第一篇:江蘇省工業控制系統信息安全監督管理實施辦法(試行)
附件:
江蘇省工業控制系統信息安全 監督管理實施辦法(試行)
省經濟和信息化委
第一條 為規范和加強我省范圍內工業控制系統信息安全管理工作,提高信息安全防護和應急響應能力,確保工業生產運行、國民經濟和人民生命財產安全,依據《工業和信息化部關于加強工業控制系統信息安全管理的通知》(工信部協?2011?451號)、《江蘇省網絡與信息安全事件應急預案》(蘇政辦發?2009?51號)等文件精神,結合工作實際,制定本辦法。
第二條 本辦法所稱工業控制系統,指采用數據采集監控、分布式控制、過程控制、可編程邏輯控制等技術控制生產設備運行的系統。本辦法所稱重點領域,主要指核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。
第三條 本省行政區域內工業控制系統的信息安全管理及監督檢查活動,適用于本辦法。第四條 各級信息化主管部門負責行政區域內工業控制系統信息安全工作指導和監督檢查。有關行業主管或監管部門、國有資產監督管理部門負責協調、督促工業控制系統主管單位開展信息安全管理及落實安全整改等工作。
第五條 工業控制系統信息安全按照屬地化原則進行監督管理。各地區、各部門和各有關單位要按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,加強對工業控制系統信息安全管理工作的領導,明確責任部門和人員,建立并落實信息安全責任制和事件通報制度,健全完善相關管理技術措施,接受信息化主管部門的監督檢查并配合做好安全整改工作。
第六條 各地區、各部門和各有關單位要結合實際,明確加強工業控制系統信息安全管理的重點領域和重點環節,切實落實以下要求:
(一)組織制度要求。明確信息安全主管領導、管理機構和管理人員,健全工作機制,嚴格落實責任制,將重要工業控制系統信息安全責任逐一落實到具體部門、崗位和人員,確保領導到位、機構到位、人員到位、措施到位、資金到位。
(二)網絡連接要求。斷開工業控制系統同公共網絡之間的所有不必要連接。對確實需要的連接,系統運營單位要逐一進行登記,采取設臵防火墻、單向隔離等措施加以防護,并定期進行風險評估,不斷完善防范措施。
(三)組網管理要求。工業控制系統組網時要同步規劃、同步建設、同步運行安全防護措施。采取虛擬專用網絡(VPN)、線路冗余備份、數據加密等措施,加強對關鍵工業控制系統遠程通信的保護。對無線組網采取嚴格的身份認證、安全監測等防護措施,防止經無線網絡進行惡意入侵,尤其要防止通過侵入遠程終端單元(RTU)進而控制部分或整個工業控制系統。
(四)配臵管理要求。建立控制服務器等工業控制系統關鍵設備安全配臵和審計制度。嚴格賬戶管理,根據工作需要合理分類設臵賬戶權限。嚴格口令管理,及時更改產品安裝時的預設口令,杜絕弱口令、空口令。定期對賬戶、口令、端口、服務等進行檢查,及時清理不必要的用戶和管理員賬戶,停止無用的后臺程序和進程,關閉無關的端口和服務。
(五)設備選擇與升級管理要求。慎重選擇工業控制系統設備,在供貨合同中或以其他方式明確供應商承擔的信息安全責任和義務,確保產品安全可控。加強對技術服務的信息安全管理,在安全得不到保證的情況下禁止采取遠程在線服務。密切關注產品漏洞和補丁發布,嚴格軟件升級、補丁安裝管理,嚴防病毒、木馬等惡意代碼侵入。關鍵工業控制系統軟件升級、補丁安裝前須請專業技術機構進行安全評估和驗證。
(六)數據管理要求。地理、礦產、原材料等國家基礎數據以及其他重要敏感數據的采集、傳輸、存儲、利用等,要采取訪問權限控制、數據加密、安全審計、災難備份等措施加以保護,切實維護個人權益、企業利益和國家信息資源安全。
(七)應急管理要求。制定工業控制系統信息安全應急預案,明確應急處臵流程和臨機處臵權限,落實應急技術支撐隊伍,根據實際情況采取必要的備機、備件等容災備份措施。
第七條 工業控制系統主管單位應定期組織開展信息安全檢查。請專業技術機構對所使用的工業控制系統關鍵設備進行安全測評,檢測安全漏洞,評估安全風險。重點領域的工業控制系統每年至少進行1次全面的安全檢查。對檢查中發現的問題要及時采取措施進行安全整改,并報告所在地信息化主管部門。
各級信息化主管部門應重視工業控制系統信息安全漏洞信息的收集、匯總和分析研判工作,及時向上級主管部門和相關部門報告發現的問題,及時發布有關漏洞、風險和預警信息。第八條 省級信息化主管部門應會同行業主管或監管部門、國有資產監督管理部門以及其他信息安全管理部門,每年至少組織1次全省重點領域工業控制系統信息安全狀況抽查、關鍵設備抽檢,排查安全隱患,堵塞安全漏洞,通報發現問題并敦促整改。
工業控制系統主管單位對抽查、抽檢發現的問題,應認真落實整改意見,并在3個月內向工業控制系統所在地信息化主管部門報告整改情況。
第九條 參與抽查、抽檢的技術檢測機構與人員,應具有由國家權威機構認定的信息安全服務能力和水平,獲省級以上信息化主管部門備案,并接受省級以上信息化主管部門監督管理。
委托技術檢測機構檢查前,委托部門或單位應與技術檢測機構簽訂安全保密協議,明確保密責任和保密期限。必要時,應對參與檢測人員的背景進行安全審查。
第十條 實施安全技術檢測的機構及人員應嚴格遵守檢查工作紀律,周密制定檢測方案,對技術檢測可能引發的安全風險進行認真評估,采取規避或控制安全風險措施,保證被檢查工業控制系統的安全正常運行。
對技術檢測結果及過程文檔、信息應加強保密管理,除按規定報送外,不得以任何方式提供給其他單位或個人;未經委托部門或單位同意不得用于任何用途。對于違反信息安全和保密管理制度造成信息安全事故或泄密事件的,依法追究當事人和有關負責人的責任。
第十一條 對于工業控制系統主管單位拒絕接受檢查或不履行信息安全管理職責、義務而發生安全事故的,應呈報其上級部門并追究其負責人的相應責任。
對在監督管理工作中組織領導不力、有關要求不落實的,予以通報批評。對未按照規定流程開展檢查而導致發生安全事故的,應追究檢查組織方負責人的相應責任。
第二篇:工業控制系統信息安全應急預案
工業控制系統信息安全應急預案
為了切實做好市污水廠網絡與信息安全突發事件的防范和應急處理工作,提高污水廠中控系統預防和控制網絡與信息安全突發事件的能力和水平,減輕或消除突發事件的危害和影響,確保市污水廠中控系統網絡與信息安全,結合工作實際,制定本預案。
一、總則
本預案適用于本預案定義的1級、2級網絡與信息安全突發公共事件和可能導致1級、2級網絡與信息安全突發公共事件的應對處置工作。
本預案所指網絡與信息系統的重要性是根據系統遭到破壞后對國家安全、社會秩序、經濟建設、公共利益以及公民、法人和其他組織的合法權益的危害程度來確定的。
(一)分類分級。
本預案所指的網絡與信息安全突發公共事件,是指重要網絡與信息系統突然遭受不可預知外力的破壞、毀損、故障,發生對國家、社會、公眾造成或者可能造成重大危害,危及公共安全的緊急事件。
1、事件分類。
根據網絡與信息安全突發公共事件的發生過程、性質和特征,網絡與信息安全突發公共事件可劃分為網絡安全突發事件和信息安全突發事件。網絡安全突發事件是指自然災害,事故災難和人為破壞引起的網絡與信息系統的損壞;信息安全突發事件是指利用信息網絡進行有組織的大規模的反動宣傳、煽動和滲透等破壞活動。
自然災害是指地震、臺風、雷電、火災、洪水等。
事故災難是指電力中斷、網絡損壞或者是軟件、硬件設備故障等。
人為破壞是指人為破壞網絡線路、通信設施、黑客攻擊、病毒攻擊、恐怖襲擊等事件。
2、事件分級。
根據網絡與信息安全突發公共事件的可控性、嚴重程度和影響范圍,將網絡與信息安全突發公共事件分為四級:1級(特別重大)、2級(重大)、3級(較大)、4級(一般)。國家有關法律法規有明確規定的,按國家有關規定執行。
1級(特別重大):網絡與信息系統發生全局性大規模癱瘓,事態發展超出自己的控制能力,對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害的突發公共事件。
2級(重大):網絡與信息系統造成全局性癱瘓,對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害需要跨部門協同處置的突發公共事件。
3級(較大):某一部分的網絡與信息系統癱瘓,對國家安全、社會秩序、經濟建設和公共利益造成一定損害,但不需要跨部門、跨地區協同處置的突發公共事件。
4級(一般):網絡與信息系統受到一定程度的損壞,對公民、法人和其他組織的權益有一定影響,但不危害國家安全、社會秩序、經濟建設和公共利益的突發公共事件。
(二)工作原則。
1、積極預防,綜合防范。立足安全防護,加強預警,抓好預防、監控、應急處理、應急保障和打擊犯罪等環節,在法律、管理、技術、人才等方面,采取多種措施,充分發揮各方面的作用,共同構筑網絡與信息安全保障體系。
2、明確責任,分級負責。按照“誰主管誰負責,誰運營誰負責”的原則,建立和完善安全責任制,協調管理機制和聯動工作機制。
3、以人為本,快速反應。把保障公共利益以及公民、法人和其他組織的合法權益的安全作為首要任務,及時采取措施,最大限度地避免公民財產遭受損失。網絡與信息安全突發公共事件發生時,要按照快速反應機制,及時獲取充分而準確的信息,跟蹤研判,果斷決策,迅速處置,最大程度地減少危害和影響。
4、依靠科學,平戰結合。加強技術儲備,規范應急處置措施與操作流程,實現網絡與信息安全突發公共事件應急處置工作的科學化、程序化與規范化。樹立常備不懈的觀念,有條件則定期進行預案演練,確保應急預案切實可行。
二、預防預警
(一)信息監測與報告。
1、進一步完善網絡與信息安全突發公共事件監測、預測、預警制度。要落實責任制,按照“早發現、早報告、早處置”的原則,加強對各類網絡與信息安全突發公共事件和可能引發突發公共事件的有關信息的收集、分析判斷和持續監測。當發生網絡與信息安全突發公共事件時,按規定及時向信息中心負責人、分管領導報告,同時與相關的產品技術支持單位聯系,獲得必要的技術支持。初次報告最遲不得超過半小時,重大和特別重大的網絡與信息安全突發公共事件實行態勢進程報告和日報告制度。報告內容主要包括信息來源、影響范圍、事件性質、事件發展趨勢和采取的措施等。
2、建立網絡與信息安全報告制度。
發現下列情況時應及時向信息中心負責人、分管領導報告,必要時向市信息中心及市公安局報告:
(1)利用網絡從事違法犯罪活動的情況;
(2)網絡或信息系統通信和資源使用異常,網絡和信息系統癱瘓,應用服務中斷或數據篡改、丟失等情況;
(3)網絡恐怖活動的嫌疑情況和預警信息;
(4)其他影響網絡與信息安全的信息。
(二)預警處理與發布。
1、對于可能發生或已經發生的網絡與信息安全突發公共事件,立即采取措施控制事態,并在 1小時內進行風險評估,判定事件等級。必要時應啟動相應的預案,同時向信息中心及分管領導通報情況。
2、信息中心接到報警信息后應及時組織有關專家對信息進行技術分析和研判,根據問題的性質、危害程度,提出安全警報級別,并及時向分管領導報告。
3、分管領導接到報告后,對發生和可能發生1級或2級的網絡與信息安全突發公共事件時,應迅速召開應急會議,研究確定網絡與信息安全突發公共事件的等級,決定啟動本預案,同時確定指揮人員。并向相關部門進行通報。
4、對需要向市公安局通報的要及時通報,并爭取支援。
三、應急響應
(一)先期處置。
1、當發生網絡與信息安全突發公共事件時,值班人員應做好先期應急處置工作,立即采取措施控制事態,同時向信息中心報告。
2、信息中心在接到網絡與信息安全突發公共事件發生或可能發生的信息后,應加強與有關方面的聯系,掌握最新發展動態。對3級或4級的突發事件,自行負責應急處置工作,有關情況報分管領導。分管領導在接到發生2級或1級和有可能演變為2級或1級的網絡與信息安全突發公共事件時,要組織信息中心對處置工作提出建議方案,并做好啟動本預案的各項準備工作。還要根據網絡與信息安全突發公共事件發展態勢,視情況決定趕赴現場指導,組織派遣應急支援力量。
(二)應急指揮。
1、本預案啟動后,信息中心要抓緊收集相關信息,掌握現場處置工作狀態,分析事件發展態勢,研究提出處置方案,統一指揮網絡與信息應急處置工作。
2、需要成立現場指揮部的,應立即在現場開設指揮部,現場指揮部要根據事件性質迅速組建各類應急工作組,開展應急處置工作。
(三)應急支援。
本預案啟動后,立即成立由分管領導帶隊的應急響應先遣小組,督促、指導和協調處置工作。信息中心根據事態的發展和處置工作需要,及時增派專家小組,調動必需的物資、設備,支援應急工作。參加現場處置工作的各有關部門和單位在現場指揮部的統一指揮下,協助開展處置行動。
(四)信息處理。
1、各部門、中心應對事件進行動態監測、評估,及時將事件的性質、危害程度和損失情況及處置工作等情況,及時報信息中心,不得隱瞞、緩報、謊報。
2、信息中心要明確信息采集、編輯、分析、審核、簽發的責任人,做好信息分析、報告和發布工作。要及時編發事件動態信息供領導參閱。要組織專家和有關人員研究判斷各類信息,提出對策措施,完善應急處置計劃方案。
(五)信息發布。
1、當網絡與信息安全突發公共事件發生時,應及時做好信息發布工作,通過相關單位發布網絡與信息安全突發公共事件預警及應急處置的相關信息,引導輿論和公眾行為,增強公眾的信心。
2、要密切關注國內外關于網絡與信息安全突發公共事件的新聞報道,及時采取措施,對媒體關于事件以及處置工作的不正確信息,進行澄清、糾正影響,接受群眾咨詢,釋疑解惑,穩定人心。
(六)擴大應急。
經應急處置后,事態難以控制或有擴大發展趨勢時,應實施擴大應急行動。要迅速召開應急會議或由分管領導根據事態情況,研究采取有利于控制事態的非常措施,并向市公安局請求支援。
(七)應急結束。
網絡與信息安全突發公共事件經應急處置后,得到有效控制,事態下降到一定程度或基本得到解決,將各監測統計數據上報局信息中心,由信息中心向分管領導提出應急結束的建議,經批準后實施。
四、后期處置
(一)善后處理。
在應急處置工作結束后,要迅速采取措施,抓緊組織搶修受損的基礎設施,減少損失,盡快恢復正常工作。統計各種數據,查明原因,對事件造成的損失和影響以及恢復重建能力進行分析評估,認真制定恢復重建計劃,并迅速組織實施。有關部門要提供必要的人員和技術、物資和裝備以及資金等支持,并將善后處置的有關情況報分管領導。
(二)調查評估。
在應急處置工作結束后,各相關部門應立即組織有關人員和專家組成事件調查組,對事件發生及其處置過程進行全面的調查,查清事件發生的原因及財產損失情況,總結經驗教訓,寫出調查評估報告,報分管領導,并根據問責制的有關規定,對有關責任人員做出處理,必要時采取合理的形式向社會公眾通報。
五、保障措施
(一)應急裝備保障。
重要網絡與信息系統在建設系統時應事先預留一定的應急設備,建立信息網絡硬件、軟件、應急救援設備等應急物資庫。在網絡與信息安全突發公共事件發生時,由信息中心負責統一調用。
(二)數據保障。
重要信息系統均應建立異地容災備份系統和相關工作機制,保證重要數據在受到破壞后,可緊急恢復。各容災備份系統應具有一定兼容性,在特殊情況下各系統間可互為備份。
(三)應急隊伍保障。
按照一專多能的要求建立網絡信息安全應急保障隊伍。局信息中心選擇若干經國家有關部門資質認可的、管理規范、服務能力較強的部門作為公司網絡與信息安全的應急支援單位,提供技術支持與服務。
六、監督管理
(一)宣傳教育。
要充分利用各種傳播媒介及有效的形式,加強網絡與信息安全突發公共事件應急和處置的有關法律法規和政策的宣傳,開展預防、預警、自救、互救和減災等知識的宣講活動,普及應急救援的基本知識,提高公眾防范意識和應急處置能力。
要加強對網絡與信息安全等方面的知識培訓,提高防范意識及技能,指定專人負責安全技術工作。并將網絡與信息安全突發公共事件的應急管理、工作流程等列為培訓內容,增強應急處置工作的組織能力。
(二)演練。
建立應急預案定期演練制度。通過演練,發現應急工作體系和工作機制存在的問題,不斷完善應急預案,提高應急處置能力。
第三篇:鍋爐車間工業控制系統信息安全應急預案
鍋爐車間工業控制系統信息安全應急預案
一、日常工作:
1、做到對工控系統的操作端主機、工程師站進行物理隔離。
2、做好操作端、工程師站的權限控制,操作員權限只能查看,不能修改,維護人員和車間負責人共同管理工程師站。
3、組織對操作員進行安全培訓。
4、組織車間負責人與值班人員進行不定期巡檢。
5、確保鍋爐車間工控服務器的維護工作。保持1臺運行、1臺熱備用(自動切換)、1臺冷備用。
二、應急工作:
工控系統發生故障時,應按以下故障等級情況按章操作,應急響應級別原則上分為1級、2級、3級響應,分別為重大、較大、一般。
出現下列情況:
1、及時了解工控系統的問題所在。
2、如運行服務器發生故障時,熱備用服務器自動切換且工作正常的情況(3級響應),值班人員按應急響應預案等級通知應急保障小組相關人員,由系統管理員和生產辦負責人對故障服務器進行查明原因聯系維修,并做好記錄。
3、如發生運行服務器故障,熱備用服務器也無法工作的情況(2級響應),值班人員按應急響應預案等級通知應急保障小組相關人員,同時對設備運轉所需數據進行現場查測,通過手動操作,把重要參數控制在安全范圍之內。由系統管理員和生產辦負責人,切換冷備用服務器至工作狀態,對故障服務器進行查明原因聯系維修單位加急維修,并做好記錄。
4、如發生三臺服務器故障均無法工作的情況(1級響應),值班人員按應急響應預案等級通知應急保障小組相關人員,同時對設備運轉所需數據進行現場查測,通過手動操作,把重要參數控制在安全范圍之內。
5、如因全廠失電,間接引起三臺服務器均無法工作的情況(1級響應),UPS應急電源啟動,關閉各服務器,立即啟動《分廠全廠失電應急預案》,確保全廠鍋爐安全穩定狀態,確保無環境安全事故發生。
三、后續工作:
1、查明工控系統發生問題的原因
2、對相同存在隱患的問題,進行排查
3、對工控系統服務器進行不定期檢查及時與服務器供應商進行聯系溝通,備機備件。
4、記錄問題并及時上報公司,對公司存在隱患的工控系統進行全局排查。
公司
2017年1月 1日
第四篇:工業控制系統信息安全事件應急管理工作指南
工業控制系統信息安全事件應急管理工作指南
第一章 總 則
第一條 為加強工業控制系統信息安全(以下簡稱工控安全)應急工作管理,建立健全工控安全應急工作機制,提高應對工控安全事件的組織協調和應急處置能力,預防和減少工控安全事件造成的損失和危害,保障工業生產正常運行,維護國家經濟安全和人民生命財產安全,依據《中華人民共和國突發事件應對法》《中華人民共和國網絡安全法》以及《國務院關于深化制造業與互聯網融合發展的指導意見》等法規政策,制定本指南。
第二條 本指南適用于工業和信息化主管部門、工業企業開展工控安全應急管理工作。
第三條 工控安全事件是指由于人為、軟硬件缺陷或故障、自然災害等原因,對工業控制系統、工業控制系統數據造成或者可能造成嚴重危害,影響正常工業生產的事件。
第四條 堅持政府指導、企業主體,堅持預防為主、平戰結合,堅持快速反應、科學處置,充分發揮各方力量,共同做好工控安全事件的預防和處置工作。
第二章 組織機構與職責
第五條 工業和信息化部指導地方工業和信息化主管部門、應急技術機構、工業企業做好工控安全應急管理工作。
第六條 地方工業和信息化主管部門負責指導本地區工控安全應急管理工作。
第七條 工控安全應急技術機構負責具體開展工控安全風險監測、態勢研判、威脅預警、事件處置等工作。
第八條 工業企業負有工控安全主體責任,應建立健全工控安全責任制,負責本單位工控安全應急管理工作,落實人財物保障。
第三章 工作機制
第九條 工業和信息化部指導地方工業和信息化主管部門、應急技術機構、工業企業等建立工控安全聯絡員機制,指定工控安全應急工作聯絡員,報工業和信息化部備案,聯絡員和聯絡方式發生變化時需及時報工業和信息化部。工業和信息化部根據工作需要組織召開聯絡員會議。
第十條 地方工業和信息化主管部門指導本地區應急技術機構、工業企業建立工控安全應急值守機制,實行領導帶班、專人值守工作制度,做好工控安全風險、威脅、事件信息日常監測和報告工作。應急響應狀態下,實行“7×24”小時值守,加強信息監測、收集與研判,做好信息跟蹤報告。
第四章 監測通報 第十一條 工業和信息化部指導國家工業信息安全發展研究中心等技術機構,組織開展全國工控安全風險監測、預警通報等工作,提升情報搜集、態勢分析、風險評估和信息共享能力。
地方工業和信息化主管部門組織開展本地區工控安全風險監測工作。工業企業組織開展本單位工控安全風險監測工作。
第十二條 地方工業和信息化主管部門、工業企業定期將重要監測信息報國家工業信息安全發展研究中心,國家工業信息安全發展研究中心負責匯總、整理和研判,并將結果報工業和信息化部;針對可能超出本地區應對能力范圍的安全風險和事件信息,及時上報,必要時工業和信息化部協調應急技術機構提供支持。
第十三條 工業和信息化部對可能影響我國工業控制系統的重大漏洞和風險,及時向有關行業、地區和工業企業發布情況通報。
第五章 敏感時期應急管理
第十四條 在國家重要活動、會議等敏感時期,工業和信息化部指導地方工業和信息化主管部門、應急技術機構、工業企業開展工控安全事件預防和應急管理工作。
第十五條 地方工業和信息化主管部門、工業企業加強工控安全監測和風險研判,對可能造成重大影響的風險和事件信息應及時上報,必要時實行24小時零報告制度。重點單位、重要部位實施24小時值守,保持通信聯絡暢通。相關工業企業應加強對工業控制系統的巡檢巡查,原則上不在敏感時期對工業控制系統進行調整或升級。
第六章 應急處置
第十六條 對于可能發生或已經發生的工控安全事件,工業企業應立即開展應急處置,采取科學有效方法及時施救,力爭將損失降到最小,盡快恢復受損工業控制系統的正常運行。當事發工業企業應急處置力量不足時,可請求上級主管部門協調應急技術機構提供支援。
第十七條 有關地方工業和信息化主管部門和工業企業應及時向工業和信息化部報告事態發展變化情況和事件處置進展情況。報告信息一般包括以下要素:事件涉及的工業控制系統名稱及運營管理單位、時間、地點、原因、來源、類型、性質、危害、影響范圍、發展趨勢、處置措施等。
第十八條 工業和信息化部指導、督促事發企業開展應急處置工作,必要時派出工作組赴現場指揮協調應急處置工作,協調應急技術機構提供技術支援。
第十九條 應急處置結束、系統恢復運行后,相關工業企業要盡快消除事件造成的不良影響,做好事件分析總結工作,總結報告應在30天內以書面形式報工業和信息化部。
第二十條 對于工控安全事件性質、起因、范圍、損失等,工業和信息化主管部門和相關人員應做好輿論宣傳和引導工作。
第七章 保障措施
第二十一條 工業和信息化部、地方工業和信息化主管部門、工業企業制定本級工控安全事件應急預案,定期組織應急演練。
第二十二條 工業和信息化部建立國家工控安全應急專家組,為工控安全應急管理提供技術咨詢和決策支持。地方工業和信息化主管部門建立本地區工控安全應急專家組,充分發揮專家在應急管理工作中的作用。
第二十三條 加強對工控安全事件應急裝備和工具的儲備,及時調整、升級軟硬件工具,建設完善工控安全事件應急技術服務平臺,不斷增強應急技術支撐能力。
第二十四條 各有關部門應積極利用現有政策和資金渠道,申請新增預算,支持工控安全應急技術機構建設、專家隊伍建設、基礎平臺建設、技術研發、應急演練、物資保障等,為工控安全應急管理工作提供必要的經費支持。
第二十五條 本指南自2017年7月1日起施行。
第五篇:核電工業控制系統信息安全標準解讀
核電工業控制系統信息安全標準解讀
在2014年4月15日中央國家安全委員會第一次會議中,總書記提出了包含十一種安全的國家安全體系,其中就包括了“核安全”與“信息安全”。對于核電行業而言,保護“核安全”是重中之重,而隨著“工業化”、“信息化”兩化融合對傳統工業控制系統帶來的技術上的革新,現今的核電行業必須對其工業控制系統的信息安全問題予以高度重視。
針對核電行業如何有效地進行工業控制系統信息安全方面的防護工作這一重大課題,國內外相關部門出臺了許多與之有關的行業內標準。為了對國內核電行業工業控制系統信息安全的工作提供參考,本文將對各類國內外核電行業工業控制系統信息安全標準進行簡單介紹和解讀,并針對我國核電工業控制系統信息安全標準的建設提出一點建議。1 國內外核電行業工業控制系統信息安全相關標準介紹
可以看到,國內的核電工業控制系統信息安全標準、規范相對比較匱乏,而從國際范圍看,電力和電子工程協會(IEEE)、國際電工委員會(IEC)、美國核能管理委員會(NRC)以及國際原子能機構(IAEA)都提出了相關的標準、指南或導則。其中,我國的核電工業控制系統信息安全標準、導則包括:(1)HAD102-16
HAD102-16于2004年12月8日批準發布,主要是在核動力廠計算機重要系統軟件在各個周期進行安全論證時,為其提供收集證據和編制的指導文件。導則從計算機系統各個方面如技術考慮、安全管理要求及項目計劃等方面入手,詳細列舉了系統軟件設計的各個階段和方面應符合的要求建議,包括軟件需求、設計、實現及驗證等各個環節,對與軟件系統關聯的計算機系統,從集成、系統確認、調試、運行及修改等方面應遵循的要求建議進行了詳細敘述。該導則對計算機重要軟件安全涉及的方方面面,進行了較為詳細的分析及建議,對核電廠信息安全防護體系的建立具有重要參考意義。(2)GB/T 13284.1-2008
GB/T 13284.1-2008是為代替舊版本的GB/T13284-1998而制定的國家標準,該標準提供了有關核電廠安全設計應遵循的準則。標準中規定了核電廠安全系統動力源、儀表和控制部分最低限度的功能和設計要求,標準適用于為防止或減輕設計基準事件后果、保護公眾健康和安全所需要的那些系統。同樣適用于保護整個核電廠安全所需的所有與安全有關的系統、構筑物及設備。標準主要引用了GB/T及EJ/T系列標準和準則,主要從安全系統的設計準則、安全系統準則、檢測指令設備的功能和要求、執行裝置的功能和設計要求及對動力源的要求這幾個方面對核工廠安全系統設計規范進行了較為詳細的規范。(3)GB/T 13629-2008
GB/T 13629-2008準則是2008年7月2日發布的,主要針對核電廠安全系統中數字計算機適用性制定的準則,用于代替原有的GB/T 13629-1998《核電廠安全系統中數字計算機的適用準則》。該準則主要參考IEEEStd 7-4.3.2-2003《核電廠安全系統中數字計算機的使用準則》進行修改,將其中的美國標準改為相應的中國標準。標準規定了計算機用作核電廠安全系統設備時的一般原則,規范主要引用了GB/T、EJ/T、HAF及IEEE的相關標準。國際范圍內核電工業控制系統信息安全的標準、導則、指南包括:(1)REGULATORY GUIDE 5.71
REGULATORY GUIDE5.71(簡稱RG 5.71)是美國核能管理委員會于2008年9月29日批準發布的,目的是為核動力廠的數字計算機及通信網絡系統提供高保障,從而使其可以應對網絡攻擊的威脅。RG 5.71描述了一種促進防御策略的監管立場,防御策略由防守架構和一系列安全控制方式構成,這些方法基于NIST SP 800-53和NISTSP 800-82相關標準的《工業控制系統安全指南》。(2)REGULATORY GUIDE 1.152 RG 1.152《核電廠安全系統計算機使用標準》是由美國核能監管委員會(NRC)于2004年12月發布的一項導則。此項規定是為使用核電廠安全系統中數字計算機時,促進其功能可靠性、設計質量、信息和網絡安全而制定的。標準共包含四個部分:介紹、討論、監管狀況、實施以及監管分析。其中第三部分監管狀況中主要為功能和設計要求、安全及相關參考三部分。
(3)ISA IEC 62443系列
ISA IEC 62443《工業過程測量、控制和自動化網絡與系統信息安全》系列標準,其最初是由國際自動化協會(ISA)中的ISA99委員會提出。2007年,IEC/TC65/WG10與ISA99成立聯合工作組,共同制定ISAIEC 62443系列標準。2011年5月,IEC/TC65年會決定整合ISA IEC 62443標準結構。IEC 62443系列標準目前分為通用、信息安全程序、系統技術和部分技術四部分,共12個文檔,每個文檔描述了工業控制系統信息安全的不同方面。(4)NIST SP 800-53 NIST SP 800-53為聯邦信息系統和組織推薦的安全控制,標準制定目的是為信息系統選擇和指定安全控制提供指導,以支持聯邦政府執行機構滿足FIPS200的要求——“聯邦信息和信息系統的最低安全要求”。該指導適用于所有處理、存儲或傳輸聯邦信息的信息系統的組件。NISTSP 800-53包含管理、操作和技術3類安全控制措施,為機構實施信息安全項目提供了基本信息安全控制點。(5)IEEE Std 603-2009 IEEE Std 603-2009核電站安全系統的標準,是IEEE標準603-1980演變而來。該標準規定的功能和設計標準,是一般性質,它需要支持包含一般和具體的標準,包括安全系統的要求最小的一組標準。(6)NIST SP 800-82 NIST SP 800-82工業控制系統(ICS)的安全指南,其目的是為確保工業控制系統(ICS),包括監控和數據采集系統(SCADA)、分布式控制系統(DCS),以及其它系統的控制功能提供指導。文件提供了一個概述,ICS和典型系統拓撲結構,確定這些系統的典型威脅和脆弱性,并提供建議的安全對策,以減輕相關風險。2 我國核電信息安全標準建設
我國核安全標準體系總體呈金字塔形結構,參見圖1,依托的國家法律主要有《中華人民共和國環境保護法》、《中華人民共和國放射性污染防治法》等;國務院行政法規為HAF系列,主要有《中華人民共和國民用核設施安全監督管理條例》HAF001、《中華人民共和國核材料管制條例》HAF501、《核電廠核事故應急管理條例》HAF002、《民用核安全設備監督管理條例 500號令》等;指導性文件主要是核安全導則HAD,與核電廠數字儀控系統相關的有通用系列 HAF003/質保類導則、HAD102/01 核電廠設計總的安全原則、HAD102/10 核電廠保護系統及有關設備、HAD102/14 核電廠安全有關儀表和控制系統、HAD102/16 核動力廠基于計算機的安全重要系統軟件、HAD102/17 核動力廠安全評價與驗證等。
可見,我國的核安全標準體系是較完善的、結構化的,但是對核電廠自動化控制系統、數字儀控系統信息安全并沒有針對性的標準。同時,國內的核安全標準體系并沒有與信息安全的標準體系有任何相互交叉。
與之相反的是,美國的RG 5.71《核設施的信息安全程序》,雖然只是美國核管會提出的核設施安全導則,卻從術語、定義開始大量繼承了美國聯邦法規中計算機系統信息安全的相關內容。因此,可以將RG 5.71視作美國核管會根據聯邦法規中對于計算機、通信系統和網絡保護的需求,針對核電廠而制定的法規。其所有的背景與定義均來源于聯邦法規,如RG 5.71保護系統與網絡免受信息安全攻擊的需求來源于聯邦法規10CFR 73.54(a)(2)部分;其對關鍵信息資產(CDA,critical digital assets)的定義取自聯邦法規10 CFR73.54部分等。
現在,我國工業控制系統信息安全正處于起步階段,各主管部門都在分別編制工業控制系統信息安全相關標準,離標準正式出臺還有一段時間,將工控安全與等保、分保等成熟的信息安全體系結合,并非短時間內可以完成,加之在核電領域,核安全有自身的標準體系,從頂層開始全局性地為核電信息安全建立標準體系短時期內不太可行。因此,筆者認為先制定一套符合國情、適合行業特點的核設施信息安全程序導則,對于實際環境中最終用戶的信息安全需求以及科研性質的核電信息安全研究工作都很有幫助。在這方面,RG 5.71可以說是提供了一個很好的參考,如前文所述,RG 5.71介紹了一個完整的核設施的信息安全程序,提供了信息安全計劃的模板,并根據NIST SP 800-82、NIST SP800-53提出了核設施的信息安全控制項,在實際環境下,無論是對最終用戶還是科研學者都有很強的指導性與操作性。
RG 5.71作為美國核管會的核電安全導則,其實也和國內的相關標準有著一定的同源性。RG 5.71參考了IEEE Std 7-4.3.2-2003《核電廠安全系統的計算機系統標準》,而IEEE Standard 7-4.3.2-2003為IEEE Std603.1998《核電廠安全系統準則》的補充標準。在我國的國標體系中,GB/T 13629-2008《核電廠安全系統中數字計算機的適用準則》修改采用了IEEE Std 7-4.3.2-2003;GB/T 13284.1-2008《核電廠安全系統第1部分:設計準則》也修改采用了IEEE Std 603.1998。
國家能源局已擬將參考RG 5.71的思路給出一個適合我國核電行業現狀的信息安全導則,在這個過程中,筆者覺得有幾點需要注意的地方。
(1)導則的可擴展性和可實施性。RG 5.71作為美國聯邦法規的一個分支,有很好的可擴展性和可實施性。但若將其引入國內,作為核電廠的標準規范,則無法充分發揮這兩點的特性,并且RG 5.71直接引用、參考了美國聯邦法規,我們需要在我國的標準體系內根據實際核電行業工控系統特性重新定義、描述相關內容。(2)導則的適用性。RG 5.71提供了一組安全控制項,這些內容都直接或間接參考了NIST SP 800-
53、NIST SP 800-82。NIST SP 800-82對工業控制系統信息安全工作有很好的參考意義,其信息安全程序與安全控制項基本適用于國內工控系統現狀。但我國尚未出臺直接引用或參考NIST SP 800-82的標準,對參考RG5.71的適用性評價等同于NIST SP 800-82對我國工控安全工作的可操作性的間接認定。所以,從這個觀點出發,我們更需要相對謹慎地篩選、整理符合我國核電特點的信息安全程序與安全控制項。3 結語
國外核電信息安全標準化道路已經走了一段時間,我國雖起步較晚,但是也已全方面開展了相關工作。無論最終是否借鑒RG 5.71的思路建設國內的核電信息安全標準,核電行業工業控制系統的信息安全始終缺乏頂層國家法規的支持,真正要規范核電行業的信息安全、提出符合國情的安全政策,還需要整合業界資源,集思廣益,真正為“核安全”保駕護航、為“信息安全”添磚加瓦、為我國的“國家安全”大策略提供最有力的支持與保證。作者簡介
謝新勤(1975-),男,現任上海三零衛士信息安全有限公司工程安全研究室總監。長年從事信息安全工作,2010年進入工控信息安全領域研究,對物聯網、云計算和大數據如何影響工控信息安全有獨到的見解。
點擊咨詢 