公安部推荐:强化平台网络安全防护体系
公安部推荐:强化平台网络安全防护体系
近日,公安部在京召开新闻发布会,通报公安机关在防范化解各类网络安全重大风险隐患方面的举措成效。为了提升平台的网络安全防护体系,公安部建议加强技术防护措施,深化落实网络安全等级保护制度,构建一体化的网络安全综合防控体系,确保重要网络和数据安全。通过及时监测发现并处置网络安全事件,公安机关有效抵御了各类攻击威胁,全力维护国家网络空间安全。
工业控制系统是工业生产运行的基础核心。为适应新时期工业控制系统网络安全(以下简称工控安全)形势,进一步指导企业提升工控安全防护水平,夯实新型工业化发展安全根基,制定本指南。使用、运营工业控制系统的企业适用本指南,防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。
工业控制系统网络安全防护的具体措施和技术要求
工业控制系统网络安全防护主要包括安全管理、技术防护和安全运营三个方面。
安全管理
在资产管理方面,企业需要全面梳理可编程逻辑控制器(PLC)、分布式控制系统(DCS)、数据采集与监视控制系统(SCADA)等典型工业控制系统以及相关设备、软件、数据等资产,明确资产管理责任部门和责任人,建立工业控制系统资产清单,并根据资产状态变化及时更新。定期开展工业控制系统资产核查,内容包括但不限于系统配置、权限分配、日志审计、病毒查杀、数据备份、设备运行状态等情况。
在配置管理方面,企业需要强化账户及口令管理,避免使用默认口令或弱口令,定期更新口令。遵循最小授权原则,合理设置账户权限,禁用不必要的系统默认账户和管理员账户,及时清理过期账户。建立工业控制系统安全配置清单、安全防护设备策略配置清单。定期开展配置清单审计,及时根据安全防护需求变化调整配置,重大配置变更实施前进行严格安全测试,测试通过后方可实施变更。
在供应链安全方面,企业需要与工业控制系统厂商、云服务商、安全服务商等供应商签订的协议中,应明确各方需履行的安全相关责任和义务,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。工业控制系统使用纳入网络关键设备目录的PLC等设备时,应使用具备资格的机构安全认证合格或者安全检测符合要求的设备。
在宣传教育方面,企业需要定期开展工业控制系统网络安全相关法律法规、政策标准宣传教育,增强企业人员网络安全意识。针对工业控制系统和网络相关运维人员,定期开展工控安全专业技能培训及考核。
技术防护
在主机与终端安全方面,企业需要在工程师站、操作员站、工业数据库服务器等主机上部署防病毒软件,定期进行病毒库升级和查杀,防止勒索软件等恶意软件传播。对具备存储功能的介质,在其接入工业主机前,应进行病毒、木马等恶意代码查杀。主机可采用应用软件白名单技术,只允许部署运行经企业授权和安全评估的应用软件,并有计划的实施操作系统、数据库等系统软件和重要应用软件升级。拆除或封闭工业主机上不必要的通用串行总线(USB)、光驱、无线等外部设备接口,关闭不必要的网络服务端口。若确需使用外部设备,应进行严格访问控制。对工业主机、工业智能终端设备(控制设备、智能仪表等)、网络设备(工业交换机、工业路由器等)的访问实施用户身份鉴别,关键主机或终端的访问采用双因子认证。
在架构与边界安全方面,企业需要根据承载业务特点、业务规模、影响工业生产的重要程度等因素,对工业以太网、工业无线网络等组成的工业控制网络实施分区分域管理,部署工业防火墙、网闸等设备实现域间横向隔离。当工业控制网络与企业管理网或互联网连通时,实施网间纵向防护,并对网间行为开展安全审计。设备接入工业控制网络时应进行身份认证。应用第五代移动通信技术(5G)、无线局域网技术(WiFi)等无线通信技术组网时,制定严格的网络访问控制策略,对无线接入设备采用身份认证机制,对无线访问接入点定期审计,关闭无线接入公开信息(SSID)广播,避免设备违规接入。严格远程访问控制,禁止工业控制系统面向互联网开通不必要的超文本传输协议(HTTP)、文件传输协议(FTP)、Internet远程登录协议(Telnet)、远程桌面协议(RDP)等高风险通用网络服务,对必要开通的网络服务采取安全接入代理等技术进行用户身份认证和应用鉴权。在远程维护时,使用互联网安全协议(IPsec)、安全套接字协议(SSL)等协议构建安全网络通道(如虚拟专用网络(VPN)),并严格限制访问范围和授权时间,开展日志留存和审计。在工业控制系统中使用加密协议和算法时应符合相关法律法规要求,鼓励优先采用商用密码,实现加密网络通信、设备身份认证和数据安全传输。
在上云安全方面,工业云平台为企业自建时,利用用户身份鉴别、访问控制、安全通信、入侵防范等技术做好安全防护,有效阻止非法操作、网络攻击等行为。工业设备上云时,对上云设备实施严格标识管理,设备在接入工业云平台时采用双向身份认证,禁止未标识设备接入工业云平台。业务系统上云时,应确保不同业务系统运行环境的安全隔离。
在应用安全方面,访问制造执行系统(MES)、组态软件和工业数据库等应用服务时,应进行用户身份认证。访问关键应用服务时,采用双因子认证,并严格限制访问范围和授权时间。工业企业自主研发的工业控制系统相关软件,应通过企业自行或委托第三方机构开展的安全性测试,测试合格后方可上线使用。
在系统数据安全方面,企业需要定期梳理工业控制系统运行产生的数据,结合业务实际,开展数据分类分级,识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、公开等环节,使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。法律、行政法规有境内存储要求的重要数据和核心数据,应在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
安全运营
在监测预警方面,企业需要在工业控制网络部署监测审计相关设备或平台,在不影响系统稳定运行的前提下,及时发现和预警系统漏洞、恶意软件、网络攻击、网络侵入等安全风险。在工业控制网络与企业管理网或互联网的边界,可采用工业控制系统蜜罐等威胁诱捕技术,捕获网络攻击行为,提升主动防御能力。
在运营中心方面,有条件的企业可建立工业控制系统网络安全运营中心,利用安全编排自动化与响应(SOAR)等技术,实现安全设备的统一管理和策略配置,全面监测网络安全威胁,提升风险隐患集中排查和事件快速响应能力。
在应急处置方面,企业需要制定工控安全事件应急预案,明确报告和处置流程,根据实际情况适时进行评估和修订,定期开展应急演练。当发生工控安全事件时,应立即启动应急预案,采取紧急处置措施,及时稳妥处理安全事件。重要设备、平台、系统访问和操作日志留存时间不少于六个月,并定期对日志备份,便于开展事后溯源取证。对重要系统应用和数据定期开展备份及恢复测试,确保紧急时工业控制系统在可接受的时间范围内恢复正常运行。
在安全评估方面,新系统上线前应开展安全评估,评估结果符合相应等级保护要求后方可上线运行。定期开展工控安全评估,及时发现和整改安全隐患。在重大活动保障期间,根据需要开展专项安全评估。
网络安全等级保护制度的必要性和具体内容
网络安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
网络安全等级保护制度的必要性主要体现在以下几个方面:
- 满足国家相关法律法规和制度要求:《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度。
- 满足相关主管单位和行业要求:网络安全主管单位(公安、网信办、经信委、通管局等)要求各单位开展等级保护工作,金融、电力、广电、医疗、教育等行业主管单位也明确要求行业客户开展等级保护工作。
- 落实企事业单位的网络安全保护义务,合理规避或降低风险:网络安全法等相关法律法规及政策颁布后,单位的信息系统若受到攻击、篡改或信息泄露等,相关责任人将面临问责与处罚。
- 降低信息安全风险,提高信息系统的安全防护能力:掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求,进一步提升单位信息系统的安全防护能力,降低系统被攻击的风险,维护单位良好的形象;衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。
根据《信息安全等级保护管理办法》规定,等级保护工作主要分为五个环节:定级、备案、安全建设整改、等级测评、监督检查。
- 定级:网络运营者根据《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)拟定网络的安全等级,组织召开专家评审会,对初步定级结果的合理性进行审批,出具专家评审意见,将初步定级结果上报行业主管部门进行审核。
- 备案:网络运营者根据网监要求将网络定级材料向公安机关备案,公安机关对定级准确、符合要求的网络发放备案证明。
- 安全建设整改:信息系统安全保护等级确定后,网络运营者根据网络安全保护等级,按照国家标准开展安全建设整改。
- 等级测评:信息系统建设完成后,网络运营者选择符合规定条件的测评机构,对信息系统开展等级测评,查找发现问题隐患。
- 监督检查:公安机关每年对网络运营者开展网络安全等级保护工作情况和网络的安全状况实施执法检查。
平台网络安全防护是一个系统工程,需要从技术、管理、运营等多个层面综合施策。工业控制系统网络安全防护指南和网络安全等级保护制度为我们提供了明确的指导和规范,但更重要的是,我们需要将这些要求落实到实际工作中,不断提升网络安全防护能力,为国家网络安全和信息化发展做出贡献。