从合规视角看工控安全防护体系建设.docx

《从合规视角看工控安全防护体系建设.docx》由会员分享，可在线阅读，更多相关《从合规视角看工控安全防护体系建设.docx（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、从合规视角看工控平安防护体系建设编者按工业生产企业应该严格按照相关的平安合规要求，开展企业的工控平安规划与建设。目录编者按1刖511 .工控平安法规政策梳理11. 1.国家层面21. 1. 1.网络平安法22. 1.2.数据平安法与个人信息保护21. 1.3.网络平安等级保护制度2.021. 1. 4.关键信息基础设施保护条例21.2. 产业层面31.3. 行业层面3.工控平安防护体系建设32 .结语刖三近年来，我国工控平安领域的政策法规建设在不断完善，合规监管已经成为工控平安市场开展 的主要推动因素之一。而工控平安领域的合规需求包括国家法律、行业规范要求和行业标准要求 等。工业生产企业应该严

2、格按照相关的平安合规要求，开展企业的工控平安规划与建设。1 .工控平安法规政策梳理我国工控平安领域的法规政策主要包括国家、产业、行业三个层面：第1页共5页尾稣全法个人信息钞法等密原关标卷产北系较信息平安史象指南工系薮信息平安爹手笠力 评估方法交豆运建T 息平安拜 (2D19)行北电力ff业尾终与信息平安看 至方法C2D14)率早行业工业拄马系获尾络 安转母木矮E (2019)电力整拄系获平安豺京体 方案C2D15)国家层面从国家层面来看，工控平安法规多是通过具体法律、条例中的规章，以管理维度要求工业生产 企业在信息化过程中需要注意的事项。1.1.1. 网络平安法2017年，我国公布中华人民共和

3、国网络平安法，标志着我国网络平安建设有法可依。网络平安法中，关键信息基础设施作为独立一节，表达了我国对关键信息基础设施的重视。而 工业网络、工业系统承当着国家平安、国计民生、公共利益的职责，因此被认为是关键信息基础设 施的一局部。1.1. 2.数据平安法与个人信息保护中华人民共和国数据平安法和中华人民共和国个人信息保护法，对关键信息基础设施 运行过程中所产生的业务数据、个人隐私数据、运行数据等做出细化的防护规定。1.1. 3.网络平安等级保护制度2.02019年，网络平安等级保护制度2.0标准正式发布并实施。在GBT22239-2019信息平安技 术网络平安等级保护基本要求中，除平安通用要求外

4、，还提出了工业控制系统平安扩展要求，通 过分析OT网络与IT网络的区别，进行了针对平安防护要求。等保2.0的平安扩展要求主要针对于生产管理层、过程监控层、现场控制层和现场设备层。其 中生产管理层和过程监控层注重对网络通讯和网络隔离进行要求，现场控制层和现场设备层作为 OT网络的主体，包含了从设备、到资产再到网络通讯的全方位平安要求。1.1. 4.关键信息基础设施保护条例2021年9月1日，关键信息基础设施平安保护条例(以下简称“条例”)实施，定义了 从国家网信部门统筹，公安部监督，各级人民政府、各行业主管单位配合的监管体系。第2页共5页条例细化了网络平安法中对关键信息基础设施的要求。条例更注重

5、的是从架构层 面的建设问题，要求工控企业具备的基本能力，并明确了如果没有到达要求时相应的处分。这些要 求及能力如何具体落地，工业企业还需根据等保2.0相关标准进行执行。1. 2.产业层面从产业层面看，产业主管部门基于国家法律规定，将工控平安要求细化成可落地建设的指南， 对在平安技术应用、实现防护要求的具体方法进行指导，并依据指导意见建立考核点，以检查落地 的成效。2011年10月，工信部发布关于工业控制平安的关于加强工业控制系统信息平安管理的通 知（以下简称“通知”），从四个方面提出工控平安建设要求：加强对工业平安重要性的认 识；落实工控平安中的六项管理要求；建立健全工控平安监管机制；强化工控

6、系统平安组织领导工 作。2016年10月，工信部印发工业控制系统信息平安防护指南，从十一个方面要求工控企业 做好平安防护工作。工业控制系统信息平安防护指南给出了第一个细化的工控平安落实管理、 技术架构。指南共十一条，对工业系统的平安建设从管理、技术、应急处置、设备资产管理等 多方面进行了建议。2017年，工信部办公厅发布了 “工业和信息化部关于印发工业控制系统信息平安防护能力 评估工作管理方法的通知“，旨在检验工业控制系统信息平安防护指南的实践效果。在通知 中，同时发布了工业控制系统信息平安防护能力评估方法，工信部、各行业单位将依照评估 方法对局部工控平安企业进行检查。2020年2月，工信部印

7、发工业数据分类分级指南（试行），要求工业和信息化主管部 门、工业企业、平台企业等开展工业数据分类分级工作。企业的研发数据、生产数据、运维数据、 管理数据、外部数据需要进行分类处理，并依据一旦遭到篡改、破坏、泄露或分发利用后可能产生 的潜在影响进行分级处理。1. 3.行业层面从行业层面看，主要包括能源、电力、交通运输、生产制造等，由于工业领域各行业平安现状 有所不同，各工业系统的平安需求具备差异化，因此各行业主管部门均在根据自身情况，推进行业 内的工业平安建设指导，并形成行业标准。2 .工控平安防护体系建设基于工控平安的监管合规要求，工业企业应根据自身生产设备及系统的实际情况，构建一套从第3页共

8、5页工业设备管理、到网络平安防护再到综合平安管理的三层防护体系:设备管理设备供应链管理外部平安支撑平安服务工业互联网平安监管平安管理人员管理平安统一管理建设商务采购信息管理统一管理平台数据分类分级配置管理设备梳理基础平安防护能力建设补丁管理设备冗余配置物理环境管理计算环境平安一访问控帝厂行为审计一终端平安边界平安 接入平安 边界防护 无线平安网络通讯平安传输平安网络隔离应急响应报送机制1、在工业设备管理层面，需要对对工业体系内部的物理设备进行管理，保证其运行的平安问题。针对工业系统及工业设备，企业需通过验证供应商资质、加密合同等方式，构建平安的采购供 应链路。对于已部署的工业信息资产，做好设备

9、的梳理工作，明确工控网络、资产、设备等拓扑结 构，确保接入到工业系统的设备是可控的。同时还需要从物理平安层面、容灾层面进行考量。2、网络平安防护层那么是通过部署平安产品，依照“一个中心三重防护”的平安要求进行。安 全防护是进行工控平安体系建设的核心。平安防护能力建设可以分为针对计算环境的平安建设、对 边界的平安建设以及对网络通讯的平安建设。需要注意的是，工控网络的平安防护需要做好分层防 护，每一层次要根据企业自身的特点做好物理防护、终端防护、网络防护等。随着平安设备数量的增加以及网络拓扑结构复杂度增加，统一平安管理平台将成为必备的平安 产品。而由于工业企业平安运营能力的缺乏，企业需要考虑如何用

10、好这些设备，可通过采购专业的 平安服务，例如平安托管服务、平安测试服务、应急响应服务等，快速提升平安防护能力。3、平安管理是指建立相应的组织架构、管理体系，从制度维度做好工控平安防护。工业企业 需构建专门的工控平安组织管理部门，明确组织架构，负责对企业内部网络平安的规划、建设、实 施。建立相应的平安制度，以做到工业企业内部的人员管理、配置管理及补丁管理，做到记录和审 计。构建一套应急响应流程，有效应对平安生产、网络平安、数据平安带来的风险。形成报送机 制，有成熟的报送流程、报送格式、报送接口等。3 .结语工业环境的特殊性造成了工业企业的平安建设不能照搬互联网防护。当前，我国工控平安还处 于起步阶段，工业领域整体防护水平有待提高，专业的工业平安人才缺乏。近年来，国家公布的一第4页共5页 系列网络平安法律法规一方面对工业平安提出了要求，另一方面也对工业平安的建设提供了指导。 工业企业应根据自身的情况，由简入繁，以网络平安提升生产平安，完成两化融合的信息化改造, 切实提升企业的生产能力。第5页共5页