針對(duì)目前我國工業(yè)控制系統(tǒng)信息安全面臨的嚴(yán)峻形勢，工業(yè)和信息化部日前下發(fā)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，要求各地區(qū)、各有關(guān)部門、有關(guān)國有大型企業(yè)充分認(rèn)識(shí)工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性，高度重視，增強(qiáng)風(fēng)險(xiǎn)意識(shí)，切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理，以保障工業(yè)生產(chǎn)運(yùn)行安全、國家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全。

　　《通知》明確，加強(qiáng)管理的重點(diǎn)領(lǐng)域包括核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計(jì)民生緊密相關(guān)的領(lǐng)域，落實(shí)以下管理要求。

　　一是連接管理。斷開工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的所有不必要連接。對(duì)確實(shí)需要的連接，要不斷完善防范措施。嚴(yán)格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)以及便攜式計(jì)算機(jī)。二是組網(wǎng)管理。工業(yè)控制系統(tǒng)組網(wǎng)時(shí)要同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全防護(hù)措施。采取虛擬專用網(wǎng)絡(luò)等措施，加強(qiáng)對(duì)關(guān)鍵工業(yè)控制系統(tǒng)遠(yuǎn)程通信的保護(hù)。對(duì)無線組網(wǎng)采取嚴(yán)格的身份認(rèn)證、安全監(jiān)測等防護(hù)措施。三是配置管理。建立控制服務(wù)器等工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備安全配置和審計(jì)制度。嚴(yán)格賬戶管理、口令管理等。四是設(shè)備選擇與升級(jí)管理。慎重選擇工業(yè)控制系統(tǒng)設(shè)備，確保產(chǎn)品安全可控。密切關(guān)注產(chǎn)品漏洞和補(bǔ)丁發(fā)布，嚴(yán)格軟件升級(jí)、補(bǔ)丁安裝管理，嚴(yán)防病毒、木馬等惡意代碼侵入。五是數(shù)據(jù)管理。地理、礦產(chǎn)、原材料等國家基礎(chǔ)數(shù)據(jù)以及其他重要敏感數(shù)據(jù)的采集、傳輸、存儲(chǔ)、利用等，要采取訪問權(quán)限控制、等措施加以保護(hù)。六是應(yīng)急管理。制定工業(yè)控制系統(tǒng)信息安全應(yīng)急預(yù)案，明確應(yīng)急處置流程和臨機(jī)處置權(quán)限。

　　《通知》要求，加強(qiáng)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備的信息安全測評(píng)工作；建立工業(yè)控制系統(tǒng)信息安全檢查制度；建立信息安全漏洞信息發(fā)布制度。

　　此外，《通知》還對(duì)進(jìn)一步加強(qiáng)工業(yè)控制系統(tǒng)信息安全工作的組織領(lǐng)導(dǎo)工作進(jìn)行部署，要求各地區(qū)、各部門、各單位將工業(yè)控制系統(tǒng)信息安全管理作為信息安全工作的重要內(nèi)容，提出具體要求、加強(qiáng)督促檢查、嚴(yán)格落實(shí)責(zé)任制。

相關(guān)閱讀：

關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知

                                                      工信部協(xié)[2011]451號(hào)
　　
各省、自治區(qū)、直轄市人民政府，國務(wù)院有關(guān)部門，有關(guān)國有大型企業(yè)：
　　
　　工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運(yùn)行、國家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全，為切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理，經(jīng)國務(wù)院同意，現(xiàn)就有關(guān)事項(xiàng)通知如下：
　　
　　一、充分認(rèn)識(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性
　　
　　數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等工業(yè)控制系統(tǒng)廣泛運(yùn)用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域，用于控制生產(chǎn)設(shè)備的運(yùn)行。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞，將對(duì)工業(yè)生產(chǎn)運(yùn)行和國家經(jīng)濟(jì)安全造成重大隱患。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散，工業(yè)控制系統(tǒng)信息安全問題日益突出。2010年發(fā)生的“震網(wǎng)”病毒事件，充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的形勢。與此同時(shí)，我國工業(yè)控制系統(tǒng)信息安全管理工作中仍存在不少問題，主要是對(duì)工業(yè)控制系統(tǒng)信息安全問題重視不夠，管理制度不健全，相關(guān)標(biāo)準(zhǔn)規(guī)范缺失，技術(shù)防護(hù)措施不到位，安全防護(hù)能力和應(yīng)急處置能力不高等，威脅著工業(yè)生產(chǎn)安全和社會(huì)正常運(yùn)轉(zhuǎn)。對(duì)此，各地區(qū)、各部門、各單位務(wù)必高度重視，增強(qiáng)風(fēng)險(xiǎn)意識(shí)、責(zé)任意識(shí)和緊迫感，切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理。
　　
　　二、明確重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求
　　
　　加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的重點(diǎn)領(lǐng)域包括核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計(jì)民生緊密相關(guān)的領(lǐng)域。各地區(qū)、各部門、各單位要結(jié)合實(shí)際，明確加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的重點(diǎn)領(lǐng)域和重點(diǎn)環(huán)節(jié)，切實(shí)落實(shí)以下要求。
　　
　　（一）連接管理要求。
　　
　　1. 斷開工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的所有不必要連接。
　　
　　2. 對(duì)確實(shí)需要的連接，系統(tǒng)運(yùn)營單位要逐一進(jìn)行登記，采取設(shè)置防火墻、單向隔離等措施加以防護(hù)，并定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，不斷完善防范措施。
　　
　　3. 嚴(yán)格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)以及便攜式計(jì)算機(jī)。
　　
　　（二）組網(wǎng)管理要求。
　　
　　1. 工業(yè)控制系統(tǒng)組網(wǎng)時(shí)要同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全防護(hù)措施。
　　
　　2. 采取虛擬專用網(wǎng)絡(luò)（VPN）、線路冗余備份、數(shù)據(jù)加密等措施，加強(qiáng)對(duì)關(guān)鍵工業(yè)控制系統(tǒng)遠(yuǎn)程通信的保護(hù)。
　　
　　3. 對(duì)無線組網(wǎng)采取嚴(yán)格的身份認(rèn)證、安全監(jiān)測等防護(hù)措施，防止經(jīng)無線網(wǎng)絡(luò)進(jìn)行惡意入侵，尤其要防止通過侵入遠(yuǎn)程終端單元（RTU）進(jìn)而控制部分或整個(gè)工業(yè)控制系統(tǒng)。
　　
　　（三）配置管理要求。
　　
　　1. 建立控制服務(wù)器等工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備安全配置和審計(jì)制度。
　　
　　2. 嚴(yán)格賬戶管理，根據(jù)工作需要合理分類設(shè)置賬戶權(quán)限。
　　
　　3. 嚴(yán)格口令管理，及時(shí)更改產(chǎn)品安裝時(shí)的預(yù)設(shè)口令，杜絕弱口令、空口令。
　　
　　4. 定期對(duì)賬戶、口令、端口、服務(wù)等進(jìn)行檢查，及時(shí)清理不必要的用戶和管理員賬戶，停止無用的后臺(tái)程序和進(jìn)程，關(guān)閉無關(guān)的端口和服務(wù)。
　　
　　（四）設(shè)備選擇與升級(jí)管理要求。
　　
　　1. 慎重選擇工業(yè)控制系統(tǒng)設(shè)備，在供貨合同中或以其他方式明確供應(yīng)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)，確保產(chǎn)品安全可控。
　　
　　2. 加強(qiáng)對(duì)技術(shù)服務(wù)的信息安全管理，在安全得不到保證的情況下禁止采取遠(yuǎn)程在線服務(wù)。
　　
　　3. 密切關(guān)注產(chǎn)品漏洞和補(bǔ)丁發(fā)布，嚴(yán)格軟件升級(jí)、補(bǔ)丁安裝管理，嚴(yán)防病毒、木馬等惡意代碼侵入。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級(jí)、補(bǔ)丁安裝前要請(qǐng)專業(yè)技術(shù)機(jī)構(gòu)進(jìn)行安全評(píng)估和驗(yàn)證。
　　
　　（五）數(shù)據(jù)管理要求。
　　
　　地理、礦產(chǎn)、原材料等國家基礎(chǔ)數(shù)據(jù)以及其他重要敏感數(shù)據(jù)的采集、傳輸、存儲(chǔ)、利用等，要采取訪問權(quán)限控制、數(shù)據(jù)加密、安全審計(jì)、災(zāi)難備份等措施加以保護(hù)，切實(shí)維護(hù)個(gè)人權(quán)益、企業(yè)利益和國家信息資源安全。
　　
　　（六）應(yīng)急管理要求。
　　
　　制定工業(yè)控制系統(tǒng)信息安全應(yīng)急預(yù)案，明確應(yīng)急處置流程和臨機(jī)處置權(quán)限，落實(shí)應(yīng)急技術(shù)支撐隊(duì)伍，根據(jù)實(shí)際情況采取必要的備機(jī)備件等容災(zāi)備份措施。
　　
　　三、建立工業(yè)控制系統(tǒng)安全測評(píng)檢查和漏洞發(fā)布制度
　　
　　（一）加強(qiáng)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備的信息安全測評(píng)工作。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)抓緊制定工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備信息安全規(guī)范和技術(shù)標(biāo)準(zhǔn)，明確設(shè)備安全技術(shù)要求。重點(diǎn)領(lǐng)域的有關(guān)單位要請(qǐng)專業(yè)技術(shù)機(jī)構(gòu)對(duì)所使用的工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備進(jìn)行安全測評(píng)，檢測安全漏洞，評(píng)估安全風(fēng)險(xiǎn)。工業(yè)和信息化部會(huì)同有關(guān)部門對(duì)重點(diǎn)領(lǐng)域使用的工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備進(jìn)行抽檢。
　　
　　（二）建立工業(yè)控制系統(tǒng)信息安全檢查制度。工業(yè)控制系統(tǒng)運(yùn)營單位要從實(shí)際出發(fā)，定期組織開展信息安全檢查，排查安全隱患，堵塞安全漏洞。工業(yè)和信息化部適時(shí)組織專業(yè)技術(shù)力量對(duì)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全狀況進(jìn)行抽查，及時(shí)通報(bào)發(fā)現(xiàn)的問題。
　　
　　（三）建立信息安全漏洞信息發(fā)布制度。開展工業(yè)控制系統(tǒng)信息安全漏洞信息的收集、匯總和分析研判工作，及時(shí)發(fā)布有關(guān)漏洞、風(fēng)險(xiǎn)和預(yù)警信息。
　　
　　四、進(jìn)一步加強(qiáng)工業(yè)控制系統(tǒng)信息安全工作的組織領(lǐng)導(dǎo)
　　
　　各地區(qū)、各部門、各單位要將工業(yè)控制系統(tǒng)信息安全管理作為信息安全工作的重要內(nèi)容，按照誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)的原則，建立健全信息安全責(zé)任制。各級(jí)政府工業(yè)和信息化主管部門要加強(qiáng)對(duì)工業(yè)控制系統(tǒng)信息安全工作的指導(dǎo)和督促檢查。有關(guān)行業(yè)主管或監(jiān)管部門、國有資產(chǎn)監(jiān)督管理部門要加強(qiáng)對(duì)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理工作的指導(dǎo)監(jiān)督，結(jié)合行業(yè)實(shí)際制定完善相關(guān)規(guī)章制度，提出具體要求，并加強(qiáng)督促檢查確保落到實(shí)處。有關(guān)部門要加快推動(dòng)工業(yè)控制系統(tǒng)信息安全防護(hù)技術(shù)研究和產(chǎn)品研制，加大工業(yè)控制系統(tǒng)安全檢測技術(shù)和工具研發(fā)力度。國有大型企業(yè)要切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的領(lǐng)導(dǎo)，健全工作機(jī)制，嚴(yán)格落實(shí)責(zé)任制，將重要工業(yè)控制系統(tǒng)信息安全責(zé)任逐一落實(shí)到具體部門、崗位和人員，確保領(lǐng)導(dǎo)到位、機(jī)構(gòu)到位、人員到位、措施到位、資金到位。