【原】工业控制系统安全：信息安全防护指南

2016年工业和信息化部印发了《工业控制系统信息安全防护指南》，该文件作为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号），保障工业企业工业控制系统信息安全而制定，适用于企事业单位的工业控制系统应用企业以及从事工业控制系统规划、设计、建设、运维、评估等工作。

在2017年，在协助某地市开展工业控制系统应用企业检查过程中，我们依据该指南从十一个方面入手，制定有关工控安全防护工作检查表格，通过对当地工信部门先期梳理的十多家企业进行安全检查，在这个过程中得到了大多数企业的积极配合。当然，后面国家信息化管理委员会又发布了《信息安全技术 工业控制系统安全检查指南》GB/T 37980-2019，以后有关工业控制系统安全检查则可以参考GB/T 37980开展。

在检查协助工信部门检查过程中，发现前期梳理的所谓工业控制企业，有近一半为孤立的数控机床生产模式，不具备组网或联网的工业控制系统的规模，这部分企业我们在检查过程中，基本上也通过表格调研的形式，进行了进一步了解，同时对他们单机控制或具备身份认证的设备的安全防护，给出口头性建议，如果特种设备专人专管、保障口令复杂度等基本的防护要求。

也有几家企业，确实具有相应的工业控制系统，如某知名纸业公司、知名食品公司、化工集团等企业，都有完备的DCS系统，而这些系统运行均正常。当然，也存在非常多的问题，如其中一家单位存在拓扑图不清晰、有应急预案但从来未做过应急演练；缺少防恶意代码以及白名单规则库；物理安全方面缺少监控与安全值守，多人共用一个账号，备份通过移动硬盘备份，缺少安全检测设备、未建立系统资产清单等。

检查中发现，多家单位或多或少都存在指南中提及的安全问题，从检查来看，更说明企业若依据这份指南主动自查自改，对提升其单位的工业控制系统安全作用还是非常大的，工信部门的监督检查是非常有必要的。

另外，在设计工业控制系统等级测评过程中，也发现指南中提及的安全问题，而工业控制系统的OT对这方面关注是远远不够的，这也是当下普遍状况，所以工业控制安全可谓任重而道远，在此我也期待志士仁人一起为工业控制安全尽一份力！

金融数据安全：数据生命周期安全规范思维导图 网络安全等级保护：一起回看2006年等保重要政策文件7号文 网络安全等级保护：法律要求应急响应与保障必不可少 工业控制系统安全：工控系统信息安全分级规范思维导图 金融数据安全：数据安全分级指南思维导图 信息技术服务：监理之总则思维导图