标准规范下载简介
GB/T 33009.2-2016 工业自动化和控制系统网络安全 集散控制系统(DCS) 第2部分:管理要求.pdf本项要求包括但不仅限于: a)企业或组织应指定或授权专门的部门及其人员负责DCS安全管理制度的制定: b)DCS各项安全管理制度应具有统一的格式,并进行版本控制; c)应组织相关人员对制定的DCS安全管理制度进行论证和审定; d)DCS安全管理制度应以有效的方式在企业或组织内部正式进行发布; e)DCS安全管理制度应注明发布范围、对收发文件进行登记
本项要求包括但不仅限于: 应根据DCS安全管理制度的相应密级(如有要求)确定评审和修订的操作范围; b) 应具有专门的部门与人员负责DCS安全管理制度的日常维护; DCS网络安全管理机构应负责定期组织相关部门与人员对DCS安全管理制度体系的合理性 和适用性进行再评定,对存在不足或需要改进的地方进行再修订
本项要求包括但不仅限于: a)应具备管理DCS安全的职能; b)应单独设立DCS安全管理的职能部门,设立安全主管、安全管理等负责人岗位:部门人员应
本项要求包括但不仅限于: a)应根据DCS的各层规模合理配备管理与审计人员的数量; 6) 宜坚持岗位不可兼任原则,安全管理人员不能兼任网络管理员、操作员、数据库管理员、技术工 程师等; C)对于DCS的主要站点阿蓬江大桥施工组织设计,包括控制站、工程师站、操作员站、服务器等,应配备专人管理
5.2.4 安全意识与培训
本项要求包括但不仅限于: a)在企业整体培训计划中,应包括工业控制系统网络安全方面的培训计划; 6 培训种类包括针对全体员工的一般培训和针对特定岗位的培训,应包括安全责任、法律责任和 业务控制措施等内容; 针对特定岗位的培训,宜邀请网络安全领域的专家进行授课; d)在员工人职时安排培训,并在后续以固定周期进行; 应能对工控网络安全培训的有效性进行评估; 应具备对工控网络安全培训进行评审和改进的方法与规程
本项要求包括但不仅限于 a)应加强与企业或组织内部物理安全管理部门的沟通与合作; b 应在与外部供应商、第三方以及利益相关者等的商业合同中建立或改进DCS在物理与网 全方面的流程与规程
本项要求包括但不仅限于: a 应清晰识别与DCS相关的资产,编制并保存资产清单,包括资产责任部门、重要程度和所处位 置等内容; b) 应建立资产安全管理制度,规定系统资产管理的责任人员或责任部门,并规范资产管理和使用 的行为; c) 应根据资产的重要程度、敏感度等对资产进行标识管理,根据资产的价值选择相应的管理 措施; d) 应按照企业或组织所采纳的分类机制建立和实施一组合适的资产标记和处理规程。资产标记 应包括物理和资料格式的资产; 应对系统相关的各种设备(包括备份和穴余设备)、网络等指定专门的部门或人员定期进行维 护管理:
本项要求包括但不仅限于: 应清晰识别与DCS相关的资产,编制并保存资产清单,包括资产责任部门、重要程度和所处位 置等内容; 6) 应建立资产安全管理制度,规定系统资产管理的责任人员或责任部门,并规范资产管理和使用 的行为; 应根据资产的重要程度、敏感度等对资产进行标识管理,根据资产的价值选择相应的管理 措施; d) 应按照企业或组织所采纳的分类机制建立和实施一组合适的资产标记和处理规程。资产标记 应包括物理和资料格式的资产; 应对系统相关的各种设备(包括备份和余设备)、网络等指定专门的部门或人员定期进行维 护管理;
实现主要设备(包括备份和
本项要求包括但不仅限于: a)应对DCS重要岗位的内、外部应聘者进行背景审查,包括财务情况、犯罪记录、从业经历以及 历史信用等; b) 宜对DCS第三方合作的工作人员、供应商进行背景审查,包括财务情况、犯罪记录、从业经历 以及历史信用等; c)如有必要,应对所有访问DCS的外部人员进行背景审查; d)如有必要,企业或组织应与利益相关者、供应商、第三方、顾客等外部方签署保密协议; e)在可能的情况下,录用人员应
5.4.2人员考核与审查
本项要求包括但不仅限于: a)应明确定义员工的网络安全责任,同时与第三方合作单位人员、供应商等利益相关者明确合作 中的网络安全责任; b)应定期对DCS工程师、各操作站点的系统管理员与操作人员进行相关的安全认知和安全技能 的考核; c) 如发现违反DCS网络安全有关规定的人员,应采取相应的惩罚措施,
本项要求包括但不仅限于: a) 应立即中止企业或组织被解雇的、退休的、辞职的或其他原因离开的人员对DCS的所有物理 或逻辑上的访同权限; b)I DCS安全管理层和DCS关键岗位人员调离岗位,应根据离岗单位相关的保密管理要求和流程 执行; ) DCS安全管理层和DCS关键岗位人员调离单位,应根据调离单位相关的保密管理要求和流程 进行离岗安全审查,办理移交手续
本项要求包括但不仅限于: a)应建立密码控制的使用管理方法,确保密码安全等级符合DCS安全保护级别 b)应使用加密技术保护经由移动设备,可移动介质或通信网络上传输的数据
5.6.1系统部署环增
本项要求包括但不仅限于: a)应指定专门人员定期对机房供配电、空调、温湿度控制等设施进行维护管理; b)应配备机房安全管理人员,对出人机房、服务器的开机或关机等工作进行管理; c)应建立机房安全管理制度,规定有关机房物理访问,物品带进、带出机房和机房环境安全等
面的管理要求; 应规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接 待来访人员、工作人员离开座位应确保终端计算机退出登录状态等
5.6.2系统资产与设备
本项要求包括但不仅限于: a)妥善安置或保护设备,尽量减少对工作区域的不必要访问,避免由环境威胁和危险所造成的各 种风险以及未授权访问的机会; b)采取相应控制手段最小化潜在的物理威胁和风险,例如偷窃、火灾、爆炸等; c)应保护设备免受其他支持性设施(如电、供水、排污、空调)的失效而引起的电源故障和其他 中断; d)应保护网络布缆免受未授权的窃听或损坏,分开电源电缆和通信电缆,防止互相干扰; 应定期检查、正确维护设备,确保其持续的可用性、可靠性; 应确保重要设备必须经过审批才能带离机房或办公地点
5.6.3数据存储介质
本项要求包括但不仅限于: 应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定; 6)应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理; 应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进 行登记记录,并根据存档介质的目录清单定期盘点; 应对存储介质的使用过程、送出维修以及销毁等进行登记管理,对送出维修或销毁的介质应首 先清除介质中的数据
5.7.1.1授权管理
本项要求包括但不仅限于: a)应初始化DCS验证器内容,包括令牌、密匙、口令卡、生物识别等; b)应对DCS的主要操作节点与控制节点分别实施逻辑与物理上的验证; c)DCS安装完成后应更改所有默认的验证器; d)应定期对所有DCS各操作节点的验证器进行更改; e)应能保护所有的验证器在存储与传输过程中不受到非授权的泄露或更改; f)对于DCS的软件过程与设备,应能提供硬件机制来保护相应的验证器; 对DCS的重要操作域与控制域,应实行多重验证来实施访问控制; h)必要时,企业 和应用需求,定义相应的授权等级要求进行授权
5.7.1.2账户管理
本项要求包括但不仅限于: a 应建立DCS账户管理流程与策略,根据不同安全要求规定账户级别,规范DCS账户的使 程;并定期对DCS账户管理流程与策略进行评审,如发现不足或有缺陷需重新修订该管 程与策略;
本项要求包括但不仅限于: a 应建立DCS账户管理流程与策略,根据不同安全要求规定账户级别,规范DCS账户的使 程;并定期对DCS账户管理流程与策略进行评审,如发现不足或有缺陷需重新修订该管 程与策略;
GB/T33009.22016
b)应根据DCS安全授权策略进行账户分类,并分配相应的访问权限,应具备统一账户管理的 能力; 应确保所有账户的授权、变动与终止均经过相应的授权管理; d) 应对所有DCS操作节点的访问账户进行记录,包括使用人、被访问设备、权限以及管理者等; e) 操作员站、工程师站等DCS操作节点与控制站/控制器的过程通信应进行安全账户管理; f) 应及时停止或移除DCS各操作节点上不使用的账户; 应定期对DCS各操作节点的所有账户进行检查; h DCS首次安装建立的系统默认账户应及时移除。
5.7.1.3身份鉴别
本项要求包括但不仅限于: a)应对DCS的主要操作节点,包括工程师站、操作员站、组态服务器、数据服务器、时钟同步服务 器,以及连接在DCS的MES层网络和现场控制层网络上的人机会话接口等,所有使用者进行 身份鉴别; b)对通过非信任网络访问DCS的使用者应实施多重鉴别策略; c)应对DCS主要操作节点、控制节点的软件过程与任务间通信实施鉴别控制,防止不安全的数 据交换; d) 应鉴别访问DCS设备与网络的便携式、可移动设备; DCS的组态管理与应用配置应启用高强度的鉴别方法; 应记录对DCS主要操作节点与控制节点的设备或系统的所有访问尝试; 应对DCS远程访问用户进行高强度的鉴别策略,应对远程登录与连接建立安全策略; 当远程登录失败超过一定次数时,应能终止该账户对DCS设备或网络的访问; i) 当长时间不启用的设备重新启用时,应重新鉴别远程访问该设备的用户身份; 应能对DCS物理环境中无线通信的使用者、软件过程以及设备进行识别或鉴别(见5.7.5); k 应能对DCS中使用非授权的无线设备进行识别(见5.7.5)
5.7.2.1加强授权
本项要求包但不仪限于: a) 在DCS操作站与控制站的所有接口上,应能提供对所有用户的加强授权能力,以保证职责分 离和最小特权原则; b) 应设置某个授权用户或角色,能定义与修改所有用户的权限映射; 使用权限的更改
在DCS操作站与控制站的所有接口上,应能提供对所有用户的加强授权能力,以保证职责 离和最小特权原则; b) 应设置某个授权用户或角色,能定义与修改所有用户的权限映射; c)应能支持高层管理者在特定时间 使用权限的更改
5.7.2.2无线使用(见57.5)
5.7.2.3可移动设备、代码的使用
本项要求包括但不仅限于: a 应具有自动识别外部设备接人内部网络,并限制其使用的能力,如禁止便携式与移动设备接人 DCS过程监控层网络、禁止移动代码等; b 便携式或移动设备在DCS不同分区层次和不同网络层次的使用,应考虑它们的接人是否满足 接人分区或网络的安全要求,并根据安全要求实施不同级别的授权; c) 应禁止从便携式设备上传代码与数据至DCS应用环境中,同时禁止从DCS应用环境中下载
代码与数据至便携式设备中; ) 在保证系统功能正常可用的前提下,应禁止Java、JavScript、ActiveX、PDF、Shockwaremovies 等移动代码在DCS各服务器中进行选择与使用,和在DCS各工作站中进行下载与执行; 在执行Java、JavScript、ActiveX、PDF、Shockwaremovies等移动代码前,应能进行对移动会话 的完整性的验证,防止执行被恶意篡改的移动代码,
5.7.2.4安全会话
本项要求包括但不仅限于: a)对于关键控制流程或区域的监控与维护应使用安全远程会话; 6) 应对DCS的关键接口设定网络通信的安全策略(如最大带宽、最大连接数、并发会话数量),降 低DoS攻击的风险; 当会话不活动状态超过设定时间,应能自动终止会话; 会话发起者应能手动终止会话
5.7.2.5 安全审讯
5.7.3.1网络分区
本项要求包括但不仅限于: a)应具有提供对DCS的MES层网络与过程监控层网络进行逻辑隔离或物理隔离的能力; 应具有提供对DCS的过程监控层网络与现场控制层网络进行数据检测和数据过滤的防护 能力; ) 应具有提供对DCS现场控制层的关键控制区网络与非关键控制区网络进行逻辑隔离或物理 隔离的能力: d)应具有提供对现场控制层实施独立网络服务的能力。
5.7.3.2区域边界保护
本项要求包括但不仅限于: a)应根据不同网络层次、安全要求,以及可能面对的威胁,制定区域边界保护策略; b)任何与外界网络或控制系统所进行的连接,其接口处应具有边界保护或旁路监测措施; c)DCS各层网络的边界保护应提供相应等级的防护和管理措施,采用代理、网关、路由器、防火 墙等合适的边界防护设备对不同网络层次进行隔离; d)当边界保护机制出现失败时,DCS应具备告警能力,及时告知管理人员DCS系统异常; e)DCS系统应配置能阻断各层网络边界上任何通信的管理人员;在必要时,阻断异常的通信
线路; 安全人员应定期对防护日志和监测记录进行分析,对安全策略进行优化。
本项要求包括但不仅限于: a)应对涉及DCS的信息与数据进行分类,确定数据涉密类型,如DCS网关与路由器上的网络配 置信息应视为保密信息; 6) 应通过写授权来确保DCS的核心和敏感信息在存储或传输过程中的保密性; 应能提供DCS存储信息(包括备份信息)与不信任网络下安全远程会话信息的保密能力; d 应能保证DCS组态信息、控制指令信息、关键工艺参数在区域边界进行传输时的保密性; e) 应能保证DCS组件的移除和更换不会造成组件上具有写授权信息的泄露; f 应能阻止未授权的信息通过共享内存资源进行传输; g) 应能保证存储或包含DCS的核心和敏感信息的载体,在其传递或销毁过程中信息不会发生 泄露; h)加密方法的选择应与需要保护的信息的价值、被泄露的影响后果以及DCS控制系统的运行约 束等要素相匹配; 销毁储存DCS核心和敏感信息的物理载体,可选择物理破坏或化学腐蚀等方法解决数据泄露 问题。
5.7.5.1使用审批
本项要求包括但不仅限于: a)应制定使用无线连接的申报、审批及备案制度; b)应明确与工业控制系统进行无线通信的范围; c)应防止用户拥有未经授权而独立配置无线联网能力。
5.7.5,2 访问控制
本项要求包括但不仅限于: a)在允许用户通过无线连接访问工业控制系统前,应对用户的身份进行鉴别;必要时还需对用户 使用的设备身份进行鉴别,禁止非授权访问; b)应能监控并告警未授权的无线连接。
5.7.5.3数据安全
本项要求包括但不仅限于: 应视具体应用需求,采用控制无线接人点的发射功率、无线信号屏蔽等措施,使得在工业控制 系统工作区域物理边界之外的信号强度在可接受的范围内;必要时,应通过测试、验证,确保达 到设计要求; b 应使用加密机制保护无线连接信道不被窃听; C 无线接人点应配置为点对点性质的无线访问; d)应能及时禁止未使用的嵌人系统无线联网的功能。
.7.5.4未授权设备监测
本项要求包括但不仅限于:
本项要求包括但不仅限于:
应能扫描、识别和报告在工业控制系统物理环境内,已开启且能够接人工业控制系统在用无 线网络的未授权无线设备(如发送WiFi,蓝牙或其无线信号的设备),确保没有任何非授权无 线访问点与系统连接; 在识别出未授权无线设备后,应能及时查找定位并关闭其发射功能或采用保护措施,尽可能消 除未授权无线设备干扰控制系统正常运行或泄漏通信数据的风险; 应制定在控制系统物理环境内使用未授权无线设备的惩罚措施或规章制度;并定期进行安全 意识教育。
5.8.1网络安全管理
本项要求包括但不仅限于: ) 应建立DCS中的网络设备管理职责和规程,确保控制网络中的信息和支持信息处理组件的 安全; b 应使用具体的控制措施,确保通过公共网络或无线网的数据的保密性和完整性; 应采用防护手段,隔离控制网络和外部管理网络,限制外部网络对控制网络的连接,禁止对控 制服务或应用的直接访间
本项要求包括但不仅限于: 建立网络安全传输的策略、规程,以保证企业/组织与外部方之间安全的商业信息传输; b) 应定义控制和通知信息传输、派遣、接收过程的管理职责: 应具有能检测和防止通过电子通信传输的恶意代码的程序; 1 应使用密码技术,保护信息的完整性、保密性和真实性; e 应明确机密信息,并对其做保密处理,防止未授权的泄露或机密信息遭受破坏
本项要求包括但不仅限于: a)应测试DCS组件的安全功能与能力; b)应要求设备供应商进行DCS组件安全测试,并由企业或组织进行核实与确认; c)应要求设备集成商进行集成安全测试,并由企业或组织进行核实与确认; d)系统交付后,企业或组织应开展系统测试,确定DCS系统满足企业或组织的安全目标。
本项要求包括但不仅限于: 应建立DCS变更管理策略与规程并实施DCS变更管理系统,至少包括授权跟踪、备份与存 储、补丁管理以及防恶意代码升级等; b) 应对DCS设备或系统的变更进行评审,确定对HSE以及网络安全可能造成的风险; 应详细说明变更的内容与位置,并符合变更申请要求; 变更的批准与实施应分别交付不同的职能部门或个人进行; DCS网络安全变更管理应与现运行的PSM程序保持一致; f 应定期对变更管理的安全策略与规程进行评审。
本项要求包括但不仅限于: a)应建立并实施补丁管理和反病毒管理程序; b)应评估并确定补丁安装对系统安全的影响,确保补丁安装后系统能够满足目标安全等级 C)系统升级与维护应满足所在网络分区或环境的安全防护要求,
本项要求包括但不仅限于: a)应建立备份与储存流程; b) 应能提供当前控制系统安装的DCS组件及其属性的组件清单,清单内容至少应包括元件ID 功能与维修等级; c 应采用配置管理过程来控制清单里组件信息的更改; d)应明确DCS用户级信息、系统级信息中关键文件的身份和位置; e)应确认所备份的介质与数据能成功使用。
本项要求包括但不仅限于: a)DCS各操作站与控制站应能提供在不影响现有安全状态的情况下切换至紧急电源的能力; b)DCS各操作域与控制域应能提供从一个失败或破坏中恢复与重建到一个已知安全状态的 能力; c) 安全状态应包括控制系统参数已配置安全、主要补丁已安装、安全相关的配置已启用、系统文 件与运行规程可用、系统软件与应用软件重新安装与安全配置、信息已从安全备份中下载、系 统经过测试并且功能良好等方面要求
5.10.1供应商关系中的网络安全
5.10.2供应商服务交付管理
本项要求包括但不仅限于: a 应监测和评审供应商服务交付水平,是否满足双方签订的协议中的网络安全条款;监控服务 行级别以检查对协议的符合度; b)检阅供应商产生的服务报告,并结合独立审计员的审计报告(如有可能)对供应商进行审计
识别存在的问题; 解决和管理任何已识别的供应商服务问题; d) 当供应商提供的服务发生变更时,应变更供应商协议,改进现有的网络安全策略,加强供应商 提供的现有服务; 更多供应商服务交付管理的网络安全要求可参照ISO/IEC27002一2013中的15.2。
识别存在的问题; c) 解决和管理任何已识别的供应商服务问题; d) 当供应商提供的服务发生变更时,应变更供应商协议,改进现有的网络安全策略,加强供应商 提供的现有服务; e)更多供应商服务交付管理的网络安全要求可参照ISO/IEC27002一2013中的15.2
5.11信息与文件管理
本项要求包括但不仅限于: a)应建立DCS生命周期的文件管理流程,以维护控制系统配置的安全性、可用性与使用性; b)对所访问的信息应定义相应的保密等级及其对应的共享、复制、传输与发布等权限限制; 对涉及DCS的敏感信息,如控制系统设计参数、脆弱性评估结果、网络结构信息、工业运行控 制项目信息等应进行分类保护,根据信息的敏感程度以及泄漏后可能所造成的后果来决定保 护等级; 应对需要特殊保护与处理的信息进行定期评审,以验证特殊保护是否依然需要; 应定期对信息与文件管理流程实施审计。
本项要求包括但不仅限于: a)应建立策略与规程来确保纸质版、电子版以及其他介质内信息的更新、保留、破坏、清除等的详 细记录; b)应采取方法与措施确保数据在备份与记录过程中不受到破坏
本项要求包括但不仅限于: a)应建立信息的存储、修改、交换等介质管理规程; b)应建立安全处置介质的规程;
5.12业务连续性规划
本项要求包括但不仅限于: 应建立DCS业务连续性规划小组,制定业务连续性规划;小组成员应包括企业或组织的关键 股东; b 应对业务连续性规划小组的成员岗位与职责进行分配,可根据职能不同建立分小组,成员应包 括DCS以及其他工业操作者; C 应根据组织或企业的风险容忍度与恢复目标决定关键业务与DCS子系统的重建优先级; d) DCS各操作域和控制域应确定相应的系统恢复目标与数据恢复目标; e) 应明确DCS关键业务流程或系统恢复所需要的时间与资源,包括备份文件的位置、硬件、备份 频率、热备份空间等; 应确保存储备份系统(硬件、软件、文件等)的地方是安全的; 应保证涉及文件管理与备份/恢复流程的多种形式(纸质、电子版)的记录有效; h)应考虑业务活动中断对供应链以及利益相关团体可能造成的影响:
本项要求包括但不仅限于: 应建立DCS业务连续性规划小组,制定业务连续性规划;小组成员应包括企业或组织的关键 股东; b 应对业务连续性规划小组的成员岗位与职责进行分配,可根据职能不同建立分小组,成员应包 括DCS以及其他工业操作者; 应根据组织或企业的风险容忍度与恢复目标决定关键业务与DCS子系统的重建优先级; d) DCS各操作域和控制域应确定相应的系统恢复目标与数据恢复目标; 应明确DCS关键业务流程或系统恢复所需要的时间与资源,包括备份文件的位置、硬件、备份 频率、热备份空间等; f 应确保存储备份系统(硬件、软件、文件等)的地方是安全的; g) 应保证涉及文件管理与备份/恢复流程的多种形式(纸质、电子版)的记录有效; h)应考虑业务活动中断对供应链以及利益相关团体可能造成的影响;
GB/T 26548.6-2018 手持便携式动力工具 振动试验方法 第6部分:夯实机.pdfGB/T33009.22016
应细规划 1 应识别进行连续性规划时所面临的风险以及如何消除这些威胁; k)J 应根据测试计划测试备份系统的运行; 1)应定期对业务连续性规划进行验证,若发现不足或有缺陷的地方,需及时修订。
5.13. 1 规划制定
5.14.1符合法律要求
5.14.2符合安全策略、标准,技术符合性
GB/T 33009.2—2016
本项要求包括但不仅限于: a)管理人员应定期评审,确保在其职责范围内的所有关于DCS的安全规程被正确地执行二级公路小桥施工组织设计,以确 保符合安全策略及标准; b)应定期检查DCS系统与安全实施标准的符合程度