DB43 T 1347-2017 风力发电工业控制系统安全基本要求.pdf

1、风力发电工业控制系统安全基本要求Baseline for Security of Wind Turbine GenerationIndustrial Control System湖南省质量技术监督局 发 布ICS 35.240.50L 67湖南省地方标准DB43DB43/T 13472017 2018-02-15 实施2017-12-14 发布DB43/T 13472017 I 目 次 前言1 范围 12 规范性引用文件 13 术语和定义 13.1 工业控制系统 industrial control system 23.2 监控和数据采集系统 supervisory control and d

2、ata acquisition system 23.3 分布式控制系统 distribution control system 23.4 可编程逻辑控制器 programmable logic controller 23.5 风力发电场 wind power plant 23.6 风力发电机组 wind turbine generator system 23.7 管理信息系统 management information system 23.8 人机接口 human machine interface 23.9 访问控制 access control 23.10 安全计算环境 secure c

3、omputing environment 23.11 安全区域边界 secure area boundary 33.12 安全通信网络 secure communication network 33.13 安全管理中心 security management center 34 风力发电工业控制系统安全概述 34.1 总则 34.2 风力发电工业控制系统等级保护原则 34.3 风力发电工业控制系统定级 35 风力发电工业控制系统物理环境安全要求 45.1 物理访问授权 45.2 物理访问控制 45.3 输出设备的访问控制 55.4 电源设备与电缆 55.5 紧急停机 55.6 应急电源 55.

4、7 消防 55.8 温湿度控制 55.9 防水 55.10 防雷 6DB43/T 13472017 II 5.11 电磁防护 66 风力发电工业控制系统安全技术要求 66.1 工业控制系统安全等级保护二级要求 66.2 工业控制系统等级保护三级要求 77 风力发电工业控制系统安全管理要求127.1 安全管理制度要求127.2 人员安全管理要求127.3 系统建设管理要求137.4 安全评估和授权管理要求147.5 资源配置与文档管理要求157.6 配置管理要求167.7 介质保护要求177.8 应急规划要求197.9 事件响应要求217.10 意识和培训要求227.11 访问控制要求 227.

5、12 运维管理要求 24DB43/T 13472017 III 前 言 本标准按照GB/T 1.12009给出的规则起草。 本标准由湖南省经济和信息化委员会提出并归口。 本标准起草单位：湖南省产商品质量监督检验研究院、龙芯中科技术有限公司、湘潭电机股份有限公司、北京威努特技术有限公司、湖南亚太城建工程有限公司。 本标准主要起草人：苏光荣、胡伟武、赵亦军、胡思玉、杜安利、石成功、陈永东、黄敏、宋晓萍、刘志辉、林雄锋、毛良文、郑真真、黄凌果、冯艺、宁静、聂双发、郑建伟、郭洋、苏顺樑、刘建刚。 本标准为首次发布。 DB43/T 13472017 IV DB43/T 13472017 1 风力发电工业

6、控制系统安全基本要求 1 范围 本规范规定了风力发电工业控制系统的信息安全基本要求，包括安全技术要求及安全管理要求。 适用于风力发电企业工业控制系统的信息安全建设，包括已建成的和新建的风力发电工业控制系统。 2 规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T 93612011 计算机场地安全要求 GB/T 2900.532001 电工术语 风力发电机组 GB 178591999 计算机信息系统 安全保护等级划分准则 GB/T

7、183362015 信息技术 安全技术 信息技术安全性评估准则 GB/T 199632011 风电场接入电力系统技术规定 GB/T 202722006 信息安全技术 操作系统安全技术要求 GB/T 209842007 信息安全技术 信息安全风险评估规范 GB/T 210282007 信息安全技术 服务器安全技术要求 GB/T 210502007 信息安全技术 网络交换机安全技术要求（评估保证级3） GB/T 221862008 信息安全技术 具有中央处理器的集成电路（IC）卡芯片安全技术要求（评估保证级4增强级） GB/T 222392008 信息安全技术 信息系统安全等级保护基本要求 GB/

8、T 222402008 信息安全技术 信息系统安全等级保护定级指南 GB/T 250582010 信息安全技术 信息系统安全等级保护实施指南 GB/T 250692010 信息安全技术 术语 GB/T 250702010 信息安全技术 信息系统等级保护安全设计技术要求 GB/T 30976.12014 工业控制系统信息安全 第1部分：评估规范 GB/T 329192016 信息安全技术 工业控制系统安全控制应用指南 GB/T 330072016 工业通信网络 网络和系统安全 建立工业自动化和控制系统安全程序 GB/T 33008.12016 工业自动化和控制系统网络安全 可编程序控制器（PLC

9、） 国家能源局文件国能安全201536号 3 术语和定义 GB/T 2900.532001、GB/T 222392008和GB/T 250702010确立的以及下列术语和定义适用于本规范。 DB43/T 13472017 23.1 工业控制系统 industrial control system 对工业生产过程安全（safety）、信息安全（security）和可靠运行产生作用和影响的人员、硬件和软件的集合。 注：系统包括，但不限于： 1） 集散式控制系统（DCS）、可编程逻辑控制器（PLC）、智能电子设备（IED）、监视控制与数据采集（SCADA）系统，运动控制（MC）系统、网络电子传感和控

10、制，监视和诊断系统。 2） 相关的信息系统，例如先进控制或多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、制造执行系统（MES）和企业资源计划（ERP）管理系统。 3） 相关的部门、人员、网络或机器接口，为连续的、批处理、离散的和其他过程提供控制、安全和制造操作功能。 3.2 监控和数据采集系统 supervisory control and data acquisition system 在工业生产控制过程中，对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据采集与监控管理的控制系统。它以计算机为基础、对远程分布运行设备进行监控调度，其主要功能包括数据采集、参数测

11、量和调节、信号报警等。 SCADA系统一般由设在控制中心的主终端控制单元（MTU）、通信线路和设备、远程终端单元（RTU）等组成。 3.3 分布式控制系统 distribution control system DCS以计算机为基础，在系统内部（组织内部）对生产过程进行分布控制、集中管理的系统。 3.4 可编程逻辑控制器 programmable logic controller PLC采用可编程存储器，通过数字运算操作对工业生产装备进行控制的电子设备。 3.5 风力发电场 wind power plant 在风能资源良好的地区将风力发电机组按一定阵列布局方式成群安装而组成的风力发电机群体。

12、3.6 风力发电机组 wind turbine generator system 将风的动能转换为电能的系统。 3.7 管理信息系统 management information system 管理信息系统是以信息技术为基础，为企业管理和决策提供信息支持的系统。其特点是建立了企业数据库，强调达到数据共享，从系统观点出发，从全局规划和设计信息系统。 3.8 人机接口 human machine interface 也叫人机界面，是系统和用户之间进行交互和信息交换的媒介，它实现信息的内部形式与人类可以接受形式之间的转换。 3.9 访问控制 access control 一种保证数据处理系统的资源只

13、能由被授权主体授权方式进行访问的手段。 3.10 安全计算环境 secure computing environment DB43/T 13472017 3 对定级系统的信息进行存储、处理及实施安全策略的相关部件。 3.11 安全区域边界 secure area boundary 对定级的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。 3.12 安全通信网络 secure communication network 对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。 3.13 安全管理中心 security management cente

14、r 对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理平台。 4 风力发电工业控制系统安全概述 4.1 总则 风力发电工业控制系统主要包括风电场监控系统、升压站监控系统、风功率预测系统和状态监测系统。 风力发电工业控制系统安全防护方案设计参照GB 17859和GB/T 25070，构建在安全管理中心支持下的安全计算环境、安全区域边界、安全通信网络三重防御体系，采用纵向分层、横向分区的架构，结合工业控制系统总线协议复杂多样、实时性要求强、节点计算资源有限、设备可靠性要求高、故障恢复时间短、安全机制不能影响实时性等特点进行设计。同时加强内部安全管理制度、机构、人

15、员、系统建设、系统运维的管理，提高风力发电工业控制系统的整体安全防护能力。 4.2 风力发电工业控制系统等级保护原则 信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。 电力系统属于国家的关键基础设施，电力信息系统、电力生产系统、电力控制系统是涉及国家安全和社会稳定的重要系统，需要得到重点保护。需要按照国家等级保护相关要求进行安全建设，利用等级化与体系化相结合的安全体系设计，遵循国家等级保护制度的同时，将安全等级保护思想融合到产品中、方案中、应用中。 本规范针对风力发电工业控制系统的软件、硬件、网络协议等

16、的安全性，规定了需要保护的数据、指令、协议等要素，规定了需要使用的防护手段。同时应保证这些防护措施对系统的正常运行不产生危害或灾难性的生产停顿，保证这些防护措施经过工业现场的工程实践验证，并获得用户认可。 4.3 风力发电工业控制系统定级 4.3.1 风力发电工业控制系统定级依据 a） GB/T 222402008 信息安全技术 信息系统安全等级保护定级指南； b） 国家能源局文件国能安全201536号附件1电力监控系统安全防护总体方案。 DB43/T 13472017 44.3.2 风力发电工业控制系统定级流程 a） 确定作为定级对象的控制系统； b） 确定业务信息安全受到破坏时所侵害的客体

17、； c） 根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度； d） 得到业务信息安全保护等级； e） 确定系统服务安全受到破坏时所侵害的客体； f） 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度； g） 得到系统服务安全保护等级； h） 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。 根据以上流程，根据不同安全区域的安全防护要求，确定风力发电场各工业控制系统安全等级和防护水平。 具体等级表如下： 表4-1 风力发电工业控制系统等级保护定级 系统级别 序号 等级对象 省级以上 地级及以下 1 风电场监控系

18、统 风电场总装机容量200MW及以上为3级，以下为2级 2 升压站监控系统 220千伏及以上变电站为3级，以下为2级 3 风功率预测系统 2 4 状态监测系统 2 5 风力发电工业控制系统物理环境安全要求 5.1 物理访问授权 本项要求包括： a） 应制定和维护对ICS设施具有访问权限的人员名单； b） 应定期对授权访问人员名单进行评审和批准； c） 应根据职位、角色对ICS设施进行物理访问授权。 5.2 物理访问控制 本项要求包括： a） 应加强对所有ICS设施的指定进出口的物理访问控制； b） 应形成并维护对所有ICS设施的访问记录； c） 应将ICS网络设备放置在只能由授权人员访问的环境

19、； d） 应在访问ICS设施前对人员的访问权限进行验证； e） 应在需要对访客进行陪同和监视的环境下对访问者进行陪同和监视； f） 应在指定进出口采用如围墙、门禁卡、门卫等物理访问控制措施，具有物理访问授权不代表对该区域ICS组件有逻辑访问权。 DB43/T 13472017 5 5.3 输出设备的访问控制 本项要求包括： a） 应对ICS输出设备进行物理访问控制以防止非授权人员获得输出信息； b） 应控制对输出设备的物理访问； c） 确保只有授权人员收到来自设备的输出； d） 组织应对输出设备进行标记，标明哪些信息可以标记的输出设备输出。 5.4 电源设备与电缆 本项要求包括： a） 应保护

20、ICS的电力设备与电缆，免遭损害和破坏； b） 应依据安全需求和风险，采用禁用或对电源进行物理保护的手段来防止系统的非授权的使用； c） 组织应使用冗余的电力设备和电缆。 5.5 紧急停机 本项要求包括： a） 应确保在紧急情况下能够切断ICS电源或个别组件电源； b） 应在指定位置设置安全易用的紧急断电开关或设备； c） 应保护紧急断电能力以防止非授权操作。 5.6 应急电源 本项要求包括： a） 应为ICS配备应急UPS电源，并计算其续航时间； b） 应提供短期不间断电源，以便在主电源失效的情况下正常关闭ICS； c） 应提供长期备份电源，以便主电源失效时在规定时间内保持ICS功能。 5.

21、7 消防 本项要求包括： a） 应为ICS部署火灾检测和消防系统或设备，并维护该设备； b） 应为消防系统或设备配备独立电源； c） 应使用防火设备或系统，该设备或系统在火灾事故中会自动激活并通知组织和紧急事件处理人员； d） 应在ICS组件集中部署的区域，如主机房、通信设备机房使用自动灭火系统。 5.8 温湿度控制 本项要求包括： a） 应维护ICS所在环境的温湿度，使其处于可接受的范围； b） 应定期监视ICS组件集中部署区域的温湿度； c） 主机房、通信设备机房等区域应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内。 5.9 防水 本项要求包括： DB43/T 13

22、472017 6a） 应提供易用、工作正常的、关键人员知晓的总阀门或隔离阀门以保护ICS免受漏水事故的损害； b） ICS组件集中部署的区域，如主机房、通信设备机房等水管安装不得穿过机房屋顶和活动地板下，防止雨水通过机房窗户、屋顶和墙壁渗透； c） 组织应使用自动化机制，在重大漏水事故时能保护ICS免受水灾。 5.10 防雷 本项要求包括： a） 机房建筑应设置避雷装置； b） 机房应设置交流电源地线。 5.11 电磁防护 本项要求包括： a） 应采用接地方式阻止外界电磁干扰和设备寄生耦合干扰； b） 电源线和通信线缆应隔离铺设，避免互相干扰。 6 风力发电工业控制系统安全技术要求 6.1 工

23、业控制系统安全等级保护二级要求 6.1.1 安全计算环境技术要求 6.1.1.1 身份鉴别 本项要求包括： a） 用户身份鉴别 在每次用户登录系统时，应采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别。应针对任何用户（人员、软件进程或设备）在可配置时间周期内，对连续无效的访问尝试进行可配置次数限制。当限制次数超出后，应在规定的周期内拒绝访问直到管理员解锁。 b） 主机设备身份鉴别 支持工业控制系统中重要主机设备的身份标识和鉴别。重要主机设备在使用前，应先在安全管理中心进行设备身份的标识；在工业控制系统的整个生命周期要保持设备标识的唯一性；重要主机设备在启动并接入工业控制系统时，应该对

24、其设备身份的真实性进行鉴别。 6.1.1.2 恶意代码防范 应通过“白名单”技术，将工业主机中的可信应用程序加入到白名单列表中，形成应用程序白环境，用于阻止恶意程序的运行，保证主机安全稳定运行。当工业控制系统网络中有新的可信任执行文件运行时（软件变更时），需要及时将其加入在白名单列表中。 6.1.1.3 访问控制 应根据职责分离和最小权限对特定用户（人员、软件进程或设备）实施工业控制系统控制使用授权。 6.1.1.4 安全审计 本项要求包括： a） 系统安全审计 DB43/T 13472017 7 应提供安全审计机制，记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等

25、内容。该机制应提供审计记录查询、分类和存储保护。 b） 现场设备审计 应提供现场设备审计机制，记录现场设备相关安全事件。审计记录应带有时间戳，包括现场设备用户登录事件、时间修改事件、配置修改事件、程序修改事件和流入现场设备的数据流（包括数据流的发送方、应用功能等）。 6.1.2 安全区域边界隔离技术要求 6.1.2.1 区域边界包过滤 本项要求包括： a） 应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出该区域边界； b） 边界防护设备应支持端口级的会话状态检测功能。 6.1.2.2 区域边界安全审计 本项要求包括： a） 区域边

26、界安全审计 应在安全区域边界设置审计机制。 b） 区域边界事件审计 对工业控制系统的相关安全事件及操作进行记录，并支持对审计信息的汇总。 6.1.2.3 区域边界完整性保护 应采用数据完整性验证机制，对重要的控制指令和现场数据等关键性业务数据在存储和传输过程中的完整性进行验证，以判断其完整性是否被破坏。 6.1.2.4 区域边界恶意代码防范 应在安全区域边界提供恶意代码防护机制，针对不同的恶意入侵行为，设置不同的防护规则。 6.1.3 安全网络通信技术要求 6.1.3.1 通信网络安全审计 本项要求包括： a） 应在安全通信网络中设置审计机制； b） 应能生成安全相关审计记录，包括：访问控制、

27、请求错误、系统事件、备份和恢复事件、配置改变、潜在的侦查活动和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户）、分类、类型、事件ID和事件结果。 6.1.3.2 通信网络异常监测 本项要求包括： a） 采用相应的监测审计设备进行流量监测； b） 应对工业控制系统的通讯数据、访问异常、业务操作异常、网络和设备流量、工作周期、抖动值、运行模式、各站点状态、冗余机制等进行监测，如发生异常可进行报警。 DB43/T 13472017 86.2 工业控制系统等级保护三级要求 6.2.1 安全计算环境技术要求 6.2.1.1 身份鉴别 本项要求包括： a） 用户身份鉴别 应支持操

28、作系统、数据库、通用程序的用户标识和用户鉴别。在对每一个用户注册到系统时，应采用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。 b） 主机设备身份鉴别 支持工业控制系统中重要主机设备的身份标识和鉴别。重要主机设备在使用前，应先在安全管理中心进行设备身份的标识；在工业控制系统的整个生命周期要保持设备标识的唯一性；重要主机设备在启动并接入工业控制系统时，应该对其设备身份的真实性进行鉴别。

29、c） 工控设备身份鉴别 对于现场控制层嵌入式设备（控制器、PLC）实施唯一性的标识，并实施鉴别与认证。 6.2.1.2 恶意代码防范 本项要求包括： a） 应通过“白名单”技术，将工业主机中的可信应用程序加入到白名单列表中，形成应用程序白环境，用于阻止恶意程序的运行，保证主机安全稳定运行。当工业控制系统网络中有新的可信任执行文件运行时（软件变更时），需要及时将其加入在白名单列表中； b） 应支持防白名单软件的统一管理。 6.2.1.3 访问控制 本项要求包括： a） 自主访问控制 自主访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级和（或）记录或字段级。自主访问控制包括对客体的创建、读

30、、写、修改和删除等。 b） 最小权限控制 应根据职责分离和最小权限对特定用户（人员、软件进程或设备）实施工业控制系统的控制使用授权。 c） 现场设备访问控制 现场设备应采用基于角色的访问控制，只有得到授权的用户才能对现场设备进行组态下装、软件更新、数据更新、参数设定等操作。 6.2.1.4 安全审计 本项要求包括： a） 系统安全审计 应提供安全审计机制，记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提供审计记录查询、分类、分析和存储保护，并可由安全管理中心管理，确保审计记录不被破坏或非授权访问。 DB43/T 13472017 9 b） 应用操作安全审计

31、 应能够针对重要操作行为生成安全相关审计记录，审计内容应达到指令级。 c） 现场设备安全审计 现场设备应将带时间戳的审计记录通过网络远程传输发送给安全管理中心，且传输通道应采用加密或私有协议的方式进行保护。 6.2.1.5 数据完整性保护 本项要求包括： a） 应采用支持密码技术的完整性校验机制，检验存储和处理用户数据的完整性，以发现其完整性是否被破坏，且在其受到破坏时能对重要数据进行恢复； b） 重要主机的系统管理数据、鉴别信息和重要控制数据在传输过程中采用支持密码技术的完整性校验机制，应支持国家密码管理主管部门批准使用的密码算法，使用国家密码管理主管部门认证核准的密码产品，遵循相关密码国家

32、标准和行业标准。 6.2.1.6 本质安全 工业设备要求： a） 应建立工业设备和工业软件的安全准入机制，禁止选用经国家相关管理部门检测认定并通报存在漏洞和风险的系统及设备，对于已经投入运行的设备，应按照国家相关标准及政策法规的要求及时进行整改，同时应当加强相关系统及设备的运行管理和安全防护； b） 应优先采用符合国家相关要求的自主、安全、可靠的工业设备及元器件； c） 应对登录工业设备的用户进行身份鉴别； d） 应对主要工业设备同一用户选择两种或两种以上组合的鉴别技术进行身份鉴别； e） 工业设备故障关闭功能的设计应不干扰功能安全系统或其他功能安全相关功能的运行； f） 工业设备应基于实现分

33、区模型的关键程度提供对数据、应用和服务进行分离的能力； g） 工业设备应提供能力，在允许代码执行之前验证移动代码的完整性； h） 工业设备系统应提供将每个接口的并发连接数目限制为一个可配置数目的能力； i） 工业设备应提供时间戳用于生成审计记录； j） 工业设备应提供对所有用户是否执行了某个行为进行判定的能力； k） 工业设备应对拒绝服务攻击具有一定的防护能力。 工控安全防护设备要求： a） 工控安全防护设备（包括硬件设备和软件系统，如工业防火墙、工业监测审计设备、工业主机防护软件等）应采用自主可控的安全技术机制； b） 工控安全防护设备应采取技术措施保证自身安全，避免恶意攻击导致防护失效；

34、c） 工控安全防护设备应提供能力拒绝来自不可信网络的访问； d） 工控安全防护设备应提供标识和认证所有用户的安全技术措施； e） 工控安全防护设备应保护数据存储和传输时不被未经授权的泄露和更改； f） 工控安全防护设备应采用基于用户角色的权限管理机制，按照职责分离和最小特权来控制对设备的使用； g） 工控安全防护设备应提供必要的能力，明确禁止和/或限制对非必要的功能、端口、协议和/或服务的使用； h） 工控安全防护设备应提供为以下类别生成审计记录的能力：访问控制、请求错误、系统事件、备份和存储事件、配置变更、潜在的侦查行为和审计日志事件； DB43/T 13472017 10 i） 工控安全防

35、护硬件应采用工业级设计，满足工业现场的环境要求； j） 工控安全防护硬件应采用基于工业协议深度识别的白名单技术； k） 工控安全防护软件系统的核心技术应具备自主知识产权，并通过国家有关机构的安全检测认证，防范代码存在安全漏洞； l） 工控安全防护软件应采用应用程序白名单技术，对工业主机内必要的业务组件、系统组件和安全软件等执行程序保护，保证相关可执行程序的可用性、完整性； m） 工控安全防护软件应提供标识和认证所有软件进程的能力，应对所有合法软件进程拥有唯一标识认证的能力； n） 工控安全防护软件应具备防止、检测、报告和消减恶意代码或非授权软件的影响的能力。 6.2.2 安全区域边界隔离技术要

36、求 6.2.2.1 区域边界包过滤 本项要求包括： a） 应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、协议、请求的服务等，确定是否允许该数据包进出该区域边界； b） 边界防护应支持协议级的会话状态检测功能； c） 应在不同区域间采取可靠的技术隔离手段形成边界防护，且边界防护设备应能识别工业协议，采用白名单技术，仅允许必要的网络数据流； d） 应能够对非授权设备连接到内部网络的行为进行限制或检查，并同步对其进行及时的报警和有效阻断； e） 应能够对内部用户未经授权连接外部网络的行为进行限制或检查，并同步对其进行及时的报警和有效阻断。 6.2.2.2 区域边界访问控制 应在安全区

37、域边界设置自主访问控制机制，实施相应的访问控制策略，对进出安全区域边界的数据信息进行控制，禁止非授权访问。 6.2.2.3 区域边界安全审计 本项要求包括： a） 应在安全区域边界设置审计机制，由安全管理中心集中管理，并对确认的违规行为及时报警。对工业控制系统的相关安全事件及操作进行记录，并支持对审计信息的汇总、关联分析等操作； b） 通过设定本地审计记录访问、修改、删除等权限和支持审计日志网络远程传输并存储功能，确保审计记录不被破坏或非授权访问以及防止审计记录丢失，同时需保护审计进程免受未预期的中断等破坏。 6.2.2.4 区域边界恶意代码防范 应在安全区域边界提供恶意代码防护机制，针对不同

38、的恶意入侵行为，设置不同的防护规则，并对传输内容进行分类、报警、存储、分析，适时阻止攻击并向安全管理中心报告。 6.2.3 安全网络通信技术要求 6.2.3.1 通信网络安全审计 DB43/T 13472017 11 本项要求包括： a） 应在安全通信网络设置审计机制，由安全管理中心集中管理，并对确认的违规行为进行报警； b） 应能生成安全相关审计记录，包括：访问控制、请求错误、系统事件、备份和恢复事件、配置改变、潜在的侦查活动和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户）、分类、类型、事件ID和事件结果。 6.2.3.2 通信网络数据传输完整性保护 应采用由密码

39、等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护，并在发现完整性被破坏时进行恢复。 6.2.3.3 通信网络传输的鉴别保护 应采用白名单技术，实现对数据来源的鉴别，从而拒绝非法的数据访问和数据修改。 6.2.3.4 通信网络异常监测 本项要求包括： a） 应采用监测与审计设备进行流量监测，并对工业控制协议通信中异常的控制命令、控制点位、控制值有分析能力； b） 应对工业控制系统的通讯数据、访问异常、业务操作异常、网络和设备流量、工作周期、抖动值、运行模式、各站点状态、冗余机制等进行监测，如发生异常可进行报警。 6.2.4 安全管理中心技术要求 6.2.4.1 系统管理 本项要求包括

40、： a） 应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份和授权管理、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复以及恶意代码防范等； b） 通过系统管理员能够对工业控制系统设备的可用性和安全性进行实时监控，可以对监控指标设置告警阈值，触发告警并记录； c） 安全管理中心系统应具有自身运行监控与告警、系统日志记录功能。 6.2.4.2 审计管理 本项要求包括： a） 应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理

41、和查询等； b） 审计管理员可实时监控安全管理中心的详细安全事件，并依据其源、目的IP和端口信息进行深入的事件追踪调查。 6.2.4.3 安全管理 本项要求包括： a） 通过安全管理员能够对工业控制现场控制设备、信息安全设备、网络设备、服务器、终端等设备信息进行登记，并对各设备的信息安全监控和报警、信息安全日志信息进行集中管理。根据DB43/T 13472017 12 安全审计策略对各类信息安全信息进行分类管理与查询，并生成统一的审计报告； b） 通过安全管理员能够建立工业控制信息安全设备的策略管理功能，实现对工业控制信息安全设备的安全策略的集中管理与维护； c） 通过安全管理员能够实现对工业

42、安全设备的安全策略配置现状进行分析，协助管理员及时对设备存在的配置脆弱性进行修复。 7 风力发电工业控制系统安全管理要求 7.1 安全管理制度要求 7.1.1 管理制度 a） 应制定风力发电工业控制系统安全工作的总体方针，说明总体目标、范围、原则和安全框架等； b） 应对安全管理活动中的各类管理内容建立安全管理制度； c） 应对要求管理人员或操作人员执行的日常管理操作建立操作规程； d） 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 7.1.2 制定和发布 a） 应指定或授权专门的部门或人员负责安全管理制度的制定； b） 安全管理制度应具有统一的格式，并进行版本控制

43、； c） 应组织相关人员对制定的安全管理制度进行论证和审定； d） 信息安全工作的总体方针应得到公司的正式批准； e） 安全管理制度应通过正式、有效的方式发布； f） 安全管理制度应注明发布范围，并对收发文进行登记。 7.1.3 评审和修改 a） 安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定； b） 应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。 7.2 人员安全管理要求 7.2.1 岗位风险管理 本项要求包括： a） 应建立ICS岗位分类机制； b） 应评估ICS所有岗位的风险； c） 应建立人员审查制度，尤

44、其对控制和管理ICS的关键岗位的人员进行审查； d） 应定期对岗位风险进行评审和更新。 7.2.2 人员审查管理 本项要求包括： a） 应在授权访问ICS之前进行人员审查； b） 应在人员离职或岗位调动时对其进行审查。 DB43/T 13472017 13 7.2.3 人员离职 本项要求包括： a） 应终止离职人员对ICS系统的访问权限； b） 应删除与离职人员相关的任何身份鉴别信息； c） 应与离职人员签订安全保密协议； d） 应收回离职人员所有与安全相关的系统的相关所有权； e） 应确保离职人员移交信息和ICS的可用性。 7.2.4 人员调动 应在人员调动至其他岗位时，评审该人员对ICS的

45、逻辑和物理访问权限并根据评审结果调整访问权限。 7.2.5 第三方人员安全 本项要求包括： a） 应为第三方提供商建立包含安全角色和责任的人员安全要求，并形成文件； b） 第三方提供商应遵守已制定的人员安全方针策略和规程； c） 应要求第三方提供商在任何人员调动或离职时予以告知。 7.2.6 人员处罚 应对违反信息安全方针策略和规程的人员建立违规处罚制度。 7.3 系统建设管理要求 7.3.1 安全方案设计 a） 应根据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施； b） 应指定和授权专门的部门对控制系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划； c） 应根据控制系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件； d） 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建