近年来,我国在工控安全领域的政策法规建设不断完善,合规监管成为重点监管之一工控安防市场发展的主要驱动因素。工控安全领域的合规要求包括国家法律、行业规范要求、行业标准要求。工业生产企业应严格按照相关安全合规要求,开展工控安全规划建设。工控安全法规政策结合我国的工控安全法规政策主要包括国家、行业、行业三个层面:国家层面,工控安全法规大多是通过具体的法律法规,要求从管理角度看工业控制。制造商在信息化过程中需要注意的事项。1、2017年,我国颁布了《网络安全法》《中华人民共和国网络安全法》,标志着我国网络安全建设有法可依。《网络安全法》中,将关键信息基础设施单独列为一个版块,体现了我国对关键信息基础设施的重视。工业网络和工业系统事关国家安全、国计民生和公共利益,被视为关键信息基础设施的一部分。2.《数据安全法》和《个人信息保护法》?和《中华人民共和国个人信息保护法》,对关键信息基础设施运行过程中产生的业务数据、个人隐私数据、运营数据等做出详细的保护规定。3.网络安全等级保护体系2.02019年,网络安全等级保护体系2.0标准正式发布实施。在《GBT22239-2019信息安全技术网络安全等级保护基本要求》中,除了通用的安全需求外,还提出了工控系统的安全扩展需求。通过分析OT网络与IT网络的差异,进行具体的安全防护要求。MSL2.0的安全扩展需求主要针对生产管理层、过程监控层、现场控制层和现场设备层。其中,生产管理层和过程监控层注重网络通信和网络隔离的要求。现场控制层和现场设备层作为OT网络的主体,包含了从设备到资产再到网络通信的全方位安全需求。4、2021年9月1日,《关键信息基础设施安全保护条例》(以下简称《条例》)施行。明确了国家网信部门的协调,公安部的监管,各级人民政府和各行业主管部门的配合。监管制度。《条例》在《条例》中细化了对关键信息基础设施的要求。《条例》更注重架构的搭建,这对工控企业的基本能力有要求,明确达不到要求的相应处罚。这些要求和能力具体如何落实,还需要工业企业按照MLPS2.0的相关标准来落实。行业层面从行业层面来看,行业主管部门依据国家法律法规,将工控安全要求细化为实际建设指南,指导安全技术应用和实现防护要求的具体方法,以及依据指导意见设立考核点。检查登陆的有效性。2011年10月,工业和信息化部发布了《关于加强工业控制系统信息安全管理的通知》(以下简称《关于加强工业控制系统信息安全管理的通知》),从四个方面对工控安全建设提出了要求:工业安全的重要性;落实工控安全六个方面。项目管理要求;建立健全工控安全监管机制;加强对工控系统安全组织的领导。2016年10月,工信部发布《工业控制系统信息安全防护指南》,要求工控企业从十一个方面做好安全防护工作。《工业控制系统信息安全防护指南》给出了第一个详细的工业控制安全实施管理和技术框架。《指南》共11篇,从管理、技术、应急响应、设备资产管理等方面对工业系统安全建设提出了建议。2017年,工信部办公厅印发《工信部关于印发《工业控制系统信息安全防护能力评估工作管理办法》的通知》,检验《工业控制系统信息安全防护能力评估工作管理办法》的实际效果。通知中,《工业控制系统信息安全防护能力评估方法》同时发布。工信部会同各行业单位将按照《评估办法》对部分工控安全企业进行检查。2020年2月,工信部印发《工业数据分类分级指南(试行)》,要求工业和信息化主管部门、工业企业、平台企业等开展行业数据归类分类工作。企业的研发数据、生产数据、运维数据、管理数据和外部数据需要根据一旦被篡改、毁坏、泄露或分发可能产生的潜在影响进行分类处理和分级。行业层面从行业层面来看,主要包括能源、电力、交通、制造等。由于各行业在工业领域的安全状态不同,各工业系统的安全需求也存在差异,因此,各行业主管部门各取所需。根据情况,推动对行业的工业安全建设进行指导,形成行业标准。工控安全防护体系建设基于工控安全合规要求。工业企业应根据自身生产设备和系统的实际情况,构建从工业设备管理到网络安全防护再到综合安全管理的三层防护体系:1.在工业设备管理层面,有必要对工业系统内部的物理设备进行管理,确保其运行安全。对于工业系统和工业设备,企业需要通过验证供应商资质和加密合同来构建安全的采购供应链。对已部署的工业信息资产,做好设备梳理,理清工业控制网络、资产、设备等拓扑结构,确保与工业系统连接的设备可控。同时,还需要从物理安全和容灾的角度来考虑。2、网络安全防护层按照“一个中心三层防护”的安全要求,通过部署安全产品来实现。安全防护是工控安全体系建设的核心。安全防护能力建设分为计算环境安全建设、边界安全建设和网络通信安全建设。需要注意的是,工控网络的安全防护需要分层防护,每一层都要根据企业自身的特点在物理防护、终端防护、网络防护等方面进行防护。随着安全设备数量的增加和网络拓扑结构的复杂化,统一安全管理平台将成为必不可少的安全产品。由于工业企业缺乏安全运营能力,企业需要考虑如何用好这些设备。通过购买专业的安全服务,如安全托管服务、安全测试服务、应急响应服务等,可以快速提升安全防护能力。3、安全管理是指建立相应的组织架构和管理制度,从制度层面做好工控安全保障工作。工业企业需要建立专门的工控安全组织管理部门,明确组织架构,负责企业内部网络安全的规划、建设和实施。建立相应的安全体系,实现工业企业内部的人员管理、配置管理、补丁管理,以及记录和审计。构建一套应急处置程序,有效应对安全生产、网络安全、数据安全带来的风险。形成了报告机制,具有成熟的报告流程、报告格式和报告接口。结语由于工业环境的特殊性,工业企业的安全建设不能照搬互联网防护。目前,我国工控安全还处于起步阶段,工业领域的整体防护水平有待提高,专业的工业安全人才短缺。近年来,国家出台的一系列网络安全法律法规,一方面对产业安全提出了要求,另一方面对产业安全建设提供了指导。工业企业要根据自身情况,由简入繁,利用网络安全提高安全生产,完成两化融合的信息化改造,切实提高企业生产能力。
