工信部印发《工业控制系统网络安全防护指南》

为适应新型工业化发展形势,提高我国工业控制系统网络安全保障水平,指导工业企业开展工控安全防护工作,工业和信息化部印发《工业控制系统网络安全防护指南》(以下简称《指南》)。《指南》适用于使用、运营工业控制系统的企业,防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。

《指南》定位于面向工业企业做好网络安全防护的指导性文件,坚持统筹发展和安全,围绕安全管理、技术防护、安全运营、责任落实四方面,提出33项指导性安全防护基线要求,推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。

在指导企业做好网络安全防护方面,《指南》要求,工业设备上云时,采用双向身份认证,禁止未标识设备接入工业云平台;业务系统上云时,应确保不同业务系统运行环境的安全隔离。定期梳理工业控制系统运行产生的数据,使用密码技术、访问控制、容灾备份等对数据实施安全保护。规范软件和服务安全使用,落实数据安全分类分级保护。定期开展工业控制系统网络安全相关法律法规、政策标准宣传教育,增强企业人员网络安全意识。

在防范网络安全风险、提高应急处置能力方面,《指南》提出,制定工控安全事件应急预案,定期开展应急演练。密切关注工业和信息化部网络安全威胁和漏洞信息共享平台等重大工控安全漏洞及其补丁程序发布,对重要工业控制系统定期开展漏洞排查。做好定期网络安全风险评估和防护能力评估,开展日常系统漏洞排查并实施安全加固。另外,有条件的企业可建立工业控制系统网络安全运营中心,全面监测网络安全威胁,提升风险隐患集中排查和事件快速响应能力。

原标题:工信部印发《工业控制系统网络安全防护指南》