（高清版）GBT 41260-2022 數(shù)字化車間信息安全要求

數(shù)字化車間信息安全要求2022-03-09發(fā)布I前言 12規(guī)范性引用文件 13術(shù)語和定義、縮略語 13.1術(shù)語和定義 13.2縮略語 44數(shù)字化車間信息安全總則 44.1數(shù)字化車間信息安全范圍 44.2數(shù)字化車間信息安全基本要求 54.3數(shù)字化車間信息安全分析流程 65數(shù)字化車間信息安全管理要求 75.1概述 75.2信息安全管理制度 75.3信息安全管理崗位與職責(zé) 75.4人員管理 85.5風(fēng)險(xiǎn)管理 85.6物理訪問控制管理 95.7運(yùn)維安全管理 95.8監(jiān)視和評審信息安全管理的有效性 95.9保持和改進(jìn) 6數(shù)字化車間信息安全技術(shù)要求 6.1概述 6.2區(qū)域劃分與邊界防護(hù) 6.3身份鑒別與認(rèn)證 6.4使用控制 6.5資源控制 6.6數(shù)據(jù)安全 6.7安全審計(jì) 附錄A(資料性)數(shù)字化車間信息安全常見威脅源 附錄B(資料性)典型機(jī)械制造行業(yè)數(shù)字化車間信息安全示例 B.1概述 B.2確定保護(hù)對象與目標(biāo) B.3風(fēng)險(xiǎn)分析與處置 B.4安全防護(hù)需求與安全策略 B.5安全確認(rèn)與評估 ⅡB.6運(yùn)行與維護(hù) 附錄C(規(guī)范性)數(shù)字化車間信息安全增強(qiáng)要求 C.1概述 C.2區(qū)域劃分與邊界防護(hù) C.3身份鑒別與認(rèn)證 C.4使用控制 C.5資源控制 C.6數(shù)據(jù)安全 C.7安全審計(jì) 參考文獻(xiàn) 圖1數(shù)字化車間信息安全范圍(實(shí)線部分) 5圖2數(shù)字化車間信息安全分析流程 7圖B.1機(jī)械制造行業(yè)典型架構(gòu) 圖B.2典型工程/數(shù)字化車間安全架構(gòu) ⅢGB/T41260—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國機(jī)械工業(yè)聯(lián)合會(huì)提出。本文件由全國工業(yè)過程測量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC124)歸口。本文件起草單位：機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所、中國石油集團(tuán)安全環(huán)保技術(shù)研究院有限公司、重慶信安網(wǎng)絡(luò)安全等級(jí)測評有限公司、浙江中控技術(shù)股份有限公司、國能智深控制技術(shù)有限公司、深圳市標(biāo)利科技開發(fā)有限公司、寧波和利時(shí)信息安全研究院有限公司、中國科學(xué)院沈陽自動(dòng)化研究所、中國電力工程顧問集團(tuán)華北電力設(shè)計(jì)院有限公司、北京市勞動(dòng)保護(hù)科學(xué)研究所、工業(yè)和信息化部計(jì)算機(jī)與微電子發(fā)展研究中心(中國軟件評測中心)、上海工業(yè)自動(dòng)化儀表研究院有限公司、西門子(中國)有限公司、菲尼克斯(南京)智能制造技術(shù)工程有限公司、長沙有色冶金設(shè)計(jì)研究院有限公司、羅克韋爾自動(dòng)化(中國)有限公司、快克智能裝備股份有限公司。數(shù)字化車間較傳統(tǒng)生產(chǎn)車間具有數(shù)字化、網(wǎng)絡(luò)化、智能化等特點(diǎn)，互聯(lián)互通互操作成為數(shù)字化車間建設(shè)的基本特征。生產(chǎn)車間的邊界被擴(kuò)大，傳統(tǒng)信息安全的威脅將會(huì)滲透到數(shù)字化車間內(nèi)部，而數(shù)字化車間內(nèi)的各類設(shè)備、系統(tǒng)設(shè)計(jì)之初主要是面向可用性而非安全性，信息安全防護(hù)能力普遍低下；數(shù)字化車間系統(tǒng)化的特性也導(dǎo)致信息安全產(chǎn)生的影響變得更大，一個(gè)局部的影響可能導(dǎo)致整個(gè)車間的停運(yùn)；與此同時(shí)，物聯(lián)網(wǎng)及新興網(wǎng)絡(luò)和通信技術(shù)等的應(yīng)用也會(huì)把外部威脅直接引入到生產(chǎn)現(xiàn)場，因此數(shù)字化車間的建設(shè)應(yīng)充分考慮信息安全的因素。本文件以數(shù)字化車間為對象，充分考慮數(shù)字化車間的特點(diǎn)，從管理與技術(shù)兩個(gè)方面提出信息安全要求。1數(shù)字化車間信息安全要求本文件規(guī)定了數(shù)字化車間信息安全總則、管理要求和技術(shù)要求等。本文件適用于針對數(shù)字化車間的工程設(shè)計(jì)、設(shè)備生產(chǎn)、系統(tǒng)集成、生產(chǎn)運(yùn)維、安全評估等信息安全活動(dòng)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T37413—2019數(shù)字化車間術(shù)語和定義communicationnetworks—Network3.1術(shù)語和定義GB/T37413—2019和IEC62443-1-1:2009界定的以及下列術(shù)語和定義適用于本文件。以生產(chǎn)對象所要求的工藝和設(shè)備為基礎(chǔ)，以信息技術(shù)、自動(dòng)化、測控技術(shù)等為手段，用數(shù)據(jù)連接車間不同單元，對生產(chǎn)運(yùn)行過程進(jìn)行規(guī)劃、管理、診斷和優(yōu)化的實(shí)施單元。注：在本文件中，數(shù)字化車間僅包括生產(chǎn)規(guī)劃、生產(chǎn)工藝、生產(chǎn)執(zhí)行階段，不包括產(chǎn)品設(shè)計(jì)、服務(wù)和支持等階段。數(shù)字化車間擁有或保管的物理或邏輯對象，該對象對數(shù)字化車間具有潛在或?qū)嶋H的價(jià)值。注：在工業(yè)自動(dòng)化和控制系統(tǒng)的情況下，具有最大直接可測量價(jià)值的實(shí)物資產(chǎn)可能是受控設(shè)備。生產(chǎn)系統(tǒng)productionsystem為完成數(shù)字化車間生產(chǎn)任務(wù)而需要的各類硬件、軟件以及人員的集合。注：數(shù)字化車間生產(chǎn)系統(tǒng)包括但不限于。a)可編程邏輯控制器(PLC)、智能電子設(shè)備(IED)、分布式控制系統(tǒng)(DCS)、緊急停車系統(tǒng)(ESD)、安全儀表系統(tǒng)(SIS)、監(jiān)視控制與數(shù)據(jù)采集(SCADA)系統(tǒng)、運(yùn)動(dòng)控制(MC)系統(tǒng)、數(shù)控系統(tǒng)(CNC)、柔性制造系統(tǒng)(FMS)等系統(tǒng)。2感知控制層thelayerofperceptionandcontrol定義了感知和操控車間物理流程的活動(dòng)。監(jiān)控層thelayerofmonitoring定義了監(jiān)測和控制車間物理流程的活動(dòng)。a)保護(hù)系統(tǒng)所采取的措施；b)由建立和維護(hù)保護(hù)系統(tǒng)的措施而產(chǎn)生的系統(tǒng)狀態(tài)；c)能夠免于非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失的系統(tǒng)資源的狀態(tài)；d)基于計(jì)算機(jī)系統(tǒng)的能力，能夠提供充分的把握使非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)能力，卻保證授權(quán)人員和系統(tǒng)不被阻止；e)防止對工業(yè)自動(dòng)化和控制系統(tǒng)的非法或有害的入侵，或者干擾其正確和計(jì)劃的操作。注：措施可以是與物理信息安全(控制物理訪問計(jì)算機(jī)的資產(chǎn))或者邏輯信息安全(登錄給定系統(tǒng)和應(yīng)用的能力)相系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)或操作和管理中存在的缺陷或弱點(diǎn)，可被利用來危害系統(tǒng)的完整性或安保策略。可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因。信息安全風(fēng)險(xiǎn)informationsecurityrisk人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)。選擇并且執(zhí)行措施來更改風(fēng)險(xiǎn)的過程。3經(jīng)過風(fēng)險(xiǎn)處置后遺留的風(fēng)險(xiǎn)。安全事件securityincident系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別狀態(tài)的發(fā)生，它可能是對安全策略的違反或防護(hù)措施的失效，或未預(yù)知的不安全狀況。數(shù)據(jù)或資源的特性，被授權(quán)實(shí)體按要求能訪問和使用數(shù)據(jù)或資源。保證信息及信息系統(tǒng)不會(huì)被非授權(quán)更改或破壞的特性。注：包括數(shù)據(jù)完整性和系統(tǒng)完整性。數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給非授權(quán)的個(gè)人、過程或其他實(shí)體的共享相同信息安全要求的邏輯資產(chǎn)或物理資產(chǎn)的集合。注：區(qū)域具有清晰的邊界。一個(gè)信息安全區(qū)域的信息安全策略在其內(nèi)部和邊界都要強(qiáng)制執(zhí)行。獨(dú)立審查和記錄檢查，以確保遵守既定的政策和操作程序，并建議必要的控制變更。保護(hù)系統(tǒng)資源防止未經(jīng)授權(quán)的訪問；系統(tǒng)資源使用的過程是根據(jù)安全策略規(guī)定的，并且根據(jù)該策略4身份所聲明特征正確性的保證行為。依據(jù)安全策略可以執(zhí)行某項(xiàng)操作的用戶。下列縮略語適用于本文件。APT:高級(jí)持續(xù)性威脅(AdvancedPersistentThreat)CAD:計(jì)算機(jī)輔助設(shè)計(jì)(ComputerAidedDesign)CAE:計(jì)算機(jī)輔助工程(ComputerAidedEngineering)CNC:數(shù)控系統(tǒng)(ComputerNumericalControl)DCS:分布式控制系統(tǒng)(DistributedControlSystem)DDoS:分布式拒絕服務(wù)(DistributedDenialofService)DMZ:非軍事區(qū)(DemilitarizedZone)DNC:分布式數(shù)控(DistributedNumericalControl)DoS:拒絕服務(wù)攻擊(DenialofService)ERP:企業(yè)資源計(jì)劃(EnterpriseResourcePlanning)ESD:緊急停車系統(tǒng)(EmergencyShutdownDevice)FMS:柔性制造系統(tǒng)(FlexibleManufacturingSystem)HMI:人機(jī)界面(HumanMachineInterface)MES:制造執(zhí)行系統(tǒng)(ManufacturingExecutionSystem)PLC:可編程邏輯控制器(ProgrammableLogicController)PLM:產(chǎn)品生命周期管理(ProductLifecycleManagement)RFID:無線射頻識(shí)別(RadioFrequencyIdentification)SIS:安全儀表系統(tǒng)(SafetyInstrumentedSystem)VLAN:虛擬本地網(wǎng)(VirtualLocalAreaNetwork)4數(shù)字化車間信息安全總則4.1數(shù)字化車間信息安全范圍數(shù)字化車間的基礎(chǔ)層包括了數(shù)字化車間生產(chǎn)制造所必需的各種制造設(shè)備及生產(chǎn)資源，其中制造設(shè)RFID等技術(shù)進(jìn)行標(biāo)識(shí)，參與生產(chǎn)過程并通過其數(shù)字化標(biāo)識(shí)與系統(tǒng)進(jìn)行自動(dòng)或半自動(dòng)交互。5GB/T41260—2022這里基礎(chǔ)層通?？梢约?xì)分為兩層：感知控制層與監(jiān)控層。數(shù)字化車間的執(zhí)行層主要包括車間計(jì)劃與調(diào)度、生產(chǎn)物流管理、工藝執(zhí)行與管理、生產(chǎn)過程質(zhì)量管理、車間設(shè)備管理五個(gè)功能模塊，對生產(chǎn)過程中的各類業(yè)務(wù)、活動(dòng)或相關(guān)資產(chǎn)進(jìn)行管理，實(shí)現(xiàn)車間制造過程的數(shù)字化、精益化及透明化。由于數(shù)字化工藝是生產(chǎn)執(zhí)行的重要源頭，對于部分中小企業(yè)沒有獨(dú)立的產(chǎn)品設(shè)計(jì)和工藝管理情況，可在數(shù)字化車間中建設(shè)工藝設(shè)計(jì)系統(tǒng)，為制造運(yùn)行管理提供數(shù)字化工藝信息。以MES系統(tǒng)為代表的面向車間執(zhí)行層的生產(chǎn)信息化管理系統(tǒng)，該系統(tǒng)會(huì)進(jìn)行數(shù)據(jù)采集、生產(chǎn)調(diào)度、代碼下載、參數(shù)配置等各項(xiàng)功能的執(zhí)行。數(shù)字化車間的管理層以ERP為代表的企業(yè)資源管理，負(fù)責(zé)企業(yè)訂單的接收，人力、工資等信息的管理，包括但不限于PLM、CAD、CAE等各種資源。數(shù)字化車間以物理車間為基礎(chǔ)，物理車間的資產(chǎn)屬于數(shù)字化車間的一部分，不在物理車間內(nèi)部但是通過網(wǎng)絡(luò)等方式連接的設(shè)備/系統(tǒng)仍然作為數(shù)字化車間的一部分，如MES系統(tǒng)使用的服務(wù)器可能放置于專門的機(jī)房，車間與機(jī)房通過光纖方式進(jìn)行連接通信。因此，數(shù)字化車間信息安全的范圍包括基礎(chǔ)層和執(zhí)行層全部與信息安全相關(guān)的系統(tǒng)/活動(dòng)。數(shù)字化車間信息安全保護(hù)的對象包括數(shù)字化車間的物理資產(chǎn)、邏輯資產(chǎn)(如工藝配方等)。管理層管理層企業(yè)資源計(jì)劃產(chǎn)品生命周期管理…企業(yè)信息交互制造運(yùn)行管理工藝執(zhí)行與管理執(zhí)行層生產(chǎn)過程質(zhì)量管理車間設(shè)備管理車間信息交互生產(chǎn)資源息交互車間信息交互車間計(jì)劃與調(diào)度生產(chǎn)物流管理工藝設(shè)計(jì)制造設(shè)備基礎(chǔ)層數(shù)字化車間/智能工廠可選功能。圖1數(shù)字化車間信息安全范圍(實(shí)線部分)4.2數(shù)字化車間信息安全基本要求4.2.1保障生產(chǎn)安全要求信息安全措施應(yīng)有利于增強(qiáng)安全相關(guān)系統(tǒng)對內(nèi)部攻擊、外部攻擊和誤操作的防御。信息安全措施不應(yīng)對生產(chǎn)緊急事件處理產(chǎn)生妨礙，或者雖有影響但經(jīng)過充分評估后可以實(shí)施。4.2.2保障連續(xù)生產(chǎn)要求信息安全技術(shù)措施不應(yīng)對自動(dòng)化控制裝備的通訊端口、控制網(wǎng)絡(luò)產(chǎn)生連續(xù)或階段性的網(wǎng)絡(luò)沖擊對6控制實(shí)時(shí)性和連續(xù)性的不利影響應(yīng)控制在允許范圍。對控制設(shè)備和操作站點(diǎn)采取信息安全技術(shù)措施前，應(yīng)充分測試和驗(yàn)證該技術(shù)措施是否影響控制設(shè)備和工業(yè)軟件的運(yùn)行。4.2.3不影響控制裝備互聯(lián)互通要求采取信息安全管理和技術(shù)措施前應(yīng)考慮到事實(shí)上多種工業(yè)控制協(xié)議設(shè)備間的互聯(lián)互通，對于采用私有協(xié)議或國際現(xiàn)場總線標(biāo)準(zhǔn)的控制和通訊設(shè)備可考慮采取網(wǎng)段隔離等措施，不宜更改相關(guān)通訊標(biāo)準(zhǔn)協(xié)議。應(yīng)考慮數(shù)字化車間重要程度，以及系統(tǒng)脆弱性、威脅和安全風(fēng)險(xiǎn)現(xiàn)狀，平衡經(jīng)濟(jì)性和安全性，結(jié)合系統(tǒng)架構(gòu)和技術(shù)情況，采用適宜的安全防護(hù)措施/補(bǔ)償對抗措施。應(yīng)考慮數(shù)字化車間全生命周期內(nèi)風(fēng)險(xiǎn)與信息安全需求的變化，及時(shí)采取相應(yīng)措施。4.2.6內(nèi)生安全與縱深防御相結(jié)合要求應(yīng)結(jié)合內(nèi)生安全技術(shù)與多層次縱深防御措施來有效保障信息安全，宜優(yōu)先采用具備內(nèi)生安全技術(shù)的控制裝備，從而抵御相關(guān)技術(shù)和管理措施失效或過失情況下的風(fēng)險(xiǎn)。4.2.7管理和技術(shù)相結(jié)合要求數(shù)字化車間的信息安全應(yīng)綜合考慮管理和技術(shù)措施，技術(shù)措施應(yīng)通過必要的管理措施來保障落實(shí)和執(zhí)行。4.3數(shù)字化車間信息安全分析流程如圖2所示，對于一個(gè)數(shù)字化車間在建設(shè)階段應(yīng)充分考慮安全需求，安全需求的前提是基于目標(biāo)對象的確定，進(jìn)而進(jìn)行必要的危險(xiǎn)和風(fēng)險(xiǎn)分析之后得出的，對于安全需求要進(jìn)行評估，進(jìn)而制定安全策略和安全措施，在數(shù)字化車間實(shí)際投入運(yùn)行之前應(yīng)對安全措施進(jìn)行評估和確認(rèn)。注：對安全措施進(jìn)行評估和確認(rèn)可以通過線上測試和分析實(shí)現(xiàn)。當(dāng)數(shù)字化車間進(jìn)入運(yùn)行維護(hù)階段，應(yīng)定期和根據(jù)實(shí)際需要進(jìn)行風(fēng)險(xiǎn)評估，根據(jù)評估結(jié)果通過修改、加強(qiáng)、增加安全措施來應(yīng)對風(fēng)險(xiǎn)變化導(dǎo)致的安全能力下降，其中安全措施包括管理措施和技術(shù)手段。數(shù)字化車間的常見威脅和風(fēng)險(xiǎn)點(diǎn)見附錄A,實(shí)際的分析處理過程見附錄B。數(shù)字化車間信息安全能力由管理措施、技術(shù)手段各方面因素綜合決定，具體要求見第5章、第6章。7概念概念危險(xiǎn)和風(fēng)險(xiǎn)分析信息安全需求安全需求評估安全策略安全實(shí)施安全確認(rèn)運(yùn)行和維護(hù)停用數(shù)字化車間建設(shè)階段運(yùn)行維護(hù)安全變化風(fēng)險(xiǎn)評佔(zhàn)安全加固管理增強(qiáng)變史返回適當(dāng)階段圖2數(shù)字化車間信息安全分析流程5數(shù)字化車間信息安全管理要求5.1概述面臨安全風(fēng)險(xiǎn)，建立并維護(hù)信息安全管理要求的措施，明確信息安全管理職責(zé)，分配和管理資源，運(yùn)用過程方法實(shí)現(xiàn)數(shù)字化車間的正常運(yùn)行，并采取有效的措施評估、分析和改進(jìn)，以滿足數(shù)字化車間信息安全管理的要求。5.2信息安全管理制度在數(shù)字化車間信息安全管理制度的制定中應(yīng)：a)按照信息安全管理方針和策略，制定數(shù)字化車間的信息安全工作原則與目標(biāo)；b)對數(shù)字化車間的安全管理活動(dòng)建立相應(yīng)的信息安全管理制度；c)對管理人員和操作人員執(zhí)行的日常信息安全管理操作建立操作規(guī)程或者作業(yè)指導(dǎo)書；d)通過正式、有效的方式發(fā)布，并進(jìn)行版本控制。5.3信息安全管理崗位與職責(zé)應(yīng)通過清晰的崗位設(shè)置、明確的信息安全職責(zé)劃分，支持?jǐn)?shù)字化車間的信息安全管理。a)設(shè)立數(shù)字化車間的信息安全管理崗位，并明確定義崗位職責(zé)。b)各崗位應(yīng)配備相應(yīng)的管理人員，并應(yīng)明確定義各級(jí)人員的職責(zé)。c)關(guān)鍵崗位應(yīng)配備多人共同管理。d)信息安全管理的角色和職責(zé)應(yīng)落實(shí)到具體的責(zé)任人、管理者、具體的工位、具體的單元操作等。85.4人員管理5.4.1人員錄用與離職管理在數(shù)字化車間的人員錄用與離職管理中應(yīng)：a)對被錄用關(guān)鍵崗位信息安全管理人員的身份背景、資質(zhì)等進(jìn)行審查；b)及時(shí)終止離職信息安全管理人員的所有訪問權(quán)限，更換相應(yīng)訪問密碼，收回所授予的各種身份證件、鑰匙以及組織提供的軟硬件設(shè)備等。應(yīng)通過以下方式，確保所有被賦予信息安全管理職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力：a)確定從事數(shù)字化車間信息安全管理工作的人員所必要的能力；b)對各類人員進(jìn)行信息安全意識(shí)教育和崗位技能培訓(xùn)，或采取其他措施(如聘用有能力的人員)以滿足這些能力需求；并告知相關(guān)的安全責(zé)任和懲戒措施；c)對關(guān)鍵崗位的人員進(jìn)行信息安全技能考核；d)評價(jià)所采取措施的有效性；5.4.3外部人員訪問管理在數(shù)字化車間的外部人員訪問管理中應(yīng)：a)確保外部人員在進(jìn)入物理訪問受控區(qū)域前提出書面申請，批準(zhǔn)后由專人全程陪同，并登記b)確保在外部人員接入網(wǎng)絡(luò)訪問系統(tǒng)前提出書面申請，批準(zhǔn)后由專人開設(shè)賬號(hào)、分配權(quán)限，并登記備案；c)在外部人員離場后及時(shí)清除其所有的訪問權(quán)限。5.5風(fēng)險(xiǎn)管理5.5.1確定風(fēng)險(xiǎn)管理目標(biāo)對數(shù)字化車間的風(fēng)險(xiǎn)管理控制目標(biāo)和控制措施應(yīng)加以選擇和實(shí)施，以滿足風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置過程中所識(shí)別的要求。這種選擇應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則以及法律法規(guī)的要求。組織宜獲得管理者對殘余風(fēng)險(xiǎn)的批準(zhǔn)。險(xiǎn)評估：a)確定風(fēng)險(xiǎn)評估方法、制定接受風(fēng)險(xiǎn)的準(zhǔn)則和識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別；b)定期識(shí)別各類風(fēng)險(xiǎn)，如通過連網(wǎng)設(shè)備識(shí)別風(fēng)險(xiǎn)時(shí)應(yīng)有相應(yīng)流程或資產(chǎn)面臨的危險(xiǎn)和可能被威脅利用的脆弱性等；c)定期分析和評價(jià)各類風(fēng)險(xiǎn)，包括評價(jià)安全失效可能對組織造成的影響等；d)確定可選措施以消除風(fēng)險(xiǎn)或避免風(fēng)險(xiǎn)等；e)在組織的方針策略和可接受風(fēng)險(xiǎn)的準(zhǔn)則條件下，主動(dòng)、客觀地接受風(fēng)險(xiǎn)。9在數(shù)字化車間的風(fēng)險(xiǎn)處置中應(yīng)：a)為管理數(shù)字化車間信息安全風(fēng)險(xiǎn)制定處置計(jì)劃，該計(jì)劃應(yīng)包含適當(dāng)?shù)墓芾泶胧?、資源、職責(zé)和優(yōu)先順序等；b)實(shí)施風(fēng)險(xiǎn)處置計(jì)劃達(dá)到已識(shí)別的控制目標(biāo)，包括資金安排、角色和職責(zé)的分配；c)實(shí)施所選擇的控制措施滿足控制目標(biāo)；d)確定如何測量所選擇的控制措施或控制措施實(shí)際的有效性，并指明如何運(yùn)用這些測量措施來評估控制措施的有效性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果；e)管理數(shù)字化車間信息安全相關(guān)的資源；f)實(shí)施能夠迅速檢測安全事件和響應(yīng)安全事件的規(guī)程和其他控制措施。5.6物理訪問控制管理物理訪問控制基本要求應(yīng)包括但不限于：a)對數(shù)字化車間出入口進(jìn)出的人員進(jìn)行控制、鑒別和記錄；b)對數(shù)字化車間劃分區(qū)域進(jìn)行管理，必要時(shí)，區(qū)域和區(qū)域之間應(yīng)物理隔離；c)全程陪同對受控區(qū)域訪問的外部人員；d)限制外部人員攜帶可能導(dǎo)致泄密的電子設(shè)備或其他物品如手機(jī)、相機(jī)、電子記錄儀等；e)制定規(guī)章制度限制內(nèi)部人員攜帶可能導(dǎo)致泄密的物品；f)對重要區(qū)域進(jìn)行視頻監(jiān)控。5.7運(yùn)維安全管理在數(shù)字化車間的運(yùn)維安全管理中應(yīng)：a)制定并發(fā)布數(shù)字化車間安全運(yùn)維規(guī)程，定期對安全運(yùn)維規(guī)程進(jìn)行評審和更新；b)根據(jù)廠商或供應(yīng)商的規(guī)格說明以及組織的要求，對數(shù)字化車間設(shè)備和系統(tǒng)的運(yùn)維進(jìn)行規(guī)劃、實(shí)c)審批和監(jiān)視所有運(yùn)維行為，不論被維護(hù)對象是在現(xiàn)場還是被轉(zhuǎn)移到其他位置；d)在對系統(tǒng)或組件維護(hù)或修理后，檢查所有可能受影響的安全控制措施以確認(rèn)其仍能正常發(fā)揮功能；e)數(shù)字化車間設(shè)備或系統(tǒng)的第三方運(yùn)維商承諾未經(jīng)用戶同意不得采集用戶相關(guān)信息、不得遠(yuǎn)程控制用戶設(shè)備或系統(tǒng)；f)如果采用遠(yuǎn)程運(yùn)維的方式，組織根據(jù)產(chǎn)品的運(yùn)維需求，為遠(yuǎn)程控制端口設(shè)置控制權(quán)限和控制時(shí)間窗；在遠(yuǎn)程維護(hù)完成后，組織安排專人立即關(guān)閉為遠(yuǎn)程維護(hù)需求開放的權(quán)限設(shè)置；g)完整地記錄所有運(yùn)維的工作計(jì)劃、要求、過程和完成情況，并存檔；h)能夠?qū)λ羞\(yùn)維操作記錄進(jìn)行安全審計(jì)，審計(jì)記錄應(yīng)定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；i)定期開展風(fēng)險(xiǎn)評估，對識(shí)別和發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)。5.8監(jiān)視和評審信息安全管理的有效性在監(jiān)視和評審數(shù)字化車間信息安全管理的有效性時(shí)應(yīng)：a)執(zhí)行監(jiān)視評審規(guī)程和其他控制措施：●迅速檢測過程運(yùn)行結(jié)果中的錯(cuò)誤；●迅速識(shí)別即將發(fā)生的和已發(fā)生的安全違規(guī)和事件；·幫助管理者確定分配給人員的安全活動(dòng)或通過信息技術(shù)實(shí)施的安全活動(dòng)是否按期望執(zhí)行；●幫助檢測并預(yù)防安全事件；●確定安全違規(guī)的解決措施是否有效。b)在考慮安全事件、有效性測量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，進(jìn)行信息安全管理有效性的定期評審(包括滿足信息安全管理方針和目標(biāo)，以及安全控制措施的評審);c)測量控制措施的有效性以驗(yàn)證安全要求是否被滿足；d)按照計(jì)劃時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評估的評審，以及對殘余風(fēng)險(xiǎn)和已確定的可接受風(fēng)險(xiǎn)及級(jí)別進(jìn)行評審，應(yīng)考慮以下方面的變化·數(shù)字化車間升級(jí)或更新；●已實(shí)施的控制措施的有效性；·外部事態(tài)，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會(huì)環(huán)境的變更。e)考慮監(jiān)視評審活動(dòng)的結(jié)果，以更新安全計(jì)劃；f)記錄可能影響數(shù)字化車間信息安全的有效性或執(zhí)行情況的措施和事態(tài)。5.9保持和改進(jìn)在保持和改進(jìn)數(shù)字化車間信息安全管理時(shí)應(yīng)：a)實(shí)施易識(shí)別的信息安全管理改進(jìn)措施；b)采取糾正和預(yù)防措施，從其他組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)；c)向所有相關(guān)方溝通糾正和預(yù)防措施、改進(jìn)情況，其詳細(xì)程度與環(huán)境相適應(yīng)，需要時(shí)商定如何進(jìn)行；d)確保改進(jìn)達(dá)到了預(yù)期目標(biāo)。6數(shù)字化車間信息安全技術(shù)要求本文件以區(qū)域劃分與邊界防護(hù)、身份鑒別與認(rèn)證、使用控制、資源控制、數(shù)據(jù)安全與安全審計(jì)作為數(shù)字化車間信息安全技術(shù)要求的基本要素，具體為：a)區(qū)域劃分與邊界防護(hù)應(yīng)從企業(yè)和數(shù)字化車間系統(tǒng)整體角度來考慮信息安全，通過區(qū)域劃分和邊界防護(hù)來實(shí)現(xiàn)縱深防御，保障數(shù)字化車間生產(chǎn)系統(tǒng)受到攻擊時(shí)不擴(kuò)散到另外的區(qū)域。b)身份鑒別與認(rèn)證應(yīng)防止未經(jīng)授權(quán)的訪問，如用戶名與密碼形式的身份鑒別與認(rèn)證。c)使用控制應(yīng)防止未經(jīng)授權(quán)的使用，即使用戶、軟件等實(shí)體通過了鑒別，不同授權(quán)用戶、軟件等實(shí)體對數(shù)字化車間生產(chǎn)系統(tǒng)的操作與使用不得超過其所分配的權(quán)限。d)資源控制應(yīng)控制資源的使用防止因非法或超限使用資源從而影響生產(chǎn)系統(tǒng)的可用性、生產(chǎn)連續(xù)性等。e)數(shù)據(jù)安全應(yīng)保證靜態(tài)數(shù)據(jù)和通信數(shù)據(jù)的可用性、完整性、保密性。f)安全審計(jì)應(yīng)對生產(chǎn)系統(tǒng)的日志、狀態(tài)、報(bào)警等信息進(jìn)行核查來檢測系統(tǒng)是否處于預(yù)期的安全設(shè)置。6.1.2安全要求說明本文件中規(guī)定的安全要求是實(shí)現(xiàn)數(shù)字化車間信息安全能力的基本要求。如果需要更高的要求，應(yīng)符合附錄C的規(guī)定。6.2區(qū)域劃分與邊界防護(hù)6.2.1感知控制層基本要求在數(shù)字化車間感知控制層對區(qū)域劃分與邊界防護(hù)的基本要求為：a)感知控制層宜和對應(yīng)的監(jiān)控層劃分為同一區(qū)域；b)如有必要感知控制層內(nèi)宜可劃分多個(gè)子區(qū)域；c)如有必要在感知控制層和對應(yīng)監(jiān)控層之間可設(shè)置邊界，運(yùn)用安全審計(jì)等非阻斷型策略；d)與感知控制層相連的其他所有網(wǎng)絡(luò)或系統(tǒng)，如沒有在同一安全區(qū)域，則與感知控制層相連的邊界應(yīng)滿足邊界防護(hù)的基本要求；e)如有物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)與感知控制層有線網(wǎng)絡(luò)相連，物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)應(yīng)作為各自獨(dú)立的區(qū)域，在與感知控制層有線網(wǎng)絡(luò)之間設(shè)置邊界防護(hù)；f)如感知控制層直接與云相連，應(yīng)按照縱深防御的原則整體進(jìn)行邊界防護(hù)。對于設(shè)備直接上云的情況應(yīng)優(yōu)先配置設(shè)備的邊界防護(hù)，如果設(shè)備的邊界防護(hù)能力不足，應(yīng)在云端做虛擬邊界6.2.2監(jiān)控層基本要求在數(shù)字化車間監(jiān)控層對區(qū)域劃分與邊界防護(hù)的基本要求為：a)監(jiān)控層宜和對應(yīng)的感知控制層劃分為同一區(qū)域，此區(qū)域在與其他區(qū)域相連時(shí)應(yīng)做好邊界防護(hù)；b)如有必要監(jiān)控層內(nèi)宜可劃分多個(gè)子區(qū)域；c)與監(jiān)控層相連的其他所有網(wǎng)絡(luò)或系統(tǒng)，如沒有在同一安全區(qū)域，則與監(jiān)控層相連的邊界應(yīng)滿足邊界防護(hù)的基本要求；d)監(jiān)控層和執(zhí)行層可為不同區(qū)域，在監(jiān)控層與執(zhí)行層之間應(yīng)滿足邊界防護(hù)基本要求；應(yīng)部署訪問控制設(shè)備，配置訪問控制策略，禁止任何穿越區(qū)域邊界的E-mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)；e)如有物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)與監(jiān)控層有線網(wǎng)絡(luò)相連，物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)應(yīng)作為各自獨(dú)立的區(qū)域，在與監(jiān)控層有線網(wǎng)絡(luò)之間設(shè)置邊界防護(hù)；f)如監(jiān)控層直接與云相連，應(yīng)按照縱深防御的原則整體進(jìn)行邊界防護(hù)。對于邊緣終端直接上云的情況應(yīng)優(yōu)先配置邊緣終端的邊界防護(hù)，如果邊緣終端的邊界防護(hù)能力不足，應(yīng)在云端做虛擬邊界防護(hù)。6.2.3執(zhí)行層基本要求在數(shù)字化車間執(zhí)行層對區(qū)域劃分與邊界防護(hù)的基本要求為：a)執(zhí)行層應(yīng)整體作為一個(gè)區(qū)域；b)執(zhí)行層與管理層可為不同區(qū)域，在執(zhí)行層和管理層之間應(yīng)滿足邊界防護(hù)基本要求；可設(shè)置網(wǎng)絡(luò)隔離設(shè)備，禁止管理層未經(jīng)協(xié)議轉(zhuǎn)換直接訪問執(zhí)行層；c)如有物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)與執(zhí)行層相連，物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)應(yīng)作為各自獨(dú)立的區(qū)域，在與執(zhí)行層之間設(shè)置邊界防護(hù)；d)如執(zhí)行層直接與云相連，應(yīng)按照縱深防御的原則整體進(jìn)行邊界防護(hù)，同時(shí)云端應(yīng)做必要的虛擬邊界防護(hù)。6.3身份鑒別與認(rèn)證6.3.1感知控制層基本要求在數(shù)字化車間感知控制層對身份鑒別與認(rèn)證的基本要求為：a)應(yīng)保證登錄、操作與維護(hù)系統(tǒng)人員為可信人員，防止出現(xiàn)非相關(guān)人員的訪問，影響設(shè)備或系統(tǒng)安全運(yùn)行；b)系統(tǒng)應(yīng)保證外部登錄的設(shè)備為可信設(shè)備，禁止任何不可信設(shè)備的接入；c)系統(tǒng)內(nèi)部設(shè)備連接外部網(wǎng)絡(luò)時(shí)，應(yīng)經(jīng)過上網(wǎng)認(rèn)證；d)系統(tǒng)應(yīng)具備記錄連接事件的功能，以保證所有的連接均可查詢；e)如果該層使用了遠(yuǎn)程訪問，系統(tǒng)應(yīng)具備對遠(yuǎn)程訪問設(shè)備身份鑒別的能力。6.3.2監(jiān)控層基本要求在數(shù)字化車間監(jiān)控層對身份鑒別與認(rèn)證的基本要求為：a)應(yīng)保證登錄、操作與維護(hù)系統(tǒng)人員為可信人員，防止出現(xiàn)非相關(guān)人員的訪問，影響設(shè)備或系統(tǒng)安全運(yùn)行；b)系統(tǒng)應(yīng)提供訪問用戶身份鑒別和認(rèn)證的能力；c)對于使用口令鑒別機(jī)制的生產(chǎn)系統(tǒng)，口令應(yīng)具有一定的復(fù)雜性，且需在多次嘗試密碼失敗后，延長重新輸入密碼等待時(shí)間；d)系統(tǒng)內(nèi)部設(shè)備連接外部網(wǎng)絡(luò)時(shí)，應(yīng)經(jīng)過上網(wǎng)認(rèn)證；e)系統(tǒng)應(yīng)具備訪問記錄與事件記錄功能；f)如果使用了無線網(wǎng)絡(luò)，無線系統(tǒng)應(yīng)具備識(shí)別接入設(shè)備并阻止未經(jīng)授權(quán)設(shè)備接入的能力。6.3.3執(zhí)行層基本要求在數(shù)字化車間執(zhí)行層對身份鑒別與認(rèn)證的基本要求為：a)系統(tǒng)應(yīng)具備對操作人員身份鑒別的能力；b)使用口令鑒別機(jī)制的系統(tǒng)，口令應(yīng)具有一定的復(fù)雜性；c)系統(tǒng)應(yīng)具備訪問記錄與事件記錄功能。6.4使用控制6.4.1感知控制層基本要求在數(shù)字化車間感知控制層對使用控制的基本要求為：a)數(shù)字化車間各區(qū)域間應(yīng)具有相互訪問控制的能力，保證不同區(qū)域之間存在隔離，如通過b)系統(tǒng)應(yīng)具備可配置的使用限制能力，對內(nèi)部所有可能會(huì)被外部接入的接口進(jìn)行接入限制管理，如現(xiàn)場交換機(jī)的網(wǎng)口，現(xiàn)場工控機(jī)的USB口、網(wǎng)口等，以防止非授權(quán)設(shè)備的接入；c)系統(tǒng)應(yīng)具備限制非必要通訊端口、協(xié)議和服務(wù)的能力；d)系統(tǒng)應(yīng)具備限制不同區(qū)域操作或維護(hù)人員訪問權(quán)限的能力；e)系統(tǒng)同一區(qū)域應(yīng)實(shí)現(xiàn)對不同操作或維護(hù)人員實(shí)行不同控制權(quán)限的能力；f)如果使用了無線網(wǎng)絡(luò)，無線系統(tǒng)應(yīng)具備識(shí)別接入設(shè)備并阻止未經(jīng)授權(quán)設(shè)備接入的能力；g)如果使用了無線網(wǎng)絡(luò)，工廠應(yīng)保證使用的無線信道在此無線覆蓋區(qū)域未曾被占用。6.4.2監(jiān)控層基本要求在數(shù)字化車間監(jiān)控層對使用控制的基本要求為：a)系統(tǒng)應(yīng)具備可配置的使用限制能力，防止非授權(quán)設(shè)備的接入；b)系統(tǒng)應(yīng)具有為不同授權(quán)用戶提供不同權(quán)限的能力，以支持職責(zé)分離和最小權(quán)限；c)系統(tǒng)應(yīng)提供對第三方未經(jīng)兼容性測試的可能造成生產(chǎn)系統(tǒng)損害的應(yīng)用程序或移動(dòng)代碼執(zhí)行使用限制的能力；d)應(yīng)及時(shí)為數(shù)字化車間采取補(bǔ)丁升級(jí)措施，在安裝前應(yīng)對補(bǔ)丁進(jìn)行嚴(yán)格的安全評估和測試驗(yàn)證；e)數(shù)字化車間的遠(yuǎn)程訪問端口應(yīng)具有訪問控制措施，對從發(fā)起方的訪問進(jìn)行源地址、目的地址、源端口、目的端口和協(xié)議等項(xiàng)目的控制。6.5資源控制6.5.1感知控制層基本要求在數(shù)字化車間感知控制層對資源控制的基本要求為：a)應(yīng)通過設(shè)定設(shè)備接入方式、網(wǎng)絡(luò)地址范圍等條件限制設(shè)備接入該層網(wǎng)絡(luò)；b)網(wǎng)絡(luò)化的感知控制設(shè)備應(yīng)提供能力：在DoS事件時(shí)能切換到降級(jí)模式下繼續(xù)運(yùn)行；c)應(yīng)能夠監(jiān)視接入該層網(wǎng)絡(luò)的感知控制設(shè)備的網(wǎng)絡(luò)負(fù)荷、流量、連接數(shù)、會(huì)話數(shù)等網(wǎng)絡(luò)資源信息；應(yīng)支持根據(jù)安全策略要求對感知控制設(shè)備端允許通過的數(shù)據(jù)流量、支持的連接數(shù)、會(huì)話數(shù)進(jìn)行限制；d)應(yīng)能夠監(jiān)視接入該層網(wǎng)絡(luò)的感知控制設(shè)備及相關(guān)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)，例如設(shè)備的CPU負(fù)e)感知控制設(shè)備應(yīng)對存儲(chǔ)于內(nèi)存中的配置信息、控制程序、數(shù)據(jù)進(jìn)行監(jiān)控，在系統(tǒng)運(yùn)行時(shí)應(yīng)限制對感知控制設(shè)備的關(guān)鍵數(shù)據(jù)(包括控制程序代碼、組態(tài)配置信息等)的訪問；f)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備應(yīng)提供能力：限制信息安全功能的資源使用，以防止資源耗盡；g)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備應(yīng)在不影響正常設(shè)備使用的前提下，提供關(guān)鍵文件的識(shí)別和定位，以及用戶級(jí)和系統(tǒng)級(jí)的信息備份(包括系統(tǒng)狀態(tài)信息)的能力，且能驗(yàn)證備份機(jī)制的可靠性；h)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備在受到破壞或發(fā)生失效后，應(yīng)提供能力：恢復(fù)和重構(gòu)設(shè)備到一個(gè)已知的安全狀態(tài)；i)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備應(yīng)提供應(yīng)急電源切換能力，切換不影響設(shè)備的運(yùn)行狀態(tài)；j)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備應(yīng)提供禁用無用功能、端口、協(xié)議和服務(wù)的能力；k)該層網(wǎng)絡(luò)應(yīng)能識(shí)別并支持指示所有連接的設(shè)備。6.5.2監(jiān)控層基本要求在數(shù)字化車間監(jiān)控層對資源控制的基本要求為：a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端及設(shè)備接入該層網(wǎng)絡(luò)；b)應(yīng)支持根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；c)該層邊界處應(yīng)提供檢測DoS事件的能力；d)該層邊界處應(yīng)支持根據(jù)安全策略要求對允許訪問主機(jī)、服務(wù)器和感知控制設(shè)備端的協(xié)議、端e)接入監(jiān)控層的感知控制設(shè)備應(yīng)提供能力：在DoS事件時(shí)能切換到降級(jí)模式下繼續(xù)運(yùn)行；f)應(yīng)能夠監(jiān)視接入該層網(wǎng)絡(luò)的主機(jī)、服務(wù)器和感知控制設(shè)備的網(wǎng)絡(luò)負(fù)荷、流量、連接數(shù)、會(huì)話數(shù)、會(huì)話響應(yīng)時(shí)間等網(wǎng)絡(luò)資源信息；g)應(yīng)能夠監(jiān)視接入該層網(wǎng)絡(luò)的主機(jī)、服務(wù)器、軟件程序、感知控制設(shè)備及相關(guān)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)，例如設(shè)備的CPU負(fù)荷、內(nèi)存使用情況、設(shè)備故障報(bào)警信息等；h)應(yīng)提供能力限制主機(jī)、服務(wù)器、軟件程序、網(wǎng)絡(luò)設(shè)備對感知控制設(shè)備的關(guān)鍵數(shù)據(jù)(包括控制程序代碼、組態(tài)配置信息等)的訪問；i)主機(jī)、服務(wù)器、軟件程序、網(wǎng)絡(luò)設(shè)備應(yīng)提供能力：限制信息安全功能的資源使用，以防止資源耗盡；j)主機(jī)、服務(wù)器、軟件程序、網(wǎng)絡(luò)設(shè)備應(yīng)在不影響正常使用的前提下，提供關(guān)鍵文件的識(shí)別和定位，以及用戶級(jí)和系統(tǒng)級(jí)的信息備份(包括系統(tǒng)狀態(tài)信息)的能力，且能驗(yàn)證備份機(jī)制的可靠性；k)應(yīng)對關(guān)鍵主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備提供應(yīng)急電源切換能力，切換不影響主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等的運(yùn)行狀態(tài)；m)該層網(wǎng)絡(luò)應(yīng)能識(shí)別并支持指示所有連接的主機(jī)、服務(wù)器、設(shè)備；n)通過HMI接口應(yīng)能獲取并指示所有網(wǎng)絡(luò)化的感知控制設(shè)備、主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備及其特6.5.3執(zhí)行層基本要求在數(shù)字化車間執(zhí)行層對資源控制的基本要求為：a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端及設(shè)備接入該層網(wǎng)絡(luò)；b)應(yīng)支持根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；c)該層邊界處應(yīng)提供檢測DoS事件的能力；d)該層邊界處應(yīng)支持根據(jù)安全策略要求對允許訪問主機(jī)、服務(wù)器端的協(xié)議、端口、數(shù)據(jù)流量、支持的連接數(shù)、會(huì)話數(shù)等進(jìn)行限制；e)應(yīng)提供能力限制主機(jī)、服務(wù)器、軟件程序、網(wǎng)絡(luò)設(shè)備對感知控制設(shè)備的關(guān)鍵數(shù)據(jù)(包括控制程序代碼、組態(tài)配置信息等)的訪問；f)主機(jī)、服務(wù)器、軟件程序、網(wǎng)絡(luò)設(shè)備應(yīng)在不影響正常使用的前提下，提供關(guān)鍵文件的識(shí)別和定位，以及用戶級(jí)和系統(tǒng)級(jí)的信息備份(包括系統(tǒng)狀態(tài)信息)的能力，且能驗(yàn)證備份機(jī)制的可靠性；g)應(yīng)對關(guān)鍵主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備提供應(yīng)急電源切換能力，切換不影響主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等的運(yùn)行狀態(tài)；i)該層網(wǎng)絡(luò)應(yīng)能識(shí)別并支持指示所有連接的主機(jī)、服務(wù)器、設(shè)備；j)通過HMI接口應(yīng)能獲取并指示所有網(wǎng)絡(luò)化的感知控制設(shè)備、主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備及其特6.6.1感知控制層基本要求連接在系統(tǒng)中的感知控制層設(shè)備應(yīng)滿足系統(tǒng)對數(shù)據(jù)安全的可用性、完整性和保密性的基本要求，包括：a)應(yīng)提供多層的獨(dú)立防護(hù)，來確保數(shù)據(jù)的安全性，從而保障系統(tǒng)安全；b)應(yīng)通過物理訪問保護(hù)機(jī)制，如控制器的訪問等級(jí)功能、防護(hù)門的鑰匙鎖、帶讀卡器和PIN的防c)應(yīng)通過硬件的信息安全解決方案：如控制器的防拷貝功能、程序保護(hù)技術(shù)、網(wǎng)絡(luò)分段的防火墻保護(hù)、帶失效關(guān)閉的防火墻等；d)應(yīng)通過流程和指令實(shí)現(xiàn)數(shù)據(jù)安全，如對員工的安全培訓(xùn)教育、設(shè)置U盤訪問的白名單規(guī)則、關(guān)鍵動(dòng)作的雙重批準(zhǔn)等；e)應(yīng)通過安全服務(wù)保障生產(chǎn)設(shè)備的數(shù)據(jù)安全，如對系統(tǒng)進(jìn)行備份和恢復(fù)、安全的在線驗(yàn)證等；f)可通過安全通信機(jī)制。6.6.2監(jiān)控層基本要求連接在系統(tǒng)中的監(jiān)控層應(yīng)滿足系統(tǒng)對數(shù)據(jù)安全的可用性、完整性和保密性的基本要求，包括：a)應(yīng)通過隔離區(qū)DMZ進(jìn)行數(shù)據(jù)交換以加強(qiáng)防護(hù)效果，避免直接訪問自動(dòng)化網(wǎng)絡(luò)；b)通過互聯(lián)網(wǎng)或者移動(dòng)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問時(shí)應(yīng)進(jìn)行保護(hù)，防止工業(yè)間諜活動(dòng)和蓄謀的破壞；可通過對數(shù)據(jù)傳輸進(jìn)行加密，并通過安全模塊或者互聯(lián)網(wǎng)和移動(dòng)無線路由器進(jìn)行訪問控制；c)可通過環(huán)網(wǎng)增強(qiáng)網(wǎng)絡(luò)的可用性。6.6.3執(zhí)行層基本要求連接在系統(tǒng)中的執(zhí)行層應(yīng)滿足系統(tǒng)對數(shù)據(jù)安全的可用性、完整性和保密性的基本要求，包括：a)連接在執(zhí)行層中的設(shè)備應(yīng)保證其操作系統(tǒng)、軟件和硬件具備對應(yīng)的安全性和健壯性，以抵御惡意軟件的攻擊或者人為破壞的造成的影響；b)應(yīng)通過設(shè)備和系統(tǒng)構(gòu)建信息安全網(wǎng)絡(luò)構(gòu)架；c)應(yīng)通過信息安全網(wǎng)絡(luò)構(gòu)建抵御非授權(quán)訪問的風(fēng)險(xiǎn)，實(shí)現(xiàn)訪問保護(hù)和加密的數(shù)據(jù)交換等。6.7安全審計(jì)6.7.1感知控制層基本要求關(guān)鍵生產(chǎn)系統(tǒng)中的重要軟/硬件設(shè)備應(yīng)具備日志存儲(chǔ)和防篡改的功能。6.7.2監(jiān)控層基本要求在數(shù)字化車間監(jiān)控層對安全審計(jì)的基本要求為：a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對重要的用戶行為和重要安全事件進(jìn)行審計(jì)；b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、事件是否成功以及其他與審計(jì)相關(guān)的信息；c)應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。注1:安全審計(jì)可以是外部審計(jì)，也可以是內(nèi)部審計(jì)。注2:安全審計(jì)需要一定的周期，也可以根據(jù)情況隨時(shí)審計(jì)(如出現(xiàn)設(shè)備故障高發(fā)、產(chǎn)能下降等現(xiàn)象時(shí))。6.7.3執(zhí)行層基本要求在數(shù)字化車間執(zhí)行層對安全審計(jì)的基本要求為：a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)、重要應(yīng)用和數(shù)據(jù)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對重要的用戶行為和重要安全事件進(jìn)行審計(jì)；b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、事件是否成功以及其他與審計(jì)相關(guān)的信息；c)應(yīng)對審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。(資料性)數(shù)字化車間信息安全常見威脅源數(shù)字化車間的信息安全危險(xiǎn)既可能來自于數(shù)字化車間(數(shù)字化車間應(yīng)有明確的邊界)外部，也可能來自于數(shù)字化車間內(nèi)部。威脅來源歸結(jié)但不限于以下幾類：a)數(shù)字化車間互聯(lián)互通，上層系統(tǒng)受到的威脅可能滲透到數(shù)字化車間內(nèi)；b)數(shù)字化車間系統(tǒng)支持的遠(yuǎn)程維護(hù)以及不規(guī)范的無線接入點(diǎn)；c)數(shù)字化車間內(nèi)設(shè)備訪問因特網(wǎng)或物聯(lián)網(wǎng)連接；f)人員誤操作。(資料性)典型機(jī)械制造行業(yè)數(shù)字化車間信息安全示例隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，通過網(wǎng)絡(luò)來進(jìn)行生產(chǎn)、管理成為制造業(yè)的趨勢，利用DNC技術(shù)進(jìn)行加工過程管控，已經(jīng)成為各制造企業(yè)的主流選擇。DNC不同于單臺(tái)機(jī)床與計(jì)算機(jī)的一對一連接，而是多臺(tái)機(jī)床組成網(wǎng)絡(luò)，編程人員在自己的計(jì)算機(jī)編制好加工程序(NC程序)后，通過網(wǎng)絡(luò)傳輸?shù)紻NC系統(tǒng)中，再由DNC系統(tǒng)傳輸?shù)綌?shù)控機(jī)床中或通過數(shù)控機(jī)床訪問DNC系統(tǒng)下載程序。目前部分單位已經(jīng)實(shí)現(xiàn)了以DNC系統(tǒng)為中心的生產(chǎn)工控系統(tǒng)網(wǎng)絡(luò)，通過DNC系統(tǒng)進(jìn)行NC程序的下載和上傳，實(shí)現(xiàn)生產(chǎn)的自動(dòng)化控制；同時(shí)通過CNC的采集系統(tǒng)對機(jī)床的實(shí)時(shí)狀態(tài)進(jìn)行采集，將采集數(shù)據(jù)上傳至DNC服務(wù)器，實(shí)現(xiàn)設(shè)備狀態(tài)的實(shí)時(shí)采集和匯總。這些變化大大提高了生產(chǎn)力，但同時(shí)也讓控制系統(tǒng)面臨新的風(fēng)險(xiǎn)與挑戰(zhàn)。如圖辦公及ERP網(wǎng)絡(luò)B.1所示?？蛻舳丝蛻舳丝蛻舳薖服務(wù)器MES網(wǎng)絡(luò)DNC客戶端DNC客戶端DNC客戶端生產(chǎn)數(shù)據(jù)下裝狀態(tài)數(shù)據(jù)采集數(shù)控設(shè)備網(wǎng)DNC服務(wù)器設(shè)備機(jī)床其他輸入機(jī)床機(jī)床觸摸屏機(jī)床設(shè)備圖B.1機(jī)械制造行業(yè)典型架構(gòu)根據(jù)安全防護(hù)需求分析，典型工程/數(shù)字化車間安全架構(gòu)如圖B.2所示。Wel服務(wù)器企業(yè)WLAN生產(chǎn)執(zhí)行管理系工業(yè)網(wǎng)絡(luò)1現(xiàn)場總線■文件服務(wù)器工業(yè)網(wǎng)絡(luò)2企業(yè)網(wǎng)絡(luò)現(xiàn)場總線PI.CPI.C圖B.2典型工程/數(shù)字化車間安全架構(gòu)B.2確定保護(hù)對象與目標(biāo)對車間進(jìn)行現(xiàn)場調(diào)研，通過對現(xiàn)場相關(guān)的網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)和應(yīng)用等資產(chǎn)進(jìn)行識(shí)別與分類，確定各類資產(chǎn)的可用性、完整性和保密性安全屬性，然后利用確定的算法將信息資產(chǎn)三個(gè)因素的價(jià)值綜合考慮，確定資產(chǎn)價(jià)值大小，從而最終確定要保護(hù)的關(guān)鍵資產(chǎn)如下：a)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備；b)現(xiàn)場控制層設(shè)備：數(shù)控機(jī)床；c)計(jì)算機(jī)設(shè)備：服務(wù)器、工作站、DNC客戶端等；d)軟件：工業(yè)控制系統(tǒng)專有協(xié)議、DNC相關(guān)軟件、源代碼；e)數(shù)據(jù)：工藝配方、數(shù)據(jù)庫數(shù)據(jù)。B.3風(fēng)險(xiǎn)分析與處置B.3.1威脅識(shí)別對車間的威脅識(shí)別包括：a)車間管理網(wǎng)絡(luò)與控制網(wǎng)絡(luò)互聯(lián)互通，上層管理網(wǎng)絡(luò)受到的威脅與攻擊可能滲透擴(kuò)展到控制網(wǎng)絡(luò)；b)車間不同控制單元間沒有進(jìn)行網(wǎng)絡(luò)劃分與隔離，局部感染可能會(huì)影響到全局；c)車間控制系統(tǒng)遠(yuǎn)程維護(hù)缺少有效管控手段，可能會(huì)造成生產(chǎn)數(shù)據(jù)的信息泄密或者破壞；d)USB設(shè)備、移動(dòng)硬盤等使用無有效管控手段；e)車間工控設(shè)備、主機(jī)可能遭受惡意代碼及病毒攻擊，未對操作站主機(jī)或者工控設(shè)備進(jìn)行必要的安全配置，一旦能接觸訪問到被攻擊的成功機(jī)會(huì)很大；f)對關(guān)鍵生產(chǎn)工藝數(shù)據(jù)、工藝配方進(jìn)行竊取或破壞。B.3.2脆弱性識(shí)別對車間的脆弱性識(shí)別包括：a)工控設(shè)備因自身安全性設(shè)計(jì)方面存在不足，導(dǎo)致其具有可自主修改權(quán)限低、安全性差；b)數(shù)字化車間設(shè)備所使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用軟件存在漏洞等；c)數(shù)字化車間網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)、配置存在缺陷；d)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)交換設(shè)備的鏈路層安全策略配置不全，通過網(wǎng)絡(luò)進(jìn)行惡意攻擊如MAC洪泛攻擊、ARP攻擊、生成樹攻擊等成功機(jī)會(huì)很大。B.3.3安全風(fēng)險(xiǎn)處置基于威脅和脆弱性識(shí)別以及威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性分析，并對當(dāng)前已有安全措施確認(rèn)后，綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，確定需要處置的安全風(fēng)險(xiǎn)如下：a)從縱向上來看，控制網(wǎng)絡(luò)可能會(huì)遭受來自辦公管理網(wǎng)絡(luò)的蠕蟲、病毒擴(kuò)散及其他攻擊；b)從橫向上來看，一旦一個(gè)控制室單元中感染蠕蟲、全面風(fēng)險(xiǎn)威脅；c)攻擊者可輕易的將攻擊機(jī)接入到網(wǎng)絡(luò)的某一端口，獲得與工控設(shè)備進(jìn)行通訊的權(quán)限，實(shí)施攻擊行為；d)主機(jī)設(shè)備對于合法進(jìn)程無識(shí)別，對于病毒無防護(hù)，主機(jī)較容易感染病毒或啟動(dòng)非法進(jìn)程，比較容易遭受惡意代碼的攻擊；e)工控設(shè)備有的依然采用默認(rèn)口令或者弱口令；f)整個(gè)系統(tǒng)網(wǎng)絡(luò)沒有形成統(tǒng)一有效的安全監(jiān)控及審計(jì)體系，網(wǎng)絡(luò)中如果發(fā)生異常通訊或故障，無法及時(shí)識(shí)別并定位安全問題的源頭。B.4安全防護(hù)需求與安全策略B.4.1安全防護(hù)需求基于安全風(fēng)險(xiǎn)處置要求，結(jié)合業(yè)務(wù)現(xiàn)狀，安全需求主要體現(xiàn)在以下幾個(gè)方面：a)對車間網(wǎng)絡(luò)進(jìn)行安全域劃分并對安全域之間實(shí)行邊界防護(hù)，禁止沒有防護(hù)的控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接，安全域之間通過防火墻等安全設(shè)備進(jìn)行邏輯隔離；b)在工控設(shè)備自身安全方面，其可自主修改權(quán)限低、安全性差，可被配置程度低，需要實(shí)現(xiàn)對設(shè)備的安全使用和管理控制，降低自身威脅和整體風(fēng)險(xiǎn)性；c)在工業(yè)控制網(wǎng)絡(luò)平臺(tái)安全方面，如何保證指令在工控系統(tǒng)中傳輸時(shí)不被篡改、丟棄，提供良好的網(wǎng)絡(luò)平臺(tái)，提升網(wǎng)絡(luò)質(zhì)量，是能正常、正確生產(chǎn)的前提d)在工控系統(tǒng)安全方面，如何保證系統(tǒng)不被病毒、木馬等惡意程序侵害，如何保證系統(tǒng)不被非授權(quán)使用、破壞等，如何保證數(shù)據(jù)被正確下載和上傳，是應(yīng)解決的安全問題；e)在工控應(yīng)用方面，如何保證系統(tǒng)的權(quán)限及使用過程合法、合理，行為可追蹤，訪問內(nèi)容可控；f)在協(xié)議安全方面，應(yīng)處理好工控設(shè)備與現(xiàn)代信息設(shè)備協(xié)議轉(zhuǎn)換和過程中數(shù)據(jù)傳輸?shù)尿?yàn)證等；g)在接入安全方面，解決工控網(wǎng)絡(luò)和工控設(shè)備的接入認(rèn)證問題，防止非法接入；h)從設(shè)備本身的安全角度看，由于設(shè)備的內(nèi)部結(jié)構(gòu)比較復(fù)雜、外部通用接口較多、內(nèi)部專有接口較多、控制難度較大、系統(tǒng)漏洞很難修補(bǔ)，需加強(qiáng)技術(shù)手段進(jìn)行訪問控制和審計(jì)；i)從設(shè)備工作環(huán)境看，由于大部分設(shè)備安放在比較開放的環(huán)境下，接觸人員包括公司員工、產(chǎn)品廠商/供應(yīng)商、協(xié)作配套等多類人群，對人員的識(shí)別應(yīng)采取有效的機(jī)制，達(dá)到有效的控制信息的知悉范圍；j)從數(shù)據(jù)管理角度看，由于現(xiàn)場操作人員過多的參與到數(shù)據(jù)存儲(chǔ)、刪除等處理活動(dòng)中，數(shù)據(jù)存儲(chǔ)在本地未進(jìn)行加密處理，同時(shí)又無相關(guān)的審計(jì)、訪問控制措施，尤其在試驗(yàn)環(huán)境下，信息泄露問題嚴(yán)重，而目前無論從管理手段還是從技術(shù)手段均不能完全滿足現(xiàn)有的管理的要求。B.4.2安全策略B.4.2.1管理措施指定專人負(fù)責(zé)車間安全管理，重要數(shù)據(jù)、工藝配方、文件資料做到專人管理并簽署保密協(xié)議，使用要有授權(quán)并有記錄；外部人員的訪問與網(wǎng)絡(luò)接入要有嚴(yán)格的審批與權(quán)限控制。B.4.2.2技術(shù)措施a)區(qū)域劃分與網(wǎng)絡(luò)防護(hù)1)區(qū)域劃分，將具備相同功能和安全要求的設(shè)備劃分在同一區(qū)域內(nèi)，對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行重新設(shè)計(jì)規(guī)劃，不同的區(qū)域劃分不同的子網(wǎng)，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。2)在區(qū)域網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)安全隔離設(shè)備，分別管控流經(jīng)網(wǎng)絡(luò)邊界的數(shù)據(jù)流，安全策略配置數(shù)據(jù)單向通訊和端口級(jí)網(wǎng)絡(luò)防護(hù)策略，保證通訊的可靠性和傳輸方向的一致性。3)每個(gè)數(shù)控機(jī)床和數(shù)控設(shè)備網(wǎng)之間部署工業(yè)防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)區(qū)域隔離和通訊管控，工業(yè)防火墻具備工業(yè)環(huán)境適用性和OPC、ModBus等工業(yè)通訊協(xié)議的應(yīng)用層安全防護(hù)功能，可以針對協(xié)議本身進(jìn)行數(shù)據(jù)合法性檢查，保證數(shù)據(jù)通訊的可控性與可信度。同時(shí)工業(yè)防火墻還具備鏈路層數(shù)據(jù)幀檢查功能和ARP攻擊防護(hù)能力，可有效識(shí)別通訊設(shè)備IP和MAC是否合法，防止廣播風(fēng)暴和洪泛攻擊等對工控網(wǎng)絡(luò)的威脅。4)在網(wǎng)絡(luò)交換機(jī)等設(shè)備配置最小化的應(yīng)用安全策略，根據(jù)業(yè)務(wù)應(yīng)用需求劃分VLAN、關(guān)閉空閑端口，綁定端口接入主機(jī)信息(MAC、IP等),避免設(shè)備非法接入以及保證網(wǎng)絡(luò)接入的安全性。5)在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)，采取旁路監(jiān)聽模式，這樣既可以偵測網(wǎng)絡(luò)中是否存在入侵行為或異常通訊行為，如有異常情況則及時(shí)發(fā)送安全審計(jì)報(bào)警日志，又同時(shí)保證了工控網(wǎng)絡(luò)生產(chǎn)數(shù)據(jù)的正常傳遞不受影響。b)身份鑒別與認(rèn)證核查車間網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備、工控系統(tǒng)等默認(rèn)口令或弱口令，進(jìn)行整改并定期更新。c)使用控制1)在DNC系統(tǒng)中的計(jì)算機(jī)上采用基于可信計(jì)算技術(shù)的主機(jī)安全防護(hù)產(chǎn)品為工控系統(tǒng)主機(jī)提供白名單方式的軟件系統(tǒng)進(jìn)程管控，進(jìn)而實(shí)現(xiàn)對惡意代碼的防范，及時(shí)阻止或發(fā)現(xiàn)可疑進(jìn)程的啟動(dòng)，進(jìn)而為工控系統(tǒng)的主機(jī)構(gòu)建可信的進(jìn)程運(yùn)行環(huán)境。2)計(jì)算機(jī)上部署基于可信計(jì)算技術(shù)的移動(dòng)存儲(chǔ)介質(zhì)的管控及審計(jì)系統(tǒng)，實(shí)現(xiàn)主機(jī)對移動(dòng)存儲(chǔ)介質(zhì)的身份認(rèn)證與準(zhǔn)入控制，管控移動(dòng)設(shè)備的使用。3)重要計(jì)算機(jī)上安裝訪問控制終端軟件，實(shí)現(xiàn)不同授權(quán)用戶對于主機(jī)系統(tǒng)中的程序和文件的使用權(quán)限的訪問控制及記錄。d)安全審計(jì)時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為，并可對過去發(fā)生的網(wǎng)絡(luò)通信行為進(jìn)行追溯。B.5安全確認(rèn)與評估根據(jù)實(shí)施的安全策略，確定驗(yàn)證和證實(shí)系統(tǒng)安全性的目標(biāo)并制定詳細(xì)的安全測試計(jì)劃，定義測試所采取的步驟，用測試、分析、觀察和演示的方法驗(yàn)證和證實(shí)系統(tǒng)安全需求。對系統(tǒng)安全性進(jìn)行檢測或證實(shí)，使用滲透測試工具、工控協(xié)議漏洞檢測設(shè)備、網(wǎng)絡(luò)分析系統(tǒng)等工具設(shè)備通過網(wǎng)絡(luò)對工控系統(tǒng)與設(shè)備進(jìn)行攻擊與網(wǎng)絡(luò)信息收集；使用病毒樣本、非法U盤等對主機(jī)系統(tǒng)與設(shè)備進(jìn)行破壞，實(shí)際記錄測試結(jié)果，出具測試報(bào)告。對檢測結(jié)果與檢測報(bào)告進(jìn)行分析，通過與安全需求對照，確定系統(tǒng)的安全性滿足車間的安全需求，安全策略得到正確有效的實(shí)施。B.6運(yùn)行與維護(hù)信息安全是一個(gè)長期持久的工作，車間的信息安全解決方案實(shí)施投入運(yùn)行后，需要建立一個(gè)長效的安全運(yùn)行機(jī)制，才能使車間的信息安全進(jìn)入持續(xù)改進(jìn)的良性循環(huán)。進(jìn)入運(yùn)行維護(hù)階段后須重點(diǎn)關(guān)注：運(yùn)行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控、安全自查和持續(xù)改進(jìn)等。措施如下。a)制定車間安全運(yùn)維相關(guān)制度規(guī)程。明確安全運(yùn)維具體責(zé)任人，建立詳細(xì)的維護(hù)操作流程與相關(guān)表單。b)明確現(xiàn)場運(yùn)維和遠(yuǎn)程運(yùn)維的管理要求，對運(yùn)維賬號(hào)的申請與管理、運(yùn)維行為的規(guī)范等提出具體要求，對現(xiàn)場運(yùn)維尤其是遠(yuǎn)程運(yùn)維進(jìn)行嚴(yán)格審批和監(jiān)視。c)在車間網(wǎng)絡(luò)部署安全運(yùn)維統(tǒng)一管理平臺(tái)，自動(dòng)采集車間所有安全設(shè)備、主機(jī)服務(wù)器、網(wǎng)絡(luò)通信、應(yīng)用等的運(yùn)行狀態(tài)和審計(jì)日志等數(shù)據(jù)，并利用大數(shù)據(jù)、數(shù)據(jù)挖掘等先進(jìn)技術(shù)分析網(wǎng)絡(luò)行為及用戶行為等因素所構(gòu)成的網(wǎng)絡(luò)態(tài)勢。為用戶提供安全動(dòng)態(tài)監(jiān)控運(yùn)維平臺(tái)，對當(dāng)前網(wǎng)絡(luò)及設(shè)備安全狀態(tài)進(jìn)行集中、實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)異常及時(shí)告警，提醒用戶及時(shí)處理。d)運(yùn)行過程中須及時(shí)了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn)，應(yīng)定期進(jìn)行風(fēng)險(xiǎn)評估，評估內(nèi)容包括對車間保護(hù)對象的威脅、脆弱性等方面，并出具風(fēng)險(xiǎn)評估報(bào)告。e)當(dāng)車間的業(yè)務(wù)流程、系統(tǒng)狀況發(fā)生重大變更時(shí)，如“增加新的應(yīng)用或應(yīng)用發(fā)生較大變更、網(wǎng)絡(luò)結(jié)構(gòu)和連接狀況發(fā)生較大變更、技術(shù)平臺(tái)大規(guī)模的更新、系統(tǒng)擴(kuò)容或改造、發(fā)生重大安全事件后，或基于某些運(yùn)行記錄懷疑將發(fā)生重大安全事件”,也須進(jìn)行風(fēng)險(xiǎn)評估。(規(guī)范性)數(shù)字化車間信息安全增強(qiáng)要求C.1概述用戶在實(shí)現(xiàn)數(shù)字化車間信息安全技術(shù)基本要求的同時(shí)，可以根據(jù)實(shí)際需要采用本附錄的增強(qiáng)要求以提高數(shù)字化車間的信息安全能力。C.2區(qū)域劃分與邊界防護(hù)C.2.1感知控制層增強(qiáng)要求在數(shù)字化車間感知控制層對區(qū)域劃分與邊界防護(hù)的增強(qiáng)要求為：a)不宜將不同數(shù)字化車間感知控制層生產(chǎn)系統(tǒng)的數(shù)據(jù)服務(wù)器軟件安裝在同一臺(tái)主機(jī)上；各個(gè)生產(chǎn)系統(tǒng)網(wǎng)段的數(shù)據(jù)服務(wù)器不宜直接連接在同一個(gè)網(wǎng)絡(luò)上；b)數(shù)字化車間感知控制層生產(chǎn)系統(tǒng)應(yīng)提供監(jiān)視和控制區(qū)域邊界通信的能力，并提供入侵檢測的能力；c)應(yīng)限制物聯(lián)網(wǎng)或無線網(wǎng)絡(luò)與感知控制層相連；應(yīng)提供默認(rèn)拒絕所有外界網(wǎng)絡(luò)數(shù)據(jù)流，例外允許網(wǎng)絡(luò)數(shù)據(jù)流(也稱為拒絕所有，允許例外)的能力；應(yīng)對無線通信采取傳輸加密的安全措施，實(shí)現(xiàn)傳輸報(bào)文的機(jī)密性保護(hù)；d)對采用無線通信技術(shù)進(jìn)行控制的工業(yè)控制系統(tǒng)，應(yīng)能識(shí)別其物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無線設(shè)備，報(bào)告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)的行為；e)數(shù)字化車間感知控制層安全域之間的邊界防護(hù)機(jī)制失效時(shí)，及時(shí)進(jìn)行報(bào)警；f)感知控制層與云平臺(tái)相連時(shí)，應(yīng)在感知控制層設(shè)置物理邊界防護(hù)；g)對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。C.2.2監(jiān)控層增強(qiáng)要求在數(shù)字化車間監(jiān)控層對區(qū)域劃分與邊界防護(hù)的增強(qiáng)要求為：a)不宜將不同數(shù)字化車間監(jiān)控層生產(chǎn)系統(tǒng)的數(shù)據(jù)服務(wù)器軟件安裝在同一臺(tái)主機(jī)上；各個(gè)生產(chǎn)系統(tǒng)網(wǎng)段的數(shù)據(jù)服務(wù)器不宜直接連接在同一個(gè)網(wǎng)絡(luò)上；b)數(shù)字化車間監(jiān)控層生產(chǎn)系統(tǒng)應(yīng)提供監(jiān)視和控制區(qū)域邊界通信的能力，并提供入侵檢測與防御的能力；c)應(yīng)限制物聯(lián)網(wǎng)或無線網(wǎng)絡(luò)與監(jiān)控層相連；應(yīng)提供默認(rèn)拒絕所有外界網(wǎng)絡(luò)數(shù)據(jù)流，例外允許網(wǎng)絡(luò)數(shù)據(jù)流(也稱為拒絕所有，允許例外)的能力；應(yīng)對無線通信采取傳輸加密的安全措施，實(shí)現(xiàn)傳輸報(bào)文的機(jī)密性保護(hù)；d)對采用無線通信技術(shù)進(jìn)行控制的工業(yè)控制系統(tǒng)，應(yīng)能識(shí)別其物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無線設(shè)備，報(bào)告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)的行為；e)數(shù)字化車間監(jiān)控層安全域之間的邊界防護(hù)機(jī)制失效時(shí)，及時(shí)進(jìn)行報(bào)警；f)監(jiān)控層與云平臺(tái)相連時(shí)，應(yīng)在監(jiān)控層設(shè)置物理邊界防護(hù)；g)對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。C.2.3執(zhí)行層增強(qiáng)要求在數(shù)字化車間執(zhí)行層對區(qū)域劃分與邊界防護(hù)的增強(qiáng)要求為：a)數(shù)字化車間執(zhí)行層中的關(guān)鍵區(qū)域應(yīng)限制物聯(lián)網(wǎng)或無線網(wǎng)絡(luò)與執(zhí)行層相連，應(yīng)限制任何云平臺(tái)與執(zhí)行層中關(guān)鍵區(qū)域相連；b)數(shù)字化車間執(zhí)行層中的關(guān)鍵區(qū)域應(yīng)提供監(jiān)視和控制區(qū)域邊界通信的能力，并提供入侵檢測與防御的能力；c)應(yīng)限制物聯(lián)網(wǎng)或無線網(wǎng)絡(luò)與執(zhí)行層的關(guān)鍵區(qū)域相連；應(yīng)對無線通信采取傳輸加密的安全措施，實(shí)現(xiàn)傳輸報(bào)文的機(jī)密性保護(hù)；d)數(shù)字化車間的執(zhí)行層中的關(guān)鍵區(qū)域的邊界防護(hù)機(jī)制失效時(shí)，及時(shí)進(jìn)行報(bào)警；e)執(zhí)行層與云平臺(tái)相連時(shí)，應(yīng)在執(zhí)行層設(shè)置物理邊界防護(hù)；f)對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。C.3身份鑒別與認(rèn)證C.3.1感知控制層增強(qiáng)要求在數(shù)字化車間感知控制層對身份鑒別與認(rèn)證的增強(qiáng)要求為：a)無線系統(tǒng)應(yīng)具備識(shí)別接入設(shè)備并阻止未經(jīng)授權(quán)的設(shè)備接入的能力；b)在無線系統(tǒng)無法提供上述能力的情況下，控制系統(tǒng)應(yīng)具備識(shí)別與控制系統(tǒng)相連的無線系統(tǒng)的接入設(shè)備并阻止未經(jīng)授權(quán)的設(shè)備接入的能力；c)若系統(tǒng)使用無線通訊，需使用加密的方式進(jìn)行連接認(rèn)證。C.3.2監(jiān)控層增強(qiáng)要求在數(shù)字化車間監(jiān)控層對身份鑒別與認(rèn)證的增強(qiáng)要求為：a)系統(tǒng)應(yīng)提供訪問用戶身份認(rèn)證的能力；b)系統(tǒng)應(yīng)針對連續(xù)無效的訪問嘗試進(jìn)行次數(shù)限制。當(dāng)限制次數(shù)超出后，系統(tǒng)應(yīng)在規(guī)定的周期內(nèi)拒絕訪問或者直到管理員解鎖。C.4使用控制C.4.1感知控制層增強(qiáng)要求在數(shù)字化車間感知控制層對使用控制的增強(qiáng)要求為：a)系統(tǒng)應(yīng)提供建立防病毒和惡意軟件入侵管理機(jī)制，對工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備采取病毒查殺等安全預(yù)防措施；b)系統(tǒng)應(yīng)具備系統(tǒng)關(guān)鍵文件監(jiān)控功能，防止關(guān)鍵文件被篡改；c)當(dāng)系統(tǒng)通訊協(xié)議為動(dòng)態(tài)端口時(shí)，系統(tǒng)應(yīng)具備對動(dòng)態(tài)端口相應(yīng)的管理能力，以保證系統(tǒng)通訊的安全性；d)系統(tǒng)密碼實(shí)現(xiàn)定期更改，防止密碼長期不更改導(dǎo)致密碼泄露。C.4.2監(jiān)控層增強(qiáng)要求在數(shù)字化車間監(jiān)控層對使用控制的增強(qiáng)要求為：a)數(shù)字化車間生產(chǎn)系統(tǒng)應(yīng)提供阻止接收來自生產(chǎn)系統(tǒng)外的用戶或系統(tǒng)的個(gè)人間通信消息的b)系統(tǒng)應(yīng)定期更新殺毒軟件；c)系統(tǒng)應(yīng)具備系統(tǒng)關(guān)鍵文件監(jiān)控功能，防止關(guān)鍵文件被篡改；d)應(yīng)定期備份