工业和信息化部近日印发《工业控制系统网络安全防护指南》(以下简称《防护指南》),现将有关内容解读如下:
一、《防护指南》出台的背景和意义是什么?
工业控制系统作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。2016年,工业和信息化部出台《工业控制系统信息安全防护指南》,对有效指导工业企业开展工控安全防护工作发挥了积极作用。2017年以来,我国相继颁布了《网络安全法》《数据安全法》《密码法》等法律法规及行业应用方面的部门规章,现有政策文件未能充分衔接相关法律法规要求。与此同时,工业企业数字化转型步伐加快,工业控制系统开放互联趋势明显,工业企业面临的网络安全风险与日俱增,工业企业加强网络安全防护需求迫切。
为做好《防护指南》编制工作,工业和信息化部结合新形势新要求,系统全面调研,深入分析新时期工控安全风险和企业安全防护需求,广泛征集地方工信主管部门、行业协会、部属单位、工控厂商、工业企业、安全企业、专家学者等各方意见。《防护指南》将有效满足当前和未来一个时期工控系统安全防护需求,指导工业企业切实提升工业控制系统网络安全基线防护水平,推动企业数字化转型发展。
二、《防护指南》适用对象有哪些?
《防护指南》适用于使用、运营工业控制系统的企业。防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。
三、《防护指南》的定位和总体考虑是什么?
《防护指南》定位于面向工业企业做好网络安全防护的指导性文件,坚持统筹发展和安全,围绕安全管理、技术防护、安全运营、责任落实四方面,提出三十三项指导性安全防护基线要求,推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。
**一是坚持与时俱进。**结合推进新型工业化背景下的新形势、新任务、新要求,针对性研究制定防护条款,在落实2016年以来我国在网络和数据安全领域新出台的法律法规的同时,聚焦新时期工业控制系统的新应用趋势及新安全风险。**二是强调技管结合。**从安全管理、技术防护、安全运营、责任落实四方面提出防护要求,坚持技术和管理措施并重,督促企业落实工控安全主体责任。**三是注重实操实践。**针对工业控制系统应用现状、运行特点和安全需求,结合企业现有技术能力基础,提出可落地实操的明确安全要求,并通过实施基线安全防护等系列措施,切实提升工业企业安全防护水平。
四、《防护指南》如何指导企业做好网络安全防护?
**一是聚焦安全风险管控,突出管理重点对象,提升工业企业工控安全管理能力。**围绕工业控制系统资产、配置、供应链、人员四大管理重点提出安全要求,在理清系统资产底数、保障系统基本运行安全的基础上,避免网络安全风险引入工业控制系统,减少网络安全事件的可能性。**二是聚焦安全薄弱关键环节,强化技术应对策略,提升工业企业工控安全防护能力。**在保障工业主机和终端设备自身安全的基础上,进一步防范来自内外部网络的入侵攻击,强调上云上平台新型场景下的设备与业务安全,同时规范软件和服务安全使用,落实数据安全分类分级保护。**三是聚焦易发网络安全风险,增强威胁发现及处置能力,提升工业企业安全运营能力。**围绕网络安全事件的事前、事中、事后环节,提出部署网络安全监测手段、建设网络安全运营中心和做好应急处置等安全措施,并要求做好定期网络安全风险评估和防护能力评估,开展日常系统漏洞排查并实施安全加固。**四是聚焦工业企业资源保障,坚持统筹发展和安全,督促企业落实网络安全责任。**围绕建立工控安全管理制度,明确工控安全保护责任,确保安全技术措施与工业控制系统建设同步推进等方面提出安全要求。
五、下一步如何推进《防护指南》落实?
为更好指导各方落实《防护指南》相关要求,下一步将从政策宣贯、试点推广、生态培育等方面,深入推进工控安全防护工作。
**一是做好政策宣贯培训,**组织开展系列宣传活动,面向地方主管部门、工业企业等做好文件解读和宣贯培训,切实提升企业工控安全防护意识。**二是推进安全评估试点,**组织开展工业控制系统网络安全防护能力评估试点工作,完善评估机制、流程和方式,形成一批可复制、可推广的工控安全解决方案。**三是探索重要系统识别认定,**梳理研究重要工业控制系统的界定方法、判定规则等,研究制定重要工业控制系统识别认定相关文件。**四是推进产业生态培育,**依托试点示范、专项项目等,面向典型工业场景和工控安全防护需求,突破一批工控安全防护关键技术,提升工控安全产品供给能力。
来源:工业和信息化部网络安全管理局
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
扫一扫
653
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
