| 發(fā)布機(jī)構(gòu) | 中華人民共和國工業(yè)和信息化部 | ||
| 文件號 | 工信部網(wǎng)安〔2024〕14號 | 制發(fā)日期 | 2024-01-19 |
各省、自治區(qū)、直轄市、計(jì)劃單列市及新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門,有關(guān)企事業(yè)單位:
現(xiàn)將《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》印發(fā)給你們,請認(rèn)真抓好落實(shí)。
工業(yè)和信息化部
2024年1月19日
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南
工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)運(yùn)行的基礎(chǔ)核心。為適應(yīng)新時(shí)期工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全(以下簡稱工控安全)形勢,進(jìn)一步指導(dǎo)企業(yè)提升工控安全防護(hù)水平,夯實(shí)新型工業(yè)化發(fā)展安全根基,制定本指南。
使用、運(yùn)營工業(yè)控制系統(tǒng)的企業(yè)適用本指南,防護(hù)對象包括工業(yè)控制系統(tǒng)以及被網(wǎng)絡(luò)攻擊后可直接或間接影響生產(chǎn)運(yùn)行的其他設(shè)備和系統(tǒng)。
一、安全管理
(一)資產(chǎn)管理
1. 全面梳理可編程邏輯控制器(PLC)、分布式控制系統(tǒng)(DCS)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)等典型工業(yè)控制系統(tǒng)以及相關(guān)設(shè)備、軟件、數(shù)據(jù)等資產(chǎn),明確資產(chǎn)管理責(zé)任部門和責(zé)任人,建立工業(yè)控制系統(tǒng)資產(chǎn)清單,并根據(jù)資產(chǎn)狀態(tài)變化及時(shí)更新。定期開展工業(yè)控制系統(tǒng)資產(chǎn)核查,內(nèi)容包括但不限于系統(tǒng)配置、權(quán)限分配、日志審計(jì)、病毒查殺、數(shù)據(jù)備份、設(shè)備運(yùn)行狀態(tài)等情況。
2. 根據(jù)承載業(yè)務(wù)的重要性、規(guī)模,以及發(fā)生網(wǎng)絡(luò)安全事件的危害程度等因素,建立重要工業(yè)控制系統(tǒng)清單并定期更新,實(shí)施重點(diǎn)保護(hù)。重要工業(yè)控制系統(tǒng)相關(guān)的關(guān)鍵工業(yè)主機(jī)、網(wǎng)絡(luò)設(shè)備、控制設(shè)備等,應(yīng)實(shí)施冗余備份。
(二)配置管理
3. 強(qiáng)化賬戶及口令管理,避免使用默認(rèn)口令或弱口令,定期更新口令。遵循最小授權(quán)原則,合理設(shè)置賬戶權(quán)限,禁用不必要的系統(tǒng)默認(rèn)賬戶和管理員賬戶,及時(shí)清理過期賬戶。
4. 建立工業(yè)控制系統(tǒng)安全配置清單、安全防護(hù)設(shè)備策略配置清單。定期開展配置清單審計(jì),及時(shí)根據(jù)安全防護(hù)需求變化調(diào)整配置,重大配置變更實(shí)施前進(jìn)行嚴(yán)格安全測試,測試通過后方可實(shí)施變更。
(三)供應(yīng)鏈安全
5. 與工業(yè)控制系統(tǒng)廠商、云服務(wù)商、安全服務(wù)商等供應(yīng)商簽訂的協(xié)議中,應(yīng)明確各方需履行的安全相關(guān)責(zé)任和義務(wù),包括管理范圍、職責(zé)劃分、訪問授權(quán)、隱私保護(hù)、行為準(zhǔn)則、違約責(zé)任等。
6. 工業(yè)控制系統(tǒng)使用納入網(wǎng)絡(luò)關(guān)鍵設(shè)備目錄的PLC等設(shè)備時(shí),應(yīng)使用具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測符合要求的設(shè)備。
(四)宣傳教育
7. 定期開展工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、政策標(biāo)準(zhǔn)宣傳教育,增強(qiáng)企業(yè)人員網(wǎng)絡(luò)安全意識。針對工業(yè)控制系統(tǒng)和網(wǎng)絡(luò)相關(guān)運(yùn)維人員,定期開展工控安全專業(yè)技能培訓(xùn)及考核。
二、技術(shù)防護(hù)
(一)主機(jī)與終端安全
8. 在工程師站、操作員站、工業(yè)數(shù)據(jù)庫服務(wù)器等主機(jī)上部署防病毒軟件,定期進(jìn)行病毒庫升級和查殺,防止勒索軟件等惡意軟件傳播。對具備存儲功能的介質(zhì),在其接入工業(yè)主機(jī)前,應(yīng)進(jìn)行病毒、木馬等惡意代碼查殺。
9. 主機(jī)可采用應(yīng)用軟件白名單技術(shù),只允許部署運(yùn)行經(jīng)企業(yè)授權(quán)和安全評估的應(yīng)用軟件,并有計(jì)劃的實(shí)施操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)軟件和重要應(yīng)用軟件升級。
10. 拆除或封閉工業(yè)主機(jī)上不必要的通用串行總線(USB)、光驅(qū)、無線等外部設(shè)備接口,關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)端口。若確需使用外部設(shè)備,應(yīng)進(jìn)行嚴(yán)格訪問控制。
11. 對工業(yè)主機(jī)、工業(yè)智能終端設(shè)備(控制設(shè)備、智能儀表等)、網(wǎng)絡(luò)設(shè)備(工業(yè)交換機(jī)、工業(yè)路由器等)的訪問實(shí)施用戶身份鑒別,關(guān)鍵主機(jī)或終端的訪問采用雙因子認(rèn)證。
(二)架構(gòu)與邊界安全
12. 根據(jù)承載業(yè)務(wù)特點(diǎn)、業(yè)務(wù)規(guī)模、影響工業(yè)生產(chǎn)的重要程度等因素,對工業(yè)以太網(wǎng)、工業(yè)無線網(wǎng)絡(luò)等組成的工業(yè)控制網(wǎng)絡(luò)實(shí)施分區(qū)分域管理,部署工業(yè)防火墻、網(wǎng)閘等設(shè)備實(shí)現(xiàn)域間橫向隔離。當(dāng)工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)連通時(shí),實(shí)施網(wǎng)間縱向防護(hù),并對網(wǎng)間行為開展安全審計(jì)。設(shè)備接入工業(yè)控制網(wǎng)絡(luò)時(shí)應(yīng)進(jìn)行身份認(rèn)證。
13. 應(yīng)用第五代移動通信技術(shù)(5G)、無線局域網(wǎng)技術(shù)(WiFi)等無線通信技術(shù)組網(wǎng)時(shí),制定嚴(yán)格的網(wǎng)絡(luò)訪問控制策略,對無線接入設(shè)備采用身份認(rèn)證機(jī)制,對無線訪問接入點(diǎn)定期審計(jì),關(guān)閉無線接入公開信息(SSID)廣播,避免設(shè)備違規(guī)接入。
14. 嚴(yán)格遠(yuǎn)程訪問控制,禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通不必要的超文本傳輸協(xié)議(HTTP)、文件傳輸協(xié)議(FTP)、Internet遠(yuǎn)程登錄協(xié)議(Telnet)、遠(yuǎn)程桌面協(xié)議(RDP)等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù),對必要開通的網(wǎng)絡(luò)服務(wù)采取安全接入代理等技術(shù)進(jìn)行用戶身份認(rèn)證和應(yīng)用鑒權(quán)。在遠(yuǎn)程維護(hù)時(shí),使用互聯(lián)網(wǎng)安全協(xié)議(IPsec)、安全套接字協(xié)議(SSL)等協(xié)議構(gòu)建安全網(wǎng)絡(luò)通道(如虛擬專用網(wǎng)絡(luò)(VPN)),并嚴(yán)格限制訪問范圍和授權(quán)時(shí)間,開展日志留存和審計(jì)。
15. 在工業(yè)控制系統(tǒng)中使用加密協(xié)議和算法時(shí)應(yīng)符合相關(guān)法律法規(guī)要求,鼓勵(lì)優(yōu)先采用商用密碼,實(shí)現(xiàn)加密網(wǎng)絡(luò)通信、設(shè)備身份認(rèn)證和數(shù)據(jù)安全傳輸。
(三)上云安全
16. 工業(yè)云平臺為企業(yè)自建時(shí),利用用戶身份鑒別、訪問控制、安全通信、入侵防范等技術(shù)做好安全防護(hù),有效阻止非法操作、網(wǎng)絡(luò)攻擊等行為。
17. 工業(yè)設(shè)備上云時(shí),對上云設(shè)備實(shí)施嚴(yán)格標(biāo)識管理,設(shè)備在接入工業(yè)云平臺時(shí)采用雙向身份認(rèn)證,禁止未標(biāo)識設(shè)備接入工業(yè)云平臺。業(yè)務(wù)系統(tǒng)上云時(shí),應(yīng)確保不同業(yè)務(wù)系統(tǒng)運(yùn)行環(huán)境的安全隔離。
(四)應(yīng)用安全
18. 訪問制造執(zhí)行系統(tǒng)(MES)、組態(tài)軟件和工業(yè)數(shù)據(jù)庫等應(yīng)用服務(wù)時(shí),應(yīng)進(jìn)行用戶身份認(rèn)證。訪問關(guān)鍵應(yīng)用服務(wù)時(shí),采用雙因子認(rèn)證,并嚴(yán)格限制訪問范圍和授權(quán)時(shí)間。
19. 工業(yè)企業(yè)自主研發(fā)的工業(yè)控制系統(tǒng)相關(guān)軟件,應(yīng)通過企業(yè)自行或委托第三方機(jī)構(gòu)開展的安全性測試,測試合格后方可上線使用。
(五)系統(tǒng)數(shù)據(jù)安全
20. 定期梳理工業(yè)控制系統(tǒng)運(yùn)行產(chǎn)生的數(shù)據(jù),結(jié)合業(yè)務(wù)實(shí)際,開展數(shù)據(jù)分類分級,識別重要數(shù)據(jù)和核心數(shù)據(jù)并形成目錄。圍繞數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié),使用密碼技術(shù)、訪問控制、容災(zāi)備份等技術(shù)對數(shù)據(jù)實(shí)施安全保護(hù)。
21. 法律、行政法規(guī)有境內(nèi)存儲要求的重要數(shù)據(jù)和核心數(shù)據(jù),應(yīng)在境內(nèi)存儲,確需向境外提供的,應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評估。
三、安全運(yùn)營
(一)監(jiān)測預(yù)警
22. 在工業(yè)控制網(wǎng)絡(luò)部署監(jiān)測審計(jì)相關(guān)設(shè)備或平臺,在不影響系統(tǒng)穩(wěn)定運(yùn)行的前提下,及時(shí)發(fā)現(xiàn)和預(yù)警系統(tǒng)漏洞、惡意軟件、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)。
23. 在工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的邊界,可采用工業(yè)控制系統(tǒng)蜜罐等威脅誘捕技術(shù),捕獲網(wǎng)絡(luò)攻擊行為,提升主動防御能力。
(二)運(yùn)營中心
24. 有條件的企業(yè)可建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全運(yùn)營中心,利用安全編排自動化與響應(yīng)(SOAR)等技術(shù),實(shí)現(xiàn)安全設(shè)備的統(tǒng)一管理和策略配置,全面監(jiān)測網(wǎng)絡(luò)安全威脅,提升風(fēng)險(xiǎn)隱患集中排查和事件快速響應(yīng)能力。
(三)應(yīng)急處置
25. 制定工控安全事件應(yīng)急預(yù)案,明確報(bào)告和處置流程,根據(jù)實(shí)際情況適時(shí)進(jìn)行評估和修訂,定期開展應(yīng)急演練。當(dāng)發(fā)生工控安全事件時(shí),應(yīng)立即啟動應(yīng)急預(yù)案,采取緊急處置措施,及時(shí)穩(wěn)妥處理安全事件。
26. 重要設(shè)備、平臺、系統(tǒng)訪問和操作日志留存時(shí)間不少于六個(gè)月,并定期對日志備份,便于開展事后溯源取證。
27. 對重要系統(tǒng)應(yīng)用和數(shù)據(jù)定期開展備份及恢復(fù)測試,確保緊急時(shí)工業(yè)控制系統(tǒng)在可接受的時(shí)間范圍內(nèi)恢復(fù)正常運(yùn)行。
(四)安全評估
28. 新建或升級工業(yè)控制系統(tǒng)上線前、工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)連接前,應(yīng)開展安全風(fēng)險(xiǎn)評估。
29. 對于重要工業(yè)控制系統(tǒng),企業(yè)應(yīng)自行或委托第三方專業(yè)機(jī)構(gòu)每年至少開展一次工控安全防護(hù)能力相關(guān)評估。
(五)漏洞管理
30. 密切關(guān)注工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺等重大工控安全漏洞及其補(bǔ)丁程序發(fā)布,及時(shí)采取升級措施,短期內(nèi)無法升級的,應(yīng)開展針對性安全加固。
31. 對重要工業(yè)控制系統(tǒng)定期開展漏洞排查,發(fā)現(xiàn)重大安全漏洞時(shí),對補(bǔ)丁程序或加固措施測試驗(yàn)證后,方可實(shí)施補(bǔ)丁升級或加固。
四、責(zé)任落實(shí)
32. 工業(yè)企業(yè)承擔(dān)本企業(yè)工控安全主體責(zé)任,建立工控安全管理制度,明確責(zé)任人和責(zé)任部門,按照“誰運(yùn)營誰負(fù)責(zé)、誰主管誰負(fù)責(zé)”的原則落實(shí)工控安全保護(hù)責(zé)任。
33. 強(qiáng)化企業(yè)資源保障力度,確保安全防護(hù)措施與工業(yè)控制系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用。
中華人民共和國國家發(fā)展和改革委員會 中華人民共和國工業(yè)和信息化部 中華人民共和國應(yīng)急管理部 中華人民共和國生態(tài)環(huán)境部 中華人民共和國科學(xué)技術(shù)部 中華人民共和國財(cái)政部 中華人民共和國商務(wù)部 中國石油和化學(xué)工業(yè)聯(lián)合會
江蘇省發(fā)展和改革委員會 江蘇省工業(yè)和信息化廳 江蘇省財(cái)政廳 江蘇省生態(tài)環(huán)境廳 江蘇省科學(xué)技術(shù)廳 江蘇省商務(wù)廳 江蘇省應(yīng)急管理廳 江蘇省市場監(jiān)督管理局 江蘇省統(tǒng)計(jì)局
北京市化學(xué)工業(yè)協(xié)會 天津市石油和化工協(xié)會 遼寧省石油和化學(xué)工業(yè)協(xié)會 內(nèi)蒙古石油和化學(xué)工業(yè)協(xié)會 重慶市石油與天然氣學(xué)會 河北省石油和化學(xué)工業(yè)協(xié)會 山西省化學(xué)工業(yè)協(xié)會 吉林省能源協(xié)會 黑龍江省石化行業(yè)協(xié)會 浙江省石油和化學(xué)工業(yè)行業(yè)協(xié)會 安徽省石油和化學(xué)工業(yè)協(xié)會 福建省石油和化學(xué)工業(yè)協(xié)會 江西省石油和化學(xué)工業(yè)協(xié)會 河南省石油和化學(xué)工業(yè)協(xié)會 湖北省石化行業(yè)協(xié)會 湖南省石油化學(xué)工業(yè)協(xié)會 廣東省石油和化學(xué)工業(yè)協(xié)會 海南省石油和化學(xué)工業(yè)行業(yè)協(xié)會 四川省化工行業(yè)協(xié)會 貴州省化學(xué)工業(yè)協(xié)會 云南省化工行業(yè)協(xié)會 陜西省經(jīng)濟(jì)聯(lián)合會 甘肅省石化工業(yè)協(xié)會 青海省化工協(xié)會
電話:協(xié)會:025-8799064 學(xué)會:025-86799482
會員服務(wù)部:025-86918841
信息部:025-86910067
傳真:025-83755381
郵箱:jshghyxh@163.com
郵編:210019
地址:南京市夢都大街50號東樓(省科技工作者活動中心)5樓
增值電信業(yè)務(wù)經(jīng)營許可證:蘇B2-20110130
備案號:蘇ICP備13033418號-1
電話:025-8799064
會員服務(wù)部:86918841
信息部:86910067
傳真:025-83755381
郵箱:jshghyxh@163.com
郵編:210019
地址:南京市夢都大街50號東樓(省科技工作者活動中心)5樓
電話:025-86799482
會員服務(wù)部:86918841
信息部:86910067
傳真:025-83755381
郵箱:jshghyxh@163.com
郵編:210019
地址:南京市夢都大街50號東樓(省科技工作者活動中心)5樓
