YC/T 580-2019 烟草行业工业控制系统网络安全基线技术规范.pdf

  • YC/T 580-2019  烟草行业工业控制系统网络安全基线技术规范.pdf为pdf格式
  • 文件大小:5.8 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2020-11-10
  • 发 布 人: 13648167612
  • 文档部分内容预览:
  • 6.2工控系统安全域间防折

    工控系统的安全域间防护应符合以下要求: a)一般情况下各安全域间应只设置一个网络互联接口,并采用工业防火墙、网闸等防护技术进行 安全域之间的逻辑隔离和访问控制;如业务需要设置多个网络互联接口时,则每个接口均应通 过工业防火墙、网闸等进行防护。 b)对各安全域间的访问控制宜采用白名单模式或其他适合的方式,仅设置必要的工控系统操作 管理和维护策略。 c)应严格禁止工控系统与互联网直接连接。 d)工控系统与管理网的连接应符合YC/T494一2014的要求。 e 各安全域间的网络通信设备、防护设备应关闭不必要的网络服务,且设置复杂密码,避免使用 默认口令或弱口令

    6.3工控系统安全域内防护

    高速公路标准规范范本6.3.1工业控制网络技术要求

    工业控制网络技术要求包括但不限于以下内容: a)应对工业控制网络内设备之间的访问数据、服务、端口和协议等进行监控。 b)应在工业控制网络部署网络安全监测设备,对网络内TCP/IP协议和工控协议的异常流量、异 常协议和入侵行为等进行检测,发现利用工控漏洞或关键工控指令进行攻击的行为。 无线网络的使用控制应符合以下要求: 应对所有使用无线通信的终端设备提供唯一性标识和鉴别措施:

    6.3.2工控主机与应用技术要求

    工控主机与应用技术要求包括但不限于以下内容: a)工控主机设备操作系统应采用“最小安装”原则,仅安装自身业务运行操作所需的操作系统组 件及应用软件。 b) 工控主机管理员认证口令应满足复杂度要求,避免使用默认口令或弱口令,定期更新口令,对 关键设备、系统、平台的访问宜采用硬件数字证书实现双因子认证。 做好工控主机和应用系统的口令管理,应禁止将口令粘贴在外部及将口令保存在主机文档中。 d)拆除或封闭工业主机上不必要的USB、无线等外设接口。如确需使用,应对工控主机的外设 接口进行控制和审计,禁止未授权的设备接人工控主机。 e 启用工控主机的系统防火墙前应经过严格测试以确保对业务无影响。 在工控主机上应采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,仅 充许经过行业单位自身授权和安全评估的软件运行。 工控主机安装的防病毒软件宜是一套不与其他非工控系统中防病毒软件互联的独立的防病毒 系统。 h 应在保障组态软件、编程软件正常使用的前提下安装防病毒软件并配置病毒查杀策略和升级 策略,应禁止从互联网直接升级。 1 对工控主机的通信协议和端口的访问控制宜采用白名单模式进行。 力 应对上线前的工业软件进行漏洞检测,并安装厂家正式发布的所有安全补丁。 k) 对运行中的工控主机漏洞进行修补前应在测试环境下进行安全评估和测试验证,并保证在不 影响系统可用性、实时性和可靠性的前提下实施。 应依据安全策略对组态信息、控制程序、实时数据库表项、OPC服务器数据等文件的访问和修 改操作进行权限控制和审计。 m 应采用密码技术对鉴别数据、重要业务数据等在传输和存储过程中进行技术处理,防止数据完 整性受到破坏。

    6.3.3安全运维审计技术要求

    安全运维审计技术要求包括但不限于以下内容: 应确保工控系统所有设备和软件的时钟同步; b)应对工控系统所有设备和软件的配置与维护等行为进行审计记录; 应对工控系统中的控制设备、工控主机、网络设备、安全设备、操作系统、数据库、中间件等的状 态进行实时监测,并提供集中、独立的报警检查机制; d 应对工控系统中的控制设备、工控主机、网络设备、安全设备、操作系统、数据库、中间件等进行 统一管理和日志集中审计; e)宜在工控系统中建立独立运行的安全管理网络。

    装饰标准规范范本6.4工控系统安全管理

    基础要求包括但不限于以下内容: a 应成立工控系统安全管理机构,明确安全管理责任人,以及各项安全责任,完善针对工控系统 的安全管理制度。 b)应制定工控系统安全应急处置预案,每年至少进行一次演练,确保发生安全事件时能够有序处 置、快速恢复。当工控系统发生变化时,应及时组织对应急处置预案进行评估,根据实际情况 适时修改井进行演练。 每年应至少进行一次工控系统安全培训,加强工控系统使用人员的安全意识,提升技术人员的 信息安全知识和能力水平。 d)应建立工控系统定期安全检查和整改工作机制,每年至少自行或委托第三方开展一次安全检 查,发现间题及时整改,不能马上整改的应制定计划,

    6.4.2安全建设管理

    安全建设管理包括但不限于以下内容: a)在工控系统规划设计阶段应同步设计安全防护方案,在建设阶段应同步实施安全防护措施,在 运行阶段应同步运行各项安全防护设施,并以合同或文件等方式明确各方(管理、设计、实施和 运维等)应承担的安全责任和义务; b)所有新建工控系统及设备应在验收后更新供应商、服务商提供的所有初始密码或原始密码; c)应分离工控系统的开发、测试和生产环境; d)应定期对工控系统开展专业化的网络安全风险评估,制定整改方案,并在测试环境中进行兼容 性、稳定性测试后方可实施安全建设整改。

    6.4.3安全接入管理

    6.4.4日常运维管理

    日常运维管理包括但不限于以下内容: 应建立工控系统资产清单,明确资产责任人服务质量标准,以及资产使用及处置规则,对关键主机设备、网络 设备、控制组件等进行穴余配置; ) 应做好工业控制网络、工控主机和工业控制设备的安全配置,建立工控系统配置清单,定期进 行配置审计; c)应定期对工控系统进行漏洞检查并针对漏洞制定相应的加固防护方案;

    d)应制定安全报警处理流程,设置报警消除时限,快速消除告警隐患,定期输出报警处置汇总 报告; e)工控系统的运维应使用专用的运维审计设备,操作行为审计记录保留6个月以上;第三方运维 人员进人现场时应有专人全程陪同; 应定期备份关键工控系统业务数据,

    ....
  • 工业标准 烟草标准
  • 相关专题: 烟草  

相关下载

常用软件