等保2.0中工控系统安全扩展要求

第一级基本要求

1、技术要求

（1）物理安全

防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等应符合所选用设备的物理和环境条件。

（2）边界防护

本项要求包括：

a)应对控制网络和非控制网络的边界，以及控制系统内安全域和安全域之间的边界，进行监视和控制区域边界通信；

b)应能识别控制网络和非控制网络上的边界通讯入侵行为，并有效阻断。

（3）生产管理层安全要求

网络和通信安全

无线使用控制

根据普遍接受的安全工业实践，应对无线连接的授权、监视以及执行使用进行限制。

访问控制

本项要求包括：

a)应通过手动或在一个可配置非活动周期后，系统自动启动会话锁定防止进一步访问。会话锁定应一直保持有效，直到拥有会话的人员用户或其它授权的人员用户使用适当的身份标识和鉴别规程重新建立访问；

b)应在一个可配置非活动时间周期后自动地，或由发起会话的用户手动地终止远程会话；

c)应根据访问控制策略设置访问控制规则，默认情况下，受控接口拒绝所有非允许的通信；

d)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。

安全审计

本项要求包括：

a)应能生成安全相关审计记录，包括：访问控制、请求错误、操作系统事件、备份和恢复事件、配置改变、潜在的侦察活动和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户帐户）、分类、类型、事件 ID 和事件结果；

b)根据一般公认的日志管理和系统配置的建议，系统应设置足够的审计记录存储容量。系统应提供审计机制来减少超出容量的可能性；

c)在审计事件的处理失败时，系统能对人员进行警示并防止丧失基本服务和功能。根据普遍接受的工业实践和建议，系统应能在审计处理失败的情况下，采取恰当响应行动； d) 授权人员和/或工具以只读方式访问审计日志。

设备和计算安全

身份鉴别

本项要求包括：

a)应在所有接口上执行标识和鉴别。当有人员用户访问时，应根据适用的安全策略和规程实施职责分离和最小权限；

b)应支持用户、组、角色或者接口的标识符管理功能；

c)应能初始化鉴别器内容；系统一经安装完成，立即改变所有鉴别器的默认值；改变或者刷新所有的鉴别器；当存储或者传输的时候，要保护鉴别器免受未经授权的泄露和修改；

d)对于使用设备的用户，应通过硬件机制保护相关鉴别器；

e)对于使用口令鉴别机制的设备，设备应能通过设置最小长度和多种字符类型，实现强制配置口令强度；

f)应能够隐藏鉴别过程中的鉴别信息反馈；

g)应针对任何用户（人员、软件进程或设备）在可配置时间周期内，对连续无效的访问尝试进行可配置次数限制。当限制次数超出后，应在规定的周期内拒绝访问或者直到管理员解锁。对于代表关键服务或者服务器运行的系统账户，不应允许交互式登录；

h)在进行鉴别之前，应能显示系统提示信息。使用提示信息应可通过授权人进行配置。

访问控制

本项要求包括：

a)应能支持授权用户管理所有帐户，包括添加、激活、修改、禁用和删除帐户；

b)应限制默认账户的访问权限，重命名系统默认账户，修改默认口令； c) 应及时删除多余的、过期的账户，避免共享账户的存在。

恶意代码防范

本项要求包括：

a)应能对可能造成损害的移动代码技术执行使用限制，包括：防止移动代码的执行；对于代码的来源要求适当的鉴别和授权；限制移动代码传入/传出系统；监视移动代码的使用；

b)应能应用保护机制，防止、检测、报告和减轻恶意代码或未经授权软件的影响。应能更新防护机制。

资源控制

在不影响当前安全状态下，系统应能切换至和切换出应急电源的供应。

应用和数据安全

身份鉴别、访问控制、软件容错、数据完整性、数据保密性、数据备份恢复。见GB/T 22239中的相关要求。

本项要求包括：

a)无论在信息存储或传输时，都应对有明确读权限的信息提供保密性保护；

b)在进行加密时，应按照国家相关保密部门要求采用合适的加密算法、密钥长度和密钥管理机制。

（4）过程监控层安全要求

网络和通信安全

网络架构

应将控制系统网络与非控制系统网络进行逻辑分区，将关键控制系统网络和非关键控制系统网络进行逻辑分区。

无线使用控制

应对无线连接的授权、监视以及执行使用进行限制。

访问控制

本项要求包括：

a)应提供在一个可配置的非活动时间周期后，或通过手动启动，通过启动会话锁定防止进一步访问。会话锁定应一直保持有效，直到拥有会话的人员用户或其它授权的人员用户使用适当的身份标识和鉴别规程重新建立访问；

b)应在根据访问控制策略设置访问控制规则，默认情况下，受控接口拒绝所有非允许的通信；

c) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。

入侵防范

应在有效的补救条件下识别和处理错误状况，该过程不应泄露任何安全相关信息，除非及时排除故障会不可避免地泄露某些信息。

安全审计

本项要求包括：

a)应生成安全相关审计记录，类别有：访问控制、请求错误、潜在的侦察活动和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户帐户）、分类、类型、事件

ID 和事件结果；

b)根据一般公认的日志管理和系统配置的建议，应设置足够的审计记录存储容量，提供审计机制来减少超出容量的可能性；

c)在审计事件的处理失败时，应警示人员采取恰当响应行动，防止丧失基本服务和功能；

d) 应授权人员和/或工具以只读方式访问审计日志。

设备和计算安全

身份鉴别

本项要求包括：

a)对于使用口令鉴别机制的设备，设备应具有通过设置最小长度和多种字符类型，从而达到强制配置口令强度的能力；可能对实时性产生影响进而影响到系统正常操作的，应采用其他替代安全手段或通过管理手段弥补；

b)应在可配置时间周期内，对连续无效的访问，尝试对可配置次数进行限制；

c)应具有登录失败处理功能，应配置并启用结束会话、当登录连接超时自动退出等相关措施。

访问控制

本项要求包括：

a)应支持授权用户管理所有帐户，包括添加、激活、修改、禁用和删除帐户；

b)应在一个可配置非活动时间周期后自动地，或由发起会话的用户手动地终止远程会话；

c)对于所有接口，应根据职责分离和最小权限对特定用户（人员、软件进程或设备）实施控制系统的控制使用授权；

d)在日常维护时，应支持安全功能操作的验证和报告异常事件；

e)应重命名系统默认账户，修改默认口令，禁止在工程师站、操作员站、服务器使用默认账户；

f)应及时删除多余的、过期的账户，避免共享账户的存在。

安全审计

本项要求包括：

a)应生成安全相关审计记录，类别有：访问控制、请求错误、操作系统事件、备份和恢复事件、配置改变和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户帐户）、分类、类型、事件 ID 和事件结果；

b)应授权人员和/或工具以只读方式访问审计日志。

入侵防范

本项要求包括：

a)应自动执行可配置的使用限制，其中包括：防止使用便携式和移动设备；要求特定内容的授权；限制来自/写入便携式和移动设备的代码和数据传输；

b)应通过手动或在一个可配置非活动周期后，系统自动启动会话锁定防止进一步访问。会话锁定应一直保持有效，直到拥有会话的人员用户或其它授权的人员用户使用适当的身份标识和鉴别规程重新建立访问；

c)所有主机设备操作系统采用最小化系统安装原则，除了必要的安全组件或软件外，只安装与自身业务相关的操作系统组件及应用软件，如工程师站、操作员站只安装组态软件、监控软件、编程软件、报表软件以及与此相关的操作系统组件，OPC 服务器、实时数据库服务器只安装数据库软件、服务器软件以及与此业务相关的操作系统组件。

恶意代码防范

本项要求包括：

a)应对可能造成损害的移动代码技术执行使用限制，包括：防止移动代码的执行；对于代码的来源要求适当的鉴别和授权；限制移动代码传入/传出控制系统；监视移动代码的使用；

b)应采取保护机制，防止、检测、报告和减轻恶意代码或未经授权软件的影响，应更新防护机制。

资源控制

应参照供应商提供的指南，根据所推荐的网络和安全配置进行系统设置。

应用和数据安全

身份鉴别

本项要求包括：

a)应唯一地标识和鉴别所有人员用户。应在所有接口上执行标识和鉴别。当有人员用户访问时，应根据适用的安全策略和规程实施职责分离和最小权限；

b)应在可配置时间周期内，对连续无效的访问，尝试对可配置次数进行限制；

c) 应提供并启用登录失败处理功能，多次登录失败后应采取必要的保护措施。

访问控制

本项要求包括：

a)应支持授权用户来管理所有帐户，包括添加、激活、修改、禁用和删除帐户；

b)对于所有接口，应根据职责分离和最小权限对所有用户实施控制使用授权；

c)应重命名系统默认账户，修改默认口令，禁止在工程师站、操作员站、服务器使用默认账户；

d) 应及时删除多余的、过期的账户，避免共享账户的存在。

安全审计

本项要求包括：

a)应生成安全相关审计记录，类别有：访问控制、请求错误、配置改变和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户帐户）、分类、类型、事件 ID 和事件结果；

b)授权人员和/或工具应使用只读方式访问审计日志。

软件容错

应对数据有效性进行检验，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。

资源控制

应对任何给定软件进程的每个接口限制并发会话数量。

数据完整性

本项要求包括：

a)应保护传输信息完整性；

b)应检测、记录、报告、防止对软件和信息的未经授权更改；

c)应对工业过程控制输入或直接影响控制系统动作的输入内容和语法的合法性进行校验。

数据保密性

本项要求包括：

a)无论在信息存储或传输时，都应对有明确读权限的信息提供保密性保护；

b)在进行加密时，应按照国家相关保密部门要求采用合适的加密算法、密钥长度和密钥管理机制。

数据备份恢复

本项要求包括：

a) 应在不影响正常设备使用的前提下，识别和定位关键文件，以及备份用户级和系统级的信息（包括系统状态信息）；

b) 应定期记录一个安全状态，在系统受到破坏或发生失效后，应能够恢复和重构控制系统到一个已知的安全状态。

（5）现场控制层安全要求

网络和通信安全

网络架构

应提供将控制系统网络与非控制系统网络进行逻辑分区，将关键控制系统网络和非关键控制系统网络进行逻辑分区的能力。

无线使用控制

本项要求包括：

a) 根据普遍接受的安全工业实践，对无线连接的授权、监视以及执行使用限制；

b) 应能够标识和鉴别所有参与无线通讯的用户（设备）。

访问控制

本项要求包括：

a) 应在根据访问控制策略设置访问控制规则，默认情况下，受控接口拒绝所有非允许的通信；

b) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。

安全审计

本项要求包括：

a)应生成安全相关审计记录，类别有：访问控制、请求错误、操作系统事件、控制系统事件、备份和恢复事件、配置改变、潜在的侦察活动和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户帐户）、分类、类型、事件 ID 和事件结果；

b)根据一般公认的日志管理和系统配置的建议，控制系统应设置足够的审计记录存储容量。控制系统应提供审计机制来减少超出容量的可能性；

c)在审计事件的处理失败时，控制系统应提供警示人员的能力和防止丧失基本服务和功能。根据普遍接受的工业实践和建议，控制系统应提供这样的能力，在审计处理失败的情况下，采取恰当响应行动；

d)授权人员和/或工具以只读方式访问审计日志。

设备和计算安全安全审计

本项要求包括：

a)应提供生成安全相关审计记录的能力，类别有：访问控制、请求错误、配置改变、潜在的侦察活动和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进程或人员用户帐户）、分类、类型、事件 ID 和事件结果；

b)授权人员和/或工具以只读方式访问审计日志。

应用和数据安全

数据完整性

应对工业过程控制输入或直接影响控制系统动作的输入内容和语法的合法性进行校验。

数据备份恢复

在受到破坏或发生失效后，应恢复和重构控制系统到一个已知的安全状态。

（6）现场设备层安全要求

网络和通信安全无线使用控制

对于采用网络（工业无线/现场总线）通讯的联网设备，应确保无线空中接口安全。

应用和数据安全

数据完整性

本项要求包括：

a)对于采用网络（工业无线/现场总线）通讯的联网设备，应保护传输信息完整性；

b)对于采用网络（工业无线/现场总线）通讯的联网设备，应防止对软件和信息的未授权更改；

c)对于采用网络（工业无线/现场总线）通讯的联网设备，应对工业过程控制输入或直接影响控制系统动作的输入内容和语法的合法性进行校验。

数据备份恢复

本项要求包括：

a)对于采用网络（工业无线/现场总线）通讯的联网设备，应在不影响正常设备使用的前提下，提供关键文件的识别和定位，包括设备状态信息的能力；

b)对于采用网络（工业无线/现场总线）通讯的联网设备，在受到破坏或发生失效后，应能够恢复和重构设备到一个已知的安全状态。

2、管理要求

1）安全管理机构和人员

岗位设置

应设立工控系统管理员、工控网络管理员、工控安全管理员等岗位，并定义各个工作岗位的职责。

人员配备

应配备一定数量的工控系统管理员、工控网络管理员、工控安全管理员等。

2）安全运维管理漏洞和风险管理

本项要求包括：

a)应定期开展安全测评，形成安全测评报告，提出整改建议和计划；

b)应采取必要的措施识别安全漏洞和隐患，并根据风险分析的后果，对发现的安全漏洞和隐患在确保安全生产的情况下及时进行修补；或评估可能的影响后采取必要的补救措施，补救措施宜在系统维护期间开展。

——END——