工信部協(xié)[2011]451號

　　各省、自治區(qū)、直轄市人民政府，國務院有關部門，有關國有大型企業(yè)：

　　工業(yè)控制系統(tǒng)信息安全事關工業(yè)生產運行、國家經濟安全和人民生命財產安全，為切實加強工業(yè)控制系統(tǒng)信息安全管理，經國務院同意，現(xiàn)就有關事項通知如下：

　　一、充分認識加強工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性

　　數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等工業(yè)控制系統(tǒng)廣泛運用于工業(yè)、能源、交通、水利以及市政等領域，用于控制生產設備的運行。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞，將對工業(yè)生產運行和國家經濟安全造成重大隱患。隨著計算機和網絡技術的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網的快速發(fā)展，工業(yè)控制系統(tǒng)產品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網等公共網絡連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散，工業(yè)控制系統(tǒng)信息安全問題日益突出。2010年發(fā)生的“震網”病毒事件，充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴峻的形勢。與此同時，我國工業(yè)控制系統(tǒng)信息安全管理工作中仍存在不少問題，主要是對工業(yè)控制系統(tǒng)信息安全問題重視不夠，管理制度不健全，相關標準規(guī)范缺失，技術防護措施不到位，安全防護能力和應急處置能力不高等，威脅著工業(yè)生產安全和社會正常運轉。對此，各地區(qū)、各部門、各單位務必高度重視，增強風險意識、責任意識和緊迫感，切實加強工業(yè)控制系統(tǒng)信息安全管理。

　　二、明確重點領域工業(yè)控制系統(tǒng)信息安全管理要求

　　加強工業(yè)控制系統(tǒng)信息安全管理的重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。各地區(qū)、各部門、各單位要結合實際，明確加強工業(yè)控制系統(tǒng)信息安全管理的重點領域和重點環(huán)節(jié)，切實落實以下要求。

　　(一)連接管理要求。

　　1. 斷開工業(yè)控制系統(tǒng)同公共網絡之間的所有不必要連接。

　　2. 對確實需要的連接，系統(tǒng)運營單位要逐一進行登記，采取設置防火墻、單向隔離等措施加以防護，并定期進行風險評估，不斷完善防范措施。

　　3. 嚴格控制在工業(yè)控制系統(tǒng)和公共網絡之間交叉使用移動存儲介質以及便攜式計算機。

　　(二)組網管理要求。

　　1. 工業(yè)控制系統(tǒng)組網時要同步規(guī)劃、同步建設、同步運行安全防護措施。

　　2. 采取虛擬專用網絡(VPN)、線路冗余備份、數(shù)據(jù)加密等措施，加強對關鍵工業(yè)控制系統(tǒng)遠程通信的保護。

　　3. 對無線組網采取嚴格的身份認證、安全監(jiān)測等防護措施，防止經無線網絡進行惡意入侵，尤其要防止通過侵入遠程終端單元(RTU)進而控制部分或整個工業(yè)控制系統(tǒng)。

　　(三)配置管理要求。

　　1. 建立控制服務器等工業(yè)控制系統(tǒng)關鍵設備安全配置和審計制度。

　　2. 嚴格賬戶管理，根據(jù)工作需要合理分類設置賬戶權限。

　　3. 嚴格口令管理，及時更改產品安裝時的預設口令，杜絕弱口令、空口令。

　　4. 定期對賬戶、口令、端口、服務等進行檢查，及時清理不必要的用戶和管理員賬戶，停止無用的后臺程序和進程，關閉無關的端口和服務。

　　(四)設備選擇與升級管理要求。

　　1. 慎重選擇工業(yè)控制系統(tǒng)設備，在供貨合同中或以其他方式明確供應商應承擔的信息安全責任和義務，確保產品安全可控。

　　2. 加強對技術服務的信息安全管理，在安全得不到保證的情況下禁止采取遠程在線服務。

　　3. 密切關注產品漏洞和補丁發(fā)布，嚴格軟件升級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。關鍵工業(yè)控制系統(tǒng)軟件升級、補丁安裝前要請專業(yè)技術機構進行安全評估和驗證。

　　(五)數(shù)據(jù)管理要求。

　　地理、礦產、原材料等國家基礎數(shù)據(jù)以及其他重要敏感數(shù)據(jù)的采集、傳輸、存儲、利用等，要采取訪問權限控制、數(shù)據(jù)加密、安全審計、災難備份等措施加以保護，切實維護個人權益、企業(yè)利益和國家信息資源安全。

　　(六)應急管理要求。

　　制定工業(yè)控制系統(tǒng)信息安全應急預案，明確應急處置流程和臨機處置權限，落實應急技術支撐隊伍，根據(jù)實際情況采取必要的備機備件等容災備份措施。

　　三、建立工業(yè)控制系統(tǒng)安全測評檢查和漏洞發(fā)布制度

　　(一)加強重點領域工業(yè)控制系統(tǒng)關鍵設備的信息安全測評工作。全國信息安全標準化技術委員會抓緊制定工業(yè)控制系統(tǒng)關鍵設備信息安全規(guī)范和技術標準，明確設備安全技術要求。重點領域的有關單位要請專業(yè)技術機構對所使用的工業(yè)控制系統(tǒng)關鍵設備進行安全測評，檢測安全漏洞，評估安全風險。工業(yè)和信息化部會同有關部門對重點領域使用的工業(yè)控制系統(tǒng)關鍵設備進行抽檢。

　　(二)建立工業(yè)控制系統(tǒng)信息安全檢查制度。工業(yè)控制系統(tǒng)運營單位要從實際出發(fā)，定期組織開展信息安全檢查，排查安全隱患，堵塞安全漏洞。工業(yè)和信息化部適時組織專業(yè)技術力量對重點領域工業(yè)控制系統(tǒng)信息安全狀況進行抽查，及時通報發(fā)現(xiàn)的問題。

　　(三)建立信息安全漏洞信息發(fā)布制度。開展工業(yè)控制系統(tǒng)信息安全漏洞信息的收集、匯總和分析研判工作，及時發(fā)布有關漏洞、風險和預警信息。

　　四、進一步加強工業(yè)控制系統(tǒng)信息安全工作的組織領導

　　各地區(qū)、各部門、各單位要將工業(yè)控制系統(tǒng)信息安全管理作為信息安全工作的重要內容，按照誰主管誰負責、誰運營誰負責、誰使用誰負責的原則，建立健全信息安全責任制。各級政府工業(yè)和信息化主管部門要加強對工業(yè)控制系統(tǒng)信息安全工作的指導和督促檢查。有關行業(yè)主管或監(jiān)管部門、國有資產監(jiān)督管理部門要加強對重點領域工業(yè)控制系統(tǒng)信息安全管理工作的指導監(jiān)督，結合行業(yè)實際制定完善相關規(guī)章制度，提出具體要求，并加強督促檢查確保落到實處。有關部門要加快推動工業(yè)控制系統(tǒng)信息安全防護技術研究和產品研制，加大工業(yè)控制系統(tǒng)安全檢測技術和工具研發(fā)力度。國有大型企業(yè)要切實加強工業(yè)控制系統(tǒng)信息安全管理的領導，健全工作機制，嚴格落實責任制，將重要工業(yè)控制系統(tǒng)信息安全責任逐一落實到具體部門、崗位和人員，確保領導到位、機構到位、人員到位、措施到位、資金到位。

　　二〇一一年九月二十九日