全文共2285字,阅读大约需4分钟。
近日,工业和信息化部印发了《工业控制系统网络安全防护指南》(以下简称《防护指南》),提出了4个方面33项防护指导,对于全面强化新时期工业控制系统网络安全的实践防护能力,作出了系统指引。《防护指南》的发布将有助于进一步指导相关企业提升工控安全防护水平,切实夯实新型工业化发展的安全根基。
我们结合学习研究,从政策脉络、内容特点、产业影响等方面对《防护指南》加以分析探讨。
一
前世今生:政策发展脉络回顾
从政策发展演变的脉络和体系来看,工控系统安全管理是我国工业领域网络安全管理工作的重要起点。而《防护指南》是我国工控网络安全法规制度的有机组成部分,其与相关政策、法规共同承担着推进提升我国工控网络安全保障体系和能力的重要使命。
为什么是工控安全?早在2010年,“震网”(Stuxnet)病毒爆发,不仅相继感染了全球超过20万台电脑、摧毁了伊朗浓缩铀工厂的大量离心机,更为重要的一点是,它首次让全球深刻认识到了计算机病毒对物理世界基础设施的威胁和破坏已经成为现实,“未来已来”!
政策起步阶段。有鉴于此,我国于2011年发布了《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号),开启了工控系统网络安全保护制度建设的序幕。此后,国家相关主管部门又相继发布了《工业控制系统信息安全防护指南》(2016)、《工业控制系统信息安全防护能力评估工作管理办法》(2017)、《工业控制系统信息安全行动计划(2018-2020年)》(2017)、《工业控制系统信息安全事件应急工作管理指南》(2017)等,持续完善着工控安全管理制度体系。
政策融合发展阶段。2018年前后,我国将工业互联网发展正式纳入国家战略发展体系中,实现了网络强国战略和制造强国战略的有机衔接。随着《国家制造强国建设领导小组关于设立工业互联网专项工作组的通知》《工业互联网发展行动计划(2018-2020年)》等重磅文件的发布,工控系统网络安全管理工作也迎来了与工业互联网融合发展的新阶段。
二
调整变化:管理思路和内容侧重
此次发布的《防护指南》是在《工业控制系统信息安全防护指南》(2016)基础上发展完善而来。基于对这两个政策文件的比较,我们或许能够从管理思路、内容重点等方面对该文件有更深入理解认识。
(一)管理思路上的“三个调整”
一是《防护指南》适用的对象范围有所收窄,不再将部分工控安全服务企业作为文件的适用对象,即:不再包括规划、设计、建设、评估等类别企业。
二是对于工控企业需要采取的安全防护措施大类区分别更加明确,相关细项指导也更加具体。《防护指南》以4大方面、33项指导性安全防护基线要求来指导工控安全,不仅更易于企业主体的实践操作,也更便于相关主管部门提高监测和指导工作的针对性。
三是突出了企业的主体责任,进一步细化和明确了“谁运营谁负责、谁主管谁负责”原则的落地要求。将政府主管部门所承担的“工控安全管理机制、安全协调小组”等管理工作回归到保障和服务支撑的应有定位。
(二)管理内容上的“四个加强”
一是加强了与法规要求的衔接和更新。
如将数据纳入到资产管理的范畴,加强了工控系统安全制度与数据要素相关制度的衔接,初步建立了工控系统安全与数据要素管理机制的协同;再如将文件名称的“信息安全”改为“网络安全”,从而保持工控系统安全与网络安全法规体系的一致性。
二是加强了“安全管理”类安全指导。
不仅对原有要求进行了具体明确,如在供应链安全的指导方面,更加突出了对于主体权利义务划分、相关产品资质合规等实质性要求;而且通过在安全管理项下增加“宣传教育”要求,进一步突出了安全意识在工控系统安全管理中的核心要素地位。
三是加强了对“运营安全”类安全指导。
尤其是大幅增加了运营安全相关要求的占比,还将作为工控安全重要基础工作的“漏洞管理”纳入指南体系。
四是加强了对新技术新应用与工控系统融合发展的安全指导。
如对于“上云安全”作出专条陈述,不仅响应“上云用数赋智”的战略性要求,也将工控安全进一步置于工业互联网发展的整体体系中予以统筹安排。
三
影响分析:用户和供应商何去何从
《防护指南》对于工控系统安全相关主体发展而言,至少会在两个层面带来较为切实的影响。
首先是对工控系统使用、运营企业的影响,可称为“用户侧”影响。因《防护指南》的最大出发点是帮助企业更好提升其工控系统安全保护能力和水平,且当前企业大多也已按照国家此前已发布的工控安全相关制度要求开展了一定的基本保护工作。所以,用户侧后续的重点是密切结合《防护指南》的主要调整变化,进一步完善自身工控系统保护能力。重点关注点包括:建立健全企业自身的工控安全管理制度、明确责任人和责任部门,强化安全供应链相关方权利义务划分,持续加强企业工控安全培训机制和安全意识,建立漏洞排查机制、持续开展工控系统漏洞比对监测工作等等。
其次是对工控安全服务机构和供应商的影响,可称为“服务侧”影响。总体来看,《防护指南》为相关服务机构和供应商指明了市场化导向和潜在市场机会。一方面,主管部门向服务指导定位职能的回归,为工控企业自主选择市场化专业服务提供了广阔空间;另一方面,《防护指南》内容的体系化和具体化,也为服务机构、供应商的细分市场机会提供了明确参照,如工控系统安全运营中心,工控系统安全规划、设计、建设,工控系统安全评估,工控系统安全培训和演练、工控系统资产管理服务等;与此同时,主管部门下一步拟组织开展的“工业控制系统网络安全防护能力评估试点”工作、拟制订的“重要工业控制系统的界定方法、判定规则”重要文件等,也都是工控系统安全相关服务机构和供应商需要优先关注的内容。
《工业控制系统网络安全防护指南》进一步健全了国家工业网络安全法规政策体系,也反映了国家在推进工业网络安全方面的工作理念转变、工作模式创新、以及工作定位的持续优化。绿盟科技多年来深耕网络安全并优先布局了工业领域网络安全等重点领域,形成了涵盖工业网络安全监测管理平台、工控系统安全检查、工业安全隔离系统、工业审计系统、工业入侵检测系统、安全评估服务等在内的工业网络安全产品服务和解决方案。希望借助我们的专业产品、技术和服务能力,为提升企业工控安全防护水平、夯实新型工业化发展安全根基持续贡献力量。
原文始发于微信公众号(绿盟科技):简析《工业控制系统网络安全防护指南》
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论