工控等保2.0安全软件和应急预案的要求

安全软件选择与管理

1. 在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行。

解读：

工业控制系统对系统可用性、实时性要求较高，工业主机如MES服务器、OPC服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在离线环境中进行测试与验证，其中，离线环境指的是与生产环境物理隔离的环境。验证和测试内容包括安全软件的功能性、兼容性及安全性等。

2. 建立防病毒和恶意软件入侵管理机制，对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。

解读：

工业企业需要建立工业控制系统防病毒和恶意软件入侵管理机制，对工业控制系统及临时接入的设备采用必要的安全预防措施。安全预防措施包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备（如临时接入U盘、移动终端等外设）等。

工控等保2.0测评的要求和测评服务联系木准，电话：18300003210 等保测评一条龙服务

安全监测和应急预案演练

1.在工业控制网络部署网络安全监测设备，及时发现、报告并处理网络攻击或异常行为。

解读：

工业企业应在工业控制网络部署可对网络攻击和异常行为进行识别、报警、记录的网络安全监测设备，及时发现、报告并处理包括病毒木马、端口扫描、暴力破解、异常流量、异常指令、工业控制系统协议包伪造等网络攻击或异常行为。

2.在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作。

解读：

在工业企业生产核心控制单元前端部署可对Modbus、S7、Ethernet/IP、OPC等主流工业控制系统协议进行深度分析和过滤的防护设备，阻断不符合协议标准结构的数据包、不符合业务要求的数据内容。

3.制定工控安全事件应急响应预案，当遭受安全威胁导致工业控制系统出现异常或故障时，应立即采取紧急防护措施，防止事态扩大，并逐级报送直至属地省级工业和信息化主管部门，同时注意保护现场，以便进行调查取证。

解读：

工业企业需要自主或委托第三方工控安全服务单位制定工控安全事件应急响应预案。预案应包括应急计划的策略和规程、应急计划培训、应急计划测试与演练、应急处理流程、事件监控措施、应急事件报告流程、应急支持资源、应急响应计划等内容。

4.定期对工业控制系统的应急响应预案进行演练，必要时对应急响应预案进行修订。

解读：

工业企业应定期组织工业控制系统操作、维护、管理等相关人员开展应急响应预案演练，演练形式包括桌面演练、单项演练、综合演练等。必要时，企业应根据实际情况对预案进行修订。