《工业控制系统网络安全防护指南》.pdf

工业控制系统是工业生产运行的基础核心。为适应新时期工业控制系统网络

安全（以下简称工控安全）形势，进一步指导企业提升工控安全防护水平，夯实

新型工业化发展安全根基，制定本指南。

使用、运营工业控制系统的企业适用本指南，防护对象包括工业控制系统以

及被网络攻击后可直接或间接影响生产运行的其他设备和系统。

一、安全管理

（一）资产管理

1.全面梳理可编程逻辑控制器（PLC）、分布式控制系统（DCS）、数据采

集与监视控制系统（SCADA）等典型工业控制系统以及相关设备、软件、数据等

资产，明确资产管理责任部门和责任人，建立工业控制系统资产清单，并根据资

产状态变化及时更新。定期开展工业控制系统资产核查，内容包括但不限于系统

配置、权限分配、日志审计、病毒查杀、数据备份、设备运行状态等情况。

2.根据承载业务的重要性、规模，以及发生网络安全事件的危害程度等因

素，建立重要工业控制系统清单并定期更新，实施重点保护。重要工业控制系统

相关的关键工业主机、网络设备、控制设备等，应实施冗余备份。

（二）配置管理

3.强化账户及口令管理，避免使用默认口令或弱口令，定期更新口令。遵

循最小授权原则，合理设置账户权限，禁用不必要的系统默认账户和管理员账户，

及时清理过期账户。

4.建立工业控制系统安全配置清单、安全防护设备策略配置清单。定期开

展配置清单审计，及时根据安全防护需求变化调整配置，重大配置变更实施前进

行严格安全测试，测试通过后方可实施变更。

（三）供应链安全

5.与工业控制系统厂商、云服务商、安全服务商等供应商签订的协议中，

应明确各方需履行的安全相关责任和义务，包括管理范围、职责划分、访问授权、

隐私保护、行为准则、违约责任等。

6.工业控制系统使用纳入网络关键设备目录的PLC等设备时，应使用具备

资格的机构安全认证合格或者安全检测符合要求的设备。

（四）宣传教育

7.定期开展工业控制系统网络安全相关法律法规、政策标准宣传教育，增

强企业人员网络安全意识。针对工业控制系统和网络相关运维人员，定期开展工

控安全专业技能培训及考核。

二、技术防护

（一）主机与终端安全

8.在工程师站、操作员站、工业数据库服务器等主机上部署防病毒软件，

定期进行病毒库升级和查杀，防止勒索软件等恶意软件传播。对具备存储功能的

介质，在其接入工业主机前，应进行病毒、木马等恶意代码查杀。

9.主机可采用应用软件白名单技术，只允许部署运行经企业授权和安全评

估的应用软件，并有计划的实施操作系统、数据库等系统软件和重要应用软件升

级。

10.拆除或封闭工业主机上不必要的通用串行总线（USB）、光驱、无线等

外部设备接口，关闭不必要的网络服务端口。若确需使用外部设备，应进行严格

访问控制。

11.对工业主机、工业智能终端设备（控制设备、智能仪表等）、网络设

备（工业交换机、工业路由器等）的访问实施用户身份鉴别，关键主机或终端的

访问采用双因子认证。

（二）架构与边界安全

12.根据承载业务特点、业务规模、影响工业生产的重要程度等因素，对

工业以太网、工业无线网络等组成的工业控制网络实施分区分域管理，部署工业

防火墙、网闸等设备实现域间横向隔离。当工业控制网络与企业管理网或互联网

连通时，实施网间纵向防护，并对网间行为开展安全审计。设备接入工业控制网

络时应进行身份认证。

13.应用第五代移动通信技术（5G）、无线局域网技术（WiFi）等无线通

信技术组网时，制定严格的网络访问控制策略，对无线接入设备采用身份认证机

制，对无线访问接入点定期审计，关闭无线接入公开信息（SSID）广播，避免设

备违规接入。

14.严格远程访问控制，禁止工业控制系统面向互联网开通不必要的超文

本传输协议（HTTP）、文件传输协议（FTP）、Internet远程登录协议（Telnet）、

远程桌面协议（RDP）等高风险通用网络服务，对必要开通的网络服务采取安全

接入代理等技术进行用户身份认证和应用鉴权。在远程维护时，使用互联网安全

协议（IPsec）、安全套接字协议（SSL）等协议构建安全网络通道（如虚拟专用

网络（VPN）），并严格限制访问范围和授权时间，开展日志留存和审计。

15.在工业控制系统中使用加密协议和算法时应符合相关法律法规要求，

鼓励优先采用商用密码，实现加密网络通信、设备身