為適應(yīng)新型工業(yè)化發(fā)展形勢(shì)勉惋,提高我國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保障水平励邓,指導(dǎo)工業(yè)企業(yè)開展工控安全防護(hù)工作,以高水平安全護(hù)航新型工業(yè)化高質(zhì)量發(fā)展丧爸,工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》窟礼。《防護(hù)指南》定位于面向工業(yè)企業(yè)做好網(wǎng)絡(luò)安全防護(hù)的指導(dǎo)性文件带超,堅(jiān)持統(tǒng)籌發(fā)展和安全绰尖,圍繞安全管理、技術(shù)防護(hù)昨宋、安全運(yùn)營(yíng)吹磕、責(zé)任落實(shí)四方面,提出33項(xiàng)指導(dǎo)性安全防護(hù)基線要求紧除,推動(dòng)解決走好新型工業(yè)化道路過(guò)程中工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全面臨的突出問(wèn)題壤牙。
關(guān)于印發(fā)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南的通知
工信部網(wǎng)安〔2024〕14號(hào)
各省、自治區(qū)竿靠、直轄市适肠、計(jì)劃單列市及新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門,有關(guān)企事業(yè)單位:
現(xiàn)將《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》印發(fā)給你們候引,請(qǐng)認(rèn)真抓好落實(shí)迂猴。
工業(yè)和信息化部
2024年1月19日
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南
工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)運(yùn)行的基礎(chǔ)核心。為適應(yīng)新時(shí)期工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全(以下簡(jiǎn)稱工控安全)形勢(shì)背伴,進(jìn)一步指導(dǎo)企業(yè)提升工控安全防護(hù)水平沸毁,夯實(shí)新型工業(yè)化發(fā)展安全根基,制定本指南傻寂。
使用息尺、運(yùn)營(yíng)工業(yè)控制系統(tǒng)的企業(yè)適用本指南携兵,防護(hù)對(duì)象包括工業(yè)控制系統(tǒng)以及被網(wǎng)絡(luò)攻擊后可直接或間接影響生產(chǎn)運(yùn)行的其他設(shè)備和系統(tǒng)。
一搂誉、安全管理
(一)資產(chǎn)管理
1.全面梳理可編程邏輯控制器(PLC)徐紧、分布式控制系統(tǒng)(DCS)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)等典型工業(yè)控制系統(tǒng)以及相關(guān)設(shè)備炭懊、軟件并级、數(shù)據(jù)等資產(chǎn),明確資產(chǎn)管理責(zé)任部門和責(zé)任人侮腹,建立工業(yè)控制系統(tǒng)資產(chǎn)清單迈窗,并根據(jù)資產(chǎn)狀態(tài)變化及時(shí)更新。定期開展工業(yè)控制系統(tǒng)資產(chǎn)核查栋灿,內(nèi)容包括但不限于系統(tǒng)配置惑妥、權(quán)限分配、日志審計(jì)浴瞭、病毒查殺示荠、數(shù)據(jù)備份、設(shè)備運(yùn)行狀態(tài)等情況岳散。
2.根據(jù)承載業(yè)務(wù)的重要性节立、規(guī)模,以及發(fā)生網(wǎng)絡(luò)安全事件的危害程度等因素眠煮,建立重要工業(yè)控制系統(tǒng)清單并定期更新藐檀,實(shí)施重點(diǎn)保護(hù)。重要工業(yè)控制系統(tǒng)相關(guān)的關(guān)鍵工業(yè)主機(jī)儡簿、網(wǎng)絡(luò)設(shè)備晨墓、控制設(shè)備等,應(yīng)實(shí)施冗余備份侍瑟。
(二)配置管理
3.強(qiáng)化賬戶及口令管理唐片,避免使用默認(rèn)口令或弱口令,定期更新口令涨颜。遵循最小授權(quán)原則费韭,合理設(shè)置賬戶權(quán)限,禁用不必要的系統(tǒng)默認(rèn)賬戶和管理員賬戶庭瑰,及時(shí)清理過(guò)期賬戶星持。
4.建立工業(yè)控制系統(tǒng)安全配置清單、安全防護(hù)設(shè)備策略配置清單弹灭。定期開展配置清單審計(jì)督暂,及時(shí)根據(jù)安全防護(hù)需求變化調(diào)整配置,重大配置變更實(shí)施前進(jìn)行嚴(yán)格安全測(cè)試穷吮,測(cè)試通過(guò)后方可實(shí)施變更逻翁。
(三)供應(yīng)鏈安全
5.與工業(yè)控制系統(tǒng)廠商饥努、云服務(wù)商、安全服務(wù)商等供應(yīng)商簽訂的協(xié)議中八回,應(yīng)明確各方需履行的安全相關(guān)責(zé)任和義務(wù)酷愧,包括管理范圍、職責(zé)劃分撼烹、訪問(wèn)授權(quán)濒垫、隱私保護(hù)、行為準(zhǔn)則远燕、違約責(zé)任等久泞。
6.工業(yè)控制系統(tǒng)使用納入網(wǎng)絡(luò)關(guān)鍵設(shè)備目錄的PLC等設(shè)備時(shí),應(yīng)使用具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求的設(shè)備英鸵。
(四)宣傳教育
7.定期開展工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全相關(guān)法律法規(guī)铁磕、政策標(biāo)準(zhǔn)宣傳教育怠写,增強(qiáng)企業(yè)人員網(wǎng)絡(luò)安全意識(shí)酿边。針對(duì)工業(yè)控制系統(tǒng)和網(wǎng)絡(luò)相關(guān)運(yùn)維人員,定期開展工控安全專業(yè)技能培訓(xùn)及考核竟恩。
二恶恨、技術(shù)防護(hù)
(一)主機(jī)與終端安全
8.在工程師站、操作員站伸坑、工業(yè)數(shù)據(jù)庫(kù)服務(wù)器等主機(jī)上部署防病毒軟件痴猖,定期進(jìn)行病毒庫(kù)升級(jí)和查殺,防止勒索軟件等惡意軟件傳播念脯。對(duì)具備存儲(chǔ)功能的介質(zhì)狞洋,在其接入工業(yè)主機(jī)前,應(yīng)進(jìn)行病毒绿店、木馬等惡意代碼查殺吉懊。
9.主機(jī)可采用應(yīng)用軟件白名單技術(shù),只允許部署運(yùn)行經(jīng)企業(yè)授權(quán)和安全評(píng)估的應(yīng)用軟件假勿,并有計(jì)劃的實(shí)施操作系統(tǒng)借嗽、數(shù)據(jù)庫(kù)等系統(tǒng)軟件和重要應(yīng)用軟件升級(jí)。
10.拆除或封閉工業(yè)主機(jī)上不必要的通用串行總線(USB)转培、光驅(qū)恶导、無(wú)線等外部設(shè)備接口,關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)端口浸须。若確需使用外部設(shè)備惨寿,應(yīng)進(jìn)行嚴(yán)格訪問(wèn)控制。
11.對(duì)工業(yè)主機(jī)删窒、工業(yè)智能終端設(shè)備(控制設(shè)備缤沦、智能儀表等)虎韵、網(wǎng)絡(luò)設(shè)備(工業(yè)交換機(jī)、工業(yè)路由器等)的訪問(wèn)實(shí)施用戶身份鑒別赎冶,關(guān)鍵主機(jī)或終端的訪問(wèn)采用雙因子認(rèn)證扣飘。
(二)架構(gòu)與邊界安全
12.根據(jù)承載業(yè)務(wù)特點(diǎn)、業(yè)務(wù)規(guī)模幌舍、影響工業(yè)生產(chǎn)的重要程度等因素杀蝌,對(duì)工業(yè)以太網(wǎng)、工業(yè)無(wú)線網(wǎng)絡(luò)等組成的工業(yè)控制網(wǎng)絡(luò)實(shí)施分區(qū)分域管理屋孕,部署工業(yè)防火墻咖播、網(wǎng)閘等設(shè)備實(shí)現(xiàn)域間橫向隔離。當(dāng)工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)連通時(shí)硕纯,實(shí)施網(wǎng)間縱向防護(hù)铣佛,并對(duì)網(wǎng)間行為開展安全審計(jì)。設(shè)備接入工業(yè)控制網(wǎng)絡(luò)時(shí)應(yīng)進(jìn)行身份認(rèn)證握帘。
13.應(yīng)用第五代移動(dòng)通信技術(shù)(5G)袜晌、無(wú)線局域網(wǎng)技術(shù)(Wi-Fi)等無(wú)線通信技術(shù)組網(wǎng)時(shí),制定嚴(yán)格的網(wǎng)絡(luò)訪問(wèn)控制策略篱俊,對(duì)無(wú)線接入設(shè)備采用身份認(rèn)證機(jī)制但惶,對(duì)無(wú)線訪問(wèn)接入點(diǎn)定期審計(jì),關(guān)閉無(wú)線接入公開信息(SSID)廣播湿蛔,避免設(shè)備違規(guī)接入膀曾。
14.嚴(yán)格遠(yuǎn)程訪問(wèn)控制,禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通不必要的超文本傳輸協(xié)議(HTTP)阳啥、文件傳輸協(xié)議(FTP)添谊、Internet遠(yuǎn)程登錄協(xié)議(Telnet)、遠(yuǎn)程桌面協(xié)議(RDP)等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)察迟,對(duì)必要開通的網(wǎng)絡(luò)服務(wù)采取安全接入代理等技術(shù)進(jìn)行用戶身份認(rèn)證和應(yīng)用鑒權(quán)斩狱。在遠(yuǎn)程維護(hù)時(shí),使用互聯(lián)網(wǎng)安全協(xié)議(IPsec)卷拘、安全套接字協(xié)議(SSL)等協(xié)議構(gòu)建安全網(wǎng)絡(luò)通道(如虛擬專用網(wǎng)絡(luò)(VPN))喊废,并嚴(yán)格限制訪問(wèn)范圍和授權(quán)時(shí)間,開展日志留存和審計(jì)栗弟。
15.在工業(yè)控制系統(tǒng)中使用加密協(xié)議和算法時(shí)應(yīng)符合相關(guān)法律法規(guī)要求污筷,鼓勵(lì)優(yōu)先采用商用密碼,實(shí)現(xiàn)加密網(wǎng)絡(luò)通信乍赫、設(shè)備身份認(rèn)證和數(shù)據(jù)安全傳輸瓣蛀。
(三)上云安全
16.工業(yè)云平臺(tái)為企業(yè)自建時(shí),利用用戶身份鑒別杭恩、訪問(wèn)控制踢周、安全通信萤考、入侵防范等技術(shù)做好安全防護(hù),有效阻止非法操作黎撤、網(wǎng)絡(luò)攻擊等行為乒柳。
17.工業(yè)設(shè)備上云時(shí),對(duì)上云設(shè)備實(shí)施嚴(yán)格標(biāo)識(shí)管理侄灭,設(shè)備在接入工業(yè)云平臺(tái)時(shí)采用雙向身份認(rèn)證彭铐,禁止未標(biāo)識(shí)設(shè)備接入工業(yè)云平臺(tái)。業(yè)務(wù)系統(tǒng)上云時(shí)亏傅,應(yīng)確保不同業(yè)務(wù)系統(tǒng)運(yùn)行環(huán)境的安全隔離摊谢。
(四)應(yīng)用安全
18.訪問(wèn)制造執(zhí)行系統(tǒng)(MES)、組態(tài)軟件和工業(yè)數(shù)據(jù)庫(kù)等應(yīng)用服務(wù)時(shí)醉装,應(yīng)進(jìn)行用戶身份認(rèn)證辕芳。訪問(wèn)關(guān)鍵應(yīng)用服務(wù)時(shí),采用雙因子認(rèn)證宵睦,并嚴(yán)格限制訪問(wèn)范圍和授權(quán)時(shí)間记罚。
19.工業(yè)企業(yè)自主研發(fā)的工業(yè)控制系統(tǒng)相關(guān)軟件,應(yīng)通過(guò)企業(yè)自行或委托第三方機(jī)構(gòu)開展的安全性測(cè)試状飞,測(cè)試合格后方可上線使用毫胜。
(五)系統(tǒng)數(shù)據(jù)安全
20.定期梳理工業(yè)控制系統(tǒng)運(yùn)行產(chǎn)生的數(shù)據(jù)书斜,結(jié)合業(yè)務(wù)實(shí)際诬辈,開展數(shù)據(jù)分類分級(jí),識(shí)別重要數(shù)據(jù)和核心數(shù)據(jù)并形成目錄荐吉。圍繞數(shù)據(jù)收集焙糟、存儲(chǔ)、使用样屠、加工穿撮、傳輸、提供痪欲、公開等環(huán)節(jié)悦穿,使用密碼技術(shù)、訪問(wèn)控制业踢、容災(zāi)備份等技術(shù)對(duì)數(shù)據(jù)實(shí)施安全保護(hù)落怀。
21.法律、行政法規(guī)有境內(nèi)存儲(chǔ)要求的重要數(shù)據(jù)和核心數(shù)據(jù)种洛,應(yīng)在境內(nèi)存儲(chǔ)百览,確需向境外提供的,應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估拔泪。
三笑杯、安全運(yùn)營(yíng)
(一)監(jiān)測(cè)預(yù)警
22.在工業(yè)控制網(wǎng)絡(luò)部署監(jiān)測(cè)審計(jì)相關(guān)設(shè)備或平臺(tái)阱墩,在不影響系統(tǒng)穩(wěn)定運(yùn)行的前提下,及時(shí)發(fā)現(xiàn)和預(yù)警系統(tǒng)漏洞辱得、惡意軟件局该、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)沉享。
23.在工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的邊界磁不,可采用工業(yè)控制系統(tǒng)蜜罐等威脅誘捕技術(shù),捕獲網(wǎng)絡(luò)攻擊行為砂裹,提升主動(dòng)防御能力贬池。
(二)運(yùn)營(yíng)中心
24.有條件的企業(yè)可建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全運(yùn)營(yíng)中心,利用安全編排自動(dòng)化與響應(yīng)(SOAR)等技術(shù)文黎,實(shí)現(xiàn)安全設(shè)備的統(tǒng)一管理和策略配置惹苗,全面監(jiān)測(cè)網(wǎng)絡(luò)安全威脅,提升風(fēng)險(xiǎn)隱患集中排查和事件快速響應(yīng)能力耸峭。
(三)應(yīng)急處置
25.制定工控安全事件應(yīng)急預(yù)案桩蓉,明確報(bào)告和處置流程,根據(jù)實(shí)際情況適時(shí)進(jìn)行評(píng)估和修訂劳闹,定期開展應(yīng)急演練院究。當(dāng)發(fā)生工控安全事件時(shí),應(yīng)立即啟動(dòng)應(yīng)急預(yù)案本涕,采取緊急處置措施业汰,及時(shí)穩(wěn)妥處理安全事件。
26.重要設(shè)備菩颖、平臺(tái)样漆、系統(tǒng)訪問(wèn)和操作日志留存時(shí)間不少于六個(gè)月,并定期對(duì)日志備份晦闰,便于開展事后溯源取證放祟。
27.對(duì)重要系統(tǒng)應(yīng)用和數(shù)據(jù)定期開展備份及恢復(fù)測(cè)試,確保緊急時(shí)工業(yè)控制系統(tǒng)在可接受的時(shí)間范圍內(nèi)恢復(fù)正常運(yùn)行散烂。
(四)安全評(píng)估
28.新建或升級(jí)工業(yè)控制系統(tǒng)上線前巾妖、工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)連接前,應(yīng)開展安全風(fēng)險(xiǎn)評(píng)估变钙。
29.對(duì)于重要工業(yè)控制系統(tǒng)牵梗,企業(yè)應(yīng)自行或委托第三方專業(yè)機(jī)構(gòu)每年至少開展一次工控安全防護(hù)能力相關(guān)評(píng)估。
(五)漏洞管理
30.密切關(guān)注工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)等重大工控安全漏洞及其補(bǔ)丁程序發(fā)布啸业,及時(shí)采取升級(jí)措施洗筛,短期內(nèi)無(wú)法升級(jí)的,應(yīng)開展針對(duì)性安全加固。
31.對(duì)重要工業(yè)控制系統(tǒng)定期開展漏洞排查凸窖,發(fā)現(xiàn)重大安全漏洞時(shí)望星,對(duì)補(bǔ)丁程序或加固措施測(cè)試驗(yàn)證后,方可實(shí)施補(bǔ)丁升級(jí)或加固天证。
四浸萤、責(zé)任落實(shí)
32.工業(yè)企業(yè)承擔(dān)本企業(yè)工控安全主體責(zé)任,建立工控安全管理制度哀买,明確責(zé)任人和責(zé)任部門顷锰,按照“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則落實(shí)工控安全保護(hù)責(zé)任亡问。
33.強(qiáng)化企業(yè)資源保障力度官紫,確保安全防護(hù)措施與工業(yè)控制系統(tǒng)同步規(guī)劃、同步建設(shè)州藕、同步使用束世。
18221259202