工業控制系統安全規范什麼時候開始實施

Ⅰ 工業控制系統信息安全分級規范發布單位是什麼

國家標准化管理委員會
中華人民共和國國家標准化管理委員會是中華人民共和國國務院授權履行行政管理職能、統一管理全國標准化工作的主管機構，正式成立於2001年10月。2018年3月，根據第十三屆全國人民代表大會第一次會議批準的國務院機構改革方案，將中華人民共和國國家標准化管理委員會職責劃入國家市場監督管理總局，對外保留牌子。
國家 標准化管理委員會是國務院授權履行行政管理職能，統一管理全國標准化工作的主管機構。國務院有關行政主管部門和有關行業協會也設有標准化管理機構，分工管理本部門本行業的標准化工作。各省、自治區、直轄市及市、縣 質量技術監督局統一管理本行政區域的標准化工作。各省、自治區、直轄市和市、縣政府部門也設有標准化管理機構。國家標准化管理委員會對省、自治區、直轄市質量技術監督局的標准化工作實行業務領導。國家標准化管理委員會的英文名稱是：'sRepublicofChina，簡稱：SAC。中國是ISO的正式成員，代表中國的組織為中國國家標准化管理委員會（，簡稱SAC）。


工業控制系統信息安全（以下簡稱「工控安全」）是國家網路和信息安全的重要組成部分，是推動中國製造2025、製造業與互聯網融合發展的基礎保障。2016年10月，工業和信息化部印發《工業控制系統信息安全防護指南》（以下簡稱《指南》），指導工業企業開展工控安全防護工作。工控安全事關經濟發展、社會穩定和國家安全。近年來，隨著信息化和工業化融合的不斷深入，工業控制系統從單機走向互聯，從封閉走向開放，從自動化走向智能化。在生產力顯著提高的同時，工業控制系統面臨著日益嚴峻的信息安全威脅。

工業控制系統信息安全等級是基於工業控制系統存在的信息安全風險劃分的，由工業控制系統資產重要程度、受侵害後潛在影響程度、需抵禦的信息安全威脅程度等三個定級要素決定。工業控制系統的分級，與網路安全等級保護的分級還是存在一定差異性的。二者都會注重國家安全、公共利益和社會秩序以及公民法人的合法權益等，而工業控制系統在此基礎上還需要考慮工業生產運行安全、工業控制系統及其相關生產裝置安全等事項。所以等級保護測評師，在進行工業控制系統等級測評過程中，也應該對此有所了解，懷著敬畏之心去接觸工業控制系統，去做測評。

Ⅱ 等保標准演變史（1.0~2.0）

隨著雲計算、移動互聯、大數據、物聯網、人工智慧等新技術不斷涌現，計算機信息系統的概念已經不能涵蓋全部，特別是互聯網快速發展帶來大數據價值的凸顯。雲計算、大數據、工業控制系統、物聯網、移動互聯等新技術的不斷拓展已經成為產業結構升級的堅實基礎，而其中網路和信息系統作為新興產業的承載者，構建起了整個經濟 社會 的神經中樞，保證其安全性不言而喻。

由於業務目標的不同、使用技術的不同、應用場景的不同等因素，不同的等級保護對象會以不同的形態出現，表現形式有 基礎信息網路、信息系統、雲計算平台、大數據平台、物聯網系統、工業控制系統 等。形態不同的保護對象面臨的威脅有所不同，安全保護需求也會有所差異。現有的標准體系需要提升台階，去適應新技術的發展，等級保護的相關標准也需要跟上新技術的變化。 「等保1.0」的標准體系在適用性、時效性、易用性、可操作性上需要進一步擴充和完善，因此「等保2.0「應運而生。

圖註：等級保護2.0安全框架

針對等級保護對象特點建立安全技術體系和安全管理體系，構建具備相應等級安全保護能力的網路安全綜合防禦體系。應依據國家網路安全等級保護政策和標准，開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。

首先安全的內涵由早期面向數據的信息安全，過度到面向信息系統的信息保障（信息系統安全），並進一步演進為面向網路空間的網路安全。網路安全（cybersecurity）以其更豐富的內涵逐步取待信息安全成為安全領域共識，《中華人民共和國網路安全法》明確規定「國家實行網路安全等級保護制度「，相關法律條文和標准也需保持一致性， 「等保2.0「與時俱進的將原標準的」信息系統安全等級保護「改為」網路安全等級保護「 ，例如《信息系統安全等級保護基本要求》改為《網路安全等級保護基本要求》。

等保2.0對定級指南、基本要求、實施指南、測評過程指南、測評要求、設計技術要求等標准進行修訂和完善， 以滿足新形勢下等級保護工作的需要，其中《信息安全技術 網路安全等級保護測評要求》、《信息安全技術 網路安全安全等級保護基本要求》、《信息安全技術 網路安全等級保護安全設計要求》已於2019年5月10日發布，並將在2019年12月1日實施。

在開展網路安全等級保護工作中應首先明確等級保護對象。

等保1.0定義等級保護對象為： 信息安全等級保護工作直接作用的具體信息和信息系統。隨著雲計算平台、物聯網、工業控制系統等新形態的等級保護對象不斷涌現，原定義內涵局限性日益顯現。

等保2.0定義等級保護對象為： 包括基礎信息網路、雲計算平台/系統、大數據應用/平台/資源、物聯網、工業控制系統和採用移動互聯技術的系統等。

（以基本要求為例）

等保1.0：安全要求

等保2.0：安全通用要求和安全擴展要求

註：等保2.0安全通用要求是普適性要求，是不管等級保護對象形態如何，必須滿足的要求；針對雲計算、移動互聯、物聯網和工業控制系統，除了滿足安全通用要求外，還需滿足的補充要求稱為安全擴展要求。

雲計算安全擴展要求針對雲計算的特點提出特殊保護要求。雲計算環境主要增加的內容包括「基礎設施的位置」、「虛擬化安全保護」、「鏡像和快照保護」、「雲服務商選擇」和「雲計算環境管理」等方面。

針對移動互聯環境主要增加的內容包括「無線接入點的物理位置」、「移動終端管控」、「移動應用管控」、「移動應用軟體采購」和「移動應用軟體開發」等方面。

物聯網安全擴展要求針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括「感知節點的物理防護」、「感知節點設備安全」、「感知網關節點設備安全」、「感知節點的管理」和「數據融合處理」等方面。

工業控制系統安全擴展要求針對工業控制系統的特點提出特殊保護要求。對工業控制系統主要增加的內容包括「室外控制設備防護」、「工業控制系統網路架構安全」、「撥號使用控制」、「無線使用控制」和「控制設備安全」等方面。

以基本要求為例，充分體現一個中心，三重防禦的思想（和GB/T 25070保持一致，與設計要求融合）。

1、等級保護的基本要求、測評要求和設計技術要求統一框架，構建「一個中心，三重防護「的安全體系；

2、通用安全要求+新型應用安全擴展要求，將雲計算、移動互聯、物聯網、工業控制系統等列入了標准規范。

基於這些變化，進入等保2.0時代，我們應重點對雲計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護，確保關鍵信息基礎設施安全。

Ⅲ 18.工業控制系統信息安全分級規范什麼時間開始實施

咨詢記錄 · 回答於2021-10-11

Ⅳ 8.工業控制系統信息安全分級規范()開始實施

摘要 您好，按國家標准GB/T 36324-2018 《信息安全技術 工業控制系統信息安全分級規范》 於2018年6月7日正式發布，並將於2019年1月1日正式實施。

Ⅳ 工業控制系統信息安全分級規范單位是什麼

摘要 所謂「電腦肉雞」，是中了木馬、或者留了後門，被別人擁有遠程管理許可權的電腦，也就是受別人控制的遠程電腦。肉雞可以是各種系統,如win,linux,unix等，甚至可能是公司企業學校甚至是政府軍隊的伺服器

Ⅵ 我國政府哪個部門，何時印發 關於加強工業控制系統信息安全管理的通知

工信部協[2011]451號
二〇一一年九月二十九日

關於加強工業控制系統信息安全管理的通知
工信部協[2011]451號
各省、自治區、直轄市人民政府，國務院有關部門，有關國有大型企業：
工業控制系統信息安全事關工業生產運行、國家經濟安全和人民生命財產安全，為切實加強工業控制系統信息安全管理，經國務院同意，現就有關事項通知如下：
一、充分認識加強工業控制系統信息安全管理的重要性和緊迫性
數據採集與監控（SCADA）、分布式控制系統（DCS）、過程式控制制系統（PCS）、可編程邏輯控制器（PLC）等工業控制系統廣泛運用於工業、能源、交通、水利以及市政等領域，用於控制生產設備的運行。一旦工業控制系統信息安全出現漏洞，將對工業生產運行和國家經濟安全造成重大隱患。隨著計算機和網路技術的發展，特別是信息化與工業化深度融合以及物聯網的快速發展，工業控制系統產品越來越多地採用通用協議、通用硬體和通用軟體，以各種方式與互聯網等公共網路連接，病毒、木馬等威脅正在向工業控制系統擴散，工業控制系統信息安全問題日益突出。2010年發生的「震網」病毒事件，充分反映出工業控制系統信息安全面臨著嚴峻的形勢。與此同時，我國工業控制系統信息安全管理工作中仍存在不少問題，主要是對工業控制系統信息安全問題重視不夠，管理制度不健全，相關標准規范缺失，技術防護措施不到位，安全防護能力和應急處置能力不高等，威脅著工業生產安全和社會正常運轉。對此，各地區、各部門、各單位務必高度重視，增強風險意識、責任意識和緊迫感，切實加強工業控制系統信息安全管理。
二、明確重點領域工業控制系統信息安全管理要求
加強工業控制系統信息安全管理的重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進製造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。各地區、各部門、各單位要結合實際，明確加強工業控制系統信息安全管理的重點領域和重點環節，切實落實以下要求。
（一）連接管理要求。
1. 斷開工業控制系統同公共網路之間的所有不必要連接。
2. 對確實需要的連接，系統運營單位要逐一進行登記，採取設置防火牆、單向隔離等措施加以防護，並定期進行風險評估，不斷完善防範措施。
3. 嚴格控制在工業控制系統和公共網路之間交叉使用移動存儲介質以及攜帶型計算機。
（二）組網管理要求。
1. 工業控制系統組網時要同步規劃、同步建設、同步運行安全防護措施。
2. 採取虛擬專用網路（VPN）、線路冗餘備份、數據加密等措施，加強對關鍵工業控制系統遠程通信的保護。
3. 對無線組網採取嚴格的身份認證、安全監測等防護措施，防止經無線網路進行惡意入侵，尤其要防止通過侵入遠程終端單元（RTU）進而控制部分或整個工業控制系統。
（三）配置管理要求。
1. 建立控制伺服器等工業控制系統關鍵設備安全配置和審計制度。
2. 嚴格賬戶管理，根據工作需要合理分類設置賬戶許可權。
3. 嚴格口令管理，及時更改產品安裝時的預設口令，杜絕弱口令、空口令。
4. 定期對賬戶、口令、埠、服務等進行檢查，及時清理不必要的用戶和管理員賬戶，停止無用的後台程序和進程，關閉無關的埠和服務。
（四）設備選擇與升級管理要求。
1. 慎重選擇工業控制系統設備，在供貨合同中或以其他方式明確供應商應承擔的信息安全責任和義務，確保產品安全可控。
2. 加強對技術服務的信息安全管理，在安全得不到保證的情況下禁止採取遠程在線服務。
3. 密切關注產品漏洞和補丁發布，嚴格軟體升級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。關鍵工業控制系統軟體升級、補丁安裝前要請專業技術機構進行安全評估和驗證。
（五）數據管理要求。
地理、礦產、原材料等國家基礎數據以及其他重要敏感數據的採集、傳輸、存儲、利用等，要採取訪問許可權控制、數據加密、安全審計、災難備份等措施加以保護，切實維護個人權益、企業利益和國家信息資源安全。
（六）應急管理要求。
制定工業控制系統信息安全應急預案，明確應急處置流程和臨機處置許可權，落實應急技術支撐隊伍，根據實際情況採取必要的備機備件等容災備份措施。
三、建立工業控制系統安全測評檢查和漏洞發布制度
（一）加強重點領域工業控制系統關鍵設備的信息安全測評工作。全國信息安全標准化技術委員會抓緊制定工業控制系統關鍵設備信息安全規范和技術標准，明確設備安全技術要求。重點領域的有關單位要請專業技術機構對所使用的工業控制系統關鍵設備進行安全測評，檢測安全漏洞，評估安全風險。工業和信息化部會同有關部門對重點領域使用的工業控制系統關鍵設備進行抽檢。
（二）建立工業控制系統信息安全檢查制度。工業控制系統運營單位要從實際出發，定期組織開展信息安全檢查，排查安全隱患，堵塞安全漏洞。工業和信息化部適時組織專業技術力量對重點領域工業控制系統信息安全狀況進行抽查，及時通報發現的問題。
（三）建立信息安全漏洞信息發布制度。開展工業控制系統信息安全漏洞信息的收集、匯總和分析研判工作，及時發布有關漏洞、風險和預警信息。
四、進一步加強工業控制系統信息安全工作的組織領導
各地區、各部門、各單位要將工業控制系統信息安全管理作為信息安全工作的重要內容，按照誰主管誰負責、誰運營誰負責、誰使用誰負責的原則，建立健全信息安全責任制。各級政府工業和信息化主管部門要加強對工業控制系統信息安全工作的指導和督促檢查。有關行業主管或監管部門、國有資產監督管理部門要加強對重點領域工業控制系統信息安全管理工作的指導監督，結合行業實際制定完善相關規章制度，提出具體要求，並加強督促檢查確保落到實處。有關部門要加快推動工業控制系統信息安全防護技術研究和產品研製，加大工業控制系統安全檢測技術和工具研發力度。國有大型企業要切實加強工業控制系統信息安全管理的領導，健全工作機制，嚴格落實責任制，將重要工業控制系統信息安全責任逐一落實到具體部門、崗位和人員，確保領導到位、機構到位、人員到位、措施到位、資金到位。

二〇一一年九月二十九日

Ⅶ 工業控制系統信息安全分級規劃什麼時候開始

工業控制系統信息安全分級規劃是2019年1月1日開始的。

等保2.0相比1.0主要有四大方面的變化：

（1）名稱上的變化

名稱上由「信息系統安全等級保護」轉變為「網路安全等級保護」。

（2）法律效力不同

《網路安全法》第21條規定「國家實行網路安全等級保護制度，要求網路運營者應當按照網路安全等級保護制度要求，履行安全保護義務」。落實網路安全等級保護制度上升為法律義務。

（3）保護對象有擴展

等保1.0主要是信息系統。而等保2.0將網路基礎設施（廣電網、電信網、專用通信網路等）、雲計算平台／系統、採用移動互聯技術的系統、物聯網、工業控制系統等納入到等級保護對象范圍中。

工業控制系統：

工業控制系統是對諸如圖像、語音信號等大數據量、高速率傳輸的要求，又催生了當前在商業領域風靡的乙太網與控制網路的結合。

這股工業控制系統網路化浪潮又將諸如嵌入式技術、多標准工業控制網路互聯、無線技術等多種當今流行技術融合進來，從而拓展了工業控制領域的發展空間，帶來新的發展機遇。

Ⅷ 18.工業控制系統信息安全分級規范什麼時間開始實施

咨詢記錄 · 回答於2021-10-28

Ⅸ 工業控制系統行業危害程度有哪些

咨詢記錄 · 回答於2021-10-15

Ⅹ 等保2.0標准正式發布 百卓網路構建企業新安防體系

5月13日，網路安全等級保護制度2.0標准（以下簡稱 等保2.0標准）正式發布，並將於2019年12月1日開始實施。面對等保2.0時代新一輪測評標准考量的挑戰，企業加強自身的安全防護體系建設變得尤為重要。

為什麼說等保2.0時代

企業必須加強安防體系建設？

「等級保護制度上升到法律層面」

《網路安全法》規定：國家實行網路安全等級保護制度，網路運營者要按照網路安全等級保護制度的要求履行安全保護義務。

等保2.0以《網路安全法》、《保守國家秘密法》等法律為頂層規范性文件，上升到法律層面，也意味著不開展等級保護屬於違法。

為什麼說等保2.0時代

企業安防體系建設並非易事？

「等保2.0標准：新增4項擴展要求」

難度1：評測及格分提高

與1.0相比，等保2.0的評測要求從60提升到75分，通過的難度大大增加。

難度2：擴展要求增加

內容上，以前只有一個安全通用要求，現在新增了四項擴展要求（針對移動互聯、雲計算、大數據、物聯網和工業控制）。

《第1部分安全通用要求》

《第2部分雲計算安全擴展要求》

《第3部分移動互聯安全擴展要求》

《第4部分物聯網安全擴展要求》

《第5部分工業控制系統安全擴展要求》

也就是說，使用新技術的信息系統必須同時滿足「通用要求」和「安全擴展」的要求。並且，針對新安全形勢提出了新安全要求，滿足全部要求的完成難度系數也有很大提高。

難度3：可信計算技術的 強化應用

《網路安全等級保護基本要求》（報批稿）中突出了可信計算，體現了「一個中心、三重防禦」的思想，由被動防禦變成主動防禦，並強化了可信計算安全技術要求的使用。

雖然要求項和難度系數有所增加，但是2.0標准貫徹的「事前預防、事中響應、事後審計」的動態保障體系，有助於增強威脅防範、處理能力，將大大提高網路安全防護的水平和能力。

不過，基於部分企業安全防護水平有限，等保2.0標准時代的合規建設，需要專業的指導。

等保2.0標准時代

百卓網路幫你找到『應變之道』

「企業安全防護體系建設解決方案」

百卓網路基於多年攻防技術研究和大量項目實踐，向客戶提供貫穿信息系統完整生命周期的專業安全技術服務，讓客戶擁有專業、快速、有效的7×24小時安全保障。

具體包括：安全評估服務、等保設服務和安全培訓服務。

安全評估服務

針對客戶網路、系統、應用、業務、管理制度、組織機構提供全面的安全評估，發現存在的安全隱患，提出詳細的整改建議。

等保建設服務

通過等級保護工作，可以理清企業安全防護體系，有助於優化企業安全建設整體規劃、優化防禦部署，通過將等級化方法和安全體系方法有效結合，設計一套等級化的信息安全保障體系，是適合我國國情的、系統化地解決大型組織信息安全問題行之有效的方法。

安全培訓服務

百卓網路的安全培訓服務目前聚焦於企業客戶，從三個不同維度設計培訓課程以滿足企業客戶獲取安全知識和經驗的需求，從而使客戶最終達到強化安全意識、理解安全理論、掌握安全技術，能夠融會貫通並應用於所在企業的安全建設當中。

隨著等保2.0的正式出台和實施，對企業的安全防護體系建設的要求進一步提高，與之相應的，我國應對網路安全的水平和能力也將進一步提升。百卓網路將努力推進安全防護體系建設，為安全產業的發展貢獻一份力量。