全球六家荣获国际自动化协会安全合规学会认证企业之一 工信部协[2011]451号 《关于加强工业控制系统信息安全管理的通知》 工信软函[2016]338号 《工业控制系统信息安全防护指南》 工信部网安[2024]14号 《工业控制系统网络安全防护指南》 防护指南编制背景 工业控制系统作为工业生产运行的基础核心,事关经济发展、社会稳定和国家安全,工业和信息化部发布了工信部协[2011]451号《关于加强工业控制系统信息安全管理的通知》、工信软函[2016]338号《工业控制系统信息安全防护指南》,用于指导工业企业开展网络安全建设。 随着我国工业企业数字化转型的逐步深化,工业企业面临的网络安全风险与日俱增,工业企业加强网络安全防护的需求愈加迫切,为此,工业和信息化部发布了工信部网安[2024]14号《关于印发工业控制系统网络安全防护指南的通知》,用于指导工业企业切实提升工业控制系统网络安全基线防护水平,推动企业数字化转型发展。 防护指南整体架构 新版防护指南从安全管理、技术防护、安全运营、责任落实4个方面,提出了33项网络安全防护基线要求,使用、运营工业控制系统的企业适用新版防护指南,防护对象包括工业控制系统以及被网络攻击后可直接或间接影响 生产运行的其他设备和系统。 工业控制系统网络安全防护指南 安全管理 技术防护 安全运营 责任落实 资产管理配置管理供应链安全宣传教育 主机与终端安全架构与边界安全上云安全 应用安全系统数据安全 监测预警运营中心应急处置安全评估漏洞管理 防护指南对标分析——资产管理 新版防护指南 对标产品 功能/措施 1.全面梳理可编程逻辑控制器(PLC)、分布式控制系统(DCS) 1.基于网络扫描和深度会话交互技术识别资产,通过识别工业场景各 数据采集与监视控制系统(SCADA)等典型工业控制系统以及相 类资产的详细信息,多维度刻画资产画像。 关设备、软件、数据等资产,明确资产管理责任部门和责任人,建 态势分析与安全运营 2.根据网络中资产的重要性、敏感性和业务影响程度,将资产进行分 立工业控制系统资产清单,并根据资产状态变化及时更新。定期开 管理平台 级,显著提升日常安全运维效率。 展工业控制系统资产核查,内容包括但不限于系统配置、权限分配 3.采用灵活的监测和响应机制追踪资产状态的变化,实时更新资产列 日志审计、病毒查杀、数据备份、设备运行状态等情况。 表及资产状态。 2.根据承载业务的重要性、规模,以及发生网络安全事件的危害程 1.以资产价值、资产脆弱性、合规指数和威胁告警信息为基础,评估 度等因素,建立重要工业控制系统清单并定期更新,实施重点保护 态势分析与安全运营 资产风险值,并根据风险值展示资产风险评级。 重要工业控制系统相关的关键工业主机、网络设备、控制设备等, 管理平台 2.提供多种数据存储组件以及丰富的数据迁移、备份和归档工具。 应实施冗余备份。 防护指南对标分析——配置管理 新版防护指南 对标产品 功能/措施 3.强化账户及口令管理,避免使用默认口令或弱口令,定期更新口令。遵循最小授权原则,合理设置账户权限,禁用不必要的系统默认账户和管理员账户,及时清理过期账户。 安全配置核查系统 安全配置核查系统开启默认口令扫描、弱口令扫描、默认账户发现、过期账户发现、报表导出功能,帮助管理员定期更新口令和及时清理过期账户。 4.建立工业控制系统安全配置清单、安全防护设备策略配置清单。定期开展配置清单审计,及时根据安全防护需求变化调整配置,重大配置变更实施前进行严格安全测试,测试通过后方可实施变更。 安全配置核查系统 安全配置核查系统对操作系统、中间件、应用系统、数据库、网络设备、安全设备等资产进行安全配置、策略配置核查,将核查结果生成报表供管理员进行测试与整改。 防护指南对标分析——供应链安全 新版防护指南 对标产品 功能/措施 5.与工业控制系统厂商、云服务商、安全服务商等供应商签订的协议中,应明确各方需履行的安全相关责任和义务,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。 / 与供应商签订的采购协议中,明确网络安全的责任和义务,明确对供应链安全引发的网络安全事件进行违约追责。 6.工业控制系统使用纳入网络关键设备目录的PLC等设备时,应使用具备资格的机构安全认证合格或者安全检测符合要求的设备。 / 采购纳入网络关键设备目录的PLC设备时,需选择《网络关键设备安全检测结果》公布的设备。 防护指南对标分析——宣传教育 新版防护指南 对标产品 功能/措施 7.定期开展工业控制系统网络安全相关法律法规、政策标准宣传教育,增强企业人员网络安全意识。针对工业控制系统和网络相关运维人员,定期开展工控安全专业技能培训及考核。 / 定期开展工业控制系统网络安全培训并针对运维人员进行考核。 防护指南对标分析——主机与终端安全 新版防护指南 对标产品 功能/措施 8.在工程师站、操作员站、工业数据库服务器等主机上部署防病毒软件,定期进行病毒库升级和查杀,防止勒索软件等恶意软件传播。对具备存储功能的介质,在其接入工业主机前,应进行病毒、木马等恶意代码查杀。 工控主机卫士 使用病毒查杀功能,防止勒索病毒、木马病毒等恶意软件传播。同时及时更新和升级病毒库,提高恶意软件检测效率。 9.主机可采用应用软件白名单技术,只允许部署运行经企业授权和安全评估的应用软件,并有计划的实施操作系统、数据库等系统软件和重要应用软件升级。 工控主机卫士 使用程序白名单、应用白名单技术,只允许部署可信应用软件,并及时对重要软件和应用进行升级。 10.拆除或封闭工业主机上不必要的通用串行总线(USB)、光驱、无线等外部设备接口,关闭不必要的网络服务端口。若确需使用外部设备,应进行严格访问控制。 USB综合保护装置 对工业主机物理上隔离USB外设接口的同时,通过USB综合保护装置限制USB外设使用,实现病毒查杀、细粒度权限管控、文件可信白名单等安全功能,实行严格的访问控制。 工控主机卫士 开启网络白名单,仅配置必要通信协议和端口,减小暴露面。 11.对工业主机、工业智能终端设备(控制设备、智能仪表等)、网络设备(工业交换机、工业路由器等)的访问实施用户身份鉴别,关键主机或终端的访问采用双因子认证。 工控主机卫士 1.对工业主机、工业智能终端设备、网络设备等,采用用户名密码认证方法,且避免弱口令。 2.对关键主机或终端,开启双因素认证功能,实现双重访问者身份鉴 别 防护指南对标分析——架构与边界安全 新版防护指南 对标产品 功能/措施 12.根据承载业务特点、业务规模、影响工业生产的重要程度等因素,对工业以太网、工业无线网络等组成的工业控制网络实施分区分域管理,部署工业防火墙、网闸等设备实现域间横向隔离。当工业控制网络与企业管理网或互联网连通时,实施网间纵向防护,并对网间行为开展安全审计。设备接入工业控制网络时应进行身份认证。 工业防火墙 采用基于安全域访问控制策略,将具有相同安全属性的接口分类并划分至特定域中,实现域间安全防护。 网络准入系统 采用802.1X技术,实现工业设备和认证服务器之间的认证信息交换。 工控安全隔离与信息交换系统 工控安全隔离与信息交换系统采用“2+1”系统架构,内部通过私有协议进行通信,剥离TCP/IP协议,实现网络的高安全性隔离。 13.应用第五代移动通信技术(5G)、无线局域网技术(WiFi)等无线通信技术组网时,制定严格的网络访问控制策略,对无线接入设备采用身份认证机制,对无线访问接入点定期审计,关闭无线接入公开信息(SSID)广播,避免设备违规接入。 物联网安全接入网关 物联网安全接入网关支持4G/5G和Wi-Fi接入,根据数据包应用层状态等信息制定访问控制策略;对有线和无线接入设备进行身份指纹认证,只允许可信资产接入网络。 上网行为审计 上网行为审计支持行为感知对无线和有线用户的网络行为和内容进行审计,判断网络内是否有流量异常、配置异常、用户行为异常等。 / 无线AP关闭SSID的广播,避免非授权设备接入。 防护指南对标分析——架构与边界安全 新版防护指南 对标产品 功能/措施 14.严格远程访问控制,禁止工业控制系统面向互联网开通不必要的超文本传输协议(HTTP)、文件传输协议(FTP)、Internet远程登录协议(Telnet)、远程桌面协议(RDP)等高风险通用网络服务,对必要开通的网络服务采取安全接入代理等技术进行用户身份认证和应用鉴权。在远程维护时,使用互联网安全协议(IPsec)、安全套接字协议(SSL)等协议构建安全网络通道(如虚拟专用网络(VPN)),并严格限制访问范围和授权时间,开展日志留存和审计。 工业防火墙 1.工业防火墙基于网络服务的访问控制策略,实现对工业控制系统中 不必要且高风险的通用网络服务的控制与防护。2.工业防火墙采用基于网络隧道技术构建虚拟专用网(VPN),结合访问控制策略,实现用户远程访问、外网和内网之间的通信的安全性和稳定性。 安全运维管理系统 (堡垒机) 采取严格的资源访问策略以及强身份认证手段,能够详细记录用户对资源的访问及操作,满足对用户行为审计的需求。 15.在工业控制系统中使用加密协议和算法时应符合相关法律法规要求,鼓励优先采用商用密码,实现加密网络通信、设备身份认证和数据安全传输。 工业防火墙 采用SM1、SM2、SM3、SM4等符合商用密码标准的国密算法,配合VPN、多因子认证等技术实现加密网络通信、设备身份认证和数据安全传输。 防护指南对标分析——上云安全 新版防护指南 对标产品 功能/措施 16.工业云平台为企业自建时,利用用户身份鉴别、访问控制、安全通信、入侵防范等技术做好安全防护,有效阻止非法操作、网络攻击等行为。 云堡垒机 采用统一身份认证、统一运维入口、统一资源管理等技术手段实现对运维人员的操作进行控制和审计,确保运维操作合规。 云防火墙 采用基于多个维度的访问控制策略,搭配入侵防御、病毒防护、异常包防护等技术,实现对于多种攻击行为的检测及阻断。 17.工业设备上云时,对上云设备实施严格标识管理,设备在接入工业云平台时采用双向身份认证,禁止未标识设备接入工业云平台。业务系统上云时,应确保不同业务系统运行环境的安全隔离。 零信任安全访问控制系统 通过将需要访问的应用访问发布到零信任上,采用Radius认证、Ukey认证等多因子认证技术,对不同用户的访问范围及访问时间做限制,实现使用前强制认证,满足使用安全性要求。 云防火墙 采用基于安全域访问控制策略,将具有相同安全属性的业务系统分类并划分至特定域中,实现不同业务系统运行环境的安全隔离。 防护指南对标分析——应用安全 新版防护指南 对标产品 功能/措施 安全运维管理系统(堡垒机)运维制造执行系统(MES)、组态软 18.访问制造执行系统(MES)、组态软件和工业数据库等应用服 安全运维管理系统 件和工业数据库等资产,采用身份认证手段,搭配双因子认证策略, 务时,应进行用户身份认证。访问关键应用服务时,采用双因子 (堡垒机) 制定严格的资产访问范围和授权时间,详细记录用户对资源的访问 认证,并严格限制访问范围和授权时间。 及操作,全面保障系统资产安全。工控漏洞扫描平台开启系统扫描、WEB扫描、数据库扫描、弱口令 19.工业企业自主研发的工业控制系统相关软件,应通过企业自行 扫描功能,对工业控制系统中所有资产进行扫描并自动生成扫描报 工控漏洞扫描平台 或委托第三方机构开展的安全性测试,测试合格后方可上线使用。 告,给管理人员提供全面、精准的漏洞扫描能力和专业有效的漏洞分析和修复建议。 防护指南对标分析——系统数据安全 新版防护指南 对标产品 功能/措施 数据资产分类分级系 采用自动梳理、智能归类等技术手段,形成数据资产表,全面透视 统 相关数据,对不同风险等级的数据采取不同的保护措施。 20.定期梳理工业控制系统运行产生的数据,结合业务实际,开展数据分类分级,识别