工業控製係統信息安全（以下簡稱“工控安全”）是國家網絡和信息安全的重要組成部分，是推動中國製造2025、製造業與互聯網融合發展的基礎保障。近日

，工業和信息化部印發《工業控製係統信息安全防護指南》（以下簡稱《指南》），指導工業企業開展工控安全防護工作。

一
、背景情況

工控安全事關經濟發展

、shehuiwendingheguojiaanquan。jinnianlai，suizhexinxihuahegongyehuaronghedebuduanshenru，gongyekongzhixitongcongdanjizouxianghulian
，congfengbizouxiangkaifang，congzidonghuazouxiangzhinenghua。zaishengchanlixianzhutigaodetongshi，gongyekongzhixitongmianlinzheriyiyanjundexinxianquanweixie。weiguancheluoshi《國務院關於深化製造業與互聯網融合發展的指導意見》（國發〔2016〕28號）文件精神

，應對新時期工控安全形勢

，提升工業企業工控安全防護水平，編製本《指南》。

二

、總體考慮

《指南》堅持“安全是發展的前提，發展是安全的保障”，以當前我國工業控製係統麵臨的安全問題為出發點，注重防護要求的可執行性，從管理、技術兩方麵明確工業企業工控安全防護要求。編製思路如下：

（一）落實《國家網絡安全法》要求

《指南》所列11項要求充分體現了《國家網絡安全法》中網絡安全支持與促進、網絡運行安全
、網絡信息安全、監測預警與應急處置等法規在工控安全領域的要求
，是《國家網絡安全法》在工業領域的具體應用。

（二）突出工業企業主體責任

《指南》根(gen)據(ju)我(wo)國(guo)工(gong)控(kong)安(an)全(quan)管(guan)理(li)工(gong)作(zuo)實(shi)踐(jian)經(jing)驗(yan)，麵(mian)向(xiang)工(gong)業(ye)企(qi)業(ye)提(ti)出(chu)工(gong)控(kong)安(an)全(quan)防(fang)護(hu)要(yao)求(qiu)，確(que)立(li)企(qi)業(ye)作(zuo)為(wei)工(gong)控(kong)安(an)全(quan)責(ze)任(ren)主(zhu)體(ti)
，要(yao)求(qiu)企(qi)業(ye)明(ming)確(que)工(gong)控(kong)安(an)全(quan)管(guan)理(li)責(ze)任(ren)人(ren)
，落(luo)實(shi)工(gong)控(kong)安(an)全(quan)責(ze)任(ren)製(zhi)。

（三）考慮我國工控安全現狀

《指南》編製以近五年我部工控安全檢查工作掌握的有關情況為基礎
，充分考慮當前工控安全防護意識不到位
、管理責任不明晰、訪問控製策略不完善等問題
，明確了《指南》的各項要求。

（四）借鑒發達國家工控安全防護經驗

《指南》參考了美國、歐盟、日本等發達國家工控安全相關政策、標準和最佳實踐做法，對安全軟件選擇與管理
、配置與補丁管理、邊界安全防護等措施進行了論證，提高了《指南》的科學性
、合理性和可操作性。

（五）強調工業控製係統全生命周期安全防護

《指南》涵蓋工業控製係統設計、選型、建設、測試
、運行、檢修、廢棄各階段防護工作要求，從安全軟件選型、訪問控製策略構建、數據安全保護、資產配置管理等方麵提出了具體實施細則。

三
、內容詳解

《指南》堅持企業的主體責任及政府的監管、服務職責
，聚焦係統防護
、安全管理等安全保障重點
，提出了11項防護要求，具體解讀如下：

（一）安全軟件選擇與管理

1. 在(zai)工(gong)業(ye)主(zhu)機(ji)上(shang)采(cai)用(yong)經(jing)過(guo)離(li)線(xian)環(huan)境(jing)中(zhong)充(chong)分(fen)驗(yan)證(zheng)測(ce)試(shi)的(de)防(fang)病(bing)毒(du)軟(ruan)件(jian)或(huo)應(ying)用(yong)程(cheng)序(xu)白(bai)名(ming)單(dan)軟(ruan)件(jian)，隻(zhi)允(yun)許(xu)經(jing)過(guo)工(gong)業(ye)企(qi)業(ye)自(zi)身(shen)授(shou)權(quan)和(he)安(an)全(quan)評(ping)估(gu)的(de)軟(ruan)件(jian)運(yun)行(xing)。

解讀：工業控製係統對係統可用性、實時性要求較高，工業主機如MES服務器、OPC服務器
、數據庫服務器、工程師站、操cao作zuo員yuan站zhan等deng應ying用yong的de安an全quan軟ruan件jian應ying事shi先xian在zai離li線xian環huan境jing中zhong進jin行xing測ce試shi與yu驗yan證zheng，其qi中zhong，離li線xian環huan境jing指zhi的de是shi與yu生sheng產chan環huan境jing物wu理li隔ge離li的de環huan境jing。驗yan證zheng和he測ce試shi內nei容rong包bao括kuo安an全quan軟ruan件jian的de功gong能neng性xing、兼容性及安全性等。

2. 建立防病毒和惡意軟件入侵管理機製，對工業控製係統及臨時接入的設備采取病毒查殺等安全預防措施。

解讀：工gong業ye企qi業ye需xu要yao建jian立li工gong業ye控kong製zhi係xi統tong防fang病bing毒du和he惡e意yi軟ruan件jian入ru侵qin管guan理li機ji製zhi，對dui工gong業ye控kong製zhi係xi統tong及ji臨lin時shi接jie入ru的de設she備bei采cai用yong必bi要yao的de安an全quan預yu防fang措cuo施shi。安an全quan預yu防fang措cuo施shi包bao括kuo定ding期qi掃sao描miao病bing毒du和he惡e意yi軟ruan件jian、定期更新病毒庫、查殺臨時接入設備（如臨時接入U盤、移動終端等外設）等。

（二）配置和補丁管理

1.做好工業控製網絡、工業主機和工業控製設備的安全配置
，建立工業控製係統配置清單
，定期進行配置審計。

解讀：工業企業應做好虛擬局域網隔離
、端口禁用等工業控製網絡安全配置，遠程控製管理、默mo認ren賬zhang戶hu管guan理li等deng工gong業ye主zhu機ji安an全quan配pei置zhi
，口kou令ling策ce略lve合he規gui性xing等deng工gong業ye控kong製zhi設she備bei安an全quan配pei置zhi，建jian立li相xiang應ying的de配pei置zhi清qing單dan，製zhi定ding責ze任ren人ren定ding期qi進jin行xing管guan理li和he維wei護hu，並bing定ding期qi進jin行xing配pei置zhi核he查zha審shen計ji。

2.對重大配置變更製定變更計劃並進行影響分析

，配置變更實施前進行嚴格安全測試。

解讀：當發生重大配置變更時
，工業企業應及時製定變更計劃，明確變更時間、變更內容、變更責任人、變更審批
、變更驗證等事項。其中，重大配置變更是指重大漏洞補丁更新、安全設備的新增或減少、安全域的重新劃分等。同時，應對變更過程中可能出現的風險進行分析
，形成分析報告
，並在離線環境中對配置變更進行安全性驗證。

3.密切關注重大工控安全漏洞及其補丁發布，及時采取補丁升級措施。在補丁安裝前
，需對補丁進行嚴格的安全評估和測試驗證。

解讀：工業企業應密切關注CNVD、CNNVD等(deng)漏(lou)洞(dong)庫(ku)及(ji)設(she)備(bei)廠(chang)商(shang)發(fa)布(bu)的(de)補(bu)丁(ding)。當(dang)重(zhong)大(da)漏(lou)洞(dong)及(ji)其(qi)補(bu)丁(ding)發(fa)布(bu)時(shi)，根(gen)據(ju)企(qi)業(ye)自(zi)身(shen)情(qing)況(kuang)及(ji)變(bian)更(geng)計(ji)劃(hua)，在(zai)離(li)線(xian)環(huan)境(jing)中(zhong)對(dui)補(bu)丁(ding)進(jin)行(xing)嚴(yan)格(ge)的(de)安(an)全(quan)評(ping)估(gu)和(he)測(ce)試(shi)驗(yan)證(zheng)，對(dui)通(tong)過(guo)安(an)全(quan)評(ping)估(gu)和(he)測(ce)試(shi)驗(yan)證(zheng)的(de)補(bu)丁(ding)及(ji)時(shi)升(sheng)級(ji)。

（三）邊界安全防護

1.分離工業控製係統的開發、測試和生產環境。

解讀：工業控製係統的開發
、測試和生產環境需執行不同的安全控製措施
，工業企業可采用物理隔離、網絡邏輯隔離等方式進行隔離。

2.通tong過guo工gong業ye控kong製zhi網wang絡luo邊bian界jie防fang護hu設she備bei對dui工gong業ye控kong製zhi網wang絡luo與yu企qi業ye網wang或huo互hu聯lian網wang之zhi間jian的de邊bian界jie進jin行xing安an全quan防fang護hu，禁jin止zhi沒mei有you防fang護hu的de工gong業ye控kong製zhi網wang絡luo與yu互hu聯lian網wang連lian接jie。

解讀：工業控製網絡邊界安全防護設備包括工業防火牆、工業網閘、單dan向xiang隔ge離li設she備bei及ji企qi業ye定ding製zhi的de邊bian界jie安an全quan防fang護hu網wang關guan等deng。工gong業ye企qi業ye應ying根gen據ju實shi際ji情qing況kuang
，在zai不bu同tong網wang絡luo邊bian界jie之zhi間jian部bu署shu邊bian界jie安an全quan防fang護hu設she備bei

，實shi現xian安an全quan訪fang問wen控kong製zhi，阻zu斷duan非fei法fa網wang絡luo訪fang問wen，嚴yan格ge禁jin止zhi沒mei有you防fang護hu的de工gong業ye控kong製zhi網wang絡luo與yu互hu聯lian網wang連lian接jie。

3.通過工業防火牆、網閘等防護設備對工業控製網絡安全區域之間進行邏輯隔離安全防護。

解讀：工業控製係統網絡安全區域根據區域重要性和業務需求進行劃分。區域之間的安全防護，可采用工業防火牆、網閘等設備進行邏輯隔離安全防護。

（四）物理和環境安全防護

1.對重要工程師站、數據庫、服務器等核心工業控製軟硬件所在區域采取訪問控製、視頻監控、專人值守等物理安全防護措施。

解讀：工業企業應對重要工業控製係統資產所在區域

，采用適當的物理安全防護措施。

2.拆除或封閉工業主機上不必要的USB、光驅、無線等接口。若確需使用，通過主機外設安全管理技術手段實施嚴格訪問控製。

解讀：USB、光驅、無線等工業主機外設的使用
，為病毒、木馬、蠕(ru)蟲(chong)等(deng)惡(e)意(yi)代(dai)碼(ma)入(ru)侵(qin)提(ti)供(gong)了(le)途(tu)徑(jing)，拆(chai)除(chu)或(huo)封(feng)閉(bi)工(gong)業(ye)主(zhu)機(ji)上(shang)不(bu)必(bi)要(yao)的(de)外(wai)設(she)接(jie)口(kou)可(ke)減(jian)少(shao)被(bei)感(gan)染(ran)的(de)風(feng)險(xian)。確(que)需(xu)使(shi)用(yong)時(shi)，可(ke)采(cai)用(yong)主(zhu)機(ji)外(wai)設(she)統(tong)一(yi)管(guan)理(li)設(she)備(bei)、隔離存放有外設接口的工業主機等安全管理技術手段。

（五）身份認證

1.在工業主機登錄
、應用服務資源訪問、工業雲平台訪問等過程中使用身份認證管理。對於關鍵設備
、係統和平台的訪問采用多因素認證。

解讀：用戶在登錄工業主機、訪問應用服務資源及工業雲平台等過程中
，應使用口令密碼
、USB-key、智能卡、生物指紋
、虹膜等身份認證管理手段，必要時可同時采用多種認證手段。

2.合理分類設置賬戶權限，以最小特權原則分配賬戶權限。

解讀：工業企業應以滿足工作要求的最小特權原則來進行係統賬戶權限分配，確保因事故
、錯誤、篡改等原因造成的損失最小化。工業企業需定期審計分配的賬戶權限是否超出工作需要。

3.強化工業控製設備、SCADA軟件、工業通信設備等的登錄賬戶及密碼，避免使用默認口令或弱口令,定期更新口令。

解讀：工業企業可參考供應商推薦的設置規則，並根據資產重要性，為工業控製設備、SCADA軟件、工業通信設備等設定不同強度的登錄賬戶及密碼，並進行定期更新，避免使用默認口令或弱口令。

4.加強對身份認證證書信息保護力度，禁止在不同係統和網絡環境下共享。

解讀：工業企業可采用USB-key等安全介質存儲身份認證證書信息，建立相關製度對證書的申請、發放、使用、吊銷等過程進行嚴格控製
，保證不同係統和網絡環境下禁止使用相同的身份認證證書信息
，減小證書暴露後對係統和網絡的影響。

（六）遠程訪問安全

1.原則上嚴格禁止工業控製係統麵向互聯網開通HTTP、FTP
、Telnet等高風險通用網絡服務。

解讀：工業控製係統麵向互聯網開通HTTP、FTP、Telnet等網絡服務
，易導致工業控製係統被入侵、攻擊、利用，工業企業應原則上禁止工業控製係統開通高風險通用網絡服務。

2.確需遠程訪問的，采用數據單向訪問控製等策略進行安全加固，對訪問時限進行控製，並采用加標鎖定策略。

解讀：工業企業確需進行遠程訪問的，可在網絡邊界使用單向隔離裝置、VPN等方式實現數據單向訪問，並控製訪問時限。采用加標鎖定策略
，禁止訪問方在遠程訪問期間實施非法操作。

3.確需遠程維護的，采用虛擬專用網絡（VPN）等遠程接入方式進行。

解讀：工業企業確需遠程維護的，應通過對遠程接入通道進行認證、加密等方式保證其安全性
，如采用虛擬專用網絡（VPN）等方式，對接入賬戶實行專人專號，並定期審計接入賬戶操作記錄。

4.保留工業控製係統的相關訪問日誌
，並對操作過程進行安全審計。

解讀：工業企業應保留工業控製係統設備

、應用等訪問日誌


，並定期進行備份，通過審計人員賬戶、訪問時間、操作內容等日誌信息
，追蹤定位非授權訪問行為。

（七）安全監測和應急預案演練

1.在工業控製網絡部署網絡安全監測設備，及時發現、報告並處理網絡攻擊或異常行為。

解讀:工業企業應在工業控製網絡部署可對網絡攻擊和異常行為進行識別
、報警、記錄的網絡安全監測設備

，及時發現、報告並處理包括病毒木馬
、端口掃描、暴力破解
、異常流量、異常指令
、工業控製係統協議包偽造等網絡攻擊或異常行為。

2.在重要工業控製設備前端部署具備工業協議深度包檢測功能的防護設備，限製違法操作。

解讀：在工業企業生產核心控製單元前端部署可對Modbus
、S7、Ethernet/IP
、OPC等主流工業控製係統協議進行深度分析和過濾的防護設備，阻斷不符合協議標準結構的數據包、不符合業務要求的數據內容。

3.製zhi定ding工gong控kong安an全quan事shi件jian應ying急ji響xiang應ying預yu案an，當dang遭zao受shou安an全quan威wei脅xie導dao致zhi工gong業ye控kong製zhi係xi統tong出chu現xian異yi常chang或huo故gu障zhang時shi
，應ying立li即ji采cai取qu緊jin急ji防fang護hu措cuo施shi，防fang止zhi事shi態tai擴kuo大da，並bing逐zhu級ji報bao送song直zhi至zhi屬shu地di省sheng級ji工gong業ye和he信xin息xi化hua主zhu管guan部bu門men，同tong時shi注zhu意yi保bao護hu現xian場chang
，以yi便bian進jin行xing調tiao查zha取qu證zheng。

解讀：工業企業需要自主或委托第三方工控安全服務單位製定工控安全事件應急響應預案。預案應包括應急計劃的策略和規程、應急計劃培訓、應急計劃測試與演練、應急處理流程
、事件監控措施、應急事件報告流程
、應急支持資源、應急響應計劃等內容。

4.定期對工業控製係統的應急響應預案進行演練
，必要時對應急響應預案進行修訂。

解讀：工業企業應定期組織工業控製係統操作、維護、管理等相關人員開展應急響應預案演練，演練形式包括桌麵演練、單項演練、綜合演練等。必要時，企業應根據實際情況對預案進行修訂。

（八）資產安全

1.建設工業控製係統資產清單，明確資產責任人
，以及資產使用及處置規則。

解讀：工業企業應建設工業控製係統資產清單，包括信息資產
、軟件資產
、硬ying件jian資zi產chan等deng。明ming確que資zi產chan責ze任ren人ren，建jian立li資zi產chan使shi用yong及ji處chu置zhi規gui則ze

，定ding期qi對dui資zi產chan進jin行xing安an全quan巡xun檢jian，審shen計ji資zi產chan使shi用yong記ji錄lu
，並bing檢jian查zha資zi產chan運yun行xing狀zhuang態tai，及ji時shi發fa現xian風feng險xian。

2.對關鍵主機設備
、網絡設備、控製組件等進行冗餘配置。

解讀：工業企業應根據業務需要，針對關鍵主機設備、網絡設備、控製組件等配置冗餘電源

、冗餘設備、冗餘網絡等。

（九）數據安全

1.對靜態存儲和動態傳輸過程中的重要工業數據進行保護，根據風險評估結果對數據信息進行分級分類管理。

解讀：工業企業應對靜態存儲的重要工業數據進行加密存儲，設置訪問控製功能
，對動態傳輸的重要工業數據進行加密傳輸
，使用VPN等方式進行隔離保護，並根據風險評估結果，建立和完善數據信息的分級分類管理製度。

2.定期備份關鍵業務數據。

解讀：工業企業應對關鍵業務數據
，如工藝參數、配置文件、設備運行數據、生產數據、控製指令等進行定期備份。

3.對測試數據進行保護。

解讀：工業企業應對測試數據
，包括安全評估數據、現場組態開發數據、係統聯調數據、現場變更測試數據、應急演練數據等進行保護，如簽訂保密協議
、回收測試數據等。

（十）供應鏈管理

1.在選擇工業控製係統規劃、設計

、建設
、運維或評估等服務商時，優先考慮具備工控安全防護經驗的企事業單位，以合同等方式明確服務商應承擔的信息安全責任和義務。

解讀：工業企業在選擇工業控製係統規劃
、設計、建設、運維或評估服務商時，應優先考慮有工控安全防護經驗的服務商，並核查其提供的工控安全合同
、案例、驗收報告等證明材料。在合同中應以明文條款的方式約定服務商在服務過程中應當承擔的信息安全責任和義務。

2.以保密協議的方式要求服務商做好保密工作，防範敏感信息外泄。

解讀：工業企業應與服務商簽訂保密協議，協議中應約定保密內容
、保密時限、違約責任等內容。防範工藝參數

、配置文件、設備運行數據、生產數據、控製指令等敏感信息外泄。

（十一）落實責任

通過建立工控安全管理機製、成立信息安全協調小組等方式，明確工控安全管理責任人，落實工控安全責任製，部署工控安全防護措施。

解讀：工業企業應建立健全工控安全管理機製，明確工控安全主體責任，成立由企業負責人牽頭的
，由信息化、生產管理、設(she)備(bei)管(guan)理(li)等(deng)相(xiang)關(guan)部(bu)門(men)組(zu)成(cheng)的(de)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)信(xin)息(xi)安(an)全(quan)協(xie)調(tiao)小(xiao)組(zu)，負(fu)責(ze)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)全(quan)生(sheng)命(ming)周(zhou)期(qi)的(de)安(an)全(quan)防(fang)護(hu)體(ti)係(xi)建(jian)設(she)和(he)管(guan)理(li)，製(zhi)定(ding)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)安(an)全(quan)管(guan)理(li)製(zhi)度(du)
，部(bu)署(shu)工(gong)控(kong)安(an)全(quan)防(fang)護(hu)措(cuo)施(shi)。

四、貫徹落實

一是麵向地方工業和信息化主管部門、中央企業等開展《指南》宣貫，依據《指南》要求組織培訓
，指導工業企業進一步優化工控安全管理與技術防護手段。

二er是shi選xuan擇ze工gong業ye聚ju集ji發fa展zhan城cheng市shi及ji地di區qu，設she立li工gong控kong安an全quan防fang護hu試shi點dian區qu
，組zu織zhi區qu內nei工gong業ye企qi業ye開kai展zhan工gong控kong安an全quan防fang護hu應ying用yong試shi點dian，遴lin選xuan優you秀xiu試shi點dian企qi業ye分fen享xiang工gong控kong安an全quan防fang護hu經jing驗yan
，總zong結jie提ti煉lian工gong業ye控kong製zhi係xi統tong防fang護hu示shi範fan案an例li。

三是將《指南》要求納入年度工業行業網絡安全檢查項目，強化責任落實到位
，管理、技術落實到位。通過自查、抽查、深度檢查等方式促進工業企業深入貫徹並落實《指南》。

地方工信主管部門負責對本地區內的工控安全防護工作進行監督管理
，並配合工業和信息化部做好工控安全相關工作。工業企業應按照《指南》各項要求，開展和完善工控安全防護工作，改善自身安全防護能力的同時，為全麵提升我國工業信息安全防護水平提供支撐。