為貫(guan)徹落實《國(guo)務院關于深化(hua)制造業(ye)(ye)(ye)與(yu)互聯網融合發展(zhan)的指導意見》(國(guo)發〔2016〕28號)，保(bao)障工業(ye)(ye)(ye)企業(ye)(ye)(ye)工業(ye)(ye)(ye)控(kong)制系(xi)統(tong)信息(xi)安(an)全(quan)，制定《工業(ye)(ye)(ye)控(kong)制系(xi)統(tong)信息(xi)安(an)全(quan)防護指南》，現(xian)印發你們。

工(gong)業(ye)(ye)(ye)(ye)和(he)(he)信息化(hua)部(bu)指導和(he)(he)管(guan)理全國工(gong)業(ye)(ye)(ye)(ye)企業(ye)(ye)(ye)(ye)工(gong)控安全防護和(he)(he)保(bao)障(zhang)工(gong)作，并根(gen)(gen)據(ju)實際情況對指南進(jin)行(xing)修訂。地(di)方工(gong)業(ye)(ye)(ye)(ye)和(he)(he)信息化(hua)主管(guan)部(bu)門根(gen)(gen)據(ju)工(gong)業(ye)(ye)(ye)(ye)和(he)(he)信息化(hua)部(bu)統(tong)籌安排，指導本(ben)行(xing)政區域(yu)內的工(gong)業(ye)(ye)(ye)(ye)企業(ye)(ye)(ye)(ye)制定工(gong)控安全防護實施方案，推動企業(ye)(ye)(ye)(ye)分期分批達到本(ben)指南相關要求(qiu)。

工業和信息化部

2016年10月17日

工(gong)業(ye)控制系統信息安(an)全防護指(zhi)南(nan)

工(gong)(gong)業控(kong)制(zhi)(zhi)系(xi)統(tong)信息安(an)(an)全(quan)(quan)事(shi)關經濟發展(zhan)、社會穩定(ding)和國家(jia)安(an)(an)全(quan)(quan)。為提升(sheng)工(gong)(gong)業企業工(gong)(gong)業控(kong)制(zhi)(zhi)系(xi)統(tong)信息安(an)(an)全(quan)(quan)(以下簡稱(cheng)工(gong)(gong)控(kong)安(an)(an)全(quan)(quan))防護(hu)水平，保障工(gong)(gong)業控(kong)制(zhi)(zhi)系(xi)統(tong)安(an)(an)全(quan)(quan)，制(zhi)(zhi)定(ding)本指(zhi)南。

工業(ye)控(kong)制系統應用企(qi)業(ye)以及(ji)從事工業(ye)控(kong)制系統規(gui)劃、設(she)計、建(jian)設(she)、運維、評估的企(qi)事業(ye)單位適用本指南(nan)。

工(gong)業(ye)控制(zhi)系統應(ying)用企業(ye)應(ying)從以下十一個方面做好工(gong)控安(an)全防護工(gong)作。

一、安全軟件選擇與管理

(一)在工業主機上采用經(jing)過(guo)離線環境(jing)中充(chong)分驗證測(ce)試的(de)防(fang)病毒軟(ruan)(ruan)(ruan)件(jian)或(huo)應(ying)用程序白名單軟(ruan)(ruan)(ruan)件(jian)，只允許經(jing)過(guo)工業企業自身授(shou)權(quan)和安全評估的(de)軟(ruan)(ruan)(ruan)件(jian)運行。

(二)建立防病(bing)毒和惡(e)意(yi)軟(ruan)件入侵管理(li)機制，對工(gong)業控制系統及(ji)臨時(shi)接入的設備采取(qu)病(bing)毒查(cha)殺(sha)等安(an)全(quan)預(yu)防措施。

二、配置和補丁管理

(一)做好工(gong)(gong)業(ye)控制(zhi)網絡、工(gong)(gong)業(ye)主機和工(gong)(gong)業(ye)控制(zhi)設備的安全(quan)配(pei)置，建(jian)立工(gong)(gong)業(ye)控制(zhi)系統配(pei)置清單，定期進(jin)行配(pei)置審(shen)計。

(二)對重(zhong)大配置(zhi)變更制定變更計劃并進行影(ying)響(xiang)分析，配置(zhi)變更實施前進行嚴(yan)格安全測(ce)試。

(三(san))密切(qie)關注重大工控安(an)全(quan)漏洞及其補丁發布，及時采取補丁升級措施。在補丁安(an)裝前，需(xu)對補丁進(jin)行嚴格的安(an)全(quan)評估(gu)和(he)測試驗證(zheng)。

三、 邊界安全防護

(一)分離工(gong)業控制系統的開(kai)發、測試和生產環境(jing)。

(二)通過工業(ye)控(kong)(kong)制(zhi)網(wang)絡(luo)邊界防(fang)護(hu)設備對工業(ye)控(kong)(kong)制(zhi)網(wang)絡(luo)與企業(ye)網(wang)或互(hu)聯網(wang)之間的邊界進行安全(quan)防(fang)護(hu)，禁止沒有防(fang)護(hu)的工業(ye)控(kong)(kong)制(zhi)網(wang)絡(luo)與互(hu)聯網(wang)連接(jie)。

(三)通過工(gong)業(ye)防火墻、網閘等(deng)防護設備對工(gong)業(ye)控制網絡安全(quan)區(qu)域之間(jian)進行邏輯隔(ge)離(li)安全(quan)防護。

四、物理和環境安全防護

(一)對重(zhong)要(yao)工(gong)程師站、數據庫、服(fu)務器等核(he)心工(gong)業控(kong)制軟硬件所在區域(yu)采取訪問控(kong)制、視頻監控(kong)、專人(ren)值守等物理安(an)全防(fang)護措施。

(二)拆除(chu)或(huo)封閉工業主機上不必要的USB、光驅、無線(xian)等(deng)接(jie)口。若確需(xu)使用，通過主機外設安全管理技術手段實施嚴格訪(fang)問控制。

五、身份認證

(一)在工業主機登(deng)錄、應用服務(wu)資源訪問、工業云平臺訪問等過(guo)程中使用身(shen)份認證管理。對于(yu)關鍵設備、系統(tong)和平臺的訪問采用多因(yin)素認證。

(二)合理分類設置賬戶(hu)權(quan)(quan)限，以最小特權(quan)(quan)原則分配賬戶(hu)權(quan)(quan)限。

(三)強化工(gong)業控制設備(bei)、SCADA軟件、工(gong)業通信設備(bei)等的登錄(lu)賬戶及密碼，避免使用默認(ren)口令或(huo)弱口令,定期(qi)更新(xin)口令。

(四(si))加強(qiang)對(dui)身份認證(zheng)證(zheng)書信息(xi)保護力度，禁止在不同系統和網(wang)絡環境下共享(xiang)。

六、遠程訪問安全

(一(yi))原則上嚴格禁止工(gong)業控制系統面向互聯網開通HTTP、FTP、Telnet等高風險通用(yong)網絡服務。

(二)確需遠程訪問的(de)，采(cai)用數據單向訪問控(kong)制等策(ce)略(lve)(lve)進(jin)行(xing)安全加固，對訪問時(shi)限進(jin)行(xing)控(kong)制，并采(cai)用加標(biao)鎖定策(ce)略(lve)(lve)。

(三)確需遠程維(wei)護的，采用(yong)虛擬專(zhuan)用(yong)網(wang)絡(VPN)等(deng)遠程接入方式進行。

(四)保留工業(ye)控(kong)制系統的相關訪問日志(zhi)，并對(dui)操作過程進行安全審計。

七、安全監測和應急預案演練

(一)在工(gong)業控制網(wang)(wang)絡(luo)部署網(wang)(wang)絡(luo)安全(quan)監測(ce)設備，及(ji)時發現、報告并處理網(wang)(wang)絡(luo)攻擊或異常行為。

(二)在重要工業(ye)控(kong)制設備(bei)(bei)前(qian)端(duan)部署具備(bei)(bei)工業(ye)協議深度包(bao)檢測功能的防(fang)護設備(bei)(bei)，限制違法操作。

(三)制定工(gong)控安全事(shi)件應(ying)急(ji)(ji)響應(ying)預案，當(dang)遭受安全威脅導致工(gong)業(ye)控制系(xi)統出現(xian)異常或故障時(shi)，應(ying)立即采(cai)取緊急(ji)(ji)防護(hu)措施(shi)，防止事(shi)態擴大，并逐(zhu)級報送直至屬(shu)地省級工(gong)業(ye)和(he)信息化主管部門，同時(shi)注意保護(hu)現(xian)場，以便進行調查取證。

(四)定(ding)期(qi)對工業控制系統的應(ying)急響(xiang)應(ying)預(yu)案進行(xing)演練，必(bi)要時對應(ying)急響(xiang)應(ying)預(yu)案進行(xing)修訂(ding)。

八、資產安全

(一(yi))建設工業(ye)控制系統資(zi)(zi)產(chan)清單(dan)，明確資(zi)(zi)產(chan)責任人，以及(ji)資(zi)(zi)產(chan)使用及(ji)處置規則。

(二)對關鍵主機設備、網絡設備、控制組件等進行冗余配置。

九、數據安全

(一(yi))對(dui)靜態存儲和(he)動態傳輸(shu)過程中的重要工業數據(ju)進(jin)(jin)行(xing)保護，根據(ju)風險評估結(jie)果對(dui)數據(ju)信息進(jin)(jin)行(xing)分級(ji)分類管理(li)。

(二)定期(qi)備(bei)份關鍵業(ye)務數據。

(三)對測試數據進行保護(hu)。

十、供應鏈管理

(一)在選(xuan)擇工業控制系(xi)統規劃、設計(ji)、建(jian)設、運(yun)維或評(ping)估(gu)等服務商時，優先考慮具備工控安(an)全防護經驗的企事(shi)業單(dan)位，以合同等方(fang)式(shi)明確服務商應承擔的信息安(an)全責任和義務。

(二)以保(bao)密(mi)協議(yi)的方(fang)式(shi)要(yao)求服務(wu)商做好保(bao)密(mi)工(gong)作(zuo)，防范敏感信息外泄。

十一、落實責任

通過(guo)建立工(gong)控(kong)(kong)安(an)全(quan)管理(li)機制(zhi)(zhi)、成立信息安(an)全(quan)協調小組等方式(shi)，明確工(gong)控(kong)(kong)安(an)全(quan)管理(li)責任人，落實工(gong)控(kong)(kong)安(an)全(quan)責任制(zhi)(zhi)，部署(shu)工(gong)控(kong)(kong)安(an)全(quan)防護措施(shi)。