工業(yè)和信息化部通知加強工業(yè)控制系統(tǒng)信息安全管理
工信部協(xié)[2010]451號
2011/10/28
CTI論壇(ctiforum)10月28日消息(記者 潘婷婷): 記者從工信部網(wǎng)站獲悉,電信管理局公示了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知 》,要求各地區(qū)、各有關(guān)部門、有關(guān)國有大型企業(yè)充分認(rèn)識工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性,切實加強工業(yè)控制系統(tǒng)信息安全管理,以保障工業(yè)生產(chǎn)運行安全、國家經(jīng)濟安全和人民生命財產(chǎn)安全。
以下為公告全文:
各省、自治區(qū)、直轄市人民政府,國務(wù)院有關(guān)部門,有關(guān)國有大型企業(yè):
工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運行、國家經(jīng)濟安全和人民生命財產(chǎn)安全,為切實加強工業(yè)控制系統(tǒng)信息安全管理,經(jīng)國務(wù)院同意,現(xiàn)就有關(guān)事項通知如下:
一、充分認(rèn)識加強工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性
數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等工業(yè)控制系統(tǒng)廣泛運用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域,用于控制生產(chǎn)設(shè)備的運行。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞,將對工業(yè)生產(chǎn)運行和國家經(jīng)濟安全造成重大隱患。隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接,病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散,工業(yè)控制系統(tǒng)信息安全問題日益突出。2010年發(fā)生的“震網(wǎng)”病毒事件,充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的形勢。與此同時,我國工業(yè)控制系統(tǒng)信息安全管理工作中仍存在不少問題,主要是對工業(yè)控制系統(tǒng)信息安全問題重視不夠,管理制度不健全,相關(guān)標(biāo)準(zhǔn)規(guī)范缺失,技術(shù)防護措施不到位,安全防護能力和應(yīng)急處置能力不高等,威脅著工業(yè)生產(chǎn)安全和社會正常運轉(zhuǎn)。對此,各地區(qū)、各部門、各單位務(wù)必高度重視,增強風(fēng)險意識、責(zé)任意識和緊迫感,切實加強工業(yè)控制系統(tǒng)信息安全管理。
二、明確重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求
加強工業(yè)控制系統(tǒng)信息安全管理的重點領(lǐng)域包括核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關(guān)的領(lǐng)域。各地區(qū)、各部門、各單位要結(jié)合實際,明確加強工業(yè)控制系統(tǒng)信息安全管理的重點領(lǐng)域和重點環(huán)節(jié),切實落實以下要求。
。ㄒ唬┻B接管理要求。
1. 斷開工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的所有不必要連接。
2. 對確實需要的連接,系統(tǒng)運營單位要逐一進行登記,采取設(shè)置防火墻、單向隔離等措施加以防護,并定期進行風(fēng)險評估,不斷完善防范措施。
3. 嚴(yán)格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動存儲介質(zhì)以及便攜式計算機。
。ǘ┙M網(wǎng)管理要求。
1. 工業(yè)控制系統(tǒng)組網(wǎng)時要同步規(guī)劃、同步建設(shè)、同步運行安全防護措施。
2. 采取虛擬專用網(wǎng)絡(luò)(VPN)、線路冗余備份、數(shù)據(jù)加密等措施,加強對關(guān)鍵工業(yè)控制系統(tǒng)遠(yuǎn)程通信的保護。
3. 對無線組網(wǎng)采取嚴(yán)格的身份認(rèn)證、安全監(jiān)測等防護措施,防止經(jīng)無線網(wǎng)絡(luò)進行惡意入侵,尤其要防止通過侵入遠(yuǎn)程終端單元(RTU)進而控制部分或整個工業(yè)控制系統(tǒng)。
。ㄈ┡渲霉芾硪。
1. 建立控制服務(wù)器等工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備安全配置和審計制度。
2. 嚴(yán)格賬戶管理,根據(jù)工作需要合理分類設(shè)置賬戶權(quán)限。
3. 嚴(yán)格口令管理,及時更改產(chǎn)品安裝時的預(yù)設(shè)口令,杜絕弱口令、空口令。
4. 定期對賬戶、口令、端口、服務(wù)等進行檢查,及時清理不必要的用戶和管理員賬戶,停止無用的后臺程序和進程,關(guān)閉無關(guān)的端口和服務(wù)。
(四)設(shè)備選擇與升級管理要求。
1. 慎重選擇工業(yè)控制系統(tǒng)設(shè)備,在供貨合同中或以其他方式明確供應(yīng)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù),確保產(chǎn)品安全可控。
2. 加強對技術(shù)服務(wù)的信息安全管理,在安全得不到保證的情況下禁止采取遠(yuǎn)程在線服務(wù)。
3. 密切關(guān)注產(chǎn)品漏洞和補丁發(fā)布,嚴(yán)格軟件升級、補丁安裝管理,嚴(yán)防病毒、木馬等惡意代碼侵入。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級、補丁安裝前要請專業(yè)技術(shù)機構(gòu)進行安全評估和驗證。
。ㄎ澹⿺(shù)據(jù)管理要求。
地理、礦產(chǎn)、原材料等國家基礎(chǔ)數(shù)據(jù)以及其他重要敏感數(shù)據(jù)的采集、傳輸、存儲、利用等,要采取訪問權(quán)限控制、數(shù)據(jù)加密、安全審計、災(zāi)難備份等措施加以保護,切實維護個人權(quán)益、企業(yè)利益和國家信息資源安全。
(六)應(yīng)急管理要求。
制定工業(yè)控制系統(tǒng)信息安全應(yīng)急預(yù)案,明確應(yīng)急處置流程和臨機處置權(quán)限,落實應(yīng)急技術(shù)支撐隊伍,根據(jù)實際情況采取必要的備機備件等容災(zāi)備份措施。
三、建立工業(yè)控制系統(tǒng)安全測評檢查和漏洞發(fā)布制度
。ㄒ唬┘訌娭攸c領(lǐng)域工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備的信息安全測評工作。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會抓緊制定工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備信息安全規(guī)范和技術(shù)標(biāo)準(zhǔn),明確設(shè)備安全技術(shù)要求。重點領(lǐng)域的有關(guān)單位要請專業(yè)技術(shù)機構(gòu)對所使用的工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備進行安全測評,檢測安全漏洞,評估安全風(fēng)險。工業(yè)和信息化部會同有關(guān)部門對重點領(lǐng)域使用的工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備進行抽檢。
。ǘ┙⒐I(yè)控制系統(tǒng)信息安全檢查制度。工業(yè)控制系統(tǒng)運營單位要從實際出發(fā),定期組織開展信息安全檢查,排查安全隱患,堵塞安全漏洞。工業(yè)和信息化部適時組織專業(yè)技術(shù)力量對重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全狀況進行抽查,及時通報發(fā)現(xiàn)的問題。
。ㄈ┙⑿畔踩┒葱畔l(fā)布制度。開展工業(yè)控制系統(tǒng)信息安全漏洞信息的收集、匯總和分析研判工作,及時發(fā)布有關(guān)漏洞、風(fēng)險和預(yù)警信息。
四、進一步加強工業(yè)控制系統(tǒng)信息安全工作的組織領(lǐng)導(dǎo)
各地區(qū)、各部門、各單位要將工業(yè)控制系統(tǒng)信息安全管理作為信息安全工作的重要內(nèi)容,按照誰主管誰負(fù)責(zé)、誰運營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)的原則,建立健全信息安全責(zé)任制。各級政府工業(yè)和信息化主管部門要加強對工業(yè)控制系統(tǒng)信息安全工作的指導(dǎo)和督促檢查。有關(guān)行業(yè)主管或監(jiān)管部門、國有資產(chǎn)監(jiān)督管理部門要加強對重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理工作的指導(dǎo)監(jiān)督,結(jié)合行業(yè)實際制定完善相關(guān)規(guī)章制度,提出具體要求,并加強督促檢查確保落到實處。有關(guān)部門要加快推動工業(yè)控制系統(tǒng)信息安全防護技術(shù)研究和產(chǎn)品研制,加大工業(yè)控制系統(tǒng)安全檢測技術(shù)和工具研發(fā)力度。國有大型企業(yè)要切實加強工業(yè)控制系統(tǒng)信息安全管理的領(lǐng)導(dǎo),健全工作機制,嚴(yán)格落實責(zé)任制,將重要工業(yè)控制系統(tǒng)信息安全責(zé)任逐一落實到具體部門、崗位和人員,確保領(lǐng)導(dǎo)到位、機構(gòu)到位、人員到位、措施到位、資金到位。
二〇一一年九月二十九日
CTI論壇報道
相關(guān)閱讀: