原创力文档- 1、本文档共5页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
其身正,不令而行;其身不正,虽令不从。——《论语》
工业控制系统信息安全防护指南
为了贯彻国务院关于深化制造业与互联网融合发展的指导
意见,保障工业企业工业控制系统信息安全,工业和信息化部
制定并印发了《工业控制系统信息安全防护指南》。
工业和信息化部负责指导和管理全国工业企业工控安全防
护和保障工作,并根据实际情况对指南进行修订。地方工业和
信息化主管部门则根据工业和信息化部的统筹安排,指导本行
政区域内的工业企业制定工控安全防护实施方案,推动企业分
期分批达到本指南相关要求。
本指南的目的是为了提升工业企业工业控制系统信息安全
防护水平,保障工业控制系统的安全。适用本指南的对象包括
工业控制系统应用企业以及从事工业控制系统规划、设计、建
设、运维、评估的企事业单位。
对于工业控制系统应用企业,应从以下十一个方面做好工
控安全防护工作:
其身正,不令而行;其身不正,虽令不从。——《论语》
1.安全软件选择与管理:在工业主机上采用经过离线环境
中充分验证测试的防病毒软件或应用程序白名单软件,只允许
经过工业企业自身授权和安全评估的软件运行。建立防病毒和
恶意软件入侵管理机制,对工业控制系统及临时接入的设备采
取病毒查杀等安全预防措施。
2.配置和补丁管理:做好工业控制网络、工业主机和工业
控制设备的安全配置,建立工业控制系统配置清单,定期进行
配置审计。对重大配置变更制定变更计划并进行影响分析,配
置变更实施前进行严格安全测试。密切关注重大工控安全漏洞
及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对
补丁进行严格的安全评估和测试验证。
3.边界安全防护:分离工业控制系统的开发、测试和生产
环境。通过工业控制网络边界防护设备对工业控制网络与企业
网或互联网之间的边界进行安全防护,禁止没有防护的工业控
制网络与互联网连接。通过工业防火墙、网闸等防护设备对工
业控制网络安全区域之间进行逻辑隔离安全防护。
其身正,不令而行;其身不正,虽令不从。——《论语》
4.物理和环境安全防护:对重要工程师站、数据库、服务
器等核心工业控制软硬件所在区域采取访问控制、视频监控、
专人值守等物理安全防护措施。拆除或封闭工业主机上不必要
的USB、光驱、无线等接口。若确需使用,需进行严格的安
全评估和测试验证。
1.通过使用主机外设安全管理技术手段,实施严格的访问
控制,确保工业控制系统的安全性。
2.在工业主机登录、应用服务资源访问、工业云平台访问
等过程中,采用身份认证管理,对于关键设备、系统和平台的
访问采用多因素认证。
3.合理分类设置账户权限,以最小特权原则分配账户权限,
强化工业控制设备、SCADA软件、工业通信设备等的登录账
户及密码,避免使用默认口令或弱口令,并定期更新口令。
4.加强对身份认证证书信息的保护力度,禁止在不同系统
和网络环境下共享。
5.原则上严格禁止工业控制系统面向互联网开通HTTP、
FTP、等高风险通用网络服务。
6.对于确需远程访问的情况,采用数据单向访问控制等策
略进行安全加固,对访问时限进行控制,并采用加标锁定策略。
其身正,不令而行;其身不正,虽令不从。——《论语》
对于确需远程维护的情况,采用虚拟专用网络(VPN)等远
程接入方式进行。
7.保留工业控制系统的
文档评论(0)