1、ICS 35.030 L 09 DB13 河北省 地方标准 DB 13/T 5002 2019 信息安全技术 工业控制系统安全 保护技术规 范 2019 - 07 - 04 发布 2019 - 08 - 01 实施 河北省市场监督管理局 发布 DB13/T 5002 2019 I 目 次 前言 . II 引言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 1 4 物理和环境安全 . 3 5 网络安全 . 4 6 主机安全 . 7 7 监视控制与数据采集系统安全 . 10 8 现场控制设备安全 . 15 9 系统防护级别与能力要求 . 17 附 录 A (
2、规范性附录 ) 系统能力要求与安全级别的映射 18 参考文献 . 23 DB13/T 5002 2019 II 前 言 本标准按照 GB/T 1.1-2009给出的规则起草。 本标准由河北省工业和信息化厅提出并归口。 本标准主要起草单位:河北省信息安全测评中心、河北省委党校(河北行政学院)、河北金信网 络技术开发服务有限公司、唐山港集团股份有限公司。 本标准主要起草人:陶卫江、张凤臣、闫利平、牛占冀、黄亮、张友平、刘艳、梁志、孟宪辉、 王辙、李鹏、王淑婧、李娜、任旭东、高飞、张争、付江、张桐、甘振旺 、 和德明、侯志方、王会娟。 DB13/T 5002 2019 III 引 言 随着工业化和信
3、息化的高度融合,工业控 制系统的信息安全问题越来越受到关注。为了增强工业 控制系统的安全防护能力,从技术上加强工业控制系统的防护能力,特制定本标准。 本标准在 GB/T 30976.1-2014等技术类标准的基础上,根据现有技术的发展水平,提出和规定了工 业控制系统的最低安全保护技术要求,即技术安全要求。 DB13/T 5002 2019 1 信息安全技术 工业控制系统安全保护技术规范 1 范围 本标准规定了工业控制系统安全保护技术的术语和定义、系统能力等内容 。 本标准既适用于工业控制系统的安全测评,又适用于指导工业控制系统的安全建设和管理,以及 工业控制系统安全主管部门的监督检 查, 适用
4、于系统设计单位、设备生产商、系统集成商、用户、资 产所有人以及评估认证机构等对工业控制系统信息安全进行评估时使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 30976.1-2014 工业控制系统信息安全 第 1部分:评估规范 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件 3.1.1 识别 identify 对某一评估要素进行标识与辨别的过程。 3.1.2 验收 acceptance 风险评估活动中用于结束项目实施的一种方
5、法,主要由被评估方组织机构,对评估活动进行逐项 检验,以是否达到评估目标为接受标准。 3.1.3 工业控制系统 industrial control system: ICS 对工业生产过程安全( safety)、信息安全( security)和可靠运行产生作用和影响的人员、硬 件和软件的集合。 注: 系统包括,但不限于: 1) 工业控制系统包括分布式控制系统( DCS)、可编程逻辑控制器( PLC)、智能电子设备 (IED)、 监视控制与数据采集( SCADA)系统,运动控制( MC)系统 、网络电子传感和控制,监视 和诊断系统。 2) 相关的信息系统,例如先进控制或者多变量控制、在线优化器、
6、专用设备监视器、图形界 面、过程历史记录、制造执行系统( MES)和企业资源计划( ERP)管理系统。 3) 相关部门、人员、网络或机器接口,为连续的、批处理、离散的和其他过程和提供控制、 安全和制造操作功能。 DB13/T 5002 2019 2 3.1.4 现场控制设备 field control equipment 现场控制设备主要包括各类控制单元,如 PLC、 DCS控制单元等,用于对各执行设备进行控制。 3.1.5 区域 area 站点内划分的物理的、地理的或逻辑的资源分组。 3.1.6 边界 boundary 软件、硬件或者其他物理屏障,限制进入系统或者部分系统。 3.1.7 安全
7、 safety 免于不可接受的风险。 3.1.8 移动代码 mobile code 通过网络或者可移动媒介与可能是非可信的系统之间传递的程序,被不经显示安装在本地系统, 会被自动执行或被接收者执行。 3.1.9 会话 session 在两个或者多个通信设备之间的半永久性、状态性或者交互式的信息转换。 3.1.10 会话 ID session ID 用于表明特定会话入口的标识符。 3.1.11 信息安全 security a) 保护系统所采取的措施; b) 由 建立和维护保护系统的措施而产生的系统状态; c) 能够免于非授权访问和非授权或意外的变更、破坏或损失的系统资源的状态; d) 基于计算机
8、系统的能力,能够提供充分的把握使非授权人员和系统既无法修改软件及其数据 也无法访问系统功能,却保证授权人员和系统不被阻止; e) 防止对工业自动化和控制系统的非法或有害的入侵,或者干扰其正确和计划的操作。 f) 注: 措施可以是与物理信息安全(控制物理访问计算机的资产)或者逻辑信息安全(登录给 定系统和应用的能力)相关的控制手段。 3.2 缩 略语 下列缩略语适用于本文件。 DB13/T 5002 2019 3 DCS 分布式控制系统 ( Distributed Control System) ERP 企业资源计划 ( Enterprise Resource Planning) IED 智能电
9、子设备 ( Intelligent Electronic Device) ICS 工业控制系统 ( Industrial Control System) mes 制造执行系统 ( Manufacturing Execution System) PLC 可编程逻辑控制器 ( Programmable Logic Controller) SCADA 监视控制与数据采集系统 ( Supervisory Control And Data Acquisition) VPN 虚拟专用网 ( Virtual Private Network) PKI 公钥基础设施 ( Public Key Infrastru
10、cture) 4 物理和环境安全 4.1 安全区域防护 4.1.1 物理安 全周边防护 本项目包括但不限于: a) 应设置物理安全管理制度,规定对组织机构场所和重要系统的物理访问控制; b) 重要区域应有门禁、视频监控、消防、人体探测器等相应的控制措施。 4.1.2 物理入口控制 本项目包括但不限于: a) 重要区域应设置有门禁,或配置有专人值守,控制人员的进出,记录保存至少六个月; b) 门窗应有防盗措施; c) 现场中控机房需具备门禁等防盗防破坏措施,禁止人员随意接触关键设备。 4.1.3 办公室区域的安全防护 本项目包括但不限于: a) 应有针对办公区域的管理措施,外部人员的访问应经过审
11、批,并有专人陪同; b) 重要区域应设置门禁、视频监 控等控制措施。 4.1.4 外部和环境的安全防护 中控机房等重要区域应有防雷、防水、防火、温湿度控制等安全防护措施,应有防毒、防爆,即 对有毒可燃气体的检测功能; 4.1.5 公共访问、交换区域安全 公共访问、交换区域与生产系统应有隔离防护措施。 4.1.6 安全区域工作 在操作手册和岗位管理制度中应有操作规程对人员、设备的安全做出规定,并在工作区域明显地 方张贴。 4.2 设备安全 4.2.1 设备安置和保护 DB13/T 5002 2019 4 本项目包括但不限于: a) 设备安装应牢固、合规; b) 关键设备应有物理安全防护措施。 4
12、.2.2 支持性设施 本项目包括但不限于: a) 应保证系统正常运行的支持性设备工作正常。 b) 控制系统应具备紧急电源设施,应可提供与紧急电源设施之间的切换; c) 应确保紧急电源之间的切换不会影响到现有的安全状态。 4.2.3 布缆安全 通信线缆和电源线应隔离铺设,并且远离火源、电磁辐射源。 4.2.4 设备维护 本项目包括但不限于: a) 应制定相关管理规定,明确责任部门和人员负责设施的定期维护管理; b) 设备管理制度中应包括对各类设备维护维修等方面要求; c) 维护记录内容应全面、真实。 4.2.5 组织机构场所外的设备安全 场外的设备应具备防盗、防拆、坚固耐用等要求,应能够适应所处
13、的物理环境。 4.2.6 设备的安全处置或再利用 本项目包括但不限于: a) 不同设备的存放环境应采取与其相应的保护措施,设备管理制度中应包括对设备的存放环境、 报废或再利用等方面; b) 应有设备的报废或再利用清单; c) 重要设备在报废或再利用前应彻底清除内含有的敏感信息。 4.2.7 资产的移动 本项目包括但不限于: a) 设备管理制度应对资产的转移做出规定,包括转移过程是否有专人负责,转移流程、移动前 后资产的存放环境等; b) 资产的移动记录内容应全面、真实。 5 网络安全 5.1 网络访问控制 5.1.1 网络服务的策略 本项目包括但不限于: a) 应在网络边界部署访问控制设备,启
14、用访问控制功能; b) 系统对外提供的服务应仅限业务范围之 内; DB13/T 5002 2019 5 c) 应制定对网络服务的访问控制策略; d) 如制定规则,应测试访问控制规则是否有效。 5.1.2 外部连接的用户鉴别 本项目包括但不限于: a) 网络与外部连接情况应与相关的管理制度且与网络拓扑结构相符; b) 系统内部终端连接外部网络情况应与相关的管理制度且与网络拓扑结构相符; c) 如与外部网络有连接,应通过措施进行控制; d) 网络内部如有 VPN 接入,应制定有效的控制措施(与外界均应物理隔离)。 5.1.3 网络设备标识 本项目包括但不限于: a) 应制定网络设备标识命名规则;
15、b) 接入网络的设备应设有标识,且标识唯一。 5.1.4 远程诊断和配置端口 对设备远程维护端 口应设置访问控制规则,只允许特定 IP地址访问。 5.1.5 网络隔离 本项目包括但不限于: a) 重要生产系统应部署在网络内部,重要网段与其他网段间应采用可靠的技术手段进行隔离; b) 应根据部门职能、重要性划分出不同的子网。 5.1.6 网络连接控制 重要网段与其他网段之间的访问应有访问控制措施。 5.1.7 经由非可信网络的访问 应具备监视和控制所有经由不可信网络对控制系统访问的措施。 5.1.8 明确对访问请求的批准 控制系统应提供能力默认拒绝来自不可信网络的访问。 5.1.9 无线使用控制
16、 本项目包括但不限于: a) 应具备对无线访问的授权、监视和限制的能力; b) 应具备认证机 制保护无线访问。 5.1.10 对未授权的无线设备进行识别和报告 本项目包括但不限于: a) 应具备扫描物理环境内发射信号的无线设备的功能; b) 应具备对物理环境内发射信号的未授权的无线设备进行识别和报告的能力。 5.2 监视 DB13/T 5002 2019 6 5.2.1 审计记录 本项目包括但不限于: a) 系统应具备日志功能,并且日志功能处于开启状态; b) 应对网络设备的运行状况、用户行为等进行日志记录; c) 日志记录内容应包含日期、时间、用户、事件等相关事项,至少保存 6 个月。 5.
17、2.2 监视系统的使用 系统日志应对系统资源使用情况进行记录,包括网络流量、资源占用率等。 5.2.3 日志信息的保护 应对审计日志 进行保护,避免受到预期的修改、删除和覆盖。 5.2.4 管理员和操作日志 系统日志应对管理员登录和操作进行记录,内容应包括日期、时间、用户名、登录 IP 地址、操作 内容及结果等, 当审计记录存储上限时应具备发出警告功能 。 5.2.5 故障日志 应对系统故障或错误进行日志记录,记录内容应包括日期、时间、系统故障或系统错误内容等。 5.2.6 时钟同步 本项目包括但不限于: a) 系统时间应与标准时区时间一致; b) 如有必要相关工业控制系统可以采用时间戳服务器
18、进行时间管理。 5.3 限制的数据流 5.3.1 网络分区 本项目包括但不限于: a) 应具备控制系统网络与非控制系统网络的 逻辑分区功能; b) 应具备关键控制系统网络与其他控制系统网络的逻辑分区功能。 5.3.2 物理网络分区 本项目包括但不限于: a) 控制系统网络与非控制系统网络之间应进行物理划分; b) 关键控制系统网络与其他控制系统网络之间应进行物理划分。 5.3.3 与非控制系统网络的独立性 应采取措施将控制系统与非控制系统网络之间进行逻辑和物理隔离。 5.3.4 关键网络的逻辑和物理隔离 应采取措施将关键控制系统与其他控制系统进行逻辑和物理隔离。 5.3.5 区域边界防护 DB
19、13/T 5002 2019 7 控制系统应具备边界防护设备,对所有区域边界的外部接口进行管理。 5.3.6 默认拒绝,例外允许 边界防护设备应按 照默认拒绝,例外允许的原则进行功能配置。 5.3.7 孤岛模型 边界安全设备应具备当检测到安全事件时拒绝所有访问的功能。 5.3.8 故障关闭 边界设备应具备当边界防护机制出现操作故障时 ,可关闭所有访问的功能。 5.4 持续监视 控制系统应具备检测攻击的工具。 5.5 资源可用性 5.5.1 拒绝服务的防护 应具备防护拒绝服务攻击的能力,或以降级模式运行,攻击事件不应对任何功能安全相关系统产 生不利影响。 5.5.2 管理通信负荷 应提供管理通信
20、负荷的能力(例如使用限速)来削减拒绝服务攻击事件。 5.5.3 限制拒绝服务攻击对其他系统和网络的影响 应提供能力限制所有用户( 人、软件进程和设备)引发拒绝服务攻击事件的能力,避免影响其他 控制系统和网络。 6 主机安全 6.1 操作系统访问控制 6.1.1 安全登录规程 本项目包括但不限于: a) 应对操作系统和数据库用户进行身份鉴别; b) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; c) 当对服务器进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 6.1.2 用户标识和鉴别 本项目包括但不限于: a) 应为操作系统和数据库系统的不同用户
21、分配不同的用户名,确保用户名具有唯一性; b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授 予管理用户所需的最小权 限; c) 应严格限制默认帐户的访问权限,重命名系统默认帐户; DB13/T 5002 2019 8 d) 应及时删除多余的、过期的账户,避免共享账户的存在。 6.1.3 口令管理系统 本项目包括但不限于: a) 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要 求并定期更换; b) 修改系统默认口令。 6.1.4 系统实用工具的使用 应设置访问控制规则,限制用户对资源的访问。 6.1.5 会话超时 应根据安全策略设置登录终端的操作
22、超时锁定。 6.1.6 联机时间的限定 本项目包括但不限于: a) 网络内是否存在安装在高风险位置的敏感应用程序; b) 如存在此类程序,应设 置联机时间(如无特殊要求,则设为正常办公时间)。 6.2 监视 6.2.1 审计记录 本项目包括但不限于: a) 系统应开启日志记录功能; b) 应对系统关键事件、用户行为等进行日志记录; c) 日志记录需包含日期、时间、用户、事件等相关事项。 6.2.2 监视系统的使用 应对系统资源使用情况进行记录,包括网络流量、资源占用率等。 6.2.3 日志信息的保护 应对审计日志进行保护,避免受到预期的修改、删除和覆盖。 6.2.4 管理员和操作日志 应对管理
23、员登录和操作进行记录,内容应包括日期、时间、用户名、登录 IP 地址、操作内容及结 果等, 当审计记录存储上限时应具备发出警告功能 。 6.2.5 故障 日志 应对系统故障或错误进行日志记录,记录内容包括日期、时间、系统故障或系统错误内容等。 6.2.6 时钟同步 本项目包括但不限于: a) 系统时间应与标准时区时间一致; DB13/T 5002 2019 9 b) 如果与互联网有连接,时间服务应运行,时间服务器应设置正确。 6.3 恶意代码防护 6.3.1 恶意代码防护 本项目包括但不限于: a) 系统应安装有恶意代码防护产品; b) 恶意代码防护产品的防护功能应配置和启用; c) 恶意代码
24、防护产品的特征库应为最新版本。 6.3.2 恶意代码防护的集中管理 应具备对恶意代码防护机制进行集中管理和报告的功能。 6.4 限制的数据流 系统边界设备的设置,应具备禁止传输和接收一 般目的的个人通信功能,如电子邮件或即时通讯 软件等。 6.5 资源可用性 6.5.1 最小功能化 操作系统应禁止或限制其他多余的功能、端口、协议和 /或服务。 6.5.2 资源管理 应提供安全功能对系统资源使用限制的能力,防止资源耗尽。 6.6 使用控制 6.6.1 对移动存储介质和移动设备的使用控制 本项目包括但不限于: a) 应具备安全措施对移动存储介质和移动设备进行禁用和控制; b) 应具备对移动存储介质
25、和移动设备进行监视和记录的功能; c) 控制系统应具备限制代码和数据传入传出移动存储介质和移动设备的能力。 6.6.2 对 移动存储介质和移动设备的安全状态的检查 本项目包括但不限于: a) 应具备安全措施对移动存储介质和移动设备的安全状态进行检查; b) 应对扫描结果进行监视和记录。 6.6.3 移动代码 本项目包括但不限于: a) 系统是否提供禁用 /控制使用移动代码的功能; b) 应提供监视和记录移动代码的功能; c) 应定义限制使用的移动代码技术列表。 6.6.4 移动代码的完整性 DB13/T 5002 2019 10 应提供在允许代码执行前验证移动代码的完整性的能力。 6.7 数据
26、保密性 操作系统硬盘被移作他用时,应清除其储存的数据资源,确保无法被其他用户获取。 7 监视控制与数据采集系统安全 7.1 标识和认证管理 7.1.1 用户(人)的标识和认证 控制系统应提供对所有用户(人)标识和认证能 力。 7.1.2 唯一标识和认证 控制系统应提供对所有用户(人)唯一标识和认证的能力。 7.1.3 非可信网络的多因子认证 通过非可信网络访问(远程访问)控制系统时,控制系统应为其提供多因子认证的能力,但要拒 绝下行控制参数访问。 7.1.4 对所有网络的多因子认证 控制系统应提供为所有用户(人)访问控制系统进行多因子认证的能力。 7.1.5 软件进程和设备的标识和认证 控制系
27、统应提供标识和认证所有用户(软件进程和设备)的能力。 7.1.6 唯一标识和认证 控制系统应对所有用户(软件进程、设备)提供唯一标识和认证的能力。 7.1.7 账号管理 控制系统应提供对所有账户的管理 ,包括创建、激活、修改、禁用和移除账户的能力。 7.1.8 统一的账号管理 控制系统应提供能力支持统一的帐号管理。 7.1.9 标识符管理 控制系统应提供按照用户、组、角色和 /或控制系统接口管理标识符的能力。 7.1.10 认证码管理 本项目包括但不限于: a) 控制系统应具有定义初始认证码的能力; b) 在控制系统安装完毕后,应可变更默认认证码; c) 应具备周期性更改认证码的功能; d)
28、应保护认证码存储和传输时不被未经授权的泄露和更改。 DB13/T 5002 2019 11 7.1.11 软件进程标识凭证的硬件安全 对于软件进程和设备用户,控制系统应提供使用硬件机制的保护相关认证码的能力。 7.1.12 无线访问管理 对参与无线通信的所有的用户(人、软件进程或设备),控制系统应提供标识和认证的能力。 7.1.13 无线 唯一标识和认证 对参与无线通信的所有的用户(人、软件进程或设备),控制系统应提供唯一标识和认证的能力。 7.1.14 口令认证的加强 对于使用口令认证的控制系统,控制系统应提供能力,实施可配置的基于最小长度和不同字符类 的口令强度。 7.1.15 限制用户(
29、人)的口令生成和口令有效期 控制系统应为用户(人)提供口令重用次数限制和最小 /最大有效期限制功能。 7.1.16 限制所有用户的口令有效期 控制系统应为所有用户提供实施口令最小和最大有效期限制的能力。 7.1.17 公钥基础 设施证书 当使用公钥基础设施 PKI 时,控制系统应提供能力按照普遍接受的最佳实践运行 PKI 或从现 PKI 中获取公钥证书。 7.1.18 公钥认证加强 使用公钥认证的控制系统,应具备证书有效性验证和标识映射功能。 7.1.19 公钥认证的硬件安全 控制系统应提供能力,按照普遍接受的安全工业实践和推荐,通过硬件机制保护相关的私钥。 7.1.20 认证反馈 在认证过程
30、中,控制系统应提供将认证信息反馈模糊化的能力。 7.1.21 失败的登录尝试 控制系统应具备登录失败处理功能。 7.1.22 系统使用通知 控制系统应具备在认证之前显示配置好的通知的功能。 7.2 使用控制 7.2.1 授权的执行 在所有 接口上,控制系统应具备权限分离和最小特权功能。 DB13/T 5002 2019 12 7.2.2 对所有用户执行授权 在所有接口上,控制系统应提供能力按照权限分离和最小特权分配给所有用户(人、软件进程和 设备)授权的功能。 7.2.3 映射许可到角色 控制系统应为资产所有者提供修改许可到角色的映射能力。 7.2.4 主管越权 控制系统应支持主管在可配置的时
31、间内或事件顺序上手工越权于当前用户(人)的授权。 7.2.5 双授权 在行为可能对工业流程产生严重影响之处,控制系统应支持双授权。 7.2.6 会话锁 控制系统应具备用户超时锁定功能。 7.2.7 远程会话终止 控制系统应提供在可配置的不活跃时间周期后自动终止远 程会话或由用户手动终止远程会话的能 力。 7.2.8 并发会话控制 对任意给定用户(人、软件进程或设备),控制系统应提供将每个接口的并发会话的数目限制为一 个可配置的数目的能力。 7.2.9 可审计的事件 本项目包括但不限于: a) 访问控制、请求错误、系统事件、备份和存储、配置变更、潜在侦查行为和审计日志事件; b) 每个审计记录应
32、包括时间戳、源、类别、类型、事件 id 和事件结果。 7.2.10 中央管理的、系统范围的审计跟踪 本项目包括但不限于: a) 控制系统应具备对整个控制系统内多个元器件的审计记录进行中央管理的功能; b) 控制系统应具备审计记录输出功能。 7.2.11 审 计存储容量 控制系统应具备预防审计存储容量超出限制的功能。 7.2.12 达到审计记录存储容量上限时发出警告 控制系统达到审计记录存储上限时应具备发出警告功能。 7.2.13 审计处理失败时的响应 控制系统应具备对审计流程失败时提供适当响应的功能。 DB13/T 5002 2019 13 7.2.14 时间戳 控制系统审计记录应包含时间戳。
33、 7.2.15 内部时间同步 控制系统应提供以可配置的频率同步内部系统时钟的能力。 7.2.16 时间源的完整性保护 时间源应被保护不受未授权的变更,其变更应触发审计事件。 7.2.17 不可否认性 控制系统应具备对给定用户(人)的行为提供不可否认性的能力。 7.2.18 所有用户的不可否认性 控制系统应具备对所有用户(人、软件进程、设备)的行为提供不可否认性的能力。 7.3 系统完整性 7.3.1 通信完整性 控制系统应具备通信传输完整性的功能。 7.3.2 基于密码技术的完整性保护 控制系统应提供能力采用密码技术来保证信息在传输过程中的完整性。 7.3.3 安全功能验证 控制系统应具备在工
34、厂验收测试、现场验收测试或预定维护时系统运行正常的安全功能或方法, 且发现异常后可进行报告。 7.3.4 安全功能验证的自动化机制 控制系统应提供自动化验证机制,在工厂验收测试、现场验收测试或预定维护时测试系统安全的 功能。 7.3.5 正常运行中的安全功能验证 控制 系统应支持正常运行时的安全功能测试。 7.3.6 软件和信息完整性 控制系统应提供能力检测、记录、保护软件和信息不受未经授权的变更。 7.3.7 对破坏完整性进行自动通知 应具备自动化方法验证软件和配置的完整性,并且在发现不符时能够通知管理人员。 7.3.8 输入验证 控制系统应支持对输入的内容和语法进行检验。 DB13/T 5
35、002 2019 14 7.3.9 确定性输出 控制系统在遭受攻击无法保持正常运行时应提供将输出设为预定义状态的能力。 7.3.10 错误处理 控制系统的错误信息应不包括除诊断信息以外的敏感信息。 7.3.11 会话完整性 控制系统应具备会话完整性保护机制。 7.3.12 会话终止后会话 ID 失效 在 用户退出或会话终止(包括浏览器会话)后,控制系统应提供使其会话标识失效的能力。 7.3.13 唯一会话 ID 的产生和承认 控制系统应提供为每个会话生成唯一会话标识 id 的能力。 7.3.14 会话 ID 的随机性 控制系统应提供随机会话标识的能力,防止被追踪。 7.3.15 审计信息的保护
36、 控制系统应保护审计信息不被未授权的访问、修改和删除。 7.3.16 一次性写入介质的审计记录 控制系统应提供在基于硬件的、一次性写入介质上生成审计记录的能力。 7.4 数据保密性 7.4.1 信息机密性 控制系统应提供能力,对有读授权的信息在静态和传输过程中进行保密性保护,对存储在控制系 统中的敏感 信息进行加密保护,确保除具有访问权限的合法用户外,任何人不能获得该信息。 7.4.2 静态和经由不可信网络传输的数据的机密性保护 控制系统应提供能力保护静态信息和穿越不可信网络的远程访问会话的保密性。 7.4.3 区域边界的机密性保护 控制系统应提供能力保护穿越所有区域边界的信息的机密性。 7.
37、4.4 密码的使用 控制系统配置的密码算法、密钥管理、密码协议和密码产品,应符合国家密码标准规范的相关要 求。 7.5 限制的数据流 控制系统应基于实现分区模型的关键程度提供对应用、数据和服务进行分离的能力。 DB13/T 5002 2019 15 7.6 对事件的及时响应 7.6.1 审计日志的可访问性 控制系统 应为已授权的人和 /或工具提供访问审计日志的能力。 7.6.2 对审计日志的编程式访问 控制系统应使用应用编程接口 api 提供对审计日志的访问。 7.7 资源可用性 7.7.1 控制系统备份 控制系统在正常生产的情况下,应有能力执行用户级和系统级备份的功能。 7.7.2 备份验证
38、 控制系统应提供验证备份机制可靠性的能力。 7.7.3 备份自动化 控制系统应提供能力按照可配置的频率进行自动化备份。 7.7.4 控制系统恢复和重构 发生中断后,控制系统应提供恢复和重构到已知安全状态的能力。 7.7.5 网络和安全配置设置 控制系统应具备网络和安全配置功能,提供与现有部署网络和安全配 置设置之间的接口。 7.7.6 生成报告的能力 控制系统应具备生成安全配置报告的能力。 7.7.7 控制系统元器件清单 控制系统应提供当前已安装的元器件及其关联属性列表的能力。 8 现场控制设备安全 8.1 标识和认证管理 8.1.1 用户(人)的标识和认证 控制系统应提供标识和认证所有用户(
39、人)的能力。 8.1.2 唯一标识和认证 控制系统应对所有用户(人)提供唯一标识和认证的能力。 8.1.3 非可信网络的多因子认证 通过非可信网络访问(远程访问)控制系统时,控制系统应为其提供多因子认证的能力,但要拒 DB13/T 5002 2019 16 绝下行控制参数访问。 8.1.4 对所有网络的多因子认证 控制系统应为所有 用户(人)访问控制系统提供多因子认证的能力。 8.1.5 软件进程和设备的标识和认证 控制系统应提供标识和认证所有用户(软件进程和设备)的能力。 8.1.6 唯一标识和认证 本项目包括但不限于: 控制系统应对所有用户(软件进程、设备)提供唯一标识和认证的能力。 8.
40、1.7 失败的登录尝试 控制系统应具备登录失败处理功能。 8.2 使用控制 8.2.1 会话锁 控制系统应具备用户超时锁定功能。 8.2.2 远程会话终止 控制系统应提供在可配置的不活跃时间周期后自动终止远程会话或由用户手动终止远程会话的能 力。 8.2.3 并发会话控制 对任意给定用户(人、软件进程或设备), 控制系统应提供将每个接口的并发会话的数目限制为一 个可配置的数目的能力。 8.3 系统完整性 8.3.1 通信完整性 控制系统应具备通信完整性功能。 8.3.2 基于密码技术的完整性保护 控制系统应提供能力采用密码技术来保证信息在传输过程中的完整性。 8.3.3 会话完整性 控制系统应
41、具备会话完整性保护机制。 8.3.4 会话终止后会话 ID 失效 在用户退出或会话终止(包括浏览器会话)后,控制系统应提供使其会话标识失效的能力。 8.3.5 唯一会话 ID 的产生和承认 控制系统应提供为每个会话生成唯一会话标识 id 的能力。 DB13/T 5002 2019 17 8.3.6 会话 ID 的随机性 控制系统应提供随机会话标识的能力 ,防止被追踪。 8.4 数据保密性 控制系统元器件被移除后,应清除其储存的相关数据,确保不被他人获取。 9 系统防护级别与能力要求 系统能力评估的目的是为了了解系统的当前安全状况,确定系统是否达到安全标准的要求,保证 系统能够在技术上免受攻击。
42、系统防护等级分为四个级别,第一级为基础级,第四级为最高级,不同 的安全级别需要系统具有不同的安全能力,具体的映射关系见附录 A。 DB13/T 5002 2019 18 附 录 A (规范性附录) 系统能力要求与安全级别的映射 表 A.1规定了系统能力要求与安全级别的映 射。 表 A.1 系统能力要求与安全级别的映射 系统能力要求 安全级别 第一级 第二级 第三级 第四级 1. 物 理 和 环境安全 1.1 安全区域 1.1.1 物理安全周边防护 1.1.2 物理入口控制 1.1.3 办公室区域的安全防护 1.1.4 外部和环境的安全防护 1.1.5 公共访问、交换区域安全 1.1.6 安全区
43、域工作 1.2 设备安全 1.2.1 设备安置和保护 1.2.2 支持性设施 1.2.3 布缆安全 1.2.4 设备维护 1.2.5 组织机构场所外的设备安全 1.2.6 设备的安全处置或再利用 1.2.7 资产的移动 2. 网 络 安 全 2.1网络访问控 制 2.1.1 网络服务的策略 2.1.2 外部连接的用户鉴别 2.1.3 网络设备标识 2.1.4 远程诊断和配置端口 2.1.5 网络隔离 2.1.6 网络连接控制 2.1.7 经由非可信网络的访问 2.1.8 明确对访问请求的批准 2.2.9 无线使用控制 2.2.10 对未授权的无线设备进行识别和 报告 2.2 监视 2.2.1
44、审计记录 2.2.2 监视系统的使用 2.2.3 日志信息的保护 2.2.4 管理员和操作日志 2.2.5 故障日志 2.2.6 时 钟同步 DB13/T 5002 2019 19 表 A.1 系统能力要求与安全级别的映射 (续) 系统能力要求 安全级别 第一级 第二级 第三级 第四级 2.3 限制的数据 流 2.3.1 网络分区 2.3.2 物理网络分区 2.3.3 与非控制系统网络的独立性 2.3.4 关键网络的逻辑和物理隔离 2.3.5 区域边界防护 2.3.6 默认拒绝,例外允许 2.3.7 孤岛模型 2.3.8 故障关闭 2.4 持续监视 2.4 持续监视 2.5 资源可用性 2.5.1 拒绝服务的防护 2.5.2 管理通信负荷 2.5.3 限制拒绝服务攻击对其他系统和网 络的影响 3.主机安 全 3.1 操作系统访 问控制 3.1.1 安全登录规程 3.1.2 用户标识和鉴别 3.1.3 口令管理系统 3.1.4 系统实用工具的使用
