回顾 | 2022年工控安全事件、政策、法规、标准汇总

admin 2023年1月1日15:28:54制度法规评论24 views8215字阅读27分23秒阅读模式


  //  

编者按:近年来,随着云计算、大数据、物联网等新一代信息技术与传统工业的加速融合,工业控制系统开始由单机走向互联、由自动化走向智能化,中国工业逐渐步入数字化、智能化发展的黄金阶段。与此同时,全球地缘政治冲突以及中美对抗导致的工控网络安全风险不断升级,消除工业控制系统外部的安全威胁与隐患,建设工业控制系统安全保障体系,已成为国家工业发展的当务之急。而关键基础设施保护也成为全球各国政府网络安全战略、政府预算与法规标准的关注重点。

2021年9月1日,中国关键信息基础设施安全保护条例》正式施行,标志着国家关键信息基础设施已经被视为国家的重要战略资源,以立法形式保护关键信息基础设施安全,已成为当今世界各国网络空间安全制度建设的核心内容和基本实践。

2022年3月份,拜登政府通过了《2022关键基础设施法-网络事件报告》。该法案纠正了联邦机构长期遗留的网络安全事件管理问题,即缺乏强制性的事件报告机制。同年7月,白宫发布的《2024财年网络安全预算备忘录》强调优先为关键基础设施安全相关技术支持项目审查和评估提供资金,以应对网络安全威胁,并在现有标准不足的情况下为基础设施投资制定网络安全性能标准。此外还必须推动跨部门的协作,以便在整体设计和实施阶段为项目提供充分的安全保障。

2022年11月7日,我国关键信息基础设施安全保护要求国家标准(GB/T 39204-2022)发布,这是我国第一项关键信息基础设施安全保护的国家标准,将于2023年5月1日起实施。该标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作提供了强有力的标准保障。

工控系统是国家关键信息基础设施的重要组成部分,同时也是关键基础设施网络攻击的重点目标。随着互联网在工业控制系统中的广泛应用,针对工业控制系统的各式网络攻击事件日益增多,尤其在电力、石油、铁路运输、燃气、化工、制造业、能源、核应用等相关领域的关键网络一直都是全球攻击者的首选目标。

回顾2022年,关键信息基础设施面临的网络安全形势依旧严峻,网络攻击威胁不断上升,事故隐患易发多发。我国政府及各级管理部门、研究机构高度重视工业控制系统安全问题,工业控制系统安全相关法规、政策指导性文件相继发布,相关产业、行业标准不断涌现。本文将带领大家回顾2022年的工控安全事件和工控安全领域的法律法规。


2022年全球工控安全事件盘点

回顾 | 2022年工控安全事件、政策、法规、标准汇总


工控安全领域法律法规——国家层面



1月12日,国务院印发《“十四五”数字经济发展规划》。《规划》提出建立健全数据安全治理体系,研究完善行业数据安全管理政策。推动提升重要设施设备的安全可靠水平,增强重点行业数据安全保障能力。支持开展常态化安全风险评估,加强网络安全等级保护和密码应用安全性评估。


1月13日,全国信息安全标准化技术委员会发布《信息安全技术 重要数据识别指南(征求意见稿)》。《指南》要求从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据,应通过对数据分级,明确安全保护重点,使一般数据充分流动,重要数据在满足安全保护要求前提下有序流动,释放数据价值。


2月10日,工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》。《办法》此次主要做了如下调整:目的依据中添加了《个人信息保护法》和《国家安全法》。适用数据范围扩大至工业数据、电信数据和无线电数据。对一般数据、重要数据和核心数据的定义做了调整,对备案申请时间等具体数字做出明确规定。补充了主体责任,在数据全生命周期管理方面,围绕数据出境和数据跨主体处理进行了条款补充。


2月15日,国家互联网信息办公室、工信部、公安部、国家安全部等十三部门联合发布修订后的《网络安全审查办法》正式施行。《办法》旨在保障网络安全和数据安全,维护国家安全。将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。   


3月5日,第十三届全国人民代表大会第五次会议通过《2022年政府工作报告》。《报告》提到,要加快发展工业互联网,培育壮大集成电路、人工智能等数字产业,提升关键软硬件技术创新和供给能力。


3月6日,全国信息安全标准化技术委员会发布《2022年网络安全国家标准需求清单》。《清单》共包含34项标准,其中制定标准20项,修订标准14项。涉及重要数据处理、关键信息基础设施安全评测、网络安全保险、网络安全服务能力等方面。


3月9日,国家标准化管理委员会发布《信息安全技术 重要工业控制系统网络安全防护导则》(下文简称“防护导则”),本标准规定了重要工业控制网络安全防护的基本原则、安全防护技术、应急备用措施和安全管理要求。自2022年10月1日正式实施。


4月13日,工业和信息化部印发《工业互联网专项工作组2022年工作计划》。从夯实基础设施、深化融合应用、强化技术创新、培育产业生态、提升安全保障、完善要素保障等方面,提出了网络体系强基、标识解析增强、平台体系壮大、数据汇聚赋能、新型模式培育、融通赋能“牵手”等15大类任务83项具体举措。


5月1日,全国信息安全标准化技术委员会发布《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》,《方法》规定了工业控制系统安全防护技术要求、保障要求和测试评价方法。适用于工业控制系统建设、运营、维护等。   


6月6日,国务院印发《关于加强数字政府建设的指导意见》。《意见》指出加强关键信息基础设施安全保护和网络安全等级保护,建立健全网络安全、保密监测预警和密码应用安全性评估的机制,定期开展网络安全、保密和密码应用检查,提升数字政府领域关键信息基础设施保护水平。


9月14日,全国信息安全标准化技术委员会发布《信息安全技术 网络数据分类分级要求(征求意见稿)》。《标准》主要包含了术语与定义、基本原则、数据分类框架和方法、数据分级框架、数据分级确定方法、数据分类分级实施流程共六项重要部分。提出数据按照先行业领域分类、再业务属性分类的思路进行分类,明确本行业本领域数据分级规则,并对行业领域数据进行定级。


10月12日,国家标准化管理委员会批准发布GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》,规定了关键信息基础设施运营者在识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。自2023年5月1日起施行。


10月25日,国家标准化管理委员会批准发布《工业互联网总体网络架构》。《架构》是我国工业互联网网络领域首个国家标准,围绕工业互联网网络规划、设计、建设和升级改造,规范了工业互联网工厂内、工厂外网络架构的目标架构和功能要求,提出了工业互联网网络实施框架和安全要求。


10月28日,工业和信息化部印发《网络产品安全漏洞收集平台备案管理办法》。《办法》规定,漏洞收集平台备案通过工业和信息化部网络安全威胁和漏洞信息共享平台开展,采用网上备案方式进行。办法明确,拟设立漏洞收集平台的组织或个人,应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞收集平台备案登记信息。自2023年1月1日起施行。


11月7日,工业和信息化部印发《关于促进网络安全保险规范健康发展的意见(征求意见稿)》。《意见稿》提到,建立健全网络安全保险政策标准体系,加强网络安全保险产品服务创新,强化网络安全技术赋能保险发展,促进网络安全产业需求释放,培育网络安全保险发展生态。


11月7日,国务院新闻办公室发布《携手构建网络空间命运共同体》白皮书。白皮书系统阐述了习近平总书记构建全球网络空间命运共同体的中国智慧,全面介绍了新时代推进网络空间发展和治理体系变革的中国方案,重点指明了数字化时代网络空间安全建设的发展方向。


11月9日,全国信息安全标准化技术委员会发布《信息安全技术 网络安全服务能力要求(征求意见稿)》。文件提出网络安全服务机构开展网络安全服务,应满足第5章通用要求,以及第6章中与其服务类型相对应的专项要求。面向对网络安全服务有更高要求的服务需求方,如政务部门、关键信息基础设施运营者等,网络安全服务机构开展网络安全服务时,还应满足第7章的增强要求。


11月17日,全国信息安全标准化技术委员会发布《信息安全技术 关键信息基础设施网络安全应急体系框架(征求意见稿)。文件给出了关键信息基础设施网络安全应急体系框架,包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。本文件适用于关键信息基础设施运营者建立健全网络安全应急体系、开展网络安全应急活动,也可供关键信息基础设施安全保护的其他相关方参考。


12月8日,工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)》。《办法》重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。主要内容包括七个方面:一是界定工业和信息化领域数据和数据处理者概念,明确监管范围和监管职责。二是确定数据分类分级管理、重要数据识别与备案相关要求。三是针对不同级别的数据,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节,提出相应安全管理和保护要求。四是建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制。五是明确开展数据安全监测、认证、评估的相关要求。六是规定监督检查等工作要求。七是明确相关违法违规行为的法律责任和惩罚措施。

 

工控安全领域法律法规——地方层面


1月1日,湖南省人民代表大会常务委员会通过《湖南省网络安全和信息化条例》。《条例》是我国第一部同时规范网络安全和信息化工作的省级地方性法规。规定了县级以上人民政府及有关部门应当按照谁主管谁负责、属地管理原则,落实网络安全责任制,建立健全网络安全保障体系,提升网络安全保护能力,实现网络、关键信息基础设施、重要信息系统和数据的安全可控。


2月9日,河南省人民政府印发《河南省“十四五”新型基础设施建设规划》。《规划》强化数据安全保护。加强个人信息保护,强化个人信息收集、使用、共享等环节安全管理,严格规范运用个人信息开展大数据分析的行为。


3月25日,新疆维吾尔自治区第十三届人民代表大会常务委员会第三十二次会议通过《新疆维吾尔自治区关键信息基础设施安全保护条例》,自2022年6月15日起施行。《条例》规定了安全保护原则、组织体系和工作体系,突出了网络安全等级保护制度,明确保护关键信息基础设施免受攻击、侵入、干扰和破坏的工作重点,强化监督管理和刚性约束,增强法律法规权威。


5月7日,北京经济和信息化局印发《北京市数字经济促进条例(征求意见稿)》。《条例》要求采取措施监测、防御、处置网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。 


5月24日,深圳市政务服务数据管理局和深圳市发展改革委通过《深圳市数字政府和智慧城市“十四五”发展规划》。《规划》要求建立健全数据资产、数据共享协调机制、 数据资源开发利用、数据安全保护与市场监管执法等方面的法律法规、标准规范和管理制度,创新社会治理模式,激活数据要素价值。


5月25日,江西省人民政府印发《江西省“十四五”数字经济发展规划》。《规划》要求,强化协同治理和监管机制、增强政府数字化治理能力、完善多元共治新格局、健全网络安全保障体系、强化数据安全保护。


5月27日,河北省十三届人大常委会第三十次会议审议通过《河北省数字经济促进条例》,自7月1日起施行。《条例》共九章八十一条,围绕数字经济发展的各个方面,全面发力、强化规范,加强数字基础设施建设,完善工业互联网标识解析体系,构建工业互联网平台体系,建立健全工业互联网安全保障体系,为数字经济健康发展提供强有力的法治保障。


6月1日,广州市第十五届人大常委会第六十二次会议表决通过《广州市数字经济促进条例》。《条例》要求依法保护国家秘密、商业秘密、个人信息和隐私,网信部门应当协调公安机关、政务服务数据管理等部门完善网络安全基础设施,建设网络安全综合监管平台,开展网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。 


11月25日,北京市第十五届人民代表大会常务委员会第四十五次会议通过《北京市数字经济促进条例》。《条例》提出要建立健全数据安全治理体系,完善数据分类分级保护制度,规范数据全生命周期管理,加强数据跨境流动安全管理,推动数据安全产业发展,加强个人信息保护,提升数据安全保障水平,提升防诈反诈技防水平,完善长效治理机制。


工控安全领域法律法规——行业层面


1月6日,水利部印发《关于大力推进智慧水利建设的指导意见》(以下简称《指导意见》)。《指导意见》指出,推进智慧水利建设是推动新阶段水利高质量发展的六条实施路径之一,需要按照“需求牵引、应用至上、数字赋能、提升能力”要求,以数字化、网络化、智能化为主线,以数字化场景、智慧化模拟、精准化决策为路径,以构建数字孪生流域为核心,全面推进算据、算法、算力建设,加快构建具有预报、预警、预演、预案(以下简称“四预”)功能的智慧水利体系。


2月25日,工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》。《指南》提出到2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。到2025年,形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全健康发展。


3月17日,国家能源局印发《2022年能源工作指导意见》。《意见》要求,加大能源技术装备和核心部件攻关力度,积极推进能源系统数字化智能化升级,提升能源产业链现代化水平。加强北斗系统、5G、国密算法等新技术和“互联网+安全监管”智能技术在能源领域的推广应用。推进电力应急指挥中心、态势感知平台和网络安全靶场建设,组织开展关键信息基础设施安全保护监督检查,推进大面积停电事件应急演练。


3月29日,工信部、公安部、交通运输部、应急管理部与国家市场监督管理总局联合发布《关于进一步加强新能源汽车企业安全体系建设的指导意见》。《意见》指导新能源汽车企业加快构建系统、科学、规范的安全体系,全面增强企业在安全管理机制、产品质量、运行监测、售后服务、事故响应处置、网络安全等方面的安全保障能力,提升新能源汽车安全水平,推动新能源汽车产业高质量发展。


4月16日,国家能源局印发《电力行业网络安全管理办法(修订征求意见稿)》。《办法》规定监督管理职责、电力企业职责等内容,电力行业关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责,明确一名领导班子成员作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作。


4月16日,国家能源局印发《电力行业网络安全等级保护管理办法(修订征求意见稿)》。《办法》包括等级划分与保护、等级保护的实施与管理等内容,第二级网络每两年应进行一次等级保护测评,第三级及以上网络每年应进行一次等级保护测评。


4月16日,国家能源局印发《电力可靠性管理办法(暂行)》。《办法》规定电力企业应当落实网络安全保护责任,健全网络安全组织体系,设立专门的网络安全管理及监督机构,加快各级网络安全专业人员配备;落实网络安全等级保护、关键信息基础设施安全保护和数据安全制度,加强网络安全审查、容灾备份、监测审计、态势感知、纵深防御、信任体系建设、供应链管理等工作;开展网络安全监测、风险评估和隐患排查治理,提高网络安全监测分析与应急处置能力。


6月23日,广东省深圳市七届人大常委会第十次会议表决通过《深圳经济特区智能网联汽车管理条例》。《条例》是深圳市在新兴产业领域的重要立法,也是中国首部规范智能网联汽车管理的法规,对智能网联汽车的道路测试和示范应用、准入和登记、使用管理等作了全面规定,推动产业高质量可持续发展。


8月12日,科技部、教育部等六部门联合印发《关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见》。《指导意见》提出,着力打造人工智能重大场景。围绕高端高效智能经济培育打造重大场景,围绕安全便捷智能社会建设打造重大场景,围绕高水平科研活动打造重大场景,围绕国家重大活动和重大工程打造重大场景。提升人工智能场景创新能力。强化企业场景创新主体作用,鼓励高校院所参与场景创新,培育壮大场景创新专业机构,构筑人工智能场景创新高地。


8月23日,交通运输部印发《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》。进一步规范公路水路关键信息基础设施安全保护管理,落实关于关键信息基础设施安全保护工作责任,较好地划分各级部门监管责任,运营者责任及奖惩机制,有利于推动公路水路关键信息基础设施安全保护工作法制化、规范化,推动构建交通运输主管部门依法管理、运营者实施主动防护、社会力量共同参与的综合治理体系。


9月28日,中国煤炭工业协会信息化分会四届理事会三次会议发布了煤炭行业首部网络安全领域工具书《煤炭企业网络安全工作指南》(以下简称“工作指南”)。《工作指南》针对国家网络安全政策法规、战略规划、标准规范的要求,及煤炭行业网络安全面临的形势与挑战,提出了系统化的对策、建议和具体建设方法,包含网络安全治理和管理对策、技术要求、运营要求、方案建议及煤炭企业网络安全领域典型案例。一经出版受到众多煤矿企业、科研单位和安全厂商的重点关注,为煤炭行业网络安全建设提供了重要的参考和指引。


10月17日,国家能源局印发《电力二次系统安全管理若干规定》。在本次修订中,进一步明确了调度机构的技术监督职责,建立了二次系统安全管理情况书面报告制度,将新能源(含间歇式电源)发电控制系统、直流控制保护系统等纳入电力二次系统范畴,扩展了《规定》的适用范围,对电力二次系统网络安全防护增加了新的要求,新增了加强网络安全监视与事件信息报送等要求,与国家新出台的网络安全相关法律法规进行了衔接。归并了有关发电企业的发电机励磁调速、新能源等参数管理内容,细化了电力通信设备数据配置、运行方式管理要求,增加了调度数据网参数配置管理和备案内容。


11月16日,国家能源局印发《电力行业网络安全管理办法》。《办法》提到,电力企业是本单位网络安全的责任主体,负责本单位的网络安全工作;电力调度机构负责直接调度范围内的下一级电力调度机构、集控中心、变电站(换流站)、发电厂(站)等各类机构涉网部分的电力监控系统安全防护的技术监督;行业部门在各自职责范围内依法依规对电力企业网络安全工作进行监督检查,定期组织开展电力行业关键信息基础设施网络安全检查检测。


11月16日,国家能源局印发《电力行业网络安全等级保护管理办法》。《办法》根据电力行业网络在国家安全、经济建设、社会生活中的重要程度,将电力行业网络划分为五个安全保护等级;针对网络安全检查发现的问题,电力企业应当按照网络安全等级保护管理规范和技术标准组织整改。规范电力行业网络安全等级保护管理,提高电力行业网络安全保障能力和水平。


     结 语


工业控制系统安全作为国家网络和信息安全的重要组成部分,是推动中国制造2025、制造业与互联网融合发展的基础保障。工业控制系统安全相关法律法规的出台,为建设工业防护体系、工业信息化、智能化指明了方向,为工业控制系统安全领域的技术发展和应用深化提供了指导和规范,让有网络安全治理有章可循,网络强国建设有法可依。工业企业更要严格落实相关法律法规,提升工业控制系统安全保障能力,牢筑工业网络空间安全防线,护航制造强国和网络强国战略实施。



      来源:GoUpSec、珞安科技



原文始发于微信公众号(网络安全与数据治理):回顾 | 2022年工控安全事件、政策、法规、标准汇总

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月1日15:28:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  回顾 | 2022年工控安全事件、政策、法规、标准汇总 http://cn-sec.com/archives/1489749.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: