ICS25.040 N10 中华人民共和国国家标准 GB/T33009.1—2016 工 业自动化和控制系统网络安全 集散控制系统(DCS) 第1部分:防护要求 Industrialautomationandcontrolsystemsecurity— Distributedcontrolsystem(DCS)—Part1:Protectionrequirements 2016-10-13发布 2017-05-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语、定义、缩略语 1 ……………………………………………………………………………………… 3.1 术语和定义 1 ………………………………………………………………………………………… 3.2 缩略语 3 ……………………………………………………………………………………………… 4 DCS安全防护概述 3 ……………………………………………………………………………………… 4.1 DCS系统概述 3 ……………………………………………………………………………………… 4.2 DCS防护总体要求和原则 5 ………………………………………………………………………… 5 物理访问控制要求 7 ……………………………………………………………………………………… 6 过程监控层网络安全 7 …………………………………………………………………………………… 6.1 区域划分 7 …………………………………………………………………………………………… 6.2 访问与使用控制 7 …………………………………………………………………………………… 6.3 入侵防御 8 …………………………………………………………………………………………… 6.4 身份鉴别与认证 9 …………………………………………………………………………………… 6.5 安全审计 10 …………………………………………………………………………………………… 6.6 资源控制 10 …………………………………………………………………………………………… 6.7 数据安全 11 …………………………………………………………………………………………… 7 现场控制层网络安全 12 …………………………………………………………………………………… 7.1 区域划分 12 …………………………………………………………………………………………… 7.2 访问与使用控制 12 …………………………………………………………………………………… 7.3 入侵防御 13 …………………………………………………………………………………………… 7.4 身份鉴别与认证 13 …………………………………………………………………………………… 7.5 安全审计 14 …………………………………………………………………………………………… 7.6 资源控制 14 …………………………………………………………………………………………… 7.7 数据安全 14 …………………………………………………………………………………………… 8 现场设备层网络安全 15 …………………………………………………………………………………… 8.1 区域划分 15 …………………………………………………………………………………………… 8.2 访问与使用控制 15 …………………………………………………………………………………… 8.3 入侵防御 15 …………………………………………………………………………………………… 8.4 身份鉴别与认证 16 …………………………………………………………………………………… 8.5 安全审计 16 …………………………………………………………………………………………… 8.6 数据安全 16 …………………………………………………………………………………………… 参考文献 17 …………………………………………………………………………………………………… ⅠGB/T33009.1—2016 前 言 GB/T33009《工业自动化和控制系统网络安全 集散控制系统(DCS)》和GB/T33008《工业自动 化和控制系统网络安全 可编程序控制器(PLC)》等共同构成工业自动化和控制系统网络安全系列 标准。 GB/T33009《工业自动化和控制系统网络安全 集散控制系统(DCS)》分为4个部分: ———第1部分:防护要求; ———第2部分:管理要求; ———第3部分:评估指南; ———第4部分:风险与脆弱性检测要求。 本部分为GB/T33009的第1部分。 本部分按照GB/T1.1—2009给出的规则起草。 本部分由中国机械工业联合会提出。 本部分由全国工业过程测量、控制和自动化标准化技术委员会(SAC/TC124)和全国信息安全标 准化技术委员会(SAC/TC260)归口。 本部分起草单位:浙江大学、浙江中控研究院有限公司、机械工业仪器仪表综合技术经济研究所、重 庆邮电大学、中国科学院沈阳自动化研究所、西南大学、福建工程学院、杭州科技职业技术学院、北京启 明星辰信息安全技术有限公司、中国电子技术标准化研究院、国网智能电网研究院、中国核电工程有限 公司、上海自动化仪表股份有限公司、东土科技股份有限公司、清华大学、西门子(中国)有限公司、施耐 德电气(中国)有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克韦尔自 动化(中国)有限公司、中国仪器仪表学会、工业和信息化部电子第五研究所、北京海泰方圆科技有限公 司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、北京力控华康科技有限公司、 北京和利时系统工程有限公司、中国石油天然气管道有限公司、北京匡恩网络科技有限责任公司、西南 电力设计院、广东航宇卫星科技有限公司、华北电力设计院工程有限公司、华为技术有限公司、中国电子 科技集团公司第三十研究所、深圳万讯自控股份有限公司、横河电机(中国)有限公司北京研发中心。 本部分主要起草人:冯冬芹、施一明、梅恪、王玉敏、王平、王浩、高梦州、徐珊珊、徐皑冬、刘枫、 许剑新、陈平、杨悦梅、陈建飞、还约辉、黄家辉、贾驰千、梁耀、陆耿虹、刘大龙、刘文龙、吴彦彪、孟雅辉、 范科峰、梁潇、王彦君、张建军、薛百华、许斌、陈小淙、华镕、高昆仑、王雪、周纯杰、张莉、刘杰、朱毅明、 王弢、孙静、胡伯良、刘安正、田雨聪、方亮、马欣欣、王勇、杜佳琳、陈日罡、李锐、刘利民、孔勇、黄敏、 朱镜灵、张智、张建勋、兰昆、张晋宾、成继勋、尚文利、钟诚、梁猛、陈小枫、卜志军、丁露、李琳、杨应良、 杨磊。 ⅢGB/T33009.1—2016 工业自动化和控制系统网络安全 集散控制系统(DCS) 第1部分:防护要求 1 范围 GB/T33009的本部分规定了集散控制系统在运行和维护过程中应具备的安全能力、防护技术要 求和安全防护区域的划分,并对过程监控层、现场控制层和现场设备层的防护要点、防护设备以及防护 技术提出了具体的要求。 本部分适用于涉及集散控制系统安全防护的电力、石油、化工、水利、冶金、建材等各关键基础设施 领域,指导企业用户提高在役运行和新增集散控制系统的安全性,也可作为集散控制系统生产商和集成 商的系统安全设计指导。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20984—2007 信息安全技术 信息安全风险评估规范 GB/T30976.1—2014 工业控制系统信息安全 第1部分:评估规范 3 术语、定义、缩略语 3.1 术语和定义 GB/T20984—2007和GB/T30976.1—2014界定的以及下列术语和定义适用于本文件。为了便 于使用,以下重复列出了GB/T20984—2007和GB/T30976.1—2014中的一些术语和定义。 3.1.1 可用性 availability 数据或资源能被授权实体按要求访问和使用的特性。 [GB/T20984—2007,定义3.3] 3.1.2 鉴别 authentication 验证实体所声称的身份的动作。 3.1.3 授权用户 authorizeduser 依据安全策略可以执行某项操作的用户。 3.1.4 业务战略 businessstrategy 组织为实现其发展目标而制定的一组规则或要求。 [GB/T20984—2007,定义3.4] 1GB/T33009.1—2016 3.1.5 保密性 confidentiality 数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的 程度。 [GB/T20984—2007,定义3.5] 3.1.6 控制系统网络安全 controlsystemsecurity 以保护控制系统的可用性、完整性、保密性为目标,另外也包括实时性、可靠性与稳定性。 3.1.7 人机界面 humanmachineinterface 员工(用户)可以与特