工業控制系統信息安全是國家網絡和信息安全的重要組成部分。近年來,隨著信息化和工業化融合的不斷深入,工業控制系統從單機走向互聯,從封閉走向開放,從自動化走向智能化。在生產力顯著提高的同時,工業控制系統面臨著日益嚴峻的信息安全威脅。日前,工業和信息化部印發《工業控制系統信息安全防護指南》,涵蓋工業控制系統設計、選型、建設、測試、運行、檢修、廢棄各階段防護工作要求,堅持企業的主體責任及政府的監管、服務職責,聚焦系統防護、安全管理等安全保障重點,提出了11項防護要求。工業和信息化部信息化和軟件服務業司對此文件作出具體解讀。
文件要求在工業主機上采用經過離線環境中充分驗證測試的防病毒軟件或應用程序白名單軟件,只允許經過工業企業自身授權和安全評估的軟件運行。對此,信軟司解讀指出:工業控制系統對系統可用性、實時性要求較高,工業主機如MES服務器、OPC服務器、數據庫服務器、工程師站、操作員站等應用的安全軟件應事先在離線環境中進行測試與驗證,其中,離線環境指的是與生產環境物理隔離的環境。驗證和測試內容包括安全軟件的功能性、兼容性及安全性等。
文件要求通過工業控制網絡邊界防護設備對工業控制網絡與企業網或互聯網之間的邊界進行安全防護,禁止沒有防護的工業控制網絡與互聯網連接。對此,信軟司解讀指出:工業控制網絡邊界安全防護設備包括工業防火墻、工業網閘、單向隔離設備及企業定制的邊界安全防護網關等。工業企業應根據實際情況,在不同網絡邊界之間部署邊界安全防護設備,實現安全訪問控制,阻斷非法網絡訪問,嚴格禁止沒有防護的工業控制網絡與互聯網連接。
文件要求原則上嚴格禁止工業控制系統面向互聯網開通HTTP、FTP、Telnet等高風險通用網絡服務。對此,信軟司解讀指出:工業控制系統面向互聯網開通HTTP、FTP、Telnet等網絡服務,易導致工業控制系統被入侵、攻擊、利用,工業企業應原則上禁止工業控制系統開通高風險通用網絡服務。
文件要求在工業控制網絡部署網絡安全監測設備,及時發現、報告并處理網絡攻擊或異常行為。對此,信軟司解讀指出:工業企業應在工業控制網絡部署可對網絡攻擊和異常行為進行識別、報警、記錄的網絡安全監測設備,及時發現、報告并處理包括病毒木馬、端口掃描、暴力破解、異常流量、異常指令、工業控制系統協議包偽造等網絡攻擊或異常行為。
文件要求對靜態存儲和動態傳輸過程中的重要工業數據進行保護,根據風險評估結果對數據信息進行分級分類管理。對此,信軟司解讀指出:工業企業應對靜態存儲的重要工業數據進行加密存儲,設置訪問控制功能,對動態傳輸的重要工業數據進行加密傳輸,使用VPN等方式進行隔離保護,并根據風險評估結果,建立和完善數據信息的分級分類管理制度。
文件要求在選擇工業控制系統規劃、設計、建設、運維或評估等服務商時,優先考慮具備工控安全防護經驗的企事業單位,以合同等方式明確服務商應承擔的信息安全責任和義務。對此,信軟司解讀指出:工業企業在選擇工業控制系統規劃、設計、建設、運維或評估服務商時,應優先考慮有工控安全防護經驗的服務商,并核查其提供的工控安全合同、案例、驗收報告等證明材料。在合同中應以明文條款的方式約定服務商在服務過程中應當承擔的信息安全責任和義務。
文件要求以保密協議的方式要求服務商做好保密工作,防范敏感信息外泄。對此,信軟司解讀指出:工業企業應與服務商簽訂保密協議,協議中應約定保密內容、保密時限、違約責任等內容。防范工藝參數、配置文件、設備運行數據、生產數據、控制指令等敏感信息外泄。
據悉,工信部將面向地方與企業開展《指南》宣貫,指導工業企業進一步優化工控安全管理與技術防護手段,并開展工控安全防護應用試點。(人民郵電報)
