工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護指南

工業(yè)和信息化部關(guān)于印發(fā)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護指南

工信部網(wǎng)安〔2024〕14號

各省、自治區(qū)、直轄市、計劃單列市及新疆生產(chǎn)建設(shè)兵團工業(yè)和信息化主管部門，

有關(guān)企事業(yè)單位：

現(xiàn)將《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護指南》印發(fā)給你們，請認真抓好落實。

工業(yè)和信息化部

2024年1月19日

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護指南

工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)運行的基礎(chǔ)核心。為適應(yīng)新時期工業(yè)控制系統(tǒng)網(wǎng)絡(luò)

安全（以下簡稱工控安全）形勢，進一步指導企業(yè)提升工控安全防護水平，夯實

新型工業(yè)化發(fā)展安全根基，制定本指南。

使用、運營工業(yè)控制系統(tǒng)的企業(yè)適用本指南，防護對象包括工業(yè)控制系統(tǒng)以

及被網(wǎng)絡(luò)攻擊后可直接或間接影響生產(chǎn)運行的其他設(shè)備和系統(tǒng)。

一、安全管理

（一）資產(chǎn)管理

1.全面梳理可編程邏輯控制器（PLC）、分布式控制系統(tǒng)（DCS）、數(shù)據(jù)采

集與監(jiān)視控制系統(tǒng)（SCADA）等典型工業(yè)控制系統(tǒng)以及相關(guān)設(shè)備、軟件、數(shù)據(jù)

等資產(chǎn)，明確資產(chǎn)管理責任部門和責任人，建立工業(yè)控制系統(tǒng)資產(chǎn)清單，并根據(jù)

資產(chǎn)狀態(tài)變化及時更新。定期開展工業(yè)控制系統(tǒng)資產(chǎn)核查，內(nèi)容包括但不限于系

統(tǒng)配置、權(quán)限分配、日志審計、病毒查殺、數(shù)據(jù)備份、設(shè)備運行狀態(tài)等情況。

2.根據(jù)承載業(yè)務(wù)的重要性、規(guī)模，以及發(fā)生網(wǎng)絡(luò)安全事件的危害程度等因素，

建立重要工業(yè)控制系統(tǒng)清單并定期更新，實施重點保護。重要工業(yè)控制系統(tǒng)相關(guān)

的關(guān)鍵工業(yè)主機、網(wǎng)絡(luò)設(shè)備、控制設(shè)備等，應(yīng)實施冗余備份。

（二）配置管理

3.強化賬戶及口令管理，避免使用默認口令或弱口令，定期更新口令。遵循

最小授權(quán)原則，合理設(shè)置賬戶權(quán)限，禁用不必要的系統(tǒng)默認賬戶和管理員賬戶，

及時清理過期賬戶。

4.建立工業(yè)控制系統(tǒng)安全配置清單、安全防護設(shè)備策略配置清單。定期開展

配置清單審計，及時根據(jù)安全防護需求變化調(diào)整配置，重大配置變更實施前進行

嚴格安全測試，測試通過后方可實施變更。

（三）供應(yīng)鏈安全

5.與工業(yè)控制系統(tǒng)廠商、云服務(wù)商、安全服務(wù)商等供應(yīng)商簽訂的協(xié)議中，應(yīng)

明確各方需履行的安全相關(guān)責任和義務(wù)，包括管理范圍、職責劃分、訪問授權(quán)、

隱私保護、行為準則、違約責任等。

6.工業(yè)控制系統(tǒng)使用納入網(wǎng)絡(luò)關(guān)鍵設(shè)備目錄的PLC等設(shè)備時，應(yīng)使用具備

資格的機構(gòu)安全認證合格或者安全檢測符合要求的設(shè)備。

（四）宣傳教育

7.定期開展工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、政策標準宣傳教育，增強

企業(yè)人員網(wǎng)絡(luò)安全意識。針對工業(yè)控制系統(tǒng)和網(wǎng)絡(luò)相關(guān)運維人員，定期開展工控

安全專業(yè)技能培訓及考核。

二、技術(shù)防護

（一）主機與終端安全

8.在工程師站、操作員站、工業(yè)數(shù)據(jù)庫服務(wù)器等主機上部署防病毒軟件，定

期進行病毒庫升級和查殺，防止勒索軟件等惡意軟件傳播。對具備存儲功能的介

質(zhì)，在其接入工業(yè)主機前，應(yīng)進行病毒、木馬等惡意代碼查殺。

9.主機可采用應(yīng)用軟件白名單技術(shù)，只允許部署運行經(jīng)企業(yè)授權(quán)和安全評估

的應(yīng)用軟件，并有計劃的實施操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)軟件和重要應(yīng)用軟件升級。

10.拆除或封閉工業(yè)主機上不必要的通用串行總線（USB）、光驅(qū)、無線等

外部設(shè)備接口，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)端口。若確需使用外部設(shè)備，應(yīng)進行嚴格

訪問控制。

11.對工業(yè)主機、工業(yè)智能終端設(shè)備（控制設(shè)備、智能儀表等）、網(wǎng)絡(luò)設(shè)備

（工業(yè)交換機、工業(yè)路由器等）的訪問實施用戶身份鑒別，關(guān)鍵主機或終端的訪

問采用雙因子認證。

（二）架構(gòu)與邊界安全

12.根據(jù)承載業(yè)務(wù)特點、業(yè)務(wù)規(guī)模、影響工業(yè)生產(chǎn)的重要程度等因素，對工

業(yè)以太網(wǎng)、工業(yè)無線網(wǎng)絡(luò)等組成的工業(yè)控制網(wǎng)絡(luò)實施分區(qū)分域管理，部署工業(yè)防

火墻、網(wǎng)閘等設(shè)備實現(xiàn)域間橫向隔離。當工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)連

通時，實施網(wǎng)間縱向防護，并對網(wǎng)間行為開展安全審計。設(shè)備接入工業(yè)控制網(wǎng)絡(luò)

時應(yīng)進行身份認證。

13.應(yīng)用第五代移動通信技術(shù)（5G）、無線局域網(wǎng)技術(shù)（WiFi）等無線通信

技術(shù)組網(wǎng)時，制定嚴格的網(wǎng)絡(luò)訪問控制策略，對無線接入設(shè)備采用身份認證機制，

對無線訪問接入點定期審計，關(guān)閉無線接入公開信息（SSID）廣播，避免設(shè)備

違規(guī)接入。

14.嚴格遠程訪問控制，禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通不必要的超文本

傳輸協(xié)議（HTTP）、文件傳輸協(xié)議（FTP）、Internet遠程登錄協(xié)議（Telnet）、

遠程桌面協(xié)議（RDP）等高風險通用網(wǎng)絡(luò)服務(wù)，對必要開通的網(wǎng)絡(luò)服務(wù)采取安

全接入代理等技術(shù)進行用戶身份認證和應(yīng)用鑒權(quán)。在遠程維護時，使用互聯(lián)網(wǎng)安

全協(xié)議（IPsec）、安全套接字協(xié)議（SSL）等協(xié)議構(gòu)建安全網(wǎng)絡(luò)通道（如虛擬

專用網(wǎng)絡(luò)（VPN）），并嚴格限制訪問范圍和授權(quán)時間，開展日志留存和審計。

15.在工業(yè)控制系統(tǒng)中使用加密協(xié)議和算法時應(yīng)符合相關(guān)法律法規(guī)要求，鼓

勵優(yōu)先采用商用密碼，實現(xiàn)加密網(wǎng)絡(luò)通信、設(shè)備身份認證和數(shù)據(jù)安全傳輸。

（三）上云安全

16.工業(yè)云平臺為企業(yè)自建時，利用用戶身份鑒別、訪問控制、安全通信、

入侵防范等技術(shù)做好安全防護，有效阻止非法操作、網(wǎng)絡(luò)攻擊等行為。

17.工業(yè)設(shè)備上云時，對上云設(shè)備實施嚴格標識管理，設(shè)備在接入工業(yè)云平

臺時采用雙向身份認證，禁止未標識設(shè)備接入工業(yè)云平臺。業(yè)務(wù)系統(tǒng)上云時，應(yīng)

確保不同業(yè)務(wù)系統(tǒng)運行環(huán)境的安全隔離。

（四）應(yīng)用安全

18.訪問制造執(zhí)行系統(tǒng)（MES）、組態(tài)軟件和工業(yè)數(shù)據(jù)庫等應(yīng)用服務(wù)時，應(yīng)

進行用戶身份認證。訪問關(guān)鍵應(yīng)用服務(wù)時，采用雙因子認證，并嚴格限制訪問范

圍和授權(quán)時間。

19.工業(yè)企業(yè)自主研發(fā)的工業(yè)控制系統(tǒng)相關(guān)軟件，應(yīng)通過企業(yè)自行或委托第

三方機構(gòu)開展的安全性測試，測試合格后方可上線使用。

（五）系統(tǒng)數(shù)據(jù)安全

20.定期梳理工業(yè)控制系統(tǒng)運行產(chǎn)生的數(shù)據(jù)，結(jié)合業(yè)務(wù)實際，開展數(shù)據(jù)分類

分級，識別重要數(shù)據(jù)和核心數(shù)據(jù)并形成目錄。圍繞數(shù)據(jù)收集、存儲、使用、加工、

傳輸、提供、公開等環(huán)節(jié)，使用密碼技術(shù)、訪問控制、容災(zāi)備份等技術(shù)對數(shù)據(jù)實

施安全保護。

21.法律、行政法規(guī)有境內(nèi)存儲要求的重要數(shù)據(jù)和核心數(shù)據(jù)，應(yīng)在境內(nèi)存儲，

確需向境外提供的，應(yīng)當依法依規(guī)進行數(shù)據(jù)出境安全評估。

三、安全運營

（一）監(jiān)測預警

22.在工業(yè)控制網(wǎng)絡(luò)部署監(jiān)測審計相關(guān)設(shè)備或平臺，在不影響系統(tǒng)穩(wěn)定運行

的前提下，及時發(fā)現(xiàn)和預警系統(tǒng)漏洞、惡意軟件、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風

險。

23.在工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的邊界，可采用工業(yè)控制系統(tǒng)蜜

罐等威脅誘捕技術(shù)，捕獲網(wǎng)絡(luò)攻擊行為，提升主動防御能力。

（二）運營中心

24.有條件的企業(yè)可建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全運營中心，利用安全編排自

動化與響應(yīng)（SOAR）等技術(shù)，實現(xiàn)安全設(shè)備的統(tǒng)一管理和策略配置，全面監(jiān)測

網(wǎng)絡(luò)安全威脅，提升風險隱患集中排查和事件快速響應(yīng)能力。

（三）應(yīng)急處置

25.制定工控安全事件應(yīng)急預案，明確報告和處置流程，根據(jù)實際情況適時

進行評估和修訂，定期開展應(yīng)急演練。當發(fā)生工控安全事件時，應(yīng)立即啟動應(yīng)急

預案，采取緊急處置措施，及時穩(wěn)妥處理安全事件。

26.重要設(shè)備、平臺、系統(tǒng)訪問和操作日志留存時間不少于六個月，并定期

對日志備份，便于開展事后溯源取證。

27.對重要系統(tǒng)應(yīng)用和數(shù)據(jù)定期開展備份及恢復測試，確保緊急時工業(yè)控制

系統(tǒng)在可接受的時間范圍內(nèi)恢復正常運行。

（四）安全評估

28.新建或升級工業(yè)控制系統(tǒng)上線前、工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)

連接前，應(yīng)開展安全風險評估。

29.對于重要工業(yè)控制系統(tǒng)，企業(yè)應(yīng)自行或委托第三方專業(yè)機構(gòu)每年至少開

展一次工控安全防護能力相關(guān)評估。

（五）漏洞管理

30.密切關(guān)注工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺等重大工控

安全漏洞及其補丁程序發(fā)布，及時采取升級措施，短期內(nèi)無法升級的，應(yīng)開展針

對性安全加固。

31.對重要工業(yè)控制系統(tǒng)定期開展漏洞排查，發(fā)現(xiàn)重大安全漏洞時，對補丁

程序或加固措施測試驗證后，方可實施補丁升級或加固。

四、責任落實

32.工業(yè)企業(yè)承擔本企業(yè)工控安全主體責任，建立工控安全管理制度，明確

責任人和責任部門，按照“誰運營誰負責、誰主管誰負責”的原則落實工控安全保

護責任。

33.強化企業(yè)資源保障力度，確保安全防護措施與工業(yè)控制系統(tǒng)同步規(guī)劃、

同步建設(shè)、同步使用。

工業(yè)和信息化部關(guān)于印發(fā)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護指南

工信部網(wǎng)安〔2024〕14號

各省、自治區(qū)、直轄市、計劃單列市及新疆生產(chǎn)建設(shè)兵團工業(yè)和信息化主管部門，

有關(guān)企事業(yè)單位：

現(xiàn)將《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護指南》印發(fā)給你們，請認真抓好落實。

工業(yè)和信息化部

2024年1月19日

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護指南

工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)運行的基礎(chǔ)核心。為適應(yīng)新時期工業(yè)控制系統(tǒng)網(wǎng)絡(luò)

安全（以下簡稱工控安全）形勢，進一步指導企業(yè)提升工控安全防護水平，夯實

新型工業(yè)化發(fā)展安全根基，制定本指南。

使用、運營工業(yè)控制系統(tǒng)的企業(yè)適用本指南，防護對象包括工業(yè)控制系統(tǒng)以

及被網(wǎng)絡(luò)攻擊后可直接或間接影響生產(chǎn)運行的其他設(shè)備和系統(tǒng)。

一、安全管理

（一）資產(chǎn)管理

1.全面梳理可編程邏輯控制器（PLC）、分布式控制系統(tǒng)（DCS）、數(shù)據(jù)采

集與監(jiān)視控制系統(tǒng)（SCADA）等典型工業(yè)控制系統(tǒng)以及相關(guān)設(shè)備、軟件、數(shù)據(jù)

等資產(chǎn)，明確資產(chǎn)管理責任部門和責任人，建立工業(yè)控制系統(tǒng)資產(chǎn)清單，并根據(jù)

資產(chǎn)狀態(tài)變化及時更新。定期開展工業(yè)控制系統(tǒng)資產(chǎn)核查，內(nèi)容包括但不限于系

統(tǒng)配置、權(quán)限分配、日志審計、病毒查殺、數(shù)據(jù)備份、設(shè)備運行狀態(tài)等情況。

2.根據(jù)承載業(yè)務(wù)的重要性、規(guī)模，以及發(fā)生網(wǎng)絡(luò)安全事件的危害程度等因素，

建立重要工業(yè)控制系統(tǒng)清單并定期更新，實施重點保護。重要工業(yè)控制系統(tǒng)相關(guān)

的關(guān)鍵工業(yè)主機、網(wǎng)絡(luò)設(shè)備、控制設(shè)備等，應(yīng)實施冗余備份。

（二）配置管理

3.強化賬戶及口令管理，避免使用默認口令或弱口令，定期更新口令。遵循

最小授權(quán)原則，合理設(shè)置賬戶權(quán)限，禁用不必要的系統(tǒng)默認賬戶和管理員賬戶，

及時清理過期賬戶。

4.建立工業(yè)控制系統(tǒng)安全配置清單、安全防護設(shè)備策略配置清單。定期開展

配置清單審計，及時根據(jù)安全防護需求變化調(diào)整配置，重大配置變更實施前進行

嚴格安全測試，測試通過后方可實施變更。

（三）供應(yīng)鏈安全

5.與工業(yè)控制系統(tǒng)廠商、云服務(wù)商、安全服務(wù)商等供應(yīng)商簽訂的協(xié)議中，應(yīng)

明確各方需履行的安全相關(guān)責任和義務(wù)，包括管理范圍、職責劃分、訪問授權(quán)、

隱私保護、行為準則、違約責任等。

6.工業(yè)控制系統(tǒng)使用納入網(wǎng)絡(luò)關(guān)鍵設(shè)備目錄的PLC等設(shè)備時，應(yīng)使用具備

資格的機構(gòu)安全認證合格或者安全檢測符合要求的設(shè)備。

（四）宣傳教育

7.定期