解讀-《工業(yè)控制系統(tǒng)信息安全防護指南》

1、 解讀|工業(yè)控制系統(tǒng)信息安全防護指南 制定指南的背景通知中明確“為貫徹落實國務院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見（國發(fā)201628號）（以下簡稱意見），保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，工業(yè)和信息化部制定工業(yè)控制系統(tǒng)信息安全防護指南?！笨梢钥闯?，工業(yè)控制系統(tǒng)信息安全防護指南（以下簡稱指南）是根據(jù)意見制定的。意見是根本，是指導思想，是“道”的層面；指南是細節(jié)，是具體方法，是“術(shù)”的層面。這個指南的形成周期很長，為什么能在意見后面很快發(fā)出，前期是做過了很多工作的，其中威努特也提過一些意見并有幸被采納。意見中相關(guān)要求追本溯源，要讀懂指南，先要了解意見中有哪些相關(guān)要求，在“七大任務”中專門有一

2、條“提高工業(yè)信息系統(tǒng)安全水平”，其中明確要求“實施工業(yè)控制系統(tǒng)安全保障能力提升工程，制定完善工業(yè)信息安全管理等政策法規(guī)，健全工業(yè)信息安全標準體系，建立工業(yè)控制系統(tǒng)安全風險信息采集匯總和分析通報機制，組織開展重點行業(yè)工業(yè)控制系統(tǒng)信息安全檢查和風險評估。組織開展工業(yè)企業(yè)信息安全保障試點示范，支持系統(tǒng)仿真測試、評估驗證等關(guān)鍵共性技術(shù)平臺建設，推動訪問控制、追蹤溯源、商業(yè)信息及隱私保護等核心技術(shù)產(chǎn)品產(chǎn)業(yè)化。以提升工業(yè)信息安全監(jiān)測、評估、驗證和應急處置等能力為重點，依托現(xiàn)有科研機構(gòu)，建設國家工業(yè)信息安全保障中心，為制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展提供安全支撐。”工信部根據(jù)十三五規(guī)劃綱要、中國制造2025和意見等要

3、求編制的工業(yè)和信息化部關(guān)于印發(fā)信息化和工業(yè)化融合發(fā)展規(guī)劃（2016-）中進一步明確，在十三五期間，我國兩化融合面臨的機遇和挑戰(zhàn)第四條就是“工業(yè)領(lǐng)域信息安全形勢日益嚴峻，對兩化融合發(fā)展提出新要求”，其“七大任務”中也提到要“逐步完善工業(yè)信息安全保障體系”，“六大重點工程”中之一就是“工業(yè)信息安全保障工程”。以上這些，就是政策層面的指導思想和要求。指南條款詳細解讀指南整體思路借鑒了等級保護的思想，具體提出了十一條三十款要求，貼近實際工業(yè)企業(yè)真實情況，務實可落地。我們從指南要求的主體、客體和方法將十一條分為三大類：a、針對主體目標（法人或人）的要求，包含第十條供應鏈管理、第十一條人員責任：1.10

4、供應鏈管理（一）在選擇工業(yè)控制系統(tǒng)規(guī)劃、設計、建設、運維或評估等服務商時，優(yōu)先考慮具備工控安全防護經(jīng)驗的企事業(yè)單位，以合同等方式明確服務商應承擔的信息安全責任和義務。解讀：工業(yè)控制系統(tǒng)的全生產(chǎn)周期的安全管理過程中，采用適合于工業(yè)控制環(huán)境的管理和服務方式，要求服務商具有豐富的安全服務經(jīng)驗、熟悉工業(yè)控制系統(tǒng)工作流程和特點，且對安全防護體系和工業(yè)控制系統(tǒng)安全防護的相關(guān)法律法規(guī)要有深入的理解和解讀，保證相應法律法規(guī)的有效落實，并以合同的方式約定服務商在服務過程中應當承擔的責任和義務。（二）以保密協(xié)議的方式要求服務商做好保密工作，防范敏感信息外泄。解讀：與工業(yè)控制系統(tǒng)安全服務方簽定保密協(xié)議，要求服務商及

5、其服務人員嚴格做好保密工作，尤其對工業(yè)控制系統(tǒng)內(nèi)部的敏感信息（如工藝文件、設備參數(shù)、系統(tǒng)管理數(shù)據(jù)、現(xiàn)場實時數(shù)據(jù)、控制指令數(shù)據(jù)、程序上傳/下載數(shù)據(jù)、監(jiān)控數(shù)據(jù)等）進行重點保護，防范敏感信息外泄。1.11 落實責任通過建立工控安全管理機制、成立信息安全協(xié)調(diào)小組等方式，明確工控安全管理責任人，落實工控安全責任制，部署工控安全防護措施。解讀：設立工業(yè)控制系統(tǒng)安全管理工作的職能部門，負責工業(yè)控制系統(tǒng)全生命周期的安全防護體系建設和管理，明確安全管理機構(gòu)的工作范圍、責任及工作人員的職責，制定工業(yè)控制系統(tǒng)安全管理方針，持續(xù)實施和改進工業(yè)控制系統(tǒng)的安全防護能力，不斷提升工業(yè)控制系統(tǒng)防攻擊和抗干擾的水平。b、針對客

6、體目標（被保護的資產(chǎn)或數(shù)據(jù)）的安全要求，包含第八條資產(chǎn)安全、第九條數(shù)據(jù)安全：1.8 資產(chǎn)安全（一）建設工業(yè)控制系統(tǒng)資產(chǎn)清單，明確資產(chǎn)責任人，以及資產(chǎn)使用及處置原則。解讀：為實現(xiàn)和保持對組織機構(gòu)資產(chǎn)的適當保護，確保所有資產(chǎn)可查，應建設工業(yè)控制系統(tǒng)資產(chǎn)清單，并明確資產(chǎn)使用及處置原則，配置資產(chǎn)清單，定期更新清單庫，并對資產(chǎn)進行分類。所有資產(chǎn)應指定責任人，并且明確責任人的職責，明確資產(chǎn)使用權(quán)。制定資產(chǎn)在生產(chǎn)、調(diào)試、運行、維護、報廢等過程中的處置原則。（二）對關(guān)鍵主機設備、網(wǎng)絡設備、控制組件等進行冗余配置。解讀：在系統(tǒng)運行過程中，可能出現(xiàn)的宕機、中斷、死機、病毒攻擊、自然災害等資產(chǎn)被侵害的事件發(fā)生，導致

7、系統(tǒng)無法正常工作，給企業(yè)和社會帶來損失，甚至威脅到員工生命和財產(chǎn)安全。對關(guān)鍵主機設備、網(wǎng)絡設備、控制組件等進行冗余配置，防止重大安全事件的發(fā)生。1.9 數(shù)據(jù)安全（一）對靜態(tài)存儲數(shù)據(jù)和動態(tài)傳輸過程中的重要工業(yè)數(shù)據(jù)進行保護，根據(jù)風險評估結(jié)果對數(shù)據(jù)信息進行分級分類管理。解讀：在數(shù)據(jù)創(chuàng)建、使用、分發(fā)、共享、銷毀的整個生命周期中，對重要數(shù)據(jù)如工藝文件、設備參數(shù)、系統(tǒng)管理數(shù)據(jù)、現(xiàn)場實時數(shù)據(jù)、控制指令數(shù)據(jù)、程序上傳/下載數(shù)據(jù)、監(jiān)控數(shù)據(jù)等應進行保護，如加密技術(shù)、安全存儲介質(zhì)等。數(shù)據(jù)遭受破壞時及時采取必要的恢復措施。風險評估對數(shù)據(jù)的分類分級原則應包含對企業(yè)經(jīng)濟影響、生產(chǎn)穩(wěn)定性影響、人身安全、法律風險、名譽度損失

8、等角度開展，根據(jù)數(shù)據(jù)的重要程度在信息存儲、信息傳輸、信息交換、信息使用等過程中采取相應的防護措施。（二）定期備份關(guān)鍵業(yè)務數(shù)據(jù)。解讀：為保證系統(tǒng)在災難發(fā)生時，數(shù)據(jù)能夠盡量還原真實數(shù)據(jù)，應對歷史數(shù)據(jù)庫服務器、實時數(shù)據(jù)服務器、先進控制系統(tǒng)、優(yōu)化控制系統(tǒng)等重要系統(tǒng)設備進行硬件冗余，啟用實時數(shù)據(jù)備份功能，保證當主設備出現(xiàn)故障時冗余設備可以無擾動的切換并恢復數(shù)據(jù)，對于關(guān)鍵的業(yè)務數(shù)據(jù)，應定期進行軟備份。（三）對測試數(shù)據(jù)進行保護。解讀：測試數(shù)據(jù)一般來源于真實的現(xiàn)場設備實時數(shù)據(jù)，有必要對測試數(shù)據(jù)進行安全防護，防止發(fā)生數(shù)據(jù)泄露、篡改、破壞，保護企業(yè)資產(chǎn)。c、針對保護方法措施的要求，根據(jù)工業(yè)控制網(wǎng)絡由內(nèi)而外的結(jié)構(gòu)包

9、括：終端（第一條軟件選擇與管理、第四條物理環(huán)境安全）；配置（第二條配置安全）；網(wǎng)絡（第五條身份認證、第三條邊界防護、第六條遠程安全）；例外（第七條監(jiān)測應急）。1.1 安全軟件選擇與管理（一）在工業(yè)主機上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運行。解讀：工業(yè)控制系統(tǒng)對可用性和實時性要求非常高，任何未經(jīng)驗證測試的軟件都可能影響控制系的穩(wěn)定性，應對防病毒軟件或應用程序白名單軟件進行離線測試，測試無風險后，方可在工業(yè)主機上部署。目前工業(yè)主機有效防護機制有“黑名單機制”和“白名單機制”，相比之下工控網(wǎng)絡則更加注重防護的“高可用性”和“高

10、可靠性”，鑒于工業(yè)應用的特殊性，“黑名單機制”無法應對多元化的風險及威脅。利用“白名單機制”可以建立工控行業(yè)應用程序信譽庫，為工控應用程序提供可信認證、授權(quán)和評估，同時輔助沙箱檢測技術(shù)和殺毒軟件進行應用程序軟件的安全性測試，從根本上保證了工控主機安全。（二）建立防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統(tǒng)及臨時接入的設備采取病毒查殺等安全預防措施。解讀：病毒和惡意代碼是工控系統(tǒng)主要威脅之一，應對工控系統(tǒng)設備（例如操作員站、工程師站、控制服務器等）部署病毒和惡意代碼集中監(jiān)控、防護管理措施，對工業(yè)控制系統(tǒng)及臨時接入的設備進行病毒和惡意代碼掃描檢測，防止遭受病毒和惡意軟件攻擊。1.4 物理和環(huán)境安全

11、防護（一）對重要工程師站、數(shù)據(jù)庫、服務器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制、視頻監(jiān)控、專人值守等物理安全防護措施。解讀：重要的工程師站、數(shù)據(jù)庫、服務器是工業(yè)控制系統(tǒng)的核心組件，為了防止來自人為的惡意破壞。應對核心工業(yè)控制軟硬件所在的位置，按照物理位置和業(yè)務功能進行區(qū)域劃分，區(qū)域之間設置物理隔離裝置。在必要區(qū)域前設置交付或安裝等過渡區(qū)域，特殊區(qū)域應配置電子門禁系統(tǒng)，7*24小時的視頻監(jiān)控。對核心工業(yè)控制軟硬件所在區(qū)域，出入口應安排專人值守，控制、鑒別和記錄進入的人員，來訪人員應經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。（二）拆除或封閉工業(yè)主機上不必要的USB、光驅(qū)、無線等接口。若確需使用

12、，通過主機外設安全管理技術(shù)手段實施嚴格訪問控制。解讀：工業(yè)主機越來越多采用通用計算機，USB、光驅(qū)、無線等接口的使用，為病毒、木馬、蠕蟲等惡意代碼入侵提供了途徑，拆除或封閉工業(yè)主機上不必要的USB、光驅(qū)、無線等接口可以從根本上切斷非法數(shù)據(jù)、程序的傳播途徑。若確需使用，可以通過主機安全管理軟件對外設的端口進行控制，記錄文件的導入導出等操作痕跡，實現(xiàn)對端口的嚴格訪問控制。1.2 配置和補丁管理（一）做好工業(yè)控制網(wǎng)絡、工業(yè)主機和工業(yè)控制設備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進行配置審計。解讀：安全配置是基礎(chǔ)性的安全防護措施，安全配置能夠增強工控網(wǎng)絡、工業(yè)主機和工控設備安全性，應建立工控系統(tǒng)安

13、全配置清單，包括工控網(wǎng)絡設備、工業(yè)主機、工控設備的安全配置清單。在日常運維管理方面，指導管理人員對系統(tǒng)安全配置優(yōu)化，避免存在安全隱患。根據(jù)工業(yè)控制系統(tǒng)配置清單，定期對工業(yè)控制網(wǎng)絡、工業(yè)主機和工業(yè)控制設備開展配置審計，及時發(fā)現(xiàn)配置問題。（二）對重大配置變更制定變更計劃并進行影響分析，配置變更實施前進行嚴格安全測試。解讀：工控系統(tǒng)的日常維護管理經(jīng)常涉及到配置變更，但未經(jīng)嚴格安全測試的重大變更可能會對工控系統(tǒng)造成破壞。在工控系統(tǒng)重大配置變更之前，應制定變更計劃，對變更可能出現(xiàn)的影響進行評估分析，并在工控系統(tǒng)離線環(huán)境中進行安全測試，保障配置變更的安全性和可靠性。（三）密切關(guān)注重大工控安全漏洞及其補丁發(fā)

14、布，及時采取補丁升級措施。在補丁安裝前，需對補丁進行嚴格的安全評估和測試驗證。解讀：工控系統(tǒng)較傳統(tǒng)的IT系統(tǒng)更脆弱，在補丁升級方面要非常慎重，補丁升級可能會影響工控系統(tǒng)的穩(wěn)定性，如果補丁升級失敗，可能對工控系統(tǒng)造成破壞，導致工控系統(tǒng)運行中斷。因此，工控系統(tǒng)在補丁升級之前必須進行嚴格驗證測試，包括安全性、穩(wěn)定性、兼容性和可靠性驗證測試。1.5 身份認證（一）在工業(yè)主機登錄、應用服務資源訪問、工業(yè)云平臺訪問等過程中使用身份認證管理。對于關(guān)鍵設備、系統(tǒng)和平臺的訪問采用多因素認證。解讀：面對工業(yè)控制主機和系統(tǒng)的登錄、訪問過程中常見身份冒用，越權(quán)訪問等安全風險，給工業(yè)控制生產(chǎn)活動帶來安全隱患。通過采取身

15、份鑒別、角色判定、權(quán)限分配等安全措施實現(xiàn)工業(yè)主機登錄、應用服務資源訪問、工業(yè)云平臺訪問等過程的統(tǒng)一身份認證管理。對于關(guān)鍵設備、系統(tǒng)和平臺應采取如口令、usbkey、智能卡、生物指紋等多種認證方式組合的多因素認證方式。一是避免他人盜用、誤用，二是提高設備、系統(tǒng)和平臺的攻擊難度。（二）合理分類設置賬戶權(quán)限，以最小特權(quán)原則分配賬戶權(quán)限。解讀：應限定網(wǎng)絡中每個主體所必須的最小特權(quán)，確?？赡艿氖鹿?、錯誤、篡改等原因造成的損失最小化，對超級管理員賬號未禁止、各賬戶權(quán)限未實現(xiàn)分立制約等常見問題應及時發(fā)現(xiàn)并改正。（三）強化工業(yè)控制設備、SCADA軟件、工業(yè)通信設備等的登錄賬戶及密碼，避免使用默認密碼或弱密碼,

16、定期更新口令。解讀：對登錄賬戶和密碼要及時更新，密碼要以多位數(shù)含數(shù)字、字母、特殊符號的組合方式提高密碼強度，建議采用驗證碼機制，提高被暴力破解的難度。避免使用默認密碼、易猜測密碼、空口令甚明文張貼密碼的現(xiàn)象發(fā)生。（四）加強對身份認證證書信息保護力度，禁止在不同系統(tǒng)和網(wǎng)絡環(huán)境下共享。解讀：建議采用安全介質(zhì)存儲證書信息，對證書的申請、發(fā)放、使用、吊銷等過程通過技術(shù)手段嚴格控制，并建立相關(guān)制度保障。建議采用國際通用的安全商密算法或國密算法。在不用系統(tǒng)和網(wǎng)絡環(huán)境下禁止傳遞證書信息。1.3 邊界安全防護（一）分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境。解讀：工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境承載的功能不同，

17、為了避免由開發(fā)、測試環(huán)境引入的安全威脅給生產(chǎn)環(huán)境帶來作業(yè)風險，需要將開發(fā)、測試和生產(chǎn)環(huán)境分離。將開發(fā)、測試和生產(chǎn)環(huán)境分別置于不同的區(qū)域，進行邏輯或物理隔離。（二）通過工業(yè)控制網(wǎng)絡邊界防護設備對工業(yè)控制網(wǎng)絡與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進行安全防護，禁止沒有防護的工業(yè)控制網(wǎng)絡與互聯(lián)網(wǎng)連接。解讀：工業(yè)控制網(wǎng)絡與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間互聯(lián)互通，為工業(yè)控制系統(tǒng)帶來巨大創(chuàng)造力和生產(chǎn)力的同時，也會引入更加復雜、嚴峻的安全問題。一是深度網(wǎng)絡化和多層面互聯(lián)互通增加了攻擊路徑；二是傳統(tǒng)IT產(chǎn)品的引入帶來了更多安全漏洞；三是新興信息技術(shù)在工業(yè)控制領(lǐng)域的防護體系尚不成熟。因此，需要在不同網(wǎng)絡邊界之間，部署邊界安全防護設備實

18、現(xiàn)安全訪問控制，阻斷非法網(wǎng)絡訪問，嚴格禁止沒有防護的工業(yè)控制網(wǎng)絡與互聯(lián)網(wǎng)連接。（三）通過工業(yè)防火墻、網(wǎng)閘等防護設備對工業(yè)控制網(wǎng)絡安全區(qū)域之間進行邏輯隔離安全防護。解讀：為了降低工業(yè)控制網(wǎng)絡安全區(qū)域之間連接風險，減少攻擊平面，需要在區(qū)域之間部署邏輯隔離設備，如工業(yè)防火墻、網(wǎng)閘。在區(qū)域間有雙向訪問需求的網(wǎng)絡，可采用工業(yè)防火墻進行邏輯隔離，深度檢測并過濾主流工控協(xié)議（如：OPC、Modbus、S7、Ethernet/IP等）帶來的安全風險；在區(qū)域間只需要單向訪問的情況下，可采用網(wǎng)閘進行隔離防護。1.6 遠程訪問安全（一）原則上嚴格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等高風險通

19、用網(wǎng)絡服務。解讀：基于明文傳輸?shù)腍TTP、FTP、Telnet等網(wǎng)絡服務協(xié)議容易遭到非法竊聽、數(shù)據(jù)篡改、敏感信息泄露等高安全風險。因此，在工業(yè)控制系統(tǒng)中，需要嚴格禁止HTTP、FTP、Telnet等高風險通用網(wǎng)絡服務面向互聯(lián)網(wǎng)開通。（二）確需遠程訪問的，采用數(shù)據(jù)單向訪問控制等策略進行安全加固，對訪問時限進行控制，并采用加標鎖定策略。解讀：遠程訪問工業(yè)控制系統(tǒng)網(wǎng)絡，意味著為黑客開辟了一條攻擊工業(yè)控制網(wǎng)絡的通路，存在極大隱患。但在確需遠程訪問的情況下，需要采用數(shù)據(jù)單向訪問控制等策略進行安全加固，并對訪問時間進行控制，還可以采用加標鎖定來限制對機器、設備、工藝和電路的操作行為。（三）確需遠程維護的，

20、采用虛擬專用網(wǎng)絡（VPN）等遠程接入方式進行。解讀：確需遠程維護的，采用虛擬專用網(wǎng)絡（VPN）等遠程接入方式連接，相當于在公用網(wǎng)絡上為用戶建立了一條專用通道，這條專用通道上的所有通訊數(shù)據(jù)會被加密處理，并通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址轉(zhuǎn)換實現(xiàn)安全的遠程訪問。（四）保留工業(yè)控制系統(tǒng)的相關(guān)訪問日志，并對操作過程進行安全審計。解讀：保留工業(yè)控制系統(tǒng)相關(guān)訪問日志，可以在發(fā)生非授權(quán)的遠程登錄后進行日志分析。通過日志中記錄到的登入登出、人員賬號、訪問時間等信息對非授權(quán)登錄行為進行追蹤、定位，做到有源可溯，并對操作過程進行安全審計，記錄所有操作行為，做到有據(jù)可查。1.7 安全監(jiān)測和應急預案演練（一）在工業(yè)

21、控制網(wǎng)絡部署網(wǎng)絡安全監(jiān)測設備，及時發(fā)現(xiàn)、報告并處理網(wǎng)絡攻擊或異常行為。解讀：工控系統(tǒng)網(wǎng)絡組成元素繁多，非法入侵、惡意代碼、維修接入甚至是誤操作都可能導致生產(chǎn)運行的癱瘓或功能喪失，通過部署工控安全監(jiān)測設備，采用工控協(xié)議深度包解析等多種技術(shù)，對工業(yè)控制網(wǎng)絡可能存在的病毒、蠕蟲、木馬及針對工控網(wǎng)絡的攻擊行為和誤操作進行實時檢測并告警。（二）在重要工業(yè)控制設備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設備，限制違法操作。解讀：重要工業(yè)控制設備是工業(yè)企業(yè)生產(chǎn)核心控制單元，包含PLC、DCS控制器等，核心控制設備的異常將危及生產(chǎn)安全、公眾健康甚至社會穩(wěn)定。在重要工業(yè)控制設備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設備，對Modbus、S7、Ethernet/IP等主流工控協(xié)議進行深度分析，采用“白名單”機制對發(fā)送至重要工控設備的指令進行過濾，杜絕違法操作，并抑制惡意代碼及未知攻擊行為，保障重要工業(yè)控制設備運行安全。（三）制定工控安全事件應急響應預案，當遭受安全威脅導致工業(yè)控制系統(tǒng)出現(xiàn)異?；蚬收蠒r，應立即采取緊急