工业控制系统信息安全防护指南.docx

工业掌握系统信息安全防护指南工信部 2022 年 10 月公布工业掌握系统信息安全事关经济进展、社会稳定和国家安全。 为提升工业企业工业掌握系统信息安全以下简称工控安全防护水平，保障工业掌握系统安全，制定本指南。工业掌握系统应用企业以及从事工业掌握系统规划、设计、 建设、运维、评估的企事业单位适用本指南。工业掌握系统应用企业应从以下十一个方面做好工控安全防 护工作。一、安全软件选择与治理一在工业主机上承受经过离线环境中充分验证测试的防 病毒软件或应用程序白名单软件，只允许经过工业企业自身授权 和安全评估的软件运行。二建立防病毒和恶意软件入侵治理机制，对工业掌握系 统及临时接入的设备实行病毒查杀等安全预防措施。二、配置和补丁治理一做好工业掌握网络、工业主机和工业掌握设备的安全 配置，建立工业掌握系统配置清单，定期进展配置审计。二对重大配置变更制定变更打算并进展影响分析，配置 变更实施前进展严格安全测试。三亲热关留意大工控安全漏洞及其补丁公布，准时实行 补丁升级措施。在补丁安装前，需对补丁进展严格的安全评估和 测试验证。三、 边界安全防护一分别工业掌握系统的开发、测试和生产环境。二通过工业掌握网络边界防护设备对工业掌握网络与企 业网或互联网之间的边界进展安全防护，制止没有防护的工业控 制网络与互联网连接。三通过工业防火墙、网闸等防护设备对工业掌握网络安 全区域之间进展规律隔离安全防护。四、物理和环境安全防护一对重要工程师站、数据库、效劳器等核心工业掌握软 硬件所在区域实行访问掌握、视频监控、专人值守等物理安全防 护措施。二撤除或封闭工业主机上不必要的 USB、光驱、无线等接口。假设确需使用，通过主机外设安全治理技术手段实施严格 访问掌握。五、身份认证一在工业主机登录、应用效劳资源访问、工业云平台访 问等过程中使用身份认证治理。对于关键设备、系统和平台的访 问承受多因素认证。二合理分类设置账户权限，以最小特权原则安排账户权限。三强化工业掌握设备、SCADA 软件、工业通信设备等的登录账户及密码，避开使用默认口令或弱口令,定期更口令。四加强对身份认证证书信息保护力度，制止在不同系统 和网络环境下共享。六、远程访问安全 一 原则上严格禁 止工业掌握系 统面对互联网 开通 、FTP、Telnet 等高风险通用网络效劳。二确需远程访问的，承受数据单向访问掌握等策略进展 安全加固，对访问时限进展掌握，并承受加标锁定策略。三确需远程维护的，承受虚拟专用网络VPN等远程接入方式进展。四保存工业掌握系统的相关访问日志，并对操作过程进 行安全审计。七、安全监测和应急预案演练一在工业掌握网络部署网络安全监测设备，准时觉察、 报告并处理网络攻击或特别行为。二在重要工业掌握设备前端部署具备工业协议深度包检 测功能的防护设备，限制违法操作。三制定工控安全大事应急响应预案，当患病安全威逼导致工业掌握系统消灭特别或故障时，应马上实行紧急防护措施， 防止事态扩大，并逐级报送直至属地省级工业和信息化主管部门，同时留意保护现场，以便进展调查取证。四定期对工业掌握系统的应急响应预案进展演练，必要 时对应急响应预案进展修订。八、资产安全一建设工业掌握系统资产清单，明确资产责任人，以及 资产使用及处置规章。二对关键主机设备、网络设备、掌握组件等进展冗余配置。九、数据安全一对静态存储和动态传输过程中的重要工业数据进展保 护，依据风险评估结果对数据信息进展分级分类治理。二定期备份关键业务数据。三对测试数据进展保护。十、供给链治理一在选择工业掌握系统规划、设计、建设、运维或评估 等效劳商时，优先考虑具备工控安全防护阅历的企事业单位，以合同等方式明确效劳商应担当的信息安全责任和义务。二以保密协议的方式要求效劳商做好保密工作，防范敏 感信息外泄。十一、落实责任通过建立工控安全治理机制、成立信息安全协调小组等方式，明确工控安全治理责任人，落实工控安全责任制，部署工控 安全防护措施。