ICSICS35.240.50L67DB43/T1346—2017DNC）系統(tǒng)安全技術(shù)要求SecurityTechnicalRequirementsofDistributedNumericalControlSystemforManufacturingIndustry2017-12-14發(fā)布2018-02-15實施湖南省質(zhì)量技術(shù)監(jiān)督局發(fā)布I Ⅱ 2規(guī)范性引用文件 3.2數(shù)控機床numericalcontrol 3.4虛擬專用網(wǎng)絡virtualprivatenetwork 3.7遠程訪問remoteac 4DNC系統(tǒng)安全概述 4.1DNC系統(tǒng)基本組成 4.2DNC系統(tǒng)安全目標 4.3DNC系統(tǒng)安全威脅 4.4DNC系統(tǒng)安全防護原則 5DNC系統(tǒng)安全技術(shù)要求 本標準按照GB/T1.1—2009給出制造行業(yè)分布式數(shù)控（DNC）系統(tǒng)安全技術(shù)要求網(wǎng)絡交換機安全技術(shù)要求（評估保證級3）GB/T33007—2016工業(yè)通信 指沒有任何作用卻會帶來危害的代碼，常見的惡意代碼有：病毒、蠕蟲、木馬、后門DNC系統(tǒng)的安全體系的目標可以根據(jù)需求而有所不同 無意或有意地泄漏口令等敏感信息，或不謹慎地配 a）機房場地應選擇在具有防震、防風和防雨等b）機房場地應避免設(shè)在建筑物的頂層或地下室，否則應加強防水和防b）需進入機房的來訪人員應經(jīng)過申請和審批流程，并限制和監(jiān)控其活a）應將機房設(shè)備或主要部件進行固定，并設(shè)置明顯的不b）應將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管a）應將各類機柜、設(shè)施和設(shè)備等通過接地b）應采取措施防止感應雷，例如設(shè)置防雷保安器或過壓保護b）機房及相關(guān)的工作房間和輔助房應采用具有耐火等級的建c）應對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域a）應采取措施防止雨水通過機房窗戶、屋b）應采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移c）應安裝對水敏感的檢測儀表或元件，對機b）應采用措施防止靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手機房應設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍b）應提供短期的備用電力供應，至少滿足設(shè)備在斷電情況下的正常運 采取設(shè)置防火墻、單向隔離等措施加以防護，并定期進行風險評估，不斷完善防范措b）原則上禁止通過互聯(lián)網(wǎng)對DNC系統(tǒng)進行遠程維護，確需遠程維護的，應采用虛擬專用網(wǎng)絡a）應保證主要網(wǎng)絡設(shè)備的業(yè)務處理能力具備冗余空間，滿足b）應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高e）應根據(jù)DNC系統(tǒng)各組成部分的職能、重要性和所涉及信息的重要程度等因素，劃分不同的子b）應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最c）應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪d）應對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)常用a）應采用具備工業(yè)協(xié)議深度包檢測功能的審計設(shè)備對網(wǎng)d）系統(tǒng)應設(shè)置足夠的審計記錄存儲容量，提供審計機制來減少e）當分配審計記錄存儲值達到最大審計記錄存儲容量的配置比例 f）在審計事件的處理失敗時，系統(tǒng)應警示人員和防止h）應限制授權(quán)人員以只讀方式訪問審計日志，避免日志信i）應在網(wǎng)絡邊界、重要網(wǎng)絡節(jié)點進行安全審計，b）應在關(guān)鍵網(wǎng)絡節(jié)點處檢測從外部發(fā)起的網(wǎng)絡攻擊d）應采取技術(shù)措施對網(wǎng)絡攻擊行為進行分析，實現(xiàn)對網(wǎng)絡攻擊特別是未知新型網(wǎng)絡攻擊的檢c）應建立防病毒和惡意軟件入侵管理機制，對系統(tǒng)及臨時接入的設(shè)備采取病毒查殺等安全預d）主要網(wǎng)絡設(shè)備應采用強度高于用戶名+靜態(tài)口令的認證機制實現(xiàn)用戶身份鑒別，宜采用a）應對所有參與無線通信的用戶（設(shè)備）提供唯一b）應能識別未經(jīng)授權(quán)的無線設(shè)備，報警并阻斷未經(jīng)授權(quán)試圖接入或干擾系統(tǒng)的c）應禁止采用WEP等不安全的加密方式，推薦采用WPA2-PSK加密。 c）應防止所有用戶賬戶重復使用同一批口令，并加強用戶口令的最大和最小e）應為系統(tǒng)的不同用戶分配不同的用戶名f）應采用強度高于用戶名+靜態(tài)口令的認證機制對管理用戶進行身份鑒別，宜采用兩種或a）應啟用訪問控制功能，依據(jù)安全策略控制用d）應重命名系統(tǒng)默認賬戶，修改默認口令，禁止在工程師站、操作員站、服g）應依據(jù)安全策略嚴格控制用戶對有敏感標b）應能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復的身業(yè)務相關(guān)的操作系統(tǒng)組件及應用軟件，關(guān)閉業(yè)務應用正常運行所不需a）應采用應用程序白名單軟件進行惡意代碼防范，只允許經(jīng)過企業(yè)自身授權(quán)和安全評估的軟b）防護軟件部署之前應經(jīng)過離線環(huán)境充分要求適當?shù)蔫b別；限制移動代碼傳入/傳出控制系統(tǒng)；a）應通過設(shè)定終端接入方式、網(wǎng)絡地址范圍等條件限制未經(jīng)f）應能夠?qū)ο到y(tǒng)的服務水平降低到預先規(guī)定的最小e）采用用戶名+靜態(tài)口令方式認證的，強制用戶在第一次登錄系統(tǒng)時修改分發(fā)的初始口g）對于代表關(guān)鍵服務或者服務器運行的系統(tǒng)賬戶 c）應由授權(quán)主體配置訪問控制策略，并嚴格限制d）應授予不同帳戶為完成各自承擔任務f）應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析c）應保證重要業(yè)務數(shù)據(jù)所在的存儲空間被釋放或再分配給其它a）應提供數(shù)據(jù)有效性檢驗功能，保證輸入的數(shù)據(jù)格式或長度符合c）應定義分級的系統(tǒng)異常事件，并且根據(jù)異常事件的嚴重程度采用a）當系統(tǒng)通信雙方中的一方在一段時間內(nèi)未作任何響應，另一方應能夠自b）應能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進一個用戶同時登錄到系統(tǒng)中，一個用戶只允許同時在一個客戶端d）應能夠?qū)ο到y(tǒng)服務水平降低到預先規(guī)定的b）應檢測、記錄、報告、防止對數(shù)據(jù)的未經(jīng)授c）應采用校驗碼技術(shù)或加解密技術(shù)或同等安全性的技術(shù)手段保證重要數(shù)據(jù)在存儲過程中的完d）應能檢測到系統(tǒng)重要數(shù)據(jù)在傳輸和存儲過程中完整性受到破壞，并及時采a）無論在信息存儲或傳輸時，應采用加密或其它有效措施對數(shù)據(jù)提供b）當信息穿過任何網(wǎng)絡邊界時，應采取加密或其他有效措施保護其保b）應在不影響正常設(shè)備使用的前提下，識別和定位關(guān)鍵文件，以及備份用戶級和系統(tǒng)級的信息e）應采用冗余技術(shù)設(shè)計網(wǎng)絡拓撲結(jié)構(gòu)，避通過驗證。若安全性不夠，應使用其他手段；密碼應設(shè)定有效期限，并定期戶口令的最大和最小有效期的使用，限制用戶口令的最大和最 d）應限制授權(quán)人員以只讀方式訪問審計日志e）應啟用安全審計功能，對重要的用戶行為和f）應能夠為集中審計管理提供接口，將自身生a）應支持授權(quán)用戶管理所有帳戶，包括添加、激活、修改、b）應在一個可配置非活動時間周期后自動地，或由發(fā)起會話的用戶手動終止遠程會話；c）應根據(jù)職責分離和最小權(quán)限原則對用戶實施控d）應限制用戶或角色對系統(tǒng)內(nèi)重要配置文件進行e）應授權(quán)用戶或角色對所有人員用戶的訪f）在日常維護時，應支持安全功能操作b）應遵循最小安裝的原則，僅安裝設(shè)備需要的組件和應e）停機維護期間，應能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測試b）對于采用網(wǎng)絡通訊的設(shè)備，應保護防止對數(shù)據(jù)的未經(jīng)授權(quán)b）對于采用網(wǎng)絡通訊的設(shè)備，應提供驗證備份機制可靠性的求及時進行整改，同時應當加強相關(guān)系統(tǒng)及設(shè)備的運行管理和安b）應優(yōu)先采用符合國家相關(guān)要求的自主、安全、可靠的工業(yè)設(shè)備及元d）工業(yè)設(shè)備應基于實現(xiàn)分區(qū)模型的關(guān)鍵程度提供對數(shù)據(jù)、應用和服e）工業(yè)設(shè)備應提供能力，在允許代碼執(zhí)行之前f）工業(yè)設(shè)備系統(tǒng)應提供將每個接口的并發(fā)連接數(shù)目限制為一個可h）工業(yè)設(shè)備應提供對所有用戶是否執(zhí)行了某個行為進行判b）工控安全防護設(shè)備應采取技術(shù)措施保證自身安全，避免惡意攻擊導致防護失效；c）工控安全防護設(shè)備應提供能力拒絕來d）工控安全防護設(shè)備應提供標識和認證所有e）工控安全防護設(shè)備應保護數(shù)據(jù)存儲和傳輸時不被f）工控安全防護設(shè)備應采用基于用戶角色的權(quán)限管理機制，按照職責分離和最小特權(quán)來控制對g）工控安全防護設(shè)備應提供必要的能力，明確禁止和/或限制對非必要的功能、端口、協(xié)議和/備份和存儲