工信部:关于印发《工业控制系统信息安全防御指南》的通知

2021年09月15日 阅读数:1
这篇文章主要向大家介绍工信部:关于印发《工业控制系统信息安全防御指南》的通知,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

【转载自:http://www.miit.gov.cn/n1146295/n1146592/n3917132/n4062056/c5338092/content.html】
html


为贯彻落实《×××关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),保障工业企业工业控制系统信息安全,制定《工业控制系统信息安全防御指南》,现印发大家。前端

工业和信息化部指导和管理全国工业企业工控安全防御和保障工做,并根据实际状况对指南进行修订。地方工业和信息化主管部门根据工业和信息化部统筹安排,指导本行政区域内的工业企业制定工控安全防御实施方案,推进企业分期分批达到本指南相关要求。数据库



工业和信息化部 安全

2016年10月17日服务器

(联系电话:010-68208171)网络



   
工业控制系统信息安全防御指南
    
运维

    工业控制系统信息安全事关经济发展、社会稳定和国家安全。提高工业企业工业控制系统信息安全(如下简称工控安全)防御水平保障工业控制系统安全,制定本指南。ide

控制应用企业事工业系统规划设计、建设、运维评估的企事业单位适用本指南测试


控制应用企业应从如下十一个方面作好工控安全防御工做。spa

1、安全软件选择与管理

    工业主机上采用通过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只容许通过工业企业自身受权和安全评估的软件运行。

    二)创建防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采起病毒查杀等安全预防措施。

2、配置和补丁管理

    作好工业控制网络、工业主机和工业控制设备的安全配置,创建工业控制系统配置清单,按期进行配置审计。

    对重大配置变动制定变动计划并进行影响分析,配置变动实施前进行严格安全测试。

    (三)密切关注重大工控安全漏洞及其补丁发布,及时采起补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。

3、 边界安全防御

    (一)分离工业控制系统的开发、测试和生产环境。

    (二)经过工业控制网络边界防御设备对工业控制网络与企业网或互联网之间的边界进行安全防御,禁止没有防御的工业控制网络与互联网链接。

    (三)经过工业防火墙、网闸等防御设备对工业控制网络安全区域之间进行逻辑隔离安全防御。

4、物理和环境安全防御

    (一)对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采起访问控制、视频监控、专人值守等物理安全防御措施。

    (二)拆除或封闭工业主机上没必要要的USB、光驱、无线等接口。若确需使用,经过主机外设安全管理技术手段实施严格访问控制。

5、身份认证

    (一)在工业主机登陆、应用服务资源访问、工业云平台访问等过程当中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。

    (二)合理分类设置帐户权限,以最小特权原则分配帐户权限。

    (三)强化工业控制设备、SCADA软件、工业通讯设备等的登陆帐户及密码,避免使用默认口令或弱口令,按期更新口令。

    (四)增强对身份认证证书信息保护力度,禁止在不一样系统和网络环境下共享。

6、远程访问安全

    (一)原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。

    (二)确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。

    (三)确需远程维护的,采用虚拟专用网络(×××)等远程接入方式进行。

    (四)保留工业控制系统的相关访问日志,并对操做过程进行安全审计。

7、安全监测和应急预案演练

    (一)在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。

    (二)在重要工业控制设备前端部署具有工业协议深度包检测功能的防御设备,限制违法操做。

    (三)制定工控安全事件应急响应预案,当遭受安全威胁致使工业控制系统出现异常或故障时,应当即采起紧急防御措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证。

    (四)按期对工业控制系统的应急响应预案进行演练,必要时对应急响应预案进行修订。

8、资产安全

    (一)建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置规则。

    (二)对关键主机设备、网络设备、控制组件等进行冗余配置。

9、数据安全

    (一)对静态存储和动态传输过程当中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。

    (二)按期备份关键业务数据。

    (三)对测试数据进行保护。

10、供应链管理

    (一)在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具有工控安全防御经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。

    (二)以保密协议的方式要求服务商作好保密工做,防范敏感信息外泄。

11、落实责任

    经过创建工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防御措施。