搜索结果: GB/T 33009.1-2016, GB/T33009.1-2016, GBT 33009.1-2016, GBT33009.1-2016
| 标准编号 | GB/T 33009.1-2016 (GB/T33009.1-2016) | | 中文名称 | 工业自动化和控制系统网络安全 集散控制系统(DCS) 第1部分:防护要求 | | 英文名称 | Industrial automation and control system security - Distributed control system (DCS) - Part 1: Protection requirements | | 行业 | 国家标准 (推荐) | | 中标分类 | N10 | | 国际标准分类 | 25.040 | | 字数估计 | 22,288 | | 发布日期 | 2016-10-13 | | 实施日期 | 2017-05-01 | | 标准依据 | 国家标准公告2016年第17号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | GB/T 33009.1-2016
Industrial automation and control system security - Distributed control system(DCS) - Part 1.Protection requirements
ICS 25.040
N10
中华人民共和国国家标准
工业自动化和控制系统网络安全
集散控制系统(DCS) 第1部分.防护要求
2016-10-13发布
2017-05-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语、定义、缩略语 1
3.1 术语和定义 1
3.2 缩略语 3
4 DCS安全防护概述 3
4.1 DCS系统概述 3
4.2 DCS防护总体要求和原则 5
5 物理访问控制要求 7
6 过程监控层网络安全 7
6.1 区域划分 7
6.2 访问与使用控制 7
6.3 入侵防御 8
6.4 身份鉴别与认证 9
6.5 安全审计 10
6.6 资源控制 10
6.7 数据安全 11
7 现场控制层网络安全 12
7.1 区域划分 12
7.2 访问与使用控制 12
7.3 入侵防御 13
7.4 身份鉴别与认证 13
7.5 安全审计 14
7.6 资源控制 14
7.7 数据安全 14
8 现场设备层网络安全 15
8.1 区域划分 15
8.2 访问与使用控制 15
8.3 入侵防御 15
8.4 身份鉴别与认证 16
8.5 安全审计 16
8.6 数据安全 16
参考文献 17
前言
GB/T 33009《工业自动化和控制系统网络安全 集散控制系统(DCS)》和GB/T 33008《工业自动
化和控制系统网络安全 可编程序控制器(PLC)》等共同构成工业自动化和控制系统网络安全系列
标准。
GB/T 33009《工业自动化和控制系统网络安全 集散控制系统(DCS)》分为4个部分.
---第1部分.防护要求;
---第2部分.管理要求;
---第3部分.评估指南;
---第4部分.风险与脆弱性检测要求。
本部分为GB/T 33009的第1部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分由中国机械工业联合会提出。
本部分由全国工业过程测量、控制和自动化标准化技术委员会(SAC/TC124)和全国信息安全标
准化技术委员会(SAC/TC260)归口。
本部分起草单位.浙江大学、浙江中控研究院有限公司、机械工业仪器仪表综合技术经济研究所、重
庆邮电大学、中国科学院沈阳自动化研究所、西南大学、福建工程学院、杭州科技职业技术学院、北京启
明星辰信息安全技术有限公司、中国电子技术标准化研究院、国网智能电网研究院、中国核电工程有限
公司、上海自动化仪表股份有限公司、东土科技股份有限公司、清华大学、西门子(中国)有限公司、施耐
德电气(中国)有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克韦尔自
动化(中国)有限公司、中国仪器仪表学会、工业和信息化部电子第五研究所、北京海泰方圆科技有限公
司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、北京力控华康科技有限公司、
北京和利时系统工程有限公司、中国石油天然气管道有限公司、北京匡恩网络科技有限责任公司、西南
电力设计院、广东航宇卫星科技有限公司、华北电力设计院工程有限公司、华为技术有限公司、中国电子
科技集团公司第三十研究所、深圳万讯自控股份有限公司、横河电机(中国)有限公司北京研发中心。
本部分主要起草人.冯冬芹、施一明、梅恪、王玉敏、王平、王浩、高梦州、徐珊珊、徐皑冬、刘枫、
许剑新、陈平、杨悦梅、陈建飞、还约辉、黄家辉、贾驰千、梁耀、陆耿虹、刘大龙、刘文龙、吴彦彪、孟雅辉、
范科峰、梁潇、王彦君、张建军、薛百华、许斌、陈小淙、华镕、高昆仑、王雪、周纯杰、张莉、刘杰、朱毅明、
王弢、孙静、胡伯良、刘安正、田雨聪、方亮、马欣欣、王勇、杜佳琳、陈日罡、李锐、刘利民、孔勇、黄敏、
朱镜灵、张智、张建勋、兰昆、张晋宾、成继勋、尚文利、钟诚、梁猛、陈小枫、卜志军、丁露、李琳、杨应良、
杨磊。
工业自动化和控制系统网络安全
集散控制系统(DCS) 第1部分.防护要求
1 范围
GB/T 33009的本部分规定了集散控制系统在运行和维护过程中应具备的安全能力、防护技术要
求和安全防护区域的划分,并对过程监控层、现场控制层和现场设备层的防护要点、防护设备以及防护
技术提出了具体的要求。
本部分适用于涉及集散控制系统安全防护的电力、石油、化工、水利、冶金、建材等各关键基础设施
领域,指导企业用户提高在役运行和新增集散控制系统的安全性,也可作为集散控制系统生产商和集成
商的系统安全设计指导。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 30976.1-2014 工业控制系统信息安全 第1部分.评估规范
3 术语、定义、缩略语
3.1 术语和定义
GB/T 20984-2007和GB/T 30976.1-2014界定的以及下列术语和定义适用于本文件。为了便
于使用,以下重复列出了GB/T 20984-2007和GB/T 30976.1-2014中的一些术语和定义。
3.1.1
可用性 availability
数据或资源能被授权实体按要求访问和使用的特性。
[GB/T 20984-2007,定义3.3]
3.1.2
鉴别 authentication
验证实体所声称的身份的动作。
3.1.3
授权用户 authorizeduser
依据安全策略可以执行某项操作的用户。
3.1.4
业务战略 businessstrategy
组织为实现其发展目标而制定的一组规则或要求。
[GB/T 20984-2007,定义3.4]
3.1.5
保密性 confidentiality
数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的
程度。
[GB/T 20984-2007,定义3.5]
3.1.6
以保护控制系统的可用性、完整性、保密性为目标,另外也包括实时性、可靠性与稳定性。
3.1.7
员工(用户)可以与特定的机器,设备,计算机程序或其他复杂工具(系统)互动的方法集。
注.在很多情况下,这些包含了视频或计算机终端,按钮,听觉反馈,闪烁的灯等。人机界面提供的方法包括.输入
(允许用户控制机器)、输出(允许机器通知用户)。
3.1.8
识别 identification
对某一评估要素进行标识与辨别的过程。
[GB/T 30976.1-2014,定义3.1.2]
3.1.9
网络安全风险 securityrisk
人为或自然的威胁利用系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的
影响。
[GB/T 20984-2007,定义3.6]
3.1.10
完整性 integrity
保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。
[GB/T 20984-2007,定义3.10]
3.1.11
生产规划和跟踪系统,用于分析和报告资源可用性和状态、规划和更新订单、收集详细的执行数据,
例如材料使用、人力使用、操作参数、订单和装置状态及其他关键信息。
注1.此系统访问材料清单、工艺路线和其他来自于基础企业资源规划系统的数据,典型用于实时车间作业报告和
监视将活动数据反馈给基础系统的过程。
注2.更多信息参见GB/T 20720.1-2006。
3.1.12
组织 organization
由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织,某个业务部门也
可以是一个组织。
[GB/T 20984-2007,定义3.11]
3.1.13
远程终端装置 remoteterminalunit,RTU
集远程数据采集、传输、存储功能于一体的终端设备。
3.1.14
残余风险 residualrisk
采取了安全措施后,信息系统仍然可能存在的风险。
[GB/T 20984-2007,定义3.12]
3.1.15
安全事件 securityincident
系统、服务或网络的一种可识别状态的发生,它可能是对安全策略的违反或防护措施的失效,或未
预知的不安全状况。
[GB/T 20984-2007,定义3.14]
3.1.16
网络安全措施 securitymeasure
为保护资产、抵御威胁、减少脆弱性、降低安全事件的影响而实施的各种实践、规程和机制。
3.1.17
网络安全策略 securitypolicy
规范或限定系统或组织如何为保护其资产提供网络安全服务的规则集合。
3.1.18
安全需求 securityrequirement
为保证组织业务战略的正常运作而在安全措施方面提出的要求。
[GB/T 20984-2007,定义3.16]
3.1.19
网络安全区 securityzone
共享通用网络安全需求的逻辑资产或物理资产的集合。
注1.本文所用的“区域”是指网络安全区域。
注2.一个区域与其他区域有明显的边界。一个网络安全区域的网络安全策略在其内部和边缘都要强制执行。一
个网络安全区域可以包括多个不同等级的子区域。
3.1.20
敏感性 sensitivity
表征资源价值或重要性的特性,也可能包含这一资源的脆弱性。
3.1.21
威胁 threat
可能导致对系统或组织危害的不希望事故的潜在起因。
[GB/T 20984-2007,定义3.17]
3.1.22
脆弱性 vulnerability
系统设计、实现或操作和管理中存在的缺陷或弱点,可被利用来危害系统的完整性或安保策略。
[GB/T 30976.1-2014,定义3.1.1]
3.2 缩略语
下列缩略语适用于本文件。
DoS.服务拒绝(DenialofService)
4 DCS安全防护概述
4.1 DCS系统概述
4.1.1 通用DCS系统应用的网络结构
通常DCS系统应用是一种纵向分层的网络结构,自上到下依次为过程监控层、现场控制层和现场
设备层。各层之间由通信网络连接,层内各装置之间由本级的通信网络进行通信联系,其典型网络结构
如图1所示。本部分主要对DCS系统中的过程监控层、现场控制层网络和现场设备层网络的安全要求
进行了要求。各层的说明如下.
---过程监控层.以操作监视为主要任务,兼有部分管理功能。这一级是面向操作员和控制系统工
程师的,因而这一级配备有技术手段齐备,功能强的计算机系统及各类外部装置,特别是显示
器和键盘,以及需要较大存储容量的硬盘或软盘支持,另外还需要功能强的软件支持,确保工
程师和操作员对系统进行组态、监视和操作,对生产过程实行高级控制策略、故障诊断、质量
评估;
---现场控制层.现场控制层主要功能包括.采集过程数据,进行数据转换与处理;对生产过程进行
监测和控制,输出控制信号,实现模拟量和开关量的控制;对I/O卡件进行诊断;与过程监控
层等进行数据通信;
---现场设备层.现场设备层的主要功能包括.采集控制信号、执行控制命令,依照控制信号进行设
备动作。
图1 典型DCS系统的网络结构示意图
注.将监控层以下的现场控制层网络进行细分,其中现场控制层网络主要包括DCS控制器和控制器通信模块、I/O
模块等,现场设备层网络包括现场智能仪表、执行机构、传感器等现场设备和仪表。
4.1.2 DCS运行安全总体要求
4.1.2.1 实时性要求
DCS应具备实时响应能力,不允许存在不可接受的延迟和抖动。
4.1.2.2 可用性要求
DCS具有高可用性需求,一般不允许重启系统,所以部署前需要详尽的测试,在生产过程中的中断
操作需要提前计划。
4.1.2.3 安全性要求
DCS具有安全性要求。DCS一般部署在重要的生产领域,系统不允许出现安全事故。
4.1.2.4 完整性要求
DCS具有完整性要求,不允许未授权用户或者恶意程序对信息和数据的修改。
4.1.2.5 稳定性要求
DCS具有稳定性要求。DCS一旦工作不稳定,将存在严重的威胁,导致大批的不合格产品流出,而
且加剧设备的损耗等。
4.1.2.6 高可靠性要求
DCS具有可靠性要求。DCS能够在规定的条件下,长期正常执行其设定的控制功能,期间不允许
发生停车,且具有很好的耐久性和可维修性。
4.2 DCS防护总体要求和原则
4.2.1 DCS安全要求
4.2.1.1 概述
DCS系统安全主要包括物理安全和网络安全等。本部分针对DCS系统定义总体要求、基本要求和
加强要求等三类安全要求,其中总体要求是针对DCS系统整体的安全性和防护水平提出的安全要求;
基本要求和加强要求是针对DCS系统中不同网络层次特点,在本部分的第5章、第6章、第7章和
第8章分层进行了定义,其中DCS系统安全性要求不高的企业用户只需满足基本要求,对DCS系统安
全要求高的企业用户可以结合企业特点和所用的DCS系统的特点,有选择的部署实现加强要求中的安
全要点。加强要求分为常规加强要求和深度加强要求,常规加强要求主要用于普通企业用户,深度加强
要求用于具有高安全要求的特殊行业。
4.2.1.2 外部网络隔离要求
DCS用户企业全网拓扑结构可采用分层的方式进行布局,如果DCS系统网络与外部网络(指企业
管理层网络、互联网等DCS系统网络以外的其他网络)存在直接或间接互连时,DCS系统网络与外部网
之间应使用物理或逻辑隔离技术措施进行防护。
4.2.1.3 网络链路要求
对部署于多地区并通过网络进行互联的DCS系统应用,应保证互联网络链路资源充足,即在企业
业务量达最大峰值时,链路数据通信正常且网络延时仍能满足DCS系统应用要求。
对于网络互通性和稳定性要求较高的企业用户,可采取链路冗余技术和手段保证企业网络在网络
出现故障时能够维持基本通信,保证在一条链路出现故障时另一条链路能够为企业的正常生产经营活
动提供网络保障。
对于网络互通性和稳定性要求非常高的企业用户可采用物理线路冗余的方式部署企业的核心业务
网络、骨干网、核心控制网络,并且冗余线路网络可采用与主网络不同的网络构建方式。
4.2.1.4 数据备份要求
一般DCS系统应具有实时数据、OPC数据、组态数据、控制方案等重要数据的实时备份和定期备
份措施;对于数据安全性要求高的DCS系统应用,可以采用对系统正常运行的数据进行完整备份的措
施,备份周期应不大于3个月;对于数据安全性要求非常高的DCS系统应用可以建立异地灾难数据备
份中心,配备灾难恢复所需的通信线路、网络设备和数据处理设备。
4.2.2 系统防护原则
在工业控制系统领域,工业控制系统强调的是工业自动化过程及相关设备的智能控制、监测与管
理。它们在系统架构、设备操作系统、数据交换协议等方面与普通IT信息系统存在较大差异。而且更
为关注系统的实时性与业务连续性。也就是说,工业控制系统对系统设备的可用性、实时性、可控性等
特性要求很高,在考虑工业控制系统安全时要优先保证系统的可用性;其次,各组件之间存在固有的关
联,因此完整性次之;而对于数据保密性来说,则由于工控系统中传输的数据通常是控制命令和采集的
原始数据,需要放在特定的背景下分析上下文内容才有意义,而且多是实时数据,所以对保密性的要求
较低。除此之外,控制系统还需保证实时性、可靠性和安全性等要求。因此工业控制系统的安全防护手
段的部署和实施应结合上述DCS特点,遵循下列原则。
本部分以区域划分、纵深防御为基础进行防护,主要手段包括防护软件的部署、防护设备的部署、技
术防护以及纵深防御。
a) 防护软件部署原则
防护软件部署主要是指在DCS系统的各个单元(如工作站、服务器等设备)上安装安全补丁、病毒
防护、入侵监测、入侵防御等具有病毒查杀和阻止入侵行为的软件。
在部署上述防护软件前,应采用线下测试等手段确保其上线后不影响正常的DCS运行的可用性、
实时性、可靠性和安全性;如果存在影响系统可用性、实时性、可靠性和安全性的较大风险,则撤销对系
统造成影响的防护软件的部署。
b) 防护设备部署原则
防护设备部署主要是指在DCS系统网络上介入具有防护功能的设备,如防火墙、网闸、安全交换
机、入侵检测系统、入侵防御系统等。
在部署防护设备前,应采用线下测试等手段确保其上线后不影响正常的DCS运行的可用性、实时
性、可靠性和安全性;如果存在影响系统可用性、实时性、可靠性和安全性的较大风险,则撤销对系统造
成影响的防护设备的部署。
c) 技术防护原则
技术防护主要是指以技术的手段进行DCS安全防护,如访问控制、边界管理、管道通信等。在防护
技术应用前,应采用线下测试等手段在相同的DCS系统上进行严格的系统测试,确保其上线后不影响
正常的DCS运行的可用性、实时性、可靠性和安全性;如果存在影响系统可用性、实时性、可靠性和安全
性的较大风险,则撤销对系统造成影响的防护技术的使用。
d) 纵深防御原则
单一的安全产品、技术或者解决方案无法有效保护DCS,所以需要一种包含两个或者多个不同机
制的多层防护策略。本部分采用的纵深防御架构策略包含了防火墙的使用,安全分区的建立,有效的安
全策略下的入侵检测能力,培训计划和应急响应机制。进行纵深防御架构的有效部署和实施,需要对
DCS可能遭受的下列攻击和安全风险有全面的掌握,包括.
1) 网络边界的后门和漏洞;
2) 常见协议的漏洞;
3) 针对现场设备的攻击;
4) 针对数据库的攻击;
5) 通信劫持和“中间人”攻击。
在纵深防御技术各项设备或技术应用DCS前,应采用线下测试等手段确保其上线后不影响正常的
DCS运行的可用性、实时性、可靠性和安全性;如果存在影响系统可用性、实时性、可靠性和安全性的较
大风险,则撤销对系统造成影响的防护技术的使用。
5 物理访问控制要求
物理访问控制基本要求包括.
a) 机房(包括电子设备间)出入口应安排专人值守,控制、鉴别和记录进入的人员;
b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在进入重要区域前设置交付
或安装等过渡区域;
d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
6 过程监控层网络安全
6.1 区域划分
6.1.1 基本要求
应根据过程监控层网络中各系统的安全等级划分成不同的安全区域,并按照方便管理和控制为原
则为各安全功能区域分配网段地址。过程监控层各网段应相互隔离,原则上不直接连接在一起。
6.1.2 常规加强要求
6.1.2.1 加强要求
本项要求包括但不仅限于.
a) 重要设备不直接与外层网络相连
1) 应在工程师站、操作员站与 MES层网络间采用数据隔离措施。
2) 不宜将工程师站与操作员站放置在同一物理区域内。
b) OPC等其他数据服务器安全
1) 不宜将不同......
|