系統備件模塊 IC220PVR001 替換安裝方便

系統備件模塊 IC220PVR001 替換安裝方便

系統備件模塊 IC220PVR001 替換安裝方便

03 全球工業控制安全標準及合規

美國

2015年5月，美國國家標準技術研究所（NIST）在《聯邦信息安全現代化法案》（Federal Information Security Modernization Act）的要求下，發布了《工業控制系統安全指南》（Guide to Industrial Control Systems Security，NIST SP 800-82），為工控系統及其組件（監控和數據采集系統SCADA，分布式控制系統DCS，可編程邏輯控制器PLC，以及其他執行控制功能的終端和智能電子設備）提供安全指導，幫助企業降低工控系統信息安全相關風險。

該指南概述了工控系統組件及架構，指出了工控系統面臨的威脅和漏洞，并從以下四個方面為企業提供了可供參考的方法、框架和實施步驟：

該指南并非針對企業的合規要求，但對企業建立和實施工控系統安全管理具較強參考意義。

歐洲

2010年的“震網”病毒被發現可感染工控系統，引發對工控系統安全的關注。歐盟及其成員國為加強工控系統安全，歐盟網絡與信息安全局（European Union Agency for Network and Information Security, ENISA）于2011年12月發布了《保護工業控制系統-給歐洲及其成員國的建議》（Protecting Industrial Control Systems Recommendations for Europe and Member States）。該建議書闡述了工控系統面臨的安全威脅，風險和挑戰，并建議歐盟成員國通過制定國家層面工控系統安全戰略，設立工控安全認證框架以及建立工控安全佳實踐等頂層設計，改進現有的工控系統中的安全薄弱環節。

在該建議書的指引下，各歐盟國家陸續出臺了相關的安全指南，如：2013年11月德國聯邦信息辦公室（The German Federal Office for Information Security）發布了《工業控制系統安全綱要》（ICS Security Compendium）介紹了工控系統及其組件，面臨的信息安全威脅以及工控系統安全的佳實踐；2015年1月，法國國家安全局（French Network and Information Security Agency，ANSSI）發布了《工業控制系統安全指南》（Managing Cybersecurity for Industrial Control System）為企業應對工控系統安全風險提供支持。并于2017年9月進一步發布針對具體行業的工控系統實踐指引——《ICS網絡安全：隧道案例研究》（ICS Cybersecurity : A Road Tunnel Case Study）。

歐盟國家陸續建立起工控系統安全標準和佳實踐，為歐盟境內企業應對工控安全風險提供指引。

中國

2011年10月，受到“震網”病毒事件影響，中國工業和信息化部（以下簡稱工信部或MIIT）認為工業控制系統信息安全面臨嚴峻的形勢，印發第451號文《關于加強工業控制系統信息安全管理的通知》，對工控系統的連接管理、組網管理、配置管理、設備選擇與升級管理、數據管理、應急管理做出了一系列要求。

2016年10月，隨著工業4.0的推進，國務院要求進一步推進制造業與互聯網融合發展，工信部印發了《工業控制系統信息安全防護指南》，要求工業控制系統應用企業應從十一個方面做好工控安全防護工作，涉及安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、資產安全、數據安全、供應鏈管理及落實責任。

2016年11月，中國第12屆全國人民代表人大常委會第24次會議通過了《中華人民共和國網絡安全法》（以下簡稱網安法），并于2017年6月1日起施行。該法律明確國家實行網絡安全等級保護制度，強調對關鍵信息基礎設施的安全防護。

2017年5月，在《國務院關于深化制造業與互聯網融合發展的指導意見》的要求下，工信部進一步印發《工業控制系統信息安全事件應急管理工作指南》，指出工業企業負有工控安全主體責任，應建立健全工控安全責任制，負責本單位工控安全應急管理工作，落實人財物保障。并且要求工業企業對于可能發生或已經發生的工控安全事件，能夠立即開展應急處置，力爭將損失降到小。該工作指南還要求工業企業制定工控安全事件應急預案，定期組織應急演練。

2017年7月，工信部發布了《工業控制系統信息安全防護能力評估工作管理辦法》（及其附件《工業控制系統信息安全防護能力評估方法》），從評估管理組織、評估機構和人員要求、評估工具要求、評估工作程序、監督管理幾個方面規范了對工業企業開展的工控安全防護能力評估活動，涵蓋了工業企業工業控制系統在規劃、設計、建設、運行、維護等全生命周期各階段的安全防護能力評價工作。根據相關要求，重要工業企業每年需要由第三方機構對工控系統安全防護能力進行評估，其他工業企業則至少每年一次開展評估（自評估或第三方評估）。

2017年12月，工信部發布了《工業控制系統信息安全行動計劃（2018-2020年）》，要求落實企業主體責任，依據《網安法》建立工控安全責任制，明確企業法人代表、經營負責人責任者的責任，組建管理機構，完善管理制度。該《行動計劃》還要求建立健全標準體系，制定工控安全分級、安全要求、安全實施、安全測評類標準。

2019年5月13日，為落實《網安法》要求，全國信息安全標準化技術委員會（SAC/TC 260）聯合公安部等機構發布了《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239-2019）, 該標準規范了工控系統等級保護的原則和要求，以確保系統組件及整體安全。

上述由工信部、公安部、SAC/TC260發布的通知、指南以及《網安法》共同構成了應用工控系統企業的合規要求。此外，企業還可以借鑒由SAC/TC260發布的一系列國家推薦標準，如《信息安全技術 - 工業控制系統安全控制應用指南-GB/T 32919-2016》，《工業控制系統風險評估實施指南-GB/T 36466-2018》，《工業控制網絡安全隔離與信息交換系統安全技術要求》（征求意見稿），《工業控制系統信息安全檢查指南》（征求意見稿）等。

2009年7月至2018年1月期間，國際電氣化委員會（IEC）陸續發布了工控系統相關安全標準《工業通信網絡-網絡和系統安全》（IEC-62443），包括：

該標準體系范圍較廣，涉及工控系統的各個組成方面，并從風險評估、人員架構、系統架構、網絡設計、安全工具和軟件、數據保護等方面詳細闡述了企業可以遵循的安全要求以及相應的安全原理。該標準體系也是各國建立其工控系統安全標準體系的重要參照標準。

從世界范圍內來看，近年來工控系統安全相關的標準和指南發布頻率越發密集。隨著主要制造業大國轉型升級的推進，工控系統安全被提到越發重要的地位。應用工控系統企業有必要對其工控系統安全給予相當的關注，以應對轉型升級中面臨的威脅和挑戰。

系統備件模塊 IC220PVR001 替換安裝方便