关于加强工业控制系统信息安全管理的通知

工业和信息化部关于印发《工业控制系统信息安全行动计划（2018-2020年）》的通知文章属性•【制定机关】工业和信息化部•【公布日期】2017.12.12•【文号】工信部信软〔2017〕316号•【施行日期】2017.12.12•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】电子信息正文工业和信息化部关于印发《工业控制系统信息安全行动计划（2018-2020年）》的通知工信部信软〔2017〕316号各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门，有关中央企业：为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》等文件精神，加快我国工业控制系统信息安全保障体系建设，提升工业企业工业控制系统信息安全防护能力，促进工业信息安全产业发展，制定《工业控制系统信息安全行动计划（2018-2020年）》。

现印发你们，请结合实际，抓好贯彻落实。

附件：工业信息安全行动计划（2018-2020年）工业和信息化部2017年12月12日附件工业控制系统信息安全行动计划（2018-2020年）工业控制系统信息安全（以下简称工控安全）是实施制造强国和网络强国战略的重要保障。

近年来，随着中国制造全面推进，工业数字化、网络化、智能化加快发展，我国工控安全面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等新挑战。

为全面落实国家安全战略，提升工业企业工控安全防护能力，促进工业信息安全产业发展，加快我国工控安全保障体系建设，制定本行动计划。

一、总体要求（一）指导思想全面贯彻落实党的十九大精神，以习近平新时代中国特色社会主义思想为指引，坚持总体国家安全观，以落实企业主体责任为关键，紧紧围绕新时期两化深度融合发展需求，重点提升工控安全态势感知、安全防护和应急处置能力，促进产业创新发展，建立多级联防联动工作机制，为制造强国和网络强国战略建设奠定坚实基础。

内蒙古自治区工业和信息化厅关于印发《内蒙古自治区工业领域网络安全工作指南》的通知文章属性•【制定机关】内蒙古自治区工业和信息化厅•【公布日期】2017.06.08•【字号】内经信发〔2017〕68号•【施行日期】2017.06.08•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】工业和信息化管理综合规定正文内蒙古自治区工业和信息化厅关于印发《内蒙古自治区工业领域网络安全工作指南》的通知各盟市经济和信息化委员会：为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号）和工信部关于印发《工业控制系统信息安全防护指南》的通知（工信部信软〔2016〕338号），保障工业企业工业控制系统信息安全，制定《内蒙古自治区工业领域网络安全工作指南》，现印发你们。

自治区经济和信息化委员会指导和管理全区工业企业工控安全防护和保障工作，并根据实际情况对此工作指南进行修订。

2017年6月8日内蒙古自治区工业领域网络安全工作指南一、背景及意义在传统的工业信息安全问题依然存在的情况下，“工业4.0”、“工业互联网”、“中国制造2025”等概念正推动着工业控制系统向数字化、网络化、开放化、集成化的工业互联方向发展，广泛而深度的互联使得工业控制系统将面临更加复杂的信息安全威胁。

2011年9月工信部发布《关于加强工业控制系统信息安全管理的通知》（[2011]451号文），标志着中国工业控制系统信息安全工作正式启动。

从习近平总书记在2016年4月19日的网络安全和信息化工作座谈会的讲话，到2016年10月工业和信息化部印发《工业控制系统信息安全防护指南》；从2014年12推荐性国家标准GB/T30976.1~.2-2014《工业控制系统信息安全》正式推出到2016年11月《中华人民共和国网络安全法》正式发布，显示了中国各个层面对工业控制系统信息安全的日益重视。

2015年4月13日，内蒙古自治区经济和信息化委员会印发《关于开展全区重要工业控制系统基本情况调查的通知》（内经信信安字[2015]108号文），在全区范围内组织开展重要工业控制系统基本情况调查，在此基础上开展全区工业控制系统信息安全试点示范工作。

《关于加强工业控制系统信息安全管理的通知》关于加强工业控制系统信息安全管理的通知工信部协[2011]451号各省、自治区、直辖市人民政府，国务院有关部门，有关国有大型企业：工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。

一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。

与此同时，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。

对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。

二、明确重点领域工业控制系统信息安全管理要求加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。

各地区、各部门、各单位要结合实际，明确加强工业控制系统信息安全管理的重点领域和重点环节，切实落实以下要求。

工业和信息化部关于印发工业控制系统网络安全防护指南的通知文章属性•【制定机关】工业和信息化部•【公布日期】2024.01.19•【文号】工信部网安〔2024〕14号•【施行日期】2024.01.19•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】工业和信息化管理综合规定正文工业和信息化部关于印发工业控制系统网络安全防护指南的通知工信部网安〔2024〕14号各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门，有关企事业单位：现将《工业控制系统网络安全防护指南》印发给你们，请认真抓好落实。

工业和信息化部2024年1月19日工业控制系统网络安全防护指南工业控制系统是工业生产运行的基础核心。

为适应新时期工业控制系统网络安全（以下简称工控安全）形势，进一步指导企业提升工控安全防护水平，夯实新型工业化发展安全根基，制定本指南。

使用、运营工业控制系统的企业适用本指南，防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。

一、安全管理（一）资产管理1.全面梳理可编程逻辑控制器（PLC）、分布式控制系统（DCS）、数据采集与监视控制系统（SCADA）等典型工业控制系统以及相关设备、软件、数据等资产，明确资产管理责任部门和责任人，建立工业控制系统资产清单，并根据资产状态变化及时更新。

定期开展工业控制系统资产核查，内容包括但不限于系统配置、权限分配、日志审计、病毒查杀、数据备份、设备运行状态等情况。

2.根据承载业务的重要性、规模，以及发生网络安全事件的危害程度等因素，建立重要工业控制系统清单并定期更新，实施重点保护。

重要工业控制系统相关的关键工业主机、网络设备、控制设备等，应实施冗余备份。

（二）配置管理3.强化账户及口令管理，避免使用默认口令或弱口令，定期更新口令。

遵循最小授权原则，合理设置账户权限，禁用不必要的系统默认账户和管理员账户，及时清理过期账户。

执行摘要随着工业信息化进程的快速推进，信息、网络以及物联网技术在智能电网、智能交通、工业生产系统等工业控制领域得到了广泛的应用，极大地提高了企业的综合效益。

为实现系统间的协同和信息分享，工业控制系统也逐渐打破了以往的封闭性：采用标准、通用的通信协议及硬软件系统，甚至有些工业控制系统也能以某些方式连接到互联网等公共网络中。

这使得工业控制系统也必将面临病毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁，而且由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要的行业中，其安全事故造成的社会影响和经济损失会更为严重。

出于政治、军事、经济、信仰等诸多目的，敌对的国家、势力以及恐怖犯罪分子都可能把工业控制系统作为达成其目的的攻击目标。

工业控制系统脆弱的安全状况以及日益严重的攻击威胁，已经引起了国家的高度重视，甚至提升到‘国家安全战略’的高度，并在政策、标准、技术、方案等方面展开了积极应对。

在明确重点领域工业控制系统信息安全管理要求的同时，国家主管部门在政策和科研层面上也在积极部署工业控制系统的安全保障工作。

近年来，以“伊朗布什尔核电站遭到‘震网病毒’攻击”为代表的一系列针对工业控制系统的信息安全事件表明：攻击者正普遍采用被称为高级持续性威胁（Advanced Persistent Threat，简称APT）的新型攻击手段。

攻击者不仅具有明确的攻击目标，而且在攻击时也多采用有组织的多攻击协同模式；显然，这种新型的攻击手段更难防御，对安全厂商及相关研究机构的安全服务能力提出了更高的挑战。

但由于国内工业控制系统及其工作环境的相对封闭性，国内安全研究团队的研究对象多集中在互联网和传统的信息系统上。

在工业控制系统安全方面自然不会有太多的研究成果和实践经验。

另一方面，工业控制系统提供商则更关注工业控制系统的可用性和实时性，对系统的安全性也是很少涉及。

在这种背景下，我们及时成立了一个有多名资深技术专家所组成的研究团队来专门从事工业控制系统的安全研究。

山西省煤炭工业厅文件晋煤办信发[ 2012]598号关于印发《山西省煤炭工业信息化发展“十二五”规划的通知》各市煤炭工业局、各国有重点煤矿集团公司、山西煤炭运销集团公司、山西煤炭进出口集团公司、平朔煤炭工业公司、山西正华实业集团公司、有关直属单位、机关有关处室：为推进我省煤炭工业机械化与信息化深度融合，提高煤炭经济各领域信息化水平，着眼于建设世界一流、全国先进的机械化、信息化、自动化、智能化、现代化矿井，实施高标准、高科技、高管理、商端化、高要求、高质量、高效益、现代文明的“七高一文明”发展新模式，率先走出转型跨越发展新路，省厅编制了《山西省煤炭工业信息化发展“十二五”规划》。

现将该《规划》印发给你们，请认真组织落实。

并强调以下几项工作：一、进一步增强信息化意识，提高两化融合认识信息化是山西煤炭工业率先走出转型跨越发展新路的必然选择和迫切要求。

各单位要进一步提高对信息化，特别是两化深度融合重要性、紧迫性、复杂性的认识。

“十二五”时期，我省煤炭工业要打造以煤为基、多元发展的新格局，煤炭企业要增强经济效益、提升核心竞争力、实现安全生产，两化融合是不可跨越的、是早晚必然要做的事情，不能用别的方式替代。

一定要从当前、长远，战略、全局、历史的高度充分认识加快信息化建设、推进两化融合的现实意义、重要意义和历史意义。

二、进一步加强领导，建立健全工作机构各市、县（区）煤炭局要成立信息化工作领导小组，由主要负责人任组长，形成省、市、县三级信息化组织保障体系，加强领导，统筹规划；要建立健全信息化工作机构，要有明确职能、编制，落实经费来源。

各集团公司、各煤矿企业，要成立由主要领导为组长、各主要业务部门负责人组成的信息化（两化融合）工作领导小组，主要负责人要直接参与信息化、两化融合工作重要决策，协调、推动信息化建设；要进一步建立健全信息化工作机构，强化统一管理职能；要建立健全信息化激励约束机制，将信息化成效列入对各部门和各成员单位工作绩效考核内容，促进责任与权利紧密结合，从组织上、制度上确保信息化工作健康发展。

关于开展工业控制系统信息安全检查工作的通知各师（市）工业和信息化主管部门，兵团国资公司：按照《工业和信息化部办公厅关于开展2017年工业控制系统信息安全检查工作的通知》（工信厅信软函〔2017〕194号）文件要求，为推动《工业控制系统信息安全防护指南》落地实施，加强对工业控制系统信息安全工作的指导和监督，我委将组织开展工业控制系统信息安全检查工作，现将有关要求通知如下。

一、加强领导，落实责任工控系统安全事关工业生产、社会稳定和国家安全。

各师要高度重视，把此次检查工作列入重要议事日程，加强组织领导，落实检查责任，领会文件要求。

明确检查工作分管领导和具体负责人，按照检查任务要求，周密计划，精心部署，认真实施。

二、全面梳理，深入检查各师要全面梳理工业控制系统应用情况，建立管理台账，督促本地区工业企业深入查找安全问题和隐患，切实摸清工控系统安全状况。

三、即查即改，确保成效对检查中发现的问题要及时整改，各师要结合工业和信息化部《工业控制系统信息安全防护指南》要求，督促各工业企业有针对性地落实管理和技术防护措施，有效提升工控系统信息安全水平。

四、严格审核、按时报送请各师对检查数据要严格审核把关，并根据要求（详见附件）做好本地区自查工作。

请于6月15日前将自查情况（附件1和附件2）反馈我委（信息化工作处）。

我委将组织专业技术队伍对相关单位开展安全抽查和深度核查，具体工作安排另行通知。

本通知及所附文件电子版可从兵团工信委网站（xx）的通知栏中下载。

联系人：xxE-mail: xx附件：1．工业控制系统信息安全自查工作报告参考格式2．工业控制系统基本情况自查表3．规模以上重点行业企业名单兵团工业和信息化委员会2017年５月11日附件1工业控制系统信息安全自查工作报告参考格式一、报告名称（各师名称）2017年工业控制系统信息安全检查总结报告。

二、报告内容要求（一）组织开展工业控制系统基本情况概述检查工作组织开展情况、所梳理的工业控制系统基本情况。

工业控制系统信息安全管理制度1 适用范围为了规范公司工业控制系统的使用和操作，防止发生人为或意外损坏系统事故以及误操作引起的设备停运，保证工控系统的稳定运行，特制定本制度。

本制度适用于DCS及DEH系统以及辅控网DCS。

2 计算机使用管理2.1 工程师站严格按照权限进行操作，无关人员不准使用。

2.2 工程师站、操作员站等人机接口系统应分级授权使用。

严禁非授权人员使用工程师站的系统组态功能，工程师站用户的权限可以实施逻辑修改和系统管理工作；操作员站用户权限，查看运行状态画面，实施监控。

2.3 每三个月更改一次口令，同时检查每一级用户口令的权限设置应正确。

口令字长应大于6个字符并由字母数字混合组成。

修改后的口令应填写《DCS系统机器密码记录》，妥善保管。

2.4 计算机在使用过程中发生异常情况，立即停止当前操作，通知集控室负责人和相关维修人员。

如服务器发生故障，按各《信息系统故障应急预案》操作，维修人员记录《软件故障处理和修改记录》。

2.5 使用工程师站计算机后，需详细填写《工程师站出入及机器使用记录》后方可离开。

3 软件保护3.1 严禁在计算机控制系统中使用其他无关软件。

除非软件升级或补丁的需要，严禁在计算机控制系统中使用U盘、光盘等。

3.2 禁止向DCS网络中连接系统外接计算机、手机。

3.3 在连接到DCS中的计算机上进行操作时，使用的可读写存储介质必须是固定的一个设备，并且在每次使用前对其进行格式化处理，然后才可以接入以上计算机。

4 软件的修改、保存及维护4.1 更新、升级计算机系统软件、应用软件或下载数据，其存储介质须是本计算机控制系统专用存储介质，不允许与其他计算机系统交换使用。

4.2进行计算机软件、系统组态、设定值等修改工作，必须严格执行相关审批手续后方可工作，同时填写《组态及参数修改记录》，并及时做好修改后的数据备份工作。

5 软件和数据库备份5.1 计算机控制系统的软件和数据库、历史数据应定期进行备份，完全备份间隔三个月一次，系统备份必须使用专用的U盘备份，并且由系统管理员进行相关操作。

工业控制系统信息安全管理制度一、总则二、适用范围本制度适用于企业的工业控制系统信息安全管理工作。

三、基本原则1.安全第一原则：工业控制系统的信息安全管理工作必须放在首位，确保系统运行的安全性和稳定性。

2.防范为主原则：在保护工业控制系统信息安全的前提下，采取预防措施，最大限度地减少信息泄露和攻击风险。

3.分级管理原则：按照工业控制系统的重要性和敏感程度进行分级管理，建立相应的安全防护措施。

4.完整性原则：保证工业控制系统信息的完整性和准确性，杜绝恶意篡改和伪造。

5.认知与宣传原则：加强对企业人员的安全意识教育，提高信息安全保护的宣传和认知。

四、工业控制系统信息安全管理措施1.网络安全（1）建立完善的网络安全管理，编制网络安全管理制度，明确网络安全责任和权限。

（2）合理划分网络安全域，建立网络隔离机制，控制网络访问权限。

（3）定期进行网络安全漏洞扫描和安全评估，及时修补和强化网络安全防护措施。

2.数据安全（1）对重要数据和信息进行分类，建立合理的数据分类管理制度。

（2）建立严格的数据备份和恢复机制，确保系统数据的完整和可靠性。

（3）采用加密技术，对敏感信息进行加密传输和存储。

3.认证与授权管理（1）建立用户身份认证制度，确保只有授权用户才能访问工业控制系统。

（2）设立合理的授权管理机制，限制用户权限，防止恶意操作和数据泄露。

4.安全监控与审计（1）安装安全监控系统，实时监测工业控制系统的运行状态和安全事件。

（2）建立安全审计制度，定期对工业控制系统的安全情况进行全面审查和分析。

5.应急响应与处置（1）建立工业控制系统安全事件应急响应预案，明确责任和流程。

（2）定期组织安全演练，提升应急响应和处置的能力。

五、责任与制度执行1.工业控制系统信息安全管理责任由企业管理部门统一负责，设立信息安全管理岗位。

2.企业应建立信息安全管理委员会，制定相应的工作计划和目标。

3.所有员工必须接受信息安全教育和培训，并签署保密协议。

附件1：关于加强工业控制系统信息安全管理的通知工信部协[2010]451号各省、自治区、直辖市人民政府，国务院有关部门，有关国有大型企业：工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。

一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。

与此同时，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。

对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。

二、明确重点领域工业控制系统信息安全管理要求加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。

各地区、各部门、各单位要结合实际，明确加强工业控制系统信息安全管理的重点领域和重点环节，切实落实以下要求。

（一）连接管理要求。

宁夏回族自治区经济和信息化委员会关于开展全区重要工业控制系统基本情况调查的通知正文：---------------------------------------------------------------------------------------------------------------------------------------------------- 宁夏回族自治区经济和信息化委员会关于开展全区重要工业控制系统基本情况调查的通知自治区有关部门、单位，五市工信局，有关企业：为落实《关于加强工业控制系统信息安全管理的通知》（工信部协〔2011〕451号）精神和我区《关于加强工业控制系统信息安全管理的通知》（宁经信电子发[2011]584号）通知要求，自治区经济和信息化委决定在全区范围内开展重要工业控制系统基本情况调查。

现将有关事项通知如下：一、调查对象本次调查主要针对钢铁、有色、化工、石油石化、电力天然气、先进制造、水利枢纽、环境保护、铁路、城市交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域中应用的重要工业控制系统。

重要工业控制系统是指一旦出现事故可能导致下列情况之一的工业控制系统：（1）10人以上死亡或50人以上重伤；（2）5000万元以上直接经济损失；（3）影响100万人以上正常生活；（4）对国家安全、社会秩序、经济建设和公共利益产生重大影响等严重后果。

二、调查组织自治区有关部门、单位，五市工信局，有关企业要按照属地化管理的原则，组织本地区的重要工业控制系统运营单位做好《重要工业控制系统基本情况调查表》（见附件）的填报工作。

三、保密要求要重视重要工业控制系统的信息保密工作，相关表格一旦填写，要按照国家相关保密规定，妥善管理。

四、调查汇总自治区有关部门、单位，五市工信局，有关企业，要建立本地区的重要工业控制系统基本情况数据库，做好重要工业控制系统基本情况统计分析和总结工作（包括被调查的运营单位数量、重要工业控制系统数量、主要工业控制产品的品牌、系统国产化率等情况）。

加强工业控制系统安全防护的认识与思考作者：王伟来源：《中国信息化》2014年第09期【摘要】随着新型工业化与信息化深度融合的快速推进，工业控制系统进入了新的发展阶段，为我国经济建设快速成长发挥了重要的作用，现已广泛应用于工业、能源、交通、水利以及市政等领域生产设备的控制运行。

一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患，切实加强工业控制系统安全防护，是信息安全保障建设的重大课题。

【关键词】工控系统；信息安全一、工业控制系统架构与安全威胁工业控制系统是类似互联网技术的一种通用信息技术，是由计算机设备与工业过程控制部件构成的网络化控制系统，广泛应用于工业部门和基础设施中。

抽象的工业控制系统一般具备五层结构；最底层（0层）为工业过程基础设施，第1层为可编程逻辑控制器/远程控制终端（PLC/RTU），第2层为中心站与PLC远程终端组成的局域网规模的分布式控制系统（DCS），第3层为中心站与RTU远程终端或DCS组成的广域网规模的数据采集与监控系统（ SCADA），第4层则是包括SCADA或DCS在内的企业级信息管理系统。

工业控制系统的安全与因特网安全既有共性之处也有异性之别，共性在于都要防病毒等恶意软件和黑客入侵，异性在于两者体系结构截然不同，一是工业控制系统是高度集中的纵向多层次结构，传输内容与因特网不同，全部是直接控制工业设备的指令信息；二是安全问题，因特网大多集中在信息交互层面，而工业控制系统则大多集中在物理层面。

工业控制系统一经应用，就出现各种各样的安全威胁，主要表现为三类：1、来自自然环境因素和系统本身脆弱性。

2003年8月，北美发生大停电事件，起因于俄亥俄州电厂高压电线触及路旁树枝而造成局部跳电，但监控电厂运行状态的软件有设计错误，关键时刻并未报警，致使操作员未能及时发现并处理跳电以至负载失衡扩散，造成邻近电厂接连跳电，导致空前大停电，影响5000万人生活，造成100多亿美元的经济损失。

工业控制系统信息安全防护指南工业和信息化部关于印发《工业控制系统信息安全防护指南》的通知为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号），保障工业企业工业控制系统信息安全，制定《工业控制系统信息安全防护指南》，现印发你们。

工业和信息化部指导和管理全国工业企业工控安全防护和保障工作，并根据实际情况对指南进行修订。

地方工业和信息化主管部门根据工业和信息化部统筹安排，指导本行政区域内的工业企业制定工控安全防护实施方案，推动企业分期分批达到本指南相关要求。

工业和信息化部2016年10月17日工业控制系统信息安全防护指南工业控制系统信息安全事关经济发展、社会稳定和国家安全。

为提升工业企业工业控制系统信息安全（以下简称工控安全）防护水平，保障工业控制系统安全，制定本指南。

工业控制系统应用企业以及从事工业控制系统规划、设计、建设、运维、评估的企事业单位适用本指南。

工业控制系统应用企业应从以下十一个方面做好工控安全防护工作。

一、安全软件选择与管理（一）在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行。

（二）建立防病毒和恶意软件入侵管理机制，对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。

二、配置和补丁管理（一）做好工业控制网络、工业主机和工业控制设备的安全配置，建立工业控制系统配置清单，定期进行配置审计。

（二）对重大配置变更制定变更计划并进行影响分析，配置变更实施前进行严格安全测试。

（三）密切关注重大工控安全漏洞及其补丁发布，及时采取补丁升级措施。

在补丁安装前，需对补丁进行严格的安全评估和测试验证。

三、边界安全防护（一）分离工业控制系统的开发、测试和生产环境。

（二）通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护，禁止没有防护的工业控制网络与互联网连接。

（三）通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。

工业控制系统信息安全一、工业控制系统安全分析工业控制系统(Industrial Control Systems, ICS)，是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。

其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)，以及确保各组件通信的接口技术。

典型的ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成，控制回路用以控制逻辑运算，HMI 执行信息交互，远程诊断与维护工具确保ICS能够稳定持续运行。

1.1 工业控制系统潜在的风险1.的安全漏洞问题由于考虑到工控软件与操作系统补丁兼容性的问题，系统开车后一般不会对Windows 平台打补丁，导致系统带着风险运行。

2. 杀毒软件安装及升级更新问题用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑，通常不安装杀毒软件，给病毒与恶意代码传染与扩散留下了空间。

3. 使用、光盘导致的病毒传播问题。

由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理，导致外设的无序使用而引发的安全事件时有发生。

4. 设备维修时笔记本电脑的随便接入问题工业控制系统的管理维护，没有到达一定安全基线的笔记本电脑接入工业控制系统，会对工业控制系统的安全造成很大的威胁。

5. 存在工业控制系统被有意或无意控制的风险问题如果对工业控制系统的操作行为没有监控和响应措施，工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。

6. 工业控制系统控制终端、、网络设备故障没有及时发现而响应延迟的问题对工业控制系统中IT基础设施的运行状态进行监控，是工业工控系统稳定运行的基础。

1.2 “两化融合”给工控系统带来的风险工业控制系统最早和企业管理系统是隔离的，但近年来为了实现实时的数据采集与生产控制，满足“两化融合”的需求和管理的方便，通过逻辑隔离的方式，使工业控制系统和企业管理系统可以直接进行通信，而企业管理系统一般直接连接Internet，在这种情况下，工业控制系统接入的范围不仅扩展到了企业网，而且面临着来自Internet的威胁。

《工业控制系统信息安全行动计划（2018-2020年）》解读工业控制系统包括了一系列的自动化设备和工程技术，用于监测、控制和优化工业生产。

随着数字化时代的到来，工业控制系统的重要性越来越凸显出来。

然而，由于工业控制系统的复杂性和开放性，其安全性一直备受关注。

为了确保工业控制系统的信息安全，2018-2020年间，我国工控系统倡议提出了一系列关于工业控制系统信息安全的行动计划。

本文将就这些计划进行解读。

一、重点领域建设第一个行动计划是重点领域建设。

这个计划主要针对我国工业控制系统安全领域的短板和弱点进行缩小和修补。

目标是通过完善专业领域知识体系，构建工业控制系统安全管理完整的生态体系。

这些计划有以下几个方面：1.信息安全技术能力提升：在这个计划中，需要提升我国工业控制系统相关企业所需的信息安全技术能力及人员素质水平，建立专门的工控系统技术人员培训和咨询机构。

2.重点行业健康水平提升：针对我国工控系统安全领域中存在的短板和弱点，选择重点行业进行全面健康水平提升，促进外部环境的变革。

3.设立国家工控安全实验室：建立权威的工控安全实验室，对工控系统安全相关问题进行深度研究和解决。

二、严格管理措施第二个行动计划是建立严格的工控系统安全管理措施。

随着工控系统的数字化进程，工控系统安全风险也越来越大。

在这种情况下，建立严格的管理措施至关重要。

1.建立标准和认证体系：制定专项的企业标准及认证体系，以确保相关企业的工控系统规范性和安全性。

2.强化技术保障建设: 加强工控系统相关技术的保障建设，根据国际先进水平，搭建适应工控系统的安全技术平台。

3.实行积极监管：采取有效的监管手段，督促有关企业加强对工控系统的安全管理，及时发现和消除安全隐患，降低信息安全事件的发生率。

三、提高技术研发能力第三个行动计划是提高技术研发能力。

随着工业控制系统信息化和数字化的推进，工控系统的风险日益增加。

解决工控系统的安全问题需要合理的技术研发保障。

工业控制系统信息安全管理制度为了保障工业控制系统的信息安全，防止因信息泄露、损毁、篡改等导致的严重后果，加强信息安全管理具有非常重要的意义。

以下是一个工业控制系统信息安全管理制度的简单示范，其中包含了常见的管理措施和规定。

1、信息安全管理责任公司应建立信息安全管理机构，明确信息安全管理人员的职责和授权。

同时各级领导也应承担相应的信息安全管理责任，并提高安全意识，不得放松对信息安全的重视和监管。

2、信息安全管理制度建立公司应建立完善的信息安全管理制度，包括但不限于信息安全等级保护制度、信息分类与保密制度、信息安全事件管理制度、信息安全培训计划和考核制度等。

在实际操作中应结合实际情况予以制定或调整。

3、信息安全管理措施在数据上的储存、传送、处理及使用过程中，应采取合理的措施，包括但不限于密码控制、访问控制、审计追踪、备份灾难恢复等，确保系统的完整性、可用性、保密性。

4、信息安全保障技术应建立相应的技术保障措施，包括但不限于入侵检测、防火墙、病毒防护、数据加密等，以及及时升级和修补相关软件漏洞的工作机制，充分保障信息系统的安全性。

5、内部控制制度建立涵盖数据收集、存储、处理、传输和使用等环节的内部控制制度，以规范信息的采集、处理和传输操作，防止内部人员恶意泄露和利用信息等风险。

6、人员安全管理尽量减少对外地点或运营方的人员接触，对必须接触的人员要进行严格的身份认证和审查。

内部人员应签署保密协议，限制数据访问权限，并接受定期的保密培训和考核。

7、安全事件应急预案建立应急响应机制，按照预警、调查、处理、总结的流程开展应急处理工作。

做到能够第一时间进行事件暴露和处置，并及时向上级部门及时汇报，减小损失的发生，保障系统的安全和稳定。

8、验收规定下属管理机构或在新工控系统或重大改造投入使用时，应对其进行验收，并对系统数据进行检查和备份。

对验收结果负责，确保系统安全，做到力争“牢不可破”。

总之，建立工业控制系统信息安全管理制度是保障信息安全的最基础、最必要的步骤。