信息安全：周报：工信部解读《工业控制系统信息安全防护指南》

请务必阅读正文之后的免责声明部分 信息安全：周报（2016.11.8-2016.11.14） 2016年11月14日 看好（维持） 国内动态 1． 工信部解读《工业控制系统信息安全防护指南》 2． 网络安全法聚焦个人信息安全保护 “乌云”逐步肃清 3． “互联网+”时代，网络安全市场将达千亿级别 国外动态 1． 思科计划对物联网设备进行安全认证 2． 准能公司的下一代防火墙Stonesoft®集成了云安全技术 3． 富士通咨询在博科SDN架构上构建新一代IP网络以支持全球业务增长 4． 土耳其政府屏蔽虚拟专用网络（VPN）及匿名路由技术 公司动态 1． 蓝盾股份：关于入选国家信息安全漏洞共享平台技术组成员单位的公告 2． 绿盟科技：持股5%以上股东股份变动提示性公告 3． 启明星辰：关于向子公司增资，由其设立全资子公司并购置办公场所的公告 4． 东方通：关于全资子公司上海东方通泰软件科技有限公司受让全资子公司东方通科技无锡有限公司100%股权的公告 行情回顾 20161108-1114，网络安全指数上涨2.00%，同期沪深300指数上涨1.86%，计算机行业指数上涨1.66%。 投资策略 我们认为信息安全作为国家安全的重要组成部分，政策支持力度将不断加强，全民网络安全意识不断提高也有助于相关需求的不断释放，另外网络攻击、数据泄露等安全事件催化剂不断，是能够穿越周期的主题投资板块，值得持续关注。 风险提示 大盘系统性风险；注册制推进提速。行业研究 市场表现 截至2016.11.14 分析师：安静 执业证书号：S1490514120001 联系电话：010-85556197 工信部解读《工业控制系统信息安全防护指南》 证券研究报告 信息安全 请务必阅读正文之后的免责声明部分 2 华融证券HUARONG SECURITIES一、国内动态 1．工信部解读《工业控制系统信息安全防护指南》 【人民邮电报】工业控制系统信息安全是国家网络和信息安全的重要组成部分。近年来，随着信息化和工业化融合的不断深入，工业控制系统从单机走向互联，从封闭走向开放，从自动化走向智能化。在生产力显著提高的同时，工业控制系统面临着日益严峻的信息安全威胁。日前，工业和信息化部印发《工业控制系统信息安全防护指南》，涵盖工业控制系统设计、选型、建设、测试、运行、检修、废弃各阶段防护工作要求，坚持企业的主体责任及政府的监管、服务职责，聚焦系统防护、安全管理等安全保障重点，提出了11项防护要求。工业和信息化部信息化和软件服务业司对此文件作出具体解读。 文件要求在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行。对此，信软司解读指出：工业控制系统对系统可用性、实时性要求较高，工业主机如MES服务器、OPC服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在离线环境中进行测试与验证，其中，离线环境指的是与生产环境物理隔离的环境。验证和测试内容包括安全软件的功能性、兼容性及安全性等。 文件要求通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护，禁止没有防护的工业控制网络与互联网连接。对此，信软司解读指出：工业控制网络边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。工业企业应根据实际情况，在不同网络边界之间部署边界安全防护设备，实现安全访问控制，阻断非法网络访问，严格禁止没有防护的工业控制网络与互联网连接。 文件要求原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。对此，信软司解读指出：工业控制系统面向互联网开通HTTP、FTP、Telnet等网络服务，易导致工业控制系统被入侵、攻击、利用，工业企业应原则上禁止工业控制系统开通高风险通用网络服务。 文件要求在工业控制网络部署网络安全监测设备，及时发现、报告并处理网络攻击或异常行为。对此，信软司解读指出：工业企业应在工业控制网络部署可对网络攻击和异常行为进行识别、报警、记录的网络安全监测设备，及时发现、报告并处理包括病毒木马、端口扫描、暴力破解、异常流量、异常指令、工业控制系统协议包伪造等网络攻击或异常行为。 信息安全 请务必阅读正文之后的免责声明部分 3 华融证券HUARONG SECURITIES文件要求对静态存储和动态传输过程中的重要工业数据进行保护，根据风险评估结果对数据信息进行分级分类管理。对此，信软司解读指出：工业企业应对静态存储的重要工业数据进行加密存储，设置访问控制功能，对动态传输的重要工业数据进行加密传输，使用VPN等方式进行隔离保护，并根据风险评估结果，建立和完善数据信息的分级分类管理制度。 文件要求在选择工业控制系统规划、设计、建设、运维或评估等服务商时，优先考虑具备工控安全防护经验的企事业单位，以合同等方式明确服务商应承担的信息安全责任和义务。对此，信软司解读指出：工业企业在选择工业控制系统规划、设计、建设、运维或评估服务商时，应优先考虑有工控安全防护经验的服务商，并核查其提供的工控安全合同、案例、验收报告等证明材料。在合同中应以明文条款的方式约定服务商在服务过程中应当承担的信息安全责任和义务。 文件要求以保密协议的方式要求服务商做好保密工作，防范敏感信息外泄。对此，信软司解读指出：工业企业应与服务商签订保密协议，协议中应约定保密内容、保密时限、违约责任等内容。防范工艺参数、配置文件、设备运行数据、生产数据、控制指令等敏感信息外泄。 据悉，工信部将面向地方与企业开展《指南》宣贯，指导工业企业进一步优化工控安全管理与技术防护手段，并开展工控安全防护应用试点。 2．网络安全法聚焦个人信息安全保护 “乌云”逐步肃清 【科技日报】 历时两年三审之后，11月7日，十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法(以下简称《网络安全法》)，并将自2017年6月1日起施行，将全社会对网络安全的关注提到前所未有的新高度。 这部我国网络安全领域的基础性法律，在确立安全在整个信息系统建设中的核心和关键地位的同时，明确了基础设施安全和个人信息安全两个突出重点，对保护公众个人信息安全，将起到积极作用，而从企业自发重视网络安全上升到法律强制推行后，网络安全相关产业市场空间也将迎来加速增长。 聚焦个人信息安全保护 《网络安全法》聚焦个人信息泄露，明确网络产品服务提供者、运营者的 信息安全 请务必阅读正文之后的免责声明部分 4 华融证券HUARONG SECURITIES责任，严厉打击出售贩卖个人信息的行为，对保护公众个人信息安全将起到积极作用。 个人信息的泄露是网络诈骗泛滥的重要原因，今年以来舆论关注的山东两名大学生遭电信诈骗死亡案、清华大学教授遭电信诈骗案，皆因个人信息泄露之后的精准诈骗造成。 警方近年查获曝光的大量案件显示，公民个人信息的泄露、收集、转卖，已经形成了完整的黑灰产业链。据中国互联网协会发布的《2016中国网民权益保护调查报告》显示，84%的网民曾亲身感受到由于个人信息泄露带来的不良影响。 对此，《网络安全法》作出专门规定：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；网络运营者不得泄露、篡改、毁损其收集的个人信息；任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或非法向他人提供个人信息，并规定了相应法律责任。 除严防个人信息泄露，《网络安全法》针对层出不穷的新型网络诈骗犯罪还规定：任何个人和组织不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布与实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。 中国政法大学传播法研究中心副主任朱巍表示，无论网络诈骗花样如何翻新，都是通过即时聊天工具、搜索平台、网络发布平台、电子邮件等渠道实施和传播的。这些规定，不仅对诈骗个人和组织起到震慑作用，更明确了互联网企业不可推卸的责任。 “不得收集与其提供的服务无关的个人信息。”中国信息安全研究院副院长左晓栋表示，强调收集个人信息的边界是这部法律的亮点之一，比如地图导航软件需要用户的物理位置，这是功能性要求，可以满足，但如果要用户提供姓名和身份证号就属于不必要了。 左晓栋认为，网络安全法对个人信息保护提出了专业的要求，作为一个上位法，有助于今后制定相关管理条例和实施细则。而目前涉及电信网络诈骗的个人信息保护等问题还分散于刑法等法规中，专家建议考虑出台个人信息保护法，根治电信网络诈骗。 对关键信息基础设施重点保护 信息基础设施的安全隐患具有很大的破坏性和杀伤力，《网络安全法》在 信息安全 请务必阅读正文之后的免责声明部分 5 华融证券HUARONG SECURITIES关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都作出了明确规定。 左晓栋表示，信息化的深入推进，使关键信息基础设施成为社会运转的神经系统。保护国家关键信息基础设施是国际惯例，此次以法律的形式予以明确和强调，非常及时而且必要。 2014年国家网信办曾披露的数据显示，我国一直是网络攻击的受害国，每月有1万多个网站被篡改，80%的政府网站受到过攻击。 左晓栋表示，网络空间的主权不仅包括对我国自己的关键信息基础设施进行保护的权利，同时包括抵御外来侵犯的权利。“当今世界各国纷纷采取各种措施防范自己的网络空间不受外来侵犯，采取一切手段包括军事手段保护其信息基础设施的安全。网络安全法作出这一规定，不仅符合国际惯例，也表明了我们维护国家网络主权的坚强决心。” 现实社会中，出现重大突发事件，为确保应急处置、维护国家和公众安全，有关部门往往会采取交通管制等措施，网络空间也不例外。 左晓栋认为，在当前全社会都普遍使用信息技术的情况下，网络通信管制作为重大突发事件管制措施中的一种，重要性越来越突出。在暴恐事件中，恐怖分子越来越多地通过网络进行组织、策划、勾连、活动，这个时候可能就要对网络通信进行管制。 《网络安全法》提出，因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。 安全产业或将迎来高速增长 从企业自发重视到法律强制要求，在新技术变革以及政策强化的双重驱动下，网络安全产业将迎来高速增长。 作为我国领先的网络安全基础设施提供商，今年，中科曙光首次提出“安全大数据”概念，并率先推出了安全大数据相关解决方案，倡导构建以安全可控设备支撑的网络设施安全，进一步确保网络安全。 “这个法律的出台是对技术和产品开发者的考验，更是肃清‘网络乌云’的重要标杆，对整个社会的信息化发展都具有促进作用，是中国互联网发展的重要基石。”中科曙光总裁历军对科技日报记者说：“《网络安全法》对当前我 信息安全 请务必阅读正文之后的免责声明部分 6 华融证券HUARONG SECURITIES国网络安全方面存在的热点难点问题，都做出了明确规定，对减少网络安全威胁、明确网络安全管理标准、促进网络安全技术和产品开发等都有重要意义。” 历军透露，曙光将以《网络安全法》作为参考依据，向网络安全领域大力投入研发资源。 国内相关产业迎来利好的同时，并不意味着国外的技术和标准将被限制。 国家互联网信息办公室网络安全协调局局长赵泽良表示，现在的网络安全问题已不局限于一个国家、一个地区的内部，它也不是哪一个国家所能单独应对，网络安全是各国面对的挑战，我们需要各国共同合作、共同应对。从这个意义上讲，《网络安全法》也不是要限制国外的技术、产品，不是要搞贸易壁垒。 《网络安全法》中提到推广安全可信的技术产品，要开展网络安全审查，也对我国的个人信息和重要数据的留存作出了规定。 “现在一些朋友特别是国外的朋友，只要我们一提安全可信、一提自主可控、安全可控，他们就认为‘安全可控、自主可控、