系统备件模块 IC220PVR001 替换安装方便

系统备件模块 IC220PVR001 替换安装方便

03 全球工业控制安全标准及合规

美国

2015年5月，美国国家标准技术研究所（NIST）在《联邦信息安全现代化法案》（Federal Information Security Modernization Act）的要求下，发布了《工业控制系统安全指南》（Guide to Industrial Control Systems Security，NIST SP 800-82），为工控系统及其组件（监控和数据采集系统SCADA，分布式控制系统DCS，可编程逻辑控制器PLC，以及其他执行控制功能的终端和智能电子设备）提供安全指导，帮助企业降低工控系统信息安全相关风险。

该指南概述了工控系统组件及架构，指出了工控系统面临的威胁和漏洞，并从以下四个方面为企业提供了可供参考的方法、框架和实施步骤：

工控系统风险评估与管理；

工控系统安全项目开发和实施；

工控系统安全架构；

工控系统安全控制。

该指南并非针对企业的合规要求，但对企业建立和实施工控系统安全管理具较强参考意义。

欧洲

2010年的“震网”病毒被发现可感染工控系统，引发对工控系统安全的关注。欧盟及其成员国为加强工控系统安全，欧盟网络与信息安全局（European Union Agency for Network and Information Security, ENISA）于2011年12月发布了《保护工业控制系统-给欧洲及其成员国的建议》（Protecting Industrial Control Systems Recommendations for Europe and Member States）。该建议书阐述了工控系统面临的安全威胁，风险和挑战，并建议欧盟成员国通过制定国家层面工控系统安全战略，设立工控安全认证框架以及建立工控安全佳实践等顶层设计，改进现有的工控系统中的安全薄弱环节。

在该建议书的指引下，各欧盟国家陆续出台了相关的安全指南，如：2013年11月德国联邦信息办公室（The German Federal Office for Information Security）发布了《工业控制系统安全纲要》（ICS Security Compendium）介绍了工控系统及其组件，面临的信息安全威胁以及工控系统安全的佳实践；2015年1月，法国国家安全局（French Network and Information Security Agency，ANSSI）发布了《工业控制系统安全指南》（Managing Cybersecurity for Industrial Control System）为企业应对工控系统安全风险提供支持。并于2017年9月进一步发布针对具体行业的工控系统实践指引——《ICS网络安全：隧道案例研究》（ICS Cybersecurity : A Road Tunnel Case Study）。

欧盟国家陆续建立起工控系统安全标准和佳实践，为欧盟境内企业应对工控安全风险提供指引。

中国

2011年10月，受到“震网”病毒事件影响，中国工业和信息化部（以下简称工信部或MIIT）认为工业控制系统信息安全面临严峻的形势，印发第451号文《关于加强工业控制系统信息安全管理的通知》，对工控系统的连接管理、组网管理、配置管理、设备选择与升级管理、数据管理、应急管理做出了一系列要求。

2016年10月，随着工业4.0的推进，国务院要求进一步推进制造业与互联网融合发展，工信部印发了《工业控制系统信息安全防护指南》，要求工业控制系统应用企业应从十一个方面做好工控安全防护工作，涉及安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理及落实责任。

2016年11月，中国第12届全国人民代表人大常委会第24次会议通过了《中华人民共和国网络安全法》（以下简称网安法），并于2017年6月1日起施行。该法律明确国家实行网络安全等级保护制度，强调对关键信息基础设施的安全防护。

2017年5月，在《国务院关于深化制造业与互联网融合发展的指导意见》的要求下，工信部进一步印发《工业控制系统信息安全事件应急管理工作指南》，指出工业企业负有工控安全主体责任，应建立健全工控安全责任制，负责本单位工控安全应急管理工作，落实人财物保障。并且要求工业企业对于可能发生或已经发生的工控安全事件，能够立即开展应急处置，力争将损失降到小。该工作指南还要求工业企业制定工控安全事件应急预案，定期组织应急演练。

2017年7月，工信部发布了《工业控制系统信息安全防护能力评估工作管理办法》（及其附件《工业控制系统信息安全防护能力评估方法》），从评估管理组织、评估机构和人员要求、评估工具要求、评估工作程序、监督管理几个方面规范了对工业企业开展的工控安全防护能力评估活动，涵盖了工业企业工业控制系统在规划、设计、建设、运行、维护等全生命周期各阶段的安全防护能力评价工作。根据相关要求，重要工业企业每年需要由第三方机构对工控系统安全防护能力进行评估，其他工业企业则至少每年一次开展评估（自评估或第三方评估）。

2017年12月，工信部发布了《工业控制系统信息安全行动计划（2018-2020年）》，要求落实企业主体责任，依据《网安法》建立工控安全责任制，明确企业法人代表、经营负责人责任者的责任，组建管理机构，完善管理制度。该《行动计划》还要求建立健全标准体系，制定工控安全分级、安全要求、安全实施、安全测评类标准。

2019年5月13日，为落实《网安法》要求，全国信息安全标准化技术委员会（SAC/TC 260）联合公安部等机构发布了《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）, 该标准规范了工控系统等级保护的原则和要求，以确保系统组件及整体安全。

上述由工信部、公安部、SAC/TC260发布的通知、指南以及《网安法》共同构成了应用工控系统企业的合规要求。此外，企业还可以借鉴由SAC/TC260发布的一系列国家推荐标准，如《信息安全技术 - 工业控制系统安全控制应用指南-GB/T 32919-2016》，《工业控制系统风险评估实施指南-GB/T 36466-2018》，《工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿），《工业控制系统信息安全检查指南》（征求意见稿）等。

2009年7月至2018年1月期间，国际电气化委员会（IEC）陆续发布了工控系统相关安全标准《工业通信网络-网络和系统安全》（IEC-62443），包括：

部分：术语、概念和模型（IEC TS 62443-1-1:2009 Industrial communication networks - Network and system security - Part 1-1: Terminology, concepts and models）；

第二部分：建立工业自动化和控制系统安全程序（IEC 62443-2-1:2010 Industrial communication networks - Network and system security - Part 2-1: Establishing an industrial automation and control system security program）；

第三部分：工业自动化和控制系统的安全技术（IEC TR 62443-3-1:2009 Industrial communication networks - Network and system security - Part 3-1: Security technologies for industrial automation and control systems）；

第四部分：安全产品开发生命周期要求（IEC 62443-4-1:2018 Security for industrial automation and control systems - Part 4-1: Secure product development lifecycle requirements）。

该标准体系范围较广，涉及工控系统的各个组成方面，并从风险评估、人员架构、系统架构、网络设计、安全工具和软件、数据保护等方面详细阐述了企业可以遵循的安全要求以及相应的安全原理。该标准体系也是各国建立其工控系统安全标准体系的重要参照标准。

从世界范围内来看，近年来工控系统安全相关的标准和指南发布频率越发密集。随着主要制造业大国转型升级的推进，工控系统安全被提到越发重要的地位。应用工控系统企业有必要对其工控系统安全给予相当的关注，以应对转型升级中面临的威胁和挑战。

系统备件模块 IC220PVR001 替换安装方便