智能制造信息安全管理标准（2025版）

智能制造信息安全管理标准（2025版）1.范围本标准规定了智能制造环境下信息系统安全管理的总体原则、技术架构、物理环境安全、网络通信安全、计算环境安全、应用与数据安全、身份与访问控制、供应链安全、安全运维与监控以及应急响应等方面的通用要求。本标准适用于涉及智能制造流程的各类组织，包括但不限于离散型制造、流程型制造企业，以及为其提供系统集成、工业互联网平台、云计算服务的第三方机构。本标准旨在指导企业构建覆盖设计、采购、生产、销售、服务等全生命周期的纵深防御信息安全体系，确保工业控制系统（ICS）、信息物理系统（CPS）及企业信息系统的机密性、完整性和可用性。2.规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T25069-2010信息安全技术术语GB/T30976.1-2014工业控制系统信息安全第1部分：评估规范GB/T37980-2019工业控制系统安全安全运维指南ISO/IEC27001:2022信息技术安全技术信息安全管理体系要求IEC62443-3-3:2013工业通信技术与信息技术网络安全系统安全要求与安全等级3.术语和定义3.1智能制造IntelligentManufacturing一种由智能机器和人类专家共同组成的人机一体化智能系统，它在制造过程中能进行智能活动，诸如分析、推理、判断、构思和决策等。3.2运营技术OperationalTechnology(OT)用于对工业生产设备、物理流程等进行监控和控制的硬件与软件技术，包括SCADA、DCS、PLC等控制系统。3.3信息技术InformationTechnology(IT)用于信息创建、存储、交换和使用的硬件与软件技术，通常指企业办公网络、数据中心、服务器等。3.4IT/OT融合IT/OTConvergence指信息技术与运营技术在网络、系统、数据及应用层面的深度集成与协同，以实现智能制造的数据流转与闭环控制。3.5安全域SecurityZone根据信息资产的重要性、面临的风险等级及业务逻辑关系划分的逻辑或物理区域，域内资产具有相同的安全保护需求。4.总体安全架构与原则4.1纵深防御原则智能制造系统应建立多层次的防御体系，打破“扁平化”网络结构。从物理层、网络层、系统层、应用层到数据层，每一层均需部署独立的安全控制措施，确保单一防御点的失效不会导致整个系统的崩溃。特别是在IT网络与OT网络的边界处，必须实施严格的隔离与过滤机制。4.2最小权限原则所有用户、进程和设备仅应被授予完成其任务所必需的最小权限。对于控制系统工程师、系统管理员及第三方运维人员，必须实施严格的权限分级与审批流程，避免特权账号滥用。4.3零信任架构随着工业互联网的发展，网络边界日益模糊。本标准建议企业向零信任架构演进，即不默认信任任何内部或外部的实体。所有访问请求（无论是来自办公网还是生产网）在访问资源前，必须经过基于身份、设备状态、环境上下文的持续验证与动态授权。4.4全生命周期安全安全应贯穿智能制造系统的规划、设计、采购、实施、运行、维护和废弃全过程。在设备采购阶段需进行安全测试，在废弃阶段需确保敏感数据彻底清除，防止数据泄露。5.物理环境安全5.1区域划分与访问控制智能制造工厂应对生产区域、机房、中控室等关键物理场所实施严格的分区管理。核心控制室和服务器机房应部署门禁系统、视频监控系统和防盗报警系统。门禁记录应保留至少6个月，且仅限授权人员进入。进入核心区域的人员必须登记并由授权人员陪同，实施“双人复核”制度。5.2环境监测与防护机房及生产现场应配备环境监测系统，实时监控温度、湿度、漏水、烟感等参数。工业现场设备应具备防尘、防水、防震、防电磁干扰能力，符合工业级防护标准（如IP65）。对于精密数控机床、机器人工作站等关键设备，应配置不间断电源（UPS），确保在电力波动或短暂中断时设备能安全停机或维持运行，防止数据丢失或设备损坏。5.3媒介介质管理用于配置PLC、DCS等控制器的移动存储介质（如U盘、移动硬盘）必须经过严格的病毒查杀和格式化处理。建议在工业现场部署专用的移动介质管理站，实施“先杀毒、后使用”策略，并禁止未经授权的私人存储介质接入生产终端。6.网络通信安全6.1网络架构设计智能制造网络应遵循“分层、分域、分区”的设计理念。通常采用Purdue模型将网络划分为企业层（Level4）、分布式控制层（Level3）、监督控制层（Level2）、现场控制层（Level1）和现场设备层（Level0）。不同层级之间必须部署工业防火墙或网闸进行隔离，仅开放必要的业务端口和通信协议。6.2IT/OT边界隔离企业办公网（IT）与生产网（OT）之间必须部署单向隔离装置（如工业网闸）或下一代工业防火墙。严禁直接建立RDP、SSH、Telnet等跨网段的管理连接。如需进行数据交换，必须通过中间件、API网关或安全数据交换区进行，并对数据内容进行深度解析和清洗，阻断恶意代码渗透。6.3无线通信安全工厂内广泛应用的Wi-Fi、5G、蓝牙及工业无线（如WirelessHART）必须启用强加密机制（如WPA3或AES）。无线接入点（AP）应隐藏SSID，并启用MAC地址过滤或基于证书的802.1X身份认证。对于AGV小车、无线传感器等移动设备，应定期更新密钥，并建立设备白名单机制，防止非法设备接入无线网络。6.4工业协议深度解析安全设备应具备对ModbusTCP、OPCUA、S7、Ethernet/IP等主流工业协议的深度包检测（DPI）能力。不仅检查网络层和传输层头部，还需深入应用层载荷，识别并阻断违反工业协议规范的指令（如向PLC写入非法寄存器值、异常的停止指令等）。下表规定了关键网络区域之间的隔离要求及推荐设备：源区域目标区域风险等级隔离要求推荐安全设备通信限制企业办公网(IT)生产管理层(DMZ)高逻辑隔离，访问控制传统防火墙、WAF仅允许HTTP/HTTPS、特定API端口生产管理层(DMZ)分布式控制层(SCADA/DCS)极高严格逻辑隔离，协议过滤工业防火墙、网闸仅允许特定工业协议（如OPCUA）分布式控制层现场控制层(PLC/IO)中网络分段，VLAN隔离工业交换机、管理型交换机限制广播域，禁止跨VLAN非必要访问现场控制层现场设备层(传感器/执行器)低物理链路保护工业交换机保障实时性，物理层防篡改7.计算环境与终端安全7.1操作系统加固智能制造场景下的服务器、工程师站、操作员站（HMI）应基于最小化服务原则进行加固。关闭非必要的服务、端口和共享。禁用USB、光驱等外设接口（如需使用需通过策略临时开启）。定期更新操作系统补丁，对于老旧且无法更新的WindowsXP/7系统，必须通过虚拟化技术或网络隔离进行保护，严禁直接暴露在公网或开放网络中。7.2恶意代码防范生产网内的终端和服务器必须部署支持离线运行或云边协同的工业级防病毒软件。鉴于生产环境对系统稳定性的极高要求，病毒库更新和全盘扫描应避开生产高峰期，且在扫描前必须对关键配置文件进行备份。建议采用白名单机制替代传统的黑名单杀毒，仅允许经过认证的合法进程运行，有效防范未知威胁和勒索病毒。7.3应用软件与容器安全随着云原生技术在智能制造中的应用，Docker、Kubernetes等容器环境需进行安全加固。镜像应来自可信仓库，并定期扫描漏洞。运行时容器应限制特权模式，禁止以Root用户运行应用。MES、ERP等业务系统应定期进行代码审计和渗透测试，修复SQL注入、XSS等Web漏洞。8.应用与数据安全8.1身份鉴别与认证智能制造系统应实施统一的身份管理。关键控制系统（如DCS工程师站）必须启用双因子认证（2FA），结合密码、动态令牌或生物特征。严禁使用默认密码或弱口令，密码复杂度策略应包含大小写字母、数字及特殊符号，长度不少于12位，并定期强制更换（建议不超过90天）。8.2数据分类分级与保护依据数据的重要性和敏感程度，将智能制造数据分为核心数据（如核心工艺配方、知识产权、源代码）、重要数据（如生产计划、质检数据、供应链信息）和一般数据（如公开的设备状态、通知公告）。下表规定了不同类别数据的生命周期安全管控要求：数据类别数据示例存储加密要求传输加密要求备份频率访问审计核心数据核心配方、设计图纸、加密密钥强制（AES-256或国密SM4）强制（TLS1.3或VPN）实时或每日增量全量审计，日志留存1年以上重要数据生产订单、质量报告、客户信息建议（AES-128或国密SM4）强制（TLS1.2以上）每日增量，每周全量审计访问、修改、删除操作一般数据设备日志、操作手册、公告可选建议（HTTPS）每周或每月审计关键操作8.3数据备份与恢复建立完善的备份与恢复机制。对于关系型数据库和实时数据库，应采用“本地+异地”双重备份策略。备份介质应定期进行恢复演练，确保备份数据的可用性。针对勒索病毒威胁，应建立至少一份不可篡改的离线备份（冷备）。关键工艺参数和配方数据应实施版本控制，支持回滚到任意历史版本。9.供应链与开发安全9.1供应商管理在采购工业控制设备、工业软件或外包开发服务时，必须对供应商进行安全资质审查。合同中应明确双方的安全责任，要求供应商提供安全漏洞披露承诺、软件物料清单（SBOM）及全生命周期的技术支持。严禁在关键设备中预置未经审计的后门账户或硬编码密码。9.2软件物料清单（SBOM）企业应要求供应商提供基于SPDX、CycloneDX等格式的SBOM，详细列出软件组件及其依赖关系。通过SBOM，企业可以在国家漏洞数据库（NVD）发布新漏洞（如Log4j、Struts2）时，快速评估智能制造系统的受影响范围，并精准实施补丁修复。9.3开发安全流程智能制造应用系统的开发应遵循安全开发生命周期（SDLC）流程。在需求阶段引入安全需求，设计阶段进行威胁建模，编码阶段使用静态应用安全测试（SAST）工具，测试阶段进行动态应用安全测试（DAST）。上线前必须通过安全验收测试。10.安全运维与监控10.1集中安全监控部署工业安全态势感知平台或安全信息事件管理（SIEM）系统，统一收集来自网络设备、安全设备、服务器、应用及工业控制系统的日志。利用大数据分析和AI技术，识别异常行为模式，如：PLC逻辑突然变更、非工作时段的工程师站登录、大规模的Modbus写入请求等。10.2漏洞与配置管理建立资产清单，详细记录所有IT和OT资产的型号、固件版本、IP地址、物理位置等。定期（建议每季度）进行漏洞扫描。对于OT环境，应优先使用基于流量分析的被动扫描技术，避免主动扫描导致设备服务中断。建立配置基线，定期核查设备配置是否符合安全标准，发现偏差立即纠正。10.3变更管理生产环境的任何变更（包括软件升级、补丁安装、网络配置修改、工艺参数调整）都必须遵循严格的变更管理流程。变更前需进行风险评估和回退方案制定，测试环境验证通过后，方可申请在生产环境实施，且变更过程必须有双人复核。11.应急响应与业务连续性11.1应急响应预案针对勒索病毒攻击、APT攻击、设备故障、自然灾害等场景，制定专项应急预案。预案应明确组织架构、职责分工、通报流程及具体的处置步骤。定期（至少每年一次）组织跨部门（IT、OT、生产、安全、法务）的应急演练，检验预案的有效性。11.2事件处置流程发生安全事件时，应立即启动应急响应流程。首先进行遏制，断开受影响系统的网络连接，防止攻击横向扩散；其次进行根除，清除恶意代码或后门；然后进行恢复，利用备份数据恢复系统业务；最后进行复盘，总结经验教训，完善防御措施。11.3业务连续性管理对关键生产业务进行业务影响分析（BIA），识别关键业务流程及其恢复时间目标（RTO）和恢复点目标（RPO）。确保在发生重大灾难时，核心生产业务能在规定时间内恢复。对于无法停机的连续型生产流程，应部署热备系统，实现无缝切换。12.合规性与人员管理12.1法律法规遵循智能制造信息安全管理活动必须严格遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及《关键信息基础设施安全保护条例》等相关法律法规。涉及出口管制的数据和技术，需符合国家出口管制政策。12.2人员安全意识