眾所周知�,工業安全作為國家網絡和信息安全的重要組成部分�,是推動中國制造2025、制造業與互聯網融合發展的基礎保障。
隨著互聯網在工業領域的不斷滲透,以及智能設備在各領域的廣泛使用�,工業控制系統的脆弱性正逐漸暴露出來:從2010年“震網”病毒攻擊伊朗科工業控制系統開始�,工業控制系統逐漸打破了以往的封閉性�,這使得工業控制系統也必將面臨黑客入侵等傳統的信息安全威脅。如今,黑客從計算機為跳板的攻擊正逐漸發展到直接攻擊控制系統上����,工控入侵從利用未公開漏洞的高難度攻擊方式延伸到常規手段組合式攻擊��,甚至繞過工控底層知識的壁壘。
造成這種趨勢一方面是工控產品更新換代周期長�,制造企業的系統大多數已經運行了十幾年還在服役��,不像現在的傳統信息產業,三兩年就會更換硬件設備����。工控系統以“可靠性”�、“穩定性”為首要需求且采用大量的私有協議����,軟件難以及時升級、系統補丁兼容性差�、發布周期長等問題�,使得企業不具備及時處理嚴重威脅漏洞的能力����。
另一方面,以云計算、大數據、人工智能為代表的新一輪科技革命正在孕育興起��,并以前所未有的速度和方式影響和改變著工業信息化進程��。工業大數據、制造企業上云�、工業互聯網為首的轉型升級模式�,促使越來越多的大型企業采用多混合云的IT環境�,將自身非核心業務逐漸遷至云端,造成了制造企業業務應用的不斷增長�。不法分子則依此危機�,利用網絡漏洞以及在線攻擊方式�,例如通過成本更低的自動化工具展開撞庫、拖庫����、未知漏洞等攻擊�,竊取企業的關鍵數據�。
眾所周知,工業安全作為國家網絡和信息安全的重要組成部分����,是推動中國制造2025��、制造業與互聯網融合發展的基礎保障。面對逐步開放和互聯的工業控制網絡,企業需要審查自身安全漏洞,建立更新的網絡防護體系����。因此����,國家出臺了一系列法律法規如《網絡安全法》等指導制造企業進行安全防護工作��,提升企業的安全防護能力��,這其中就包括:
信息安全等級保護:在《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)中首次提出“計算機信息系統實行安全等級保護”概念后��,2007年公安部等四部委共同制定《信息安全等級保護管理辦法》(公通字[2007]43號),將企業信息系統的安全保護等級分為五級,出臺《信息安全等級保護基本要求》(GB/T22239-2008)明確對于各等級信息系統的安全保護基本要求�。今年6月27日����,公安部發布了《網絡安全等級保護條例(征求意見稿)》��,而這一新規也被業界普遍稱為“網絡安全等級保護2.0”。
工業控制系統信息安全防護指南:為貫徹落實《國務院關于深化制造業與互聯網融合發展的指導意見》(國發〔2016〕28號)文件精神�,應對新時期工控安全形勢�,提升工業企業工控安全防護水平����,2016年10月,工信部印發了《工業控制系統信息安全防護指南》����,指導工業企業開展工控安全防護工作�。
工信部“一網一庫三平臺”的要求:今年1月��,工信部印發了《工業控制系統信息安全行動計劃(2018—2020年)》加快我國工業控制系統信息安全保障體系建設����,提升工業企業工業控制系統信息安全防護能力��,促進工業信息安全產業發展��。提出到2020年建成工控安全管理工作體系,全系統��、全行業工控安全意識普遍增強��,建成“一網一庫三平臺”�。其中“一網”是指全國工控安全在線監測網絡�、“一庫”是指工控安全應急資源庫、“三平臺”是指工控安全仿真測試平臺����、信息共享平臺和信息通報平臺����。
關鍵信息技術設施安全防護條例:2017年7月11日����,網信辦發布了《關鍵信息基礎設施安全保護條例(征求意見稿)》����。關鍵信息基礎設施(CII)安全保護制度作為《網絡安全法》建立的若干信息網絡安全制度中的核心和重中之重,早在2013年國家信息網絡立法規劃中就被認定為整個信息網絡立法的最基礎層?�!侗Wo條例》對CII范圍����、運營者安全保護義務、產品和服務安全�、監測預警����、應急處置和檢測評估等一系列事項進行了詳細的規定�,構建了CII安全保護制度的具體框架。
值得一提的是����,由于制造業覆蓋行業眾多����,針對不同行業而言企業信息安全的防護重點與手段也不盡相同����,因此國家和行業相關部門也先后出臺了各自領域的安全防護標準化文件,例如為保障電力系統安全穩定運行�,建立和完善電網�、電廠計算機監控系統及調度數據網絡的安全防護體系��,先后發布了《電網和電廠計算機監控系統及調度數據網絡安全防護規定》(中華人民共和國國家經濟貿易委員會令第30號)����、《電力二次系統安全防護規定》(國家電力監管委員會令第5號)�、《電力監控系統安全防護規定》(中華人民共和國國家發展和改革委員會令第14號)、《電力監控系統安全防護總體方案》(國能安全【2015】36號)等。
對標這些合規性要求����,企業可以理清究竟自身所處工控安全到底存在什么問題�、有什么缺陷和風險����、需要提高到什么樣的水平。此外��,一些重大專項例如工信部發布的“2018年工業互聯網創新發展工程擬支持項目”和“2018年智能制造綜合標準化與新模式應用擬立項項目”中��,也對申報企業的工業安全作出了具體的要求�,讓工業安全合規成為企業邁向智能制造不可或缺的環節�。
返回首頁 
網站客服
粵公網安備 44030402000946號