工業(yè)控制系統(tǒng)信息安全(以下簡(jiǎn)稱“工控安全”)是國(guó)家網(wǎng)絡(luò)和信息安全的重要組成部分,是推動(dòng)中國(guó)制造2025、制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的基礎(chǔ)保障。2016年10月,工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》(以下簡(jiǎn)稱《指南》),指導(dǎo)工業(yè)企業(yè)開展工控安全防護(hù)工作。
一、背景情況
工控安全事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全。近年來(lái)
工信部 隨著信息化和工業(yè)化融合的不斷深入
工信部 工業(yè)控制系統(tǒng)從單機(jī)走向互聯(lián),從封閉走向開放,從自動(dòng)化走向智能化。在生產(chǎn)力顯著提高的同時(shí),工業(yè)控制系統(tǒng)面臨著日益嚴(yán)峻的信息安全威脅。為貫徹落實(shí)《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》(國(guó)發(fā)〔2016〕28號(hào))文件精神工業(yè)控制,應(yīng)對(duì)新時(shí)期工控安全形勢(shì)工業(yè)控制,提升工業(yè)企業(yè)工控安全防護(hù)水平工業(yè)控制,編制本《指南》。
二、總體考慮
《指南》堅(jiān)持“安全是發(fā)展的前提,發(fā)展是安全的保障”系統(tǒng)信息,以當(dāng)前我國(guó)工業(yè)控制系統(tǒng)面臨的安全問(wèn)題為出發(fā)點(diǎn)系統(tǒng)信息,注重防護(hù)要求的可執(zhí)行性系統(tǒng)信息,從管理、技術(shù)兩方面明確工業(yè)企業(yè)工控安全防護(hù)要求。編制思路如下:
(一)落實(shí)《國(guó)家網(wǎng)絡(luò)安全法》要求
《指南》所列11項(xiàng)要求充分體現(xiàn)了《國(guó)家網(wǎng)絡(luò)安全法》中網(wǎng)絡(luò)安全支持與促進(jìn)、網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)信息安全、監(jiān)測(cè)預(yù)警與應(yīng)急處置等法規(guī)在工控安全領(lǐng)域的要求,是《國(guó)家網(wǎng)絡(luò)安全法》在工業(yè)領(lǐng)域的具體應(yīng)用。
(二)突出工業(yè)企業(yè)主體責(zé)任
《指南》根據(jù)我國(guó)工控安全管理工作實(shí)踐經(jīng)驗(yàn),面向工業(yè)企業(yè)提出工控安全防護(hù)要求,確立企業(yè)作為工控安全責(zé)任主體,要求企業(yè)明確工控安全管理責(zé)任人,落實(shí)工控安全責(zé)任制。
(三)考慮我國(guó)工控安全現(xiàn)狀
《指南》編制以近五年我部工控安全檢查工作掌握的有關(guān)情況為基礎(chǔ),充分考慮當(dāng)前工控安全防護(hù)意識(shí)不到位、管理責(zé)任不明晰、訪問(wèn)控制策略不完善等問(wèn)題,明確了《指南》的各項(xiàng)要求。
(四)借鑒發(fā)達(dá)國(guó)家工控安全防護(hù)經(jīng)驗(yàn)
《指南》參考了美國(guó)、歐盟、日本等發(fā)達(dá)國(guó)家工控安全相關(guān)政策、標(biāo)準(zhǔn)和最佳實(shí)踐做法,對(duì)安全軟件選擇與管理、配置與補(bǔ)丁管理、邊界安全防護(hù)等措施進(jìn)行了論證,提高了《指南》的科學(xué)性、合理性和可操作性。
(五)強(qiáng)調(diào)工業(yè)控制系統(tǒng)全生命周期安全防護(hù)
《指南》涵蓋工業(yè)控制系統(tǒng)設(shè)計(jì)、選型、建設(shè)、測(cè)試、運(yùn)行、檢修、廢棄各階段防護(hù)工作要求,從安全軟件選型、訪問(wèn)控制策略構(gòu)建、數(shù)據(jù)安全保護(hù)、資產(chǎn)配置管理等方面提出了具體實(shí)施細(xì)則。
三、內(nèi)容詳解
《指南》堅(jiān)持企業(yè)的主體責(zé)任及政府的監(jiān)管、服務(wù)職責(zé),聚焦系統(tǒng)防護(hù)、安全管理等安全保障重點(diǎn),提出了11項(xiàng)防護(hù)要求,具體解讀如下:
(一)安全軟件選擇與管理
1. 在工業(yè)主機(jī)上采用經(jīng)過(guò)離線環(huán)境中充分驗(yàn)證測(cè)試的防病毒軟件或應(yīng)用程序白名單軟件,只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行。
解讀:工業(yè)控制系統(tǒng)對(duì)系統(tǒng)可用性、實(shí)時(shí)性要求較高,工業(yè)主機(jī)如MES服務(wù)器、OPC服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、工程師站、操作員站等應(yīng)用的安全軟件應(yīng)事先在離線環(huán)境中進(jìn)行測(cè)試與驗(yàn)證,其中,離線環(huán)境指的是與生產(chǎn)環(huán)境物理隔離的環(huán)境。驗(yàn)證和測(cè)試內(nèi)容包括安全軟件的功能性、兼容性及安全性等。
2. 建立防病毒和惡意軟件入侵管理機(jī)制,對(duì)工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備采取病毒查殺等安全預(yù)防措施。
解讀:工業(yè)企業(yè)需要建立工業(yè)控制系統(tǒng)防病毒和惡意軟件入侵管理機(jī)制,對(duì)工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備采用必要的安全預(yù)防措施。安全預(yù)防措施包括定期掃描病毒和惡意軟件、定期更新病毒庫(kù)、查殺臨時(shí)接入設(shè)備(如臨時(shí)接入U(xiǎn)盤、移動(dòng)終端等外設(shè))等。
(二)配置和補(bǔ)丁管理
1.做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置,建立工業(yè)控制系統(tǒng)配置清單,定期進(jìn)行配置審計(jì)。
解讀:工業(yè)企業(yè)應(yīng)做好虛擬局域網(wǎng)隔離、端口禁用等工業(yè)控制網(wǎng)絡(luò)安全配置,遠(yuǎn)程控制管理、默認(rèn)賬戶管理等工業(yè)主機(jī)安全配置,口令策略合規(guī)性等工業(yè)控制設(shè)備安全配置,建立相應(yīng)的配置清單,制定責(zé)任人定期進(jìn)行管理和維護(hù),并定期進(jìn)行配置核查審計(jì)。
2.對(duì)重大配置變更制定變更計(jì)劃并進(jìn)行影響分析,配置變更實(shí)施前進(jìn)行嚴(yán)格安全測(cè)試。
解讀:當(dāng)發(fā)生重大配置變更時(shí),工業(yè)企業(yè)應(yīng)及時(shí)制定變更計(jì)劃,明確變更時(shí)間、變更內(nèi)容、變更責(zé)任人、變更審批、變更驗(yàn)證等事項(xiàng)。其中,重大配置變更是指重大漏洞補(bǔ)丁更新、安全設(shè)備的新增或減少、安全域的重新劃分等。同時(shí),應(yīng)對(duì)變更過(guò)程中可能出現(xiàn)的風(fēng)險(xiǎn)進(jìn)行分析,形成分析報(bào)告,并在離線環(huán)境中對(duì)配置變更進(jìn)行安全性驗(yàn)證。
3.密切關(guān)注重大工控安全漏洞及其補(bǔ)丁發(fā)布,及時(shí)采取補(bǔ)丁升級(jí)措施。在補(bǔ)丁安裝前,需對(duì)補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證。
解讀:工業(yè)企業(yè)應(yīng)密切關(guān)注CNVD、CNNVD等漏洞庫(kù)及設(shè)備廠商發(fā)布的補(bǔ)丁。當(dāng)重大漏洞及其補(bǔ)丁發(fā)布時(shí),根據(jù)企業(yè)自身情況及變更計(jì)劃,在離線環(huán)境中對(duì)補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證,對(duì)通過(guò)安全評(píng)估和測(cè)試驗(yàn)證的補(bǔ)丁及時(shí)升級(jí)。
(三)邊界安全防護(hù)
1.分離工業(yè)控制系統(tǒng)的開發(fā)、測(cè)試和生產(chǎn)環(huán)境。
解讀:工業(yè)控制系統(tǒng)的開發(fā)、測(cè)試和生產(chǎn)環(huán)境需執(zhí)行不同的安全控制措施,工業(yè)企業(yè)可采用物理隔離、網(wǎng)絡(luò)邏輯隔離等方式進(jìn)行隔離。
2.通過(guò)工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù),禁止沒有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。
解讀:工業(yè)控制網(wǎng)絡(luò)邊界安全防護(hù)設(shè)備包括工業(yè)防火墻、工業(yè)網(wǎng)閘、單向隔離設(shè)備及企業(yè)定制的邊界安全防護(hù)網(wǎng)關(guān)等。工業(yè)企業(yè)應(yīng)根據(jù)實(shí)際情況,在不同網(wǎng)絡(luò)邊界之間部署邊界安全防護(hù)設(shè)備,實(shí)現(xiàn)安全訪問(wèn)控制,阻斷非法網(wǎng)絡(luò)訪問(wèn),嚴(yán)格禁止沒有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。
3.通過(guò)工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)。
解讀:工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全區(qū)域根據(jù)區(qū)域重要性和業(yè)務(wù)需求進(jìn)行劃分。區(qū)域之間的安全防護(hù),可采用工業(yè)防火墻、網(wǎng)閘等設(shè)備進(jìn)行邏輯隔離安全防護(hù)。
(四)物理和環(huán)境安全防護(hù)
1.對(duì)重要工程師站、數(shù)據(jù)庫(kù)、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問(wèn)控制、視頻監(jiān)控、專人值守等物理安全防護(hù)措施。
解讀:工業(yè)企業(yè)應(yīng)對(duì)重要工業(yè)控制系統(tǒng)資產(chǎn)所在區(qū)域,采用適當(dāng)?shù)奈锢戆踩雷o(hù)措施。
2.拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無(wú)線等接口。若確需使用,通過(guò)主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問(wèn)控制。
解讀:USB、光驅(qū)、無(wú)線等工業(yè)主機(jī)外設(shè)的使用,為病毒、木馬、蠕蟲等惡意代碼入侵提供了途徑,拆除或封閉工業(yè)主機(jī)上不必要的外設(shè)接口可減少被感染的風(fēng)險(xiǎn)。確需使用時(shí),可采用主機(jī)外設(shè)統(tǒng)一管理設(shè)備、隔離存放有外設(shè)接口的工業(yè)主機(jī)等安全管理技術(shù)手段。
(五)身份認(rèn)證
1.在工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問(wèn)、工業(yè)云平臺(tái)訪問(wèn)等過(guò)程中使用身份認(rèn)證管理。對(duì)于關(guān)鍵設(shè)備、系統(tǒng)和平臺(tái)的訪問(wèn)采用多因素認(rèn)證。
解讀:用戶在登錄工業(yè)主機(jī)、訪問(wèn)應(yīng)用服務(wù)資源及工業(yè)云平臺(tái)等過(guò)程中,應(yīng)使用口令密碼、USB-key、智能卡、生物指紋、虹膜等身份認(rèn)證管理手段,必要時(shí)可同時(shí)采用多種認(rèn)證手段。
2.合理分類設(shè)置賬戶權(quán)限,以最小特權(quán)原則分配賬戶權(quán)限。
解讀:工業(yè)企業(yè)應(yīng)以滿足工作要求的最小特權(quán)原則來(lái)進(jìn)行系統(tǒng)賬戶權(quán)限分配,確保因事故、錯(cuò)誤、篡改等原因造成的損失最小化。工業(yè)企業(yè)需定期審計(jì)分配的賬戶權(quán)限是否超出工作需要。
3.強(qiáng)化工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等的登錄賬戶及密碼,避免使用默認(rèn)口令或弱口令,定期更新口令。
解讀:工業(yè)企業(yè)可參考供應(yīng)商推薦的設(shè)置規(guī)則,并根據(jù)資產(chǎn)重要性,為工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等設(shè)定不同強(qiáng)度的登錄賬戶及密碼,并進(jìn)行定期更新,避免使用默認(rèn)口令或弱口令。
4.加強(qiáng)對(duì)身份認(rèn)證證書信息保護(hù)力度,禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。
解讀:工業(yè)企業(yè)可采用USB-key等安全介質(zhì)存儲(chǔ)身份認(rèn)證證書信息,建立相關(guān)制度對(duì)證書的申請(qǐng)、發(fā)放、使用、吊銷等過(guò)程進(jìn)行嚴(yán)格控制,保證不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下禁止使用相同的身份認(rèn)證證書信息,減小證書暴露后對(duì)系統(tǒng)和網(wǎng)絡(luò)的影響。
(六)遠(yuǎn)程訪問(wèn)安全
1.原則上嚴(yán)格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)。
解讀:工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等網(wǎng)絡(luò)服務(wù),易導(dǎo)致工業(yè)控制系統(tǒng)被入侵、攻擊、利用,工業(yè)企業(yè)應(yīng)原則上禁止工業(yè)控制系統(tǒng)開通高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)。
2.確需遠(yuǎn)程訪問(wèn)的,采用數(shù)據(jù)單向訪問(wèn)控制等策略進(jìn)行安全加固,對(duì)訪問(wèn)時(shí)限進(jìn)行控制,并采用加標(biāo)鎖定策略。
解讀:工業(yè)企業(yè)確需進(jìn)行遠(yuǎn)程訪問(wèn)的,可在網(wǎng)絡(luò)邊界使用單向隔離裝置、VPN等方式實(shí)現(xiàn)數(shù)據(jù)單向訪問(wèn),并控制訪問(wèn)時(shí)限。采用加標(biāo)鎖定策略,禁止訪問(wèn)方在遠(yuǎn)程訪問(wèn)期間實(shí)施非法操作。
3.確需遠(yuǎn)程維護(hù)的,采用虛擬專用網(wǎng)絡(luò)(VPN)等遠(yuǎn)程接入方式進(jìn)行。
解讀:工業(yè)企業(yè)確需遠(yuǎn)程維護(hù)的,應(yīng)通過(guò)對(duì)遠(yuǎn)程接入通道進(jìn)行認(rèn)證、加密等方式保證其安全性,如采用虛擬專用網(wǎng)絡(luò)(VPN)等方式,對(duì)接入賬戶實(shí)行專人專號(hào),并定期審計(jì)接入賬戶操作記錄。
4.保留工業(yè)控制系統(tǒng)的相關(guān)訪問(wèn)日志,并對(duì)操作過(guò)程進(jìn)行安全審計(jì)。
解讀:工業(yè)企業(yè)應(yīng)保留工業(yè)控制系統(tǒng)設(shè)備、應(yīng)用等訪問(wèn)日志,并定期進(jìn)行備份,通過(guò)審計(jì)人員賬戶、訪問(wèn)時(shí)間、操作內(nèi)容等日志信息,追蹤定位非授權(quán)訪問(wèn)行為。
(七)安全監(jiān)測(cè)和應(yīng)急預(yù)案演練
1.在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備,及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為。
解讀:工業(yè)企業(yè)應(yīng)在工業(yè)控制網(wǎng)絡(luò)部署可對(duì)網(wǎng)絡(luò)攻擊和異常行為進(jìn)行識(shí)別、報(bào)警、記錄的網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備,及時(shí)發(fā)現(xiàn)、報(bào)告并處理包括病毒木馬、端口掃描、暴力破解、異常流量、異常指令、工業(yè)控制系統(tǒng)協(xié)議包偽造等網(wǎng)絡(luò)攻擊或異常行為。
2.在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測(cè)功能的防護(hù)設(shè)備,限制違法操作。
解讀:在工業(yè)企業(yè)生產(chǎn)核心控制單元前端部署可對(duì)Modbus、S7、Ethernet/IP、OPC等主流工業(yè)控制系統(tǒng)協(xié)議進(jìn)行深度分析和過(guò)濾的防護(hù)設(shè)備,阻斷不符合協(xié)議標(biāo)準(zhǔn)結(jié)構(gòu)的數(shù)據(jù)包、不符合業(yè)務(wù)要求的數(shù)據(jù)內(nèi)容。
3.制定工控安全事件應(yīng)急響應(yīng)預(yù)案,當(dāng)遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異常或故障時(shí),應(yīng)立即采取緊急防護(hù)措施,防止事態(tài)擴(kuò)大,并逐級(jí)報(bào)送直至屬地省級(jí)工業(yè)和信息化主管部門,同時(shí)注意保護(hù)現(xiàn)場(chǎng),以便進(jìn)行調(diào)查取證。
解讀:工業(yè)企業(yè)需要自主或委托第三方工控安全服務(wù)單位制定工控安全事件應(yīng)急響應(yīng)預(yù)案。預(yù)案應(yīng)包括應(yīng)急計(jì)劃的策略和規(guī)程、應(yīng)急計(jì)劃培訓(xùn)、應(yīng)急計(jì)劃測(cè)試與演練、應(yīng)急處理流程、事件監(jiān)控措施、應(yīng)急事件報(bào)告流程、應(yīng)急支持資源、應(yīng)急響應(yīng)計(jì)劃等內(nèi)容。
4.定期對(duì)工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進(jìn)行演練,必要時(shí)對(duì)應(yīng)急響應(yīng)預(yù)案進(jìn)行修訂。
解讀:工業(yè)企業(yè)應(yīng)定期組織工業(yè)控制系統(tǒng)操作、維護(hù)、管理等相關(guān)人員開展應(yīng)急響應(yīng)預(yù)案演練,演練形式包括桌面演練、單項(xiàng)演練、綜合演練等。必要時(shí),企業(yè)應(yīng)根據(jù)實(shí)際情況對(duì)預(yù)案進(jìn)行修訂。
(八)資產(chǎn)安全
1.建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單,明確資產(chǎn)責(zé)任人,以及資產(chǎn)使用及處置規(guī)則。
解讀:工業(yè)企業(yè)應(yīng)建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單,包括信息資產(chǎn)、軟件資產(chǎn)、硬件資產(chǎn)等。明確資產(chǎn)責(zé)任人,建立資產(chǎn)使用及處置規(guī)則,定期對(duì)資產(chǎn)進(jìn)行安全巡檢,審計(jì)資產(chǎn)使用記錄,并檢查資產(chǎn)運(yùn)行狀態(tài),及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)。
2.對(duì)關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、控制組件等進(jìn)行冗余配置。
解讀:工業(yè)企業(yè)應(yīng)根據(jù)業(yè)務(wù)需要,針對(duì)關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、控制組件等配置冗余電源、冗余設(shè)備、冗余網(wǎng)絡(luò)等。
(九)數(shù)據(jù)安全
1.對(duì)靜態(tài)存儲(chǔ)和動(dòng)態(tài)傳輸過(guò)程中的重要工業(yè)數(shù)據(jù)進(jìn)行保護(hù),根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)數(shù)據(jù)信息進(jìn)行分級(jí)分類管理。
解讀:工業(yè)企業(yè)應(yīng)對(duì)靜態(tài)存儲(chǔ)的重要工業(yè)數(shù)據(jù)進(jìn)行加密存儲(chǔ),設(shè)置訪問(wèn)控制功能,對(duì)動(dòng)態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進(jìn)行加密傳輸,使用VPN等方式進(jìn)行隔離保護(hù),并根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果,建立和完善數(shù)據(jù)信息的分級(jí)分類管理制度。
2.定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)。
解讀:工業(yè)企業(yè)應(yīng)對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù),如工藝參數(shù)、配置文件、設(shè)備運(yùn)行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等進(jìn)行定期備份。
3.對(duì)測(cè)試數(shù)據(jù)進(jìn)行保護(hù)。
解讀:工業(yè)企業(yè)應(yīng)對(duì)測(cè)試數(shù)據(jù),包括安全評(píng)估數(shù)據(jù)、現(xiàn)場(chǎng)組態(tài)開發(fā)數(shù)據(jù)、系統(tǒng)聯(lián)調(diào)數(shù)據(jù)、現(xiàn)場(chǎng)變更測(cè)試數(shù)據(jù)、應(yīng)急演練數(shù)據(jù)等進(jìn)行保護(hù),如簽訂保密協(xié)議、回收測(cè)試數(shù)據(jù)等。
(十)供應(yīng)鏈管理
1.在選擇工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維或評(píng)估等服務(wù)商時(shí),優(yōu)先考慮具備工控安全防護(hù)經(jīng)驗(yàn)的企事業(yè)單位,以合同等方式明確服務(wù)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)。
解讀:工業(yè)企業(yè)在選擇工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維或評(píng)估服務(wù)商時(shí),應(yīng)優(yōu)先考慮有工控安全防護(hù)經(jīng)驗(yàn)的服務(wù)商,并核查其提供的工控安全合同、案例、驗(yàn)收?qǐng)?bào)告等證明材料。在合同中應(yīng)以明文條款的方式約定服務(wù)商在服務(wù)過(guò)程中應(yīng)當(dāng)承擔(dān)的信息安全責(zé)任和義務(wù)。
2.以保密協(xié)議的方式要求服務(wù)商做好保密工作,防范敏感信息外泄。
解讀:工業(yè)企業(yè)應(yīng)與服務(wù)商簽訂保密協(xié)議,協(xié)議中應(yīng)約定保密內(nèi)容、保密時(shí)限、違約責(zé)任等內(nèi)容。防范工藝參數(shù)、配置文件、設(shè)備運(yùn)行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等敏感信息外泄。
(十一)落實(shí)責(zé)任
通過(guò)建立工控安全管理機(jī)制、成立信息安全協(xié)調(diào)小組等方式,明確工控安全管理責(zé)任人,落實(shí)工控安全責(zé)任制,部署工控安全防護(hù)措施。
解讀:工業(yè)企業(yè)應(yīng)建立健全工控安全管理機(jī)制,明確工控安全主體責(zé)任,成立由企業(yè)負(fù)責(zé)人牽頭的,由信息化、生產(chǎn)管理、設(shè)備管理等相關(guān)部門組成的工業(yè)控制系統(tǒng)信息安全協(xié)調(diào)小組,負(fù)責(zé)工業(yè)控制系統(tǒng)全生命周期的安全防護(hù)體系建設(shè)和管理,制定工業(yè)控制系統(tǒng)安全管理制度,部署工控安全防護(hù)措施。
四、貫徹落實(shí)
一是面向地方工業(yè)和信息化主管部門、中央企業(yè)等開展《指南》宣貫,依據(jù)《指南》要求組織培訓(xùn),指導(dǎo)工業(yè)企業(yè)進(jìn)一步優(yōu)化工控安全管理與技術(shù)防護(hù)手段。
二是選擇工業(yè)聚集發(fā)展城市及地區(qū),設(shè)立工控安全防護(hù)試點(diǎn)區(qū),組織區(qū)內(nèi)工業(yè)企業(yè)開展工控安全防護(hù)應(yīng)用試點(diǎn),遴選優(yōu)秀試點(diǎn)企業(yè)分享工控安全防護(hù)經(jīng)驗(yàn),總結(jié)提煉工業(yè)控制系統(tǒng)防護(hù)示范案例。
三是將《指南》要求納入年度工業(yè)行業(yè)網(wǎng)絡(luò)安全檢查項(xiàng)目,強(qiáng)化責(zé)任落實(shí)到位,管理、技術(shù)落實(shí)到位。通過(guò)自查、抽查、深度檢查等方式促進(jìn)工業(yè)企業(yè)深入貫徹并落實(shí)《指南》。
地方工信主管部門負(fù)責(zé)對(duì)本地區(qū)內(nèi)的工控安全防護(hù)工作進(jìn)行監(jiān)督管理,并配合工業(yè)和信息化部做好工控安全相關(guān)工作。工業(yè)企業(yè)應(yīng)按照《指南》各項(xiàng)要求安全防護(hù),開展和完善工控安全防護(hù)工作安全防護(hù),改善自身安全防護(hù)能力的同時(shí),為全面提升我國(guó)工業(yè)信息安全防護(hù)水平提供支撐。