工業(yè)和信息化部關于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》的通知

為貫徹落實《國務院關于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》（國發(fā)〔2016〕28號），保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，制定《工業(yè)控制系統(tǒng)信息安全防護指南》，現(xiàn)印發(fā)你們。

工業(yè)和信息化部指導和管理全國工業(yè)企業(yè)工控安全防護和保障工作，并根據(jù)實際情況對指南進行修訂。地方工業(yè)和信息化主管部門根據(jù)工業(yè)和信息化部統(tǒng)籌安排，指導本行政區(qū)域內(nèi)的工業(yè)企業(yè)制定工控安全防護實施方案，推動企業(yè)分期分批達到本指南相關要求。

工業(yè)和信息化部
2016年10月17日

（聯(lián)系電話：010-68208171）

　　
工業(yè)控制系統(tǒng)信息安全防護指南

工業(yè)控制系統(tǒng)信息安全事關經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全。為提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全（以下簡稱工控安全）防護水平，保障工業(yè)控制系統(tǒng)安全，制定本指南。

工業(yè)控制系統(tǒng)應用企業(yè)以及從事工業(yè)控制系統(tǒng)規(guī)劃、設計、建設、運維、評估的企事業(yè)單位適用本指南。

工業(yè)控制系統(tǒng)應用企業(yè)應從以下十一個方面做好工控安全防護工作。

一、安全軟件選擇與管理

（一）在工業(yè)主機上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權和安全評估的軟件運行。

（二）建立防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統(tǒng)及臨時接入的設備采取病毒查殺等安全預防措施。

二、配置和補丁管理

（一）做好工業(yè)控制網(wǎng)絡、工業(yè)主機和工業(yè)控制設備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進行配置審計。

（二）對重大配置變更制定變更計劃并進行影響分析，配置變更實施前進行嚴格安全測試。

（三）密切關注重大工控安全漏洞及其補丁發(fā)布，及時采取補丁升級措施。在補丁安裝前，需對補丁進行嚴格的安全評估和測試驗證。

三、 邊界安全防護

（一）分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境。

（二）通過工業(yè)控制網(wǎng)絡邊界防護設備對工業(yè)控制網(wǎng)絡與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進行安全防護，禁止沒有防護的工業(yè)控制網(wǎng)絡與互聯(lián)網(wǎng)連接。

（三）通過工業(yè)防火墻、網(wǎng)閘等防護設備對工業(yè)控制網(wǎng)絡安全區(qū)域之間進行邏輯隔離安全防護。

四、物理和環(huán)境安全防護

（一）對重要工程師站、數(shù)據(jù)庫、服務器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制、視頻監(jiān)控、專人值守等物理安全防護措施。

（二）拆除或封閉工業(yè)主機上不必要的USB、光驅、無線等接口。若確需使用，通過主機外設安全管理技術手段實施嚴格訪問控制。

五、身份認證

（一）在工業(yè)主機登錄、應用服務資源訪問、工業(yè)云平臺訪問等過程中使用身份認證管理。對于關鍵設備、系統(tǒng)和平臺的訪問采用多因素認證。

（二）合理分類設置賬戶權限，以最小特權原則分配賬戶權限。

（三）強化工業(yè)控制設備、SCADA軟件、工業(yè)通信設備等的登錄賬戶及密碼，避免使用默認口令或弱口令，定期更新口令。

（四）加強對身份認證證書信息保護力度，禁止在不同系統(tǒng)和網(wǎng)絡環(huán)境下共享。

六、遠程訪問安全

（一）原則上嚴格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等高風險通用網(wǎng)絡服務。

（二）確需遠程訪問的，采用數(shù)據(jù)單向訪問控制等策略進行安全加固，對訪問時限進行控制，并采用加標鎖定策略。

（三）確需遠程維護的，采用虛擬專用網(wǎng)絡（VPN）等遠程接入方式進行。

（四）保留工業(yè)控制系統(tǒng)的相關訪問日志，并對操作過程進行安全審計。

七、安全監(jiān)測和應急預案演練

（一）在工業(yè)控制網(wǎng)絡部署網(wǎng)絡安全監(jiān)測設備，及時發(fā)現(xiàn)、報告并處理網(wǎng)絡攻擊或異常行為。

（二）在重要工業(yè)控制設備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設備，限制違法操作。

（三）制定工控安全事件應急響應預案，當遭受安全威脅導致工業(yè)控制系統(tǒng)出現(xiàn)異?；蚬收蠒r，應立即采取緊急防護措施，防止事態(tài)擴大，并逐級報送直至屬地省級工業(yè)和信息化主管部門，同時注意保護現(xiàn)場，以便進行調(diào)查取證。

（四）定期對工業(yè)控制系統(tǒng)的應急響應預案進行演練，必要時對應急響應預案進行修訂。

八、資產(chǎn)安全

（一）建設工業(yè)控制系統(tǒng)資產(chǎn)清單，明確資產(chǎn)責任人，以及資產(chǎn)使用及處置規(guī)則。

（二）對關鍵主機設備、網(wǎng)絡設備、控制組件等進行冗余配置。

九、數(shù)據(jù)安全

（一）對靜態(tài)存儲和動態(tài)傳輸過程中的重要工業(yè)數(shù)據(jù)進行保護，根據(jù)風險評估結果對數(shù)據(jù)信息進行分級分類管理。

（二）定期備份關鍵業(yè)務數(shù)據(jù)。

（三）對測試數(shù)據(jù)進行保護。

十、供應鏈管理

（一）在選擇工業(yè)控制系統(tǒng)規(guī)劃、設計、建設、運維或評估等服務商時，優(yōu)先考慮具備工控安全防護經(jīng)驗的企事業(yè)單位，以合同等方式明確服務商應承擔的信息安全責任和義務。

（二）以保密協(xié)議的方式要求服務商做好保密工作，防范敏感信息外泄。

十一、落實責任

通過建立工控安全管理機制、成立信息安全協(xié)調(diào)小組等方式，明確工控安全管理責任人，落實工控安全責任制，部署工控安全防護措施。