【儀表網(wǎng) 行業(yè)標(biāo)準(zhǔn)】根據(jù)《山西省汽車(chē)行業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)管理辦法》的有關(guān)規(guī)定,《汽車(chē)制造工業(yè)控制系統(tǒng)信息安全技術(shù)規(guī)范》團(tuán)體標(biāo)準(zhǔn)的編制說(shuō)明及標(biāo)準(zhǔn)征求意見(jiàn)稿已完成,現(xiàn)面向社會(huì)廣泛征求意見(jiàn)。
工控信息安全事件波及范圍廣,涉及世界多個(gè)國(guó)家的多個(gè)領(lǐng)域。近年發(fā)生的工控信息安全事件影響范圍不僅僅是某個(gè)國(guó)家或地區(qū),也不僅僅是某個(gè)領(lǐng)域,它已波及全球,影響多領(lǐng)域多行業(yè),工控信息安全威脅愈演愈烈。
工信部針對(duì)國(guó)內(nèi)大型工業(yè)企業(yè)的核心管控系統(tǒng)開(kāi)展檢查,發(fā)現(xiàn)企業(yè)工業(yè)應(yīng)用系統(tǒng)普遍存在安全漏洞,缺乏有效的安全配置策略,外網(wǎng)邊界容易被突破。內(nèi)網(wǎng)邊界防護(hù)薄弱,工控設(shè)備普遍開(kāi)啟遠(yuǎn)程訪問(wèn)進(jìn)行維護(hù),工控主機(jī)安全防護(hù)措施較弱,控制權(quán)極易被遠(yuǎn)程獲取;對(duì)工業(yè)控制系統(tǒng)的信息安全管理相對(duì)薄弱,嚴(yán)重滯后于工業(yè)互聯(lián)網(wǎng)的發(fā)展。
汽車(chē)制造企業(yè)近年發(fā)生多次工控安全事件,導(dǎo)致生產(chǎn)業(yè)務(wù)中斷,工控安全檢查過(guò)程中發(fā)現(xiàn)工控的防病毒、補(bǔ)丁、備份等基本的管理要求均未全面覆蓋,且在事件上報(bào)、應(yīng)急響應(yīng)等方面均無(wú)法及時(shí)有效開(kāi)展,需統(tǒng)一去考慮整體的解決方案,形成覆蓋全行業(yè)的制度標(biāo)準(zhǔn)。
本文件按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。參考GB/T 30976.1 信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全 第1部分:評(píng)估規(guī)范;GB/T 32919 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南;GB/T 36324 信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范;GB/T 40813 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)要求和測(cè)試評(píng)價(jià)方法等文件中部分內(nèi)容。
本文件規(guī)定了汽車(chē)制造業(yè)裝備建設(shè)實(shí)施過(guò)程中涉及的工業(yè)控制系統(tǒng)信息安全防護(hù)技術(shù)要求和在裝備安裝調(diào)試驗(yàn)收階段需要滿(mǎn)足的信息安全驗(yàn)收要求。本文件適用于汽車(chē)制造企業(yè)工業(yè)控制系統(tǒng)的新建及已建項(xiàng)目。
基本構(gòu)成:
按照 GB/T 36324 中根據(jù)工業(yè)控制系統(tǒng)(ICS)的功能特點(diǎn)和部署形式,企業(yè)的與工業(yè)控制系統(tǒng)(ICS)相關(guān)系統(tǒng)縱向劃分為 5 個(gè)層級(jí),如:第 1 層物理過(guò)程、生產(chǎn)裝置,第 2 層安全和保護(hù)系統(tǒng)、基本控制系統(tǒng),第 3 層監(jiān)控系統(tǒng),第 4 層運(yùn)營(yíng)管理系統(tǒng),第 5 層業(yè)務(wù)規(guī)劃和物流系統(tǒng)。其中第 1 層~第 3 層的相關(guān)系統(tǒng)、設(shè)備,可作為構(gòu)成工業(yè)控制系統(tǒng)的范圍。
安全防護(hù)的對(duì)象:
本文件涉及的防護(hù)對(duì)象為系統(tǒng)層級(jí)中第 1 層(物理過(guò)程、生產(chǎn)裝置)、第 2 層(安全和保護(hù)系統(tǒng)、基本控制系統(tǒng))和第 3 層(監(jiān)控系統(tǒng))的工業(yè)控制資產(chǎn)。
安全防護(hù)措施的約束條件:
按照 GB/T 40813 的安全防護(hù)技術(shù)要求,不應(yīng)對(duì) ICS 的功能安全產(chǎn)生不利影響;不能鎖定用于基本功能的賬戶(hù);不應(yīng)因?qū)嵤┌踩胧┒@著增加延遲并影響系統(tǒng)的響應(yīng)時(shí)間;不能因安全措施失效導(dǎo)致系統(tǒng)的基本功能中斷等。
在符合本文件提出的技術(shù)要求時(shí),經(jīng)評(píng)估對(duì)可用性有較大影響而無(wú)法實(shí)施的,可調(diào)整要求并研究制定相應(yīng)的補(bǔ)償防護(hù)措施,但采取補(bǔ)償防護(hù)措施后不應(yīng)降低原有要求的整體安全防護(hù)強(qiáng)度。
安全防護(hù)的技術(shù)要求:
按照 GB/T 32919與工業(yè)和信息化部印發(fā)的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,做好工業(yè)控制系統(tǒng)(ICS)信息安全防護(hù)工作。
安全監(jiān)測(cè)和應(yīng)急演練:
a) 在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全檢測(cè)設(shè)備,及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為。
b) 制定工控安全事件應(yīng)急響應(yīng)預(yù)案,內(nèi)容至少應(yīng)包括:目的、范圍、角色、責(zé)任、管理層承諾、相關(guān)部門(mén)的協(xié)調(diào)、合規(guī)性。
c) 適用時(shí),當(dāng) ICS 因信息安全威脅出現(xiàn)異常或故障時(shí),應(yīng)按應(yīng)急響應(yīng)預(yù)案做好應(yīng)急響應(yīng)工作,采取緊急防護(hù)措施,防止事態(tài)擴(kuò)大,并逐級(jí)報(bào)送直至屬地省級(jí)工業(yè)和信息化主管部門(mén),同時(shí)注意保護(hù)現(xiàn)場(chǎng),以便進(jìn)行調(diào)查取證。
d) 定期對(duì) ICS 的應(yīng)急響應(yīng)預(yù)案進(jìn)行演練,必要時(shí)對(duì)應(yīng)急響應(yīng)預(yù)案進(jìn)行修訂。
更多詳情請(qǐng)見(jiàn)附件。
所有評(píng)論僅代表網(wǎng)友意見(jiàn),與本站立場(chǎng)無(wú)關(guān)。