工業(yè)控制系統(tǒng)信息安全管理制度標準版

工業(yè)控制系統(tǒng)信息安全管理制

度標準版（標準版資料，可直接使用可編輯，推薦下載）2021年1月1日2021年1月1日工業(yè)控制系統(tǒng)信息安全管理制度1適用范圍為了規(guī)范公司工業(yè)控制系統(tǒng)的使用和操作，防止發(fā)生人為或意外損壞系統(tǒng)事故以及誤操作引起的設備停運，保證工控系統(tǒng)的穩(wěn)定運行，特制定本制度。本制度適用于DCS及DEH系統(tǒng)以及輔控網DCS。2計算機使用管理2.1工程師站嚴格按照權限進行操作，無關人員不準使用。2.2工程師站、操作員站等人機接口系統(tǒng)應分級授權使用。嚴禁非授權人員使用工程師站的系統(tǒng)組態(tài)功能，工程師站用戶的權限可以實施邏輯修改和系統(tǒng)管理工作；操作員站用戶權限，查看運行狀態(tài)畫面，實施監(jiān)控。2.3每三個月更改一次口令，同時檢查每一級用戶口令的權限設置應正確?？诹钭珠L應大于6個字符并由字母數字混合組成。修改后的口令應填寫《DCS系統(tǒng)機器密碼記錄》，妥善保管。2.4計算機在使用過程中發(fā)生異常情況，立即停止當前操作，通知集控室負責人和相關維修人員。如服務器發(fā)生故障，按各《信息系統(tǒng)故障應急預案》操作，維修人員記錄《軟件故障處理和修改記錄》。2.5使用工程師站計算機后，需詳細填寫《工程師站出入及機器使用記錄》后方可離開。3軟件保護3.1嚴禁在計算機控制系統(tǒng)中使用其他無關軟件。除非軟件升級或補丁的需要，嚴禁在計算機控制系統(tǒng)中使用U盤、光盤等。3.2禁止向DCS網絡中連接系統(tǒng)外接計算機、3.3在連接到DCS中的計算機上進行操作時，使用的可讀寫存儲介質必須是固定的一個設備，并且在每次使用前對其進行格式化處理，然后才可以接入以上計算機。4軟件的修改、保存及維護4.1更新、升級計算機系統(tǒng)軟件、應用軟件或下載數據，其存儲介質須是本計算機控制系統(tǒng)專用存儲介質，不允許與其他計算機系統(tǒng)交換使用。4.2進行計算機軟件、系統(tǒng)組態(tài)、設定值等修改工作，必須嚴格執(zhí)行相關審批手續(xù)后方可工作，同時填寫《組態(tài)及參數修改記錄》，并及時做好修改后的數據備份工作。5軟件和數據庫備份5.1計算機控制系統(tǒng)的軟件和數據庫、歷史數據應定期進行備份，完全備份間隔三個月一次，系統(tǒng)備份必須使用專用的U盤備份，并且由系統(tǒng)管理員進行相關操作。5.2對系統(tǒng)軟件（包括操作系統(tǒng)和應用軟件）的任何修改，包括版本升級和安裝補丁，都應及時進行備份。5.3備份結束后，在備份件上正確標明備份內容、對象，并做好記錄，填寫《DCS系統(tǒng)備份記錄》。5.4DCS中各系統(tǒng)的備份必須由系統(tǒng)管理員定期手動進行，具體要求同上。附件一：各系統(tǒng)機器密碼記錄附件二：備份資料記錄附件三：工程師站出入及機器使用記錄附件四：軟件故障處理和修改記錄附件五：組態(tài)及參數修改記錄附件一：各系統(tǒng)機器密碼記錄系統(tǒng)機器密碼記錄附件二：備份資料記錄備份資料記錄附件三：工程師站出入及機器使用登記記錄工程師站出入及機器使用記錄

附件四：軟件故障處理和修改記錄軟件故障處理和修改記錄軟件維護起止時間 年月日一一 年月日工作負責人存在問題：處理過程：備注：附件五：組態(tài)及參數修改記錄組態(tài)及參數修改記錄

系統(tǒng)名稱起止時間年月日一一 年月日工作負責人修改位置及原因：修改前組態(tài)及參數：修改后組態(tài)及參數：備注：解讀《工業(yè)控制系統(tǒng)信息安全防護指南》制定《指南》的背景通知中明確"為貫徹落實《國務院關于深化制造業(yè)與互聯(lián)網融合發(fā)展的指導意見》（國發(fā)〔2021〕28號），保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，工業(yè)和信息化部制定《工業(yè)控制系統(tǒng)信息安全防護指南》?！笨梢钥闯?，《工業(yè)控制系統(tǒng)信息安全防護指南》是根據《意見》制定的?！兑庖姟分邢嚓P要求《意見》"七大任務”中專門有一條"提高工業(yè)信息系統(tǒng)安全水平”。工信部根據《十三五規(guī)劃綱要》、《中國制造2025》和《意見》等要求編制的《工業(yè)和信息化部關于印發(fā)信息化和工業(yè)化融合發(fā)展規(guī)劃（2021-2年）》中進一步明確，在十三五期間，我國兩化融合面臨的機遇和挑戰(zhàn)第四條就是"工業(yè)領域信息安全形勢日益嚴峻，對兩化融合發(fā)展提出新要求”，其"七大任務”中也提到要"逐步完善工業(yè)信息安全保障體系”，"六大重點工程”中之一就是"工業(yè)信息安全保障工程”。以上這些，就是政策層面的指導思想和要求?！吨改稀窏l款詳細解讀《指南》整體思路借鑒了等級保護的思想，具體提出了十一條三十款要求，貼近實際工業(yè)企業(yè)真實情況，務實可落地。我們從《指南》要求的主體、客體和方法將十一條分為三大類：a、針對主體目標（法人或人）的要求，包含第十條供應鏈管理、第十一條人員責任：1.10供應鏈管理（一） 在選擇工業(yè)控制系統(tǒng)規(guī)劃、設計、建設、運維或評估等服務商時，優(yōu)先考慮具備工控安全防護經驗的企事業(yè)單位，以合同等方式明確服務商應承擔的信息安全責任和義務。解讀：工業(yè)控制系統(tǒng)的全生產周期的安全管理過程中，采用適合于工業(yè)控制環(huán)境的管理和服務方式，要求服務商具有豐富的安全服務經驗、熟悉工業(yè)控制系統(tǒng)工作流程和特點，且對安全防護體系和工業(yè)控制系統(tǒng)安全防護的相關法律法規(guī)要有深入的理解和解讀，保證相應法律法規(guī)的有效落實，并以合同的方式約定服務商在服務過程中應當承擔的責任和義務。（二） 以保密協(xié)議的方式要求服務商做好保密工作，防范敏感信息外泄。解讀：與工業(yè)控制系統(tǒng)安全服務方簽定保密協(xié)議，要求服務商及其服務人員嚴格做好保密工作，尤其對工業(yè)控制系統(tǒng)內部的敏感信息（如工藝文件、設備參數、系統(tǒng)管理數據、現場實時數據、控制指令數據、程序上傳/下載數據、監(jiān)控數據等）進行重點保護，防范敏感信息外泄。1.11落實責任通過建立工控安全管理機制、成立信息安全協(xié)調小組等方式，明確工控安全管理責任人，落實工控安全責任制，部署工控安全防護措施。解讀：設立工業(yè)控制系統(tǒng)安全管理工作的職能部門，負責工業(yè)控制系統(tǒng)全生命周期的安全防護體系建設和管理，明確安全管理機構的工作范圍、責任及工作人員的職責，制定工業(yè)控制系統(tǒng)安全管理方針，持續(xù)實施和改進工業(yè)控制系統(tǒng)的安全防護能力，不斷提升工業(yè)控制系統(tǒng)防攻擊和抗干擾的水平。b、針對客體目標（被保護的資產或數據）的安全要求，包含第八條資產安全、第九條數據安全：1.8資產安全（一） 建設工業(yè)控制系統(tǒng)資產清單，明確資產責任人，以及資產使用及處置原則。解讀：為實現和保持對組織機構資產的適當保護，確保所有資產可查，應建設工業(yè)控制系統(tǒng)資產清單，并明確資產使用及處置原則，配置資產清單，定期更新清單庫，并對資產進行分類。所有資產應指定責任人，并且明確責任人的職責，明確資產使用權。制定資產在生產、調試、運行、維護、報廢等過程中的處置原則。（二） 對關鍵主機設備、網絡設備、控制組件等進行冗余配置。解讀：在系統(tǒng)運行過程中，可能出現的宕機、中斷、死機、病毒攻擊、自然災害等資產被侵害的事件發(fā)生，導致系統(tǒng)無法正常工作，給企業(yè)和社會帶來損失，甚至威脅到員工生命和財產安全。對關鍵主機設備、網絡設備、控制組件等進行冗余配置，防止重大安全事件的發(fā)生。1.9數據安全（一）對靜態(tài)存儲數據和動態(tài)傳輸過程中的重要工業(yè)數據進行保護，根據風險評估結果對數據信息進行分級分類管理。解讀：在數據創(chuàng)建、使用、分發(fā)、共享、銷毀的整個生命周期中，對重要數據如工藝文件、設備參數、系統(tǒng)管理數據、現場實時數據、控制指令數據、程序上傳/下載數據、監(jiān)控數據等應進行保護，如加密技術、安全存儲介質等。數據遭受破壞時及時采取必要的恢復措施。風險評估對數據的分類分級原則應包含對企業(yè)經濟影響、生產穩(wěn)定性影響、人身安全、法律風險、名譽度損失等角度開展，根據數據的重要程度在信息存儲、信息傳輸、信息交換、信息使用等過程中采取相應的防護措施。（二） 定期備份關鍵業(yè)務數據。解讀：為保證系統(tǒng)在災難發(fā)生時，數據能夠盡量還原真實數據，應對歷史數據庫服務器、實時數據服務器、先進控制系統(tǒng)、優(yōu)化控制系統(tǒng)等重要系統(tǒng)設備進行硬件冗余，啟用實時數據備份功能，保證當主設備出現故障時冗余設備可以無擾動的切換并恢復數據，對于關鍵的業(yè)務數據，應定期進行軟備份。（三） 對測試數據進行保護。解讀：測試數據一般來源于真實的現場設備實時數據，有必要對測試數據進行安全防護，防止發(fā)生數據泄露、篡改、破壞，保護企業(yè)資產。c、針對保護方法措施的要求，根據工業(yè)控制網絡由內而外的結構包括:終端（第一條軟件選擇與管理、第四條物理環(huán)境安全）；配置（第二條配置安全）；網絡（第五條身份認證、第三條邊界防護、第六條遠程安全）；例外（第七條監(jiān)測應急）。1.1安全軟件選擇與管理（一）在工業(yè)主機上采用經過離線環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件，只允許經過工業(yè)企業(yè)自身授權和安全評估的軟件運行。解讀：工業(yè)控制系統(tǒng)對可用性和實時性要求非常高，任何未經驗證測試的軟件都可能影響控制系的穩(wěn)定性，應對防病毒軟件或應用程序白名單軟件進行離線測試，測試無風險后，方可在工業(yè)主機上部署。目前工業(yè)主機有效防護機制有"黑名單機制”和"白名單機制”，相比之下工控網絡則更加注重防護的"高可用性”和"高可靠性”，鑒于工業(yè)應用的特殊性，"黑名單機制”無法應對多元化的風險及威脅。利用"白名單機制”可以建立工控行業(yè)應用程序信譽庫，為工控應用程序提供可信認證、授權和評估，同時輔助沙箱檢測技術和殺毒軟件進行應用程序軟件的安全性測試，從根本上保證了工控主機安全。（二）建立防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統(tǒng)及臨時接入的設備采取病毒查殺等安全預防措施。解讀：病毒和惡意代碼是工控系統(tǒng)主要威脅之一，應對工控系統(tǒng)設備（例如操作員站、工程師站、控制服務器等）部署病毒和惡意代碼集中監(jiān)控、防護管理措施，對工業(yè)控制系統(tǒng)及臨時接入的設備進行病毒和惡意代碼掃描檢測，防止遭受病毒和惡意軟件攻擊。1.4物理和環(huán)境安全防護（一）對重要工程師站、數據庫、服務器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制、視頻監(jiān)控、專人值守等物理安全防護措施。解讀：重要的工程師站、數據庫、服務器是工業(yè)控制系統(tǒng)的核心組件，為了防止來自人為的惡意破壞。應對核心工業(yè)控制軟硬件所在的位置，按照物理位置和業(yè)務功能進行區(qū)域劃分，區(qū)域之間設置物理隔離裝置。在必要區(qū)域前設置交付或安裝等過渡區(qū)域，特殊區(qū)域應配置電子門禁系統(tǒng)，7*24小時的視頻監(jiān)控。對核心工業(yè)控制軟硬件所在區(qū)域，出入口應安排專人值守，控制、鑒別和記錄進入的人員，來訪人員應經過申請和審批流程，并限制和監(jiān)控其活動范圍。（二）拆除或封閉工業(yè)主機上不必要的USB、光驅、無線等接口。若確需使用，通過主機外設安全管理技術手段實施嚴格訪問控制。解讀：工業(yè)主機越來越多采用通用計算機，USB、光驅、無線等接口的使用，為病毒、木馬、蠕蟲等惡意代碼入侵提供了途徑，拆除或封閉工業(yè)主機上不必要的USB、光驅、無線等接口可以從根本上切斷非法數據、程序的傳播途徑。若確需使用，可以通過主機安全管理軟件對外設的端口進行控制，記錄文件的導入導出等操作痕跡，實現對端口的嚴格訪問控制。1.2配置和補丁管理（一）做好工業(yè)控制網絡、工業(yè)主機和工業(yè)控制設備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進行配置審計。解讀：安全配置是基礎性的安全防護措施，安全配置能夠增強工控網絡、工業(yè)主機和工控設備安全性，應建立工控系統(tǒng)安全配置清單，包括工控網絡設備、工業(yè)主機、工控設備的安全配置清單。在日常運維管理方面，指導管理人員對系統(tǒng)安全配置優(yōu)化，避免存在安全隱患。根據工業(yè)控制系統(tǒng)配置清單，定期對工業(yè)控制網絡、工業(yè)主機和工業(yè)控制設備開展配置審計，及時發(fā)現配置問題。（二）對重大配置變更制定變更計劃并進行影響分析，配置變更實施前進行嚴格安全測試。解讀：工控系統(tǒng)的日常維護管理經常涉及到配置變更，但未經嚴格安全測試的重大變更可能會對工控系統(tǒng)造成破壞。在工控系統(tǒng)重大配置變更之前，應制定變更計劃，對變更可能出現的影響進行評估分析，并在工控系統(tǒng)離線環(huán)境中進行安全測試，保障配置變更的安全性和可靠性。（三）密切關注重大工控安全漏洞及其補丁發(fā)布，及時采取補丁升級措施。在補丁安裝前，需對補丁進行嚴格的安全評估和測試驗證。解讀：工控系統(tǒng)較傳統(tǒng)的^系統(tǒng)更脆弱，在補丁升級方面要非常慎重，補丁升級可能會影響工控系統(tǒng)的穩(wěn)定性，如果補丁升級失敗，可能對工控系統(tǒng)造成破壞，導致工控系統(tǒng)運行中斷。因此，工控系統(tǒng)在補丁升級之前必須進行嚴格驗證測試，包括安全性、穩(wěn)定性、兼容性和可靠性驗證測試。1.5身份認證（一） 在工業(yè)主機登錄、應用服務資源訪問、工業(yè)云平臺訪問等過程中使用身份認證管理。對于關鍵設備、系統(tǒng)和平臺的訪問采用多因素認證。解讀：面對工業(yè)控制主機和系統(tǒng)的登錄、訪問過程中常見身份冒用，越權訪問等安全風險，給工業(yè)控制生產活動帶來安全隱患。通過采取身份鑒別、角色判定、權限分配等安全措施實現工業(yè)主機登錄、應用服務資源訪問、工業(yè)云平臺訪問等過程的統(tǒng)一身份認證管理。對于關鍵設備、系統(tǒng)和平臺應采取如口令、usbkey、智能卡、生物指紋等多種認證方式組合的多因素認證方式。一是避免他人盜用、誤用，二是提高設備、系統(tǒng)和平臺的攻擊難度。（二） 合理分類設置賬戶權限，以最小特權原則分配賬戶權限。解讀：應限定網絡中每個主體所必須的最小特權，確保可能的事故、錯誤、篡改等原因造成的損失最小化，對超級管理員賬號未禁止、各賬戶權限未實現分立制約等常見問題應及時發(fā)現并改正。（三） 強化工業(yè)控制設備、SCADA軟件、工業(yè)通信設備等的登錄賬戶及密碼，避免使用默認密碼或弱密碼,定期更新口令。解讀：對登錄賬戶和密碼要及時更新，密碼要以多位數含數字、字母、特殊符號的組合方式提高密碼強度，建議采用驗證碼機制，提高被暴力破解的難度。避免使用默認密碼、易猜測密碼、空口令甚明文張貼密碼的現象發(fā)生。（四）加強對身份認證證書信息保護力度，禁止在不同系統(tǒng)和網絡環(huán)境下共享。解讀：建議采用安全介質存儲證書信息，對證書的申請、發(fā)放、使用、吊銷等過程通過技術手段嚴格控制，并建立相關制度保障。建議采用國際通用的安全商密算法或國密算法。在不用系統(tǒng)和網絡環(huán)境下禁止傳遞證書信息。1.3邊界安全防護（一） 分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產環(huán)境。解讀：工業(yè)控制系統(tǒng)的開發(fā)、測試和生產環(huán)境承載的功能不同，為了避免由開發(fā)、測試環(huán)境引入的安全威脅給生產環(huán)境帶來作業(yè)風險，需要將開發(fā)、測試和生產環(huán)境分離。將開發(fā)、測試和生產環(huán)境分別置于不同的區(qū)域，進行邏輯或物理隔離。（二） 通過工業(yè)控制網絡邊界防護設備對工業(yè)控制網絡與企業(yè)網或互聯(lián)網之間的邊界進行安全防護，禁止沒有防護的工業(yè)控制網絡與互聯(lián)網連接。解讀：工業(yè)控制網絡與企業(yè)網或互聯(lián)網之間互聯(lián)互通，為工業(yè)控制系統(tǒng)帶來巨大創(chuàng)造力和生產力的同時，也會引入更加復雜、嚴峻的安全問題。一是深度網絡化和多層面互聯(lián)互通增加了攻擊路徑；二是傳統(tǒng)IT產品的引入帶來了更多安全漏洞；三是新興信息技術在工業(yè)控制領域的防護體系尚不成熟。因此，需要在不同網絡邊界之間，部署邊界安全防護設備實現安全訪問控制，阻斷非法網絡訪問，嚴格禁止沒有防護的工業(yè)控制網絡與互聯(lián)網連接。（三）通過工業(yè)防火墻、網閘等防護設備對工業(yè)控制網絡安全區(qū)域之間進行邏輯隔離安全防護。解讀：為了降低工業(yè)控制網絡安全區(qū)域之間連接風險，減少攻擊平面，需要在區(qū)域之間部署邏輯隔離設備，如工業(yè)防火墻、網閘。在區(qū)域間有雙向訪問需求的網絡，可采用工業(yè)防火墻進行邏輯隔離，深度檢測并過濾主流工控協(xié)議（如：OPC、Modbus、S7、Ethernet/IP等）帶來的安全風險；在區(qū)域間只需要單向訪問的情況下，可采用網閘進行隔離防護。1.6遠程訪問安全（一）原則上嚴格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網開通HTTP、FTP、Telnet等高風險通用網絡服務。解讀：基于明文傳輸的HTTP、FTP.Telnet等網絡服務協(xié)議容易遭到非法竊聽、數據篡改、敏感信息泄露等高安全風險。因此，在工業(yè)控制系統(tǒng)中，需要嚴格禁止HTTP、FTP、Telnet等高風險通用網絡服務面向互聯(lián)網開通。（二） 確需遠程訪問的，采用數據單向訪問控制等策略進行安全加固，對訪問時限進行控制，并采用加標鎖定策略。解讀：遠程訪問工業(yè)控制系統(tǒng)網絡，意味著為黑客開辟了一條攻擊工業(yè)控制網絡的通路，存在極大隱患。但在確需遠程訪問的情況下，需要采用數據單向訪問控制等策略進行安全加固，并對訪問時間進行控制，還可以采用加標鎖定來限制對機器、設備、工藝和電路的操作行為。（三） 確需遠程維護的，采用虛擬專用網絡（VPN）等遠程接入方式進行。解讀：確需遠程維護的，采用虛擬專用網絡（VPN）等遠程接入方式連接，相當于在公用網絡上為用戶建立了一條專用通道，這條專用通道上的所有通訊數據會被加密處理，并通過對數據包的加密和數據包目標地址轉換實現安全的遠程訪問。（四）保留工業(yè)控制系統(tǒng)的相關訪問日志，并對操作過程進行安全審計。解讀：保留工業(yè)控制系統(tǒng)相關訪問日志，可以在發(fā)生非授權的遠程登錄后進行日志分析。通過日志中記錄到的登入登出、人員賬號、訪問時間等信息對非授權登錄行為進行追蹤、定位，做到有源可溯，并對操作過程進行安全審計，記錄所有操作行為，做到有據可查。1.7安全監(jiān)測和應急預案演練（一） 在工業(yè)控制網絡部署網絡安全監(jiān)測設備，及時發(fā)現、報告并處理網絡攻擊或異常行為。解讀：工控系統(tǒng)網絡組成元素繁多，非法入侵、惡意代碼、維修接入甚至是誤操作都可能導致生產運行的癱瘓或功能喪失，通過部署工控安全監(jiān)測設備，采用工控協(xié)議深度包解析等多種技術，對工業(yè)控制網絡可能存在的病毒、蠕蟲、木馬及針對工控網絡的攻擊行為和誤操作進行實時檢測并告警。（二） 在重要工業(yè)控制設備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設備，限制違法操作。解讀：重要工業(yè)控制設備是工業(yè)企業(yè)生產核心控制單元，包含PLC、DCS控制器等，核心控制設備的異常將危及生產安全、公眾健康甚至社會穩(wěn)定。在重要工業(yè)控制設備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設備，對Modbus、S7、Ethernet/IP等主流工控協(xié)議進行深度分析，采用"白名單”機制對發(fā)送至重要工控設備的指令進行過濾，杜絕違法操作，并抑制惡意代碼及未知攻擊行為，保障重要工業(yè)控制設備運行安全。（三） 制定工控安全事件應急響應預案，當遭受安全威脅導致工業(yè)控制系統(tǒng)出現異常或故障時，應立即采取緊急防護措施，防止事態(tài)擴大，并逐級報送直至屬地省級工業(yè)和信息化主管部門，同時注意保護現場，以便進行調查取證。解讀：工控安全應急響應預案可提高工業(yè)控制系統(tǒng)應對突發(fā)事件的應急響應能力，最大限度減少工控系統(tǒng)的損失及影響，做到"第一時間發(fā)現問題，第一時間解決問題”。應急預案框架應包括應急計劃的策略和規(guī)程、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓、系統(tǒng)備份、系統(tǒng)恢復重建等內容。同時預案需從人力、設備、技術和財務等方面確保應急預案的執(zhí)行有足夠的資源保障。在發(fā)生安全事件時，應根據應急預案流程采取安全防護措施，并按照應急預案規(guī)程逐級上報至安全主管部門。同時，應對事故現場進行保護，便于事后調查取證。（四） 定期對工業(yè)控制系統(tǒng)的應急響應預案進行演練，必要時對應急響應預案進行修訂。解讀：通過開展應急演練工作，使各工控企業(yè)熟悉應急響應機制、熟練應急響應流程、提高應急響應的處置能力，同時檢驗應急響應預案的可行性、相關部門的協(xié)調與配合能力、相關工作的落實情況以及應急響應所需備用設備的完備情況等，同時應根據應急演練中遇到的問題，對應急演練方案進行及時修訂。小結《指南》從十一條三十款具體要求宏觀描述了工業(yè)控制系統(tǒng)信息安全防護的輪廓，面向工控網絡真實環(huán)境及特殊性提出了多項針對性要求，為工業(yè)控制安全防護標準制定、技術研究、評估內容等方面提供了具體依據，尤其對工業(yè)控制安全供需雙方指明了具體方向和思路，便于開展工控安全規(guī)劃，落地實施。同時參考《網絡安全法》和其他相關法律法規(guī)中對監(jiān)管部門責任、網絡攻擊組織或個人的處罰規(guī)定，相關行業(yè)對生產安全的要求，以及新修訂等級保護標準中對工控安全的相關要求，企業(yè)將對如何實施工業(yè)控制系統(tǒng)整體安全防護有更完整的思路。網絡信息安全管理制度大全一、 電腦設備管理26二、 軟件管理29三、 數據安全管理32四、 網絡信息安全管理32五、 病毒防護管理34六、 下載管理34七、 機房管理35八、 備份及恢復38電腦設備管理1、 計算機基礎設備管理2、 各部門對該部門的每臺計算機應指定保管人，共享計算機則由部門指定人員保管，保管人對計算機軟、硬件有使用、保管責任。3、 公司計算機只有網絡管理員進行維護時有權拆封，其它員工不得私自拆開封。4、 計算機設備不使用時，應關掉設備的電源。人員暫離崗時，應鎖定計算機。5、 計算機為公司生產設備，不得私用，轉讓借出；除筆記本電腦外，其它設備嚴禁無故帶出辦公生產工作場所。6、 按正確方法清潔和保養(yǎng)設備上的污垢，保證設備正常使用。7、 計算機設備老化、性能落后或故障嚴重，不能應用于實際工作的，應報信息技術部處理。8、 計算機設備出現故障或異常情況（包括氣味、冒煙與過熱）時，應當立即關閉電源開關，拔掉電源插頭，并及時通知計算機管理人員檢查或維修。9、 公司計算機及周邊設備，計算機操作系統(tǒng)和所裝軟件均為公司財產，計算機使用者不得隨意損壞或卸載。10、 公司電腦的IP地址由網絡管理員統(tǒng)一規(guī)劃分配，員工不得擅自更改其IP地址，更不得惡意占用他人的地址。計算機保管人對計算機軟硬負保管之責，使用者如有使用不當，造成毀損或遺失，應負賠償責任。11、保管人和使用人應對計算機操作系統(tǒng)和所安裝軟件口令嚴格保密，并至少每180天更改一次密碼，密碼應滿足復雜性原則，長度應不低于8位，并由大寫字母、小寫字母、數字和標點符號中至少3類混合組成；對于因為軟件自身原因無法達到要求的，應按照軟件允3許的最高密碼安全策略處理。12、 重要資料、電子文檔、重要數據等不得放在桌面、我的文檔和系統(tǒng)盤（一般為C盤）以免系統(tǒng)崩潰導致數據丟失。與工作相關的重要文件及數據保存兩份以上的備份，以防丟失。公司設立文件服務器，重要文件應及時上傳備份，各部門專用軟件和數據由計算機保管人定期備份上傳，需要信息技術部負責備份的應填寫《數據備份申請表》，數據中心信息系統(tǒng)數據應按《備份管理》備份。13、 正確開機和關機。開機時，先開外設（顯示器、打印機等），再開主機；關機時，應先退出應用程序和操作系統(tǒng)，再關主機和外設，避免非正常關機。14、 公司郵箱帳號必須由本帳號職員使用，未經公司網絡管理員允許不得將帳號讓與他人使用，如造成公司損失或名譽影響，公司將追究其個人責任，并保留法律追究途徑。15、 未經允許，員工不得在網上下載軟件、音樂、電影或者電視劇等，不得使用BT、電驢、POCO等嚴重占用帶寬的P2P下載軟件。員工在上網時，除非工作需要，不允許使用QQ、MSN等聊天軟件。員工不得利用公司電腦及網絡資源玩游戲，瀏覽與工作無關的網站。若發(fā)現信息技術部可暫停其Internet使用權限，并報相關領導處理。不得隨意安裝工作不需要的軟件。公司擁有的授權軟件軟件須報公司副總審批通過后由信息技術部或授權相關部門執(zhí)行。16、 計算機出現重大故障，如硬盤損壞，計算機保管人應立即向部門負責人和信息技術部報告，并填寫《設備故障登記表》17、 員工離職時，人力資源應及時通知信息技術部取消其所有的IT資源使用權限，回收其電腦并保留一個星期，若一個星期之內人事部沒有招到新員工頂替，電腦將備份數據后入庫。18、 如需要私人計算機連接到公司網絡，需信息技術部授權并進行登記。19、 不得隨意安裝軟件，軟件安裝按照《軟件管理》實施。20、 所有計算機設備必須統(tǒng)一安裝防病毒軟件，未經信息技術部同意，不得私自在計算機中安裝非公司統(tǒng)一規(guī)定的任何防病毒軟件及個人防火墻。所有計算機必須及時升級操作系統(tǒng)補丁和防病毒軟件。21、 任何人不得在公司的局域網上制造傳播任何計算機病毒不得故意引入病毒。22、 計算機使用者發(fā)現病毒后應立即停機并及時通知公司信息技術部或本部門病毒防治工作負責人，按《計算機病毒防治管理》處理。23、 因工作需要使用QQ、MSN等通訊工作，應當仔細辨別后再接收，對接收的文件應用安全軟件查殺后確認無毒再打開。24、 使用電子郵件時，附件都應用安全軟件查殺后確認無毒再打開。對于陌生的電子郵件，請直接予以刪除。25、 任何人不得進入未經許可的計算機系統(tǒng)更改系統(tǒng)信息和用戶數據，不得以任何形式攻擊公司的其它電腦或者服務器。26、不得利用計算機技術侵占其他用戶合法利益，不得非法侵入他人電腦，不得制作、復制、和傳播妨害公司穩(wěn)定的有關信息。27、 不得利用公司的網絡資源發(fā)布，傳播迷信、淫穢、色情、賭博、暴力、兇殺、恐怖等信息，違者將送公安機關處理。28、 不得利用公司的網絡資源進行入侵、破解、篡改其它Internet工作站或者服務器等網絡犯罪行為，若發(fā)現立即終止其Internet權限，并、上報公司最高領導保留送公安機關處理的權力。二、軟件管理部門權責1、 此處軟件指公司所有操作系統(tǒng)、系統(tǒng)安全軟件、辦公軟件軟件、專用軟件，數據中心信息系統(tǒng)等。公司所有業(yè)務所需的軟件由公司綜合部網絡管理員統(tǒng)一管理和安裝。員工無權要求綜合部網絡管理提供軟件介質和軟件授權號碼給其他人。更不允許將某某產權的軟件安裝在非某某產權的電腦上。2、 信息技術部負責全公司所使用軟件的管理。為確保公司計算機軟件之適當使用，各部門對該部門的每臺計算機應指定保管人，共享計算機則由部門指定人員保管，保管人對計算機軟、硬件具使用、保管之責。3、 各部門專用軟件和數據由計算機保管人定期備份，信息技術部對備份情況進行抽查，需要信息技術部備份的應填寫《數據備份申請表》，數據中心信息系統(tǒng)數據應按《備份管理制度》備份。4、 信息技術部負責管理監(jiān)督公司軟件使用情況，并負責軟件預算編列及軟件異動等事項。5、信息技術部負責公司數據中心信息系統(tǒng)的選型、變更、安裝、設置、測試、維護管理。6、 針對新的信息系統(tǒng)上線，需由信息技術部會同需求部門對軟件系統(tǒng)進行評估，并做出上線計劃，上前后進行測試，并記錄各項測試數據、參數配置及測試結果。在測試中發(fā)現的問題需及時向供應商反饋并進行書面記錄進行整改。當由新系統(tǒng)替換舊系統(tǒng)時，業(yè)務部門需對舊系統(tǒng)下線前的期末數據與新系統(tǒng)上線后的期初數據進行核實，確認無誤后方可投入使用。供應商完成系統(tǒng)測試后，需獲取測試驗收確認函，確保軟件系統(tǒng)滿足業(yè)務需求，并及時對系統(tǒng)用戶進行培訓指導。軟件采購7、 各部門對該部門使用的軟件，應視需要查核實際使用狀況，以作為軟件增置與編列預算的參考。軟件采購時應考量軟件用途、授權形式及價格以評估軟件需求，由信息技術部統(tǒng)一提出采購計劃。計算機軟件安裝及保管8、 公司之各類授權計算機軟件，統(tǒng)一由信息技術部負責保管，并每年至6少進行一次盤點。各單位因業(yè)務需要需使用時可提出申請，由信息技術部依該軟件之授權使用范圍進行安裝。9、 公司擁有的授權計算機軟件，由信息技術部門統(tǒng)一部署安裝；計算機使用人堆個別軟件有安裝變動需求，必須先填寫《軟件安裝申請單》，信息系統(tǒng)軟件申請須經部門經理和相關部門副總同意后，信息技術部則依據軟件實施申請單，安裝或授權安裝至各計算機之內。10、 計算機保管人對軟件負保管之責，軟件使用者如有使用不當，造成毀損或遺失，應負賠償責任。軟件使用者應當對口令嚴格保密，并至少每180天更改一次密碼，密碼應滿足復雜性原則，長度應不低于8位，并由大寫字母、小寫字母、數字和標點符號中至少3類混合組成。對于因為軟件自身原因無法達到要求的，應按照軟件允許的最高密碼安全策略處理。11、 各部門軟件分配使用后，保管人或使用人職務變動或離職時，應按照人事部門流程移交其保管或使用之軟硬件，并辦理交接，由信息技術部對其軟件使用權限進行調整。12、 信息技術部在實施系統(tǒng)變更，如變更操作系統(tǒng)、軟件安裝、升級時都必須做《計算機設備軟硬件變更清單》。13、 信息技術部每半年會同需求部門對計算機系統(tǒng)和數據中心信息系統(tǒng)用戶情況進行一次復查。第四節(jié)軟件使用者的權利和義務14、 禁止員工使用會干擾或破壞網絡上其它使用者或節(jié)點的軟、硬件系統(tǒng)。15、 員工不得將公司授權軟件私自拷貝、借于他人或私自將軟、硬件帶回家中。16、 軟件保管人或使用人，對于保管或使用軟件不可盜賣、循私營利或其它不法情事，違者除提報主管及依公司規(guī)定懲處外，如因此觸犯著作權者或造成公司損失，則該員應負刑事及民事之全部責任。17、尊重知識財產權,禁止下載未經授權的音樂、影片及軟件。三、 數據安全管理1、 工作所需的資料、數據，不得帶出辦公區(qū)。因外派等業(yè)務需帶出的情況除外，但需始終注意做好相關資料的保密工作。夕卜派等業(yè)務活動結束后，必須將相關資料數據及時帶回，并清除保留在公司以外設備上的資料。2、 當使用公司的網絡打印機時，打印的資料必須在30分鐘內取回，保密資料的打印不得使用公用的網絡打印機。3、 保密的資料應設置密碼并妥善保管，不得隨意置于桌面。4、 在執(zhí)行資產轉移時，要對那些存儲保密資料或數據的載體（如計算機或軟、硬盤）使用＜cipher＞命令對整個磁盤進行徹底清除，以防泄密。具體使用方法請向綜合部網絡管理員咨詢，對于需要保存的資料或數據應加強保密措施并進行保護。5、 個人資料，工作資料應定期做好備份工作（重要資料應隨時雙重備份在其他電腦和其他介質上），以防病毒侵襲、硬件損壞等造成數據丟失。四、 網絡信息安全管理1、 新員工入職，在得到自己的辦公平臺的帳戶名和密碼后，應立即更改自己的密碼，如果因為沒有更改密碼而造成辦公平臺或公共管理系統(tǒng)帳戶被他人盜用的情況，后果將由員工本人負責。2、 公司辦公平臺是為全體員工從事生產活動以及業(yè)務溝通提供服務的。不得利用公司的辦公平臺從事與工作無關的活動，一經查出或對公司造成不良影響的，將追究其責任。3、 員工有責任預防郵件病毒的傳播，員工的電腦必須安裝公司指定的殺毒軟件，并啟用殺毒軟件的郵件防火墻功能。不允許在沒有防火墻的電腦上進行收發(fā)郵件的操作，如果員工本人無法確定郵件附件的用途，那么即使殺毒軟件沒有給出提示，也不要輕易打開此類郵件。在使用電子郵件的過程中，有任何疑問都可以與綜合部網絡管理員聯(lián)系。如果員工未按照上述要求執(zhí)行，導致電腦感染電腦病毒并在公司局域網內傳播電腦病毒，造成嚴重后果的，公司將追究該員工的責任。4、 由于辦公平臺服務器磁盤空間有限，公司通常情況下默認分配給每個員工的空間是200M，員工應將在辦公平臺存儲超過一年的文件刪除，以節(jié)約磁盤空間，重要文件請自行保存在個人電腦內。5、 公司IP地址由綜合部網絡管理員統(tǒng)一規(guī)劃和分配使用，員工個人不得隨意變更個人電腦的IP地址。6、 個人由于業(yè)務學習等而需用計算機以及計算機網絡的，可以利用休息時間進行，不可以占用工作時間。7、 不得利用計算機技術侵占用戶合法利益，不得制作、復制、和傳播妨害公司穩(wěn)定的有關信息。8、 不得利用公司計算機網絡從事危害國家安全及其他法律明文禁止的活動；9、 不訪問不明網站的內容，以避免惡意網絡攻擊和病毒的侵擾。10、 員工個人QQ等其他網絡通訊工具，在個人信息資料中不得包含公司相關（如公司、IP地址等）信息，在工作時間不使用QQ進行與工作無關的事'情。五、病毒防護管理1、公司為員工配備的電腦以及員工所負責的服務器必須安裝防病毒軟件，并且應遵循綜合部網絡管理員指定的計算機病毒防護標準，如：安裝并注意始終啟用網絡管理員指定的防病毒軟件，并及時更新病毒庫代碼等。如因未及時升級防病毒軟件而引起的系統(tǒng)問題和網絡問題，由個人承擔責任；2、辦公平臺服務器的病毒防治由綜合部網絡管理員負責，各部門的工作站病毒的防治由各部門負責周期性查毒和升級病毒庫，綜合部網絡管理員進行指導和協(xié)助。3、 任何人不得在公司的網絡上制造、傳播任何計算機病毒，不得故意引入病毒。網絡使用者發(fā)現病毒應立即向綜合部網絡管理報告以便獲得及時處理。4、 各部門定期對本部門計算機系統(tǒng)和網絡數據進行備份以防發(fā)生故障時進行恢復。六、下載管理1、 不準在任何時間利用公司網絡下載黑客工具、解密軟件，系統(tǒng)掃描工具，木馬程序等威脅系統(tǒng)和網絡安全的軟件。2、 工作期間不允許下載和在線觀看與工作無關的軟件或其他內容，如MP3、小說、電影、電視和圖片等。3、 由于擅自進行下載/上傳造成網絡堵塞甚至癱瘓或致使病毒傳播者，一經核實，公司依據相關規(guī)定將給予警告、通報批評。七、機房管理機房設備管理規(guī)定1、 機房管理人員應使用電子表格對機房內設備做好登記，記錄現有設備的型號、配置、位置、狀態(tài)等信息，以便跟蹤設備變化。2、 計算機及網絡設備的搬運必須填寫《機房設備變更表》并通過信息技術部負責人審批方可進入或搬離計算機機房。3、 機房管理人員對機房設備的操作必須嚴格按照操作程序進行，并在《機房運行日志》做相應記錄。4、 機房內主機等設備的故障維修，必須于《機房運行日志》做好故障維修登記，若涉及設備送修，須填寫《機房設備變更表》。機房進出規(guī)定1、 信息技術部應根據公司實際情況，安排專人對機房進行值班和巡檢。2、 機房鑰匙由信息技術部保存，其余鑰匙交公司行政部統(tǒng)一保管，如果特殊情況需使用時須嚴格登記。3、 鑰匙保管人不允許私配機房鑰匙，無關人員不得借用機房鑰匙，機房鑰匙一旦遺失必須立即向信息技術部負責人報備。4、 任何非機房管理人員需要進入機房，需填寫《機房出入登記表》在機房值班人員陪同下進入機房。5、 進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質等對設備正常運行構成威脅的物品，因工作需要使用時，必須向信息技術部負責人申請并做詳細登記，嚴格執(zhí)行操作規(guī)程，用后必須置于安全狀態(tài)，妥善保管。6、 進入機房人員應自覺遵守機房內各項管理規(guī)定，服從機房值班人員的管理，非經機房管理人員允許，不得擅自對機房設備進行操作。工作完畢后應及時離開，離開機房時應主動接受機房值班人員的檢查。7、 條進入機房人員在工作完畢后，自覺將所帶無關物品帶走。機房衛(wèi)生規(guī)定1、 機房值班人員需要每天對機房進行打掃，保證機房內環(huán)境、設備的清j潔。2、 任何人不得將食物或飲料帶入機房，任何人不得在機房內吃東西、吸煙、吐痰。機房消防、安全管理規(guī)定1、 機房應保持計算機設備正常運行所必須的溫度、濕度等環(huán)境要求，安裝溫濕度報警設施，對運行環(huán)境可能出現的不利因素進行監(jiān)測并預警。這些要求至少包括以下內容：(1)安裝24小時不間斷空調系統(tǒng)，機房內保持一定的溫度和濕度;安裝濕度和溫度顯示裝置；安裝煙霧感應探測器和溫度感應探測器；安裝火災報警和自動滅火系統(tǒng)；配備手動滅火器；將機房地板抬高。2、 機房應列為單位要害和重點防火部位，應嚴格按照相關國家標準安裝配備。足夠數量的消防報警設備以及消防器材，機房工作人員要熟悉機房消防器材的存放位置及使用方法，定期檢查更換。3、 機房及其附近嚴禁吸咽、焚燒任何物品。4、 機房應配備適當的不間斷的電力供應（UPS）,確保有足夠的后備電力支持正常的系統(tǒng)應急操作；每半年對現有的不間斷的電力供應設備進行檢查與維護，確保設備的正常運作。5、 機房管理人員要熟悉設備電源和照明用電以及其他電氣設備總開關位置，掌握切斷電源的方法與步驟，發(fā)現火情及時報告，采取有效措施及時滅火。值班管理規(guī)定1、 信息技術部應根據公司實際情況，安排專人對機房進行值班和巡檢。2、 值班人員應每日做好系統(tǒng)運行和機房安全工作，檢查空調、UPS、溫濕17度、消防等設備的完好性，并將檢查結果記錄于《機房運行日志》，如果發(fā)現問題及時匯報處理。3、 值班人員應每日檢查各類系統(tǒng)設備的運行狀態(tài)，并在《機房運行日志》中進行記錄。若系統(tǒng)發(fā)生故障，應及時報告相關管理人員，并協(xié)助其進行問題調查，做好工作記錄，將故障發(fā)生時間及修復時間等相關信息進行登記。4、 對機房內所有人員的操作，值班人員應該在《機房運行日志》中進行記錄。5、 對于進入機房人員不遵守機房管理規(guī)定或從事與正常工作內容不相符的操作，必須及時加以制止，必要時可終止其操作。6、信息技術部負責人應每月審閱《機房運行日志》，確保所有機房操作已通過適當的授權和審批。八、備份及恢復備份操作管理1、 備份工作應由信息技術部門安排備份管理人員和備份數據保管人員。備份管理人員負責實施備份、恢復操作和登記工作，備份保管人員負責備份介質的取放、更換。2、 數據被大規(guī)模更新前后，須對數據進行備份，在操作系統(tǒng)和應用程序發(fā)生重大改變前后，須對系統(tǒng)