工業控制系統作為工業生產運行的基礎核心，其網絡安全事關企業運營和生產安全、事關產業鏈供應鏈安全穩定、事關經濟社會運行和國家安全。2016年，工業和信息化部出臺《工業控制系統信息安全防護指南》，對有效指導工業企業開展工控安全防護工作發揮了積極作用。2017年以來，我國相繼頒布了《網絡安全法》《數據安全法》《密碼法》等法律法規及行業應用方面的部門規章，現有政策文件未能充分銜接相關法律法規要求。與此同時，工業企業數字化轉型步伐加快，工業控制系統開放互聯趨勢明顯，工業企業面臨的網絡安全風險與日俱增，工業企業加強網絡安全防護需求迫切。為適應新型工業化發展形勢，提高我國工業控制系統網絡安全保障水平，指導工業開展工控安全防護工作，以高水平安全護航新型工業化高質量發展，工業和信息化部印發新版《工業控制系統網絡安全防護指南》（以下簡稱《防護指南》）。

主要內容

《防護指南》定位于面向工業企業做好網絡安全防護的指導性文件，堅持統籌發展和安全，圍繞安全管理、技術防護、安全運營、責任落實四方面，提出33項指導性安全防護基線要求，推動解決走好新型工業化道路過程中工業控制系統網絡安全面臨的突出問題。主要強調以下幾個方面：

01 聚焦安全風險管控，突出管理重點對象，提升工業企業工控安全管理能力

一、安全管理

（一）資產管理

1.全面梳理可編程邏輯控制器（PLC）、分布式控制系統（DCS）、數據采集與監視控制系統（SCADA）等典型工業控制系統以及相關設備、軟件、數據等資產，明確資產管理責任部門和責任人，建立工業控制系統資產清單，并根據資產狀態變化及時更新。定期開展工業控制系統資產核查，內容包括但不限于系統配置、權限分配、日志審計、病毒查殺、數據備份、設備運行狀態等情況。

2.根據承載業務的重要性、規模，以及發生網絡安全事件的危害程度等因素，建立重要工業控制系統清單并定期更新，實施重點保護。重要工業控制系統相關的關鍵工業主機、網絡設備、控制設備等，應實施冗余備份。

2.根據承載業務的重要性、規模，以及發生網絡安全事件的危害程度等因素，建立重要工業控制系統清單并定期更新，實施重點保護。重要工業控制系統相關的關鍵工業主機、網絡設備、控制設備等，應實施冗余備份。

（二）配置管理

3.強化賬戶及口令管理，避免使用默認口令或弱口令，定期更新口令。遵循最小授權原則，合理設置賬戶權限，禁用不必要的系統默認賬戶和管理員賬戶，及時清理過期賬戶。

4.建立工業控制系統安全配置清單、安全防護設備策略配置清單。定期開展配置清單審計，及時根據安全防護需求變化調整配置，重大配置變更實施前進行嚴格安全測試，測試通過后方可實施變更。

（三）供應鏈安全

5.與工業控制系統廠商、云服務商、安全服務商等供應商簽訂的協議中，應明確各方需履行的安全相關責任和義務，包括管理范圍、職責劃分、訪問授權、隱私保護、行為準則、違約責任等。

6.工業控制系統使用納入網絡關鍵設備目錄的PLC等設備時，應使用具備資格的機構安全認證合格或者安全檢測符合要求的設備。

（四）宣傳教育

7.定期開展工業控制系統網絡安全相關法律法規、政策標準宣傳教育，增強企業人員網絡安全意識。針對工業控制系統和網絡相關運維人員，定期開展工控安全專業技能培訓及考核。

02 聚焦安全薄弱關鍵環節，強化技術應對策略，提升工業企業工控安全防護能力

二、技術防護

（一）主機與終端安全

8.在工程師站、操作員站、工業數據庫服務器等主機上部署防病毒軟件，定期進行病毒庫升級和查殺，防止勒索軟件等惡意軟件傳播。對具備存儲功能的介質，在其接入工業主機前，應進行病毒、木馬等惡意代碼查殺。

9.主機可采用應用軟件白名單技術，只允許部署運行經企業授權和安全評估的應用軟件，并有計劃的實施操作系統、數據庫等系統軟件和重要應用軟件升級。

10.拆除或封閉工業主機上不必要的通用串行總線（USB）、光驅、無線等外部設備接口，關閉不必要的網絡服務端口。若確需使用外部設備，應進行嚴格訪問控制。

11.對工業主機、工業智能終端設備（控制設備、智能儀表等）、網絡設備（工業交換機、工業路由器等）的訪問實施用戶身份鑒別，關鍵主機或終端的訪問采用雙因子認證。

（二）架構與邊界安全

12.根據承載業務特點、業務規模、影響工業生產的重要程度等因素，對工業以太網、工業無線網絡等組成的工業控制網絡實施分區分域管理，部署工業防火墻、網閘等設備實現域間橫向隔離。當工業控制網絡與企業管理網或互聯網連通時，實施網間縱向防護，并對網間行為開展安全審計。設備接入工業控制網絡時應進行身份認證。

13.應用第五代移動通信技術（5G）、無線局域網技術（WiFi）等無線通信技術組網時，制定嚴格的網絡訪問控制策略，對無線接入設備采用身份認證機制，對無線訪問接入點定期審計，關閉無線接入公開信息（SSID）廣播，避免設備違規接入。

14.嚴格遠程訪問控制，禁止工業控制系統面向互聯網開通不必要的超文本傳輸協議（HTTP）、文件傳輸協議（FTP）、Internet遠程登錄協議（Telnet）、遠程桌面協議（RDP）等高風險通用網絡服務，對必要開通的網絡服務采取安全接入代理等技術進行用戶身份認證和應用鑒權。在遠程維護時，使用互聯網安全協議（IPsec）、安全套接字協議（SSL）等協議構建安全網絡通道（如虛擬專用網絡（VPN）），并嚴格限制訪問范圍和授權時間，開展日志留存和審計。

15.在工業控制系統中使用加密協議和算法時應符合相關法律法規要求，鼓勵優先采用商用密碼，實現加密網絡通信、設備身份認證和數據安全傳輸。

（三）上云安全

16.工業云平臺為企業自建時，利用用戶身份鑒別、訪問控制、安全通信、入侵防范等技術做好安全防護，有效阻止非法操作、網絡攻擊等行為。

17.工業設備上云時，對上云設備實施嚴格標識管理，設備在接入工業云平臺時采用雙向身份認證，禁止未標識設備接入工業云平臺。業務系統上云時，應確保不同業務系統運行環境的安全隔離。

（四）應用安全

18.訪問制造執行系統（MES）、組態軟件和工業數據庫等應用服務時，應進行用戶身份認證。訪問關鍵應用服務時，采用雙因子認證，并嚴格限制訪問范圍和授權時間。

19.工業企業自主研發的工業控制系統相關軟件，應通過企業自行或委托第三方機構開展的安全性測試，測試合格后方可上線使用。

（五）系統數據安全

20.定期梳理工業控制系統運行產生的數據，結合業務實際，開展數據分類分級，識別重要數據和核心數據并形成目錄。圍繞數據收集、存儲、使用、加工、傳輸、提供、公開等環節，使用密碼技術、訪問控制、容災備份等技術對數據實施安全保護。

21.法律、行政法規有境內存儲要求的重要數據和核心數據，應在境內存儲，確需向境外提供的，應當依法依規進行數據出境安全評估。

03 聚焦易發網絡安全風險，增強威脅發現及處置能力，提升工業企業安全運營能力

三、安全運營

（一）監測預警

22.在工業控制網絡部署監測審計相關設備或平臺，在不影響系統穩定運行的前提下，及時發現和預警系統漏洞、惡意軟件、網絡攻擊、網絡侵入等安全風險。

23.在工業控制網絡與企業管理網或互聯網的邊界，可采用工業控制系統蜜罐等威脅誘捕技術，捕獲網絡攻擊行為，提升主動防御能力。

（二）運營中心

24.有條件的企業可建立工業控制系統網絡安全運營中心，利用安全編排自動化與響應（SOAR）等技術，實現安全設備的統一管理和策略配置，全面監測網絡安全威脅，提升風險隱患集中排查和事件快速響應能力。

（三）應急處置

25.制定工控安全事件應急預案，明確報告和處置流程，根據實際情況適時進行評估和修訂，定期開展應急演練。當發生工控安全事件時，應立即啟動應急預案，采取緊急處置措施，及時穩妥處理安全事件。

26.重要設備、平臺、系統訪問和操作日志留存時間不少于六個月，并定期對日志備份，便于開展事后溯源取證。

27.對重要系統應用和數據定期開展備份及恢復測試，確保緊急時工業控制系統在可接受的時間范圍內恢復正常運行。、

（四）安全評估

28.新建或升級工業控制系統上線前、工業控制網絡與企業管理網或互聯網連接前，應開展安全風險評估。

29.對于重要工業控制系統，企業應自行或委托第三方專業機構每年至少開展一次工控安全防護能力相關評估。

（五）漏洞管理

30.密切關注工業和信息化部網絡安全威脅和漏洞信息共享平臺等重大工控安全漏洞及其補丁程序發布，及時采取升級措施，短期內無法升級的，應開展針對性安全加固。

31.對重要工業控制系統定期開展漏洞排查，發現重大安全漏洞時，對補丁程序或加固措施測試驗證后，方可實施補丁升級或加固。

04 聚焦工業企業資源保障，堅持統籌發展和安全，督促企業落實網絡安全責任

四、責任落實

32.工業企業承擔本企業工控安全主體責任，建立工控安全管理制度，明確責任人和責任部門，按照“誰運營誰負責、誰主管誰負責”的原則落實工控安全保護責任。

33.強化企業資源保障力度，確保安全防護措施與工業控制系統同步規劃、同步建設、同步使用。

基于指南的工業安全產品介紹

基于《防護指南》安全防護基線要求，結合博智多年來在工業領域深厚的行業經驗積累，推薦以下部分特色產品：

01 博智工業安全管理平臺

博智工業安全管理平臺是工業網絡中集安全設備、安全事件、日志信息進行集中管控的一體化產品，通過對邊界隔離、網絡監測、主機防護、入侵檢測、運維管理等安全產品的集中管控，對工業網絡設備、數據庫、操作員站等設備日志信息的統一收集，實現安全策略的統一配置，以多種可視化方式，統一監控管理分散的安全設備，支持重要安全事件告警。為工控網絡安全運營提供決策支持，加強安全事件響應速度與安全運維能力，提升工控網絡整體信息安全水平。

02 博智工業資產測繪與脆弱性評估系統

博智工業資產測繪與脆弱性評估系統是一款面向監管部門、大中型企事業單位提供資產探測、脆弱性掃描與漏洞驗證于一體的攻擊面識別與管理系統，該系統通過高性能的探測引擎搭配全面的指紋信息庫、漏洞信息庫，POC等知識庫，可以準確識別互聯網上設備暴漏情況，發現聯網設備存在的漏洞和風險，并通過POC庫二次確認資產脆弱性。實施動態資產監控，以實時識別新增或變更的資產，并對這些變更進行深入分析，旨在發現潛在安全漏洞。進一步地，將檢測到的資產與已知漏洞和攻擊手段數據庫進行關聯，為決策支持和風險分類過程提供必要的背景知識。

03 博智工控防火墻

博智工控防火墻是結合前沿安全技術研發出的具有高效率、高安全性、高穩定性的工業安全邊界防護產品，能夠有效對SCADA、DCS、PCS、PLC、RTU等工業控制系統和控制終端設備進行網絡安全防護。用于企業網絡層和生產管理層、生產管理層和過程監控層、過程監控層和現場控制層的邊界，從而阻斷攻擊者的非法訪問、病毒傳播和惡意攻擊。產品采用業界領先的軟、硬件體系架構，對鏈路層、網絡層網絡協議進行解析，更進一步解析到工控網絡包的應用層，配置了工業特性的協議深度解析引擎，可對OPC 、Modbus TCP、Siemens S7、Ethernet/IP(CIP)、IEC104、DNP3、Profinet、Fins、FF等12種主流工控協議進行深度分析，對40多種通用工業協議進行分析，防止非法指令操作工控系統。針對外部入侵，防火墻能夠防止多種DOS攻擊和典型攻擊，過濾木馬、間諜軟件和利用緩沖區溢出的漏洞攻擊。針對網絡情況分析，采用日志方式進行記錄，支持查詢、數據動態可視化。同時可以通過集中管理平臺進行集中管理與控制，進行集中統一的設備管理和狀態監控。

04 博智工業互聯網應急處置工具箱

博智工業互聯網應急處置工具箱遵循“準備-檢測-抑制-根除-恢復-跟蹤”國際化標準應急處置流程，依托《國家網絡安全事件應急預案》、《工業信息安全應急處置工具箱團體標準》等標準，融合各類安全事件處置模板、案例、專家知識庫及工具庫等，針對企業常見的網絡攻擊、病毒傳播、黑客入侵、數據泄露等事件，可以實現應急事件的快速發現、智能引導、風險消除、安全加固、事后總結，有效減小和控制安全事件對工業企業造成的損失，提升監管部門對安全事件的應急處置能力。

05 博智工控漏洞掃描系統

博智工控漏洞掃描系統是一款對工控網絡進行脆弱性分析和評估的綜合管理系統。該系統通過豐富的系統漏洞庫，支持工業控制系統中傳統 IT設備/系統的漏洞風險評估，同時還支持對工業控制系統中所特有的設備/系統，比如SCADA、DCS、PLC等進行已知漏洞的識別和檢測，及時發現安全漏洞，客觀評估工控網絡風險等級。

06 工控漏洞挖掘平臺

工控漏洞挖掘平臺是自主研發用于驗證各類工控設備未知漏洞和安全狀況的產品。通過對當前知名的工控網絡協議進行分析，基于模糊測試理論結合協議特點對協議字段進行變換，實現工控設備安全性及健壯性測試，深度挖掘工控設備存在的各類已知和未知漏洞，定位問題根源，提高工控設備的安全等級。被測設備覆蓋PLC、DCS、RTU、DCS、SCADA、工業操作系統等。

行業應用

博智工控安全產品廣泛應用于電力、軌交、化工、鋼鐵、智能制造、煙草、水利、煤炭等行業。