本文来自微信公众号安全牛,作者/王剑桥。
近年来,我国工控安全领域的政策法规建设在不断完善,合规监管已经成为工控安全市场发展的主要推动因素之一。而工控安全领域的合规需求包括国家法律、行业规范要求和行业标准要求等。工业生产企业应该严格按照相关的安全合规要求,开展企业的工控安全规划与建设。
工控安全法规政策梳理
我国工控安全领域的法规政策主要包括国家、产业、行业三个层面:
国家层面
从国家层面来看,工控安全法规多是通过具体法律、条例中的规章,以管理维度要求工业生产企业在信息化过程中需要注意的事项。
1、网络安全法
2017年,我国颁布《中华人民共和国网络安全法》,标志着我国网络安全建设有法可依。《网络安全法》中,关键信息基础设施作为独立一节,体现了我国对关键信息基础设施的重视。而工业网络、工业系统承担着国家安全、国计民生、公共利益的职责,因此被认为是关键信息基础设施的一部分。
2、数据安全法与个人信息保护
《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,对关键信息基础设施运行过程中所产生的业务数据、个人隐私数据、运行数据等做出细化的防护规定。
3、网络安全等级保护制度2.0
2019年,网络安全等级保护制度2.0标准正式发布并实施。在《GBT22239-2019信息安全技术网络安全等级保护基本要求》中,除安全通用要求外,还提出了工业控制系统安全扩展要求,通过分析OT网络与IT网络的区别,进行了针对安全防护要求。
等保2.0的安全扩展要求主要针对于生产管理层、过程监控层、现场控制层和现场设备层。其中生产管理层和过程监控层注重对网络通讯和网络隔离进行要求,现场控制层和现场设备层作为OT网络的主体,包含了从设备、到资产再到网络通讯的全方位安全要求。
4、关键信息基础设施保护条例
2021年9月1日,《关键信息基础设施安全保护条例》(以下简称“条例”)实施,定义了从国家网信部门统筹,公安部监督,各级人民政府、各行业主管单位配合的监管体系。
《条例》细化了《网络安全法》中对关键信息基础设施的要求。《条例》更注重的是从架构层面的建设问题,要求工控企业具备的基本能力,并明确了如果没有达到要求时相应的处罚。这些要求及能力如何具体落地,工业企业还需根据等保2.0相关标准进行执行。
产业层面
从产业层面看,产业主管部门基于国家法律规定,将工控安全要求细化成可落地建设的指南,对在安全技术应用、实现防护要求的具体方法进行指导,并依据指导意见建立考核点,以检查落地的成效。
2011年10月,工信部发布关于工业控制安全的《关于加强工业控制系统信息安全管理的通知》(以下简称“《通知》”),从四个方面提出工控安全建设要求:加强对工业安全重要性的认识;落实工控安全中的六项管理要求;建立健全工控安全监管机制;强化工控系统安全组织领导工作。
2016年10月,工信部印发《工业控制系统信息安全防护指南》,从十一个方面要求工控企业做好安全防护工作。《工业控制系统信息安全防护指南》给出了第一个细化的工控安全落实管理、技术架构。《指南》共十一条,对工业系统的安全建设从管理、技术、应急处置、设备资产管理等多方面进行了建议。
2017年,工信部办公厅发布了“工业和信息化部关于印发《工业控制系统信息安全防护能力评估工作管理办法》的通知“,旨在检验《工业控制系统信息安全防护指南》的实践效果。在通知中,同时发布了《工业控制系统信息安全防护能力评估方法》,工信部、各行业单位将依照《评估办法》对部分工控安全企业进行检查。
2020年2月,工信部印发《工业数据分类分级指南(试行)》,要求工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。企业的研发数据、生产数据、运维数据、管理数据、外部数据需要进行分类处理,并依据一旦遭到篡改、破坏、泄露或分发利用后可能产生的潜在影响进行分级处理。
行业层面
从行业层面看,主要包括能源、电力、交通运输、生产制造等,由于工业领域各行业安全现状有所不同,各工业系统的安全需求具备差异化,因此各行业主管部门均在根据自身情况,推进行业内的工业安全建设指导,并形成行业标准。
工控安全防护体系建设
基于工控安全的监管合规要求,工业企业应根据自身生产设备及系统的实际情况,构建一套从工业设备管理、到网络安全防护再到综合安全管理的三层防护体系:
1、在工业设备管理层面,需要对对工业体系内部的物理设备进行管理,保证其运行的安全问题。针对工业系统及工业设备,企业需通过验证供应商资质、加密合同等方式,构建安全的采购供应链路。对于已部署的工业信息资产,做好设备的梳理工作,明确工控网络、资产、设备等拓扑结构,确保接入到工业系统的设备是可控的。同时还需要从物理安全层面、容灾层面进行考量。
2、网络安全防护层则是通过部署安全产品,依照“一个中心三重防护”的安全要求进行。安全防护是进行工控安全体系建设的核心。安全防护能力建设可以分为针对计算环境的安全建设、对边界的安全建设以及对网络通讯的安全建设。需要注意的是,工控网络的安全防护需要做好分层防护,每一层次要根据企业自身的特点做好物理防护、终端防护、网络防护等。
随着安全设备数量的增加以及网络拓扑结构复杂度增加,统一安全管理平台将成为必备的安全产品。而由于工业企业安全运营能力的不足,企业需要考虑如何用好这些设备,可通过采购专业的安全服务,例如安全托管服务、安全测试服务、应急响应服务等,快速提升安全防护能力。
3、安全管理是指建立相应的组织架构、管理体系,从制度维度做好工控安全防护。工业企业需构建专门的工控安全组织管理部门,明确组织架构,负责对企业内部网络安全的规划、建设、实施。建立相应的安全制度,以做到工业企业内部的人员管理、配置管理及补丁管理,做到记录和审计。构建一套应急响应流程,有效应对安全生产、网络安全、数据安全带来的风险。形成报送机制,有成熟的报送流程、报送格式、报送接口等。
结语
工业环境的特殊性造成了工业企业的安全建设不能照搬互联网防护。当前,我国工控安全还处于起步阶段,工业领域整体防护水平有待提高,专业的工业安全人才缺乏。近年来,国家颁布的一系列网络安全法律法规一方面对工业安全提出了要求,另一方面也对工业安全的建设提供了指导。工业企业应根据自身的情况,由简入繁,以网络安全提升生产安全,完成两化融合的信息化改造,切实提升企业的生产能力。