GB/T33009.1-2016
工业自动化和控制系统网络安全集散控制系统(DCS)第1部分:防护要求
Industrialautomationandcontrolsystemsecurity—Distributedcontrolsystem(DCS)—Part1:Protectionrequirements
- 中国标准分类号(CCS)N10
- 国际标准分类号(ICS)25.040
- 实施日期2017-05-01
- 文件格式PDF
- 文本页数20页
- 文件大小654.09KB
以图片形式预览工业自动化和控制系统网络安全集散控制系统(DCS)第1部分:防护要求
工业自动化和控制系统网络安全集散控制系统(DCS)第1部分:防护要求
GB/T33009.1一2016 前 言 GB/T33009(工业自动化和控制系统网络安全集散控制系统(CS)》和GB/T33008《工业自动 化和控制系统网络安全可编程序控制器(PLC)》等共同构成工业自动化和控制系统网络安全系列 标准
GB/T33009(工业自动化和控制系统网络安全集散控制系统(DCS)》分为4个部分: -第1部分:防护要求; 第2部分;管理要求 第3部分;评估指南 第4部分风险与脆弱性检测要求
本部分为GB/T33009的第1部分
本部分按照GB/T1.1一2009给出的规则起草
本部分由机械工业联合会提出
本部分由全国工业过程测量、控制和自动化标准化技术委员会(sAc/Tc124)和全国信息安全标 准化技术委员会(sAC/Tc260)归口
本部分起草单位浙江大学,浙江中控研究院有限公司、机械工业仪器仪表综合技术经济研究所,重 庆邮电大学、科学院沈阳自动化研究所,西南大学、福建工程学院、,杭州科技职业技术学院、北京启 明星辰信息安全技术有限公司、电子技术标准化研究院、国网智能电网研究院、核电工程有限 公司、上海自动化仪表股份有限公司、东土科技股份有限公司、清华大学、西门子()有限公司,施耐 德电气()有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克韦尔自 动化()有限公司、仪器仪表学会、工业和信息化部电子第五研究所,北京海泰方圆科技有限公 司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、北京力控华康科技有限公司 北京和利时系统工程有限公司、石油天然气管道有限公司、北京国恩网络科技有限责任公司、西南 电力设计院、广东航宇卫星科技有限公司、华北电力设计院工程有限公司华为技术有限公司电子 科技集团公司第三十研究所、深圳万讯自控股份有限公司、横河电机()有限公司北京研发中心
本部分主要起草人;冯冬芹,施一明、梅恪、王玉敏、王平、王浩、高梦州、徐珊珊、徐皑冬、刘枫、 许剑新、陈平、杨悦梅、陈建飞、还约辉、黄家辉、贾驰千,梁耀、陆耿虹、刘大龙、刘文龙、吴彦彪、孟雅辉、 范科峰、梁潇、王彦君、张建军,薛百华许斌、陈小泞,华瘠,高昆仑、王雪,周纯杰,张莉,刘杰、朱毅明、 王、孙静、胡伯良、刘安正、田雨聪、方亮、马欣欣、王勇、杜佳琳、陈日罡、李锐、刘利民、孔勇、黄敏 朱镜灵、张智、张建勋,兰昆、张晋宾,成继勋,尚文利、钟诚梁猛、陈小枫、卜志军、丁露,李琳、杨应良、 杨磊
m
GB/T33009.1一2016 工业自动化和控制系统网络安全 集散控制系统(DCS第1部分:防护要求 范围 GB/T33009的本部分规定了集散控制系统在运行和维护过程中应具备的安全能力、防护技术要 求和安全防护区域的划分,并对过程监控层,现场控制层和现场设备层的防护要点、防护设备以及防护 技术提出了具体的要求
本部分适用于涉及集散控制系统安全防护的电力、石油、化工、水利、冶金、建材等各关键基础设施 领域,指导企业用户提高在役运行和新增集散控制系统的安全性,也可作为集散控制系统生产商和集成 商的系统安全设计指导
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 信息安全技术信息安全风险评估规花 GB/T209842007 GB/T30976.1一2014工业控制系统信息安全第1部分;评估规范 术语、定义、缩略语 3.1术语和定义 BT208一2w7和GB/T30976.1一204界定的以及下列术语和定义适用于本文件
为了便 于使用,以下重复列出了GB/T20984一2007和GB/T30976.1一2014中的一些术语和定义 3.1.1 可用性availability 数据或资源能被授权实体按要求访问和使用的特性
[GB/T20984一2007,定义3.3] 3.1.2 鉴别authenticationm 验证实体所声称的身份的动作
3.1.3 授权用户 authorizeduser 依据安全策略可以执行某项操作的用户
3.1.4 业务战略businessstrategy 组织为实现其发展目标而制定的一组规则或要求 [GB/T20984一2007,定义3.4]
GB/T33009.1一2016 3.1.5 保密性confidentialitsy 数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的 程度
[GB/T20984一2007,定义3.5 3.1.6 控制系统网络安全controsystemseurity 以保护控制系统的可用性、完整性,保密性为目标,另外也包括实时性、可靠性与稳定性
3.1.7 humanmmachineinterface 人机界面 员工(用户)可以与特定的机器,设备,计算机程序或其他复杂工具(系统)互动的方法集
注:在很多情况下,这些包含了视频或计算机终端,按钮,听觉反馈,闪烁的灯等
人机界面提供的方法包括;输人 允许用户控制机器)、输出(允许机器通知用户). 3.1.8 识别 identification 对某一评估要素进行标识与辨别的过程
[GB/T30976.1一2014,定义3.1.2] 3.1.9 网络安全风险seeuritrtsk 人为或自然的威胁利用系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的 影响
[GB/T20984一2007,定义3.6] 3.1.10 完整性integrity 保证信息及信息系统不会被非授权更改或破坏的特性
包括数据完整性和系统完整性
[GB/T20984一2007,定义3.107 3.1.11 制造执行系统manufaeturingexecutiosystem 生产规划和跟踪系统,用于分析和报告资源可用性和状态,规划和更新订单、收集详细的执行数据 例如材料使用、人力使用、操作参数、订单和装置状态及其他关键信息
注1:此系统访问材料清单、工艺路线和其他来自于基础企业资源规划系统的数据,典型用于实时车间作业报告和 监视将活动数据反馈给基础系统的过程
注2;更多信息参见GB/T20720.1一2006. 3.1.12 组织organization 由作用不同的个体为实施共同的业务目标而建立的结构
一个单位是一个组织,某个业务部门也 可以是一个组织
[GB/T20984一2007,定义3.11 3.1.13 远程终端装置remoteterminalunit,RTU 集远程数据采集、传输存储功能于一体的终端设备
3.1.14 残余风险residualrisk 采取了安全措施后,信息系统仍然可能存在的风险
[GB/T20984一2007,定义3.121
GB/T33009.1一2016 3.1.15 安全事件 urityineident SeC 系统、服务或网络的一种可识别状态的发生,它可能是对安全策略的违反或防护措施的失效,或未 预知的不安全状况
[GB/T20984一2007,定义3.14们 3.1.16 网络安全措施seeuritymeasure 为保护资产、抵御威胁,减少脆弱性、降低安全事件的影响而实施的各种实践、规程和机制
3.1.17 网络安全策略seeuritypoiey 规范或限定系统或组织如何为保护其资产提供网络安全服务的规则集合
3.1.18 安全需求securityrequirement 为保证组织业务战略的正常运作而在安全措施方面提出的要求
[GB/T20984一2007,定义3.16 3.1.19 网络安全区seeurity z0ne 共享通用网络安全需求的逻辑资产或物理资产的集合
注1;本文所用的“区域”是指网络安全区域
注2:一个区域与其他区域有明显的边界
一个网络安全区域的网络安全策略在其内部和边缘都要强制执行
个网络安全区域可以包括多个不同等级的子区域
3.1.20 敏感性sensitivity 表征资源价值或重要性的特性,也可能包含这一资源的脆弱性
3.1.21 威胁threat 可能导致对系统或组织危害的不希望事故的潜在起因
[GB/T209842007,定义3.17 3.1.22 vulnerability 脆弱性 系统设计,实现或操作和管理中存在的缺陷或弱点,可被利用来危害系统的完整性或安保策略
[GB/T30976.1一2014,定义3.1.1] 3.2缩略语 下列缩略语适用于本文件
DCcs;集散控制系统(DistributedControlsystenm) MESs;制造执行系统(ManufacturingExeeutionSystem) DoS,服务拒绝(DenialofService) DCS安全防护概述 4.1Dcs系统概述 4.1.1通用cS系统应用的网络结构 通常DcS系统应用是一种纵向分层的网络结构,自上到下依次为过程监控层、现场控制层和现场
GB/T33009.1一2016 设备层
各层之间由通信网络连接,层内各装置之间由本级的通信网络进行通信联系,其典型网络结构 如图1所示
本部分主要对DcS系统中的过程监控层、现场控制层网络和现场设备层网络的安全要求 进行了要求
各层的说明如下 -过程监控层:以操作监视为主要任务,兼有部分管理功能
这一级是面向操作员和控制系统工 程师的,因而这一级配备有技术手段齐备,功能强的计算机系统及各类外部装置,特别是显示 器和键盘,以及需要较大存储容量的硬盘或软盘支持,另外还需要功能强的软件支持,确保工 程师和操作员对系统进行组态、监视和操作,对生产过程实行高级控制策略、故障诊断质量 评估; -现场控制层;现场控制层主要功能包括;采集过程数据,进行数据转换与处理;对生产过程进行 监测和控制,输出控制信号,实现模拟量和开关量的控制;对I/O卡件进行诊断;与过程监控 层等进行数据通信 现场设备层;现场设备层的主要功能包括;采集控制信号、执行控制命令,依照控制信号进行设 备动作
人力班派 财务管那 资产管理 系统 管理系练 系统 对外服务系统 企业 资源层 没备维护" 先进控制 工艺 工作站 工程师站 工作站 lnternet 打印机 生产" 管理层 历史数据站 出 主人机界面 工程师站 控制务器 冗余控制 服务器 过 监挖层 制 操作员站工程师站 操作员站 工程师站 操作员站 工程师站 鄙 控制器 控制器 控制器 现场 控制层 脱场 设备层 现场仪表 现场仪表 现场仪表 典型CS系统的网络结构示意图 注,将监控层以下的现场控制层网络进行细分,其中现场控制层网络主要包括DCS控制器和控制器通信模块,I/o 模块等,现场设备层网络包括现场智能仪表、执行机构、传感器等现场设备和仪表 4.1.2Dcs运行安全总体要求 4.1.2.1实时性要求 CS应具备实时响应能力,不允许存在不可接受的延迟和抖动
GB/T33009.1一2016 4.1.2.2可用性要求 DCS具有高可用性需求,一般不允许重启系统,所以部署前需要详尽的测试,在生产过程中的中断 操作需要提前计划
4.1.2.3安全性要求 CS具有安全性要求
DCS一般部署在重要的生产领域,系统不允许出现安全事故 4.1.2.4完整性要求 DCS具有完整性要求,不允许未授权用户或者恶意程序对信息和数据的修改
4.1.2.5稳定性要求 一且工作不稳定,将存在严重的威胁,导致大批的不合格产品流出,而 DCS具有稳定性要求
DCS 且加剧设备的损耗等
4.1.2.6高可靠性要求 DCcS具有可靠性要求
DCcS能够在规定的条件下,长期正常执行其设定的控制功能,期间不允许 发生停车,且具有很好的耐久性和可维修性
4.2Cs防护总体要求和原则 4.2.1DcS安全要求 4.2.1.1概述 DCS系统安全主要包括物理安全和网络安全等
本部分针对DCs系统定义总体要求,基本要求和 加强要求等三类安全要求,其中总体要求是针对DCS系统整体的安全性和防护水平提出的安全要求; 基本要求和加强要求是针对DCS系统中不同网络层次特点,在本部分的第5章,第6章、第7章和 第8章分层进行了定义,其中ICS系统安全性要求不高的企业用户只需满足基本要求,对CS系统安 全要求高的企业用户可以结合企业特点和所用的CS系统的特点,有选择的部署实现加强要求中的安 全要点
加强要求分为常规加强要求和深度加强要求,常规加强要求主要用于普通企业用户,深度加强 要求用于具有高安全要求的特殊行业
4.2.1.2外部网络隔离要求 DS用户企业全网拓扑结构可采用分层的方式进行布局,如果DCS系统网络与外部网络(指企业 管理层网络,互联网等DCS系统网络以外的其他网络)存在直接或间接互连时,DCS系统网络与外部网 之间应使用物理或逻辑隔离技术措施进行防护
4.2.1.3网络链路要求 对部署于多地区并通过网络进行互联的cCS系统应用,应保证互联网络链路资源充足,即在企业 业务量达最大峰值时,链路数据通信正常且网络延时仍能满足CS系统应用要求
对于网络互通性和稳定性要求较高的企业用户,可采取链路冗余技术和手段保证企业网络在网络 出现故障时能够维持基本通信,保证在一条链路出现故障时另一条链路能够为企业的正常生产经营活 动提供网络保障 对于网络互通性和稳定性要求非常高的企业用户可采用物理线路冗余的方式部署企业的核心业务
GB/T33009.1一2016 网络、骨干网、核心控制网络,并且冗余线路网络可采用与主网络不同的网络构建方式
4.2.1.4数据备份要求 -般DCS系统应具有实时数据,OPC数据,组态数据、控制方案等重要数据的实时备份和定期备 份措施;对于数据安全性要求高的DCS系统应用,可以采用对系统正常运行的数据进行完整备份的措 施,备份周期应不大于3个月;对于数据安全性要求非常高的DCS系统应用可以建立异地灾难数据备 份中心,配备灾难恢复所需的通信线路、网络设备和数据处理设备
4.2.2系统防护原则 在工业控制系统领域,工业控制系统强调的是工业自动化过程及相关设备的智能控制、监测与管 理
它们在系统架构、设备操作系统、数据交换协议等方面与普通IT信息系统存在较大差异
而且更 为关注系统的实时性与业务连续性
也就是说,工业控制系统对系统设备的可用性、实时性、可控性等 特性要求很高,在考虑工业控制系统安全时要优先保证系统的可用性;其次,各组件之间存在固有的关 联,因此完整性次之;而对于数据保密性来说,则由于工控系统中传输的数据通常是控制命令和采集的 原始数据,需要放在特定的背景下分析上下文内容才有意义,而且多是实时数据,所以对保密性的要求 较低
除此之外,控制系统还需保证实时性,可靠性和安全性等要求
因此工业控制系统的安全防护手 段的部署和实施应结合上述DCs特点,遵循下列原则 本部分以区域划分、纵深防御为基础进行防护,主要手段包括防护软件的部署,防护设备的部署,技 术防护以及纵深防御
防护软件部署原则 a 防护软件部署主要是指在DCS系统的各个单元(如工作站、服务器等设备)上安装安全补丁、病毒 防护,人侵监测、人侵防御等具有病毒查杀和阻止人侵行为的软件
在部署上述防护软件前,应采用线下测试等手段确保其上线后不影响正常的Dcs运行的可用性、 实时性、可靠性和安全性;如果存在影响系统可用性,实时性、可靠性和安全性的较大风险,则撤销对系 统造成影响的防护软件的部署
b防护设备部署原则 防护设备部署主要是指在CS系统网络上介人具有防护功能的设备,如防火墙、网闸,安全交换 机,人侵检测系统、人侵防御系统等
在部署防护设备前,应采用线下测试等手段确保其上线后不影响正常的DCS运行的可用性、实时 性,可靠性和安全性;如果存在影响系统可用性、实时性、可靠性和安全性的较大风险,则撤销对系统造 成影响的防护设备的部署
e技术防护原则 技术防护主要是指以技术的手段进行DCS安全防护,如访问控制,边界管理,管道通信等
在防护 技术应用前,应采用线下测试等手段在相同的CS系统上进行严格的系统测试,确保其上线后不影响 正常的DcCS运行的可用性,实时性、可靠性和安全性;如果存在影响系统可用性,实时性、可靠性和安全 性的较大风险,则撤销对系统造成影响的防护技术的使用
d) 纵深防御原则 单一的安全产品、技术或者解决方案无法有效保护DCS,所以需要一种包含两个或者多个不同机 制的多层防护策略
本部分采用的纵深防御架构策略包含了防火墙的使用,安全分区的建立,有效的安 全策略下的人侵检测能力,培训计划和应急响应机制
进行纵深防御架构的有效部署和实施,需要对 DCS可能遭受的下列攻击和安全风险有全面的掌握,包括: 1 网络边界的后门和漏洞; 2)常见协议的漏洞;
GB/T33009.1一2016 针对现场设备的攻击 3) 4) 针对数据库的攻击; 5)通信劫持和“中间人"攻击
在纵深防御技术各项设备或技术应用DCS前,应采用线下测试等手段确保其上线后不影响正常的 DCS运行的可用性、实时性、可靠性和安全性;如果存在影响系统可用性,实时性、可靠性和安全性的较 大风险,则撤销对系统造成影响的防护技术的使用 物理访问控制要求 物理访问控制基本要求包括: a)机房(包括电子设备间)出人口应安排专人值守,控制、鉴别和记录进人的人员; b)需进人机房的来访人员应经过申请和审批流程,并限制和监控其活动范围 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在进人重要区域前设置交付 或安装等过渡区域 重要区域应配置电子门禁系统,控制、鉴别和记录进人的人员
过程监控层网络安全 区域划分 6.1.1基本要求 应根据过程监控层网络中各系统的安全等级划分成不同的安全区域,并按照方便管理和控制为原 则为各安全功能区域分配网段地址
过程监控层各网段应相互隔离,原则上不直接连接在一起
6.1.2常规加强要求 6.1.2.1加强要求 本项要求包括但不仅限于 重要设备不直接与外层网络相连 1) 应在工程师站、操作员站与MEs层网络间采用数据隔离措施
2) 不宜将工程师站与操作员站放置在同一物理区域内
b)OPC等其他数据服务器安全 1 不宜将不同安全等级的服务器软件安装在同一台主机上;如果需要安装在同一台主机上 需要考虑安全措施
2) 各个控制系统网段的服务器不宜直接连接在同一个网络上 3)应在服务器与实时数据库通信处部署隔离设备
6.1.2.2深度加强要求 不要求 6.2访问与使用控制 6.2.1基本要求 本项要求包括但不仅限于
GB/T33009.1一2016 扫描攻击、强力攻击、木马后门攻击、Dos攻击、缓冲区溢出攻击,IP碎片攻击、网络蠕虫等,并能够在 检测到攻击行为时实时记录攻击源IP,攻击类型攻击目标、攻击时间,并提供报警
6.3.2加强要求 6.3.2.1常规加强要求 本项要求包括但不仅限于 a)系统最小化安装 工程师站、操作员站、OPC服务器、实时数据库服务器、监控计算机等主机设备操作系统采用最小 化系统安装原则,只安装与自身业务相关的操作系统组件及应用软件
b)重要系统病毒防护 在工程师站、操作员站.,oPC服务器、实时数据库服务器、监控计算机等重要系统部署经过验证的 防病毒软件,病毒库和补丁的更新需在线下模拟系统中进行严格的验证,在不影响系统可用性,实时性 和稳定性的前提下实施更新
移动存储接口管理 应对工程师站、操作员站,OPC服务器,实时数据库服务器、监控计算机等系统的物理接口进行限 制,禁止USB接口或使用USB端口设备绑定;部署文件拷贝中转设备,对通过存储介质中转的数据进 行病毒和木马的查杀
6.3.2.2深度加强要求 本项要求包括但不仅限于 a)边界完整性监测 应能够对非授权设备私自连接到过程监控层网络的行为和内部网络用户私自连接到外部其他层次 网络的行为进行检查,并对非法接人部位进行准确定位,进行有效隔离和阻断 b)系统完整性保护 应提供数据有效性检验功能,保证通过人机接口输人或通过通信接口输人的数据格式、长度符合系 统要求;能够对组态软件(包括用户组态软件、系统组态软件、图形化编辑软件,语言编程软件、流程图制 作软件等)和监控软件(包括实时监控软件、数据服务软件、数据通信软件,报警记录软件、趋势记录软 件,OPC数据通信软件,OPC服务器软件、历史数据传输软件、网络文件传输软件等)的完整性进行检 查,并在检测到完整性受到破坏后具有恢复的措施
6.4身份鉴别与认证 6.4.1基本要求 本项要求包括但不仅限于 应对工程师站,操作员站,OPC服务器,实时数据库服务器、监控计算机等所有设备提供用户 身份登录认证功能,并提供用户身份信息修改、添加,剔除等操作功能 b)应提供用户身份认证反馈功能,对身份认证结果向用户反馈, 限制默认账户的访问权限,重命名系统默认账户,修改默认口令,禁止在工程师站、操作员站、 oPC服务器和实时数据库服务器使用默认账户; d)应及时删除多余的、过期的账户,避免共享账户的存在
6.4.2加强要求 6.4.2.1常规加强要求 本项要求包括但不仅限于
GB/T33009.1一2016 密码强度 a 身份鉴别信息应不易被冒用,口令应有复杂度要求并定期更换 b管理员地址限定 应对网络设备的管理员登录地址进行限制
登录失败处理 应具有用户登录失败处理功能,可采取结束会话、限制非法登录的次数、自动退出和当网络登录连 接超时自动退出等措施
6.4.2.2深度加强要求 对重要系统(如历史数据库服务器等)应提供两种或两种以上的鉴别技术来进行身份鉴定,其中至 少有一种身份鉴别信息是不易伪造的
6.5安全审计 6.5.1基本要求 应对过程监控层网络中的网络设备运行状况、网络流量等进行审计,审计记录应包括日期和时间、 类型,主体标识,客体标识等
6.5.2加强要求 6.5.2.1常规加强要求 应对审计记录进行保护,严格控制审计记录的访问权限,降低被非法篡改的风险
6.5.2.2深度加强要求 本项要求包括但不仅限于 a)加强审计 应对工程师站操作员站、OPC服务器,实时数据库服务器等重要系统的操作系统用户、数据库用 户和控制应用软件(用户组态软件,系统组态软件、,图形化编辑软件,语言编程软件,流程图制作软件,实 时监控软件、数据服务软件、数据通信软件、报警记录软件,趋势记录软件,OPC数据通信软件,(OPC服 务器软件、历史数据传输软件、网络文件传输软件等)的运行事件(包括用户登录事件、组态事件、编程事 件、程序下载上传事件、控制操控事件、系统进程事件、客户端请求事件、数据传输事件.OPC服务器进 程事件,系统资源的异常使用和重要系统命令的使用等进行安全审计,并能生成审计报表进行分析
b 集中审计 应根据系统的统一安全策略,实现集中审计,并与时钟服务器同步
6.6资源控制 6.6.1基本要求 应能够监视过程监控层网络与上层网络接口处的网络流量,连接数等网络资源信息,定义整体网络 最大资源使用限定闵值,整体网络使用的资源超过此闵值时终止用户或网络的资源占用行为
6.6.2加强要求 6.6.2.1常规加强要求 本项要求包括但不仅限于: 10o
GB/T33009.1一2016 网络资源控制 a 应通过设定终端接人方式、网络地址范围等条件限制终端登录,并根据安全策略设置登录终端的操 作超时锁定 b角色资源控制 应根据控制应用软件(包括用户组态软件,系统组态软件,图形化编辑软件,语言编程软件,流程图 制作软件、实时监控软件、数据服务软件、数据通信软件、报警记录软件、趋势记录软件、OPC数据通信 软件,OPC服务器软件,历史数据传输软件、网络文件传输软件等)用户的角色进行资源访问的限制,防 止角色之间的交叉访问
6.6.2.2深度加强要求 本项要求包括但不仅限于 a)用户资源控制 应限制单个用户对系统资源的最大或最小使用限度,对单个账户的多重并发会话进行限制
b)主机资源控制 应对工程师站、操作员站,.oPC服务器,实时数据库服务器等重要系统进行监视,包括监视服务器 的cPU,硬盘,内存等资源的使用情况;对用户组态软件、系统组态软件,图形化编辑软件、语言编程软 件,流程图制作软件,实时监控软件、数据服务软件、数据通信软件,报警记录软件、趋势记录软件.OPc 数据通信软件.oPC服务器软件,历史数据传输软件,网络文件传输软件等软件进程占用的资源进行监 视,分配最大限额和最小限额 6.7数据安全 6.7.1常规加强要求 本项要求包括但不仅限于 a)必要信息保护 应能够检测过程监控层网络内所有的系统管理数据、控制指令数据、上传/下载程序数据、监控数据 等在存储过程中是否受到破坏,并在检测到破坏时及时采取必要的恢复措施
b剩余信息保护 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他 用户前得到完全清除,无论这些信息是存放在硬盘上还是内存中 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其 他用户前得到完全清除
3)应保证工程组态文件、系统组态文件、控制程序文件等资源所在的存储空间在重新分配给 其他用户前得到完全清除
6.7.2深度加强要求 本项要求包括但不仅限于 a)数据保密 应能够采用加密技术或其他有效的技术手段实现系统管理数据,现场实时数据、控制指令数据、上 传/下载程序数据、监控数据在传输和存储过程中的保密性
b数据备份及恢复 应对实时数据库服务器,OPC数据库服务器、组态数据库服务器,历史数据库服务器等重要服务器 设备进行硬件冗余
启用实时数据备份功能,保证当主服务器出现故障时冗余设备可以切换并恢复 1l
GB/T33009.1一2016 数据
私有通信 应能够对重要通信提供专用通信协议或安全通信协议服务,避免来自基于通信协议的攻击破坏数 据的完整性 现场控制层网络安全 区域划分 7.1 7.1.1基本要求 应根据现场控制层的安全等级进行安全区域划分,并按照方便管理和控制为原则为各安全功能区 域分配网段地址
7.1.2加强要求 7.1.2.1常规加强要求 不宜将不同控制系统的数据服务器软件安装在同一台主机上;各个控制系统网段的数据服务器不 宜直接连接在同一个网络上;应在数据服务器与实时数据库通信处部署隔离设备
现场控制层各网段 相互隔离,原则上不直接连接在一起
7.1.2.2深度加强要求 不要求
7.2访问与使用控制 7.2.1基本要求 应在现场控制层网络与过程监控层网络间具有访问控制措施,对从过程监控层发起的访问进行源 地址、目的地址、源端口、目的端口和协议等项目的控制
7.2.2加强要求 7.2.2.1常规加强要求 对于安全接人,应对接人现场控制层的设备进行身份认证,拒绝未经认证的设备访问网络;现场控 制层网对于已使用的无线网络连接,应至少启用MAC地址过滤白名单功能
应提供针对工程师站、操作员站,OPC服务器,实时数揭库服务器等用户发送的操作行为的授权验 证功能,如读写数据、下载程序、用户组态,设备操控命令,设置配置等行为 7.2.2.2深度加强要求 本项要求包括但不仅限于 a)安全连接 在现场控制层和过程监控层网络的边界增加安全连接控制功能,无线网络连接,应启用MAC地址 绑定功能
在现场控制层内的安全区域间增加安全连接控制功能,建立区域安全访问路径,对各安全区域之间 的访问进行连接控制
b应用协议检查 12
GB/T33009.1一2016 应对进出网络的信息内容进行过滤,实现对应用层协议的命令级(包括数据上传服务、数据下载服 务,读服务,写服务、控制指令执行服务等)的检查,对非法数据包的出人进行报警
敏感信息访问控制 应对DCS控制器内的配置信息、控制程序,数据块等重要信息资源设置敏感标记,并依据安全策略 严格控制用户对有敏感标记重要信息资源的操作
d)移动代码限制 对可能对系统造成破坏的移动代码技术(如Java,VBseript等)的使用提供限制功能,包括防止移 动代码的执行,对移动代码的源进行身份认证、限制移动代码与控制系统通信、监控移动代码的使用、对 移动代码的完整性进行检查等
敏感文件使用眼制 e 应对控制器内组态文件、控制程序代码、实时数据等关键敏感文件的访间进行限制 7.3入侵防御 7.3.1常规加强要求 本项要求包括但不仅限于 a)控制器软件容错 控制器软件(如嵌人式软件)应提供数据有效性检验功能,对通过通信接口输人的数据格式、长度
功能码等进行实时检查,保证其符合系统要求,当控制器出现故障后能够自动保存当前所有状态,并采 取恢复措施
b)通信检测 应能够对总线上的网络流量及网络负载进行监测,对现场控制层设备接人网络具有识别能力
7.3.2深度加强要求 本项要求包括但不仅限于 a)总线恶意服务指令识别与阻断 应在控制器人口端部署控制器防护功能和设备,能够识别针对控制器的操控服务指令(包括组态服 务 、数据上传服务、,数据下载服务、读服务、写服务,控制程序下载服务、操控指令服务等),并能够根据安 全策略要求对非法的服务请求进行报警
能在必要时断开非认证设备的连接
b人侵监测 应在现场控制层与过程监控层间旁路部署人侵检测设备,能够监视边界处的常见网络行为包括端 口扫描攻击、暴露攻击,木马后门攻击,Dos攻击、缓冲区溢出攻击,IP碎片攻击、网络蠕虫等),并能够 在检测到攻击行为时实时记录攻击源IP,攻击类型,攻击目标,攻击时间,并提供报警
7.4身份鉴别与认证 7.4.1常规加强要求 应对工程师站,操作员站,OPC服务器,实时数据库服务器的网络地址进行限制,现场控制层网络 可以根据网络标识对服务请求的发送方进行识别
7.4.2深度加强要求 采用身份标识手段,能够对工程师站,操作员站、OPC服务器和实时数据库服务器发送的服务操作 指令(包括数据读服务,数据写服务、程序上传服务,程序下载服务,开关控制指令等)发送方的角色身份 进行验证和鉴别
13
GB/T33009.1一2016 7.5安全审计 7.5.1常规加强要求 应对现场控制层网络中关键系统(如;控制核心生产工艺的系统)的网络设备运行状况、网络流量等 进行审计,审计记录应包括日期和时间、用户,事件类型等
7.5.2深度加强要求 本项要求包括但不仅限于 审计记录保护 a 应对审计记录进行保护,应保证无法单独中断审计进程,无法删除、修改和覆盖审计记录
b加强审计 应对嵌人式控制器内的修改事件(包括配置修改事件、算法修改事件、控制程序修改事件,关键变量 修改事件等)和控制器服务事件(包括组态服务、数据块下载服务、程序下载服务、写服务等)进行安全审 计,并生成审计报表进行分析
集中审计 应根据系统的统一安全策略,实现集中审计,注意审计任务时钟保持与系统主时钟同步 7.6资源控制 7.6.1基本要求 应能够监视现场控制层网络与过程监控层网络接口处的网络流量、连接数等网络资源信息,并根据 安全策略要求对流量、连接数进行限制
7.6.2加强要求 本项要求包括但不仅限于 网络资源控制 应通过设定设备接人方式、网络地址范围等条件限制设备接人网络
b嵌人式控制器资源控制 应对嵌人式控制器的运行状态进行监控,包括系统的CPU,内存、堆栈等,对存储于内存中的配置 信息、控制程序、数据进行监控,限制对关键控制系统数据《包括控制程序代码,、组态配置信息等)的 访问 7.7 数据安全 7.7.1基本要求 应能够检测现场控制层网络内所有的用户组态数据、上传/下载程序数据等在传输过程中完整性是 否受到破坏
7.7.2加强要求 7.7.2.1常规加强要求 数据传输完整性;应保证数据在现场控制层传输过程中的完整性,包括防止数据包被插人,防止数 据包被删除、防止数据包被超期延迟,防止数据包被重排序和重放
14
GB/T33009.1一2016 7.7.2.2深度加强要求 本项要求包括但不仅限于: a)控制器存储数据完整性 应保证存储于嵌人式控制系统内的数据完整性,包括静态数据保护,关闭无用端口、写保护,可执行 代码保护,应用鞋序配置保护,应用程序语法检查.操作系统配置保护,可执行代码注人保护等 b控制系统实时数据完整性 应能够检测现场控制层网络内所有的现场实时数据、控制指令数据、监控数据等在传输过程中完整 性是否受到破坏
应具备利用密码技术或其他同等功效的技术检测数据包被修改的能力
点对点通信加密 C 应保证在点对点通信的过程中,会话的建立有相应的身份认证机制、会话过醒中应提供加密机制或 其他等效技术手段保证会话不会被窃听、在会话目的达到后及时关闭会话、在会话超时时提供会话超时 响应功能,如可关闭会话也可重新进行会话认证
现场设备层网络安全 区域划分 8.1 8.1.1常规加强要求 应根据现场设备层的安全等级进行安全区域划分,并按照方便管理和控制为原则为各安全区域分 配网络地址 8.1.2深度加强要求 应限制将不同安全等级的控制装置和现场设备连接到同一个安全区域内的现场总线网络
访问与使用控制 8.2 8.2.1常规加强要求 应在各安全区域之间部署安全网关设备,建立各区域之间的网关路径,保证各子区域之间访问的相 对独立性
应对危险区域,关键装置中的执行机构(压力执行机构,温度执行机构等)的操作行为进行限制,对 装置的手动操作区域应采用物理防护措施进行防护,但不应影响紧急操作
8.2.2深度加强要求 应在现场控制层与现场设备层网络的边界部署访问控制设备,设定访问控制策略
对从现场控制 层发起的访问,进行现场总线协议和服务功能等项目的检查,以允许/拒绝数据包的出人 应提供对控制器发送操控指令的操作行为进行授权验证的功能,如开关操作,电磁阀操作等 8.3入侵防御 8.3.1常规加强要求 智能仪表软件检测 a 智能仪表嵌人式软件应对输人数据提供有效性检验功能,保证通过通信接口输人的数据格式、长度 符合系统要求,当出现异常情况时能够提供异常处理功能
15
GB/T33009.1一2016 b 总线负载检测 应能够对现场总线上的网络流量及网络负载数量进行监测,当发现网络负载异常时能够提供报警 信息
8.3.2深度加强要求 本项要求包括但不仅限于: a)控制指令识别 应能够对关键装置,关键执行机构压力控制机构、温度控制机构、流量控制机构等)的控制指令进 行识别
恶意指令防护 b 应在现场设备层与现场控制层网络的边界部署安全防护设备,并能够监视过滤网络中的恶意控制 指令行为,根据安全策略对恶意指令进行阻断
8.4身份鉴别与认证 8.4.1常规加强要求 能够对发送操作数据和指令的现场设备进行身份识别
8.4.2深度加强要求 不要求
8.5安全审计 8.5.1常规加强要求 宜对现场设备层网络中的现场总线运行状况、网络流量等进行审计,审计记录应包括日期和时间、 控制器、事件类型等
8.5.2深度加强要求 应对审计记录进行保护,应保证无法单独中断审计进程,无法删除、修改和覆盖审计记录
8.6数据安全 8.6.1常规加强要求 应采用监测或管理手段保证现场设备层网络内所有的现场实时数据、控制指令数据、监控数据等在 传输过程中完整性不受到破坏,如果数据被破坏能够及时发现
8.6.2深度加强要求 应保证数据在现场设备层传输过程中的完整性,包括防止数据被插人,防止数据被删除、防止数据 被超期延迟、防止数据被重排序和重放;应具备利用密码技术或其他同等功效的技术检测数据被修改的 能力 16
GB/T33009.1一2016 参 考 文 献 [1]GB/T20270一2006信息安全技术网络基础安全技术要求 [2 GB/T22239一2008信息安全技术信息系统安全等级保护基本要求 [幻 GB/T222402008信息安全技术信息系统安全保护等级定级指南 [打IBc/Ts62443-1 ,conceptsandmodels Terminology [51 IEC/TR62443-2Establishinganindustrialautomationandcontrol systemsecuritypro gram [6 IEC/TR62443-3 Operatingamanufaeturingandcontrolsystemsseeurityprogram [ IEC/TR62443-4Speeificsecurityreguirementsformanufacturingandcontrolsystems [8T IEC62443-5Securitytechnologiesforindustrialautomationandcontrolsystems NISTSP800-412009GuidelinesonFirewallsandFirewallPoliey [9] 10 NISTSP800-822011 GuidetoIndustrialControlSystemsICS)Security
工业自动化和控制系统网络安全集散控制系统(DCS)第1部分:防护要求GB/T33009.1-2016
随着工业自动化的普及和发展,集散控制系统(DCS)在工业生产中得到广泛应用。然而,由于其开放性和复杂性,DCS也成为了网络攻击的目标。 为确保工业自动化系统的稳定、可靠和安全运行,国家标准GB/T33009.1-2016《工业自动化和控制系统网络安全集散控制系统(DCS)第1部分:防护要求》对DCS在网络安全方面做出了详细规定。 该标准包括了DCS的网络接口与协议安全性要求、通信机制与保护要求、身份认证与访问控制要求等方面的内容。其中,DCS的网络接口与协议安全性要求规定了DCS与外部网络之间的接口以及通信协议需要满足的各项安全性要求,如传输加密、身份认证等,以保障DCS与外部网络之间的安全通信。 另外,该标准还对DCS系统进行了分层管理,规定了不同层级之间的安全防护要求。例如,在控制层和操作层之间的数据交互过程中,需要通过身份认证和访问控制等措施来保证数据的安全性。 此外,标准还规定了DCS系统应采取防范威胁和攻击的技术措施,如入侵检测、病毒防护、日志审计等。同时,标准还要求DCS系统的设计、开发、测试、部署、更新等方面都必须符合相应的安全性要求与规范。 综上所述,国家标准GB/T33009.1-2016为工业自动化系统提供了全面的安全技术规范和指导,对于确保集散控制系统的安全运行具有重要意义。
