工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟標(biāo)準(zhǔn)

AII/003-2018

工業(yè)互聯(lián)網(wǎng)安全總體要求

GeneralSecurityRequirementsforIndustrial

Internet

工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟

（2018年2月2日發(fā)布）

目錄

1范圍..........................................................................................................................................1

2規(guī)范性引用文件.......................................................................................................................1

3縮略語.......................................................................................................................................1

4術(shù)語和定義...............................................................................................................................1

5工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)場景概述.......................................................................................2

5.1工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)范圍........................................................................................2

5.2工業(yè)互聯(lián)網(wǎng)安全防護(hù)內(nèi)容................................................................................................3

6工業(yè)互聯(lián)網(wǎng)定級對象和安全等級確定...................................................................................4

7工業(yè)互聯(lián)網(wǎng)安全防護(hù)要求.......................................................................................................4

7.1第1級................................................................................................................................4

7.2第2級................................................................................................................................8

7.3第3級..............................................................................................................................15

7.4第4級..............................................................................................................................19

7.5第5級..............................................................................................................................21

參考文獻(xiàn).....................................................................................................................................22

T11/AII003—2018

工業(yè)互聯(lián)網(wǎng)安全總體要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了工業(yè)互聯(lián)網(wǎng)應(yīng)用場景下各組成對象不同安全等級的安全防護(hù)

要求。

本標(biāo)準(zhǔn)適用于工業(yè)現(xiàn)場設(shè)備、工業(yè)控制系統(tǒng)、工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程

序。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日

期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修

改單）適用于本文件。

GB/T22239-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

YD/T1729-2008電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實(shí)施指南

工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟報(bào)告工業(yè)互聯(lián)網(wǎng)平臺白皮書（2017）

3縮略語

下列縮略語適用于本文件。

II工業(yè)互聯(lián)網(wǎng)IndustrialInternet

4術(shù)語和定義

下列術(shù)語和定義適用于本文件。

4.1

—1—

T11/AII003-2018

工業(yè)互聯(lián)網(wǎng)IndustrialInternet

工業(yè)互聯(lián)網(wǎng)是滿足工業(yè)智能化發(fā)展需求，具有低時(shí)延、高可靠、廣覆蓋特點(diǎn)

的關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施，是新一代信息通信技術(shù)與先進(jìn)制造業(yè)深度融合所形成的新

興業(yè)態(tài)與應(yīng)用模式。

4.2

工業(yè)互聯(lián)網(wǎng)平臺IndustrialInternetPlatform

工業(yè)互聯(lián)網(wǎng)平臺是面向制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化需求，構(gòu)建基于海量

數(shù)據(jù)采集、匯聚、分析的服務(wù)體系，支撐制造資源泛在連接、彈性供給、高效配

置的工業(yè)云平臺。

4.3

工業(yè)應(yīng)用程序IndustryApplicationProgram

指可實(shí)現(xiàn)包括工業(yè)設(shè)計(jì)、生產(chǎn)、管理、服務(wù)等在內(nèi)能力的工業(yè)業(yè)務(wù)系統(tǒng)或移

動應(yīng)用程序。

4.4

網(wǎng)絡(luò)安全NetworkSecurity

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然

的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)

服務(wù)不中斷。

5工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)場景概述

5.1工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)范圍

工業(yè)互聯(lián)網(wǎng)從防護(hù)對象可分為現(xiàn)場設(shè)備、工業(yè)控制系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、工

業(yè)互聯(lián)網(wǎng)應(yīng)用、工業(yè)數(shù)據(jù)五個(gè)層級，各層所包含對象納入工業(yè)互聯(lián)網(wǎng)安全防護(hù)范

圍。

設(shè)備安全：指工業(yè)智能裝備和智能產(chǎn)品的安全，包括操作系統(tǒng)與相關(guān)應(yīng)

用軟件安全以及硬件安全等。

—2—

T11/AII003—2018

控制安全：指生產(chǎn)控制安全，包括控制協(xié)議安全與控制軟件安全等。

網(wǎng)絡(luò)安全：指工廠內(nèi)有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)的安全，以及工廠外與用戶、

協(xié)作企業(yè)等實(shí)現(xiàn)互聯(lián)的公共網(wǎng)絡(luò)安全。

應(yīng)用安全：指支撐工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)運(yùn)行的平臺安全及應(yīng)用程序安全等。

數(shù)據(jù)安全：指工廠內(nèi)部重要的生產(chǎn)管理數(shù)據(jù)、生產(chǎn)操作數(shù)據(jù)以及工廠外

部數(shù)據(jù)（如用戶數(shù)據(jù)）等各類數(shù)據(jù)的安全。

圖1工業(yè)互聯(lián)網(wǎng)安全防護(hù)場景

5.2工業(yè)互聯(lián)網(wǎng)安全防護(hù)內(nèi)容

工業(yè)互聯(lián)網(wǎng)安全防護(hù)旨在加強(qiáng)工業(yè)互聯(lián)網(wǎng)各層防護(hù)對象安全水平，保障系統(tǒng)

網(wǎng)絡(luò)安全運(yùn)營，防范網(wǎng)絡(luò)攻擊。工業(yè)互聯(lián)網(wǎng)安全防護(hù)內(nèi)容具體包括：

設(shè)備安全：包括設(shè)備及運(yùn)維用戶的身份鑒別、訪問控制，以及設(shè)備的入

侵防范、安全審計(jì)等。

控制安全：包括控制協(xié)議的完整性保護(hù)、控制軟件的身份鑒別、訪問控

制、入侵防范、安全審計(jì)等。

網(wǎng)絡(luò)安全：包括網(wǎng)絡(luò)與邊界的劃分隔離、訪問控制、機(jī)密性與完整性保

護(hù)、異常監(jiān)測、入侵防范、安全審計(jì)等。

應(yīng)用安全：包括工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序的訪問控制、攻擊防范、

入侵防范、行為管控、來源控制等。

數(shù)據(jù)安全：包括數(shù)據(jù)機(jī)密性保護(hù)、完整性保護(hù)、數(shù)據(jù)備份恢復(fù)、數(shù)據(jù)安

—3—

T11/AII003-2018

全銷毀等。

6工業(yè)互聯(lián)網(wǎng)定級對象和安全等級確定

我國具有管轄權(quán)的工業(yè)互聯(lián)網(wǎng)系統(tǒng)為安全等級定級對象。

運(yùn)營單位應(yīng)根據(jù)YD/T1729-2008《電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實(shí)施指

南》附錄A中確定安全等級的方法對工業(yè)互聯(lián)網(wǎng)系統(tǒng)定級?？筛鶕?jù)相應(yīng)的社會影

響力、所提供服務(wù)的重要性、服務(wù)用戶數(shù)的大小進(jìn)行定級。

對于工業(yè)互聯(lián)網(wǎng)系統(tǒng)的安全保護(hù)分為以下五個(gè)等級：

第一級，工業(yè)互聯(lián)網(wǎng)系統(tǒng)受到破壞后，會對系統(tǒng)提供商、個(gè)人及企業(yè)用戶等

的合法權(quán)益造成輕微損害，但不損害國家安全、社會秩序和公共利益。

第二級，工業(yè)互聯(lián)網(wǎng)系統(tǒng)受到破壞后，會對系統(tǒng)提供商、個(gè)人及企業(yè)用戶等

的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序、經(jīng)濟(jì)運(yùn)行和公共利益造成輕微損害，

但不損害國家安全。

第三級，工業(yè)互聯(lián)網(wǎng)系統(tǒng)受到破壞后，會對系統(tǒng)提供商、個(gè)人及企業(yè)用戶等

的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害，或者對社會秩序、經(jīng)濟(jì)運(yùn)行和公共利益造成嚴(yán)重

損害，或者對國家安全造成損害。

第四級，工業(yè)互聯(lián)網(wǎng)系統(tǒng)受到破壞后，會對社會秩序、經(jīng)濟(jì)運(yùn)行和公共利益

造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。

第五級，工業(yè)互聯(lián)網(wǎng)系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。

7工業(yè)互聯(lián)網(wǎng)安全防護(hù)要求

7.1第1級

7.1.1設(shè)備安全防護(hù)要求

a)設(shè)備準(zhǔn)入控制

應(yīng)采用鑒別機(jī)制對接入工業(yè)互聯(lián)網(wǎng)中的設(shè)備身份進(jìn)行鑒別，確保數(shù)據(jù)來源于

真實(shí)的設(shè)備。

b)設(shè)備訪問控制

應(yīng)通過制定安全策略如訪問控制列表，實(shí)現(xiàn)對接入工業(yè)互聯(lián)網(wǎng)中設(shè)備的訪問

控制。

—4—

T11/AII003—2018

c)運(yùn)維用戶身份鑒別

1)應(yīng)對登錄設(shè)備進(jìn)行運(yùn)維的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識應(yīng)具

有唯一性，身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換；

2)對于登錄設(shè)備進(jìn)行運(yùn)維的過程應(yīng)具有登錄失敗處理功能，應(yīng)配置并

啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動退出等相

關(guān)措施。

d)運(yùn)維用戶訪問控制

1)應(yīng)對登錄設(shè)備進(jìn)行運(yùn)維的用戶分配賬戶和權(quán)限；

2)應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令；

3)應(yīng)及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。

e)入侵防范

1)應(yīng)遵循最小安裝的原則，僅為設(shè)備安裝需要的組件和應(yīng)用程序；

2)應(yīng)關(guān)閉設(shè)備中不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。

7.1.2控制安全防護(hù)要求

a)控制協(xié)議完整性保護(hù)

對于控制協(xié)議應(yīng)采取完整性保證機(jī)制，確?？刂茀f(xié)議中的各類指令不被非法

篡改和破壞。

b)控制軟件用戶身份鑒別

1)應(yīng)對登錄控制軟件進(jìn)行操作的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識

應(yīng)具有唯一性，身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換；

2)對于登錄控制軟件進(jìn)行操作的過程應(yīng)具有登錄失敗處理功能，應(yīng)配

置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動退出

等相關(guān)措施。

c)控制軟件用戶訪問控制

1)應(yīng)對登錄控制軟件進(jìn)行運(yùn)維的用戶分配賬戶和權(quán)限；

—5—

T11/AII003-2018

2)應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令；

3)應(yīng)及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。

d)入侵防范

1)控制軟件應(yīng)遵循最小安裝的原則，僅安裝需要的組件和程序；

2)應(yīng)關(guān)閉控制軟件所在主機(jī)中不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端

口。

7.1.3網(wǎng)絡(luò)安全防護(hù)要求

工廠內(nèi)部網(wǎng)絡(luò)安全防護(hù)要求

a)區(qū)域劃分與隔離

工廠內(nèi)部網(wǎng)絡(luò)應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域，安全域之間應(yīng)采用技術(shù)

隔離手段。

b)數(shù)據(jù)傳輸完整性

應(yīng)采用適應(yīng)工廠內(nèi)部網(wǎng)絡(luò)特點(diǎn)的完整性校驗(yàn)機(jī)制，實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)傳輸完整

性保護(hù)。

工廠外部網(wǎng)絡(luò)安全防護(hù)要求

a)數(shù)據(jù)傳輸完整性

應(yīng)采用常規(guī)校驗(yàn)機(jī)制檢驗(yàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾裕⒛馨l(fā)現(xiàn)其完整性被破壞

的情況。

b)數(shù)據(jù)傳輸保密性

應(yīng)采用密碼技術(shù)支持的數(shù)據(jù)保密機(jī)制，實(shí)現(xiàn)對網(wǎng)絡(luò)中傳輸數(shù)據(jù)的保密性保

護(hù)。

邊界防護(hù)要求

a)網(wǎng)絡(luò)邊界隔離

工廠內(nèi)部網(wǎng)絡(luò)與工廠外部網(wǎng)絡(luò)之間應(yīng)劃分為兩個(gè)區(qū)域，區(qū)域間應(yīng)采用技術(shù)隔

離手段。

b)網(wǎng)絡(luò)邊界訪問控制

—6—

T11/AII003—2018

1)應(yīng)在網(wǎng)絡(luò)邊界根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，保證跨越網(wǎng)絡(luò)

邊界的訪問和數(shù)據(jù)流通過邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信，

默認(rèn)情況下受控接口拒絕所有通信；

2)應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪

問控制規(guī)則數(shù)量最小化；

3)應(yīng)根據(jù)網(wǎng)絡(luò)邊界訪問控制規(guī)則，通過檢查數(shù)據(jù)包的源地址、目的地

址、源端口、目的端口、和協(xié)議等，確定是否允許該數(shù)據(jù)包通過該

區(qū)域邊界；

4)工廠內(nèi)部網(wǎng)絡(luò)與工廠外部網(wǎng)絡(luò)之間應(yīng)采用訪問控制機(jī)制，禁止任何

穿越區(qū)域邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服

務(wù)。

7.1.4應(yīng)用安全防護(hù)要求

a)用戶身份鑒別

1)應(yīng)對使用工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)應(yīng)用程序的用戶身份進(jìn)行標(biāo)識和鑒

別，身份標(biāo)識應(yīng)具有唯一性，身份鑒別信息應(yīng)具有復(fù)雜度要求并定

期更換；

2)工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序的登錄過程應(yīng)提供并啟用登錄失敗

處理功能，多次登錄失敗后應(yīng)采取必要的保護(hù)措施。

b)訪問控制

1)應(yīng)提供訪問控制功能，對使用工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序的用

戶分配賬戶及相應(yīng)的訪問操作權(quán)限；

2)應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)登錄口令；

3)應(yīng)及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。

c)合規(guī)性檢驗(yàn)

對于工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序應(yīng)提供數(shù)據(jù)合規(guī)性檢驗(yàn)功能，保證通過

人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合其設(shè)定要求。

—7—

T11/AII003-2018

d)應(yīng)用管控

工業(yè)應(yīng)用程序用戶應(yīng)具有選擇應(yīng)用程序安裝、運(yùn)行的功能。

e)應(yīng)用來源保證

工業(yè)互聯(lián)網(wǎng)平臺運(yùn)營商應(yīng)保證終端設(shè)備安裝、運(yùn)行的工業(yè)應(yīng)用程序來自可靠

證書簽名或可靠分發(fā)渠道。

7.1.5數(shù)據(jù)安全防護(hù)要求

a)數(shù)據(jù)保密性保護(hù)

應(yīng)采用密碼技術(shù)支持的保密性保護(hù)機(jī)制對存儲數(shù)據(jù)的保密性提供保護(hù)。

b)數(shù)據(jù)完整性保護(hù)

1)應(yīng)采用常規(guī)校驗(yàn)機(jī)制檢驗(yàn)存儲數(shù)據(jù)的完整性，以發(fā)現(xiàn)其完整性是否

被破壞；

2)應(yīng)確保工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)遷移過程中重要數(shù)據(jù)的完整性，并在檢

測到完整性受到破壞時(shí)采取必要的恢復(fù)措施。

c)數(shù)據(jù)備份與恢復(fù)

1)應(yīng)提供對重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能，保證數(shù)據(jù)副本之間

的一致性，且備份數(shù)據(jù)應(yīng)采取與原數(shù)據(jù)一致的安全保護(hù)措施；

2)應(yīng)提供查詢工業(yè)互聯(lián)網(wǎng)平臺客戶數(shù)據(jù)及備份存儲位置的方式。

d)數(shù)據(jù)銷毀

工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序應(yīng)提供數(shù)據(jù)銷毀機(jī)制，并明確銷毀方式和銷

毀要求。

7.2第2級

7.2.1設(shè)備安全防護(hù)要求

除滿足第1級的要求之外，還應(yīng)符合以下要求：

a)設(shè)備準(zhǔn)入控制

若存在需要對接入工業(yè)互聯(lián)網(wǎng)中的設(shè)備進(jìn)行遠(yuǎn)程管理的，應(yīng)采取必要措施，

防止身份鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。

b)運(yùn)維用戶訪問控制

—8—

T11/AII003—2018

應(yīng)對管理設(shè)備的用戶授予其所需的最小權(quán)限，并實(shí)現(xiàn)對管理設(shè)備的用戶的權(quán)

限分離。

c)設(shè)備安全審計(jì)

1)應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到對設(shè)備進(jìn)行運(yùn)維的每個(gè)用戶，對

重要的用戶行為和重要安全事件進(jìn)行審計(jì)；

2)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成

功及其他與審計(jì)相關(guān)的信息；

3)應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改

或覆蓋等；

4)應(yīng)確保審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求。

d)入侵防范

1)應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管

理終端進(jìn)行限制；

2)應(yīng)能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測試評估后，及時(shí)修補(bǔ)漏

洞。

7.2.2控制安全防護(hù)要求

除滿足第1級的要求之外，還應(yīng)符合以下要求：

a)控制軟件安全審計(jì)

1)應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到對控制軟件進(jìn)行操作的每個(gè)用戶，

對重要的用戶行為和重要安全事件進(jìn)行審計(jì)；

2)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成

功及其他與審計(jì)相關(guān)的信息；

3)應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改

或覆蓋等；

4)應(yīng)確保審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求。

—9—

T11/AII003-2018

b)惡意代碼防范

應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件，并定期進(jìn)行升級和更新

防惡意代碼庫。

c)資源控制

應(yīng)限制單個(gè)用戶或進(jìn)程對系統(tǒng)資源的最大使用限度。

7.2.3網(wǎng)絡(luò)安全防護(hù)要求

工廠內(nèi)部網(wǎng)絡(luò)安全防護(hù)要求

除滿足第1級的要求之外，還應(yīng)符合以下要求：

a)數(shù)據(jù)傳輸完整性保護(hù)

應(yīng)采用密碼技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)無線網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保

護(hù)。

b)網(wǎng)絡(luò)異常監(jiān)測

應(yīng)對網(wǎng)絡(luò)通訊數(shù)據(jù)、訪問異常、業(yè)務(wù)操作異常、網(wǎng)絡(luò)和設(shè)備流量、工作周期、

抖動值、運(yùn)行模式、各站點(diǎn)狀態(tài)、冗余機(jī)制等進(jìn)行監(jiān)測，發(fā)生異常進(jìn)行報(bào)警。

c)無線網(wǎng)絡(luò)攻擊的防護(hù)

應(yīng)對通過無線網(wǎng)絡(luò)攻擊的潛在威脅和可能產(chǎn)生的后果進(jìn)行風(fēng)險(xiǎn)分析，并對可

能遭受無線攻擊的設(shè)備的信息發(fā)出（信息外泄）和進(jìn)入（非法操控）進(jìn)行屏蔽。

d)網(wǎng)絡(luò)入侵防范

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署入侵防范措施，對針對這些節(jié)點(diǎn)的入侵行為進(jìn)行檢

測，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。

e)惡意代碼防范

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對惡意代碼進(jìn)行檢測和清除，并維護(hù)惡意代碼防護(hù)機(jī)制

的升級和更新。

f)網(wǎng)絡(luò)安全審計(jì)

1)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對重要的

用戶行為和重要安全事件進(jìn)行審計(jì)；

2)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成

功及其他與審計(jì)相關(guān)的信息；

—10—

T11/AII003—2018

3)應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改

或覆蓋等；

4)應(yīng)確保審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求。

工廠外部網(wǎng)絡(luò)安全防護(hù)要求

除滿足第1級的要求之外，還應(yīng)符合以下要求：

a)網(wǎng)絡(luò)入侵防范

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署入侵防范措施，對針對這些節(jié)點(diǎn)的入侵行為進(jìn)行檢

測，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。

b)惡意代碼防范

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對惡意代碼進(jìn)行檢測和清除，并維護(hù)惡意代碼防護(hù)機(jī)制

的升級和更新。

c)網(wǎng)絡(luò)安全審計(jì)

1)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對重要的

用戶行為和重要安全事件進(jìn)行審計(jì)；

2)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成

功及其他與審計(jì)相關(guān)的信息；

3)應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改

或覆蓋等；

4)應(yīng)確保審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求。

邊界防護(hù)要求

除滿足第1級的要求之外，還應(yīng)符合以下要求：

a)網(wǎng)絡(luò)邊界訪問控制

應(yīng)能根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控

制粒度為端口級。

b)網(wǎng)絡(luò)邊界安全審計(jì)

1)應(yīng)在網(wǎng)絡(luò)邊界進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對重要的用戶

行為和重要安全事件進(jìn)行審計(jì)；

—11—

T11/AII003-2018

2)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成

功及其他與審計(jì)相關(guān)的信息；

3)應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改

或覆蓋等；

4)應(yīng)確保審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求。

c)網(wǎng)絡(luò)邊界惡意代碼防范

應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升

級和更新。

7.2.4應(yīng)用安全防護(hù)要求

除滿足第1級的要求之外，還應(yīng)符合以下要求：

a)用戶身份鑒別

1)應(yīng)使用密碼技術(shù)對鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。

2)應(yīng)強(qiáng)制用戶首次登錄時(shí)修改初始口令；

3)用戶身份鑒別信息丟失或失效時(shí)，應(yīng)采用技術(shù)措施確保鑒別信息重

置過程的安全。

b)訪問控制

1)工業(yè)互聯(lián)網(wǎng)平臺應(yīng)為工業(yè)應(yīng)用程序提供訪問控制授權(quán)能力；

2)應(yīng)根據(jù)訪問控制策略，對工業(yè)互聯(lián)網(wǎng)平臺開發(fā)者、工業(yè)應(yīng)用程序及

其用戶調(diào)用工業(yè)互聯(lián)網(wǎng)平臺開發(fā)接口實(shí)施訪問控制。

c)安全審計(jì)

1)應(yīng)提供安全審計(jì)功能，審計(jì)覆蓋到使用工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用

程序的每個(gè)用戶，對重要的用戶行為和重要安全事件進(jìn)行審計(jì)；

2)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成

功及其他與審計(jì)相關(guān)的信息；

—12—

T11/AII003—2018

3)應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改

或覆蓋等；

4)應(yīng)確保審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求。

d)運(yùn)維環(huán)境管理

1)工業(yè)互聯(lián)網(wǎng)平臺的運(yùn)維地點(diǎn)應(yīng)位于中國境內(nèi)，境外對境內(nèi)工業(yè)互聯(lián)

網(wǎng)平臺實(shí)施運(yùn)維操作應(yīng)遵循國家相關(guān)規(guī)定；

2)工業(yè)互聯(lián)網(wǎng)平臺運(yùn)維過程產(chǎn)生的配置數(shù)據(jù)、日志信息等存儲于中國

境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定。

e)應(yīng)用管控

1)應(yīng)設(shè)置針對工業(yè)應(yīng)用程序的白名單功能，根據(jù)應(yīng)用程序白名單控制

應(yīng)用程序的安裝、運(yùn)行；

2)應(yīng)具有應(yīng)用程序權(quán)限控制功能，應(yīng)能控制應(yīng)用程序?qū)K端設(shè)備中資

源的訪問；

3)應(yīng)只允許可靠證書簽名的應(yīng)用程序安裝和運(yùn)行。

f)應(yīng)用來源保證

1)工業(yè)互聯(lián)網(wǎng)平臺運(yùn)營商應(yīng)保證終端設(shè)備安裝、運(yùn)行的工業(yè)應(yīng)用程序

由可靠的開發(fā)者開發(fā)；

2)工業(yè)互聯(lián)網(wǎng)平臺運(yùn)營商應(yīng)驗(yàn)證開發(fā)工業(yè)應(yīng)用程序的簽名證書的合法

性。

g)應(yīng)用健壯性保證

在故障發(fā)生時(shí)，應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?/p>

h)應(yīng)用資源控制

1)工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序應(yīng)具備會話超時(shí)自動結(jié)束功能，當(dāng)

通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動

結(jié)束會話；

—13—

T11/AII003-2018

2)應(yīng)能夠?qū)I(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序的最大并發(fā)會話連接數(shù)進(jìn)

行限制；

3)應(yīng)能夠?qū)蝹€(gè)賬戶的多重并發(fā)會話進(jìn)行限制。

4)應(yīng)能夠?qū)τ脩艋蜻M(jìn)程對終端設(shè)備系統(tǒng)資源的最大使用限度進(jìn)行限

制，防止終端設(shè)備被提權(quán)。

i)應(yīng)用上線前檢測

應(yīng)在工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序上線前對其安全性進(jìn)行測試，對可能存

在的惡意代碼進(jìn)行檢測。

7.2.5數(shù)據(jù)安全防護(hù)要求

除滿足第1級的要求之外，還應(yīng)符合以下要求：

a)數(shù)據(jù)使用

工業(yè)互聯(lián)網(wǎng)平臺應(yīng)提供數(shù)據(jù)脫敏和去標(biāo)識化的工具或服務(wù)組件技術(shù)。

b)數(shù)據(jù)備份恢復(fù)

工業(yè)互聯(lián)網(wǎng)平臺應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)定時(shí)批

量傳送至備用場地。

c)數(shù)據(jù)銷毀

1)應(yīng)保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清

除；

2)應(yīng)保證工業(yè)互聯(lián)網(wǎng)平臺用戶所使用的內(nèi)存和存儲空間在回收時(shí)得到

完全清除；

3)工業(yè)互聯(lián)網(wǎng)平臺用戶刪除業(yè)務(wù)數(shù)據(jù)時(shí)，平臺運(yùn)營商應(yīng)確保平臺中存

儲的所有副本被刪除；

4)工業(yè)互聯(lián)網(wǎng)平臺進(jìn)行數(shù)據(jù)整體遷移的過程中，應(yīng)杜絕數(shù)據(jù)殘留。

d)個(gè)人信息保護(hù)

1)工業(yè)互聯(lián)網(wǎng)平臺運(yùn)營商應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息；

—14—

T11/AII003—2018

2)工業(yè)互聯(lián)網(wǎng)平臺運(yùn)營商應(yīng)禁止未授權(quán)訪問和非法使用用戶個(gè)人信

息。

3)應(yīng)確保工業(yè)互聯(lián)網(wǎng)平臺用戶的賬戶信息、鑒別信息、系統(tǒng)信息存儲

于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定。

7.3第3級

7.3.1設(shè)備安全防護(hù)要求

除滿足第2級的要求之外，還應(yīng)符合以下要求：

a)設(shè)備安全審計(jì)

在有冗余的重要應(yīng)用環(huán)境，可對部署的多重設(shè)備進(jìn)行實(shí)時(shí)審計(jì)跟蹤，確保及

時(shí)捕獲信息安全事件信息并報(bào)警。

7.3.2控制安全防護(hù)要求

除滿足第2級的要求之外，還應(yīng)符合以下要求：

a)控制協(xié)議完整性保護(hù)

控制協(xié)議應(yīng)能識別和防范破壞控制協(xié)議完整性的攻擊行為。

b)控制軟件安全審計(jì)

應(yīng)對審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷。

c)入侵防范

應(yīng)能夠檢測到對重要控制系統(tǒng)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提

供報(bào)警。

d)惡意代碼防范

應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或可信驗(yàn)證機(jī)制對控制系統(tǒng)程序和重

要配置文件/參數(shù)進(jìn)行可信執(zhí)行驗(yàn)證，并在檢測到其完整性受到破壞時(shí)采取恢復(fù)

措施。

7.3.3網(wǎng)絡(luò)安全防護(hù)要求

工廠內(nèi)部網(wǎng)絡(luò)安全防護(hù)要求

除滿足第2級的要求之外，還應(yīng)符合以下要求：

a)數(shù)據(jù)傳輸保密性保護(hù)

應(yīng)采用適應(yīng)工廠內(nèi)部網(wǎng)絡(luò)特點(diǎn)的密碼技術(shù)支持的保密性保護(hù)機(jī)制，以實(shí)現(xiàn)工

—15—

T11/AII003-2018

廠內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)。

b)網(wǎng)絡(luò)訪問控制

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對內(nèi)容的訪問控

制。

c)網(wǎng)絡(luò)入侵防范

1)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從節(jié)點(diǎn)內(nèi)外側(cè)發(fā)起的網(wǎng)絡(luò)攻

擊行為；

2)應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型

網(wǎng)絡(luò)攻擊行為的分析；

3)當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊

時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

d)網(wǎng)絡(luò)安全審計(jì)

應(yīng)能對遠(yuǎn)程訪問工廠內(nèi)部網(wǎng)絡(luò)的用戶行為進(jìn)行行為審計(jì)和數(shù)據(jù)分析。

工廠外部網(wǎng)絡(luò)安全防護(hù)要求

除滿足第2級的要求之外，還應(yīng)符合以下要求：

a)網(wǎng)絡(luò)訪問控制

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對內(nèi)容的訪問控

制。

b)網(wǎng)絡(luò)入侵防范

1)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從節(jié)點(diǎn)內(nèi)外側(cè)發(fā)起的網(wǎng)絡(luò)攻

擊行為；

2)應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型

網(wǎng)絡(luò)攻擊行為的分析；

3)當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊

時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

c)網(wǎng)絡(luò)集中管控

—16—

T11/AII003—2018

1)應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集

中監(jiān)測；

2)應(yīng)對分散在各個(gè)網(wǎng)絡(luò)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析；

3)應(yīng)對安全策略、惡意代碼、補(bǔ)丁升級等安全相關(guān)事項(xiàng)進(jìn)行集中管理；

4)應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報(bào)警和分析。

邊界防護(hù)要求

除滿足第2級的要求之外，還應(yīng)符合以下要求：

a)網(wǎng)絡(luò)邊界訪問控制

1)應(yīng)在不同等級的網(wǎng)絡(luò)區(qū)域邊界部署訪問控制機(jī)制，設(shè)置訪問控制規(guī)

則；

2)對于工廠內(nèi)部網(wǎng)絡(luò)與工廠外部網(wǎng)絡(luò)之間只存在單向數(shù)據(jù)傳輸?shù)?，網(wǎng)

絡(luò)間應(yīng)采用單向的技術(shù)隔離手段。

7.3.4應(yīng)用安全防護(hù)要求

除滿足第2級的要求之外，還應(yīng)符合以下要求：

a)用戶身份鑒別

應(yīng)采用口令、令牌、基于生物特征、數(shù)字證書以及其他具有相應(yīng)安全強(qiáng)度的

兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別。

b)安全審計(jì)

應(yīng)對審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷。

c)應(yīng)用來源保證

對于工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序上線前的安全測試報(bào)告應(yīng)包含密碼應(yīng)

用安全性測試相關(guān)內(nèi)容。

7.3.5數(shù)據(jù)安全防護(hù)要求

除滿足第3級的要求之外，還應(yīng)符合以下要求：

a)數(shù)據(jù)保密性保護(hù)

—17—

T11/AII003-2018

1)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限

于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等；

2)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限

于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等；

3)應(yīng)使用密碼技術(shù)確保工業(yè)互聯(lián)網(wǎng)平臺遷移過程中，重要數(shù)據(jù)的保密

性，防止在遷移過程中的重要數(shù)據(jù)泄露。

b)數(shù)據(jù)完整性保護(hù)

1)應(yīng)采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整

性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要

配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等；

2)應(yīng)采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整

性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要

配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等；

3)應(yīng)使用校驗(yàn)碼或密碼技術(shù)確保工業(yè)互聯(lián)網(wǎng)平臺遷移過程中，重要數(shù)

據(jù)的完整性，并在檢測到完整性受到破壞時(shí)采取必要的恢復(fù)措施。

c)數(shù)據(jù)使用

1)應(yīng)采用技術(shù)手段，確保數(shù)據(jù)源的真實(shí)可信；

2)應(yīng)對導(dǎo)入或者其他數(shù)據(jù)采集方式收集到的數(shù)據(jù)進(jìn)行檢測，避免出現(xiàn)

惡意數(shù)據(jù)輸入；

3)應(yīng)確保在數(shù)據(jù)清洗和轉(zhuǎn)換過程中對重要數(shù)據(jù)進(jìn)行保護(hù),以保證重要數(shù)

據(jù)清洗和轉(zhuǎn)換后的一致性，避免數(shù)據(jù)失真，并在產(chǎn)生問題時(shí)能有效

還原和恢復(fù)，受保護(hù)的數(shù)據(jù)范圍包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)

數(shù)據(jù)和重要個(gè)人信息等；

4)應(yīng)采用技術(shù)手段防止在數(shù)據(jù)應(yīng)用過程識別出鑒別信息；

—18—

T11/AII003—2018

5)應(yīng)采用技術(shù)手段限制在終端設(shè)備輸出重要數(shù)據(jù)，包括但不限于鑒別

數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等；

6)應(yīng)采用技術(shù)手段防止進(jìn)行未授權(quán)的數(shù)據(jù)分析；

d)數(shù)據(jù)備份恢復(fù)

1)工業(yè)互聯(lián)網(wǎng)平臺應(yīng)提供異地實(shí)時(shí)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)

據(jù)實(shí)時(shí)備份至備份場地；

2)工業(yè)互聯(lián)網(wǎng)平臺應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高

可用性；

3)應(yīng)保證不同工業(yè)互聯(lián)網(wǎng)平臺用戶的審計(jì)數(shù)據(jù)隔離存放；