1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。

ICS 35.040 L80 GA 中华人民共和国公共安全行业标准 GA/T 1390.5—20 17 信息安全技术 网络安全等级保护基本要求 第5 部分：工业控制系统安全扩展要求 Information security technology—Baseline for classified protection of cybersecurity —Part 5: Special security requirements for industrial control system 20 17-05-08 发布 20 17-05-08 实施 中华人民共和国公安部 发布 GA/T 1390.5—2017 目 次 前言 V 引言 VI 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 3.1 术语和定义 1 3.2 缩略语 3 4 概述 3 4.1 工业控制系统安全通用要求 3 4.2 工业控制系统概述提要 3 4.2.1 总则 3 4.2.2 层次模型 3 4.2.3 区域模型 6 4.2.4 安全域划分原则 7 4.3 工业控制系统等级保护原则和要求 7 4.3.1 总则 7 4.3.2 安全域保护原则 7 4.3.3 安全域保护措施实施说明 8 4.3.4 技术要求和管理要求 8 4.4 工业控制系统定级 9 4.5 工业控制系统等级保护通用约束条件 9 4.5.1 概述 9 4.5.2 基本功能支持 9 4.5.3 补偿措施 10 5 第一级基本要求 10 5.1 技术要求 10 5.1.1 物理安全 10 5.1.2 边界防护 11 5.1.3 生产管理层安全要求 11 5.1.4 过程监控层安全要求 13 5.1.5 现场控制层安全要求 16 5.1.6 现场设备层安全要求 17 5.2 管理要求 18 5.2.1 安全管理机构和人员 18 5.2.2 安全运维管理漏洞和风险管理 18 6 第二级基本要求 18 II GA/T 1390.5—2017 6.1 技术要求 18 6.1.1 物理和环境安全 18 6.1.2 边界防护 19 6.1.3 生产管理层安全要求 20 6.1.4 过程监控层安全要求 23 6.1.5 现场控制层安全要求 27 6.1.6 现场设备层安全要求 29 6.2 管理要求 30 6.2.1 安全管理机构和人员 30 6.2.2 安全运维管理漏洞和风险管理 30 7 第三级基本要求 30 7.1 技术要求 30 7.1.1 物理和环境安全 30 7.1.2 边界防护 32 7.1.3 集中管控 32 7.1.4 生产管理层安全要求 32 7.1.5 过程监控层安全要求 36 7.1.6 现场控制层安全要求 42 7.1.7 现场设备层安全要求 45 7.2 管理要求 45 7.2.1 安全策略和管理制度 45 7.2.2 安全管理机构和人员 46 7.2.3 安全建设管理外包软件开发 46 7.2.4 安全运维管理漏洞和风险管理 46 8 第四级基本要求 46 8.1 技术要求 46 8.1.1 物理和环境安全 46 8.1.2 边界防护 48 8.1.3 集中管控 48 8.1.4 生产管理层安全要求 48 8.1.5 过程监控层安全要求 52 8.1.6 现场控制层安全要求 58 8.1.7 现场设备层安全要求 62 8.2 管理要求 63 8.2.1 安全策略和管理制度安全策略 63 8.2.2 安全管理机构和人员 63 8.2.3 安全管理建设外包软件开发 63 8.2.4 安全运维管理漏洞和风险管理 63 附录A （资料性附录） 工业控制系统概述详解 64 III GA/T 1390.5—2017 附录B （资料性附录） 安全域划分示例 69 附录C （资料性附录） 基于可信计算技术的工业控制系统安全等级防护 71 参 考 文 献 75 IV GA/T 1390.5—2017 前 言 GA/T 1390 《信息安全技术 网络安全等级保护基本要求》已经或计划发布以下部分： ——第1部分: 安全通用要求； ——第2部分: 云计算安全扩展要求； ——第3部分: 移动互联安全扩展要求； ——第4部分: 物联网安全扩展要求； ——第5部分: 工业控制系统安全扩展要求； ——第6部分: 大数据安全扩展要求。 本部分为GA/T 1390 的第5部分。 本部分按照GB/T 1.1-2009给出的规则起草。 本部分由公安部信息系统安全标准化委员会提出并归口。 本部分主要起草单位：浙江大学、浙江中控研究院有限公司、机械工业仪器仪表综合技术经济研究 所、公安部第三研究所、杭州科技职业技术学院、北京启明星辰信息安全技术有限公司。 本部分参与起草单位：中国电力工程顾问集团西南电力设计院有限公司、北京国电智深控制技术有 限公司、西门子（中国）有限公司、施耐德电气（中国）有限公司、工业和信息化部电子第五研究所、 北京和利时系统工程公司、东方电气中央研究院、北京市轨道交通设计研究院有限公司、国家信息技术 安全研究中心、中国软件测评中心、中石化齐鲁石化公司、中科院沈阳自动化所、中国电子科技集团公 司第三十研究所、国家电力投资集团公司、中国电力工程顾问集团华北电力设计院有限公司、国核自仪 系统工程有限公司、北京自来水集团。 本部分主要起草人：冯冬芹、刘之涛、贾驰千、陆耿虹、高梦州、梁耀、刘大龙、梅恪、王玉敏、 赵艳领、任卫红、袁静、杨悦梅。 本部分参与起草人：张晋宾、朱镜灵、李锐、梁军、刘杰、刘太洪、赵军凯、袁晓舒、梅棋、肖衍、 李冰、庞宁、周峰、刘利民、陈秀丽、王爱鹏、孟雅辉、方进社、卜志军、张晨艳、王弢、兰昆、王静、 李忠生、王勇、刘志祥、罗安、尚文利、马欣欣、何彦君。 V GA/T 1390.5—2017 引 言 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保 护工作的开展，需对GB/T 22239—2008 进行修订，修订的思路和方法是针对移动互联、云计算、大数 据、物联网和工业控制等新技术、新应用领域提出扩展的安全要求。 VI GA/T 1390.5—2017 信息安全技术 网络安全等级保护基本要求 第5 部分：工业控制系统安全扩展要求 1 范围 GA/T 1390 的本部分规定了不同安全保护等级工业控制系统的安全扩展要求。 本部分适用于批量控制、连续控制、离散控制等工业控制系统，为工业控制系统网络安全等级保护 措施的设计、落实、测试、评估等提供指导要求。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T22239 信息安全技术 信息系统安全等级保护基本要求 GB/T 25069-2010 信息安全技术 术语 IEC 62443-1-1 工业通信网络 网络和系统安全-第1-1 部分：术语、概念和模型 IEC 62443-3-2 工业通信网络-网络和系统安全-第3-2 部分： 区域和通道的安全保障等级 3 术语、定义和缩略语 3.1 术语和定义 GB 17859-1999、GB/T 25069-2010和IEC 62443-1-1界定的以及下列术语和定义适用于本文件。 3.1.1 工业控制系统 industrial control system 对工业生产过程安全、信息安全和可靠运行产生作用和影响的人员、硬件和软件的集合。 注：系统包括，但不限于： 1) 工业控制系统包括集散式控制系统（DCS）、可编程逻辑控制器（PLC）、智能电子设备（IED）、监视控 制与数据采集（SCADA）系统，运动控制（MC）系统、网络电子传感和控制，监视和诊断系统[在本标准中， 不论物理上是分开的还是集成的，过程控制系统（PCS）包括基本过程控制系统和安全仪表系统（SIS）]； 2) 相关的信息系统，例如先进控制或多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、 制造执行系统（MES）； 3) 相关的部门、人员、网络或机器接口，为连续的、批处理、离散的和其他过程提供控制、安全和制造操作 功能。 1 GA/T 1390.5—2017 3.1.2 区域 area 站点内划分的物理的、地理的或逻辑的资源分组。 3.1.3 安全域 security zone 具有相同安全要求的逻辑资产或物理资产的集合。 3.1.4 边界boundary 软件、硬件或者其他物理屏障，限制进入系统或者部分系统。 3.1.5 控制中心control center 资产集合的运行中心。 3.1.6 控制网络 control network 用于连接控制物理过程设备的实时网络。 3.1.7 现场总线 fieldbus 将安装在工业过程现场的智能自动化仪表和装置与设置在控制室内的仪表和控制设备连接起来的 一种数字化、串行、双向、多站的通信网络技术。 3.1.8 移动代码mobile code 通过网络或者可移动媒介与可能是非可信的系统之间传递的程序，被不经显式安装在本地系统， 会被自动执行或被接收者执行。 3.1.9 会话 session 在两个或者多个通信设备之间的半永久性、状态性或者交互式的信息交换。 3.1.10 会话ID session ID 用于表明特定会线 缩略语 下列缩略语适用于本文件。 2 GA/T 1390.5—2017 ICS：工业控制系统 （Industrial Control System） DCS：集散控制系统 （Distributed Control System） DMZ：隔离区 （Demilitarized Zone） HMI：人机界面 （Human Machine Interafce） PLC：可编程逻辑控制器 （Programmable Logic Controller） SCADA：数据采集与监视控制系统 （Supervisory Control And Data Acquisition Systems） RTU：远程终端单元 （Remote Terminal Unit） VPN：虚拟专用网 （Virtual Private Network） MES：制造执行系统 （Manufactoring Execution System） ERP：企业资源计划 （Enterprise Resource Planning） 4 概述 4.1 安全通用要求 信息安全技术网络安全等级保护基本要求的通用要求应符合GB/T 22239。 4.2 工业控制系统概述提要 4.2.1 总则 工业控制系统（ICS）是几种类型控制系统的总称，包括数据采集与监视控制系统（SCADA）系统、 集散控制系统（DCS）和其它控制系统，如在工业部门和关键基础设施中经常使用的可编程逻辑控制器 （PLC）。对包括SCADA系统，PLC系统，DCS系统，RTU系统在内的几种工业控制系统的概述与比较，可 参见附录A。ICS通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和 造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等行业。在阅读、规定和实施第5～8 章详述的控制系统的安全等级要求时，应遵循一些通用约束。本章和后续章节提供了必要的规范性材 料，扩展现有的工业控制系统安全技术，支持工业控制系统所需的完整性和可用性要求。 4.2.2 层次模型 参考标准IEC 62264-1的层次结构模型划分，同时将SCADA系统、DCS系统和PLC系统的模型的共性 进行抽象，对通用工业企业采用层次模型进行说明。层次模型的内容包括：功能层次模型、功能单元 映射模型、资产组件映射模型。 工业企业功能层次模型从上到下共分为5个层级，依次为企业资源层、生产管理层、过程监控层、 现场控制层和现场设备层，不同层级的实时性要求不同。该层次结构的简要划分模型如图1所示。 3 GA/T 1390.5—2017 层级4 ：企业资源层 层级4 ：企业资源层 建立基本工厂生产调度、材料使用、运输 建立基本工厂生产调度、材料使用、运输 、确定库存等级、操作管理等 、确定库存等级、操作管理等 企业资源层 实时性 实时性 月、周、日 月、周、日 层级3 ：生产管理层 层级3 ：生产管理层 工作流/处方控制来生产期望的终端产品。 工作流/处方控制来生产期望的终端产品。 维护记录和优化生产过程，调度生产，细 生产管理层 维护记录和优化生产过程，调度生产，细 化生产调度过程，保证可靠性等。 化生产调度过程，保证可靠性等。 实时性 实时性 日、工作班时、小时、分钟、秒 日、工作班时、小时、分钟、秒 层级2 ：过程监控层 层级2 ：过程监控层 监控，管理控制和自动控制生产过程 监控，管理控制和自动控制生产过程 实时性 实时性 DCS PLC SCADA 小时、分钟、秒 小时、分钟、秒 系统 系统 系统 层级1：现场控制层 层级1：现场控制层 传感数据采集和生产过程控制 传感数据采集和生产过程控制 实时性 实时性 批过程/连续过程/离散过程 秒、亚秒 秒、亚秒 层级0 ：现场设备层 层级0 ：现场设备层 传感和操作生产过程 传感和操作生产过程 注：该图为工业控制系统经典层次模型参考自国际标准IEC 62264-1，但随着工业4.0、信息物理系统的发展，已不 能完全适用，因此对于不同的行业企业实际发展情况，允许部分层级合并。 图1 工业企业功能层次模型 图1描述并解释了功能层次模型的各个层级。在不同实时性下，各层级的具体分工见IEC 62443-1-1。 根据图1的层次结构划分，各个层次在工业控制系统中发挥不同的功能。各层次功能单元映射如图 2所示。 4 GA/T 1390.5—2017 层级4 企业资源层 ERP 该层级主要通过ERP系统为企业决策层及员工提供 决策运行手段。 层级3 生产管理层 该层级主要通过MES系统为企业提供包括制造数 MES 据管理、计划排程管理、生产调度管理等管理模 块。 集中式监控服务器 / HMI 层级2 过程监控层 该层级主要通过分布式SCADA系统采集和监控生产 过程参数，并利用HMI系统实现人机交互。 本地监控服务器 本地监控服务器 / HMI / HMI 层级1 现场控制层 控制器 该层级主要通过PLC、DCS控制单元和RTU等进行 （PLC/ DCS控制单元/ RT U） 生产过程的控制。 层级0 现场设备层 该层级主要通过传感器对实际生产过程的数据进行 传感器/执行器 采集，同时，利用执行器对生产过程进行操作。 图2 工业企业各层次功能单元映射模型 其中各个层次功能单元有： a) 企业资源层：主要包括ERP系统功能单元，用于为企业决策层员工提供决策运行手段； b) 生产管理层：主要包括MES系统功能单元，用于对生产过程进行管理，如制造数据管理、生产 调度管理等； c) 过程监控层：主要包括监控服务器与HMI系统功能单元，用于对生产过程数据进行采集与监 控，并利用HMI系统实现人机交互； d) 现场控制层：主要包括各类控制器单元，如PLC、DCS控制单元等，用于对各执行设备进行控 制； e) 现场设备层：主要包括各类过程传感设备与执行设备单元，用于对生产过程进行感知与操作。 工业企业的资产组件映射模型可用于明确各层次保护对象，为安全域划分提供依据；应能够根据 各层次主要资产来构建，且与图2的各层级功能单元一一映射，如图3所示。 5 GA/T 1390.5—2017 各层次保护对象 各层次具体保护资产 先进控制 设备维护 MES 生产管理层 主机7 主机8 主机9 主机10 系统 系统 „ „ 工艺管理 物流调度 仓储管理系统 计划排产系统 系统 系统 仓储管理系统 计划排产系统 „ 集中式监控数据库/ HMI 过程监控层 SCADA 组态软件 SCADA 关系 控制程序/ 监控软件 监控软件 数据库 组态信息 „ „ „ 本地监控数据库 本地监控数据库 控制程序 仿真软件 报告和 实时 备份数据 / HMI / HMI 设计软件 日志 数据库 „ 工程师站 操作员站 OPC服务器 工程师站 操作员站 OPC服务器 控制器 现场控制层 PLC控制器 DCS控制单元 过程控制器 RTU 无纸记录仪 „ 传感器/执行机构 现场设备层 传感器 执行机构 保护装置 „ 图3 工业企业资产组件映射模型 其中各个层次具体应保护的资产有： a) 企业资源层应保护与企业资源相关的财务管理、资产管理、人力管理等系统的软件和数据资产 不被恶意窃取，硬件设施不遭到恶意破坏； b) 生产管理层应保护与生产制造相关的仓储管理、先进控制、工艺管理等系统的软件和数据资产 不被恶意窃取，硬件设施不遭到恶意破坏； c) 过程监控层应保护各个操作员站、工程师站、OPC服务器等物理资产不被恶意破坏，同时应保 护运行在这些设备上的软件和数据资产，如组态信息、监控软件、控制程序/工艺配方等不被 恶意篡改或窃取； d) 现场控制层应保护各类控制器、控制单元、记录装置等不被恶意破坏或操控，同时应保护控制 单元内的控制程序或组态信息不被恶意篡改； e) 现场设备层应保护各类变送器、执行机构、保护装置等不被恶意破坏。 4.2.3 区域模型 区域是一些具备公有属性的独立资产构成的组群，或一些子区域构成的组群，或一些独立资产与 子区域中具备公有属性的资产构成的组群。 区域模型是符合区域定义要求，辅助分析工业控制系统安全性的框架。它用于定义保护区域内资 产所需的不同安全等级，分析安全政策和安全要求，评估通用风险、脆弱性及相应对策等。如图4所 示，根据生产过程的不同，工控企业在各自的工厂或站点可以构建不同的区域模型。 6 GA/T 1390.5—2017 注：批过程包括制药工业、食品工业、啤酒工业、造纸工业、轧钢工业等；连续过程包括能源工业、石油化工、化工、 冶金、电力、天然气、水处理等；离散过程包括机械制造工业、汽车工业、仪器仪表工业、家电工业、机床等。 图4 工业企业区域模型 4.2.4 安全域划分原则 在一个工业大系统或复杂系统中，对所有组件采取相同等级的安全措施是不实际或不必要的。在不 同的实际情况下，资产的安全等级不同，因此提出使用安全域（或受保护的区域）的概念。 划分安全域时，应参考IEC 62443-1-1中安全域的划分方式，综合考虑资产价值、资产重要性、资 产地理位置、系统功能、控制对象、生产厂商及资产被破坏时所造成的损失、社会影响程度等因素， 将控制系统进行安全域划分。参照附录B中给出的DCS系统和SCADA系统安全域划分的参考模型。 4.3 工业控制系统等级保护原则和要求 4.3.1 总则 针对工业控制系统等级保护定义有总体原则、技术要求和管理要求共三类说明。其中，总体原则 是针对工业控制系统整体提出的安全域保护原则；技术要求和管理要求是针对不同安全保护等级工业 控制系统应该具有的基本安全保护能力提出的安全要求。 针对工业控制系统的软件、硬件、网络协议等的安全性，规定了需要保护的数据、指令、协议等 要素，其具体实现方式（如可信性计算等）、防护手段应根据具体的工业控制系统品牌、配置、工程实 际等确定。但应保证这些防护措施对系统的正常运行不产生危害或灾难性的生产停顿，应保证这些防 护措施经过工业现场的工程实践验证，并获得用户认可。附录C中给出了基于可信计算技术的工业控制 系统安全等级防护的要求与说明。 企业用户应结合自身行业特点和企业特点依照GB/T 22239和本标准的各级技术要求和管理要求部 署实现各安全要点。 4.3.2 安全域保护原则 根据工业控制系统安全域模型的划分原则，将工业控制系统划分为若干安全域，再根据系统实际 情况，对不同的安全域采取不同的安全保护措施: 7 GA/T 1390.5—2017 a) 安全域划分：依据4.1.4提出的安全域划分原则，对系统进行安全域划分； b) 安全域边界防护：在不影响各安全域工作的前提下，于各安全域边界处设置不同的安全隔离 装置，确保各个安全域之间有清楚明晰的边界设定； c) 各安全域保护措施：依据定级对象安全等级，结合各安全域实际情况，按照本标准中第一级 至第四级基本要求（第5、6、7和8章内容），对照各层级要求，采取不同安全保护措施。 4.3.3 安全域保护措施实施说明 为了方便说明，图5 只是作为一个示例，并不表示真实工业控制系统的安全域划分模型。当读者使 用本标准时，需要根据特定的系统、安全和业务等需求进行安全域划分，5大工业控制系统，然后参考以下两点说明来实施 安全等级保护措施。 应参考以下两点说明来确定安全域安全措施与系统功能层次的关系： a) 一个安全域只包含一个功能层次：如图5 中安全域1、2、4 、6、8、9、10 所示，每个安全域 只包含一个功能层次的设备。在确定安全域的安全要求后，安全域的所有设备根据安全要求， 采取对应功能层次的安全保护措施，每一级具体保护措施见5、6、7、8； b) 一个安全域包含多个功能层次：如图 5 中安全域3、5、7 所示，每个安全域包含多个功能层 次的设备。在确定安全域的安全要求后，安全域内的不同功能层次设备，应分别采取对应功能 层次的安全等级保护措施，具体保护措施见5、6、7、8。 图5 安全域安全措施设定示意图 4.3.4 技术要求和管理要求 技术要求与工业控制系统提供的技术安全机制有关，主要通过在工业控制系统中部署软硬件并正 确配置其安全功能来实现。管理要求与工业控制系统中各种角色参与的活动有关，主要通过控制各种 8 GA/T 1390.5—2017 角色的活动，从政策、制度、标准、流程以及记录等方面做出规定来实现。技术要求和管理要求是确 保工业控制系统安全不可分割的两个部分。 技术要求主要从物理安全、各层级安全提出，其中各层级安全要求从网络和通信安全、设备和计 算安全、应用和数据安全三个方面提出；管理要求主要参照GB/T 22239中各个安全等级要求中的管理 要求。 技术要求和管理要求从各个层面或方面提出了工业控制系统的每个组件应该满足的安全要求，工 业控制系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组 件满足安全要求外，还要考虑组件之间的相互关系，来保证系统的整体安全保护能力。 4.4 工业控制系统定级 本部分作为通用安全要求的扩展要求，只对层次模型的生产管理层、过程监控层、现场控制层、 现场设备层进行等级保护说明，企业资源层不在本部分标准范围内。对控制系统的组件、要素提出安 全防护要求，不具体限定安全防护技术或安全防护产品。但是，安全防护技术或产品的使用应该在工 业现场的工程实践验证、用户认可的基础上进行，确保不会导致工业控制系统异常。 应根据工业控制系统业务对象、业务特点和业务范围等因素，综合确定工业控制系统等级保护对 象。在对等级保护对象进行安全定级的基础上，可对定级对象进行安全域划分，各个安全域可根据工 业控制系统实际情况，采用相应的安全保护措施。定级时应综合考虑以下因素，确定定级对象的安全 等级： a) 资产价值：物理资产、信息资产和生产产品的价值； b) 生产对象：工艺生产对象的属性，如危险程度、人员密集程度； c) 后果：遭到破坏后对国家安全、社会秩序、公共利益以及个人利益的危害程度。 4.5 工业控制系统等级保护通用约束条件 4.5.1 概述 实施第5～8章详述的安全等级保护要求时，应遵循以下通用约束，以满足工业控制系统对可用性 的高要求。 4.5.2 基本功能支持 基本功能是一种“维护受控设备健康、安全、环境友好和可用性所必须的功能和能力”。当阅 读、规定和实施本标准所描述的要求时，不应造成保护丧失、控制丧失、观察丧失或其它基本功能丧 失。经过风险分析发现，一些装置可能决定特定类型的安全措施可能会终止其连续运行，而安全措施 不应导致在健康、安全和环保（HSE）方面的保护丧失。一些具体的制约因素包括： a) 除非有相应的风险评估，否则信息安全措施不应对高可用性的工业控制系统基本功能产生不利 影响； b) 不应妨碍基本功能的运行，尤其是： 1) 用于基本功能的账户不应被锁定，即使是短暂的锁定也不允许； 2) 验证和记录操作员的操作，加强抗抵赖性，但不应显著增加延迟而影响系统响应时间； 3) 对于高可用性的控制系统，授权证书错误不应中断基本功能； 4) 标识和鉴别，不应妨碍安全仪表功能触发。同样，适用于授权执行； 5) 不正确的时间戳审计记录不应对基本功能产生不利影响。 c) 如果安全域边界保护进入故障关闭 （阻止所有边界通信）和/或孤岛模式，应保持工业控制系 统的基本功能； d) 发生在控制系统或安全仪表系统网络中的拒绝服务事件，不应妨碍安全仪表功能的运作。 9 GA/T 1390.5—2017 4.5.3 补偿措施 补偿措施应当遵循IEC62443-3-2。 控制系统应具备的安全等级要求相关措施可能由外部组件来执行。在这样的情况下，控制系统应 向外部组件提供一个“接口程序”。 一些补偿措施的例子，例如： a) 口令强度加强弥补无法定期更换口令； b) 在一个关键操作室中，操作员的紧急操作能力至关重要，因此即使没有鉴别与认证的功能，采 用严格物理访问控制与监视也可以认为本标准的要求得到了补偿和满足。 5 第一级基本要求 5.1 技术要求 5.1.1 物理安全 5.1.1.1 物理位置选择 应符合所选用设备的物理和环境条件。 5.1.1.2 物理访问控制 进入安全区域边界有明确的防止非授权人员接触的提示标志； 5.1.1.3 防盗窃和防破坏 应将设备或主要部件进行固定； 5.1.1.4 防雷击 应将各类机柜、设施和设备等通过接地系统安全接地。 5.1.1.5 防火 机房应设置灭火设备。 5.1.1.6 防水和防潮 应符合所选用设备的物理和环境条件。 5.1.1.7 防静电 本项要求包括： a) 机房应安装防静电地板并采用必要的接地防静电措施。 b) 现场设备应符合各行业领域相关标准的要求 5.1.1.8 温湿度控制 本项要求包括： a) 机房应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内。 b) 现场设备应符合所选用设备的物理和环境条件。 10 GA/T 1390.5—2017 5.1.1.9 电力供应 应在机房供电线路上配置稳压器和过电压防护设备； 5.1.1.10 电磁防护 现场设备应符合所选用设备的物理和环境条件。 5.1.2 边界防护 本项要求包括： a) 应对控制网络和非控制网络的边界，以及控制系统内安全域和安全域之间的边界，进行监视和 控制区域边界通信； b) 应能识别控制网络和非控制网络上的边界通讯入侵行为，并有效阻断。 5.1.3 生产管理层安全要求 5.1.3.1 网络和通信安全 5.1.3.1.1 无线使用控制 根据普遍接受的安全工业实践，应对无线连接的授权、监视以及执行使用进行限制。 5.1.3.1.2 访问控制 本项要求包括： a) 应通过手动或在一个可配置非活动周期后，系统自动启动会话锁定防止进一步访问。会话锁定 应一直保持有效，直到拥有会话的人员用户或其它授权的人员用户使用适当的身份标识和鉴别 规程重新建立访问； b) 应在一个可配置非活动时间周期后自动地，或由发起会话的用户手动地终止远程会话； c) 应根据访问控制策略设置访问控制规则，默认情况下，受控接口拒绝所有非允许的通信； d) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 5.1.3.1.3 安全审计 本项要求包括： a) 应能生成安全相关审计记录，包括：访问控制、请求错误、操作系统事件、备份和恢复事件、 配置改变、潜在的侦察活动和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软 件进程或人员用户帐户）、分类、类型、事件ID 和事件结果； b) 根据一般公认的日志管理和系统配置的建议，系统应设置足够的审计记录存储容量。系统应提 供审计机制来减少超出容量的可能性； c) 在审计事件的处理失败时，系统能对人员进行警示并防止丧失基本服务和功能。根据普遍接受 的工业实践和建议，系统应能在审计处理失败的情况下，采取恰当响应行动； d) 授权人员和/或工具以只读方式访问审计日志。 5.1.3.2 设备和计算安全 5.1.3.2.1 身份鉴别 11 GA/T 1390.5—2017 本项要求包括： a) 应在所有接口上执行标识和鉴别。当有人员用户访问时，应根据适用的安全策略和规程实施 职责分离和最小权限； b) 应支持用户、组、角色或者接口的标识符管理功能； c) 应能初始化鉴别器内容；系统一经安装完成，立即改变所有鉴别器的默认值；改变或者刷新 所有的鉴别器；当存储或者传输的时候，要保护鉴别器免受未经授权的泄露和修改； d) 对于使用设备的用户，应通过硬件机制保护相关鉴别器； e) 对于使用口令鉴别机制的设备，设备应能通过设置最小长度和多种字符类型，实现强制配置 口令强度； f) 应能够隐藏鉴别过程中的鉴别信息反馈； g) 应针对任何用户（人员、软件进程或设备）在可配置时间周期内，对连续无效的访问尝试进行 可配置次数限制。当限制次数超出后，应在规定的周期内拒绝访问或者直到管理员解锁。对 于代表关键服务或者服务器运行的系统账户，不应允许交互式登录； h) 在进行鉴别之前，应能显示系统提示信息。使用提示信息应可通过授权人进行配置。 5.1.3.2.2 访问控制 本项要求包括： a) 应能支持授权用户管理所有帐户，包括添加、激活、修改、禁用和删除帐户； b) 应限制默认账户的访问权限，重命名系统默认账户，修改默认口令； c) 应及时删除多余的、过期的账户，避免共享账户的存在。 5.1.3.2.3 入侵防范 见GB/T 22239 中的相关要求。 5.1.3.2.4 恶意代码防范 本项要求包括： a) 应能对可能造成损害的移动代码技术执行使用限制，包括：防止移动代码的执行；对于代码的 来源要求适当的鉴别和授权；限制移动代码传入/传出系统；监视移动代码的使用； b) 应能应用保护机制，防止、检测、报告和减轻恶意代码或未经授权软件的影响。应能更新防护 机制。 5.1.3.2.5 资源控制 在不影响当前安全状态下，系统应能切换至和切换出应急电源的供应。 5.1.3.3 应用和数据安全 5.1.3.3.1 身份鉴别 见GB/T 22239 中的相关要求。 5.1.3.3.2 访问控制 见GB/T 22239 中的相关要求。 12 GA/T 1390.5—2017 5.1.3.3.3 软件容错 见GB/T 22239 中的相关要求。 5.1.3.3.4 数据完整性 见GB/T 22239 中的相关要求。 5.1.3.3.5 数据保密性 本项要求包括： a) 无论在信息存储或传输时，都应对有明确读权限的信息提供保密性保护； b) 在进行加密时，应按照国家相关保密部门要求采用合适的加密算法、密钥长度和密钥管理机制。 5.1.3.3.6 数据备份恢复 见GB/T 22239 中的相关要求。 5.1.4 过程监控层安全要求 5.1.4.1 网络和通信安全 5.1.4.1.1 网络架构 应将控制系统网络与非控制系统网络进行逻辑分区，将关键控制系统网络和非关键控制系统网络 进行逻辑分区。 5.1.4.1.2 无线使用控制 应对无线连接的授权、监视以及执行使用进行限制。 5.1.4.1.3 访问控制 本项要求包括： a) 应提供在一个可配置的非活动时间周期后，或通过手动启动，通过启动会话锁定防止进一步访 问。会话锁定应一直保持有效，直到拥有会话的人员用户或其它授权的人员用户使用适当的身 份标识和鉴别规程重新建立访问； b) 应在根据访问控制策略设置访问控制规则，默认情况下，受控接口拒绝所有非允许的通信； c) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 5.1.4.1.4 入侵防范 应在有效的补救条件下识别和处理错误状况，该过程不应泄露任何安全相关信息，除非及时排除 故障会不可避免地泄露某些信息。 5.1.4.1.5 安全审计 本项要求包括： a) 应生成安全相关审计记录，类别有：访问控制、请求错误、潜在的侦察活动和审计日志事件。 单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户帐户）、分类、类型、事件 ID 和事件结果； 13 GA/T 1390.5—2017 b) 根据一般公认的日志管理和系统配置的建议，应设置足够的审计记录存储容量，提供审计机制 来减少超出容量的可能性； c) 在审计事件的处理失败时，应警示人员采取恰当响应行动，防止丧失基本服务和功能； d) 应授权人员和/或工具以只读方式访问审计日志。 5.1.4.2 设备和计算安全 5.1.4.2.1 身份鉴别 本项要求包括： a) 对于使用口令鉴别机制的设备，设备应具有通过设置最小长度和多种字符类型，从而达到强 制配置口令强度的能力；可能对实时性产生影响进而影响到系统正常操作的，应采用其他替 代安全手段或通过管理手段弥补； b) 应在可配置时间周期内，对连续无效的访问，尝试对可配置次数进行限制； c) 应具有登录失败处理功能，应配置并启用结束会话、当登录连接超时自动退出等相关措施。 5.1.4.2.2 访问控制 本项要求包括： a) 应支持授权用户管理所有帐户，包括添加、激活、修改、禁用和删除帐户； b) 应在一个可配置非活动时间周期后自动地，或由发起会话的用户手动地终止远程会话； c) 对于所有接口，应根据职责分离和最小权限对特定用户（人员、软件进程或设备）实施控制系 统的控制使用授权； d) 在日常维护时，应支持安全功能操作的验证和报告异常事件； e) 应重命名系统默认账户，修改默认口令，禁止在工程师站、操作员站、服务器使用默认账 户； f) 应及时删除多余的、过期的账户，避免共享账户的存在。 5.1.4.2.3 安全审计 本项要求包括： a) 应生成安全相关审计记录，类别有：访问控制、请求错误、操作系统事件、备份和恢复事件、 配置改变和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户 帐户）、分类、类型、事件ID 和事件结果； b) 应授权人员和/或工具以只读方式访问审计日志。 5.1.4.2.4 入侵防范 本项要求包括： a) 应自动执行可配置的使用限制，其中包括：防止使用便携式和移动设备；要求特定内容的授权； 限制来自/写入便携式和移动设备的代码和数据传输； b) 应通过手动或在一个可配置非活动周期后，系统自动启动会话锁定防止进一步访问。会话锁定 应一直保持有效，直到拥有会话的人员用户或其它授权的人员用户使用适当的身份标识和鉴别 规程重新建立访问； c) 所有主机设备操作系统采用最小化系统安装原则，除了必要的安全组件或软件外，只安装与自 14 GA/T 1390.5—2017 身业务相关的操作系统组件及应用软件，如工程师站、操作员站只安装组态软件、监控软件、 编程软件、报表软件以及与此相关的操作系统组件，OPC 服务器、实时数据库服务器只安装 数据库软件、服务器软件以及与此业务相关的操作系统组件。 5.1.4.2.5 恶意代码防范 本项要求包括： a) 应对可能造成损害的移动代码技术执行使用限制，包括：防止移动代码的执行；对于代码的来 源要求适当的鉴别和授权；限制移动代码传入/传出控制系统；监视移动代码的使用； b) 应采取保护机制，防止、检测、报告和减轻恶意代码或未经授权软件的影响，应更新防护机制。 5.1.4.2.6 资源控制 应参照供应商提供的指南，根据所推荐的网络和安全配置进行系统设置。 5.1.4.3 应用和数据安全 5.1.4.3.1 身份鉴别 本项要求包括： a) 应唯一地标识和鉴别所有人员用户。应在所有接口上执行标识和鉴别。当有人员用户访问时， 应根据适用的安全策略和规程实施职责分离和最小权限； b) 应在可配置时间周期内，对连续无效的访问，尝试对可配置次数进行限制； c) 应提供并启用登录失败处理功能，多次登录失败后应采取必要的保护措施。 5.1.4.3.2 访问控制 本项要求包括： a) 应支持授权用户来管理所有帐户，包括添加、激活、修改、禁用和删除帐户； b) 对于所有接口，应根据职责分离和最小权限对所有用户实施控制使用授权； c) 应重命名系统默认账户，修改默认口令，禁止在工程师站、操作员站、服务器使用默认账户； d) 应及时删除多余的、过期的账户，避免共享账户的存在。 5.1.4.3.3 安全审计 本项要求包括： a) 应生成安全相关审计记录，类别有：访问控制、请求错误、配置改变和审计日志事件。单个审 计记录应包括时间戳、来源（源设备、软件进程或人员用户帐户）、分类、类型、事件 ID 和 事件结果； b) 授权人员和/或工具应使用只读方式访问审计日志。 5.1.4.3.4 软件容错 应对数据有效性进行检验，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要 求。 5.1.4.3.5 资源控制 15 GA/T 1390.5—2017 应对任何给定软件进程的每个接口限制并发会线 数据完整性 本项要求包括： a) 应保护传输信息完整性； b) 应检测、记录、报告、防止对软件和信息的未经授权更改； c) 应对工业过程控制输入或直接影响控制系统动作的输入内容和语法的合法性进行校验。 5.1.4.3.7 数据保密性 本项要求包括： a) 无论在信息存储或传输时，都应对有明确读权限的信息提供保密性保护； b) 在进行加密时，应按照国家相关保密部门要求采用合适的加密算法、密钥长度和密钥管理机制。 5.1.4.3.8 数据备份恢复 本项要求包括： a) 应在不影响正常设备使用的前提下，识别和定位关键文件，以及备份用户级和系统级的信息（包 括系统状态信息）； b) 应定期记录一个安全状态，在系统受到破坏或发生失效后，应能够恢复和重构控制系统到一个 已知的安全状态。 5.1.5 现场控制层安全要求 5.1.5.1 网络和通信安全 5.1.5.1.1 网络架构 应提供将控制系统网络与非控制系统网络进行逻辑分区，将关键控制系统网络和非关键控制系统 网络进行逻辑分区的能力。 5.1.5.1.2 无线使用控制 本项要求包括： a) 根据普遍接受的安全工业实践，对无线连接的授权、监视以及执行使用限制； b) 应能够标识和鉴别所有参与无线通讯的用户（设备）。 5.1.5.1.3 访问控制 本项要求包括： a) 应在根据访问控制策略设置访问控制规则，默认情况下，受控接口拒绝所有非允许的通信； b) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 5.1.5.1.4 安全审计 本项要求包括： a) 应生成安全相关审计记录，类别有：访问控制、请求错误、操作系统事件、控制系统事件、备 份和恢复事件、配置改变、潜在的侦察活动和审计日志事件。单个审计记录应包括时间戳、来 源（源设备、软件进程或人员用户帐户）、分类、类型、事件ID 和事件结果； 16 GA/T 1390.5—2017 b) 根据一般公认的日志管理和系统配置的建议，控制系统应设置足够的审计记录存储容量。控制 系统应提供审计机制来减少超出容量的可能性； c) 在审计事件的处理失败时，控制系统应提供警示人员的能力和防止丧失基本服务和功能。根据 普遍接受的工业实践和建议，控制系统应提供这样的能力，在审计处理失败的情况下，采取恰 当响应行动； d) 授权人员和/或工具以只读方式访问审计日志。 5.1.5.2 设备和计算安全安全审计 本项要求包括： a) 应提供生成安全相关审计记录的能力，类别有：访问控制、请求错误、配置改变、潜在的侦察 活动和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户帐户）、 分类、类型、事件ID 和事件结果； b) 授权人员和/或工具以只读方式访问审计日志。 5.1.5.3 应用和数据安全 5.1.5.3.1 数据完整性 应对工业过程控制输入或直接影响控制系统动作的输入内容和语法的合法性进行校验。 5.1.5.3.2 数据备份恢复 在受到破坏或发生失效后，应恢复和重构控制系统到一个已知的安全状态。 5.1.6 现场设备层安全要求 5.1.6.1 网络和通信安全无线使用控制 对于采用网络（工业无线/现场总线）通讯的联网设备，应确保无线.1.6.2.1 数据完整性 本项要求包括： a) 对于采用网络（工业无线/现场总线）通讯的联网设备，应保护传输信息完整性； b) 对于采用网络（工业无线/现场总线）通讯的联网设备，应防止对软件和信息的未授权更改； c) 对于采用网络（工业无线/现场总线）通讯的联网设备，应对工业过程控制输入或直接影响控 制系统动作的输入内容和语法的合法性进行校验。 5.1.6.2.2 数据备份恢复 本项要求包括： a) 对于采用网络（工业无线/现场总线）通讯的联网设备，应在不影响正常设备使用的前提下， 提供关键文件的识别和定位，包括设备状态信息的能力； b) 对于采用网络（工业无线/现场总线）通讯的联网设备，在受到破坏或发生失效后，应能够恢 复和重构设备到一个已知的安全状态。 17 GA/T 1390.5—2017 5.2 管理要求 5.2.1 安全管理机构和人员 5.2.1.1 岗位设置 应设立工控系统管理员、工控网络管理员、工控安全管理员等岗位，并定义各个工作岗位的职责。 5.2.1.2 人员配备 应配备一定数量的工控系统管理员、工控网络管理员、工控安全管理员等。 5.2.2 安全运维管理漏洞和风险管理 本项要求包括： a) 应定期开展安全测评，形成安全测评报告，提出整改建议和计划； b) 应采取必要的措施识别安全漏洞和隐患，并根据风险分析的后果，对发现的安全漏洞和隐患在 确保安全生产的情况下及时进行修补；或评估可能的影响后采取必要的补救措施，补救措施宜 在系统维护期间开展。 6 第二级基本要求 6.1 技术要求 6.1.1 物理和环境安全 6.1.1.1 物理位置选择 应符合所选用设备的物理和环境条件。 6.1.1.2 物理访问控制 本项要求包括： a) 进入安全区域边界有明确的防止非授权人员接触的提示标志； b) 有防止非授权人员进入的物理措施（如，栅栏）。 6.1.1.3 防盗窃和防破坏 应将设备或主要部件进行固定； 6.1.1.4 防雷击 应将各类机柜、设施和设备等通过接地系统安全接地。 6.1.1.5 防火 本项要求包括： a) 机房应设置灭火设备； b) 机房应设置火灾报警消防系统，能够检测火情、报警，并灭火。 6.1.1.6 防水和防潮 18 GA/T 1390.5—2017 应符合所选用设备的物理和环境条件。 6.1.1.7 防静电 本项要求包括： a) 机房应安装防静电地板并采用必要的接地防静电措施。 b) 现场设备应符合各行业领域相关标准的要求 6.1.1.8 温湿度控制 本项要求包括： a) 机房应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内。 b) 现场设备应符合所选用设备的物理和环境条件。 6.1.1.9 电力供应 应在机房供电线路上配置稳压器和过电压防护设备； 6.1.1.10 电磁防护 现场设备应符合所选用设备的物理和环境条件。 6.1.2 边界防护 本项要求包括： a) 应对控制网络和非控制网络的边界，以及控制系统内安全域和安全域之间的边界，进行监视和 控制区域边界通信； b) 应在控制网络和非控制网络的边界，以及控制系统内安全域和安全域之间的边界，默认拒绝 所有非必要的网络数据流，允许例外网络数据流； c) 应能识别控制网络和非控制网络上的边界通讯入侵行为，并有效阻止。 6.1.3 生产管理层安全要求 6.1.3.1 网络和通信安全 6.1.3.1.1 网络架构 见GB/T 22239 中的相关要求。 6.1.3.1.2 通信传输 应利用会话完整性机制，保证会线 无线使用控制 本项要求包括： a) 根据普遍接受的安全工业实践，应对无线连接的授权、监视以及执行使用进行限制； b) 应对所有参与无线通信的用户（人员、软件进程或者设备）提供唯一性标识和鉴别。 6.1.3.1.4 访问控制 19 GA/T 1390.5—2017 本项要求包括： a) 应通过手动或在一个可配置非活动周期后，系统自动启动会话锁定防止进一步访问。会话锁定 应一直保持有效，直到拥有会话的人员用户或其它授权的人员用户使用适当的身份标识和鉴别 规程重新建立访问； b) 应在一个可配置非活动时间周期后自动地，或由发起会话的用户手动地终止远程会话； c) 应在网络边界或安全域之间根据访问控制策略设置访问控制规则，默认情况下，受控接口拒绝 所有非允许的通信； d) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 6.1.3.1.5 入侵防范 应在有效的补救条件下，识别和处理错误状况。在此过程中，不应暴露任何可被攻击者利用以攻 击信息安全管理系统的信息，除非透露这一信息对于及时排除故障是必要的。 6.1.3.1.6 安全审计 本项要求包括： a) 应能生成安全相关审计记录，包括：访问控制、请求错误、操作系统事件、备份和恢复事件、 配置改变、潜在的侦察活动和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软 件进程或人员用户帐户）、分类、类型、事件ID 和事件结果； b) 根据一般公认的日志管理和系统配置的建议，系统应设置足够的审计记录存储容量。系统应提 供审计机制来减少超出容量的可能性； c) 在审计事件的处理失败时，系统能对人员进行警示并防止丧失基本服务和功能。根据普遍接受 的工业实践和建议，系统应能在审计处理失败的情况下，采取恰当响应行动； d) 在审计记录生成时，系统应提供时间戳； e) 应保护审计信息和审计工具（如有），防止其在未授权情况下被获取、修改和删除； f) 授权人员和/或工具以只读方式访问审计日志。 6.1.3.2 设备和计算安全 6.1.3.2.1 身份鉴别 本项要求包括： a) 应能唯一地鉴别和认证全部人员用户。应在所有接口上执行标识和鉴别。当有人员用户访问 时，应根据适用的安全策略和规程实施职责分离和最小权限； b) 应在进行系统访问时，使所有接口根据适用的安全策略和规程支持最小权限，实施标识和鉴 别； c) 应支持用户、组、角色或者接口的标识符管理功能； d) 应能初始化鉴别器内容；系统一经安装完成，立即改变所有鉴别器的默认值；改变或者刷新 所有的鉴别器；当存储或者传输的时候，要保护鉴别器免受未经授权的泄露和修改； e) 对于使用设备的用户，应通过硬件机制保护相关鉴别器； f) 对于使用口令鉴别机制的设备，设备应能通过设置最小长度和多种字符类型，实现强制配置 口令强度； g) 应能够隐藏鉴别过程中的鉴别信息反馈； 20 GA/T 1390.5—2017 h) 应针对任何用户（人员、软件进程或设备）在可配置时间周期内，对连续无效的访问尝试进行 可配置次数限制。当限制次数超出后，应在规定的周期内拒绝访问或者直到管理员解锁。对 于代表关键服务或者服务器运行的系统账户，不应允许交互式登录； i) 在进行鉴别之前，应能显示系统提示信息。使用提示信息应可通过授权人进行配置； j) 当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。 6.1.3.2.2 访问控制 本项要求包括： a) 应能支持授权用户管理所有帐户，包括添加、激活、修改、禁用和删除帐户； b) 应在一个可配置非活动时间周期后自动地，或由发起会话的用户手动地终止远程会话； c) 对于所有接口，应根据职责分离和最小权限对特定用户（人员、软件进程或设备）实施控制 系统的控制使用授权； d) 应能使授权用户或角色，对所有人员用户的许可到角色映射进行规定和修改； e) 应能在日常维护时，进行安全功能操作的验证和报告异常事件； f) 应限制默认账户的访问权限，重命名系统默

请自觉遵守互联网相关的政策法规，严禁发布色情、暴力、反动的言论。用户名:验证码:匿名?发表评论