1、 1 胶 州 市 科 技 和 工 业 信 息 化 局关于开展 2017 年工业控制系统信息安全检查工作的通知开发区、各镇办经贸部门,有关企业:根据工业和信息化部办公厅关于开展 2017 年工业控制系统信息安全检查工作的通知的要求,我市将开展 2017 年工业控制系统信息安全检查工作。现要求如下:各单位要高度重视工业控制系统信息安全,切实组织好辖区重点领域工业企业的自查工作,并于 5 月 18 日前报送本辖区企业的工业控制系统运营单位基本情况表、工业控制系统信息安全自查表(附件 1,表 2-表 3)发送至邮箱 联系人:雷康,电话:82288636附件:工业控制系统信息安全自查表胶州市科技和工业信
2、息化局2017 年 5 月 9 日 2 附件 1工业控制系统信息安全自查表填 表 说 明一、组成结构本表包含三个分表:(1)工业控制系统信息安全检查情况汇总表(2)工业控制系统运营单位基本情况表(3)工业控制系统信息安全自查表二、填写对象各分表填写责任人如下:(1)工业控制系统信息安全检查情况汇总表:由各区市经济和信息化主管部门(或市属企业)指定专人负责汇总填写。(2)工业控制系统运营单位基本情况表:由各工业控制系统运营单位指定专人负责填写。(3)工业控制系统信息安全自查表:由工业控制系统运营单位的各工业控制系统负责人填写。表 1 工业控制系统信息安全检查情况汇总表 3 名称 基本情况重要工业
3、控制系统 1 运营单位总数: 家重要工业控制系统总数: 套类型 设备 国内品牌 国外品牌可逻辑编程控制器(PLC ) 台 台分布式控制系统(DCS ) 台 台远程终端设备(RTU) 台 台数控机床 台 台工业机器人 台 台智能仪表 台 台工业生产控制设备其它 台 台工业交换机 台 台工业路由器 台 台串口服务器 台 台工业网络通信设备其它 台 台工业主机 2 台 台组态软件&数据采集与监控系统(SCADA )软件 套 套工业数据库 套 套工业主机设备其它 台 台制造执行系统(MES) 套 套ERP 管理系统 套 套工业云 套 套工业生产信息系统其它 套 套工业防火墙 台 台工业网闸 台 台主机
4、安全防护设备 台 台系统构成情况工业网络安全设备其它 台 台安全软件选择与管理情况1、安装防病毒软件或应用程序白名单软件的重要工业控制系统数量: 套2、病毒库或白名单规则及时更新的重要工业控制系统数量: 套3、定期对工业控制系统进行查杀的重要工业控制系统数量: 套4、已建立防病毒和恶意软件入侵管理机制的重要工业控制系统数量: 套 4 配置和补丁管理情况1、已建立工业控制网络安全配置策略的重要工业控制系统数量: 套2、已建立工业主机安全配置策略的重要工业控制系统数量: 套3、已建立工业控制设备安全配置策略的重要工业控制系统数量: 套4、已建立工业控制系统配置清单的重要工业控制系统数量: 套5、定
5、期对配置清单进行更新和维护的重要工业控制系统数量: 套6、及时修复重大工控安全漏洞的重要工业控制系统数量: 套边界安全防护情况1、直接与企业网连接的重要工业控制系统数量: 套2、直接与互联网连接的重要工业控制系统数量: 套3、对工业控制系统进行安全区域划分的重要工业控制系统数量: 套4、对工业控制系统安全区域实施逻辑隔离的重要工业控制系统数量: 套物理和环境安全防护情况1、已明确划分重点物理安全防护区域并建立物理安全防护措施的重要工业控制系统数量: 套2、拆除或封闭工业主机上不必要外设接口的重要工业控制系统数量: 套3、使用外设安全管理技术手段管理外设接口的重要工业控制系统数量: 套身份认证情
6、况1、使用身份认证管理手段的重要工业控制系统数量: 套2、以最小特权原则分配账户权限的重要工业控制系统数量: 套3、未使用默认口令或弱口令的重要工业控制系统数量: 套4、定期更新口令的重要工业控制系统数量: 套远程访问安全情况1、面向互联网开通 HTTP、FTP 等网络服务的重要工业控制系统数量: 套2、使用数据单向访问控制等策略进行安全加固的重要工业控制系统数量: 套3、使用 VPN 等远程接入方式的重要工业控制系统数量: 套 5 4、保留工业控制系统相关访问日志的重要工业控制系统数量: 套安全监测和应急预案演练情况1、在工业控制网络部署网络安全监测设备的重要工业控制系统数量: 套2、在重要
7、工业控制设备前端已部署具备深度包分析和过滤功能防护设备的重要工业控制系统数量: 套3、已制定工控安全事件应急响应预案的重要工业控制系统运营单位数量: 家4、定期对应急预案进行演练的重要工业控制系统运营单位数量: 家5、对应急响应预案进行修订的重要工业控制系统运营单位数量: 家资产安全情况1、建立工业控制系统资产清单的重要工业控制系统数量: 套2、对关键主机设备进行冗余配置的重要工业控制系统数量: 套3、对网络设备进行冗余配置的重要工业控制系统数量: 套4、对控制组件进行冗余配置的重要工业控制系统数量: 套数据安全情况1、对静态存储的重要工业数据进行保护的重要工业控制系统数量: 套2、对动态传输
8、的重要工业数据进行保护的重要工业控制系统数量: 套3、定期备份关键业务数据的重要工业控制系统数量: 套4、对测试数据进行保护的重要工业控制系统数量: 套供应链管理情况1、合同中已约定服务商在服务过程中应当承担的信息安全责任和义务的重要工业控制系统数量: 套2、与服务商签订保密协议的重要工业控制系统数量: 套落实责任情况1、建立工控安全管理机制的重要工业控制系统运营单位数量: 家1 重要工业控制系统是指与国家安全、国家经济安全、国计民生紧密相关的,如钢铁、有色、化工、装备制造、电子信息、核设施、石油石化、电力、天然气、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供 6 气供热等工业生产
9、领域中的工业控制系统。2 工业主机是指工业生产控制各业务环节涉及组态、操作、监控、数据采集与存储等功能的主机设备载体,包括工程师站、操作员站、历史站等。表 2 工业控制系统运营单位基本情况表单位全称 法人代表通讯地址 省 市 县(区)单位网址 邮政编码单位信息 所属行业 1 销售收入 7 经济类型 国有事业单位 2 国有及国有控制企业 3 ( 中央 地方) 股份制企业 外商及港澳台投资企业 4 集体企业 民营企业 其他: 姓名 职务所属部门 工作电话联系人电子邮件 传真工业控制系统总数量系统名称 系统简介工控系统基本情况 8 应急预案演练情况1.工控安全事件应急响应预案:已制定,包括: 应急计
10、划策略和规程应 急计划培训应 急计划测试与演练应 急处理流程事件 监控措施应 急事件报告流程应 急支持资源应 急响应计划其它: 未制定2.急预案演练情况:定期开展,演练周期: 本年度已开展将演练情况报网络安全主管部门未将演练情况报网络安全主管部门应急演练结束后对应急预案进行了评估和适用性修订应急演练结束后未对应急预案进行了评估和适用性修订本年度未开展未定期开展工业安全管理情况落实责任情况1.工控安全管理机制:已建立,包括: 建立了工业控制系统安全管理制度成立了工业控制系统信息安全协调小组明确了工控安全管理责任人其它: 未建立注 1:工控系统基本情况可另附表说明。注 2:此处工业控制系统的划分原
11、则为 1)具体的完整的工业控制系统:以企业工业自动化生产过程为基础,属于企业的一个自动化生产全过程或一个工业自动化生产装置;或者是 2)工业控制系统中相对独立的一部分:以企业工业自动化生产过程的局部环节为基础,属于企业的一个自动化生产全过程或一个工业自动化生产装置的工业控制系统中的相对独立的且物理边界清晰的某个安全区域或通信网络。 1 按照国民经济行业分类 (GB/T4745-2011)规定填写。2 按照事业单位登记管理暂行条例登记的,为社会公益目的、由国家机关举办或者其他组织组织利用国有资产举办的,从事教育、科技、文化、卫生等活动的社会服务组织。3 按照中华人民共和国企业法人登记管理条例登记
12、注册的三类经济组织:(1)全部资产归国家所有的(非公司制)国有企业;(2)全部资产归国家所有的国有独资有限责任公司;(3)由国有资本占控制地位的有限责任公司和股份有限公司,此处称国有控股公司。 9 4 包括港、澳、台资本和其他地区外资资本投资设立的独资或控股的独资公司、有限责任公司和股份有限公司。表 3 工业控制系统信息安全自查表系统名称姓名 职务负责人所属部门 工作电话功能描述(描述该系统的功能、业务流程)业务互联(描述与其他工业控制系统、上 层监控系统、 MES 系统互联情况)系统组成结构(描述该工业控制系统的组成情况、网 络拓扑图等)类型 设备 国内品牌 国外品牌可逻辑编 程控制器(PL
13、C) 台 台分布式控制系统(DCS ) 台 台远程终端设备(RTU) 台 台数控机床 台 台工业机器人 台 台智能仪表 台 台系统构成情况 工业生产控制设备其它 台 台 10 工业交换机 台 台工业路由器 台 台串口服务器 台 台工业网络通信设备其它 台 台工业主机 1 台 台组态软件&数据采集与监控系统(SCADA)软件 套 套工业数据库 套 套工业主机设备其它 台 台制造 执行系 统(MES ) 套 套ERP 管理系统 套 套工业云 套 套工业生产信息系统其它 套 套工业防火墙 台 台工业网闸 台 台主机安全防护设备 台 台工业网络安全设备其它 台 台安全软件选择与管理情况1.工业主机防护
14、设备(如防病毒软件、应用程序白名单软件):已安装,防护设备名称: 未安装2.及时进行恶意代码库或白名单规则库更新升级:是,目前 库 版本号: 否,目前 库 版本号: 3.定期进行系统查杀:是,查杀时间间 隔: 未进行定期查杀4.防病毒和恶意软件入侵管理机制:已建立,包括: 定期扫描病毒和恶意软件 定期更新病毒库 查杀临时 接入设备 (如临时接入 U 盘、移动终端外设)未建立1.工业控制网络安全配置策略: 11 配置和补丁管理情况已建立,包括: 网络分区分域 非必要端口禁用其它: 未建立2.工业主机安全配置策略:已建立,包括: 远程控制管理禁用 关闭默认账户 最小服务配置 关闭非必要文件共享 启
15、用登录口令复杂度要求 其它: 未建立3.工业控制设备安全配置策略:已建立,包括: 口令策略合规性 其它: 未建立4.工业控制系统配置清单:已建立,包括: 设备名称 设备编号 配置策略配置时间 其它: 未建立5.定期进行配置清单的更新和维护:是,维护时间间 隔: 更新时间间隔: 部分是,定期更新和维护 的配置清单: 时间间隔: 否6.及时修复重大工控安全漏洞:是 否边界安全防护情况1.直接与企业内网连接:是否,组网方式( 单选): 独立 使用防护设备进 行隔离,防护设备名称及生产厂商: 其它: 2.直接与互联网连接:是否,组网方式( 单选): 独立 使用防护设备进行隔离,防护设备名称及生产厂商:
16、 通过企业网连接 其它: 3.对工业控制系统网络进行安全域划分:是,划分原则: 安全域重要性 业务需求 其它: 否4.各安全域之间进行逻辑隔离:是,隔离措施: 防火墙 网闸 其它: 否物理和环境安全防1.物理安全防护区域防护措施:无 门禁系统 专人值守 视频监控 其它: 12 护情况 2.拆除或封闭工业主机外设接口:是否,未拆除或封闭的外 设接口包括:USB 光驱无 线 其它: 3.使用外设安全管理技术手段进行安全管理:是,方式: 主机外设统一管理设备(或软件): 隔离存放有外设接口的工业主机其它: 否身份认证情况1.使用身份认证管理手段:是,包括: 口令密码 USB-Key 智能卡 生物指纹
17、其它: 2.最小权限原则分配账户权限: 是 否3.工业控制系统口令使用:采用默认口令 采用弱口令 其它: (口令策略要求)4.定期更新口令:是,更新周期: 否远程访问安全情况1.面向互联网开通通用网络服务:是,包括:HTTP FTP Telnet 其它: 否2.使用远程访问:是,安全加固策略: 无 采用数据单向访问控制其它: 否3.使用远程维护:是,安全加固策略: 无 采用虚拟专用网络(VPN )其它: 否4.工业控制系统相关访问日志:留存,留存期: 未留存安全监测情况1.工业控制系统网络部署网络安全监测设备:是,网络安全 监测设备 型号及生产商: 否2.重要工业控制设备前端部署具备深度包分析
18、和过滤功能的防护设备:是,防护设备 型号及生 产商: 否 13 资产安全情况1.工业控制系统资产清单:已建立,包括: 设备名称 设备编号 设备型号设备类型 生产厂商 设备重要程度/密级 设备版本 启用时间责 任部门 责任人 使用状态其它: 未建立2.关键主机设备是否进行硬件冗余:是 否3.网络设备是否进行硬件冗余:是 否4.控制组件是否进行硬件冗余:是 否数据安全情况1.对静态存储的重要工业数据进行保护:是,保护措施: 数据加密 隔离存放 访问权限控制其它: 否2.对动态传输的重要工业数据进行保护:是,保护措施: 数据加密 数据隔离 其它: 否3.定期备份关键业务数据:是,备份周期: 否4.对测试数据进行保护:是,保护措施: 数据加密 数据销毁 隔离存放访问权限控制 其它: 否供应链管理情况1.服务商在服务过程中应当承担的信息安全责任和义务:已约定,包括: 未约定2.服务商签订保密协议情况:已签订 未签订注:多套系统可复印分别填写。1 工业主机是指工业生产控制各业务环节涉及组态、操作、监控、数据采集与存储等功能的主机设备载体,包括工程师站、操作员站、历史站等。
