《工业控制系统信息安全防护指南》实施建议（下）

工业控制系统信息安全（以下简称“工控安全”）是国家网络和信息安全的重要组成部分，是推动中国制造2025、制造业与互联网融合发展的基础保障。2016年10月，工业和信息化部印发《工业控制系统信息安全防护指南》（以下简称《指南》），指导工业企业开展工控安全防护工作。

本部分内容继续解读《工业控制系统信息安全防护指南》

 

2.6远程访问安全

（一）原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。

【工信部解读】

工业控制系统面向互联网开通HTTP、FTP、Telnet等网络服务，易导致工业控制系统被入侵、攻击、利用，工业企业应原则上禁止工业控制系统开通高风险通用网络服务。

【实施建议】

1、 应评估业务流程，避免不必要的工控网络与互联网连接。

2、 确需远程访问的，应通过关闭工控系统相关服务等方式关闭高风险通用网络服务。

（二）确需远程访问的，采用数据单向访问控制等策略进行安全加固，对访问时限进行控制，并采用加标锁定策略。

【工信部解读】

工业企业确需进行远程访问的，可在网络边界使用单向隔离装置、VPN等方式实现数据单向访问，并控制访问时限。采用加标锁定策略，禁止访问方在远程访问期间实施非法操作。

【实施建议】

1、 应综合考虑装置时延、工控协议识别、硬件可靠性等选用单向隔离装置。

2、 应对单向隔离装置进行安全配置，满足安全防护要求。

3、 应根据生产业务计划和远程访问需求最小化控制远程访问时限。

4、 应采用加标锁定策略，对远程访问用户进行访问授权，最小化访问权限、访问时间和访问内容。

（三）确需远程维护的，采用虚拟专用网络（VPN）等远程接入方式进行。

【工信部解读】

工业企业确需远程维护的，应通过对远程接入通道进行认证、加密等方式保证其安全性，如采用虚拟专用网络（VPN）等方式，对接入账户实行专人专号，并定期审计接入账户操作记录。

【实施建议】

1、 应综合考虑技术方案（IPSEC VPN/SSL VPN）、处理性能、厂商安全能力等方面选用VPN。

2、 宜选用边界隔离和VPN一体化设备进行安全防护。

（四）保留工业控制系统的相关访问日志，并对操作过程进行安全审计。

【工信部解读】

工业企业应保留工业控制系统设备、应用等访问日志，并定期进行备份，通过审计人员账户、访问时间、操作内容等日志信息，追踪定位非授权访问行为。

【实施建议】

1、 应对工控系统的访问日志至少保留6个月。

2、 宜建设访问日志集中管理系统，对访问日志进行集中管理、备份和审计。

2.7安全监测和应急预案演练

（一）在工业控制网络部署网络安全监测设备，及时发现、报告并处理网络攻击或异常行为。

【工信部解读】

工业企业应在工业控制网络部署可对网络攻击和异常行为进行识别、报警、记录的网络安全监测设备，及时发现、报告并处理包括病毒木马、端口扫描、暴力破解、异常流量、异常指令、工业控制系统协议包伪造等网络攻击或异常行为。

【实施建议】

1、 应在工控网络部署网络安全监测设备，对信息安全风险进行监测。

2、 监测设备宜通过交换机流量镜像方式获取工控网络实时流量，避免对工控系统的正常运行造成影响（如交换机不支持流量镜像，需进行必要的网络改造，更换成具有流量镜像功能的交换机）。

3、 监测设备应具备工控系统资产管理功能并对工控设备的脆弱性进行监测。

4、 监测设备应具备网络威胁监测能力，可以识别病毒木马、端口扫描、暴力破解、异常流量等常规攻击和APT攻击。

5、 监测设备应具备工控系统关键操作监测能力，通过对工控协议的深度解析，识别固件更新、组态下装、控制器启停、关键指令等关键操作。

（二）在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作。

【工信部解读】

在工业企业生产核心控制单元前端部署可对Modbus、S7、Ethernet/IP、OPC等主流工业控制系统协议进行深度分析和过滤的防护设备，阻断不符合协议标准结构的数据包、不符合业务要求的数据内容。

【实施建议】

1、 应在DCS控制器或PLC等工控核心控制单元前部署专用保护网关。

2、 网关应具备网络风暴过滤功能，保护控制器执行的控制运算不受网络风暴影响。

3、 网关应采用工控协议白名单机制，只允许合法流量通过。

4、 网关应采用控制器相同的可靠性、可用性设计和验证标准。

（三）制定工控安全事件应急响应预案，当遭受安全威胁导致工业控制系统出现异常或故障时，应立即采取紧急防护措施，防止事态扩大，并逐级报送直至属地省级工业和信息化主管部门，同时注意保护现场，以便进行调查取证。

【工信部解读】

工业企业需要自主或委托第三方工控安全服务单位制定工控安全事件应急响应预案。预案应包括应急计划的策略和规程、应急计划培训、应急计划测试与演练、应急处理流程、事件监控措施、应急事件报告流程、应急支持资源、应急响应计划等内容。

【实施建议】

1、 工业企业应明确企业内部主管（分管）领导及工控安全事件应急响应责任部门。责任部门可以是自动化部门、信息化部门或组建专职的安全部门。

2、 应采用旁路流量监测、设备日志关联分析等手段实时监测工控系统的安全运行状况，尽早发现安全威胁，及时处理。

3、 工业企业应自主或联合第三方开展与自己工控系统相关的流行病毒、威胁、设备脆弱性的信息收集、分析工作，及时对应急响应预案进行调整。

4、 工业企业宜与工控设备厂商、安全企业联合组建应急响应团队，建立联合应急响应机制。

5、 应急响应预案应与企业安全生产预案配合、协调。

（四）定期对工业控制系统的应急响应预案进行演练，必要时对应急响应预案进行修订。

【工信部解读】

工业企业应定期组织工业控制系统操作、维护、管理等相关人员开展应急响应预案演练，演练形式包括桌面演练、单项演练、综合演练等。必要时，企业应根据实际情况对预案进行修订。

【实施建议】

1、 工业企业应定期组织工业控制系统的应急响应预案演练。

2、 宜在企业内部每季度举行桌面演练，由工控安全事件应急响应责任部门召集，联合企业内部相关部门演练。

3、 宜在企业内部建设工控安全仿真测试系统。每半年基于仿真系统举行单项演练，检验针对局部生产过程或某类威胁的应急响应能力。

4、 工业企业宜联合工控设备厂商、安全厂商根据应急响应计划和设备检修计划进行应急响应综合演练，全面检验应急响应预研的可行性、有效性、充分性。

2.8资产安全

（一）建设工业控制系统资产清单，明确资产责任人，以及资产使用及处置原则。

【工信部解读】

工业企业应建设工业控制系统资产清单，包括信息资产、软件资产、硬件资产等。明确资产责任人，建立资产使用及处置规则，定期对资产进行安全巡检，审计资产使用记录，并检查资产运行状态，及时发现风险。

【实施建议】

1、 应对工控系统资产进行信息安全风险评估并建立资产管理制度，规范组织、人员、责任、流程和工具。

2、 宜利用自动化工具对工控系统资产进行管理，实现自动识别、分级分类、编辑修改、漏洞匹配等管理功能。

3、 工控系统资产的管理宜与仪表设备资产管理结合考虑。

（二）对关键主机设备、网络设备、控制组件等进行冗余配置。

【工信部解读】

工业企业应根据业务需要，针对关键主机设备、网络设备、控制组件等配置冗余电源、冗余设备、冗余网络等。

【实施建议】

1、 应根据风险分析，确定需冗余的设备、组件。

2、 应根据风险分析，确定设备或组件的冗余方式。设备冗余可选择N+1，1+1等方式，网络冗余可选择单环网、双网、双环网等方式。

3、 应根据风险分析，选择冷备、热备等冗余方式。对关键控制设备宜选择热备并无扰切换方式。

4、 关键控制设备应具备一定的容错处理能力。

2.9数据安全

（一）对静态存储数据和动态传输过程中的重要工业数据进行保护，根据风险评估结果对数据信息进行分级分类管理。

【工信部解读】

工业企业应对静态存储的重要工业数据进行加密存储，设置访问控制功能，对动态传输的重要工业数据进行加密传输，使用VPN等方式进行隔离保护，并根据风险评估结果，建立和完善数据信息的分级分类管理制度。

【实施建议】

1、 应根据风险评估结果对工业数据进行分级分类保护。

2、 对于有工业数据防泄密要求的企业，应建立工业数据安全管理制度，规范组织、人员、责任、流程和工具。

3、 对普通商业机密工业数据，例如关键算法块、关键工艺参数等，宜利用工业软件自带数据加密功能进行数据保护。

4、 对关键机密工业数据，应采用补充数据防泄漏工具进行数据保护，如DLP(数据防泄密系统)等。

5、 对关键动态传输数据，存在远程传输和数据泄密风险的，应在传输过程中利用VPN等加密方式进行数据保护。

6、 应对可能接触到关键数据的供应商、外部和内部人员进行数据防泄密管理。

7、 应采取技术或管理措施对可能接触到工业关键数据的U盘等外设进行管理。

（二）定期备份关键业务数据。

【工信部解读】

工业企业应对关键业务数据，如工艺参数、配置文件、设备运行数据、生产数据、控制指令等进行定期备份。

【实施建议】

1、 对本地关键业务数据，如工艺参数、关键算法块、工程组态等应进行基线和变更管理，及时和定期备份。

2、 对设备远程维护、工业云等工业大数据，应采用数据库备份、异地灾备等方式进行备份。

（三）对测试数据进行保护。

【工信部解读】

工业企业应对测试数据，包括安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等进行保护，如签订保密协议、回收测试数据等。

【实施建议】

1、 应建立明确的、分阶段的项目周期管理制度，规范项目测试、项目上线、项目退役等阶段的关键工作、人员权限和数据防泄漏要求。

2、 应对可能接触到关键数据的供应商、外部和内部人员进行数据防泄密管理。

3、 应采取技术或管理措施对可能接触到工业关键数据的U盘等外设进行管理。

2.10供应链管理

（一）在选择工业控制系统规划、设计、建设、运维或评估等服务商时，优先考虑具备工控安全防护经验的企事业单位，以合同等方式明确服务商应承担的信息安全责任和义务。

【工信部解读】

工业企业在选择工业控制系统规划、设计、建设、运维或评估服务商时，应优先考虑有工控安全防护经验的服务商，并核查其提供的工控安全合同、案例、验收报告等证明材料。在合同中应以明文条款的方式约定服务商在服务过程中应当承担的信息安全责任和义务。

【实施建议】

1、 工控安全的本质是业务安全，应选用有丰富的工控安全经验厂商为工业企业提供有效的安全防护服务和产品。

2、 在项目实施过程中应明确安全厂商的责任和义务。

3、 应验证工控安全厂商的持续性、经营能力。工控安全厂商提供的产品，需要较长时间与工控系统进行联动工作，需要持续的技术支持服务，才可提供长久的安全保障。

（二）以保密协议的方式要求服务商做好保密工作，防范敏感信息外泄。

【工信部解读】

工业企业应与服务商签订保密协议，协议中应约定保密内容、保密时限、违约责任等内容。防范工艺参数、配置文件、设备运行数据、生产数据、控制指令等敏感信息外泄。

【实施建议】

1、 工控系统信息安全服务商不仅仅只是为客户提供安全的解决方案，更应在提供安全保障的过程中防止泄密事件。较多关键信息基础设施的核心是工控系统，较多工业企业的商业秘密依托工控系统，因此，信息就是数据、数据就是资产，为工业企业提供安全产品和服务的厂商，更加要做好保密的工作。

2.11落实责任

通过建立工控安全管理机制、成立信息安全协调小组等方式，明确工控安全管理责任人，落实工控安全责任制，部署工控安全防护措施。

【工信部解读】

工业企业应建立健全工控安全管理机制，明确工控安全主体责任，成立由企业负责人牵头的，由信息化、生产管理、设备管理等相关部门组成的工业控制系统信息安全协调小组，负责工业控制系统全生命周期的安全防护体系建设和管理，制定工业控制系统安全管理制度，部署工控安全防护措施。

【实施建议】

1、 《网络安全法》自2017年实施后，各个工业企业都应组建网络安全领导小组，企业的一把手担任领导小组的组长； 

2、 在工业企业网络安全领导小组下，应明确企业的工控安全主体责任部门，负责并协调其他相关部门进行工控安全相关工作，包括建设企业工控安全管理制度、工控安全防护体系、工控安全保障体系、工控安全应急方案等，并主动开展或请安全厂商进行自查、风险评估等工作，从技术和管理两个方面提供体系化的防护措施。