关于加强工业控制系统安全防护的指导意(中国石化生〔2017〕292号)

中国石油炼化企业工业控制系统信息安全等级保护及定级指导意见各炼化企业:为了加强工业控制系统的信息安全管理，提升系统的安全防护水平，满足系统定级的要求，根据国家相关法律、规定和标准，制定本指导意见。

一、基本要求1．本指导意见适用于中国石油炼化企业新建、改扩建及在役的工业控制系统；2．工业控制系统实行全寿命周期管理，安全防护设施建设应坚持同时设计、同时施工和同时投用的原则。

3．企业应定期开展工业控制系统网络安全风险评估，制定可行的安全防护策略，总结防护经验，完善防护措施，提升防御水平，及时定级，及时向政府有关部门备案。

4．企业应有专门的机构负责工业控制系统的安全防护工作，制定安全方针，明确职责，落实系统安全升级等技术方案，部署系统的安全防护措施二、原则依据《中华人民共和国网络安全法》“第二十一条国家实行网络安全等级保护制度。

网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。

”公安部《信息安全等级保护管理办法》第六条“国家信息安全等级保护坚持自主定级、自主保护的原则。

”工业和信息化部《工业控制系统信息安全防护指南》工信部信软〔2016〕338号文件等相关法律、规定和标准。

三、信息系统的安全定级第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

2016年10月印发工业控制系统信息安全防护指南2016年10月印发工业控制系统信息安全防护指南一、引言及背景工业控制系统在现代社会的发展中扮演着重要的角色，它们被广泛应用于各个领域，如电力、石油、化工、交通等。

然而，随着信息技术的高速发展和互联网的普及，工业控制系统面临着越来越严峻的信息安全威胁。

为了加强对工业控制系统的信息安全保护，2016年10月，《工业控制系统信息安全防护指南》正式印发。

二、工业控制系统信息安全的挑战1. 工业控制系统与信息技术的融合随着信息技术的飞速发展，工业控制系统逐渐向数字化、网络化、智能化方向发展。

然而，这也给系统的信息安全带来了新的挑战。

工业控制系统的融合使其面临着来自互联网的恶意攻击、勒索软件的威胁、物联网的安全漏洞等问题。

2. 特殊性和复杂性与传统的信息系统相比，工业控制系统有其特殊性和复杂性。

工业控制系统往往运行在恶劣环境中，硬件设备的更新换代周期长，对系统进行升级和更新的难度较大。

工业控制系统中的设备和组件众多，其相互之间的交互复杂，因此对信息安全的防护要求更高。

三、《工业控制系统信息安全防护指南》的意义及主要内容1. 意义《工业控制系统信息安全防护指南》的印发，标志着我国对工业控制系统信息安全重要性的认识和重视程度的提高。

这一指南的出台对于保护工业控制系统的安全、稳定和可靠运行具有重大意义，有助于提高我国关键基础设施的信息安全。

2. 主要内容《工业控制系统信息安全防护指南》主要涵盖了以下几个方面的内容：(1) 工业控制系统的安全需求分析：通过对工业控制系统的特性和需求进行分析，明确安全防护的目标和重点。

(2) 工业控制系统的信息安全架构：指导工业控制系统的安全架构设计，包括系统组成、网络拓扑和安全策略等方面的设计原则。

(3) 工业控制系统的安全运维：提供工业控制系统安全运维的指导原则，包括设备管理、访问控制、事件处理等方面的内容。

(4) 工业控制系统的安全评估和测试：介绍工业控制系统安全评估和测试的方法和技术，帮助企业及时发现和修复安全漏洞。

关于开展工业控制系统信息安全检查工作的通知各师（市）工业和信息化主管部门，兵团国资公司：按照《工业和信息化部办公厅关于开展2017年工业控制系统信息安全检查工作的通知》（工信厅信软函〔2017〕194号）文件要求，为推动《工业控制系统信息安全防护指南》落地实施，加强对工业控制系统信息安全工作的指导和监督，我委将组织开展工业控制系统信息安全检查工作，现将有关要求通知如下。

一、加强领导，落实责任工控系统安全事关工业生产、社会稳定和国家安全。

各师要高度重视，把此次检查工作列入重要议事日程，加强组织领导，落实检查责任，领会文件要求。

明确检查工作分管领导和具体负责人，按照检查任务要求，周密计划，精心部署，认真实施。

二、全面梳理，深入检查各师要全面梳理工业控制系统应用情况，建立管理台账，督促本地区工业企业深入查找安全问题和隐患，切实摸清工控系统安全状况。

三、即查即改，确保成效对检查中发现的问题要及时整改，各师要结合工业和信息化部《工业控制系统信息安全防护指南》要求，督促各工业企业有针对性地落实管理和技术防护措施，有效提升工控系统信息安全水平。

四、严格审核、按时报送请各师对检查数据要严格审核把关，并根据要求（详见附件）做好本地区自查工作。

请于6月15日前将自查情况（附件1和附件2）反馈我委（信息化工作处）。

我委将组织专业技术队伍对相关单位开展安全抽查和深度核查，具体工作安排另行通知。

本通知及所附文件电子版可从兵团工信委网站（xx）的通知栏中下载。

联系人：xxE-mail: xx附件：1．工业控制系统信息安全自查工作报告参考格式2．工业控制系统基本情况自查表3．规模以上重点行业企业名单兵团工业和信息化委员会2017年５月11日附件1工业控制系统信息安全自查工作报告参考格式一、报告名称（各师名称）2017年工业控制系统信息安全检查总结报告。

二、报告内容要求（一）组织开展工业控制系统基本情况概述检查工作组织开展情况、所梳理的工业控制系统基本情况。

2016年10月印发工业控制系统信息安全防护指南2016年10月，工业控制系统信息安全防护指南正式印发。

这是我国为了加强工业领域信息安全而采取的一项重要举措，也是对工业控制系统安全防护的重要指引。

工业控制系统是现代工业生产过程中不可或缺的一部分，它负责控制和监控生产设备的运行。

然而，随着信息技术的发展，工业控制系统也面临着越来越严重的安全威胁。

黑客攻击、病毒传播、数据泄露等安全问题对工业控制系统的稳定运行和生产安全造成了严重威胁。

为了提高工业控制系统的信息安全性，防止安全事件的发生，该指南提供了一系列的防护措施和技术要求。

首先，该指南强调了安全教育的重要性，要求企业对员工进行信息安全意识培训，提高他们对安全威胁的认识和应对能力。

同时，该指南还详细介绍了密码管理、远程访问控制、漏洞管理等技术要求，为安全防护提供了具体指导。

除了技术层面的要求，该指南还强调了信息共享的重要性。

在面对复杂多变的安全威胁时，信息共享可以帮助企业形成合力，共同应对安全挑战。

该指南建议企业加强与相关安全组织和专家的合作，积极参与信息安全漏洞的共享和修复。

这将有助于提高工业控制系统的整体安全性。

该指南还对安全防护的组织管理提出了要求。

企业应该建立健全的信息安全管理制度，明确责任，完善工业控制系统的安全审计和监控体系。

同时，企业还应该定期进行风险评估和安全检查，及时发现和修复潜在的安全风险。

总之，2016年10月印发的工业控制系统信息安全防护指南为工控系统安全提供了重要的指导和支持。

只有加强安全意识培训、采取科学的防护措施、加强信息共享和健全管理制度，才能有效应对安全威胁，保障工业控制系统的顺利运行和生产安全。

国家安全监管总局关于加强化工过程安全管理的指导意见文章属性•【制定机关】国家安全生产监督管理总局(已撤销)•【公布日期】2013.07.23•【文号】安监总管三[2013]88号•【施行日期】2013.07.23•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】劳动安全保护正文国家安全监管总局关于加强化工过程安全管理的指导意见（安监总管三〔2013〕88号）各省、自治区、直辖市及新疆生产建设兵团安全生产监督管理局，有关中央企业：化工过程（chemical process）伴随易燃易爆、有毒有害等物料和产品，涉及工艺、设备、仪表、电气等多个专业和复杂的公用工程系统。

加强化工过程安全管理，是国际先进的重大工业事故预防和控制方法，是企业及时消除安全隐患、预防事故、构建安全生产长效机制的重要基础性工作。

为深入贯彻落实《国务院关于进一步加强企业安全生产工作的通知》（国发〔2010〕23号）和《国务院关于坚持科学发展安全发展促进安全生产形势持续稳定好转的意见》（国发〔2011〕40号）精神，加强化工企业安全生产基础工作，全面提升化工过程安全管理水平，现提出以下指导意见：一、化工过程安全管理的主要内容和任务（一）化工过程安全管理的主要内容和任务包括：收集和利用化工过程安全生产信息；风险辨识和控制；不断完善并严格执行操作规程；通过规范管理，确保装置安全运行；开展安全教育和操作技能培训；严格新装置试车和试生产的安全管理；保持设备设施完好性；作业安全管理；承包商安全管理；变更管理；应急管理；事故和事件管理；化工过程安全管理的持续改进等。

二、安全生产信息管理（二）全面收集安全生产信息。

企业要明确责任部门，按照《化工企业工艺安全管理实施导则》（AQ/T3034）的要求，全面收集生产过程涉及的化学品危险性、工艺和设备等方面的全部安全生产信息，并将其文件化。

（三）充分利用安全生产信息。

企业要综合分析收集到的各类信息，明确提出生产过程安全要求和注意事项。

工业掌握系统信息安全防护指南工信部2022 年 10 月公布工业掌握系统信息安全事关经济进展、社会稳定和国家安全。

为提升工业企业工业掌握系统信息安全〔以下简称工控安全〕防护水平，保障工业掌握系统安全，制定本指南。

工业掌握系统应用企业以及从事工业掌握系统规划、设计、建设、运维、评估的企事业单位适用本指南。

工业掌握系统应用企业应从以下十一个方面做好工控安全防护工作。

一、安全软件选择与治理〔一〕在工业主机上承受经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行。

〔二〕建立防病毒和恶意软件入侵治理机制，对工业掌握系统及临时接入的设备实行病毒查杀等安全预防措施。

二、配置和补丁治理〔一〕做好工业掌握网络、工业主机和工业掌握设备的安全配置，建立工业掌握系统配置清单，定期进展配置审计。

〔二〕对重大配置变更制定变更打算并进展影响分析，配置变更实施前进展严格安全测试。

〔三〕亲热关留意大工控安全漏洞及其补丁公布，准时实行补丁升级措施。

在补丁安装前，需对补丁进展严格的安全评估和测试验证。

三、边界安全防护〔一〕分别工业掌握系统的开发、测试和生产环境。

〔二〕通过工业掌握网络边界防护设备对工业掌握网络与企业网或互联网之间的边界进展安全防护，制止没有防护的工业控制网络与互联网连接。

〔三〕通过工业防火墙、网闸等防护设备对工业掌握网络安全区域之间进展规律隔离安全防护。

四、物理和环境安全防护〔一〕对重要工程师站、数据库、效劳器等核心工业掌握软硬件所在区域实行访问掌握、视频监控、专人值守等物理安全防护措施。

〔二〕撤除或封闭工业主机上不必要的 USB、光驱、无线等接口。

假设确需使用，通过主机外设安全治理技术手段实施严格访问掌握。

五、身份认证〔一〕在工业主机登录、应用效劳资源访问、工业云平台访问等过程中使用身份认证治理。

对于关键设备、系统和平台的访问承受多因素认证。

〔二〕合理分类设置账户权限，以最小特权原则安排账户权限。

《关于加强工业控制系统信息安全管理的通知》关于加强工业控制系统信息安全管理的通知工信部协[2011]451号各省、自治区、直辖市人民政府，国务院有关部门，有关国有大型企业：工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。

一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。

与此同时，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。

对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。

二、明确重点领域工业控制系统信息安全管理要求加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。

各地区、各部门、各单位要结合实际，明确加强工业控制系统信息安全管理的重点领域和重点环节，切实落实以下要求。

工业和信息化部关于加强工业控制系统信息安全管理的通知【法规类别】劳动安全与劳动保护【发文字号】工信部协[2011]451号【发布部门】工业和信息化部【发布日期】2011.09.29【实施日期】2011.09.29【时效性】现行有效【效力级别】XE0303工业和信息化部关于加强工业控制系统信息安全管理的通知（工信部协[2011]451号）各省、自治区、直辖市人民政府，国务院有关部门，有关国有大型企业：工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全，为切实加强工业控制系统信息安全管理，经国务院同意，现就有关事项通知如下：一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。

一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。

与此同时，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。

对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。

二、明确重点领域工业控制系统信息安全管理要求加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境。