内容简介
Q/SY中国石油天然气集团有限公司企业标准
Q/SY 10015—2019
工业控制系统网络安全框架
Network security framework for industrial control system
2019-11-26发布
2020-03-01实施
发布
中国石油天然气集团有限公司 Q/SY10015—2019
目 次
前言范围
1
2 术语和定义 3 总则安全管理要求
4.
4.1 资产管理 4.2 配置管理 4.3 应急管理 4.4 培训管理 4.5 供应链管理 4.6 人员管理 4.7 控制管理安全技术要求
5
5.1 设计安全 5.2 边界安全 5.3 物理安全 5.4 主机安全 5.5 数据安全 5.6 身份认证 5.7 配置变更 5.8 安全监测 5.9 远程访间附录A(资料性附录) 工业控制系统资产清单样表参考文献
- Q/SY10015—2019
前言
本标准按照GB/T1.1一2009《标准化工作导则第1部分:标准的结构和编写》给出的规则起草。 本标准由中国石油天然气集团有限公司信息管理部提出。 本标准由中国石油天然气集团有限公司标准化委员会信息技术专业标准化技术委员会归口。 本标准起草单位:勘探开发研究院、东方地球物理勘探有限责任公司、新疆油田分公司、信息技
术服务中心。辽河油田分公司。
本标准主要起草人:冯梅、陆佳妮,魏萍、王勇、李青、杨志贤、胡静、马巍、裴志宏,叶铭谷海生。彭军、于普菏。陈靓、董之光、曹然、张凯。 Q/SY 10015—2019
工业控制系统网络安全框架
1 范围
本标准规定了中国石油天然气集团有限公司(以下简称“集团公司")工业控制系统网络安全(以下简称“工控系统安全”)的框架性要求,提出了工控系统安全的总则、安全管理要求,以及边界安全、主机安全、数据安全等关键技术活动。
本标准适用于集团公司及所属企事业单位负责工控系统安全工作的管理者和实施者开展工控系统
安全工作。
2术语和定义
GB/T22239—2019、Q/SY1335—2015界定的以及下列术语和定义适用于本文件。
2.1
工业控制系统 industrial control system 工业控制系统(ICS)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和
数据采集系统(SCADA),分布式控制系统(DCS)和其他较小的控制系统:如可编程逻辑控制器(PLC),现已广泛应用在工业部门和关键基础设施中。
[GB/T22239—2019,定义3.18]
2.2
工业控制系统网络安全industrial control system cyber security 通过采取必要措施。防范对工业控制系统的攻击。侵人,干扰。破坏和非法使用及意外事故,使
工业控制系统处于可靠运行的状态,以及保障工业数据的完整性。保密性。可用性的能力。 2.3
生产网 production network 以生产控制系统中产生的生产数据为主要流量的专用计算机网络。 [Q/SY1335—2015.定义3.1.5]
2.4
工业主机 industrial mainframe 工业生产控制各业务环节涉及组态。操作、监控。数据采集与存储等功能的主机设备载体。包括
工程师站,操作员站,历史站等。
3总则
工控系统安全涉及工业控制系统的整个生命周期(设计、选型、建设。测试。运行、检修、废弃)。对于新建工业控制系统,防护措施建设应同步设计、同步施工和同步使用。对于已投人生产的工业控制系统,防护措施应事先在离线环境中进行测试,测试验证通过后方可实施。
工控系统安全应坚持“谁主管谁负责,谁运营谁负责。谁使用谁负责”的原则,明确工控系统安
1 Q/SY10015—2019
全主管部门、制定工控系统安全管理制度和技术规范,定期开展工控系统安全风险评估和安全检查工作。
4安全管理要求 4.1资产管理 4.1.1应建立工业控制系统资产清单(参见表A.1),明确资产责任部门。 4.1.2应建立资产使用和处置规则。 4.2酉 配置管理 4.2.1应建立工业控制系统安全配置清单,定期进行配置审计。 4.2.2应明确工业控制系统内网络连接情况,绘制并维护网络拓扑图。 4.2.3应严格账户管理。根据工作需要合理分类设置账户权限。 4.2.4应严格口令管理,明确口令复杂度。最长使用期限等口令配置策略。 4.2.5应定期对账户、口令、端口和服务等配置情况进行检查。 4.3应急管理 4.3.1应制订工控系统安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,根据预案采取紧急防护措施,防止事态扩大,并逐级报送至工控系统安全主管部门及业务主管部门。 4.3.2应定期对工控系统安全事件应急响应预案进行演练,必要时对预案进行修订。 4.4培训管理 4.4.1应对工控系统安全管理制度。技术规范。防护方案,应急预案等文件进行宣贯。 4.4.2应对相关岗位人员开展工控系统安全意识和技能培训。 4.4.3应对培训效果进行考核。 4.51 供应链管理 4.5.1在选择工业控制系统规划、设计、建设、运维、评估等服务商时,应优先考虑具备工控系统安全防护经验的单位。 4.5.2采购工业控制设备和工控系统安全防护设备时,应选择无重大安全漏洞、安全支持能力强,漏洞修补及时的提供商。 4.5.3新建工业控制系统宜采用具有信息安全防护功能的产品,工控系统安全防护产品宜采用自主可控产品。 4.5.4采购工控软件时,应要求供应商提供软件所包含的文件内容和名称、目录结构、特征值及开放端口要求等信息。 4.5.5应以合同等方式明确厂商、服务商需承担的信息安全责任和义务。 4.5.6应以保密协议的方式要求厂商。服务商做好保密工作,防范敏感信息外泄。 4.6人员管理 4.6.1应建立人员审查制度,尤其对关键岗位人员进行审查。 4.6.2应在人员调动至其他岗位时,按照岗位需求调整对工业控制系统的访问权限。 4.6.3应终止离职人员对工业控制系统的访问权限。
2 Q/SY10015—2019
4.7控制管理 4.7.1J 应定期对工业控制系统进行安全风险评估,要明确风险评估的频率。 4.7.2J 应定期对工业控制系统进行安全检查,要明确安全检查的频率。 4.7.3应定期对工业控制系统进行渗透测试,要明确渗透测试的频率与目标,渗透测试应在工业控制系统非在线状态或在测试环境中进行。 4.7.4应在工业控制系统上线前。系统维修期间或非业务高峰期有计划地进行漏洞扫描。
5安全技术要求 5.1设计安全 5.1.1 在工业控制系统设计阶段应充分考虑工控系统安全防护要求,同步设计安全防护措施 5.1.2应对关键工业主机、网络设备等进行元余设计。 5.2边界安全 5.2.1应分离工业控制系统的开发。测试和生产环境。 5.2.2应明确生产网边界:采取边界防护措施进行安全防护,禁止没有防护的生产网与内网。互联网相连接。 5.2.3在生产网内部应根据工业控制系统重要性和业务需求进行安全区域划分,区域之间采取逻辑隔离措施进行安全防护。 5.2.4边界防护策略应采用白名单机制,按照最小化原则配置允许规则。 5.3物理安全 5.3.1应对工程师站。操作员站。服务器。控制器等关键工业控制软硬件所在区域采取访问控制。视频监控。专人值守等物理安全防护措施。 5.3.2工业控制系统机柜间应采取门禁。书面登记等方式鉴别和记录出人的人员。 5.3.3对进人工业控制系统机柜间的来访人员应建立审批流程,并安排专人陪同,规定其活动范围。 5.4主机安全 5.4.1工业主机操作系统应采用最小化系统安装原则,只安装与自身业务相关的操作系统组件和应用软件,只开放业务必须的端口和服务。 5.4.2工业主机应拆除或封闭不必要的USB接口,无线网卡、光盘驱动器。若确需使用,宜通过主机外设安全管理技术手段实施严格访问控制。 5.4.3工业主机宜采用安装防病毒软件或应用程序白名单软件的防护措施。白名单软件宜支持自动扫描生成及用户手动导人两种白名单生成模式。防病毒软件应采取离线升级的方式更新病毒库。 5.4.4临时接入的主机和存储介质应采取病毒查杀等安全预防措施,应对接人情况进行记录并定期进行审计。 5.4.5与工业主机发生数据交换的外接设备应明确其使用范围,并采取专机。专盘、专用、专人管理手段,实施严格的访问控制。 5.5数据安全 5.5.1应根据数据的重要程度对数据进行分级,并按照不同级别进行安全防护。
2 Q/SY 10015—2019
5.5.2应对静态存储的重要工业数据进行加密存储:设置访问控制措施并由专人保管。 5.5.3重要工业数据宜加密传输, 5.5.4应定期对工艺参数。配置文件。设备运行数据、生产数据等关键业务数据进行备份,并定期对数据的可用性进行测试。 5.5.5应对测试数据进行保护。 5.5.6应对退役设备上的数据进行清理。 5.6身份认证 5.6.1在工业主机登录、应用服务资源访问、工业云平台访问等过程中应采取口令密码、USBkey. 智能卡。生物指纹等身份认证措施,必要时可同时采用多种认证手段。 5.6.2应定期清理不必要的用户和管理员账户。 5.6.3应定期修改网络设备。工业主机、应用软件。工业控制设备口令,及时更改产品安装时的预设口令,杜绝弱口令、空口令。 5.6.4工业控制系统安全日志应保留至少6个月并定期对日志进行安全审计。 5.7配置变更 5.7.1应对影响工控系统安全防护效果的关键配置的改变,如重大漏洞补丁更新。安全设备的新增或减少。安全域的重新划分等行为制订变更计划并进行影响分析,配置变更实施前进行安全测试。 5.7.2应密切关注原厂商和第三方漏洞平台发布的工控系统安全漏洞及补丁信息。在充分评估业务影响的前提下,采取必要的应对措施 5.8安全监测 5.8.1应部署网络安全监测设备,及时发现。报告并处理网络攻击或异常行为。 5.8.2在影响正常生产运行的核心工业控制设备前端宜部署具备工业协议深度包检测(DPI)功能的防护设备,限制违法操作。 5.8.3应定期对重要工业控制系统的网络安全状态和网络安全监测设备进行巡检。 5.9远程访问 5.9.1不应从生产网之外远程控制工业控制系统。 5.9.2工业控制系统不宜开放HTTP、FTP、Telnet等高风险通用网络服务。 5.9.3原则上禁正从生产网外访问生产网数据,确需远程访问的,应建立远程访问审批流程,并采用数据单向传输。数据加密。源地址限制等方式保证其安全性。 5.9.4禁止不安全的远程维护。
4