工業(yè)控制系統(tǒng)信息安全是國家網(wǎng)絡和信息安全的重要組成部分。近年來,隨著信息化和工業(yè)化融合的不斷深入,工業(yè)控制系統(tǒng)從單機走向互聯(lián),從封閉走向開放,從自動化走向智能化。在生產(chǎn)力顯著提高的同時,工業(yè)控制系統(tǒng)面臨著日益嚴峻的信息安全威脅。日前,工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》,涵蓋工業(yè)控制系統(tǒng)設計、選型、建設、測試、運行、檢修、廢棄各階段防護工作要求,堅持企業(yè)的主體責任及政府的監(jiān)管、服務職責,聚焦系統(tǒng)防護、安全管理等安全保障重點,提出了11項防護要求。工業(yè)和信息化部信息化和軟件服務業(yè)司對此文件作出具體解讀。
文件要求在工業(yè)主機上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件,只允許經(jīng)過工業(yè)企業(yè)自身授權和安全評估的軟件運行。對此,信軟司解讀指出:工業(yè)控制系統(tǒng)對系統(tǒng)可用性、實時性要求較高,工業(yè)主機如MES服務器、OPC服務器、數(shù)據(jù)庫服務器、工程師站、操作員站等應用的安全軟件應事先在離線環(huán)境中進行測試與驗證,其中,離線環(huán)境指的是與生產(chǎn)環(huán)境物理隔離的環(huán)境。驗證和測試內容包括安全軟件的功能性、兼容性及安全性等。
文件要求通過工業(yè)控制網(wǎng)絡邊界防護設備對工業(yè)控制網(wǎng)絡與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進行安全防護,禁止沒有防護的工業(yè)控制網(wǎng)絡與互聯(lián)網(wǎng)連接。對此,信軟司解讀指出:工業(yè)控制網(wǎng)絡邊界安全防護設備包括工業(yè)防火墻、工業(yè)網(wǎng)閘、單向隔離設備及企業(yè)定制的邊界安全防護網(wǎng)關等。工業(yè)企業(yè)應根據(jù)實際情況,在不同網(wǎng)絡邊界之間部署邊界安全防護設備,實現(xiàn)安全訪問控制,阻斷非法網(wǎng)絡訪問,嚴格禁止沒有防護的工業(yè)控制網(wǎng)絡與互聯(lián)網(wǎng)連接。
文件要求原則上嚴格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等高風險通用網(wǎng)絡服務。對此,信軟司解讀指出:工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等網(wǎng)絡服務,易導致工業(yè)控制系統(tǒng)被入侵、攻擊、利用,工業(yè)企業(yè)應原則上禁止工業(yè)控制系統(tǒng)開通高風險通用網(wǎng)絡服務。
文件要求在工業(yè)控制網(wǎng)絡部署網(wǎng)絡安全監(jiān)測設備,及時發(fā)現(xiàn)、報告并處理網(wǎng)絡攻擊或異常行為。對此,信軟司解讀指出:工業(yè)企業(yè)應在工業(yè)控制網(wǎng)絡部署可對網(wǎng)絡攻擊和異常行為進行識別、報警、記錄的網(wǎng)絡安全監(jiān)測設備,及時發(fā)現(xiàn)、報告并處理包括病毒木馬、端口掃描、暴力破解、異常流量、異常指令、工業(yè)控制系統(tǒng)協(xié)議包偽造等網(wǎng)絡攻擊或異常行為。
文件要求對靜態(tài)存儲和動態(tài)傳輸過程中的重要工業(yè)數(shù)據(jù)進行保護,根據(jù)風險評估結果對數(shù)據(jù)信息進行分級分類管理。對此,信軟司解讀指出:工業(yè)企業(yè)應對靜態(tài)存儲的重要工業(yè)數(shù)據(jù)進行加密存儲,設置訪問控制功能,對動態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進行加密傳輸,使用VPN等方式進行隔離保護,并根據(jù)風險評估結果,建立和完善數(shù)據(jù)信息的分級分類管理制度。
文件要求在選擇工業(yè)控制系統(tǒng)規(guī)劃、設計、建設、運維或評估等服務商時,優(yōu)先考慮具備工控安全防護經(jīng)驗的企事業(yè)單位,以合同等方式明確服務商應承擔的信息安全責任和義務。對此,信軟司解讀指出:工業(yè)企業(yè)在選擇工業(yè)控制系統(tǒng)規(guī)劃、設計、建設、運維或評估服務商時,應優(yōu)先考慮有工控安全防護經(jīng)驗的服務商,并核查其提供的工控安全合同、案例、驗收報告等證明材料。在合同中應以明文條款的方式約定服務商在服務過程中應當承擔的信息安全責任和義務。
文件要求以保密協(xié)議的方式要求服務商做好保密工作,防范敏感信息外泄。對此,信軟司解讀指出:工業(yè)企業(yè)應與服務商簽訂保密協(xié)議,協(xié)議中應約定保密內容、保密時限、違約責任等內容。防范工藝參數(shù)、配置文件、設備運行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等敏感信息外泄。
據(jù)悉,工信部將面向地方與企業(yè)開展《指南》宣貫,指導工業(yè)企業(yè)進一步優(yōu)化工控安全管理與技術防護手段,并開展工控安全防護應用試點。(人民郵電報)