近日，工業和信息化部印發《工業控制系統網絡安全防護指南》。該指南的制定旨在適應新時期工業控制系統網絡安全形勢，進一步指導企業提升工控安全防護水平，夯實新型工業化發展安全根基。

適用范圍及防護對象

使用、運營工業控制系統的企業適用本指南。防護對象包括以下2類：

1. 工業控制系統

工業控制系統指在工業部門和關鍵基礎設施中應用于各種工業生產的控制系統，通常被廣泛應用于鋼鐵、有色、化工、裝備制造等行業領域，對國家經濟發展、社會穩定和國家安全具有重要意義。

2. 被網絡攻擊后可直接或間接影響生產運行的其他設備和系統。

隨著IT和OT的高度融合，越來越多的工業控制系統與MES、ERP等管理信息系統之間進行互聯互通，這些管理信息系統一旦被網絡攻擊后，極有可能會對工業控制系統產生直接或間接影響，從而影響生產運行，因此，工業控制系統網絡安全防護體系建設也應同時考慮到與工業控制系統存在關聯的其他設備和系統的安全防護。

防護指南對比

新版舊版防護指南對照圖

防護要點對比分析

安全管理

1、資產管理

應對措施

工業企業應結合資產探測、脆弱性掃描等主動、被動技術手段，對資產信息進行梳理和識別，并建立資產清單，定期核查資產并進行評估，形成資產安全態勢。落實資產管理責任部門和責任人，對數據庫、文件、系統等進行備份管理。

對標產品及服務

工業漏洞掃描系統、工業安全檢查工具箱、工業安全態勢系統、安全風險評估、工業安全咨詢服務。

2、配置管理

應對措施

工業企業應建立安全配置清單，定期開展安全基線核查工作，對賬戶及口令管理進行配置核查，及時清理過期賬戶。當發生重大配置變更時，應在離線環境中對配置變更進行安全性驗證后方可實施。

對標產品及服務

基線管理系統、安全基線核查服務。

3、供應鏈安全

應對措施

建議建立供應鏈安全管理制度，包含供應鏈安全選擇的原則、標準、供應商協議簽訂注意事項等內容，設置相應的供應鏈安全管理部門和人員進行供應鏈安全管理，明確供應商的相關責任和義務，加強供應鏈的安全保障。同時應對PLC等設備進行脆弱性掃描。

對標產品及服務

工業漏掃系統、工業安全咨詢服務。

4、宣傳教育

應對措施

建立工業控制系統網絡安全教育培訓制度，明確教育培訓開展的周期、內容、參加的人員等，并規定相應的獎懲機制，通過落實工業控制系統網絡安全教育培訓制度，增強企業人員的網絡安全意識與專業技能水平。

對標產品及服務

工業信息安全教育培訓服務

技術防護

1、主機和終端安全

應對措施

工業企業應根據實際情況，通過安裝防病毒軟件或者應用軟件白名單技術，增強主機網絡安全防御能力。通過拆除或封閉工業主機上不必要的外設接口及端口減少工業主機被感染的風險，實施外設管控措施。對關鍵主機或終端的訪問采用雙因子認證方法，加強對訪問者身份認證的安全性。

對標產品及服務

EDR（終端威脅防御系統）、工業主機衛士系統、安全U盤、雙因子認證措施（數字證書、Ukey、動態令牌、生物識別）。

2、架構與邊界安全

應對措施

工業企業應合理劃分工業控制系統安全區域，部署工業防火墻、工業網閘等設備實現區域間的隔離防護，并遵循最小權限原則實施嚴格的訪問控制措施，對網間行為進行安全審計，對無線網絡和遠程訪問、遠程運維過程加強身份認證管理。

對標產品及服務

工業防火墻系統、工業網閘系統、工業安全審計系統、無線入侵防御系統、工業運維安全審計系統、VPN系統、網絡安全準入系統。

3、上云安全

應對措施

工業企業自建工業云平臺時，應通過部署云安全資源池實現工業云平臺安全防護，對接入工業云平臺的工業設備進行嚴格的雙向身份認證和接入管控，對接入云平臺的業務系統進行安全隔離防護，有效防范工業云平臺面臨的非法操作、網絡攻擊等安全威脅。

對標產品及服務

云安全資源池系統（云防火墻、云IPS、云VPN、云工業防火墻、云工業入侵檢測與審計系統、云堡壘機等）、數字證書系統、VPN系統。

4、應用安全

應對措施

工業企業對訪問關鍵應用服務的用戶，應采用雙因子認證方式加強防護。工業自研軟件應通過脆弱性檢測評估或委托第三方機構開展安全性測試等方式。

對標產品及服務

工業運維審計系統、工業防火墻系統、工業漏掃系統、雙因子認證措施（數字證書、Ukey、動態令牌、生物識別）、代碼審計服務。

5、系統數據安全

應對措施

工業企業應依據《工業和信息化領域數據安全管理辦法（試行）》等政策法規要求，開展數據分類分級管理工作，對數據收集、存儲、使用、加工、傳輸、提供、公開等環節進行安全防護，對出境數據依法依規開展數據出境安全評估工作。

對標產品及服務

數據安全管理平臺、VPN系統、工業數據安全審計系統、工業數據庫防火墻系統、容災備份一體機、數據安全治理服務。

安全運營

1、監測預警

應對措施

要針對工業控制系統中的出現的未知入侵行為進行快速設定策略。同時搭建一套以蜜罐系統為主的工業仿真系統主動誘導攻擊，記錄攻擊細節并產生告警，可定位攻擊源，彌補網絡防護體系短板，提升主動防御能力。

對標產品及服務

工業網絡安全監測審計系統、工業入侵系統、工業漏掃系統、工業蜜罐系統、工業安全態勢系統。

2、運營中心

應對措施

從措施的落地性方面考慮，工業生產業務連續性強，采用安全編排自動化與響應過程出現的誤報威脅事件易對業務產生中斷問題，造成生產事故。因此，建議在安全態勢運營中，對采用安全編排自動化與響應技術措施時，結合人為判斷參與到對威脅的處置中，從而實時態勢感知、統一管理、及時應急處置等安全目標，提高工業企業風險發現能力，加快風險解決速度。

對標產品及服務

工業安全態勢系統、安全運營服務。

3、應急處置

應對措施

制定應急管理制度、應急預案、留存日志、系統備份等手段。定期進行應急演練。針對重要設備、平臺、系統訪問和操作日志留存時間不少于六個月。

對標產品及服務

工業日志審計系統、容災備份一體機、工業安全咨詢服務。

4、安全評估

應對措施

依托專業的第三方團隊，在系統上線前進行一次風險評估，并根據系統重要程度定期（每年一次/每半年一次/每季度一次）進行安全評估服務安全評估服務。

對標產品及服務

工業安全風險評估服務。

5、漏洞管理

應對措施

建議采用原理掃描、模糊掃描、登錄掃描、靜態掃描、分離式掃描、串口掃描等多種技術手段。全方位、高效的檢測生產網絡中的各類工業資產脆弱性風險以及配置合規性情況。并針對補丁進行離線測試后進行漏洞修復。如存在無法修復的情況應進行其它的安全加固手段。

對標產品及服務

工業安全加固服務、工業漏掃系統、工業脆弱性掃描服務。

責任落實

應對措施

應構建工業信息安全管理制度，制定企業安全標準，健全相關企業制度。

對標產品及服務

工業安全咨詢服務。

· 對標產品及服務一覽表 ·

工業控制系統作為工業生產運行的基礎核心，其網絡安全事關企業運營和生產安全、事關產業鏈供應鏈安全穩定、事關經濟社會運行和國家安全。近年來，工業企業數字化轉型步伐加快，工業控制系統開放互聯趨勢明顯，工業企業面臨的網絡安全風險與日俱增，工業企業加強網絡安全防護需求迫切。該指南聚焦安全風險管控與易發網絡安全風險等，將進一步為相關企業走好新型工業化道路明晰前進方向。