【來(lái)源：信息安全協(xié)調司】

   各省、自治區、直轄市人民政府，國務(wù)院有關(guān)部門(mén)，有關(guān)國有大型企業(yè)：

   工業(yè)控制系統信息安全事關(guān)工業(yè)生產(chǎn)運行、國家經(jīng)濟安全和人民生命財產(chǎn)安全，為切實(shí)加強工業(yè)控制系統信息安全管理，經(jīng)國務(wù)院同意，現就有關(guān)事項通知如下：

   一、充分認識加強工業(yè)控制系統信息安全管理的重要性和緊迫性

   數據采集與監控（SCADA）、分布式控制系統（DCS）、過(guò)程控制系統（PCS）、可編程邏輯控制器（PLC）等工業(yè)控制系統廣泛運用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域，用于控制生產(chǎn)設備的運行。一旦工業(yè)控制系統信息安全出現漏洞，將對工業(yè)生產(chǎn)運行和國家經(jīng)濟安全造成重大隱患。隨著(zhù)計算機和網(wǎng)絡(luò )技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )連接，病毒、木馬等威脅正在向工業(yè)控制系統擴散，工業(yè)控制系統信息安全問(wèn)題日益突出。2010年發(fā)生的“震網(wǎng)”病毒事件，充分反映出工業(yè)控制系統信息安全面臨著(zhù)嚴峻的形勢。與此同時(shí)，我國工業(yè)控制系統信息安全管理工作中仍存在不少問(wèn)題，主要是對工業(yè)控制系統信息安全問(wèn)題重視不夠，管理制度不健全，相關(guān)標準規范缺失，技術(shù)防護措施不到位，安全防護能力和應急處置能力不高等，威脅著(zhù)工業(yè)生產(chǎn)安全和社會(huì )正常運轉。對此，各地區、各部門(mén)、各單位務(wù)必高度重視，增強風(fēng)險意識、責任意識和緊迫感，切實(shí)加強工業(yè)控制系統信息安全管理。

  二、明確重點(diǎn)領(lǐng)域工業(yè)控制系統信息安全管理要求

   加強工業(yè)控制系統信息安全管理的重點(diǎn)領(lǐng)域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關(guān)的領(lǐng)域。各地區、各部門(mén)、各單位要結合實(shí)際，明確加強工業(yè)控制系統信息安全管理的重點(diǎn)領(lǐng)域和重點(diǎn)環(huán)節，切實(shí)落實(shí)以下要求。

  （一）連接管理要求。

   1. 斷開(kāi)工業(yè)控制系統同公共網(wǎng)絡(luò )之間的所有不必要連接。

  2. 對確實(shí)需要的連接，系統運營(yíng)單位要逐一進(jìn)行登記，采取設置防火墻、單向隔離等措施加以防護，并定期進(jìn)行風(fēng)險評估，不斷完善防范措施。

   3. 嚴格控制在工業(yè)控制系統和公共網(wǎng)絡(luò )之間交叉使用移動(dòng)存儲介質(zhì)以及便攜式計算機。

   （二）組網(wǎng)管理要求。

   1. 工業(yè)控制系統組網(wǎng)時(shí)要同步規劃、同步建設、同步運行安全防護措施。

   2. 采取虛擬專(zhuān)用網(wǎng)絡(luò )（VPN）、線(xiàn)路冗余備份、數據加密等措施，加強對關(guān)鍵工業(yè)控制系統遠程通信的保護。

  3. 對無(wú)線(xiàn)組網(wǎng)采取嚴格的身份認證、安全監測等防護措施，防止經(jīng)無(wú)線(xiàn)網(wǎng)絡(luò )進(jìn)行惡意入侵，尤其要防止通過(guò)侵入遠程終端單元（RTU）進(jìn)而控制部分或整個(gè)工業(yè)控制系統。

   （三）配置管理要求.

   1. 建立控制服務(wù)器等工業(yè)控制系統關(guān)鍵設備安全配置和審計制度。

   2. 嚴格賬戶(hù)管理，根據工作需要合理分類(lèi)設置賬戶(hù)權限。

   3. 嚴格口令管理，及時(shí)更改產(chǎn)品安裝時(shí)的預設口令，杜絕弱口令、空口令。

   4. 定期對賬戶(hù)、口令、端口、服務(wù)等進(jìn)行檢查，及時(shí)清理不必要的用戶(hù)和管理員賬戶(hù)，停止無(wú)用的后臺程序和進(jìn)程，關(guān)閉無(wú)關(guān)的端口和服務(wù)。

   （四）設備選擇與升級管理要求。

  1. 慎重選擇工業(yè)控制系統設備，在供貨合同中或以其他方式明確供應商應承擔的信息安全責任和義務(wù)，確保產(chǎn)品安全可控。

   2. 加強對技術(shù)服務(wù)的信息安全管理，在安全得不到保證的情況下禁止采取遠程在線(xiàn)服務(wù)。

   3. 密切關(guān)注產(chǎn)品漏洞和補丁發(fā)布，嚴格軟件升級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。關(guān)鍵工業(yè)控制系統軟件升級、補丁安裝前要請專(zhuān)業(yè)技術(shù)機構進(jìn)行安全評估和驗證。

   （五）數據管理要求。

   地理、礦產(chǎn)、原材料等國家基礎數據以及其他重要敏感數據的采集、傳輸、存儲、利用等，要采取訪(fǎng)問(wèn)權限控制、數據加密、安全審計、災難備份等措施加以保護，切實(shí)維護個(gè)人權益、企業(yè)利益和國家信息資源安全。

   （六）應急管理要求。

   制定工業(yè)控制系統信息安全應急預案，明確應急處置流程和臨機處置權限，落實(shí)應急技術(shù)支撐隊伍，根據實(shí)際情況采取必要的備機備件等容災備份措施。

   三、建立工業(yè)控制系統安全測評檢查和漏洞發(fā)布制度

   （一）加強重點(diǎn)領(lǐng)域工業(yè)控制系統關(guān)鍵設備的信息安全測評工作。全國信息安全標準化技術(shù)委員會(huì )抓緊制定工業(yè)控制系統關(guān)鍵設備信息安全規范和技術(shù)標準，明確設備安全技術(shù)要求。重點(diǎn)領(lǐng)域的有關(guān)單位要請專(zhuān)業(yè)技術(shù)機構對所使用的工業(yè)控制系統關(guān)鍵設備進(jìn)行安全測評，檢測安全漏洞，評估安全風(fēng)險。工業(yè)和信息化部會(huì )同有關(guān)部門(mén)對重點(diǎn)領(lǐng)域使用的工業(yè)控制系統關(guān)鍵設備進(jìn)行抽檢。

   （二）建立工業(yè)控制系統信息安全檢查制度。工業(yè)控制系統運營(yíng)單位要從實(shí)際出發(fā)，定期組織開(kāi)展信息安全檢查，排查安全隱患，堵塞安全漏洞。工業(yè)和信息化部適時(shí)組織專(zhuān)業(yè)技術(shù)力量對重點(diǎn)領(lǐng)域工業(yè)控制系統信息安全狀況進(jìn)行抽查，及時(shí)通報發(fā)現的問(wèn)題。

   （三）建立信息安全漏洞信息發(fā)布制度。開(kāi)展工業(yè)控制系統信息安全漏洞信息的收集、匯總和分析研判工作，及時(shí)發(fā)布有關(guān)漏洞、風(fēng)險和預警信息。

  四、進(jìn)一步加強工業(yè)控制系統信息安全工作的組織領(lǐng)導

  各地區、各部門(mén)、各單位要將工業(yè)控制系統信息安全管理作為信息安全工作的重要內容，按照誰(shuí)主管誰(shuí)負責、誰(shuí)運營(yíng)誰(shuí)負責、誰(shuí)使用誰(shuí)負責的原則，建立健全信息安全責任制。各級政府工業(yè)和信息化主管部門(mén)要加強對工業(yè)控制系統信息安全工作的指導和督促檢查。有關(guān)行業(yè)主管或監管部門(mén)、國有資產(chǎn)監督管理部門(mén)要加強對重點(diǎn)領(lǐng)域工業(yè)控制系統信息安全管理工作的指導監督，結合行業(yè)實(shí)際制定完善相關(guān)規章制度，提出具體要求，并加強督促檢查確保落到實(shí)處。有關(guān)部門(mén)要加快推動(dòng)工業(yè)控制系統信息安全防護技術(shù)研究和產(chǎn)品研制，加大工業(yè)控制系統安全檢測技術(shù)和工具研發(fā)力度。國有大型企業(yè)要切實(shí)加強工業(yè)控制系統信息安全管理的領(lǐng)導，健全工作機制，嚴格落實(shí)責任制，將重要工業(yè)控制系統信息安全責任逐一落實(shí)到具體部門(mén)、崗位和人員，確保領(lǐng)導到位、機構到位、人員到位、措施到位、資金到位。

                                             二〇一一年九月二十九日