智能制造網APP
智能制造網手機站
智能制造網小程序
智能制造網官微
智能制造網服務號
智能控制
機器人
儀器儀表
物聯(lián)網
3D打印
工業(yè)軟件
回放
氣動離合器COREMO E4-NA1976 蝶形剎車片 水泵制動器
品牌
隨著工業(yè)自動化系統(tǒng)的發(fā)展,工業(yè)控制系統(tǒng)的信息安全技術也得到了長足的發(fā)展。未來,工業(yè)控制系統(tǒng)的信息安全技術將進一步利用傳統(tǒng)的IT技術,使其更加智能化、網絡化,成為控制系統(tǒng)不可或缺的一部分。
與傳統(tǒng)IP互聯(lián)網相似,工業(yè)控制系統(tǒng)的信息安全產品將在信息安全與工業(yè)生產控制之間找到契合點,形成具有工業(yè)控制系統(tǒng)鮮明特色的安全輸入、安全控制和安全輸出產品體系。
工控安全考慮功能、物理和信息安全。
一般來說,工業(yè)控制系統(tǒng)的安全可以分為三個方面,即功能安全、物理安全和信息安全。
安全是實現(xiàn)設備和工廠的安全功能。受保護和受控設備的安全相關部分必須正確執(zhí)行其功能,當故障或失效發(fā)生時,設備或系統(tǒng)必須仍能維持安全條件或進入安全狀態(tài)。
物理安全就是減少觸電、火災、輻射、機械危險、化學危險等因素造成的傷害。
IEC62443對工業(yè)控制系統(tǒng)信息安全的定義是:“為保護系統(tǒng)而采取的措施;通過建立和維護保護系統(tǒng)的措施獲得的系統(tǒng)狀態(tài);避免對系統(tǒng)資源的未經授權的訪問以及未經授權或意外的更改、破壞或丟失;基于計算機系統(tǒng)的能力,可以保證未授權的人員和系統(tǒng)既不能修改軟件及其數據,也不能訪問系統(tǒng)功能,但保證授權的人員和系統(tǒng)不被阻塞;防止對工業(yè)控制系統(tǒng)的非法或有害入侵或干擾其正確和有計劃的操作。”
工控安全法規(guī)政策梳理
我國工控安全領域的法規(guī)政策主要包括國家、產業(yè)、行業(yè)三個層面:
國家層面
從國家層面來看,工控安全法規(guī)多是通過具體法律、條例中的規(guī)章,以管理維度要求工業(yè)生產企業(yè)在信息化過程中需要注意的事項。
1、網絡安全法
2017年,我國頒布《中華人民共和國網絡安全法》,標志著我國網絡安全建設有法可依?!毒W絡安全法》中,關鍵信息基礎設施作為獨立一節(jié),體現(xiàn)了我國對關鍵信息基礎設施的重視。而工業(yè)網絡、工業(yè)系統(tǒng)承擔著國家安全、國計民生、公共利益的職責,因此被認為是關鍵信息基礎設施的一部分。
2、數據安全法與個人信息保護
《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》,對關鍵信息基礎設施運行過程中所產生的業(yè)務數據、個人隱私數據、運行數據等做出細化的防護規(guī)定。
3、網絡安全等級保護制度2.0
2019年,網絡安全等級保護制度2.0標準正式發(fā)布并實施。在《GBT22239-2019信息安全技術網絡安全等級保護基本要求》中,除安全通用要求外,還提出了工業(yè)控制系統(tǒng)安全擴展要求,通過分析OT網絡與IT網絡的區(qū)別,進行了針對安全防護要求。
等保2.0的安全擴展要求主要針對于生產管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設備層。其中生產管理層和過程監(jiān)控層注重對網絡通訊和網絡隔離進行要求,現(xiàn)場控制層和現(xiàn)場設備層作為OT網絡的主體,包含了從設備、到資產再到網絡通訊的全方位安全要求。
4、關鍵信息基礎設施保護條例
2021年9月1日,《關鍵信息基礎設施安全保護條例》(以下簡稱“條例”)實施,定義了從國家網信部門統(tǒng)籌,公安部監(jiān)督,各級人民政府、各行業(yè)主管單位配合的監(jiān)管體系。
《條例》細化了《網絡安全法》中對關鍵信息基礎設施的要求?!稐l例》更注重的是從架構層面的建設問題,要求工控企業(yè)具備的基本能力,并明確了如果沒有達到要求時相應的處罰。這些要求及能力如何具體落地,工業(yè)企業(yè)還需根據等保2.0相關標準進行執(zhí)行。
產業(yè)層面
從產業(yè)層面看,產業(yè)主管部門基于國家法律規(guī)定,將工控安全要求細化成可落地建設的指南,對在安全技術應用、實現(xiàn)防護要求的具體方法進行指導,并依據指導意見建立考核點,以檢查落地的成效。
2011年10月,工信部發(fā)布關于工業(yè)控制安全的《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(以下簡稱“《通知》”),從四個方面提出工控安全建設要求:加強對工業(yè)安全重要性的認識;落實工控安全中的六項管理要求;建立健全工控安全監(jiān)管機制;強化工控系統(tǒng)安全組織領導工作。
2016年10月,工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》,從十一個方面要求工控企業(yè)做好安全防護工作?!豆I(yè)控制系統(tǒng)信息安全防護指南》給出了第一個細化的工控安全落實管理、技術架構。《指南》共十一條,對工業(yè)系統(tǒng)的安全建設從管理、技術、應急處置、設備資產管理等多方面進行了建議。
2017年,工信部辦公廳發(fā)布了“工業(yè)和信息化部關于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》的通知“,旨在檢驗《工業(yè)控制系統(tǒng)信息安全防護指南》的實踐效果。在通知中,同時發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護能力評估方法》,工信部、各行業(yè)單位將依照《評估辦法》對部分工控安全企業(yè)進行檢查。
2020年2月,工信部印發(fā)《工業(yè)數據分類分級指南(試行)》,要求工業(yè)和信息化主管部門、工業(yè)企業(yè)、平臺企業(yè)等開展工業(yè)數據分類分級工作。企業(yè)的研發(fā)數據、生產數據、運維數據、管理數據、外部數據需要進行分類處理,并依據一旦遭到篡改、破壞、泄露或分發(fā)利用后可能產生的潛在影響進行分級處理。
行業(yè)層面
從行業(yè)層面看,主要包括能源、電力、交通運輸、生產制造等,由于工業(yè)領域各行業(yè)安全現(xiàn)狀有所不同,各工業(yè)系統(tǒng)的安全需求具備差異化,因此各行業(yè)主管部門均在根據自身情況,推進行業(yè)內的工業(yè)安全建設指導,并形成行業(yè)標準。
浙公網安備 33010602000006號
智能制造網APP
智能制造網小程序
微信公眾號
