Q/SY
中国石油天然气集团有限公司企业标准
Q/SY10556.12022
工业控制系统网络安全技术规范
第1部分：油气生产
Technical specification for network security of industrial control systems
Part1:Petroleum production
2022—07—14发布
202209-01实施
中国石油天然气集团有限公司 发布 Q/SY10556.1—2022
目 次
前言引言： 1 范围 2 规范性引用文件 3 术语和定义 4 缩略语 5技术要求
Ⅱ
Ⅱ
5.1整体防护设计 5.2大型处理站 5.3井站 6管理要求 6.1 物理环境安全 6.2 安全建设 6.3 安全运维 6.4 漏洞管理 6.5 应急处置 6.6 供应链安全参考文献
...... ··
.....
中
*10
............
10 10 *10 10 11 11
--.-.--.
1电国中国中心
- Q/SY10556.1—2022
前言
本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。
本文件是Q/SY10556《工业控制系统网络安全技术规范》的第1部分。Q/SY10556已经发布了以下部分：
第1部分：油气生产，第2部分：成品油库及加油加气站
本文件由数字和信息化管理部提出。 本文件由中国石油天然气集团有限公司标准化委员会信息技术专业标准化技术委员会归口。 本文件起草单位：新疆油田分公司、勘探与生产分公司、数字和信息化部、勘探开发研究院、昆
仑数智公司、大庆石化分公司。
本文件主要起草人：孙军军、高允升、 石国伟。冯梅、丁建宇，刘磊、张子良、李伟、李焕、李朋、李志红、叶铭、杨德保 韩辛西、石友晨、陈刚、任新、韩永强、王胤权，赵泽阳，黄林，包丛、咸国明、韩磊、李洋、张景。
11 Q/SY 10556.1—2022
引 言
Q/SY10556《工业控制系统网络安全技术规范》涵盖了中国石油四大业务板块生产领域，可以有效促进中国石油工业控制系统安全防护标准化应用，规范网络安全防护技术要求，提升工业控制系统网络抗风险的能力，抵御一定规模的有组织的网络攻击行为，有效保护企业核心生产系统安全，为各业务领域提升工业控制系统网络安全防护能力提供依据，填补了中国石油在工业控制系统网络安全的标准空白。
Q/SY10556《工业控制系统网络安全技术规范》拟由四个部分构成
一第1部分：油气生产，一第2部分：成品油库及加油加气站：第3部分：炼化生产第4部分：装备制造生产。
本文件主要描述了工业控制系统网络安全的技术要求和管理要求等内容，其中技术要求部分根据油气生产现场场景，分为大型处理站和井站两种类型描述。大型处理站包括安全架构、生产执行层安全、过程监控层安全、现场控制层安全及现场设备层安全，井站包括安全架构、数据传输子系统安全和数据采集与监控子系统安全。
通过制定本文件明确了工业控制系统网络安全主体责任，满足当前加强油气生产工业控制系统网络安全保障的迫切需要，促进现有优秀经验成果转化。提升油气生产工业控制系统网络安全防护水平。 以点带面，对提升整体行业工控安全水平，为油气行业整体工控安全提供标准化借鉴具有重要意义
III AS/D O/SY10556.12022
工业控制系统网络安全技术规范
第1部分：油气生产
1范围
本文件规定了油气生产工业控制系统网络安全技术要求及管理要求。 本文件适用于油气生产企业开展工业控制系统网络安全防护安全技术方案的设计和实施。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
Q/SY10346—2021信息系统用户管理规范
3术语和定义
下列术语和定义适用于本文件
3.1
工业控制系统industrial control system(ICS) 工业生产中使用的控制系统，包括数据采集与监控系统（SCADA） 分布式控制系统（DCS）和
其他较小的控制系统，如可编程逻辑控制器（PLC）等。
配水间、注转站、接转站、联合站、处理
注：油气生产场景的工业控制系统主
口
2
站等。 ［来源：GB/T36323—2018,3.1]
3.2
分布式控制系统distributed control system （DCS) 以计算机为基础，在系统内部对生产过程进行分布式控制、集中管理的系统。 注：DCS系统一般包括现场控制级。控制管理级两个层次。现场控制级主要是对单个子过程进行控制，控制管理
级主要是对多个分散的子过程进行数据采华，单中显示，统一调度和管理。 ［来源：GB/T36323—2018.3.2]
3.3
监控和数据采集系统supervisory control and data acquisition (SCADA) 工业生产控制过程中，对大规模远距离地理分布的资产和设备在广域网下进行集中式数据采集与
监控管理的控制系统。
注：SCADA以计算机为基准，对远程分布运行设备进行监控调度，其主要功能包括数据采集，参数测量和调节
信号报警等。SCADA系统一般由设在控制中心的主终端控制单元（MTU）、通信线路和设备、远程终端单元（RTU）组成
［来源：GB/T36323—2018，3.3]
1 Q/SY10556.1—2022
3.4
可编程逻辑控制器Progranmmablelogiccontroller（PLC）采用可编程存储器，通过数据运算操作对工业生产装备进行控制的电子设备。 注：PLC主要实行各类运算、顺序控制、定时等指令，用于控制工业生产装备的动作，是工业控制系统的基础
单元。 ［来源：GB/T36323—2018，3.4]
3.5
远程传输单元remotetransportunit （RTU) 针对通信距离较长和工业现场环境恶尘而设计的具有模块化结构的计算机测控单元。
3.6
数据传输子系统data transmission system（DTS) 采用无线、有线相结合的组网方式，为数据采集与监控于系统和生产管理子系统提供安全可靠的
网络传输系统。
[来源：Q/SY10722—2019，3.5]
3.7
数据采集与监控子系统data acquisition and control system（DAACS）采用感知和控制技术构建的油气田地面生产各环节生产运行参数自动采集、生产环境自动监测、
物联网设备状态自动监测和生产过程远程控制的系统。
[来源：Q/SY10722—2019,3.4]
4缩略语
下列缩略语适用于本文件。 IDS：人侵检测系统（intrusion detection system） OPC：用于过程控制的对象连接与嵌入（object linking and embeddingfor process control）
5技术要求 5.1 整体防护设计 5.1.1按照油气生产物联网系统和原油处理站，天然气处理站，污水处理站、注输联合站等大型处理站的网络架构和特点，设计工控网络安全防护整体架构，工控网络安全防护整体架构应与图1相符合。 5.1.2将油气田企业的油气生产专网划分为两大场景进行防护 一种是基于油气生产物联网系统的井，间，站场SCADA监控系统的安全防护：另一种是大型处理站的安全防护。SCADA监控系统使用的控制设备主要有井口的RTU和计量间，配水间，中小型站场等的PLC，其中单井RTU上联的虚线表示无线通信线路：大型处理站使用的控制设备主要有DCS和PLC等。油气生产专网与内网的边界建立数据服务区。实现两者之间数据的安全交互。 5.2大型处理站 5.2.1安全架构
一
大型处理站的网络安全架构主要从纵向纵深防御机制建立、横向安全隔离、安全策略设置等方面设计。具体技术要求如下：
a）应基于纵深防御的思想制定工业控制系统的网络安全架构，安全架构应与图2相符合，建立
2