工信部工业行业网络安全检查说课材料.doc

1、此文档仅供收集于网络，如有侵权请联系网站删除工信部2015年工业行业网络安全检查试点工作方案一、目的与依据为落实工业信息安全监测和风险评估工作，加强对企业工业控制系统网络安全工作的指导和督促检查，提升企业工业控制系统安全管理和技术防护水平，通过检查工作试点积累经验，形成较完善的工业行业信息安全检查工作制度并逐步推广，依据国务院关于大力推进信息化发展和切实保障信息安全的若干意见（国发201223号）、关于加强工业控制系统信息安全管理的通知（工信部协2011451号）要求，参照工业控制网络安全风险评估规范（GB/T 26333-2010）、工业控制系统信息安全 第1部分 评估规范（GB/T 309

2、76.1-2014）等国家信息安全技术标准规范以及关于印发的通知（中网办发文20154号）内容，制定本工作方案。二、试点工作范围本次工业行业网络安全检查试点工作重点面向石化化工、装备制造、有色金属、钢铁等行业，检查范围包括工业行业重点企业 重点企业指企业的工业控制系统发生重大安全事件，致使系统出现严重故障后，可能导致10人以上死亡或50人以上重伤，或可能导致5000万元以上直接经济损失，或可能影响100万人以上正常生活，或可能对生态环境造成严重破坏，或可能对国家安全和社会稳定产生重大影响。的制造执行、监视控制与数据采集、分布式控制/过程控制、可编程逻辑控制器、智能电子设备等工业控制系统。根据国

3、内产业现状，本次试点工作选取15家央企（其中7家央企进行自查，对其余8家央企开展抽查，央企名单详见附件1），以及在钢铁、有色金属、石化化工、装备制造等行业具有代表性的河北、辽宁、吉林、黑龙江、安徽、福建、山东、河南、湖南、广西、四川、陕西12个省份。三、检查内容（一）网络安全管理按照国家网络安全政策和标准规范要求，建立健全工业控制系统网络安全管理制度及落实情况。重点检查工业控制系统网络安全主管领导、管理机构和工作人员履职情况，工业控制系统网络安全责任制落实及事故责任追究情况，人员、资产、采购、外包服务等日常安全管理情况，工业控制系统网络安全规划制定情况，工业控制系统网络安全运维情况、工业控制系

4、统网络安全从业人员情况，工业控制系统网络安全经费保障情况等。（二）安全技术防护按照国家网络安全政策和标准规范要求，建立健全工业控制系统技术防护体系及安全防护情况。重点检查工业控制系统防病毒、防攻击、防篡改、防瘫痪、防泄密措施及有效性；工业控制系统网络边界防护措施、网络分区分域管理、无线网络安全防护策略；工业控制系统服务器、网络设备、安全设备等安全策略配置，应用系统安全功能及有效性；工业控制系统终端计算机、移动存储介质安全防护措施；工业控制系统重要数据传输、存储的安全防护措施等。（三）应急工作按照国家网络与信息安全事件应急预案要求，建立健全工业控制系统网络安全应急工作体系情况。重点检查工业控制系

5、统网络安全事件应急预案制修订情况、应急演练情况；应急技术支撑队伍、灾难备份措施建设情况；工业控制系统重大网络安全事件处置情况等。（四）宣传教育培训重点检查工业控制系统网络安全宣传教育、领导干部及各级人员网络安全基础培训、网络安全人员专业技术培训等情况。（五）密码使用重点检查工业控制系统中密码技术、产品和服务的使用情况及其安全策略配置情况。四、检查方式本次试点工作选取部分省份和央企开展工业行业网络安全检查工作，检查方式以相关省份和央企自查为主。同时，工业和信息化部组织专业技术队伍对部分央企进行抽查。（一）安全自查相关省份工业行业网络安全检查工作由省级工业和信息化主管部门组织实施，相关央企结合实际

6、组织开展工业控制系统网络安全自查工作。相关省份和央企应结合年度工作制定检查实施方案，明确检查范围、工作安排和任务要求，周密计划，精心部署，认真实施。为确保工业行业网络安全检查工作取得实效，相关省份或央企可依托专业技术队伍进行检查。自查工作完成后，相关省份和央企要对工业行业网络安全检查情况进行全面汇总总结，填写检查结果统计表，认真梳理存在的主要问题，分析评估安全风险，编写工业行业网络安全检查总结报告。检查总结报告内容主要包括网络安全状况总体评价、2015年网络安全工作情况、检查发现的主要问题及整改情况、对工业行业网络安全工作的意见建议等。相关省份应根据检查结果填写相关省份工业行业网络安全检查情况

7、汇总表（附件2），相关央企应根据检查结果填写相关央企工业控制系统网络安全检查表（附件3）。（二）安全抽查工业行业网络安全抽查工作采用现场检查方式，主要采取人员访谈、文档查阅、现场核查、人工检查等方法，对被抽查央企进行现场检查并记录检查结果。本次抽查由工业和信息化部统一组织，委托专业技术队伍对钢铁、有色金属2个行业共8家央企进行抽查。五、时间安排本次网络安全检查试点工作自本工作方案印发之日起启动。2015年12月中旬完成自查和抽查工作，相关省份和央企将自查总结报告送工业和信息化部，承担抽查工作的专业技术队伍将抽查报告送工业和信息化部。六、有关工作要求（一）加强组织和协调各单位要明确检查工作的主管

8、领导和工作机构，优化进度安排，掌握工作进展，及时报送信息，确保检查工作有序开展。（二）加强专家咨询指导可根据工作需要成立专家组或邀请专家对检查工作进行咨询指导，帮助分析工作中遇到的困难和问题，评估、研判安全检查结果，提高工作质量。（三）加强风险控制和保密管理检查工作中要强化风险控制措施，严格执行工作纪律和操作规程，应对重要数据和配置进行备份，确保被检查系统的正常运行。指定专人负责管理相关文档和数据，确保工作中涉及到的国家秘密和商业秘密得到有效控制。（四）加强工作总结和整改落实对检查工作进行全面总结，认真撰写工作总结报告。组织对检查工作中发现的问题进行研究，督促相关企业采取有效措施加以整改，切实

9、提高工业控制系统网络安全防护水平。附件1工业行业网络安全检查试点工作选取央企名单序号行业企业检查方式1.石化化工中国中化集团公司自查2.中国化工集团公司自查3.装备制造中国第一重型机械集团公司自查4.哈尔滨电气集团公司自查5.中国东方电气集团有限公司自查6.中国通用技术（集团）控股有限责任公司自查7.中国中车股份有限公司自查8.有色金属中国铝业公司抽查9.中国五矿集团公司抽查10.中国有色矿业集团有限公司抽查11.中国黄金集团公司抽查12.钢铁鞍山钢铁集团公司抽查13.宝钢集团公司抽查14.武汉钢铁（集团）公司抽查15.中国中钢集团公司抽查附件2相关省份工业行业网络安全检查情况汇总表省份名称：

10、 基本情况重要工业控制系统运营单位总数： 家重要工业控制系统总数： 套系统构成情况国内品牌国外品牌制造执行（MES）系统软件套套数据采集与监控（SCADA）系统软件套套分布式控制系统（DCS）软件/过程控制系统（PCS）软件套套可编程控制器（PLC）大中型台台中型台台智能电子设备（IED）智能仪表台台智能装备1台台远端设备（RTU）台台基础软硬件设备服务器台台路由器台台交换机台台防火墙台台磁盘阵列台台操作系统套套数据库套套防病毒软件套套工业控制网络连接情况1. 直接与互联网连接的重要工业控制系统数量： 套2. 与内部网络连接的重要工业控制系统数量： 套3. 含有无线接入方式的重要工业控制系统数

11、量： 套运行维护情况1. 采用远程方式运行维护的重要工业控制系统数量： 套2. 由国内厂商提供运行维护服务的重要工业控制系统数量： 套3. 由国外厂商提供运行维护服务的重要工业控制系统数量： 套网络安全防护情况1. 网络边界处架设网络安全设备的重要工业控制系统数量： 套2. 安装防病毒软件或设备的重要工业控制系统数量： 套3. 定期进行安全更新的重要工业控制系统数量： 套4. 采取加密措施传输、存储敏感数据的重要工业控制系统数量： 套1 智能装备一般指机器手、机器人、数控设备、智能车等。只供学习与交流 附件3 相关央企工业控制系统网络安全检查表表1 相关央企工业控制系统基本情况检查表序号装置/

12、系统1名称工艺2名称操作对象危险化学品重大危险源3关联情况连接互联网情况数据集中情况灾备情况运维情况原料产品是否涉及关联情况说明采用逻辑隔离措施连接采用逻辑强隔离41钢铁主要装置一般指焦炉、高炉、转炉或电炉、烧结机、热风炉、加热炉等。2钢铁工艺一般指连铸、成形煤、焦化、干熄焦（CDQ）、煤气派送、煤气净化、焙烧、热轧、冷轧、煤气混合等；有色工艺一般指火法冶金（包括焙烧、熔炼和精炼）、湿法冶金（包括浸出、固液分离、溶液净化和提取金属）、电冶金等；化工工艺一般指原料处理、化学反应、产品精制等；装备制造工艺一般指离散制造、流程制造。3危险化学品重大危险源是指按照危险化学品重大危险源辨识（GB1821

13、8）标准辨识确定，生产、储存、使用或者搬运危险化学品的数量等于或者超过临界量的单元（包括场所和设施）。4逻辑强隔离指使用逻辑强隔离设备（使用正向、反向或双向网闸）进行的网络隔离。措施连接不连接全国集中省级集中不集中系统级灾备仅数据异地灾备仅数据本地灾备无灾备是否外包是否远程运维是否签署网络安全保密协议12表2 相关央企工业控制系统设备情况检查表序号装置/系统名称工艺名称属性数量安全防护设备通信设备软硬件设备智能仪表智能装备防火墙隔离装置加密认证装置其他路由器交换机无线热点其他SCADAPLCDCSMES服务器操作系统数据库磁盘阵列防病毒软件其他压力温度其他机器手/人数控设备其他1国内数量国外数

14、量2国内数量国外数量3国内数量国外数量表3 相关央企工业控制系统网络安全管理检查结果记录表序号检查项检查结果1组织结构分管领导姓名： 职务： 网络安全部门名称：负责人姓名： 职务： 联系方式： 2人员管理重要岗位人员安全保密协议：全部签订 部分签订 未签订人员离岗离职安全管理规定：已制定 未制定外部人员访问审批制度：已制定 未制定是否有外包人员：是 否外包人员安全保密协议：全部签订 部分签订 未签订3资产管理资产管理制度：已制定 未制定是否指定专人进行资产管理：是 否设备维修维护和报废管理制度：已制定 未制定设备维修维护和报废记录是否完整：是 否4存储介质管理存储介质管理制度：已制定 未制定存

15、储介质管理记录：完整 不完整移动存储介质管理：允许使用 不允许使用便携式笔记本管理：允许使用 不允许使用大容量存储介质：外联：采取了技术防范措施未采取技术防范措施不外联5无线网络管理无线网络管理制度：已制定 未制定无线网络管理记录：完整 不完整无线网络：有： 采取了身份认证等技术防范措施未采取技术防范措施 无6运行维护管理日常运维制度：已制定 未制定运维操作手册：已制定 未制定运维操作记录：完整 不完整7年度教育培训年度培训计划：已制定 未制定本年度接受网络安全教育培训的人数：_人占本单位总人数的比例：_本年度开展网络安全教育培训的次数：_次本年度网络安全管理和技术人员参加专业培训：_人次8本

16、年度网络安全经费预算本年度网络安全预算：有，预算额：_万元无9上年度网络安全经费投入上年度网络安全经费实际投入额：_万元10网络安全应急预案应急预案：已制定 未制定预案评估：本年度已评估 本年度未评估 从未评估11应急演练本年度已开展 本年度未开展 从未开展12灾难备份重要系统：全部备份 部分备份 未备份重要数据：全部备份 部分备份 未备份13应急资源应急支援队伍：部门所属队伍 外部专业机构 无备机备件：已配备 有供应渠道 未配备14网络安全规划制订了网络安全计划在总体发展规划中涵盖了网络安全规划无15网络安全通报机制建设企业网络安全通报机制：已建立 未建立16外包服务机构机构名称： 机构性质

17、：国有单位 民营企业 外资企业服务内容：系统集成 系统运维 风险评估安全检测 安全加固 应急支持数据存储 灾难备份 其他： 网络安全保密协议： 己签订 未签订(如有1个以上外包机构，每个机构均应填写，可另附页)表4 相关央企工业控制系统技术防护情况检查记录表（每个装置或系统单独成一张表）装置/系统名称序号检查项检查结果1网络边界防护连接互联网情况：连接互联网：互联网接入总数：_个其中联通 接入口数量：_个 接入带宽：_兆 电信 接入口数量：_个 接入带宽：_兆 其他：_接入口数量：_个 接入带宽：_兆不连接互联网网络边界防护措施（多选）：访问控制 安全审计 边界完整性检查 入侵防范 恶意代码防

18、范 VPN方式接入 无措施2安全防护策略服务器安全策略：使用默认配置 根据应用自主配置按需开放端口 最小服务配置网络设备安全策略：使用默认配置 根据应用自主配置按需开放端口 最小服务配置安全设备安全策略：使用默认配置 根据应用自主配置按需开放端口 最小服务配置应用系统安全功能：身份验证 访问控制 安全审计USB端口封堵情况：硬件封堵 软件屏蔽 未做封堵分类使用杀毒软件安装及病毒库更新：不安装杀毒软件安装杀毒软件：病毒库定期更新病毒库不更新3重要数据防护传输防护：加密 未加密存储防护：加密 未加密备份：本地备份 异地备份 未备份4系统冗余配备采用冗余配备：备机备件 双机热备 通信链路冗余未采用冗余配备5密码使用密码功能用途（可多选）:身份认证 访问控制 电子签名 安全审计传输保护 存储保护 密钥管理密码设备使用情况密码机 数量: 密码系统 数量: 智能IC卡 数量: 智能密码系统 数量: 动态令牌 数量: 所采用的密码算法对称算法: SM1 个 SM4 个 SM7 个 AES 个 DES 个 3DES 个非对称算法: SM2 个 SM9 个 RSA1024 个 RSA2048 个杂凑算法: SM3 个 SHA-1 个 SHA-256 个 SHA-384 个SHA-512 个 DM5 个其他 6安全事件发生过安全事件，安全事件次数： 未发生过安全事件