❶ 工業控制系統信息安全分級規范發布單位是什麼
國家標准化管理委員會
中華人民共和國國家標准化管理委員會是中華人民共和國國務院授權履行行政管理職能、統一管理全國標准化工作的主管機構,正式成立於2001年10月。2018年3月,根據第十三屆全國人民代表大會第一次會議批準的國務院機構改革方案,將中華人民共和國國家標准化管理委員會職責劃入國家市場監督管理總局,對外保留牌子。
國家 標准化管理委員會是國務院授權履行行政管理職能,統一管理全國標准化工作的主管機構。國務院有關行政主管部門和有關行業協會也設有標准化管理機構,分工管理本部門本行業的標准化工作。各省、自治區、直轄市及市、縣 質量技術監督局統一管理本行政區域的標准化工作。各省、自治區、直轄市和市、縣政府部門也設有標准化管理機構。國家標准化管理委員會對省、自治區、直轄市質量技術監督局的標准化工作實行業務領導。國家標准化管理委員會的英文名稱是:'sRepublicofChina,簡稱:SAC。中國是ISO的正式成員,代表中國的組織為中國國家標准化管理委員會(,簡稱SAC)。
工業控制系統信息安全(以下簡稱「工控安全」)是國家網路和信息安全的重要組成部分,是推動中國製造2025、製造業與互聯網融合發展的基礎保障。2016年10月,工業和信息化部印發《工業控制系統信息安全防護指南》(以下簡稱《指南》),指導工業企業開展工控安全防護工作。工控安全事關經濟發展、社會穩定和國家安全。近年來,隨著信息化和工業化融合的不斷深入,工業控制系統從單機走向互聯,從封閉走向開放,從自動化走向智能化。在生產力顯著提高的同時,工業控制系統面臨著日益嚴峻的信息安全威脅。
工業控制系統信息安全等級是基於工業控制系統存在的信息安全風險劃分的,由工業控制系統資產重要程度、受侵害後潛在影響程度、需抵禦的信息安全威脅程度等三個定級要素決定。工業控制系統的分級,與網路安全等級保護的分級還是存在一定差異性的。二者都會注重國家安全、公共利益和社會秩序以及公民法人的合法權益等,而工業控制系統在此基礎上還需要考慮工業生產運行安全、工業控制系統及其相關生產裝置安全等事項。所以等級保護測評師,在進行工業控制系統等級測評過程中,也應該對此有所了解,懷著敬畏之心去接觸工業控制系統,去做測評。
❷ 國家支持參與網路安全國家標准行業標準的規定
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。
國家標准
1. 2022年3月9日,GB/T 25069-2022《信息安全技術 術語》發布
本標准界定了信息安全技術領域中基本或通用概念的術語和定義,並對條目進行分類,是信息安全領域的重要基礎性標准,也是所有信息安全人員在信息安全領域中進行溝通交流、開展研究工作和項目實施的基本工具。
2. 2022年3月9日,GB/T 20278-2022《信息安全技術 網路脆弱性掃描產品安全技術要求和測試評價方法》發布
本標准規定了網路脆弱性掃描產品的安全技術要求和測試評價方法,其中安全技術要求分為基礎級和增強級,內容包括安全功能要求、自身安全保護要求、環境適應性要求、安全保障要求。
3. 2022年3月9日,GB/Z 41290-2022《信息安全技術 移動互聯網安全審計指南》發布
本標準定義了移動互聯網安全審計活動的概念,描述了移動互聯網安全審計活動中的角色職責、審計范圍和審計內容,給出安全審計活動的框架、功能任務以及各功能任務的具體指南。
4. 2022年3月9日,GB/Z 41288-2022《信息安全技術 重要工業控制系統網路安全防護導則》發布
本標准規定了重要工業控制系統網路安全防護的基本原則、安全防護技術、應急備用措施和安全管理等要求,以建立重要工業控制系統的網路安全防護體系。
5. 2022年3月9日,GB/T 41241-2022《核電廠工業控制系統網路安全管理要求》發布
本標准規定了核電廠工業控制系統網路安全方面的管理、技術防護和應急管理的要求,並給出核電廠工業控制系統網路安全定級說襪穗信明。
6. 2022年3月9日,GB/T 41260-2022《數字化車間信息安全要求》發布
本標准規定了數字化車間信息安全總則、管理要求和技術要求等,給出數字化車間信息安全常見威脅源、典型機械製造行業數字化車間信息安全示例,並提出數字化車間信息安全增強要求。
7. 2022年3月9日,GB/T 41267-2022《網路關鍵設備安全技術要求 交換機設備》、GB/T 41266-2022《網路關鍵設備安全檢測方法 交換機設備》發布
兩項標准互為配套,一個規定了列入網路關鍵設備目錄的交換機設備的安全功能要求和安全保障要求。另一個則給出了安全功能要求和安全保障要求對應的安全檢測和評估方法。其中,安全功能要求包括設備標識安全、冗餘、備份恢復與異常檢測、漏洞與缺陷管理、預裝軟體啟動及更新安全、默認狀態安全、抵禦常見攻擊能力、用戶身份標識與鑒別安全、訪問控制安全、日誌審計安全、通信安全、數據安全和密碼要求。
8. 2022年3月9日,GB/T 41269-2022《網路關鍵設備安全技術要求 路由器設備》、GB/T 41268-2022《網路關鍵設備安全檢測方法 路由器設備》發布
兩項標准互為配套,一個規定了列入網路關鍵設備目錄的路由器設備的安全功能要求和安全保障要求。另一個則給出了安全功能要求和安全保障要求對應的安全檢測和評估方法。其中,安全功能要求包括設備標識族液安全、冗餘、備份恢復與異常檢測、漏洞與缺陷管理、預裝軟體啟動及更新安全、默認狀態安全、抵禦常見攻擊能力、用戶身份標識與鑒別安全、訪問控制安全、日誌審計安全、通告輪信安全、數據安全和密碼要求。
9. 2022年3月9日,GB/T 41274-2022《可編程式控制制系統內生安全體系架構》發布
本標准規定了可編程式控制制系統內生安全體系架構,描述可編程式控制制系統內生安全的目標和各單元模塊的相關安全需求,規定可編程式控制制系統的內生安全要求。其中,可編程式控制制系統內生安全的目標為保障可編程式控制制系統的完整性,各單元模塊的相關安全需求包括全生命周期安全保護、綜合診斷與高可用實現等。
10. 2022年4月15日,GB/T 41387-2022《信息安全技術 智能家居通用安全規范》發布
本標准規定了智能家居安全通用技術要求,包括智能家居終端、智能家居網關、智能家居控制端、智能家居應用服務平台的安全要求,以及對應的安全測試評價方法。
11. 2022年4月15日,GB/T 41388-2022《信息安全技術 可信執行環境 基本安全規范》發布
本標准確立了可信執行環境系統整體技術架構,描述了可信執行環境基礎要求、可信虛擬化系統、可信操作系統、可信應用與服務管理、跨平台應用中間件等主要內容及其測試評價方法。
12. 2022年4月15日,GB/T 41389-2022《信息安全技術 SM9密碼演算法使用規范》發布
本標准規定了SM9密碼演算法的使用要求,描述了密鑰、加密與簽名的數據格式,主體內容包括SM9的密鑰對、技術要求、證實方法,並在附錄中提供了數據格式編碼測試用例。
13. 2022年4月15日,GB/T 41391-2022《信息安全技術 移動互聯網應用程序(App)收集個人信息基本要求》發布
本標准規定了App收集個人信息的基本要求,包括最小必要收集、必要個人信息、特定類型個人信息、告知同意、系統許可權、第三方收集管理及其他要求,並給出了常見服務類型App必要個人信息范圍和使用要求。
14. 2022年4月15日,GB/T 41400-2022《信息安全技術 工業控制系統信息安全防護能力成熟度模型》發布
本標准給出了工業控制系統信息安全防護能力成熟度模型,規定核心保護對象安全和通用安全的成熟度等級要求,提出了能力成熟度等級核驗方法。
15. 2022年4月15日,GB/T 41479-2022《信息安全技術 網路數據處理安全要求》發布
本標准規定了網路運營者開展網路數據收集、存儲、使用、加工、傳輸、提供、公開等數據處理的安全技術與管理要求。同時,本標准被作為數據安全管理認證的依據。
16. 2022年4月15日,GB/T 20984-2022《信息安全技術 信息安全風險評估方法》發布
本標准描述了信息安全風險評估的基本概念、風險要素關系、風險分析原理、風險評估實施流程和評估方法,以及風險評估在信息系統生命周期不同階段的實施要點和工作形式。
17. 2022年4月15日,GB/T 29829-2022《信息安全技術 可信計算密碼支撐平台功能與介面規范》發布
本標准給出了可信計算密碼支撐平台的體系框架和功能原理,規定了可信密碼模塊的介面規范,描述了對應的證實方法。
18. 2022年4月15日,GB/T 30283-2022《信息安全技術 信息安全服務 分類與代碼》發布
本標准描述了信息安全服務的分類與代碼,主要包括信息安全咨詢類、信息安全設計與開發類、信息安全集成類、信息安全運營類、信息的安全處理與存儲類、信息安全測評與認證類及其他類七個方面。
法律依據
《中華人民共和國網路安全法》
第十五條國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。
❸ 關鍵信息基礎設施安全保護條例施行時間
一、《關鍵信息基礎設施安全保護條例》自2021年9月1日起施行。
《關鍵信息基礎設施安全保護條例》旨在建立專門保護制度,明確各方責任,提出保障促進措施 ,保障關鍵信息基礎設施安全及維護網路安全,根據《中華人民共和國網路安全法》,制定的條例。
關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或帆吵者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
二、關鍵信息基礎設施分為哪三大類
關鍵信息基礎設施通常區分為網站類、平台類、生產業務類三大類。
關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
關鍵信息基礎設施定義:面向公眾提供網路信息服務或支撐能源、通信、金融、交通、公共事業等重要行業運行的信息系統或工業控制系統;這些系統、服務、網路和基礎設施要麼提供基本商品和服務,要麼構成其他關鍵基礎設施的基礎平台。
它們被視為重要的信息基礎設施,因為它們的中斷或破壞將對重要的社會功能產生嚴重影響。這些系統一旦宏轎塌發生網路安全事故,會影響重要行業正常運行,對國家政治、經濟、科技、社會、文化、國防、環境以及人民生命財產造成嚴重損失。
法律依據
《中華人民共和國網路安全法》第三十九條 國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護採取下列措施:
(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委託網路安全服務機構對網路存在的安全風險進行檢測評估;
(二)定期組織關鍵信息基礎設施的運蔽圓營者進行網路安全應急演練,提高應對網路安全事件的水平和協同配合能力;
(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網路安全服務機構等之間的網路安全信息共享;
(四)對網路安全事件的應急處置與網路功能的恢復等,提供技術支持和協助。第三十八條 關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估,並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。《關鍵信息基礎設施安全保護條例》第五條 國家對關鍵信息基礎設施實行重點保護,採取措施,監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治危害關鍵信息基礎設施安全的違法犯罪活動。
任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動,不得危害關鍵信息基礎設施安全。
❹ 等保標准演變史(1.0~2.0)
隨著雲計算、移動互聯、大數據、物聯網、人工智慧等新技術不斷涌現,計算機信息系統的概念已經不能涵蓋全部,特別是互聯網快速發展帶來大數據價值的凸顯。雲計算、大數據、工業控制系統、物聯網、移動互聯等新技術的不斷拓展已經成為產業結構升級的堅實基礎,而其中網路和信息系統作為新興產業的承載者,構建起了整個經濟 社會 的神經中樞,保證其安全性不言而喻。
由於業務目標的不同、使用技術的不同、應用場景的不同等因素,不同的等級保護對象會以不同的形態出現,表現形式有 基礎信息網路、信息系統、雲計算平台、大數據平台、物聯網系統、工業控制系統 等。形態不同的保護對象面臨的威脅有所不同,安全保護需求也會有所差異。現有的標准體系需要提升台階,去適應新技術的發展,等級保護的相關標准也需要跟上新技術的變化。 「等保1.0」的標准體系在適用性、時效性、易用性、可操作性上需要進一步擴充和完善,因此「等保2.0「應運而生。
圖註:等級保護2.0安全框架
針對等級保護對象特點建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網路安全綜合防禦體系。應依據國家網路安全等級保護政策和標准,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。
首先安全的內涵由早期面向數據的信息安全,過度到面向信息系統的信息保障(信息系統安全),並進一步演進為面向網路空間的網路安全。網路安全(cybersecurity)以其更豐富的內涵逐步取待信息安全成為安全領域共識,《中華人民共和國網路安全法》明確規定「國家實行網路安全等級保護制度「,相關法律條文和標准也需保持一致性, 「等保2.0「與時俱進的將原標準的」信息系統安全等級保護「改為」網路安全等級保護「 ,例如《信息系統安全等級保護基本要求》改為《網路安全等級保護基本要求》。
等保2.0對定級指南、基本要求、實施指南、測評過程指南、測評要求、設計技術要求等標准進行修訂和完善, 以滿足新形勢下等級保護工作的需要,其中《信息安全技術 網路安全等級保護測評要求》、《信息安全技術 網路安全安全等級保護基本要求》、《信息安全技術 網路安全等級保護安全設計要求》已於2019年5月10日發布,並將在2019年12月1日實施。
在開展網路安全等級保護工作中應首先明確等級保護對象。
等保1.0定義等級保護對象為: 信息安全等級保護工作直接作用的具體信息和信息系統。隨著雲計算平台、物聯網、工業控制系統等新形態的等級保護對象不斷涌現,原定義內涵局限性日益顯現。
等保2.0定義等級保護對象為: 包括基礎信息網路、雲計算平台/系統、大數據應用/平台/資源、物聯網、工業控制系統和採用移動互聯技術的系統等。
(以基本要求為例)
等保1.0:安全要求
等保2.0:安全通用要求和安全擴展要求
註:等保2.0安全通用要求是普適性要求,是不管等級保護對象形態如何,必須滿足的要求;針對雲計算、移動互聯、物聯網和工業控制系統,除了滿足安全通用要求外,還需滿足的補充要求稱為安全擴展要求。
雲計算安全擴展要求針對雲計算的特點提出特殊保護要求。雲計算環境主要增加的內容包括「基礎設施的位置」、「虛擬化安全保護」、「鏡像和快照保護」、「雲服務商選擇」和「雲計算環境管理」等方面。
針對移動互聯環境主要增加的內容包括「無線接入點的物理位置」、「移動終端管控」、「移動應用管控」、「移動應用軟體采購」和「移動應用軟體開發」等方面。
物聯網安全擴展要求針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括「感知節點的物理防護」、「感知節點設備安全」、「感知網關節點設備安全」、「感知節點的管理」和「數據融合處理」等方面。
工業控制系統安全擴展要求針對工業控制系統的特點提出特殊保護要求。對工業控制系統主要增加的內容包括「室外控制設備防護」、「工業控制系統網路架構安全」、「撥號使用控制」、「無線使用控制」和「控制設備安全」等方面。
以基本要求為例,充分體現一個中心,三重防禦的思想(和GB/T 25070保持一致,與設計要求融合)。
1、等級保護的基本要求、測評要求和設計技術要求統一框架,構建「一個中心,三重防護「的安全體系;
2、通用安全要求+新型應用安全擴展要求,將雲計算、移動互聯、物聯網、工業控制系統等列入了標准規范。
基於這些變化,進入等保2.0時代,我們應重點對雲計算、移動互聯、物聯網、工業控制以及大數據安全等進行全面安全防護,確保關鍵信息基礎設施安全。
❺ 我國政府哪個部門,何時印發《關於加強工業控制系統信息安全管理的通知》
工信部協[2011]451號
二〇一一年九月二十九日
關於加強工業控制系統信息安全管理的通知
工信部協[2011]451號
各省、自治區、直轄市人民政府,國務院有關部門,有關國有大型企業:
工業控制系統信息安全事關工業生產運行、國家經濟安全和人民生命財產安全,為切實加強工業控制系統信息安全管理,經國務院同意,現就有關事項通知如下:
一、充分認識加強工業控制系統信息安全管理的重要性和緊迫性
數據採集與監控(SCADA)、分布式控制系統(DCS)、過程式控制制系統(PCS)、可編程邏輯控制器(PLC)等工業控制系統廣泛運用於工業、能源、交通、水利以及市政等領域,用於控制生產設備的運行。一旦工業控制系統信息安全出現漏洞,將對工業生產運行和國家經濟安全造成重大隱患。隨著計算機和網路技術的發展,特別是信息化與工業化深度融合以及物聯網的快速發展,工業控制系統產品越來越多地採用通用協議、通用硬體和通用軟體,以各種方式與互聯網等公共網路連接,病毒、木馬等威脅正在向工業控制系統擴散,工業控制系統信息安全問題日益突出。2010年發生的「震網」病毒事件,充分反映出工業控制系統信息安全面臨著嚴峻的形勢。與此同時,我國工業控制系統信息安全管理工作中仍存在不少問題,主要是對工業控制系統信息安全問題重視不夠,管理制度不健全,相關標准規范缺失,技術防護措施不到位,安全防護能力和應急處置能力不高等,威脅著工業生產安全和社會正常運轉。對此,各地區、各部門、各單位務必高度重視,增強風險意識、責任意識和緊迫感,切實加強工業控制系統信息安全管理。
二、明確重點領域工業控制系統信息安全管理要求
加強工業控制系統信息安全管理的重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進製造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。各地區、各部門、各單位要結合實際,明確加強工業控制系統信息安全管理的重點領域和重點環節,切實落實以下要求。
(一)連接管理要求。
1. 斷開工業控制系統同公共網路之間的所有不必要連接。
2. 對確實需要的連接,系統運營單位要逐一進行登記,採取設置防火牆、單向隔離等措施加以防護,並定期進行風險評估,不斷完善防範措施。
3. 嚴格控制在工業控制系統和公共網路之間交叉使用移動存儲介質以及攜帶型計算機。
(二)組網管理要求。
1. 工業控制系統組網時要同步規劃、同步建設、同步運行安全防護措施。
2. 採取虛擬專用網路(VPN)、線路冗餘備份、數據加密等措施,加強對關鍵工業控制系統遠程通信的保護。
3. 對無線組網採取嚴格的身份認證、安全監測等防護措施,防止經無線網路進行惡意入侵,尤其要防止通過侵入遠程終端單元(RTU)進而控制部分或整個工業控制系統。
(三)配置管理要求。
1. 建立控制伺服器等工業控制系統關鍵設備安全配置和審計制度。
2. 嚴格賬戶管理,根據工作需要合理分類設置賬戶許可權。
3. 嚴格口令管理,及時更改產品安裝時的預設口令,杜絕弱口令、空口令。
4. 定期對賬戶、口令、埠、服務等進行檢查,及時清理不必要的用戶和管理員賬戶,停止無用的後台程序和進程,關閉無關的埠和服務。
(四)設備選擇與升級管理要求。
1. 慎重選擇工業控制系統設備,在供貨合同中或以其他方式明確供應商應承擔的信息安全責任和義務,確保產品安全可控。
2. 加強對技術服務的信息安全管理,在安全得不到保證的情況下禁止採取遠程在線服務。
3. 密切關注產品漏洞和補丁發布,嚴格軟體升級、補丁安裝管理,嚴防病毒、木馬等惡意代碼侵入。關鍵工業控制系統軟體升級、補丁安裝前要請專業技術機構進行安全評估和驗證。
(五)數據管理要求。
地理、礦產、原材料等國家基礎數據以及其他重要敏感數據的採集、傳輸、存儲、利用等,要採取訪問許可權控制、數據加密、安全審計、災難備份等措施加以保護,切實維護個人權益、企業利益和國家信息資源安全。
(六)應急管理要求。
制定工業控制系統信息安全應急預案,明確應急處置流程和臨機處置許可權,落實應急技術支撐隊伍,根據實際情況採取必要的備機備件等容災備份措施。
三、建立工業控制系統安全測評檢查和漏洞發布制度
(一)加強重點領域工業控制系統關鍵設備的信息安全測評工作。全國信息安全標准化技術委員會抓緊制定工業控制系統關鍵設備信息安全規范和技術標准,明確設備安全技術要求。重點領域的有關單位要請專業技術機構對所使用的工業控制系統關鍵設備進行安全測評,檢測安全漏洞,評估安全風險。工業和信息化部會同有關部門對重點領域使用的工業控制系統關鍵設備進行抽檢。
(二)建立工業控制系統信息安全檢查制度。工業控制系統運營單位要從實際出發,定期組織開展信息安全檢查,排查安全隱患,堵塞安全漏洞。工業和信息化部適時組織專業技術力量對重點領域工業控制系統信息安全狀況進行抽查,及時通報發現的問題。
(三)建立信息安全漏洞信息發布制度。開展工業控制系統信息安全漏洞信息的收集、匯總和分析研判工作,及時發布有關漏洞、風險和預警信息。
四、進一步加強工業控制系統信息安全工作的組織領導
各地區、各部門、各單位要將工業控制系統信息安全管理作為信息安全工作的重要內容,按照誰主管誰負責、誰運營誰負責、誰使用誰負責的原則,建立健全信息安全責任制。各級政府工業和信息化主管部門要加強對工業控制系統信息安全工作的指導和督促檢查。有關行業主管或監管部門、國有資產監督管理部門要加強對重點領域工業控制系統信息安全管理工作的指導監督,結合行業實際制定完善相關規章制度,提出具體要求,並加強督促檢查確保落到實處。有關部門要加快推動工業控制系統信息安全防護技術研究和產品研製,加大工業控制系統安全檢測技術和工具研發力度。國有大型企業要切實加強工業控制系統信息安全管理的領導,健全工作機制,嚴格落實責任制,將重要工業控制系統信息安全責任逐一落實到具體部門、崗位和人員,確保領導到位、機構到位、人員到位、措施到位、資金到位。
二〇一一年九月二十九日
❻ 工業控制系統信息安全分級規范的發布單位是什麼
「國家標准GB/T 36324-2018 《信息安全技術 工業控制系統信息安全分級規范》 於2018年6月7日正式發布,並將於2019年1月1日正式實施。
❼ 工業控制系統定級對象是什麼的一部分
工業控制系統定級對象是一個具體的完整的工業控制系統,也可以是工業系統中一個相對獨立的工業控制系統。
對工業控制系統劃分信息安全等級,其定級對象是一個具體的完整的工業控制系統,也可以是這個工業控制系統中相對獨立的一部分。
以汽車製造企業為例,定級時可把沖壓、焊裝、塗裝和總裝車間整體工業控制系統進行定級,亦可對關鍵的總裝車間工業控制系統進行單獨定級,但是一般情況下工業控制系統中相對獨立的一部分的安全等級不應高於其整體的工業控制系統的安全等級。
分級規范中工業控制系統信息安全級別是依據風險影響等級來界定的,分為四級。同時對1-4級工業控制系統的特徵進行了界定,主要從受破壞後的影響程度、抵禦威脅程度、安全防護能力和上級監管四個維度進行特徵的區分和定義,對工業企業的防護粒度、上級監管力度上有顯著的等級差異,為用戶方和監管單位提供參考。
❽ 工業控制系統信息安全分級規劃什麼時候開始
工業控制系統信息安全分級規劃是2019年1月1日開始的。
等保2.0相比1.0主要有四大方面的變化:
(1)名稱上的變化
名稱上由「信息系統安全等級保護」轉變為「網路安全等級保護」。
(2)法律效力不同
《網路安全法》第21條規定「國家實行網路安全等級保護制度,要求網路運營者應當按照網路安全等級保護制度要求,履行安全保護義務」。落實網路安全等級保護制度上升為法律義務。
(3)保護對象有擴展
等保1.0主要是信息系統。而等保2.0將網路基礎設施(廣電網、電信網、專用通信網路等)、雲計算平台/系統、採用移動互聯技術的系統、物聯網、工業控制系統等納入到等級保護對象范圍中。
工業控制系統:
工業控制系統是對諸如圖像、語音信號等大數據量、高速率傳輸的要求,又催生了當前在商業領域風靡的乙太網與控制網路的結合。
這股工業控制系統網路化浪潮又將諸如嵌入式技術、多標准工業控制網路互聯、無線技術等多種當今流行技術融合進來,從而拓展了工業控制領域的發展空間,帶來新的發展機遇。
❾ 國家安全等級劃分方法,定級對象
2018年6月27日,公安部正式發布《網路安全等級保護條例(徵求意見稿)》(以下稱「《等保條例》」),標志著《網路安全法》(以下稱「《網安法》」)第二十一條所確立的網路安全等級保護制度有了具體的實施依據與有力抓手。好埋賣《等保條例》共八章七十三條,包括總則、支持與保障、網路的安全保護、涉密網路的安全保護、密碼管理、監督管理、法律責任和附則。相較於2007年實施的《信息安全等級保護管理辦法》(以下稱「《管理辦法》」)所確立的等級保護1.0體系,《等保條例》在國家支持、定級備案、密碼管理等多個方面進行了更新與完善,適應了現階段網路安全的新形勢、新變化以及新技術、新應用發展的要求,標志著等級保護正式邁入2.0時代。
《等保條例》的具體規定
《管理辦法》由公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室共同發布,作為等保1.0體系的核心規定,其法律效力為液老部門規范性文件。另根據《管理辦法》第一條規定,其制定依據為國務院行政法規《計算機信息系統安全保護條例》。
《等保條例》雖尚在徵求意見稿階段,根據《行政法規制定程序條例》第五條,行政法規的名稱一般稱「條例」,國務院各部門和地方人民政府制定的規章不得稱「條例」,因此,《等保條例》應當屬於行政法規范疇。此外,《等保條例》第一條規定了其制定依據為《網安法》與《保守國家秘密法》。
綜上可知,《管理辦法》為依據行政法規制定的部門規范性文友逗件,而《等保條例》則屬於依據國家法律制定的行政法規,顯然,無論是自身法律效力亦或法律依據的效力位階,等保2.0均優於等保1.0。
等級保護的適用范圍
對於適用范圍,《等保條例》概括性地規定為適用於網路運營者在我國境內建設、運營、維護、使用網路,開展網路安全等級保護以及監督管理工作,而個人及家庭自建自用的網路除外,內容較為簡略。2018年1月19日,全國信息安全標准化技術委員會發布了《信息安全技術網路安全等級保護定級指南2.0(徵求意見稿)》(以下稱「《定級指南2.0》」),為等保的具體適用提供了指引。
等保1.0體系中,《管理辦法》在第十條明確提到信息系統運營、使用單位應當依據本辦法和《信息系統安全等級保護定級指南》(以下稱「《定級指南1.0》」)確定信息系統的安全保護等級。因此,《定級指南2.0》的出台很大程度上得益於《定級指南1.0》的已有規定。
相比《定級指南1.0》將等級保護的對象籠統地定義為信息安全等級保護工作直接作用的具體的信息和信息系統,《定級指南2.0》細化了網路安全等級保護制度定級對象的具體范圍,主要包括基礎信息網路、工業控制系統、雲計算平台、物聯網、使用移動互聯技術的網路、其他網路以及大數據等多個系統平台。另外,作為定級對象的網路還應當滿足三個基本特徵:第一,具有確定的主要安全責任主體;第二,承載相對獨立的業務應用;第三,包含相互關聯的多個資源
根據《定級指南2.0》,定級對象在滿足上述基本特徵後仍需遵循相關要求。對於電信網、廣播電視傳輸網、互聯網等基礎信息網路,應分別依據服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象,而跨省業務專網既可以作為一個整體定級,也可根據區域劃分為若干對象定級。對於工業控制系統,應將現場採集/執行、現場控制和過程式控制制等要素應作為一個整體對象定級,而生產管理要素可以單獨定級。對於雲計算平台,則應區分為服務提供方與租戶方,各自分別作為定級對象。對於物聯網,雖然其包括感知、網路傳輸和處理應用等多種特徵因素,但仍應將以上要素作為一個整體的定級對象,各要素並不單獨定級。採用移動互聯技術的網路與物聯網類似,應將移動終端、移動應用、無線網路等要素與相關有線網路業務系統作為整體對象定級。對於大數據,除安全責任主體相同的平台和應用可以整體定級外,應單獨定級。
網路等級
《等保條例》繼受了《管理辦法》所確立的五級安全保護等級體系,但進一步強化了對公民、法人和其他組織合法權益的保護。《管理辦法》並未在主文中規定當遭受破壞後會對公民、法人和其他組織合法權益產生特別嚴重損害的信息系統應當如何定級,《定級指南1.0》僅在之後定級要素與安保等級關系的表格中顯示上述信息系統應列為第二級,而《等保條例》則進行了相應修改,當等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害時,相應系統應當定為第三級保護對象。具體等級劃分請參照以下表格:
網路安全保護義務
《管理辦法》第五條規定信息系統的運營、使用單位應當依照該辦法及其相關標准規范履行信息安全等級保護的義務和責任,但並未明確對應的義務。作為《網安法》配套法規的《等保條例》則沿襲了《網安法》已有的規定,就網路運營者的一般和特殊安全保護義務、網路產品和服務采購、應急預案制定等進行了詳細的規定。
對於安全保護義務,除《網安法》第二十一條已經明確的內容外,一般網路運營者還應:一、建立安全管理和技術保護制度,建立人員管理、教育培訓、系統安全建設、系統安全運維等制度;二、落實機房安全管理、設備和介質安全管理、網路安全管理等制度,制定操作規范和工作流程;三、在收集使用和處理個人信息時採取保護措施防止其泄露、損毀、篡改、竊取、丟失和濫用;四、落實違法信息發現、阻斷、消除等措施,落實防範違法信息大量傳播、違法犯罪證據滅失等措施;五、落實違法信息發現、阻斷、消除等措施,防範違法信息大量傳播和違法犯罪證據的滅失。第三級以上的網路運營者除上述義務外,還應當著重落實網路安全管理負責人、關鍵崗位技術人員的安全背景審查和持證上崗制度,同時定期開展等級測評工作。
對於網路產品和服務采購,網路運營者應當采購、使用符合國家法律法規和有關標准規范要求的網路產品和服務,第三級以上網路運營者應當採用與其安全保護等級相適應的網路產品和服務,對重要部位使用的網路產品,還應當委託專業測評機構進行專項測試。2017年6月1日生效的《網路關鍵設備和網路安全專用產品目錄(第一批)》與國家認監委等四部門於2018年3月15日發布的《承擔網路關鍵設備和網路安全專用產品安全認證和安全檢測任務機構名錄(第一批)》對網路運營者使用的網路產品的要求進行了詳細的規定,因此建議網路運營者在采購網路產品和服務要求供應商提供專業機構出具的安全認證或檢測證書,以減少運營法律風險。
對於應急預案的制定,第三級以上網路的運營者應當按照國家有關規定,制定網路安全應急預案,定期開展網路安全應急演練。除及時記錄並留存事件數據信息,向公安機關和行業主管部門報告外,網路運營者還應當為重大網路安全事件處置和恢復提供支持和協助。根據工信部《公共互聯網網路安全突發事件應急預案》,報告網路安全事件信息時,還應當說明事件發生時間、初步判定的影響范圍和危害、已採取的應急處置措施和有關建議等。
網路安全保護要求
近年來,隨著人工智慧、大數據、物聯網、雲計算等的快速發展,安全趨勢和形勢的急速變化,2008年發布的《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要求》(簡稱等保1.0)已經不再適用於當前安全要求。從2015年開始,等級保護的安全要求逐步開始制定2.0標准,包括5個部分:安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求。2017年8月,公安部評估中心根據網信辦和安標委的意見將等級保護在編的5個基本要求分冊標准進行了合並形成《網路安全等級保護基本要求》一個標准。等保1.0標准更偏重於對於防護的要求,而等保2.0標准更適應當前網路安全形勢的發展,結合《網安法》中對於持續監測、威脅情報、快速響應類的要求提出了具體的落地措施。
❿ 工業控制系統第幾級威脅最大
第四級。
第四級工業控制系統 會對關鍵領域的工業生產運行造成重大損害,或者對環境安全、社會秩序、公共利益和人員生命造成特別嚴重損害,或者對國家安全造成嚴重損害。
簡介:
分級規范中工業控制系統信息安全級別是依據風險影響等級來界定的,分為四級。
同時對1-4級工業控制系統的特徵進行了界定,主要從受破壞後的影響程度、抵禦威脅程度、安全防護能力和上級監管四個維度進行特徵的區分和定義,對工業企業的防護粒度、上級監管力度上有顯著的等級差異,為用戶方和監管單位提供參考。