工業(yè)和信息化部關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的通知

  為貫徹落實(shí)《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》（國(guó)發(fā)〔2016〕28號(hào)），保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，制定《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，現(xiàn)印發(fā)你們。

  工業(yè)和信息化部指導(dǎo)和管理全國(guó)工業(yè)企業(yè)工控安全防護(hù)和保障工作，并根據(jù)實(shí)際情況對(duì)指南進(jìn)行修訂。地方工業(yè)和信息化主管部門(mén)根據(jù)工業(yè)和信息化部統(tǒng)籌安排，指導(dǎo)本行政區(qū)域內(nèi)的工業(yè)企業(yè)制定工控安全防護(hù)實(shí)施方案，推動(dòng)企業(yè)分期分批達(dá)到本指南相關(guān)要求。

工業(yè)和信息化部

2016年10月17日

  （聯(lián)系電話(huà)：010-68208171）

工業(yè)控制系統(tǒng)信息安全防護(hù)指南

  工業(yè)控制系統(tǒng)信息安全事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全。為提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全（以下簡(jiǎn)稱(chēng)工控安全）防護(hù)水平，保障工業(yè)控制系統(tǒng)安全，制定本指南。

  工業(yè)控制系統(tǒng)應(yīng)用企業(yè)以及從事工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維、評(píng)估的企事業(yè)單位適用本指南。

  工業(yè)控制系統(tǒng)應(yīng)用企業(yè)應(yīng)從以下十一個(gè)方面做好工控安全防護(hù)工作。

  一、安全軟件選擇與管理

  （一）在工業(yè)主機(jī)上采用經(jīng)過(guò)離線(xiàn)環(huán)境中充分驗(yàn)證測(cè)試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行。

  （二）建立防病毒和惡意軟件入侵管理機(jī)制，對(duì)工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備采取病毒查殺等安全預(yù)防措施。

  二、配置和補(bǔ)丁管理

  （一）做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進(jìn)行配置審計(jì)。

  （二）對(duì)重大配置變更制定變更計(jì)劃并進(jìn)行影響分析，配置變更實(shí)施前進(jìn)行嚴(yán)格安全測(cè)試。

  （三）密切關(guān)注重大工控安全漏洞及其補(bǔ)丁發(fā)布，及時(shí)采取補(bǔ)丁升級(jí)措施。在補(bǔ)丁安裝前，需對(duì)補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證。

  三、 邊界安全防護(hù)

  （一）分離工業(yè)控制系統(tǒng)的開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境。

  （二）通過(guò)工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，禁止沒(méi)有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。

  （三）通過(guò)工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)。

  四、物理和環(huán)境安全防護(hù)

  （一）對(duì)重要工程師站、數(shù)據(jù)庫(kù)、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪(fǎng)問(wèn)控制、視頻監(jiān)控、專(zhuān)人值守等物理安全防護(hù)措施。

  （二）拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無(wú)線(xiàn)等接口。若確需使用，通過(guò)主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪(fǎng)問(wèn)控制。

  五、身份認(rèn)證

  （一）在工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪(fǎng)問(wèn)、工業(yè)云平臺(tái)訪(fǎng)問(wèn)等過(guò)程中使用身份認(rèn)證管理。對(duì)于關(guān)鍵設(shè)備、系統(tǒng)和平臺(tái)的訪(fǎng)問(wèn)采用多因素認(rèn)證。

  （二）合理分類(lèi)設(shè)置賬戶(hù)權(quán)限，以最小特權(quán)原則分配賬戶(hù)權(quán)限。

  （三）強(qiáng)化工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等的登錄賬戶(hù)及密碼，避免使用默認(rèn)口令或弱口令，定期更新口令。

  （四）加強(qiáng)對(duì)身份認(rèn)證證書(shū)信息保護(hù)力度，禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。

  六、遠(yuǎn)程訪(fǎng)問(wèn)安全

  （一）原則上嚴(yán)格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開(kāi)通HTTP、FTP、Telnet等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)。

  （二）確需遠(yuǎn)程訪(fǎng)問(wèn)的，采用數(shù)據(jù)單向訪(fǎng)問(wèn)控制等策略進(jìn)行安全加固，對(duì)訪(fǎng)問(wèn)時(shí)限進(jìn)行控制，并采用加標(biāo)鎖定策略。

  （三）確需遠(yuǎn)程維護(hù)的，采用虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）等遠(yuǎn)程接入方式進(jìn)行。

  （四）保留工業(yè)控制系統(tǒng)的相關(guān)訪(fǎng)問(wèn)日志，并對(duì)操作過(guò)程進(jìn)行安全審計(jì)。

  七、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練

  （一）在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備，及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為。

  （二）在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測(cè)功能的防護(hù)設(shè)備，限制違法操作。

  （三）制定工控安全事件應(yīng)急響應(yīng)預(yù)案，當(dāng)遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異?；蚬收蠒r(shí)，應(yīng)立即采取緊急防護(hù)措施，防止事態(tài)擴(kuò)大，并逐級(jí)報(bào)送直至屬地省級(jí)工業(yè)和信息化主管部門(mén)，同時(shí)注意保護(hù)現(xiàn)場(chǎng)，以便進(jìn)行調(diào)查取證。

  （四）定期對(duì)工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進(jìn)行演練，必要時(shí)對(duì)應(yīng)急響應(yīng)預(yù)案進(jìn)行修訂。

  八、資產(chǎn)安全

  （一）建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單，明確資產(chǎn)責(zé)任人，以及資產(chǎn)使用及處置規(guī)則。

  （二）對(duì)關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、控制組件等進(jìn)行冗余配置。

  九、數(shù)據(jù)安全

  （一）對(duì)靜態(tài)存儲(chǔ)和動(dòng)態(tài)傳輸過(guò)程中的重要工業(yè)數(shù)據(jù)進(jìn)行保護(hù)，根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)數(shù)據(jù)信息進(jìn)行分級(jí)分類(lèi)管理。

  （二）定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)。

  （三）對(duì)測(cè)試數(shù)據(jù)進(jìn)行保護(hù)。

  十、供應(yīng)鏈管理

  （一）在選擇工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維或評(píng)估等服務(wù)商時(shí)，優(yōu)先考慮具備工控安全防護(hù)經(jīng)驗(yàn)的企事業(yè)單位，以合同等方式明確服務(wù)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)。

  （二）以保密協(xié)議的方式要求服務(wù)商做好保密工作，防范敏感信息外泄。

  十一、落實(shí)責(zé)任

  通過(guò)建立工控安全管理機(jī)制、成立信息安全協(xié)調(diào)小組等方式，明確工控安全管理責(zé)任人，落實(shí)工控安全責(zé)任制，部署工控安全防護(hù)措施。