工业控制系统信息安全防护指南.pdfVIP

工业控制系统信息安全防护指南

为了贯彻国务院关于深化制造业与互联网融合发展的指导

意见，保障工业企业工业控制系统信息安全，工业和信息化部

制定并印发了《工业控制系统信息安全防护指南》。

工业和信息化部负责指导和管理全国工业企业工控安全防

护和保障工作，并根据实际情况对指南进行修订。地方工业和

信息化主管部门则根据工业和信息化部的统筹安排，指导本行

政区域内的工业企业制定工控安全防护实施方案，推动企业分

期分批达到本指南相关要求。

本指南的目的是为了提升工业企业工业控制系统信息安全

防护水平，保障工业控制系统的安全。适用本指南的对象包括

工业控制系统应用企业以及从事工业控制系统规划、设计、建

设、运维、评估的企事业单位。

对于工业控制系统应用企业，应从以下十一个方面做好工

控安全防护工作：

1.安全软件选择与管理：在工业主机上采用经过离线环境

中充分验证测试的防病毒软件或应用程序白名单软件，只允许

经过工业企业自身授权和安全评估的软件运行。建立防病毒和

恶意软件入侵管理机制，对工业控制系统及临时接入的设备采

取病毒查杀等安全预防措施。

2.配置和补丁管理：做好工业控制网络、工业主机和工业

控制设备的安全配置，建立工业控制系统配置清单，定期进行

配置审计。对重大配置变更制定变更计划并进行影响分析，配

置变更实施前进行严格安全测试。密切关注重大工控安全漏洞

及其补丁发布，及时采取补丁升级措施。在补丁安装前，需对

补丁进行严格的安全评估和测试验证。

3.边界安全防护：分离工业控制系统的开发、测试和生产

环境。通过工业控制网络边界防护设备对工业控制网络与企业

网或互联网之间的边界进行安全防护，禁止没有防护的工业控

制网络与互联网连接。通过工业防火墙、网闸等防护设备对工

业控制网络安全区域之间进行逻辑隔离安全防护。

4.物理和环境安全防护：对重要工程师站、数据库、服务

器等核心工业控制软硬件所在区域采取访问控制、视频监控、

专人值守等物理安全防护措施。拆除或封闭工业主机上不必要

的USB、光驱、无线等接口。若确需使用，需进行严格的安

全评估和测试验证。

1.通过使用主机外设安全管理技术手段，实施严格的访问

控制，确保工业控制系统的安全性。

2.在工业主机登录、应用服务资源访问、工业云平台访问

等过程中，采用身份认证管理，对于关键设备、系统和平台的

访问采用多因素认证。

3.合理分类设置账户权限，以最小特权原则分配账户权限，

强化工业控制设备、SCADA软件、工业通信设备等的登录账

户及密码，避免使用默认口令或弱口令，并定期更新口令。

4.加强对身份认证证书信息的保护力度，禁止在不同系统

和网络环境下共享。

5.原则上严格禁止工业控制系统面向互联网开通HTTP、

FTP、等高风险通用网络服务。

6.对于确需远程访问的情况，采用数据单向访问控制等策

略进行安全加固，对访问时限进行控制，并采用加标锁定策略。

对于确需远程维护的情况，采用虚拟专用网络（VPN）等远

程接入方式进行。

7.保留工业控制系统的相关访问日志，并对操作过程进行

安全审计。

8.在工业控制网络部署网络安全监测设备，及时发现、报

告并处理网络攻击或异常行为。在重要工业控制设备前端部署

具备工业协议深度包检测功能的防护设备，限制违法操作。制

定工控安全事件应急响应预案，当遭受安全威胁导致工业控制

系统出现异常或故障时，应立即采取紧急防护措施，防止事态

扩大，并逐级报送直至属地省级工业和信息化主管部门，同时

注意保护现场，以便进行调查取证。定期对工业控制系统的应

急响应预案进行演练，必要时对应急响应预案进行修订。

9.建设工业控制系统资产清单，明确资产责任人，以及资

产使用及处置规则。对关键主机设备、网络设备、控制组件等

进行冗余配置。

10.对静态存储和动态传输过程中的重要工业数据进行保

护，根据风险评估结果对数据信息进行分级分类管理。定期备

份关键业务数据。对测试数据进行保护。

11.在选择工业控制系统规划、设计、建设、运维或评估

等服务商时，优先考虑具备工控安全防护经验的企事业单位，

以合同等方式明确服务商应承担的信息安全责任和义务。以保

密协议的方式要求服务商做好保密工作，防范敏感信息外泄。

12.落实责任，确保工业控制系统的安全性。