工信部2015年工业行业网络安全检查
被工信部等上级单位检查发现的弱口令处理
被工信部等上级单位检查发现的弱口令处理依据《通知》,此次检查对象为依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构建设与运营的网络和系统。
重点检查网络运行单位落实《中华人民共和国网络安全法》等法律法规情况,电信和互联网安全防护体系系列标准符合情况,可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等。
电信主管部门抽查与各网络运行单位自查相结合如此,公众视频监控摄像头和网约车信息服务平台等都受到广泛关注,记者注意到这些设施平台也都被列入此次工信部的重点检查对象。
《通知》指出此次重点检查对象为,电信和互联网行业网络基础设施、用户信息和网络数据收集、集中存储与处理的系统、企业门户网站和计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共云服务平台、公众无线局域网、公众视频监控摄像头等重点物联网平台、网约车信息服务平台、车联网信息服务平台等。
此次检查重点内容包括电信和互联网安全防护体系系列标准符合情况,可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等。
《通知》要求,各网络运行单位要按照《通信网络安全防护管理办法》的规定,在工信部“通信网络安全防护管理系统”对本单位所有正式上线运行的网络和系统进行定级备案或变更备案。
并要求各网络运行单位2018年9月31日前完成对本单位网络安全工作进行自查自纠,对自查发现的安全问题逐一做好记录,能立即整改的,要边查边改,无法立即整改的,要采取防范措施,制定整改计划,确保整改落实,相关各单位要将自查工作总结报告报给网络安全管理局或当地通信管理局。
电信主管部门采取抽查的方式进行检查。
各地通信管理局除抽查省级基础电信企业外,至少抽查当地十家以上增值电信企业,将检查工作总结报告于10月31日前报到网络安全管理局。
前程无忧网等曾因网安要求落实不力被通报因未落实安全事件上报工作,上海市通信管理局近期通报约谈了4家互联网企业。
6月29日,上海市通信管理局组织召开电信和互联网行业网络与信息安全月度工作会议,并听取了部分企业对2018年电信和互联网行业网络安全检查的自查自纠落实情况的汇报。
工信部印发《电信和互联网行业数据安全标准体系建设指南》
工信部印发《电信和互联网行业数据安全标准体系建设指南》2020年12月17日,工业和信息化部印发《电信和互联网 行业数据安全标准体系建设指南》,指南强调,在基础共性标 准、关键技术标准、安全管理标准的基础上,结合新一代信息 通信技术发展情况,主要在5G、移动互联网、车联网、物联 网、工业互联网、云计算、大数据、人工智能、区块链等重点领域进行布局,结合重点领域自身发展情况和数据安全保护需求,制定相关数据安全标准。
其中,工业互联网安全重点关注控制系统、设备、网络、数据、平台、应用程序安全和安全管理等。
工业互联网领域的数据安全标准主要包括工业互联网数据安全保护、工业互联网数据分级技术等。
四部门发文:加快构建全国一体化大数据中心协同创新体系强化大数据安全防护2020年12月23日,为进一步促进新型基础设施高质量发展,深化大数据协同创新,国家发展改革委、中央网信办、工 业和信息化部、国家能源局联合印发《关于加快构建全国一体 化大数据中心协同创新体系的指导意见》,意见提出要推动核心技术突破及应用,加快科技创新突破和安全可靠产品应用,强化大数据安全保障,加快构建贯穿基础网络、数据中心、云 平台、数据、应用等一体化协同安全保障体系,提高大数据安全可靠水平。
《工业互联网创新发展行动计划(2021-2023年)》印发2021年1月13日,工业和信息化部印发《工业互联网创新发展行动计划(2021-2023年)》,行动计划提出要制定分类分级系列安全标准规范,明确企业设备、控制、网络、平台、应用、数据等的安全防护基本要求,开展PLC等重点设备、SCADA等重要系统、工业互联网平台、工业A pp动态 安全检测评估。
强化企业自身防护,鼓励支持重点企业建设集中化安全态势感知和综合防护系统,提升网络和数据安全技术能力。
公安部:发布公共安全行业标准(2019年度),17个安全标准在列2020年4月,公安部发布242项公共安全行业标准,其中包含信息安全技术工业控制系统软件脆弱性扫描产品安全技术要序号标准缠号标准名称实旃日期代替标准号216G A/T 1542-2019息安全技术*丨-IP V6的高性络入«防_系统产品安全技术要求2019/01/09217G A H" 1543-2019倍息安全技术M烙设备倍息探测产品安全技术罾求2019/01/13218G A^T913-2019<•1息安全技术a*串安全审计产品安全技术麥求2019^)1/13G A/T913-20I0 219G V T 1544-2019饴息安全技术M格及安全设备K H检奔产t t安全技术要求2019/03/04220G A H" 1545-2019位息安全技术杆能密码玥匙安全技术要求2019/03/04221G A/T 1546-2019位息安全技术t«W I F丨信号f i*产品安令技术罾承2019«3/08222C iA/T IS47-20I9饴患安令技术移动W能终端用户a*存銪安全技术赛求和《试评价方法2019«3/08223G A^ 1550-2019估f i安全技术W站安全》测产品安全技术饗求2019/03/13224G A^-1549-2019安全技术t t幘U S期卡安全技术赛求2019«3/19求、信息安全技术工业控制系统主机安全防护与审计监控产品安全技术要求等17项安全标准。
内蒙古自治区工业和信息化厅关于印发《内蒙古自治区工业领域网络安全工作指南》的通知
内蒙古自治区工业和信息化厅关于印发《内蒙古自治区工业领域网络安全工作指南》的通知文章属性•【制定机关】内蒙古自治区工业和信息化厅•【公布日期】2017.06.08•【字号】内经信发〔2017〕68号•【施行日期】2017.06.08•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】工业和信息化管理综合规定正文内蒙古自治区工业和信息化厅关于印发《内蒙古自治区工业领域网络安全工作指南》的通知各盟市经济和信息化委员会:为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)和工信部关于印发《工业控制系统信息安全防护指南》的通知(工信部信软〔2016〕338号),保障工业企业工业控制系统信息安全,制定《内蒙古自治区工业领域网络安全工作指南》,现印发你们。
自治区经济和信息化委员会指导和管理全区工业企业工控安全防护和保障工作,并根据实际情况对此工作指南进行修订。
2017年6月8日内蒙古自治区工业领域网络安全工作指南一、背景及意义在传统的工业信息安全问题依然存在的情况下,“工业4.0”、“工业互联网”、“中国制造2025”等概念正推动着工业控制系统向数字化、网络化、开放化、集成化的工业互联方向发展,广泛而深度的互联使得工业控制系统将面临更加复杂的信息安全威胁。
2011年9月工信部发布《关于加强工业控制系统信息安全管理的通知》([2011]451号文),标志着中国工业控制系统信息安全工作正式启动。
从习近平总书记在2016年4月19日的网络安全和信息化工作座谈会的讲话,到2016年10月工业和信息化部印发《工业控制系统信息安全防护指南》;从2014年12推荐性国家标准GB/T30976.1~.2-2014《工业控制系统信息安全》正式推出到2016年11月《中华人民共和国网络安全法》正式发布,显示了中国各个层面对工业控制系统信息安全的日益重视。
2015年4月13日,内蒙古自治区经济和信息化委员会印发《关于开展全区重要工业控制系统基本情况调查的通知》(内经信信安字[2015]108号文),在全区范围内组织开展重要工业控制系统基本情况调查,在此基础上开展全区工业控制系统信息安全试点示范工作。
工业和信息化部办公厅关于进一步加强通信建设安全生产工作的通知
工业和信息化部办公厅关于进一步加强通信建设安全生产工作的通知【法规类别】通信【发文字号】工信厅通函[2015]155号【发布部门】工业和信息化部【发布日期】2015.03.12【实施日期】2015.03.12【时效性】现行有效【效力级别】部门规范性文件工业和信息化部办公厅关于进一步加强通信建设安全生产工作的通知(工信厅通函[2015]155号)各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司:为贯彻落实2015年全国安全生产工作会议要求,宣贯新修订的《安全生产法》,进一步巩固通信建设领域安全生产成果,现就2015年进一步加强通信建设领域安全生产工作通知如下:一、充分认识做好安全生产工作的重要性2014年,通信建设领域认真贯彻落实党中央、国务院关于加强安全生产工作的决策部署,安全生产主体责任进一步落实、建章立制取得长足进展、隐患排查治理进一步深化,全年未发生较大及以上安全生产事故,安全生产形势总体平稳,工作取得明显成效。
但仍应清醒地认识到,通信建设领域仍然存在一些不容忽视的问题。
一是部分建设单位未按照基本建设程序进行建设,未按规定支付安全生产费,将工程发包给不具有相应资质等级的企业,电信机房内消防、抗震、防雷接地等措施不到位,安全隐患仍然存在。
二是部分施工企业超越资质等级施工,未按设计图纸和验收规范进行施工,未按规定使用安全生产费,施工现场安全管理松散,特种作业人员未持证上岗。
三是部分监理企业未严格履行监理职责,派驻现场的监理人员不到位,安全监理未有效落实。
四是部分设计单位编制的工程概预算未计列安全生产费用、未提出抗震设防要求等,设计深度不足,不能有效指导施工。
这些问题暴露出一些企业对安全生产工作思想不重视、措施不得力、意识缺乏,重效益、轻安全,安全生产仍然面临严峻形势。
全行业必须充分认识做好安全生产工作的重要性和紧迫性,增强忧患意识和危机意识,牢固树立以人为本、安全发展理念,牢牢坚守红线意识,强化安全生产措施,确保通信建设领域安全生产形势持续稳定。
工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见全文-国家规范性文件
工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,国家计算机网络应急技术处理协调中心,工业和信息化部电信研究院、通信行业职业技能鉴定指导中心,中国通信企业协会、中国互联网协会,各互联网域名注册管理机构,有关单位:近年来,各单位认真贯彻落实党中央、国务院决策部署及工业和信息化部的工作要求,在加强网络基础设施建设、促进网络经济快速发展的同时,不断强化网络安全工作,网络安全保障能力明显提高。
但也要看到,当前网络安全形势十分严峻复杂,境内外网络攻击活动日趋频繁,网络攻击的手法更加复杂隐蔽,新技术新业务带来的网络安全问题逐渐凸显。
新形势下电信和互联网行业网络安全工作存在的问题突出表现在:重发展、轻安全思想普遍存在,网络安全工作体制机制不健全,网络安全技术能力和手段不足,关键软硬件安全可控程度低等。
为有效应对日益严峻复杂的网络安全威胁和挑战,切实加强和改进网络安全工作,进一步提高电信和互联网行业网络安全保障能力和水平,提出以下意见。
一、总体要求认真贯彻落实党的十八大、十八届三中全会以及中央网络安全和信息化领导小组第一次会议关于维护网络安全的有关精神,坚持以安全保发展、以发展促安全,坚持安全与发展工作统一谋划、统一部署、统一推进、统一实施,坚持法律法规、行政监管、行业自律、技术保障、公众监督、社会教育相结合,坚持立足行业、服务全局,以提升网络安全保障能力为主线,以完善网络安全保障体系为目标,着力提高网络基础设施和业务系统安全防护水平,增强网络安全技术能力,强化网络数据和用户信息保护,推进安全可控关键软硬件应用,为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。
二、工作重点(一)深化网络基础设施和业务系统安全防护。
认真落实《通信网络安全防护管理办法》(工业和信息化部令第11号)和通信网络安全防护系列标准,做好定级备案,严格落实防护措施,定期开展符合性评测和风险评估,及时消除安全隐患。
工业和信息化部关于进一步防范和打击通讯信息诈骗工作的实施意见-工信部网安函﹝2016﹞452号
工业和信息化部关于进一步防范和打击通讯信息诈骗工作的实施意见正文:----------------------------------------------------------------------------------------------------------------------------------------------------工业和信息化部关于进一步防范和打击通讯信息诈骗工作的实施意见工信部网安函﹝2016﹞452号为坚决贯彻党中央、国务院近期系列决策部署,细化落实工业和信息化部等六部门《关于防范和打击电信网络诈骗犯罪的通告》要求,有效防范和打击通讯信息诈骗,切实保障正常通信秩序,保护用户合法权益,维护社会和谐稳定,提出以下实施意见。
一、从严从快全面落实电话用户实名制(一)加快完成未实名电话存量用户身份信息补登记。
各基础电信企业要加快推进未实名老用户补登记,在2016年底前实名率达到100%。
各移动转售企业要对170、171号段全部用户进行回访和身份信息确认,对未登记或登记信息错误的用户进行补登记,2016年底前实名率达到100%。
在规定时间内未完成补登记的,一律予以停机。
(二)从严做好新入网电话用户实名登记。
各基础电信企业和移动转售企业要采取有效的管理和技术措施,确保电话用户登记信息真实、准确、可溯源。
为新用户办理入网手续时,要严格落实用户身份证件核查责任,采取二代身份证识别设备、联网核验等措施验证用户身份信息,并现场拍摄和留存办理用户照片。
通过网络渠道发展新用户时,要采取在线视频实人认证等技术方式核验用户身份信息。
(三)严格限制一证多卡。
2016年底前,各基础电信企业和移动转售企业应全面完成一证多卡用户摸排清理,对在本企业全国范围内已经办理5张(含)以上移动电话卡的存量用户,要对用户身份信息逐一重新核实。
同一用户在同一基础电信企业或同一移动转售企业全国范围内办理使用的移动电话卡达到5张的,按照六部委《关于防范和打击电信网络诈骗犯罪的通告》第四条相关要求处理。
工业和信息部公告2015年第81号――《废塑料综合利用行业规范条件》
工业和信息部公告2015年第81号――《废塑料综合利用行业规范条件》工业和信息部公告2015年第81号――《废塑料综合利用行业规范条件》和《废塑料综合利用行业规范条件公告管理暂行办法》【法规类别】资源综合利用【发文字号】工业和信息部公告2015年第81号【发布部门】工业和信息化部【发布日期】2015.12.04【实施日期】2016.01.01【时效性】现行有效【效力级别】部门规范性文件工业和信息部公告(2015年第81号)为贯彻落实《循环经济促进法》,规范废塑料资源综合利用行业发展秩序,促进企业优化升级,加强环境保护,提高资源综合利用技术和管理水平,引导行业健康持续发展,我部制定了《废塑料综合利用行业规范条件》、《废塑料综合利用行业规范条件公告管理暂行办法》,现予公告。
各有关部门和省、自治区、直辖市在项目投资核准(备案)管理、国土资源管理、环境影响评价、信贷融资、安全监管等工作中应以本规范条件为依据。
附件:1.废塑料综合利用行业规范条件2.废塑料综合利用行业规范条件公告管理暂行办法工业和信息化部2015年12月4日附件1废塑料综合利用行业规范条件一、企业的设立和布局(一)废塑料综合利用企业是指采用物理机械法对热塑性废塑料进行再生加工的企业,企业类型主要包括PET再生瓶片类企业、废塑料破碎清洗分选类企业以及塑料再生造粒类企业。
(二)废塑料综合利用企业所涉及的热塑性废塑料原料,不包括受到危险化学品、农药等污染的废弃塑料包装物、废弃一次性医疗用塑料制品等塑料类危险废物,以及氟塑料等特种工程塑料。
(三)新建及改造、扩建废塑料加工企业应符合国家产业政策及所在地区土地利用总体规划、城乡建设规划、环境保护、污染防治规划。
企业建设应有规范化设计要求,采用节能环保技术及生产装备。
(四)在国家法律、法规、规章和规划确定或县级及以上人民政府规定的自然保护区、风景名胜区、饮用水源保护区、基本农田保护区和其他需要特别保护的区域内,不得新建废塑料综合利用企业;已在上述区域投产运营的废塑料综合利用企业,要根据该区域规划要求,依法通过搬迁、转产等方式逐步退出。
工业和信息化部关于印发《无线电频率使用率要求及核查管理暂行规定》的通知-工信部无〔2017〕322号
工业和信息化部关于印发《无线电频率使用率要求及核查管理暂行规定》的通知正文:----------------------------------------------------------------------------------------------------------------------------------------------------工业和信息化部关于印发《无线电频率使用率要求及核查管理暂行规定》的通知工信部无〔2017〕322号各省、自治区、直辖市无线电管理机构:为促进无线电频谱资源的有效利用,加强对无线电频率使用的事中事后监管,根据《中华人民共和国无线电管理条例》《无线电频率使用许可管理办法》等相关要求,我部制定《无线电频率使用率要求及核查管理暂行规定》。
现予印发,请各单位认真贯彻执行。
工业和信息化部2017年12月15日无线电频率使用率要求及核查管理暂行规定第一章总则第一条为促进无线电频谱资源的有效利用,明确各类无线电业务的频率使用率要求及核查方法,根据《中华人民共和国无线电管理条例》《无线电频率使用许可管理办法》等相关要求,制定本规定。
第二条国家无线电管理机构和省、自治区、直辖市无线电管理机构(以下统称无线电管理机构)作出无线电频率使用许可时,应当按照本规定提出频率使用率要求,并开展频率使用率核查管理工作。
第三条无线电频率使用率采用频段占用度、年时间占用度、区域覆盖率以及用户承载率(用户规模)等指标进行评价。
频段占用度是指实际使用频率范围与行政许可批准的使用频率范围之比。
年时间占用度是指一年中实际使用频率的天数(或小时)与全年天数(或小时)之比。
根据实际使用情况,可采用日、月时间占用度,或结合用户和无线电业务实际使用情况进行评价。
区域覆盖率是指取得许可的频率开展无线电业务的实际使用地域(以平方千米为单位)与行政许可批准的频率使用地域的面积之比。
用户承载率是指取得许可的频率开展无线电业务实际承载的用户数量与经专家评估论证应能承载的用户数量之比。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
工信部2015年工业行业网络安全检查试点工作方案一、目的与依据为落实工业信息安全监测和风险评估工作,加强对企业工业控制系统网络安全工作的指导和督促检查,提升企业工业控制系统安全管理和技术防护水平,通过检查工作试点积累经验,形成较完善的工业行业信息安全检查工作制度并逐步推广,依据《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)、《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)要求,参照《工业控制网络安全风险评估规范》(GB/T 26333-2010)、《工业控制系统信息安全第1部分评估规范》(GB/T 30976.1-2014)等国家信息安全技术标准规范以及《关于印发<2015年国家网络安全检查工作指南>的通知》(中网办发文〔2015〕4号)内容,制定本工作方案。
二、试点工作范围本次工业行业网络安全检查试点工作重点面向石化化工、装备制造、有色金属、钢铁等行业,检查范围包括工业行业重点企业1的制造执行、监视控制与数据采集、分布式控制/过程控制、可编程逻辑控制器、智能电子设备等工业控制系统。
根据国内产业现状,本次试点工1重点企业指企业的工业控制系统发生重大安全事件,致使系统出现严重故障后,可能导致10人以上死亡或50人以上重伤,或可能导致5000万元以上直接经济损失,或可能影响100万人以上正常生活,或可能对生态环境造成严重破坏,或可能对国家安全和社会稳定产生重大影响。
作选取15家央企(其中7家央企进行自查,对其余8家央企开展抽查,央企名单详见附件1),以及在钢铁、有色金属、石化化工、装备制造等行业具有代表性的河北、辽宁、吉林、黑龙江、安徽、福建、山东、河南、湖南、广西、四川、陕西12个省份。
三、检查内容(一)网络安全管理按照国家网络安全政策和标准规范要求,建立健全工业控制系统网络安全管理制度及落实情况。
重点检查工业控制系统网络安全主管领导、管理机构和工作人员履职情况,工业控制系统网络安全责任制落实及事故责任追究情况,人员、资产、采购、外包服务等日常安全管理情况,工业控制系统网络安全规划制定情况,工业控制系统网络安全运维情况、工业控制系统网络安全从业人员情况,工业控制系统网络安全经费保障情况等。
(二)安全技术防护按照国家网络安全政策和标准规范要求,建立健全工业控制系统技术防护体系及安全防护情况。
重点检查工业控制系统防病毒、防攻击、防篡改、防瘫痪、防泄密措施及有效性;工业控制系统网络边界防护措施、网络分区分域管理、无线网络安全防护策略;工业控制系统服务器、网络设备、安全设备等安全策略配置,应用系统安全功能及有效性;工业控制系统终端计算机、移动存储介质安全防护措施;工业控制系统重要数据传输、存储的安全防护措施等。
(三)应急工作按照国家网络与信息安全事件应急预案要求,建立健全工业控制系统网络安全应急工作体系情况。
重点检查工业控制系统网络安全事件应急预案制修订情况、应急演练情况;应急技术支撑队伍、灾难备份措施建设情况;工业控制系统重大网络安全事件处置情况等。
(四)宣传教育培训重点检查工业控制系统网络安全宣传教育、领导干部及各级人员网络安全基础培训、网络安全人员专业技术培训等情况。
(五)密码使用重点检查工业控制系统中密码技术、产品和服务的使用情况及其安全策略配置情况。
四、检查方式本次试点工作选取部分省份和央企开展工业行业网络安全检查工作,检查方式以相关省份和央企自查为主。
同时,工业和信息化部组织专业技术队伍对部分央企进行抽查。
(一)安全自查相关省份工业行业网络安全检查工作由省级工业和信息化主管部门组织实施,相关央企结合实际组织开展工业控制系统网络安全自查工作。
相关省份和央企应结合年度工作制定检查实施方案,明确检查范围、工作安排和任务要求,周密计划,精心部署,认真实施。
为确保工业行业网络安全检查工作取得实效,相关省份或央企可依托专业技术队伍进行检查。
自查工作完成后,相关省份和央企要对工业行业网络安全检查情况进行全面汇总总结,填写检查结果统计表,认真梳理存在的主要问题,分析评估安全风险,编写工业行业网络安全检查总结报告。
检查总结报告内容主要包括网络安全状况总体评价、2015年网络安全工作情况、检查发现的主要问题及整改情况、对工业行业网络安全工作的意见建议等。
相关省份应根据检查结果填写《相关省份工业行业网络安全检查情况汇总表》(附件2),相关央企应根据检查结果填写《相关央企工业控制系统网络安全检查表》(附件3)。
(二)安全抽查工业行业网络安全抽查工作采用现场检查方式,主要采取人员访谈、文档查阅、现场核查、人工检查等方法,对被抽查央企进行现场检查并记录检查结果。
本次抽查由工业和信息化部统一组织,委托专业技术队伍对钢铁、有色金属2个行业共8家央企进行抽查。
五、时间安排本次网络安全检查试点工作自本工作方案印发之日起启动。
2015年12月中旬完成自查和抽查工作,相关省份和央企将自查总结报告送工业和信息化部,承担抽查工作的专业技术队伍将抽查报告送工业和信息化部。
六、有关工作要求(一)加强组织和协调各单位要明确检查工作的主管领导和工作机构,优化进度安排,掌握工作进展,及时报送信息,确保检查工作有序开展。
(二)加强专家咨询指导可根据工作需要成立专家组或邀请专家对检查工作进行咨询指导,帮助分析工作中遇到的困难和问题,评估、研判安全检查结果,提高工作质量。
(三)加强风险控制和保密管理检查工作中要强化风险控制措施,严格执行工作纪律和操作规程,应对重要数据和配置进行备份,确保被检查系统的正常运行。
指定专人负责管理相关文档和数据,确保工作中涉及到的国家秘密和商业秘密得到有效控制。
(四)加强工作总结和整改落实对检查工作进行全面总结,认真撰写工作总结报告。
组织对检查工作中发现的问题进行研究,督促相关企业采取有效措施加以整改,切实提高工业控制系统网络安全防护水平。
工业行业网络安全检查试点工作选取央企名单序号行业企业检查方式1.石化化工中国中化集团公司自查2.中国化工集团公司自查3.装备制造中国第一重型机械集团公司自查4.哈尔滨电气集团公司自查5.中国东方电气集团有限公司自查6.中国通用技术(集团)控股有限责任公司自查7.中国中车股份有限公司自查8.有色金属中国铝业公司抽查9.中国五矿集团公司抽查10.中国有色矿业集团有限公司抽查11.中国黄金集团公司抽查12.钢铁鞍山钢铁集团公司抽查13.宝钢集团公司抽查14.武汉钢铁(集团)公司抽查15.中国中钢集团公司抽查相关省份工业行业网络安全检查情况汇总表省份名称:基本情况重要工业控制系统运营单位总数:家重要工业控制系统总数:套系统构成情况国内品牌国外品牌制造执行(MES)系统软件套套数据采集与监控(SCADA)系统软件套套分布式控制系统(DCS)软件/过程控制系统(PCS)软件套套可编程控制器(PLC)大中型台台中型台台智能电子设备(IED)智能仪表台台智能装备1台台远端设备(RTU)台台基础软硬件设备服务器台台路由器台台交换机台台防火墙台台磁盘阵列台台操作系统套套数据库套套防病毒软件套套工业控制网络连接情况1. 直接与互联网连接的重要工业控制系统数量:套2. 与内部网络连接的重要工业控制系统数量:套3. 含有无线接入方式的重要工业控制系统数量:套运行维护情况1. 采用远程方式运行维护的重要工业控制系统数量:套2. 由国内厂商提供运行维护服务的重要工业控制系统数量:套3. 由国外厂商提供运行维护服务的重要工业控制系统数量:套网络安全防护情况1. 网络边界处架设网络安全设备的重要工业控制系统数量:套2. 安装防病毒软件或设备的重要工业控制系统数量:套3. 定期进行安全更新的重要工业控制系统数量:套4. 采取加密措施传输、存储敏感数据的重要工业控制系统数量:套————————————————1 智能装备一般指机器手、机器人、数控设备、智能车等。
附件3 相关央企工业控制系统网络安全检查表表1 相关央企工业控制系统基本情况检查表序号装置/系统1名称工艺2名称操作对象危险化学品重大危险源3关联情况连接互联网情况数据集中情况灾备情况运维情况原料产品是否涉及关联情况说明采用逻辑隔离措施连接采用逻辑强隔离42措施连接不连接全国集中省级集中不集中系统级灾备仅数据异地灾备仅数据本地灾备无灾备是否外包是否远程运维是否签署网络安全保密协议1钢铁主要装置一般指焦炉、高炉、转炉或电炉、烧结机、热风炉、加热炉等。
2钢铁工艺一般指连铸、成形煤、焦化、干熄焦(CDQ)、煤气派送、煤气净化、焙烧、热轧、冷轧、煤气混合等;有色工艺一般指火法冶金(包括焙烧、熔炼和精炼)、湿法冶金(包括浸出、固液分离、溶液净化和提取金属)、电冶金等;化工工艺一般指原料处理、化学反应、产品精制等;装备制造工艺一般指离散制造、流程制造。
3危险化学品重大危险源是指按照《危险化学品重大危险源辨识》(GB18218)标准辨识确定,生产、储存、使用或者搬运危险化学品的数量等于或者超过临界量的单元(包括场所和设施)。
4逻辑强隔离指使用逻辑强隔离设备(使用正向、反向或双向网闸)进行的网络隔离。
范文范例学习指导序号装置/系统1名称工艺2名称操作对象危险化学品重大危险源3关联情况连接互联网情况数据集中情况灾备情况运维情况原料产品是否涉及关联情况说明采用逻辑隔离措施连接采用逻辑强隔离42措施连接不连接全国集中省级集中不集中系统级灾备仅数据异地灾备仅数据本地灾备无灾备是否外包是否远程运维是否签署网络安全保密协议12表2 相关央企工业控制系统设备情况检查表序装置/工艺名称属性安全防护设备通信设备软硬件设备智能仪表智能装备范文范例学习指导号系统名称数量防火墙隔离装置加密认证装置其他路由器交换机无线热点其他SCADAPLCDCSMES服务器操作系统数据库磁盘阵列防病毒软件其他压力温度其他机器手/人数控设备其他1 国内数量国外数量2 国内数量国外数量3 国内数量国外数量范文范例学习指导表3 相关央企工业控制系统网络安全管理检查结果记录表序号检查项检查结果1 组织结构①分管领导姓名:职务:②网络安全部门名称:负责人姓名:职务:联系方式:2 人员管理①重要岗位人员安全保密协议:□全部签订□部分签订□未签订②人员离岗离职安全管理规定:□已制定□未制定③外部人员访问审批制度:□已制定□未制定④是否有外包人员:□是□否⑤外包人员安全保密协议:□全部签订□部分签订□未签订3 资产管理①资产管理制度:□已制定□未制定②是否指定专人进行资产管理:□是□否③设备维修维护和报废管理制度:□已制定□未制定④设备维修维护和报废记录是否完整:□是□否4存储介质管理①存储介质管理制度:□已制定□未制定②存储介质管理记录:□完整□不完整③移动存储介质管理:□允许使用□不允许使用④便携式笔记本管理:□允许使用□不允许使用⑤大容量存储介质:□外联:□采取了技术防范措施□未采取技术防范措施□不外联序号检查项检查结果5无线网络管理①无线网络管理制度:□已制定□未制定②无线网络管理记录:□完整□不完整③无线网络:□有:□采取了身份认证等技术防范措施□未采取技术防范措施□无6运行维护管理①日常运维制度:□已制定□未制定②运维操作手册:□已制定□未制定③运维操作记录:□完整□不完整7年度教育培训①年度培训计划:□已制定□未制定②本年度接受网络安全教育培训的人数:_____人占本单位总人数的比例:_____%③本年度开展网络安全教育培训的次数:_____次④本年度网络安全管理和技术人员参加专业培训:______人次8 本年度网络安全经费预算本年度网络安全预算:□有,预算额:_______万元□无9 上年度网络安全经费投入上年度网络安全经费实际投入额:_____________万元10网络安全应急预案①应急预案:□已制定□未制定②预案评估:□本年度已评估□本年度未评估□从未评估序号检查项检查结果11 应急演练□本年度已开展□本年度未开展□从未开展12 灾难备份①重要系统:□全部备份□部分备份□未备份②重要数据:□全部备份□部分备份□未备份13 应急资源①应急支援队伍:□部门所属队伍□外部专业机构□无②备机备件:□已配备□有供应渠道□未配备14网络安全规划□制订了网络安全计划□在总体发展规划中涵盖了网络安全规划□无15 网络安全通报机制建设企业网络安全通报机制:□已建立□未建立16外包服务机构①机构名称:②机构性质:□国有单位□民营企业□外资企业③服务内容:□系统集成□系统运维□风险评估□安全检测□安全加固□应急支持□数据存储□灾难备份□其他:④网络安全保密协议:□己签订□未签订(如有1个以上外包机构,每个机构均应填写,可另附页)表4 相关央企工业控制系统技术防护情况检查记录表(每个装置或系统单独成一张表)装置/系统名称序号检查项检查结果1网络边界防护①连接互联网情况:□连接互联网:互联网接入总数:_______个其中□联通接入口数量:____个接入带宽:_____兆□电信接入口数量:____个接入带宽:_____兆□其他:______接入口数量:___个接入带宽:___兆□不连接互联网②网络边界防护措施(多选):□访问控制□安全审计□边界完整性检查□入侵防范□恶意代码防范□VPN方式接入□无措施2安全防护策略①服务器安全策略:□使用默认配置□根据应用自主配置□按需开放端口□最小服务配置②网络设备安全策略:□使用默认配置□根据应用自主配置□按需开放端口□最小服务配置③安全设备安全策略:□使用默认配置□根据应用自主配置□按需开放端口□最小服务配置④应用系统安全功能:□身份验证□访问控制□安全审计⑤USB端口封堵情况:□硬件封堵□软件屏蔽□未做封堵□分类使用⑥杀毒软件安装及病毒库更新:□不安装杀毒软件□安装杀毒软件:□病毒库定期更新□病毒库不更新3重要数据防护①传输防护:□加密□未加密②存储防护:□加密□未加密③备份:□本地备份□异地备份□未备份4系统冗余配备□采用冗余配备:□备机备件□双机热备□通信链路冗余□未采用冗余配备5密码使用①密码功能用途(可多选):□身份认证□访问控制□电子签名□安全审计□传输保护□存储保护□密钥管理②密码设备使用情况密码机数量: 密码系统数量:智能IC卡数量: 智能密码系统数量:动态令牌数量:③所采用的密码算法对称算法: SM1 个 SM4 个 SM7 个 AES 个DES 个 3DES 个非对称算法: SM2 个 SM9 个 RSA1024 个 RSA2048 个杂凑算法: SM3 个 SHA-1 个 SHA-256 个 SHA-384 个SHA-512 个 DM5 个其他6安全事件□发生过安全事件,安全事件次数:□未发生过安全事件。