工業控制系統信息安全防護指南

工業控制系統信息安全（以下簡稱“工控安全”）是國家網路和信息安全的重要組成部分，是推動中國製造2025、製造業與網際網路融合發展的基礎保障。2016年10月，工業和信息化部印發《工業控制系統信息安全防護指南》（以下簡稱《指南》），指導工業企業開展工控安全防護工作。

工控安全事關經濟發展、社會穩定和國家安全。近年來，隨著信息化和工業化融合的不斷深入，工業控制系統從單機走向互聯，從封閉走向開放，從自動化走向智慧型化。在生產力顯著提高的同時，工業控制系統面臨著日益嚴峻的信息安全威脅。為貫徹落實《國務院關於深化製造業與網際網路融合發展的指導意見》（國發〔2016〕28號）檔案精神，應對新時期工控安全形勢，提升工業企業工控安全防護水平，編制本《指南》。

《指南》堅持“安全是發展的前提，發展是安全的保障”，以當前我國工業控制系統面臨的安全問題為出發點，注重防護要求的可執行性，從管理、技術兩方面明確工業企業工控安全防護要求。編制思路如下：

（一）落實《國家網路安全法》要求

《指南》所列11項要求充分體現了《國家網路安全法》中網路安全支持與促進、網路運行安全、網路信息安全、監測預警與應急處置等法規在工控安全領域的要求，是《國家網路安全法》在工業領域的具體套用。

（二）突出工業企業主體責任

《指南》根據我國工控安全管理工作實踐經驗，面向工業企業提出工控安全防護要求，確立企業作為工控安全責任主體，要求企業明確工控安全管理責任人，落實工控安全責任制。

（三）考慮我國工控安全現狀

《指南》編制以近五年我部工控安全檢查工作掌握的有關情況為基礎，充分考慮當前工控安全防護意識不到位、管理責任不明晰、訪問控制策略不完善等問題，明確了《指南》的各項要求。

（四）借鑑已開發國家工控安全防護經驗

《指南》參考了美國、歐盟、日本等已開發國家工控安全相關政策、標準和最佳實踐做法，對安全軟體選擇與管理、配置與補丁管理、邊界安全防護等措施進行了論證，提高了《指南》的科學性、合理性和可操作性。

（五）強調工業控制系統全生命周期安全防護

《指南》涵蓋工業控制系統設計、選型、建設、測試、運行、檢修、廢棄各階段防護工作要求，從安全軟體選型、訪問控制策略構建、數據安全保護、資產配置管理等方面提出了具體實施細則。

《指南》堅持企業的主體責任及政府的監管、服務職責，聚焦系統防護、安全管理等安全保障重點，提出了11項防護要求，具體解讀如下：

（一）安全軟體選擇與管理

1.在工業主機上採用經過離線環境中充分驗證測試的防病毒軟體或應用程式白名單軟體，只允許經過工業企業自身授權和安全評估的軟體運行。

解讀：工業控制系統對系統可用性、實時性要求較高，工業主機如MES伺服器、OPC伺服器、資料庫伺服器、工程師站、操作員站等套用的安全軟體應事先在離線環境中進行測試與驗證，其中，離線環境指的是與生產環境物理隔離的環境。驗證和測試內容包括安全軟體的功能性、兼容性及安全性等。

2.建立防病毒和惡意軟體入侵管理機制，對工業控制系統及臨時接入的設備採取病毒查殺等安全預防措施。

解讀：工業企業需要建立工業控制系統防病毒和惡意軟體入侵管理機制，對工業控制系統及臨時接入的設備採用必要的安全預防措施。安全預防措施包括定期掃描病毒和惡意軟體、定期更新病毒庫、查殺臨時接入設備（如臨時接入隨身碟、移動終端等外設）等。

（二）配置和補丁管理

1.做好工業控制網路、工業主機和工業控制設備的安全配置，建立工業控制系統配置清單，定期進行配置審計。

解讀：工業企業應做好虛擬區域網路隔離、連線埠禁用等工業控制網路安全配置，遠程控制管理、默認賬戶管理等工業主機安全配置，口令策略合規性等工業控制設備安全配置，建立相應的配置清單，制定責任人定期進行管理和維護，並定期進行配置核查審計。

2.對重大配置變更制定變更計畫並進行影響分析，配置變更實施前進行嚴格安全測試。

解讀：當發生重大配置變更時，工業企業應及時制定變更計畫，明確變更時間、變更內容、變更責任人、變更審批、變更驗證等事項。其中，重大配置變更是指重大漏洞補丁更新、安全設備的新增或減少、安全域的重新劃分等。同時，應對變更過程中可能出現的風險進行分析，形成分析報告，並在離線環境中對配置變更進行安全性驗證。

3.密切關注重大工控安全漏洞及其補丁發布，及時採取補丁升級措施。在補丁安裝前，需對補丁進行嚴格的安全評估和測試驗證。

解讀：工業企業應密切關注CNVD、CNNVD等漏洞庫及設備廠商發布的補丁。當重大漏洞及其補丁發布時，根據企業自身情況及變更計畫，在離線環境中對補丁進行嚴格的安全評估和測試驗證，對通過安全評估和測試驗證的補丁及時升級。

（三）邊界安全防護

1.分離工業控制系統的開發、測試和生產環境。

解讀：工業控制系統的開發、測試和生產環境需執行不同的安全控制措施，工業企業可採用物理隔離、網路邏輯隔離等方式進行隔離。

2.通過工業控制網路邊界防護設備對工業控制網路與企業網或網際網路之間的邊界進行安全防護，禁止沒有防護的工業控制網路與網際網路連線。

解讀：工業控制網路邊界安全防護設備包括工業防火牆、工業網閘、單向隔離設備及企業定製的邊界安全防護網關等。工業企業應根據實際情況，在不同網路邊界之間部署邊界安全防護設備，實現安全訪問控制，阻斷非法網路訪問，嚴格禁止沒有防護的工業控制網路與網際網路連線。

3.通過工業防火牆、網閘等防護設備對工業控制網路安全區域之間進行邏輯隔離安全防護。

解讀：工業控制系統網路安全區域根據區域重要性和業務需求進行劃分。區域之間的安全防護，可採用工業防火牆、網閘等設備進行邏輯隔離安全防護。

（四）物理和環境安全防護

1.對重要工程師站、資料庫、伺服器等核心工業控制軟硬體所在區域採取訪問控制、視頻監控、專人值守等物理安全防護措施。

解讀：工業企業應對重要工業控制系統資產所在區域，採用適當的物理安全防護措施。

2.拆除或封閉工業主機上不必要的USB、光碟機、無線等接口。若確需使用，通過主機外設安全管理技術手段實施嚴格訪問控制。

解讀：USB、光碟機、無線等工業主機外設的使用，為病毒、木馬、蠕蟲等惡意代碼入侵提供了途徑，拆除或封閉工業主機上不必要的外設接口可減少被感染的風險。確需使用時，可採用主機外設統一管理設備、隔離存放有外設接口的工業主機等安全管理技術手段。

（五）身份認證

1.在工業主機登錄、套用服務資源訪問、工業雲平台訪問等過程中使用身份認證管理。對於關鍵設備、系統和平台的訪問採用多因素認證。

解讀：用戶在登錄工業主機、訪問套用服務資源及工業雲平台等過程中，應使用口令密碼、USB-key、智慧卡、生物指紋、虹膜等身份認證管理手段，必要時可同時採用多種認證手段。

2.合理分類設定賬戶許可權，以最小特權原則分配賬戶許可權。

解讀：工業企業應以滿足工作要求的最小特權原則來進行系統賬戶許可權分配，確保因事故、錯誤、篡改等原因造成的損失最小化。工業企業需定期審計分配的賬戶許可權是否超出工作需要。

3.強化工業控制設備、SCADA軟體、工業通信設備等的登錄賬戶及密碼，避免使用默認口令或弱口令,定期更新口令。

解讀：工業企業可參考供應商推薦的設定規則，並根據資產重要性，為工業控制設備、SCADA軟體、工業通信設備等設定不同強度的登錄賬戶及密碼，並進行定期更新，避免使用默認口令或弱口令。

4.加強對身份認證證書信息保護力度，禁止在不同系統和網路環境下共享。

解讀：工業企業可採用USB-key等安全介質存儲身份認證證書信息，建立相關制度對證書的申請、發放、使用、吊銷等過程進行嚴格控制，保證不同系統和網路環境下禁止使用相同的身份認證證書信息，減小證書暴露後對系統和網路的影響。

（六）遠程訪問安全

1.原則上嚴格禁止工業控制系統面向網際網路開通HTTP、FTP、Telnet等高風險通用網路服務。

解讀：工業控制系統面向網際網路開通HTTP、FTP、Telnet等網路服務，易導致工業控制系統被入侵、攻擊、利用，工業企業應原則上禁止工業控制系統開通高風險通用網路服務。

2.確需遠程訪問的，採用數據單向訪問控制等策略進行安全加固，對訪問時限進行控制，並採用加標鎖定策略。

解讀：工業企業確需進行遠程訪問的，可在網路邊界使用單向隔離裝置、VPN等方式實現數據單向訪問，並控制訪問時限。採用加標鎖定策略，禁止訪問方在遠程訪問期間實施非法操作。

3.確需遠程維護的，採用虛擬專用網路（VPN）等遠程接入方式進行。

解讀：工業企業確需遠程維護的，應通過對遠程接入通道進行認證、加密等方式保證其安全性，如採用虛擬專用網路（VPN）等方式，對接入賬戶實行專人專號，並定期審計接入賬戶操作記錄。

4.保留工業控制系統的相關訪問日誌，並對操作過程進行安全審計。

解讀：工業企業應保留工業控制系統設備、套用等訪問日誌，並定期進行備份，通過審計人員賬戶、訪問時間、操作內容等日誌信息，追蹤定位非授權訪問行為。

（七）安全監測和應急預案演練

1.在工業控制網路部署網路安全監測設備，及時發現、報告並處理網路攻擊或異常行為。

解讀:工業企業應在工業控制網路部署可對網路攻擊和異常行為進行識別、報警、記錄的網路安全監測設備，及時發現、報告並處理包括病毒木馬、連線埠掃描、暴力破解、異常流量、異常指令、工業控制系統協定包偽造等網路攻擊或異常行為。

2.在重要工業控制設備前端部署具備工業協定深度包檢測功能的防護設備，限制違法操作。

解讀：在工業企業生產核心控制單元前端部署可對Modbus、S7、Ethernet/IP、OPC等主流工業控制系統協定進行深度分析和過濾的防護設備，阻斷不符合協定標準結構的數據包、不符合業務要求的數據內容。

3.制定工控安全事件應急回響預案，當遭受安全威脅導致工業控制系統出現異常或故障時，應立即採取緊急防護措施，防止事態擴大，並逐級報送直至屬地省級工業和信息化主管部門，同時注意保護現場，以便進行調查取證。

解讀：工業企業需要自主或委託第三方工控安全服務單位制定工控安全事件應急回響預案。預案應包括應急計畫的策略和規程、應急計畫培訓、應急計畫測試與演練、應急處理流程、事件監控措施、應急事件報告流程、應急支持資源、應急回響計畫等內容。

4.定期對工業控制系統的應急回響預案進行演練，必要時對應急回響預案進行修訂。

解讀：工業企業應定期組織工業控制系統操作、維護、管理等相關人員開展應急回響預案演練，演練形式包括桌面演練、單項演練、綜合演練等。必要時，企業應根據實際情況對預案進行修訂。

（八）資產安全

1.建設工業控制系統資產清單，明確資產責任人，以及資產使用及處置規則。

解讀：工業企業應建設工業控制系統資產清單，包括信息資產、軟體資產、硬體資產等。明確資產責任人，建立資產使用及處置規則，定期對資產進行安全巡檢，審計資產使用記錄，並檢查資產運行狀態，及時發現風險。

2.對關鍵主機設備、網路設備、控制組件等進行冗餘配置。

解讀：工業企業應根據業務需要，針對關鍵主機設備、網路設備、控制組件等配置冗餘電源、冗餘設備、冗餘網路等。

（九）數據安全

1.對靜態存儲和動態傳輸過程中的重要工業數據進行保護，根據風險評估結果對數據信息進行分級分類管理。

解讀：工業企業應對靜態存儲的重要工業數據進行加密存儲，設定訪問控制功能，對動態傳輸的重要工業數據進行加密傳輸，使用VPN等方式進行隔離保護，並根據風險評估結果，建立和完善數據信息的分級分類管理制度。

2.定期備份關鍵業務數據。

解讀：工業企業應對關鍵業務數據，如工藝參數、配置檔案、設備運行數據、生產數據、控制指令等進行定期備份。

3.對測試數據進行保護。

解讀：工業企業應對測試數據，包括安全評估數據、現場組態開發數據、系統聯調數據、現場變更測試數據、應急演練數據等進行保護，如簽訂保密協定、回收測試數據等。

（十）供應鏈管理

1.在選擇工業控制系統規劃、設計、建設、運維或評估等服務商時，優先考慮具備工控安全防護經驗的企事業單位，以契約等方式明確服務商應承擔的信息安全責任和義務。

解讀：工業企業在選擇工業控制系統規劃、設計、建設、運維或評估服務商時，應優先考慮有工控安全防護經驗的服務商，並核查其提供的工控安全契約、案例、驗收報告等證明材料。在契約中應以明文條款的方式約定服務商在服務過程中應當承擔的信息安全責任和義務。

2.以保密協定的方式要求服務商做好保密工作，防範敏感信息外泄。

解讀：工業企業應與服務商簽訂保密協定，協定中應約定保密內容、保密時限、違約責任等內容。防範工藝參數、配置檔案、設備運行數據、生產數據、控制指令等敏感信息外泄。

（十一）落實責任

通過建立工控安全管理機制、成立信息安全協調小組等方式，明確工控安全管理責任人，落實工控安全責任制，部署工控安全防護措施。

解讀：工業企業應建立健全工控安全管理機制，明確工控安全主體責任，成立由企業負責人牽頭的，由信息化、生產管理、設備管理等相關部門組成的工業控制系統信息安全協調小組，負責工業控制系統全生命周期的安全防護體系建設和管理，制定工業控制系統安全管理制度，部署工控安全防護措施。

一是面向地方工業和信息化主管部門、中央企業等開展《指南》宣貫，依據《指南》要求組織培訓，指導工業企業進一步最佳化工控安全管理與技術防護手段。

二是選擇工業聚集發展城市及地區，設立工控安全防護試點區，組織區內工業企業開展工控安全防護套用試點，遴選優秀試點企業分享工控安全防護經驗，總結提煉工業控制系統防護示範案例。

三是將《指南》要求納入年度工業行業網路安全檢查項目，強化責任落實到位，管理、技術落實到位。通過自查、抽查、深度檢查等方式促進工業企業深入貫徹並落實《指南》。

地方工信主管部門負責對本地區內的工控安全防護工作進行監督管理，並配合工業和信息化部做好工控安全相關工作。工業企業應按照《指南》各項要求，開展和完善工控安全防護工作，改善自身安全防護能力的同時，為全面提升我國工業信息安全防護水平提供支撐。