【
儀表網 行業標準】根據《山西省汽車行業協會團體標準管理辦法》的有關規定,《汽車制造工業
控制系統信息安全技術規范》團體標準的編制說明及標準征求意見稿已完成,現面向社會廣泛征求意見。
工控信息安全事件波及范圍廣,涉及世界多個國家的多個領域。近年發生的工控信息安全事件影響范圍不僅僅是某個國家或地區,也不僅僅是某個領域,它已波及全球,影響多領域多行業,工控信息安全威脅愈演愈烈。
工信部針對國內大型工業企業的核心管控系統開展檢查,發現企業工業應用系統普遍存在安全漏洞,缺乏有效的安全配置策略,外網邊界容易被突破。內網邊界防護薄弱,工控設備普遍開啟遠程訪問進行維護,工控主機安全防護措施較弱,控制權極易被遠程獲取;對工業控制系統的信息安全管理相對薄弱,嚴重滯后于工業互聯網的發展。
汽車制造企業近年發生多次工控安全事件,導致生產業務中斷,工控安全檢查過程中發現工控的防病毒、補丁、備份等基本的管理要求均未全面覆蓋,且在事件上報、應急響應等方面均無法及時有效開展,需統一去考慮整體的解決方案,形成覆蓋全行業的制度標準。
本文件按照GB/T 1.1—2020《標準化工作導則 第1部分:標準化文件的結構和起草規則》的規定起草。參考GB/T 30976.1 信息安全技術 工業控制系統信息安全 第1部分:評估規范;GB/T 32919 信息安全技術 工業控制系統安全控制應用指南;GB/T 36324 信息安全技術 工業控制系統信息安全分級規范;GB/T 40813 信息安全技術 工業控制系統安全防護技術要求和測試評價方法等文件中部分內容。
本文件規定了汽車制造業裝備建設實施過程中涉及的工業控制系統信息安全防護技術要求和在裝備安裝調試驗收階段需要滿足的信息安全驗收要求。本文件適用于汽車制造企業工業控制系統的新建及已建項目。
基本構成:
按照 GB/T 36324 中根據工業控制系統(ICS)的功能特點和部署形式,企業的與工業控制系統(ICS)相關系統縱向劃分為 5 個層級,如:第 1 層物理過程、生產裝置,第 2 層安全和保護系統、基本控制系統,第 3 層監控系統,第 4 層運營管理系統,第 5 層業務規劃和物流系統。其中第 1 層~第 3 層的相關系統、設備,可作為構成工業控制系統的范圍。
安全防護的對象:
本文件涉及的防護對象為系統層級中第 1 層(物理過程、生產裝置)、第 2 層(安全和保護系統、基本控制系統)和第 3 層(監控系統)的工業控制資產。
安全防護措施的約束條件:
按照 GB/T 40813 的安全防護技術要求,不應對 ICS 的功能安全產生不利影響;不能鎖定用于基本功能的賬戶;不應因實施安全措施而顯著增加延遲并影響系統的響應時間;不能因安全措施失效導致系統的基本功能中斷等。
在符合本文件提出的技術要求時,經評估對可用性有較大影響而無法實施的,可調整要求并研究制定相應的補償防護措施,但采取補償防護措施后不應降低原有要求的整體安全防護強度。
安全防護的技術要求:
按照 GB/T 32919與工業和信息化部印發的《工業控制系統信息安全防護指南》,做好工業控制系統(ICS)信息安全防護工作。
安全監測和應急演練:
a) 在工業控制網絡部署網絡安全檢測設備,及時發現、報告并處理網絡攻擊或異常行為。
b) 制定工控安全事件應急響應預案,內容至少應包括:目的、范圍、角色、責任、管理層承諾、相關部門的協調、合規性。
c) 適用時,當 ICS 因信息安全威脅出現異常或故障時,應按應急響應預案做好應急響應工作,采取緊急防護措施,防止事態擴大,并逐級報送直至屬地省級工業和信息化主管部門,同時注意保護現場,以便進行調查取證。
d) 定期對 ICS 的應急響應預案進行演練,必要時對應急響應預案進行修訂。
更多詳情請見附件。
本站客戶服務
儀表網官微
儀表APP
儀表手機版
儀表小程序
