GB/T33009.2-2016
工业自动化和控制系统网络安全集散控制系统(DCS)第2部分:管理要求
Industrialautomationandcontrolsystemsecurity—Distributedcontrolsystem(DCS)—Part2:Managementrequirements
- 中国标准分类号(CCS)N10
- 国际标准分类号(ICS)25.040
- 实施日期2017-05-01
- 文件格式PDF
- 文本页数23页
- 文件大小735.39KB
以图片形式预览工业自动化和控制系统网络安全集散控制系统(DCS)第2部分:管理要求
工业自动化和控制系统网络安全集散控制系统(DCS)第2部分:管理要求
国家标准 GB/T33009.2一2016 工业自动化和控制系统网络安全 集散控制系统(DCS 第2部分;管理要求 Industrialautoationandcontrolsysteseeurity Distributelcomtrolsystem(DCS Part2:Managementrequirements 2016-10-13发布 2017-05-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T33009.2一2016 前 言 GB/T33009(工业自动化和控制系统网络安全集散控制系统(CS)》和GB/T33008《工业自动 化和控制系统网络安全可编程序控制器(PLC)》等共同构成工业自动化和控制系统网络安全系列 标准
GB/T33009(《工业自动化和控制系统网络安全集散控制系统(DCS)》分为4个部分 -第1部分:防护要求; 第2部分;管理要求 第3部分;评估指南 第4部分风险与脆弱性检测要求
本部分为GB/T33009的第2部分
本部分按照GB/T1.1一2009给出的规则起草
本部分由机械工业联合会提出
本部分由全国工业过程测量、控制和自动化标准化技术委员会(sAc/Tc124)和全国信息安全标 准化技术委员会(sAC/Tc260)归口
本部分起草单位浙江中控研究院有限公司,浙江大学,机械工业仪器仪表综合技术经济研究所,重 庆邮电大学、科学院沈阳自动化研究所,西南大学、福建工程学院、,杭州科技职业技术学院、北京启 明星辰信息安全技术有限公司、电子技术标准化研究院、国网智能电网研究院、核电工程有限 公司、上海自动化仪表股份有限公司、东土科技股份有限公司、清华大学、西门子()有限公司,施耐 德电气()有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克韦尔自 动化()有限公司、仪器仪表学会、工业和信息化部电子第五研究所,北京海泰方圆科技有限公 司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、北京力控华康科技有限公司 北京和利时系统工程有限公司、石油天然气管道有限公司、北京国恩网络科技有限责任公司、西南 电力设计院、广东航宇卫星科技有限公司、华北电力设计院工程有限公司华为技术有限公司电子 科技集团公司第三十研究所、深圳万讯自控股份有限公司、横河电机()有限公司北京研发中心
本部分主要起草人;施一明、冯冬芹,梅恪、王玉敏、王平、王浩、高梦州徐珊珊、徐皑冬,刘枫、许剑新 陈平、杨悦梅、陈建飞、还约辉、黄家辉、贾驰千、梁耀、陆耿虹、刘大龙、刘文龙、王芳、孟雅辉、范科峰、梁潇 王彦君、张建军,醛百华、许斌、陈小浣、华斧、高昆仑、王雪,周纯杰、张莉、刘杰,朱毅明、,王,孙静、 胡伯良,刘安正、田雨聪、方亮、马欣欣、王勇、杜佳琳、陈日罡、李锐、刘利民、孔勇、黄敏、朱镜灵、张智、 张建勋、兰昆、张晋宾、成继勋尚文利、钟诚、梁猛、陈小枫、卜志军、丁露、李琳、杨应良、杨磊
m
GB/T33009.2一2016 3.1.5 控制系统网络安全controlsystemseeurity 以保护控制系统的可用性、完整性、保密性为目标,另外也包括实时性、可靠性与稳定性
3.1.6 人机界面humanmachineinterface 员工(用户)可以与特定的机器,设备,计算机程序或其他复杂工具(系统)互动的方法集
注:在很多情况下,这些包含了视频或计算机终端、按钮、听觉反馈、闪烁的灯等
人机界面提供的方法包括输人 允许用户控制机器)、输出(允许机器通知用户) 3.1.7 识别identify 对某一评估要素进行标识与辨别的过程
[GB/T30976.1一2014,定义3.1.2 3.1.8 网络安全风险seeurityrisk 人为或自然的威胁利用系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的 影响
[GB/T20984一2007,定义3.6 3.1.9 完整性integrity 保证信息及信息系统不会被非授权更改或破坏的特性
包括数据完整性和系统完整性 [GB/T20984一2007,定义3.107 3.1.10 制造执行系统manufacturingexeeutionsystenm 生产规划和跟踪系统,用于分析和报告资源可用性和状态、规划和更新订单、收集详细的执行数据, 例如材料使用.人力使用.操作参数.,订单和装置状态及其他关健信息
洼1:此系统访问材料清单,工艺路线和其他来自于基础企业资源规划系统的数据,典型用于实时车间作业报告和 监视将活动数据反馈给基础系统的过程
注2:更多的信息参见GB/T20720.12006 3.1.11 组织organization 由作用不同的个体为实施共同的业务目标而建立的结构
一个单位是一个组织,某个业务部门也 可以是一个组织
[GB/T209842007,定义3.11] 3.1.12 残余风险residualrisk 采取了安全措施后,系统仍然可能存在的风险
[GB/T20984一2007,定义3.12 3.1.13 安全事件securityineident 系统、服务或网络的一种可识别状态的发生,它可能是对安全策略的违反或防护槽施的失效,或未 预知的不安全状况
[GB/T20984一2007,定义3.14们
GB/T33009.2一2016 3.1.14 安全需求seceurityrequirememt 为保证组织业务战略的正常运作而在安全措施方面提出的要求
[GB/T20984一2007,定义3.167 3.1.15 威胁threat 可能导致对系统或组织危害的不希望事故潜在起因
[GB/T20984一2007,定义3.17门 3.1.16 脆弱性vulnerabilty 系统设计、实现或操作和管理中存在的缺陷或弱点,可被利用来危害系统的完整性或安保策略
[GB/T30976.12014,定义3.1.1] 3.1.17 资产asse 对组织有价值的任何事物 3.2缩略语 下列缩略语适用于本文件
DCS:集散控制系统(DistributedControlSystem) Dos;服务拒绝(DenialofService) HSE;健康、安全和环境管理体系(HealthSafetyandEnviromentManagementSystem sMs.网络安全管理系统(SecuritryManagementsystem) MES,制造执行系统(ManufacturingExeeutionsystem) PsM;工艺安全管理(ProcessSafetyManagement) DcCS安全管理概述 4.1DCS系统概述 4.1.1通用Dcs系统应用的网络结构 通常CS系统应用是一种纵向分层的网络结构,自上到下依次为过程监控层、现场控制层和现场 设备层
各层之间由通信网络连接层内各装置之间由本级的通信网络进行通信联系,其典型网络结构 如图1所示
本部分主要对DCS系统中的过程监控层、现场控制层网络和现场设备层网络的安全要求 进行了要求
各层的说明如下 -过程监控层:以操作监视为主要任务,兼有部分管理功能
这一级是面向操作员和控制系统工 程师的因而这一级配备有技术手段齐备,功能强的计算机系统及各类外部装置,特别是显示 器和键盘,以及需要较大存储容量的硬盘或软盘支持,另外还需要功能强的软件支持,确保工 程师和操作员对系统进行组态、监视和操作,对生产过程实行高级控制策略、故障诊断、质量 评估
现场控制层;现场控制层的主要功能包括;采集过程数据,进行数据转换与处理;对生产过程进 行监测和控制,输出控制信号,实现模拟量和开关量的控制;对1/O卡件进行诊断;与过程监 控层等进行数据通信
现场设备层;现场设备层的主要功能包括;采集控制信号、执行控制命令,依照控制信号进行设 备动作
GB/T33009.2一2016 财务管耻 人力资源 资产管理 系统 系统 管理系统 对外服务系统 企业 资讽层 设备维护 工艺 先进控制 工作站 工程师站 工作站 lnternet 打印机 生产 管理层 历史数据站 工程师站 主人机界面 控制服务器 G冗杂拉制 自 服务器 过程 监控层 操作员站工程师站 操作员站工程师站 操作员站工程师站 制 控制器 控制器 控制器 现场 控制层 场 设备层 现场仪表 现场仪表 现场仪表 图1典型Dcs系统应用的网络结构示意图 注,将监控层以下的现场控制层网络进行细分,其中现场控制层网络主要包括cs控制器和控制器通信模块.!/o 模块等,现场设备层网络包括现场智能仪表,执行机构、传感器等现场设备和仪表
4.1.2DcCS运行安全总体要求 4.1.2.1实时性要求 DCS应具备实时响应能力,不允许存在不可接受的延迟和抖动
4.1.2.2可用性要求 DCS具有高可用性需求,一般不允许重启系统,所以部署前需要详尽的测试,在生产过程中的中断 操作需要提前计划
4.1.2.3安全性要求 DCs具有安全性要求
DCS一般部署在重要的生产领域,系统不允许出现安全事故 4.1.2.4完整性要求 Des其有完整性要求,不允许未授权用户或着恶意稚序对信息和数据的修改
GB/T33009.2一2016 4.1.2.5稳定性要求 DCS具有稳定性要求
DCS一旦工作不稳定,将存在严重的威胁,导致大批的不合格产品流出,而 且加剧设备的损耗等
4.1.2.6高可靠性要求 CS具有可靠性要求
DCS能够在规定的条件下,长期正常执行其设定的控制功能,期间不允许 发生停车,且具有很好的耐久性和可维修性
4.2DcS网络安全管理体系 4.2.1总要求 Xs网络安全管理的核心是网络安全管理体系的建立、维护和改进过程,宜按照GBT220802008 建立相应的组织管理体系
本部分旨在指导DCS系统相关企业理解DCs网络安全管理体系的建立和 运行过程
在第5章定义了DCS网络安全管理体系建立和运行过程中必要的管理要素和具体要求,用 户应结合具体DCS应用实际情况选择执行
DCcs网络安全管理体系(InformationSecurityManagementsystem)旨在指导企业或组织在已有 网络安全管理体系的框架或环境下,建立,实施,运行、监视、评审,保持与改进文件化的DCs网络安全 管理体系(IsMS)
Cs网络安全管理体系应综合考虑资产重要性、资产地理位置、系统功能、控制对 象和生产厂商等因素.将控制系统进行分区域管理
本部分采用过程方法规定了文件化的ISMS的建立,实施、运行、监视,评审、保持和改进过程中的 安全要求
DCS用户和DCS设备生产企业和系统集成企业应成立相关的组织承担相应的网络安全管 理职责
本部分提出的用于DCs网络安全管理的过程方法强调以下方面的重要性 a)分析理解企业或组织自身的工控网络安全需求和建立工控网络安全方针与目标; b从整体业务风险的角度,实施和运行控制措施,管理Cs网络安全风险; e)监视和评审ISMS执行情况的有效性; d)基于客观测量的ISMS持续改进
本部分采用“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)模型来建立DcS系统的 ISMS过程,如图2所示
建立CSMS 规划Plan 处置 保持与改进 实施 实施与运行 Do Aet CSMS CSMS 检查Check 监视与评审 CSMS 图2应用于ISMS过程的PDCA模型
GB/T33009.2一2016 4.2.2建立DcS的ISsMS 建立与管理DCS安全风险和改进DCS网络安全有关的方针、目标、过程和规程,提供与组织或企 业总方针和总目标相一致的结果
应做以下几方面工作 a 根据DCs业务、组织机构、物理场所、价值资产和技术手段等方面的特性,确定DCS的ISMs 的范围和边界 b)根据DCS业务、组织机构、物理场所、价值资产和技术手段等方面的特性,确立DcCS的ISMS 方针
DCS的ISMS方针应: 包括设定DCS网络安全目标的框架和建立DCS网络安全工作的总方向和原则 1 2) 考虑DCS业务和相关法律法规的要求,及合同中的安全义务 3)在组织或企业的战略性风险管理环境下,设定DCS风险管理框架,建立和保持DCS的 1SMs; 建立风险评价的准则,确定可接受风险的范围; 4) 5)获得组织或企业管理者的批准和支持
确定DCS的风险评估方法 选择适合DCS的ISMS,已识别的业务网络安全和法律法规要求的风险评估方法,基于 DCS资产的安全威胁、脆弱性以及影响后果来识别与分级风险; 建立一套指标体系,用于DCS各业务流程与子系统在风险处理上的分级排序;制定接受 风险的准则,识别可接受的风险级别
选择的风险评估方法应确保风险评估产生可比较的,可再现的结果
d 识别DCS风险: 创建DCs网络拓扑图,收集DCS资产信息,识别ISMS范围内的资产及其负责人 注:负责人标识了已经获得管理者的批准,负责产生、开发、维护、使用和保证资产的安全的个人和实体,并非 资产拥有者
2) 识别CS资产可能面临的威胁及威胁发生的可能性; 37 识别DCs控制功能单元和工艺环节可能被威胁利用的脆弱点; 4 识别丧失DCS实时性、可用性、可靠性、安全性时,对企业或组织的财产、人员及环境的 影响
分析和评价DCs风险: 在考虑丧失DCS的可用性、实时性、可靠性所造成的后果的情况下,评估安全失误可能对 系统造成的影响; 2)评估由主要威胁和脆弱点导致安全失误的可能性,对财产,人员及环境的影响,以及当前 可采用的控制措施 3)估计风险的级别,确定风险是否可接受
f 识别和评价DCS风险处理的可选措施 对于不可接受的DCS风险选择安全措施,降低风险到可接受范围
可能的措施包括 1采用适当的控制措施,5.6列举了可选择的安全控制措施 2)在满足企业或组织方针策略、安全要求和风险接受准则的情况下,可有意识地、客观地接 受风险; 3)调整相关风险环节,避免风险; 4)转移相关业务风险,如保险公司、供应商等
g为处理风险选择控制目标和控制措施 选择和实施适用于DcCS的控制目标和控制措施,以满足风险评估和风险处理过程中所识别的网络
GB/T33009.2一2016 安全要求
这种选择应考虑接收风险的准则以及法律法规和合同要求
控制措施的实施应以不影响 DCS正常运行为前提
获得管理者对建议的残余风险的批准 h i 获得管理者对实施和运行ISMS的授权 j 准备适用性声明,适用性声明的内容包括以下几方面: 1) 当前已有的安全目标和安全控制措施; 2) 在4.2.2f)中的不可接受的风险及所选择的安全措施,以及选择的理由 其他需要增加或删碱的安全措施及其增加/删碱的理由
3 4.2.3实施与运行DcCS的ISMISs 实施和运行DCS的ISMS方针、控制措施、过程和规程,应做好以下几方面工作 为管理s同络安全风险,根据风险等级选择适当的管理措施,可用资鄙.职责分配和优先顺 a 序,即制定DCS风险管理规程; 建立DcS分区及分区目标安全等级,配置分区内设备,实施Ds风险管理规程,使Is各分 b 区达到目标安全等级和已识别的控制目标 实施5.6中所选择的控制措施,以满足控制目标风险管理与实施 确定如何测量所选择的控制措施或控制措施集的有效性,并指明如何评估控制措施的有效性 D 及其对DCS系统性能的影响; 开展培训和安全实施意识教育,确保参与ISMs工作的人员具备企业或组织要求的执行任务 的能力; 管理IsMs的运行; f g管理DcS的ISMS资源,包括资源的提供及人员管理 h 实施能够迅速检测CS运行的安全事态的监控软件、响应安全事件的报警系统及其他控制 措施
4.2.4监视与评审Dcs的IsMs 对照ISMS方针、目标和实践经验,评估并测量ISMS过程的执行情况,包括验证是否按照文件化 的流程执行以及所选择的控制措施是否部署,是否有效等,并将结果报告管理者以供评审,应包括: a)制定ISMS审计流程与方法 b 保持审计工作人员的独立性;对于特定CS系统的审核,所要求的审计工作人员的能力范围 应符合企业或组织的相关规定; 实行ISMS定期审计,检测过程运行结果中的错误,识别试图的和得逞的安全违规和事件,确 保所制定的网络安全策略与规程被正确执行以及DCS分区的网络安全目标得到满足 从组织机构、技术、,DCS业务目标和工艺流程、已识别威胁、外部事态等方面考虑,监测DCS风 险评估,风险处置的ISMS最佳实践,并定期进行DCS风险评估,残余风险和可容忍风险的 评审; 管理者应定期执行管理评审,包括对1SMS范围,ISMS控制措施状态,以往未强调的脆弱点威 胁等的评审,确保ISMS持续的适宜性、充分性和有效性; 建立符合性测量体系,应定义一套性能指标项(performanceindieators),每次定期审计的结果 应能以各指标项表述,以此保证DCS的安全性能和安全态势; g考虑监视和评审结果,以更新安全计划; h)建立审计文件跟踪记录,记录影响ISMS有效性和执行情况的措施和事态 i 设定惩罚性措施,应定义“违反符合性”的行为以及相关的惩罚措施
GB/T33009.2一2016 4.2.5保持与改进DCS的ISMs 基于ISMS评审结果与其他外部相关信息,采取预防和纠正措施,持续改进ISMS
应包括 建立专门负责管理ISMS改进及其实施的部门或团队见5.2); a b实施已识别的ISMS改进与预防措施,调整ISMs以满足企业或组织的DCS网络安全目标;从 其他组织和组织自身的安全经验中吸取教训; 基于企业或组织的可容忍风险标准建立可能引起IsMS改进的触发(重大网络安全事件发生 法律法规的变动、,DCS重大结构变化等,根据一系列触发重新评估并改进IsMS; 积极寻求CS现场操作人员的安全建议反馈,并及时反馈给管理层
向所有相关方沟通措施 和改进情况,其详细程度应与环境相适应
必要时,商议协定如何进行
Dcs安全管理要素 5.1方针、策略与规程 5.1.1管理目标与范围 本项要求包括但不仅限于 a 应制定DCs网络安全工作的总体方针和安全策略,明确工控安全工作的总体目标,范围,原则 和安全框架等 b应对DCS安全管理活动中的各类管理内容建立安全管理制度; 应对Dcs各层管理人员或操作人员执行的日常管理操作建立操作规程; c) d应形成由安全策略、管理制度,操作规程等构成的全面的工控网络安全管理制度体系
5.1.2制定与发布 本项要求包括但不仅限于 a)企业或组织应指定或授权专门的部门及其人员负责ICS安全管理制度的制定; b DCS各项安全管理制度应具有统一的格式,并进行版本控制; 应组织相关人员对制定的DCS安全管理制度进行论证和审定; d)DCS安全管理制度应以有效的方式在企业或组织内部正式进行发布; DcS安全管理制度应注明发布范围、对收发文件进行登记 5.1.3评审与修订 本项要求包括但不仅限于 应根据DCs安全管理制度的相应密级(如有要求)确定评审和修订的操作范围 a b)应具有专门的部门与人员负责DCcS安全管理制度的日常维护; DCS网络安全管理机构应负责定期组织相关部门与人员对DCS安全管理制度体系的合理性 c) 和适用性进行再评定,对存在不足或需要改进的地方进行再修订
5.2管理机构 5.2.1安全机构 本项要求包括但不仅限于: a 应具备管理DCS安全的职能; b应单独设立DCS安全管理的职能部门,设立安全主管、安全管理等负责人岗位;部门人员应由
GB/T33009.2一2016 跨物理安全、网络安全、工业控制等领域的人员组成,并定义各负责人职责; 对于覆盖跨地区的企业或组织,总部应成立DCS安全管理委员会或DcS安全领导小组(统称 DCS安全小组)
各下级单位应分别建立DCS安全领导小组,隶属总部DCs安全小组,下级 单位的安全领导小组组长应由该单位主管领导委任或授权
5.2.2岗位设置 应设置系统管理员、安全管理员、安全审计员等岗位,并定义具体的岗位职责
5.2.3人员配备 本项要求包括但不仅限于; 应根据DCS的各层规模合理配备管理与审计人员的数量; a 宜坚持岗位不可兼任原则,安全管理人员不能兼任网络管理员,操作员、数据库管理员、技术工 b 程师等; 对于Dcs的主要站点-包括控制站、.工程师站、操作员站、服务器等,应配备专人管理! 5.2.4安全意识与培训 本项要求包括但不仅限于 a)在企业整体培训计划中,应包括工业控制系统网络安全方面的培训计划 b)培训种类包括针对全体员工的一般培训和针对特定岗位的培训,应包括安全责任、法律责任和 业务控制措施等内容; 针对特定岗位的培训,宜邀请网络安全领域的专家进行授课; c) 在员工人职时安排培训,并在后续以固定周期进行 d e)应能对工控网络安全培训的有效性进行评估; 应具备对工控网络安全培训进行评审和改进的方法与规程
f 5.2.5沟通与合作 本项要求包括但不仅限于: a)应加强与企业或组织内部物理安全管理部门的沟通与合作; b) 应在与外部供应商、第三方以及利益相关者等的商业合同中建立或改进DCS在物理与网络安 全方面的流程与规程
5.3资产管理 本项要求包括但不仅限于 应清晰识别与DCS相关的资产,编制并保存资产清单,包括资产责任部门,重要程度和所处位 置等内容 b 应建立资产安全管理制度,规定系统资产管理的责任人员或责任部门,并规范资产管理和使用 的行为 应根据资产的重要程度、敏感度等对资产进行标识管理,根据资产的价值选择相应的管理 措施; 应按照企业或组织所采纳的分类机制建立和实施一组合适的资产标记和处理规程
资产标记 应包括物理和资料格式的资产; 应对系统相关的各种设备(包括备份和冗余设备)网络等指定专门的部门或人员定期进行维 护管理;
GB/T33009.2一2016 f 应对控制站、工程师站、操作员站和服务器等设备的操作和使用进行规范化管理,按操作规程 实现主要设备(包括备份和冗余设备)的启动/停止、上电/断电等操作
5.4人员 5.4.1人员录用 本项要求包括但不仅限于 a 应对DCS重要岗位的内、外部应聘者进行背景审查,包括财务情况、犯罪记录、从业经历以及 历史信用等 b宜对DCS第三方合作的工作人员,供应商进行背景审查,包括财务情况、犯罪记录,从业经历 以及历史信用等; 如有必要,应对所有访问cS的外部人员进行背景审查; c 如有必要,企业或组织应与利益相关者,供应商、第三方、顾客等外部方签署保密协议 d 在可能的情况下,录用人员应具有相应的资质,通过相关单位的认证
e) 5.4.2人员考核与审查 本项要求包括但不仅限于 应明确定义员工的网络安全责任,同时与第三方合作单位人员、供应商等利益相关者明确合作 a 中的网络安全责任 b)应定期对DCs工程师、各操作站点的系统管理员与操作人员进行相关的安全认知和安全技能 的考核; 如发现违反DCs网络安全有关规定的人员,应采取相应的惩罚措施
5.4.3人员离岗 本项要求包括但不仅限于 a)应立即中止企业或组织被解雇的,退休的,辞职的或其他原因离开的人员对DCs的所有物理 或逻辑上的访问权限; bICS安全管理层和C's关键岗位人员调离岗位,应根据离岗单位相关的保密管理要求和流程 执行; DCS安全管理层和Cs关键岗位人员调离单位,应根据调离单位相关的保密管理要求和流程 进行离岗安全审查,办理移交手续
5.5密码学 本项要求包括但不仅限于: a)应建立密码控制的使用管理方法,确保密码安全等级符合DCS安全保护级别 b应使用加密技术保护经由移动设备,可移动介质或通信网络上传输的数据
5.6物理和环境 5.6.1系统部署环境 本项要求包括但不仅限于 应指定专门人员定期对机房供配电,空调,温湿度控制等设施进行维护管理 a b)应配备机房安全管理人员,对出人机房,服务器的开机或关机等工作进行管理; 应建立机房安全管理制度,规定有关机房物理访问,物品带进,带出机房和机房环境安全等方 c 10o
GB/T33009.2一2016 面的管理要求; 应规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接 待来访人员、工作人员离开座位应确保终端计算机退出登录状态等
5.6.2系统资产与设备 本项要求包括但不仅限于 妥善安置或保护设备,尽量减少对工作区域的不必要访问,避免由环境威胁和危险所造成的各 a 种风险以及未授权访问的机会; 采取相应控制手段最小化潜在的物理威胁和风险,例如偷窃火灾,爆炸等; b 应保护设备免受其他支持性设施(如电、供水,排污,空调)的失效而引起的电源故障和其他 中断; 应保护网络布缆免受未授权的窃听或损坏,分开电源电缆和通信电缆,防止互相干扰; d 应定明检查,正确推护设备,确保其持绩的可用性
,可幕性 e 应确保重要设备必须经过审批才能带离机房或办公地点 f 5.6.3数据存储介质 本项要求包括但不仅限于 a)应建立介质安全管理制度,对介质的存放环境,使用,维护和销毁等方面作出规定 b)应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理; 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进 行登记记录.并根据存档介质的目录清单定期盘点; 应对存储介质的使用过程,送出维修以及销毁等进行登记管理,对送出维修或销毁的介质应首 先清除介质中的数据
5.7安全控制措施 5.7.1访问控制 5.7.1.1授权管理 本项要求包括但不仅限于 a)应初始化DcS验证器内容,包括令牌、密匙、口令卡,生物识别等 应对DCS的主要操作节点与控制节点分别实施逻辑与物理上的验证 b DcS安装完成后应更改所有默认的验证器 应定期对所有 d D 2S S各操作节点的验证器进行更改; 应能保护所有的验证器在存储与传输过程中不受到非授权的泄露或更改 对于DCS的软件过程与设备,应能提供硬件机制来保护相应的验证器; g对CS的重要操作域与控制域,应实行多重验证来实施访问控制 h必要时,企业可根据不同的岗位和应用需求,定义相应的授权等级要求进行授权 5.7.1.2账户管理 本项要求包括但不仅限于 应建立DCS账户管理流程与策略,根据不同安全要求规定账户级别,规范DCS账户的使用流 a 程;并定期对DCs账户管理流程与策略进行评审,如发现不足或有缺陷需重新修订该管理流 程与策略 11
GB/T33009.2一2016 b应根据DCS安全授权策略进行账户分类,并分配相应的访问权限,应具备统一账户管理的 能力; 应确保所有账户的授权、变动与终止均经过相应的授权管理; d应对所有DCS操作节点的访问账户进行记录,包括使用人,被访问设备、权限以及管理者等; 操作员站、工程师站等DCS操作节点与控制站/控制器的过程通信应进行安全账户管理 e f 应及时停止或移除DCS各操作节点上不使用的账户 g应定期对DCS各操作节点的所有账户进行检查 hDCS首次安装建立的系统默认账户应及时移除
5.7.1.3身份鉴别 本顶要包摇但不仅限于 应对Dcs的主要操作节点,包括工程师站、操作员站,组态服务器、数据服务器,时钟同步服务 a 器,以及连接在DCs的MEs层网络和现场控制层网络上的人机会话接口等,所有使用者进行 身份鉴别 对通过非信任网络访问cS的使用者应实施多重鉴别策略; b 应对DcS主要操作节点、控制节点的软件过程与任务间通信实施鉴别控制,防止不安全的数 据交换 d)应鉴别访问DcS设备与网络的便携式、可移动设备 DCs的组态管理与应用配置应启用高强度的鉴别方法; ee 应记录对DCS主要操作节点与控制节点的设备或系统的所有访问尝试; f 应对DcS远程访问用户进行高强度的鉴别策略,应对远程登录与连接建立安全策略 g h)当远程登录失败超过一定次数时,应能终止该账户对CS设备或网络的访问 当长时间不启用的设备重新启用时,应重新鉴别远程访问该设备的用户身份 D 应能对DCS物理环境中无线通信的使用者、软件过程以及设备进行识别或鉴别(见5.7.5); k)应能对Dcs中使用非授权的无线设备进行识别(见5.7.5).
5.7.2使用控制 5.7.2.1加强授权 本项要求包括但不仅限于 a)在CS操作站与控制站的所有接口上,应能提供对所有用户的加强授权能力,以保证职责分 离和最小特权原则 b应设置某个授权用户或角色,能定义与修改所有用户的权限映射 应能支持高层管理者在特定时间或事件上对当前使用人使用权限的更改
5.7.2.2无线使用(见5.7.5 5.7.2.3可移动设备、代码的使用 本项要求包括但不仅限于 应具有自动识别外部设备接人内部网络,并限制其使用的能力,如禁止便携式与移动设备接人 DCS过程监控层网络、禁止移动代码等; b 便携式或移动设备在DCs不同分区层次和不同网络层次的使用,应考虑它们的接人是否满足 接人分区或网络的安全要求,并根据安全要求实施不同级别的授权 应禁止从便携式设备上传代码与数据至CS应用环境中,同时禁止从DCS应用环境中下载 12
GB/T33009.2一2016 代码与数据至便携式设备中; 在保证系统功能正常可用的前提下,应禁止Java、JavSeript、Activex,PDF,Shockwaremovies 等移动代码在DCS各服务器中进行选择与使用,和在DCS各工作站中进行下载与执行; 在执行JavaJavSeript,Activex,PDF,Shockwaremovies等移动代码前,应能进行对移动会话 的完整性的验证,防止执行被恶意篡改的移动代码
5.7.2.4安全会话 本项要求包括但不仅限于 a)对于关键控制流程或区域的监控与维护应使用安全远程会话; b应对Cs的关键接口设定网络通信的安全策略(如最大带宽、最大连接数,并发会话数量),降 低Dos攻击的风险; 当会话不活动状态超过设定时间,应能自动终止会话 会话发起者应能手动终止会话
d 5.7.2.5安全审计 本项要求包括但不仅限于 DcS应能提供产生包括访问控制,请求错误,操作系统事件、控制系统事件,备份与存储事件 a 配置更改、潜在侦查活动、审计日志事件等记录的能力 b 单个审计记录应包括时间标识、澜,分类,事件D与事件结果 c 应能从DCs的多个组件中记录审计信息,集中管理审计事件; d)应能根据日志管理和系统配置来合理分配审计存储容量,当审计记录到达存储容量应能发出 告警信息 当审计处理失败时,应能提供报警功能,防止基本服务和功能的丢失
5.7.3网络安全 5.7.3.1网络分区 本项要求包括但不仅限于 a)应具有提供对cCS的MES层网络与过程监控层网络进行逻辑隔离或物理隔离的能力 b应具有提供对C'S的过程监控层网络与现场控制层网络进行数据检测和数据过滤的防护 能力; 应具有提供对CS现场控制层的关键控制区网络与非关键控制区网络进行逻辑隔离或物理 隔离的能力 d)应具有提供对现场控制层实施独立网络服务的能力
5.7.3.2区域边界保护 本项要求包括但不仅限于 a)应根据不同网络层次、安全要求,以及可能面对的威胁,制定区域边界保护策略 b任何与外界网络或控制系统所进行的连接,其接口处应具有边界保护或旁路监测措施 Dcs各层网络的边界保护应提供相应等级的防护和管理措施,采用代理、网关、路由器,防火 墙等合适的边界防护设备对不同网络层次逃行隔离 d)当边界保护机制出现失败时,DCS应具备告警能力,及时告知管理人员DCS系统异常 DCS系统应配置能阻断各层网络边界上任何通信的管理人员;在必要时,阻断异常的通信 e 13
GB/T33009.2一2016 线路; 安全人员应定期对防护日志和监测记录进行分析,对安全策略进行优化 5.7.4数据安全 本项要求包括但不仅限于 应对涉及DcS的信息与数据进行分类,确定数据涉密类型,如DCs网关与路由器上的网络配 a 置信息应视为保密信息; b应通过写授权来确保CS的核心和敏感信息在存储或传输过程中的保密性; e)应能提供DCS存储信息(包括备份信息)与不信任网络下安全远程会话信息的保密能力; 应能保证DCS组态信息、控制指令信息,关键工艺参数在区域边界进行传输时的保密性; d) 应能保证DCS组件的移除和更换不会造成组件上具有写授权信息的泄露; 应能阻止未授权的信息通过共享内存资源进行传输; 应能保证存储或包含DCS的核心和敏感信息的载体,在其传递或销毁过程中信息不会发生 g 泄露; h)加密方法的选择应与需要保护的信息的价值、被泄露的影响后果以及DCS控制系统的运行约 束等要素相匹配 销毁储存DcS核心和敏感信息的物理载体,可选择物理破坏或化学腐蚀等方法解决数据泄露 问题
5.7.5无线安全 5.7.5.1使用审批 本项要求包括但不仅限于 应制定使用无线连接的申报,审批及备案制度 a b)应明确与工业控制系统进行无线通信的范围 应防止用户拥有未经授权而独立配置无线联网能力
c 5.7.5.2访问控制 本项要求包括但不仅限于 a)在允许用户通过无线连接访问工业控制系统前,应对用户的身份进行鉴别;必要时还需对用户 使用的设备身份进行鉴别,禁止非授权访问 b 应能监控并告警未授权的无线连接
5.7.5.3数据安全 本项要求包括但不仅限于 应视具体应用需求,采用控制无线接人点的发射功率、无线信号屏蔽等措施,使得在工业控制 a 系统工作区域物理边界之外的信号强度在可接受的范围内;必要时,应通过测试、验证,确保达 到设计要求 b)应使用加密机制保护无线连接信道不被窃听 e)无线接人点应配置为点对点性质的无线访问 d) 应能及时禁止未使用的嵌人系统无线联网的功能
5.7.5.4未授权设备监测 本项要求包括但不仅限于: 14
GB/T33009.2一2016 5.9.3补丁管理 本项要求包括但不仅限于 a)应建立并实施补丁管理和反病毒管理程序; b 应评估并确定补丁安装对系统安全的影响,确保补丁安装后系统能够满足目标安全等级; 系统升级与维护应满足所在网络分区或环境的安全防护要求
c 5.9.4备份 本项要求包括但不仅限于 a)应建立备份与储存流程; b)应能提供当前控制系统安装的DCs组件及其属性的组件清单,清单内容至少应包括元件ID 功能与维修等级, c)应采用配置管理过程来控制清单里组件信息的更改; d)应明确DcS用户级信息、系统级信息中关键文件的身份和位置; e)应确认所备份的介质与数据能成功使用
5.9.5恢复与重构 本项要求包括但不仅限于 DCS各操作站与控制站应能提供在不影响现有安全状态的情况下切换至紧急电源的能力 bDCS各操作域与控制域应能提供从一个失败或破坏中恢复与重建到一个已知安全状态的 能力; 安全状态应包括控制系统参数已配置安全,主要补丁已安装、安全相关的配置已启用、系统文 件与运行规程可用、系统软件与应用软件重新安装与安全配置、信息已从安全备份中下载、系 统经过测试并且功能良好等方面要求
5.10供应商关系 5.10.1供应商关系中的网络安全 本项要求包括但不仅限于 a)应建立与供应商关系相关的网络安全管理规程,识别和记录供应商的类型,并定义不同类型的 供应商允许访问的信息类型,确保供应商可访问的Dcs资产的安全; 满足企业或组织对DCS网络安全要求和控制目标的条件,应记录在企业/组织与供应商签订 的协议中 应监视和评审系统运行维护过程中,每个对应的供应商类型和访问类型的操作执行过程是否 满足已经建立的网络安全管理规程; 企业或组织应能处理与供应商访问相关联的突发事件和意外事故; d 更多供应商关系中的网络安全要求可参照ISO/IEC270022013中的15.1
5.10.2供应商服务交付管理 本项要求包括但不仅限于 应监测和评审供应商服务交付水平,是否满足双方签订的协议中的网络安全条款;监控服务执 a 行级别以检查对协议的符合度; b检阅供应商产生的服务报告,并结合独立审计员的审计报告如有可能)对供应商进行审计 16
GB/T33009.2一2016 识别存在的问题; 解决和管理任何已识别的供应商服务问题 d 当供应商提供的服务发生变更时,应变更供应商协议,改进现有的网络安全策略,加强供应商 提供的现有服务; 更多供应商服务交付管理的网络安全要求可参照Iso/IEC27002一2013中的15.2 5.11信息与文件管理 5.11.1文件控制 本项要求包括但不仅限于: a)应建立DCS生命周期的文件管理流程,以维护控制系统配置的安全性、可用性与使用性; b 对所访问的信息应定义相应的保密等级及其对应的共享,复制、传输与发布等权限限制 对涉及cS的敏感信息,如控制系统设计参数、脆弱性评估结果、,网络结构信息、工业运行控 c) 制项目信息等应进行分类保护,根据信息的敏感程度以及泄漏后可能所造成的后果来决定保 护等级; d)应对需要特殊保护与处理的信息进行定期评审,以验证特殊保护是否依然需要; 应定期对信息与文件管理流程实施审计 e 5.11.2记录控制 本项要求包括但不仅限于 应建立策略与规程来确保纸质版、电子版以及其他介质内信息的更新,保留、破坏、清除等的详 a 细记录; b)应采取方法与措施确保数据在备份与记录过程中不受到破坏 5.11.3介质处置 本项要求包括但不仅限于 a)应建立信息的存储、修改,交换等介质管理规程; 应建立安全处置介质的规程 b 应避免介质老化或更新换代导致信息丢失或不能读取
5.12业务连续性规划 本项要求包括但不仅限于 a)应建立DCS业务连续性规划小组,制定业务连续性规划;小组成员应包括企业或组织的关键 股东; 应对业务连续性规划小组的成员岗位与职责进行分配,可根据职能不同建立分小组,成员应包 括DcS以及其他工业操作者 应根据组织或企业的风险容忍度与恢复目标决定关键业务与Ds子系统的重建优先级 DCS各操作域和控制域应确定相应的系统恢复目标与数据恢复目标 应明确DCs关健业务流程或系统恢复所需要的时间与资源,包括备份文件的位置、硬件、备份 频率、热备份空间等; 应确保存储备份系统(硬件、软件,文件等)的地方是安全的 应保证涉及文件管理与备份/恢复流程的多种形式(纸质,电子版)的记录有效 g h)应考虑业务活动中断对供应链以及利益相关团体可能造成的影响 17
GB/T33009.2一2016 i 应详细规划当失去email电话等通讯方式时,团队成员之间的通信联系; j 应识别进行连续性规划时所面临的风险以及如何消除这些威胁 k应根据测试计划测试备份系统的运行; 应定期对业务连续性规划进行验证,若发现不足或有缺陷的地方,需及时修订
5.13安全事件规划与响应 5.13.1规划制定 本项要求包括但不仅限于 a 应制定并实施DCS安全事件规划与响应规程,包括执行规划的责任人,事件响应队伍,协调防 卫与响应的责任制,安全事件从始至终的评审、用于对安全事件识别、分类与优先级排序的规 程,以及用于应对不同种类安全事件的规程等,识别相关责任人及其岗位要求与行为; 事件响应规划应包含DCs应用环境下可能发生的网络安全事件的分类及其对应的响应行为 b 形成文件, 事件响应规划应包含当出现安全事件时的持续性规划,包括对DCS进行隔离或恢复等 c 事件响应规划应能确保组织内部相关部门及其人员与外部组织之间保持联系
d 5.13.2安全事件上报 本项要求包括但不仅限于 a)应建立识别与报告DCs网络、操作域与控制域中不正常事件的规程; b)应对DCs操作类人员与安全管理类人员进行网络安全事件上报培训 c)应定期上报DCS网络安全事件,并保证安全事件上报的及时性; d组织或企业应协同内部IT安全部门与涉及工业控制、自动控制应用部门就DCS安全事件进 行交流
5.13.3安全事件管理与改进 本项要求包括但不仅限于 a)应详细记录DCS安全事件,所获得的教训以及所采取的行动; 应建立安全事件处理制度,明确相关人员的责任和奖惩方案,以便事后进行安全事件追责 b e)应对过去安全事件进行常规评审以改进ISMS; d 应对事件响应规划进行定期演练,根据演练结果对规划进行改进 5.14符合性 5.14.1符合法律要求 本项要求包括但不仅限于 明确定义所有与DCS相关的法令、法规和合同的要求以及满足这些要求企业或组织所采取的 a 方法,并形成文件,保持更新; 应实施适当的规程,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法 律,法规和合同的要求; 防止重要记录(如数据库记录、安全事件记录、审计日志等)的遗失,毁坏和伪造,以满足法令、 法规、合同和业务的要求 应依照相关的法律,法规和合同条款的要求,确保DCS重要工艺参数、数据的保护和隐私 18
GB/T33009.2一2016 5.14.2符合安全策略、标准,技术符合性 本项要求包括但不仅限于 管理人员应定期评审,确保在其职责范围内的所有关于DCs的安全规程被正确地执行,以确 保符合安全策略及标准; b应定期检查DCS系统与安全实施标准的符合程度
19
GB/T33009.2一2016 参 考 文 献 [1门 GB/T18044一2004信息技术安全技术信息安全事件管理指南 [2 GB/T20282一2006信息安全技术信息安全工程管理要求 [31 006企业控制系统集成第1部分;模型和术语 GB/T20720.1 的 GB/T22081一2008信息技术安全技术信息安全管理实用规则 5 G;B/T22239一2008信息安全技术信息系统安全等级保护基本要求 [们 GB/Z24364一2009信息安全技术信息安全风险管理指南 [刀 NISTSP800-53RecommendedSecurityControlsforFederalInformationSystems [8]NISTsP800-82Gudetolndustrialcontrolsystems(cS)Securitsy 20
工业自动化和控制系统网络安全集散控制系统(DCS)第2部分:管理要求GB/T33009.2-2016
随着工业自动化技术与信息技术的融合,工业自动化系统的网络安全成为人们关注的焦点。而在这个领域中,集散控制系统(DCS)是最常见的一种系统,其好处在于可以对生产过程进行实时监测和控制。
然而,由于其特殊的结构和功能,DCS也存在着网络安全方面的挑战。为了保障DCS系统的网络安全,我国发布了《工业自动化和控制系统网络安全集散控制系统(DCS)第2部分:管理要求GB/T33009.2-2016》标准。
该标准规定了DCS系统的安全管理要求,主要包括以下方面:
1. 安全管理组织要求
该要求主要包括安全管理的组织结构、职责分工和工作流程等内容,旨在确保DCS系统的安全管理得以有效实施。
2. 安全策略与规划要求
该要求主要规定了DCS系统的安全策略与规划的制定方法和内容。通过制定科学合理的安全策略和规划,可以明确DCS系统的安全目标和措施,提高DCS系统的整体安全水平。
3. 安全技术要求
该要求主要规定了DCS系统的安全技术方案和技术要求。通过采用符合国际标准的安全技术方案和技术要求,可以有效防范各种网络攻击和威胁。
4. 安全管理评估要求
该要求主要规定了DCS系统的安全管理评估要求和方法。通过对DCS系统进行安全管理评估,可以及时发现和解决潜在的安全风险,提高DCS系统的整体安全性。
除上述内容外,该标准还规定了DCS系统的安全培训要求、安全应急响应要求等内容,为保障工业自动化系统的网络安全提供了全面的管理要求和措施。
总之,在今天信息化时代,工业自动化系统的网络安全已经成为一项极其重要的任务。通过遵循GB/T33009.2-2016标准中规定的管理要求,可以有效地保护工业自动化系统的网络安全,实现生产过程的可持续发展。
工业自动化和控制系统网络安全集散控制系统(DCS)第2部分:管理要求的相关资料
- 过程工业自动化系统验收测试规范
- 工业自动化仪表盘盘面布置图的绘制方法GB/T25927-2010
- 工业自动化系统与集成过程规范语言第41部分:定义性扩展:活动扩展GB/T20719.41-2010
- 工业自动化系统与集成过程规范语言第12部分:外核GB/T20719.12-2010
- 工业自动化系统与集成产品数据表达与交换第56部分:集成通用资源:状态GB/T16656.56-2010
- 工业过程测量和控制系统用智能调节器第2部分:性能评定方法GB/T26156.2-2010
- 网络测量和控制系统的精确时钟同步协议GB/T25931-2010
- 机床电气控制系统数控平面磨床辅助功能M代码和宏参数GB/T26677-2011
- 机床电气、电子和可编程电子控制系统保护联结电路连续性试验规范GB/T26679-2011
- 机床电气控制系统数控平面磨床的加工程序要求GB/T26678-2011
- 网络入侵检测系统测试方法GB/T26268-2010
- 银行业务安全加密设备(零售)第1部分: 概念、要求和评估方法GB/T21079.1-2011
- 网络安全事件描述和交换格式GB/T28517-2012
- IPsec协议应用测试规范GB/T28456-2012
- 信息安全技术网络型入侵防御产品技术要求和测试评价方法GB/T28451-2012
- 工业自动化和控制系统网络安全集散控制系统(DCS)第4部分:风险与脆弱性检测要求GB/T33009.4-2016
- 工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南GB/T33009.3-2016
- 工业自动化和控制系统网络安全集散控制系统(DCS)第2部分:管理要求GB/T33009.2-2016
- 工业自动化和控制系统网络安全集散控制系统(DCS)第1部分:防护要求GB/T33009.1-2016
- 工业自动化和控制系统网络安全集散控制系统(DCS)第4部分:风险与脆弱性检测要求GB/T33009.4-2016
- 工业自动化和控制系统网络安全集散控制系统(DCS)第3部分:评估指南GB/T33009.3-2016
- 工业自动化和控制系统网络安全集散控制系统(DCS)第2部分:管理要求GB/T33009.2-2016
- 工业自动化和控制系统网络安全集散控制系统(DCS)第1部分:防护要求GB/T33009.1-2016
- 食品冷链物流追溯管理要求GB/T28843-2012解读
- 公共机构能源资源计量器具配备和管理要求GB/T29149-2012
- 纺织企业能源计量器具配备和管理要求GB/T29452-2012
- 制浆造纸企业能源计量器具配备和管理要求GB/T29454-2012
- 核电厂安全重要仪表和控制系统老化管理要求GB/T29308-2012
