導 讀

為wei適shi應ying新xin型xing工gong業ye化hua發fa展zhan形xing勢shi，提ti高gao我wo國guo工gong業ye控kong製zhi係xi統tong網wang絡luo安an全quan保bao障zhang水shui平ping
，指zhi導dao工gong業ye企qi業ye開kai展zhan工gong控kong安an全quan防fang護hu工gong作zuo
，以yi高gao水shui平ping安an全quan護hu航hang新xin型xing工gong業ye化hua高gao質zhi量liang發fa展zhan，工gong業ye和he信xin息xi化hua部bu印yin發fa《工業控製係統網絡安全防護指南》。《防護指南》定位於麵向工業企業做好網絡安全防護的指導性文件，堅持統籌發展和安全
，圍繞安全管理
、技術防護、安全運營、責任落實四方麵，提出33項指導性安全防護基線要求，推動解決走好新型工業化道路過程中工業控製係統網絡安全麵臨的突出問題。

關於印發工業控製係統網絡安全防護指南的通知

工信部網安〔2024〕14號

各省、自治區
、直轄市、計劃單列市及新疆生產建設兵團工業和信息化主管部門

，有關企事業單位：

現將《工業控製係統網絡安全防護指南》印發給你們，請認真抓好落實。

工業和信息化部

2024年1月19日

工業控製係統網絡安全防護指南

工業控製係統是工業生產運行的基礎核心。為適應新時期工業控製係統網絡安全（以下簡稱工控安全）形勢
，進一步指導企業提升工控安全防護水平，夯實新型工業化發展安全根基
，製定本指南。

使用、運營工業控製係統的企業適用本指南，防護對象包括工業控製係統以及被網絡攻擊後可直接或間接影響生產運行的其他設備和係統。

一、安全管理

（一）資產管理

1.全麵梳理可編程邏輯控製器（PLC）、分布式控製係統（DCS）、數據采集與監視控製係統（SCADA）等典型工業控製係統以及相關設備
、軟件、數(shu)據(ju)等(deng)資(zi)產(chan)，明(ming)確(que)資(zi)產(chan)管(guan)理(li)責(ze)任(ren)部(bu)門(men)和(he)責(ze)任(ren)人(ren)
，建(jian)立(li)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)資(zi)產(chan)清(qing)單(dan)
，並(bing)根(gen)據(ju)資(zi)產(chan)狀(zhuang)態(tai)變(bian)化(hua)及(ji)時(shi)更(geng)新(xin)。定(ding)期(qi)開(kai)展(zhan)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)資(zi)產(chan)核(he)查(zha)
，內(nei)容(rong)包(bao)括(kuo)但(dan)不(bu)限(xian)於(yu)係(xi)統(tong)配(pei)置(zhi)、權限分配、日誌審計、病毒查殺、數據備份、設備運行狀態等情況。

2.根據承載業務的重要性
、guimo
，yijifashengwangluoanquanshijiandeweihaichengdudengyinsu，jianlizhongyaogongyekongzhixitongqingdanbingdingqigengxin，shishizhongdianbaohu。zhongyaogongyekongzhixitongxiangguandeguanjiangongyezhuji
、網絡設備、控製設備等
，應實施冗餘備份。

（二）配置管理

3.強qiang化hua賬zhang戶hu及ji口kou令ling管guan理li，避bi免mian使shi用yong默mo認ren口kou令ling或huo弱ruo口kou令ling
，定ding期qi更geng新xin口kou令ling。遵zun循xun最zui小xiao授shou權quan原yuan則ze，合he理li設she置zhi賬zhang戶hu權quan限xian
，禁jin用yong不bu必bi要yao的de係xi統tong默mo認ren賬zhang戶hu和he管guan理li員yuan賬zhang戶hu，及ji時shi清qing理li過guo期qi賬zhang戶hu。

4.建立工業控製係統安全配置清單

、安(an)全(quan)防(fang)護(hu)設(she)備(bei)策(ce)略(lve)配(pei)置(zhi)清(qing)單(dan)。定(ding)期(qi)開(kai)展(zhan)配(pei)置(zhi)清(qing)單(dan)審(shen)計(ji)，及(ji)時(shi)根(gen)據(ju)安(an)全(quan)防(fang)護(hu)需(xu)求(qiu)變(bian)化(hua)調(tiao)整(zheng)配(pei)置(zhi)，重(zhong)大(da)配(pei)置(zhi)變(bian)更(geng)實(shi)施(shi)前(qian)進(jin)行(xing)嚴(yan)格(ge)安(an)全(quan)測(ce)試(shi)，測(ce)試(shi)通(tong)過(guo)後(hou)方(fang)可(ke)實(shi)施(shi)變(bian)更(geng)。

（三）供應鏈安全

5.與工業控製係統廠商
、雲服務商、安全服務商等供應商簽訂的協議中
，應明確各方需履行的安全相關責任和義務，包括管理範圍、職責劃分、訪問授權
、隱私保護、行為準則、違約責任等。

6.工業控製係統使用納入網絡關鍵設備目錄的PLC等設備時，應使用具備資格的機構安全認證合格或者安全檢測符合要求的設備。

（四）宣傳教育

7.定期開展工業控製係統網絡安全相關法律法規
、政策標準宣傳教育，增強企業人員網絡安全意識。針對工業控製係統和網絡相關運維人員，定期開展工控安全專業技能培訓及考核。

二、技術防護

（一）主機與終端安全

8.在工程師站

、操作員站
、工gong業ye數shu據ju庫ku服fu務wu器qi等deng主zhu機ji上shang部bu署shu防fang病bing毒du軟ruan件jian

，定ding期qi進jin行xing病bing毒du庫ku升sheng級ji和he查zha殺sha，防fang止zhi勒le索suo軟ruan件jian等deng惡e意yi軟ruan件jian傳chuan播bo。對dui具ju備bei存cun儲chu功gong能neng的de介jie質zhi

，在zai其qi接jie入ru工gong業ye主zhu機ji前qian，應ying進jin行xing病bing毒du
、木馬等惡意代碼查殺。

9.主機可采用應用軟件白名單技術，隻允許部署運行經企業授權和安全評估的應用軟件，並有計劃的實施操作係統、數據庫等係統軟件和重要應用軟件升級。

10.拆除或封閉工業主機上不必要的通用串行總線（USB）、光驅、無線等外部設備接口，關閉不必要的網絡服務端口。若確需使用外部設備，應進行嚴格訪問控製。

11.對工業主機、工業智能終端設備（控製設備
、智能儀表等）
、網絡設備（工業交換機、工業路由器等）的訪問實施用戶身份鑒別，關鍵主機或終端的訪問采用雙因子認證。

（二）架構與邊界安全

12.根據承載業務特點、業務規模、影響工業生產的重要程度等因素，對工業以太網
、工業無線網絡等組成的工業控製網絡實施分區分域管理，部署工業防火牆、網wang閘zha等deng設she備bei實shi現xian域yu間jian橫heng向xiang隔ge離li。當dang工gong業ye控kong製zhi網wang絡luo與yu企qi業ye管guan理li網wang或huo互hu聯lian網wang連lian通tong時shi，實shi施shi網wang間jian縱zong向xiang防fang護hu，並bing對dui網wang間jian行xing為wei開kai展zhan安an全quan審shen計ji。設she備bei接jie入ru工gong業ye控kong製zhi網wang絡luo時shi應ying進jin行xing身shen份fen認ren證zheng。

13.應用第五代移動通信技術（5G）、無線局域網技術（Wi-Fi）等deng無wu線xian通tong信xin技ji術shu組zu網wang時shi，製zhi定ding嚴yan格ge的de網wang絡luo訪fang問wen控kong製zhi策ce略lve，對dui無wu線xian接jie入ru設she備bei采cai用yong身shen份fen認ren證zheng機ji製zhi，對dui無wu線xian訪fang問wen接jie入ru點dian定ding期qi審shen計ji
，關guan閉bi無wu線xian接jie入ru公gong開kai信xin息xi（SSID）廣播，避免設備違規接入。

14.嚴格遠程訪問控製，禁止工業控製係統麵向互聯網開通不必要的超文本傳輸協議（HTTP）、文件傳輸協議（FTP）、Internet遠程登錄協議（Telnet）、遠程桌麵協議（RDP）等deng高gao風feng險xian通tong用yong網wang絡luo服fu務wu，對dui必bi要yao開kai通tong的de網wang絡luo服fu務wu采cai取qu安an全quan接jie入ru代dai理li等deng技ji術shu進jin行xing用yong戶hu身shen份fen認ren證zheng和he應ying用yong鑒jian權quan。在zai遠yuan程cheng維wei護hu時shi，使shi用yong互hu聯lian網wang安an全quan協xie議yi（IPsec）
、安全套接字協議（SSL）等協議構建安全網絡通道（如虛擬專用網絡（VPN）），並嚴格限製訪問範圍和授權時間
，開展日誌留存和審計。

15.在工業控製係統中使用加密協議和算法時應符合相關法律法規要求，鼓勵優先采用商用密碼
，實現加密網絡通信、設備身份認證和數據安全傳輸。

（三）上雲安全

16.工業雲平台為企業自建時，利用用戶身份鑒別、訪問控製、安全通信、入侵防範等技術做好安全防護，有效阻止非法操作、網絡攻擊等行為。

17.工gong業ye設she備bei上shang雲yun時shi，對dui上shang雲yun設she備bei實shi施shi嚴yan格ge標biao識shi管guan理li
，設she備bei在zai接jie入ru工gong業ye雲yun平ping台tai時shi采cai用yong雙shuang向xiang身shen份fen認ren證zheng
，禁jin止zhi未wei標biao識shi設she備bei接jie入ru工gong業ye雲yun平ping台tai。業ye務wu係xi統tong上shang雲yun時shi，應ying確que保bao不bu同tong業ye務wu係xi統tong運yun行xing環huan境jing的de安an全quan隔ge離li。

（四）應用安全

18.訪問製造執行係統（MES）

、組zu態tai軟ruan件jian和he工gong業ye數shu據ju庫ku等deng應ying用yong服fu務wu時shi，應ying進jin行xing用yong戶hu身shen份fen認ren證zheng。訪fang問wen關guan鍵jian應ying用yong服fu務wu時shi，采cai用yong雙shuang因yin子zi認ren證zheng
，並bing嚴yan格ge限xian製zhi訪fang問wen範fan圍wei和he授shou權quan時shi間jian。

19.工業企業自主研發的工業控製係統相關軟件
，應通過企業自行或委托第三方機構開展的安全性測試，測試合格後方可上線使用。

（五）係統數據安全

20.定期梳理工業控製係統運行產生的數據
，結合業務實際，開展數據分類分級，識別重要數據和核心數據並形成目錄。圍繞數據收集、存儲、使用、加工、傳輸
、提供、公開等環節，使用密碼技術、訪問控製
、容災備份等技術對數據實施安全保護。

21.法律、行政法規有境內存儲要求的重要數據和核心數據，應在境內存儲，確需向境外提供的，應當依法依規進行數據出境安全評估。

三、安全運營

（一）監測預警

22.在工業控製網絡部署監測審計相關設備或平台，在不影響係統穩定運行的前提下，及時發現和預警係統漏洞、惡意軟件、網絡攻擊、網絡侵入等安全風險。

23.在工業控製網絡與企業管理網或互聯網的邊界
，可采用工業控製係統蜜罐等威脅誘捕技術
，捕獲網絡攻擊行為，提升主動防禦能力。

（二）運營中心

24.有條件的企業可建立工業控製係統網絡安全運營中心
，利用安全編排自動化與響應（SOAR）等技術
，實現安全設備的統一管理和策略配置，全麵監測網絡安全威脅
，提升風險隱患集中排查和事件快速響應能力。

（三）應急處置

25.製(zhi)定(ding)工(gong)控(kong)安(an)全(quan)事(shi)件(jian)應(ying)急(ji)預(yu)案(an)，明(ming)確(que)報(bao)告(gao)和(he)處(chu)置(zhi)流(liu)程(cheng)
，根(gen)據(ju)實(shi)際(ji)情(qing)況(kuang)適(shi)時(shi)進(jin)行(xing)評(ping)估(gu)和(he)修(xiu)訂(ding)，定(ding)期(qi)開(kai)展(zhan)應(ying)急(ji)演(yan)練(lian)。當(dang)發(fa)生(sheng)工(gong)控(kong)安(an)全(quan)事(shi)件(jian)時(shi)，應(ying)立(li)即(ji)啟(qi)動(dong)應(ying)急(ji)預(yu)案(an)，采(cai)取(qu)緊(jin)急(ji)處(chu)置(zhi)措(cuo)施(shi)，及(ji)時(shi)穩(wen)妥(tuo)處(chu)理(li)安(an)全(quan)事(shi)件(jian)。

26.重要設備、平台、係統訪問和操作日誌留存時間不少於六個月
，並定期對日誌備份
，便於開展事後溯源取證。

27.對重要係統應用和數據定期開展備份及恢複測試
，確保緊急時工業控製係統在可接受的時間範圍內恢複正常運行。

（四）安全評估

28.新建或升級工業控製係統上線前
、工業控製網絡與企業管理網或互聯網連接前，應開展安全風險評估。

29.對於重要工業控製係統，企業應自行或委托第三方專業機構每年至少開展一次工控安全防護能力相關評估。

（五）漏洞管理

30.miqieguanzhugongyehexinxihuabuwangluoanquanweixieheloudongxinxigongxiangpingtaidengzhongdagongkonganquanloudongjiqibudingchengxufabu，jishicaiqushengjicuoshi，duanqineiwufashengjide，yingkaizhanzhenduixinganquanjiagu。

31.對重要工業控製係統定期開展漏洞排查

，發現重大安全漏洞時，對補丁程序或加固措施測試驗證後，方可實施補丁升級或加固。

四、責任落實

32.工業企業承擔本企業工控安全主體責任
，建立工控安全管理製度，明確責任人和責任部門，按照“誰運營誰負責、誰主管誰負責”的原則落實工控安全保護責任。

33.強化企業資源保障力度，確保安全防護措施與工業控製係統同步規劃、同步建設、同步使用。