,支持工控安全应急技术机构建设、专家队伍建设、基础平台建设、技术研发、应急演练、物资保障等,为工控安全应急管理工作提供必要的经费支持。
第二十五条 本指南自2017年7月1日起施行。
附件3
十部门关于印发加强工业互联网安全工作的指导意见的通知
工业和信息化部 教育部 人力资源和社会保障部 生态环境部 国家卫生健康委员会 应急管理部
国务院国有资产监督管理委员会 国家市场监督管理总局 国家能源局 国家国防科技工业局
关于印发加强工业互联网安全工作的指导意见的通知
工信部联网安〔2019〕168号
各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化、教育、人力资源社会保障、生态环境、卫生健康、应急管理、国有资产监管、市场监管、能源、国防科技工业主管部门,各省、自治区、直辖市通信管理局:
现将《加强工业互联网安全工作的指导意见》印发给你们,请结合工作实际,抓好贯彻落实。
工业和信息化部 教育部
人力资源和社会保障部 生态环境部
国家卫生健康委员会 应急管理部
国务院国有资产监督管理委员会 国家市场监督管理总局
国家能源局 国家国防科技工业局
2019年7月26日
加强工业互联网安全工作的指导意见
按照《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》(以下简称《指导意见》)部署,为加快构建工业互联网安全保障体系,提升工业互联网安全保障能力,促进工业互联网高质量发展,推动现代化经济体系建设,护航制造强国和网络强国战略实施,现就加强工业互联网安全工作提出如下意见。
一、总体要求
(一)指导思想
坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中全会精神,按照《指导意见》有关要求,围绕设备、控制、网络、平台、数据安全,落实企业主体责任、政府监管责任,健全制度机制、建设技术手段、促进产业发展、强化人才培育,构建责任清晰、制度健全、技术先进的工业互联网安全保障体系,覆盖工业互联网规划、建设、运行等全生命周期,形成事前防范、事中监测、事后应急能力,全面提升工业互联网创新发展安全保障能力和服务水平。
(二)基本原则
筑牢安全,保障发展。以安全保发展,以发展促安全。严格落实《中华人民共和国网络安全法》等法律法规,按照谁运营谁负责、谁主管谁负责的原则,坚持发展与安全并重,安全和发展同步规划、同步建设、同步运行。
统筹指导,协同推进。做好顶层设计和系统谋划,结合各地实际,突出重点,分步协同推进,加快构建工业互联网安全保障体系,确保安全工作落实到位。
分类施策,分级管理。根据行业重要性、企业规模、安全风险程度等因素,对企业实施分类分级管理,集中力量指导、监管重要行业、重点企业提升工业互联网安全保障能力,夯实企业安全主体责任。
融合创新,重点突破。基于工业互联网融合发展特性,创新安全管理机制和技术手段,鼓励推动重点领域技术突破,加快安全可靠产品的创新推广应用,有效应对新型安全挑战。
(三)总体目标
到2020年底,工业互联网安全保障体系初步建立。制度机制方面,建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度,构建企业安全主体责任制,制定设备、平台、数据等至少20项亟需的工业互联网安全标准,探索构建工业互联网安全评估体系。技术手段方面,初步建成国家工业互联网安全技术保障平台、基础资源库和安全测试验证环境。产业发展方面,在汽车、电子信息、航空航天、能源等重点领域,形成至少20个创新实用的安全产品、解决方案的试点示范,培育若干具有核心竞争力的工业互联网安全企业。
到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。
二、主要任务
(一)推动工业互联网安全责任落实
1.依法落实企业主体责任。工业互联网企业明确工业互联网安全责任部门和责任人,建立健全重点设备装置和系统平台联网前后的风险评估、安全审计等制度,建立安全事件报告和问责机制,加大安全投入,部署有效安全技术防护手段,保障工业互联网安全稳定运行。由网络安全事件引发的安全生产事故,按照安全生产有关法规进行处置。
2.政府履行监督管理责任。工业和信息化部组织开展工业互联网安全相关政策制定、标准研制等综合性工作,并对装备制造、电子信息及通信等主管行业领域的工业互联网安全开展行业指导管理。地方工业和信息化主管部门指导本行政区域内应用工业互联网的工业企业的安全工作,同步推进安全产业发展,并联合应急管理部门推进工业互联网在安全生产监管中的作用;地方通信管理局监管本行政区域内标识解析系统、公共工业互联网平台等的安全工作,并在公共互联网上对联网设备、系统等进行安全监测。生态环境、卫生健康、能源、国防科技工业等部门根据各自职责,开展本行业领域工业互联网推广应用的安全指导、监管工作。
(二)构建工业互联网安全管理体系
3.健全安全管理制度。围绕工业互联网安全监督检查、风险评估、数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制,强化对企业的安全监管。
4.建立分类分级管理机制。建立工业互联网行业分类指导目录、企业分级指标体系,制定工业互联网行业企业分类分级指南,形成重点企业清单,强化逐级负责的政府监管模式,实施差异化管理。
5.建立工业互联网安全标准体系。推动工业互联网设备、控制、网络(含标识解析系统)、平台、数据等重点领域安全标准的研究制定,建设安全技术与标准试验验证环境,支持专业机构、企业积极参与相关国际标准制定,加快标准落地实施。
(三)提升企业工业互联网安全防护水平
6.夯实设备和控制安全。督促工业企业部署针对性防护措施,加强工业生产、主机、智能终端等设备安全接入和防护,强化控制网络协议、装置装备、工业软件等安全保障,推动设备制造商、自动化集成商与安全企业加强合作,提升设备和控制系统的本质安全。
7.提升网络设施安全。指导工业企业、基础电信企业在网络化改造及部署IPv6、应用5G的过程中,落实安全标准要求并开展安全评估,部署安全设施,提升企业内外网的安全防护能力。要求标识解析系统的建设运营单位同步加强安全防护技术能力建设,确保标识解析系统的安全运行。
8.强化平台和工业应用程序(APP)安全。要求工业互联网平台的建设、运营单位按照相关标准开展平台建设,在平台上线前进行安全评估,针对边缘层、IaaS层(云基础设施)、平台层(工业PaaS)、应用层(工业SaaS)分层部署安全防护措施。建立健全工业APP应用前安全检测机制,强化应用过程中用户信息和数据安全保护。
(四)强化工业互联网数据安全保护能力
9.强化企业数据安全防护能力。明确数据收集、存储、处理、转移、删除等环节安全保护要求,指导企业完善研发设计、工业生产、运维管理、平台知识机理和数字化模型等数据的防窃密、防篡改和数据备份等安全防护措施,鼓励商用密码在工业互联网数据保护工作中的应用。
10.建立工业互联网全产业链数据安全管理体系。依据工业门类领域、数据类型、数据价值等建立工业互联网数据分级分类管理制度,开展重要数据出境安全评估和监测,完善重大工业互联网数据泄露事件触发响应机制。
(五)建设国家工业互联网安全技术手段
11.建设国家、省、企业三级协同的工业互联网安全技术保障平台。工业和信息化部统筹建设国家工业互联网安全技术保障平台。工业基础较好的省、自治区、直辖市先期试点建设省级技术保障平台。支持鼓励机械制造、电子信息、航空航天等重点行业企业建设企业级安全平台,强化地方、企业与国家平台之间的系统对接、数据共享、业务协作,打造整体态势感知、信息共享和应急协同能力。
12.建立工业互联网安全基础资源库。建设工业互联网资产目录库、工业协议库、安全漏洞库、恶意代码病毒库和安全威胁信息库等基础资源库,推动研制面向典型行业工业互联网安全应急处置、安全事件现场取证等工具集,加强工业互联网安全资源储备。
13.建设工业互联网安全测试验证环境。搭建面向机械制造、电子信息、航空航天等行业的工业互联网安全攻防演练环境,测试、验证各环节存在的网络安全风险以及相应的安全防护解决方案,提升识别安全隐患、抵御安全威胁、化解安全风险的能力。
(六)加强工业互联网安全公共服务能力
14.开展工业互联网安全评估认证。构建工业互联网设备、网络、平台、工业APP等的安全评估体系,依托产业联盟、行业协会等第三方机构为工业互联网企业持续开展安全能力评测评估服务,推动工业互联网安全测评机构的审核认定。
15.提升工业互联网安全服务水平。鼓励和支持专业机构、网络安全企业等提供安全诊断评估、安全咨询、数据保护、代码检查、系统加固、云端防护等服务。鼓励基础电信企业、互联网企业、系统解决方案提供商等依托专业技术优势,加强与工业互联网企业的需求对接,输出安全保障服务。
(七)推动工业互联网安全科技创新与产业发展
16.支持工业互联网安全科技创新。加大对工业互联网安全技术研发和成果转化的支持力度,强化标识解析系统安全、平台安全、工业控制系统安全、数据安全、5G安全等相关核心技术研究,加强攻击防护、漏洞挖掘、态势感知等安全产品研发。支持通过众测众研等创新方式,聚集社会力量,提升漏洞隐患发现技术能力。支持专业机构、高校、企业等联合建设工业互联网安全创新中心和安全实验室。探索利用人工智能、大数据、区块链等新技术提升安全防护水平。
17.促进工业互联网安全产业发展。充分利用国家和地方网络安全产业园(基地)等形式,整合相关行业资源,打造产学研用协同创新发展平台,形成工业互联网安全对外展示和市场服务能力,培育一批核心技术水平高、市场竞争能力强、辐射带动范围广的工业互联网安全企业。在汽车、电子信息、航空航天、能源等重点领域开展试点示范,遴选优秀安全解决方案和最佳实践,并加强应用推广。
三、保障措施
(一)加强组织领导,健全工作机制。在工业互联网专项工作组的统一指导下,加强统筹协调,强化部门协同、部省合作,构建各负其责、紧密配合、运转高效的工作机制。各地工业和信息化、教育、人力资源社会保障、生态环境、卫生健康、应急管理、国有资产监管、市场监管、能源、国防科技工业等主管部门及地方通信管理局要加强配合,形成合力。
(二)加大支持力度,优化创新环境。各地相关部门要结合本地工业互联网发展现状,优化政府支持机制和方式,加大对工业互联网安全的支持力度,鼓励企业技术创新和安全应用,加快建设工业互联网安全技术手段,推动安全产业集聚发展。
(三)发挥市场作用,汇聚多方力量。充分发挥市场在资源配置中的决定性作用,以工业互联网企业的安全需求为着力点,形成市场需求牵引、政府支持推动的发展局面。汇聚政产学研用多方力量,逐步建立覆盖决策研究、公共研发、标准推进、联盟论坛、人才培养等的创新支撑平台,形成支持工业互联网安全发展合力。
(四)加强宣传教育,加快人才培养。深入推进产教融合、校企合作,建立安全人才联合培养机制,培养复合型、创新型高技能人才。开展工业互联网安全宣传教育,提升企业和相关从业人员网络安全意识。开展网络安全演练、安全竞赛等,培养选拔不同层次的工业互联网安全从业人员。依托国家专业机构等,打造技术领先、业界知名的工业互联网安全高端智库。
