[电工&电子] 关基视角解读《工业控制系统网络安全防护指南》

[复制链接]
查看253 | 回复0 | 2024-6-14 19:37:12 | 显示全部楼层 |阅读模式
>
微信公众号:计算机与网络安全

工业控制系统作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。2016年,工业和信息化部出台《工业控制系统信息安全防护指南》,对有效指导工业企业开展工控安全防护工作发挥了积极作用。但是,随着工业企业数字化转型步伐加快,工业控制系统开放互联趋势明显,工业企业面临的网络安全风险与日俱增,工业企业加强网络安全防护需求迫切。

为了有效满足当前和未来一个时期工控系统安全防护需求,指导工业企业切实提升工业控制系统网络安全基线防护水平,推动企业数字化转型发展,工业和信息化部正式印发《工业控制系统网络安全防护指南》(以下简称《指南》)。



为贯彻落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律法规有关要求,支撑构建国家关键信息基础设施安全保障体系,指导关键信息基础设施运营者开展安全保护工作,在中央网信办网络安全协调局、公安部网络安全保卫局指导下,中国电子技术标准化研究院组织研制了《信息安全技术 关键信息基础设施安全保护要求》(以下简称《保护要求》)(GB/T 39204-2022)国家标准。

《指南》与《保护要求》分别从不同角度提出了对工业控制系统及关键信息基础设施的安全管理要求和技术规范,《指南》从安全管理、技术、安全运营和责任落实4个维度共16个方面给出了建议。

《保护要求》从3项基本原则和6个方面活动提出了111条安全要求。“3项基本原则”即以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防;“6个方面活动”即分析识别、安全防护、检测评估、监测预警、主动防御和事件处置。

文旨在对比分析两部法规在工业控制系统网络安全防护方面的一致性与差异性,从而在不同客户的个性化场景下,采取管理和技术措施对工业控制系统全生命周期进行安全保护,提供依据和合理化建议。

对比分析

01

安全管理的相同点和不同点


共同之处在于,《指南》与《保护要求》均强调了安全管理的重要性,明确了运营主体应当建立完善的管理制度,包括但不限于制定安全策略、实施风险评估、强化人员培训和资质管理等。两者都要求企业建立健全内部安全管理体系,确保组织结构、岗位职责清晰明确,并通过合规审计来检验制度执行效果。

不同之处主要体现在适用范围和侧重点上,《保护要求》针对的是关键信息基础设施这一特定领域,对于这类设施的安全管理要求更为严格,特别规定了顶层设计、整体防护的原则,并要求行业主管或监管部门深度参与指导和监督。而《指南》虽然同样关注全面的安全管理,但更加注重指导工业控制系统自身的日常安全管理工作流程,可能包含更多具体的技术操作层面的规定。


02

技术防护的共需与特性


在技术防护层面,《指南》明确提出使用工业防火墙、网闸等设备进行逻辑隔离,实行严格的访问控制,以及采用密码技术、容灾备份等措施来保障数据安全。这与《保护要求》中关于关键信息基础设施应采取多层次、全方位安全防护手段的要求相吻合,两者都强调了纵深防御体系的构建。

然而,《保护要求还特别关注关键信息基础设施面临的高级持续威胁,要求实施国家认可的安全技术和产品,强调自主创新与自主可控,同时也对涉及国家安全的关键核心技术做了特殊保护规定。相比之下,《指南》更侧重于工业控制系统本身的防护体系建设和技术应用实践。      


03

安全运行的相同与差异


无论是《指南》还是《保护要求》,都要求建立有效的安全监测预警机制和应急响应预案,以实现对潜在安全威胁的实时感知和快速处置。它们都倡导持续改进的安全运营模式,将定期检查、漏洞管理、事件报告等内容纳入日常运维之中。

而区别在于,《保护要求》由于着眼于关键信息基础设施的特殊地位,对安全运营的要求更加细致入微,可能会涉及到跨部门、跨行业的协同联动机制建设,以及与国家网络安全应急体系的对接等方面;《指南》则更多地聚焦于企业在工业控制系统日常运行维护中的实际操作步骤和技术措施的应用。


04

责任落实的共性与特性


在责任落实方面,《指南》和《保护要求》一致认为各运营单位必须承担起首要责任,从管理层到执行层,自上而下推动安全工作的落地执行。同时,二者也都强调社会各方参与,政府监管机构发挥引导和监督作用。

《保护要求》在法律责任方面设定了更为明确且严厉的追责机制,尤其是针对关键信息基础设施保护不力导致严重后果的情况,明确了相应的行政乃至刑事法律责任。相较之下,《指南》作为指导性文件,尽管同样强调责任落实,但其更偏向于提供操作指导和最佳实践,而非直接设定法律责任条款。


 应对措施

北京圣博润高新技术股份有限公司是一家专注于网络安全技术研究、产品研发和安全服务的高新技术企业。基于《指南》和《保护要求》的防护要求和梳理,圣博润为不同客户群体提供如下应对措施:



综上所述,《工业控制系统网络安全防护指南》与《关键信息基础设施安全保护要求》在多个方面既存在密切的内在联系,又各有其针对性和独特性,共同构成了我国工业控制系统网络安全防护工作的重要基石,为工业企业和关键信息基础设施运营者提供了全面而立体的指导框架。

关基视角解读《工业控制系统网络安全防护指南》.docx

粉丝群

来源:圣博润


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册哦

x
您需要登录后才可以回帖 登录 | 注册哦

本版积分规则