공업정보화부에서 공포하고, 호는 공신부 협회 [20 1 1] 제 45 1 호입니다. 20 1 1-9-29 에 공포 된 산업 제어 시스템의 정보 보안 관리 강화에 관한 통지? 산업 정보화부 협회 [20 1 1] 제 45 1 호
각 성, 자치구, 직할시 인민정부, 국무원 관련 부서, 대형 국유기업 관련:
공업 통제 시스템의 정보 안전은 공업 생산 경영, 국가 경제 안전, 인민 생명 재산 안전과 관련이 있다. 공업통제시스템 정보안전관리를 실질적으로 강화하기 위해 국무부의 동의를 거쳐 관련 사항에 대해 다음과 같이 통지한다.
첫째, 산업 제어 시스템 정보 보안 관리 강화의 중요성과 긴박성을 충분히 인식하다.
데이터 수집 및 모니터링 (SCADA), 분산 제어 시스템 (DCS), 프로세스 제어 시스템 (PCS), 프로그램 가능 논리 컨트롤러 (PLC) 등의 산업 제어 시스템은 산업, 에너지, 교통, 수리, 시정 등에 광범위하게 적용되어 생산 설비의 운영을 통제한다. 산업통제시스템의 정보안전이 일단 허점이 생기면 산업생산과 국가경제안보에 큰 위험을 초래할 수 있다. 컴퓨터와 네트워크 기술의 발전, 특히 정보화와 산업화의 심도 있는 융합과 사물의 인터넷의 급속한 발전으로 산업 제어 시스템 제품은 점점 더 공통 프로토콜, 일반 하드웨어 및 일반 소프트웨어를 채택하고 있으며, 인터넷과 같은 공용 네트워크에 다양한 방식으로 연결되어 있습니다. 바이러스, 트로이 목마 등의 위협이 산업 통제 시스템으로 확산되고 있으며 산업 통제 시스템의 정보 보안 문제가 갈수록 두드러지고 있다. 20 10' 지진망' 바이러스 사건은 산업제어 시스템 정보 보안이 직면한 심각한 상황을 충분히 반영하고 있다. 동시에, 중국의 산업 제어 시스템 정보 보안 관리에는 산업 제어 시스템의 정보 보안에 대한 강조가 부족하고, 관리 시스템이 완벽하지 않으며, 관련 표준 규범이 부족하고, 기술 보호 조치가 적절하지 않으며, 안전 보호 능력 및 비상 대응 능력이 떨어지는 등 산업 생산 안전과 사회의 정상적인 운영을 위협하는 많은 문제가 있습니다. 이와 관련하여 각 지역, 부서 및 부서는 위험 인식, 책임 의식 및 긴박감을 강화하고 산업 제어 시스템의 정보 보안 관리를 효과적으로 강화해야합니다.
둘째, 중점 분야 산업 제어 시스템 정보 보안 관리 요구 사항을 명확히 한다.
산업 제어 시스템 정보 안전 관리를 강화하는 중점 분야는 핵시설, 철강, 유색금속, 화공, 석유석화, 전기, 천연가스, 선진제조, 수리허브, 환경보호, 철도, 도시궤도교통, 민항, 도시급수, 가스난방 등 국계민생과 밀접한 관련이 있는 분야다. 각 지역, 각 부서, 각 부서는 실제와 결합해 공업 통제 시스템 정보 안전 관리의 중점 분야와 관건을 명확히 강화하여 다음과 같은 요구 사항을 실질적으로 이행해야 한다.
(1) 연결 관리 요구 사항.
1. 산업 제어 시스템과 공용 네트워크 사이에 불필요한 연결을 모두 끊습니다.
2. 실제로 필요한 연결의 경우 시스템 운영 단위는 하나씩 등록하고 방화벽 설정, 단방향 격리 등의 조치를 취하여 보호하고 정기적으로 위험 평가를 실시하며 예방 조치를 지속적으로 개선해야 합니다.
3. 산업 제어 시스템과 공용 네트워크 사이에서 모바일 스토리지 미디어와 랩톱의 교차 사용을 엄격히 통제한다.
(2) 네트워크 관리 요구 사항.
1. 산업 제어 시스템이 네트워크에 연결될 때 보안 조치를 동시에 계획, 건설 및 실행해야 합니다.
2. VPN (가상 사설망), 중복 회선 백업, 데이터 암호화 등의 조치를 취하여 주요 산업 제어 시스템의 원격 통신 보호를 강화합니다.
3. 무선 네트워킹에 대한 엄격한 인증, 보안 모니터링 등의 보호 조치를 취하여 무선 네트워크를 통한 악의적인 침입을 방지합니다. 특히 원격 터미널 장치 (RTU) 제어 부분 또는 전체 산업 제어 시스템의 침입을 방지합니다.
(3) 구성 관리 요구 사항.
1. 제어 서버와 같은 시스템 핵심 장비의 보안 구성 및 감사 제도를 설정합니다.
2. 계정을 엄격하게 관리하고 업무에 따라 계정 권한을 설정합니다.
3. 엄격한 비밀번호 관리, 제품 설치 시 즉시 사전 설정 비밀번호를 변경하여 약한 비밀번호와 빈 비밀번호를 방지합니다.
4. 정기적으로 계정, 비밀번호, 포트 및 서비스를 확인하고 불필요한 사용자와 관리자 계정을 적시에 정리하고 불필요한 데몬과 프로세스를 중지하며 관련 없는 포트와 서비스를 닫습니다.
(d) 장비 선택 및 업그레이드 관리 요구 사항.
1. 제품 안전 및 통제를 보장하기 위해 공급 계약 또는 기타 방식으로 공급자의 정보 보안 책임 및 의무를 명확히 하는 산업 제어 시스템 장비를 신중하게 선택합니다.
2. 기술 서비스의 정보 보안 관리를 강화하여 보안이 보장되지 않을 경우 원격 온라인 서비스를 금지합니다.
3. 제품 취약점과 패치 출시를 면밀히 주시하고 소프트웨어 업그레이드 및 패치 설치를 엄격하게 관리하여 바이러스, 트로이 목마 등 악성 코드 침입을 방지합니다. 주요 산업 제어 시스템 소프트웨어 업그레이드 및 패치 설치 전에 보안 평가 및 검증을 위해 전문 기술 기관을 초청해야 합니다.
(5) 데이터 관리 요구 사항.
지리 광물 원자재 등 국가 기본 데이터 및 기타 중요한 민감한 데이터의 수집, 전송, 저장 및 활용은 액세스 제어, 데이터 암호화, 보안 감사, 재해 백업 등의 조치를 통해 보호되어야 합니다. 개인의 권익, 기업 이익 및 국가 정보 자원 안전을 실질적으로 보호해야 한다.
(6) 비상 관리 요구 사항.
산업 제어 시스템 정보 보안 비상 계획을 수립하고, 비상 처리 프로세스와 임시 처리 권한을 명확히 하고, 비상 기술 지원 팀을 구현하고, 실제 상황에 따라 필요한 예비 부품과 같은 재해 복구 백업 조치를 취합니다.
셋째, 산업통제시스템 안전평가검사와 허점발표제도를 수립한다.
(a) 중점 분야 산업 제어 시스템의 핵심 장비에 대한 정보 보안 평가를 강화한다. 국가 정보 보안 표준화 기술위원회는 산업 제어 시스템의 핵심 장비 정보 보안 사양 및 기술 표준 개발에 세심한주의를 기울여 장비 안전 기술 요구 사항을 명확히했습니다. 중점 분야 관련 기관은 전문 기술 기관을 초청하여 산업 제어 시스템의 핵심 장비에 대한 보안 평가를 실시하고, 보안 취약점을 탐지하고, 보안 위험을 평가해야 한다. 공업과 정보화부는 관련 부서와 함께 중점 분야에 사용되는 공업제어 시스템의 핵심 설비를 점검할 것이다.
(b) 산업 통제 시스템 정보 보안 검사 시스템 구축 산업 제어 시스템 운영 단위는 현실에서 출발하여 정기적으로 정보 보안 검사를 조직하고, 보안 위험을 조사하고, 보안 허점을 막아야 한다. 산업 및 정보화부는 전문 기술력을 조직하여 중점 분야 산업 제어 시스템 정보 보안 상태를 적시에 점검하고 발견된 문제를 제때에 보고해야 한다. (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), 정보화명언)
(c) 정보 보안 취약성 정보 공개 시스템 구축 산업 제어 시스템 정보 보안 취약점의 수집, 요약, 분석 및 판단을 실시하여 관련 취약성, 위험 및 경보 정보를 적시에 게시합니다.
넷째, 산업 통제 시스템 정보 보안 작업에 대한 조직 리더십을 더욱 강화한다.
각 지역, 각 부서, 각 부서는 산업 제어 시스템 정보 보안 관리를 정보 보안 작업의 중요한 내용으로 삼아' 누가 주관하고, 누가 운영하고, 누가 사용하는가' 의 원칙에 따라 건전한 정보 보안 책임제를 세워야 한다. 각급 정부 공업과 정보화 주관 부서는 공업 통제 시스템의 정보 안전에 대한 지도, 감독 및 검사를 강화해야 한다. 관련 업계 주관이나 감독부, 국자감독부는 중점 분야 산업제어 시스템 정보안전관리에 대한 지도와 감독을 강화하고, 업계의 실제 제정과 함께 관련 규제제도를 보완하고, 구체적인 요구 사항을 제시하고, 감독검사를 강화하고, 시행을 보장해야 한다. 관련 부서는 산업 제어 시스템 정보 보안 보호 기술의 연구 및 제품 개발을 가속화하고 산업 제어 시스템 보안 탐지 기술 및 도구의 연구 개발을 강화해야 한다. 대형 국영 기업은 산업 제어 시스템의 정보 보안 관리에 대한 리더십을 효과적으로 강화하고, 작업 메커니즘을 개선하고, 책임 시스템을 엄격하게 이행하며, 중요한 산업 제어 시스템 정보 보안 책임을 특정 부서, 직책 및 인력에 하나씩 구현하고, 리더십, 기관, 인력, 조치 및 자금이 제자리에 구현되도록 보장해야합니다.
-응? 20 1 1 년 9 월 29 일