工业控制系统管理办法

工业控制系统管理办法2018年1月修订依据《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号），《国务院关于印发<中国制造2025>的通知》（国发〔2015〕28号），国家互联网信息办公室2016年12月27日发布的《国家网络空间安全战略》；工信部关于《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)，《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》（安监总管三〔2014〕116号）；GB/T33009-2016《工业自动化和控制系统网络安全集散控制系统（DCS）》；GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》；《GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求》；《中国石油化工集团公司仪表设备管理规定》、《石油化工设备维护检修规程（仪表分册）》、《自动化仪表工程施工及验收规范》等规范文件精神，特制定本办法。1、工业控制系统运行管理1.1系统工作环境(1)机房温度、湿度、卫生、通风等必须满足DCS、SIS、PLC设计规定的要求。(2)机房内严禁带入易燃易爆和有毒物品，不得在机房内堆放杂物，机柜上禁放任何物品。(3)机房内消防设施要配备齐全。(4)机房内要有空调机，重要机房要配置两台空调。(5)机房内要有防鼠设施，以防鼠害。(6)机房有门禁管理，禁止无关人员进入。1.2日常维护要求(1)要建立DCS、SIS、PLC系统台帐和维护手册，明确系统巡检内容，并作好记录。(2)DCS、SIS、PLC系统的使用环境应定期清扫保持清洁（每周一次）。(3)DCS、SIS、PLC系统的故障处理原则上要求仪表车间技术人员全过程参加，重大故障要求仪表车间领导参加。(4)接触卡件必须带防静电手环。1.3综合管理要求（1）建立健全仪表设备台账、装置系统设备技术档案等资料，及时更新完善，作到设备技术参数详实准确。（2）各班组维护人员每天对控制系统进行巡检并做好记录，专业管理人员每周对控制系统进行巡检，及时发现和处理控制系统故障。（3）维护人员在维护控制系统前，必须办理控制系统维护工作票，在相关人员会签同意后，仪表人员方可执票作业。（4）车间技术人员对控制系统进行故障处理时，必须办理仪表联锁工作票，经仪表车间、工艺车间和机动科三方确认后，方可实施作业。（5）每月根据设备运行状况及时填写仪表四率报表，按时上报设备技术状况月报和计算机报表。2、工业控制系统信息安全防护管理2.1 管理标准及要求在管理方面的归纳出技术要求有如下几点：（1）管理配置和补丁a）建立安全配置清单，定期进行配置审计，检查配置信息的记录是否为最新和是否正确。b）对重大配置变更制定变更计划并进行影响分析，配置变更实施前进行严格安全测试。（2）物理和环境安全防护a）对工程师站、操作员站、服务器、控制器等核心工控系统软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施；b）拆除或封闭工控主机上不必要的USB、光驱、无线等接口。若确需使用，通过外设安全管理技术手段实施严格访问控制。（3）身份认证a）在工控主机登录、应用服务资源访问等过程中使用身份认证管理；b）合理分类设置账户权限，以最小特权原则分配账户权限；c）强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码，避免使用默认口令或弱口令，定期更新口令；d）对于关键设备、系统和平台的访问采用多因素认证。（4）资产安全a）建立工业控制系统资产清单（台账），明确资产责任人，以及资产使用及处置规则；b）对关键主机设备、网络设备、控制组件等进行冗余配置。（5）数据安全a）对静态存储和动态传输过程中的重要工业数据进行保护，根据风险评估结果对数据信息进行分级分类管理；b）定期备份关键业务数据；c）对安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等测试数据进行保护。（6）供应链安全管理a）选择工控系统规划、设计、集成建设、运维或评估等服务商时，优先考虑具备工控安全防护经验的企事业单位，以合同等方式明确服务商应承担的信息安全责任和义务；b）以保密协议的方式要求服务商做好保密工作，防范敏感信息（如：工艺参数、配置文件、设备运行数据、生产数据、控制指令等）外泄。2.2 管理方面的实现方法从管理方面依据控制系统标准要求，实现工业控制系统的网络安全的方法如下：（1）编制工控信息安全资产表、梳理设备接线以硬件为核心，落实资产责任人、运维负责人、外协单位等人员名录，将资产的看护、巡检、保修等工作落实到人。对硬件设备的网络接线、显示接线、串口接线、鼠标键盘接线、电源接线进行梳理，并打上标签，完善物理设备的机架图、接线图、拓扑图。通过接口梳理和线路梳理，使得整个物理环境可信、可控、可检查。（2）供应链管理工业控制系统的全生产周期的安全管理过程中，采用适合于工业控制环境的管理和服务方式，要求服务商具有丰富的安全服务经验、熟悉工业控制系统工作流程和特点，且对安全防护体系和工业控制系统安全防护的相关法律法规要有深入的理解和解读，保证相应法律法规的有效落实，并以合同的方式约定服务商在服务过程中应当承担的责任和义务。与工业控制系统安全服务方签定保密协议，要求服务商及其服务人员严格做好保密工作，尤其对工业控制系统内部的敏感信息（如工艺文件、设备参数、系统管理数据、现场实时数据、控制指令数据、程序上传/下载数据、监控数据等）进行重点保护，防范敏感信息外泄。（3）对关键主机设备、网络设备、控制组件等进行冗余配置在系统运行过程中，可能出现的宕机、中断、死机、病毒攻击、自然灾害等资产被侵害的事件发生，导致系统无法正常工作，给企业和社会带来损失，甚至威胁到员工生命和财产安全。对关键主机设备、网络设备、控制组件等进行冗余配置，防止重大安全事件的发生（4）对重要的工业控制系统的核心组件防止自人为的恶意破坏结合重点生产部位管理办法，应对核心工业控制软硬件所在的位置，按照物理位置和业务功能进行区域划分，区域之间设置物理隔离装置。在必要区域前设置交付或安装等过渡区域，特殊区域应配置电子门禁系统，7*24小时的视频监控。对核心工业控制软硬件所在区域，出入口应安排专人值守，控制、鉴别和记录进入的人员，来访人员应经过申请和审批流程，并限制和监控其活动范围。有条件的情况下，对机柜、工程师站、操作员站、电器柜实现无死角的视频监视，并保留视频记录。定期对工控环境进行巡检，确保所有变动都得到记录、论证和有人负责。（5）拆除或封闭工业主机上不必要的USB、光驱、无线等接口工业主机越来越多采用通用计算机，USB、光驱、无线等接口的使用，为病毒、木马、蠕虫等恶意代码入侵提供了途径，拆除或封闭工业主机上不必要的USB、光驱、无线等接口可以从根本上切断非法数据、程序的传播途径。若确需使用，可以通过主机安全管理软件对外设的端口进行控制，记录文件的导入导出等操作痕迹，实现对端口的严格访问控制。2.3 技术标准及要求（1）应用安全软件a）在工控主机上使用防病毒软件或应用程序白名单软件，防止病毒或未经工业企业授权的程序运行，只允许经过企业用户授权或安全评估过的软件运行；b）对工业控制系统中临时接入的设备（如调试用便携式计算机、移动存储设备等）采取病毒查杀等安全预防措施，保证临时设备在接入工控系统之前均经过必要的病毒扫描和查杀；c）在控制系统测试或离线环境中使用工业企业授权的安全软件进行恶意代码的扫描；d）病毒或程序的防护不应改变系统的配置、读取敏感信息、消耗大量系统资源、影响系统的可用性。（2）管理配置和补丁a）在不影响工控系统业务应用的前提下，对工控系统网络设备、工控主机和工控系统设备进行必要的安全配置。（3）边界安全防护（一）安全功能要求：a）工业控制系统的开发环境、测试环境和实际生产环境进行区域划分，并对各区域采取安全技术手段进行逻辑隔离或物理隔离。b）通过工控防火墙、网闸等网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护，尽可能避免工控系统网络与互联网直接连接。c）通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。（4）远程访问安全a）禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务；b）确需远程访问控制系统以实现设备运维目的的，采用数据单向访问控制等策略进行安全加固，远程访问数据可通过虚拟局域网（VPN）技术进行加密，并对访问时限进行控制，对被访问设备采用加标锁定策略，防止访问方在远程访问期间实施非法操作；c）保留工业控制系统的相关访问日志，并对操作过程进行安全审计。（5）安全监测和应急预案演练a）在工业控制网络部署网络安全监测设备，及时发现、报告并处理网络攻击或异常行为；b）在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作；c）制定工控安全事件应急响应预案，当遭受安全威胁导致工业控制系统出现异常或故障时，应立即采取紧急防护措施，防止事态扩大，并逐级报送直至属地省级工业和信息化主管部门，同时注意保护现场，以便进行调查取证；d）定期对工业控制系统的应急响应预案进行演练，必要时对应急响应预案进行修订。2.4 技术方面的实现方法从技术方面依据标准要求，实现工业控制系统的网络安全的方法如下：（1） 安全管控工控主机使用软件和外部移动设备工控主机使用应用程序白名单软件、外部移动设备管控软件实现进程管控和设备管控，起到防病毒和恶意代码的作用。注：使用的管控软件必须在工控系统离线环境中充分验证测试，产品需取得国家公安部等测评机构出具的产品合格测试报告以及离线环境兼容性测试报告等；（2）关键设备和重点工控网络区域边界安全防护在关键网络节点处通过部署工控防火墙设备检测并阻止从工控系统外部发起的网络攻击行为，禁止未经授权通讯传入或传出工控系统，包括电子邮件、文件传输、远程访问等。同时，通过部署工控防火墙检测并阻止工控系统内部发生的网络攻击行为和病毒传播行为。工控系统网络边界防护策略采用“白名单”机制，最小化配置允许规则，保证网络通讯的必要性；防火墙设备可提供检测结果报警功能，报警日志至少包括：源MAC地址、源IP地址、协议类型、目的MAC地址、目的IP地址、发生时间、处理结果等信息要素，报警日志可实时、完整、便捷地在设备人机界面中展示，方便安全技术人员观察、查询和筛选。（3）远程访问安全采取技术和管理手段禁止工业控制系统向互联网开通高风险通用网络服务，可采取断开物理网络连接的方式阻断工控系统与互联网的连接；对于物理上无法断开的网络结构，可以采用工控防火墙或网闸等安全设备隔离工控网络与互联网的服务和通讯，重点关闭工控网络设备与工控主机的HTTP、FTP、Telnet等高风险通用网络服务通讯端口；确需远程访问控制系统的情况，则指定远程访问对象，并在访问对象的网络接口处部署工控防火墙或网闸等安全设备，对通讯协议和内容进行过滤，可采用NAT技术做IP和端口映射，隐藏内网地址和限定服务端口，也可采用VPN方式加密通讯内容和认证访问者的身份；通过工控主机操作系统和工控系统软件的审计功能，记录并保存工业控制系统设备、应用等访问日志，并定期进行备份，通过审计账户登录、访问时间、操作内容等日志信息，追踪定位非授权访问行为。（4）安全监测和应急预案演练采用基于工控网络数据流分析技术的安全审计类产品对关键部位的网络链路、安全设备、网络设备和服务器等的运行状况、设备信息、通讯流量等进行集中监测；对Modbus、OPC、Ethernet/IP、S7、IEC104等常用公开协议进行数据解析和存储，根据控制策略配置报警条件，实时监测工控设备异常通讯行为和异常操作行为，并能够提供追溯异常事件的完整证明数据。使用专门的审计中心将工控系统网络设备和网络安全设备的审计日志进行收集汇总和集中展示，根据需要生成审计报表，并对网络中发生的各类安全事件进行识别、报警和分析；制定工控安全事件应急响应预案。预案包括应急计划的策略和规程、应急计划培训、应急计划测试与演练、应急处理流程、事件监控措施、应急事件报告流程、应急支持资源、应急响应计划等内容。定期组织工业控制系统操作、维护、管理等相关人员开展应急响应预案演练，演练形式包括桌面演练、单项演练、综合演练等。2.5 日常运维管理及要求(1)要做好DCS、SIS、PLC系统的软件备份，并妥善保管，每隔一年或在装置大修、系统升级、软件组态修改后，一月内对软件备份进行更新。备份二份金属箱内异地保存，并做好记录，记录应含（但不限于）备份时间、备份人、备份软件名称等信息内容。(2)为防止病毒感染，严禁在DCS、SIS、PLC上使用无关的软件，也不得进行与DCS、SIS、PLC软件组态无关的作业，DCS、SIS、PLC与信息管理系统间应采取隔离措施，以防范外来计算机病毒侵害DCS、SIS、PLC。(3)第三方公司对系统进行检测和维护，需要将使用的软件刻成光盘，经批准后办理联锁工作票方能使用，并将光盘在信息中心的计算机上用杀毒软件扫描病毒情况，使用后将光盘留存在总厂备查。在装置运行期间，DCS、SIS、PLC机房内禁止使用移动通讯工具。(4)对USB接口、光驱进行封闭，粘贴禁止使用的警示标志，避免外来软件进入系统。(5)禁止任何人使用USB接口充电、连接手机等设备。(6)登录服务器、工程师站等重要设备，需要填写系统登录记录，留下操作痕迹。(7)规范账户管理，按照职责要求建立不同权限的账户，加强密码管理，系统管理员应使用强密码，并定期更换密码。(8)建立工控系统安全风险上报体系，当工控系统出现病毒、木马等感染症状时，及时向信息站等信息安全管理部门汇报，保护好现场，便于工控安全主管部门进行取证。(9)禁止开通HTTP、FTP、TELNET等高风险通用网络服务，禁止不经批准共享文件夹。(10)禁止开通远程访问和控制功能，如果特别需要，必须向信息管理部门申请。(11)完善工控系统安全应急预案，并定期进行演练，形成演练记录。每年开展工控安全教育培训工作。(12)为提高工控系统的安全性和可靠性，重要工控系统的电源、应冗余配置，并建立合理的硬件储备定额。3、工业控制系统大检修管理在装置检修期间，要求仪表车间安排DCS组技术员具体做好DCS、SIS、PLC系统的检查、清扫、校验、调试等工作。(1)工作环境检查1)工作温度：22±2℃；2)湿度：65±10％RH；3)操作站和控制柜有防尘措施，对滤网进行定期清洗，防尘效果好；4)防鼠措施齐全，没有明显的老鼠活动痕迹；5)控制室有防静电措施，防静电地板接地良好。(2)系统接地检查1)对接地电阻进行测试，工作地电阻值小于1Ω，保护地电阻值小于4Ω；2)接地电缆没有破损现象，机柜与固定支架，汇流条与机柜，接地铜板与大地间绝缘良好，没有多点接地现象；3)各连接点完好，没有松动、生锈、腐蚀、间断现象；4)没有与电气共用接地或与电气接地连在一起的情况。(3)系统供电检查1)对UPS进行放电试验，要求UPS放电时间达到30分钟以上，各种功能可以正常切换，2)检查UPS输入、输出电压和频率满足要求；3)系统电源模块和直流电源装置工作正常，输出电压和负荷在允许范围内；4)检查系统内部蓄电池，没有失效。(4)系统硬件检查、清扫1)各模块（卡件）的工作正常，状态指示灯没有报警和故