GB/T 40813-2021 信息安全技术 工业控制系统安全防护技术要求和测试评价方法
- 名 称:GB/T 40813-2021 信息安全技术 工业控制系统安全防护技术要求和测试评价方法 - 下载地址2
- 下载地址:[下载地址2]
- 提 取 码:
- 浏览次数:3
发表评论 加入收藏夹 错误报告目录| 新闻评论(共有 0 条评论) |
资料介绍
ICS 35 . 030 CCS L 80
中 华 人 民 共 和 国 国 家 标 准
GB/T 40813—2021
信息安全技术 工业控制系统
安全防护技术要求和测试评价方法
Informationsecuritytechnology—Securityprotectiontechnicalrequirementsand
testingevaluationmethodsofindustrialcontrolsystems
2021-10-1 1 发布 2022-05-01 实施
国家市场监督管理总局国家标准化管理委员会
发
布
GB/T 40813—202 1
GB/T 40813—202 1
前 言
本文件按照 GB/T 1 . 1—2020《标准化工作导则 第 1 部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别专利的责任。
本文件由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口 。
本文件起草单位:上海三零卫士信息安全有限公司、中国信息安全测评中心、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、公安部第三研究所、中国石化上海高桥石油化工有限公司、上海工业自动化仪表研究院有限公司、中移(杭州)信息技术有限公司、国家信息技术安全研究中心、上海核工程研究设计院有限公司、北京天融信网络安全技术有限公司、北京和利时系统工程有限公司、上海市信息安全测评认证中心、北京圣博润高新技术股份有限公司、陕西省网络与信息安全测评中心、北京威努特技术有限公司、中国电子科技网络信息安全有限公司、中国电子科技集团公司第十五研究所、西南交通大学、国家工业信息安全发展研究中心、国家应用软件产品质量监督检验中心、中国航空油料集团有限公司、中国电子科技集团公司电子科学研究院、成都卫士通信息产业股份有限公司、北京奇虎科技有限公司、奇安信科技集团股份有限公司、中国电力科学研究院有限公司、江苏敏捷科技股份有限公司、卡斯柯信号有限公司、上海申通地铁集团有限公司、青岛地铁集团有限公司、上海电气泰雷兹交通自动化系统有限公司、北京交通大学、智巡密码(上海)检测技术有限公司、北京市地铁运营有限公司通信信号分公司、全球能源互联网研究院有限公司、吉林省电子信息产品检验研究院、深信服科技股份有限公司、中国矿业大学(北京)、国网新疆电力有限公司电力科学研究院、中国华电集团有限公司、中国平安保险(集团)股份有限公司、中科信息安全共性技术国家工程研究中心有限公司、上海工业控制安全创新科技有限公司、华东师范大学、北京和仲宁信息技术有限公司、中国华能集团有限公司、柳州市东科智慧城市投资开发有限公司、中国石油天然气股份有限公司西北销售分公司、中国石油天然气股份有限公司长庆石化分公司、北京中油瑞飞信息技术有限责任公司。
本文件主要起草人:张毅、干露、李绪国、饶志宏、李斌、李嵩 、顾健、高洋、李琳、申永波、陆臻、邹春明、徐国忠、王英、陆炜、郭旭、袁专、毛磊、安高峰、刘盈、徐佟海、赵宇、杨帆、杨向东、冯全宝、唐林、兰昆、董晶晶、王丹琛、陈雪鸿、王坤、赵振学、司瑞彬、李瑞、张屹、王贾、李凌、倪海燕、崔科、李建全、王大庆、左旭涛、高翔、唐涛、郭筝、郭一力、梁潇、华颜涛、叶润国、谭波、李峰、舒斐、李辉、于惊涛、孟源、胡建勋、蒲戈光、刘虹、陈铭松、纪璐、杨硕、石永杰、于慧超、王飞、张兴、王小宏、赵朋。
GB/T 40813—202 1
引 言
本文件结合国家已发布的法律法规、政策性文件和标准,并重点根据 GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》增加和细化安全防护技术指标、控制点和控制项,为相关方开展工业控制系统安全等级保护和 日常安全防护工作提供更具操作性的依据。
与本文件相关的标准化文件包括:
GB/T 40813—202 1
信息安全技术 工业控制系统
安全防护技术要求和测试评价方法
1 范围
本文件规定了工业控制系统安全防护技术要求、保障要求和测试评价方法。
本文件适用于工业控制系统建设、运营、维护等。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中,注 日期的引用文件,仅该日期对应的版本适用于本文件;不注 日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
3 术语和定义
GB/T 22239—2019、GB/T 25069—2010、GB/T 36324—2018 和 GB/T 37933—2019 界定的以及下列术语和定义适用于本文件。
3.1
工业控制资产 industrialcontrolasset
工业生产控制过程中具有价值的软硬件资源和数据。
注:包括控制设备、工业主机、网络设备、应用程序、工业数据等。
3.2
中心控制室 centralcontrolroom
位于组织内,具有生产操作、过程控制、安全保护、仪器仪表维护和生产管理等功能的综合性场所。
3.3
现场控制室 fieldcontrolroom
位于组织内生产现场,具有生产操作、过程控制和安全保护等功能的场所。
3.4
现场机柜室 fieldauxiliaryroom
位于组织内生产现场,用于安装工业控制系统机柜及其他设备的场所。
3.5
控制设备 controlequipment
工业生产过程中用于控制执行器以及采集传感器数据的装置。
注:包括 DCS现场控制单元、PLC 以及 RTU 等进行生产过程控制的单元设备。
GB/T 40813—202 1
3.6
工业主机 industrialhost
工业生产控制各业务环节涉及组态、工作流程和工艺管理、状态监控、运行数据采集以及重要信息存储等工作的设备。
注:包括工程师站、操作员站、服务器等。
3.7
双机热备 dual-machinehotstandby
通过网络连接主机和从机,正常情况下主机处于工作状态,从机处于监视状态,一旦主机异常,从机自动代替主机。
4 缩略语
下列缩略语适用于本文件。
APT:高级持续性威胁(Advanced Persistent Threat)
CPE:客户前置设备(Customer Premise Equipment)
DCS:分布式控制系统(Distributed Control System)
DNP:分布式网络协议(Distributed Network Protocol)
FTP:文本传输协议(File Transfer Protocol)
HMI:人机界面( Human Machine Interface)
HTTPS:以安全为目标的超文本传输协议通道(Hyper Text Transfer Protocol over Secure Socket Layer)
ICS:工业控制系统(Industrial Control System)
IEC:国际电工委员会(International Electrotechnical Commission)
IP:互联网协议(Internet Protocol)
IPSec:互联网安全协议(Internet Protocol Security)
MAC:媒体存取控制(Media Access Control)
OLE:对象连接与嵌入(Object Linking and Embedding)
OPC:用于过程控制的 OLE(OLE for Process Control)
PLC:可编程逻辑控制器(Programmable Logic Controller)
RPO:恢复点目标(Recovery Point Objective)
RTO:恢复时间 目标(Recovery Time Objective)
RTU:远程终端单元(Remote Terminal Unit)
SCADA:监视控制与数据采集(Supervisory Control and Data Acquisition)
SNMP:简单网络管理协议(Simple Network Management Protocol)
SSH:安全外壳(Secure Shell)
SSL:安全套接层(Secure Socket Layer)
TCP:传输控制协议(Transmission Control Protocol)
VPN:虚拟专用网络(Virtual Private Network)
WAF:网络应用防火墙(Web Application Firewall)
GB/T 40813—202 1
5 概述
5 . 1 ICS基本构成
按 GB/T 36324—2018 中 4 . 1, ICS包括但不限于以下部分。
a) 核心组件:包括 SCADA、DCS、PLC等控制系统和控制设备,以及各组件通信的接口单元。
b ) 控制过程:由控制回路、工业主机、远程诊断与维护工具三部分完成,控制回路用以控制逻辑运算,工业主机执行信息交换,远程诊断与维护工具用于出现异常操作时进行诊断和恢复。
c) 结构层次:参考 GB/T22239—2019 中附录 G, ICS及相关联系统从上到下共分为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层等五层。 在实际工业生产环境中,可出现相邻两层的功能由一个系统、设备来实现,即在物理上并未分开。
5 . 2 安全防护对象和目的
本文件中 ICS安全防护对象包括:现场设备层、现场控制层和过程监控层工业控制资产。
本文件给出了物理环境安全防护等八项技术要求指标和软件开发安全防护等两项保障要求指标,安全防护 目 的包括如下内容。
a) 安全防护技术要求:
1) 物理环境安全防护的 目 的是防止人员未经授权访问、损坏和干扰 ICS 资产,避免受到外部物理环境因素影响,保护 ICS 的外部运行环境;
2) 网络通信安全防护的 目 的是保护 ICS 中传输的数据的完整性和保密性,维护 ICS 内部以及与外部网络之间信息的安全传输;
3) 网络边界安全防护的 目 的是安全访问 ICS,避免非授权访问,及时发现并有效保护 ICS 免受恶意入侵和攻击,部分行业的应用场景见附录 A ;
4) 工业主机安全防护的 目 的是有效控制工业主机访问行为,避免非授权访问,防止工业主机受到非法入侵或造成工业数据泄漏;
5) 控制设备安全防护的 目 的是安全访问控制设备,阻止非授权访问,避免控制设备受到恶意入侵、攻击或非法控制;
6) 数据安全防护的 目 的是保护数据全生存周期的完整性和保密性,防止未经授权使用和处理数据、恶意篡改和窃取数据等现象发生,数据安全防护对象见附录 B ;
7) 防护产品安全的 目 的是产品功能安全可靠、管控策略有效,避免因产品 自身功能缺陷给ICS 的正常运行带来安全隐患;
8) 系统集中管控的 目 的是集中维护和管控 ICS,统一制定与部署安全策略,集中响应安全事件,典型部署方式见附录 C。
b) 安全防护保障要求:
1) 软件开发安全防护的 目 的是控制 ICS 软件的安全开发,避免软件自身存在安全隐患;
2) 系统维护安全防护的 目 的是有效控制系统维护过程,避免系统在维护过程中受到干扰、恶意入侵,或发生数据泄露、被破坏或篡改等现象。
本文件提出的安全防护技术要求和保障要求分为四个等级,与 GB/T 22239—2019、GB/T 36324— 2018 提出的相应安全保护等级要求保持一致,并按梯次推进的方式给出了不同安全保护等级 ICS 所对应的技术要求和保障要求。
测试评价方法是针对 ICS运营单位执行本文件安全防护技术要求和保障要求的情况进行测试评价的一般方法,也可根据自身关注点自行调整测试评价指标。 测试评价流程见附录 D。
GB/T 40813—202 1
5 . 3 安全防护措施的约束条件
ICS安全防护措施的约束条件包括:
a) ICS采用的网络边界隔离等技术防护手段应符合国家和所在行业规定要求,并采用经具备资格的第三方机构检测合格的安全产品;
b) 数据传输和存储过程中所采用的密码技术应经过国家密码主管部门核准;
c) ICS 与涉密信息系统之间连接应符合国家保密规定和相关标准要求;
d) 任何情况下都不应因采用安全防护技术措施而影响 ICS 的正常运行或对系统的安全功能产生不利影响,例如:不应锁定用于基本功能的账户、不应因部署安全措施而显著增加延迟并影响系统的响应时间、不应因安全措施失效导致系统的基本功能中断等;
e) 在符合本文件提出的技术要求时,如经评估对可用性有较大影响而无法实施,可调整要求并研究制定相应的补偿防护措施,但采取补偿防护措施后不应降低原有要求的整体安全防护强度。
6 安全防护技术要求
6 . 1 物理环境安全防护
6 . 1 . 1 位置选择
6 . 1 . 1 . 1 第一级
机房、中心控制室、现场控制室应位于具有防震能力的建筑物内,并应具有所在建筑物符合当地抗震设防标准的证明。
6 . 1 . 1 . 2 第二级
本项要求包括:
a ) 应符合 6 . 1 . 1 . 1 ;
b) 机房、中心控制室、现场控制室应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁,如不可避免,应采取有效的防水、防潮措施。
6. 1 . 1 .3 第三级~第四级
本项要求包括:
a ) 应符合 6 . 1 . 1 . 2 ;
b) 机房、中心控制室、现场控制室应避开发生火灾危险程度高的区域;
c) 机房、中心控制室、现场控制室应避开产生粉尘、油烟、有害气体源以及存放腐蚀、易燃、易爆物品的地方;
d) 机房、中心控制室、现场控制室应避开低洼、潮湿、落雷、重盐害区域和地震频繁的地方;
e ) 机房、中心控制室、现场控制室应避开强振动源和强噪声源;
f) 机房、中心控制室、现场控制室应避开强电磁干扰源;
g) 如以上无法避免,应采取相应措施。
6 . 1 . 2 访问控制
6. 1 .2. 1 第一级~第二级本项要求包括:
GB/T 40813—202 1
a) 来访人员进入机房、中心控制室、现场控制室前应提出申请并通过审批,应记录其随身携带的设备、进出时间和工作内容,应有专人陪同并限制和监控其活动范围;
b) 机房、中心控制室出入口应安排专人值守或配置电子门禁系统,控制、识别和记录人员的进出,人员进出记录应至少保存六个月。
6 . 1 . 2 . 2 第三级
本项要求包括:
a) 应对机房、中心控制室、现场控制室划分不同管理区域,应将设备区域和维护操作区域分离;
b) 应对主机房、中心控制室、现场控制室的重要工程师站、数据库、服务器等核心工业控制资产所在区域采取视频监控或专人值守等防护措施;
c) 来访人员进入主机房、中心控制室、现场控制室前应提出申请并通过审批,应记录其随身携带的设备、进出时间和工作内容,应有专人陪同并限制和监控其活动范围;设备使用前应进行系统扫描、使用过程中应进行行为监测、带出前应对工作 日志等进行审计;
d) 机房、中心控制室出入口应配置电子门禁系统,控制、识别和记录人员的进出,人员进出记录应至少保存六个月。
6 . 1 . 2 . 3 第四级
本项要求包括:
a ) 应符合 6 . 1 . 2 . 2 ;
b ) 主机房、中心控制室的重要区域应配置第二道电子门禁系统,控制、识别和记录人员的进出,人员进出记录应至少保存六个月。
6 . 1 . 3 防盗窃和防破坏
6 . 1 . 3 . 1 第一级
本项要求包括:
a) 应将服务器、路由器、交换机等主要设备放置在主机房、中心控制室或现场控制室等建筑物内;
b) 应将室外控制设备安装在采用金属材料制作且具有防盗能力的箱体或装置中;
c) 应将设备或主要部件进行固定,并设置明显的不易除去的粘贴标签或铭牌等标记。
6 . 1 . 3 . 2 第二级
本项要求包括:
a ) 应符合 6 . 1 . 3 . 1 ;
b) 应将通信线缆铺设在隐蔽处,可铺设在管道中。
6. 1 .3.3 第三级~第四级
本项要求包括:
a ) 应符合 6 . 1 . 3 . 2 ;
b) 应采用光、电等技术设置机房、中心控制室、现场控制室防盗报警系统或设置有专人值守的视频监控系统;
c) 应对机房、中心控制室、现场控制室的控制台等重要区域进行视频监控,监控记录应至少保存三个月。
GB/T 40813—202 1
6 . 1 . 4 防雷击
6. 1 .4. 1 第一级~第二级
本项要求包括:
a) 应对室外控制设备电源、信号线路加装避雷器或浪涌保护器,并将金属管线就近接地;
b) 应根据室外控制设备分布,在设备集中位置设置接地汇流排、均压环、均压网等等电位连接装置;所有设备、金属机架、外壳、管、槽等应就近接地,并应符合等电位连接要求;
c ) 机房、中心控制室、现场控制室、现场机柜室应在所在建筑物防雷措施基础上采取加强防雷击措施;
d) 机房、中心控制室、现场控制室、现场机柜室等各类机柜、设施和设备等应通过接地系统安全接地。
6. 1 .4.2 第三级~第四级
本项要求包括:
a ) 应符合 6 . 1 . 4 . 1 ;
b ) 应对机房、中心控制室、现场控制室、现场机柜室所在建筑物设置防雷保安器或过压保护装置等防感应雷措施。
6 . 1 . 5 防火
6 . 1 . 5 . 1 第一级
本项要求包括:
a) 应将室外控制设备安装在采用金属材料或其他防火隔热材料制作且具有防火能力的箱体或装置中;
b ) 机房、中心控制室、现场控制室、现场机柜室应配置灭火器,配置的灭火器类型、规格、数量和位置应符合国家标准的要求,灭火所用的介质不宜造成二次破坏。
6 . 1 . 5 . 2 第二级
本项要求包括:
a ) 应符合 6 . 1 . 5 . 1 ;
b ) 机房、中心控制室、现场控制室、现场机柜室应设置火灾 自动消防系统,应能 自动检测火情、自动报警,并应具有自动灭火功能;
c) 机房、中心控制室、现场控制室的内部装修材料应采用符合国家标准的难燃烧材料和非燃烧材料。
6. 1 .5.3 第三级~第四级
本项要求包括:
a ) 应符合 6 . 1 . 5 . 2 ;
b ) 应对机房、中心控制室、现场控制室划分不同管理区域,区域间应设置隔离防火措施,并应将重要设备和其他设备隔开;
c) 当机房作为独立建筑物时,建筑物的耐火等级应不低于该建筑物所对应的设计防火规范中规定的二级耐火等级;
d) 当机房位于其他建筑物内时,该机房与其他部位之间应设置耐火等级不低于 2 h 的隔墙或隔
GB/T 40813—202 1
离物,隔墙上的门应采用符合国家标准的甲级防火门。
6 . 1 . 6 防水和防潮
6 . 1 . 6 . 1 第一级
本项要求包括:
a) 应将室外控制设备安装在采用金属材料或其他材料制作且具有防水能力的箱体或装置中;
b) 无关的给排水管道不应穿过机房、中心控制室、现场控制室,相关的给排水管道应有可靠的防渗漏措施;
c ) 机房、中心控制室、现场控制室外墙壁应采用无窗设计或采用双层固定窗并作密封、防水处理;
d) 如机房、中心控制室、现场控制室周围有用水设备,应有防渗水和导流措施;
e) 应采取措施防止雨水通过机房、中心控制室、现场控制室的窗户、屋顶和墙壁渗透到机房、中心控制室、现场控制室内。
6 . 1 . 6 . 2 第二级
本项要求包括:
a ) 应符合 6 . 1 . 6 . 1 ;
b ) 应采取措施防止机房、中心控制室、现场控制室内发生凝露和地下积水转移或渗漏现象。
6. 1 .6.3 第三级~第四级
本项要求包括:
a ) 应符合 6 . 1 . 6 . 2 ;
b) 应安装对水敏感的检测仪表或传感器,并对机房、中心控制室、现场控制室应在漏水隐患处设置漏水检测报警系统。
6 . 1 . 7 防静电
6. 1 .7. 1 第一级~第二级
本项要求包括:
a ) 机房、各控制室、现场机柜室应采用防静电地板或地面;
b) 应对机房、各控制室、现场机柜室内的设备采取必要的接地防静电措施;
c ) 机房、各控制室、现场机柜室内易产生静电的地方,可采用静电消除剂和静电消除器;
d) 室外控制设备应就近接地,并应设置人工接地装置。
6. 1 .7.2 第三级~第四级
本项要求包括:
a ) 应符合 6 . 1 . 7 . 1 ;
b ) 应符合 GB/T 22239—2019 中 8 . 1 . 1 . 7b) 。
6 . 1 . 8 防爆
本项要求包括:
a) 对于存在爆炸危险的组织,主机房、中心控制室应位于爆炸危险区域外,其建筑物的建筑结构应根据抗爆强度分析结果进行设计;
b ) 对于存在爆炸危险的生产车间(装置),现场控制室、现场机柜室应位于爆炸危险区域外,应根
GB/T 40813—202 1
据安全专业抗爆强度分析结果确定是否设计为抗爆结构,应根据不同的易爆因素设置监测报警装置。
6 . 1 . 9 防鼠害
本项要求包括:
a) 应采用防火材料封堵机房、中心控制室、现场控制室、现场机柜室的孔、洞;
b ) 应对易受鼠害的机房、中心控制室、现场控制室、现场机柜室内的缆线采取防护措施。
6 . 1 . 10 温湿度控制
6 . 1 . 10 . 1 第一级
本项要求包括:
a) 应在机房内设置必要的温、湿度调节装置,并使温、湿度控制在设备工作允许范围内,其中:开机时温度、相对湿度和温度变化率宜符合 GB/T 2887—2011 表 2 中 C级要求,停机时温度、相对湿度和温度变化率宜符合 GB/T 2887—2011 表 3 中 C 级要求;应有对主机房内的温、湿度监测记录;
b) 应在中心控制室、现场控制室和现场机柜室内设置必要的温、湿度调节装置,并使温、湿度控制在设备工作允许范围内,其中:温度宜控制在冬季 20 ℃ ±2 ℃、夏季 24 ℃ ± 2 ℃ ,温度变化率小于 5 ℃ /h;相对湿度宜控制在 40%~60%,湿度变化率小于 6%/h;
c) 按 GB/T 7353—1999 中 6.9,工业控制(台)柜环境温度应控制在-5 ℃ ~40 ℃ ,相对湿度应控制在 40%~90%。
6. 1 . 10.2 第二级~第四级
本项要求包括:
a) 应符合 6 . 1 . 10 . 1b)和 c) ;
b) 应在机房内设置必要的温、湿度调节装置,并使温、湿度控制在设备工作允许范围内,其中:开机时温度、相对湿度和温度变化率宜符合 GB/T 2887—2011 表 2 中 B级要求,停机时温度、相对湿度和温度变化率宜符合 GB/T 2887—2011 表 3 中 B 级要求;应有对主机房内的温、湿度监测记录装置。
6 . 1 . 1 1 电力供应
6 . 1 . 1 1 . 1 第一级
应在机房、中心控制室供电系统中设置稳压稳频装置和过电压防护设备,供电系统的容量应具有一定的余量。
6 . 1 . 1 1 . 2 第二级
本项要求包括:
a) 应符合 6 . 1 . 11 . 1 ;
b) 应为机房、中心控制室、现场控制室、现场机柜室配备不间断电源等短期备用电力供应装置,并应满足设备在断电情况下的持续供电时间不低于 20 min。
6 . 1 . 1 1 . 3 第三级
本项要求包括:
GB/T 40813—202 1
a ) 应符合 6 . 1 . 11 . 2 ;
b) 应采用冗余或并行的电力电缆线路为机房、中心控制室的计算机系统供电,输入电源应采用双路市电 自动切换供电方式。
6 . 1 . 1 1 . 4 第四级
本项要求包括:
a ) 应符合 6 . 1 . 11 . 3 ;
b) 应为机房、中心控制室设置双路市电(或市电、备用柴油发电机)和不间断电源系统,并应满足为关键设备在断电情况下持续供电 2 h 以上。
6 . 1 . 12 电磁防护
6 . 1 . 12 . 1 第一级
本项要求包括:
a) 处于强电磁干扰区和有保密要求的机房应设置电磁屏蔽室;
b ) 应符合 GB/T 22239—2019 中 6 . 5 . 1 . 1b) 。
6 . 1 . 12 . 2 第二级
本项要求包括:
a ) 应符合 6 . 1 . 12 . 1 ;
b ) 应符合 GB/T 22239—2019 中 7 . 1 . 1 . 10 ;
c) 电力电缆不宜穿过中心控制室、现场控制室,当受条件限制需要穿过时,应采取屏蔽措施;
d) 对集中存储、处理、传输敏感数据的设备,应考虑电磁信息泄露防护措施。
6 . 1 . 12 . 3 第三级
本项要求包括:
a ) 应符合 6 . 1 . 12 . 2 ;
b) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;
c) 应对重要工艺控制环路所涉及设备采取免受无线注入攻击和干扰的风险防护措施;
d) 应对涉及敏感数据的关键设备和磁媒体采取防敏感信息泄露或受到电磁攻击的电磁屏蔽措施。
6 . 1 . 12 . 4 第四级
本项要求包括:
a ) 应符合 6 . 1 . 12 . 3 [ 6 . 1 . 12 . 3d)除外];
b) 应对涉及敏感数据的关键设备和磁媒体或关键区域采取防敏感信息泄露或受到电磁攻击的电磁屏蔽措施。
6 . 2 网络通信安全防护
6 . 2 . 1 网络架构
6 . 2 . 1 . 1 第一级
本项要求包括:
GB/T 40813—202 1
a) 应绘制与当前相符的 ICS 网络拓扑图,整理设备清单和核心网络设备配置文件并定期备份更新,主要包括:设备名称、型号、网络地址等信息以及网段划分、路由、安全策略配置等信息;
b) ICS应单独划分网络区域,并应与组织其他信息系统位于不同的网络区域内;
c) 应根据 ICS 区域重要性和业务需求进行安全区域划分,系统不同层次之间、同一层次不同业务单元之间应划分为不同的安全防护区域;
d) 应对 ICS 的开发、测试、运维和生产分别提供独立环境;
e ) 应通过路由控制在业务终端与业务服务器之间建立安全的访问路径。
6 . 2 . 1 . 2 第二级
本项要求包括:
a ) 应符合 6 . 2 . 1 . 1 ;
b ) 应符合 GB/T 22239—2019 中 7 . 1 . 2 . 1b) ;
c ) 应符合 GB/T 22239—2019 中 7 . 5 . 2 . 1c) 。
6 . 2 . 1 . 3 第三级
本项要求包括:
a ) 应符合 6 . 2 . 1 . 2 ;
b ) 单个 ICS 可单独划分安全域并可划分独立子网,每个安全域应尽量少设置网络出口;
c) 网络设备的业务处理能力应满足业务高峰期需要,并具备冗余空间;
d) 网络各个部分的带宽应满足业务高峰期需要,并具备冗余空间;
e) 通信线路、关键网络设备和关键计算设备的硬件应进行冗余配置。
6 . 2 . 1 . 4 第四级
本项要求包括:
a ) 应符合 6 . 2 . 1 . 3 ;
b ) 应符合 GB/T 22239—2019 中 9 . 1 . 2 . 1f) 。
6 . 2 . 2 通信传输
6 . 2 . 2 . 1 第一级
本项要求包括:
a) ICS 与组织其他信息系统之间交换数据时,应在网络接口处对应用协议报文进行分析,并应通过访问控制机制控制两网之间的数据交换行为,仅允许交换符合安全策略的指定格式的数据;
b) ICS 内部不同安全域之间进行信息交换时,应对 OPC、Profinet 等工业控制协议的数据包进行解析,并能及时发现异常通信行为;
c) 现场控制设备与工程师站等上位监控系统之间应使用唯一的信息交换接口接收所有数据并对用户的合法性进行验证;
d) 数据传输过程中安全设备不应对 ICS 的实时性产生影响;
e ) 应符合 GB/T 22239—2019 中 6 . 1 . 2 . 1 。
6 . 2 . 2 . 2 第二级
本项要求包括:
a ) 应符合 6 . 2 . 2 . 1 ;
GB/T 40813—202 1
b) 通过广域网交换控制指令或相关数据时,应采用加密认证技术实现身份鉴别、访问控制和数据加密传输。
6 . 2 . 2 . 3 第三级
本项要求包括:
a ) 应符合 6 . 2 . 2 . 2 [ 6 . 2 . 2 . 1e)除外];
b ) 应符合 GB/T 22239—2019 中 8 . 1 . 2 . 2a) ;
c ) 应符合 GB/T 22239—2019 中 8 . 1 . 2 . 2b) ;
d ) 应符合 GB/T 22239—2019 中 8 . 5 . 3 . 3c) 。
6 . 2 . 2 . 4 第四级
本项要求包括:
a ) 应符合 6 . 2 . 2 . 3 [ 6 . 2 . 2 . 3b)除外];
b ) 应符合 GB/T 22239—2019 中 9 . 1 . 2 . 2a) ;
c) 通信前应采用 SSL、IPSec 等基于密码技术的协议对通信双方进行会话初始化验证,并应在通过加解密验证后通信;
d ) 应符合 GB/T 22239—2019 中 9 . 1 . 2 . 2d) 。
6 . 2 . 3 网络设备防护
6 . 2 . 3 . 1 第一级
本项要求包括:
a) 应对登录网络设备的用户进行身份鉴别;
b) 应通过采取结束会话、限制非法登录次数和网络登录连接超时自动退出等策略,实现登录失败处理功能;
c) 非法登录次数达到预设值时,应记录相应日志,并向网络管理主机发送报警信息;
d) 对网络设备进行远程管理时,应采取防止鉴别信息在网络传输过程中被窃取的措施。
6 . 2 . 3 . 2 第二级
本项要求包括:
a ) 应符合 6 . 2 . 3 . 1 ;
b ) 应及时修改默认用户和默认口令,口令长度应不少于 8 位且为字母、数字或特殊字符的组合,用户名和口令不应相同,不应明文存储口令,每三个月应更换一次口令;
c) 网络设备的标识应唯一,不应使用网络地址等易被仿冒的设备标识;
d) 同一网络设备的用户标识应唯一,多个人员不应共用一个账号;
e) 应对网络设备的管理员登录地址进行限制;
f) 应关闭不需要的网络端口和服务,如使用 SNMP 服务,应采用安全性增强版本,并应设定复杂的共享控制字段,不应使用公共或私有的默认字段。
6 . 2 . 3 . 3 第三级
本项要求包括:
a ) 应符合 6 . 2 . 3 . 2 ;
b) 应实现管理员等设备特权用户的权限分离,如系统不支持,应通过采取其他技术措施对管理员
GB/T 40813—202 1
的操作行为进行审计,且管理员无权对审计记录进行操作。
6 . 2 . 3 . 4 第四级
本项要求包括:
a ) 应符合 6 . 2 . 3 . 3 ;
b) 应采用口令、密码和生物识别等两种或两种以上组合的鉴别方式对用户身份进行鉴别,且其中至少一种鉴别方式应使用密码技术实现。
6 . 2 . 4 可信验证
6 . 2 . 4 . 1 第一级
应符合 GB/T 22239—2019 中 6 . 1 . 2 . 2 。
6 . 2 . 4 . 2 第二级
应符合 GB/T 22239—2019 中 7 . 1 . 2 . 3 。
6 . 2 . 4 . 3 第三级
应符合 GB/T 22239—2019 中 8 . 1 . 2 . 3 。
6 . 2 . 4 . 4 第四级
应符合 GB/T 22239—2019 中 9 . 1 . 2 . 3 。
6 . 3 网络边界安全防护
6 . 3 . 1 安全区域划分
本项要求包括:
a) ICS 与组织其他信息系统间应具有明确的网络边界;
b) 应基于自身业务特点将 ICS 内部划分为不同的安全域,安全域的划分应有利于在同一安全域内部署统一的安全防护策略,并能对内部数据的访问和传输进行合理控制;
c ) 应将 ICS 的开发、测试和生产环境分别置于不同的网络区域,区域间应进行物理或逻辑隔离。
6 . 3 . 2 边界隔离
6 . 3 . 2 . 1 第一级
本项要求包括:
a) ICS 与组织管理信息系统等其他系统间应采取技术隔离措施;
b) ICS 内部不同安全域之间应部署具有访问控制功能或具有相当功能的安全隔离设备。
6 . 3 . 2 . 2 第二级
本项要求包括:
a ) 应符合 6 . 3 . 2 . 1 ;
b) 应在 ICS 内部不同安全域之间采取必要的边界隔离机制,对接入 ICS 的设备进行识别和管控,仅允许经过授权的设备接入系统,并在防护机制失效时及时进行报警。
GB/T 40813—202 1
6 . 3 . 2 . 3 第三级
本项要求包括:
a ) 应符合 6 . 3 . 2 . 2 [ 6 . 3 . 2 . 1a)除外];
b) ICS 与组织管理信息系统等其他系统之间应进行物理隔离,如有信息交换需求,应采用单向技术隔离手段,单向隔离装置的策略配置应安全有效;
c) ICS 与广域网的纵向交界处应设置访问控制设备,设备的策略配置应安全有效,并应实现双向身份核验、访问控制和数据加密传输;
d ) 应符合 GB/T 22239—2019 中 8 . 1 . 3 . 1b) ;
e ) 应符合 GB/T 22239—2019 中 8 . 1 . 3 . 1c) ;
f) 应采取无线安全检测防护措施并识别和阻断未经授权的无线设备接入工业控制网络,应具有对无线扫描、无线破解、无线拒绝服务等攻击行为进行检测和阻断的功能。
6 . 3 . 2 . 4 第四级
本项要求包括:
a ) 应符合 6 . 3 . 2 . 3 ;
b) 应在 ICS不同区域边界采用 ICS专用防火墙等访问控制设备,对 OPC、Profinet 等常见工业控制协议进行深度包检测和恶意代码过滤,对进出区域边界的数据进行控制,阻止非授权访问、常见网络攻击以及利用工业控制协议漏洞伪装成工业控制协议报文而进行的高级攻击,并在防护机制失效时及时报警;
c ) 应符合 GB/T 22239—2019 中 9 . 1 . 3 . 1e) ;
d ) 应符合 GB/T 22239—2019 中 9 . 1 . 3 . 1f) 。
6 . 3 . 3 访问控制
6 . 3 . 3 . 1 第一级
本项要求包括:
a) 应在 ICS 与组织其他信息系统之间设置访问控制规则,部署访问控制设备,默认情况下受控接口仅允许交换符合安全策略的指定格式的数据,禁用任何穿越区域边界的 E-Mail、Telnet、 Rlogin、FTP 等通用网络服务;
b ) 应符合 GB/T 22239—2019 中 6 . 1 . 3 . 2b) ;
c ) 应符合 GB/T 22239—2019 中 6 . 1 . 3 . 2c) ;
d ) 应符合 GB/T 22239—2019 中 6 . 5 . 3 . 2a) ;
e ) 应符合 GB/T 22239—2019 中 6 . 5 . 3 . 2b) ;
f) 应对各类物联网感知终端接入设置身份鉴别机制,边界访问控制机制应具有隔离功能,可设置数据包的源和 目 的端口号、网络地址和 MAC地址绑定等规则,包括添加、删除、修改、复制、导入、导出和保存规则等。
6 . 3 . 3 . 2 第二级
本项要求包括:
a ) 应符合 6 . 3 . 3 . 1 [ 6 . 3 . 3 . 1e)除外];
b) 应根据网络边界安全控制策略,通过检查数据包的源地址、目的地址、传输协议、所请求的服务等,及时制止不符合安全控制策略的数据包进出该边界;
GB/T 40813—202 1
c) 应能根据会话状态信息为数据流提供允许或拒绝访问的能力,控制粒度为端口级;
d ) 应根据数据的敏感标记允许或拒绝数据通过网络边界;
e) 边界的网络控制设备应根据用户与系统之间的允许访问规则,允许或拒绝对受控系统的资源访问,控制粒度为单个用户;
f) 部署在 ICS 区域边界的 ICS专用防火墙等访问控制设备应具备双机热备能力,当主防火墙 自身出现断电或其他软硬件故障时,备用防火墙应能及时发现并接管主防火墙进行工作;
g) 按 GB/T 22239—2019 中 7.5.3.2 ;
h) 应对所有参与无线通信的用户(人员、软件进程或设备)进行授权以及执行或使用进行限制。
6 . 3 . 3 . 3 第三级
本项要求包括:
a ) 应符合 6 . 3 . 3 . 2 ;
b ) 应符合 GB/T 22239—2019 中 8 . 5 . 3 . 2b) ;
c ) 应符合 GB/T 22239—2019 中 8 . 5 . 3 . 3d) 。
6 . 3 . 3 . 4 第四级
本项要求包括:
a ) 应符合 6 . 3 . 3 . 3 ;
b ) 应符合 GB/T 22239—2019 中 9 . 1 . 3 . 2e) ;
c ) 应符合 GB/T 22239—2019 中 9 . 5 . 3 . 2c) 。
6 . 3 . 4 安全审计
6 . 3 . 4 . 1 第一级
无要求。
6 . 3 . 4 . 2 第二级
本项要求包括:
a) 应在 ICS 网络边界、ICS 内部不同安全区域边界以及重要网络节点部署专用审计设备,或启动网络设备(系统)的审计功能并进行安全审计,审计范围应覆盖到 ICS 的每个用户,审计内容应包括:设备运行状况、网络流量、用户行为、重要系统命令使用和重要安全事件等;
b ) 审计测试仅限于对软件和数据的只读访问,非只读的访问仅用于对系统文件的单独复制,审计完成时应擦除这些复制或按审计文件要求保留这些文件并给予适当保护;
c ) 如审计测试会影响系统的可用性,应在非业务时间进行;
d) 应具备使用内部时钟为审计记录生成日期和时间等时间戳的功能;
e) 应能发现并发出审计失败的警告,并具备重启审计的功能;
f) 应定义审计阈值,当存储空间接近极限时,应采取备份覆盖等安全措施以正常执行审计功能;
g) 当审计要求和活动涉及对运行系统验证时,应事先与管理者确定访问系统和数据的审计要求并获批准;
h) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行 日志记录和保护并定期备份,避免受到未预期的删除、修改或覆盖等,记录保存时间应不少于六个月;
i) 应具备拒绝远程访问审计记录的功能,仅允许授权用户根据授权范围访问审计记录;
j) 应根据 ICS 的统一安全策略实现集中审计,应定期 自动统计分析所采集的审计记录并形成报
GB/T 40813—202 1
告,应具备审计记录的查询、输出、备份等功能;对未列入集中审计范围的设备,应定期人工采集审计数据、导入集中审计平台并进行统计分析;
k) 应具备集中管理审计事件的能力,包括:用户登录/退出事件、连接超时事件、配置变更、时间/日期变更、审计接入、用户名/口令创建和修改等。
6.3.4.3 第三级~第四级
本项要求包括:
a ) 应符合 6 . 3 . 4 . 2 ;
b) 应能对远程访问的用户行为、使用互联网的用户行为等单独进行行为审计和数据分析;
c) 应具备保护审计工具和审计进程的功能,避免受到未授权访问、修改、删除或覆盖等行为的破坏。
6 . 3 . 5 入侵防范
6 . 3 . 5 . 1 第一级
无要求。
6 . 3 . 5 . 2 第二级
本项要求包括:
a) 应在网络和区域边界监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、碎片攻击和网络蠕虫攻击等攻击行为;
b) 应在交换机、路由器等关键网络节点处采用入侵检测和防御技术,检测、防止或限制从外部或从内部发起的网络攻击行为;
c) 采用的入侵检测技术应支持对 OPC、Profinet 等常见工业控制协议的识别和分析,并应对异常的工业控制指令、数据进行识别和告警。
6.3.5.3 第三级~第四级
本项要求包括:
a ) 应符合 6 . 3 . 5 . 2 ;
b) 应监视工业控制网络内的流量数据包,应实时获取数据包并用于检测分析,应能对蠕虫病毒、木马等网络攻击特别是 APT 等新型网络攻击行为进行检测和分析,且不影响工业控制设备正常运行;
c) 当检测到攻击行为时,应记录攻击源网络地址、目的网络地址、攻击类型、攻击 目的、攻击时间等,在发生严重入侵事件时应报警。
6 . 3 . 6 恶意代码防范
6 . 3 . 6 . 1 第一级
本项要求包括:
a) ICS 与组织其他信息系统之间通信时,应通过部署恶意行为防范机制对应用协议进行安全检测;
b) 应维护恶意代码库的升级和检测系统的更新,更新前应通过安全性和兼容性测试;
c) 防恶意代码软件应能监测可能被用于感染系统和向其他系统传播恶意软件的应用程序的活动;
GB/T 40813—202 1
d) 应及时清理注册表、恶意锁定主页等被恶意软件修改的启动选项;
e) 应及时清理系统中存在的木马、病毒和恶意代码程序。
6 . 3 . 6 . 2 第二级
本项要求包括:
a ) 应符合 6 . 3 . 6 . 1 ;
b) 应在关键网络节点处采取恶意代码检测与防范手段并对网络中传输的恶意代码进行检测和清除,维护恶意代码防护机制的升级和更新但不应影响正常的业务数据传输;
c) 应支持检测已知的病毒、木马、蠕虫、勒索软件及针对 PLC 的专用恶意代码;
d) 应在检测到恶意代码时告警,并记录攻击源网络地址、目的网络地址、恶意代码类型名称、危害程度、攻击时间、攻击方式和执行流程,应探测其攻击源头,实现对恶意软件的追溯。
6.3.6.3 第三级~第四级
本项要求包括:
a ) 应符合 6 . 3 . 6 . 2 ;
b) 应在 ICS 网络和区域边界部署恶意代码防护设备,应能探测恶意入侵等行为并及时发送至安全管理中心。
6 . 3 . 7 可信验证
6 . 3 . 7 . 1 第一级
应符合 GB/T 22239—2019 中 6 . 1 . 3 . 3 。
6 . 3 . 7 . 2 第二级
应符合 GB/T 22239—2019 中 7 . 1 . 3 . 6 。
6 . 3 . 7 . 3 第三级
应符合 GB/T 22239—2019 中 8 . 1 . 3 . 6 。
6 . 3 . 7 . 4 第四级
应符合 GB/T 22239—2019 中 9 . 1 . 3 . 6 。
6 . 4 工业主机安全防护
6 . 4 . 1 身份鉴别
6 . 4 . 1 . 1 第一级
本项要求包括:
a) 主机设备使用前应标识,并保持设备标识在整个生存周期的唯一性;
b) 在启动移动工程师站等移动主机设备并接入 ICS 时,应对设备的真实性进行鉴别;
c) 应强化工业主机的登录账户及口令,重命名或删除默认账户,修改默认账户的默认口令;
d) 应对登录的用户身份进行标识和鉴别,标识具有唯一性;
e) 用户身份认证证书的传输和存储应安全可靠,应避免在未授权的情况下使用证书,不应在不同系统和网络环境下共享身份认证证书;
GB/T 40813—202 1
f) 应具备登录失败处理功能,多次登录失败后应结束会话、限制非法登录次数并 自动退出;对高可用性的控制系统,应保留其数据采集、逻辑控制、网络通信和系统报警等基本功能,取消用户对系统的参数修改等较高级别权限并将登录权限降至最低;
g) 登录用户执行更改配置等重要操作时应再次进行身份鉴别;
h) 应设置鉴别警示信息并描述因未授权访问可能导致的后果;
i) 当非法登录次数达到预设值时,应记录相应 日志并向网络管理主机发送报警信息。
6 . 4 . 1 . 2 第二级
本项要求包括:
a ) 应符合 6 . 4 . 1 . 1 ;
b) 用户身份鉴别信息丢失或失效时,应具有安全重置身份鉴别信息的功能;
c) 身份鉴别信息不易被冒用,口令应采用数字、字母和特殊字符混排等无规律的组合方式,口令长度应不少于 8 位,每三个月应更换 1 次,更新的 口令至少 5 次内不应重复;如设备口令长度不支持 8 位或其他复杂度要求,应使用所支持的最长长度并缩短更换周期;可使用动态密码卡等一次性口令认证方式;口令应加密存储;
d) 应实现操作系统和数据库系统特权用户的权限分离;
e) 当对服务器进行远程管理时,应采用 VPN 等接入方式防止身份鉴别信息在网络传输过程中被窃取。
6.4. 1 .3 第三级~第四级
本项要求包括:
a ) 应符合 6 . 4 . 1 . 2 ;
b) 应采用口令、密码和生物识别等两种或两种以上组合的鉴别方式对用户身份进行鉴别,且其中至少一种鉴别方式应使用密码技术实现。
6 . 4 . 2 访问控制
6 . 4 . 2 . 1 第一级
本项要求包括:
a) 应按满足工作要求的最小特权原则对登录主机的用户分配账户和权限;
b) 分配账户权限不应超出工作需要并应进行动态审计,不应存在共享账户,及时删除或停用多余的和过期的账户;
c) 应拆除或封闭工业主机上不必要的移动存储媒体、光驱、无线等接口;若需使用,应通过主机外设安全管理技术手段实施访问控制;
d) 工业主机需远程维护时,应采用 VPN 等接入方式。
6 . 4 . 2 . 2 第二级
本项要求包括:
a ) 应符合 6 . 4 . 2 . 1 ;
b ) 应符合 GB/T 22239—2019 中 7 . 1 . 4 . 2d) ;
c ) 应保留工业主机的相关访问 日志,并对操作过程进行安全审计;
d) 应对敏感信息资源设置安全标记并控制主体对安全标记信息资源的访问。
GB/T 40813—202 1
6 . 4 . 2 . 3 第三级
本项要求包括:
a ) 应符合 6 . 4 . 2 . 2 [ 6 . 4 . 2 . 2b)和 d )除外];
b ) 应进行角色划分,并授予管理用户所需的最小权限,实现管理用户的权限分离;
c ) 按 GB/T 22239—2019 中 8 . 1 . 4 . 2f) ;
d) 应建立基于主、客体访问关系的访问行为白名单机制并对重要主体、客体设置安全标记,主机不支持安全标记的,应在系统级生成安全标记并使系统整体支持强制访问控制机制。
6 . 4 . 2 . 4 第四级
本项要求包括:
a ) 应符合 6 . 4 . 2 . 3 [ 6 . 4 . 2 . 3d)除外];
b) 应建立基于主、客体访问关系的访问行为白名单机制并对所有主体、客体设置安全标记,主机不支持安全标记的,应在系统级生成安全标记并使系统整体支持强制访问控制机制;
c) 应依据安全策略和所有主体、客体设置的安全标记控制主体对客体的访问;
d) 应采用基于身份、角色和规则等的访问控制策略以及访问控制列表、访问控制许可、密码等访问执行机制实现 ICS 主机用户或用户进程与设备、文件、进程、程序、域等对象间的访问控制。
6 . 4 . 3 安全审计
6 . 4 . 3 . 1 第一级
无要求。
6 . 4 . 3 . 2 第二级
本项要求包括:
a ) 应对重要用户行为和安全事件进行审计,审计范围应覆盖服务器和重要客户端上的每个操作系统和数据库用户;主机操作系统不支持该要求的,应采用其他安全审计产品进行审计;
b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等重要信息,至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等;
c ) 应符合 GB/T 22239—2019 中 7 . 1 . 4 . 3b) ;
d ) 应由系统范围内唯一确定的时钟产生审计记录的时间;
e ) 应符合 GB/T 22239—2019 中 7 . 1 . 4 . 3c) ;
f) 审计记录的留存时间应不少于六个月。
6 . 4 . 3 . 3 第三级
本项要求包括:
a ) 应符合 6 . 4 . 3 . 2 ;
b ) 应符合 GB/T 22239—2019 中 8 . 1 . 4 . 3d) 。
6 . 4 . 3 . 4 第四级
本项要求包括:
a ) 应符合 6 . 4 . 3 . 3 [ 6 . 4 . 3 . 2c)除外];
GB/T 40813—202 1
b ) 应根据 ICS 的统一安全策略实现集中审计;
c ) 应符合 GB/T 22239—2019 中 9 . 1 . 4 . 3b) 。
6 . 4 . 4 入侵防范
6 . 4 . 4 . 1 第一级
本项要求包括:
a) 应按最小安装原则安装操作系统,仅安装必要的组件和应用程序;
b) 应在工业主机中实施应用程序白名单等检测和防止非授权软件运行的控制措施,仅允许安装和运行经过组织授权和安全评估的软件;
c ) 应符合 GB/T 22239—2019 中 6 . 1 . 4 . 3b) ;
d ) 实施的安全控制措施安装前应通过离线环境测试;
e ) 应定期检查工业主机安全控制措施的有效性,并在失效时及时报警;
f) 针对网络攻击采取的技术措施不应对 ICS 的正常运行产生影响。
6 . 4 . 4 . 2 第二级
本项要求包括:
a ) 应符合 6 . 4 . 4 . 1 ;
b ) 应符合 GB/T 22239—2019 中 7 . 1 . 4 . 4c) ;
c ) 应有检测和防止针对工业主机的网络攻击行为的审计日志。
6.4.4.3 第三级~第四级
本项要求包括:
a ) 应符合 6 . 4 . 4 . 2 ;
b) 应能对重要程序的完整性进行检测,并具有完整性恢复的能力;
c) 应能检测到对主机的入侵行为,应能记录入侵的网络地址、攻击类型、攻击 目的、攻击时间,并在发生严重入侵事件时报警。
6 . 4 . 5 恶意代码防范
6.4.5. 1 第一级~第二级
本项要求包括:
a) 工业主机正式运行前不应存在恶意代码程序;
b) 应在工业主机上安装通过测试的防恶意代码软件或独立部署恶意代码防护设备,且仅允许运行经过组织授权和安全评估的防恶意代码软件或应用程序白名单软件;
c) 在读取移动存储设备上的数据以及网络上接收的文件和邮件前应进行病毒检查,外来计算机或存储设备接入系统前应进行恶意代码检查;
d) 防恶意代码软件应能监测可能被用于感染系统和向其他系统传播恶意软件的应用程序的活动;
e) 应及时清理注册表、恶意锁定主页等被恶意软件修改的启动选项;
f) 应及时清理系统中存在的木马、病毒、恶意代码程序;
g) 应定期升级和更新防恶意代码软件版本和恶意代码库,更新前应在离线环境中进行安全性和兼容性测试,必要时应在离线环境中试运行;
h) 如系统不支持升级和更新防恶意代码软件版本和恶意代码库,应独立部署恶意代码防护设备。
GB/T 40813—202 1
6 . 4 . 5 . 2 第三级
本项要求包括:
a ) 应符合 6 . 4 . 5 . 1 ;
b) 应支持防恶意代码软件的统一管理;
c) 当检测到恶意软件攻击事件时,应记录攻击源网络地址、攻击发生时间、恶意软件类型、被攻击目标,并对攻击造成的影响进行分析;
d) 应对获得的恶意软件样本进行分析,获取恶意软件可能使用的域名、网络地址、通信端口、攻击方式和执行流程,并探测其攻击源头,实现对恶意软件的追溯;
e ) 应符合 GB/T 22239—2019 中 8 . 1 . 4 . 5 。
6 . 4 . 5 . 3 第四级
本项要求包括:
a ) 应符合 6 . 4 . 5 . 3 ;
b ) 应符合 GB/T 22239—2019 中 9 . 1 . 4 . 5 。
6 . 4 . 6 漏洞防范
本项要求包括:
a ) 应对补丁进行安全测试,必要时应在离线环境中试运行,通过后安装;
b) 应借助专用工具进行漏洞扫描,工具使用前应经过安全性测试并取得相应使用许可证;
c) 如无法通过补丁或更改配置等措施解决工业主机漏洞,应基于对漏洞系统关键性的充分考虑采取停用脆弱服务、移除软件、移除设备或系统隔离等手段;
d) 如因停用存在漏洞的服务导致 ICS关键功能不可用,应首先隔离存在漏洞的系统,有效锁定其安全区域并防止在区域边界对其进行异常访问。
6 . 4 . 7 移动存储媒体防护
6 . 4 . 7 . 1 第一级
本项要求包括:
a) 移动存储媒体接入设备时,应通过设备自带的安全管理软件或中间机等外设技术手段实行访问控制;
b) 不应跨安全区域使用移动存储媒体。
6 . 4 . 7 . 2 第二级
本项要求包括:
a ) 应符合 6 . 4 . 7 . 1 ;
b) 移动存储媒体接入设备时应进行 日志记录。
6.4.7.3 第三级~第四级
本项要求包括:
a ) 应符合 6 . 4 . 7 . 2 ;
b) 应对移动存储媒体进行可信标识和认证,并仅允许通过认证的可信移动存储媒体接入主机;
c) 应基于对移动存储媒体建立的可信标识对其用户角色与权限建立相应策略,根据用户角色分
GB/T 40813—202 1
配明确的移动存储媒体使用权限,禁止越权使用和随意复制数据。
6 . 4 . 8 剩余信息保护
6 . 4 . 8 . 1 第一级
无要求。
6 . 4 . 8 . 2 第二级
本项要求包括:
a ) 应符合 6 . 4 . 8 . 1 ;
b) 操作系统和数据库系统用户的鉴别信息所在硬盘或内存的存储空间被释放或重新分配前,应彻底清除上述信息。
6.4.8.3 第三级~第四级
本项要求包括:
a ) 应符合 6 . 4 . 8 . 2 ;
b) 应在存储空间被释放或重新分配给其他用户前彻底清除系统内的文件、目录和数据库记录等数据。
6 . 4 . 9 资源控制
6 . 4 . 9 . 1 第一级
无要求。
6 . 4 . 9 . 2 第二级
本项要求包括:
a ) 应符合 6 . 4 . 9 . 1 ;
b) 应根据工作需要限制单个用户对系统资源的最大使用限度。
6.4.9.3 第三级~第四级
本项要求包括:
a ) 应符合 6 . 4 . 9 . 2 ;
b) 应通过设定终端接入方式、网络地址范围等条件限制终端登录;
c ) 应设置登录终端的操作超时锁定安全策略;
d) 应对重要服务器的中央处理器、硬盘、内存、网络等资源的使用情况进行监视;
e) 应在系统的服务水平降低到预先规定的最小值时进行检测和报警。
6 . 4 . 10 可信验证
6 . 4 . 10 . 1 第一级
应符合 GB/T 22239—2019 中 6 . 1 . 4 . 5 。
6 . 4 . 10 . 2 第二级
应符合 GB/T 22239—2019 中 7 . 1 . 4 . 6 。
GB/T 40813—202 1
6 . 4 . 10 . 3 第三级
应符合 GB/T 22239—2019 中 8 . 1 . 4 . 6 。
6 . 4 . 10 . 4 第四级
应符合 GB/T 22239—2019 中 9 . 1 . 4 . 6 。
6 . 5 控制设备安全防护
6 . 5 . 1 身份鉴别
本项要求包括:
a) 控制设备应实现对用户登录访问进行鉴别的安全要求,具体应符合 6.4.1 相应等级的要求;
b) 如受条件限制控制设备无法符合 a)要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制。
6 . 5 . 2 访问控制
本项要求包括:
a) 控制设备应实现对用户登录访问进行控制的安全要求,具体应符合 6.4.2 相应等级的要求;
b ) 应对关键操作和指令执行动作实行基于用户权限的访问控制规则;
c ) 应对所有操作、管理活动采取会话锁定措施;
d) 如受条件限制控制设备无法符合 a) ~c)要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制。
6 . 5 . 3 安全审计
本项要求包括:
a) 控制设备应实现对重要用户行为和重要安全事件进行审计的要求,具体应符合 6.4. 3 相应等级的要求;
b) 如受条件限制控制设备无法符合 a)要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制。
6 . 5 . 4 入侵防范
6.5.4. 1 第一级~第二级
本项要求包括:
a) 控制设备应实现对各种入侵行为进行安全防范的要求,具体应符合 6.4.4. 1 和 6.4.4.2 相应等级的要求;
b) 如受条件限制控制设备无法符合 a)要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制;
c) 核心控制设备前端部署的防护设备应具备旁路功能,当防护设备出现断电或其他软硬件故障时,应使防护设备内部接口与外部接口直接物理连通以保持内部网络与外部网络的正常通信,并及时告警。
6.5.4.2 第三级~第四级本项要求包括:
GB/T 40813—202 1
a ) 应符合 6 . 5 . 4 . 1 ;
b) 可在 PLC、RTU 以及 DCS现场控制单元等核心控制设备前端部署具备工业控制协议深度包检测功能的防护设备,能对采用 OPC、Profinet 等主流工业控制协议进行现场通信的数据进行深度包分析和检测过滤,具备检测或阻断不符合协议结构的数据包、不符合正常生产业务范围的数据内容等功能。
6 . 5 . 5 恶意代码防范
本项要求包括:
a) 控制设备应实现对各种恶意代码进行安全防范的要求,具体应符合 6.4.5 相应等级的要求;
b) 应支持对可执行程序、静态库、动态库的白名单防护配置;
c) 应具备对关键上位机 HMI 的外部物理接口的启用、禁用控制能力;
d) 应能对通过外部物理接口接入的可移动设备生成使用记录;
e) 如受条件限制控制设备无法符合 a) ~d)要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制。
6 . 5 . 6 软件容错
6 . 5 . 6 . 1 第一级
应提供数据有效性校验功能,通过 HMI 或通信接口输入的内容应符合系统设定的要求。
6.5.6.2 第二级~第四级
本项要求包括:
a ) 应符合 6 . 5 . 6 . 1 ;
b) 在故障发生时,应能继续提供部分功能,并能够实施必要的措施;
c) 在故障发生时,应提供自动恢复功能,自动保存易失性数据和所有状态,故障修复后,系统应恢复原工作状态。
6 . 5 . 7 漏洞防范
本项要求包括:
a) 应借助专用工具进行漏洞扫描,工具使用前应经过安全性测试并取得相应使用许可资质;
b) 应使用专用设备和专用软件对控制设备的漏洞进行补丁更新;
c) 如工业控制设备漏洞无法通过补丁或更改配置等有效措施解决,应根据漏洞系统关键性采取停用脆弱服务、移除软件、移除设备或系统隔离等手段;
d) 如因停用存在漏洞的服务导致 ICS关键功能不可用,应首先隔离存在漏洞的工业控制设备,有效锁定其安全区域并防止在区域边界对其有任何异
