顺势而行 切实加强工业控制系统信息安全管理.pdfVIP

现了我国政府和行业主管部 门积极应对 日益严峻 的 的安全构成威胁，开展工业控制系统信息安全漏洞 工业控制系统信息安全管理形势的务实精神 。 研究 ，建立漏}同风险以及预警信息的发布制度是非 常必要 的。工信部正在组织相关机构建立信息通报 — 臣 冒 圜 暖 翻 的平 … 一 一 安全 通知》的核心内容 明确了当前加强工业控制 的责任 。一是谁运营谁负责。各个重要基础设施的 系统信息安全管理的三类关键 问题 。 运营单位对维护本单位工业控制系统的安全 负有责 首先 明确了工业控制系统管理的要求。 通知 任 ，要做到五个到位：领导到位、机构到位、人员到位、 的第二部分从连接管理、组 网管理、配置管理、采 措施到位、资金到位 。二是谁主管谁负责。主要指 购和升级管理、数据管理、应急管理六个方面强调 各级政府 的工业和信息化主管部门、有关行业 的主 了工业控制系统安全管理要求 。由于工业控制系统 管和监管部 门、国有资产管理部 门对工业控制系统 在设计建设和实施过程 中没有考虑到当今这样复杂 信息安全问题负有指导、监督、检查的责任。 的网络安全环境 ，很 多工业系统连常规计算机信息 系统的安全措施都没有采取，使得工业控制系统的 ————暖蒸震罱藏糍黧蔫慝蔫蔫翟一 安全隐患更加直接和 明显 ，强调常规的信 息安全措 施是非常必要 的，只有把这些常规的措施落实到位 ， 首先要加强对 通知 主要内容的宣贯和理解 ， 才能够降低工业控制系统遭受破坏的概率和可能性 。 贯彻其精神，尽快 明确组织 内部 负责工业控制信息 其次 明确了工业控制系统安全 的主要制度：第 系统安全工作 的具体机构。我国大部分重要工业控 一 个制度是关键设备信息安全 的测评制度， 旨在防 制系统 由中央 国有企业运营或管理，做好大型 中央 范关键设备中的预埋后 门及多余功能 。一些关键 的 国有企业的工业控制系统信 息安全工作非常重要。 设备、软件是不是有预埋的、不为我们所知 的一些 有些大中型企业可能还没有 明确负责本单位工业控 功能，目前没有任何措施去发现。所 以我们要建立 制系统信息安全工作的机构，还不太了解 通知 必要 的制度 ，对工业控制系统 的设备、系统进行测 的内容。因此现阶段加强宣贯是非常重要的。 评和检测。有 了这一道程序，我们才能够做到防范 第二 ，工业和信息化主管部门将开展重要工业 于未然。第二个制度是工业控制系统 的信息安全检 控制系统 的摸底调查。各省、自冶区、直辖市 的工 查制度。检查形式包括 自查和抽查 ，现阶段主要 以 业和信息化主管部 门组织所辖地区的重要工业控制 自查为主。自查是要加强信息安全工作的常规手段， 系统运营单位 (含 中央企业 )做相关调查。建议中央 由工业控制系统运营单位 自行组织 。为了推动 自查， 企业在本单位 内部先做摸底调查 ，对本集团公司下 提高 自查的效果 ，文件要求工信部适时地组织信息 属 的子公司、分公司或者控股公司里所掌握的重要 安全 的抽查。抽查范 围相对较 小，主要针对重点系 工业控制系统 的情况做到心中有数 。 统开展检查。抽查首先看 自查情况 ，检查常规信息 第三要加强信息安全培训、提高信息安全意识。 安全措施和制度是否落实到位 ，并对针对工业控制 强化操作人员、管理人员的信息安全意识对于工业 系统 的专 门攻击方法和病毒防护进行抽查。第三个 控制系统安全工作特别重要。由于历史原 因，工业 制度是漏洞信息的发布制度。工业控制系统既涉及 控制系统在设计、部署、实施、建设，以及运 营过 通用的信息系统、操作系统、数据库系统、通信系统 ， 程 中很少考虑到外来 的、人为 的破坏因素 ，所 以信 也涉及专 门的工