《工业控制系统信息安全防护指南》产品措施匹配表

2016年10月，工业和信息化部印发《工业控制系统信息安全防护指南》（以下简称《指南》），指导工业企业开展工控安全防护工作。

背景情况

工控安全事关经济发展、社会稳定和国家安全。近年来，随着信息化和工业化融合的不断深入，工业控制系统从单机走向互联，从封闭走向开放，从自动化走向智能化。在生产力显著提高的同时，工业控制系统面临着日益严峻的信息安全威胁。为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号）文件精神，应对新时期工控安全形势，提升工业企业工控安全防护水平，编制本《指南》。

总体考虑

《指南》坚持“安全是发展的前提，发展是安全的保障”，以当前我国工业控制系统面临的安全问题为出发点，注重防护要求的可执行性，从管理、技术两方面明确工业企业工控安全防护要求。编制思路如下：

（一）落实《国家网络安全法》要求

《指南》所列11项要求充分体现了《国家网络安全法》中网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置等法规在工控安全领域的要求，是《国家网络安全法》在工业领域的具体应用。

  （二）突出工业企业主体责任

  《指南》根据我国工控安全管理工作实践经验，面向工业企业提出工控安全防护要求，确立企业作为工控安全责任主体，要求企业明确工控安全管理责任人，落实工控安全责任制。

  （三）考虑我国工控安全现状

  《指南》编制以近五年我部工控安全检查工作掌握的有关情况为基础，充分考虑当前工控安全防护意识不到位、管理责任不明晰、访问控制策略不完善等问题，明确了《指南》的各项要求。

 （四）借鉴发达国家工控安全防护经验

  《指南》参考了美国、欧盟、日本等发达国家工控安全相关政策、标准和最佳实践做法，对安全软件选择与管理、配置与补丁管理、边界安全防护等措施进行了论证，提高了《指南》的科学性、合理性和可操作性。

  （五）强调工业控制系统全生命周期安全防护

  《指南》涵盖工业控制系统设计、选型、建设、测试、运行、检修、废弃各阶段防护工作要求，从安全软件选型、访问控制策略构建、数据安全保护、资产配置管理等方面提出了具体实施细则。

内容详解

指南要求	涉及产品和措施	产品解读
一、安全软件选择与管理
（一）在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行。	工控安全主机卫士 杀毒软件	1）  主机软件白名单防护、文件防护、日志记录审计、U盘使用记录等功能； 2）  病毒、木马查杀。
（二）建立防病毒和恶意软件入侵管理机制，对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。	杀毒软件 相关管理制度
二、配置和补丁管理
（一）做好工业控制网络、工业主机和工业控制设备的安全配置，建立工业控制系统配置清单，定期进行配置审计。	工控安全主机卫士 工控安全检查工具箱 相关管理制度	1）  主机加固； 2）  对网络设备、工业主机进行安全评估、基线配置核查。
（二）对重大配置变更制定变更计划并进行影响分析，配置变更实施前进行严格安全测试。	工控仿真验证平台 相关管理制度	配置变更实施前在工控仿真验证平台进行充分验证
（三）密切关注重大工控安全漏洞及其补丁发布，及时采取补丁升级措施。在补丁安装前，需对补丁进行严格的安全评估和测试验证。	工控仿真验证平台 相关管理制度
三、 边界安全防护
（一）分离工业控制系统的开发、测试和生产环境。	物理隔离措施 工业防火墙 网闸	对边界和区域进行逻辑隔离、逻辑强隔离、物理隔离
（二）通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护，禁止没有防护的工业控制网络与互联网连接。	工业防火墙 网闸	对工控网络与IT网络进行有效防护
（三）通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。	工业防火墙 网闸 VLAN技术	对工控网络内部区域进行逻辑隔离
四、物理和环境安全防护
（一）对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。	门禁系统 视频监控系统 相关管理制度
（二）拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用，通过主机外设安全管理技术手段实施严格访问控制。	工控安全主机卫士 安全U盘
五、身份认证
（一）在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。	身份认证管理系统 USBkey、生物指纹、虹膜识别等认证设备
（二）合理分类设置账户权限，以最小特权原则分配账户权限。	工控安全主机卫士 工控安全检查工具箱	1）  对主机进行账户权限限制 2）  对网络设备、主机设备进行账户权限检查与限制
（三）强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码，避免使用默认口令或弱口令,定期更新口令。	工控安全主机卫士 相关管理制度
（四）加强对身份认证证书信息保护力度，禁止在不同系统和网络环境下共享。	数字证书系统	为关键应用、关键用户和关键设备提供数字证书服务，实现高强度的身份认证、安全的数据传输以及可靠的行为审计
六、远程访问安全
（一）原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。	工控安全检查工具箱 工业防火墙 相关管理制度
（二）确需远程访问的，采用数据单向访问控制等策略进行安全加固，对访问时限进行控制，并采用加标锁定策略。	单向网闸 工业防火墙 VPN
（三）确需远程维护的，采用虚拟专用网络（VPN）等远程接入方式进行。	VPN	采用虚拟专用网络（VPN）等方式，对接入账户实行专人专号，并定期审计接入账户操作记录。
（四）保留工业控制系统的相关访问日志，并对操作过程进行安全审计。	工控网络审计和监测平台	通过审计人员账户、访问时间、操作内容等日志信息，追踪定位非授权访问行为。
七、安全监测和应急预案演练
（一）在工业控制网络部署网络安全监测设备，及时发现、报告并处理网络攻击或异常行为。	工控网络审计和监测平台 工控漏洞检测平台	及时发现、报告并处理包括病毒木马、端口扫描、暴力破解、异常流量、异常指令、工业控制系统协议包伪造等网络攻击或异常行为。
（二）在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作。	工业防火墙	阻断不符合协议标准结构的数据包、不符合业务要求的数据内容。
（三）制定工控安全事件应急响应预案，当遭受安全威胁导致工业控制系统出现异常或故障时，应立即采取紧急防护措施，防止事态扩大，并逐级报送直至属地省级工业和信息化主管部门，同时注意保护现场，以便进行调查取证。	相关管理制度 工控网络审计和监测平台
（四）定期对工业控制系统的应急响应预案进行演练，必要时对应急响应预案进行修订。	相关管理制度 工控仿真验证平台
八、资产安全
（一）建设工业控制系统资产清单，明确资产责任人，以及资产使用及处置规则。	相关管理制度
（二）对关键主机设备、网络设备、控制组件等进行冗余配置。	相关管理制度
九、数据安全
（一）对静态存储和动态传输过程中的重要工业数据进行保护，根据风险评估结果对数据信息进行分级分类管理。	文件加密系统 VPN 相关管理制度	对静态存储的重要工业数据通过文件加密系统进行加密存储； 对动态传输的重要工业数据使用VPN进行加密传输
（二）定期备份关键业务数据。	数据备份系统
（三）对测试数据进行保护。	文件加密系统
十、供应链管理
（一）在选择工业控制系统规划、设计、建设、运维或评估等服务商时，优先考虑具备工控安全防护经验的企事业单位，以合同等方式明确服务商应承担的信息安全责任和义务。	相关管理制度
（二）以保密协议的方式要求服务商做好保密工作，防范敏感信息外泄。	相关管理制度
十一、落实责任
通过建立工控安全管理机制、成立信息安全协调小组等方式，明确工控安全管理责任人，落实工控安全责任制，部署工控安全防护措施。	相关管理制度