各省、自治區、直轄市、計劃單列市及新疆生產建設兵團工業和信息化主管部門,有關企事業單位:
現將《工業控制系統網絡安全防護指南》印發給你們,請認真抓好落實。
工業和信息化部
2024年1月19日
工業控制系統網絡安全防護指南
工業控制系統是工業生產運行的基礎核心。為適應新時期工業控制系統網絡安全(以下簡稱工控安全)形勢,進一步指導企業提升工控安全防護水平,夯實新型工業化發展安全根基,制定本指南。
使用、運營工業控制系統的企業適用本指南,防護對象包括工業控制系統以及被網絡攻擊後可直接或間接影響生產運行的其他設備和系統。
一、安全管理
(一)資產管理
1.全面梳理可編程邏輯控制器(PLC)、分佈式控制系統(DCS)、數據采集與監視控制系統(SCADA)等典型工業控制系統以及相關設備、軟件、數據等資產,明確資產管理責任部門和責任人,建立工業控制系統資產清單,並根據資產狀態變化及時更新。定期開展工業控制系統資產核查,內容包括但不限於系統配置、權限分配、日志審計、病毒查殺、數據備份、設備運行狀態等情況。
2.根據承載業務的重要性、規模,以及發生網絡安全事件的危害程度等因素,建立重要工業控制系統清單並定期更新,實施重點保護。重要工業控制系統相關的關鍵工業主機、網絡設備、控制設備等,應實施冗餘備份。
(二)配置管理
3.強化賬戶及口令管理,避免使用默認口令或弱口令,定期更新口令。遵循最小授權原則,合理設置賬戶權限,禁用不必要的系統默認賬戶和管理員賬戶,及時清理過期賬戶。
4.建立工業控制系統安全配置清單、安全防護設備策略配置清單。定期開展配置清單審計,及時根據安全防護需求變化調整配置,重大配置變更實施前進行嚴格安全測試,測試通過後方可實施變更。
(三)供應鏈安全
5.與工業控制系統廠商、雲服務商、安全服務商等供應商簽訂的協議中,應明確各方需履行的安全相關責任和義務,包括管理范圍、職責劃分、訪問授權、隱私保護、行為準則、違約責任等。
6.工業控制系統使用納入網絡關鍵設備目錄的PLC等設備時,應使用具備資格的機構安全認證合格或者安全檢測符合要求的設備。
(四)宣傳教育
7.定期開展工業控制系統網絡安全相關法律法規、政策標準宣傳教育,增強企業人員網絡安全意識。針對工業控制系統和網絡相關運維人員,定期開展工控安全專業技能培訓及考核。
二、技術防護
(一)主機與終端安全
8.在工程師站、操作員站、工業數據庫服務器等主機上部署防病毒軟件,定期進行病毒庫升級和查殺,防止勒索軟件等惡意軟件傳播。對具備存儲功能的介質,在其接入工業主機前,應進行病毒、木馬等惡意代碼查殺。
9.主機可采用應用軟件白名單技術,隻允許部署運行經企業授權和安全評估的應用軟件,並有計劃的實施操作系統、數據庫等系統軟件和重要應用軟件升級。
10.拆除或封閉工業主機上不必要的通用串行總線(USB)、光驅、無線等外部設備接口,關閉不必要的網絡服務端口。若確需使用外部設備,應進行嚴格訪問控制。
11.對工業主機、工業智能終端設備(控制設備、智能儀表等)、網絡設備(工業交換機、工業路由器等)的訪問實施用戶身份鑒別,關鍵主機或終端的訪問采用雙因子認證。
(二)架構與邊界安全
12.根據承載業務特點、業務規模、影響工業生產的重要程度等因素,對工業以太網、工業無線網絡等組成的工業控制網絡實施分區分域管理,部署工業防火墻、網閘等設備實現域間橫向隔離。當工業控制網絡與企業管理網或互聯網連通時,實施網間縱向防護,並對網間行為開展安全審計。設備接入工業控制網絡時應進行身份認證。
13.應用第五代移動通信技術(5G)、無線局域網技術(WiFi)等無線通信技術組網時,制定嚴格的網絡訪問控制策略,對無線接入設備采用身份認證機制,對無線訪問接入點定期審計,關閉無線接入公開信息(SSID)廣播,避免設備違規接入。
14.嚴格遠程訪問控制,禁止工業控制系統面向互聯網開通不必要的超文本傳輸協議(HTTP)、文件傳輸協議(FTP)、Internet遠程登錄協議(Telnet)、遠程桌面協議(RDP)等高風險通用網絡服務,對必要開通的網絡服務采取安全接入代理等技術進行用戶身份認證和應用鑒權。在遠程維護時,使用互聯網安全協議(IPsec)、安全套接字協議(SSL)等協議構建安全網絡通道(如虛擬專用網絡(VPN)),並嚴格限制訪問范圍和授權時間,開展日志留存和審計。
15.在工業控制系統中使用加密協議和算法時應符合相關法律法規要求,鼓勵優先采用商用密碼,實現加密網絡通信、設備身份認證和數據安全傳輸。
(三)上雲安全
16.工業雲平臺為企業自建時,利用用戶身份鑒別、訪問控制、安全通信、入侵防范等技術做好安全防護,有效阻止非法操作、網絡攻擊等行為。
17.工業設備上雲時,對上雲設備實施嚴格標識管理,設備在接入工業雲平臺時采用雙向身份認證,禁止未標識設備接入工業雲平臺。業務系統上雲時,應確保不同業務系統運行環境的安全隔離。
(四)應用安全
18.訪問制造執行系統(MES)、組態軟件和工業數據庫等應用服務時,應進行用戶身份認證。訪問關鍵應用服務時,采用雙因子認證,並嚴格限制訪問范圍和授權時間。
19.工業企業自主研發的工業控制系統相關軟件,應通過企業自行或委托第三方機構開展的安全性測試,測試合格後方可上線使用。
(五)系統數據安全
20.定期梳理工業控制系統運行產生的數據,結合業務實際,開展數據分類分級,識別重要數據和核心數據並形成目錄。圍繞數據收集、存儲、使用、加工、傳輸、提供、公開等環節,使用密碼技術、訪問控制、容災備份等技術對數據實施安全保護。
21.法律、行政法規有境內存儲要求的重要數據和核心數據,應在境內存儲,確需向境外提供的,應當依法依規進行數據出境安全評估。
三、安全運營
(一)監測預警
22.在工業控制網絡部署監測審計相關設備或平臺,在不影響系統穩定運行的前提下,及時發現和預警系統漏洞、惡意軟件、網絡攻擊、網絡侵入等安全風險。
23.在工業控制網絡與企業管理網或互聯網的邊界,可采用工業控制系統蜜罐等威脅誘捕技術,捕獲網絡攻擊行為,提升主動防禦能力。
(二)運營中心
24.有條件的企業可建立工業控制系統網絡安全運營中心,利用安全編排自動化與響應(SOAR)等技術,實現安全設備的統一管理和策略配置,全面監測網絡安全威脅,提升風險隱患集中排查和事件快速響應能力。
(三)應急處置
25.制定工控安全事件應急預案,明確報告和處置流程,根據實際情況適時進行評估和修訂,定期開展應急演練。當發生工控安全事件時,應立即啟動應急預案,采取緊急處置措施,及時穩妥處理安全事件。
26.重要設備、平臺、系統訪問和操作日志留存時間不少於六個月,並定期對日志備份,便於開展事後溯源取證。
27.對重要系統應用和數據定期開展備份及恢復測試,確保緊急時工業控制系統在可接受的時間范圍內恢復正常運行。
(四)安全評估
28.新建或升級工業控制系統上線前、工業控制網絡與企業管理網或互聯網連接前,應開展安全風險評估。
29.對於重要工業控制系統,企業應自行或委托第三方專業機構每年至少開展一次工控安全防護能力相關評估。
(五)漏洞管理
30.密切關註工業和信息化部網絡安全威脅和漏洞信息共享平臺等重大工控安全漏洞及其補丁程序發佈,及時采取升級措施,短期內無法升級的,應開展針對性安全加固。
31.對重要工業控制系統定期開展漏洞排查,發現重大安全漏洞時,對補丁程序或加固措施測試驗證後,方可實施補丁升級或加固。
四、責任落實
32.工業企業承擔本企業工控安全主體責任,建立工控安全管理制度,明確責任人和責任部門,按照“誰運營誰負責、誰主管誰負責”的原則落實工控安全保護責任。
33.強化企業資源保障力度,確保安全防護措施與工業控制系統同步規劃、同步建設、同步使用。