DB32∕T 2289-2013 重点领域工业控制系统信息安全保护基本要求

ICS25.040L70备案号：41724-2014江苏省地方标准DB32DB32/T2289—2013重点领域工业控制系统信息安全保护基本要求Baselineforinformationsecurityprotectionofimportantfieldsindustrialcontrolsystems2013-04-10发布2013-06-10实施江苏省质量技术监督局发布DB32/T2289—2013I目次前言............................................................................................................................................II1范围................................................................................................................................................12规范性引用文件.............................................................................................................................13术语和定义.....................................................................................................................................14重点领域工业控制系统连接要求.................................................................................................15重点领域工业控制系统组网要求.................................................................................................26重点领域工业控制系统配置要求.................................................................................................37重点领域工业控制系统设备选择与升级要求.............................................................................38重点领域工业控制系统数据要求.................................................................................................49重点领域工业控制系统应急要求.................................................................................................5DB32/T2289—2013II前言本规范依据GB/T1.1—2009《标准化工作导则第1部分：标准的结构和编写》编写。本规范由江苏省经济和信息化委员会提出。本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）。本规范起草人：黄申、吴兰、张腾标、李国琴。本规范由江苏省经济和信息化委员会归口。DB32/T2289—20131重点领域工业控制系统信息安全保护基本要求1范围本标准规定了重点领域工业控制系统信息安全保护的术语和定义、连接要求、组网要求、配置要求、设备选择与升级要求、数据要求、应急等基本要求。本标准适用于重点领域工业控制系统的信息安全保护。2规范性引用文件下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20984信息安全技术信息安全风险评估规范GB/T26333工业控制网络安全风险评估规范GB/T26802.1工业控制计算机系统通用规范第1部分:通用要求3术语和定义GB/T26333和GB/T26802.1界定的及以下术语和定义适用于本文件。3.1重点领域importantfields包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。4重点领域工业控制系统连接要求4.1与公共网的连接管理要求4.1.1应制定工业控制系统网络与公共网互联的审批备案制度；4.1.2应制定工业控制系统网络与公共网互联情况的定期检查制度；4.1.3应制定定期风险评估的规定，依据GB/T20984对与工业控制系统网络互联的系统开展风险评估；4.1.4应对工业控制系统开展风险评估；4.1.5应在工业控制系统网络与公共网的互联中采取隔离措施（防火墙、单向隔离设备等）；4.1.6应对隔离措施的有效性进行验证；4.1.7应采取必要的技术措施对系统之间的互联采取识别和认证。DB32/T2289—201324.2对移动存储介质的管理要求4.2.1应制定移动存储介质的使用管理制度；4.2.2应在管理制度中禁止在工业控制系统网络和公共网之间交叉使用移动存储介质；4.2.3应提供工业控制系统与其他系统间专用的安全信息交换途径；4.2.4应对工业控制系统中使用的移动存储介质进行定期检查；4.2.5应对需要销毁的存储介质制定严格的处置流程，并做好销毁记录；4.2.6应禁止移动存储介质的自动播放功能。4.3对终端计算机的管理要求4.3.1应制定工业控制系统中终端计算机的使用及审批管理制度；4.3.2应对接入工业控制系统的终端计算机进行标识；4.3.3应对接入工业控制系统的终端计算机进行安全性评估。5重点领域工业控制系统组网要求5.1系统信息安全生命周期管理5.1.1应制定关于工业控制系统设计、实施、维护、升级、废弃的管理制度；5.1.2应在工业控制系统设计中包含信息安全防护方面的内容，并组织专家进行论证；5.1.3应在工业控制系统的实施验收中检验实际系统与设计的一致性，并验证信息安全防护措施的有效性；5.1.4应制定针对工业控制系统维护过程的信息安全操作规范，并保存操作记录以备后续检查；5.1.5应对工业控制系统操作人员组织工业控制系统信息安全操作规范的培训；5.1.6应对工业控制系统升级改造后的安全性进行评估；5.1.7应对工业控制系统废弃后的剩余信息加强管理。5.2远端设备安全保障5.2.1应制定工业控制系统远端设备的安全保障制度；5.2.2应对远端设备的登录与维护提供身份认证；5.2.3应定期对远端设备的型号和标识进行检查，防止非法设备的接入；5.2.4应对工业控制系统远端维护的接入设备进行限制，并制定相应准则；5.2.5应对远端设备接入行为进行监测；5.2.6应具有实施接入控制的技术条件，其规则的配置应同控制规则相一致。DB32/T2289—201336重点领域工业控制系统配置要求6.1设备的安全配置与审计6.1.1应制定工业控制系统设备的安全配置和审计制度；6.1.2应检验设备实际配置与规定配置的一致性；6.1.3应对设备的配置进行备份保存；6.1.4应制定工业控制系统设备的审计流程与规范；6.1.5应对审计中出现的问题制定应对措施。6.2用户权限管理6.2.1应制定工业控制系统用户权限管理的制度；6.2.2应对工业控制系统用户进行统一管理；6.2.3应按照角色的不同来划分用户权限，确保用户权限最小化；6.2.4应制定相应的权限变更审批备案流程；6.2.5应定期对账户操作权限与行为进行检查。6.3口令管理6.3.1应制定口令管理制度，对口令长度、复杂度等作出要求，禁用空口令和默认口令；6.3.2应制定口令变更管理要求，并对变更时间作规范记录。6.4配置管理6.4.1应制定工业控制系统配置检查制度；6.4.2应定期检查设备账户，记录并处理不必要的用户和管理员账户；6.4.3应定期检查设备端口使用情况，并对未使用的端口进行通信阻断处理与记录；6.4.4应定期对操作系统端口进行检查，停止无用的后台程序和进程，关闭与业务无关的端口；6.4.5应对工业控制系统主机上允许安装的软件作规定，禁止安装非法、不安全的软件；6.4.6应对用户的登录事件进行检查和分析；6.4.7应定期检查设备提供服务的情况，并与系统设计进行对应，关闭不必要的服务。7重点领域工业控制系统设备选择与升级要求7.1供应商管理7.1.1应在采购前通过选型测试确定采购产品范围；7.1.2应在选择工业控制系统设备时，对产品的安全性作明确要求；DB32/T2289—201347.1.3应在采购合同中明确设备供应商所承担的信息安全责任与义务；7.1.4应在合同中明确系统集成商所承担的信息安全责任与义务。7.2运维管理7.2.1应制定工业控制系统远程运维管理制度，在安全得不到保证的情况下禁止采用远程在线服务；7.2.2应指定专人或专门部门对设备进行定期维护；7.2.3应对设备选用的各个环节（如选型、采购、发放等）进行审批控制；7.2.4应对服务器建立安全日志，制定日志文件管理制度，定期检查日志管理情况。7.3软件漏洞防护管理7.3.1应制定软件升级、补丁安装管理制度（管理制度中至少应包括定期对系统安装安全补丁程序，工业控制系统软件升级、补丁安装前进行安全评估和验证的要求）；7.3.2应定期对网络和主机进行安全检测。7.4设备测试验收管理7.4.1应制定设备测试验收的信息安全管理制度；7.4.2应在信息系统正式运行前，根据设计方案或合同要求进行安全性测试；7.4.3应指定专门部门负责测试验收工作。7.5设备交付管理7.5.1应指定专门部门办理系统或设备交付工作；7.5.2应根据交付清单对所交接的设备、文档、软件等进行核对；7.5.3应规定交付清单中必须包含所有软件工程文档；7.5.4应要求系统建设实施方对运维技术人员进行培训。8重点领域工业控制系统数据要求8.1数据管理规范与培训8.1.1应根据工业控制系统数据重要性进行分级，并在采集、传输、存储和应用阶段制定安全规范；8.1.2应对工业控制系统数据管理中涉及的技术和规范进行培训。8.2数据采集管理8.2.1应对数据的采集环节部署专用的安全防护技术或制定特别的管理要求以确保设备的物理安全；DB32/T2289—201358.2.2应开启数据采集设备的日志功能，并定期进行审计；8.2.3应在数据采集设备和接收设备之间建立鉴别机制以保证数据流向的合法性。8.3数据传输管理8.3.1应在数据传输过程中采用符合国家规定的加密算法以确保数据的保密性；8.3.2应在数据传输过程中采用符合国家规定的完整性保障技术以确保数据不被篡改，在检测到数据在传输过程中存在完整性错误时采取必要的恢复措施。8.4数据存储与备份管理8.4.1应对重要数据的存储采用加密文件系统或者第三方的数据保护软件以确保存储过程的保密性及完整性；8.4.2应对重要数据采用符合国家规定的灾备措施进行备份，并定期演练以确保数据的可恢复性，在检测到重要数据在存储过程中存在完整性错误时采取必要的恢复措施；8.4.3应对备份数据的访问和恢复制定相应的访问控制机制；8.4.4应采用安全措施确保重要数据的存储介质与公共网隔离；8.4.5应在重要数据的应用过程中对主要网络设备、通信线路和数据处理系统采取硬件冗余，采用冗余的网络拓扑结构，避免关键节点存在单点故障，确保数据的可用性；8.4.6应在重要数据应用过程中采用访问控制技术以确保数据被合法访问。8