工业和信息化部关于印发《工业控制系统信息安全防护指南》的通知
1 工信部解读
工业控制系统信息安全(以下简称“工控安全”)是国家网络和信息安全的重要组成部分,是推动中国制造2025、制造业与互联网融合发展的基础保障。2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》(以下简称《指南》),指导工业企业开展工控安全防护工作。
一、背景情况
工控安全事关经济发展、社会稳定和国家安全。近年来,随着信息化和工业化融合的不断深入,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化。在生产力显著提高的同时,工业控制系统面临着日益严峻的信息安全威胁。为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)文件精神,应对新时期工控安全形势,提升工业企业工控安全防护水平,编制本《指南》。
二、总体考虑
《指南》坚持“安全是发展的前提,发展是安全的保障”,以当前我国工业控制系统面临的安全问题为出发点,注重防护要求的可执行性,从管理、技术两方面明确工业企业工控安全防护要求。编制思路如下:
(一)落实《国家网络安全法》要求
《指南》所列11项要求充分体现了《国家网络安全法》中网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置等法规在工控安全领域的要求,是《国家网络安全法》在工业领域的具体应用。
(二)突出工业企业主体责任
《指南》根据我国工控安全管理工作实践经验,面向工业企业提出工控安全防护要求,确立企业作为工控安全责任主体,要求企业明确工控安全管理责任人,落实工控安全责任制。
(三)考虑我国工控安全现状
《指南》编制以近五年我部工控安全检查工作掌握的有关情况为基础,充分考虑当前工控安全防护意识不到位、管理责任不明晰、访问控制策略不完善等问题,明确了《指南》的各项要求。
(四)借鉴发达国家工控安全防护经验
《指南》参考了美国、欧盟、日本等发达国家工控安全相关政策、标准和最佳实践做法,对安全软件选择与管理、配置与补丁管理、边界安全防护等措施进行了论证,提高了《指南》的科学性、合理性和可操作性。
(五)强调工业控制系统全生命周期安全防护
《指南》涵盖工业控制系统设计、选型、建设、测试、运行、检修、废弃各阶段防护工作要求,从安全软件选型、访问控制策略构建、数据安全保护、资产配置管理等方面提出了具体实施细则。
2 《指南》条款及实施建议
工业控制系统信息安全事关经济发展、社会稳定和国家安全。为提升工业企业工业控制系统信息安全(以下简称工控安全)防护水平,保障工业控制系统安全,制定本指南。
工业控制系统应用企业以及从事工业控制系统规划、设计、建设、运维、评估的企事业单位适用本指南。
工业控制系统应用企业应从以下十一个方面做好工控安全防护工作。
2.1安全软件选择与管理
(一)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
【工信部解读】
工业控制系统对系统可用性、实时性要求较高,工业主机如MES服务器、OPC服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在离线环境中进行测试与验证,其中,离线环境指的是与生产环境物理隔离的环境。验证和测试内容包括安全软件的功能性、兼容性及安全性等。
【实施建议】
1、 应建设离线工业控制系统仿真测试环境,包括操作系统、工业软件、典型控制器等,用于安全软件与工控系统的兼容性测试。
2、 宜选择具有较多应用案例,经过多个应用场景充分验证的工业主机安全防护软件,包括防病毒软件或应用程序白名单软件。
3、 应在离线测试环境中进行全面测试,验证其是否会对工控系统的正常运行造成影响。
4、 应在安装安全软件前,利用工业主机安全检查工具对工业主机进行全面检查,明确工业主机存在的安全隐患并根据风险状况进行相应的处理。
5、 应在确定不影响整体生产运营前提下,在工业主机上安装工业主机安全防护软件,提升工业主机安全防护能力。
(二)建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。
【工信部解读】
工业企业需要建立工业控制系统防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采用必要的安全预防措施。安全预防措施包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入U盘、移动终端等外设)等。
【实施建议】
1、 应制定针对工业主机进行病毒和恶意软件的防护管理机制,明确组织、人员、责任、流程和工具。
2、 应建立工业主机资产清单,明确工业主机实际情况,包括设备型号、操作系统、工业软件等。
3、 应采取技术或管理措施保证接入工控系统的U盘等外设接入设备为专用设备。
4、 应定期对接入工控系统的U盘等外设进行病毒查杀。
5、 宜选择具有较强计算机病毒分析和处理能力厂商的主机安全检查工具或具有杀毒功能的工业主机防护软件,其病毒库应定期升级。
2.2配置和补丁管理
(一)做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。
【工信部解读】
工业企业应做好虚拟局域网隔离、端口禁用等工业控制网络安全配置,远程控制管理、默认账户管理等工业主机安全配置,口令策略合规性等工业控制设备安全配置,建立相应的配置清单,制定责任人定期进行管理和维护,并定期进行配置核查审计。
【实施建议】
1、 应制定配置管理相关制度,明确配置变更要求和流程;
2、 应建立配置清单,核查企业工业控制网络安全配置(如网络分区、端口禁用等)、工业主机安全配置(如远程控制管理、默认账户管理等)、工业控制设备安全配置(如口令合规性等),评估其安全配置是否存在安全风险隐患;
3、 应定期审计工业控制系统安全配置清单并进行记录,审计周期最长不超过1年;
(二)对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。
【工信部解读】
当发生重大配置变更时,工业企业应及时制定变更计划,明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项。其中,重大配置变更是指重大漏洞补丁更新、安全设备的新增或减少、安全域的重新划分等。同时,应对变更过程中可能出现的风险进行分析,形成分析报告,并在离线环境中对配置变更进行安全性验证。
【实施建议】
1、 应在配置变更前制定配置变更计划,明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项。
2、 应评估配置变更是否会降低企业工业控制系统安全防护水平、是否会影响工业控制系统正常运行;
3、 应在配置变更前开展安全测试,确定其安全风险和对工业控制系统正常运行的影响。
(三)密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。
【工信部解读】
工业企业应密切关注CNVD、CNNVD等漏洞库及设备厂商发布的补丁。当重大漏洞及其补丁发布时,根据企业自身情况及变更计划,在离线环境中对补丁进行严格的安全评估和测试验证,对通过安全评估和测试验证的补丁及时升级。
【实施建议】
1、 应指定责任人负责重大工控安全漏洞、补丁的跟踪和升级工作;
2、 应建立工控安全漏洞、补丁信息的固定收集渠道,评估其对企业工控系统的影响;
3、 工业企业宜与安全厂商、工控系统厂商、行业研究机构等建立工控漏洞、补丁等的信息共享和通报机制。
4、 在补丁安装前应进行严格的安全评估与测试验证,保证不会影响工控系统正常运行,必要时由工控系统厂商进行确认和实施。应保存安全评估测试的相关证明材料(如安全评估测试方案、测试报告等)。
2.3边界安全防护
(一)分离工业控制系统的开发、测试和生产环境。
【工信部解读】
工业控制系统的开发、测试和生产环境需执行不同的安全控制措施,工业企业可采用物理隔离、网络逻辑隔离等方式进行隔离。
【实施建议】
1、 应梳理业务流程,合理划分网络结构,分离工控系统的开发、测试和生产环境,确定网络边界。
2、 开发、测试和生产环境应进行物理隔离,如因业务等原因无法实施,应进行网络逻辑隔离。
(二)通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。
【工信部解读】
工业控制网络边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。工业企业应根据实际情况,在不同网络边界之间部署边界安全防护设备,实现安全访问控制,阻断非法网络访问,严格禁止没有防护的工业控制网络与互联网连接。
【实施建议】
1、 应评估业务流程,避免不必要的工控网络对企业网或互联网连接。
2、 对于安全要求高、数据实时性要求低的网络边界,应基于最小访问权限管理原则采用工业网闸或单向隔离设备进行边界防护。
3、 对于数据传输要求双向并对数据实时性要求较高的网络边界,应基于最小访问权限管理原则采用工业防火墙进行边界防护。
4、 应根据工业网络隔离设备的应用场景,参照相同应用条件下工控系统的可靠性设计和验证标准,确定隔离设备的硬件可靠性要求。
5、 应根据工业网络隔离设备的应用场景,确定设备支持的通信协议,特别是工业专有通信协议要求。
6、 禁止没有防护的工业控制网络与互联网连接。
(三)通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。
【工信部解读】
工业控制系统网络安全区域根据区域重要性和业务需求进行划分。区域之间的安全防护,可采用工业防火墙、网闸等设备进行逻辑隔离安全防护。
【实施建议】
1、 应根据生产工艺特点、安全风险等级等因素对工业控制网络划分安全区域,确定安全域边界。
2、 应在安全域边界,基于最小访问权限管理原则,采用工业防火墙、网闸等设备进行边界安全防护。
2.4物理和环境安全防护
(一)对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。
【工信部解读】
工业企业应对重要工业控制系统资产所在区域,采用适当的物理安全防护措施。
【实施建议】
1、 应建立工业控制系统物理和环境安全防护的管理制度,规范组织、人员、责任、流程和工具。
2、 应确定重要工业控制系统资产的范围,包含工程师站、操作员站、历史/实时数据库服务器、计算服务器、工业交换机、现场触摸屏、核心工业控制器(DCS、PLC)等与工控生产密切相关的终端或设备。
3、 应将重要工业控制系统资产部署在物理安全防护区域内,与企业其它资产物理隔离。
4、 核心防护区域应7*24小时视频监控。
5、 电子间、网络机房、主控室应部署电子门禁(指纹、磁卡、人脸识别等)系统。
6、 应对人员出入记录进行登记,且有专人进行记录检查,对非授权人员进入要进行排查。
7、 电子间、网络机房应建立必要的防雷击措施,例如避雷针、电源地线、防雷保安器等;建立必要的消防措施,例如具备灭火设施(干粉灭火器、水基灭火器、七氟丙烷气体灭火系统)、火灾报警系统等;建立必要的电力供应系统,是否具备冗余供电能力,例如是否设置了冗余或并行的电力电缆线路、UPS,如果无两路市电是否具备柴油发电机等相关设备等。
(二)拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用,通过主机外设安全管理技术手段实施严格访问控制。
【工信部解读】
USB、光驱、无线等工业主机外设的使用,为病毒、木马、蠕虫等恶意代码入侵提供了途径,拆除或封闭工业主机上不必要的外设接口可减少被感染的风险。确需使用时,可采用主机外设统一管理设备、隔离存放有外设接口的工业主机等安全管理技术手段。
【实施建议】
1、 如业务不需要U盘和光驱等外设接口,应从物理上拆除外设接口或者插入相应的封堵装置,操作系统内通过安全策略限制移动外设装置的读取。
2、 如因业务需要必须接入U盘等外设,应采取技术或管理措施保证接入工控系统的设备为专用设备,应定期对接入工控系统的U盘等外设进行病毒查杀。
2.5身份认证
(一)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。
【工信部解读】
用户在登录工业主机、访问应用服务资源及工业云平台等过程中,应使用口令密码、USB-key、智能卡、生物指纹、虹膜等身份认证管理手段,必要时可同时采用多种认证手段。
【实施建议】
1、 应根据工业企业安全需求,充分应用工业控制系统身份认证功能,实现工业主机、应用服务资源等设备的身份认证控制。
2、 应对关键设备和系统采用两种甚至两种以上身份认证机制。
(二)合理分类设置账户权限,以最小特权原则分配账户权限。
【工信部解读】
工业企业应以满足工作要求的最小特权原则来进行系统账户权限分配,确保因事故、错误、篡改等原因造成的损失最小化。工业企业需定期审计分配的账户权限是否超出工作需要。
【实施建议】
1. 应在工业云平台、工业主机防护软件、工业防火墙、网络安全审计等安全设备分别建立审计账户、系统管理账户、安全管理账户,实现三权分离。
2. 禁止使用administrator、root等超级管理员账户直接登录主机操作系统;
3. 应对工业系统用户采取最小授权原则进行权限管理,只授予用户完成工作的最小权限;
4. 宜部署集中日志收集系统对工业主机、网络设备、安全设备等进行日志集中收集,并只授权审计管理员能访问集中收集的日志信息;
5. 宜定期对集中收集日志信息进行审计、分析,并出具分析报告。
(三)强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认密码或弱密码,定期更新口令。
【工信部解读】
工业企业可参考供应商推荐的设置规则,并根据资产重要性,为工业控制设备、SCADA软件、工业通信设备等设定不同强度的登录账户及密码,并进行定期更新,避免使用默认口令或弱口令。
【实施建议】
1. 应修改工业主机、服务器操作系统默认管理用户名(administrator、root),禁用windows系统guest账户。
2. 应修改工业控制设备、SCADA软件、组态软件、工业监控软件、工业网络交换机、防火墙、路由器等默认账户及默认口令。
3. 系统管理员等特权账户口令应满足一定的口令复杂度(如:口令长度必须大于8位,必须有特殊字符、字母、数字等两种以上不同字符组成等);
4. 应启用工程师站、服务器操作系统、数据库系统口令复杂度功能;
5. 应定期修改口令,修改间隔一般不应大于6个月。
(四)加强对身份认证证书信息保护力度,禁止在不同系统和网络环境下共享。
【工信部解读】
工业企业可采用USB-key等安全介质存储身份认证证书信息,建立相关制度对证书的申请、发放、使用、吊销等过程进行严格控制,保证不同系统和网络环境下禁止使用相同的身份认证证书信息,减小证书暴露后对系统和网络的影响。
【实施建议】
1. 使用证书认证的工业网络环境,应采用一人一账户、一账户一证书的原则进行身份认证证书颁发,禁止多人共用证书;
