DB13河北省市場監(jiān)督管理局發(fā)布I 1 1 1 3 4 7 本標(biāo)準(zhǔn)按照GB/T1.1-2009給本標(biāo)準(zhǔn)主要起草單位：河北省信息安全測評中心、河北省委黨校（河北行政學(xué)院）、河本標(biāo)準(zhǔn)主要起草人：陶衛(wèi)江、張鳳臣、閆利平、牛占冀、黃亮、張友平、劉艷、梁志、孟隨著工業(yè)化和信息化的高度融合，工業(yè)控制系統(tǒng)的信息安全問控制系統(tǒng)的安全防護(hù)能力，從技術(shù)上加強工業(yè)控制系統(tǒng)的防護(hù)能力，特制定本標(biāo)準(zhǔn)。1信息安全技術(shù)工業(yè)控制系統(tǒng)安全保護(hù)技術(shù)規(guī)范本標(biāo)準(zhǔn)規(guī)定了工業(yè)控制系統(tǒng)安全保護(hù)技術(shù)的術(shù)語和定義、系統(tǒng)能本標(biāo)準(zhǔn)既適用于工業(yè)控制系統(tǒng)的安全測評，又適用于指導(dǎo)工業(yè)控制系統(tǒng)的安全建設(shè)和管工業(yè)控制系統(tǒng)安全主管部門的監(jiān)督檢查，適用于系統(tǒng)設(shè)計單位、設(shè)備生產(chǎn)商、系統(tǒng)集成商、用產(chǎn)所有人以及評估認(rèn)證機構(gòu)等對工業(yè)控制系統(tǒng)信息安全進(jìn)行評估時下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注GB/T30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分：風(fēng)險評估活動中用于結(jié)束項目實施的一種方法，主要由被評估方組織機構(gòu)，對評估活動對工業(yè)生產(chǎn)過程安全（safety）、信息安全（security）和可靠監(jiān)視控制與數(shù)據(jù)采集（SCADA）系統(tǒng)，運動控制（MC）系統(tǒng)、網(wǎng)絡(luò)電子傳感和控制，監(jiān)視面、過程歷史記錄、制造執(zhí)行系統(tǒng)（MES）和企業(yè)資源計劃（ERP）2現(xiàn)場控制設(shè)備fieldcontroleqc)能夠免于非授權(quán)訪問和非授權(quán)或意外的變更、破壞或損失的系統(tǒng)資源的狀態(tài)；d)基于計算機系統(tǒng)的能力，能夠提供充分的把握使非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)e)防止對工業(yè)自動化和控制系統(tǒng)的非法或有害的3（ManufacturingExec4物理和環(huán)境安全4.1.1物理安全周邊防護(hù)a)應(yīng)設(shè)置物理安全管理制度，規(guī)定對組織機構(gòu)場所和重要系統(tǒng)的物理訪問控制；b)重要區(qū)域應(yīng)有門禁、視頻監(jiān)控、消防、人體探測器等相應(yīng)的控制措施。4.1.2物理入口控制a)重要區(qū)域應(yīng)設(shè)置有門禁，或配置有專人值守，控制人員的進(jìn)出，記錄保存至少六個月；c)現(xiàn)場中控機房需具備門禁等防盜防破壞措施，禁止人員隨意接觸關(guān)鍵設(shè)備。4.1.3辦公室區(qū)域的安全防護(hù)a)應(yīng)有針對辦公區(qū)域的管理措施，外部人員的訪問應(yīng)經(jīng)過審批，并有專人陪同；b)重要區(qū)域應(yīng)設(shè)置門禁、視頻監(jiān)控等控制措施。4.1.4外部和環(huán)境的安全防護(hù)中控機房等重要區(qū)域應(yīng)有防雷、防水、防火4.1.5公共訪問、交換區(qū)域安全4.1.6安全區(qū)域工作在操作手冊和崗位管理制度中應(yīng)有操作規(guī)程對人員、設(shè)備的安全做出規(guī)定，并在工作區(qū)域4.2設(shè)備安全4.2.1設(shè)備安置和保護(hù)44.2.2支持性設(shè)施a)應(yīng)保證系統(tǒng)正常運行的支持性設(shè)備工作正常。b)控制系統(tǒng)應(yīng)具備緊急電源設(shè)施，應(yīng)可提供與緊急電源設(shè)施之間的切換；c)應(yīng)確保緊急電源之間的切換不會影響到現(xiàn)有的安全狀態(tài)。4.2.3布纜安全4.2.4設(shè)備維護(hù)a)應(yīng)制定相關(guān)管理規(guī)定，明確責(zé)任部門和人員負(fù)責(zé)設(shè)施的定期維護(hù)管理；b)設(shè)備管理制度中應(yīng)包括對各類設(shè)備維護(hù)維修等方面要求；4.2.5組織機構(gòu)場所外的設(shè)備安全4.2.6設(shè)備的安全處置或再利用c)重要設(shè)備在報廢或再利用前應(yīng)徹底清除內(nèi)含有的敏感信息。4.2.7資產(chǎn)的移動a)設(shè)備管理制度應(yīng)對資產(chǎn)的轉(zhuǎn)移做出規(guī)定，包括轉(zhuǎn)移過程是否有專人負(fù)責(zé)，轉(zhuǎn)移流程、移動前a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；55.1.2外部連接的用戶鑒別b)系統(tǒng)內(nèi)部終端連接外部網(wǎng)絡(luò)情況應(yīng)與相關(guān)的管理制度且與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相符；b)接入網(wǎng)絡(luò)的設(shè)備應(yīng)設(shè)有標(biāo)識，且標(biāo)識唯一。5.1.4遠(yuǎn)程診斷和配置端口對設(shè)備遠(yuǎn)程維護(hù)端口應(yīng)設(shè)置訪問控制規(guī)則，只允許特定IP地址訪a)重要生產(chǎn)系統(tǒng)應(yīng)部署在網(wǎng)絡(luò)內(nèi)部，重要網(wǎng)段與其他網(wǎng)段間應(yīng)采用可靠的技術(shù)手段進(jìn)行隔離；b)應(yīng)根據(jù)部門職能、重要性劃分出不同的子網(wǎng)。5.1.6網(wǎng)絡(luò)連接控制5.1.7經(jīng)由非可信網(wǎng)絡(luò)的訪問應(yīng)具備監(jiān)視和控制所有經(jīng)由不可信網(wǎng)絡(luò)對控制系統(tǒng)訪問的5.1.8明確對訪問請求的批準(zhǔn)5.1.9無線使用控制a)應(yīng)具備對無線訪問的授權(quán)、監(jiān)視和限制的能力；5.1.10對未授權(quán)的無線設(shè)備進(jìn)行識別和報告a)應(yīng)具備掃描物理環(huán)境內(nèi)發(fā)射信號的無線設(shè)備的功能；b)應(yīng)具備對物理環(huán)境內(nèi)發(fā)射信號的未授權(quán)的無線設(shè)備進(jìn)行識別和報告的能力。5.2監(jiān)視6a)系統(tǒng)應(yīng)具備日志功能，并且日志功能處于開啟狀態(tài)；b)應(yīng)對網(wǎng)絡(luò)設(shè)備的運行狀況、用戶行為等進(jìn)行日志記錄；a)系統(tǒng)時間應(yīng)與標(biāo)準(zhǔn)時區(qū)時間一致；b)如有必要相關(guān)工業(yè)控制系統(tǒng)可以采用時間戳服務(wù)器進(jìn)行b)應(yīng)具備關(guān)鍵控制系統(tǒng)網(wǎng)絡(luò)與其他控制系統(tǒng)網(wǎng)絡(luò)的邏輯分區(qū)功能。b)關(guān)鍵控制系統(tǒng)網(wǎng)絡(luò)與其他控制系統(tǒng)網(wǎng)絡(luò)之間應(yīng)進(jìn)行應(yīng)采取措施將控制系統(tǒng)與非控制系統(tǒng)網(wǎng)絡(luò)之間進(jìn)行邏輯和物理75.3.6默認(rèn)拒絕，例外允許邊界防護(hù)設(shè)備應(yīng)按照默認(rèn)拒絕，例外允許的原則進(jìn)行功能配5.3.7孤島模型邊界安全設(shè)備應(yīng)具備當(dāng)檢測到安全事件時拒絕所有訪問的功5.3.8故障關(guān)閉邊界設(shè)備應(yīng)具備當(dāng)邊界防護(hù)機制出現(xiàn)操作故障時,可關(guān)閉所有訪問的5.4持續(xù)監(jiān)視5.5.1拒絕服務(wù)的防護(hù)應(yīng)具備防護(hù)拒絕服務(wù)攻擊的能力，或以降級模式運行，攻擊事件不應(yīng)對任何功能安全相關(guān)5.5.2管理通信負(fù)荷應(yīng)提供管理通信負(fù)荷的能力（例如使用限速）來削減拒絕服務(wù)攻擊5.5.3限制拒絕服務(wù)攻擊對其他系統(tǒng)和網(wǎng)絡(luò)的影響應(yīng)提供能力限制所有用戶（人、軟件進(jìn)程和設(shè)備）引發(fā)拒絕服務(wù)攻擊事件的能力，避免影a)應(yīng)對操作系統(tǒng)和數(shù)據(jù)庫用戶進(jìn)行身份鑒別；b)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；c)當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在a)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性；b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)c)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶；8d)應(yīng)及時刪除多余的、過期的賬戶，避免共享賬戶的存在。a)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份鑒別信息應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要a)網(wǎng)絡(luò)內(nèi)是否存在安裝在高風(fēng)險位置的敏感應(yīng)用程序；a)系統(tǒng)應(yīng)開啟日志記錄功能；b)應(yīng)對系統(tǒng)關(guān)鍵事件、用戶行為等進(jìn)行日志記錄；a)系統(tǒng)時間應(yīng)與標(biāo)準(zhǔn)時區(qū)時間一致；9b)如果與互聯(lián)網(wǎng)有連接，時間服務(wù)應(yīng)運行，時間服務(wù)器應(yīng)a)系統(tǒng)應(yīng)安裝有惡意代碼防護(hù)產(chǎn)品；c)惡意代碼防護(hù)產(chǎn)品的特征庫應(yīng)為最新版本。系統(tǒng)邊界設(shè)備的設(shè)置，應(yīng)具備禁止傳輸和接收一般目的的個人通信功能，如電子6.6.1對移動存儲介質(zhì)和移動設(shè)備的b)應(yīng)具備對移動存儲介質(zhì)和移動設(shè)備進(jìn)行監(jiān)視和記錄的功能；c)控制系統(tǒng)應(yīng)具備限制代碼和數(shù)據(jù)傳入傳出移動6.6.2對移動存儲介質(zhì)和移動設(shè)備的安全狀c)應(yīng)定義限制使用的移動代碼技術(shù)列表。操作系統(tǒng)硬盤被移作他用時，應(yīng)清除其儲存的數(shù)據(jù)資源，確保無法被其他用戶獲取?？刂葡到y(tǒng)應(yīng)提供對所有用戶（人）唯一標(biāo)識和認(rèn)證的能通過非可信網(wǎng)絡(luò)訪問（遠(yuǎn)程訪問）控制系統(tǒng)時，控制系統(tǒng)應(yīng)為其提供多因子認(rèn)證的能力，控制系統(tǒng)應(yīng)提供為所有用戶（人）訪問控制系統(tǒng)進(jìn)行多因子認(rèn)證的能控制系統(tǒng)應(yīng)對所有用戶（軟件進(jìn)程、設(shè)備）提供唯一標(biāo)識和認(rèn)證的能控制系統(tǒng)應(yīng)提供對所有賬戶的管理，包括創(chuàng)建、激b)在控制系統(tǒng)安裝完畢后，應(yīng)可變更默認(rèn)認(rèn)證碼；c)應(yīng)具備周期性更改認(rèn)證碼的功能；對于軟件進(jìn)程和設(shè)備用戶，控制系統(tǒng)應(yīng)提供使用硬件機制的保護(hù)相關(guān)認(rèn)證碼的能力。對參與無線通信的所有的用戶（人、軟件進(jìn)程或設(shè)備），控制系統(tǒng)應(yīng)提供標(biāo)識和認(rèn)對于使用口令認(rèn)證的控制系統(tǒng)，控制系統(tǒng)應(yīng)提供能力，實施可配置的基于最小長度和不同7.1.15限制用戶（人）的口令生成和控制系統(tǒng)應(yīng)為用戶（人）提供口令重用次數(shù)限制和最小/最大有效期限制控制系統(tǒng)應(yīng)為所有用戶提供實施口令最小和最大有效期限制的能使用公鑰認(rèn)證的控制系統(tǒng)，應(yīng)具備證書有效性驗證和標(biāo)識映控制系統(tǒng)應(yīng)提供能力，按照普遍接受的安全工業(yè)實踐和推薦，通過硬件機制保護(hù)相關(guān)的私鑰。在認(rèn)證過程中，控制系統(tǒng)應(yīng)提供將認(rèn)證信息反饋模糊化的能在所有接口上，控制系統(tǒng)應(yīng)具備權(quán)限分離和最小特權(quán)功在所有接口上，控制系統(tǒng)應(yīng)提供能力按照權(quán)限分離和最小特權(quán)分配給所有用戶（人、軟件控制系統(tǒng)應(yīng)為資產(chǎn)所有者提供修改許可到角色的映射能在行為可能對工業(yè)流程產(chǎn)生嚴(yán)重影響之處，控制系統(tǒng)應(yīng)支持雙授控制系統(tǒng)應(yīng)提供在可配置的不活躍時間周期后自動終止遠(yuǎn)程會話或由用戶手動終止遠(yuǎn)程會a)控制系統(tǒng)應(yīng)具備對整個控制系統(tǒng)內(nèi)多控制系統(tǒng)應(yīng)具備預(yù)防審計存儲容量超出限制的7.2.12達(dá)到審計記錄存儲容量上限控制系統(tǒng)應(yīng)提供以可配置的頻率同步內(nèi)部系統(tǒng)時鐘的能控制系統(tǒng)應(yīng)具備對所有用戶（人、軟件進(jìn)程、設(shè)備）的行為提供不可否認(rèn)性的能力?？刂葡到y(tǒng)應(yīng)提供自動化驗證機制，在工廠驗收測試、現(xiàn)場驗收測試或預(yù)定維護(hù)時測試系統(tǒng)控制系統(tǒng)應(yīng)提供能力檢測、記錄、保護(hù)軟件和信息不受未經(jīng)授權(quán)的變應(yīng)具備自動化方法驗證軟件和配置的完整性，并且在發(fā)現(xiàn)不符時能夠通知管理人員?？刂葡到y(tǒng)的錯誤信息應(yīng)不包括除診斷信息以外的敏感信在用戶退出或會話終止（包括瀏覽器會話）后，控制系控制系統(tǒng)應(yīng)提供隨機會話標(biāo)識的能力，防止被控制系統(tǒng)應(yīng)保護(hù)審計信息不被未授權(quán)的訪問、修改和刪控制系統(tǒng)應(yīng)提供在基于硬件的、一次性寫入介質(zhì)上生成審計記錄的能控制系統(tǒng)應(yīng)提供能力，對有讀授權(quán)的信息在靜態(tài)和傳輸過程中進(jìn)行保密性保護(hù)，對存儲在統(tǒng)中的敏感信息進(jìn)行加密保護(hù)，確保除具有訪問權(quán)限的合法用戶外，任何人不7.4.2靜態(tài)和經(jīng)由不可信網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)控制系統(tǒng)配置的密碼算法、密鑰管理、密碼協(xié)議和密碼產(chǎn)品，應(yīng)符合國家密碼標(biāo)準(zhǔn)規(guī)范的控制系統(tǒng)應(yīng)基于實現(xiàn)分區(qū)模型的關(guān)鍵程度提供對應(yīng)用、數(shù)據(jù)和服務(wù)進(jìn)行分離的能力。控制系統(tǒng)應(yīng)具備網(wǎng)絡(luò)和安全配置功能，提供與現(xiàn)有部署網(wǎng)絡(luò)和安全配置設(shè)置之間的接口?？刂葡到y(tǒng)應(yīng)提供當(dāng)前已安裝的元器件及其關(guān)聯(lián)屬性列表的能控制系統(tǒng)應(yīng)提供標(biāo)識和認(rèn)證所有用戶（人）的控制系統(tǒng)應(yīng)對所有用戶（人）提供唯一標(biāo)識和認(rèn)證的能通過非可信網(wǎng)絡(luò)訪問（遠(yuǎn)程訪問）控制系統(tǒng)時，控制系統(tǒng)應(yīng)為其提供多因子認(rèn)證的能力，但控制系統(tǒng)應(yīng)為所有用戶（人）訪問控制系統(tǒng)提供多因子認(rèn)證的能控制系統(tǒng)應(yīng)對所有用戶（軟件進(jìn)程、設(shè)備）提供唯一標(biāo)識和認(rèn)證的能控制系統(tǒng)應(yīng)提供在可配置的不活躍時間周期后自動終止遠(yuǎn)程會話或由用戶手動終止遠(yuǎn)程會在用戶退出或會話終止（包括瀏覽器會話）后，控制系控制系統(tǒng)應(yīng)提供隨機會話標(biāo)識的能力，防止被9系統(tǒng)防護(hù)級別與能力要求系統(tǒng)能力評估的目的是為了了解系統(tǒng)的當(dāng)前安全狀況，確定系統(tǒng)是否達(dá)到安全系統(tǒng)能夠在技術(shù)上免受攻擊。系統(tǒng)防護(hù)等級分為四個級別，第一級為基礎(chǔ)級，第四的安全級別需要系統(tǒng)具有不同的安全能力，具體的映√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√全制√√√√√√√√√√√√√√√√√√√√√√√√√√√√2.2.10對未授權(quán)的無線設(shè)備進(jìn)行識別和√√√√√√√√√√√√√√√√√√√√√流√√√√√√√√√√√√√√√√√√√√√√√√√√√√2.5.3限制拒絕服務(wù)攻擊對其他系統(tǒng)和網(wǎng)√3.主機安全√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√護(hù)√√√√√流√√√√√√√3.6.1對移動存儲介質(zhì)和移動設(shè)備的使用√√√√3.6.2對移動存儲介質(zhì)和移動設(shè)備的安全√√√√√√√√√√4.監(jiān)視控制與數(shù)據(jù)采集系統(tǒng)√√√√√√√√√√√√√√√√√√√√√√