一、总体概述

工业控制系统作为工业生产运行的基础核心，其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。2016年，工业和信息化部出台《工业控制系统信息安全防护指南》，对有效指导工业企业开展工控安全防护工作发挥了积极作用。2017年以来，我国相继颁布了《网络安全法》《数据安全法》《密码法》等法律法规及行业应用方面的部门规章，现有政策文件未能充分衔接相关法律法规要求。与此同时，工业企业数字化转型步伐加快，工业控制系统开放互联趋势明显，工业企业面临的网络安全风险与日俱增，工业企业加强网络安全防护需求迫切。

二、新旧防护指南对比

新版《工业控制系统网络安全防护指南》一是坚持与时俱进。结合推进新型工业化背景下的新形势、新任务、新要求，针对性研究制定防护条款，在落实2016年以来我国在网络和数据安全领域新出台的法律法规的同时，聚焦新时期工业控制系统的新应用趋势及新安全风险。二是强调技管结合。从安全管理、技术防护、安全运营、责任落实四方面提出防护要求，坚持技术和管理措施并重，督促企业落实工控安全主体责任。三是注重实操实践。针对工业控制系统应用现状、运行特点和安全需求，结合企业现有技术能力基础，提出可落地实操的明确安全要求，并通过实施基线安全防护等系列措施，切实提升工业企业安全防护水平。

三、指南解读

（一）、安全管理

安全管理包括资产管理、配置管理、供应链安全、宣传教育四部分内容，主要明确：

• 资产管理责任部门和责任人，针对重要工业控制系统清单实施重点保护；
• 强化口令管理，遵循最小授权原则设置账户权限，建立工业控制系统安全配置清单；
• 明确供应商各方需履行的安全相关责任和义务，使用具备资格的机构安全认证合格或者安全检测符合要求的设备；
• 定期开展工业控制系统网络安全意识宣传教育，专业技能培训及考核。

（二）、技术防护

技术防护包括主机与终端安全、架构与边界安全、上云安全、应用安全、系统数据安全五部分内容。主要明确：

• 定期进行病毒库升级和恶意软件查杀，只允许部署运行经企业授权和安全评估的应用软件，关闭不必要的网络服务端口，关键主机或终端采用双因子认证。
• 对工业控制网络实施分区分域管理，对无线接入设备、远程访问设备实施严格访问控制。
• 利用身份鉴别、安全通信等技术做好云平台防护，上云设备实施严格标识管理，确保不同业务系统安全隔离。
• 关键应用服务实施严格访问控制，企业自行或委托第三方机构对自主研发软件开展安全性测试。
• 开展数据分类分级，建立重要数据和核心数据目录，围绕数据全生命周期实施安全防护，需向境外提供数据时，依法依规进行数据出境评估。

（三）、安全运营

安全运营包括监测预警、运营中心、应急处置、安全评估、漏洞管理五部分内容。主要明确：

• 部署监测审计相关设备或平台，及时发现和预警安全风险，采用蜜罐等威胁诱捕技术提升主动防御能力。
• 有条件的企业可建立网络安全运营中心，提升风险隐患集中排查和事件快速响应能力。
• 制定应急预案，定期开展应急演练，备份日志不少于六个月，便于开展事后溯源取证，对重要系统应用和数据定期开展备份及恢复测试。
• 开展新建系统，升级系统风险评估，重要工控系统每年至少开展一次工控安全防护能力相关评估。
• 及时进行漏洞修补和安全加固，开展重要工控系统漏洞排查和补丁升级。

（四）、责任落实

• 工业企业承担本企业工控安全主体责任，建立工控安全管理制度，明确责任人和责任部门，按照“谁运营谁负责、谁主管谁负责”的原则落实工控安全保护责任。
• 强化企业资源保障力度，确保安全防护措施与工业控制系统同步规划、同步建设、同步使用。

四、安全建议

建议工业企业结合自身情况，梳理工业控制系统风险，明确工业控制系统安全问题，做出针对性解决方案，避免因网络安全事件引发工业控制系统故障或停滞，保障工业控制系统的连续性和有效性。

附工业控制系统网络安全防护指南建议用到的安全产品和安全服务供工业企业参考。