工業控制系統網路安全防護指南

工業和信息化部關於印發工業控制系統網路安全防護指南的通知

工信部網安〔2024〕14號

各省、自治區、直轄市、計畫單列市及新疆生產建設兵團工業和信息化主管部門，有關企事業單位：

　　現將《工業控制系統網路安全防護指南》印發給你們，請認真抓好落實。

工業和信息化部

2024年1月19日

　　工業控制系統是工業生產運行的基礎核心。為適應新時期工業控制系統網路安全（以下簡稱工控安全）形勢，進一步指導企業提升工控安全防護水平，夯實新型工業化發展安全根基，制定本指南。

　　使用、運營工業控制系統的企業適用本指南，防護對象包括工業控制系統以及被網路攻擊後可直接或間接影響生產運行的其他設備和系統。

　　（一）資產管理

　　1.全面梳理可程式邏輯控制器（PLC）、分散式控制系統（DCS）、數據採集與監視控制系統（SCADA）等典型工業控制系統以及相關設備、軟體、數據等資產，明確資產管理責任部門和責任人，建立工業控制系統資產清單，並根據資產狀態變化及時更新。定期開展工業控制系統資產核查，內容包括但不限於系統配置、許可權分配、日誌審計、病毒查殺、數據備份、設備運行狀態等情況。

　　2.根據承載業務的重要性、規模，以及發生網路安全事件的危害程度等因素，建立重要工業控制系統清單並定期更新，實施重點保護。重要工業控制系統相關的關鍵工業主機、網路設備、控制設備等，應實施冗餘備份。

　　（二）配置管理

　　3.強化賬戶及口令管理，避免使用默認口令或弱口令，定期更新口令。遵循最小授權原則，合理設定賬戶許可權，禁用不必要的系統默認賬戶和管理員賬戶，及時清理過期賬戶。

　　4.建立工業控制系統安全配置清單、安全防護設備策略配置清單。定期開展配置清單審計，及時根據安全防護需求變化調整配置，重大配置變更實施前進行嚴格安全測試，測試通過後方可實施變更。

　　（三）供應鏈安全

　　5.與工業控制系統廠商、雲服務商、安全服務商等供應商簽訂的協定中，應明確各方需履行的安全相關責任和義務，包括管理範圍、職責劃分、訪問授權、隱私保護、行為準則、違約責任等。

　　6.工業控制系統使用納入網路關鍵設備目錄的PLC等設備時，應使用具備資格的機構安全認證合格或者安全檢測符合要求的設備。

　　（四）宣傳教育

　　7.定期開展工業控制系統網路安全相關法律法規、政策標準宣傳教育，增強企業人員網路安全意識。針對工業控制系統和網路相關運維人員，定期開展工控安全專業技能培訓及考核。

　　（一）主機與終端安全

　　8.在工程師站、操作員站、工業資料庫伺服器等主機上部署防病毒軟體，定期進行病毒庫升級和查殺，防止勒索軟體等惡意軟體傳播。對具備存儲功能的介質，在其接入工業主機前，應進行病毒、木馬等惡意代碼查殺。

　　9.主機可採用套用軟體白名單技術，只允許部署運行經企業授權和安全評估的套用軟體，並有計畫的實施作業系統、資料庫等系統軟體和重要套用軟體升級。

　　10.拆除或封閉工業主機上不必要的通用串列匯流排（USB）、光碟機、無線等外部設備接口，關閉不必要的網路服務連線埠。若確需使用外部設備，應進行嚴格訪問控制。

　　11.對工業主機、工業智慧型終端設備（控制設備、智慧型儀表等）、網路設備（工業交換機、工業路由器等）的訪問實施用戶身份鑑別，關鍵主機或終端的訪問採用雙因子認證。

　　（二）架構與邊界安全

　　12.根據承載業務特點、業務規模、影響工業生產的重要程度等因素，對工業乙太網、工業無線網路等組成的工業控制網路實施分區分域管理，部署工業防火牆、網閘等設備實現域間橫向隔離。當工業控制網路與企業管理網或網際網路連通時，實施網間縱向防護，並對網間行為開展安全審計。設備接入工業控制網路時應進行身份認證。

　　13.套用第五代移動通信技術（5G）、無線區域網路技術（Wi-Fi）等無線通信技術組網時，制定嚴格的網路訪問控制策略，對無線接入設備採用身份認證機制，對無線訪問接入點定期審計，關閉無線接入公開信息（SSID）廣播，避免設備違規接入。

　　14.嚴格遠程訪問控制，禁止工業控制系統面向網際網路開通不必要的超文本傳輸協定（HTTP）、檔案傳輸協定（FTP）、Internet遠程登錄協定（Telnet）、遠程桌面協定（RDP）等高風險通用網路服務，對必要開通的網路服務採取安全接入代理等技術進行用戶身份認證和套用鑒權。在遠程維護時，使用網際網路安全協定（IPsec）、安全套接字協定（SSL）等協定構建安全網路通道（如虛擬專用網路（VPN）），並嚴格限制訪問範圍和授權時間，開展日誌留存和審計。

　　15.在工業控制系統中使用加密協定和算法時應符合相關法律法規要求，鼓勵優先採用商用密碼，實現加密網路通信、設備身份認證和數據安全傳輸。

　　（三）上雲安全

　　16.工業雲平台為企業自建時，利用用戶身份鑑別、訪問控制、安全通信、入侵防範等技術做好安全防護，有效阻止非法操作、網路攻擊等行為。

　　17.工業設備上雲時，對上雲設備實施嚴格標識管理，設備在接入工業雲平台時採用雙向身份認證，禁止未標識設備接入工業雲平台。業務系統上雲時，應確保不同業務系統運行環境的安全隔離。

　　（四）套用安全

　　18.訪問製造執行系統（MES）、組態軟體和工業資料庫等套用服務時，應進行用戶身份認證。訪問關鍵套用服務時，採用雙因子認證，並嚴格限制訪問範圍和授權時間。

　　19.工業企業自主研發的工業控制系統相關軟體，應通過企業自行或委託第三方機構開展的安全性測試，測試合格後方可上線使用。

　　（五）系統數據安全

　　20.定期梳理工業控制系統運行產生的數據，結合業務實際，開展數據分類分級，識別重要數據和核心數據並形成目錄。圍繞數據收集、存儲、使用、加工、傳輸、提供、公開等環節，使用密碼技術、訪問控制、容災備份等技術對數據實施安全保護。

　　21.法律、行政法規有境記憶體儲要求的重要數據和核心數據，應在境記憶體儲，確需向境外提供的，應當依法依規進行數據出境安全評估。

　　（一）監測預警

　　22.在工業控制網路部署監測審計相關設備或平台，在不影響系統穩定運行的前提下，及時發現和預警系統漏洞、惡意軟體、網路攻擊、網路侵入等安全風險。

　　23.在工業控制網路與企業管理網或網際網路的邊界，可採用工業控制系統蜜罐等威脅誘捕技術，捕獲網路攻擊行為，提升主動防禦能力。

　　（二）運營中心

　　24.有條件的企業可建立工業控制系統網路安全運營中心，利用安全編排自動化與回響（SOAR）等技術，實現安全設備的統一管理和策略配置，全面監測網路安全威脅，提升風險隱患集中排查和事件快速回響能力。

　　（三）應急處置

　　25.制定工控安全事件應急預案，明確報告和處置流程，根據實際情況適時進行評估和修訂，定期開展應急演練。當發生工控安全事件時，應立即啟動應急預案，採取緊急處置措施，及時穩妥處理安全事件。

　　26.重要設備、平台、系統訪問和操作日誌留存時間不少於六個月，並定期對日誌備份，便於開展事後溯源取證。

　　27.對重要系統套用和數據定期開展備份及恢複測試，確保緊急時工業控制系統在可接受的時間範圍內恢復正常運行。

　　（四）安全評估

　　28.新建或升級工業控制系統上線前、工業控制網路與企業管理網或網際網路連線前，應開展安全風險評估。

　　29.對於重要工業控制系統，企業應自行或委託第三方專業機構每年至少開展一次工控安全防護能力相關評估。

　　（五）漏洞管理

　　30.密切關注工業和信息化部網路安全威脅和漏洞信息共享平台等重大工控安全漏洞及其補丁程式發布，及時採取升級措施，短期內無法升級的，應開展針對性安全加固。

　　31.對重要工業控制系統定期開展漏洞排查，發現重大安全漏洞時，對補丁程式或加固措施測試驗證後，方可實施補丁升級或加固。

　　32.工業企業承擔本企業工控安全主體責任，建立工控安全管理制度，明確責任人和責任部門，按照“誰運營誰負責、誰主管誰負責”的原則落實工控安全保護責任。

　　33.強化企業資源保障力度，確保全全防護措施與工業控制系統同步規劃、同步建設、同步使用。

工業控制系統作為工業生產運行的基礎核心，其網路安全事關企業運營和生產安全、事關產業鏈供應鏈安全穩定、事關經濟社會運行和國家安全。2016年，工業和信息化部出台《工業控制系統信息安全防護指南》，對有效指導工業企業開展工控安全防護工作發揮了積極作用。2017年以來，我國相繼頒布了《網路安全法》《數據安全法》《密碼法》等法律法規及行業套用方面的部門規章，現有政策檔案未能充分銜接相關法律法規要求。與此同時，工業企業數位化轉型步伐加快，工業控制系統開放互聯趨勢明顯，工業企業面臨的網路安全風險與日俱增，工業企業加強網路安全防護需求迫切。

為做好《防護指南》編制工作，工業和信息化部結合新形勢新要求，系統全面調研，深入分析新時期工控安全風險和企業安全防護需求，廣泛徵集地方工信主管部門、行業協會、部屬單位、工控廠商、工業企業、安全企業、專家學者等各方意見。《防護指南》將有效滿足當前和未來一個時期工控系統安全防護需求，指導工業企業切實提升工業控制系統網路安全基線防護水平，推動企業數位化轉型發展。

《防護指南》適用於使用、運營工業控制系統的企業。防護對象包括工業控制系統以及被網路攻擊後可直接或間接影響生產運行的其他設備和系統。

《防護指南》定位於面向工業企業做好網路安全防護的指導性檔案，堅持統籌發展和安全，圍繞安全管理、技術防護、安全運營、責任落實四方面，提出三十三項指導性安全防護基線要求，推動解決走好新型工業化道路過程中工業控制系統網路安全面臨的突出問題。

一是堅持與時俱進。結合推進新型工業化背景下的新形勢、新任務、新要求，針對性研究制定防護條款，在落實2016年以來我國在網路和數據安全領域新出台的法律法規的同時，聚焦新時期工業控制系統的新套用趨勢及新安全風險。

二是強調技管結合。從安全管理、技術防護、安全運營、責任落實四方面提出防護要求，堅持技術和管理措施並重，督促企業落實工控安全主體責任。

三是注重實操實踐。針對工業控制系統套用現狀、運行特點和安全需求，結合企業現有技術能力基礎，提出可落地實操的明確安全要求，並通過實施基線安全防護等系列措施，切實提升工業企業安全防護水平。

一是聚焦安全風險管控，突出管理重點對象，提升工業企業工控安全管理能力。圍繞工業控制系統資產、配置、供應鏈、人員四大管理重點提出安全要求，在理清系統資產底數、保障系統基本運行安全的基礎上，避免網路安全風險引入工業控制系統，減少網路安全事件的可能性。

二是聚焦安全薄弱關鍵環節，強化技術應對策略，提升工業企業工控安全防護能力。在保障工業主機和終端設備自身安全的基礎上，進一步防範來自內外部網路的入侵攻擊，強調上雲上平台新型場景下的設備與業務安全，同時規範軟體和服務安全使用，落實數據安全分類分級保護。

三是聚焦易發網路安全風險，增強威脅發現及處置能力，提升工業企業安全運營能力。圍繞網路安全事件的事前、事中、事後環節，提出部署網路安全監測手段、建設網路安全運營中心和做好應急處置等安全措施，並要求做好定期網路安全風險評估和防護能力評估，開展日常系統漏洞排查並實施安全加固。

四是聚焦工業企業資源保障，堅持統籌發展和安全，督促企業落實網路安全責任。圍繞建立工控安全管理制度，明確工控安全保護責任，確保全全技術措施與工業控制系統建設同步推進等方面提出安全要求。

為更好指導各方落實《防護指南》相關要求，下一步將從政策宣貫、試點推廣、生態培育等方面，深入推進工控安全防護工作。

一是做好政策宣貫培訓，組織開展系列宣傳活動，面向地方主管部門、工業企業等做好檔案解讀和宣貫培訓，切實提升企業工控安全防護意識。

二是推進安全評估試點，組織開展工業控制系統網路安全防護能力評估試點工作，完善評估機制、流程和方式，形成一批可複製、可推廣的工控安全解決方案。

三是探索重要系統識別認定，梳理研究重要工業控制系統的界定方法、判定規則等，研究制定重要工業控制系統識別認定相關檔案。

四是推進產業生態培育，依託試點示範、專項項目等，面向典型工業場景和工控安全防護需求，突破一批工控安全防護關鍵技術，提升工控安全產品供給能力。