《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 業(yè)界動態(tài) > 從合規(guī)視角看工控安全防護體系建設(shè)

從合規(guī)視角看工控安全防護體系建設(shè)

2022-05-27
來源: 安全牛
關(guān)鍵詞: 工控安全 合規(guī)視角

  近年來,我國工控安全領(lǐng)域的政策法規(guī)建設(shè)在不斷完善,合規(guī)監(jiān)管已經(jīng)成為工控安全市場發(fā)展的主要推動因素之一。而工控安全領(lǐng)域的合規(guī)需求包括國家法律、行業(yè)規(guī)范要求和行業(yè)標(biāo)準(zhǔn)要求等。工業(yè)生產(chǎn)企業(yè)應(yīng)該嚴(yán)格按照相關(guān)的安全合規(guī)要求,開展企業(yè)的工控安全規(guī)劃與建設(shè)。

  工控安全法規(guī)政策梳理

  我國工控安全領(lǐng)域的法規(guī)政策主要包括國家、產(chǎn)業(yè)、行業(yè)三個層面:

  微信圖片_20220527173721.png

  國家層面

  從國家層面來看,工控安全法規(guī)多是通過具體法律、條例中的規(guī)章,以管理維度要求工業(yè)生產(chǎn)企業(yè)在信息化過程中需要注意的事項。

  1、網(wǎng)絡(luò)安全法

  2017年,我國頒布《中華人民共和國網(wǎng)絡(luò)安全法》,標(biāo)志著我國網(wǎng)絡(luò)安全建設(shè)有法可依。《網(wǎng)絡(luò)安全法》中,關(guān)鍵信息基礎(chǔ)設(shè)施作為獨立一節(jié),體現(xiàn)了我國對關(guān)鍵信息基礎(chǔ)設(shè)施的重視。而工業(yè)網(wǎng)絡(luò)、工業(yè)系統(tǒng)承擔(dān)著國家安全、國計民生、公共利益的職責(zé),因此被認(rèn)為是關(guān)鍵信息基礎(chǔ)設(shè)施的一部分。

  2、數(shù)據(jù)安全法與個人信息保護

  《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護法》,對關(guān)鍵信息基礎(chǔ)設(shè)施運行過程中所產(chǎn)生的業(yè)務(wù)數(shù)據(jù)、個人隱私數(shù)據(jù)、運行數(shù)據(jù)等做出細(xì)化的防護規(guī)定。

  3、網(wǎng)絡(luò)安全等級保護制度2.0

  2019年,網(wǎng)絡(luò)安全等級保護制度2.0標(biāo)準(zhǔn)正式發(fā)布并實施。在《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中,除安全通用要求外,還提出了工業(yè)控制系統(tǒng)安全擴展要求,通過分析OT網(wǎng)絡(luò)與IT網(wǎng)絡(luò)的區(qū)別,進行了針對安全防護要求。

  等保2.0的安全擴展要求主要針對于生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層。其中生產(chǎn)管理層和過程監(jiān)控層注重對網(wǎng)絡(luò)通訊和網(wǎng)絡(luò)隔離進行要求,現(xiàn)場控制層和現(xiàn)場設(shè)備層作為OT網(wǎng)絡(luò)的主體,包含了從設(shè)備、到資產(chǎn)再到網(wǎng)絡(luò)通訊的全方位安全要求。

  4、關(guān)鍵信息基礎(chǔ)設(shè)施保護條例

  2021年9月1日,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(以下簡稱“條例”)實施,定義了從國家網(wǎng)信部門統(tǒng)籌,公安部監(jiān)督,各級人民政府、各行業(yè)主管單位配合的監(jiān)管體系。

  《條例》細(xì)化了《網(wǎng)絡(luò)安全法》中對關(guān)鍵信息基礎(chǔ)設(shè)施的要求。《條例》更注重的是從架構(gòu)層面的建設(shè)問題,要求工控企業(yè)具備的基本能力,并明確了如果沒有達(dá)到要求時相應(yīng)的處罰。這些要求及能力如何具體落地,工業(yè)企業(yè)還需根據(jù)等保2.0相關(guān)標(biāo)準(zhǔn)進行執(zhí)行。

  產(chǎn)業(yè)層面

  從產(chǎn)業(yè)層面看,產(chǎn)業(yè)主管部門基于國家法律規(guī)定,將工控安全要求細(xì)化成可落地建設(shè)的指南,對在安全技術(shù)應(yīng)用、實現(xiàn)防護要求的具體方法進行指導(dǎo),并依據(jù)指導(dǎo)意見建立考核點,以檢查落地的成效。

  2011年10月,工信部發(fā)布關(guān)于工業(yè)控制安全的《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(以下簡稱“《通知》”),從四個方面提出工控安全建設(shè)要求:加強對工業(yè)安全重要性的認(rèn)識;落實工控安全中的六項管理要求;建立健全工控安全監(jiān)管機制;強化工控系統(tǒng)安全組織領(lǐng)導(dǎo)工作。

  2016年10月,工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》,從十一個方面要求工控企業(yè)做好安全防護工作。《工業(yè)控制系統(tǒng)信息安全防護指南》給出了第一個細(xì)化的工控安全落實管理、技術(shù)架構(gòu)。《指南》共十一條,對工業(yè)系統(tǒng)的安全建設(shè)從管理、技術(shù)、應(yīng)急處置、設(shè)備資產(chǎn)管理等多方面進行了建議。

  2017年,工信部辦公廳發(fā)布了“工業(yè)和信息化部關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》的通知“,旨在檢驗《工業(yè)控制系統(tǒng)信息安全防護指南》的實踐效果。在通知中,同時發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護能力評估方法》,工信部、各行業(yè)單位將依照《評估辦法》對部分工控安全企業(yè)進行檢查。

  2020年2月,工信部印發(fā)《工業(yè)數(shù)據(jù)分類分級指南(試行)》,要求工業(yè)和信息化主管部門、工業(yè)企業(yè)、平臺企業(yè)等開展工業(yè)數(shù)據(jù)分類分級工作。企業(yè)的研發(fā)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、運維數(shù)據(jù)、管理數(shù)據(jù)、外部數(shù)據(jù)需要進行分類處理,并依據(jù)一旦遭到篡改、破壞、泄露或分發(fā)利用后可能產(chǎn)生的潛在影響進行分級處理。

  行業(yè)層面

  從行業(yè)層面看,主要包括能源、電力、交通運輸、生產(chǎn)制造等,由于工業(yè)領(lǐng)域各行業(yè)安全現(xiàn)狀有所不同,各工業(yè)系統(tǒng)的安全需求具備差異化,因此各行業(yè)主管部門均在根據(jù)自身情況,推進行業(yè)內(nèi)的工業(yè)安全建設(shè)指導(dǎo),并形成行業(yè)標(biāo)準(zhǔn)。

  工控安全防護體系建設(shè)

  基于工控安全的監(jiān)管合規(guī)要求,工業(yè)企業(yè)應(yīng)根據(jù)自身生產(chǎn)設(shè)備及系統(tǒng)的實際情況,構(gòu)建一套從工業(yè)設(shè)備管理、到網(wǎng)絡(luò)安全防護再到綜合安全管理的三層防護體系:

  微信圖片_20220527173750.jpg

  1、 在工業(yè)設(shè)備管理層面,需要對對工業(yè)體系內(nèi)部的物理設(shè)備進行管理,保證其運行的安全問題。針對工業(yè)系統(tǒng)及工業(yè)設(shè)備,企業(yè)需通過驗證供應(yīng)商資質(zhì)、加密合同等方式,構(gòu)建安全的采購供應(yīng)鏈路。對于已部署的工業(yè)信息資產(chǎn),做好設(shè)備的梳理工作,明確工控網(wǎng)絡(luò)、資產(chǎn)、設(shè)備等拓?fù)浣Y(jié)構(gòu),確保接入到工業(yè)系統(tǒng)的設(shè)備是可控的。同時還需要從物理安全層面、容災(zāi)層面進行考量。

  2、 網(wǎng)絡(luò)安全防護層則是通過部署安全產(chǎn)品,依照“一個中心三重防護”的安全要求進行。安全防護是進行工控安全體系建設(shè)的核心。安全防護能力建設(shè)可以分為針對計算環(huán)境的安全建設(shè)、對邊界的安全建設(shè)以及對網(wǎng)絡(luò)通訊的安全建設(shè)。需要注意的是,工控網(wǎng)絡(luò)的安全防護需要做好分層防護,每一層次要根據(jù)企業(yè)自身的特點做好物理防護、終端防護、網(wǎng)絡(luò)防護等。

  隨著安全設(shè)備數(shù)量的增加以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜度增加,統(tǒng)一安全管理平臺將成為必備的安全產(chǎn)品。而由于工業(yè)企業(yè)安全運營能力的不足,企業(yè)需要考慮如何用好這些設(shè)備,可通過采購專業(yè)的安全服務(wù),例如安全托管服務(wù)、安全測試服務(wù)、應(yīng)急響應(yīng)服務(wù)等,快速提升安全防護能力。

  3、 安全管理是指建立相應(yīng)的組織架構(gòu)、管理體系,從制度維度做好工控安全防護。工業(yè)企業(yè)需構(gòu)建專門的工控安全組織管理部門,明確組織架構(gòu),負(fù)責(zé)對企業(yè)內(nèi)部網(wǎng)絡(luò)安全的規(guī)劃、建設(shè)、實施。建立相應(yīng)的安全制度,以做到工業(yè)企業(yè)內(nèi)部的人員管理、配置管理及補丁管理,做到記錄和審計。構(gòu)建一套應(yīng)急響應(yīng)流程,有效應(yīng)對安全生產(chǎn)、網(wǎng)絡(luò)安全、數(shù)據(jù)安全帶來的風(fēng)險。形成報送機制,有成熟的報送流程、報送格式、報送接口等。

  結(jié)    語

  工業(yè)環(huán)境的特殊性造成了工業(yè)企業(yè)的安全建設(shè)不能照搬互聯(lián)網(wǎng)防護。當(dāng)前,我國工控安全還處于起步階段,工業(yè)領(lǐng)域整體防護水平有待提高,專業(yè)的工業(yè)安全人才缺乏。近年來,國家頒布的一系列網(wǎng)絡(luò)安全法律法規(guī)一方面對工業(yè)安全提出了要求,另一方面也對工業(yè)安全的建設(shè)提供了指導(dǎo)。工業(yè)企業(yè)應(yīng)根據(jù)自身的情況,由簡入繁,以網(wǎng)絡(luò)安全提升生產(chǎn)安全,完成兩化融合的信息化改造,切實提升企業(yè)的生產(chǎn)能力。

  

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。
主站蜘蛛池模板: 成年做羞羞免费观看视频网站 | av72成人| 精品欧美一区二区三区在线观看 | 免费网站黄成人影院 | 99这里 | 久久国产精品免费看 | 国产成人小视频在线观看 | 国产成人在线视频 | 一级毛片视频在线 | 日韩一级片免费观看 | 97在线公开视频 | 狠狠色网 | 朋友的妈妈 1080p | 国产毛片网| 免费试看120秒 | 婷婷六月久久综合丁香可观看 | 奇米影视第 | 欧美一级在线看 | 久久桃花综合 | 久久综合久久精品 | 97色在线观看 | 国产高清视频免费观看 | 欧美人成在线观看ccc36 | 视频二区在线观看 | 99精品视频免费在线观看 | 四虎影视在线观看 | runaway韩国电影免费完整版 | 久久99这里只有精品国产 | 橘梨纱一区2区3区高清在线 | 韩国电影迷人的保姆 | 漂亮的保姆完整版免费韩剧 | 婷婷视频网站 | 男人v天堂 | 国产精品免费视频一区二区三区 | 天天射狠狠干 | 五月天婷婷在线播放 | 国产成人精品一区二区app | 日日操人人 | 天天做天天爱天天影视综合 | 高清亚洲综合色成在线播放放 | 五月婷综合网 |