您現在的位置:首頁 > 新聞中心 > 公司新聞

企業實施工控安全必要性分析
上傳時間:2020-11-24 16:47:45 瀏覽次數:

主要從四個方面進行分析:標準解讀(即為什么做)、防護產品兼容性及與工控廠家責任劃分(即怎么做)、推動項目落地(即如何做)、投入預算(即做多少)

一、為什么要做工控網絡安全防御

首先,從法律法規層面講,國家的法律法規明確要求了相關企業要做好網絡安全防御,并給出了相應的防護標準:

1.《中華人民共和國網絡安全法》,20176月開始正式實施,其中三十一至三十九條,針對石油、石化、化工、交通等關鍵基礎行業的信息系統和網安全運行作了規定,并對關鍵信息基礎設施安全保護辦法的制定、負責安全保護工作的部門、運營者的安全保護義務、有關部門的監督和支持等作了規定。

2.《工業控制系統信息安全防護指南》堅持“安全是發展的前提,發展是安全的保障”,以當前我國工業控制系統面臨的安全問題為出發點,注重防護要求的可執行性,從管理、技術兩方面明確工業企業工控安全防護要求。

3.《信息安全技術網絡安全等級保護基本要求》(等保2.0)從2019121日正式實施推廣,在擴展要求中,明確工業控制系統的防護規范及要求,從室外控制設備防護、工業控制系統網絡架構安全、撥號使用控制、無線使用控制、控制設備安全等多方面說明針對工業特點提出保護措施。

4.《關鍵信息基礎設施防護條例》(試行版)詳細闡明了關鍵信息基礎設施的范圍、運營者應履行的職責以及對產品和服務的要求,對政府機關,國家行業主管或監管部門,能源、電信、交通等行業,公安機關以及個人進行要求,明確關鍵信息基礎設施范圍,規定運營者安全保護的權利和義務及其負責人的職責,要求建立關鍵信息基礎設施網絡安全監測預警體系和信息通報制度,違反本條例將會受到行政處罰、判處罰金甚至要承擔刑事責任。

5.《關鍵信息基礎設施確定指南》(試行)分析說明了什么是關鍵信息基礎設施,以及關鍵信息基礎實施確定的方式方法。

6.《工業互聯網企業網絡安全分類分級指南》(試行)明確聯網工業企業安全分類分級,并對不同安全級別防護措施、要求予以說明,明確鋼鐵、有色、石化化工、軌道交通裝備、船舶及海洋工程裝備、航空航天裝備為三類行業,且原則上規定三類行業規模以上企業定位三級企業。

其次,省市地方及企業為響應國家戰略布局、政策法規,也出臺了大量指導性、督促性文件,有:

7.《關于印發加強工業互聯網安全工作的指導意見的通知》

8.省工信廳,開展2019年工業控制系統信息安全檢查工作通知

9.省委常委會會議強調 切實貫徹落實網絡安全工作責任制

第三,中國工業落后西方國家,我們工業自動化使用的工控機、控制器(PLC、DCS、RTU等)、組態軟件、操作系統、數據庫等等都是國外產品,存在著大量漏洞,不及時應對,會給企業安全生產帶來巨大隱患。

第四,國際網絡安全形勢嚴峻,越來越多的黑客團體在網絡上進行破壞活動,而且以美國為首的多個國家都在使用或者開發“網絡攻擊武器”,如震網病毒(Stuxnet)就導致了伊朗核電站近千臺離心機損壞;席卷世界的勒索病毒就是美國軍方“永恒之藍”工具的變種,國內中石油等企業都深受其害。

最后,工業是國民生產命脈,一旦遭受網絡攻擊,對經濟、環境、人民甚至政權都會帶來重大影響,20193月委內瑞拉的大停電事件據報道就是美國通過網絡攻擊實現的,造成委內瑞拉國內政權的動蕩;2015年到2016年間俄羅斯針對烏克蘭發起的網絡攻擊,同樣造成烏克蘭大面積停電、政府服務網絡癱瘓等問題。

二、在現有的基礎上怎么做防護

首先對企業的工控系統網絡架構進行梳理,詳細了解控制系統設備運行情況及使用的通訊協議,協助企業對現有系統進行網絡安全自查,針對暴露出的問題短板進行整改。

其次,根據經驗,針對老舊工程師站、服務器等進行凈化、漏洞修補,構建“白環境”,在DCS系統與數據服務器之間部署防火墻,做到“縱向分層、橫向分區”,在匯聚交換機鏡像端口旁路部署審計系統,做到“流量監控、日志審計”,在核心機房部署監管平臺、態勢感知系統,做到“統一管理、資產畫像”。

由于防護墻部署在控制層與監管層之間,不在DCS控制系統之內,因此對生產控制無影響,但為了系統的安全可靠,防護墻具有bypass功能,且會通過兼容性測試,與工控廠商進行協調溝通,明確雙方職責。

三、如何開展企業工控系統網絡安全項目實施

根據各個企業不同的現實情況,具體實施會有所差別。例如某煤化工企業在新建項目中,規劃建設智能工廠,在智能工廠方案設計中,就將工控安全統一考慮;某管道公司,在接到政府檢查通知的情況下,通過對自查,發現問題,提出整改方案上報集團,審批通過開始實施;某石油煉化企業,按照等保2.0建設要求,對工控網絡進行加固完善;某能源石化企業,通過與工控安全廠家合作申報科技項目,共同建設工控網絡安全防護體系,等等,每家企業的項目落地及實施方式都存在不一樣的地方。

根據交流,建議企業可以這樣實施:按照等保建設規劃項目,上報集團予以立項,并可以與安全產品廠商合作申報地方在網絡安全防護方向的研究課題,在完成安全防護之后,通過系統安全定級及測評。

四、企業投入與回報

企業投入主要在最初的網絡加固過程中的硬件采購、軟件服務,及安全建設中等保咨詢、測評服務,后期投入主要為每年的系統維護升級費用(主要為人工服務費)。

企業回報主要體現有:

首先,是遵守國家法律法規、避免企業安全責任的必要途徑;

其次,是保證企業安全生產的必要措施,防止黑客破壞;

第三,在很大程度上為企業的網絡安全提供支撐,為企業培養一批專業的網絡安全技術人員。

目前主管的政府單位:網信辦(中央網絡安全和信息化委員會),以習近平書記為領導,負責協調和統籌國家網絡安全和信息化發展。工信部(廳),按照網信辦指導,引導行業工控網絡安全產業發展及行業標準貫徹、實施。公安,執法單位,按照《網絡安全法》規定,對企業進行執法檢查,并依法作出處罰。由各地網安大隊負責,負責協調、監督、檢查、指導網絡安全領域的相關問題。

 

 

許可證編號:寧ICP備11000983號-1 寧公網安備 64010602000659號
Copyright 2010 - 2020 www.322296.tw, All Rights Reserved
寧夏鋒利信息技術服務有限公司 版權所有
彩票软件公司 南昌麻将游戏可以作弊吗 11选5遗漏360 大众单机版麻将下载 19051937期河北11选5 三人麻将规则 打武汉麻将的技巧 青海快三真的有技巧吗 12奖金对照表 最好的捕鱼平台 bet365日博在线娱乐城百家乐 豪车自由驾驶的游戏 今天3d试机号 新手怎么买体育彩票 下载哈灵麻将棋牌 云南快乐10分开奖走势图 北京赛车开奖结果