工信部網(wǎng)安〔2024〕14號

各省、自治區、直轄市、計劃單列市及新疆生產(chǎn)建設兵團工業(yè)和信息化主管部門(mén)，有關(guān)企事業(yè)單位：

現將《工業(yè)控制系統網(wǎng)絡(luò )安全防護指南》印發(fā)給你們，請認真抓好落實(shí)。

工業(yè)和信息化部
2024年1月19日

工業(yè)控制系統網(wǎng)絡(luò )安全防護指南

工業(yè)控制系統是工業(yè)生產(chǎn)運行的基礎核心。為適應新時(shí)期工業(yè)控制系統網(wǎng)絡(luò )安全（以下簡(jiǎn)稱(chēng)工控安全）形勢，進(jìn)一步指導企業(yè)提升工控安全防護水平，夯實(shí)新型工業(yè)化發(fā)展安全根基，制定本指南。

使用、運營(yíng)工業(yè)控制系統的企業(yè)適用本指南，防護對象包括工業(yè)控制系統以及被網(wǎng)絡(luò )攻擊后可直接或間接影響生產(chǎn)運行的其他設備和系統。

一、安全管理

（一）資產(chǎn)管理

1.全面梳理可編程邏輯控制器（PLC）、分布式控制系統（DCS）、數據采集與監視控制系統（SCADA）等典型工業(yè)控制系統以及相關(guān)設備、軟件、數據等資產(chǎn)，明確資產(chǎn)管理責任部門(mén)和責任人，建立工業(yè)控制系統資產(chǎn)清單，并根據資產(chǎn)狀態(tài)變化及時(shí)更新。定期開(kāi)展工業(yè)控制系統資產(chǎn)核查，內容包括但不限于系統配置、權限分配、日志審計、病毒查殺、數據備份、設備運行狀態(tài)等情況。

2.根據承載業(yè)務(wù)的重要性、規模，以及發(fā)生網(wǎng)絡(luò )安全事件的危害程度等因素，建立重要工業(yè)控制系統清單并定期更新，實(shí)施重點(diǎn)保護。重要工業(yè)控制系統相關(guān)的關(guān)鍵工業(yè)主機、網(wǎng)絡(luò )設備、控制設備等，應實(shí)施冗余備份。

（二）配置管理

3.強化賬戶(hù)及口令管理，避免使用默認口令或弱口令，定期更新口令。遵循最小授權原則，合理設置賬戶(hù)權限，禁用不必要的系統默認賬戶(hù)和管理員賬戶(hù)，及時(shí)清理過(guò)期賬戶(hù)。

4.建立工業(yè)控制系統安全配置清單、安全防護設備策略配置清單。定期開(kāi)展配置清單審計，及時(shí)根據安全防護需求變化調整配置，重大配置變更實(shí)施前進(jìn)行嚴格安全測試，測試通過(guò)后方可實(shí)施變更。

（三）供應鏈安全

5.與工業(yè)控制系統廠(chǎng)商、云服務(wù)商、安全服務(wù)商等供應商簽訂的協(xié)議中，應明確各方需履行的安全相關(guān)責任和義務(wù)，包括管理范圍、職責劃分、訪(fǎng)問(wèn)授權、隱私保護、行為準則、違約責任等。

6.工業(yè)控制系統使用納入網(wǎng)絡(luò )關(guān)鍵設備目錄的PLC等設備時(shí)，應使用具備資格的機構安全認證合格或者安全檢測符合要求的設備。

（四）宣傳教育

7.定期開(kāi)展工業(yè)控制系統網(wǎng)絡(luò )安全相關(guān)法律法規、政策標準宣傳教育，增強企業(yè)人員網(wǎng)絡(luò )安全意識。針對工業(yè)控制系統和網(wǎng)絡(luò )相關(guān)運維人員，定期開(kāi)展工控安全專(zhuān)業(yè)技能培訓及考核。

二、技術(shù)防護

（一）主機與終端安全

8.在工程師站、操作員站、工業(yè)數據庫服務(wù)器等主機上部署防病毒軟件，定期進(jìn)行病毒庫升級和查殺，防止勒索軟件等惡意軟件傳播。對具備存儲功能的介質(zhì)，在其接入工業(yè)主機前，應進(jìn)行病毒、木馬等惡意代碼查殺。

9.主機可采用應用軟件白名單技術(shù)，只允許部署運行經(jīng)企業(yè)授權和安全評估的應用軟件，并有計劃的實(shí)施操作系統、數據庫等系統軟件和重要應用軟件升級。

10.拆除或封閉工業(yè)主機上不必要的通用串行總線(xiàn)（USB）、光驅、無(wú)線(xiàn)等外部設備接口，關(guān)閉不必要的網(wǎng)絡(luò )服務(wù)端口。若確需使用外部設備，應進(jìn)行嚴格訪(fǎng)問(wèn)控制。

11.對工業(yè)主機、工業(yè)智能終端設備（控制設備、智能儀表等）、網(wǎng)絡(luò )設備（工業(yè)交換機、工業(yè)路由器等）的訪(fǎng)問(wèn)實(shí)施用戶(hù)身份鑒別，關(guān)鍵主機或終端的訪(fǎng)問(wèn)采用雙因子認證。

（二）架構與邊界安全

12.根據承載業(yè)務(wù)特點(diǎn)、業(yè)務(wù)規模、影響工業(yè)生產(chǎn)的重要程度等因素，對工業(yè)以太網(wǎng)、工業(yè)無(wú)線(xiàn)網(wǎng)絡(luò )等組成的工業(yè)控制網(wǎng)絡(luò )實(shí)施分區分域管理，部署工業(yè)防火墻、網(wǎng)閘等設備實(shí)現域間橫向隔離。當工業(yè)控制網(wǎng)絡(luò )與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)連通時(shí)，實(shí)施網(wǎng)間縱向防護，并對網(wǎng)間行為開(kāi)展安全審計。設備接入工業(yè)控制網(wǎng)絡(luò )時(shí)應進(jìn)行身份認證。

13.應用第五代移動(dòng)通信技術(shù)（5G）、無(wú)線(xiàn)局域網(wǎng)技術(shù)（WiFi）等無(wú)線(xiàn)通信技術(shù)組網(wǎng)時(shí)，制定嚴格的網(wǎng)絡(luò )訪(fǎng)問(wèn)控制策略，對無(wú)線(xiàn)接入設備采用身份認證機制，對無(wú)線(xiàn)訪(fǎng)問(wèn)接入點(diǎn)定期審計，關(guān)閉無(wú)線(xiàn)接入公開(kāi)信息（SSID）廣播，避免設備違規接入。

14.嚴格遠程訪(fǎng)問(wèn)控制，禁止工業(yè)控制系統面向互聯(lián)網(wǎng)開(kāi)通不必要的超文本傳輸協(xié)議（HTTP）、文件傳輸協(xié)議（FTP）、Internet遠程登錄協(xié)議（Telnet）、遠程桌面協(xié)議（RDP）等高風(fēng)險通用網(wǎng)絡(luò )服務(wù)，對必要開(kāi)通的網(wǎng)絡(luò )服務(wù)采取安全接入代理等技術(shù)進(jìn)行用戶(hù)身份認證和應用鑒權。在遠程維護時(shí)，使用互聯(lián)網(wǎng)安全協(xié)議（IPsec）、安全套接字協(xié)議（SSL）等協(xié)議構建安全網(wǎng)絡(luò )通道（如虛擬專(zhuān)用網(wǎng)絡(luò )（VPN）），并嚴格限制訪(fǎng)問(wèn)范圍和授權時(shí)間，開(kāi)展日志留存和審計。

15.在工業(yè)控制系統中使用加密協(xié)議和算法時(shí)應符合相關(guān)法律法規要求，鼓勵優(yōu)先采用商用密碼，實(shí)現加密網(wǎng)絡(luò )通信、設備身份認證和數據安全傳輸。

（三）上云安全

16.工業(yè)云平臺為企業(yè)自建時(shí)，利用用戶(hù)身份鑒別、訪(fǎng)問(wèn)控制、安全通信、入侵防范等技術(shù)做好安全防護，有效阻止非法操作、網(wǎng)絡(luò )攻擊等行為。

17.工業(yè)設備上云時(shí)，對上云設備實(shí)施嚴格標識管理，設備在接入工業(yè)云平臺時(shí)采用雙向身份認證，禁止未標識設備接入工業(yè)云平臺。業(yè)務(wù)系統上云時(shí)，應確保不同業(yè)務(wù)系統運行環(huán)境的安全隔離。

（四）應用安全

18.訪(fǎng)問(wèn)制造執行系統（MES）、組態(tài)軟件和工業(yè)數據庫等應用服務(wù)時(shí)，應進(jìn)行用戶(hù)身份認證。訪(fǎng)問(wèn)關(guān)鍵應用服務(wù)時(shí)，采用雙因子認證，并嚴格限制訪(fǎng)問(wèn)范圍和授權時(shí)間。

19.工業(yè)企業(yè)自主研發(fā)的工業(yè)控制系統相關(guān)軟件，應通過(guò)企業(yè)自行或委托第三方機構開(kāi)展的安全性測試，測試合格后方可上線(xiàn)使用。

（五）系統數據安全

20.定期梳理工業(yè)控制系統運行產(chǎn)生的數據，結合業(yè)務(wù)實(shí)際，開(kāi)展數據分類(lèi)分級，識別重要數據和核心數據并形成目錄。圍繞數據收集、存儲、使用、加工、傳輸、提供、公開(kāi)等環(huán)節，使用密碼技術(shù)、訪(fǎng)問(wèn)控制、容災備份等技術(shù)對數據實(shí)施安全保護。

21.法律、行政法規有境內存儲要求的重要數據和核心數據，應在境內存儲，確需向境外提供的，應當依法依規進(jìn)行數據出境安全評估。

三、安全運營(yíng)

（一）監測預警

22.在工業(yè)控制網(wǎng)絡(luò )部署監測審計相關(guān)設備或平臺，在不影響系統穩定運行的前提下，及時(shí)發(fā)現和預警系統漏洞、惡意軟件、網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入等安全風(fēng)險。

23.在工業(yè)控制網(wǎng)絡(luò )與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的邊界，可采用工業(yè)控制系統蜜罐等威脅誘捕技術(shù)，捕獲網(wǎng)絡(luò )攻擊行為，提升主動(dòng)防御能力。

（二）運營(yíng)中心

24.有條件的企業(yè)可建立工業(yè)控制系統網(wǎng)絡(luò )安全運營(yíng)中心，利用安全編排自動(dòng)化與響應（SOAR）等技術(shù)，實(shí)現安全設備的統一管理和策略配置，全面監測網(wǎng)絡(luò )安全威脅，提升風(fēng)險隱患集中排查和事件快速響應能力。

（三）應急處置

25.制定工控安全事件應急預案，明確報告和處置流程，根據實(shí)際情況適時(shí)進(jìn)行評估和修訂，定期開(kāi)展應急演練。當發(fā)生工控安全事件時(shí)，應立即啟動(dòng)應急預案，采取緊急處置措施，及時(shí)穩妥處理安全事件。

26.重要設備、平臺、系統訪(fǎng)問(wèn)和操作日志留存時(shí)間不少于六個(gè)月，并定期對日志備份，便于開(kāi)展事后溯源取證。

27.對重要系統應用和數據定期開(kāi)展備份及恢復測試，確保緊急時(shí)工業(yè)控制系統在可接受的時(shí)間范圍內恢復正常運行。

（四）安全評估

28.新建或升級工業(yè)控制系統上線(xiàn)前、工業(yè)控制網(wǎng)絡(luò )與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)連接前，應開(kāi)展安全風(fēng)險評估。

29.對于重要工業(yè)控制系統，企業(yè)應自行或委托第三方專(zhuān)業(yè)機構每年至少開(kāi)展一次工控安全防護能力相關(guān)評估。

（五）漏洞管理

30.密切關(guān)注工業(yè)和信息化部網(wǎng)絡(luò )安全威脅和漏洞信息共享平臺等重大工控安全漏洞及其補丁程序發(fā)布，及時(shí)采取升級措施，短期內無(wú)法升級的，應開(kāi)展針對性安全加固。

31.對重要工業(yè)控制系統定期開(kāi)展漏洞排查，發(fā)現重大安全漏洞時(shí)，對補丁程序或加固措施測試驗證后，方可實(shí)施補丁升級或加固。

四、責任落實(shí)

32.工業(yè)企業(yè)承擔本企業(yè)工控安全主體責任，建立工控安全管理制度，明確責任人和責任部門(mén)，按照“誰(shuí)運營(yíng)誰(shuí)負責、誰(shuí)主管誰(shuí)負責”的原則落實(shí)工控安全保護責任。

33.強化企業(yè)資源保障力度，確保安全防護措施與工業(yè)控制系統同步規劃、同步建設、同步使用。