五年磨一劍,工業控制系統信息安全防護的新高度
http://m.ydsygx.cn2011年9月,工信部印發《關于加強工業控制系統信息安全管理的通知》工信部協 [2011] 451號文(簡稱451號文),掀開了工業控制系統安全的“面紗”,通過規范管理等要求,使各工業企業單位,理解工業控制系統安全的重要性。時隔5年,2016年10月工信部印發《工業控制系統信息安全防護指南》(簡稱指南)工業控制 從11項30個要點詳細明確安全防護工作的指導方針。5年的時間里工業控制 國內涉及工業控制系統信息安全領域的公司,如雨后春筍般發芽、成長,匡恩網絡作為工業控制系統信息安全領域的領軍企業,通過針對這兩份文件的細致分析,希望能為工業控制系統信息安全的從業者提供參考。
1、 背景不同
2016年10月系統信息,工信部印發了《工業控制系統信息安全防護指南》系統信息,為工業企業制定工控安全防護實施方案提供指導方向。該指南的制訂系統信息安全防護,是在國內深化制造業與互聯網融合發展的大背景下安全防護,國內工業控制系統信息安全問題突出的情況下安全防護,國內工控安全多個標準發布,工控安全技術蓬勃發展的環境下,基于管理、深入技術、結合業務,以新高度為工業企業提供全面的工控安全建設指導。
回顧2010年震網事件剛剛爆發,引起了全世界范圍內對工業控制系統信息安全的關注,但國內對工業控制系統信息安全問題的重視程度不夠、管理制度缺失、相關標準規范不完整,因此工信部印發451號文,從管理要求和制度責任角度,為工業企業提供建議參考。
在國內深化制造業與互聯網融合發展的大背景下,該《指南》的發布不再是“就安全,說安全”,而是使工業控制系統安全作為業務發展的重要組成部分,安全與業務的結合不再是分離,而是融合。
2、 對象不同
由于國內工業控制系統信息安全背景的變化,該《指南》的發布對象與451號文比較,所面向的目標更精準,從各省、自治區、直轄市人民政府,國務院有關部門明確到地方工業和信息化主管部門,從大型國有企業擴展到所有工業控制系統的應用企業,并且提到從事工業控制系統規劃、設計、建設、運維、評估的企事業單位也適用該《指南》,從主管單位、到工業企業、到服務組織都需要以該《指南》作為指導。
3、 目的不同
印發《指南》的通知中明確了工業和信息化部指導和管理全國工業企業工控安全防護和保障工作的職責,以管理和技術防護指南的形式,要求各地工業和信息主管部門指導工業企業制定工控安全防護實施方案,推動企業分期分批達到該指南相關要求,從而提升國內工控安全整體防護水平。而451文在當時的背景下,以通知的形式呼吁政府和大型國企要高度重視,增強風險意識、責任意識和緊迫感,切實加強工業控制系統信息安全管理。
4、 內容不同
在具體的條款內容上,《指南》與451號文比較,在技術的深入性、業務的兼容性方面更全面、更具體、更可操作。
《指南》與451號文在管理和技術內容方面的對比
指南451號文
安全軟件選擇與管理設備選擇與升級管理要求
配置和補丁管理設備選擇與升級管理要求
邊界安全防護連接管理要求
組網管理要求
物理和環境安全防護
身份認證配置管理要求
遠程訪問安全
安全監測和應急預案演練應急管理要求
資產安全
數據安全數據管理要求
供應鏈管理設備選擇與升級管理要求
落實責任進一步加強工業控制系統信息安全工作的組織領導
工業控制系統信息安全防護指南意義重大,它對工業控制系統應用企業以及從事工業控制系統工作的企業起到了很好的指導作用,解決了大家面臨的很多困惑和難題,并提供了很好的針對工業控制系統面臨的網絡安全問題的解決思路和落地技術手段,主要體現在:
(1)管理要求的精準化
《指南》中涉及管理的內容包括安全軟件管理、配置和補丁管理、身份認證管理、供應鏈管理等具體的管理要求。從工業企業面臨的最急迫的管理問題出發,并結合工業企業的信息安全管理現狀,提出精準的管理指導方針。
(2)技術要求的全面化
《指南》中對技術要求的闡述非常全面,包含了工業控制系統信息安全防護的方方面面,包括結構安全方面的邊界安全防護、遠程訪問安全;行為安全方面的安全監測和應急預案演練;本體安全方面的安全軟件選擇與管理、物理和環境安全防護、身份認證、資產安全、數據安全;安全持續性方面的配置和補丁管理、供應鏈管理、落實責任。
(3)技術實現的具體化
《指南》中對技術要求的闡述非常具體,不是抽象的描述技術原理,而是具體的防護技術措施,讓工業企業能夠直觀明了的理解技術措施的具體操作和實施過程。例如,第七條第一款“在工業控制網絡部署網絡安全監測設備,及時發現、報告并處理網絡攻擊或異常行為”;第七條第二款“在重要工業控制設備前端部署具備工業協議深度包檢測功能的防護設備,限制違法操作”。
(4)業務兼容的可操作性
《指南》并不是完全以信息安全的角度進行闡述,而是結合工業企業的業務現場環境,讓信息安全的防護措施能夠真正融入到工業現場的業務場景中,為業務系統的安全穩定運行保駕護航。例如,第一條第一款“在工業主機上采用經過離線環境中充分驗證測試的防病毒軟件或應用程序白名單軟件,只允許經過工業企業自身授權和安全評估的軟件運行”提到的離線環境和充分測試,這是工業企業對軟件系統的上線要求;第六條第三款“確需遠程維護的,采用虛擬專用網絡(VPN)等遠程接入方式進行”考慮了遠程運維在業務系統中普遍存在的現實情況提出的防護指導技術要求。
針對工業控制系統網絡攻擊的手段不斷更新和變化,工業控制系統信息安全的防御技術也在不斷的提高和改進,工業控制系統信息安全的標準規范在不斷的演進和發布,所以《指南》的印發,從全局考慮,以新的高度對工業企業的安全防護方案提出指導,將全面提升國內工業控制系統信息安全的整體防護水平。