工業和信息化部

關于加強工業控制系統信息安全管理的通知

工信部協[2011]451號
　　

各省、自治區、直轄市人民政府，國務院有關部門，有關國有大型企業：
　　
　　工業控制系統信息安全事關工業生產運行、國家經濟安全和人民生命財產安全，為切實加強工業控制系統信息安全管理，經國務院同意，現就有關事項通知如下：
　　
　　一、充分認識加強工業控制系統信息安全管理的重要性和緊迫性
　　
　　數據采集與監控（SCADA）、分布式控制系統（DCS）、過程控制系統（PCS）、可編程邏輯控制器（PLC）等工業控制系統廣泛運用于工業、能源、交通、水利以及市政等領域，用于控制生產設備的運行。一旦工業控制系統信息安全出現漏洞，將對工業生產運行和國家經濟安全造成重大隱患。隨著計算機和網絡技術的發展，特別是信息化與工業化深度融合以及物聯網的快速發展，工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件，以各種方式與互聯網等公共網絡連接，病毒、木馬等威脅正在向工業控制系統擴散，工業控制系統信息安全問題日益突出。2010年發生的“震網”病毒事件，充分反映出工業控制系統信息安全面臨著嚴峻的形勢。與此同時，我國工業控制系統信息安全管理工作中仍存在不少問題，主要是對工業控制系統信息安全問題重視不夠，管理制度不健全，相關標準規范缺失，技術防護措施不到位，安全防護能力和應急處置能力不高等，威脅著工業生產安全和社會正常運轉。對此，各地區、各部門、各單位務必高度重視，增強風險意識、責任意識和緊迫感，切實加強工業控制系統信息安全管理。
　　
　　二、明確重點領域工業控制系統信息安全管理要求
　　
　　加強工業控制系統信息安全管理的重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。各地區、各部門、各單位要結合實際，明確加強工業控制系統信息安全管理的重點領域和重點環節，切實落實以下要求。
　　
　�。ㄒ唬┻B接管理要求。
　　
　　1. 斷開工業控制系統同公共網絡之間的所有不必要連接。
　　
　　2. 對確實需要的連接，系統運營單位要逐一進行登記，采取設置防火墻、單向隔離等措施加以防護，并定期進行風險評估，不斷完善防范措施。
　　
　　3. 嚴格控制在工業控制系統和公共網絡之間交叉使用移動存儲介質以及便攜式計算機。
　　
　�。ǘ�）組網管理要求。
　　
　　1. 工業控制系統組網時要同步規劃、同步建設、同步運行安全防護措施。
　　
　　2. 采取虛擬專用網絡（VPN）、線路冗余備份、數據加密等措施，加強對關鍵工業控制系統遠程通信的保護。
　　
　　3. 對無線組網采取嚴格的身份認證、安全監測等防護措施，防止經無線網絡進行惡意入侵，尤其要防止通過侵入遠程終端單元（RTU）進而控制部分或整個工業控制系統。
　　
　�。ㄈ�）配置管理要求。
　　
　　1. 建立控制服務器等工業控制系統關鍵設備安全配置和審計制度。
　　
　　2. 嚴格賬戶管理，根據工作需要合理分類設置賬戶權限。
　　
　　3. 嚴格口令管理，及時更改產品安裝時的預設口令，杜絕弱口令、空口令。
　　
　　4. 定期對賬戶、口令、端口、服務等進行檢查，及時清理不必要的用戶和管理員賬戶，停止無用的后臺程序和進程，關閉無關的端口和服務。
　　
　�。ㄋ模┰O備選擇與升級管理要求。
　　
　　1. 慎重選擇工業控制系統設備，在供貨合同中或以其他方式明確供應商應承擔的信息安全責任和義務，確保產品安全可控。
　　
　　2. 加強對技術服務的信息安全管理，在安全得不到保證的情況下禁止采取遠程在線服務。
　　
　　3. 密切關注產品漏洞和補丁發布，嚴格軟件升級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。關鍵工業控制系統軟件升級、補丁安裝前要請專業技術機構進行安全評估和驗證。
　　
　�。ㄎ澹�數據管理要求。
　　
　　地理、礦產、原材料等國家基礎數據以及其他重要敏感數據的采集、傳輸、存儲、利用等，要采取訪問權限控制、數據加密、安全審計、災難備份等措施加以保護，切實維護個人權益、企業利益和國家信息資源安全。
　　
　�。�六）應急管理要求。
　　
　　制定工業控制系統信息安全應急預案，明確應急處置流程和臨機處置權限，落實應急技術支撐隊伍，根據實際情況采取必要的備機備件等容災備份措施。
　　
　　三、建立工業控制系統安全測評檢查和漏洞發布制度
　　
　�。ㄒ唬┘訌娭攸c領域工業控制系統關鍵設備的信息安全測評工作。全國信息安全標準化技術委員會抓緊制定工業控制系統關鍵設備信息安全規范和技術標準，明確設備安全技術要求。重點領域的有關單位要請專業技術機構對所使用的工業控制系統關鍵設備進行安全測評，檢測安全漏洞，評估安全風險。工業和信息化部會同有關部門對重點領域使用的工業控制系統關鍵設備進行抽檢。
　　
　�。ǘ�）建立工業控制系統信息安全檢查制度。工業控制系統運營單位要從實際出發，定期組織開展信息安全檢查，排查安全隱患，堵塞安全漏洞。工業和信息化部適時組織專業技術力量對重點領域工業控制系統信息安全狀況進行抽查，及時通報發現的問題。
　　
　�。ㄈ�）建立信息安全漏洞信息發布制度。開展工業控制系統信息安全漏洞信息的收集、匯總和分析研判工作，及時發布有關漏洞、風險和預警信息。
　　
　　四、進一步加強工業控制系統信息安全工作的組織領導
　　
　　各地區、各部門、各單位要將工業控制系統信息安全管理作為信息安全工作的重要內容，按照誰主管誰負責、誰運營誰負責、誰使用誰負責的原則，建立健全信息安全責任制。各級政府工業和信息化主管部門要加強對工業控制系統信息安全工作的指導和督促檢查。有關行業主管或監管部門、國有資產監督管理部門要加強對重點領域工業控制系統信息安全管理工作的指導監督，結合行業實際制定完善相關規章制度，提出具體要求，并加強督促檢查確保落到實處。有關部門要加快推動工業控制系統信息安全防護技術研究和產品研制，加大工業控制系統安全檢測技術和工具研發力度。國有大型企業要切實加強工業控制系統信息安全管理的領導，健全工作機制，嚴格落實責任制，將重要工業控制系統信息安全責任逐一落實到具體部門、崗位和人員，確保領導到位、機構到位、人員到位、措施到位、資金到位。
　　
　　 二〇一一年九月二十九日