近日，工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》。該指南的制定旨在適應(yīng)新時(shí)期工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全形勢(shì)，進(jìn)一步指導(dǎo)企業(yè)提升工控安全防護(hù)水平，夯實(shí)新型工業(yè)化發(fā)展安全根基。

適用范圍及防護(hù)對(duì)象

使用、運(yùn)營工業(yè)控制系統(tǒng)的企業(yè)適用本指南。防護(hù)對(duì)象包括以下2類：

1. 工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)指在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中應(yīng)用于各種工業(yè)生產(chǎn)的控制系統(tǒng)，通常被廣泛應(yīng)用于鋼鐵、有色、化工、裝備制造等行業(yè)領(lǐng)域，對(duì)國家經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國家安全具有重要意義。

2. 被網(wǎng)絡(luò)攻擊后可直接或間接影響生產(chǎn)運(yùn)行的其他設(shè)備和系統(tǒng)。

隨著IT和OT的高度融合，越來越多的工業(yè)控制系統(tǒng)與MES、ERP等管理信息系統(tǒng)之間進(jìn)行互聯(lián)互通，這些管理信息系統(tǒng)一旦被網(wǎng)絡(luò)攻擊后，極有可能會(huì)對(duì)工業(yè)控制系統(tǒng)產(chǎn)生直接或間接影響，從而影響生產(chǎn)運(yùn)行，因此，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)也應(yīng)同時(shí)考慮到與工業(yè)控制系統(tǒng)存在關(guān)聯(lián)的其他設(shè)備和系統(tǒng)的安全防護(hù)。

防護(hù)指南對(duì)比

新版舊版防護(hù)指南對(duì)照?qǐng)D

防護(hù)要點(diǎn)對(duì)比分析

安全管理

1、資產(chǎn)管理

應(yīng)對(duì)措施

工業(yè)企業(yè)應(yīng)結(jié)合資產(chǎn)探測(cè)、脆弱性掃描等主動(dòng)、被動(dòng)技術(shù)手段，對(duì)資產(chǎn)信息進(jìn)行梳理和識(shí)別，并建立資產(chǎn)清單，定期核查資產(chǎn)并進(jìn)行評(píng)估，形成資產(chǎn)安全態(tài)勢(shì)。落實(shí)資產(chǎn)管理責(zé)任部門和責(zé)任人，對(duì)數(shù)據(jù)庫、文件、系統(tǒng)等進(jìn)行備份管理。

對(duì)標(biāo)產(chǎn)品及服務(wù)

工業(yè)漏洞掃描系統(tǒng)、工業(yè)安全檢查工具箱、工業(yè)安全態(tài)勢(shì)系統(tǒng)、安全風(fēng)險(xiǎn)評(píng)估、工業(yè)安全咨詢服務(wù)。

2、配置管理

應(yīng)對(duì)措施

工業(yè)企業(yè)應(yīng)建立安全配置清單，定期開展安全基線核查工作，對(duì)賬戶及口令管理進(jìn)行配置核查，及時(shí)清理過期賬戶。當(dāng)發(fā)生重大配置變更時(shí)，應(yīng)在離線環(huán)境中對(duì)配置變更進(jìn)行安全性驗(yàn)證后方可實(shí)施。

對(duì)標(biāo)產(chǎn)品及服務(wù)

基線管理系統(tǒng)、安全基線核查服務(wù)。

3、供應(yīng)鏈安全

應(yīng)對(duì)措施

建議建立供應(yīng)鏈安全管理制度，包含供應(yīng)鏈安全選擇的原則、標(biāo)準(zhǔn)、供應(yīng)商協(xié)議簽訂注意事項(xiàng)等內(nèi)容，設(shè)置相應(yīng)的供應(yīng)鏈安全管理部門和人員進(jìn)行供應(yīng)鏈安全管理，明確供應(yīng)商的相關(guān)責(zé)任和義務(wù)，加強(qiáng)供應(yīng)鏈的安全保障。同時(shí)應(yīng)對(duì)PLC等設(shè)備進(jìn)行脆弱性掃描。

對(duì)標(biāo)產(chǎn)品及服務(wù)

工業(yè)漏掃系統(tǒng)、工業(yè)安全咨詢服務(wù)。

4、宣傳教育

應(yīng)對(duì)措施

建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全教育培訓(xùn)制度，明確教育培訓(xùn)開展的周期、內(nèi)容、參加的人員等，并規(guī)定相應(yīng)的獎(jiǎng)懲機(jī)制，通過落實(shí)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全教育培訓(xùn)制度，增強(qiáng)企業(yè)人員的網(wǎng)絡(luò)安全意識(shí)與專業(yè)技能水平。

對(duì)標(biāo)產(chǎn)品及服務(wù)

工業(yè)信息安全教育培訓(xùn)服務(wù)

技術(shù)防護(hù)

1、主機(jī)和終端安全

應(yīng)對(duì)措施

工業(yè)企業(yè)應(yīng)根據(jù)實(shí)際情況，通過安裝防病毒軟件或者應(yīng)用軟件白名單技術(shù)，增強(qiáng)主機(jī)網(wǎng)絡(luò)安全防御能力。通過拆除或封閉工業(yè)主機(jī)上不必要的外設(shè)接口及端口減少工業(yè)主機(jī)被感染的風(fēng)險(xiǎn)，實(shí)施外設(shè)管控措施。對(duì)關(guān)鍵主機(jī)或終端的訪問采用雙因子認(rèn)證方法，加強(qiáng)對(duì)訪問者身份認(rèn)證的安全性。

對(duì)標(biāo)產(chǎn)品及服務(wù)

EDR（終端威脅防御系統(tǒng)）、工業(yè)主機(jī)衛(wèi)士系統(tǒng)、安全U盤、雙因子認(rèn)證措施（數(shù)字證書、Ukey、動(dòng)態(tài)令牌、生物識(shí)別）。

2、架構(gòu)與邊界安全

應(yīng)對(duì)措施

工業(yè)企業(yè)應(yīng)合理劃分工業(yè)控制系統(tǒng)安全區(qū)域，部署工業(yè)防火墻、工業(yè)網(wǎng)閘等設(shè)備實(shí)現(xiàn)區(qū)域間的隔離防護(hù)，并遵循最小權(quán)限原則實(shí)施嚴(yán)格的訪問控制措施，對(duì)網(wǎng)間行為進(jìn)行安全審計(jì)，對(duì)無線網(wǎng)絡(luò)和遠(yuǎn)程訪問、遠(yuǎn)程運(yùn)維過程加強(qiáng)身份認(rèn)證管理。

對(duì)標(biāo)產(chǎn)品及服務(wù)

工業(yè)防火墻系統(tǒng)、工業(yè)網(wǎng)閘系統(tǒng)、工業(yè)安全審計(jì)系統(tǒng)、無線入侵防御系統(tǒng)、工業(yè)運(yùn)維安全審計(jì)系統(tǒng)、VPN系統(tǒng)、網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)。

3、上云安全

應(yīng)對(duì)措施

工業(yè)企業(yè)自建工業(yè)云平臺(tái)時(shí)，應(yīng)通過部署云安全資源池實(shí)現(xiàn)工業(yè)云平臺(tái)安全防護(hù)，對(duì)接入工業(yè)云平臺(tái)的工業(yè)設(shè)備進(jìn)行嚴(yán)格的雙向身份認(rèn)證和接入管控，對(duì)接入云平臺(tái)的業(yè)務(wù)系統(tǒng)進(jìn)行安全隔離防護(hù)，有效防范工業(yè)云平臺(tái)面臨的非法操作、網(wǎng)絡(luò)攻擊等安全威脅。

對(duì)標(biāo)產(chǎn)品及服務(wù)

云安全資源池系統(tǒng)（云防火墻、云IPS、云VPN、云工業(yè)防火墻、云工業(yè)入侵檢測(cè)與審計(jì)系統(tǒng)、云堡壘機(jī)等）、數(shù)字證書系統(tǒng)、VPN系統(tǒng)。

4、應(yīng)用安全

應(yīng)對(duì)措施

工業(yè)企業(yè)對(duì)訪問關(guān)鍵應(yīng)用服務(wù)的用戶，應(yīng)采用雙因子認(rèn)證方式加強(qiáng)防護(hù)。工業(yè)自研軟件應(yīng)通過脆弱性檢測(cè)評(píng)估或委托第三方機(jī)構(gòu)開展安全性測(cè)試等方式。

對(duì)標(biāo)產(chǎn)品及服務(wù)

工業(yè)運(yùn)維審計(jì)系統(tǒng)、工業(yè)防火墻系統(tǒng)、工業(yè)漏掃系統(tǒng)、雙因子認(rèn)證措施（數(shù)字證書、Ukey、動(dòng)態(tài)令牌、生物識(shí)別）、代碼審計(jì)服務(wù)。

5、系統(tǒng)數(shù)據(jù)安全

應(yīng)對(duì)措施

工業(yè)企業(yè)應(yīng)依據(jù)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》等政策法規(guī)要求，開展數(shù)據(jù)分類分級(jí)管理工作，對(duì)數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等環(huán)節(jié)進(jìn)行安全防護(hù)，對(duì)出境數(shù)據(jù)依法依規(guī)開展數(shù)據(jù)出境安全評(píng)估工作。

對(duì)標(biāo)產(chǎn)品及服務(wù)

數(shù)據(jù)安全管理平臺(tái)、VPN系統(tǒng)、工業(yè)數(shù)據(jù)安全審計(jì)系統(tǒng)、工業(yè)數(shù)據(jù)庫防火墻系統(tǒng)、容災(zāi)備份一體機(jī)、數(shù)據(jù)安全治理服務(wù)。

安全運(yùn)營

1、監(jiān)測(cè)預(yù)警

應(yīng)對(duì)措施

要針對(duì)工業(yè)控制系統(tǒng)中的出現(xiàn)的未知入侵行為進(jìn)行快速設(shè)定策略。同時(shí)搭建一套以蜜罐系統(tǒng)為主的工業(yè)仿真系統(tǒng)主動(dòng)誘導(dǎo)攻擊，記錄攻擊細(xì)節(jié)并產(chǎn)生告警，可定位攻擊源，彌補(bǔ)網(wǎng)絡(luò)防護(hù)體系短板，提升主動(dòng)防御能力。

對(duì)標(biāo)產(chǎn)品及服務(wù)

工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)審計(jì)系統(tǒng)、工業(yè)入侵系統(tǒng)、工業(yè)漏掃系統(tǒng)、工業(yè)蜜罐系統(tǒng)、工業(yè)安全態(tài)勢(shì)系統(tǒng)。

2、運(yùn)營中心

應(yīng)對(duì)措施

從措施的落地性方面考慮，工業(yè)生產(chǎn)業(yè)務(wù)連續(xù)性強(qiáng)，采用安全編排自動(dòng)化與響應(yīng)過程出現(xiàn)的誤報(bào)威脅事件易對(duì)業(yè)務(wù)產(chǎn)生中斷問題，造成生產(chǎn)事故。因此，建議在安全態(tài)勢(shì)運(yùn)營中，對(duì)采用安全編排自動(dòng)化與響應(yīng)技術(shù)措施時(shí)，結(jié)合人為判斷參與到對(duì)威脅的處置中，從而實(shí)時(shí)態(tài)勢(shì)感知、統(tǒng)一管理、及時(shí)應(yīng)急處置等安全目標(biāo)，提高工業(yè)企業(yè)風(fēng)險(xiǎn)發(fā)現(xiàn)能力，加快風(fēng)險(xiǎn)解決速度。

對(duì)標(biāo)產(chǎn)品及服務(wù)

工業(yè)安全態(tài)勢(shì)系統(tǒng)、安全運(yùn)營服務(wù)。

3、應(yīng)急處置

應(yīng)對(duì)措施

制定應(yīng)急管理制度、應(yīng)急預(yù)案、留存日志、系統(tǒng)備份等手段。定期進(jìn)行應(yīng)急演練。針對(duì)重要設(shè)備、平臺(tái)、系統(tǒng)訪問和操作日志留存時(shí)間不少于六個(gè)月。

對(duì)標(biāo)產(chǎn)品及服務(wù)

工業(yè)日志審計(jì)系統(tǒng)、容災(zāi)備份一體機(jī)、工業(yè)安全咨詢服務(wù)。

4、安全評(píng)估

應(yīng)對(duì)措施

依托專業(yè)的第三方團(tuán)隊(duì)，在系統(tǒng)上線前進(jìn)行一次風(fēng)險(xiǎn)評(píng)估，并根據(jù)系統(tǒng)重要程度定期（每年一次/每半年一次/每季度一次）進(jìn)行安全評(píng)估服務(wù)安全評(píng)估服務(wù)。

對(duì)標(biāo)產(chǎn)品及服務(wù)

工業(yè)安全風(fēng)險(xiǎn)評(píng)估服務(wù)。

5、漏洞管理

應(yīng)對(duì)措施

建議采用原理掃描、模糊掃描、登錄掃描、靜態(tài)掃描、分離式掃描、串口掃描等多種技術(shù)手段。全方位、高效的檢測(cè)生產(chǎn)網(wǎng)絡(luò)中的各類工業(yè)資產(chǎn)脆弱性風(fēng)險(xiǎn)以及配置合規(guī)性情況。并針對(duì)補(bǔ)丁進(jìn)行離線測(cè)試后進(jìn)行漏洞修復(fù)。如存在無法修復(fù)的情況應(yīng)進(jìn)行其它的安全加固手段。

對(duì)標(biāo)產(chǎn)品及服務(wù)

工業(yè)安全加固服務(wù)、工業(yè)漏掃系統(tǒng)、工業(yè)脆弱性掃描服務(wù)。

責(zé)任落實(shí)

應(yīng)對(duì)措施

應(yīng)構(gòu)建工業(yè)信息安全管理制度，制定企業(yè)安全標(biāo)準(zhǔn)，健全相關(guān)企業(yè)制度。

對(duì)標(biāo)產(chǎn)品及服務(wù)

工業(yè)安全咨詢服務(wù)。

· 對(duì)標(biāo)產(chǎn)品及服務(wù)一覽表 ·

工業(yè)控制系統(tǒng)作為工業(yè)生產(chǎn)運(yùn)行的基礎(chǔ)核心，其網(wǎng)絡(luò)安全事關(guān)企業(yè)運(yùn)營和生產(chǎn)安全、事關(guān)產(chǎn)業(yè)鏈供應(yīng)鏈安全穩(wěn)定、事關(guān)經(jīng)濟(jì)社會(huì)運(yùn)行和國家安全。近年來，工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型步伐加快，工業(yè)控制系統(tǒng)開放互聯(lián)趨勢(shì)明顯，工業(yè)企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與日俱增，工業(yè)企業(yè)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)需求迫切。該指南聚焦安全風(fēng)險(xiǎn)管控與易發(fā)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等，將進(jìn)一步為相關(guān)企業(yè)走好新型工業(yè)化道路明晰前進(jìn)方向。