1 范围
本文件规定了奶业加工智能化控制系统中各个环节的信息安全技术方面的要求,明确了奶业加工智能化控制系统信息安全的控制基线。
本文件适用于全区奶业加工智能化控制系统的设计、建设,也可作为奶业加工智能化控制系统安全性测试、评估的依据。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22239 信息安全技术 网络安全等级保护基本要求
GB/T 25069 信息安全技术 术语
GB 50016 建筑设计防火规范
GB 50174 数据中心设计规范
3 术语和定义
下列术语和定义适用于本文件。
3.1
奶业加工智能化控制系统 intelligent contorl system for dairy industray
由现代奶业加工机械、电气、电子、通信及系统管理与信息技术、计算机网络技术、行业技术、智能控制技术汇集而成的针对奶业加工生产应用的智能集合。
3.2
工业主机 industrial host
工业生产控制各业务环节涉及组态、工作流程和工艺管理、状态监控、运行数据采集以及重要信息存储等工作的设备载体。
3.3
工程师站 engineer station
供工业过程控制工程师使用的,对计算机系统进行组态、编程、修改等的工作站。
3.4
工业控制网络边界 industrial control network boundary
工业控制系统的安全计算环境边界, 以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。
3.5
深度包检测 deep packet inspection
一种计算机网络数据包过滤技术,用来检查通过检测点之数据包的数据部分(亦可能包含其标头),以搜索不匹配规范之协议、病毒、垃圾邮件、入侵,或以预定之准则来决定数据包是否可通过或需被路由至其他不同目的地,亦或是为了收集统计数据之目的。
4 缩略语
下列缩略语适用于本文件。
DCS:集散控制系统(Distributed Control System)
ICS:工业控制系统(Industrial Control System)
ID:身份证标识号、账号(Identity document)
PLC:可编程逻辑控制器(Programmable Logic Controller)
SCADA:数据采集与监视控制系统(Supervisory Control And Data Acquisition)
VPN: 虚拟专用网络(Virtual Private Network)
5 奶业加工智能化控制系统信息安全概述
5.1 奶业加工智能化控制系统安全框架
奶业加工智能化控制系统是几种类型的控制系统的总称,包括数据采集与视频监视控制系统(SCADA)、集散控制系统(DCS)和其他控制系统。奶业加工智能化控制系统的信息安全特性取决于其设计、管理、建设和环境条件等各种因素。
5.2 奶业加工智能化控制系统安全目标
奶业加工智能化控制系统的安全以可用性、完整性、保密性为主要目标,其中保障生产系统的可用性尤其重要;奶业加工智能化控制系统的安全威胁一般是利用Windows系统、工业软件系统(如SCADA、DCS)以及开放的标准工业通信协议的多个漏洞进行攻击;此外,由于专用的工业以太网通信协议(如PROFINET、Ethernet/IP、Modbus等)在设计时并未考虑信息安全防护,存在安全漏洞。
5.3 奶业加工智能化控制系统保护原则
保护奶业加工智能化控制系统首先是保护现场系统(如 PLC、DCS 等),保护生产连续性,其次是保护中央服务器等资产。在实际生产环境中,一些设备如果实现特定类型的安全措施可能会终止其连续运行,原则上所提出的安全防护技术要求不应对奶业加工智能化控制系统的功能安全产生不利影响。
6 信息安全技术要求
6.1 物理和环境防护
6.1.1 安全目标
建立完善的物理环境安全机制,优化物理环境下的操作管理,以保证数据的可用性、保密性和完整性,规范设备所处物理环境的安全性,防止对组织场所和信息的未授权物理访问、损坏和干扰。
6.1.2 技术要求
6.1.2.1 物理位置选择
本项要求包括:
a) 机房应选择在具有防雷、防震、防风和防雨等能力的建筑内;
b) 奶业企业应根据程师站、数据库、服务器等工业控制软硬件的重要性,自行明确重点物理安全防护区域;
c) 机房场地应避免设在建筑物的高层或地下室以及用水设备的下层或隔壁;如果不可避免,应采取有效防水和防潮、有效固定等措施;
d) 如果机房周围有用水设备,应有防渗水和疏导措施;
e) 机房外墙壁应没有对外的窗户;否则,应采用双层固定窗并作密封、防水处理。
6.1.2.2 物理访问控制
本项要求包括:
a) 需进入机房的来访人员应经过申请和审批流程,记录带进带出的设备、进出时间、工作内容, 并有专人陪同并限制和监控其活动范围;带入的设备使用前要进行系统扫描、使用过程中要进行行为监测,设备带出前要对工作日志等进行审计;
b) 机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录人员的进出情况,人员进出记录应至少保存 6 个月 ;
c) 机房出入口应有视频监控,监控记录至少保存 3 个月 ;
d) 重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施;
e) 重要区域应配置第二道电子门禁系统,控制、鉴别和记录进入的人员。
6.1.2.3 防盗窃和防破坏
本项要求包括:
a) 应把服务器、路由器、交换机等主要设备放置在机房内;
b) 应把设备或主要部件进行固定,并设置明显的不易除去的标记,如粘贴标签或铭牌;
c) 应把通信线缆铺设在隐蔽处,可铺设在地下或管道中;
d) 应设置冗余或并行的电力电缆线路为奶业加工智能化控制系统供电,输入电源应采用双回路自动切换供电方式。
6.1.2.4 防雷击
本项要求包括:
a) 机房应设计并安装防雷击措施,并在机房所在大楼防雷措施基础上另外采取加强防护措施;
b) 机房应设置交流电源地线,各类机柜、设施和设备等通过接地系统安全接地。
c) 机房防雷设计除应符合本规范外,应同时符合 GB 50174 的有关规定。
6.1.2.5 防火
本项要求包括:
a) 机房应设置灭火设备;
以上为标准部分内容,也可点击下方链接下载标准原文:
