本報訊 爲適應新型工業化發展形勢,提高我國工業控制系統網絡安全保障水平,指導工業企業開展工控安全防護工作,工業和信息化部印發《工業控制系統網絡安全防護指南》(以下簡稱《指南》)。《指南》適用於使用、運營工業控制系統的企業,防護對象包括工業控制系統以及被網絡攻擊後可直接或間接影響生產運行的其他設備和系統。
《指南》定位於面向工業企業做好網絡安全防護的指導性文件,堅持統籌發展和安全,圍繞安全管理、技術防護、安全運營、責任落實四方面,提出33項指導性安全防護基線要求,推動解決走好新型工業化道路過程中工業控制系統網絡安全面臨的突出問題。
在指導企業做好網絡安全防護方面,《指南》要求,工業設備上雲時,採用雙向身份認證,禁止未標識設備接入工業雲平臺;業務系統上雲時,應確保不同業務系統運行環境的安全隔離。定期梳理工業控制系統運行產生的數據,使用密碼技術、訪問控制、容災備份等對數據實施安全保護。規範軟件和服務安全使用,落實數據安全分類分級保護。定期開展工業控制系統網絡安全相關法律法規、政策標準宣傳教育,增強企業人員網絡安全意識。
在防範網絡安全風險、提高應急處置能力方面,《指南》提出,制定工控安全事件應急預案,定期開展應急演練。密切關注工業和信息化部網絡安全威脅和漏洞信息共享平臺等重大工控安全漏洞及其補丁程序發佈,對重要工業控制系統定期開展漏洞排查。做好定期網絡安全風險評估和防護能力評估,開展日常系統漏洞排查並實施安全加固。另外,有條件的企業可建立工業控制系統網絡安全運營中心,全面監測網絡安全威脅,提升風險隱患集中排查和事件快速響應能力。 (布軒)
