重点领域工业控制系统信息安全管理要求

《重点领域工业控制系统信息安全管理要求》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、重点领域工业控制系统信息安全管理要求　　加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热，以及其他与国计民生紧密相关的领域。　　（一）连接管理要求　　1.断开工业控制系统同公共网络之间的所有不必要连接。　　2.对确实需要的连接，系统运营单位要逐一进行登记，采取设置防火墙、单向隔离等措施加以防护，并定期进行风险评估，不断完善防范措施。　　3.严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。　　（

2、二）组网管理要求　　1.工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施。　　2.采取虚拟专用网络（VPN）、线路冗余备份、数据加密等措施，加强对关键工业控制系统远程通信的保护。　　3.对无线组网采取严格的身份认证、安全监测等防护措施，防止经无线网络进行恶意入侵，尤其要防止通过侵入远程终端单元（RTU）进而控制部分或整个工业控制系统。　　（三）配置管理要求　　1.建立控制服务器等工业控制系统关键设备安全配置和审计制度。　　2.严格账户管理，根据工作需要合理分类设置账户权限。　　3.严格口令管理，及时更改产品安装时的预设口

3、令，杜绝弱口令、空口令。　　4.定期对账户、口令、端口、服务等进行检查，及时清理不必要的用户和管理员账户，停止无用的后台程序和进程，关闭无关的端口和服务。　　（四）设备选择与升级管理要求　　1.慎重选择工业控制系统设备，在供货合同中或以其他方式明确供应商应承担的信息安全责任和义务，确保产品安全可控。　　2.加强对技术服务的信息安全管理，在安全得不到保证的情况下禁止采取远程在线服务。　　3.密切关注产品漏洞和补丁发布，严格软件升级、补丁安装管理，严防病毒、木马等恶意代码侵入。关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全

4、评估和验证。　　（五）数据管理要求　　地理、矿产、原材料等国家基础数据以及其他重要敏感数据的采集、传输、存储、利用等，要采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护，切实维护个人权益、企业利益和国家信息资源安全。　　（六）应急管理要求　　制定工业控制系统信息安全应急预案，明确应急处置流程和临机处置权限，落实应急技术支撑队伍，根据实际情况采取必要的备机备件等容灾备份措施。