DB43 T 1346-2017 制造行业分布式数控（DNC）系统安全技术要求.pdf

资源描述

1、制造行业分布式数控（DNC）系统安全技术要求Security Technical Requirementsof Distributed NumericalControl System for Manufacturing Industry湖南省质量技术监督局发布2018-02-15 实施2017-12-14 发布湖南省地方标准DB43DB43/T 13462017 ICS 35.240.50L 67DB43/T 13462017 I 目次前言 1 范围 12 规范性引用文件 13 术语和定义 13.1 分布式数控 distributed numerical control 23.2 数控

2、机床 numerical control 23.3 制造执行系统 manufacturing execution system 23.4 虚拟专用网络 virtual private network 23.5 恶意代码 unwanted code 23.6 鉴别 authentication 23.7 远程访问 remote access 24 DNC 系统安全概述 24.1 DNC 系统基本组成 24.2 DNC 系统安全目标 34.3 DNC 系统安全威胁 34.4 DNC 系统安全防护原则 45 DNC 系统安全技术要求 55.1 物理安全 55.2 网络安全 65.3 主机安全 85.

3、4 应用安全 105.5 数据安全 115.6 设备安全 125.7 本质安全 13DB43/T 13462017 II 前言本标准按照GB/T 1.12009给出的规则起草。本标准由湖南省经济和信息化委员会提出并归口。本标准起草单位：湖南省产商品质量监督检验研究院、龙芯中科技术有限公司、湘潭电机股份有限公司、北京威努特技术有限公司、湖南亚太城建工程有限公司。本标准主要起草人：苏光荣、胡伟武、赵亦军、胡思玉、杜安利、石成功、陈永东、黄敏、宋晓萍、刘志辉、林雄锋、毛良文、郑真真、黄凌果、冯艺、宁静、聂双发、郑建伟、郭洋、苏顺樑、刘建刚。本标准为首次发布。 DB43/T 1346201

4、7 1 制造行业分布式数控（DNC）系统安全技术要求 1 范围本标准规定了制造行业分布式数控（DNC）系统的安全防护技术要求。本标准适用于制造行业DNC系统安全建设和管理，包括已建成的和新建的DNC系统。 2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改版（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。 GB/T 5271.82001 信息技术词汇第8部分：安全 GB/T 5271.242000 信息技术词汇

5、第24部分：计算机集成制造 GB/T 153122008 制造业自动化术语 GB 178591999 计算机信息系统安全保护等级划分准则 GB/T 183362015 信息技术安全技术信息技术安全性评估准则 GB/T 187252008 制造业信息化技术术语 GB/T 202722006 信息安全技术操作系统安全技术要求 GB/T 210282007 信息安全技术服务器安全技术要求 GB/T 210502007 信息安全技术网络交换机安全技术要求（评估保证级3） GB/T 221862008 信息安全技术具有中央处理器的集成电路（IC）卡芯片安全技术要求（评估保证级4增强级

6、） GB/T 222392008 信息安全技术信息系统安全等级保护基本要求 GB/T 222402008 信息安全技术信息系统安全等级保护定级指南 GB/T 250702010 信息安全技术信息系统等级保护安全设计技术要求 GB/T 254862010 网络化制造技术术语 GB/T 30976.12014 工业控制系统信息安全第1部分：评估规范 GB/T 30976.22014 工业控制系统信息安全第2部分：验收规范 GB/T 329192016 信息安全技术工业控制系统安全控制应用指南 GB/T 330072016 工业通信网络网络和系统安全建立工业自动化和控制系统安全程序

7、 GB/T 33008.12016 工业自动化和控制系统网络安全可编程序控制器（PLC）工业和信息化部信软司338号文工业控制系统信息安全防护指南 3 术语和定义 GB/T 5271.82001、GB/T 5271.242000、GB/T 187252008、GB/T 153122008、GB/T 254862010确立的以及下列术语和定义适用于本标准。 DB43/T 13462017 23.1 分布式数控 distributed numerical control 用一台计算机控制几个分散的数控机床的一种控制系统。 3.2 数控机床 numerical control 采用数字控制技术来

8、对其操作过程进行控制的机床。 3.3 制造执行系统 manufacturing execution system 生产活动管理系统，该系统能启动、指导、响应并向生产管理人员报告在线、实时生产活动的情况。这个系统辅助执行制造订单的活动。 3.4 虚拟专用网络 virtual private network 虚拟专用网络指的是利用加解密技术在公用网络上建立非物理隔离的专用网络。 3.5 恶意代码 unwanted code 指没有任何作用却会带来危害的代码，常见的恶意代码有：病毒、蠕虫、木马、后门、脚本等。 3.6 鉴别 authentication 验证实体所声明的身份的动作。 3.7 远程访问

9、 remote access 从区域边界外部对控制系统的寻址访问。 4 DNC系统安全概述本部分首先介绍DNC系统组成，并针对DNC系统的安全威胁进行分析，说明制造行业DNC系统的安全防护原则。 4.1 DNC系统基本组成 DNC系统通常包括以下5个基本组成部分： a） DNC控制计算机，包括大容量存储器和I/O接口； b）通信系统，通过通信介质进行数据传递； c） DNC接口，包括RS-232、RS-485、RJ-45等； d） NC或CNC装置，自动化机床，包括数控切削机床、数控冲压机床、智能化集成机床等； e）软件系统，包括实时多任务操作系统、DNC通信软件、DNC管理和监控软件、

10、NC程序编辑软件等。有时还需要数据库管理系统、图形输入与编辑软件、刀具轨迹模拟和DNC接口管理软件等。 DNC系统组成示意图如下： DB43/T 13462017 3 图1 DNC系统组成示意图由于DNC系统的构成形式多种多样，系统的大小和复杂程度也各不相同。DNC系统可以小到只有一台DNC控制计算机控制多台数控机床，也可以大到包括单元层、车间层和工厂层。所以具体的DNC系统组成要根据其要求达到的目标和具体条件来决定。 DNC系统通常与制造执行系统（MES）紧密配合，以实现生产流程的集成化管理。 4.2 DNC系统安全目标 DNC系统的安全体系的目标可以根据需求而有所不同，但是安全建设的一般

11、目标可以描述如下： a）建立系统的安全指标、安全服务和过程要求； b）保护系统和用户的信息资源和资产； c）维护系统安全服务的信息和行为的完整性； d）维持经济和社会效益； e）避免由于系统的安全防护失效引起的安全事件。 4.3 DNC系统安全威胁随着智能制造的快速发展，制造行业DNC系统与办公网、互联网的互联互通成为必然趋势，进而引入更多的安全威胁。 DNC系统面临的安全威胁如下：表1 DNC系统安全威胁序号安全威胁描述 1 黑客入侵有组织的黑客团体对DNC系统进行恶意攻击、窃取数据，破坏DNC系统的正常运行。 2 旁路控制非授权者对DNC系统发送非法控制命令，导致系

12、统事故，甚至系统瓦解。 3 完整性破坏非授权修改DNC系统配置、程序、控制命令；非授权修改系统中的敏感数据。 DB43/T 13462017 4表1 DNC系统安全威胁（续）序号安全威胁描述 4 越权操作超越已授权限进行非法操作。 5 无意或故意行为无意或有意地泄漏口令等敏感信息，或不谨慎地配置访问控制规则等。 6 拦截篡改拦截或篡改DNC系统网络传输中的控制命令、参数设置等敏感数据。 7 非法用户非授权用户使用计算机或网络资源。 8 信息泄漏口令、证书等敏感信息泄密。 9 网络欺骗 Web服务欺骗攻击；IP欺骗攻击。 10 身份伪装入侵者伪装合法身份，进入DNC系统。

13、11 拒绝服务攻击向DNC系统通信网络发送大量雪崩数据，造成网络或系统瘫痪。 12 窃听黑客在通信信道上搭线窃听明文传输的敏感信息，为后续攻击做准备。 DNC系统的入侵途径如下：表2 DNC系统入侵途径序号入侵途径描述 1 外部网络 DNC系统联网之后攻击者从互联网、办公网发起针对DNC系统进行恶意攻击、窃取数据的入侵，破坏DNC系统的正常运行。 2 无线网络某些数控设备内置无线模块，导致攻击者通过无线网络接入DNC系统，进而发起恶意攻击、窃取数据等入侵行为，破坏DNC系统的正常运行。 3 远程维护通道未加防护的远程维护通道易被攻击者利用，发起入侵攻击，进而破坏DNC系统的正常

14、运行。 4 移动存储介质移动存储介质在DNC系统与外部网络之间混用，容易带入病毒木马，感染DNC控制计算机，影响DNC系统的正常运行。 5 内部人员内部人员的误操作或恶意破坏行为，影响DNC系统的正常运行。 4.4 DNC系统安全防护原则 4.4.1 总体要求在制造业领域，DNC系统强调的是制造自动化过程及相关设备的智能控制、监测与管理。它们在系统架构、设备操作系统、数据交换协议等方面与普通IT信息系统存在较大差异，而且更为关注系统的实时性与业务连续性。也就是说，DNC系统对系统设备的可用性、实时性、可控性等特性要求很高，在考虑DNC系统安全时要优先保证系统的可用性；其次，各组件之间存在

15、固有的关联，因此完整性次之；而对于数据保密性来说，由于DNC系统中传输的数据通常是控制命令和采集的原始数据，需要放在特定的背景下分析上下文内容才有意义，而且多是实时数据，所以对保密性的要求较低。除此之外，DNC系统还需保证实时性、可靠性和安全性等要求。因此DNC系统安全防护手段的部署和实施应结合上述特点，并遵循下列原则。 4.4.2 防护软件部署原则防护软件部署主要是指在DNC系统各个单元（如工作站、服务器等设备）上安装安全补丁、病毒防DB43/T 13462017 5 护、入侵检测、入侵防御等具有病毒查杀和阻止入侵行为的软件。在部署上述防护软件前，应采用离线仿真环境测试等手段确保其上线

16、后不影响DNC系统运行的可用性、实时性、可靠性和安全性；如果存在影响系统可用性、实时性、可靠性和安全性的较大风险，则撤销对系统造成影响的防护软件部署。 4.4.3 防护设备部署原则防护设备部署主要是指在DNC系统网络上接入具有防护功能的设备，如防火墙、网闸、安全交换机、入侵检测系统、入侵防御系统等。在部署防护设备前，应采用离线仿真环境测试等手段确保其上线后不影响正常的DNC系统运行的可用性、实时性、可靠性和安全性；如果存在影响系统可用性、实时性、可靠性和安全性的较大风险，则撤销对系统造成影响的防护设备的部署。 4.4.4 技术防护原则技术防护主要是指以技术的手段进行DNC系统的安全防护，

17、如访问控制、边界管理、管道通信等。在防护技术应用前，应采用离线仿真环境测试等手段在相同的DNC系统上进行严格的系统测试，确保其上线后不影响正常的DNC系统运行的可用性、实时性、可靠性和安全性；如果存在影响系统可用性、实时性、可靠性和安全性的较大风险，则撤销对系统造成影响的防护技术的使用。 4.4.5 纵深防御原则单一的安全产品、技术或者解决方案无法有效保护DNC系统，所以需要一种包含两个或者多个不同机制的多层防护策略，进行纵深防御架构的有效部署和实施，需要对DNC系统可能遭受的下列攻击和安全风险有全面的掌握，包括： a）网络边界的后门和漏洞； b）常见协议的漏洞； c）针对现场设备的攻

18、击； d）针对数据库的攻击； e）通信劫持和“中间人”攻击。在纵深防御技术各项设备或技术应用前，应采用离线仿真环境测试等手段确保其上线后不影响正常的DNC系统运行的可用性、实时性、可靠性和安全性；如果存在影响系统可用性、实时性、可靠性和安全性的较大风险，则撤销对系统造成影响的防护技术的使用。 5 DNC系统安全技术要求本部分针对DNC系统制定安全技术要求，从物理安全、网络安全、主机安全、应用安全、数据安全、设备安全以及本质安全七个方面进行细致规定。 5.1 物理安全 5.1.1 物理位置选择 a）机房场地应选择在具有防震、防风和防雨等能力的建筑内； b）机房场地应避免设在建筑物的顶

19、层或地下室，否则应加强防水和防潮措施。 5.1.2 物理访问控制 DB43/T 13462017 6a）机房（包括电子设备间）出入口应安排专人值守，控制、鉴别和记录进入的人员； b）需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； c）应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在进入重要区域前设置交付或安装等过渡区域； d）重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 5.1.3 防盗窃和防破坏 a）应将机房设备或主要部件进行固定，并设置明显的不易除去的标记； b）应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； c）应设置机房防盗报

20、警系统或设置有专人值守的视频监控系统。 5.1.4 防雷击 a）应将各类机柜、设施和设备等通过接地系统安全接地； b）应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等。 5.1.5 防火 a）应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火； b）机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料； c）应对机房划分区域进行管理，区域和区域之间设置隔离防火措施。 5.1.6 防水和防潮 a）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； b）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透； c）应安装对水敏感的检测仪表或元件，对机房进行防水检

21、测和报警。 5.1.7 防静电 a）应安装防静电地板并采用必要的接地防静电措施； b）应采用措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。 5.1.8 温湿度控制机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 5.1.9 电力供应 a）应在机房供电线路上配置稳压器和过电压防护设备； b）应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求； c）应设置冗余或并行的电力电缆线路为计算机系统供电。 5.1.10 电磁防护 a）电源线和通信线缆应隔离铺设，避免互相干扰； b）应对关键设备实施电磁屏蔽。 5.2 网络安全 DB4

22、3/T 13462017 7 5.2.1 网络隔离 a） DNC系统网络与互联网之间，不能有直接的网络连接。对确实需要的连接，应逐一进行登记，采取设置防火墙、单向隔离等措施加以防护，并定期进行风险评估，不断完善防范措施； b）原则上禁止通过互联网对 DNC 系统进行远程维护，确需远程维护的，应采用虚拟专用网络（VPN）等远程接入方式进行； c） DNC系统网络与企业管理网络之间，要求采用防火墙、单向隔离等措施进行隔离； d）禁止在DNC系统网络与企业管理网络之间交叉使用普通移动存储介质以及便携计算机； e） DNC系统与其它控制系统之间，要求采用工业防火墙进行逻辑隔离。 5.2.2 结构安

23、全 a）应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； b）应保证网络各个部分的带宽满足业务高峰期需要； c）应在DNC控制计算机与DNC服务器之间进行路由控制建立安全的访问路径； d）应绘制与当前运行情况相符的网络拓扑结构图； e）应根据DNC系统各组成部分的职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段； f）应避免将重要网段部署在网络边界处且直接连接外部网络，重要网段与其他网段之间采取可靠的技术隔离手段； g）应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先

24、保障重要主机。 5.2.3 访问控制 a）应在网络边界部署访问控制设备并配置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信； b）应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化； c）应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； d）应对进出网络的信息内容进行过滤，实现常用工业协议命令级的控制； e）应在会话处于非活跃的时间或会话结束后终止网络连接； f）应限制网络最大流量数及网络连接数； g）应采用IP/MAC地址绑定等技术手段以防止网络地址欺骗； h）应能够对非授权设备私自联到内部网络的行为进行检查

25、，准确定出位置，并对其进行有效阻断； i）应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 5.2.4 安全审计 a）应采用具备工业协议深度包检测功能的审计设备对网络进行安全审计； b）应生成安全相关审计记录，类别有：访问控制、请求错误、配置改变、组态变更、指令变更、程序下装、潜在的侦察活动和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户帐户）、分类、类型、事件 ID和事件结果； c）应能够为集中审计管理提供接口，将自身生成的审计记录上传； d）系统应设置足够的审计记录存储容量，提供审计机制来减少超出容量的可能性

26、； e）当分配审计记录存储值达到最大审计记录存储容量的配置比例时，系统应发出告警； DB43/T 13462017 8f）在审计事件的处理失败时，系统应警示人员和防止丧失基本服务和功能； g）应保护审计信息和审计工具（如有），防止其在未授权情况下被获取、修改和删除； h）应限制授权人员以只读方式访问审计日志，避免日志信息被篡改； i）应在网络边界、重要网络节点进行安全审计，对重要用户行为和重要安全事件进行审计。 5.2.5 入侵防范 a）应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等； b）应在关键

27、网络节点处检测从外部发起的网络攻击行为； c）应在关键网络节点处检测从内部发起的网络攻击行为； d）应采取技术措施对网络攻击行为进行分析，实现对网络攻击特别是未知新型网络攻击的检测和分析； e）当检测到攻击行为时，记录攻击源IP地址、攻击类型、攻击目的IP地址、攻击时间，在发生严重入侵事件时提供报警。 5.2.6 恶意代码防范 a）应在网络边界处对恶意代码进行检测和阻止； b）应维护恶意代码库的升级和检测系统的更新； c）应建立防病毒和恶意软件入侵管理机制，对系统及临时接入的设备采取病毒查杀等安全预防措施。 5.2.7 网络设备防护 a）应对登录网络设备的用户进行身份鉴别； b）

28、应对网络设备的管理员登录地址进行限制； c）网络设备用户的标识应唯一； d）主要网络设备应采用强度高于用户名+静态口令的认证机制实现用户身份鉴别，宜采用两种或两种以上组合的鉴别技术； e）口令应具有一定强度、长度和复杂度并定期更换，长度不得小于 8 位字符串，要求是字母和数字或特殊字符的组合，并且禁止口令与用户名相同； f）应对口令进行加密存储； g）应禁止正常网络运行、维护所不需要的服务； h）如果需要使用SNMP网管协议，应采用安全增强的SNMPv3 及以上版本； i）应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施； j）当对网

29、络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听，如采用 HTTPS、SSH 等安全远程管理协议。 5.2.8 无线安全 a）应对所有参与无线通信的用户（设备）提供唯一性标识和鉴别； b）应能识别未经授权的无线设备，报警并阻断未经授权试图接入或干扰系统的行为； c）应禁止采用WEP等不安全的加密方式，推荐采用WPA2-PSK加密。 5.3 主机安全 DB43/T 13462017 9 5.3.1 身份鉴别 a）应对登录系统的用户进行身份标识和鉴别； b）口令应具有一定强度、长度和复杂度并定期更换，长度不得小于8位字符串，要求是字母和数字或特殊字符的组合，并且禁止

30、口令与用户名相同； c）应防止所有用户账户重复使用同一批口令，并加强用户口令的最大和最小有效期的使用限制； d）应在可配置的时间周期内，对连续无效的访问进行可配置次数限制；当访问次数超出限制后，可采取结束会话、限制非法登录次数和自动退出等措施； e）应为系统的不同用户分配不同的用户名，确保用户名具有唯一性； f）应采用强度高于用户名+静态口令的认证机制对管理用户进行身份鉴别，宜采用两种或两种以上组合的鉴别技术。 5.3.2 访问控制 a）应启用访问控制功能，依据安全策略控制用户对资源的访问； b）应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限。

31、c）应根据职责分离和最小权限实施特权用户的权限分离； d）应重命名系统默认账户，修改默认口令，禁止在工程师站、操作员站、服务器使用默认账户； e）应及时删除多余的、过期的账户，避免共享账户的存在； f）应对重要信息资源设置敏感标记； g）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 5.3.3 安全审计 a）审计范围应覆盖到系统内每个用户； b）应生成安全相关审计记录，类别有：访问控制、请求错误、控制系统事件、备份和恢复事件、配置改变和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户帐户）、分类、类型、事件 ID和事件结果； c）应

32、能够为集中审计管理提供接口，将自身生成的审计记录上传； d）应能够根据审计记录数据进行分析，并生成审计报表； e）应保护审计进程，避免受到未预期的中断； f）应保护审计信息和审计工具（如有），防止其在未授权情况下被获取、修改和删除。 5.3.4 剩余信息保护 a）应保证系统用户的鉴别信息所在的存储空间，被释放或再分配给其它用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中； b）应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其它用户前得到完全清除。 5.3.5 入侵防范 a）应能够检测到对DNC控制计算机、DNC服务器等重要设备进行入侵的行

33、为，能够记录入侵的源IP地址、攻击类型、攻击目的IP地址、攻击时间，并在发生严重入侵事件时提供报警； b）应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施； c）应在有效的补救条件下识别和处理入侵行为，该过程不应泄露任何安全相关信息，除非及时排除故障会不可避免地泄露某些信息； DB43/T 13462017 10 d）所有主机设备操作系统采用最小化系统安装原则，除了必要的安全组件或软件外，只安装与自身业务相关的操作系统组件及应用软件，关闭业务应用正常运行所不需要的服务和端口； e）应安装应用程序白名单软件进行恶意代码防范，阻止非授权软件及恶意代码的执行。 5.

34、3.6 恶意代码防范 a）应采用应用程序白名单软件进行恶意代码防范，只允许经过企业自身授权和安全评估的软件运行； b）防护软件部署之前应经过离线环境充分验证测试； c）恶意代码的防护不应改变系统的配置、读取敏感信息、消耗大量系统资源、影响系统的可用性； d）应能够限制可能造成损害的移动代码执行使用，包括：防止移动代码的执行；对于代码的来源要求适当的鉴别；限制移动代码传入/传出控制系统；监视移动代码的使用； e）应通过集中管理工具管理恶意代码防护机制。 5.3.7 资源控制 a）应通过设定终端接入方式、网络地址范围等条件限制未经授权终端登录； b）应通过手动或在一个可配置非活动周期

35、后系统自动启动会话锁定防止进一步访问。会话锁定应一直保持有效，直到拥有会话的用户或其它授权的用户使用适当的身份标识和鉴别规程重新建立访问； c）应对DNC服务器系统运行资源进行监视，包括CPU、硬盘、内存、网络等资源的使用情况； d）应限制单个用户对系统资源的最大或最小使用限度； e）磁盘剩余空间应能满足近一段时间的业务需求； f）应能够对系统的服务水平降低到预先规定的最小值进行监测和报警。 5.4 应用安全 5.4.1 身份鉴别 a）应唯一地标识和鉴别所有人员用户。用户访问DNC系统时，应根据适用的安全策略和规程实施职责分离和最小权限； b）应提供用户身份标识唯一和鉴别信息复杂度

36、检查功能，保证DNC系统中不存在重复用户身份标识，身份鉴别信息不易被冒用； c）应防止任何已有的用户账户重复使用同一批口令，并加强用户口令的最大和最小有效期的使用限制； d）应提供登录失败处理功能，对连续无效访问尝试对可配置次数进行限制，当访问次数超出限制后，应进行报警并禁止用户登录； e）采用用户名+静态口令方式认证的，强制用户在第一次登录系统时修改分发的初始口令，并提供对鉴别用户口令复杂度检查功能。用户口令不得小于 8 位字符串，要求是字母和数字或特殊字符的组合，并且禁止口令与用户名相同； f）应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，

37、并对口令长度、复杂度类型、最长使用时间，允许登录失败次数、登录失效时间等参数进行配置； g）对于代表关键服务或者服务器运行的系统账户，应不允许交互式登录。 5.4.2 访问控制 DB43/T 13462017 11 a）应提供访问控制功能，依据安全策略控制用户对系统、设备、文件及数据库表等客体的访问； b）访问控制的覆盖范围应包括与资源访问相关的主体（如用户）、客体（如文件、数据库表）及它们之间的操作（读取、输入、修改、删除等）； c）应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限； d）应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。 5

38、.4.3 安全审计 a）应提供覆盖到每个用户的安全审计功能，对DNC系统的重要安全事件进行审计，包括但不限于以下事件：访问控制、请求错误、配置改变、关键操作和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户帐户）、分类、类型、事件 ID和事件结果； b）应能够为集中审计管理提供接口，将自身生成的审计记录上传； c）应对审计进程进行保护，防止未经授权的中断； d）应保护审计信息和审计工具（如有），防止其在未授权情况下被获取、修改和删除； e）审计记录只有管理员或需要访问的特殊用户能够访问，授权用户应通过只读方式访问审计日志，以避免审计记录被篡改； f

39、）应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。 5.4.4 剩余信息保护 a）应保证用户口令等关键鉴别信息所在的存储空间被释放或再分配给其它用户前得到完全清除；保证程序退出后，清空内存中曾经存储的用户口令等关键鉴别信息；清空硬盘临时文件中曾经存储的用户口令等关键鉴别信息； b）在应用软件的各组成部分中都不能存储明文的口令数据，以及其它可以被利用进行会话重放的信息； c）应保证重要业务数据所在的存储空间被释放或再分配给其它用户前得到完全清除。 5.4.5 软件容错 a）应提供数据有效性检验功能，保证输入的数据格式或长度符合系统设定要求； b）在故障发生时，应能够继续

40、提供基本功能，确保能够实施必要的措施，使系统恢复正常状态或保护现存数据安全； c）应定义分级的系统异常事件，并且根据异常事件的严重程度采用不同的方式进行告警； d）在出现故障时，DNC系统应具有进行自我恢复的能力。具体需要满足以下要求： 1）在出现故障时，能够自动保存故障前一刻的运行状态； 2）在出现故障并终止后，能够按照故障前一刻的运行状态自动恢复运行。 5.4.6 资源控制 a）当系统通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话； b）应能够对系统的最大并发会话连接数进行限制； c）应能够对单个帐户的多重并发会话进行限制，防止单用户会话的重用。确保一个客

41、户端只能有一个用户同时登录到系统中，一个用户只允许同时在一个客户端登录到系统中； d）应能够对系统服务水平降低到预先规定的最小值进行检测和报警。 5.5 数据安全 DB43/T 13462017 12 5.5.1 数据完整性 a）应采用技术手段保护传输信息的完整性； b）应检测、记录、报告、防止对数据的未经授权更改； c）应采用校验码技术或加解密技术或同等安全性的技术手段保证重要数据在存储过程中的完整性； d）应能检测到系统重要数据在传输和存储过程中完整性受到破坏，并及时采取必要的恢复措施。 5.5.2 数据保密性 a）无论在信息存储或传输时，应采用加密或其它有效措施对数据提供保密

42、性保护； b）当信息穿过任何网络边界时，应采取加密或其他有效措施保护其保密性； c）在进行加密时，应采用符合国家保密要求的加密算法、密钥长度和机制。 5.5.3 备份和恢复 a）应提供本地数据备份与恢复功能，自动或手动备份数据； b）应在不影响正常设备使用的前提下，识别和定位关键文件，以及备份用户级和系统级的信息（包括系统状态信息）； c）应验证备份机制的可靠性； d）应定期记录一个安全状态，在系统受到破坏或发生失效后，应能够恢复和重构系统到一个已知的安全状态； e）应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障； f）应提供主要网络设备、通信线路和数据处理系统的硬件

43、冗余，保证系统的高可用性。 5.6 设备安全 5.6.1 身份鉴别 a）应对设备的远程管理、指令变更、组态变更、程序下装等重要操作行为进行身份鉴别，设备自身不具备识别能力的应采用其他技术方法或管理手段； b）禁止使用默认账户和密码，密码应有长度和复杂度要求，以防止通过如猜测或暴力破解等手段通过验证。若安全性不够，应使用其他手段；密码应设定有效期限，并定期更换； c）应具有鉴别失败处理功能，应配置并启用结束会话、限制非法登录次数并报警，当登录连接超时自动退出等相关措施； d）应采取必要的措施，防止鉴别信息在传输过程中被窃听； e）应强化工业控制设备的用户口令，应防止任何已有的用户账户重

44、复使用同一批口令，并加强用户口令的最大和最小有效期的使用，限制用户口令的最大和最小有效期； f）对于使用口令鉴别机制的设备，设备应具有通过设置最小长度和多种字符类型，从而达到强制配置口令强度的能力；可能对实时性产生影响进而影响到系统正常操作的，应采用其他替代安全手段或通过管理手段弥补。 5.6.2 安全审计 a）应提供生成安全相关审计记录的能力，类别有：访问控制、请求错误、配置改变、指令变更、组态变更、程序下装、潜在的侦察活动和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户帐户）、分类、类型、事件 ID和事件结果； DB43/T 13462017 13 b）应能

45、够针对重要操作行为生成安全相关审计记录，审计内容应达到指令级； c）应保护审计信息和审计工具（如有），防止其在未授权情况下被获取、修改和删除； d）应限制授权人员以只读方式访问审计日志，避免日志信息被篡改； e）应启用安全审计功能，对重要的用户行为和重要安全事件进行审计； f）应能够为集中审计管理提供接口，将自身生成的审计记录上传。 5.6.3 访问控制 a）应支持授权用户管理所有帐户，包括添加、激活、修改、禁用和删除帐户； b）应在一个可配置非活动时间周期后自动地，或由发起会话的用户手动终止远程会话； c）应根据职责分离和最小权限原则对用户实施控制系统的控制使用授权； d）

46、应限制用户或角色对系统内重要配置文件进行未授权的删除和修改； e）应授权用户或角色对所有人员用户的访问权限进行规定和修改； f）在日常维护时，应支持安全功能操作的验证和报告异常事件； g）应及时删除多余的、过期的账户，避免共享账户的存在。 5.6.4 入侵防范 a）应在有效的补救条件下，识别和处理入侵行为。在此过程中，不应暴露任何可被攻击者利用的设备信息，除非排除故障过程中应透露这一信息； b）应遵循最小安装的原则，仅安装设备需要的组件和应用程序； c）应关闭设备不需要的系统服务、默认共享和高危端口； d）应采用白名单技术对设备内必要的业务组件、系统组件和安全软件等执行程序保护

47、，保证相关可执行程序的可用性、完整性； e）停机维护期间，应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞。 5.6.5 数据完整性 a）对于采用网络通讯的设备，应保护传输信息完整性； b）对于采用网络通讯的设备，应保护防止对数据的未经授权更改； c）对于采用网络通讯的设备，在完整性验证过程中发现差异时，应提供自动化工具通知给一组可配置的接收者。 5.6.6 数据备份恢复 a）对于采用网络通讯的设备，应在不影响正常设备使用的前提下，提供关键文件的识别和定位，包括设备状态信息的能力； b）对于采用网络通讯的设备，应提供验证备份机制可靠性的能力； c）对于采用网络通讯的设备，在受到破坏或发生失效后，应恢复和重构设备到一个已知的安全状态。 5.7 本质安全 5.7.1 工业设备 a）应建立工业设备和工业软件的安全准入机制，禁止选用经国家相关管理部门检测认定并通报存在漏洞和风险的系统及设备，对于已经投入运行的设备，应按照国家相关标准及

展开阅读全文