标准搜索结果: 'GB/T 37955-2019'
| 标准编号 | GB/T 37955-2019 (GB/T37955-2019) | | 中文名称 | 信息安全技术 数控网络安全技术要求 | | 英文名称 | Information security technology - Security technique requirements for numerical control network | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 22,223 | | 发布日期 | 2019-08-30 | | 实施日期 | 2020-03-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 37955-2019: 信息安全技术 数控网络安全技术要求
GB/T 37955-2019 英文名称: Information security technology -- Security technique requirements for numerical control network
1 范围
本标准提出了数字化工厂或数字化车间的数控网络安全防护原则,规定了数控网络的安全技术要
求,包括设备安全技术要求、网络安全技术要求、应用安全技术要求和数据安全技术要求。
本标准适用于数控网络安全防护的规划、设计和检查评估。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1
数控设备
按预先编制的程序,由控制系统发出数字信息指令对工作过程进行控制的设备。
注1:改写GB/T 6477-2008,定义2.1.26。
注2:常见的数控设备有:数控机床、数控切割机、三坐标测量仪等。
3.2
数控系统
数控设备上使用数值数据的控制系统,在运行过程中,不断地引入数值数据,从而实现设备工作过
程的自动化控制。
3.3
数控代码
用于控制数控设备运作的指令集。
3.4
数控网络
由数字控制服务器、采集服务器、数控设备和网络通信设备等构成的网络。
注:在数控网络中实现了数控设备的集中控制,以及数字控制服务器、采集服务器和数控设备之间的控制指令及设备状态信息的传输。
3.5
区域
共享相同信息安全要求的逻辑资产或物理资产的集合。
注:区域具有清晰的边界。一个信息安全区域的信息安全策略在其内部和边界都要强制执行。
4 缩略语
下列缩略语适用于本文件。
CAD:计算机辅助设计
CAM:计算机辅助制造
CAPP:计算机辅助工艺过程设计
CPU:中央处理器
DMZ:非军事区
IP:因特网协议
MES:制造执行系统
NC:数字控制
PDM:产品数据管理
USB:通用串行总线
5 概述
5.1 数控网络安全框架
数控网络由数字控制服务器(即NC服务器)、采集服务器、数控设备、网络通信设备等组成。数控
网络的参考模型参见附录A。设备(数控设备、采集服务器、NC服务器、网络通信设备)、设备上安装运行的操作系统、应用软件和存储的数据以及设备间的通信(有线、无线)是本标准所涵盖的保护对象。
数控网络面临的信息安全风险参见附录B。针对数控网络面临的安全风险和面对的保护对象,本
标准提出了数控网络安全框架,如图1所示。本标准的第6章、第7章、第8章、第9章基于安全框架和
5.2中的数控网络安全防护原则分别对各项提出具体的安全技术要求。
图1 数控网络安全框架
5.2 数控网络信息安全防护原则
数控网络信息安全防护应遵循以下原则:
a) 网络可用
各类安全防护措施的使用不应对数控网络的正常运行以及数控网络与外部网络的交互造成
影响。
b) 网络隔离
数控网络应仅用于数控生产加工业务,应采用专用的物理网络,与外部网络的交互应采取有效
的安全防护措施。
c) 分区防御
应将数控网络划分为数控网络-监督控制区域和数控网络-数控设备区域。数控网络-数控设备
区域按照生产功能可进一步划分为不同的子区域。对不同的区域应根据安全要求采取安全保
护措施。在不影响各区域工作的前提下,应于各区域边界处采取安全隔离措施,确保各个区域
之间有清楚明晰的边界设定,并保障各区域边界安全。
d) 全面保护
数控网络的安全防护可通过物理访问控制措施、管理措施以及技术措施实现。单一设备的防
护、单一防护措施或单一防护产品的使用无法有效的保护数控网络,数控网络的防护应采取多
种安全机制和多层防护策略。
注:物理访问控制措施参见GB/T 22239中的要求。
5.3 安全技术要求
本标准提出了设备安全技术要求、网络安全技术要求、应用安全技术要求、数据安全技术要求和集
中管控技术要求。
设备安全技术要求对数控网络中采集服务器上的操作系统,NC服务器上的操作系统、数据库系
统,数控设备上数控系统的操作系统以及数控网络中的网络通信设备从身份鉴别、访问控制、入侵防范、资源控制、恶意代码防范、安全审计等方面进行了规定。
网络安全技术要求从网络架构、数控网络与管理网络以及数控网络内部不同安全区域之间的边界
防护、访问控制、入侵防范、安全审计以及数控网络中无线网络的使用控制等方面进行了规定。
应用安全技术要求对采集服务器、NC服务器、数控设备上数控系统安装的各类应用软件从身份鉴
别、访问控制、资源控制、软件容错、安全审计等方面进行了规定。
数据安全技术要求对设备上存储的NC代码、工艺文件、审计记录等及设备之间传输的NC代码、
设备状态信息等数据从数据完整性、数据保密性、数据备份恢复、剩余信息保护等方面进行了规定,应根据业务类型对数控网络的业务敏感数据进行分级并采取相应的保护措施。
集中管控技术要求对数控网络中由安全设备及安全组件实现的各类安全机制的集中管理进行了
规定。
5.4 安全技术要求分级
本标准按照数控网络对安全防护能力的需求将各类要求分为基本要求和增强要求。增强要求是对
基本要求的补充和加强。
6 设备安全技术要求
6.1 NC服务器和采集服务器安全技术要求
6.1.1 身份鉴别
6.1.1.1 基本要求
基本要求包括:
a) 应能够唯一地标识和鉴别登录NC服务器操作系统、采集服务器操作系统和NC服务器数据
库系统的用户;
b) 应能够通过设置最小长度和多种字符类型以达到强制配置NC服务器操作系统、采集服务器
操作系统和NC服务器数据库系统的用户口令强度;
c) 应通过加密方式存储用户的口令;
d) 应对连续无效的访问尝试设置阈值,在规定的时间周期内,对NC服务器操作系统、采集服务
器操作系统和NC服务器数据库系统的访问尝试次数超出阈值时,应能够进行告警并进行锁
定直到管理员解锁。
6.1.1.2 增强要求
增强要求包括:
a) 应防止NC服务器操作系统、采集服务器操......
|