工業(yè)和信息化部通知加強工業(yè)控制系統(tǒng)信息安全管理
工信部協(xié)[2010]451號
2011/10/28
CTI論壇(ctiforum)10月28日消息(記者 潘婷婷): 記者從工信部網(wǎng)站獲悉,電信管理局公示了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知 》,要求各地區(qū)�����、各有關(guān)部門、有關(guān)國有大型企業(yè)充分認識工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性����,切實加強工業(yè)控制系統(tǒng)信息安全管理,以保障工業(yè)生產(chǎn)運行安全、國家經(jīng)濟安全和人民生命財產(chǎn)安全���。
以下為公告全文:
各省�、自治區(qū)�、直轄市人民政府��,國務(wù)院有關(guān)部門����,有關(guān)國有大型企業(yè):
工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運行、國家經(jīng)濟安全和人民生命財產(chǎn)安全�����,為切實加強工業(yè)控制系統(tǒng)信息安全管理���,經(jīng)國務(wù)院同意�����,現(xiàn)就有關(guān)事項通知如下:
一�����、充分認識加強工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性
數(shù)據(jù)采集與監(jiān)控(SCADA)���、分布式控制系統(tǒng)(DCS)�����、過程控制系統(tǒng)(PCS)��、可編程邏輯控制器(PLC)等工業(yè)控制系統(tǒng)廣泛運用于工業(yè)�����、能源��、交通�、水利以及市政等領(lǐng)域�����,用于控制生產(chǎn)設(shè)備的運行�����。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞���,將對工業(yè)生產(chǎn)運行和國家經(jīng)濟安全造成重大隱患��。隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展����,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議�、通用硬件和通用軟件�����,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接���,病毒��、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散����,工業(yè)控制系統(tǒng)信息安全問題日益突出����。2010年發(fā)生的“震網(wǎng)”病毒事件,充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴峻的形勢��。與此同時,我國工業(yè)控制系統(tǒng)信息安全管理工作中仍存在不少問題���,主要是對工業(yè)控制系統(tǒng)信息安全問題重視不夠���,管理制度不健全,相關(guān)標準規(guī)范缺失��,技術(shù)防護措施不到位�,安全防護能力和應(yīng)急處置能力不高等,威脅著工業(yè)生產(chǎn)安全和社會正常運轉(zhuǎn)��。對此��,各地區(qū)�����、各部門�、各單位務(wù)必高度重視,增強風險意識�����、責任意識和緊迫感�����,切實加強工業(yè)控制系統(tǒng)信息安全管理。
二���、明確重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求
加強工業(yè)控制系統(tǒng)信息安全管理的重點領(lǐng)域包括核設(shè)施�����、鋼鐵���、有色、化工��、石油石化�����、電力�����、天然氣�、先進制造��、水利樞紐、環(huán)境保護����、鐵路、城市軌道交通����、民航、城市供水供氣供熱以及其他與國計民生緊密相關(guān)的領(lǐng)域���。各地區(qū)�、各部門�、各單位要結(jié)合實際,明確加強工業(yè)控制系統(tǒng)信息安全管理的重點領(lǐng)域和重點環(huán)節(jié)�����,切實落實以下要求���。
�。ㄒ唬┻B接管理要求��。
1. 斷開工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的所有不必要連接���。
2. 對確實需要的連接���,系統(tǒng)運營單位要逐一進行登記���,采取設(shè)置防火墻、單向隔離等措施加以防護����,并定期進行風險評估,不斷完善防范措施�。
3. 嚴格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動存儲介質(zhì)以及便攜式計算機。
��。ǘ┙M網(wǎng)管理要求��。
1. 工業(yè)控制系統(tǒng)組網(wǎng)時要同步規(guī)劃���、同步建設(shè)、同步運行安全防護措施��。
2. 采取虛擬專用網(wǎng)絡(luò)(VPN)��、線路冗余備份�、數(shù)據(jù)加密等措施��,加強對關(guān)鍵工業(yè)控制系統(tǒng)遠程通信的保護�。
3. 對無線組網(wǎng)采取嚴格的身份認證�����、安全監(jiān)測等防護措施����,防止經(jīng)無線網(wǎng)絡(luò)進行惡意入侵,尤其要防止通過侵入遠程終端單元(RTU)進而控制部分或整個工業(yè)控制系統(tǒng)�。
(三)配置管理要求��。
1. 建立控制服務(wù)器等工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備安全配置和審計制度�。
2. 嚴格賬戶管理,根據(jù)工作需要合理分類設(shè)置賬戶權(quán)限���。
3. 嚴格口令管理���,及時更改產(chǎn)品安裝時的預(yù)設(shè)口令,杜絕弱口令����、空口令�����。
4. 定期對賬戶���、口令、端口��、服務(wù)等進行檢查��,及時清理不必要的用戶和管理員賬戶���,停止無用的后臺程序和進程�,關(guān)閉無關(guān)的端口和服務(wù)���。
�。ㄋ模┰O(shè)備選擇與升級管理要求��。
1. 慎重選擇工業(yè)控制系統(tǒng)設(shè)備�����,在供貨合同中或以其他方式明確供應(yīng)商應(yīng)承擔的信息安全責任和義務(wù)���,確保產(chǎn)品安全可控�。
2. 加強對技術(shù)服務(wù)的信息安全管理�,在安全得不到保證的情況下禁止采取遠程在線服務(wù)。
3. 密切關(guān)注產(chǎn)品漏洞和補丁發(fā)布����,嚴格軟件升級、補丁安裝管理���,嚴防病毒�����、木馬等惡意代碼侵入���。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級、補丁安裝前要請專業(yè)技術(shù)機構(gòu)進行安全評估和驗證����。
(五)數(shù)據(jù)管理要求�����。
地理、礦產(chǎn)�、原材料等國家基礎(chǔ)數(shù)據(jù)以及其他重要敏感數(shù)據(jù)的采集、傳輸��、存儲�����、利用等�,要采取訪問權(quán)限控制、數(shù)據(jù)加密�、安全審計、災(zāi)難備份等措施加以保護�����,切實維護個人權(quán)益�����、企業(yè)利益和國家信息資源安全�。
(六)應(yīng)急管理要求�����。
制定工業(yè)控制系統(tǒng)信息安全應(yīng)急預(yù)案���,明確應(yīng)急處置流程和臨機處置權(quán)限�,落實應(yīng)急技術(shù)支撐隊伍���,根據(jù)實際情況采取必要的備機備件等容災(zāi)備份措施�。
三�����、建立工業(yè)控制系統(tǒng)安全測評檢查和漏洞發(fā)布制度
����。ㄒ唬┘訌娭攸c領(lǐng)域工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備的信息安全測評工作。全國信息安全標準化技術(shù)委員會抓緊制定工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備信息安全規(guī)范和技術(shù)標準���,明確設(shè)備安全技術(shù)要求��。重點領(lǐng)域的有關(guān)單位要請專業(yè)技術(shù)機構(gòu)對所使用的工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備進行安全測評��,檢測安全漏洞��,評估安全風險����。工業(yè)和信息化部會同有關(guān)部門對重點領(lǐng)域使用的工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備進行抽檢。
�。ǘ┙⒐I(yè)控制系統(tǒng)信息安全檢查制度。工業(yè)控制系統(tǒng)運營單位要從實際出發(fā)�,定期組織開展信息安全檢查,排查安全隱患�,堵塞安全漏洞。工業(yè)和信息化部適時組織專業(yè)技術(shù)力量對重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全狀況進行抽查��,及時通報發(fā)現(xiàn)的問題�����。
���。ㄈ┙⑿畔踩┒葱畔l(fā)布制度�。開展工業(yè)控制系統(tǒng)信息安全漏洞信息的收集��、匯總和分析研判工作��,及時發(fā)布有關(guān)漏洞�����、風險和預(yù)警信息。
四�����、進一步加強工業(yè)控制系統(tǒng)信息安全工作的組織領(lǐng)導
各地區(qū)����、各部門����、各單位要將工業(yè)控制系統(tǒng)信息安全管理作為信息安全工作的重要內(nèi)容,按照誰主管誰負責��、誰運營誰負責���、誰使用誰負責的原則���,建立健全信息安全責任制。各級政府工業(yè)和信息化主管部門要加強對工業(yè)控制系統(tǒng)信息安全工作的指導和督促檢查���。有關(guān)行業(yè)主管或監(jiān)管部門�����、國有資產(chǎn)監(jiān)督管理部門要加強對重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理工作的指導監(jiān)督���,結(jié)合行業(yè)實際制定完善相關(guān)規(guī)章制度�,提出具體要求��,并加強督促檢查確保落到實處���。有關(guān)部門要加快推動工業(yè)控制系統(tǒng)信息安全防護技術(shù)研究和產(chǎn)品研制���,加大工業(yè)控制系統(tǒng)安全檢測技術(shù)和工具研發(fā)力度。國有大型企業(yè)要切實加強工業(yè)控制系統(tǒng)信息安全管理的領(lǐng)導�����,健全工作機制���,嚴格落實責任制���,將重要工業(yè)控制系統(tǒng)信息安全責任逐一落實到具體部門、崗位和人員���,確保領(lǐng)導到位�����、機構(gòu)到位����、人員到位、措施到位���、資金到位。
二〇一一年九月二十九日
CTI論壇報道
相關(guān)閱讀:
东平县|
稻城县|
岐山县|
垣曲县|
涞水县|
谷城县|
龙里县|
雷山县|
临安市|
灌南县|
视频|
大同县|
原平市|
调兵山市|
奉贤区|
乾安县|
岑巩县|
来宾市|
嵊州市|
化隆|
沿河|
安远县|
博爱县|
喀喇|
修文县|
冀州市|
北川|
西丰县|
长春市|
鄂托克旗|
商水县|
安阳市|
自治县|
辽阳县|
雷山县|
绵竹市|
石阡县|
板桥市|
金乡县|
阳曲县|
五华县|