工業和信息化部關於印發《工業控制系統信息安全防護指南》的通知

工業控制系統信息安全防護指南

工業控制系統信息安全事關經濟發展、社會穩定和國家安全。

為提升工業企業工業控制系統信息安全（以下簡稱工控安全）防護水平，保障工業控制系統安全，制定本指南。

工業控制系統應用企業以及從事工業控制系統規劃、設計、建設、運維、評估的企事業單位適用本指南。

工業控制系統應用企業應從以下十一個方面做好工控安全防護工作。

一、安全軟體選擇與管理

（一）在工業主機上採用經過離線環境中充分驗證測試的防病毒軟體或應用程式白名單軟體，只允許經過工業企業自身授權和安全評估的軟體運行。

（二）建立防病毒和惡意軟體入侵管理機制，對工業控制系統及臨時接入的設備採取病毒查殺等安全預防措施。

二、配置和補丁管理

（一）做好工業控制網絡、工業主機和工業控制設備的安全配置，建立工業控制系統配置清單，定期進行配置審計。

（二）對重大配置變更制定變更計劃並進行影響分析，配置變更實施前進行嚴格安全測試。

（三）密切關注重大工控安全漏洞及其補丁發布，及時採取補丁升級措施。

在補丁安裝前，需對補丁進行嚴格的安全評估和測試驗證。

三、 邊界安全防護

（一）分離工業控制系統的開發、測試和生產環境。

（二）通過工業控制網絡邊界防護設備對工業控制網絡與企業網或網際網路之間的邊界進行安全防護，禁止沒有防護的工業控制網絡與網際網路連接。

（三）通過工業防火牆、網閘等防護設備對工業控制網絡安全區域之間進行邏輯隔離安全防護。

四、物理和環境安全防護

（一）對重要工程師站、資料庫、伺服器等核心工業控制軟硬體所在區域採取訪問控制、視頻監控、專人值守等物理安全防護措施。

（二）拆除或封閉工業主機上不必要的USB、光碟機、無線等接口。

若確需使用，通過主機外設安全管理技術手段實施嚴格訪問控制。

五、身份認證

（一）在工業主機登錄、應用服務資源訪問、工業雲平台訪問等過程中使用身份認證管理。

對於關鍵設備、系統和平台的訪問採用多因素認證。

（二）合理分類設置帳戶權限，以最小特權原則分配帳戶權限。

（三）強化工業控制設備、SCADA軟體、工業通信設備等的登錄帳戶及密碼，避免使用默認口令或弱口令,定期更新口令。

（四）加強對身份認證證書信息保護力度，禁止在不同系統和網絡環境下共享。

六、遠程訪問安全

（一）原則上嚴格禁止工業控制系統面向網際網路開通HTTP、FTP、Telnet等高風險通用網絡服務。

（二）確需遠程訪問的，採用數據單向訪問控制等策略進行安全加固，對訪問時限進行控制，並採用加標鎖定策略。

（三）確需遠程維護的，採用虛擬專用網絡（VPN）等遠程接入方式進行。

（四）保留工業控制系統的相關訪問日誌，並對操作過程進行安全審計。

七、安全監測和應急預案演練

（一）在工業控制網絡部署網絡安全監測設備，及時發現、報告並處理網絡攻擊或異常行為。

（二）在重要工業控制設備前端部署具備工業協議深度包檢測功能的防護設備，限制違法操作。

（三）制定工控安全事件應急響應預案，當遭受安全威脅導致工業控制系統出現異常或故障時，應立即採取緊急防護措施，防止事態擴大，並逐級報送直至屬地省級工業和信息化主管部門，同時注意保護現場，以便進行調查取證。

（四）定期對工業控制系統的應急響應預案進行演練，必要時對應急響應預案進行修訂。

八、資產安全

（一）建設工業控制系統資產清單，明確資產責任人，以及資產使用及處置規則。

（二）對關鍵主機設備、網絡設備、控制組件等進行冗餘配置。

九、數據安全

（一）對靜態存儲和動態傳輸過程中的重要工業數據進行保護，根據風險評估結果對數據信息進行分級分類管理。

（二）定期備份關鍵業務數據。

（三）對測試數據進行保護。

十、供應鏈管理

（一）在選擇工業控制系統規劃、設計、建設、運維或評估等服務商時，優先考慮具備工控安全防護經驗的企事業單位，以合同等方式明確服務商應承擔的信息安全責任和義務。

（二）以保密協議的方式要求服務商做好保密工作，防範敏感信息外泄。

十一、落實責任

通過建立工控安全管理機制、成立信息安全協調小組等方式，明確工控安全管理責任人，落實工控安全責任制，部署工控安全防護措施