ICS點(diǎn)擊此處添加ICS號(hào)

CCS點(diǎn)擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號(hào)

團(tuán)體標(biāo)準(zhǔn)

T/CNEAXXXX—XXXX

核能行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指引

第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求

Implementationguidelinesforcybersecurityclassifiedprotectioninnuclearenergy

industry-Part5：Securityextensionrequirementsforindustrialcontrolsystem

（征求意見稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

中國核能行業(yè)協(xié)會(huì)發(fā)布

1范圍

本文件主要依據(jù)國家《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》標(biāo)準(zhǔn)，結(jié)合核

能行業(yè)特點(diǎn)以及信息系統(tǒng)安全建設(shè)需要，對(duì)核動(dòng)力廠及裝置（核電廠、核熱電廠、核供氣供熱廠等）的信

息安全體系架構(gòu)采用分區(qū)分域設(shè)計(jì)、對(duì)不同等級(jí)的應(yīng)用系統(tǒng)進(jìn)行具體要求，以保障將國家等級(jí)保護(hù)要求行

業(yè)化，具體化，提高核能行業(yè)各單位重要網(wǎng)絡(luò)和信息系統(tǒng)信息安全防護(hù)水平?？蓞⒖急疚募筮M(jìn)行安全

防護(hù)的核設(shè)施包括：核動(dòng)力廠以外的研究堆、實(shí)驗(yàn)堆、臨界裝置等其他反應(yīng)堆；核燃料生產(chǎn)、加工、貯存

和后處理設(shè)施等核燃料循環(huán)設(shè)施；放射性廢物的處理、貯存、處置設(shè)施。

本文件適用于實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)的核能行業(yè)機(jī)構(gòu)、測評(píng)機(jī)構(gòu)和核能信息系統(tǒng)安全等級(jí)保護(hù)的

主管部門。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的文件，其最新版本(包括所有的修改單)適用于本文件。

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求

GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求

GB/T25058-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南

GB/T36627-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測試評(píng)估技術(shù)指南

GB/T36958-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求

GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南

GB/T25069-2010信息安全技術(shù)術(shù)語

NB/T20063-2012核電廠儀表和控制術(shù)語

NB/T20428-2017核電廠儀表核控制系統(tǒng)計(jì)算機(jī)安全防范總體要求

3術(shù)語和定義

（1）網(wǎng)絡(luò)安全cybersecurity

通過采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)

定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

（2）安全保護(hù)能力securityprotectionability

能夠抵御威脅、發(fā)現(xiàn)安全事件以及在遭到損害后能夠恢復(fù)先前狀態(tài)等的程度。

（3）物理機(jī)physicalmachine

是指相對(duì)于虛擬機(jī)的物理服務(wù)器，可為虛擬機(jī)提供硬件環(huán)境。

Page4

（4）敏感數(shù)據(jù)sensitivedata

是指一旦泄露可能會(huì)對(duì)用戶或機(jī)構(gòu)造成損失的數(shù)據(jù)，包括但不限于：

a)用戶敏感數(shù)據(jù)，如用戶口令、密鑰等；

b)系統(tǒng)敏感數(shù)據(jù)，如系統(tǒng)的密鑰、關(guān)鍵的系統(tǒng)管理數(shù)據(jù)；

c)其他需要保密的敏感業(yè)務(wù)數(shù)據(jù)；

d)關(guān)鍵性的操作指令；

e)系統(tǒng)主要配置文件；

f)其他需要保密的數(shù)據(jù)。

（5）工業(yè)控制系統(tǒng)industrialcontrolsystem

工業(yè)控制系統(tǒng)(ICS)是一個(gè)通用術(shù)語,它包括多種工業(yè)生產(chǎn)中使用的控制系統(tǒng),包括監(jiān)控和數(shù)據(jù)采集系

統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)和其他較小的控制系統(tǒng),如可編程邏輯控制器(PLC),現(xiàn)已廣泛應(yīng)用在工

業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中。

[GB/T32919—2016，定義3.1]

（6）邏輯隔離logicalseparation

從一個(gè)數(shù)字化數(shù)據(jù)網(wǎng)絡(luò)分離的角度進(jìn)行的直接數(shù)據(jù)通信的移除（例如沒有任何代理或網(wǎng)絡(luò)安全過濾設(shè)

備）。

4縮略語

下列縮略語適用于本文件。

FTP：文件傳輸協(xié)議（FileTransferProtocol）

IT：信息技術(shù)（InformationTechnology）

TCB：可信計(jì)算基（TrustedComputingBase）

APT：高級(jí)可持續(xù)威脅攻擊（AdvancedPersistentThreat）

Page5

5網(wǎng)絡(luò)安全等級(jí)保護(hù)概述

5.1等級(jí)保護(hù)對(duì)象

等級(jí)保護(hù)對(duì)象是指網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中的對(duì)象，通常是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備

組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)，主要包括基礎(chǔ)信息網(wǎng)

絡(luò)、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)(IoT)、工業(yè)控制系統(tǒng)和采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)

等。等級(jí)保護(hù)對(duì)象根據(jù)其在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國家安全、社會(huì)

秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高被劃分為五個(gè)安全保護(hù)等

級(jí)。

5.2不同級(jí)別的安全保護(hù)能力

不同級(jí)別的等級(jí)保護(hù)對(duì)象應(yīng)具備的基本安全保護(hù)能力如下：

第一級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)免受來自個(gè)人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的

自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，在自身遭到損害后，能夠恢復(fù)部分功

能。

第二級(jí)安全保護(hù)能力：應(yīng)能夠防護(hù)免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻

擊、一般的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和

處置安全事件，在自身遭到損害后，能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。

第三級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來自外部有組織的團(tuán)體、擁有較為豐富資源

的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的主要資源損害，

能夠及時(shí)發(fā)現(xiàn)、監(jiān)測攻擊行為和處置安全事件，在自身遭到損害后，能夠較快恢復(fù)絕大部分功能。

第四級(jí)安全保護(hù)能力：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)免受來自國家級(jí)別的、敵對(duì)組織的、擁有豐富資

源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難，以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠及

時(shí)發(fā)現(xiàn)、監(jiān)測發(fā)現(xiàn)攻擊行為和安全事件，在自身遭到損害后，能夠迅速恢復(fù)所有功能。

第五級(jí)安全保護(hù)能力：略。

5.3安全通用要求和安全擴(kuò)展要求

由于業(yè)務(wù)目標(biāo)的不同、使用技術(shù)的不同、應(yīng)用場景的不同等因素，不同的等級(jí)保護(hù)對(duì)象會(huì)以不同的形

態(tài)出現(xiàn)，表現(xiàn)形式可能稱之為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)（包含采用移動(dòng)互聯(lián)等技術(shù)的系統(tǒng)）、云計(jì)算平臺(tái)

/系統(tǒng)、大數(shù)據(jù)平臺(tái)/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等。形態(tài)不同的等級(jí)保護(hù)對(duì)象面臨的威脅有所不同，安

全保護(hù)需求也會(huì)有所差異。為了便于實(shí)現(xiàn)對(duì)不同級(jí)別的和不同形態(tài)的等級(jí)保護(hù)對(duì)象的共性化和個(gè)性化保

護(hù)，等級(jí)保護(hù)要求分為安全通用要求和安全擴(kuò)展要求。

安全通用要求針對(duì)共性化保護(hù)需求提出，等級(jí)保護(hù)對(duì)象無論以何種形式出現(xiàn)，必須根據(jù)安全保護(hù)等級(jí)

實(shí)現(xiàn)相應(yīng)級(jí)別的安全通用要求；安全擴(kuò)展要求針對(duì)個(gè)性化保護(hù)需求提出，需要根據(jù)安全保護(hù)等級(jí)和使用的

特定技術(shù)或特定的應(yīng)用場景選擇性實(shí)現(xiàn)安全擴(kuò)展要求。安全通用要求和安全擴(kuò)展要求共同構(gòu)成了對(duì)等級(jí)保

護(hù)對(duì)象的安全要求。

5.4核能行業(yè)增強(qiáng)性安全要求

本部分新增“核能行業(yè)增強(qiáng)性安全要求”，在文本中以粗體表示。核能行業(yè)增強(qiáng)性安全要求在結(jié)合核

能行業(yè)相關(guān)規(guī)定的基礎(chǔ)上對(duì)等級(jí)保護(hù)要求進(jìn)行補(bǔ)充和完善。

Page6

Page7

6核能行業(yè)總體要求

6.1總體技術(shù)要求

1)核能行業(yè)信息系統(tǒng)安全防護(hù)工作應(yīng)當(dāng)落實(shí)國家信息安全等級(jí)保護(hù)制度，按照國家信息安全等級(jí)保護(hù)

的有關(guān)要求，堅(jiān)持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則，保障系統(tǒng)的安全運(yùn)行；

2)核能行業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)，原則上劃分為管理信息大區(qū)和生產(chǎn)控制大區(qū)，

管理信息大區(qū)網(wǎng)絡(luò)可進(jìn)一步劃分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，兩網(wǎng)之間有信息通信交換時(shí)防護(hù)強(qiáng)度應(yīng)

強(qiáng)于邏輯隔離；

3)管理信息大區(qū)網(wǎng)絡(luò)與生產(chǎn)控制大區(qū)網(wǎng)絡(luò)應(yīng)物理隔離；兩網(wǎng)之間有信息通信交換時(shí)應(yīng)部署符合電力

系統(tǒng)要求的單向隔離裝置；

4)具有層次網(wǎng)絡(luò)結(jié)構(gòu)的單位可統(tǒng)一提供互聯(lián)網(wǎng)出口；

5)二級(jí)系統(tǒng)可統(tǒng)一成域，三級(jí)和四級(jí)系統(tǒng)單獨(dú)成域；三級(jí)和四級(jí)系統(tǒng)域均由獨(dú)立子網(wǎng)承載，每個(gè)域

有唯一網(wǎng)絡(luò)邊界，應(yīng)在網(wǎng)絡(luò)邊界處按照等保要求重點(diǎn)進(jìn)行安全防護(hù)。

6.2總體管理要求

1)如果本單位管理信息大區(qū)和生產(chǎn)控制大區(qū)含有二級(jí)及以下等級(jí)信息系統(tǒng)時(shí)，通用管理要求等同采用

二級(jí)；

2)如果本單位管理信息大區(qū)和生產(chǎn)控制大區(qū)含有三級(jí)及以下等級(jí)信息系統(tǒng)時(shí)，通用管理要求等同采用

三級(jí)；

3)如果本單位管理信息大區(qū)和生產(chǎn)控制大區(qū)含有四級(jí)及以下等級(jí)信息系統(tǒng)時(shí)，通用管理要求等同采用

四級(jí)。

6.3組織架構(gòu)與職責(zé)

在核能行業(yè)中開展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作會(huì)涉及到集團(tuán)總部，發(fā)電站以及各成員單位的多個(gè)部門，首

先應(yīng)明確由核電企業(yè)網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組負(fù)責(zé)IT系統(tǒng)網(wǎng)絡(luò)安全與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全領(lǐng)

導(dǎo)工作，其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或授權(quán)；同時(shí)設(shè)立獨(dú)立的負(fù)責(zé)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理工作的

職能部門，設(shè)立工業(yè)控制系統(tǒng)安全主管及負(fù)責(zé)各個(gè)方面安全管理工作的安全管理員崗位；安全管理機(jī)構(gòu)必

須經(jīng)各工業(yè)控制系統(tǒng)責(zé)任部門領(lǐng)導(dǎo)聯(lián)合審查，以保證各部門領(lǐng)導(dǎo)對(duì)各自的責(zé)任有一致的理解，并明確所有

重要職能。

同時(shí)應(yīng)定義部門及各個(gè)工作崗位的職責(zé)，設(shè)立系統(tǒng)管理、安全管理、審計(jì)管理等網(wǎng)絡(luò)崗位，并配備一

定數(shù)量的系統(tǒng)管理員、安全管理員和審計(jì)管理員等，堅(jiān)持特權(quán)崗位不可兼任原則。

Page8

7第一級(jí)安全要求

略

Page9

8第二級(jí)安全要求

8.1技術(shù)要求

8.1.1安全物理環(huán)境

1）控制系統(tǒng)室外控制設(shè)備物理防護(hù)

本項(xiàng)要求包括：

a)室外控制設(shè)備應(yīng)放置于采用鐵板或其他防火材料制作的箱體或裝置中并緊固；箱體或裝置具有透

風(fēng)、散熱、防盜、防雨和防火能力等；

b)室外控制設(shè)備放置應(yīng)遠(yuǎn)離強(qiáng)電磁干擾、強(qiáng)熱源等環(huán)境,如無法避免應(yīng)及時(shí)做好應(yīng)急處置及檢修,保

證設(shè)備正常運(yùn)行；

c)對(duì)于相關(guān)應(yīng)用場景下的控制設(shè)備，出了滿足以上要求外還應(yīng)依照特定項(xiàng)目要求開展防護(hù)設(shè)計(jì)。

2）控制系統(tǒng)機(jī)房物理訪問控制

本項(xiàng)要求包括：

a)機(jī)房各出入口應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員；

b)進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍。

8.1.2安全通信網(wǎng)絡(luò)

1）網(wǎng)絡(luò)架構(gòu)

本項(xiàng)要求包括：

a)工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域,區(qū)域間應(yīng)采用技術(shù)隔離手段；

b)工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域,安全域之間應(yīng)采用技術(shù)隔離手段。

c)涉及實(shí)時(shí)控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng),應(yīng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng),在物理層面上實(shí)現(xiàn)與其他

數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。

2）通信傳輸

本項(xiàng)要求包括：

a)在工業(yè)控制系統(tǒng)內(nèi)使用廣域網(wǎng)進(jìn)行控制指令或相關(guān)數(shù)據(jù)交換的應(yīng)采用加密認(rèn)證技術(shù)手段實(shí)現(xiàn)身份

認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸。

8.1.3安全區(qū)域邊界

1）訪問控制

本項(xiàng)要求包括：

a)應(yīng)在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設(shè)備,配置訪問控制策略,禁止任何穿越區(qū)

域邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)；

b)同一安全區(qū)的各系統(tǒng)之間應(yīng)采取邏輯訪問控制措施，如防火墻，支持系統(tǒng)間邏輯隔離、報(bào)文過濾、

Page10

訪問控制等；

c)訪問控制設(shè)備應(yīng)支持?jǐn)?shù)據(jù)流訪問控制檢查規(guī)則，基于通信數(shù)據(jù)流的會(huì)話狀態(tài)信息、應(yīng)用協(xié)議和應(yīng)

用內(nèi)容（包括常用工控協(xié)議Modbus、OPC協(xié)議等）進(jìn)行訪問控制；

d)應(yīng)在工業(yè)控制系統(tǒng)內(nèi)安全域和安全域之間的邊界防護(hù)機(jī)制失效時(shí),及時(shí)進(jìn)行報(bào)警。

2）撥號(hào)使用控制

本項(xiàng)要求包括：

a)工業(yè)控制系統(tǒng)內(nèi)部應(yīng)禁止使用撥號(hào)訪問服務(wù)。

3）無線使用控制

本項(xiàng)要求包括：

a)工業(yè)控制系統(tǒng)內(nèi)部應(yīng)禁止限制無線網(wǎng)絡(luò)的使用，避免非授權(quán)用戶私自通過無線網(wǎng)絡(luò)接入工業(yè)控制

系統(tǒng)內(nèi)部網(wǎng)絡(luò)。

b)應(yīng)對(duì)所有參與無線通信的用戶(人員、軟件進(jìn)程或者設(shè)備)提供唯一性標(biāo)識(shí)和鑒別；

c)應(yīng)對(duì)所有參與無線通信的用戶(人員、軟件進(jìn)程或者設(shè)備)進(jìn)行授權(quán)以及執(zhí)行使用進(jìn)行限制。

d)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。

8.1.4安全計(jì)算環(huán)境

1）控制設(shè)備安全

本項(xiàng)要求包括：

a)控制設(shè)備自身應(yīng)實(shí)現(xiàn)相應(yīng)級(jí)別安全通用要求提出的身份鑒別、訪問控制和安全審計(jì)等安全要求,如

受條件限制控制設(shè)備無法實(shí)現(xiàn)上述要求,應(yīng)由其上位控制或管理設(shè)備實(shí)現(xiàn)同等功能或通過管理手

段控制；

b)應(yīng)在經(jīng)過充分測試評(píng)估后,在不影響系統(tǒng)安全穩(wěn)定運(yùn)行的情況下對(duì)控制設(shè)備進(jìn)行補(bǔ)丁更新、固件更

新等工作；

c)上線前應(yīng)針對(duì)控制系統(tǒng)設(shè)備開展漏洞掃描工作，漏洞的修復(fù)應(yīng)事先驗(yàn)證修復(fù)操作是否對(duì)系統(tǒng)的功

能、性能或可靠性產(chǎn)生不可接受的影響，如存在不可接受影響，則應(yīng)采取其他補(bǔ)償措施；

d)在投運(yùn)周期內(nèi)應(yīng)充分利用系統(tǒng)維修等離線場景，定期針對(duì)控制設(shè)備開展漏洞掃描工作，漏洞的修

復(fù)應(yīng)事先驗(yàn)證修復(fù)操作是否對(duì)系統(tǒng)的功能、性能或可靠性產(chǎn)生不可接受的影響，如存在不可接受

影響或因其他技術(shù)限制無法驗(yàn)證修復(fù)措施對(duì)系統(tǒng)的影響，則應(yīng)采取其他補(bǔ)償措施；

e)漏洞的掃描和修復(fù)應(yīng)形成文檔記錄并貫穿控制系統(tǒng)生命周期；

f)控制系統(tǒng)內(nèi)各主機(jī)應(yīng)部署基于文件加載控制功能的白名單軟件并于投入運(yùn)行前開啟白名單防護(hù)策

略；

g)控制系統(tǒng)內(nèi)各主機(jī)在建立白名單之前應(yīng)對(duì)相關(guān)主機(jī)進(jìn)行惡意代碼檢測，檢測方法應(yīng)包含靜態(tài)掃描，

同時(shí)可包含動(dòng)態(tài)分析；

h)惡意代碼檢測和白名單列表應(yīng)形成文檔記錄并貫穿控制系統(tǒng)生命周期。

Page11

8.1.5安全管理中心

1）系統(tǒng)管理

a)應(yīng)在工業(yè)控制系統(tǒng)中部署安全管理系統(tǒng)，應(yīng)具備系統(tǒng)管理員對(duì)網(wǎng)絡(luò)安全設(shè)備進(jìn)行統(tǒng)一的策略、事

件管理，定期對(duì)網(wǎng)絡(luò)安全設(shè)備的配置文件進(jìn)行備份，發(fā)生變動(dòng)時(shí)應(yīng)及時(shí)備份。

b)應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這

些操作進(jìn)行審計(jì)。

c)應(yīng)通過系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份、系統(tǒng)資源配置系

統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等

d)應(yīng)提供數(shù)據(jù)備份與恢復(fù)功能。

e)安全管理平臺(tái)通過專用網(wǎng)絡(luò)進(jìn)行安全事件的收集、網(wǎng)絡(luò)安全設(shè)備進(jìn)行管理，應(yīng)避免網(wǎng)絡(luò)安全數(shù)據(jù)

與工業(yè)控制系統(tǒng)業(yè)務(wù)共用網(wǎng)絡(luò)資源

2）審計(jì)管理

a)應(yīng)對(duì)審計(jì)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全審計(jì)操作，并對(duì)操作

進(jìn)行審計(jì)。

b)應(yīng)通過審計(jì)管理員對(duì)審計(jì)記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包括根據(jù)安全審計(jì)策略對(duì)審計(jì)

記錄進(jìn)行存儲(chǔ)、管理和查詢等。

c）應(yīng)能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析，及時(shí)發(fā)現(xiàn)違規(guī)操作行為以及

病毒、黑客的攻擊行為。審計(jì)內(nèi)容包括但不限于對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫訪問日

志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行集中收集、自動(dòng)分析。

8.2管理要求

8.1.6安全建設(shè)管理

1）產(chǎn)品采購和使用

本項(xiàng)要求包括：

a)工業(yè)控制系統(tǒng)重要設(shè)備應(yīng)通過專業(yè)機(jī)構(gòu)的安全性檢測后方可采購使用。

2）外包軟件開發(fā)

本項(xiàng)要求包括：

a)應(yīng)在外包開發(fā)合同中規(guī)定針對(duì)開發(fā)單位、供應(yīng)商的約束條款,包括設(shè)備及系統(tǒng)在生命周期內(nèi)有關(guān)保

密、禁止關(guān)鍵技術(shù)擴(kuò)散和設(shè)備行業(yè)專用等方面的內(nèi)容

Page12

9第三級(jí)安全要求

9.1技術(shù)要求

9.1.1安全物理環(huán)境

1）控制系統(tǒng)室外控制設(shè)備物理防護(hù)

本項(xiàng)要求包括：

a)室外控制設(shè)備應(yīng)放置于采用鐵板或其他防火材料制作的箱體或裝置中并緊固；箱體或裝置具有透

風(fēng)、散熱、防盜、防雨和防火能力等；

b)室外控制設(shè)備放置應(yīng)遠(yuǎn)離強(qiáng)電磁干擾、強(qiáng)熱源等環(huán)境，應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。如無

法避免應(yīng)及時(shí)做好應(yīng)急處置及檢修,保證設(shè)備正常運(yùn)行。

2）控制系統(tǒng)機(jī)房物理訪問控制

本項(xiàng)要求包括：

a)機(jī)房各出入口應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員；

b)進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；

c)應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間應(yīng)用物理方式隔斷，在重要區(qū)域前設(shè)置交付或安裝

等過渡區(qū)域。

3）控制系統(tǒng)機(jī)房電力供應(yīng)

本項(xiàng)要求包括：

a)應(yīng)建立備用供電系統(tǒng)，至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求。

9.1.2安全通信網(wǎng)絡(luò)

1）網(wǎng)絡(luò)架構(gòu)

本項(xiàng)要求包括：

a)工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域,區(qū)域間應(yīng)采用單向的技術(shù)隔離手段；

b)工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域,安全域之間應(yīng)采用技術(shù)隔離手段；

c)涉及實(shí)時(shí)控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng),應(yīng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng),在物理層面上實(shí)現(xiàn)與其他

數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。

2）通信傳輸

本項(xiàng)要求包括：

a)在工業(yè)控制系統(tǒng)內(nèi)使用廣域網(wǎng)進(jìn)行控制指令或相關(guān)數(shù)據(jù)交換的應(yīng)采用加密認(rèn)證技術(shù)手段實(shí)現(xiàn)身份

認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸；

b)應(yīng)具備發(fā)現(xiàn)網(wǎng)絡(luò)中異常設(shè)備接入的功能，并記錄日志；

c)應(yīng)具備對(duì)工控網(wǎng)絡(luò)的狀態(tài)、流量實(shí)時(shí)監(jiān)控的能力，應(yīng)具備指令級(jí)的實(shí)時(shí)監(jiān)控；

Page13

d)可具備網(wǎng)絡(luò)異常訪問的發(fā)現(xiàn)及捕獲能力；

e)應(yīng)保證網(wǎng)絡(luò)傳輸過程中的數(shù)據(jù)的安全性、完整性以及保密性。

9.1.3安全區(qū)域邊界

1）訪問控制

本項(xiàng)要求包括：

a)應(yīng)在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設(shè)備,配置訪問控制策略,禁止任何穿越區(qū)域

邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)；

b)同一安全區(qū)的各系統(tǒng)之間應(yīng)采取邏輯訪問控制措施，如防火墻，支持系統(tǒng)間邏輯隔離、報(bào)文過濾、

訪問控制等，應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為指令

級(jí)；，

c)訪問控制設(shè)備應(yīng)支持?jǐn)?shù)據(jù)流訪問控制檢查規(guī)則，基于通信數(shù)據(jù)流的會(huì)話狀態(tài)信息、應(yīng)用協(xié)議和應(yīng)

用內(nèi)容（包括常用工控協(xié)議Modbus、OPC協(xié)議等）進(jìn)行訪問控制；

d)應(yīng)在工業(yè)控制系統(tǒng)內(nèi)安全域和安全域之間的邊界防護(hù)機(jī)制失效時(shí),及時(shí)進(jìn)行報(bào)警；

e)生產(chǎn)控制系統(tǒng)與調(diào)度管理系統(tǒng)進(jìn)行控制指令或相關(guān)數(shù)據(jù)交換應(yīng)采用加密認(rèn)證技術(shù)手段實(shí)現(xiàn)身份認(rèn)

證、訪問控制和數(shù)據(jù)加密傳輸。

2）撥號(hào)使用控制

本項(xiàng)要求包括：

a)工業(yè)控制系統(tǒng)內(nèi)部應(yīng)禁止使用撥號(hào)訪問服務(wù)。

3）無線使用控制

本項(xiàng)要求包括：

a)工業(yè)控制系統(tǒng)內(nèi)部禁止限制無線網(wǎng)絡(luò)的使用，避免非授權(quán)用戶私自通過無線網(wǎng)絡(luò)接入工業(yè)控制系

統(tǒng)內(nèi)部網(wǎng)絡(luò)；

b)應(yīng)對(duì)所有參與無線通信的用戶(人員、軟件進(jìn)程或者設(shè)備)提供唯一性標(biāo)識(shí)和鑒別；

c)應(yīng)對(duì)所有參與無線通信的用戶(人員、軟件進(jìn)程或者設(shè)備)進(jìn)行授權(quán)以及執(zhí)行使用進(jìn)行限制；

d)應(yīng)對(duì)無線通信采取傳輸加密的安全措施,實(shí)現(xiàn)傳輸報(bào)文的機(jī)密性保護(hù)；

e)對(duì)采用無線通信技術(shù)進(jìn)行控制的工業(yè)控制系統(tǒng),應(yīng)能識(shí)別其物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無線設(shè)

備,報(bào)告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)的行為；

f)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。

9.1.4安全計(jì)算環(huán)境

1）控制設(shè)備安全

本項(xiàng)要求包括：

a)控制設(shè)備自身應(yīng)實(shí)現(xiàn)相應(yīng)級(jí)別安全通用要求提出的身份鑒別、訪問控制和安全審計(jì)等安全要求,如

Page14

受條件限制控制設(shè)備無法實(shí)現(xiàn)上述要求,應(yīng)由其上位控制或管理設(shè)備實(shí)現(xiàn)同等功能或通過管理手

段控制；

b)應(yīng)在經(jīng)過充分測試評(píng)估后,在不影響系統(tǒng)安全穩(wěn)定運(yùn)行的情況下對(duì)控制設(shè)備進(jìn)行補(bǔ)丁更新、固件更

新等工作；

c)應(yīng)關(guān)閉或拆除控制設(shè)備的軟盤驅(qū)動(dòng)、光盤驅(qū)動(dòng)、USB接口、串行口或多余網(wǎng)口等,確需保留的應(yīng)通

過相關(guān)的技術(shù)措施實(shí)施嚴(yán)格的監(jiān)控管理；

d)應(yīng)使用專用設(shè)備和專用軟件對(duì)控制設(shè)備進(jìn)行更新；

e)應(yīng)保證控制設(shè)備在上線前經(jīng)過安全性檢測,避免控制設(shè)備固件中存在惡意代碼程序；

f)上線前應(yīng)對(duì)控制系統(tǒng)設(shè)備開展脆弱性檢測工作，應(yīng)采用如下的脆弱性檢測方法開展漏洞檢測：

i)適當(dāng)網(wǎng)絡(luò)漏洞掃描工具開展漏洞掃描工作；

ii)對(duì)提供源代碼的設(shè)備應(yīng)開展源代碼安全檢測；

漏洞的修復(fù)應(yīng)事先驗(yàn)證修復(fù)操作是否對(duì)系統(tǒng)的功能、性能或可靠性產(chǎn)生不可接受的影響，如存在

不可接受影響，則應(yīng)放棄修復(fù)并采取其他補(bǔ)償措施；

g)控制設(shè)備在投運(yùn)周期內(nèi)應(yīng)充分利用系統(tǒng)維修等離線場景，應(yīng)采用如下的漏洞檢測方法及時(shí)和定期

開展漏洞檢測：

i)采用網(wǎng)絡(luò)漏洞掃描工具開展漏洞掃描工作；

ii)對(duì)于可提供源代碼的設(shè)備應(yīng)開展源代碼安全檢測；

漏洞的修復(fù)應(yīng)事先驗(yàn)證修復(fù)操作是否對(duì)系統(tǒng)的功能、性能或可靠性產(chǎn)生不可接受的影響，如存在

不可接受影響，則應(yīng)放棄修復(fù)并采取其他補(bǔ)償措施；

h)漏洞的掃描和修復(fù)應(yīng)形成文檔記錄并貫穿控制系統(tǒng)生命周期全周期存檔；

i)可對(duì)控制設(shè)備開展協(xié)議模糊測試，以驗(yàn)證協(xié)議棧健壯性并進(jìn)一步挖掘系統(tǒng)漏洞；

i)漏洞的掃描和修復(fù)應(yīng)形成文檔記錄并貫穿控制系統(tǒng)生命周期全周期存檔；

j)控制系統(tǒng)內(nèi)各主機(jī)應(yīng)部署基于文件加載控制功能的白名單軟件并于投入運(yùn)行前開啟白名單防護(hù)策

略；

k)控制系統(tǒng)內(nèi)各主機(jī)在建立白名單之前應(yīng)對(duì)相關(guān)主機(jī)進(jìn)行惡意代碼檢測，檢測方法應(yīng)包含靜態(tài)掃描，

同時(shí)可包含動(dòng)態(tài)分析；

l)惡意代碼檢測和白名單列表應(yīng)形成文檔記錄并貫穿控制系統(tǒng)生命周期。

9.1.5安全管理中心

1）系統(tǒng)管理

a)應(yīng)在工業(yè)控制系統(tǒng)中部署安全管理系統(tǒng)，應(yīng)能通過系統(tǒng)管理員對(duì)網(wǎng)絡(luò)安全設(shè)備進(jìn)行統(tǒng)一的策略、

事件管理，定期對(duì)網(wǎng)絡(luò)安全設(shè)備的配置文件進(jìn)行備份，發(fā)生變動(dòng)時(shí)應(yīng)及時(shí)備份；

b)應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這

些操作進(jìn)行審計(jì)；

Page15

c)應(yīng)能通過系統(tǒng)管理員對(duì)系統(tǒng)資源和運(yùn)行參數(shù)進(jìn)行配置、控制和管理，包括用戶身份、系統(tǒng)資源配

置、系統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等；

d)安全管理系統(tǒng)應(yīng)提供數(shù)據(jù)備份與恢復(fù)功能；

e)安全管理系統(tǒng)應(yīng)通過專用網(wǎng)絡(luò)進(jìn)行安全事件的收集、網(wǎng)絡(luò)安全設(shè)備進(jìn)行管理，應(yīng)避免網(wǎng)絡(luò)安全數(shù)

據(jù)與工業(yè)控制系統(tǒng)業(yè)務(wù)共用網(wǎng)絡(luò)資源。

2）審計(jì)管理

a)應(yīng)對(duì)審計(jì)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全審計(jì)操作，并對(duì)操作

進(jìn)行審計(jì)；

b)應(yīng)通過審計(jì)管理員對(duì)審計(jì)記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包括根據(jù)安全審計(jì)策略對(duì)審計(jì)

記錄進(jìn)行存儲(chǔ)、管理和查詢等；

c)應(yīng)能夠?qū)た叵到y(tǒng)內(nèi)部網(wǎng)絡(luò)流量進(jìn)行協(xié)議深度解析，識(shí)別工業(yè)控制系統(tǒng)內(nèi)工控設(shè)備的通信關(guān)系，

能夠發(fā)現(xiàn)隱藏在正常流量中的異常數(shù)據(jù)包，應(yīng)能針對(duì)工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操

作、違規(guī)外聯(lián)、非法設(shè)備接入等內(nèi)網(wǎng)異常行為進(jìn)行實(shí)時(shí)檢測，并生成審計(jì)記錄；

d）應(yīng)能夠?qū)崟r(shí)監(jiān)測工業(yè)控制系統(tǒng)的主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備運(yùn)行狀態(tài)，進(jìn)行集中化的性能狀態(tài)監(jiān)

控、安全事件的集中展示；

e）應(yīng)能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析，及時(shí)發(fā)現(xiàn)違規(guī)操作行為以及

病毒、黑客的攻擊行為。審計(jì)內(nèi)容包括但不限于對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫訪問日

志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行集中收集、自動(dòng)分析。

9.2管理要求

9.2.1安全建設(shè)管理

1）產(chǎn)品采購和使用

本項(xiàng)要求包括：

a)工業(yè)控制系統(tǒng)的重要設(shè)備、軟件等應(yīng)通過專業(yè)機(jī)構(gòu)的安全性檢測后方可采購使用；

b)采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的，應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風(fēng)險(xiǎn)。影響或者

可能影響國家安全的，應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。

2）外包軟件開發(fā)

本項(xiàng)要求包括：

a)應(yīng)在外包開發(fā)合同中規(guī)定針對(duì)開發(fā)單位、供應(yīng)商的約束條款,包括設(shè)備及系統(tǒng)在生命周期內(nèi)有關(guān)

保密、禁止關(guān)鍵技術(shù)擴(kuò)散和設(shè)備行業(yè)專用等方面的內(nèi)容；

b)工控系統(tǒng)中使用的自行開發(fā)或外包開發(fā)的軟件產(chǎn)品投運(yùn)前應(yīng)進(jìn)行安全評(píng)估。

Page16

10第四級(jí)安全要求

10.1技術(shù)要求

10.1.1安全物理環(huán)境

1）控制系統(tǒng)室外控制設(shè)備物理防護(hù)

本項(xiàng)要求包括：

a)室外控制設(shè)備應(yīng)放置于采用鐵板或其他防火材料制作的箱體或裝置中并緊固;箱體或裝置具有透

風(fēng)、散熱、防盜、防雨和防火能力等；

b)室外控制設(shè)備放置應(yīng)遠(yuǎn)離強(qiáng)電磁干擾、強(qiáng)熱源等環(huán)境,應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。如

無法避免應(yīng)及時(shí)做好應(yīng)急處置及檢修,保證設(shè)備正常運(yùn)行。

2）控制系統(tǒng)機(jī)房物理訪問控制

本項(xiàng)要求包括：

a)機(jī)房各出入口應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員

b)進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍；

c)應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間應(yīng)用物理方式隔斷，在重要區(qū)域前設(shè)置交付或安裝等

過渡區(qū)域；

d)重要區(qū)域應(yīng)配置第二道電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。

3）控制系統(tǒng)機(jī)房電力供應(yīng)

本項(xiàng)要求包括：

a)應(yīng)建立備用供電系統(tǒng)，至少滿足主要設(shè)備在斷電情況下的正常運(yùn)行要求；

b)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電，輸入電源應(yīng)采用雙路自動(dòng)切換供電方式；（增

強(qiáng)）。

10.1.2安全通信網(wǎng)絡(luò)

1）網(wǎng)絡(luò)架構(gòu)

本項(xiàng)要求包括：

a)工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域,區(qū)域間應(yīng)采用符合國家或行業(yè)規(guī)定的專用

產(chǎn)品實(shí)現(xiàn)單向安全隔離;

b)工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域,安全域之間應(yīng)采用技術(shù)隔離手段;

c)涉及實(shí)時(shí)控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng),應(yīng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng),在物理層面上實(shí)現(xiàn)與其他

數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。

2）通信傳輸

本項(xiàng)要求包括：

Page17

a)在工業(yè)控制系統(tǒng)內(nèi)使用廣域網(wǎng)進(jìn)行控制指令或相關(guān)數(shù)據(jù)交換的應(yīng)采用加密認(rèn)證技術(shù)手段實(shí)現(xiàn)身份

認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸；

b)應(yīng)具備發(fā)現(xiàn)網(wǎng)絡(luò)中異常設(shè)備接入的功能，并記錄日志；

c)應(yīng)具備對(duì)工控網(wǎng)絡(luò)的狀態(tài)、流量實(shí)時(shí)監(jiān)控的能力，應(yīng)具備指令級(jí)的實(shí)時(shí)監(jiān)控；

d)可具備網(wǎng)絡(luò)異常訪問的發(fā)現(xiàn)及捕獲能力；

e)應(yīng)保證網(wǎng)絡(luò)傳輸過程中的數(shù)據(jù)的安全性、完整性以及保密性。

10.1.3安全區(qū)域邊界

1）訪問控制

本項(xiàng)要求包括：

a)應(yīng)在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設(shè)備,配置訪問控制策略,禁止任何穿越區(qū)域

邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)；

b)同一安全區(qū)的各系統(tǒng)之間應(yīng)采取邏輯訪問控制措施，如防火墻，支持系統(tǒng)間邏輯隔離、報(bào)文過濾、

訪問控制等，應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為指令

級(jí)；

c)訪問控制設(shè)備應(yīng)支持?jǐn)?shù)據(jù)流訪問控制檢查規(guī)則，基于通信數(shù)據(jù)流的會(huì)話狀態(tài)信息、應(yīng)用協(xié)議和應(yīng)

用內(nèi)容（包括常用工控協(xié)議Modbus、OPC協(xié)議等）進(jìn)行訪問控制；

d)應(yīng)在工業(yè)控制系統(tǒng)內(nèi)安全域和安全域之間的邊界防護(hù)機(jī)制失效時(shí),及時(shí)進(jìn)行報(bào)警；

e)生產(chǎn)控制系統(tǒng)與調(diào)度管理系統(tǒng)進(jìn)行控制指令或相關(guān)數(shù)據(jù)交換應(yīng)采用加密認(rèn)證技術(shù)手段實(shí)現(xiàn)身份認(rèn)

證、訪問控制和數(shù)據(jù)加密傳輸。

2）撥號(hào)使用控制

本項(xiàng)要求包括：

a)工業(yè)控制系統(tǒng)確需使用撥號(hào)訪問服務(wù)的,應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量,并采取用戶身份鑒

別和訪問控制等措施；

b)撥號(hào)服務(wù)器和客戶端均應(yīng)使用經(jīng)安全加固的操作系統(tǒng),并采取數(shù)字證書認(rèn)證、傳輸加密和訪問控制

等措施。

3）無線使用控制

本項(xiàng)要求包括：

a)工業(yè)控制系統(tǒng)內(nèi)部禁止限制無線網(wǎng)絡(luò)的使用，避免非授權(quán)用戶私自通過無線網(wǎng)絡(luò)接入工業(yè)控制系

統(tǒng)內(nèi)部網(wǎng)絡(luò)；

b)應(yīng)對(duì)所有參與無線通信的用戶(人員、軟件進(jìn)程或者設(shè)備)提供唯一性標(biāo)識(shí)和鑒別；

c)應(yīng)對(duì)所有參與無線通信的用戶(人員、軟件進(jìn)程或者設(shè)備)進(jìn)行授權(quán)以及執(zhí)行使用進(jìn)行限制；

d)應(yīng)對(duì)無線通信采取傳輸加密的安全措施,實(shí)現(xiàn)傳輸報(bào)文的機(jī)密性保護(hù)；

e)對(duì)采用無線通信技術(shù)進(jìn)行控制的工業(yè)控制系統(tǒng),應(yīng)能識(shí)別其物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無線設(shè)

Page18

備,報(bào)告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)的行為；

f)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。

10.1.4安全計(jì)算環(huán)境

1）控制設(shè)備安全

本項(xiàng)要求包括：

a)控制設(shè)備自身應(yīng)實(shí)現(xiàn)相應(yīng)級(jí)別安全通用要求提出的身份鑒別、訪問控制和安全審計(jì)等安全要求,如

受條件限制控制設(shè)備無法實(shí)現(xiàn)上述要求,應(yīng)由其上位控制或管理設(shè)備實(shí)現(xiàn)同等功能或通過管理手

段控制；

b)應(yīng)在經(jīng)過充分測試評(píng)估后,在不影響系統(tǒng)安全穩(wěn)定運(yùn)行的情況下對(duì)控制設(shè)備進(jìn)行補(bǔ)丁更新、固件更

新等工作；

c)應(yīng)關(guān)閉或拆除控制設(shè)備的軟盤驅(qū)動(dòng)、光盤驅(qū)動(dòng)、USB接口、串行口或多余網(wǎng)口等,確需保留的應(yīng)通

過相關(guān)的技術(shù)措施實(shí)施嚴(yán)格的監(jiān)控管理；

d)應(yīng)使用專用設(shè)備和專用軟件對(duì)控制設(shè)備進(jìn)行更新；

e)應(yīng)保證控制設(shè)備在上線前經(jīng)過安全性檢測,避免控制設(shè)備固件中存在惡意代碼程序；

j)上線前應(yīng)對(duì)控制系統(tǒng)設(shè)備開展脆弱性檢測工作，應(yīng)采用如下的脆弱性檢測方法開展漏洞檢測：

i)適當(dāng)網(wǎng)絡(luò)漏洞掃描工具開展漏洞掃描工作；

ii)對(duì)提供源代碼的設(shè)備應(yīng)開展源代碼安全檢測；

漏洞的修復(fù)應(yīng)事先驗(yàn)證修復(fù)操作是否對(duì)系統(tǒng)的功能、性能或可靠性產(chǎn)生不可接受的影響，如存在

不可接受影響，則應(yīng)放棄修復(fù)并采取其他補(bǔ)償措施；

k)控制設(shè)備在投運(yùn)周期內(nèi)應(yīng)充分利用系統(tǒng)維修等離線場景，應(yīng)采用如下的漏洞檢測方法及時(shí)和定期

開展漏洞檢測：

i)采用網(wǎng)絡(luò)漏洞掃描工具開展漏洞掃描工作；

ii)對(duì)于可提供源代碼的設(shè)備應(yīng)開展源代碼安全檢測；

漏洞的修復(fù)應(yīng)事先驗(yàn)證修復(fù)操作是否對(duì)系統(tǒng)的功能、性能或可靠性產(chǎn)生不可接受的影響，如存在

不可接受影響，則應(yīng)放棄修復(fù)并采取其他補(bǔ)償措施；

l)漏洞的掃描和修復(fù)應(yīng)形成文檔記錄并貫穿控制系統(tǒng)生命周期全周期存檔；

m)可對(duì)控制設(shè)備開展協(xié)議模糊測試，以驗(yàn)證協(xié)議棧健壯性并進(jìn)一步挖掘系統(tǒng)漏洞；

m)漏洞的掃描和修復(fù)應(yīng)形成文檔記錄并貫穿控制系統(tǒng)生命周期全周期存檔；

n)控制系統(tǒng)內(nèi)各主機(jī)應(yīng)部署基于文件加載控制功能的白名單軟件并于投入運(yùn)行前開啟白名單防護(hù)策

略；

o)控制系統(tǒng)內(nèi)各主機(jī)在建立白名單之前應(yīng)對(duì)相關(guān)主機(jī)進(jìn)行惡意代碼檢測，檢測方法應(yīng)包含靜態(tài)掃描，

同時(shí)可包含動(dòng)態(tài)分析；

p)惡意代碼檢測和白名單列表應(yīng)形成文檔記錄并貫穿控制系統(tǒng)生命周期。

Page19

10.1.5安全管理中心

1）系統(tǒng)管理

a)應(yīng)在工業(yè)控制系統(tǒng)中部署安全管理系統(tǒng)，應(yīng)具備系統(tǒng)管理員對(duì)網(wǎng)絡(luò)安全設(shè)備進(jìn)行統(tǒng)一的策略、事

件管理，定期對(duì)網(wǎng)絡(luò)安全設(shè)備的配置文件進(jìn)行備份，發(fā)生變動(dòng)時(shí)應(yīng)及時(shí)備份；

b)應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這

些操作進(jìn)行審計(jì)；

c)應(yīng)通過系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份、系統(tǒng)資源配置系

統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等；

d)應(yīng)提供數(shù)據(jù)備份與恢復(fù)功能；

e)安全管理平臺(tái)通過專用網(wǎng)絡(luò)進(jìn)行安全事件的收集、網(wǎng)絡(luò)安全設(shè)備進(jìn)行管理，應(yīng)避免網(wǎng)絡(luò)安全數(shù)據(jù)

與工業(yè)控制系統(tǒng)業(yè)務(wù)共用網(wǎng)絡(luò)資源。

2）審計(jì)管理

a)應(yīng)對(duì)審計(jì)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全審計(jì)操作，并對(duì)操作

進(jìn)行審計(jì)；

b)應(yīng)通過審計(jì)管理員對(duì)審計(jì)記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包括根據(jù)安全審計(jì)策略對(duì)審計(jì)

記錄進(jìn)行存儲(chǔ)、管理和查詢等；

c)應(yīng)能夠?qū)た叵到y(tǒng)內(nèi)部網(wǎng)絡(luò)流量進(jìn)行協(xié)議深度解析，識(shí)別工業(yè)控制系統(tǒng)內(nèi)工控設(shè)備的通信關(guān)系，

能夠發(fā)現(xiàn)隱藏在正常流量中的異常數(shù)據(jù)包，應(yīng)能針對(duì)工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操

作、違規(guī)外聯(lián)、非法設(shè)備接入等內(nèi)網(wǎng)異常行為進(jìn)行實(shí)時(shí)檢測，并生成審計(jì)記錄；

d）應(yīng)能夠?qū)崟r(shí)監(jiān)測工業(yè)控制系統(tǒng)的主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備運(yùn)行狀態(tài)，進(jìn)行集中化的性能狀態(tài)監(jiān)

控、安全事件的集中展示；

e）應(yīng)能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析，及時(shí)發(fā)現(xiàn)違規(guī)操作行為以及

病毒、黑客的攻擊行為。審計(jì)內(nèi)容包括但不限于對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫訪問日

志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行集中收集、自動(dòng)分析。

10.2管理要求

10.2.1安全建設(shè)管理

1）產(chǎn)品采購和使用

本項(xiàng)要求包括：

a)工業(yè)控制系統(tǒng)的重要設(shè)備、軟件等應(yīng)通過專業(yè)機(jī)構(gòu)的安全性檢測后方可采購使用；

b)采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的，應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風(fēng)險(xiǎn)。影響或者

可能影響國家安全的，應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。

2）外包軟件開發(fā)

本項(xiàng)要求