1、從合規(guī)視角看工控平安防護體系建設(shè)編者按工業(yè)生產(chǎn)企業(yè)應(yīng)該嚴格按照相關(guān)的平安合規(guī)要求，開展企業(yè)的工控平安規(guī)劃與建設(shè)。目錄 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 編者按1刖51 HYPERLINK l bookmark4 o Current Document .工控平安法規(guī)政策梳理1 HYPERLINK l bookmark6 o Current Document 1.國家層面2 HYPERLINK l bookmark8 o Current Document 1. 1.網(wǎng)絡(luò)平安法2 HYPERLINK l bookmark10

2、 o Current Document 1.2.數(shù)據(jù)平安法與個人信息保護2 HYPERLINK l bookmark12 o Current Document 1. 1.3.網(wǎng)絡(luò)平安等級保護制度2.02 HYPERLINK l bookmark14 o Current Document 1. 1. 4.關(guān)鍵信息基礎(chǔ)設(shè)施保護條例2 HYPERLINK l bookmark16 o Current Document 產(chǎn)業(yè)層面3 HYPERLINK l bookmark18 o Current Document 行業(yè)層面3 HYPERLINK l bookmark20 o Current Docum

3、ent .工控平安防護體系建設(shè)3.結(jié)語刖三近年來，我國工控平安領(lǐng)域的政策法規(guī)建設(shè)在不斷完善，合規(guī)監(jiān)管已經(jīng)成為工控平安市場開展 的主要推動因素之一。而工控平安領(lǐng)域的合規(guī)需求包括國家法律、行業(yè)規(guī)范要求和行業(yè)標準要求 等。工業(yè)生產(chǎn)企業(yè)應(yīng)該嚴格按照相關(guān)的平安合規(guī)要求，開展企業(yè)的工控平安規(guī)劃與建設(shè)。.工控平安法規(guī)政策梳理我國工控平安領(lǐng)域的法規(guī)政策主要包括國家、產(chǎn)業(yè)、行業(yè)三個層面：第1頁共5頁尾穌全法個人信息鈔法等密原關(guān)標卷產(chǎn)北系較信息平安史象指南工系藪信息平安爹手笠力 評估方法交豆運建T 息平安拜 (2D19)行北電力ff業(yè)尾終與信息平安看 至方法C2D14)率早行業(yè)工業(yè)拄馬系獲尾絡(luò) 安轉(zhuǎn)母木矮E (2

4、019)電力整拄系獲平安豺京體 方案C2D15)國家層面從國家層面來看，工控平安法規(guī)多是通過具體法律、條例中的規(guī)章，以管理維度要求工業(yè)生產(chǎn) 企業(yè)在信息化過程中需要注意的事項。網(wǎng)絡(luò)平安法2017年，我國公布中華人民共和國網(wǎng)絡(luò)平安法，標志著我國網(wǎng)絡(luò)平安建設(shè)有法可依。網(wǎng)絡(luò)平安法中，關(guān)鍵信息基礎(chǔ)設(shè)施作為獨立一節(jié)，表達了我國對關(guān)鍵信息基礎(chǔ)設(shè)施的重視。而 工業(yè)網(wǎng)絡(luò)、工業(yè)系統(tǒng)承當著國家平安、國計民生、公共利益的職責(zé)，因此被認為是關(guān)鍵信息基礎(chǔ)設(shè) 施的一局部。1.1. 2.數(shù)據(jù)平安法與個人信息保護中華人民共和國數(shù)據(jù)平安法和中華人民共和國個人信息保護法，對關(guān)鍵信息基礎(chǔ)設(shè)施 運行過程中所產(chǎn)生的業(yè)務(wù)數(shù)據(jù)、個人隱私數(shù)據(jù)

5、、運行數(shù)據(jù)等做出細化的防護規(guī)定。1.1. 3.網(wǎng)絡(luò)平安等級保護制度2.02019年，網(wǎng)絡(luò)平安等級保護制度2.0標準正式發(fā)布并實施。在GBT22239-2019信息平安技 術(shù)網(wǎng)絡(luò)平安等級保護基本要求中，除平安通用要求外，還提出了工業(yè)控制系統(tǒng)平安擴展要求，通 過分析OT網(wǎng)絡(luò)與IT網(wǎng)絡(luò)的區(qū)別，進行了針對平安防護要求。等保2.0的平安擴展要求主要針對于生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層。其 中生產(chǎn)管理層和過程監(jiān)控層注重對網(wǎng)絡(luò)通訊和網(wǎng)絡(luò)隔離進行要求，現(xiàn)場控制層和現(xiàn)場設(shè)備層作為 OT網(wǎng)絡(luò)的主體，包含了從設(shè)備、到資產(chǎn)再到網(wǎng)絡(luò)通訊的全方位平安要求。1.1. 4.關(guān)鍵信息基礎(chǔ)設(shè)施保護條例2021年9

6、月1日，關(guān)鍵信息基礎(chǔ)設(shè)施平安保護條例(以下簡稱“條例”)實施，定義了 從國家網(wǎng)信部門統(tǒng)籌，公安部監(jiān)督，各級人民政府、各行業(yè)主管單位配合的監(jiān)管體系。第2頁共5頁條例細化了網(wǎng)絡(luò)平安法中對關(guān)鍵信息基礎(chǔ)設(shè)施的要求。條例更注重的是從架構(gòu)層 面的建設(shè)問題，要求工控企業(yè)具備的基本能力，并明確了如果沒有到達要求時相應(yīng)的處分。這些要 求及能力如何具體落地，工業(yè)企業(yè)還需根據(jù)等保2.0相關(guān)標準進行執(zhí)行。1. 2.產(chǎn)業(yè)層面從產(chǎn)業(yè)層面看，產(chǎn)業(yè)主管部門基于國家法律規(guī)定，將工控平安要求細化成可落地建設(shè)的指南， 對在平安技術(shù)應(yīng)用、實現(xiàn)防護要求的具體方法進行指導(dǎo)，并依據(jù)指導(dǎo)意見建立考核點，以檢查落地 的成效。2011年10月，

7、工信部發(fā)布關(guān)于工業(yè)控制平安的關(guān)于加強工業(yè)控制系統(tǒng)信息平安管理的通 知（以下簡稱“通知”），從四個方面提出工控平安建設(shè)要求：加強對工業(yè)平安重要性的認 識；落實工控平安中的六項管理要求；建立健全工控平安監(jiān)管機制；強化工控系統(tǒng)平安組織領(lǐng)導(dǎo)工 作。2016年10月，工信部印發(fā)工業(yè)控制系統(tǒng)信息平安防護指南，從十一個方面要求工控企業(yè) 做好平安防護工作。工業(yè)控制系統(tǒng)信息平安防護指南給出了第一個細化的工控平安落實管理、 技術(shù)架構(gòu)。指南共十一條，對工業(yè)系統(tǒng)的平安建設(shè)從管理、技術(shù)、應(yīng)急處置、設(shè)備資產(chǎn)管理等 多方面進行了建議。2017年，工信部辦公廳發(fā)布了 “工業(yè)和信息化部關(guān)于印發(fā)工業(yè)控制系統(tǒng)信息平安防護能力 評估

8、工作管理方法的通知“，旨在檢驗工業(yè)控制系統(tǒng)信息平安防護指南的實踐效果。在通知 中，同時發(fā)布了工業(yè)控制系統(tǒng)信息平安防護能力評估方法，工信部、各行業(yè)單位將依照評估 方法對局部工控平安企業(yè)進行檢查。2020年2月，工信部印發(fā)工業(yè)數(shù)據(jù)分類分級指南（試行），要求工業(yè)和信息化主管部 門、工業(yè)企業(yè)、平臺企業(yè)等開展工業(yè)數(shù)據(jù)分類分級工作。企業(yè)的研發(fā)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、運維數(shù)據(jù)、 管理數(shù)據(jù)、外部數(shù)據(jù)需要進行分類處理，并依據(jù)一旦遭到篡改、破壞、泄露或分發(fā)利用后可能產(chǎn)生 的潛在影響進行分級處理。1. 3.行業(yè)層面從行業(yè)層面看，主要包括能源、電力、交通運輸、生產(chǎn)制造等，由于工業(yè)領(lǐng)域各行業(yè)平安現(xiàn)狀 有所不同，各工業(yè)系統(tǒng)的平安

9、需求具備差異化，因此各行業(yè)主管部門均在根據(jù)自身情況，推進行業(yè) 內(nèi)的工業(yè)平安建設(shè)指導(dǎo)，并形成行業(yè)標準。.工控平安防護體系建設(shè)基于工控平安的監(jiān)管合規(guī)要求，工業(yè)企業(yè)應(yīng)根據(jù)自身生產(chǎn)設(shè)備及系統(tǒng)的實際情況，構(gòu)建一套從第3頁共5頁工業(yè)設(shè)備管理、到網(wǎng)絡(luò)平安防護再到綜合平安管理的三層防護體系:設(shè)備管理設(shè)備供應(yīng)鏈管理外部平安支撐平安服務(wù)工業(yè)互聯(lián)網(wǎng)平安監(jiān)管平安管理人員管理平安統(tǒng)一管理建設(shè)商務(wù)采購信息管理統(tǒng)一管理平臺數(shù)據(jù)分類分級配置管理設(shè)備梳理基礎(chǔ)平安防護能力建設(shè)補丁管理設(shè)備冗余配置物理環(huán)境管理計算環(huán)境平安一訪問控帝廠行為審計一終端平安邊界平安 接入平安 邊界防護 無線平安網(wǎng)絡(luò)通訊平安傳輸平安網(wǎng)絡(luò)隔離應(yīng)急響應(yīng)報送機制

10、1、在工業(yè)設(shè)備管理層面，需要對對工業(yè)體系內(nèi)部的物理設(shè)備進行管理，保證其運行的平安問題。針對工業(yè)系統(tǒng)及工業(yè)設(shè)備，企業(yè)需通過驗證供應(yīng)商資質(zhì)、加密合同等方式，構(gòu)建平安的采購供 應(yīng)鏈路。對于已部署的工業(yè)信息資產(chǎn)，做好設(shè)備的梳理工作，明確工控網(wǎng)絡(luò)、資產(chǎn)、設(shè)備等拓撲結(jié) 構(gòu)，確保接入到工業(yè)系統(tǒng)的設(shè)備是可控的。同時還需要從物理平安層面、容災(zāi)層面進行考量。2、網(wǎng)絡(luò)平安防護層那么是通過部署平安產(chǎn)品，依照“一個中心三重防護”的平安要求進行。安 全防護是進行工控平安體系建設(shè)的核心。平安防護能力建設(shè)可以分為針對計算環(huán)境的平安建設(shè)、對 邊界的平安建設(shè)以及對網(wǎng)絡(luò)通訊的平安建設(shè)。需要注意的是，工控網(wǎng)絡(luò)的平安防護需要做好分層防

11、 護，每一層次要根據(jù)企業(yè)自身的特點做好物理防護、終端防護、網(wǎng)絡(luò)防護等。隨著平安設(shè)備數(shù)量的增加以及網(wǎng)絡(luò)拓撲結(jié)構(gòu)復(fù)雜度增加，統(tǒng)一平安管理平臺將成為必備的平安 產(chǎn)品。而由于工業(yè)企業(yè)平安運營能力的缺乏，企業(yè)需要考慮如何用好這些設(shè)備，可通過采購專業(yè)的 平安服務(wù)，例如平安托管服務(wù)、平安測試服務(wù)、應(yīng)急響應(yīng)服務(wù)等，快速提升平安防護能力。3、平安管理是指建立相應(yīng)的組織架構(gòu)、管理體系，從制度維度做好工控平安防護。工業(yè)企業(yè) 需構(gòu)建專門的工控平安組織管理部門，明確組織架構(gòu)，負責(zé)對企業(yè)內(nèi)部網(wǎng)絡(luò)平安的規(guī)劃、建設(shè)、實 施。建立相應(yīng)的平安制度，以做到工業(yè)企業(yè)內(nèi)部的人員管理、配置管理及補丁管理，做到記錄和審 計。構(gòu)建一套應(yīng)急響應(yīng)流程，有效應(yīng)對平安生產(chǎn)、網(wǎng)絡(luò)平安、數(shù)據(jù)平安帶來的風(fēng)險。形成報送機 制，有成熟的報送流程、報送格式、報送接口等。.結(jié)語工業(yè)環(huán)境的特殊性造成了工業(yè)企業(yè)的平安建設(shè)不