2011年9月,工信部印发《关于加强工业控制系统信息安全管理的通知》工信部协[2011] 451号文(简称451号文),掀开了工业控制系统安全的“面纱”,通过规范管理等要求,使各工业企业单位,理解工业控制系统安全的重要性。时隔5年,2016年10月工信部印发《工业控制系统信息安全防护指南》(简称指南),从11项30个要点详细明确安全防护工作的指导方针。5年的时间里,国内涉及工业控制系统信息安全领域的公司,如雨后春笋般发芽、成长,匡恩网络作为工业控制系统信息安全领域的领军企业,通过针对这两份文件的细致分析,希望能为工业控制系统信息安全的从业者提供参考。
1、 背景不同
2016年10月,工信部印发了《工业控制系统信息安全防护指南》,为工业企业制定工控安全防护实施方案提供指导方向。该指南的制订,是在国内深化制造业与互联网融合发展的大背景下,国内工业控制系统信息安全问题突出的情况下,国内工控安全多个标准发布,工控安全技术蓬勃发展的环境下,基于管理、深入技术、结合业务,以新高度为工业企业提供全面的工控安全建设指导。
回顾2010年震网事件刚刚爆发,引起了全世界范围内对工业控制系统信息安全的关注,但国内对工业控制系统信息安全问题的重视程度不够、管理制度缺失、相关标准规范不完整,因此工信部印发451号文,从管理要求和制度责任角度,为工业企业提供建议参考。
在国内深化制造业与互联网融合发展的大背景下,该《指南》的发布不再是“就安全,说安全”,而是使工业控制系统安全作为业务发展的重要组成部分,安全与业务的结合不再是分离,而是融合。
2、 对象不同
由于国内工业控制系统信息安全背景的变化,该《指南》的发布对象与451号文比较,所面向的目标更精准,从各省、自治区、直辖市人民政府,国务院有关部门明确到地方工业和信息化主管部门,从大型国有企业扩展到所有工业控制系统的应用企业,并且提到从事工业控制系统规划、设计、建设、运维、评估的企事业单位也适用该《指南》,从主管单位、到工业企业、到服务组织都需要以该《指南》作为指导。
3、 目的不同
印发《指南》的通知中明确了工业和信息化部指导和管理全国工业企业工控安全防护和保障工作的职责,以管理和技术防护指南的形式,要求各地工业和信息主管部门指导工业企业制定工控安全防护实施方案,推动企业分期分批达到该指南相关要求,从而提升国内工控安全整体防护水平。而451文在当时的背景下,以通知的形式呼吁政府和大型国企要高度重视,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。
4、 内容不同
在具体的条款内容上,《指南》与451号文比较,在技术的深入性、业务的兼容性方面更全面、更具体、更可操作。
《指南》与451号文在管理和技术内容方面的对比
指南 |
451号文 |
安全软件选择与管理 |
设备选择与升级管理要求 |
配置和补丁管理 |
设备选择与升级管理要求 |
边界安全防护 |
连接管理要求 组网管理要求 |
物理和环境安全防护 |
|
身份认证 |
配置管理要求 |
远程访问安全 |
|
安全监测和应急预案演练 |
应急管理要求 |
资产安全 |
|
数据安全 |
数据管理要求 |
供应链管理 |
设备选择与升级管理要求 |
落实责任 |
进一步加强工业控制系统信息安全工作的组织领导 |
工业控制系统信息安全防护指南意义重大,它对工业控制系统应用企业以及从事工业控制系统工作的企业起到了很好的指导作用,解决了大家面临的很多困惑和难题,并提供了很好的针对工业控制系统面临的网络安全问题的解决思路和落地技术手段,主要体现在:
(1)管理要求的精准化
《指南》中涉及管理的内容包括安全软件管理、配置和补丁管理、身份认证管理、供应链管理等具体的管理要求。从工业企业面临的最急迫的管理问题出发,并结合工业企业的信息安全管理现状,提出精准的管理指导方针。
(2)技术要求的全面化
《指南》中对技术要求的阐述非常全面,包含了工业控制系统信息安全防护的方方面面,包括结构安全方面的边界安全防护、远程访问安全;行为安全方面的安全监测和应急预案演练;本体安全方面的安全软件选择与管理、物理和环境安全防护、身份认证、资产安全、数据安全;安全持续性方面的配置和补丁管理、供应链管理、落实责任。
(3)技术实现的具体化
《指南》中对技术要求的阐述非常具体,不是抽象的描述技术原理,而是具体的防护技术措施,让工业企业能够直观明了的理解技术措施的具体操作和实施过程。例如,第七条第一款“在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为”;第七条第二款“在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作”。
(4)业务兼容的可操作性
《指南》并不是完全以信息安全的角度进行阐述,而是结合工业企业的业务现场环境,让信息安全的防护措施能够真正融入到工业现场的业务场景中,为业务系统的安全稳定运行保驾护航。例如,第一条第一款“在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行”提到的离线环境和充分测试,这是工业企业对软件系统的上线要求;第六条第三款“确需远程维护的,采用虚拟专用网络(VPN)等远程接入方式进行”考虑了远程运维在业务系统中普遍存在的现实情况提出的防护指导技术要求。
针对工业控制系统网络攻击的手段不断更新和变化,工业控制系统信息安全的防御技术也在不断的提高和改进,工业控制系统信息安全的标准规范在不断的演进和发布,所以《指南》的印发,从全局考虑,以新的高度对工业企业的安全防护方案提出指导,将全面提升国内工业控制系统信息安全的整体防护水平。