工业控制系统作为工业生产运行的基础核心，其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。2016年，工业和信息化部出台《工业控制系统信息安全防护指南》，对有效指导工业企业开展工控安全防护工作发挥了积极作用。2017年以来，我国相继颁布了《网络安全法》《数据安全法》《密码法》等法律法规及行业应用方面的部门规章，现有政策文件未能充分衔接相关法律法规要求。与此同时，工业企业数字化转型步伐加快，工业控制系统开放互联趋势明显，工业企业面临的网络安全风险与日俱增，工业企业加强网络安全防护需求迫切。为适应新型工业化发展形势，提高我国工业控制系统网络安全保障水平，指导工业开展工控安全防护工作，以高水平安全护航新型工业化高质量发展，工业和信息化部印发新版《工业控制系统网络安全防护指南》（以下简称《防护指南》）。

主要内容

《防护指南》定位于面向工业企业做好网络安全防护的指导性文件，坚持统筹发展和安全，围绕安全管理、技术防护、安全运营、责任落实四方面，提出33项指导性安全防护基线要求，推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。主要强调以下几个方面：

01 聚焦安全风险管控，突出管理重点对象，提升工业企业工控安全管理能力

一、安全管理

（一）资产管理

1.全面梳理可编程逻辑控制器（PLC）、分布式控制系统（DCS）、数据采集与监视控制系统（SCADA）等典型工业控制系统以及相关设备、软件、数据等资产，明确资产管理责任部门和责任人，建立工业控制系统资产清单，并根据资产状态变化及时更新。定期开展工业控制系统资产核查，内容包括但不限于系统配置、权限分配、日志审计、病毒查杀、数据备份、设备运行状态等情况。

2.根据承载业务的重要性、规模，以及发生网络安全事件的危害程度等因素，建立重要工业控制系统清单并定期更新，实施重点保护。重要工业控制系统相关的关键工业主机、网络设备、控制设备等，应实施冗余备份。

2.根据承载业务的重要性、规模，以及发生网络安全事件的危害程度等因素，建立重要工业控制系统清单并定期更新，实施重点保护。重要工业控制系统相关的关键工业主机、网络设备、控制设备等，应实施冗余备份。

（二）配置管理

3.强化账户及口令管理，避免使用默认口令或弱口令，定期更新口令。遵循最小授权原则，合理设置账户权限，禁用不必要的系统默认账户和管理员账户，及时清理过期账户。

4.建立工业控制系统安全配置清单、安全防护设备策略配置清单。定期开展配置清单审计，及时根据安全防护需求变化调整配置，重大配置变更实施前进行严格安全测试，测试通过后方可实施变更。

（三）供应链安全

5.与工业控制系统厂商、云服务商、安全服务商等供应商签订的协议中，应明确各方需履行的安全相关责任和义务，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。

6.工业控制系统使用纳入网络关键设备目录的PLC等设备时，应使用具备资格的机构安全认证合格或者安全检测符合要求的设备。

（四）宣传教育

7.定期开展工业控制系统网络安全相关法律法规、政策标准宣传教育，增强企业人员网络安全意识。针对工业控制系统和网络相关运维人员，定期开展工控安全专业技能培训及考核。

02 聚焦安全薄弱关键环节，强化技术应对策略，提升工业企业工控安全防护能力

二、技术防护

（一）主机与终端安全

8.在工程师站、操作员站、工业数据库服务器等主机上部署防病毒软件，定期进行病毒库升级和查杀，防止勒索软件等恶意软件传播。对具备存储功能的介质，在其接入工业主机前，应进行病毒、木马等恶意代码查杀。

9.主机可采用应用软件白名单技术，只允许部署运行经企业授权和安全评估的应用软件，并有计划的实施操作系统、数据库等系统软件和重要应用软件升级。

10.拆除或封闭工业主机上不必要的通用串行总线（USB）、光驱、无线等外部设备接口，关闭不必要的网络服务端口。若确需使用外部设备，应进行严格访问控制。

11.对工业主机、工业智能终端设备（控制设备、智能仪表等）、网络设备（工业交换机、工业路由器等）的访问实施用户身份鉴别，关键主机或终端的访问采用双因子认证。

（二）架构与边界安全

12.根据承载业务特点、业务规模、影响工业生产的重要程度等因素，对工业以太网、工业无线网络等组成的工业控制网络实施分区分域管理，部署工业防火墙、网闸等设备实现域间横向隔离。当工业控制网络与企业管理网或互联网连通时，实施网间纵向防护，并对网间行为开展安全审计。设备接入工业控制网络时应进行身份认证。

13.应用第五代移动通信技术（5G）、无线局域网技术（WiFi）等无线通信技术组网时，制定严格的网络访问控制策略，对无线接入设备采用身份认证机制，对无线访问接入点定期审计，关闭无线接入公开信息（SSID）广播，避免设备违规接入。

14.严格远程访问控制，禁止工业控制系统面向互联网开通不必要的超文本传输协议（HTTP）、文件传输协议（FTP）、Internet远程登录协议（Telnet）、远程桌面协议（RDP）等高风险通用网络服务，对必要开通的网络服务采取安全接入代理等技术进行用户身份认证和应用鉴权。在远程维护时，使用互联网安全协议（IPsec）、安全套接字协议（SSL）等协议构建安全网络通道（如虚拟专用网络（VPN）），并严格限制访问范围和授权时间，开展日志留存和审计。

15.在工业控制系统中使用加密协议和算法时应符合相关法律法规要求，鼓励优先采用商用密码，实现加密网络通信、设备身份认证和数据安全传输。

（三）上云安全

16.工业云平台为企业自建时，利用用户身份鉴别、访问控制、安全通信、入侵防范等技术做好安全防护，有效阻止非法操作、网络攻击等行为。

17.工业设备上云时，对上云设备实施严格标识管理，设备在接入工业云平台时采用双向身份认证，禁止未标识设备接入工业云平台。业务系统上云时，应确保不同业务系统运行环境的安全隔离。

（四）应用安全

18.访问制造执行系统（MES）、组态软件和工业数据库等应用服务时，应进行用户身份认证。访问关键应用服务时，采用双因子认证，并严格限制访问范围和授权时间。

19.工业企业自主研发的工业控制系统相关软件，应通过企业自行或委托第三方机构开展的安全性测试，测试合格后方可上线使用。

（五）系统数据安全

20.定期梳理工业控制系统运行产生的数据，结合业务实际，开展数据分类分级，识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、公开等环节，使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。

21.法律、行政法规有境内存储要求的重要数据和核心数据，应在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估。

03 聚焦易发网络安全风险，增强威胁发现及处置能力，提升工业企业安全运营能力

三、安全运营

（一）监测预警

22.在工业控制网络部署监测审计相关设备或平台，在不影响系统稳定运行的前提下，及时发现和预警系统漏洞、恶意软件、网络攻击、网络侵入等安全风险。

23.在工业控制网络与企业管理网或互联网的边界，可采用工业控制系统蜜罐等威胁诱捕技术，捕获网络攻击行为，提升主动防御能力。

（二）运营中心

24.有条件的企业可建立工业控制系统网络安全运营中心，利用安全编排自动化与响应（SOAR）等技术，实现安全设备的统一管理和策略配置，全面监测网络安全威胁，提升风险隐患集中排查和事件快速响应能力。

（三）应急处置

25.制定工控安全事件应急预案，明确报告和处置流程，根据实际情况适时进行评估和修订，定期开展应急演练。当发生工控安全事件时，应立即启动应急预案，采取紧急处置措施，及时稳妥处理安全事件。

26.重要设备、平台、系统访问和操作日志留存时间不少于六个月，并定期对日志备份，便于开展事后溯源取证。

27.对重要系统应用和数据定期开展备份及恢复测试，确保紧急时工业控制系统在可接受的时间范围内恢复正常运行。、

（四）安全评估

28.新建或升级工业控制系统上线前、工业控制网络与企业管理网或互联网连接前，应开展安全风险评估。

29.对于重要工业控制系统，企业应自行或委托第三方专业机构每年至少开展一次工控安全防护能力相关评估。

（五）漏洞管理

30.密切关注工业和信息化部网络安全威胁和漏洞信息共享平台等重大工控安全漏洞及其补丁程序发布，及时采取升级措施，短期内无法升级的，应开展针对性安全加固。

31.对重要工业控制系统定期开展漏洞排查，发现重大安全漏洞时，对补丁程序或加固措施测试验证后，方可实施补丁升级或加固。

04 聚焦工业企业资源保障，坚持统筹发展和安全，督促企业落实网络安全责任

四、责任落实

32.工业企业承担本企业工控安全主体责任，建立工控安全管理制度，明确责任人和责任部门，按照“谁运营谁负责、谁主管谁负责”的原则落实工控安全保护责任。

33.强化企业资源保障力度，确保安全防护措施与工业控制系统同步规划、同步建设、同步使用。

基于指南的工业安全产品介绍

基于《防护指南》安全防护基线要求，结合博智多年来在工业领域深厚的行业经验积累，推荐以下部分特色产品：

01 博智工业安全管理平台

博智工业安全管理平台是工业网络中集安全设备、安全事件、日志信息进行集中管控的一体化产品，通过对边界隔离、网络监测、主机防护、入侵检测、运维管理等安全产品的集中管控，对工业网络设备、数据库、操作员站等设备日志信息的统一收集，实现安全策略的统一配置，以多种可视化方式，统一监控管理分散的安全设备，支持重要安全事件告警。为工控网络安全运营提供决策支持，加强安全事件响应速度与安全运维能力，提升工控网络整体信息安全水平。

02 博智工业资产测绘与脆弱性评估系统

博智工业资产测绘与脆弱性评估系统是一款面向监管部门、大中型企事业单位提供资产探测、脆弱性扫描与漏洞验证于一体的攻击面识别与管理系统，该系统通过高性能的探测引擎搭配全面的指纹信息库、漏洞信息库，POC等知识库，可以准确识别互联网上设备暴漏情况，发现联网设备存在的漏洞和风险，并通过POC库二次确认资产脆弱性。实施动态资产监控，以实时识别新增或变更的资产，并对这些变更进行深入分析，旨在发现潜在安全漏洞。进一步地，将检测到的资产与已知漏洞和攻击手段数据库进行关联，为决策支持和风险分类过程提供必要的背景知识。

03 博智工控防火墙

博智工控防火墙是结合前沿安全技术研发出的具有高效率、高安全性、高稳定性的工业安全边界防护产品，能够有效对SCADA、DCS、PCS、PLC、RTU等工业控制系统和控制终端设备进行网络安全防护。用于企业网络层和生产管理层、生产管理层和过程监控层、过程监控层和现场控制层的边界，从而阻断攻击者的非法访问、病毒传播和恶意攻击。产品采用业界领先的软、硬件体系架构，对链路层、网络层网络协议进行解析，更进一步解析到工控网络包的应用层，配置了工业特性的协议深度解析引擎，可对OPC 、Modbus TCP、Siemens S7、Ethernet/IP(CIP)、IEC104、DNP3、Profinet、Fins、FF等12种主流工控协议进行深度分析，对40多种通用工业协议进行分析，防止非法指令操作工控系统。针对外部入侵，防火墙能够防止多种DOS攻击和典型攻击，过滤木马、间谍软件和利用缓冲区溢出的漏洞攻击。针对网络情况分析，采用日志方式进行记录，支持查询、数据动态可视化。同时可以通过集中管理平台进行集中管理与控制，进行集中统一的设备管理和状态监控。

04 博智工业互联网应急处置工具箱

博智工业互联网应急处置工具箱遵循“准备-检测-抑制-根除-恢复-跟踪”国际化标准应急处置流程，依托《国家网络安全事件应急预案》、《工业信息安全应急处置工具箱团体标准》等标准，融合各类安全事件处置模板、案例、专家知识库及工具库等，针对企业常见的网络攻击、病毒传播、黑客入侵、数据泄露等事件，可以实现应急事件的快速发现、智能引导、风险消除、安全加固、事后总结，有效减小和控制安全事件对工业企业造成的损失，提升监管部门对安全事件的应急处置能力。

05 博智工控漏洞扫描系统

博智工控漏洞扫描系统是一款对工控网络进行脆弱性分析和评估的综合管理系统。该系统通过丰富的系统漏洞库，支持工业控制系统中传统 IT设备/系统的漏洞风险评估，同时还支持对工业控制系统中所特有的设备/系统，比如SCADA、DCS、PLC等进行已知漏洞的识别和检测，及时发现安全漏洞，客观评估工控网络风险等级。

06 工控漏洞挖掘平台

工控漏洞挖掘平台是自主研发用于验证各类工控设备未知漏洞和安全状况的产品。通过对当前知名的工控网络协议进行分析，基于模糊测试理论结合协议特点对协议字段进行变换，实现工控设备安全性及健壮性测试，深度挖掘工控设备存在的各类已知和未知漏洞，定位问题根源，提高工控设备的安全等级。被测设备覆盖PLC、DCS、RTU、DCS、SCADA、工业操作系统等。

行业应用

博智工控安全产品广泛应用于电力、轨交、化工、钢铁、智能制造、烟草、水利、煤炭等行业。