为了使企业在两化融合、工业互联网的产业升级中,有效的应对工控信息安全事件,使企业由“被动防御”向“主动防护”进行转变,安全为生产服务。湖北央中巨石信息技术有限公司对接受风险评估十家企业(名称略)提供全面的安全风险评估、提出安全加固建议、对加固系统进行二次评估等服务内容,通过整体性的工控安全建设来进一步提企业工控安全防护能力。凭借央中巨石多年的安全技术积累和丰富的安全风险评估服务项目经验,圆满地完成本次湖北省经济和信息化委员会工业控制系统信息安全检查项。
现今能源行业的工业控制网络发展速度很快,随着集中监视运行模式的逐步推进,在统一管理集中监控的大趋势下,工业控制系统网络的集成度越来越高,因此与其他信息网络的互联程度也随之提高,因此,各系统间的协同作业与信息交换将构建一套完整的业务逻辑,在此过程中,未经隔离的网络与主机、误操作、恶意操作、未授权的接入与操作、未授权程序安装、系统资源滥用与误用、外部接口滥用(USB口及其他扩展接口)以及新型攻击(APT)将导致系统的完整性、机密性及可用性遭到严重破坏的可能性大大提高,如果系统不具备主动防护、审计监管、集中展示和分析溯源等措施,不仅针对该类安全事件的定位、分析和追查将会变得非常困难,而且系统将存在大量的安全盲点与灰色地带,且系统的整体风险等级也将持续升高,给各类外部威胁留下大量可乘之机。
根据国家《网络安全法》、《中国制造 2025》、《国务院关于深化制造业与互联网融合发展的指导意见》和工业和信息化部《关于加强工业控制系统信息安全管理的通知》等文件精神,开展工业控制系统信息安全检查。
(1)安全软件的选择和管理检查
(2)配置和补丁管理
(3)边界防护
(4)物理和环境安全防护
(5)身份认证
(6)远程访问安全
(7)安全监测和应急预案演练
(8)资产安全
(9)数据安全
(10)供应链管理
(11)落实责任
评估主要目的是为了使企业在两化融合、工业互联网的产业升级中,有效的应对工控信息安全事件,使企业由“被动防御”向“主动防护”进行转变,安全为生产服务;
通过工控安全检查,使被检查企业提升对工业控制系统信息安全的重视;
通过工控安全检查,对湖北省规模以上企业从实际出发,政策指导文件结合实践,不断落地并完善工控安全建设体系;
通过工控安全检查,为企业生产保驾护航,减少由于工业控制系统脆弱性而带来的安全风险。
对工控系统的网络安全检查与防护,覆盖工控系统软件、硬件和网络等所有部件;
对工控系统的网络安全检查与防护,结合生产工艺与操作流程而开展;
对工控系统的网络安全检查与防护,覆盖工控系统的设计、生产、调试、工程实施、维修、运行维护等全生命周期的所有环节;
通过工控系统的网络安全检查,以查促键、以查促管、以查促改、以查促防;
通过工控系统的网络安全检查,增强安全意识、落实安全责任、分析安全风险、评估安全全状况;
通过工控系统的网络安全检查,排查安全隐患、健全管理制度、完善防护措施、提升自主可控水平和安全防护能力。
