GB/T40813-2021
信息安全技术工业控制系统安全防护技术要求和测试评价方法
Informationsecuritytechnology—Securityprotectiontechnicalrequirementsandtestingevaluationmethodsofindustrialcontrolsystems
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.030
- 实施日期2022-05-01
- 文件格式PDF
- 文本页数66页
- 文件大小6.04M
以图片形式预览信息安全技术工业控制系统安全防护技术要求和测试评价方法
信息安全技术工业控制系统安全防护技术要求和测试评价方法
国家标准 GB/T40813一2021 信息安全技术工业控制系统 安全防护技术要求和测试评价方法 nformationseeuritytechnology一Securityprotectiontechnicalrequirementsand testingevaluationmethodsofindustrialeontrolsystems 2021-10-11发布 2022-05-01实施 国家市场监督管理总局 发布 国家标涯花警理委员会国家标准
GB/40813一2021 目 次 前言 引言 范围 规范性引用文件 2 术语和定义 3 缩略语 概述 5.1ICS基本构成 5.2安全防护对象和目的 5.3安全防护措施的约束条件 安全防护技术要求 6.1物理环境安全防护 6.2网络通信安全防护 12 6.3网络边界安全防护 16 6.4工业主机安全防护 22 6.5控制设备安全防护 24 6.6数据安全防护 27 6.7防护产品安全 28 6.8系统集中管控 29 安全防护保障要求 29 7.1软件开发安全防护 7.2系统维护安全防护 31 测试评价方法 32 物理环境安全防护 8. 32 8.2网络通信安全防护 35 8.3网络边界安全防护 36 8.4工业主机安全防护 38 8.5控制设备安全防护 41 8.6数据安全防护 42 8.7防护产品安全 44 8.8系统集中管控 45 8.9软件开发安全防护 46 8. 10系统维护安全防护 46 附录A资料性网络边界安全防护典型应用参考场景 48 A.1电力 48 A.2汽车制造 49
GB/T40813一202 50 A.3石油开采 A.4轨道交通 5 A.5化工 52 A.6市政 58 54 A.7水务 56 附录B资料性数据安全保护对象 57 附录c(资料性系统集中管控典型部署方式 58 附录D资料性ICS安全防护测试评价流程 6 参考文献 图A.1电力监控系统网络边界安全防护典型部署方式 49 49 图A.2汽车制造厂网络边界安全防护典型部署方式 50 A.3采油厂网络边界安全防护典型部署方式 图 A.4轨道交通网络安全防护典型部署方式 52 图 A.5 53 图 化工厂网络边界安全防护典狠部署方式 图A.6市政燃气网络边界安全防护典型部署方式 54 55 自来水厂网络边界安全防护典型部署方式 图 图B.1 数据安全保护对象示意图 56 图c.1系统集中管控典型部署方式 57 图D.1ICS安全防护测试评价流程图 58
GB/40813一2021 前 言 本文件按照GB/T1.1一2020<标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别专利的责任
本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本文件起草单位:上海三零卫士信息安全有限公司、信息安全测评中心、电子技术标准化 研究院、网络安全审查技术与认证中心、公安部第三研究所、石化上海高桥石油化工有限公司 上海工业自动化仪表研究院有限公司、中移(杭州)信息技术有限公司、国家信息技术安全研究中心 上海核工程研究设计院有限公司、北京天融信网络安全技术有限公司、北京和利时系统工程有限公司 上海市信息安全测评认证中心,北京圣博润高新技术股份有限公司、陕西省网络与信息安全测评中心 北京威努特技术有限公司、电子科技网络信息安全有限公司、电子科技集团公司第十五研究 所、西南交通大学、国家工业信息安全发展研究中心,国家应用软件产品质量监督检验中心、航空油 料集团有限公司、电子科技集团公司电子科学研究院、成都卫士通信息产业股份有限公司、北京奇 、江苏敏捷科技股份有 虎科技有限公司.奇安信科技集团股份有限公司电力科学研究院有限公司、 限公司、卡斯柯信号有限公司、上海申通地铁集团有限公司、青岛地铁集团有限公司、上海电气泰雷兹交 通自动化系统有限公司、北京交通大学、智巡密码上海检测技术有限公司、北京市地铁运营有限公司 通信信号分公司、全球能源互联同研究院有限公司、吉林省电子信息产品检验研究院、深信服科技股份 有限公司、矿业大学(北京)、国网新疆电力有限公司电力科学研究院、华电集团有限公司、 平安保险(集团)股份有限公司、中科信息安全共性技术国家工程研究中心有限公司、上海工业控制安全 创新科技有限公司、华东师范大学、北京和仲宁信息技术有限公司、华能集团有限公司、柳州市东科 智慧城市投资开发有限公司、石油天然气股份有限公司西北销售分公司、石油天然气股份有限 公司长庆石化分公司、北京中油瑞飞信息技术有限责任公司
本文件主要起草人;张毅、干露、李绪国、饶志宏,李斌、李、顾健、高洋,李琳,申永波、陆臻、邹春明、 徐国忠、王英、陆炜、郭旭、袁专、毛磊、安高峰、刘盈、徐佟海、赵宇、杨帆、杨向东、冯全宝、唐林、兰昆 董晶晶、王丹琛、,陈雪鸿、王坤、赵振学,司瑞彬,李瑞、张屹、王、李凌、倪海燕、崔科、李建全、王大庆、 左旭涛、高翔、唐涛、郭筝、郭一力、梁潇、华颜涛、叶润国,谭波,李峰,舒斐,李辉、于惊涛、孟源,胡建勋 蒲戈光、刘虹、陈铭松、纪璐、杨硕、石永杰、于慧超、王飞、张兴、王小宏、赵朋
GB/T40813一2021 引 言 本文件结合国家已发布的法律法规、政策性文件和标准,并重点根据GB/T22239一2019《信息安 全技术网络安全等级保护基本要求》增加和细化安全防护技术指标、控制点和控制项,为相关方开展 工业控制系统安全等级保护和日常安全防护工作提供更具操作性的依据
与本文件相关的标准化文件包括 GB/T22239一2019信息安全技术网络安全等级保护基本要求》 G;B/T28448一2019(信息安全技术网络安全等级保护测评要求》; GB/T363232018(信息安全技术工业控制系统安全管理基本要求》 GB/T36324一2018《信息安全技术工业控制系统信息安全分级规范》; GB/T37980一2019信息安全技术工业控制系统信息安全检查指南》
IN
GB/T40813一2021 信息安全技术工业控制系统 安全防护技术要求和测试评价方法 范围 本文件规定了工业控制系统安全防护技术要求、保障要求和测试评价方法
本文件适用于工业控制系统建设、运营、维护等
规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件
GB/T73531999工业自动化仪表盘、柜、台、箱 GB/T22239一2019信息安全技术网络安全等级保护基本要求 GB/T25069一2010信息安全技术术语 信息安全技术工业控制系统信息安全分级规范 GB/T36324一2018 信息安全技术工业控制系统专用防火墙技术要求 GB/T379332019 术语和定义 GB/T222392019,GB/T25069-2010,GB/T36324一2018和GB/T379332019界定的以及 下列术语和定义适用于本文件
3.1 工业控制资产industrialcontrolasset 工业生产控制过程中具有价值的软硬件资源和数据
注:包括控制设备、工业主机、网络设备,应用程序、工业数据等
3.2 中心控制室centrlcontrolrom 位于组织内,具有生产操作、过程控制、安全保护、仪器仪表维护和生产管理等功能的综合性场所
3.3 现场控制室fiedcontrolroom 位于组织内生产现场,具有生产操作、过程控制和安全保护等功能的场所 3.4 现场机柜室fiedauxiliaryroom 位于组织内生产现场用于安装工业控制系统机柜及其他设备的场所
3.5 控制设备 controlequipment 工业生产过程中用于控制执行器以及采集传感器数据的装置
注;包括DcS现场控制单元.PLc以及RTU等进行生产过程控制的单元设备
GB/T40813一2021 3.6 工业主机industrialhost 工业生产控制各业务环节涉及组态、工作流程和工艺管理、状态监控运行数据采集以及重要信息 存储等工作的设备
注:包括工程师站、操作员站、服务器等
3.7 双机热备 dual-machinehotstandlby 通过网络连接主机和从机,正常情况下主机处于工作状态,从机处于监视状态,旦主机异常,从机 自动代替主机
缩略语 下列缩略语适用于本文件
APT;高级持续性威胁(AdvancedPersistentThreat) CPE:客户前置设备(Cu ustomerPremise Eaqipmen Dcs;分布式控制系统(DistributedcontrolSystenm) DNP:分布式网络协议(DistributedNetworkProtocol FTP:文本传输协议(FileTransferProtocol HMI:人机界面(HumanMachineInterface) HTTPs:以安全为目标的超文本传输协议通道(HyperTextTransferProtocoloverSecureSocket Layer 1Cs;工业控制系统(IndustrialControlsystenm) ernationalElectrotechnicalCommission EC;国际电工委员会(Inte IP:互联网协议(InternetProtocol Psec;互联网安全协议(InternetProtocolsSecurity MAC:;媒体存取控制(MediaAccessControl OLE:对象连接与嵌人(ObjectLinkingandEmbedding oPC;用于过程控制的oLE(oLEforProcessControD) rogrammableLogicController PLC;可编程逻辑控制器(Pro RPO;恢复点目标(RecoveryPointObjeetive RTo;恢复时间目标(RecoveryTimeObjective) emoteTerminalUnit RTU:远程终端单元(Rer SCADA:监视控制与数据采集(SupervisoryControlandDataAequisition) SNMP简单网络管理协议(SimpleNetworkManagementProtocol ecureShell SSH:安全外壳(Sec SSL;安全套接层(SeeureSocketLayer) TCP;传输控制协议(TransmissionControlProtocol VPN;虚拟专用网络(VirtualPrivateNetwork) wAF:网络应用防火墙(webApplicationFirewall
GB/40813一2021 概述 5.1Ics基本构成 按GB/T36324一2018中4.l,ICS包括但不限于以下部分
核心组件:包括sCADA,DCs,PLC等控制系统和控制设备,以及各组件通信的接口单元
a b)控制过程;由控制回路、工业主机、远程诊断与维护工具三部分完成,控制回路用以控制逻辑运 算,工业主机执行信息交换,远程诊断与维护工具用于出现异常操作时进行诊断和恢复 结构层次;参考GB/T22239一2019中附录G,,ICS及相关联系统从上到下共分为企业资源层 生产管理层、过程监控层,现场控制层和现场设备层等五层
在实际工业生产环境中,可出现 相邻两层的功能由一个系统、设备来实现即在物理上并未分开
5.2安全防护对象和目的 本文件中Ics安全防护对象包括;现场设备层,现场控制层和过程监控层工业控制资产 本文件给出了物理环境安全防护等八项技术要求指标和软件开发安全防护等两项保障要求指标, 安全防护目的包括如下内容
安全防护技术要求 物理环境安全防护的目的是防止人员未经授权访问损坏和干扰ICS资产,避免受到外部 物理环境因素影响,保护ICS的外部运行环境; 网络通信安全防护的目的是保护ICS中传输的数据的完整性和保密性,维护ICs内部以 及与外部网络之间信息的安全传输; 网络边界安全防护的目的是安全访问ICSs,避免非授权访问,及时发现并有效保护ICS免 受恶意人侵和攻击,部分行业的应用场景见附录A 工业主机安全防护的目的是有效控制工业主机访问行为,避免非授权访问,防止工业主机 受到非法人侵或造成工业数据泄漏; 控制设备安全防护的目的是安全访问控制设备,阻止非授权访问,避免控制设备受到恶意 人侵、,攻击或非法控制 数据安全防护的目的是保护数据全生存周期的完整性和保密性,防止未经授权使用和处 理数据,恶意篡改和窃取数据等现象发生,数据安全防护对象见附录B; 防护产品安全的目的是产品功能安全可靠、管控策略有效,避免因产品自身功能缺陷给 CS的正常运行带来安全隐患; 系统集中管控的目的是集中维护和管控ICS,统一制定与部署安全策略,集中响应安全事 件,典型部署方式见附录c
b)安全防护保障要求 软件开发安全防护的目的是控制ICS软件的安全开发,避免软件自身存在安全隐患 1 22 系统维护安全防护的目的是有效控制系统维护过程,避免系统在维护过程中受到干扰,恶 意人侵,或发生数据泄露、被破坏或篡改等现象
本文件提出的安全防护技术要求和保障要求分为四个等级,与GB/T22239-2019,GB/T36324 2018提出的相应安全保护等级要求保持一致,并按梯次推进的方式给出了不同安全保护等级ICS所对 应的技术要求和保障要求
测试评价方法是针对ICS运营单位执行本文件安全防护技术要求和保障要求的情况进行测试评 价的一般方法,也可根据自身关注点自行调整测试评价指标
测试评价流程见附录D.
GB/T40813一2021 5.3安全防护措施的约束条件 ICS安全防护措施的约束条件包括: ICS采用的网络边界隔离等技术防护手段应符合国家和所在行业规定要求,并采用经具备资 a 格的第三方机构检测合格的安全产品; 数据传输和存储过程中所采用的密码技术应经过国家密码主管部门核准 b e 1CS与涉密信息系统之间连接应符合国家保密规定和相关标准要求; d 任何情况下都不应因采用安全防护技术措施而影响ICs的正常运行或对系统的安全功能产生 不利影响,例如;不应锁定用于基本功能的账户,不应因部署安全措施而显著增加延迟并影响 系统的响应时间、不应因安全措施失效导致系统的基本功能中断等; 在符合本文件提出的技术要求时,如经评估对可用性有较大影响而无法实施,可调整要求并研 究制定相应的补偿防护措施,但采取补偿防护措施后不应降低原有要求的整体安全防护强度
6 安全防护技术要求 6.1物理环境安全防护 6.1.1位置选择 6.1.1.1 第一级 机房、中心控制室、现场控制室应位于具有防震能力的建筑物内,并应具有所在建筑物符合当地抗 震设防标准的证明
6.1.1.2第二级 本项要求包括 应符合6.1.1.1; a b)机房、中心控制室、现场控制室应避免设在建筑物的高层或地下室,以及用水设备的下层或隔 壁,如不可避免,应采取有效的防水、防潮措施
6.1.1.3第三级第四级 本项要求包括 应符合6.1.1.2; a bb) 机房、中心控制室、现场控制室应避开发生火灾危险程度高的区域; c 机房、中心控制室,现场控制室应避开产生粉尘、油烟、有害气体源以及存放腐蚀、易燃、易爆物 品的地方; 机房、中心控制室、现场控制室应避开低洼、潮湿、落雷、重盐害区域和地震频繁的地方 d e 机房、中心控制室,现场控制室应避开强振动源和强噪声源, fD 机房中心控制室,现场控制室应避开强电磁干扰源; 如以上无法避免,应采取相应措施
8 6.1.2访问控制 6.1.2.1第一级第二级 本项要求包括
GB/T40813一2021 来访人员进人机房,中心控制室、现场控制室前应提出申请并通过审批,应记录其随身携带的 a 设备,进出时间和工作内容,应有专人陪同并限制和监控其活动范围; b 机房、中心控制室出人口应安排专人值守或配置电子门禁系统,控制、识别和记录人员的进出, 人员进出记录应至少保存六个月
6.1.2.2第三级 本项要求包括: 应对机房、中心控制室、现场控制室划分不同管理区域,应将设备区域和维护操作区域分离 a b 应对主机房、中心控制室,现场控制室的重要工程师站、数据库,服务器等核心工业控制资产所 在区域采取视频监控或专人值守等防护措施; 来访人员进人主机房、中心控制室、现场控制室前应提出申请并通过审批,应记录其随身携带 的设备、进出时间和工作内容,应有专人陪同并限制和监控其活动范围;设备使用前应进行系 统扫描使用过程中应进行行为监测,带出前应对工作日志等进行审计; d 机房、中心控制室出人口应配置电子门禁系统,控制、识别和记录人员的进出,人员进出记录应 至少保存六个月
6.1.2.3第四级 本项要求包括: 应符合6.1.2.2 a b)主机房、中心控制室的重要区域应配置第二道电子门禁系统,控制、识别和记录人员的进出,人 员进出记录应至少保存六个月
6.1.3防盗窃和防破坏 6.1.3.1 第一级 本项要求包括 应将服务器、路由器,交换机等主要设备放置在主机房、中心控制室或现场控制室等建筑物内; aa b) 应将室外控制设备安装在采用金属材料制作且具有防盗能力的箱体或装置中; 应将设备或主要部件进行固定,并设置明显的不易除去的粘贴标签或铭牌等标记
c 6.1.3.2第二级 本项要求包括: 应符合6.1.3.l; aa 5 应将通信线缆铺设在隐蔽处,可铺设在管道中
6.1.3.3第三级一第四级 本项要求包括: 应符合6.1.3.2 a b 应采用光,电等技术设置机房,中心控制室、现场控制室防盗报警系统或设置有专人值守的视 频监控系统; 应对机房、中心控制室、现场控制室的控制台等重要区域进行视频监控,监控记录应至少保存 三个月
GB/T40813一2021 6.1.4防雷击 6.1.4.1 第一级第二级 本项要求包括 应对室外控制设备电源、信号线路加装避雷器或浪涌保护器,并将金属管线就近接地 a b)应根据室外控制设备分布,在设备集中位置设置接地汇流排,均压环、均压网等等电位连接装 置;所有设备、金属机架,外壳管、槽等应就近接地,并应符合等电位连接要求; 机房、中心控制室、现场控制室、现场机柜室应在所在建筑物防雷措施基础上采取加强防雷击 措施; d 机房、中心控制室、现场控制室、现场机柜室等各类机柜、设施和设备等应通过接地系统安全 接地
6.1.4.2第三级第四级 本项要求包括 a 应符合6.1.4.l; b)应对机房、中心控制室、现场控制室、现场机柜室所在建筑物设置防雷保安器或过压保护装置 等防感应雷措施 6.1.5防火 6.1.5.1 第一级 本项要求包括 应将室外控制设备安装在采用金属材料或其他防火隔热材料制作且具有防火能力的箱体或装 a 置中 b)机房、中心控制室、现场控制室,现场机柜室应配置灭火器,配置的灭火器类型,规格、数量和位 置应符合国家标准的要求,灭火所用的介质不宜造成二次破坏
6.1.5.2第二级 本项要求包括 应符合6.1.5.1: a b) 机房、中心控制室、现场控制室、现场机柜室应设置火灾自动消防系统,应能自动检测火情、自 动报警,并应具有自动灭火功能 机房、中心控制室、现场控制室的内部装修材料应采用符合国家标准的难燃烧材料和非燃烧 c 材料
6.1.5.3第三级一第四级 本项要求包括 应符合6.1.5.2 a b 应对机房、中心控制室,现场控制室划分不同管理区域,区域间应设置隔离防火措施,并应将重 要设备和其他设备隔开; 当机房作为独立建筑物时,建筑物的耐火等级应不低于该建筑物所对应的设计防火规范中规 定的二级耐火等级; 当机房位于其他建筑物内时,该机房与其他部位之间应设置耐火等级不低于2h的隔墙或隔
GB/40813一2021 离物,隔墙上的门应采用符合国家标准的甲级防火门
6.1.6防水和防潮 6.1.6.1 第一级 本项要求包括: 应将室外控制设备安装在采用金属材料或其他材料制作且具有防水能力的箱体或装置中 a b)无关的给排水管道不应穿过机房、中心控制室、现场控制室,相关的给排水管道应有可靠的防 渗漏措施; 机房、中心控制室、现场控制室外墙壁应采用无窗设计或采用双层固定窗并作密封、防水处理 c d 如机房、中心控制室、现场控制室周围有用水设备,应有防渗水和导流措施 应采取措施防止雨水通过机房、中心控制室,现场控制室的窗户,屋顶和墙壁渗透到机房、中心 控制室,现场控制室内
6.1.6.2第二级 本项要求包括 应符合6.1.6.1 a b)应采取措施防止机房、中心控制室、现场控制室内发生凝露和地下积水转移或渗漏现象
6.1.6.3第三级一第四级 本项要求包括: 应符合6,1.6.2; a b) 应安装对水敏感的检测仪表或传感器,并对机房,中心控制室、现场控制室应在漏水隐患处设 置漏水检测报警系统
6.1.7防静电 6.1.7.1第一级第二级 本项要求包括 机房、各控制室、现场机柜室应采用防静电地板或地面; a b)应对机房、各控制室、现场机柜室内的设备采取必要的接地防静电措施; 机房、各控制室,现场机柜室内易产生静电的地方,可采用静电消除剂和静电消除器; c d)室外控制设备应就近接地,并应设置人工接地装置
6.1.7.2第三级第四级 本项要求包括 应符合6.1.7.1 aa b 应符合GB/T222392019中8.1.1.7b)
6.1.8防爆 本项要求包括 对于存在爆炸危险的组织,主机房、中心控制室应位于爆炸危险区域外,其建筑物的建筑结构 a 应根据抗爆强度分析结果进行设计; b)对于存在爆炸危险的生产车间(装置),现场控制室、现场机柜室应位于爆炸危险区域外,应根
GB/T40813一202 据安全专业抗爆强度分析结果确定是否设计为抗爆结构,应根据不同的易爆因素设置监测报 警装置
6.1.9防鼠害 本项要求包括 应采用防火材料封堵机房、中心控制室,现场控制室,现场机柜室的孔,洞; a D)应对易受鼠害的机房、中心控制室、现场控制室,现场机柜室内的缆线采取防护措施
6.1.10温湿度控制 6.1.10.1 第一级 本项要求包括 应在机房内设置必要的温、湿度调节装置,并使温、湿度控制在设备工作允许范围内,其中:开 a 机时温度、相对湿度和温度变化率宜符合GB/T2887一201l表2中C级要求,停机时温度、相 对湿度和温度变化率宜符合GB/T2887一201l表3中C级要求;应有对主机房内的温、湿度 监测记录; b 应在中心控制室,-现场控制室和现场机柜室内设置必要的温,湿度调节装置,并使温,醒度控制 在设备工作允许范围内,其中温度宜控制在冬季20C士2C,夏季24C土2C,温度变化率 小于5C/h;相对湿度宜控制在40%一60%,湿度变化率小于6%/h; 按GB/T7353一1999中6.9,工业控制台)柜环境温度应控制在一5C一40C,相对湿度应控 制在40%~90%
6.1.10.2第二级一第四级 本项要求包括 应符合6.1.10.1b)和c); a b) 应在机房内设置必要的温、湿度调节装置,并使温、湿度控制在设备工作允许范围内,其中;开 机时温度、相对湿度和温度变化率宜符合GB/T2887一2011表2中B级要求,停机时温度、相 对湿度和温度变化率宜符合GB/T2887一2011表3中B级要求;应有对主机房内的温、湿度 监测记录装置
6.1.11电力供应 6.1.11.1第一级 应在机房、中心控制室供电系统中设置稳压稳频装置和过电压防护设备,供电系统的容量应具有 定的余量
6.1.11.2第二级 本项要求包括 应符合6.1.11.l a D)应为机房、中心控制室,现场控制室,现场机柜室配备不间断电源等短期备用电力供应装置,并 应满足设备在断电情况下的持续供电时间不低于20min
6.1.11.3第三级 本项要求包括
GB/40813一2021 应符合6.1.11.2; a b)应采用冗余或并行的电力电缆线路为机房、中心控制室的计算机系统供电,输人电源应采用双 路市电自动切换供电方式
6.1.11.4第四级 本项要求包括: 应符合6,1.11.3 a b) 应为机房、中心控制室设置双路市电(或市电、备用柴油发电机)和不间断电源系统,并应满足 为关键设备在断电情况下持续供电2h以上
6.1.12 电磁防护 6.1.12.1 第一级 本项要求包括 处于强电磁干扰区和有保密要求的机房应设置电磁屏蔽室; a b)应符合GB/T22239一2019中6.5.1.lb).
6.1.12.2第二级 本项要求包括: a 应符合6.1.12.l; b 应符合GB/T22239-2019中7.1.1.10; 电力电缆不宜穿过中心控制室、现场控制室,当受条件限制需要穿过时,应采取屏蔽措施 c d对集中存储、处理、传输敏感数据的设备,应考虑电磁信息泄露防护措施
6.1.12.3第三级 本项要求包括: 应符合6,1.12.2 a b) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰 应对重要工艺控制环路所涉及设备采取免受无线注人攻击和干扰的风险防护措施 c 应对涉及敏感数据的关键设备和磁媒体采取防敏感信息泄露或受到电磁攻击的电磁屏蔽 d 措施 6.1.12.4第四级 本项要求包括: 应符合6.1.12.3[6.1.12.3d)除外]; a b)应对涉及敏感数据的关键设备和磁媒体或关键区域采取防敏感信息泄露或受到电磁攻击的电 磁屏蔽措施
6.2网络通信安全防护 6.2.1网络架构 6.2.1.1第一级 本项要求包括:
GB/T40813一202 应绘制与当前相符的ICS网络拓扑图,整理设备清单和核心网络设备配置文件并定期备份更 a 新,主要包括;设备名称、型号,网络地址等信息以及网段划分、路由,安全策略配置等信息 CS应单独划分网络区域,并应与组织其他信息系统位于不同的网络区域内 b 应根据IC'S区域重要性和业务需求进行安全区域划分,系统不同层次之间、同一层次不同业务 c 单元之间应划分为不同的安全防护区域 应对I(CS的开发,测试,运维和生产分别提供独立环境 d e 应通过路由控制在业务终端与业务服务器之间建立安全的访问路径
6.2.1.2第二级 本项要求包括 应符合6.2.1.1 a b) 应符合GB/T22239-2019中7.1.2.1b); c 应符合GB/T222392019中7.5.2.lc)
6.2.1.3第三级 本项要求包括 a 应符合6.2.1.2; b) 单个ICS可单独划分安全域并可划分独立子网,每个安全域应尽量少设置网络出口; c 网络设备的业务处理能力应满足业务高峰期需要,并具备冗余空间 d 网络各个部分的带宽应满足业务高峰期需要,并具备冗余空间 通信线路,关键网络设备和关键计算设备的硬件应进行冗余配置
e 6.2.1.4第四级 本项要求包括 应符合6.2.1.3; a b) 应符合GB/T222392019中9.1.2.1f)
6.2.2通信传输 6.2.2.1第一级 本项要求包括: cs与组织其他信息系统之间交换数据时,应在网络接口处对应用协议报文进行分析,并应通 a 过访问控制机制控制两网之间的数据交换行为,仅允许交换符合安全策略的指定格式的数据; s内都不同安全城之间进行前息交换时,应对orc.Poim等工业拉制协议的数据包进行 b 解析,并能及时发现异常通信行为 现场控制设备与工程师站等上位监控系统之间应使用唯一的信息交换接口接收所有数据并对 用户的合法性进行验证 d 数据传输过程中安全设备不应对ICS的实时性产生影响 e 应符合GB/T22239一2019中6.1.2.1 6.2.2.2第二级 本项要求包括 应符合6.2.2.1; a 10
GB/T40813一2021 b)通过广域网交换控制指令或相关数据时,应采用加密认证技术实现身份鉴别,访问控制和数据 加密传输
6.2.2.3第三级 本项要求包括: 应符合6.2.2.2[6.2.2.le)除外]; a b) 应符合GB/T222392019中8.1.2.2a); 应符合GB/T222392019中8.1.2.2b)1 c 应符合GB/T22239-2019中8.5.3.3e). d 6.2.2.4第四级 本项要求包括 应符合6.2.2.3[6.2.2.3b)除外; a b 应符合GB/T222392019中9.1.2.2a); 通信前应采用sSL,IPSec等基于密码技术的协议对通信双方进行会话初始化验证,并应在通 过加解密验证后通信; d 应符合GB/T22239一2019中9.1.2.2d).
6.2.3网络设备防护 6.2.3.1 -级 第 本项要求包括: 应对登录网络设备的用户进行身份鉴别 aa b 应通过采取结束会话、限制非法登录次数和网络登录连接超时自动退出等策略,实现登录失败 处理功能 非法登录次数达到预设值时,应记录相应日志,并向网络管理主机发送报警信息 c d 对网络设备进行远程管理时,应采取防止鉴别信息在网络传输过程中被窃取的措施
6.2.3.2第二级 本项要求包括 应符合6.,2.3.1 a b 应及时修改默认用户和默认口令,口令长度应不少于8位且为字母、数字或特殊字符的组合 用户名和口令不应相同,不应明文存储口令,每三个月应更换一次口令; 网络设备的标识应唯一,不应使用网络地址等易被仿冒的设备标识; c 同一网络设备的用户标识应唯一,多个人员不应共用一个账号; d 应对网络设备的管理员登录地址进行限制; e f 应关闭不需要的网络端口和服务,如使用sNMP服务应采用安全性增强版本,并应设定复杂 的共享控制字段不应使用公共或私有的默认字段
6.2.3.3第三级 本项要求包括: 应符合6.2.3.2; a b 应实现管理员等设备特权用户的权限分离,如系统不支持,应通过采取其他技术措施对管理员 11
GB/T40813一202 的操作行为进行审计,且管理员无权对审计记录进行操作
6.2.3.4第四级 本项要求包括 a 应符合6.2.3.3 D)应采用口令,密码和生物识别等两种或两种以上组合的鉴别方式对用户身份进行鉴别,且其中 至少一种鉴别方式应使用密码技术实现 6.2,4可信验证 6.2.4.1 第一级 应符合GB/T22239一2019中6.1.2.2 6.2.4.2第二级 应符合GB/T22239一2019中7.1.2.3 6.2.4.3第三级 应符合GB/T222392019中8.1.2.3
6.2.44第四级 应符合GB/T222392019中9.1.2.3
6.3网络边界安全防护 6.3.1安全区域划分 本项要求包括 ICs与组织其他信息系统间应具有明确的网络边界 a b) 应基于自身业务特点将IcS内部划分为不同的安全域,安全域的划分应有利于在同一安全域 内部署统一的安全防护策略.并能对内部数据的访问和传输进行合理控制 应将ICS的开发、测试和生产环境分别置于不同的网络区域,区域间应进行物理或逻辑隔离
c 6.3.2边界隔离 6.3.2.1第一级 本项要求包括: ICs与组织管理信息系统等其他系统间应采取技术隔离措施; a b) ICS内部不同安全域之间应部署具有访问控制功能或具有相当功能的安全隔离设备
6.3.2.2第二级 本项要求包括: 应符合6.3.2.1 a b应在ICS内部不同安全域之间采取必要的边界隔离机制,对接人ICS的设备进行识别和管控, 仅允许经过授权的设备接人系统,并在防护机制失效时及时进行报警
12
GB/40813一2021 6.3.2.3第三级 本项要求包括: 应符合6.3.2.2[6.3.2.la)除外]; aa 5 ICs与组织管理信息系统等其他系统之间应进行物理隔离,如有信息交换需求,应采用单向技 术隔离手段,单向隔离装置的策略配置应安全有效 CS与广域网的纵向交界处应设置访问控制设备,设备的策略配置应安全有效,并应实现双向 身份核验、访问控制和数据加密传输 应符合GB/T222392019中8.1.3.lb); d 应符合GB/T222392019中8.1.3.le); e fD 应采取无线安全检测防护措施并识别和阻断未经授权的无线设备接人工业控制网络,应具有 对无线扫描、,无线破解、无线拒绝服务等攻击行为进行检测和阻断的功能
6.3.2.4 第四级 本项要求包括 应符合6.3.2.3 a b 应在ICS不同区域边界采用ICS专用防火墙等访问控制设备,对OPC,Profinet等常见工业控 制协议进行深度包检测和恶意代码过滤,对进出区域边界的数据进行控制,阻止非授权访问、 常见网络攻击以及利用工业控制协议漏洞伪装成工业控制协议报文而进行的高级攻击,并在 防护机制失效时及时报警; 应符合GB/T22239一2019中9.1.3.le); d 应符合GB/T22239一2019中9.1.3.1f. 6.3.3访问控制 6.3.3.1第一级 本项要求包括: 应在ICS与组织其他信息系统之间设置访问控制规则,部署访问控制设备,默认情况下受控接 a 口仅允许交换符合安全策略的指定格式的数据,禁用任何穿越区域边界的E-Mail、Telnet、 Rogin、FTP等通用网络服务 b 应符合GB/T222392019中6.1.3.2b); 应符合GB/T22239一2019中6.1.3.2c); c d 应符合GB/T222392019中6.5.3.2a); 应符合GB/T222392019中6.5.3.2b)1 e 应对各类物联网感知终端接人设置身份鉴别机制,边界访问控制机制应具有隔离功能,可设置 fD 数据包的源和目的端口号、网络地址和MAC地址绑定等规则,包括添加、删除、修改、复制、导 人、导出和保存规则等
6.3.3.2第二级 本项要求包括: 应符合6.3.3.1I[6.3.3.le)除外]; a b 应根据网络边界安全控制策略,通过检查数据包的源地址、目的地址、传输协议、所请求的服务 等,及时制止不符合安全控制策略的数据包进出该边界; 13
GB/T40813一202 应能根据会话状态信息为数据流提供允许或拒绝访问的能力,控制粒度为端口级 c d 应根据数据的敏感标记允许或拒绝数据通过网络边界; 边界的网络控制设备应根据用户与系统之间的允许访问规则,允许或拒绝对受控系统的资源 e 访问,控制粒度为单个用户; 部署在Ics区域边界的IcS专用防火墙等访问控制设备应具备双机热备能力,当主防火墙自 身出现断电或其他软硬件故障时,备用防火墙应能及时发现并接管主防火墙进行工作 g)按GB/T222392019中7.5.3.2:; h) 应对所有参与无线通信的用户(人员、软件进程或设备)进行授权以及执行或使用进行限制
6.3.3.3第三级 本项要求包括 应符合6.3.3.2 a b) 应符合GB/T 222392019中8.5.3.2b); c 应符合GB/T22239一2019中8.5.3.3d). 6.3.3.4 第四级 本项要求包括 a 应符合6.3.3.3; b)应符合GB/T22239一2019中9.1.3.2e); c 应符合G;B/T22239一2019中9.5.3.2c). 6.3.4安全审计 6.3.4.1 第一级 无要求
6.3.4.2第二级 本项要求包括: 应在ICSs网络边界,IcS内部不同安全区域边界以及重要网络节点部署专用审计设备,或启动 a 网络设备系统)的审计功能并进行安全审计,审计范围应覆盖到ICS的每个用户,审计内容应 包括;设备运行状况、网络流量、用户行为、重要系统命令使用和重要安全事件等 审计测试仅限于对软件和数据的只读访问,非只读的访问仅用于对系统文件的单独复制,审计 b 完成时应擦除这些复制或按审计文件要求保留这些文件并给予适当保护; 如审计测试会影响系统的可用性,应在非业务时间进行; 应具备使用内部时钟为审计记录生成日期和时间等时间戳的功能; d e 应能发现并发出审计失败的警告,并具备重启审计的功能; D 应定义审计闵值,当存储空间接近极限时,应采取备份覆盖等安全措施以正常执行审计功能 当审计要求和活动涉及对运行系统验证时,应事先与管理者确定访问系统和数据的审计要求 g 并获批准; h 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录和保护并定期备 份,避免受到未预期的删除、修改或覆盖等,记录保存时间应不少于六个月; 应具备拒绝远程访问审计记录的功能,仅允许授权用户根据授权范围访问审计记录 j 应根据ICS的统一安全策略实现集中审计,应定期自动统计分析所采集的审计记录并形成报 14
GB/T40813一2021 告,应具备审计记录的查询、输出、备份等功能;对未列人集中审计范围的设备,应定期人工采 集审计数据,导人集中审计平台并进行统计分析; k5 应具备集中管理审计事件的能力,包括:用户登录/退出事件,连接超时事件、配置变更、时间 日期变更、审计接人、用户名/口令创建和修改等 6.3.4.3第三级第四级 本项要求包括: 应符合6.3.4.2; a b 应能对远程访问的用户行为,使用互联网的用户行为等单独进行行为审计和数据分析 应具备保护审计工具和审计进程的功能,避免受到未授权访问、修改、删除或覆盖等行为的 c 破坏
6.3.5入侵防范 6.3.5.1 第一级 无要求
6.3.5.2第二级 本项要求包括: 应在网络和区域边界监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻 a 击、碎片攻击和网络蠕虫攻击等攻击行为; 应在交换机、路由器等关键网络节点处采用人侵检测和防御技术,检测、防止或限制从外部或 b 从内部发起的网络攻击行为; 采用的人侵检测技术应支持对OPC、,Profinet等常见工业控制协议的识别和分析,并应对异常 的工业控制指令,数据进行识别和告警
6.3.5.3第三级一第四级 本项要求包括 应符合6.3.5.2; aa 应监视工业控制网络内的流量数据包,应实时获取数据包并用于检测分析,应能对蠕虫病毒 b 木马等网络攻击特别是APT等新型网络攻击行为进行检测和分析.且不影响工业控制设备正 常运行; 当检测到攻击行为时,应记录攻击源网络地址、目的网络地址、攻击类型、攻击目的、攻击时间 等,在发生严重人侵事件时应报警
6.3.6恶意代码防范 6.3.6.1第一级 本项要求包括: a ICs与组织其他信息系统之间通信时,应通过部署恶意行为防范机制对应用协议进行安全 检测; b 应维护恶意代码库的升级和检测系统的更新,更新前应通过安全性和兼容性测试 防恶意代码软件应能监测可能被用于感染系统和向其他系统传播恶意软件的应用程序的 活动; 15
GB/T40813一202 d 应及时清理注册表、恶意锁定主页等被恶意软件修改的启动选项; e 应及时清理系统中存在的木马、病毒和恶意代码程序
6.3.6.2第二级 本项要求包括: 应符合6.3.6.1: a 应在关键网络节点处采取恶意代码检测与防范手段并对网络中传输的恶意代码进行检测和清 b) 除,维护恶意代码防护机制的升级和更新但不应影响正常的业务数据传输 应支持检测已知的病毒、木马、蠕虫,勒索软件及针对PLC的专用恶意代码 c 应在检测到恶意代码时告警,并记录攻击源网络地址、目的网络地址、恶意代码类型名称、危害 d 程度、攻击时间、攻击方式和执行流程,应探测其攻击源头,实现对恶意软件的追溯
6.3.6.3第三级一第四级 本项要求包桥 a 应符合6.3.6.2; 应在Ics网络和区域边界部署恶意代码防护设备,应能探测恶意人侵等行为并及时发送至安 b 全管理中心
6.3.7可信验证 6.3.7.1 第一级 应符合GB/T22239一2019中6.1.3.3 6.3.7.2 第二级 应符合GB/T22239一2019中7.1.3.6 6.3.7.3第三级 应符合GB/T222392019中8.1.3.6
6.3.7.4第四级 应符合GB/T222392019中9.1.3.6
6.4工业主机安全防护 6.4.1身份鉴别 6.4.1.1 第一级 本项要求包括 主机设备使用前应标识,并保持设备标识在整个生存周期的唯一性; a b 在启动移动工程师站等移动主机设备并接人ICS时,应对设备的真实性进行鉴别 应强化工业主机的登录账户及口令,重命名或删除默认账户,修改默认账户的默认口令; c d 应对登录的用户身份进行标识和鉴别,标识具有唯一性; 用户身份认证证书的传输和存储应安全可靠,应避免在未授权的情况下使用证书,不应在不同 系统和网络环境下共享身份认证证书 16
GB/T40813一2021 fD 应具备登录失败处理功能,多次登录失败后应结束会话、限制非法登录次数并自动退出;对高 可用性的控制系统,应保留其数据采集,逻辑控制、网络通信和系统报警等基本功能,取消用户 对系统的参数修改等较高级别权限并将登录权限降至最低 登录用户执行更改配置等重要操作时应再次进行身份鉴别 8 h 应设置鉴别警示信息并描述因未授权访问可能导致的后果; 当非法登录次数达到预设值时,应记录相应日志并向网络管理主机发送报警信息
6.4.1.2第二级 本项要求包括: 应符合6.4.1.l; a 用户身份鉴别信息丢失或失效时,应具有安全重置身份鉴别信息的功能; b 身份鉴别信息不易被冒用,口令应采用数字、字母和特殊字符混排等无规律的组合方式,口令 c 长度应不少于8位,每三个月应更换1次,更新的口令至少5次内不应重复;如设备口令长皮 不支持8位或其他复杂度要求,应使用所支持的最长长度并缩短更换周期;可使用动态密码卡 等一次性口令认证方式;口令应加密存储 d)应实现操作系统和数据库系统特权用户的权限分离; 当对服务器进行远程管理时,应采用vPN等接人方式防止身份鉴别信息在网络传输过程中 e 被窃取
6.4.1.3第三级一第四级 本项要求包括 应符合6.4.1.2 a b)应采用口令、密码和生物识别等两种或两种以上组合的鉴别方式对用户身份进行鉴别,且其中 至少一种鉴别方式应使用密码技术实现
6.4.2访问控制 6.4.2.1第一级 本项要求包括 应按满足工作要求的最小特权原则对登录主机的用户分配账户和权限; a 5 分配账户权限不应超出工作需要并应进行动态审计,不应存在共享账户,及时删除或停用多余 的和过期的账户; 应拆除或封闭工业主机上不必要的移动存储媒体,光驱,无线等接口;若需使用,应通过主机外 设安全管理技术手段实施访问控制 工业主机需远程维护时,应采用VPN等接人方式
6.4.2.2第二级 本项要求包括: 应符合6.4.2.1 a b 应符合GB/T22239-2019中7.1.4.2d); 应保留工业主机的相关访问日志,并对操作过程进行安全审计 c d应对敏感信息资源设置安全标记并控制主体对安全标记信息资源的访问
17
GB/T40813一2021 6.4.2.3第三级 本项要求包括 应符合6.4.2.2[6.4.2.2b)和d)除外]; a 应进行角色划分,并授予管理用户所需的最小权限,实现管理用户的权限分离 b) 按GB/T22239-2019中8.1.4.2f); c d) 应建立基于主、客体访问关系的访问行为白名单机制并对重要主体,客体设置安全标记,主机 不支持安全标记的,应在系统级生成安全标记并使系统整体支持强制访问控制机制
6.4.2.4第四级 本项要求包括 应符合6.4.2.3[6.4.2.3d)除外]; a b) 应建立基于主、客体访问关系的访问行为白名单机制并对所有主体,客体设置安全标记,主机 不支持安全标记的,应在系统级生成安全标记并使系统整体支持强制访问控制机制 应依据安全策略和所有主体、客体设置的安全标记控制主体对客体的访问; 应采用基于身份,角色和规则等的访问控制策略以及访问控制列表,访问控制许可、密码等访 d 问执行机制实现ICS主机用户或用户进程与设备、文件、进程、程序、域等对象间的访问控制
6.4.3安全审计 6.4.3.1 第一级 无要求
6.4.3.2第二级 本项要求包括 应对重要用户行为和安全事件进行审计,审计范围应覆盖服务器和重要客户端上的每个操作 a 系统和数据库用户;主机操作系统不支持该要求的,应采用其他安全审计产品进行审计; 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等重要信息,至少 b 包括;用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异 常使用、重要的系统操作(如用户登录、退出)等; 应符合GB/T222392019中7.1.4.3b); c 应由系统范围内唯一确定的时钟产生审计记录的时间 d 应符合GB/T222392019中7.1.4.3c); 审计记录的留存时间应不少于六个月
f) 6.4.3.3第三级 本项要求包括 应符合6.4.3.2; a b)应符合GB/T22239一2019中8.1.4.3d 6.4.3.4第四级 本项要求包括 应符合6.4.3.3[6.4.3.2c)除外]; a 18
GB/40813一2021 b 应根据ICS的统一安全策略实现集中审计 应符合GB/T22239一2019中9.l.4.3b)
6.4.4入侵防范 6.4.4.1 第一级 本项要求包括: 应按最小安装原则安装操作系统,仅安装必要的组件和应用程序 a b 应在工业主机中实施应用程序白名单等检测和防止非授权软件运行的控制措施,仅允许安装 和运行经过组织授权和安全评估的软件; 应符合GB/T22239一2019中6.1.4.3b); d 实施的安全控制措施安装前应通过离线环境测试; 应定期检查工业主机安全控制措施的有效性,并在失效时及时报警 e f 针对网络攻击采取的技术措施不应对1ICS的正常运行产生影响
6.4.4.2第二级 本项要求包括: 应符合6.4.4.I a 应符合GB/T b 222392019中7.1.4.4e); 应有检测和防止针对工业主机的网络攻击行为的审计日志
c 6.443第三级一第四级 本项要求包括: 应符合6.4.4.2; a b 应能对重要程序的完整性进行检测,并具有完整性恢复的能力 应能检测到对主机的人侵行为,应能记录人侵的网络地址、攻击类型,攻击目的、攻击时间,并 co 在发生严重人侵事件时报警
6.4.5恶意代码防范 6.4.5.1第一级第二级 本项要求包括 工业主机正式运行前不应存在恶意代码程序; a 应在工业主机上安装通过测试的防恶意代码软件或独立部署恶意代码防护设备,且仅允许运 b 行经过组织授权和安全评估的防恶意代码软件或应用程序白名单软件; 在读取移动存储设备上的数据以及网络上接收的文件和邮件前应进行病毒检查,外来计算机 或存储设备接人系统前应进行恶意代码检查; d 防恶意代码软件应能监测可能被用于感染系统和向其他系统传播恶意软件的应用程序的 活动; e 应及时清理注册表,恶意锁定主页等被恶意软件修改的启动选项; 应及时清理系统中存在的木马、病毒、恶意代码程序; 应定期升级和更新防恶意代码软件版本和恶意代码库,更新前应在离线环境中进行安全性和 g 兼容性测试,必要时应在离线环境中试运行; h)如系统不支持升级和更新防恶意代码软件版本和恶意代码库,应独立部署恶意代码防护设备
19
GB/T40813一2021 6.4.5.2第三级 本项要求包括 应符合6.4.5.1; a b) 应支持防恶意代码软件的统一管理; 当检测到恶意软件攻击事件时,应记录攻击源网络地址、攻击发生时间、恶意软件类型、被攻击 c 目标,并对攻击造成的影响进行分析 应对获得的恶意软件样本进行分析,获取恶意软件可能使用的域名、网络地址、,通信端口、攻击 d 方式和执行流程,并探测其攻击源头,实现对恶意软件的追溯; 应符合GB/T222392019中8.1.4.5
6.45.3第四级 本项要求包括 应符合6.4.5.3 a b 应符合GB/T22239一2019中9.1.4.5
6.4.6漏洞防范 本项要求包括 aa 应对补丁进行安全测试,必要时应在离线环境中试运行,通过后安装; b 应借助专用工具进行漏洞扫描,工具使用前应经过安全性测试并取得相应使用许可证 如无法通过补丁或更改配置等措施解决工业主机漏洞,应基于对漏洞系统关键性的充分考虑 采取停用脆弱服务、移除软件、移除设备或系统隔离等手段; d 如因停用存在漏洞的服务导致ICs关键功能不可用,应首先隔离存在漏洞的系统,有效锁定其 安全区域并防止在区域边界对其进行异常访问
6.4.7移动存储媒体防护 6.4.7.1第一级 本项要求包括: 移动存储媒体接人设备时,应通过设备自带的安全管理软件或中间机等外设技术手段实行访 a 问控制 不应跨安全区域使用移动存储媒体
b 6.4.7.2第二级 本项要求包括 a 应符合6.4.7.1; 移动存储媒体接人设备时应进行日志记录
b 6.4.7.3第三级第四级 本项要求包括 应符合6.4.7.2; a b 应对移动存储媒体进行可信标识和认证,并仅允许通过认证的可信移动存储媒体接人主机 应基于对移动存储媒体建立的可信标识对其用户角色与权限建立相应策略,根据用户角色分 c 20
GB/T40813一2021 配明确的移动存储媒体使用权限,禁止越权使用和随意复制数据
6.4.8剩余信息保护 6.4.8.1第一级 无要求
6.4.8.2第二级 本项要求包括 应符合6.4.8.1 a b)操作系统和数据库系统用户的鉴别信息所在硬盘或内存的存储空间被释放或重新分配前,应 彻底清除上述信息 6.4.8.3第三级第四级 本项要求包括: 应符合6.4.8.2 a b 应在存储空间被释放或重新分配给其他用户前彻底清除系统内的文件、目录和数据库记录等 数据
6.4.9资源控制 6.4.9.1 第 -级 无要求
6.4.9.2第二级 本项要求包括 应符合6,4.9.l: a 应根据工作需要限制单个用户对系统资源的最大使用限度
b 6.4.9.3第三级第四级 本项要求包括 应符合6.4.9.2 aa b) 应通过设定终端接人方式,网络地址范围等条件限制终端登录; 应设置登录终端的操作超时锁定安全策略; c 应对重要服务器的中央处理器、,硬盘、内存、网络等资源的使用情况进行监视 d 应在系统的服务水平降低到预先规定的最小值时进行检测和报警 e 6,4.10 可信验证 6.4.10.1 第一级 应符合GB/T222392019中6.1.4.5
6.4.10.2第二级 应符合GB/T222392019中7.1.4.6
21
GB/T40813一2021 6.4.10.3第三级 应符合GB/T22239一2019中8.1.4.6
6.4.10.4第四级 应符合GB/T22239一2019中9.1.4.6 6.5控制设备安全防护 6.5.1身份鉴别 本项要求包括 a 控制设备应实现对用户登录访问进行鉴别的安全要求,具体应符合6.4.1相应等级的要求 b如受条件限制控制设备无法符合a)要求,应由其上位控制或管理设备实现同等功能或通过管 理手段控制
6.5.2访问控制 本项要求包括 控制设备应实现对用户登录访问进行控制的安全要求,具体应符合6.4.2相应等级的要求 a) b) 应对关键操作和指令执行动作实行基于用户权限的访问控制规则 应对所有操作、管理活动采取会话锁定措施; c d 如受条件限制控制设备无法符合a)一e)要求,应由其上位控制或管理设备实现同等功能或通 过管理手段控制
6.5.3安全审计 本项要求包括 控制设备应实现对重要用户行为和重要安全事件进行审计的要求,具体应符合6.4.3相应等 a 级的要求 如受条件限制控制设备无法符合a)要求,应由其上位控制或管理设备实现同等功能或通过管 b 理手段控制
6.5.4入侵防范 6.5.4.1第一级第二级 本项要求包括 控制设备应实现对各种人侵行为进行安全防范的要求,具体应符合6.4.4.1和6.4.4.2相应等 a 级的要求; 如受条件限制控制设备无法符合a)要求,应由其上位控制或管理设备实现同等功能或通过管 b 理手段控制; 核心控制设备前端部署的防护设备应具备旁路功能,当防护设备出现断电或其他软硬件故障 时,应使防护设备内部接口与外部接口直接物理连通以保持内部网络与外部网络的正常通信, 并及时告警
6.5.4.2第三级第四级 本项要求包括 22
GB/T40813一2021 应符合6.5.4.1 a b 可在PLC,RTU以及DCS现场控制单元等核心控制设备前端部署具备工业控制协议深度包 检测功能的防护设备,能对采用OPC,Profinet等主流工业控制协议进行现场通信的数据进行 深度包分析和检测过滤,具备检测或阻断不符合协议结构的数据包、不符合正常生产业务范围 的数据内容等功能
6.5.5恶意代码防范 本项要求包括: a 控制设备应实现对各种恶意代码进行安全防范的要求,具体应符合6.4.5相应等级的要求 b 应支持对可执行程序、静态库、动态库的白名单防护配置; 应具备对关键上位机HMI的外部物理接口的启用,禁用控制能力 c d 应能对通过外部物理接口接人的可移动设备生成使用记录 如受条件限制控制设备无法符合a)d)要求,应由其上位控制或管理设备实现同等功能或通 过管理手段控制 6.5.6软件容错 6.5.6.1 第一级 应提供数据有效性校验功能,通过HMI或通信接口输人的内容应符合系统设定的要求 6.5.6.2第二级第四级 本项要求包括 应符合6.5.6.1 a) 在故障发生时,应能继续提供部分功能,并能够实施必要的措施; b 在故障发生时,应提供自动恢复功能,自动保存易失性数据和所有状态,故障修复后,系统应恢 c 复原工作状态
6.5.7漏洞防范 本项要求包括 应借助专用工具进行漏洞扫描,工具使用前应经过安全性测试并取得相应使用许可资质 a 应使用专用设备和专用软件对控制设备的漏洞进行补丁更新; b 如工业控制设备漏洞无法通过补丁或更改配置等有效措施解决,应根据漏洞系统关键性采取 c 停用脆弱服务、移除软件、移除设备或系统隔离等手段; 如因停用存在漏洞的服务导致IcCS关键功能不可用,应首先隔离存在漏洞的工业控制设备,有 效锁定其安全区域并防止在区域边界对其有任何异常访问
6.5.8资源控制 本项要求包括 应通过设定终端接人方式,网络地址范围等条件限制终端登录 a b 应对系统的最大并发会话连接数进行限制 当通信双方中一方在一段时间内未做响应,另一方应自动结束对话; c d应对单个账户的多重并发会话进行限制
23
GB/T40813一202 6.6数据安全防护 6.6.1数据采集 本项要求包括 应明确数据采集的目的、用途、获取源、范围和频度; a b) 应对数据采集环境、设施和技术采取必要的安全管控措施
6.6.2数据传输 6.6.2.1第一级 应在传输过程中对重要数据进行完整性校验,包括但不限于鉴别数据,重要配置数据等
6.6.2.2第二级 本项要求包括 a 应符合6.6.2.I 应符合GB/T222392019中7.5,2.2
b 6.6.2.3 第三级 本项要求包括: a 应符合6.6.2.2(6.6.2.1除外); b)应在传输过程中对重要数据进行完整性校验或采用密码技术保护重要数据在传输过程中的完 整性,包括但不限于鉴别数据、重要业务数据、重要审计数据和重要配置数据等; 应采用密码技术保护重要数据在传输过程中的保密性,包括但不限于鉴别数据和重要业务数 据等; d 在可能涉及法律责任认定的应用中,应采用密码技术提供数据原发证据和数据接收证据,实现 数据原发行为的抗抵赖和数据接收行为的抗抵赖
6.6.2.4第四级 本项要求包括: 应符合6.6.2.3[6.6.2.3b)除外; a b应采用密码技术保护重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数 据、重要审计数据和重要配置数据等
6.6.3数据存储 第一级 6.6.3.1 数据存储媒体应存放在安全的环境中,并应对各类存储媒体使用进行控制和管理
6.6.3.2第二级 本项要求包括 应符合6.6.3.1 a b)应对安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等测 试数据采取签订保密协议、回收测试数据等措施进行保护
24
GB/40813一2021 6.6.3.3第三级 本项要求包括: 应符合6.6.3.2; a b)应对重要存储媒体中的数据和软件进行加密存储,并根据所存储数据和软件的重要程度对媒 体进行分类和标识管理; 应在存储过程中对重要数据进行完整性校验或采用密码技术保护重要数据在存储过程中的完 整性,包括但不限于鉴别数据、,重要业务数据、重要审计数据和重要配置数据等; 应采用密码技术保护重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数 d 据、重要审计数据和重要配置数据等
6.6.3.4第四级 本项要求包括: 应符合6.6.3.3[6.6.3.3e)除外; a b)应采用密码技术保护重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数 据、重要审计数据和重要配置数据等
6.6.4数据应用 本项要求包括 应界定敏感数据范围,并应明确需要监控的移动存储媒体、网络等敏感数据泄露范围; aa b 应明确敏感数据的脱敏处理应用场景、方法和流程、涉及部门和人员职责以满足敏感数据脱敏 处理的安全审计要求; 应避免使用实际生产数据等敏感数据进行测试,必要情况下应对去除所有敏感细节和内容的 数据进行测试; d 应对组织测试过程中产生的数帮进行保护,禁止未授权获取及使用鹳试数据 6.6.5数据备份恢复 6.6.5.1 第一级 本项要求包括 应定期对工艺参数、配置文件、设备运行数据、生产数据、控制指令等重要业务数据进行备份; a 应对重要数据进行本地备份,应每天进行一次差分备份并至少每月进行一次全备份,数据发生 b 较大调整后应立即进行全备份,应在场外存放备份存储媒体; c 应至少每三个月对所备份的重要数据进行一次恢复测试,备份数据应能可用; d 灾难恢复能力应符合RTO小于24h,RPO小于7d
6.6.5.2第二级 本项要求包括: 应符合6.6.5.1[6.6.5.1d)除外]; aa b)应符合GB/T222392019中7.1.4.8b); 灾难恢复能力应符合RTO小于12h,RPO小于1d
c 6.6.5.3第三级 本项要求包括: 25
GB/T40813-2021:工业控制系统安全防护技术要求和测试评价方法
随着信息技术的发展,工业控制系统的智能化程度越来越高。而在这个过程中,系统的安全性也变得越来越重要。一旦工业控制系统受到攻击或者被入侵,那么就可能对生产线的正常运行造成严重影响。 因此,为了确保工业控制系统的安全,必须采取相应的安全防护技术措施。GB/T40813-2021是中国国家标准化技术委员会发布的工业控制系统安全防护技术要求和测试评价方法标准。该标准提出了在工业控制系统中应该采取哪些安全防护措施,并且还给出了测试评价方法,以保证这些措施的有效性。 标准中所规定的安全防护技术要求主要包括以下几个方面: 1. 基础设施安全:对于工业控制系统中的各种设备和网络基础设施,应该采取相应的安全措施,如加密、认证、访问控制等。 2. 系统安全:对于操作系统、数据库等系统软件,应该进行安全配置和漏洞修复,并且组织定期的安全审计。 3. 应用安全:对于运行在工业控制系统上的各种应用程序,应该进行详细的安全评估,并且加强对数据的访问控制。 4. 数据安全:对于工业控制系统中处理的各种数据,应该采取相应的数据加密和备份措施,以保证数据的机密性和完整性。 同时,标准中还规定了一系列测试评价方法,以验证这些安全防护技术措施的有效性。例如,针对基础设施安全,可以采用端口扫描、漏洞扫描等方式进行测试;对于系统安全,则可以使用命令注入、缓冲区溢出等漏洞进行渗透测试。 综上所述,GB/T40813-2021标准中规定的安全防护技术要求和测试评价方法可以帮助工业控制系统的开发者和管理者更好地保护系统的安全性,并且提高系统的可靠性和稳定性。但是,在实际应用中仍需要根据具体情况进行调整,以适应不同行业和环境的需求。此外,随着工业控制系统中的信息安全问题日益突出,越来越多的专业人士开始关注相关的技术和标准。因此,我们相信GB/T40813-2021所规定的安全防护技术要求和测试评价方法将具有极大的参考价值,并且对于整个行业的发展将产生积极的促进作用。 总之,信息安全技术在工业控制系统中的应用已经成为一个重要的议题。通过采用GB/T40813-2021标准中所规定的安全防护措施,可以有效地保护工业控制系统的安全性,提高其可用性和稳定性。我们期待未来能够有更多的专家学者加入到这个领域中来,共同推动工业控制系统的发展和安全保障。
