為適應新型工業(yè)化發(fā)展形勢后添，提高我國工業(yè)控制系統(tǒng)網(wǎng)絡安全保障水平笨枯，指導工業(yè)企業(yè)開展工控安全防護工作，以高水平安全護航新型工業(yè)化高質量發(fā)展遇西，工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南》馅精。《防護指南》定位于面向工業(yè)企業(yè)做好網(wǎng)絡安全防護的指導性文件粱檀，堅持統(tǒng)籌發(fā)展和安全硫嘶，圍繞安全管理、技術防護檩翁、安全運營纤厨、責任落實四方面，提出33項指導性安全防護基線要求景絮，推動解決走好新型工業(yè)化道路過程中工業(yè)控制系統(tǒng)網(wǎng)絡安全面臨的突出問題守镰。

關于印發(fā)工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南的通知

工信部網(wǎng)安〔2024〕14號

各省、自治區(qū)说悄、直轄市猖右、計劃單列市及新疆生產(chǎn)建設兵團工業(yè)和信息化主管部門，有關企事業(yè)單位：

現(xiàn)將《工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南》印發(fā)給你們合圃，請認真抓好落實稽橱。

工業(yè)和信息化部

2024年1月19日

工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南

工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)運行的基礎核心。為適應新時期工業(yè)控制系統(tǒng)網(wǎng)絡安全（以下簡稱工控安全）形勢砂猿，進一步指導企業(yè)提升工控安全防護水平谷庐，夯實新型工業(yè)化發(fā)展安全根基，制定本指南铲醉。

使用拘绳、運營工業(yè)控制系統(tǒng)的企業(yè)適用本指南，防護對象包括工業(yè)控制系統(tǒng)以及被網(wǎng)絡攻擊后可直接或間接影響生產(chǎn)運行的其他設備和系統(tǒng)脆丁。

一世舰、安全管理

（一）資產(chǎn)管理

1.全面梳理可編程邏輯控制器（PLC）、分布式控制系統(tǒng)（DCS）槽卫、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）等典型工業(yè)控制系統(tǒng)以及相關設備跟压、軟件、數(shù)據(jù)等資產(chǎn)歼培，明確資產(chǎn)管理責任部門和責任人震蒋，建立工業(yè)控制系統(tǒng)資產(chǎn)清單，并根據(jù)資產(chǎn)狀態(tài)變化及時更新丐怯。定期開展工業(yè)控制系統(tǒng)資產(chǎn)核查喷好，內容包括但不限于系統(tǒng)配置翔横、權限分配、日志審計梗搅、病毒查殺禾唁、數(shù)據(jù)備份、設備運行狀態(tài)等情況无切。

2.根據(jù)承載業(yè)務的重要性穗狞、規(guī)模，以及發(fā)生網(wǎng)絡安全事件的危害程度等因素客净，建立重要工業(yè)控制系統(tǒng)清單并定期更新凭衩，實施重點保護。重要工業(yè)控制系統(tǒng)相關的關鍵工業(yè)主機冀烘、網(wǎng)絡設備慌位、控制設備等，應實施冗余備份纬惶。

（二）配置管理

3.強化賬戶及口令管理子宵，避免使用默認口令或弱口令，定期更新口令诽闲。遵循最小授權原則彪性，合理設置賬戶權限，禁用不必要的系統(tǒng)默認賬戶和管理員賬戶科请，及時清理過期賬戶稍记。

4.建立工業(yè)控制系統(tǒng)安全配置清單、安全防護設備策略配置清單峡竣。定期開展配置清單審計靠抑，及時根據(jù)安全防護需求變化調整配置，重大配置變更實施前進行嚴格安全測試澎胡，測試通過后方可實施變更孕荠。

（三）供應鏈安全

5.與工業(yè)控制系統(tǒng)廠商、云服務商攻谁、安全服務商等供應商簽訂的協(xié)議中，應明確各方需履行的安全相關責任和義務弯予，包括管理范圍戚宦、職責劃分、訪問授權锈嫩、隱私保護受楼、行為準則确买、違約責任等板刑。

6.工業(yè)控制系統(tǒng)使用納入網(wǎng)絡關鍵設備目錄的PLC等設備時，應使用具備資格的機構安全認證合格或者安全檢測符合要求的設備震束。

（四）宣傳教育

7.定期開展工業(yè)控制系統(tǒng)網(wǎng)絡安全相關法律法規(guī)、政策標準宣傳教育河狐，增強企業(yè)人員網(wǎng)絡安全意識证摩。針對工業(yè)控制系統(tǒng)和網(wǎng)絡相關運維人員，定期開展工控安全專業(yè)技能培訓及考核若战。

二诡亥、技術防護

（一）主機與終端安全

8.在工程師站、操作員站瞪澈、工業(yè)數(shù)據(jù)庫服務器等主機上部署防病毒軟件卑裹，定期進行病毒庫升級和查殺，防止勒索軟件等惡意軟件傳播脓额。對具備存儲功能的介質蜒媳，在其接入工業(yè)主機前，應進行病毒搬混、木馬等惡意代碼查殺古贡。

9.主機可采用應用軟件白名單技術，只允許部署運行經(jīng)企業(yè)授權和安全評估的應用軟件葵昂，并有計劃的實施操作系統(tǒng)桶淡、數(shù)據(jù)庫等系統(tǒng)軟件和重要應用軟件升級。

10.拆除或封閉工業(yè)主機上不必要的通用串行總線（USB）寥掐、光驅靴寂、無線等外部設備接口，關閉不必要的網(wǎng)絡服務端口召耘。若確需使用外部設備百炬，應進行嚴格訪問控制。

11.對工業(yè)主機污它、工業(yè)智能終端設備（控制設備剖踊、智能儀表等）、網(wǎng)絡設備（工業(yè)交換機衫贬、工業(yè)路由器等）的訪問實施用戶身份鑒別德澈，關鍵主機或終端的訪問采用雙因子認證。

（二）架構與邊界安全

12.根據(jù)承載業(yè)務特點固惯、業(yè)務規(guī)模梆造、影響工業(yè)生產(chǎn)的重要程度等因素，對工業(yè)以太網(wǎng)葬毫、工業(yè)無線網(wǎng)絡等組成的工業(yè)控制網(wǎng)絡實施分區(qū)分域管理镇辉，部署工業(yè)防火墻、網(wǎng)閘等設備實現(xiàn)域間橫向隔離讥捧。當工業(yè)控制網(wǎng)絡與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)連通時娶恕，實施網(wǎng)間縱向防護揖漫，并對網(wǎng)間行為開展安全審計。設備接入工業(yè)控制網(wǎng)絡時應進行身份認證篓释。

13.應用第五代移動通信技術（5G）垄坡、無線局域網(wǎng)技術（Wi-Fi）等無線通信技術組網(wǎng)時，制定嚴格的網(wǎng)絡訪問控制策略庞蠕，對無線接入設備采用身份認證機制筋擒，對無線訪問接入點定期審計，關閉無線接入公開信息（SSID）廣播则菌，避免設備違規(guī)接入破卜。

14.嚴格遠程訪問控制，禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通不必要的超文本傳輸協(xié)議（HTTP）踏靴、文件傳輸協(xié)議（FTP）廷前、Internet遠程登錄協(xié)議（Telnet）、遠程桌面協(xié)議（RDP）等高風險通用網(wǎng)絡服務窜无，對必要開通的網(wǎng)絡服務采取安全接入代理等技術進行用戶身份認證和應用鑒權贱甥。在遠程維護時，使用互聯(lián)網(wǎng)安全協(xié)議（IPsec）柄错、安全套接字協(xié)議（SSL）等協(xié)議構建安全網(wǎng)絡通道（如虛擬專用網(wǎng)絡（VPN））舷夺，并嚴格限制訪問范圍和授權時間，開展日志留存和審計售貌。

15.在工業(yè)控制系統(tǒng)中使用加密協(xié)議和算法時應符合相關法律法規(guī)要求给猾，鼓勵優(yōu)先采用商用密碼，實現(xiàn)加密網(wǎng)絡通信颂跨、設備身份認證和數(shù)據(jù)安全傳輸敢伸。

（三）上云安全

16.工業(yè)云平臺為企業(yè)自建時，利用用戶身份鑒別恒削、訪問控制池颈、安全通信、入侵防范等技術做好安全防護钓丰，有效阻止非法操作躯砰、網(wǎng)絡攻擊等行為。

17.工業(yè)設備上云時携丁，對上云設備實施嚴格標識管理弃揽，設備在接入工業(yè)云平臺時采用雙向身份認證，禁止未標識設備接入工業(yè)云平臺褂省。業(yè)務系統(tǒng)上云時，應確保不同業(yè)務系統(tǒng)運行環(huán)境的安全隔離溅逃。

（四）應用安全

18.訪問制造執(zhí)行系統(tǒng)（MES）葵稚、組態(tài)軟件和工業(yè)數(shù)據(jù)庫等應用服務時帘衣，應進行用戶身份認證。訪問關鍵應用服務時洁席，采用雙因子認證税则，并嚴格限制訪問范圍和授權時間。

19.工業(yè)企業(yè)自主研發(fā)的工業(yè)控制系統(tǒng)相關軟件值唉，應通過企業(yè)自行或委托第三方機構開展的安全性測試赡喻，測試合格后方可上線使用。

（五）系統(tǒng)數(shù)據(jù)安全

20.定期梳理工業(yè)控制系統(tǒng)運行產(chǎn)生的數(shù)據(jù)港赂，結合業(yè)務實際旭手，開展數(shù)據(jù)分類分級，識別重要數(shù)據(jù)和核心數(shù)據(jù)并形成目錄涉功。圍繞數(shù)據(jù)收集汁掠、存儲、使用集币、加工考阱、傳輸、提供鞠苟、公開等環(huán)節(jié)乞榨，使用密碼技術、訪問控制当娱、容災備份等技術對數(shù)據(jù)實施安全保護吃既。

21.法律、行政法規(guī)有境內存儲要求的重要數(shù)據(jù)和核心數(shù)據(jù)趾访，應在境內存儲态秧，確需向境外提供的，應當依法依規(guī)進行數(shù)據(jù)出境安全評估扼鞋。

三申鱼、安全運營

（一）監(jiān)測預警

22.在工業(yè)控制網(wǎng)絡部署監(jiān)測審計相關設備或平臺，在不影響系統(tǒng)穩(wěn)定運行的前提下云头，及時發(fā)現(xiàn)和預警系統(tǒng)漏洞捐友、惡意軟件、網(wǎng)絡攻擊锁澡、網(wǎng)絡侵入等安全風險埋吊。

23.在工業(yè)控制網(wǎng)絡與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的邊界，可采用工業(yè)控制系統(tǒng)蜜罐等威脅誘捕技術神翁，捕獲網(wǎng)絡攻擊行為愈苛，提升主動防御能力。

（二）運營中心

24.有條件的企業(yè)可建立工業(yè)控制系統(tǒng)網(wǎng)絡安全運營中心誓贝，利用安全編排自動化與響應（SOAR）等技術伶门，實現(xiàn)安全設備的統(tǒng)一管理和策略配置于哩，全面監(jiān)測網(wǎng)絡安全威脅，提升風險隱患集中排查和事件快速響應能力棵擂。

（三）應急處置

25.制定工控安全事件應急預案见炫，明確報告和處置流程，根據(jù)實際情況適時進行評估和修訂拙达，定期開展應急演練得稼。當發(fā)生工控安全事件時，應立即啟動應急預案俭驮，采取緊急處置措施回溺，及時穩(wěn)妥處理安全事件。

26.重要設備表鳍、平臺馅而、系統(tǒng)訪問和操作日志留存時間不少于六個月，并定期對日志備份譬圣，便于開展事后溯源取證瓮恭。

27.對重要系統(tǒng)應用和數(shù)據(jù)定期開展備份及恢復測試，確保緊急時工業(yè)控制系統(tǒng)在可接受的時間范圍內恢復正常運行厘熟。

（四）安全評估

28.新建或升級工業(yè)控制系統(tǒng)上線前屯蹦、工業(yè)控制網(wǎng)絡與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)連接前，應開展安全風險評估绳姨。

29.對于重要工業(yè)控制系統(tǒng)登澜，企業(yè)應自行或委托第三方專業(yè)機構每年至少開展一次工控安全防護能力相關評估。

（五）漏洞管理

30.密切關注工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺等重大工控安全漏洞及其補丁程序發(fā)布飘庄，及時采取升級措施脑蠕，短期內無法升級的，應開展針對性安全加固措暗。

31.對重要工業(yè)控制系統(tǒng)定期開展漏洞排查稻沮，發(fā)現(xiàn)重大安全漏洞時，對補丁程序或加固措施測試驗證后递蚪，方可實施補丁升級或加固谅沛。

四、責任落實

32.工業(yè)企業(yè)承擔本企業(yè)工控安全主體責任朗玩，建立工控安全管理制度喳睬，明確責任人和責任部門，按照“誰運營誰負責即荞、誰主管誰負責”的原則落實工控安全保護責任泥出。

33.強化企業(yè)資源保障力度，確保安全防護措施與工業(yè)控制系統(tǒng)同步規(guī)劃、同步建設甩高、同步使用凤阱。

原標題：《工信部印發(fā)《工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南》》

閱讀原文