GB∕T 40813-2021 信息安全技术 工业控制系统安全防护技术要求和测试评价方法.pdf
《GB∕T 40813-2021 信息安全技术 工业控制系统安全防护技术要求和测试评价方法.pdf》由会员分享,可在线阅读,更多相关《GB∕T 40813-2021 信息安全技术 工业控制系统安全防护技术要求和测试评价方法.pdf(66页珍藏版)》请在咨信网上搜索。
1、书 书 书犐 犆犛 犆犆犛犔 中 华 人 民 共 和 国 国 家 标 准犌犅犜 信息安全技术工业控制系统安全防护技术要求和测试评价方法犐 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 狅 犾 狅 犵 狔犛 犲 犮 狌 狉 犻 狋 狔狆 狉 狅 狋 犲 犮 狋 犻 狅 狀狋 犲 犮 犺 狀 犻 犮 犪 犾狉 犲 狇 狌 犻 狉 犲犿犲 狀 狋 狊犪 狀 犱狋 犲 狊 狋 犻 狀 犵犲 狏 犪 犾 狌 犪 狋 犻 狅 狀犿犲 狋 犺 狅 犱 狊狅 犳犻 狀 犱 狌 狊 狋 狉 犻 犪 犾犮 狅 狀 狋 狉 狅 犾狊 狔 狊 狋 犲犿狊 发布 实施国 家 市 场
2、 监 督 管 理 总 局国 家 标 准 化 管 理 委 员 会发 布书 书 书目次前言引言范围规范性引用文件术语和定义缩略语概述 基本构成 安全防护对象和目的 安全防护措施的约束条件安全防护技术要求 物理环境安全防护 网络通信安全防护 网络边界安全防护 工业主机安全防护 控制设备安全防护 数据安全防护 防护产品安全 系统集中管控 安全防护保障要求 软件开发安全防护 系统维护安全防护 测试评价方法 物理环境安全防护 网络通信安全防护 网络边界安全防护 工业主机安全防护 控制设备安全防护 数据安全防护 防护产品安全 系统集中管控 软件开发安全防护 系统维护安全防护 附录(资料性)网络边界安全防护典
3、型应用参考场景 电力 汽车制造 犌犅犜 石油开采 轨道交通 化工 市政 水务 附录(资料性)数据安全保护对象 附录(资料性)系统集中管控典型部署方式 附录(资料性) 安全防护测试评价流程 参考文献 图 电力监控系统网络边界安全防护典型部署方式 图 汽车制造厂网络边界安全防护典型部署方式 图 采油厂网络边界安全防护典型部署方式 图 轨道交通网络安全防护典型部署方式 图 化工厂网络边界安全防护典型部署方式 图 市政燃气网络边界安全防护典型部署方式 图 自来水厂网络边界安全防护典型部署方式 图 数据安全保护对象示意图 图 系统集中管控典型部署方式 图 安全防护测试评价流程图 犌犅犜 前言本文件按照
4、标准化工作导则第部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会( )提出并归口。本文件起草单位:上海三零卫士信息安全有限公司、中国信息安全测评中心、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、公安部第三研究所、中国石化上海高桥石油化工有限公司、上海工业自动化仪表研究院有限公司、中移(杭州)信息技术有限公司、国家信息技术安全研究中心、上海核工程研究设计院有限公司、北京天融信网络安全技术有限公司、北京和利时系统工程有限公司、上海市信息安全测评认证中心、北京圣博润高新技术股份有限
5、公司、陕西省网络与信息安全测评中心、北京威努特技术有限公司、中国电子科技网络信息安全有限公司、中国电子科技集团公司第十五研究所、西南交通大学、国家工业信息安全发展研究中心、国家应用软件产品质量监督检验中心、中国航空油料集团有限公司、中国电子科技集团公司电子科学研究院、成都卫士通信息产业股份有限公司、北京奇虎科技有限公司、奇安信科技集团股份有限公司、中国电力科学研究院有限公司、江苏敏捷科技股份有限公司、卡斯柯信号有限公司、上海申通地铁集团有限公司、青岛地铁集团有限公司、上海电气泰雷兹交通自动化系统有限公司、北京交通大学、智巡密码(上海)检测技术有限公司、北京市地铁运营有限公司通信信号分公司、全球
6、能源互联网研究院有限公司、吉林省电子信息产品检验研究院、深信服科技股份有限公司、中国矿业大学(北京) 、国网新疆电力有限公司电力科学研究院、中国华电集团有限公司、中国平安保险(集团)股份有限公司、中科信息安全共性技术国家工程研究中心有限公司、上海工业控制安全创新科技有限公司、华东师范大学、北京和仲宁信息技术有限公司、中国华能集团有限公司、柳州市东科智慧城市投资开发有限公司、中国石油天然气股份有限公司西北销售分公司、中国石油天然气股份有限公司长庆石化分公司、北京中油瑞飞信息技术有限责任公司。本文件主要起草人:张毅、干露、李绪国、饶志宏、李斌、李嵩、顾健、高洋、李琳、申永波、陆臻、邹春明、徐国忠、
7、王英、陆炜、郭旭、袁专、毛磊、安高峰、刘盈、徐佟海、赵宇、杨帆、杨向东、冯全宝、唐林、兰昆、董晶晶、王丹琛、陈雪鸿、王坤、赵振学、司瑞彬、李瑞、张屹、王、李凌、倪海燕、崔科、李建全、王大庆、左旭涛、高翔、唐涛、郭筝、郭一力、梁潇、华颜涛、叶润国、谭波、李峰、舒斐、李辉、于惊涛、孟源、胡建勋、蒲戈光、刘虹、陈铭松、纪璐、杨硕、石永杰、于慧超、王飞、张兴、王小宏、赵朋。犌犅犜 引言本文件结合国家已发布的法律法规、政策性文件和标准,并重点根据 信息安全技术网络安全等级保护基本要求增加和细化安全防护技术指标、控制点和控制项,为相关方开展工业控制系统安全等级保护和日常安全防护工作提供更具操作性的依据。与
8、本文件相关的标准化文件包括: 信息安全技术网络安全等级保护基本要求 ; 信息安全技术网络安全等级保护测评要求 ; 信息安全技术工业控制系统安全管理基本要求 ; 信息安全技术工业控制系统信息安全分级规范 ; 信息安全技术工业控制系统信息安全检查指南 。犌犅犜 信息安全技术工业控制系统安全防护技术要求和测试评价方法范围本文件规定了工业控制系统安全防护技术要求、保障要求和测试评价方法。本文件适用于工业控制系统建设、运营、维护等。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有
9、的修改单)适用于本文件。 工业自动化仪表盘、柜、台、箱 信息安全技术网络安全等级保护基本要求 信息安全技术术语 信息安全技术工业控制系统信息安全分级规范 信息安全技术工业控制系统专用防火墙技术要求术语和定义 、 、 和 界定的以及下列术语和定义适用于本文件。 工业控制资产犻 狀 犱 狌 狊 狋 狉 犻 犪 犾犮 狅 狀 狋 狉 狅 犾犪 狊 狊 犲 狋工业生产控制过程中具有价值的软硬件资源和数据。注:包括控制设备、工业主机、网络设备、应用程序、工业数据等。 中心控制室犮 犲 狀 狋 狉 犪 犾犮 狅 狀 狋 狉 狅 犾狉 狅 狅犿位于组织内,具有生产操作、过程控制、安全保护、仪器仪表维护和生产
10、管理等功能的综合性场所。 现场控制室犳 犻 犲 犾 犱犮 狅 狀 狋 狉 狅 犾狉 狅 狅犿位于组织内生产现场,具有生产操作、过程控制和安全保护等功能的场所。 现场机柜室犳 犻 犲 犾 犱犪 狌 狓 犻 犾 犻 犪 狉 狔狉 狅 狅犿位于组织内生产现场,用于安装工业控制系统机柜及其他设备的场所。 控制设备犮 狅 狀 狋 狉 狅 犾犲 狇 狌 犻 狆犿犲 狀 狋工业生产过程中用于控制执行器以及采集传感器数据的装置。注:包括现场控制单元、以及等进行生产过程控制的单元设备。犌犅犜 工业主机犻 狀 犱 狌 狊 狋 狉 犻 犪 犾犺 狅 狊 狋工业生产控制各业务环节涉及组态、工作流程和工艺管理、状态监控
11、、运行数据采集以及重要信息存储等工作的设备。注:包括工程师站、操作员站、服务器等。 双机热备犱 狌 犪 犾 犿犪 犮 犺 犻 狀 犲犺 狅 狋狊 狋 犪 狀 犱 犫 狔通过网络连接主机和从机,正常情况下主机处于工作状态,从机处于监视状态,一旦主机异常,从机自动代替主机。缩略语下列缩略语适用于本文件。:高级持续性威胁( ):客户前置设备( ):分布式控制系统( ):分布式网络协议( ):文本传输协议( ):人机界面( ):以安全为目标的超文本传输协议通道( ) :工业控制系统( ) :国际电工委员会( ) :互联网协议( ) :互联网安全协议( ):媒体存取控制( ):对象连接与嵌入( ):用于
12、过程控制的( ):可编程逻辑控制器( ):恢复点目标( ):恢复时间目标( ):远程终端单元( ):监视控制与数据采集( ):简单网络管理协议( ):安全外壳( ):安全套接层( ):传输控制协议( ):虚拟专用网络( ):网络应用防火墙( )犌犅犜 概述 犐 犆犛基本构成按 中 , 包括但不限于以下部分。)核心组件:包括、等控制系统和控制设备,以及各组件通信的接口单元。)控制过程:由控制回路、工业主机、远程诊断与维护工具三部分完成,控制回路用以控制逻辑运算,工业主机执行信息交换,远程诊断与维护工具用于出现异常操作时进行诊断和恢复。)结构层次:参考 中附录, 及相关联系统从上到下共分为企业资源
13、层、生产管理层、过程监控层、现场控制层和现场设备层等五层。在实际工业生产环境中,可出现相邻两层的功能由一个系统、设备来实现,即在物理上并未分开。 安全防护对象和目的本文件中 安全防护对象包括:现场设备层、现场控制层和过程监控层工业控制资产。本文件给出了物理环境安全防护等八项技术要求指标和软件开发安全防护等两项保障要求指标,安全防护目的包括如下内容。)安全防护技术要求:)物理环境安全防护的目的是防止人员未经授权访问、损坏和干扰 资产,避免受到外部物理环境因素影响,保护 的外部运行环境;)网络通信安全防护的目的是保护 中传输的数据的完整性和保密性,维护 内部以及与外部网络之间信息的安全传输;)网络
14、边界安全防护的目的是安全访问 ,避免非授权访问,及时发现并有效保护 免受恶意入侵和攻击,部分行业的应用场景见附录;)工业主机安全防护的目的是有效控制工业主机访问行为,避免非授权访问,防止工业主机受到非法入侵或造成工业数据泄漏;)控制设备安全防护的目的是安全访问控制设备,阻止非授权访问,避免控制设备受到恶意入侵、攻击或非法控制;)数据安全防护的目的是保护数据全生存周期的完整性和保密性,防止未经授权使用和处理数据、恶意篡改和窃取数据等现象发生,数据安全防护对象见附录;)防护产品安全的目的是产品功能安全可靠、管控策略有效,避免因产品自身功能缺陷给 的正常运行带来安全隐患;)系统集中管控的目的是集中维
15、护和管控 ,统一制定与部署安全策略,集中响应安全事件,典型部署方式见附录。)安全防护保障要求:)软件开发安全防护的目的是控制 软件的安全开发,避免软件自身存在安全隐患;)系统维护安全防护的目的是有效控制系统维护过程,避免系统在维护过程中受到干扰、恶意入侵,或发生数据泄露、被破坏或篡改等现象。本文件提出的安全防护技术要求和保障要求分为四个等级,与 、 提出的相应安全保护等级要求保持一致,并按梯次推进的方式给出了不同安全保护等级 所对应的技术要求和保障要求。测试评价方法是针对 运营单位执行本文件安全防护技术要求和保障要求的情况进行测试评价的一般方法,也可根据自身关注点自行调整测试评价指标。测试评价
16、流程见附录。犌犅犜 安全防护措施的约束条件 安全防护措施的约束条件包括:) 采用的网络边界隔离等技术防护手段应符合国家和所在行业规定要求,并采用经具备资格的第三方机构检测合格的安全产品;)数据传输和存储过程中所采用的密码技术应经过国家密码主管部门核准;) 与涉密信息系统之间连接应符合国家保密规定和相关标准要求;)任何情况下都不应因采用安全防护技术措施而影响 的正常运行或对系统的安全功能产生不利影响,例如:不应锁定用于基本功能的账户、不应因部署安全措施而显著增加延迟并影响系统的响应时间、不应因安全措施失效导致系统的基本功能中断等;)在符合本文件提出的技术要求时,如经评估对可用性有较大影响而无法实
17、施,可调整要求并研究制定相应的补偿防护措施,但采取补偿防护措施后不应降低原有要求的整体安全防护强度。安全防护技术要求 物理环境安全防护 位置选择 第一级机房、中心控制室、现场控制室应位于具有防震能力的建筑物内,并应具有所在建筑物符合当地抗震设防标准的证明。 第二级本项要求包括:)应符合 ;)机房、中心控制室、现场控制室应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁,如不可避免,应采取有效的防水、防潮措施。 第三级第四级本项要求包括:)应符合 ;)机房、中心控制室、现场控制室应避开发生火灾危险程度高的区域;)机房、中心控制室、现场控制室应避开产生粉尘、油烟、有害气体源以及存放腐蚀、易燃
18、、易爆物品的地方;)机房、中心控制室、现场控制室应避开低洼、潮湿、落雷、重盐害区域和地震频繁的地方;)机房、中心控制室、现场控制室应避开强振动源和强噪声源;)机房、中心控制室、现场控制室应避开强电磁干扰源;)如以上无法避免,应采取相应措施。 访问控制 第一级第二级本项要求包括:犌犅犜 )来访人员进入机房、中心控制室、现场控制室前应提出申请并通过审批,应记录其随身携带的设备、进出时间和工作内容,应有专人陪同并限制和监控其活动范围;)机房、中心控制室出入口应安排专人值守或配置电子门禁系统,控制、识别和记录人员的进出,人员进出记录应至少保存六个月。 第三级本项要求包括:)应对机房、中心控制室、现场控
19、制室划分不同管理区域,应将设备区域和维护操作区域分离;)应对主机房、中心控制室、现场控制室的重要工程师站、数据库、服务器等核心工业控制资产所在区域采取视频监控或专人值守等防护措施;)来访人员进入主机房、中心控制室、现场控制室前应提出申请并通过审批,应记录其随身携带的设备、进出时间和工作内容,应有专人陪同并限制和监控其活动范围;设备使用前应进行系统扫描、使用过程中应进行行为监测、带出前应对工作日志等进行审计;)机房、中心控制室出入口应配置电子门禁系统,控制、识别和记录人员的进出,人员进出记录应至少保存六个月。 第四级本项要求包括:)应符合 ;)主机房、中心控制室的重要区域应配置第二道电子门禁系统
20、,控制、识别和记录人员的进出,人员进出记录应至少保存六个月。 防盗窃和防破坏 第一级本项要求包括:)应将服务器、路由器、交换机等主要设备放置在主机房、中心控制室或现场控制室等建筑物内;)应将室外控制设备安装在采用金属材料制作且具有防盗能力的箱体或装置中;)应将设备或主要部件进行固定,并设置明显的不易除去的粘贴标签或铭牌等标记。 第二级本项要求包括:)应符合 ;)应将通信线缆铺设在隐蔽处,可铺设在管道中。 第三级第四级本项要求包括:)应符合 ;)应采用光、电等技术设置机房、中心控制室、现场控制室防盗报警系统或设置有专人值守的视频监控系统;)应对机房、中心控制室、现场控制室的控制台等重要区域进行视
21、频监控,监控记录应至少保存三个月。犌犅犜 防雷击 第一级第二级本项要求包括:)应对室外控制设备电源、信号线路加装避雷器或浪涌保护器,并将金属管线就近接地;)应根据室外控制设备分布,在设备集中位置设置接地汇流排、均压环、均压网等等电位连接装置;所有设备、金属机架、外壳、管、槽等应就近接地,并应符合等电位连接要求;)机房、中心控制室、现场控制室、现场机柜室应在所在建筑物防雷措施基础上采取加强防雷击措施;)机房、中心控制室、现场控制室、现场机柜室等各类机柜、设施和设备等应通过接地系统安全接地。 第三级第四级本项要求包括:)应符合 ;)应对机房、中心控制室、现场控制室、现场机柜室所在建筑物设置防雷保安
22、器或过压保护装置等防感应雷措施。 防火 第一级本项要求包括:)应将室外控制设备安装在采用金属材料或其他防火隔热材料制作且具有防火能力的箱体或装置中;)机房、中心控制室、现场控制室、现场机柜室应配置灭火器,配置的灭火器类型、规格、数量和位置应符合国家标准的要求,灭火所用的介质不宜造成二次破坏。 第二级本项要求包括:)应符合 ;)机房、中心控制室、现场控制室、现场机柜室应设置火灾自动消防系统,应能自动检测火情、自动报警,并应具有自动灭火功能;)机房、中心控制室、现场控制室的内部装修材料应采用符合国家标准的难燃烧材料和非燃烧材料。 第三级第四级本项要求包括:)应符合 ;)应对机房、中心控制室、现场控
23、制室划分不同管理区域,区域间应设置隔离防火措施,并应将重要设备和其他设备隔开;)当机房作为独立建筑物时,建筑物的耐火等级应不低于该建筑物所对应的设计防火规范中规定的二级耐火等级;)当机房位于其他建筑物内时,该机房与其他部位之间应设置耐火等级不低于的隔墙或隔犌犅犜 离物,隔墙上的门应采用符合国家标准的甲级防火门。 防水和防潮 第一级本项要求包括:)应将室外控制设备安装在采用金属材料或其他材料制作且具有防水能力的箱体或装置中;)无关的给排水管道不应穿过机房、中心控制室、现场控制室,相关的给排水管道应有可靠的防渗漏措施;)机房、中心控制室、现场控制室外墙壁应采用无窗设计或采用双层固定窗并作密封、防水
24、处理;)如机房、中心控制室、现场控制室周围有用水设备,应有防渗水和导流措施;)应采取措施防止雨水通过机房、中心控制室、现场控制室的窗户、屋顶和墙壁渗透到机房、中心控制室、现场控制室内。 第二级本项要求包括:)应符合 ;)应采取措施防止机房、中心控制室、现场控制室内发生凝露和地下积水转移或渗漏现象。 第三级第四级本项要求包括:)应符合 ;)应安装对水敏感的检测仪表或传感器,并对机房、中心控制室、现场控制室应在漏水隐患处设置漏水检测报警系统。 防静电 第一级第二级本项要求包括:)机房、各控制室、现场机柜室应采用防静电地板或地面;)应对机房、各控制室、现场机柜室内的设备采取必要的接地防静电措施;)机
25、房、各控制室、现场机柜室内易产生静电的地方,可采用静电消除剂和静电消除器;)室外控制设备应就近接地,并应设置人工接地装置。 第三级第四级本项要求包括:)应符合 ;)应符合 中 ) 。 防爆本项要求包括:)对于存在爆炸危险的组织,主机房、中心控制室应位于爆炸危险区域外,其建筑物的建筑结构应根据抗爆强度分析结果进行设计;)对于存在爆炸危险的生产车间(装置) ,现场控制室、现场机柜室应位于爆炸危险区域外,应根犌犅犜 据安全专业抗爆强度分析结果确定是否设计为抗爆结构,应根据不同的易爆因素设置监测报警装置。 防鼠害本项要求包括:)应采用防火材料封堵机房、中心控制室、现场控制室、现场机柜室的孔、洞;)应对
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GBT 40813-2021 信息安全技术 工业控制系统安全防护技术要求和测试评价方法 GB 40813 2021 信息 安全技术 工业 控制系统 安全 防护 技术 要求 测试 评价 方法
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。