2016年工业和信息化部印发了《工业控制系统信息安全防护指南》,该文件作为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),保障工业企业工业控制系统信息安全而制定,适用于企事业单位的工业控制系统应用企业以及从事工业控制系统规划、设计、建设、运维、评估等工作。 在2017年,在协助某地市开展工业控制系统应用企业检查过程中,我们依据该指南从十一个方面入手,制定有关工控安全防护工作检查表格,通过对当地工信部门先期梳理的十多家企业进行安全检查,在这个过程中得到了大多数企业的积极配合。当然,后面国家信息化管理委员会又发布了《信息安全技术 工业控制系统安全检查指南》GB/T 37980-2019,以后有关工业控制系统安全检查则可以参考GB/T 37980开展。 也有几家企业,确实具有相应的工业控制系统,如某知名纸业公司、知名食品公司、化工集团等企业,都有完备的DCS系统,而这些系统运行均正常。当然,也存在非常多的问题,如其中一家单位存在拓扑图不清晰、有应急预案但从来未做过应急演练;缺少防恶意代码以及白名单规则库;物理安全方面缺少监控与安全值守,多人共用一个账号,备份通过移动硬盘备份,缺少安全检测设备、未建立系统资产清单等。 检查中发现,多家单位或多或少都存在指南中提及的安全问题,从检查来看,更说明企业若依据这份指南主动自查自改,对提升其单位的工业控制系统安全作用还是非常大的,工信部门的监督检查是非常有必要的。 另外,在设计工业控制系统等级测评过程中,也发现指南中提及的安全问题,而工业控制系统的OT对这方面关注是远远不够的,这也是当下普遍状况,所以工业控制安全可谓任重而道远,在此我也期待志士仁人一起为工业控制安全尽一份力! |
|
来自: 祺印说信安 > 《工业控制系统安全》