工业控制系统作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。2016年,工业和信息化部出台《工业控制系统信息安全防护指南》,对有效指导工业企业开展工控安全防护工作发挥了积极作用。但是,随着工业企业数字化转型步伐加快,工业控制系统开放互联趋势明显,工业企业面临的网络安全风险与日俱增,工业企业加强网络安全防护需求迫切。
为了有效满足当前和未来一个时期工控系统安全防护需求,指导工业企业切实提升工业控制系统网络安全基线防护水平,推动企业数字化转型发展,工业和信息化部正式印发《工业控制系统网络安全防护指南》(以下简称《指南》)。
为贯彻落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律法规有关要求,支撑构建国家关键信息基础设施安全保障体系,指导关键信息基础设施运营者开展安全保护工作,在中央网信办网络安全协调局、公安部网络安全保卫局指导下,中国电子技术标准化研究院组织研制了《信息安全技术 关键信息基础设施安全保护要求》(以下简称《保护要求》)(GB/T 39204-2022)国家标准。
《指南》与《保护要求》分别从不同角度提出了对工业控制系统及关键信息基础设施的安全管理要求和技术规范,《指南》从安全管理、技术防护、安全运营和责任落实4个维度共16个方面给出了建议。
《保护要求》从3项基本原则和6个方面活动提出了111条安全要求。“3项基本原则”即以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防;“6个方面活动”即分析识别、安全防护、检测评估、监测预警、主动防御和事件处置。本文旨在对比分析两部法规在工业控制系统网络安全防护方面的一致性与差异性,从而在不同客户的个性化场景下,采取管理和技术措施对工业控制系统全生命周期进行安全保护,提供依据和合理化建议。
