Q/SY
中国石油天然气集团有限公司企业标准
Q/SY10556.22022
工业控制系统网络安全技术规范第2部分：成品油库及加油加气站
Technical specification for network security of industrial control systems-
Part 2: Product oil depot and filling station
2022—0714发布
2022一09-01实施
中国石油天然气集团有限公司 发布 Q/SY 10556.2—2022
目 次
前言引言：
工
范围 2 规范性引用文件术语和定义
1
3
4 缩略语技术要求 5.1成品油库工控系统 5.2加油加气站工控系统 6防护管理要求附录A（规范性） 工业控制系统基本安全和管理要求对应附录B（资料性） 工业控制系统逻辑架构参考文献·
二
..
..
0
L
10
12
·
13 Q/SY10556.2—2022
前言
本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。
本文件是Q/SY10556《工业控制系统网络安全技术规范》的第2部分。Q/SY10556已经发布了以下部分：
第1部分：油气生产：第2部分：成品油库及加油加气站
本文件由数字和信息化管理部提出。 本文件由中国石油天然气集团有限公司标准化委员会信息技术专业标准化技术委员会归口。 本文件起草单位：西北销售分公司、河北销售分公司、销售分公司、新疆油田分公司、甘肃销售
分公司、四川销售分公司、云南销售分公司、内蒙古销售分公司、昆仑数智公司、勘探开发研究院。
本文件主要起草人：于慧超、陈涛（河北销售分公司）。强剑，刘力昌，胡正钧、石永杰、高兴勤、郭海卿、胡朝晖、石爱武、王强、孙忠伟、于普菏、孙军军，陈涛（四川销售分公司）、何亦凡、 张冬雪、王小宏、张越、黄江平、丁猛、李德、 ，田博， 马晓鸿、张丽莉、韩永强。
11 Q/SY 10556.2—2022
引 言
Q/SY10556《工业控制系统网络安全技术规范》涵盖了中国石油四大业务板块生产领域（油气生产，成品油库及加油加气站、炼化生产、装备制造生产），可以有效促进中国石油工业控制系统安全防护标准化应用，规范网络安全防护技术要求，提升工业控制系统网络抗风险的能力，抵御一定规模的有组织的网络攻击行为，有效保护企业核心生产系统安全，为各业务领域提升工控系统网络安全防护能力提供依据，填补中国石油在工控系统网络安全的标准空白。
Q/SY10556《工业控制系统网络安全技术规范》拟由四个部分构成
一第1部分：油气生产，一第2部分：成品油库及加油加气站：第3部分：炼化生产第4部分：装备制造生产。
本文件主要描述了工业控制系统网络安全的技术要求和管理要求等内容，其中技术要求部分分为成品油库及加油加气站两种类型描达，成品油库工控系统包括安全通信，安全区城边界、安全计算环境、安全管理中心等安全要求，加油加气站工控系统包括生产管理与过程监控层安全。现场控制层安全等。
本文件规范了成品油库及加油加气站开展工控系统网络安全的防护工作，对有效提升整个成品油库和加油加气站工控系统网络安全防护能力、应急响应处置能力，保护工控系统安全稳定运行具有重要意义
III AS/D O/SY10556.22022
工业控制系统网络安全技术规范第2部分：成品油库及加油加气站
1范围
本文件规定了成品油库及加油加气站工业控制系统网络安全技术要求和管理要求。 本文件适用于成品油库及加油加气站工业控制系统网络安全技术管理、防护，租赁库、站及合资
库、站及特许经营站可参考执行。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T22239—2019信息安全技术 网络安全等级保护基本要求 GB/T36323—2018信息安全技术工业控制系统安全管理基本要求 GB50074石油库设计规范
3术语和定义
下列术语和定义适用于本文件。
3.1
成品油库productoildepot 收发，储存汽油。柴油及乙醇等轻质油品的仓库或设施。
3.2
加油加气站filling station 加油站。加气站。加油加气合建站的统称。
3.3
工业控制系统industrial control system 工业生产中使用的控制系统。包括监控和数据采集系统（SCADA）、分布式控制系统（DCS）和
其他较小的控制系统，如可编辑逻辑控制器（PLC）等。
[GB/T36323—2018,3.1]
3.4
核心区core area 能独立维持业已设定的生产控制逻辑正常执行的网络区域，由工业交换机，上位机、下位机，服
务器，打印机等组成。ICS核心区由具有实时监控，控制功能的过程监控层和现场控制层构成，包括储运系统安全域、消防系统安全域。安防系统安全域、辅助系统安全域等。
1 Q/SY10556.2—2022
3.5
安全策略security strategy 在工业控制系统内用于所有与信息安全相关活动的一套规则，为实现特定的安全防护功能而执行
的配置。包括基于身份的安全策略、基于规则的安全策略、基于角色的安全策略等。 3.6
安全接入区secure access area 用于非内部需求的如环保，消防、公安，应急等第三方接人的网络区域。
3.7
逻辑强隔离 logical strong isolation 使用强隔离设备（如正向、反向或双向网闸等）进行网络逻辑隔离，也称为强逻辑隔离。
3.8
逻辑隔离logical isolation 主要通过逻辑隔离器实现，逻辑隔离器是一相不同网络间的隔离部件，被隔离的两端仍然存在
物理上数据通道连线，但通过技术手段保证被隔离的两端没有数据通道，即逻辑上隔离，也称为协议隔离。
4缩略语
一
下列缩略语适用于本文件。 ICS：工业控制系统（indhustrialcontrolsystem）
5技术要求
5.1成品油库工控系统
5.1.1总体防护架构
分层分域，按照“垂直分层、水平分域”的思路，应将成品油库ICS分为不同的网络层次和安全域。按照GB/T22239一2019的相关要求，纵向根据系统功能自下而上划分为现场设备层、现场控制层、过程监控层、生产管理层，横向根据业务系统划分为储运系统域、 消防系统域、安防系统域和辅助系统域，成品油库ICS网络防护安全策略应与图1相符合，不同级别油库技术和管理要求应符合表A1的规定，逻辑架构见图B.1 5.1.2安全物理环境
成品油库安全物理环境除应符合GB/T222392019中7.1.1和8.1.1的相关要求外，所有等级油库还应满足以下条件：
a）主控操作间人员应对ICS机房进行24h连续视频监控： b）ICS机房的视频监控记录应至少保存90d
5.1.3安全通信网络
安全通信网络主要包括“通信网络结构”“通信传输”和“可信验证”三个控制点。具体技术要求如下：
a）应将涉及实时控制和数据传输的储运自动化控制系统、消防自动化控制系统、安防自动化系
统和其他辅助监控系统独立组成ICS局域网络：
2