GB∕T 41260-2022 数字化车间信息安全要求.pdf

资源描述

1、书书书犐犆犛犆犆犛犖中华人民共和国国家标准犌犅犜数字化车间信息安全要求犛犲犮狌狉犻狋狔狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉犱犻犵犻狋犪犾犳犪犮狋狅狉狔发布实施国家市场监督管理总局国家标准化管理委员会发布书书书目次前言引言范围规范性引用文件术语和定义、缩略语术语和定义缩略语数字化车间信息安全总则数字化车间信息安全范围数字化车间信息安全基本要求数字化车间信息安全分析流程数字化车间信息安全管理要求概述信息安全管理制度信息安全管理岗位与职责人员管理风险

2、管理物理访问控制管理运维安全管理监视和评审信息安全管理的有效性保持和改进数字化车间信息安全技术要求概述区域划分与边界防护身份鉴别与认证使用控制资源控制数据安全安全审计附录（资料性）数字化车间信息安全常见威胁源附录（资料性）典型机械制造行业数字化车间信息安全示例概述确定保护对象与目标风险分析与处置安全防护需求与安全策略安全确认与评估犌犅犜运行与维护附录（规范性）数字化车间信息安全增强要求概述区域划分与边界防护身份鉴别与认证使用控制资源控制数据安全安全审计参考文献图数字化车间信息安全范围（实线部分）图数字化车间信息安全分析流程图机械制

3、造行业典型架构图典型工程数字化车间安全架构犌犅犜前言本文件按照标准化工作导则第部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国机械工业联合会提出。本文件由全国工业过程测量控制和自动化标准化技术委员会（）归口。本文件起草单位：机械工业仪器仪表综合技术经济研究所、中国石油集团安全环保技术研究院有限公司、重庆信安网络安全等级测评有限公司、浙江中控技术股份有限公司、国能智深控制技术有限公司、深圳市标利科技开发有限公司、宁波和利时信息安全研究院有限公司、中国科学院沈阳自动化研究所、中国电力工程顾问集团华北电力设

4、计院有限公司、北京市劳动保护科学研究所、工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）、上海工业自动化仪表研究院有限公司、西门子（中国）有限公司、菲尼克斯（南京）智能制造技术工程有限公司、长沙有色冶金设计研究院有限公司、罗克韦尔自动化（中国）有限公司、快克智能装备股份有限公司。本文件主要起草人：孟邹清、张亚彬、魏振强、潘东波、裘坤、田雨聪、任军民、徐皑冬、马欣欣、刘盈、靳江红、郭永振、董赢、李佳、张晓进、彭小波、张占峰、王玉敏、赵艳领、郭苗、熊文泽、黄焕袍、牛海明、鄢锋、曾祥吉、戚国强、罗方伟、王荣臻。犌犅犜引言数字化车间较传统生产车间具有数字化、网络化、智能化等特点，互联互

5、通互操作成为数字化车间建设的基本特征。生产车间的边界被扩大，传统信息安全的威胁将会渗透到数字化车间内部，而数字化车间内的各类设备、系统设计之初主要是面向可用性而非安全性，信息安全防护能力普遍低下；数字化车间系统化的特性也导致信息安全产生的影响变得更大，一个局部的影响可能导致整个车间的停运；与此同时，物联网及新兴网络和通信技术等的应用也会把外部威胁直接引入到生产现场，因此数字化车间的建设应充分考虑信息安全的因素。本文件以数字化车间为对象，充分考虑数字化车间的特点，从管理与技术两个方面提出信息安全要求。犌犅犜数字化车间信息安全要求范围本文件规定了数字化车间信息安全总则、管理要求和技术要求等。本文

6、件适用于针对数字化车间的工程设计、设备生产、系统集成、生产运维、安全评估等信息安全活动。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。数字化车间术语和定义：工业通信网络网络和系统安全第部分：术语、概念和模型（：，）术语和定义、缩略语术语和定义和：界定的以及下列术语和定义适用于本文件。数字化车间犱犻犵犻狋犪犾犳犪犮狋狅狉狔；犱犻犵犻狋犪犾狑狅狉犽狊犺狅狆以生产对象所要求的工艺

7、和设备为基础，以信息技术、自动化、测控技术等为手段，用数据连接车间不同单元，对生产运行过程进行规划、管理、诊断和优化的实施单元。注：在本文件中，数字化车间仅包括生产规划、生产工艺、生产执行阶段，不包括产品设计、服务和支持等阶段。来源：，资产犪狊狊犲狋数字化车间拥有或保管的物理或逻辑对象，该对象对数字化车间具有潜在或实际的价值。注：在工业自动化和控制系统的情况下，具有最大直接可测量价值的实物资产可能是受控设备。来源：：，，有修改生产系统狆狉狅犱狌犮狋犻狅狀狊狔狊狋犲犿为完成数字化车间生产任务而需要的各类硬件、软件以及人员的集合。注：数字化车间生产系统

8、包括但不限于。）可编程逻辑控制器（）、智能电子设备（）、分布式控制系统（）、紧急停车系统（）、安全仪表系统（）、监视控制与数据采集（）系统、运动控制（）系统、数控系统（）、柔性制造系统（）等系统。犌犅犜）相关的信息系统，例如专用设备监视器、图形界面、过程历史记录、制造执行系统（）。感知控制层狋犺犲犾犪狔犲狉狅犳狆犲狉犮犲狆狋犻狅狀犪狀犱犮狅狀狋狉狅犾定义了感知和操控车间物理流程的活动。注：典型的运行时限是秒，甚至更快。来源：，，有修改监控层狋犺犲犾犪狔犲狉狅犳犿狅狀犻狋狅狉犻狀犵定义了监测

9、和控制车间物理流程的活动。注：典型的运行时限是小时、分钟和几分之几秒。来源：，，有修改信息安全狊犲犮狌狉犻狋狔一种描述系统特性的术语，满足：）保护系统所采取的措施；）由建立和维护保护系统的措施而产生的系统状态；）能够免于非授权访问和非授权或意外的变更、破坏或者损失的系统资源的状态；）基于计算机系统的能力，能够提供充分的把握使非授权人员和系统既无法修改软件及其数据也无法访问系统能力，却保证授权人员和系统不被阻止；）防止对工业自动化和控制系统的非法或有害的入侵，或者干扰其正确和计划的操作。注：措施可以是与物理信息安全（控制物理访问计算机的资产）或者逻辑信息安全（登录给定系统和应

10、用的能力）相关的控制手段。来源：：，，有修改脆弱性狏狌犾狀犲狉犪犫犻犾犻狋狔系统设计、实现或操作和管理中存在的缺陷或弱点，可被利用来危害系统的完整性或安保策略。来源：，威胁狋犺狉犲犪狋可能导致对系统或组织危害的不希望事故潜在起因。来源：，信息安全风险犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狉犻狊犽人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。来源：，风险分析狉犻狊犽犪狀犪犾狔狊犻狊系统地使用信息来识别风险来源和估计风险。来源：，风险处置

11、狉犻狊犽狋狉犲犪狋犿犲狀狋选择并且执行措施来更改风险的过程。犌犅犜来源：，安全措施狊犲犮狌狉犻狋狔犿犲犪狊狌狉犲为保护资产、抵御威胁、减少脆弱性、降低安全事件的影响而实施的各种实践、规程和机制。来源：，，有修改残余风险狉犲狊犻犱狌犪犾狉犻狊犽经过风险处置后遗留的风险。来源：，安全事件狊犲犮狌狉犻狋狔犻狀犮犻犱犲狀狋系统、服务或网络的一种可识别状态的发生，它可能是对安全策略的违反或防护措施的失效，或未预知的不安全状况。来源：，可用性犪狏犪犻犾犪犫犻犾犻狋狔数据或资源

12、的特性，被授权实体按要求能访问和使用数据或资源。来源：，完整性犻狀狋犲犵狉犻狋狔保证信息及信息系统不会被非授权更改或破坏的特性。注：包括数据完整性和系统完整性。来源：，保密性犮狅狀犳犻犱犲狀狋犻犪犾犻狋狔数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。来源：，区域狕狅狀犲共享相同信息安全要求的逻辑资产或物理资产的集合。注：区域具有清晰的边界。一个信息安全区域的信息安全策略在其内部和边界都要强制执行。来源：：，边界犫狅狌狀犱犪狉狔软件、硬件或者其他物理屏障，限制进入系统或者部

13、分系统。来源：：，审计犪狌犱犻狋独立审查和记录检查，以确保遵守既定的政策和操作程序，并建议必要的控制变更。来源：：，，有修改访问控制犪犮犮犲狊狊犮狅狀狋狉狅犾保护系统资源防止未经授权的访问；系统资源使用的过程是根据安全策略规定的，并且根据该策略犌犅犜只允许被授权的实体（用户、程序、过程或其他系统）。来源：：，鉴别犪狌狋犺犲狀狋犻犮犪狋犻狅狀身份所声明特征正确性的保证行为。注：在一个控制系统中，鉴别是允许访问系统资源的先决条件。来源：：，授权用户犪狌狋犺狅狉犻狕犲犱狌狊犲狉依据安全策略可

14、以执行某项操作的用户。来源：，缩略语下列缩略语适用于本文件。：高级持续性威胁（）：地址解析协议（）：计算机辅助设计（）：计算机辅助工程（）：数控系统（）：分布式控制系统（）：分布式拒绝服务（）：非军事区（）：分布式数控（）：拒绝服务攻击（）：企业资源计划（）：紧急停车系统（）：柔性制造系统（）：人机界面（）：制造执行系统（）：可编程逻辑控制器（）：产品生命周期管理（）：无线射频识别（）：安全仪表系统（）：虚拟本地网（）数字化车间信息安全总则数字化车间信息安全范围一个企业工厂根据不同的功能可以划分为三个层次，如图所示，分为基础层、执行层、管理

15、层。数字化车间的基础层包括了数字化车间生产制造所必需的各种制造设备及生产资源，其中制造设备承担执行生产、检验、物料运送等任务，大量采用数字化设备，可自动进行信息的采集或指令执行；生产资源是生产用到的物料、托盘、工装辅具、人、传感器等，本身不具备数字化通信能力，但可借助条码、等技术进行标识，参与生产过程并通过其数字化标识与系统进行自动或半自动交互。犌犅犜这里基础层通常可以细分为两层：感知控制层与监控层。注：这里的设备包含但不限于、、工业机器人、各种传感器、执行器、操作面板等。数字化车间的执行层主要包括车间计划与调度、生产物流管理、工艺执行与管理、生产过程质量管理、车间设备管理五个功能模块，

16、对生产过程中的各类业务、活动或相关资产进行管理，实现车间制造过程的数字化、精益化及透明化。由于数字化工艺是生产执行的重要源头，对于部分中小企业没有独立的产品设计和工艺管理情况，可在数字化车间中建设工艺设计系统，为制造运行管理提供数字化工艺信息。以系统为代表的面向车间执行层的生产信息化管理系统，该系统会进行数据采集、生产调度、代码下载、参数配置等各项功能的执行。数字化车间的管理层以为代表的企业资源管理，负责企业订单的接收，人力、工资等信息的管理，包括但不限于、等各种资源。数字化车间以物理车间为基础，物理车间的资产属于数字化车间的一部分，不在物理车间内部但是通过网络等方式连接的设备系统仍然作为数字

17、化车间的一部分，如系统使用的服务器可能放置于专门的机房，车间与机房通过光纤方式进行连接通信。因此，数字化车间信息安全的范围包括基础层和执行层全部与信息安全相关的系统活动。数字化车间信息安全保护的对象包括数字化车间的物理资产、逻辑资产（如工艺配方等）。数字化车间智能工厂可选功能。图数字化车间信息安全范围（实线部分）数字化车间信息安全基本要求保障生产安全要求信息安全措施应有利于增强安全相关系统对内部攻击、外部攻击和误操作的防御。信息安全措施不应对生产紧急事件处理产生妨碍，或者虽有影响但经过充分评估后可以实施。保障连续生产要求信息安全技术措施不应对自动化控制装备的通讯端口、控制网络产生连续或

18、阶段性的网络冲击对犌犅犜控制实时性和连续性的不利影响应控制在允许范围。对控制设备和操作站点采取信息安全技术措施前，应充分测试和验证该技术措施是否影响控制设备和工业软件的运行。不影响控制装备互联互通要求采取信息安全管理和技术措施前应考虑到事实上多种工业控制协议设备间的互联互通，对于采用私有协议或国际现场总线标准的控制和通讯设备可考虑采取网段隔离等措施，不宜更改相关通讯标准协议。适用性要求应考虑数字化车间重要程度，以及系统脆弱性、威胁和安全风险现状，平衡经济性和安全性，结合系统架构和技术情况，采用适宜的安全防护措施补偿对抗措施。动态性要求应考虑数字化车间全生命周期内风险与信息安全需求的变化

19、，及时采取相应措施。内生安全与纵深防御相结合要求应结合内生安全技术与多层次纵深防御措施来有效保障信息安全，宜优先采用具备内生安全技术的控制装备，从而抵御相关技术和管理措施失效或过失情况下的风险。管理和技术相结合要求数字化车间的信息安全应综合考虑管理和技术措施，技术措施应通过必要的管理措施来保障落实和执行。数字化车间信息安全分析流程如图所示，对于一个数字化车间在建设阶段应充分考虑安全需求，安全需求的前提是基于目标对象的确定，进而进行必要的危险和风险分析之后得出的，对于安全需求要进行评估，进而制定安全策略和安全措施，在数字化车间实际投入运行之前应对安全措施进行评估和确认。注：对安全措施进行评

20、估和确认可以通过线上测试和分析实现。当数字化车间进入运行维护阶段，应定期和根据实际需要进行风险评估，根据评估结果通过修改、加强、增加安全措施来应对风险变化导致的安全能力下降，其中安全措施包括管理措施和技术手段。数字化车间的常见威胁和风险点见附录，实际的分析处理过程见附录。数字化车间信息安全能力由管理措施、技术手段各方面因素综合决定，具体要求见第章、第章。犌犅犜图数字化车间信息安全分析流程数字化车间信息安全管理要求概述数字化车间的拥有者或运营者（以下简称“组织” ）应充分识别、分析、评价、管理、监视和评审组织所面临安全风险，建立并维护信息安全管理要求的措施，明确信息安全管理职责，分配和管理资

21、源，运用过程方法实现数字化车间的正常运行，并采取有效的措施评估、分析和改进，以满足数字化车间信息安全管理的要求。信息安全管理制度在数字化车间信息安全管理制度的制定中应：）按照信息安全管理方针和策略，制定数字化车间的信息安全工作原则与目标；）对数字化车间的安全管理活动建立相应的信息安全管理制度；）对管理人员和操作人员执行的日常信息安全管理操作建立操作规程或者作业指导书；）通过正式、有效的方式发布，并进行版本控制。信息安全管理岗位与职责应通过清晰的岗位设置、明确的信息安全职责划分，支持数字化车间的信息安全管理。）设立数字化车间的信息安全管理岗位，并明确定义岗位职责。）各岗位应配备相应的管理人员

22、，并应明确定义各级人员的职责。）关键岗位应配备多人共同管理。）信息安全管理的角色和职责应落实到具体的责任人、管理者、具体的工位、具体的单元操作等。犌犅犜人员管理人员录用与离职管理在数字化车间的人员录用与离职管理中应：）对被录用关键岗位信息安全管理人员的身份背景、资质等进行审查；）及时终止离职信息安全管理人员的所有访问权限，更换相应访问密码，收回所授予的各种身份证件、钥匙以及组织提供的软硬件设备等。人员培训、意识和能力应通过以下方式，确保所有被赋予信息安全管理职责的人员具有执行所要求任务的能力：）确定从事数字化车间信息安全管理工作的人员所必要的能力；）对各类人员进行信息安全意识教育和岗位技

23、能培训，或采取其他措施（如聘用有能力的人员）以满足这些能力需求；并告知相关的安全责任和惩戒措施；）对关键岗位的人员进行信息安全技能考核；）评价所采取措施的有效性；）保存教育、培训、技能、经历和资格的记录。外部人员访问管理在数字化车间的外部人员访问管理中应：）确保外部人员在进入物理访问受控区域前提出书面申请，批准后由专人全程陪同，并登记备案；）确保在外部人员接入网络访问系统前提出书面申请，批准后由专人开设账号、分配权限，并登记备案；）在外部人员离场后及时清除其所有的访问权限。风险管理确定风险管理目标对数字化车间的风险管理控制目标和控制措施应加以选择和实施，以满足风险评估和风险处置过程中所识

24、别的要求。这种选择应考虑接受风险的准则以及法律法规的要求。组织宜获得管理者对残余风险的批准。识别、分析和评价安全风险应建立、维护数字化车间信息安全风险的识别、评估、分析、评价、处置及控制的方法，并定期实施风险评估：）确定风险评估方法、制定接受风险的准则和识别可接受的风险级别；）定期识别各类风险，如通过连网设备识别风险时应有相应流程或资产面临的危险和可能被威胁利用的脆弱性等；）定期分析和评价各类风险，包括评价安全失效可能对组织造成的影响等；）确定可选措施以消除风险或避免风险等；）在组织的方针策略和可接受风险的准则条件下，主动、客观地接受风险。犌犅犜风险处置在数字化车间的风险处置中应：）为管理

25、数字化车间信息安全风险制定处置计划，该计划应包含适当的管理措施、资源、职责和优先顺序等；）实施风险处置计划达到已识别的控制目标，包括资金安排、角色和职责的分配；）实施所选择的控制措施满足控制目标；）确定如何测量所选择的控制措施或控制措施实际的有效性，并指明如何运用这些测量措施来评估控制措施的有效性，以产生可比较的和可再现的结果；）管理数字化车间信息安全相关的资源；）实施能够迅速检测安全事件和响应安全事件的规程和其他控制措施。物理访问控制管理物理访问控制基本要求应包括但不限于：）对数字化车间出入口进出的人员进行控制、鉴别和记录；）对数字化车间划分区域进行管理，必要时，区域和区域之间应物理隔离；

26、）全程陪同对受控区域访问的外部人员；）限制外部人员携带可能导致泄密的电子设备或其他物品如手机、相机、电子记录仪等；）制定规章制度限制内部人员携带可能导致泄密的物品；）对重要区域进行视频监控。运维安全管理在数字化车间的运维安全管理中应：）制定并发布数字化车间安全运维规程，定期对安全运维规程进行评审和更新；）根据厂商或供应商的规格说明以及组织的要求，对数字化车间设备和系统的运维进行规划、实施、记录，并对维护和修理记录进行评审；）审批和监视所有运维行为，不论被维护对象是在现场还是被转移到其他位置；）在对系统或组件维护或修理后，检查所有可能受影响的安全控制措施以确认其仍能正常发挥功能；）数字化车间设

27、备或系统的第三方运维商承诺未经用户同意不得采集用户相关信息、不得远程控制用户设备或系统；）如果采用远程运维的方式，组织根据产品的运维需求，为远程控制端口设置控制权限和控制时间窗；在远程维护完成后，组织安排专人立即关闭为远程维护需求开放的权限设置；）完整地记录所有运维的工作计划、要求、过程和完成情况，并存档；）能够对所有运维操作记录进行安全审计，审计记录应定期备份，避免受到未预期的删除、修改或覆盖等；）定期开展风险评估，对识别和发现的安全漏洞和隐患及时进行修补。监视和评审信息安全管理的有效性在监视和评审数字化车间信息安全管理的有效性时应：）执行监视评审规程和其他控制措施：犌犅犜迅速检测过程运

28、行结果中的错误；迅速识别即将发生的和已发生的安全违规和事件；帮助管理者确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期望执行；帮助检测并预防安全事件；确定安全违规的解决措施是否有效。）在考虑安全事件、有效性测量结果、所有相关方的建议和反馈的基础上，进行信息安全管理有效性的定期评审（包括满足信息安全管理方针和目标，以及安全控制措施的评审）；）测量控制措施的有效性以验证安全要求是否被满足；）按照计划时间间隔进行风险评估的评审，以及对残余风险和已确定的可接受风险及级别进行评审，应考虑以下方面的变化：组织；数字化车间升级或更新；业务目标和过程；已识别的威胁；已实施的控制措施的有效性；外部

29、事态，如法律法规环境的变更、合同义务的变更和社会环境的变更。）考虑监视评审活动的结果，以更新安全计划；）记录可能影响数字化车间信息安全的有效性或执行情况的措施和事态。保持和改进在保持和改进数字化车间信息安全管理时应：）实施易识别的信息安全管理改进措施；）采取纠正和预防措施，从其他组织和组织自身的安全经验中吸取教训；）向所有相关方沟通纠正和预防措施、改进情况，其详细程度与环境相适应，需要时商定如何进行；）确保改进达到了预期目标。数字化车间信息安全技术要求概述安全要素本文件以区域划分与边界防护、身份鉴别与认证、使用控制、资源控制、数据安全与安全审计作为数字化车间信息安全技术要求的基本要素，具

30、体为：）区域划分与边界防护应从企业和数字化车间系统整体角度来考虑信息安全，通过区域划分和边界防护来实现纵深防御，保障数字化车间生产系统受到攻击时不扩散到另外的区域。）身份鉴别与认证应防止未经授权的访问，如用户名与密码形式的身份鉴别与认证。）使用控制应防止未经授权的使用，即使用户、软件等实体通过了鉴别，不同授权用户、软件等实体对数字化车间生产系统的操作与使用不得超过其所分配的权限。犌犅犜）资源控制应控制资源的使用防止因非法或超限使用资源从而影响生产系统的可用性、生产连续性等。）数据安全应保证静态数据和通信数据的可用性、完整性、保密性。）安全审计应对生产系统的日志、状态、报警等信息进行核查来检

31、测系统是否处于预期的安全设置。安全要求说明本文件中规定的安全要求是实现数字化车间信息安全能力的基本要求。如果需要更高的要求，应符合附录的规定。区域划分与边界防护感知控制层基本要求在数字化车间感知控制层对区域划分与边界防护的基本要求为：）感知控制层宜和对应的监控层划分为同一区域；）如有必要感知控制层内宜可划分多个子区域；）如有必要在感知控制层和对应监控层之间可设置边界，运用安全审计等非阻断型策略；）与感知控制层相连的其他所有网络或系统，如没有在同一安全区域，则与感知控制层相连的边界应满足边界防护的基本要求；）如有物联网或其他无线网络与感知控制层有线网络相连，物联网或其他无线网络应作为各自独

32、立的区域，在与感知控制层有线网络之间设置边界防护；）如感知控制层直接与云相连，应按照纵深防御的原则整体进行边界防护。对于设备直接上云的情况应优先配置设备的边界防护，如果设备的边界防护能力不足，应在云端做虚拟边界防护。监控层基本要求在数字化车间监控层对区域划分与边界防护的基本要求为：）监控层宜和对应的感知控制层划分为同一区域，此区域在与其他区域相连时应做好边界防护；）如有必要监控层内宜可划分多个子区域；）与监控层相连的其他所有网络或系统，如没有在同一安全区域，则与监控层相连的边界应满足边界防护的基本要求；）监控层和执行层可为不同区域，在监控层与执行层之间应满足边界防护基本要求；应部署访问控制设

33、备，配置访问控制策略，禁止任何穿越区域边界的、、、、等通用网络服务；）如有物联网或其他无线网络与监控层有线网络相连，物联网或其他无线网络应作为各自独立的区域，在与监控层有线网络之间设置边界防护；）如监控层直接与云相连，应按照纵深防御的原则整体进行边界防护。对于边缘终端直接上云的情况应优先配置边缘终端的边界防护，如果边缘终端的边界防护能力不足，应在云端做虚拟边界防护。执行层基本要求在数字化车间执行层对区域划分与边界防护的基本要求为：犌犅犜）执行层应整体作为一个区域；）执行层与管理层可为不同区域，在执行层和管理层之间应满足边界防护基本要求；可设置网络隔离设备，禁止管理层未经协议转换直

34、接访问执行层；）如有物联网或其他无线网络与执行层相连，物联网或其他无线网络应作为各自独立的区域，在与执行层之间设置边界防护；）如执行层直接与云相连，应按照纵深防御的原则整体进行边界防护，同时云端应做必要的虚拟边界防护。身份鉴别与认证感知控制层基本要求在数字化车间感知控制层对身份鉴别与认证的基本要求为：）应保证登录、操作与维护系统人员为可信人员，防止出现非相关人员的访问，影响设备或系统安全运行；）系统应保证外部登录的设备为可信设备，禁止任何不可信设备的接入；）系统内部设备连接外部网络时，应经过上网认证；）系统应具备记录连接事件的功能，以保证所有的连接均可查询；）如果该层使用了远程访问，系统应

35、具备对远程访问设备身份鉴别的能力。监控层基本要求在数字化车间监控层对身份鉴别与认证的基本要求为：）应保证登录、操作与维护系统人员为可信人员，防止出现非相关人员的访问，影响设备或系统安全运行；）系统应提供访问用户身份鉴别和认证的能力；）对于使用口令鉴别机制的生产系统，口令应具有一定的复杂性，且需在多次尝试密码失败后，延长重新输入密码等待时间；）系统内部设备连接外部网络时，应经过上网认证；）系统应具备访问记录与事件记录功能；）如果使用了无线网络，无线系统应具备识别接入设备并阻止未经授权设备接入的能力。执行层基本要求在数字化车间执行层对身份鉴别与认证的基本要求为：）系统应具备对操作人员身份鉴别的

36、能力；）使用口令鉴别机制的系统，口令应具有一定的复杂性；）系统应具备访问记录与事件记录功能。使用控制感知控制层基本要求在数字化车间感知控制层对使用控制的基本要求为：）数字化车间各区域间应具有相互访问控制的能力，保证不同区域之间存在隔离，如通过、路由、防火墙等方式；）系统应具备可配置的使用限制能力，对内部所有可能会被外部接入的接口进行接入限制管理，犌犅犜如现场交换机的网口，现场工控机的口、网口等，以防止非授权设备的接入；）系统应具备限制非必要通讯端口、协议和服务的能力；）系统应具备限制不同区域操作或维护人员访问权限的能力；）系统同一区域应实现对不同操作或维护人员实行不同控制权限的能力；）

37、如果使用了无线网络，无线系统应具备识别接入设备并阻止未经授权设备接入的能力；）如果使用了无线网络，工厂应保证使用的无线信道在此无线覆盖区域未曾被占用。监控层基本要求在数字化车间监控层对使用控制的基本要求为：）系统应具备可配置的使用限制能力，防止非授权设备的接入；）系统应具有为不同授权用户提供不同权限的能力，以支持职责分离和最小权限；）系统应提供对第三方未经兼容性测试的可能造成生产系统损害的应用程序或移动代码执行使用限制的能力；）应及时为数字化车间采取补丁升级措施，在安装前应对补丁进行严格的安全评估和测试验证；）数字化车间的远程访问端口应具有访问控制措施，对从发起方的访问进行源地址、目的地址、

38、源端口、目的端口和协议等项目的控制。资源控制感知控制层基本要求在数字化车间感知控制层对资源控制的基本要求为：）应通过设定设备接入方式、网络地址范围等条件限制设备接入该层网络；）网络化的感知控制设备应提供能力：在事件时能切换到降级模式下继续运行；）应能够监视接入该层网络的感知控制设备的网络负荷、流量、连接数、会话数等网络资源信息；应支持根据安全策略要求对感知控制设备端允许通过的数据流量、支持的连接数、会话数进行限制；）应能够监视接入该层网络的感知控制设备及相关网络设备的运行状态，例如设备的负荷、内存使用情况、设备故障报警信息等；）感知控制设备应对存储于内存中的配置信息、控制程序、数据进行监

39、控，在系统运行时应限制对感知控制设备的关键数据（包括控制程序代码、组态配置信息等）的访问；）网络化的感知控制设备或网络设备应提供能力：限制信息安全功能的资源使用，以防止资源耗尽；）网络化的感知控制设备或网络设备应在不影响正常设备使用的前提下，提供关键文件的识别和定位，以及用户级和系统级的信息备份（包括系统状态信息）的能力，且能验证备份机制的可靠性；）网络化的感知控制设备或网络设备在受到破坏或发生失效后，应提供能力：恢复和重构设备到一个已知的安全状态；）网络化的感知控制设备或网络设备应提供应急电源切换能力，切换不影响设备的运行状态；）网络化的感知控制设备或网络设备应提供禁用无用功能、端口、协议和

40、服务的能力；）该层网络应能识别并支持指示所有连接的设备。监控层基本要求在数字化车间监控层对资源控制的基本要求为：犌犅犜）应通过设定终端接入方式、网络地址范围等条件限制终端及设备接入该层网络；）应支持根据安全策略设置登录终端的操作超时锁定；）该层边界处应提供检测事件的能力；）该层边界处应支持根据安全策略要求对允许访问主机、服务器和感知控制设备端的协议、端口、数据流量、支持的连接数、会话数等进行限制；）接入监控层的感知控制设备应提供能力：在事件时能切换到降级模式下继续运行；）应能够监视接入该层网络的主机、服务器和感知控制设备的网络负荷、流量、连接数、会话数、会话响应时间等网络资源信息；）

41、应能够监视接入该层网络的主机、服务器、软件程序、感知控制设备及相关网络设备的运行状态，例如设备的负荷、内存使用情况、设备故障报警信息等；）应提供能力限制主机、服务器、软件程序、网络设备对感知控制设备的关键数据（包括控制程序代码、组态配置信息等）的访问；）主机、服务器、软件程序、网络设备应提供能力：限制信息安全功能的资源使用，以防止资源耗尽；）主机、服务器、软件程序、网络设备应在不影响正常使用的前提下，提供关键文件的识别和定位，以及用户级和系统级的信息备份（包括系统状态信息）的能力，且能验证备份机制的可靠性；）应对关键主机、服务器、网络设备提供应急电源切换能力，切换不影响主机、服务器、网络设备等

42、的运行状态；）主机、服务器、网络设备应提供禁用无用功能、端口、协议和服务的能力；）该层网络应能识别并支持指示所有连接的主机、服务器、设备；）通过接口应能获取并指示所有网络化的感知控制设备、主机、服务器、网络设备及其特性、运行状态、故障信息。执行层基本要求在数字化车间执行层对资源控制的基本要求为：）应通过设定终端接入方式、网络地址范围等条件限制终端及设备接入该层网络；）应支持根据安全策略设置登录终端的操作超时锁定；）该层边界处应提供检测事件的能力；）该层边界处应支持根据安全策略要求对允许访问主机、服务器端的协议、端口、数据流量、支持的连接数、会话数等进行限制；）应提供能力限制主机、服务器、软

43、件程序、网络设备对感知控制设备的关键数据（包括控制程序代码、组态配置信息等）的访问；）主机、服务器、软件程序、网络设备应在不影响正常使用的前提下，提供关键文件的识别和定位，以及用户级和系统级的信息备份（包括系统状态信息）的能力，且能验证备份机制的可靠性；）应对关键主机、服务器、网络设备提供应急电源切换能力，切换不影响主机、服务器、网络设备等的运行状态；）主机、服务器、网络设备应提供禁用无用功能、端口、协议和服务的能力；）该层网络应能识别并支持指示所有连接的主机、服务器、设备；）通过接口应能获取并指示所有网络化的感知控制设备、主机、服务器、网络设备及其特犌犅犜性、运行状态、故障信息。数据安

44、全感知控制层基本要求连接在系统中的感知控制层设备应满足系统对数据安全的可用性、完整性和保密性的基本要求，包括：）应提供多层的独立防护，来确保数据的安全性，从而保障系统安全；）应通过物理访问保护机制，如控制器的访问等级功能、防护门的钥匙锁、带读卡器和的防护门、视频监控等；）应通过硬件的信息安全解决方案：如控制器的防拷贝功能、程序保护技术、网络分段的防火墙保护、带失效关闭的防火墙等；）应通过流程和指令实现数据安全，如对员工的安全培训教育、设置盘访问的白名单规则、关键动作的双重批准等；）应通过安全服务保障生产设备的数据安全，如对系统进行备份和恢复、安全的在线验证等；）可通过安全通信机制。监控层

45、基本要求连接在系统中的监控层应满足系统对数据安全的可用性、完整性和保密性的基本要求，包括：）应通过隔离区进行数据交换以加强防护效果，避免直接访问自动化网络；）通过互联网或者移动网络进行远程访问时应进行保护，防止工业间谍活动和蓄谋的破坏；可通过对数据传输进行加密，并通过安全模块或者互联网和移动无线路由器进行访问控制；）可通过环网增强网络的可用性。执行层基本要求连接在系统中的执行层应满足系统对数据安全的可用性、完整性和保密性的基本要求，包括：）连接在执行层中的设备应保证其操作系统、软件和硬件具备对应的安全性和健壮性，以抵御恶意软件的攻击或者人为破坏的造成的影响；）应通过设备和系统构建信息安全网络

46、构架；）应通过信息安全网络构建抵御非授权访问的风险，实现访问保护和加密的数据交换等。安全审计感知控制层基本要求关键生产系统中的重要软硬件设备应具备日志存储和防篡改的功能。监控层基本要求在数字化车间监控层对安全审计的基本要求为：）应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；）审计记录应包括事件的日期和时间、用户、事件类型、主体标识、客体标识、事件是否成功以及其他与审计相关的信息；）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。犌犅犜注：安全审计可以是外部审计，也可以是内部审计。注：安全审计需要一定的周期，也可

47、以根据情况随时审计（如出现设备故障高发、产能下降等现象时）。执行层基本要求在数字化车间执行层对安全审计的基本要求为：）应在网络边界、重要网络节点、重要应用和数据进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；）审计记录应包括事件的日期和时间、用户、事件类型、主体标识、客体标识、事件是否成功以及其他与审计相关的信息；）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。犌犅犜附录犃（资料性）数字化车间信息安全常见威胁源数字化车间的信息安全危险既可能来自于数字化车间（数字化车间应有明确的边界）外部，也可能来自于数字化车间内部。威胁来源归结但不限于以

48、下几类：）数字化车间互联互通，上层系统受到的威胁可能渗透到数字化车间内；）数字化车间系统支持的远程维护以及不规范的无线接入点；）数字化车间内设备访问因特网或物联网连接；）移动媒体的不规范使用，设备、光盘、移动硬盘等；）恶意攻击如、、人员恶意操作等；）人员误操作。犌犅犜附录犅（资料性）典型机械制造行业数字化车间信息安全示例犅概述随着网络技术的快速发展，通过网络来进行生产、管理成为制造业的趋势，利用技术进行加工过程管控，已经成为各制造企业的主流选择。不同于单台机床与计算机的一对一连接，而是多台机床组成网络，编程人员在自己的计算机编制好加工程序（程序）后，通过网络传输到系统中，再由系统传输

49、到数控机床中或通过数控机床访问系统下载程序。目前部分单位已经实现了以系统为中心的生产工控系统网络，通过系统进行程序的下载和上传，实现生产的自动化控制；同时通过的采集系统对机床的实时状态进行采集，将采集数据上传至服务器，实现设备状态的实时采集和汇总。这些变化大大提高了生产力，但同时也让控制系统面临新的风险与挑战。如图所示。图犅机械制造行业典型架构根据安全防护需求分析，典型工程数字化车间安全架构如图所示。犌犅犜图犅典型工程数字化车间安全架构犅确定保护对象与目标对车间进行现场调研，通过对现场相关的网络、设备、数据和应用等资产进行识别与分类，确定各类资产的可用性、完整性和保密性安全属性，

50、然后利用确定的算法将信息资产三个因素的价值综合考虑，确定资产价值大小，从而最终确定要保护的关键资产如下：）网络及网络设备；）现场控制层设备：数控机床；）计算机设备：服务器、工作站、客户端等；）软件：工业控制系统专有协议、相关软件、源代码；）数据：工艺配方、数据库数据。犅风险分析与处置犅威胁识别对车间的威胁识别包括：）车间管理网络与控制网络互联互通，上层管理网络受到的威胁与攻击可能渗透扩展到控制网络；）车间不同控制单元间没有进行网络划分与隔离，局部感染可能会影响到全局；）车间控制系统远程维护缺少有效管控手段，可能会造成生产数据的信息泄密或者破坏；）设备、移动硬盘等使用无有效管控手段；）车间工

展开阅读全文