随着工业自动化系统的发展,工业控制系统的信息安全技术也得到了长足的发展。未来,工业控制系统的信息安全技术将进一步利用传统的IT技术,使其更加智能化、网络化,成为控制系统不可或缺的一部分。
我国工控安全领域的法规政策主要包括国家、产业、行业三个层面:
国家层面
2017年,我国颁布《中华人民共和国网络安全法》,标志着我国网络安全建设有法可依。《网络安全法》中,关键信息基础设施作为独立一节,体现了我国对关键信息基础设施的重视。而工业网络、工业系统承担着国家安全、国计民生、公共利益的职责,因此被认为是关键信息基础设施的一部分。
2、数据安全法与个人信息保护
《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,对关键信息基础设施运行过程中所产生的业务数据、个人隐私数据、运行数据等做出细化的防护规定。
3、网络安全等级保护制度2.0
2019年,网络安全等级保护制度2.0标准正式发布并实施。在《GBT22239-2019信息安全技术网络安全等级保护基本要求》中,除安全通用要求外,还提出了工业控制系统安全扩展要求,通过分析OT网络与IT网络的区别,进行了针对安全防护要求。
等保2.0的安全扩展要求主要针对于生产管理层、过程监控层、现场控制层和现场设备层。其中生产管理层和过程监控层注重对网络通讯和网络隔离进行要求,现场控制层和现场设备层作为OT网络的主体,包含了从设备、到资产再到网络通讯的全方位安全要求。
4、关键信息基础设施保护条例
2021年9月1日,《关键信息基础设施安全保护条例》(以下简称“条例”)实施,定义了从国家网信部门统筹,公安部监督,各级人民政府、各行业主管单位配合的监管体系。
《条例》细化了《网络安全法》中对关键信息基础设施的要求。《条例》更注重的是从架构层面的建设问题,要求工控企业具备的基本能力,并明确了如果没有达到要求时相应的处罚。这些要求及能力如何具体落地,工业企业还需根据等保2.0相关标准进行执行。
产业层面
从产业层面看,产业主管部门基于国家法律规定,将工控安全要求细化成可落地建设的指南,对在安全技术应用、实现防护要求的具体方法进行指导,并依据指导意见建立考核点,以检查落地的成效。
2011年10月,工信部发布关于工业控制安全的《关于加强工业控制系统信息安全管理的通知》(以下简称“《通知》”),从四个方面提出工控安全建设要求:加强对工业安全重要性的认识;落实工控安全中的六项管理要求;建立健全工控安全监管机制;强化工控系统安全组织领导工作。
2016年10月,工信部印发《工业控制系统信息安全防护指南》,从十一个方面要求工控企业做好安全防护工作。《工业控制系统信息安全防护指南》给出了第一个细化的工控安全落实管理、技术架构。《指南》共十一条,对工业系统的安全建设从管理、技术、应急处置、设备资产管理等多方面进行了建议。
2017年,工信部办公厅发布了“工业和信息化部关于印发《工业控制系统信息安全防护能力评估工作管理办法》的通知“,旨在检验《工业控制系统信息安全防护指南》的实践效果。在通知中,同时发布了《工业控制系统信息安全防护能力评估方法》,工信部、各行业单位将依照《评估办法》对部分工控安全企业进行检查。
2020年2月,工信部印发《工业数据分类分级指南(试行)》,要求工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。企业的研发数据、生产数据、运维数据、管理数据、外部数据需要进行分类处理,并依据一旦遭到篡改、破坏、泄露或分发利用后可能产生的潜在影响进行分级处理。
行业层面
从行业层面看,主要包括能源、电力、交通运输、生产制造等,由于工业领域各行业安全现状有所不同,各工业系统的安全需求具备差异化,因此各行业主管部门均在根据自身情况,推进行业内的工业安全建设指导,并形成行业标准。