ICS 75.200 E 70 备案号：53453—2016
SY
中华人民共和国石油天然气行业标准
SY/T7037—2016
油气输送管道监控与数据采集 (SCADA）系统安全防护规范
Pipeline SCADA system security
2016-01一07发布
2016一06一01实施
国家能源局 发布 SY/T7037—2016
目 次
前言 1范围
T
1.1 目的和目标 1.2角色和职责
2定义和缩略语 2.1定义 2.2 缩略语 3系统管理 3.1 人员· 3. 2 安全防护策略· 3. 3 风险和漏洞评估· 3. 4 业务连续性计划（BCP) 3. 5 事故响应计划（IRP) 3.6 变更管理... 3. 7 操作系统和应用程序更新 3.8 应用与软件限制·
X
10 10
10 10
物理安全防护系统访问控制 5. 1 限制访问 5. 2 用户账户 5. 3 操作系统账户 5. 4 SCADA系统账户 5. 5 密码管理· 5.6 生物识别技术 5. 7 禁止非必要的服务 5. 8 操作系统工具· 5. 9 设备访问 5.10 人员管理信息发布·
4
5
1
12
7.:
13
13
4
15
15
6
:
6.1 保密信息· 6.2 受限信息 6.3公共信息网络设计和数据交换
15
16 16
16
/
网络设计 7. 2 网络管理
7. 1
16 17 I SY/T7037—2016
7.3数据交换 8现场通信· 8.1现场设备技术· 8.2系统访问. 附录A（资料性附录） SCADA安全防护示例附录B（资料性附录） SCADA/控制系统安全防护计划·
19
21 21 22 23
.
35
II SY/T 7037—2016
前言
本标准按照GB/T1.1一2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。
本标准使用翻译法等同采用APIStd1164：2009《PipelineSCADAsystemsecurity》（英文版）。 为了便于使用，本标准按照GB/T1.1一2009和GB/T20000.2—2009的要求做了下列一些编辑性修改：
删除了APIStd1164：2009（英文版）的特别声明、前言和参考文献；删除了“API石油工业安全指南”；删除了附录B部分“根据美国能源部21个步骤提高SCADA网络安全防护水平” 删除了附录B部分“美国能源部文件中的21个步骤列表如下，以供参考”；删除了“NIST”的定义和缩写。
本标准由石油工程建设专业标准化委员会提出并归口。 本标准起草单位：中国石油天然气管道工程有限公司、北京油气调控中心、中国石油管道公司、
中石化石油工程设计有限公司。
本标准主要起草人：聂中文、徐志强、汪涛、董旭、王怀义、田京山、高原、卜志军、邓东花、 程德发、刘亮、王勇、莫巨华、张书勇、吴兆鹏、闫峰、颜辉、马永祥、尹明路。
IⅢI SY/T7037—2016
油气输送管道监控与数据采集（SCADA）系统安全防护规范
1范围
本标准为油气输送管道监控与数据采集（SCADA）系统提供了高水准的整体安全防护推荐作法。
附录中提供了更详尽的细节描述和技术指导。按照本标准正文和附录的要求，可制定一套规范的安全防护操作方法。由于SCADA系统的复杂性，管道SCADA系统网络安全防护性能的提高，不是一个简单的过程或一次性事件，而是一个持续的过程，按照本标准正确实施整个过程可能需要数年时间。 此外，SCADA系统升级可参照本标准，将本标准推荐的安全防护措施可作为新系统的内置应用，提升整个系统的安全性。 1.1目的和目标
运营商的目标是对管道进行有效的控制，避免因运营商或其他方的行为对员工、环境、公众及客户等造成不良影响。SCADA安全防护程序宜通过以下方法，提高管道SCADA运行安全：
分析可被未授权系统利用的SCADA系统漏洞；列出用于识别和分析未授权系统攻击SCADA系统漏洞的过程；提供用于强化核心架构的综合实践列表；提供行业内最佳实践案例。
1.2角色和职责
运营商的高级管理人员应严格执行SCADA安全防护管理程序，保证能在各组织层面识别 SCADA安全防护的各项责任。SCADA系统安全防护程序的涵盖范围包括运营商、业务合作伙伴、 供应商、SCADA系统软硬件产品供货商和技术服务商。SCADA安全防护程序应形成SCADA安全防护计划文件，用于识别执行策略和规程的安全防护专家及从业者的任务和责任，并对SCADA领域中整个组织的计算机安全活动提供协调一致的安全防护。应规划和宣贯SCADA安全防护管理程序，以便所有实际影响或潜在影响SCADA系统安全防护的操作人员能够充分了解他们的安全任务和职责，并接受足够的培训以便安全地完成任务。SCADA安全防护程序的设计应确保正在执行的是网络安全的行业最优方案，并符合所有相关规范。
2定义和缩略语
2.1定义
下列定义适用于本文件。 2. 1. 1
访问控制列表 accesscontrollist(ACL) 每个对象配有一个权限列表。该列表明确了允许访问该对象的人员，以及允许在该对象上执行的
操作。 2.1. 2
后门backdoor，trapdoor
1 SY/T7037—2016
由程序员编写，以正式或非正式的方式获得权限，来访问程序、在线服务或整个计算机系统的程序代码。 2.1.3
生物识别技术biometrics 根据一个或多个固有的生理或行为特征，唯一地识别人员的方法。
2. 1. 4
保密信息confidential 对企业的敏感信息进行分级，通过严格的安全防护避免未经授权的泄露、修改或破坏。 注：未经授权的泄露，修改或破坏，可能产生重大影响。本类信息需要更高等级的保证，以确保其准确性和完
整性（见第6章）。
2.1.5
访问控制controlledaccess 某区域或系统中的资源仅限于经授权的人员、用户、程序、流程或其他系统访问，未经授权拒绝
访问。 2.1. 6
数据中心datacenter 用于安置计算机系统及相关部件的设施，如通信和储存系统。一般它包含允余电源系统、穴余数
据通信连接、环境控制和安全防护设备。 2. 1. 7
数据库管理系统·databasemanagementsystem（DBMS）对基于多种数据模型的数据库进行管理的计算机软件。
2.1.8
深层防御defenseindepth 通过SCADA系统执行多层次和多类型防御策略的最优实践方案，在整个系统生命周期可处理人
员、技术和操作的问题。 2.1. 9
隔离区demilitarizedzone（DMZ) 隔离区是介于可信和不可信网络之间的缓冲区，它能监视并控制访问和数据传输（如图4所示）。
2.1.10
脱氧核糖核酸deoxyribonucleicacid（DNA）包含了所有已知生物体在生长和机能实现中起作用的遗传指令的一种核酸。
2.1.11
域名系统domainnamesystem 通过将易读的计算机主机名转换成IP地址，将域名与各种信息联系起来。
2.1.12
双宿计算机dual-homedcomputer 具有连接多重网络或安全域网络接口的计算机。 注：这种计算机区别于允余设置两个网络接口卡的计算机。
2.1.13
动态主机配置协议dynamichostconfigurationprotocol（DHCP）为在IP网络中进行操作获得所需的参数，而在联网设备中所使用的一种协议。
2.1.14
消除eliminated
2 SY/T7037—2016
去除或移除威胁。 2.1.15
增强型安全防护enhanced security 高于正常级别的安全防护，包括但不限于：严密的或多重的身份验证、加密、包括物理和生物识
别技术的多级访问控制。 2.1.16
外联网 extranet 企业内部网的一部分，它可延展到企业以外的用户。它也被描述为一个“理念”，企业内部网经
常被人们看作与其他企业进行业务活动的一种途径，或是向客户售卖产品的一种途径。 2.1.17
设施facility 坐落在同一地点，由单一的地理周界（通常用栅栏或其他屏障包围并且限制不受控制的访问）所
确定的工厂、建筑物、结构，或者它们连续的结合体，用于运营商或承包商从事其管辖下的工作。
注：术语“设施”包括其地域周界内的土地（土壤）、地表水和地下水。 2.1.18
文件传输协议 filetransferprotocol(FTP) 在互联网上进行文件传输的互联标准。 注：FTP程序和实用工具用来从外部硬盘驱动器到允许FTP访问的远程服务器上传和下载网页、图形和其他
文件。
2.1.19
防火墙firewall 套内置在网关服务器上对内部网络进行保护的计算机程序注：防火墙检查每一个网络数据包，以确定是否将其转发到目的地。防火墙通常安装在一个专门的与其他网络分
开的设备上，从而任何进人请求都不能直接到达专有网络资源中。建议的最佳实践方案是至少具有状态检测或深度的数据包检测。
2.1.20
人机界面humanmachineinterface（HMI) 通常配有图形画面的计算机终端，实现人和终端设备之间的交互功能。
2.1.21
事故响应计划incidentresponseplan（IRP）识别和记载规程的计划，该规程可检测、响应网络安全事故并将影响减至最小。
2. 1. 22
信息所有者 informationowner 负责特定数据的归类、维护和安全防护的人。
2.1.23
即时通信InstantMessaging（IM）通过互联网或企业内部网，用于两人或多人之间数据和信息交换的实时通信系统。
2. 1.24
内部internal 那些可允许所有员工，以及可向运营商提供服务的承包商进人或使用的信息。只对运营商使用
（见第6章）。 2.1.25
互联网控制消息协议 internetcontrol messageprotocol (ICMP)
3 SY/T7037—2016
ICMP包含错误、控制和信息的数据包，是RFC792定义的IP协议的扩展。 2.1.26
互联网协议internetprotocol（IP）种封装在数据链路层的网络协议簇，例如以太网。
2.1. 27
互联网服务提供商internetserviceprovider（ISP）主要向客户提供互联网接入的企业。
2.1.28
企业内部网intranet 在一个企业已建立的规则框架内的所有内部计算机网络。 注：企业内部网通常使用标准的网络技术，如以太网技术、TCP/IP技术、网络浏览和网络服务技术。
2.1. 29
入侵检测和防御系统.intrusiondetectionandpreventionsystems（IDPS）广义上指基于IDS（入侵检测系统）和IPS（入侵防御系统）功能的网络安全系统，它展示了各
项正在发展的技术并融合成为一系列的产品。 2.1.30
入侵检测系统intrusiondetectionsystem（IDS）一种针对计算机和网络的安全防护管理系统。IDS可对来自不同地区和网络的信息进行收集并加
以分析，识别可能存在的安全漏洞，它包括人侵和误用两种情形。 2.1.31
入侵防御系统intrusionpreventionSystem（IPS）可接收IDS（入侵检测系统）嗅探数据或扫描数据，使用分析程序和信息处理给出入侵结论，并
做出适当的响应。与人侵保护系统相关的产品也都具有自我保护能力，能够保护与之有关的数据，防止对系统进行未经授权的访问或修改，确保授权行为的执行。 2.1.32
网际协议安全IPsecurity（IPsec）由互联网工程任务组（IEFT）开发的协议，该协议能够对IP层面上的数据包交换提供安全支
持。VPN广泛使用IPsec技术。
注：IPsec支持两种加密模式：传输和隧道。
传输模式只对每个数据包中的数据部分加密，而对报文头则不加密。 隧道模式则更加安全，隧道模式对报文头和数据部分都进行加密。在接收方，符合网际协议安全规则的设备对每个数据包都做加密处理。
2. 1. 33
专业监督knowledgeableescort 经验丰富的专业人员，可指导非专业人员的工作。该人员应对所执行工作中可能存在的风险具有
全面和深人的理解，并执行监督工作。 2.1.34
第二层隧道协议layertwo（2）tunnelingprotocol（L2TP） PPP的扩展，该协议使ISP能更可靠地操作VPN。 注：第二层隧道协议融合了另外两种隧道协议（微软公司1》的PPTP协议和Cisco系统1>的L2F协议）的最好
的功能。与PPTP类似，L2TP（第二层隧道协议）要求ISP的路由器必须支持该协议。
1）本术语仅用于举例。