工业控制系统网络安全防护指南.docx

上传人:王** 文档编号:1433230 上传时间:2024-07-09 格式:DOCX 页数:9 大小:26.46KB
下载 相关 举报
工业控制系统网络安全防护指南.docx_第1页
第1页 / 共9页
工业控制系统网络安全防护指南.docx_第2页
第2页 / 共9页
工业控制系统网络安全防护指南.docx_第3页
第3页 / 共9页
工业控制系统网络安全防护指南.docx_第4页
第4页 / 共9页
工业控制系统网络安全防护指南.docx_第5页
第5页 / 共9页
工业控制系统网络安全防护指南.docx_第6页
第6页 / 共9页
工业控制系统网络安全防护指南.docx_第7页
第7页 / 共9页
工业控制系统网络安全防护指南.docx_第8页
第8页 / 共9页
工业控制系统网络安全防护指南.docx_第9页
第9页 / 共9页
亲,该文档总共9页,全部预览完了,如果喜欢就下载吧!
资源描述

《工业控制系统网络安全防护指南.docx》由会员分享,可在线阅读,更多相关《工业控制系统网络安全防护指南.docx(9页珍藏版)》请在优知文库上搜索。

1、工业控制系统是工业生产运行的施础核心。为适应新时期工业控制系统网络安全(以卜荷称工控安全)形势,进一步指导企业提升工控安全防护水平,夯实新型工业化发展安全根基,制定本指南。使用、运营工业控制系统的企业适用本指南,防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。一、安全管理(一)资产管理1 .全面梳理可编程逻辑控制器(PI-C),分布苴控制系统(DCS)、数据采集与监视控制系统(SCI)等典型工业控制系统以及相关设备、软件、数据等资产,明确资产管理贵任部门和货任人,建立工业控制系统资产清单,并根据资产状态变化及时更新。定期开展工业控制系统资产核查,内容包括但不限

2、于系统配置、权限分配,日志审计、病毒查杀、数据备份、设备运行状态等情况.2 .根据承我业务的亚要性、规模,以及发生网络安全事件的危害程度等因素,建立重要工业控制系统清单并定期更新,实施重点保护。重要工业控制系统相关的关键工业生机、网络设备、控制设备等,应实施冗余备份。(二)配置管理3 .强化账户及口令管理,避免使用默认口令或弱口令,定期更新口令。遵循最小授权原则,合理设置账户权限,禁用不必要的系统默认账户和管理员账户,及时清理过期账户。4 .建立工业控制系统安全配置清单、安全防护设备策略配置清单。定期开展限置清单审计,及时根据安全防护需求变化调整配置,亚大配置变更实施前进行严格安全测忒,测试通

3、过后方可实施变更。(三)供应链安全5 .与工业控制系统厂商、云服务商、安全服务商等供应商签订的协议中,应明确各方需履行的安全相关责任和义务,包括管理范圉、职责划分、访问授权、隐私保护、行为准则、违约贵任等。6 .工业控制系统使用纳入网络关键设算目录的P1.C等设备时,应使用具备资格的机构安全认证合格或者安全检测符合耍求的设备,(四)宣传教育7,定期开展工业控制系统网络安全相关法律法规、政策标准宣传教育,增强企业人员网络安全意识。针对工业控制系统和网络相关运维人员,定期开展工控安全专业技能培训及考核.二、技术防护(一)主机与终端安全8 .在工程师站、操作员站、工业数据库服务器等主机上部署防病毒软

4、件,定期进行病毒库升级和查杀,防止勒索软件等恶意软件传播“对具备存储功能的介质,在其接入工业主机前,应进行病毒、木马等恶意代码杳杀。9 .主机可采用应用软件白名堆技术,只允许部署运行经企业授权和安全评估的陶用软件,并有计划的实施操作系统、数据库等系统软件和垂要应用软件开级.10 .拆除或封闭工业主机上不必要的通用串行总线(ISB)、光驱、无线等外部设备接口,关闭不必要的网络服务端口。若确需使用外部设备,应进行严格访问控制。11 .对工业主机、工业智能终端设备(控制设符、智能仪表等)、网络设备(工业交换机、工业路由器等)的访问实施用户身份鉴别,关键主机或终端的访问采用双因子认证。(二)架构与边界

5、安全12 .根据承载业务特点、业务规模、影响工业生产的重要程度等因素,对工业以太网、工业无线网络等组成的工业控制网络实施分区分域管理,部署工业防火墙、网网等设备实现域间横向隔离,当工业控制网络与企业管理网或互联网连通时,实施网间纵向防护,并对网间行为开展安全审计。设备接入工业控制网络时应进行身份认证.13 .应用第五代移动通信技术(5G),无线局域网技术(WiFi)等无线通信技术组网时,制定严格的网络访问控制策略,对无线接入设备采用身份认证机制,对无线访问接入点定期审计,关闭无线接入公开信息(SSID)广播,避免设备违规接入.14 .严格远程访问控制,禁止工业控制系统面向互联网开通不必要的超文

6、本传输协议(HnP%、文件传输协议(FTP)、Internet远程登录协议(Telnet),远程桌面协议(RDP)等高风险通用网络服务.对必要开通的网络服务采取安全接入代理等技术进行用户身份认证和应用鉴权,在远程维护时,使用互联网安全协议(IPSec)、安全套接字协议(SSlJ等协议构建安全网络通道(如虚拟专用网络(VPN),并严格限制访问范围和授权时间,开展日志留存和审计。15 .在工业控制系统中使用加密协议和算法时应符合相关法律法规要求.鼓励优先采用商用密码,实现加密网络通信、设备身份认证和数据安全传输.(三)上云安全16 .工业云平台为企业自建时,利用用户身份鉴别、访问控制、安全通信、入

7、侵防范等技术做好安全防护,疗效阻止非法操作、网络攻击等行为。17 .工业设备上云时,对上天设备实施严格标识管理,设备在接入工业云平台时采用双向身份认证,禁止未标识设备接入工业云平台。业务系统上云时,应确保不同业务系统运行环境的安全隔离。(四)应用安全18 .访问制造执行系统(MES)、组态软件和工业数据库等应用服务时,应进行用户身份认证。访问关键应用服务时,采用双因子认证,并严格限制访问范围和授权时间。19 .工业企业自主研发的工业控制系统相关软件,应通过企业自行或委托第一:方机构开展的安全性测试,测试合格后方可上线使用.(五)系统数据安全20 .定期梳理工业控制系统运行产生的数据,结合业务实

8、际,开展数据分类分级,识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、公开等环节,使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。21 .法律、行政法规有境内存储要求的重要数据和核心数据,应在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。三、安全运营()监测预警22 .在工业总制网络部署监测审计相关设备或平台,在不影响系统槎定运行的前提下,及时发现和预警系统漏洞、恶意软件、网络攻击、网络侵入等安全风险“23 .在工业控制网络与企业管理网或互联网的边界,可采用工业控制系统蜜罐等威胁诱捕技术,捕获网络攻击行为,提升主动防御能力。(二)运营中心

9、24 .有条件的企业可建立工业控制系统网络安全运营中心,利用安全编排臼动化与响应(SOAR)等技术,实现安全设备的统一管理和策略配理,全面监测网络安全威胁,提升风险随患集中排查和事件快速晌应能力。(三)应急处置25 .制定工控安全事件应急预案,明确报告和处置流程,根据实际情况适时进行评估和修订,定期开展应急演练。当发生工控安全事件时,应立即启动应急预案,采取紧急处置措施,及时桎妥处理安全事件。26 .重要设备、平台、系统访问和操作日志留存时间不少于六个月,并定期对日志备份,便于开展事后溯源取证。27 .对正要系统应用和数据定期开展备份及恢复测试,确保紧急时工业控制系统在可接受的时间范围内恢其正

10、常运行。(四)安全评估28 .新建或升级工业控制系统上线前、工业控制网络与企业管理网或互联网连接前,应开展安全风险评估。29 .对于重要工业控制系统,企业应自行或委托第三方专业机构每年至少开展次工控安全防护能力相关评估。(五)漏洞管理30 .密切关注工业和信息化部网络安全威胁和漏洞信息共享平台等重大工控安全漏洞及其补丁程序发布,及时采取升级措施,短期内无法升级的,应开展针对性安全加固.31 .对重要工业控制系统定期开展涉桐排查,发现重大安全漏洞时,对补丁程序或加固措施测试验证后,方可实施补丁升级或加固。四、苏任落实32 .工业企业承担本企业工控安全主体货任,建立工控安全管理制度,明确贡任人和贡

11、任部门,按照“谁运营谁负货、HE主管谁负贡”的原则落实工控安全保护责任。33 .强化企业资源保障力度,幽保安全防护措施与工业控制系统同步规划、同步建设、同步使用。工业控制系统网络安全防护指南工业控制系统网络安全防护指南工业控制系统网络安全防护指南-,工作简况1、任务来源根据公安部关于下达2019年度公安部科技计划和公共安全行业标准制修订计划及补助经费的通知公利信传发2019279号).公安部交通管理科学研究所承担M公安交通指挥系统工程建设通用程序和要求2(J目计划编号:2019BZO41)的修订工作.2、起草单位情况(1)负贲起草单位:公安部交通管理科学研究所公安部交通管理科学研究所成立于19

12、85年,是公安部百用的从事道路交通管埋工程技术研究的公益性科研机构,设有国家道路交通管理工程技术研究中心、国家道路交通安全产品破法监督检粉中心和全国公安交通管理干部培训中心,足全国遒路交通管理标准化技术委员会秘书处的挂靠的位,建有道路交通集成优化与安全分析技术国家工程实验室、道路交通安全公安部曳点实验宓、院士工作站、博士后工作站、道路交通事故鉴定中心,主要从事公安交通管理科技信息化、道路交通任故预防及鉴定、城市和公路交通管控、公安交通管理大数据及云计修、物联网涉车管理、公安交通指挥中心设计建设、机动车及驾驶人牌证、自动驾驶运行安全研发测试、交通安全宣教装备等技术研发应用负责全国道路交通安全产品

13、和交警执法袋备质量监督检冽、全国公安交警干部培训等业务.三十多年来,先后承担完成“七五”至十二五”国家科技支推计划、国家“863计划”、国家自然科学基金、国家重点研发计划等重点科研攻关项目,以及科技部、公安部等部委重大科研项目100余项,制脩订国家标准、行业标准200余项,取得科研成果300余项,发明专利近100项,软件著作权100余攻,荣获国家科技进步奖二等奖7次,三等奖I次,其他省部级奖励40余J获得全国杰出专业技术人才先进集体1次,全国公安科技先进集体2次。2人入选“新世纪百万人41程“国家级人选,S人享受国务院政府特殊津贴,13人7受公安部津贴,3人入选省市特殊贡献专家,4人入选江苏省

14、“333工程”人选,Il人受聃东南大学、同济大学、中国人民公安大学、武汉理工大学、江苏大学、铁道警察学院等感校担任跳职教授.公安部交通管理科学研究所在标掂修订过程中,主要负资标准修订的总体组织和主体框架的确定,制定具体工作方案,负或标准脩订内容起草、艰织相关研讨等工作。(2)参加起草单位:广东省公安厅交通管理局、南京市公安局交通管理局.宇波市公安局交通警察局、唐山市公安交通警察支队、无锡华通智能交通技术开发有限公司.无锡华通智能交通技术开发布.限公司是公安部交通管理科学研究所于1993年设立的股份制高科技企业,主要从事交通指挥中心建设工程咨询设计、交通管理工程规划设计,交通信号控制系统研发应用

15、、交通管理信息化软件及产品开发、系统集成及交通领域相关专用产品生产箱伶,为省、市提供全面的交通管理、城市交通解决方案,在国内交通管埋领域已居领先地位,与各地交通管理机关保持着良好的合作关系:广东省公安厅交通管理局是广东省公安厅主管全省道路交通管理工作的职能部门,机构规格为副厅级:南京市公安局交通管理局是负责南京市道路交通秩序管理、交通事故处理、交通宣传和车辆检5金、驾咬人考核与发睥发证工作的主管郃门,井组织交通安全科学研究工作和信息化建设:宁波市公安局交通警察目是宇波市城市道路交通安全、处理交通小故、维护交通秩序、祖织实施对车柄和驾驶员的管理等主管部门;唐山市公安交通警察支队是负货唐山市道路交

16、通秩序冷Fl交通事故处理、交替队伍管理、机动车管理、驾驶人管理、交通政策制定等工作的主管部门.参加起电单位在标准修仃过程中,主要负诙各地公安交管工程建设程序和要求的相关政策搜集、工程建设经验总结、善与标准内容修订以及相关研讨等工作。3、主要起草人及其所做的工作本标准主要起草人:项家悦、王明、李标、李志林、高书涛、杨学湘、李效、胡益、牛红珍。顾家悦为标准修订的负费人,负责标准修订的总体组织和主体框架的确定,制定具体工作方案,具体负贲第1题、第3堂、第4章和第8章的编写工作,参加附录B的编写工作:王明负击第5章、第6章和附录B的编写工作,参加第4章的编写工作:李标负责第7欧的编写工作,参加第8章和附录B的编写工作;李志林负市第8章的编写工作,参加附录B的嫡写工作;商林涛负责第9章的编号工作,参加

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > IT计算机 > 网络与通信

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!