ICS 65.160 x 89 YC 中华人民共和国烟草行业标准 YC/T 580—2019 烟草行业工业控制系统网络安全基线 技术规范 Technical specification for network security baseline of industrial control system in tobacco industry 2019-05-14 发布 2019-06-15实施 国家烟草专卖局 发布 YC/T 580—2019 前言 本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由国家烟草专卖局提出。 本标准由全国烟草标准化技术委员会信息分技术委员会（SAC/TC144/SC7)归口。 本标准起草单位：龙岩烟草工业有限责任公司、国家烟草专卖局烟草经济信息中心、福建中烟工业 有限责任公司、四川中烟工业有限责任公司、重庆中烟工业有限责任公司、浙江中烟工业有限责任公司、 上海烟草集团有限责任公司、湖南省烟草专卖局（公司）、北京启明星辰信息安全技术有限公司。 本标准主要起草人：高一军、张雪峰、王海清、林郁、吴正举、冯祥国、李威、胡庭川、耿欣、吴洪亮 曹琦、陈玮、冯明辉、石洁、章志华、李健俊、周佳杰、蔡喆、唐亮、李转琴、原真。 I YC/T 580—2019 烟草行业工业控制系统网络安全基线 技术规范 1范围 本标准规定了烟草行业典型工业控制系统的分类以及系统定级、安全域划分和保护要求。 本标准适用于烟草行业各单位工业控制系统网络安全防护体系建设和管理工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 YC/T494一2014烟草工业企业生产网与管理网网络互联安全规范 3术语和定义 下列术语和定义适用于本文件。 3.1 工业控制系统（ICS）industrial control system 在烟草制品加工制造、物流仓储分栋、动力能源供应等环节中对设备、设施进行自动控制的系统 注：工业控制系统（以下简称“工控系统”)通常由工业控制软件、工程师站、操作员站、人机界面、组态软件、控制服 务器、控制设备（控制器）等组成。 3.2 工业控制网络 industrial control network 支撑工控系统运行的基础网络。 注：工业控制网络一般由在过程监控层、现场控制层和现场设备层运行的有线或无线网络组成 3.3 控制设备 controller 工业生产过程中用于控制执行器以及采集传感器数据的装置。 注：控制设备包括数据采集与监控（SCADA）、分布式控制系统（DCS)、可编程逻辑控制器（PLC)等现场控制设备 3.4 过程监控层 process monitoring layer 用于对工控系统进行组态、监控和管理，实现生产过程中的高级控制、故障诊断、质量评估等的软、 硬件集合。 注：过程监控层主要包括监控服务器与人机交互界面（HMI)系统功能单元， 3.5 现场控制层fieldcontrollayer 用于对各执行设备进行控制的设备集合。 注：现场控制层主要包括各类控制器单元，如PLC、DCS控制单元等 1 YC/T580—2019 3.6 现场设备层 fielddevice layer 用于对生产过程进行数据采集与控制执行的设备集合。 注：现场设备层主要包括各类过程传感设备与执行设备单元。 3.7 工程师站 engineer station 用于组态和下发控制参数、控制算法的计算机。 3.8 操作员站 operatorstation 用于监视现场设备状态和调整现场设备参数的计算机。 3.9 人机交互界面 human machine interface;HMI 操作员与控制设备进行交互的界面。 3.10 工控主机 industrial control main unit 工控系统中计算机设备的总称。 3.11 安全域 security area 工控系统中执行相同安全策略的区域。 4 工控系统分类 丝束生产类、机械加工类和其他类别，每一类别中可根据生产环节包含多个工控子系统。烟草行业工控 系统分类见表1。 表1烟草行业工控系统分类 分布单位 生产类别 工控系统（子系统） 制丝控制系统 卷包控制系统 卷烟工业企业 卷烟生产 物流控制系统（包括原辅料及成品物流控制等） 动力能源控制系统 其他系统 物流控制系统（包括仓储、分栋物流控制等） 物流分栋 动力能源控制系统 其他系统 商业企业 烟叶复烤控制系统 物流控制系统 烟叶复烤 动力能源控制系统 其他系统 YC/T 580—2019 表1（续） 分布单位 生产类别 工控系统（子系统） 纺丝生产控制系统 制备生产控制系统 醋片生产控制系统 醋纤企业 丝束生产 回收控制系统 动力能源控制系统 其他系统 烟机生产控制系统 烟机制造企业 机械加工 动力能源控制系统 其他系统 如：烟草包装印刷控制系统、烟草薄片生产纸机控制系统和嘴棒生产控制系 其他企业 其他类别 统等 5 ：工控系统定级 5.1 确定定级对象 每个确定安全保护等级的定级对象应是一个完整的工控子系统或由若干子系统集合组成的工控系 统，同一工业控制网络的多个工控子系统可合并作为一个定级对象。各单位可按照控制类别，将一个生 产过程中包含的多个工控子系统作为一个工控系统进行安全保护等级定级和备案；也可根据需要，将各 工控子系统分别作为独立系统进行定级和备案 5.2确定责任主体 每个定级的工控系统应有唯一的责任部门，涉及多部门共同管理的工控系统应指定一个牵头部门 作为唯一责任部门。 5.3确定保护等级 烟草行业工控系统安全保护等级由低到高划分为一级、二级、三级共三个级别。确定等级为一、二 三级的工控系统均应满足本标准的工控系统安全基线要求，并应满足国家工控安全标准规范相应等级 的安全要求。由多个子系统集合组成的工控系统最终定级应按照安全保护要求最高的子系统安全等级 确定。其中： 发生网络安全事件后对企业仅造成一般损害的应确定为一级系统； 发生网络安全事件后对企业可能造成严重损害的应确定为二级系统； 一发生网络安全事件后对企业可能造成特别严重损害或人员伤亡的应确定为三级系统。 损害程度划分见表2。 3