工业控制系统安全标准（2025版）

工业控制系统安全标准（2025版）第一章范围与总体原则1.1适用范围与定义本标准规定了工业控制系统（ICS）在设计、采购、实施、运维、废弃等全生命周期中的安全技术要求与管理规范。适用对象涵盖涵盖制造、电力、水务、交通、能源等关键信息基础设施运营者，以及相关的系统集成商、设备供应商和网络安全服务提供商。工业控制系统主要包括但不限于监控与数据采集系统（SCADA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）、远程终端单元（RTU）、智能电子设备（IED）以及相关的操作员站、工程师站和各类人机接口（HMI）。随着工业4.0与信息物理系统（CPS）的深度融合，本标准特别强调了信息技术（IT）与运营技术（OT）环境融合下的安全防护，旨在应对高级持续性威胁（APT）、勒索软件及供应链攻击等新型风险。1.2核心安全原则为确保控制系统的可用性、完整性和保密性，安全建设必须遵循以下核心原则：1.安全可用性优先原则：在工业环境中，人员安全与环境安全是第一位的。所有安全措施的部署与执行，必须经过严格的影响评估，确保不影响生产过程的连续性和控制指令的实时性。2.纵深防御原则：构建多层防御体系，避免单点故障。安全控制需覆盖物理层、网络层、计算层、应用层和数据层，一旦某一层防护失效，其他层级仍能提供有效保护。3.最小权限原则：仅授予用户、进程和设备完成其任务所需的最小权限。严格限制对控制器的写入权限，普通操作人员仅具备监视权限，工程师权限需通过严格审批流程授予。4.区域边界防护原则：依据业务功能和安全等级进行逻辑分区（如企业区、demilitarizedzone(DMZ)、制造区），在各区域边界实施严格的安全监测与访问控制，阻断横向移动。5.全生命周期管理原则：安全工作应贯穿系统从需求分析、设计开发、采购集成、运行维护到退役处置的每一个阶段，确保持续的风险管控。第二章安全架构与区域划分2.1工业网络模型架构基于IEC62443标准，本标准要求构建层次分明、边界清晰的工业网络架构。架构应至少包含三个主要层级，并严格限制跨层级直接访问：企业网层级（Level4）：包含ERP、OA、邮件系统等IT管理系统，主要处理经营管理数据。工业DMZ层级（Level3.5）：作为企业网与工业网之间的缓冲区，部署数据交换服务器、应用代理、网关等设备，用于数据缓存、协议转换和访问中转。工业控制网层级（Level0-3）：包含生产管理系统（MES）、监控与数据采集（SCADA）、分布式控制（DCS）及现场设备层。此区域是安全防护的核心区域，禁止来自互联网的直接访问。2.2逻辑隔离与边界防护不同安全等级的区域之间必须采用逻辑隔离技术。对于关键控制区域，应采用物理隔离或具有高安全性的逻辑隔离手段。防护场景推荐技术措施配置与管理要求企业网与DMZ之间状态检测防火墙、下一代防火墙（NGFW）启用访问控制列表（ACL），仅开放必要的服务端口（如HTTP/HTTPS、数据库端口），实施应用层协议过滤。DMZ与工业网之间工业防火墙、单向隔离网闸（数据二极管）必须支持工业协议深度包检测（DPI），解析Modbus、DNP3、IEC104、OPCUA等协议载荷，仅允许合法的寄存器地址或功能码通过。单向隔离应确保数据只能从高安区流向低安区，或严格受控的双向传输。控制网内部各子网之间虚拟局域网（VLAN）、工业防火墙根据业务需求划分VLAN，不同车间或不同工艺流程之间应实施微隔离，防止病毒在PLC之间横向传播。远程访问接入安全远程访问网关、VPN、多因素认证禁止直接开放RDP、SSH、VNC等远程桌面协议到公网。所有远程维护必须通过专用安全网关进行，并实施会话审计与录像。2.3云边协同安全架构随着云计算在工业场景的落地，云平台与边缘节点的连接成为新的风险点。标准要求：边缘计算安全：边缘网关及节点需具备轻量级防火墙、入侵检测功能，并对采集数据进行预处理和清洗，过滤恶意指令。云平台连接安全：边缘端与云端通信必须建立加密隧道（如IPsecVPN或TLS1.3），并实施双向身份认证。云端不得直接下发控制指令给现场控制器，仅能下发参数配置或策略更新。第三章网络通信安全3.1工业协议深度解析传统的IT防火墙无法识别工业协议载荷中的恶意代码。本标准要求在关键网络节点部署支持工业协议DPI的防护设备。规则库要求：设备应内置丰富的工业协议规则库，覆盖ModbusTCP、Ethernet/IP、Profinet、DNP3、S7Comm、IEC60870-5-104、OPCUAClassic、OPCDA等主流协议。动态学习模式：支持业务流量自学习，自动生成基线白名单。在初始运行阶段，系统处于“仅监测”模式，学习正常通信的源/目的IP、端口号、协议功能码及寄存器地址范围，生成合规策略后切换至“阻断”模式。异常行为检测：检测协议违规（如Modbus中非法的功能码）、写入操作异常（如正常生产中不应出现的PLC停止指令）、轮询频率异常等。3.2网络传输加密与完整性对于关键指令和敏感配置数据，必须采取保护措施防止窃听或篡改。加密传输：对于通过广域网（如卫星、微波、4G/5G）传输的SCADA数据，必须使用高强度的加密算法（如AES-256、国密SM4）进行加密。鼓励在工业控制网内部部署支持OPCUAoverTLS或安全MQTT的设备。网络时间同步：全系统应配置统一的NTP时间服务器。禁止使用公网NTP源，防止时间欺骗攻击。日志服务器与控制设备的时间偏差应控制在毫秒级，以确保事件关联分析的准确性。3.3无线网络安全工业现场若部署无线网络（如Wi-Fi、5G专网、LoRa、WirelessHART），必须实施以下加固措施：接入认证：采用WPA2-Enterprise或WPA3企业级加密模式，结合802.1X认证体系，使用EAP-TLS或PEAP协议，杜绝使用预共享密钥（PSK）。物理地址过滤：在无线接入点（AP）或AC控制器上配置MAC地址白名单（作为辅助手段）。频谱监测：具备无线入侵检测系统（WIDS），监测非法AP、蜜罐攻击及去认证攻击。隔离机制：无线网络应作为独立的不可信区域，接入核心网前必须经过防火墙隔离。第四章主机与终端安全4.1操作系统加固工程师站、操作员站、历史数据库服务器等通用主机是攻击的主要跳板。必须对操作系统进行基线加固。版本管理：优先使用LTS（长期支持）版本的Windows或Linux操作系统。停止使用已停止支持（EOS）的系统，如WindowsXP、Windows7或WindowsServer2003。最小化服务：关闭不必要的系统服务、端口和共享资源。禁止在操作员站上安装非生产必需的软件（如办公软件、浏览器、媒体播放器）。账户安全：重命名默认管理员账户（如Administrator），设置复杂密码策略（长度不少于12位，包含大小写字母、数字及特殊字符），并启用账户锁定策略（输错5次锁定15分钟）。注册表加固：禁用AutoRun功能，防止USB病毒自动运行；限制匿名枚举SAM账号和共享。4.2应用程序白名单机制由于工业环境补丁更新困难，传统的依赖特征库的防病毒软件往往效果有限且可能引起误杀。本标准强制要求在关键主机上部署应用白名单技术。策略配置：仅允许经过数字签名验证的、生产必需的可执行文件（.exe、.dll、.sys）运行。默认策略设置为“拒绝未知”。动态防护：白名单软件应具备内存防护功能，防止脚本注入（PowerShell、CMD）、DLL劫持和内存篡改。例外管理：建立严格的变更管理流程，当需要新增合法应用时，必须经过测试环境验证，并更新白名单策略。4.3外设接口管控对USB、串口、光驱等外部接口实施严格的物理或逻辑管控。USB管控：部署终端安全管理软件，实施USB端口黑白名单管理。仅允许授权的加密U盘接入，并记录文件拷贝行为。对于高安区域，建议物理封死USB端口或使用USB锁。移动介质管理：建立移动介质“中间机”消毒制度。外来U盘严禁直接插入内网主机，必须先在专用的“中间机”上进行全盘病毒查杀和格式化后，方可使用。第五章控制器与应用安全5.1PLC/DCS控制器安全可编程逻辑控制器是物理世界的执行者，其安全至关重要。固件完整性：定期比对控制器固件的哈希值，确保未被篡改。固件升级必须通过安全的物理连接或加密通道进行，升级过程中需有专人监护。逻辑保护：PLC程序应具备防篡改机制。下载程序前应验证工程师身份，上传/下载程序应触发系统日志记录。关键逻辑梯形图应设置密码保护（虽然密码保护并非绝对安全，但能增加攻击成本）。闲置资源清理：关闭未使用的输入/输出（I/O）模块、通信端口和数据块，防止攻击者利用闲置接口注入恶意代码。安全指令审查：在代码审查阶段，重点检查是否存在可能导致物理损坏的指令（如急停指令、阀门全开全关指令）是否受到严格的逻辑互锁保护。5.2HMI/SCADA软件安全人机界面软件直接连接数据库与PLC，是攻击者的主要目标。脚本安全：HMI中的VBScript、JavaScript等脚本代码应经过严格的安全审计，防止XSS跨站脚本或SQL注入风险。标签/变量保护：对关键变量（如设定点SP、过程变量PV）设置读写权限。操作员画面不应包含“直接写入PLC寄存器”的控件，所有操作应通过中间变量和安全联锁逻辑确认。会话超时：HMI客户端必须配置自动锁屏或注销功能，超时时间建议设置为5-15分钟无操作自动锁定。5.3数据库安全实时数据库和历史数据库存储着生产配方、工艺参数等敏感信息。权限分离：数据库管理员（DBA）、安全管理员、审计员权限必须分离。存储加密：对敏感字段（如配方表、用户认证表）采用透明数据加密（TDE）或应用层加密存储。备份与恢复：实施“3-2-1”备份策略（3份副本、2种介质、1份异地）。定期（至少每季度）进行数据库恢复演练，验证备份数据的可用性。第六章身份认证与访问控制6.1统一身份管理建立工业集中身份认证管理系统（IAM），实现对各类用户、设备、服务的统一身份标识与认证。身份标识：用户身份应与真实人员（HR系统）唯一绑定，禁止共享账号。多因素认证（MFA）：对于关键区域的远程接入、工程师站登录、核心配置变更等操作，必须强制启用多因素认证。认证因子包括：知道什么（密码）、拥有什么（动态令牌、UKey）、是什么（指纹、人脸）。特权账号管理（PAM）：对系统管理员、工程师、root等特权账号进行全生命周期管理。密码应自动轮换（如每90天一次），并在使用时通过“工单申请-审批-授权-使用-审计”的流程。6.2单点登录与权限委派为提高效率并减少密码记忆负担，在条件允许的情况下实施单点登录（SSO）。角色访问控制（RBAC）：基于业务角色定义权限集合。角色定义应遵循岗位分离原则（如操作员与维护员分离、开发与测试分离）。动态授权：在紧急维护或特殊情况下，支持临时权限的授予。临时权限应具有严格的有效期限制（如2小时），过期自动回收。第七章安全监测与应急响应7.1态势感知与威胁检测构建工业安全态势感知平台（SOC），整合网络流量日志、主机日志、应用日志和告警信息。全量日志采集：采集防火墙日志、交换机NetFlow/sFlow日志、工控防火墙DPI日志、主机Syslog/WindowsEventLog、应用审计日志。留存合规：日志留存时间不少于6个月，关键审计日志留存不少于2年。关联分析：利用大数据分析引擎，建立跨域关联分析规则。例如，当某工程师账号在短时间内同时登录了不同地理位置的操作站，且伴随PLC配置变更指令，应触发高级别告警。UEBA行为分析：引入用户与实体行为分析技术，建立用户行为基线。识别异常的文件访问、异常的数据传输量、异常的登录时间等。7.2入侵与攻击模拟定期开展实战化的攻防演练，检验防护体系的有效性。渗透测试：每半年至少组织一次针对工业控制系统的授权渗透测试，模拟黑客攻击路径，挖掘漏洞。红蓝对抗：在非生产环境或具备完善回滚机制的生产环境中，组织红队（攻击方）和蓝队（防守方）进行对抗演练，重点演练供应链攻击、钓鱼邮件、内网横向移动等场景。7.3应急响应机制制定详尽的工控安全事件应急预案，并定期演练。事件分级：根据影响范围（单台设备、单元产线、全厂）和后果（数据泄露、生产降级、停产、设备损坏）将事件分为I级（特别重大）、II级（重大）、III级（较大）、IV级（一般）。处置流程：明确“发现-报告-研判-处置-恢复-复盘”的标准流程。断网决策机制：制定明确的“一键断网”或物理隔离决策流程，明确谁有权在勒索病毒爆发时决定切断网络连接，以及切断后的恢复步骤。备份恢复验证：确保在被攻击后，能够利用离线备份快速恢复系统功能。优先恢复关键控制系统的HMI和SCADA服务器，确保具备手动控制能力。第八章供应链安全8.1供应商风险管理随着系统集成度提高，第三方供应商（如OEM、系统集成商、软件开发商）成为主要攻击入口。准入审查：在采购前对供应商进行安全能力评估，审查其安全资质（如ISO27001、IEC62443认证）、过往安全表现及代码开发流程。合同约束：在采购合同中明确安全责任条款，要求供应商承诺交付的软件/硬件不包含后门、恶意代码，并提供软件物料清单（SBOM）。远程运维管控：供应商若需远程运维，必须通过企业授权的VPN接入，并实施全程实时监控与操作审计，禁止供应商私自使用其公司提供的远程工具（如TeamViewer、AnyDesk）。8.2软件物料清单（SBOM）标准要求所有关键工业软硬件交付时必须提供SBOM。格式要求：推荐使用SPDX、CycloneDX等国际通用格式。内容包含：详细列出组件名称、版本号、供应商、下载源、哈希值、依赖关系及开源许可证信息。漏洞管理：利用SBOM对接国家漏洞数据库（NVD）或商业漏洞情报库，一旦发现组件存在高危漏洞（CVSS评分>7.0），能够在24小时内定位受影响资产并启动补丁修复或缓解措施。8.3开发安全对于拥有自主软件开发能力的企业，应建立安全开发生命周期（SDL）流程。安全编码规范：遵循CWE/SANSTop25安全编码规范，重点防范缓冲区溢出、整数溢出、注入攻击等。静态与动态测试：在代码提交阶段进行SAST（静态应用安全测试），在测试阶段进行DAST（动态应用安全测试）及组件成分分析（SCA）。第九章数据安全与备份9.1数据分类分级依据数据的重要性和敏感程度对工业数据进行分类分级保护。数据级别定义保护措施核心数据（4级）关键工艺配方、核心知识产权、根密码、加密密钥存储加密、传输加密、严格访问控制、双人复核、禁止导出。重要数据（3级）生产历史数据、设备运行日志、操作记录、网络拓扑存储加密、定期备份、访问审计、完整性校验。一般数据（2级）非涉密的对外展示数据、基础设备信息访问控制、基础备份。公开数据（1级）产品说明书、对外宣传资料无特殊限制。9.2备份与恢复策略确保在发生勒索攻击或物理灾难时，数据和系统能够快速恢复。备份类型：实施全量备份、增量备份和差异备份相结合的策略。离线备份：必须保留一份物理隔离的离线备份（冷备），防止在线备份被勒索软件加密。恢复演练：每季度至少进行一次数据恢复演练，验证备份介质的完整性和恢复流程的可行性，确保RTO（恢复时间目标）和RPO（恢复点目标）满足业务连续性要求。第十章合规性管理与人员安全10.1合规性评估建立常态化的合规性自评估机制。评估标准：依据《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》及本标准要求，每年至少开展一次全面的合规性自评估或第三方评估。差距分析：针对评估发现的问题，建立整改台账，明确整改责任人、整改措施和整改时限，实行闭环管理。等级保护：工业控制系统应按照网络安全等级保护制度（等保2.0）的要求，定级为二级或三级以上，并通过相应的测评。10.2人员安全意识人是安全链条中最薄弱的环节，必须持续提升全员安全意识。背景调查：对关键岗位（如DCS工程师、系统管理员）入职人员进行背景调查。安全培训：新员工入职必须进行安全培训并考核；在职员工每年安全培训时长不少于4学时。培训内容需包括社会工程学防范、邮件钓鱼识别、USB安全、物理安全等。保密协议：所有接触敏感数据的人员必须签署保密协议（NDA），离职后必须及时注销所有系统权限，并签署离职保密承诺书。第十一章工控安全能力成熟度模型为帮助企业客观评价自身安全水平，本标准引入能力成熟度模型（CMM），将工控安全能力划分为五个等级。11.1等级定义初始级：安全工作依赖个人经验，无标准流程，被动应对病毒和攻击，缺乏基本边界防护。已管理级：建立了基本的安全策略和流程，部署了防火墙、杀毒软件等基础防护，能进行简单的日志审计。已定义级：实现了标准化的安全管理制度，全网资产清晰，实施了网络分区和工业协议过滤，定期开展漏洞扫描和补丁管理。量化管理级：建立了态势感知平台，实现了基于资产的量化风险评估，开展红蓝对抗演练，具备一定的威胁情报关联分析能力。优化级：实现了主动防御和自适应安全，利用AI技术自动响应和处置威胁，构建了零信任架构，具备完善的供应链安全管控和弹性恢复能力。11.2评估指标体系下表展示了核心域在不同等级下的关键特征：能力域初始级已管理级已定义级量化管理级优化级资产治理资产台账混乱有Excel资产清单自动化资产发现与周期核查资产全生命周期管理与风险打分资产动态画像与智能标签架构安全无分区，扁平网络简单VLAN隔离遵循Purdue模型，DMZ隔离微隔离，软件定义边界（SDP）零信任网络架构，动态访问控制漏洞管理事后修补，无计划依赖厂商升级定期扫描，按计划修补基于风险优先级的漏洞闭环管理虚拟补丁，预测性漏洞防御应急响应依赖个人能力有简单应急预案定期演练，标准处置流程自动化编排响应（SOAR）威胁诱捕与自动阻断，系统自愈第十二章具体实施技术指南12