各省心傀、自治區(qū)止既、直轄市、計劃單列市及新疆生產(chǎn)建設(shè)兵團工業(yè)和信息化主管部門种烫,有關(guān)企事業(yè)單位:
現(xiàn)將《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護指南》印發(fā)給你們灵科,請認真抓好落實。
工業(yè)和信息化部
2024年1月19日
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護指南
工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)運行的基礎(chǔ)核心鼻御。為適應(yīng)新時期工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全(以下簡稱工控安全)形勢揭轰,進一步指導(dǎo)企業(yè)提升工控安全防護水平,夯實新型工業(yè)化發(fā)展安全根基贰筹,制定本指南少炎。
使用、運營工業(yè)控制系統(tǒng)的企業(yè)適用本指南前挡,防護對象包括工業(yè)控制系統(tǒng)以及被網(wǎng)絡(luò)攻擊后可直接或間接影響生產(chǎn)運行的其他設(shè)備和系統(tǒng)峡审。
一、安全管理
(一)資產(chǎn)管理
1. 全面梳理可編程邏輯控制器(PLC)屎谆、分布式控制系統(tǒng)(DCS)拨聚、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)等典型工業(yè)控制系統(tǒng)以及相關(guān)設(shè)備、軟件琐览、數(shù)據(jù)等資產(chǎn)丑瞧,明確資產(chǎn)管理責(zé)任部門和責(zé)任人,建立工業(yè)控制系統(tǒng)資產(chǎn)清單蜀肘,并根據(jù)資產(chǎn)狀態(tài)變化及時更新绊汹。定期開展工業(yè)控制系統(tǒng)資產(chǎn)核查,內(nèi)容包括但不限于系統(tǒng)配置扮宠、權(quán)限分配西乖、日志審計、病毒查殺坛增、數(shù)據(jù)備份获雕、設(shè)備運行狀態(tài)等情況。
2. 根據(jù)承載業(yè)務(wù)的重要性、規(guī)模典鸡,以及發(fā)生網(wǎng)絡(luò)安全事件的危害程度等因素被廓,建立重要工業(yè)控制系統(tǒng)清單并定期更新,實施重點保護萝玷。重要工業(yè)控制系統(tǒng)相關(guān)的關(guān)鍵工業(yè)主機嫁乘、網(wǎng)絡(luò)設(shè)備、控制設(shè)備等立骄,應(yīng)實施冗余備份永努。
(二)配置管理
3. 強化賬戶及口令管理,避免使用默認口令或弱口令辨埃,定期更新口令散苦。遵循最小授權(quán)原則,合理設(shè)置賬戶權(quán)限下风,禁用不必要的系統(tǒng)默認賬戶和管理員賬戶奇嗽,及時清理過期賬戶。
4. 建立工業(yè)控制系統(tǒng)安全配置清單鹤肥、安全防護設(shè)備策略配置清單永音。定期開展配置清單審計,及時根據(jù)安全防護需求變化調(diào)整配置冠樱,重大配置變更實施前進行嚴格安全測試炭箭,測試通過后方可實施變更。
(三)供應(yīng)鏈安全
5. 與工業(yè)控制系統(tǒng)廠商颠舞、云服務(wù)商菌司、安全服務(wù)商等供應(yīng)商簽訂的協(xié)議中,應(yīng)明確各方需履行的安全相關(guān)責(zé)任和義務(wù)粤铭,包括管理范圍挖胃、職責(zé)劃分、訪問授權(quán)梆惯、隱私保護冠骄、行為準則、違約責(zé)任等加袋。
6. 工業(yè)控制系統(tǒng)使用納入網(wǎng)絡(luò)關(guān)鍵設(shè)備目錄的PLC等設(shè)備時,應(yīng)使用具備資格的機構(gòu)安全認證合格或者安全檢測符合要求的設(shè)備抱既。
(四)宣傳教育
7. 定期開展工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全相關(guān)法律法規(guī)职烧、政策標準宣傳教育,增強企業(yè)人員網(wǎng)絡(luò)安全意識防泵。針對工業(yè)控制系統(tǒng)和網(wǎng)絡(luò)相關(guān)運維人員蚀之,定期開展工控安全專業(yè)技能培訓(xùn)及考核。
二捷泞、技術(shù)防護
(一)主機與終端安全
8. 在工程師站足删、操作員站寿谴、工業(yè)數(shù)據(jù)庫服務(wù)器等主機上部署防病毒軟件,定期進行病毒庫升級和查殺搜痕,防止勒索軟件等惡意軟件傳播细咽。對具備存儲功能的介質(zhì),在其接入工業(yè)主機前绍撇,應(yīng)進行病毒尘忿、木馬等惡意代碼查殺。
9. 主機可采用應(yīng)用軟件白名單技術(shù)督垮,只允許部署運行經(jīng)企業(yè)授權(quán)和安全評估的應(yīng)用軟件屡拥,并有計劃的實施操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)軟件和重要應(yīng)用軟件升級影啸。
10. 拆除或封閉工業(yè)主機上不必要的通用串行總線(USB)剩骏、光驅(qū)、無線等外部設(shè)備接口羡财,關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)端口监镰。若確需使用外部設(shè)備,應(yīng)進行嚴格訪問控制坠行。
11. 對工業(yè)主機匙蚣、工業(yè)智能終端設(shè)備(控制設(shè)備、智能儀表等)改艇、網(wǎng)絡(luò)設(shè)備(工業(yè)交換機收班、工業(yè)路由器等)的訪問實施用戶身份鑒別,關(guān)鍵主機或終端的訪問采用雙因子認證谒兄。
(二)架構(gòu)與邊界安全
12. 根據(jù)承載業(yè)務(wù)特點摔桦、業(yè)務(wù)規(guī)模、影響工業(yè)生產(chǎn)的重要程度等因素承疲,對工業(yè)以太網(wǎng)邻耕、工業(yè)無線網(wǎng)絡(luò)等組成的工業(yè)控制網(wǎng)絡(luò)實施分區(qū)分域管理,部署工業(yè)防火墻燕鸽、網(wǎng)閘等設(shè)備實現(xiàn)域間橫向隔離兄世。當(dāng)工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)連通時,實施網(wǎng)間縱向防護啊研,并對網(wǎng)間行為開展安全審計御滩。設(shè)備接入工業(yè)控制網(wǎng)絡(luò)時應(yīng)進行身份認證。
13. 應(yīng)用第五代移動通信技術(shù)(5G)党远、無線局域網(wǎng)技術(shù)(WiFi)等無線通信技術(shù)組網(wǎng)時削解,制定嚴格的網(wǎng)絡(luò)訪問控制策略,對無線接入設(shè)備采用身份認證機制,對無線訪問接入點定期審計圾恐,關(guān)閉無線接入公開信息(SSID)廣播农想,避免設(shè)備違規(guī)接入。
14. 嚴格遠程訪問控制擂椎,禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通不必要的超文本傳輸協(xié)議(HTTP)例氓、文件傳輸協(xié)議(FTP)、Internet遠程登錄協(xié)議(Telnet)趟蛋、遠程桌面協(xié)議(RDP)等高風(fēng)險通用網(wǎng)絡(luò)服務(wù)邪船,對必要開通的網(wǎng)絡(luò)服務(wù)采取安全接入代理等技術(shù)進行用戶身份認證和應(yīng)用鑒權(quán)。在遠程維護時同嚷,使用互聯(lián)網(wǎng)安全協(xié)議(IPsec)羔峭、安全套接字協(xié)議(SSL)等協(xié)議構(gòu)建安全網(wǎng)絡(luò)通道(如虛擬專用網(wǎng)絡(luò)(VPN)),并嚴格限制訪問范圍和授權(quán)時間甫知,開展日志留存和審計缅钠。
15. 在工業(yè)控制系統(tǒng)中使用加密協(xié)議和算法時應(yīng)符合相關(guān)法律法規(guī)要求,鼓勵優(yōu)先采用商用密碼诡蜓,實現(xiàn)加密網(wǎng)絡(luò)通信熬甫、設(shè)備身份認證和數(shù)據(jù)安全傳輸。
(三)上云安全
16. 工業(yè)云平臺為企業(yè)自建時蔓罚,利用用戶身份鑒別椿肩、訪問控制、安全通信豺谈、入侵防范等技術(shù)做好安全防護郑象,有效阻止非法操作、網(wǎng)絡(luò)攻擊等行為茬末。
17. 工業(yè)設(shè)備上云時厂榛,對上云設(shè)備實施嚴格標識管理,設(shè)備在接入工業(yè)云平臺時采用雙向身份認證丽惭,禁止未標識設(shè)備接入工業(yè)云平臺击奶。業(yè)務(wù)系統(tǒng)上云時,應(yīng)確保不同業(yè)務(wù)系統(tǒng)運行環(huán)境的安全隔離责掏。
(四)應(yīng)用安全
18. 訪問制造執(zhí)行系統(tǒng)(MES)柜砾、組態(tài)軟件和工業(yè)數(shù)據(jù)庫等應(yīng)用服務(wù)時,應(yīng)進行用戶身份認證换衬。訪問關(guān)鍵應(yīng)用服務(wù)時脖耽,采用雙因子認證,并嚴格限制訪問范圍和授權(quán)時間拨臂。
19. 工業(yè)企業(yè)自主研發(fā)的工業(yè)控制系統(tǒng)相關(guān)軟件,應(yīng)通過企業(yè)自行或委托第三方機構(gòu)開展的安全性測試,測試合格后方可上線使用基际。
(五)系統(tǒng)數(shù)據(jù)安全
20. 定期梳理工業(yè)控制系統(tǒng)運行產(chǎn)生的數(shù)據(jù)痛慷,結(jié)合業(yè)務(wù)實際,開展數(shù)據(jù)分類分級袍砚,識別重要數(shù)據(jù)和核心數(shù)據(jù)并形成目錄樱炬。圍繞數(shù)據(jù)收集、存儲槐伍、使用择绘、加工、傳輸凌红、提供混砸、公開等環(huán)節(jié),使用密碼技術(shù)硬纤、訪問控制解滓、容災(zāi)備份等技術(shù)對數(shù)據(jù)實施安全保護。
21. 法律筝家、行政法規(guī)有境內(nèi)存儲要求的重要數(shù)據(jù)和核心數(shù)據(jù)洼裤,應(yīng)在境內(nèi)存儲,確需向境外提供的溪王,應(yīng)當(dāng)依法依規(guī)進行數(shù)據(jù)出境安全評估腮鞍。
三、安全運營
(一)監(jiān)測預(yù)警
22. 在工業(yè)控制網(wǎng)絡(luò)部署監(jiān)測審計相關(guān)設(shè)備或平臺莹菱,在不影響系統(tǒng)穩(wěn)定運行的前提下移国,及時發(fā)現(xiàn)和預(yù)警系統(tǒng)漏洞、惡意軟件芒珠、網(wǎng)絡(luò)攻擊桥狡、網(wǎng)絡(luò)侵入等安全風(fēng)險。
23. 在工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的邊界皱卓,可采用工業(yè)控制系統(tǒng)蜜罐等威脅誘捕技術(shù)裹芝,捕獲網(wǎng)絡(luò)攻擊行為,提升主動防御能力娜汁。
(二)運營中心
24. 有條件的企業(yè)可建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全運營中心臀匹,利用安全編排自動化與響應(yīng)(SOAR)等技術(shù),實現(xiàn)安全設(shè)備的統(tǒng)一管理和策略配置油后,全面監(jiān)測網(wǎng)絡(luò)安全威脅挠站,提升風(fēng)險隱患集中排查和事件快速響應(yīng)能力。
(三)應(yīng)急處置
25. 制定工控安全事件應(yīng)急預(yù)案容书,明確報告和處置流程恃藐,根據(jù)實際情況適時進行評估和修訂眶蹈,定期開展應(yīng)急演練。當(dāng)發(fā)生工控安全事件時自拖,應(yīng)立即啟動應(yīng)急預(yù)案雹了,采取緊急處置措施,及時穩(wěn)妥處理安全事件宏查。
26. 重要設(shè)備索驰、平臺、系統(tǒng)訪問和操作日志留存時間不少于六個月骡拐,并定期對日志備份妓浮,便于開展事后溯源取證。
27. 對重要系統(tǒng)應(yīng)用和數(shù)據(jù)定期開展備份及恢復(fù)測試蓉冈,確保緊急時工業(yè)控制系統(tǒng)在可接受的時間范圍內(nèi)恢復(fù)正常運行城舞。
(四)安全評估
28. 新建或升級工業(yè)控制系統(tǒng)上線前、工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)連接前洒擦,應(yīng)開展安全風(fēng)險評估椿争。
29. 對于重要工業(yè)控制系統(tǒng),企業(yè)應(yīng)自行或委托第三方專業(yè)機構(gòu)每年至少開展一次工控安全防護能力相關(guān)評估熟嫩。
(五)漏洞管理
30. 密切關(guān)注工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺等重大工控安全漏洞及其補丁程序發(fā)布秦踪,及時采取升級措施,短期內(nèi)無法升級的掸茅,應(yīng)開展針對性安全加固椅邓。
31. 對重要工業(yè)控制系統(tǒng)定期開展漏洞排查,發(fā)現(xiàn)重大安全漏洞時昧狮,對補丁程序或加固措施測試驗證后景馁,方可實施補丁升級或加固。
四逗鸣、責(zé)任落實
32. 工業(yè)企業(yè)承擔(dān)本企業(yè)工控安全主體責(zé)任合住,建立工控安全管理制度,明確責(zé)任人和責(zé)任部門特与,按照“誰運營誰負責(zé)释何、誰主管誰負責(zé)”的原則落實工控安全保護責(zé)任。
33. 強化企業(yè)資源保障力度注括,確保安全防護措施與工業(yè)控制系統(tǒng)同步規(guī)劃坯肿、同步建設(shè)、同步使用蝴车。
18221259202