¿Qué departamento del gobierno chino emitirá el aviso sobre el fortalecimiento de la gestión de la seguridad de la información de los sistemas de control industrial?
El título del reglamento es "Aviso sobre el fortalecimiento de la gestión de la seguridad de la información de los sistemas de control industrial"
La unidad promulgadora, el Ministerio de Industria y Tecnología de la Información, emitió el documento No. MIIT Xie [2011] No. 451, fecha de promulgación: 2011-9-29 "¿Aviso sobre el fortalecimiento de la gestión de la seguridad de la información de los sistemas de control industrial"?
Ministerio de Industria y Tecnología de la Información [2011] No. 451
Los gobiernos populares de todas las provincias, regiones autónomas y municipios directamente dependientes del Gobierno Central, los departamentos pertinentes del Consejo de Estado y las empresas estatales de gran escala pertinentes:
Industrial La seguridad de la información del sistema de control está relacionada con las operaciones de producción industrial, la seguridad económica nacional y la seguridad de la vida y la propiedad de las personas. Con el fin de fortalecer efectivamente la gestión de la seguridad de la información de los sistemas de control industrial, con el consentimiento del Consejo de Estado, se presentan los asuntos pertinentes. notificado de la siguiente manera:
1. Comprender plenamente la importancia y urgencia de fortalecer la gestión de la seguridad de la información de los sistemas de control industrial
Adquisición y monitoreo de datos (SCADA), sistema de control distribuido (DCS), y sistema de control de procesos Los sistemas de control industrial como PCS (PCS) y controladores lógicos programables (PLC) se utilizan ampliamente en la industria, la energía, el transporte, la conservación del agua, la administración municipal y otros campos para controlar el funcionamiento de los equipos de producción. Una vez que exista una laguna en la seguridad de la información del sistema de control industrial, causará importantes peligros ocultos para las operaciones de producción industrial y la seguridad económica nacional. Con el desarrollo de la tecnología informática y de redes, especialmente la profunda integración de la informatización y la industrialización y el rápido desarrollo de Internet de las cosas, los productos de sistemas de control industrial adoptan cada vez más protocolos comunes, hardware común y software común, e interactúan con Internet de diversas maneras. Las conexiones de redes públicas, los virus, los troyanos y otras amenazas se están extendiendo a los sistemas de control industrial, y los problemas de seguridad de la información de los sistemas de control industrial son cada vez más prominentes. El incidente del virus "Stuxnet" en 2010 reflejó plenamente la grave situación que enfrenta la seguridad de la información del sistema de control industrial. Al mismo tiempo, todavía hay muchos problemas en la gestión de la seguridad de la información de los sistemas de control industrial en mi país, principalmente debido a la atención insuficiente a los problemas de seguridad de la información de los sistemas de control industrial, sistemas de gestión imperfectos, falta de normas y regulaciones relevantes y protección técnica inadecuada. y la escasa capacidad de protección de la seguridad y la baja capacidad de respuesta a emergencias, que amenazan la seguridad de la producción industrial y el funcionamiento normal de la sociedad. En este sentido, todas las regiones, departamentos y unidades deben conceder gran importancia a esto, mejorar la conciencia sobre los riesgos, el sentido de responsabilidad y el sentido de urgencia, y fortalecer eficazmente la gestión de la seguridad de la información de los sistemas de control industrial.
2. Aclarar los requisitos para la gestión de la seguridad de la información de los sistemas de control industrial en áreas clave.
Las áreas clave para fortalecer la gestión de la seguridad de la información de los sistemas de control industrial incluyen instalaciones nucleares, siderúrgicas y no ferrosas. metales, productos químicos, petróleo y petroquímicos, y energía eléctrica, gas natural, manufactura avanzada, centros de conservación de agua, protección ambiental, ferrocarriles, tránsito ferroviario urbano, aviación civil, suministro urbano de agua, gas y calefacción, y otros campos estrechamente relacionados con el sector nacional. la economía y el sustento de las personas. Todas las regiones, departamentos y unidades deben identificar claramente las áreas y vínculos clave para fortalecer la gestión de la seguridad de la información de los sistemas de control industrial en función de las condiciones reales e implementar de manera efectiva los siguientes requisitos.
(1) Requisitos de gestión de conexión.
1. Desconecte todas las conexiones innecesarias entre el sistema de control industrial y la red pública.
2. Para las conexiones que realmente se necesitan, la unidad operativa del sistema debe registrarlas una por una, tomar medidas como configurar firewalls y aislamiento unidireccional para protegerlas, realizar evaluaciones de riesgos periódicas y mejorar continuamente las medidas preventivas.
3. Controlar estrictamente el uso cruzado de medios de almacenamiento extraíbles y ordenadores portátiles entre los sistemas de control industrial y las redes públicas.
(2) Requisitos de gestión de red.
1. Cuando los sistemas de control industrial están conectados en red, se deben tomar medidas de protección de seguridad simultáneamente en la planificación, construcción y operación.
2. Tomar medidas como la red privada virtual (VPN), la copia de seguridad de redundancia de línea y el cifrado de datos para fortalecer la protección de las comunicaciones remotas de los sistemas clave de control industrial.
3. Tome una estricta autenticación de identidad, monitoreo de seguridad y otras medidas de protección para las redes inalámbricas para evitar intrusiones maliciosas a través de la red inalámbrica, especialmente para evitar la intrusión en la unidad terminal remota (RTU) para controlar parte o la totalidad. sistema de control de la industria.
(3) Requisitos de gestión de la configuración.
1. Establecer un sistema de configuración y auditoría de seguridad para equipos clave de sistemas de control industrial, como servidores de control.
2. Administre estrictamente las cuentas y establezca los permisos de las mismas según las necesidades laborales.
3. Administre estrictamente las contraseñas, cambie rápidamente las contraseñas predeterminadas durante la instalación del producto y elimine las contraseñas débiles y vacías.
4. Verifique periódicamente cuentas, contraseñas, puertos, servicios, etc., limpie rápidamente cuentas de usuario y administrador innecesarias, detenga programas y procesos inútiles en segundo plano y cierre puertos y servicios irrelevantes.
(4) Requisitos de gestión de actualización y selección de equipos.
1. Seleccionar cuidadosamente los equipos del sistema de control industrial y aclarar las responsabilidades y obligaciones de seguridad de la información que los proveedores deben asumir en el contrato de suministro o de otras formas para garantizar que la seguridad del producto sea controlable.
2. Fortalecer la gestión de seguridad de la información de los servicios técnicos y prohibir los servicios remotos en línea cuando no se pueda garantizar la seguridad.
3. Preste mucha atención a las vulnerabilidades de los productos y a los lanzamientos de parches, administre estrictamente las actualizaciones de software y las instalaciones de parches y evite estrictamente la intrusión de códigos maliciosos como virus y troyanos. Antes de realizar actualizaciones de software e instalar parches para sistemas de control industrial clave, las instituciones técnicas profesionales deben realizar evaluaciones y verificaciones de seguridad.
(5) Requisitos de gestión de datos.
La recopilación, transmisión, almacenamiento y utilización de datos básicos nacionales como geografía, minerales y materias primas, así como otros datos sensibles importantes, deben protegerse mediante medidas como control de acceso y cifrado de datos. , auditorías de seguridad y copias de seguridad ante desastres. Salvaguardar eficazmente los derechos e intereses personales, los intereses corporativos y la seguridad de los recursos de información nacionales.
(6) Requisitos de gestión de emergencias.
Formule un plan de emergencia para la seguridad de la información del sistema de control industrial, aclare el proceso de respuesta de emergencia y la autoridad de respuesta de emergencia, implemente un equipo de soporte técnico de emergencia y tome las medidas necesarias de respaldo y recuperación ante desastres, como máquinas de respaldo y repuestos. según la situación real.
3. Establecer un sistema de inspección de evaluación de seguridad y liberación de vulnerabilidades del sistema de control industrial
(1) Fortalecer la evaluación de la seguridad de la información de equipos clave de los sistemas de control industrial en áreas clave. El Comité Técnico Nacional de Normalización de la Seguridad de la Información formuló rápidamente especificaciones de seguridad de la información y estándares técnicos para equipos clave en sistemas de control industrial y aclaró los requisitos técnicos de seguridad de los equipos. Las unidades relevantes en áreas clave deben invitar a instituciones técnicas profesionales a realizar evaluaciones de seguridad de equipos clave utilizados en sistemas de control industrial, detectar vulnerabilidades de seguridad y evaluar riesgos de seguridad. El Ministerio de Industria y Tecnología de la Información, junto con los departamentos pertinentes, lleva a cabo inspecciones aleatorias de equipos clave de sistemas de control industrial utilizados en áreas clave.
(2) Establecer un sistema de inspección de seguridad de la información para los sistemas de control industrial. Las unidades operativas del sistema de control industrial deben partir de la realidad y organizar inspecciones periódicas de seguridad de la información para identificar riesgos de seguridad y tapar lagunas de seguridad. El Ministerio de Industria y Tecnología de la Información organiza oportunamente fuerzas profesionales y técnicas para realizar inspecciones puntuales del estado de seguridad de la información de los sistemas de control industrial en áreas clave e informa con prontitud los problemas descubiertos.
(3) Establecer un sistema de divulgación de información sobre vulnerabilidades de seguridad de la información. Llevar a cabo la recopilación, resumen, análisis y juicio de la información sobre vulnerabilidades de seguridad de la información del sistema de control industrial y publicar oportunamente información relevante sobre vulnerabilidades, riesgos y alertas tempranas.
IV.Fortalecer aún más el liderazgo organizacional del trabajo de seguridad de la información del sistema de control industrial
Todas las regiones, departamentos y unidades deben considerar la gestión de seguridad de la información del sistema de control industrial como una parte importante de la seguridad de la información. trabajar, establecer y mejorar el sistema de responsabilidad de seguridad de la información de acuerdo con los principios de quién está a cargo y quién es responsable, quién es responsable de operar y quién es responsable de usar. Los departamentos de industria y tecnología de la información de los gobiernos de todos los niveles deben fortalecer la orientación, supervisión e inspección del trabajo de seguridad de la información en los sistemas de control industrial. Los departamentos de supervisión o supervisión de la industria pertinentes y los departamentos de supervisión y gestión de activos de propiedad estatal deben fortalecer la orientación y supervisión de la gestión de seguridad de la información del sistema de control industrial en áreas clave, formular y mejorar las normas y regulaciones pertinentes basadas en la situación real de la industria, presentadas. requisitos específicos y fortalecer la supervisión e inspección para garantizar su implementación. Los departamentos pertinentes deben acelerar la investigación y el desarrollo de productos de tecnología de protección de seguridad de la información del sistema de control industrial y aumentar la investigación y el desarrollo de tecnología y herramientas de detección de seguridad del sistema de control industrial. Las grandes empresas estatales deben fortalecer eficazmente el liderazgo de la gestión de seguridad de la información del sistema de control industrial, mejorar los mecanismos de trabajo, implementar estrictamente el sistema de responsabilidad y asignar importantes responsabilidades de seguridad de la información del sistema de control industrial a departamentos, puestos y personal específicos uno por uno para garantizar que el liderazgo, las instituciones y el personal están en su lugar. Las medidas están en su lugar, los fondos están en su lugar.
?29 de septiembre de 2011