工控系统等级保护相关要求

2020-12-15 14:24:50 节选自华清信安百家号 652

  本文节选自华清信安百家号的 《等级保护丨工控系统等级保护解决方案》,版权归作者所有,转载仅用于信息传递,不代表万方安全立场。

  01、工业控制系统等级保护要求

  《信息安全技术网络安全等级保护基本要求 第5部分:工业控制安全扩展要求》针对工业控制系统等级保护定义有总体原则、技术要求和管理要求共三类说明。其中,总体原则是针对工业控制系统整体提出的安全域保护原则;技术要求和管理要求从各个层面或方面提出了工业控制系统的每个组件应该满足的安全要求。

  02、工业控制系统网络安全现状

  1、工控系统存在许多安全风险

  随着信息化不断深入,工控系统从封闭、孤立的系统走向互联网体系的IT系统,采用以太网、TCP/PC网及各种无线网,控制协议迁移到应用层;采用标准商用操作系统、中间件与各种通用软件,已变成开放、互联、通用和标准化的信息系统。工控系统面临的威胁是多样化的,也是信息战中敌方的重要攻击目标。

  2、工控系统应用于关键行业

  电力、煤炭、石油石化等能源工业作为国家的基础性和支柱性产业,为促进我国经济社会持续健康发展、人民生活水平不断提高发挥了重要作用。能源行业是工业控制系统应用广泛的行业。随着智能电网、数字油气田、数字矿山等信息化工程快速推进,能源的开发、生产、利用、传输、消费等环节已高度依赖信息化。能源领域关键信息基础设施和重要信息资源已成为支撑能源生产供应的关键基础,没有能源领域网络安全就没有能源安全,没有能源安全就没有国家安全。因此,工控系统网络安全尤为重要。

  3、工控系统信息安全备受关注

  在工业控制系统安全中,安全管理的重要性和紧迫性标志着工业控制系统安全早已正式提上了我国的议事日程,多项相关政策与文件提出了工控系统的安全重要性。

  2016年11月3日,工信部网站正式发布“工业和信息化部关于印发《工业控制系统信息安全防护指南》的通知” ,整体思路借鉴了等级保护的思想,具体提出了十一条三十款要求,贴近实际工业企业真实情况,务实可落地。

  2017年11月27日,国务院发布《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,提出工业互联网需要强化安全保障,提升安全防护能力。

  2017年12月29日,工业和信息化部发布《工业控制系统信息安全行动计划(2018-2020年)》,旨在深入落实国家安全战略,加快工控安全保障体系建设,促进工业信息安全产业发展。

  2018年9月13日,国家能源局发布了《关于加强电力行业网络安全工作的指导意见》,对电力企业网络安全建设相关内容提出了30条具体要求。

  2019年3月8日,工业和信息化部、国家标准化管理委员会发布《工业互联网综合标准化体系建设指南》强调安全体系是工业互联网的保障。

  万方安全小编有话说,工控系统应用于关键行业的,不仅需要满足等级保护要求,还需要满足关键基础信息设施要求。如果您想要找专业的公司协助开展等级保护工作,欢迎在线咨询。

网络安全等级保护测评