近日,工业和信息化部印发《工业控制系统网络安全防护指南》。该指南的制定旨在适应新时期工业控制系统网络安全形势,进一步指导企业提升工控安全防护水平,夯实新型工业化发展安全根基。
适用范围及防护对象
使用、运营工业控制系统的企业适用本指南。防护对象包括以下2类:
1. 工业控制系统
工业控制系统指在工业部门和关键基础设施中应用于各种工业生产的控制系统,通常被广泛应用于钢铁、有色、化工、装备制造等行业领域,对国家经济发展、社会稳定和国家安全具有重要意义。
2. 被网络攻击后可直接或间接影响生产运行的其他设备和系统。
随着IT和OT的高度融合,越来越多的工业控制系统与MES、ERP等管理信息系统之间进行互联互通,这些管理信息系统一旦被网络攻击后,极有可能会对工业控制系统产生直接或间接影响,从而影响生产运行,因此,工业控制系统网络安全防护体系建设也应同时考虑到与工业控制系统存在关联的其他设备和系统的安全防护。
防护指南对比
新版旧版防护指南对照图
防护要点对比分析
安全管理
1
资产管理
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
1. 全面梳理可编程逻辑控制器(PLC)、分布式控制系统(DCS)、数据采集与监视控制系统(SCADA)等典型工业控制系统以及相关设备、软件、数据等资产,明确资产管理责任部门和责任人,建立工业控制系统资产清单,并根据资产状态变化及时更新。定期开展工业控制系统资产核查,内容包括但不限于系统配置、权限分配、日志审计、病毒查杀、数据备份、设备运行状态等情况。 |
八、资产安全 (一)建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置规则。 |
|
2. 根据承载业务的重要性、规模,以及发生网络安全事件的危害程度等因素,建立重要工业控制系统清单并定期更新,实施重点保护。重要工业控制系统相关的关键工业主机、网络设备、控制设备等,应实施冗余备份。 |
八、资产安全 (二)对关键主机设备、网络设备、控制组件等进行冗余配置。 |
|
对比说明 |
|
|
1. 新版指南新增“定期开展工业控制系统资产核查”的防护要求,强化对工业控制系统资产的安全管理要求。 2. 新版指南中新增“建立重要工业控制系统清单并定期更新,实施重点保护”的安全要求,指导工业企业强化重要工业控制系统安全保护措施,明确安全防护重心。 |
|
应对措施
工业企业应结合资产探测、脆弱性扫描等主动、被动技术手段,对资产信息进行梳理和识别,并建立资产清单,定期核查资产并进行评估,形成资产安全态势。落实资产管理责任部门和责任人,对数据库、文件、系统等进行备份管理。
对标产品及服务
工业漏洞扫描系统、工业安全检查工具箱、工业安全态势系统、安全风险评估、工业安全咨询服务。
2
配置管理
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
3. 强化账户及口令管理,避免使用默认口令或弱口令,定期更新口令。遵循最小授权原则,合理设置账户权限,禁用不必要的系统默认账户和管理员账户,及时清理过期账户。 |
五、身份认证 (二)合理分类设置账户权限,以最小特权原则分配账户权限。 (三)强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认口令或弱口令,定期更新口令。 |
|
4. 建立工业控制系统安全配置清单、安全防护设备策略配置清单。定期开展配置清单审计,及时根据安全防护需求变化调整配置,重大配置变更实施前进行严格安全测试,测试通过后方可实施变更。 |
二、配置和补丁管理 (一)做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。 (二)对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。 |
|
对比说明 |
|
|
1. 新版指南增加了“禁用不必要的系统默认账户和管理员账户,及时清理过期账户”的安全要求,细化了账户管理措施。 2. 新版指南新增“及时根据安全防护需求变化调整配置”的防护要求,更贴合动态防护安全理念。 |
|
应对措施
工业企业应建立安全配置清单,定期开展安全基线核查工作,对账户及口令管理进行配置核查,及时清理过期账户。当发生重大配置变更时,应在离线环境中对配置变更进行安全性验证后方可实施。
对标产品及服务
基线管理系统、安全基线核查服务。
3
供应链安全
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
5. 与工业控制系统厂商、云服务商、安全服务商等供应商签订的协议中,应明确各方需履行的安全相关责任和义务,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。 |
十、供应链管理 (一)在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。 (二)以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。 |
|
6. 工业控制系统使用纳入网络关键设备目录的PLC等设备时,应使用具备资格的机构安全认证合格或者安全检测符合要求的设备。 |
/ |
|
对比说明 |
|
|
新版指南简化了供应商的选择要求,并细化了供应商应履行的安全相关责任和义务内容。结合新型工业化背景发展趋势,对于供应商类型,较旧版指南,新版指南更加明确了工业控制系统网络安全涉及的供应商厂商的类型,包括工业控制系统厂、云服务厂商与安全服务厂商等。 |
|
应对措施
建议建立供应链安全管理制度,包含供应链安全选择的原则、标准、供应商协议签订注意事项等内容,设置相应的供应链安全管理部门和人员进行供应链安全管理,明确供应商的相关责任和义务,加强供应链的安全保障。同时应对PLC等设备进行脆弱性扫描。
对标产品及服务
工业漏扫系统、工业安全咨询服务。
4
宣传教育
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
7.定期开展工业控制系统网络安全相关法律法规、政策标准宣传教育,增强企业人员网络安全意识。针对工业控制系统和网络相关运维人员,定期开展工控安全专业技能培训及考核。 |
/ |
|
对比说明 |
|
|
新版指南中增加了宣传教育的内容,要求定期开展工业控制系统网络安全意识宣传教育、专业技能培训及考核,强调了企业人员具备网络安全意识与工业控制系统相关运维人员具备专业技能的重要性。 |
|
应对措施
建立工业控制系统网络安全教育培训制度,明确教育培训开展的周期、内容、参加的人员等,并规定相应的奖惩机制,通过落实工业控制系统网络安全教育培训制度,增强企业人员的网络安全意识与专业技能水平。
对标产品及服务
工业信息安全教育培训服务
技术防护
1
主机和终端安全
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
8. 在工程师站、操作员站、工业数据库服务器等主机上部署防病毒软件,定期进行病毒库升级和查杀,防止勒索软件等恶意软件传播。对具备存储功能的介质,在其接入工业主机前,应进行病毒、木马等恶意代码查杀。 |
一、安全软件选择与管理 (一)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。 (二)建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。 |
|
9. 主机可采用应用软件白名单技术,只允许部署运行经企业授权和安全评估的应用软件,并有计划的实施操作系统、数据库等系统软件和重要应用软件升级。 |
一、安全软件选择与管理 (一)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。 |
|
10. 拆除或封闭工业主机上不必要的通用串行总线(USB)、光驱、无线等外部设备接口,关闭不必要的网络服务端口。若确需使用外部设备,应进行严格访问控制。 |
四、物理和环境安全防护 (二)拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用,通过主机外设安全管理技术手段实施严格访问控制。 |
|
11. 对工业主机、工业智能终端设备(控制设备、智能仪表等)、网络设备(工业交换机、工业路由器等)的访问实施用户身份鉴别,关键主机或终端的访问采用双因子认证。 |
四、物理和环境安全防护 (一)对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。 五、身份认证 (一)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。 |
|
对比说明 |
|
|
1. 新版指南针对安装了防病毒软件的主机,新增了“定期进行病毒库升级和查杀”的安全要求;针对应用软件白名单技术的主机,新增了“有计划的实施操作系统、数据库等系统软件和重要应用软件升级”的安全要求。 2. 新版指南细化了主机和终端实施身份鉴别的设备类型,增加了“关键主机或终端的访问采用双因子认证”的安全要求,强化了对访问关键主机或终端用户的身份验证能力。 |
|
应对措施
工业企业应根据实际情况,通过安装防病毒软件或者应用软件白名单技术,增强主机网络安全防御能力。通过拆除或封闭工业主机上不必要的外设接口及端口减少工业主机被感染的风险,实施外设管控措施。对关键主机或终端的访问采用双因子认证方法,加强对访问者身份认证的安全性。
对标产品及服务
EDR(终端威胁防御系统)、工业主机卫士系统、安全U盘、双因子认证措施(数字证书、Ukey、动态令牌、生物识别)。
2
架构与边界安全
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
12. 根据承载业务特点、业务规模、影响工业生产的重要程度等因素,对工业以太网、工业无线网络等组成的工业控制网络实施分区分域管理,部署工业防火墙、网闸等设备实现域间横向隔离。当工业控制网络与企业管理网或互联网连通时,实施网间纵向防护,并对网间行为开展安全审计。设备接入工业控制网络时应进行身份认证。 |
三、边界安全防护 (一)分离工业控制系统的开发、测试和生产环境。 (二)通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。 (三)通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。 五、身份认证 (一)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。 六、远程访问安全 (一)原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。 (二)确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。 (三)确需远程维护的,采用虚拟专用网络(VPN)等远程接入方式进行。 (四)保留工业控制系统的相关访问日志,并对操作过程进行安全审计。 七、安全监测和应急预案演练 (二)在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。 |
|
13. 应用第五代移动通信技术(5G)、无线局域网技术(Wi-Fi)等无线通信技术组网时,制定严格的网络访问控制策略,对无线接入设备采用身份认证机制,对无线访问接入点定期审计,关闭无线接入公开信息(SSID)广播,避免设备违规接入。 |
|
|
14. 严格远程访问控制,禁止工业控制系统面向互联网开通不必要的超文本传输协议(HTTP)、文件传输协议(FTP)、Internet远程登录协议(Telnet)、远程桌面协议(RDP)等高风险通用网络服务,对必要开通的网络服务采取安全接入代理等技术进行用户身份认证和应用鉴权。在远程维护时,使用互联网安全协议(IPsec)、安全套接字协议(SSL)等协议构建安全网络通道(如虚拟专用网络(VPN)),并严格限制访问范围和授权时间,开展日志留存和审计。 |
|
|
15. 在工业控制系统中使用加密协议和算法时应符合相关法律法规要求,鼓励优先采用商用密码,实现加密网络通信、设备身份认证和数据安全传输。 |
|
|
对比说明 |
|
|
1. 新版指南针对工业控制系统边界安全提出了分区分域管理、隔离防护、行为审计等安全要求,从多个维度指导工业企业建设边界安全防护能力。 2. 新版指南未提出在重要工业控制设备边界部署边界防护设备的要求,更符合工业企业“以保障业务可用性为防护重心”的安全理念,避免由于边界防护设备故障或性能问题对重要工业控制设备运行产生影响。 3. 新版指南增加了对远程访问过程的安全防护技术要求,提出应“采取安全接入代理等技术”,对必要开通的网络服务进行用户身份认证和应用鉴权。以及远程维护过程“开展日志留存和审计”的安全要求。 |
|
应对措施
工业企业应合理划分工业控制系统安全区域,部署工业防火墙、工业网闸等设备实现区域间的隔离防护,并遵循最小权限原则实施严格的访问控制措施,对网间行为进行安全审计,对无线网络和远程访问、远程运维过程加强身份认证管理。
对标产品及服务
工业防火墙系统、工业网闸系统、工业安全审计系统、无线入侵防御系统、工业运维安全审计系统、VPN系统、网络安全准入系统。
3
上云安全
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
16. 工业云平台为企业自建时,利用用户身份鉴别、访问控制、安全通信、入侵防范等技术做好安全防护,有效阻止非法操作、网络攻击等行为。 |
五、身份认证 (一)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。 |
|
17. 工业设备上云时,对上云设备实施严格标识管理,设备在接入工业云平台时采用双向身份认证,禁止未标识设备接入工业云平台。业务系统上云时,应确保不同业务系统运行环境的安全隔离。 |
/ |
|
对比说明 |
|
|
新版指南从身份鉴别、访问控制、安全通信、入侵防范、上云设备管理等多个维度,针对工业云平台安全防护提出了具体安全要求,在防护范围和防护强度上均超出了旧版相关要求。 |
|
应对措施
工业企业自建工业云平台时,应通过部署云安全资源池实现工业云平台安全防护,对接入工业云平台的工业设备进行严格的双向身份认证和接入管控,对接入云平台的业务系统进行安全隔离防护,有效防范工业云平台面临的非法操作、网络攻击等安全威胁。
对标产品及服务
云安全资源池系统(云防火墙、云IPS、云VPN、云工业防火墙、云工业入侵检测与审计系统、云堡垒机等)、数字证书系统、VPN系统。
4
应用安全
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
18. 访问制造执行系统(MES)、组态软件和工业数据库等应用服务时,应进行用户身份认证。访问关键应用服务时,采用双因子认证,并严格限制访问范围和授权时间。 |
五、身份认证 (一)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。 |
|
19. 工业企业自主研发的工业控制系统相关软件,应通过企业自行或委托第三方机构开展的安全性测试,测试合格后方可上线使用。 |
/ |
|
对比说明 |
|
|
1. 新版指南与旧版指南在应用服务方面的要求内容无明显差异,均提出了“用户访问关键应用服务时,采用双因子认证”的防护要点,强化对访问关键应用服务的用户的身份验证能力。 2. 新版指南中新增对自主研发的工业控制系统相关软件进行安全性测试的要求。 |
|
应对措施
工业企业对访问关键应用服务的用户,应采用双因子认证方式加强防护。工业自研软件应通过脆弱性检测评估或委托第三方机构开展安全性测试等方式。
对标产品及服务
工业运维审计系统、工业防火墙系统、工业漏扫系统、双因子认证措施(数字证书、Ukey、动态令牌、生物识别)、代码审计服务。
5
系统数据安全
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
20. 定期梳理工业控制系统运行产生的数据,结合业务实际,开展数据分类分级,识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、公开等环节,使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。 |
九、数据安全 (一)对静态存储和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。 (二)定期备份关键业务数据。 (三)对测试数据进行保护。 五、身份认证 (四)加强对身份认证证书信息保护力度,禁止在不同系统和网络环境下共享。 |
|
21. 法律、行政法规有境内存储要求的重要数据和核心数据,应在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。 |
/ |
|
对比说明 |
|
|
新版指南明确了工业控制系统应围绕数据收集、存储、使用、加工、传输、提供、公开等环节开展数据分类分级安全防护的安全要求,更进一步强调了数据全生命周期安全防护要求。 |
|
应对措施
工业企业应依据《工业和信息化领域数据安全管理办法(试行)》等政策法规要求,开展数据分类分级管理工作,对数据收集、存储、使用、加工、传输、提供、公开等环节进行安全防护,对出境数据依法依规开展数据出境安全评估工作。
对标产品及服务
数据安全管理平台、VPN系统、工业数据安全审计系统、工业数据库防火墙系统、容灾备份一体机、数据安全治理服务。
安全运营
1
监测预警
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
22. 在工业控制网络部署监测审计相关设备或平台,在不影响系统稳定运行的前提下,及时发现和预警系统漏洞、恶意软件、网络攻击、网络侵入等安全风险。 |
七、安全监测和应急预案演练 (一)在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。 |
|
23. 在工业控制网络与企业管理网或互联网的边界,可采用工业控制系统蜜罐等威胁诱捕技术,捕获网络攻击行为,提升主动防御能力。 |
/ |
|
对比说明 |
|
|
新版指南中细化了监测预警的力度,增加了针对系统漏洞和恶意软件的风险防护要求。同时新增了针对控制系统的主动防御能力要求。 |
|
应对措施
要针对工业控制系统中的出现的未知入侵行为进行快速设定策略。同时搭建一套以蜜罐系统为主的工业仿真系统主动诱导攻击,记录攻击细节并产生告警,可定位攻击源,弥补网络防护体系短板,提升主动防御能力。
对标产品及服务
工业网络安全监测审计系统、工业入侵系统、工业漏扫系统、工业蜜罐系统、工业安全态势系统。
2
运营中心
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
24.有条件的企业可建立工业控制系统网络安全运营中心,利用安全编排自动化与响应(SOAR)等技术,实现安全设备的统一管理和策略配置,全面监测网络安全威胁,提升风险隐患集中排查和事件快速响应能力。 |
/ |
|
对比说明 |
|
|
新版指南中新增了对安全运营中心的要求,并提到了SOAR和统一管理关键技术要求。 |
|
应对措施
从措施的落地性方面考虑,工业生产业务连续性强,采用安全编排自动化与响应过程出现的误报威胁事件易对业务产生中断问题,造成生产事故。因此,建议在安全态势运营中,对采用安全编排自动化与响应技术措施时,结合人为判断参与到对威胁的处置中,从而实时态势感知、统一管理、及时应急处置等安全目标,提高工业企业风险发现能力,加快风险解决速度。
对标产品及服务
工业安全态势系统、安全运营服务。
3
应急处置
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
25. 制定工控安全事件应急预案,明确报告和处置流程,根据实际情况适时进行评估和修订,定期开展应急演练。当发生工控安全事件时,应立即启动应急预案,采取紧急处置措施,及时稳妥处理安全事件。 |
七、安全监测和应急预案演练 (三)制定工控安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,应立即采取紧急防护措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证。 (四)定期对工业控制系统的应急响应预案进行演练,必要时对应急响应预案进行修订。 |
|
26. 重要设备、平台、系统访问和操作日志留存时间不少于六个月,并定期对日志备份,便于开展事后溯源取证。 |
/ |
|
27. 对重要系统应用和数据定期开展备份及恢复测试,确保紧急时工业控制系统在可接受的时间范围内恢复正常运行。 |
/ |
|
对比说明 |
|
|
新版指南中增加了对重要系统日志留存时间不少于六个月的要求,以及定期针对重要系统展开备份及恢复测试的安全要求。 |
|
应对措施
制定应急管理制度、应急预案、留存日志、系统备份等手段。定期进行应急演练。针对重要设备、平台、系统访问和操作日志留存时间不少于六个月。
对标产品及服务
工业日志审计系统、容灾备份一体机、工业安全咨询服务。
4
安全评估
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
28. 新建或升级工业控制系统上线前、工业控制网络与企业管理网或互联网连接前,应开展安全风险评估。 |
/ |
|
29. 对于重要工业控制系统,企业应自行或委托第三方专业机构每年至少开展一次工控安全防护能力相关评估。 |
/ |
|
对比说明 |
|
|
新版指南提出了“新增系统上线前开展风险评估服务、每年至少开展一次安全防护能力评估”的安全要求。 |
|
应对措施
依托专业的第三方团队,在系统上线前进行一次风险评估,并根据系统重要程度定期(每年一次/每半年一次/每季度一次)进行安全评估服务安全评估服务。
对标产品及服务
工业安全风险评估服务。
5
漏洞管理
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
30. 密切关注工业和信息化部网络安全威胁和漏洞信息共享平台等重大工控安全漏洞及其补丁程序发布,及时采取升级措施,短期内无法升级的,应开展针对性安全加固。 |
二、配置和补丁管理 (三)密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。 |
|
31. 对重要工业控制系统定期开展漏洞排查,发现重大安全漏洞时,对补丁程序或加固措施测试验证后,方可实施补丁升级或加固。 |
/ |
|
对比说明 |
|
|
新版指南细化了漏洞和补丁升级的管理措施,对于短期内无法进行升级的工业控制系统,应采取针对性安全加固措施,防范漏洞引发的安全风险。 |
|
应对措施
建议采用原理扫描、模糊扫描、登录扫描、静态扫描、分离式扫描、串口扫描等多种技术手段。全方位、高效的检测生产网络中的各类工业资产脆弱性风险以及配置合规性情况。并针对补丁进行离线测试后进行漏洞修复。如存在无法修复的情况应进行其它的安全加固手段。
对标产品及服务
工业安全加固服务、工业漏扫系统、工业脆弱性扫描服务。
责任落实
|
《工业控制系统网络安全防护指南》 (新版) |
《工业控制系统信息安全防护指南》 (旧版) |
|
32. 工业企业承担本企业工控安全主体责任,建立工控安全管理制度,明确责任人和责任部门,按照“谁运营谁负责、谁主管谁负责”的原则落实工控安全保护责任。 |
十一、落实责任 通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施。 |
|
33. 强化企业资源保障力度,确保安全防护措施与工业控制系统同步规划、同步建设、同步使用。 |
/ |
|
对比说明 |
|
|
新版指南提出“确保安全防护措施与工业控制系统同步规划、同步建设、同步使用”的三同步建设原则,指导工业企业强化工业控制系统安全防护措施建设力度。 |
|
应对措施
应构建工业信息安全管理制度,制定企业安全标准,健全相关企业制度。
对标产品及服务
工业安全咨询服务。
· 对标产品及服务一览表 ·
|
大类 |
小类 |
对标产品及服务 |
|
一、 安全管理 |
(一) 资产管理 |
工业漏洞扫描系统、工业安全检查工具箱、工业安全态势系统、安全风险评估、工业安全咨询服务 |
|
(二) 配置管理 |
基线管理系统、安全基线核查服务 |
|
|
(三) 供应链安全 |
工业漏扫系统、工业安全咨询服务 |
|
|
(四) 宣传教育 |
工业信息安全教育培训服务 |
|
|
二、 技术防护 |
(一) 主机和终端安全 |
EDR(终端威胁防御系统)、工业主机卫士系统、安全U盘、双因子认证措施(数字证书、Ukey、动态令牌、生物识别) |
|
(二) 架构与边界安全 |
工业防火墙系统、工业网闸系统、工业安全审计系统、无线入侵防御系统、工业运维安全审计系统、VPN系统、网络安全准入系统 |
|
|
(三) 上云安全 |
云安全资源池系统(云防火墙、云IPS、云VPN、云工业防火墙、云工业入侵检测与审计系统、云堡垒机等)、数字证书系统、VPN系统。 |
|
|
(四) 应用安全 |
工业运维审计系统、工业防火墙系统、工业漏扫系统、双因子认证措施(数字证书、Ukey、动态令牌、生物识别)、代码审计服务 |
|
|
(五) 系统数据安全 |
数据安全管理平台、VPN系统、工业数据安全审计系统、工业数据库防火墙系统、容灾备份一体机、数据安全治理服务 |
|
|
三、 安全运营 |
(一) 监测预警 |
采用镜像扫描工具,对容器节点和镜像仓库中的容器镜像进行恶意代码扫描。 |
|
(二) 运营中心 |
采用容器运行时恶意代码监测工具,对容器运行时产生的恶意代码进行检测并拦截。 |
|
|
(三) 应急处置 |
工业日志审计系统、容灾备份一体机、工业安全咨询服务 |
|
|
(四) 安全评估 |
工业安全风险评估服务 |
|
|
(五) 漏洞管理 |
工业安全加固服务、工业漏扫系统、工业脆弱性扫描服务 |
|
|
四、 责任落实 |
/ |
工业安全咨询服务 |
原文始发于微信公众号(天融信):一文详解《工业控制系统网络安全防护指南》
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论