¿Qué departamento del gobierno chino emitirá el "Aviso sobre el fortalecimiento de la gestión de la seguridad de la información de los sistemas de control industrial"?
Fue promulgado por el Ministerio de Industria y Tecnología de la Información y el número de documento es Asociación de Industria y Tecnología de la Información [2011]. N° 451. Promulgado el 29 de septiembre de 2011, ¿Aviso sobre el fortalecimiento de la gestión de la seguridad de la información de los sistemas de control industrial? Asociación del Ministerio de Industria y Tecnología de la Información [2011] No. 451
Gobiernos populares de todas las provincias, regiones autónomas y municipios directamente dependientes del Gobierno Central, departamentos pertinentes del Consejo de Estado y estados grandes relevantes Empresas de propiedad:
Relaciones de seguridad de la información de los sistemas de control industrial con la producción y las operaciones industriales, la seguridad económica nacional y la seguridad de la vida y la propiedad de las personas. Con el fin de fortalecer efectivamente la gestión de la seguridad de la información de los sistemas de control industrial, con el consentimiento del Consejo de Estado, se notifican los asuntos relevantes de la siguiente manera:
1. Gestión de sistemas de control industrial.
Los sistemas de control industrial como el control de supervisión y adquisición de datos (SCADA), el sistema de control distribuido (DCS), el sistema de control de procesos (PCS) y el controlador lógico programable (PLC) se utilizan ampliamente en la industria, la energía, y transporte, conservación de agua, administración municipal y otros campos para controlar el funcionamiento de los equipos de producción. Una vez que se produzca una laguna en la seguridad de la información de los sistemas de control industrial, causará grandes peligros ocultos para la producción industrial y la seguridad económica nacional. Con el desarrollo de la tecnología informática y de redes, especialmente la profunda integración de la informatización y la industrialización y el rápido desarrollo de Internet de las cosas, los productos de sistemas de control industrial adoptan cada vez más protocolos comunes, hardware común y software común, y se integran con ellos de varias maneras. Conectado a redes públicas como Internet. Amenazas como virus y troyanos se están extendiendo a los sistemas de control industrial y los problemas de seguridad de la información de los sistemas de control industrial son cada vez más prominentes. El incidente del virus "Stuxnet" de 2010 reflejó plenamente la grave situación que enfrenta la seguridad de la información del sistema de control industrial. Al mismo tiempo, todavía existen muchos problemas en la gestión de la seguridad de la información de los sistemas de control industrial de mi país, como una atención insuficiente a la seguridad de la información del sistema de control industrial, sistemas de gestión imperfectos, falta de normas y especificaciones relevantes, medidas de protección técnica inadecuadas y baja capacidad de protección de seguridad y respuesta a emergencias, amenazando la seguridad de la producción industrial y el funcionamiento normal de la sociedad. En este sentido, todas las regiones, departamentos y unidades deben otorgarle gran importancia, mejorar la conciencia de riesgo, la conciencia de responsabilidad y el sentido de urgencia, y fortalecer eficazmente la gestión de seguridad de la información de los sistemas de control industrial.
2. Clarificar los requisitos de gestión de seguridad de la información para los sistemas de control industrial en áreas clave.
Las áreas clave para fortalecer la gestión de la seguridad de la información de los sistemas de control industrial incluyen instalaciones nucleares, acero, metales no ferrosos, productos químicos, petróleo y petroquímicos, energía eléctrica, gas natural, manufactura avanzada, centros de conservación de agua y protección ambiental. , ferrocarriles, transporte ferroviario urbano, aviación civil, suministro urbano de agua, suministro de gas y calefacción y otros campos estrechamente relacionados con la economía nacional y el sustento de las personas. Todas las regiones, departamentos y unidades deben identificar claramente las áreas clave y los enlaces clave para fortalecer la gestión de seguridad de la información de los sistemas de control industrial en función de las condiciones reales e implementar de manera efectiva los siguientes requisitos.
(1) Requisitos de gestión de conexión.
1. Desconecte todas las conexiones innecesarias entre el sistema de control industrial y la red pública.
2. Para las conexiones que realmente se necesitan, las unidades operativas del sistema deben registrarse una por una, tomar medidas como la configuración de firewalls y aislamiento unidireccional para protección, realizar evaluaciones de riesgos periódicas y mejorar continuamente. medidas preventivas.
3. Controlar estrictamente el uso cruzado de medios de almacenamiento móviles y ordenadores portátiles entre los sistemas de control industrial y las redes públicas.
(2) Requisitos de gestión de la red.
1. Cuando los sistemas de control industrial están conectados en red, las medidas de protección de seguridad deben planificarse, construirse y operarse simultáneamente.
2. Adoptar una red privada virtual (VPN), respaldo de línea redundante, cifrado de datos y otras medidas para fortalecer la protección de las comunicaciones remotas de los sistemas clave de control industrial.
3. Adoptar una estricta autenticación de identidad, monitoreo de seguridad y otras medidas de protección para las redes inalámbricas para evitar intrusiones maliciosas a través de redes inalámbricas, especialmente para evitar intrusiones en la parte de control del equipo terminal remoto (RTU) o en todo el control industrial. sistema.
(3) Requisitos de gestión de la configuración.
1. Establecer un sistema de configuración y auditoría de seguridad para equipos clave de sistemas de control industrial como servidores de control.
2. Administre estrictamente las cuentas y establezca los permisos de las mismas según las necesidades laborales.
3. Gestión estricta de contraseñas, cambie rápidamente la contraseña predeterminada durante la instalación del producto y elimine las contraseñas débiles y vacías.
4. Verifique periódicamente cuentas, contraseñas, puertos y servicios, limpie cuentas de usuario y administrador innecesarias de manera oportuna, detenga programas y procesos inútiles en segundo plano y cierre puertos y servicios irrelevantes.
(4) Requisitos de gestión de actualización y selección de equipos.
1. Seleccione cuidadosamente el equipo del sistema de control industrial, aclare las responsabilidades y obligaciones de seguridad de la información del proveedor en el contrato de suministro o de otra manera, y garantice la seguridad y controlabilidad del producto.
2. Reforzar la gestión de seguridad de la información de los servicios técnicos y prohibir el uso de servicios remotos en línea cuando la seguridad no esté garantizada.
3. Preste mucha atención a las vulnerabilidades de los productos y a los lanzamientos de parches, administre estrictamente las actualizaciones de software y las instalaciones de parches y evite la intrusión de códigos maliciosos como virus y troyanos. Antes de realizar actualizaciones de software e instalar parches en sistemas de control industrial clave, se debe invitar a instituciones técnicas profesionales a realizar evaluaciones y verificaciones de seguridad.
(5)Requisitos de gestión de datos.
La recopilación, transmisión, almacenamiento y utilización de datos básicos nacionales, como geografía, minerales, materias primas y otros datos sensibles importantes, deben protegerse y mantenerse eficazmente mediante control de acceso, cifrado de datos, auditorías de seguridad y copias de seguridad ante desastres. y otras medidas. Derechos e intereses personales, intereses corporativos y seguridad de los recursos de información nacionales.
(6) Requisitos de gestión de emergencias.
Desarrollar un plan de emergencia para la seguridad de la información del sistema de control industrial, aclarar los procedimientos de procesamiento de emergencia y las autoridades de procesamiento temporal, implementar un equipo de soporte técnico de emergencia y tomar los repuestos necesarios y otras medidas de respaldo de recuperación ante desastres según las condiciones reales.
3. Establecer un sistema de inspección de evaluación de seguridad y liberación de vulnerabilidades del sistema de control industrial.
(1) Reforzar la evaluación de la seguridad de la información de equipos clave de sistemas de control industrial en áreas clave. El Comité Técnico Nacional de Normalización de la Seguridad de la Información formuló rápidamente especificaciones de seguridad de la información y estándares técnicos para equipos clave en sistemas de control industrial y aclaró los requisitos técnicos de seguridad de los equipos. Las unidades relevantes en áreas clave deben invitar a instituciones profesionales y técnicas a realizar evaluaciones de seguridad de equipos clave en sistemas de control industrial, detectar vulnerabilidades de seguridad y evaluar riesgos de seguridad. El Ministerio de Industria y Tecnología de la Información, junto con los departamentos pertinentes, realiza inspecciones aleatorias de equipos clave de sistemas de control industrial utilizados en áreas clave.
(2) Establecer un sistema de inspección de seguridad de la información de los sistemas de control industrial. Las unidades operativas del sistema de control industrial deben partir de la realidad, organizar inspecciones periódicas de seguridad de la información, identificar riesgos de seguridad y tapar lagunas de seguridad. El Ministerio de Industria y Tecnología de la Información debe organizar fuerzas profesionales y técnicas para realizar controles puntuales oportunos sobre el estado de seguridad de la información de los sistemas de control industrial en áreas clave e informar de inmediato cualquier problema encontrado.
(3) Establecer un sistema de divulgación de información sobre vulnerabilidades de seguridad de la información. Llevar a cabo la recopilación, resumen, análisis y juicio de las vulnerabilidades de seguridad de la información en los sistemas de control industrial, y publicar oportunamente información relevante sobre vulnerabilidades, riesgos y alertas tempranas.
4. Fortalecer aún más el liderazgo organizacional del trabajo de seguridad de la información del sistema de control industrial.
Todas las regiones, departamentos y unidades deben considerar la gestión de seguridad de la información del sistema de control industrial como una parte importante del trabajo de seguridad de la información y establecer y mejorar las responsabilidades de seguridad de la información de acuerdo con el principio de "quién está a cargo, quién dirige, quién utiliza". Los departamentos industriales y de tecnología de la información de los gobiernos de todos los niveles deben fortalecer la orientación, supervisión e inspección de la seguridad de la información de los sistemas de control industrial. Las autoridades o departamentos de supervisión pertinentes de la industria y los departamentos de supervisión de activos de propiedad estatal deben fortalecer la orientación y supervisión de la gestión de la seguridad de la información de los sistemas de control industrial en áreas clave, formular y mejorar las normas y regulaciones pertinentes basadas en las condiciones reales de la industria, proponer medidas específicas. requisitos, fortalecer la supervisión e inspección y garantizar la implementación. Los departamentos pertinentes deben acelerar la investigación y el desarrollo de productos de tecnología de protección de seguridad de la información de sistemas de control industrial y aumentar la investigación y el desarrollo de tecnologías y herramientas de detección de seguridad de sistemas de control industrial. Las grandes empresas estatales deben fortalecer eficazmente su liderazgo en la gestión de la seguridad de la información del sistema de control industrial, mejorar los mecanismos de trabajo, implementar estrictamente el sistema de responsabilidad y asignar importantes responsabilidades de seguridad de la información del sistema de control industrial a departamentos, puestos y personal específicos uno por uno para garantizar que liderazgo, instituciones, personal, medidas, fondos disponibles.
? 29 de septiembre de 2011