《关键基础设施(计算机系统)条例》(PCICSO)是香港政府推出的一项新框架,旨在加强关键基础设施运营商(CIO)的网络安全和抗风险能力。 该条例自2026年1月起生效,规定关键基础设施运营商负有法定义务,须保护其计算机系统免受网络威胁、主动管理风险,并有效应对网络安全事件。该条例明确指出,关键基础设施运营商现需就系统、设备及数据的处理方式,展示严格且可执行的管控措施。
《关键基础设施(计算机系统)保护条例》(PCICSO)
PCICSO 监管框架围绕三项核心义务构建,旨在为首席信息官(CIO)提供一套全面且系统化的网络风险管理方法。首席信息官(CIO)是指监管机构根据以下因素指定的组织:其对计算机系统核心运营的依赖程度、受控数据的敏感性、对基础设施的运营和管理控制水平,以及为合规目的提供的信息。
首席信息官必须遵守的三项核心义务是:
- 组织层面:确保网络安全方面责任明确、政策完善及监督到位的治理与组织要求。
- 预防性:预防和保护措施,要求操作人员采取适当的技术和操作保障措施,以确保关键计算机系统的安全。
- 事件报告与响应:具备强制要求及时发现、处理和通报重大网络安全事件的能力。
主要亮点
尽管该条例涵盖了广泛的要求,但首席信息官(CIO)应牢记其中几个关键要点。根据该条例附表3第1部分的规定,运营商必须制定相关政策,以:
- 识别、评估、监控、缓解及应对与计算机系统安全及系统漏洞相关的风险
- 控制对关键计算机系统的访问
- 管理为系统选用的计算机相关服务和产品的供应商
行业领先的合规解决方案
以设备与Endpoint 为基石
PCICSO 指南高度重视Endpoint 状态和漏洞管理,要求及时检测、评估和修复漏洞。只有符合要求的设备才应被允许与关键系统交互,而存在补丁缺失、软件过时或安全风险的终端,在修复之前必须被阻止或限制访问。MetaDefender 通过在授予访问权限前强制执行设备合规性,并根据组织政策对每个终端进行评估,从而支持满足这些要求。该评估涵盖漏洞和补丁状态,确保只有符合所需安全状态的设备才能连接。
此外MetaDefender Endpoint 跨终端的漏洞和补丁管理,涵盖操作系统及第三方应用程序。该解决方案能够主动检测漏洞、消除风险并提供修复建议,支持为 1,100 多种应用程序打补丁。为了确保合规性执行可审计及支持事件调查,所有终端的安全和合规状态均可通过My Central Management 进行集中监控和审计。
降低可移动Media
访问控制是该条例重点关注的领域之一。这使得首席信息官(CIO)更需要对通往关键系统的所有访问途径(包括可移动存储介质)进行严格管理。
在运营环境中,USB 和其他便携式存储介质的使用依然普遍,尤其是在网络被分段或隔离的情况下,这使得它们成为 OT/ICS 环境中高风险的攻击途径。根据 SANS《2025 年 OT/ICS 预算报告》,15.2% 的攻击途径源自遭到入侵的可移动存储介质。
为降低这些风险,OPSWAT 通过以下方式OPSWAT 组织防范可移动存储介质带来的风险:
- 在入口处缓解可移动Media :MetaDefender 通过在入口处对可移动存储介质进行扫描和净化,确保流入关键环境的数据流安全。该产品已被纳入艾默生 DeltaV 银级联盟,这证明了其在多种环境和应用场景中的有效性。
- 运行Endpoint 设备控制: MetaDefender 通过在可移动存储介质插入时主动进行扫描,并确保仅允许干净的设备或内容访问关键系统,从而为运营环境提供先进的端点防护。
- Media 作为额外的安全防护层: MetaDefender Endpoint MetaDefender Media 通过强制执行扫描和净化策略,提供额外的安全防护层。
- 集中式保护监控:通过My Central Management,MetaDefender 和MetaDefender 支持集中式策略执行,用于控制设备访问、监控和管理可移动存储介质的使用,以及活动日志记录。
管理承包商和Supply Chain 访问权限及Secure 存储
由于关键基础设施无法完全与外界隔绝,日常运营中往往需要向供应商、承包商和合作伙伴带来的外部设备授予网络访问权限。由于时间紧迫或验证工具不足,临时设备(如第三方笔记本电脑和备用工作站)可能无法经过适当的筛查,从而形成潜在的初始攻击途径。
SANS《2025年工业控制系统/运营技术报告》和IBM《2025年数据泄露成本报告》中披露的最新行业数据显示:
- 瞬态设备攻击激增221%
- 27.3%的所有 OT 安全事件源于临时设备
- 第三方及供应链安全事件平均每次造成约490万美元的损失
MetaDefender Drive 在允许临时设备访问关键网络之前对其进行扫描和验证,从而解决这些问题。借助安全的启动前扫描功能,运维人员可以绕过主机操作系统对设备进行检查,在设备进入网络之前发现隐藏的威胁。
对于因运营限制而无法关机的关键系统MetaDefender Drive 支持会话内扫描,可在操作系统运行期间对设备进行检查,从而在无法接受停机时间的关键环境中实现深度检测。
此外Drive Smart TouchDrive MetaDefender Drive 能够像普通USB 一样存储数据,同时将未扫描的文件隐藏起来,仅允许已扫描的文件进行共享或分发,从而实现安全的文件存储。
网络分段与单向数据流
除了逻辑分区之外,PCICSO 还认识到,某些关键系统需要比基于软件的控制措施所能提供的更强有力的保障。防火墙、访问控制列表(ACL)和分区策略仍然容易受到配置错误、凭证滥用以及零日漏洞利用的影响。对于可用性和完整性至关重要的高影响系统而言,通过物理手段强制实施信任边界是一项决定性的控制措施。
MetaDefender 通过硬件强制实施的单向数据流来满足这一需求,确保数据能够从关键环境中流出,以供监控、分析和合规报告之用,同时阻止入站通信。 与依赖策略执行的传统网络控制措施不同,这种方法通过设计消除了整类攻击途径。它能阻止恶意软件、远程命令及横向移动重新侵入受保护系统,从而支持 PCICSO 降低系统性风险并限制关键系统暴露路径的重点工作。
从运营角度来看,MetaDefender 使首席信息官(CIO)能够在不影响系统隔离的前提下,履行监控、日志记录和报告义务。日志、遥测数据和运营指标可安全传输至 IT 或安全运营中心(SOC)环境进行集中分析,同时运营技术(OT)和控制系统保持完整,从而确保符合相关法规要求。
从合规到韧性
遵循香港新颁布的网络安全条例指南,有助于组织确保设备合规、控制文件流动、管理可移动存储介质以及实施网络分段。随着关键基础设施的互联程度日益加深,而这些基础设施仍依赖于无法承受中断的系统,安全控制措施必须在不影响正常运营的情况下运行。
OPSWAT 将这些功能整合到终端设备、可移动存储介质、临时设备及数据流中,既能应对常见的入侵途径,又能提供监管机构所期望的可视性。如需进一步了解OPSWAT 如何OPSWAT 关键基础设施组织满足这些要求并增强网络弹性,请立即联系我们的专家。
