港口工业控制系统网络安全等保合规技术方案
TIME:2024-07-11 click: 70 次
1.1. 项目背景
近年来,“本田公司遭受新型勒索软件攻击” 、“巴西航空工业公司遭受勒索 攻击并导致数据泄露” 、“印度新冠疫苗制造厂遭受黑客攻击” 、“以色列供水系统 遭受黑客攻击”等新闻频频出现在大众视野,充分反映了工业控制系统网络面临 严峻的安全形势。2021 年,CICSVD 新收录工业信息安全漏洞数多达 1504 个, 国家工业信息安全发展研究中心完成全国工业控制系统威胁诱捕网络部署工程, 全年共捕获来自境外 105 个国家和地区对我国实施的扫描探测、信息读取等恶意 行为超 600 万次。当前,我国内工业控制系统网络安全形势异常严峻,工控系统 安全防护建设已刻不容缓。
工控安全关系着企业生产、国计民生, 更关系着整个国家的安全和利益,工 控安全问题已上升为国家战略。2017 年 6 月 1 日起《中华人民共和国网络安全 法》正式施行,其中明确提出“关键信息基础设施的运行安全” 。GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》为了配合《中华人民共和国网络 安全法》的实施, 同时适应云计算、移动互联网、物联网、工业控制和大数据等 新技术、新应用情况下网络安全等级保护工作的开展, 针对共性安全保护需求提 出安全通用要求,针对云计算、移动互联网、物联网、工业控制和大数据等新技 术、新应用领域的个性安全保护需求提出安全扩展要求,并于 2019 年 12 月 01 正式施行。2020 年 07 月,公安部制定出台了《贯彻落实网络安全等级保护制度 和关键信息基础设施安全保护制度的指导意见》,指导意见中将港口工业控制系 统、智能制造系统、物联网等重点保护对象均纳入关键信息基础设施,同时中央网信办网络安全协调局发布的《国家网络安全检查操作指南》中将港口管理运营 行业生产系统定义为关键信息基础设施,需要在网络安全等级保护制度的基础 上,实行重点保护,保障港口工业控制系统的稳定、高效、安全运行。
1.2. 项目建设目标、依据
港口工业控制系统网络安全保护建设工作是贯彻落实国家网络安全等级保 护制度和国家监管机构相关文件、遵循等保 2.0 的基本要求与设计要求,在建设 规划方面,需要遵从网络安全与信息化工作同步规划、同步建设、同步使用的“三 同步”原则,坚持“谁主管、谁负责,谁运营、谁负责”的要求,切实落实安全主 体责任制。
港口工业控制系统的网络安全防护主要针对港口生产过程中用于监视和控 制、基于计算机及网络技术的业务系统及安全监测设备, 以及作为基础支撑的通 信及数据网络进行防护。由于港口行业的特殊性将生产系统根据工控系统、非工 控系统划分为不同的区域,通过强化区域内各生产子系统的网络、主机、环境及 数据的安全防护,辅以管理制度、组织人员、系统建设、系统运维等管理支撑, 提升港口企业生产系统及重要生产数据的安全性,增强整体安全防护能力,保障 港口企业安全生产稳定运行。
1.2.1. 建设目标
依据网络安全法、等保 2.0 等国家及行业相关标准、规范和最佳实践, 对港 口工业控制系统进行网络安全建设,总体达到能够抵御黑客、病毒、恶意代码对 生产系统的破坏和攻击,阻止内部人员的非法访问,抵御外部攻击,在遭受攻击 和破坏后能及时恢复系统的能力,提高关键业务数据的可用性、机密性、完整性, 满足等保合规建设要求。
1.2.2. 建设依据
本方案引用参考下列文件,凡是标注日期的引用文件版本适用于本文件。凡 是不标注日期的引用文件,其最新版本(包括所有的修订单)适用于本文件。
表 1-1 参考标准
法规、政策、指南类文件 |
序号 |
文件名称 |
1 |
中华人民共和国主席令〔2017〕第 53 号《中华人民共和国网络安全法》 |
2 |
《关于加强工业控制系统网络安全管理的通知》(工信部〔2011〕451 号) |
3 |
《信息化和工业化融合发展规划(2016-2020 年)》 |
4 |
《工业控制系统信息安全防护指南》(工信软函〔2016〕338 号) |
5 |
《工业控制系统信息安全事件应急管理工作指南》(工信部信软〔2017〕122 号) |
6 |
《中华人民共和国计算机信息系统安全保护条例》(国务院令第 147 号) |
标准规范类 |
序号 |
规范名称 |
1 |
GB/T 30976.1-2014《工业控制系统网络安全第 1 部分:评估规范》 |
2 |
GB/T 30976.2-2014《工业控制系统网络安全第 2 部分:验收规范》 |
3 |
GB/T 32919-2016《信息安全技术 工业控制系统安全应用指南》 |
4 |
GB/T 33007-2016《工业通信网络 网络和系统安全 建立工业自动化和控制系统安 全程序》 |
5 |
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》 |
6 |
GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》 |
7 |
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》 |
8 |
ISO/IEC 27001《信息系统安全管理体系标准》 |