DB15 T 2078-2021 奶业加工智能化控制系统信息安全技术要求.pdf

《DB15 T 2078-2021 奶业加工智能化控制系统信息安全技术要求.pdf》由会员分享，可在线阅读，更多相关《DB15 T 2078-2021 奶业加工智能化控制系统信息安全技术要求.pdf（25页珍藏版）》请在麦多课文档分享上搜索。

1、 ICS 35.240.01 CCS L 00 15 内蒙古自治区地方标准 DB15/T 20782021 奶业加工智能化控制系统信息安全 技术要求 Technical requirements for information security of dairy processing intelligent control system 2021-01-25发布 2021-02-25实施 内蒙古自治区市场监督管理局 发布 DB15/T 20782021 I 目次 前言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 2 5 奶业加工智能化控制系统

2、信息安全概述 . 2 5.1 奶业加工智能化控制系统安全框架 . 2 5.2 奶业加工智能化控制系统安全目标 . 2 5.3 奶业加工智能化控制系统保护原则 . 2 6 信息安全技术要求 . 2 6.1 物理和环境防护 . 2 6.2 网络安全防护 . 5 6.3 工业网络边界安全防护 . 7 6.4 工业主机安全防护 . 8 6.5 控制设备安全防护 . 11 6.6 数据安全防护 . 13 6.7 防护产品安全 . 15 6.8 系统安全运维 . 16 6.9 系统集中监控 . 18 6.10 系统安全建设 . 19 参考文献 . 21 DB15/T 20782021 II 前言 本文件按

3、照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定 起草。 本文件由内蒙古自治区工业和信息化厅归口。 本文件起草单位：内蒙古自治区电子信息产品质量检验院、蒙牛乳业（集团）股份有限公司。 本文件主要起草人：巴特尔、门嗣睿、王永翱、刘建华、王晓光、刘业斌、杨宏业、赵春霖、李应 彤、王明鑫、王磊、武浩东、岳鑫。 DB15/T 20782021 1 奶业加工智能化控制系统信息安全技术要求 1 范围 本文件规定了奶业加工智能化控制系统中各个环节的信息安全技术方面的要求，明确了奶业加工智 能化控制系统信息安全的控制基线。 本文件适用于全区奶业加工智能化控制系统的设计、建设

4、，也可作为奶业加工智能化控制系统安全 性测试、评估的依据。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB 50016 建筑设计防火规范 GB 50174 数据中心设计规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 奶业加工智能化控制系统 intelligent contorl system for dairy i

5、ndustray 由现代奶业加工机械、电气、电子、通信及系统管理与信息技术、计算机网络技术、行业技术、智 能控制技术汇集而成的针对奶业加工生产应用的智能集合。 3.2 工业主机 industrial host 工业生产控制各业务环节涉及组态、工作流程和工艺管理、状态监控、运行数据采集以及重要信息 存储等工作的设备载体。 3.3 工程师站 engineer station 供工业过程控制工程师使用的，对计算机系统进行组态、编程、修改等的工作站。 3.4 工业控制网络边界 industrial control network boundary DB15/T 20782021 2 工业控制系统的安全

6、计算环境边界， 以及安全计算环境与安全通信网络之间实现连接并实施安全 策略的相关部件。 3.5 深度包检测 deep packet inspection 一种计算机网络数据包过滤技术，用来检查通过检测点之数据包的数据部分（亦可能包含其标头）， 以搜索不匹配规范之协议、病毒、垃圾邮件、入侵，或以预定之准则来决定数据包是否可通过或需被路 由至其他不同目的地，亦或是为了收集统计数据之目的。 4 缩略语 下列缩略语适用于本文件。 DCS：集散控制系统（Distributed Control System） ICS：工业控制系统（Industrial Control System） ID：身份证标识号、

7、账号（Identity document） PLC：可编程逻辑控制器（Programmable Logic Controller） SCADA：数据采集与监视控制系统(Supervisory Control And Data Acquisition） VPN: 虚拟专用网络（Virtual Private Network） 5 奶业加工智能化控制系统信息安全概述 5.1 奶业加工智能化控制系统安全框架 奶业加工智能化控制系统是几种类型的控制系统的总称，包括数据采集与视频监视控制系统 （SCADA）、集散控制系统（DCS）和其他控制系统。奶业加工智能化控制系统的信息安全特性取决于其 设计、管理、

8、建设和环境条件等各种因素。 5.2 奶业加工智能化控制系统安全目标 奶业加工智能化控制系统的安全以可用性、完整性、保密性为主要目标，其中保障生产系统的可用 性尤其重要；奶业加工智能化控制系统的安全威胁一般是利用Windows系统、工业软件系统（如SCADA、 DCS）以及开放的标准工业通信协议的多个漏洞进行攻击；此外，由于专用的工业以太网通信协议（如 PROFINET、Ethernet/IP、Modbus等）在设计时并未考虑信息安全防护，存在安全漏洞。 5.3 奶业加工智能化控制系统保护原则 保护奶业加工智能化控制系统首先是保护现场系统（如 PLC、DCS 等），保护生产连续性，其次 是保护中

9、央服务器等资产。在实际生产环境中，一些设备如果实现特定类型的安全措施可能会终止其连 续运行，原则上所提出的安全防护技术要求不应对奶业加工智能化控制系统的功能安全产生不利影响。 6 信息安全技术要求 6.1 物理和环境防护 6.1.1 安全目标 DB15/T 20782021 3 建立完善的物理环境安全机制，优化物理环境下的操作管理，以保证数据的可用性、保密性和完整 性，规范设备所处物理环境的安全性，防止对组织场所和信息的未授权物理访问、损坏和干扰。 6.1.2 技术要求 6.1.2.1 物理位置选择 本项要求包括： a) 机房应选择在具有防雷、防震、防风和防雨等能力的建筑内； b) 奶业企业应

10、根据程师站、数据库、服务器等工业控制软硬件的重要性，自行明确重点物理安 全防护区域； c) 机房场地应避免设在建筑物的高层或地下室以及用水设备的下层或隔壁；如果不可避免，应 采取有效防水和防潮、有效固定等措施； d) 如果机房周围有用水设备，应有防渗水和疏导措施； e) 机房外墙壁应没有对外的窗户；否则，应采用双层固定窗并作密封、防水处理。 6.1.2.2 物理访问控制 本项要求包括： a) 需进入机房的来访人员应经过申请和审批流程，记录带进带出的设备、进出时间、工作内容， 并有专人陪同并限制和监控其活动范围；带入的设备使用前要进行系统扫描、使用过程中要 进行行为监测，设备带出前要对工作日志等

11、进行审计； b) 机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录人员的进出情况，人员 进出记录应至少保存 6 个月 ； c) 机房出入口应有视频监控，监控记录至少保存 3 个月 ； d) 重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、 专人值守等物理安全防护措施； e) 重要区域应配置第二道电子门禁系统，控制、鉴别和记录进入的人员。 6.1.2.3 防盗窃和防破坏 本项要求包括： a) 应把服务器、路由器、交换机等主要设备放置在机房内； b) 应把设备或主要部件进行固定，并设置明显的不易除去的标记，如粘贴标签或铭牌； c) 应把通信线缆铺设在隐蔽

12、处，可铺设在地下或管道中； d) 应设置冗余或并行的电力电缆线路为奶业加工智能化控制系统供电，输入电源应采用双回路 自动切换供电方式。 6.1.2.4 防雷击 本项要求包括： a) 机房应设计并安装防雷击措施，并在机房所在大楼防雷措施基础上另外采取加强防护措施； b) 机房应设置交流电源地线，各类机柜、设施和设备等通过接地系统安全接地。 c) 机房防雷设计除应符合本规范外，应同时符合GB 50174的有关规定。 6.1.2.5 防火 本项要求包括： a) 机房应设置灭火设备； DB15/T 20782021 4 b) 机房及相关的工作房间和辅助房间应采用具有耐火等级的建筑材料； c) 机房应设

13、置火灾自动消防系统，能够自动检测火情、自动报警，并具有自动灭火功能； d) 机房防火设计除应符合本规范外，应同时符合GB 50174的有关规定。 6.1.2.6 防水和防潮 本项要求包括： a) 机房防水系统的设计、部署应充分考虑信息安全防护需求，防止成为信息安全的脆弱点； b) 与主机房无关的给排水管道不得穿过主机房，与主机房相关的给排水管道必须有可靠的防渗 漏措施； c) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透到机房内； d) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗漏。 6.1.2.7 防静电 本项要求包括： a) 主要设备应采取必要的接地防静电措施； b) 机房应采用

14、防静电地板或地面。 6.1.2.8 温湿度控制 本项要求包括： a) 温度和湿度控制系统的设计、部署应充分考虑信息安全防护需求，防止成为信息安全的脆弱 点； b) 应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行允许范围内，开机时主机 房温度应控制在 18 28 ，相对湿度应控制在 35 %75 %；停机时主机房温度控制在 5 35 ，相对湿度控制在 20 %80 %；对机房内的温、湿度应有监测记录。 6.1.2.9 电力供应 本项要求包括： a) 正常电源、应急电源以及电源控制管理系统的设计、部署应充分考虑信息安全防护需求，防 止成为信息安全的脆弱点； b) 应在机房供电线路上配置

15、稳压器和过电压防护设备； c) 应提供短期的备用电力供应，电池容量应参考GB 50174的有关规定执行； d) 应设置冗余或并行的电力电缆线路为计算机系统供电，输入电源应采用双回路自动切换供电 方式。 6.1.2.10 室外控制设备物理防护 本项要求包括： a) 应放置于采用铁板或其他防火绝缘材料制作且具有透风、散热、防盗、防雨、防火能力的箱 体或装置中；应安装在金属或其它绝缘板上(非木质板)，并紧固于箱体或装置中； b) 设备应就近接地，并应采取设置人工接地装置的方式； c) 应对设备电源、信号线路加装避雷器或浪涌保护器，并将金属管线就近接地； d) 应根据设备分布不同在设备集中位置设置等电

16、位连接装置，如等电位接地汇流排、均压环、 均压网等，并确保所有设备、金属机架、外壳、管、槽等均就近接地，满足等电位连接要求； DB15/T 20782021 5 e) 应远离强电磁干扰、热源以及极端天气环境等，如无法避免，在遇到极端天气时应及时做好 应急处置及检修以确保设备正常运行； f) 对奶业加工智能化控制系统传输线路实施配线间上锁等物理防护措施，防止被接触和被破坏。 6.1.2.11 电磁防护 本项要求包括： a) 电源线和通信线缆应隔离铺设，避免互相干扰； b) 集中存储、处理、传输敏感数据的设备，要考虑电磁信息泄露防护，并根据国家相关规定设 置信息安全保护措施； c) 重要工艺控制环

17、路所涉及设备，应分析无线注入攻击和干扰的风险，并采取足够的防护措施； d) 电磁防护设计除应符合本规范外，应同时符合GB 50174的有关规定。 6.2 网络安全防护 6.2.1 安全目标 防止非法设备接入网络，有效监控各种网络访问行为，抵御因各种网络攻击和入侵行为对奶业加工 智能化控制系统正常功能带来干扰和破坏。 6.2.2 技术要求 6.2.2.1 网络架构 本项要求包括： a) 应绘制与当期运行状况相符的网络拓扑结构图并整理设备清单及核心网络设备配置文件，定 期备份更新，清单信息主要包括：设备名称、型号、IP地址等信息，并提供网段划分、路由、 安全策略配置等信息； b) 应对系统网络拓扑

18、、网络连接及设备配置信息进行定期检查维护，并把检查结果记录备案； c) 奶业加工智能化控制系统与企业其他系统之间应具有明确的网络边界划分，边界处应采用符 合GB/T 22239规定的技术隔离手段； d) 奶业加工智能化控制系统内部应根据业务特点划分为不同的安全域，并按照方便管理和控制 的原则为各安全域分配地址； e) 应避免将重要网络区域部署在网络边界处且缺乏边界防护措施； f) 涉及实时控制和数据传输的ICS，应使用独立的网络设备组网，在物理层面上实现与其它数据 网及外部公共信息网的安全隔离； g) 应根据企业内部的部门的职能分工、重要性和所涉及信息的重要程度等因素，划分不同的网 络区域，并

19、按照方便管理和控制的原则为网络区域分配地址段； h) 应保证网络设备的业务处理能力满足业务高峰期需要，并具备冗余空间； i) 单个ICS可单独划分安全域，系统可由独立子网承载，每个安全域应有唯一的网络出口。 6.2.2.2 网络接入 本项要求包括： a) 对接入工业控制网络的设备进行识别和管控，只允许经过授权的设备接入网络； b) 应对临时接入的设备采取病毒查杀等安全预防措施； c) 对无线连接（WIFI、4G、5G等）的授权、监视以及执行使用进行限制； d) 应对所有使用无线通信的终端设备提供唯一性标识和鉴别措施。 DB15/T 20782021 6 6.2.2.3 通信传输 本项要求包括：

20、 a) 当通信双方中的一方在一段时间内未作任何响应，另一方应能自动结束会话； b) 应采用校验技术或密码技术保证通信过程中数据的完整性； c) 应对无线通信采取加密传输的安全措施，实现传输报文的机密性保护。 6.2.2.4 访问控制 本项要求包括： a) 应根据访问控制策略在工业控制网络边界处设置访问控制规则，默认情况下受控接口只接受 允许的通信传输； b) 应在工业控制网络内的不同区域边界采用防火墙等访问控制设备进行访问控制，在重要工业 控制设备前端应部署具备工业协议深度包检测功能的防护设备，限制违规操作； c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出

21、； d) 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化； e) 应对所有参与无线通信的用户（人员、软件进程或者设备）提供唯一性标识和鉴别； f) 应对所有参与无线通信的用户（人员、软件进程或者设备）进行授权及执行使用限制； g) 确需使用拨号访问服务的，应限制具有拨号访问权限的用户数量；并采取用户身份鉴别和访 问控制等措施； h) 拨号服务器和客户端均应使用经安全加固的操作系统，并采取数字证书认证、传输加密和访 问控制等措施。 6.2.2.5 入侵防范 本项要求包括： a) 定期扫描主机已经开放的网络端口，并对高危端口和异常开放端口进行预警；基于网络端口 发现

22、隐藏的网络通信，以防止数据泄露和入侵渗透； b) 应在交换机、路由器等关键网络节点和电子邮件服务器等关键入口处采取入侵检测和防御技 术来检测、防止或限制从外部或从内部发起的网络攻击行为。 6.2.2.6 恶意代码防范 应在交换机、路由器等关键网络节点和电子邮件服务器等关键入口处采取恶意代码检测与防范手段， 对网络中传输的恶意代码进行检测和清除，维护恶意代码防护机制的升级和更新,但不能影响正常的业 务流量数据传输。 6.2.2.7 安全审计 本项要求包括： a) 应在工业控制网络边界、工业控制网络内部不同安全区域边界以及重要网络节点部署专用审 计设备或启动网络设备（系统）的审计功能并进行安全审计

23、，审计范围应覆盖到奶业加工智 能化控制系统的每个用户，审计内容应包括：设备运行状况、网络流量、用户行为、系统资 源的异常使用、重要系统命令使用和重要安全事件等； b) 若审计测试会影响系统的可用性，则应在非业务时间进行； c) 应具备使用内部时钟为审计记录生成时间戳的功能，系统生成的时间戳包括日期和时间； d) 应定义审计阈值，当存储空间接近极限时，能采取必要的措施；当存储空间被耗尽时，终止 可审计事件的发生； DB15/T 20782021 7 e) 当审计要求和活动涉及对运行系统验证时，应事先与合适的管理者商定访问系统和数据的审 计要求并取得批准，以免造成业务过程中断； f) 应提供对审计

24、事件选择的集中管理能力，现场设备审计事件应包括：用户登录/退出事件、连 接超时事件、配置变更、时间/日期变更、审计接入、ID/Password 创建和修改等，事件选择 被单独的系统部件所审计； g) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 6.2.2.8 网络设备防护 本项要求包括： a) 应对登录工业网络设备的用户进行身份鉴别； b) 应具有登录失败处理功能，可采取结束会话、限制非法登录次数、网络登录连接超时自动退 出等措施； c) 身份鉴别信息应不易被冒用，口令复杂度应满足要求并定期更换；应修改默认用户和口令， 不得使用默认口令；口令长度不得小于 8

25、位，且为字母、数字和特殊字符的组合，用户名和 口令不得相同，不得明文存储口令； d) 当对工业网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听； e) 应对工业网络设备的管理员登录地址进行限制； f) 应关闭工业网络设备不需要的网络端口和服务；如需使用 SNMP 服务，应采用安全性增强版 本，并应设定复杂的 Community 控制字段，不得使用 Public、Private 等默认字段； g) 应实现设备特权用户的权限分离，系统不支持的应部署日志服务器以保证管理员的操作能够 被审计，并且网络特权用户管理员无权对审计记录进行操作。 6.3 工业网络边界安全防护 6.3.

26、1 安全目标 从生产业务系统特点、重要性和安全性出发，梳理和优化改造现有奶业加工智能化控制系统的网络 架构，合理划分安全区域和层级，采取安全的边界防护策略并配备功能完善的防护产品，针对不同安全 区域的边界设置针对性的防护措施，实现数据传输、远程访问等过程的安全，保护奶业加工智能化控制 系统免受恶意入侵和网络攻击。 6.3.2 技术要求 6.3.2.1 安全区域划分 本项要求包括： a) 企业内部基于计算机和网络技术的业务系统，应划分为控制系统和管理信息系统，而且有清 晰的网络边界； b) 应根据区域重要性和业务需求对奶业加工智能化控制系统进行安全区域划分，系统不同层次 之间、系统同一层次不同业

27、务单元之间应划分为不同的安全防护区域，以确保安全风险的区 域隔离。 6.3.2.2 边界隔离 本项要求包括： DB15/T 20782021 8 a) 奶业加工智能化控制系统网络内部应根据业务特点划分为不同的安全域，不同安全区域间必 须部署具有访问控制功能的网络安全设备、安全可靠的工业防火墙或具有相当功能的设施， 实现逻辑隔离； b) 奶业加工智能化控制系统网络内部应根据业务特点划分为不同的安全域，不同安全区域间必 须部署具有访问控制功能的网络安全设备、安全可靠的工业防火墙或具有相当功能的设施， 实现逻辑隔离； c) 奶业加工智能化控制系统与企业管理信息系统之间应进行物理隔离；如有信息交换需求

28、，两 网之间必须采用经国家指定部门检测认证的单向安全隔离装置，保证单向隔离装置策略配置 安全有效。 6.3.2.3 边界访问控制 本项要求包括： a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信； b) 应在奶业加工智能化控制系统内部安全区域边界设置访问控制机制，实施相应的访问控制策 略，对进出区域边界的数据信息进行控制，阻止非授权访问； c) 应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部网络； d) 应能够对非授权设备私自联到内部网络的行为进行限制或检查，并对其进行有效阻断； e) 应能够对内部用户非授权联到外部网络的行为进行限制或检查，并对其进行

29、有效阻断。 f) 现场控制层设备与工程师站之间使用唯一的信息交换接口，接收所有流经其间的数据并对用 户进行合法性校验，为方便数据传输和解析应对数据进行封装，最后通过不影响传输实时性 的技术将数据传送出去； g) 应对消息来源、用户、设备身份进行鉴别，根据安全策略对接入进行访问控制； h) 应根据网络和区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输协议、请 求的服务等，确定是否允许该数据包进出该边界。 6.3.2.4 边界入侵防范 本项要求包括： a) 应在网络和区域边界监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻 击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击

30、等； b) 应在网络和区域边界部署恶意代码防护设备，探测非法外联、非法内联和入侵攻击等行为， 并及时报告安全管理中心； c) 当检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间等，在发生严重入侵 事件时应提供报警，必要时可配置为自动采取相应动作并及时进行处置。 6.4 工业主机安全防护 6.4.1 安全目标 防止对工业主机未经授权的访问、修改以及恶意入侵等破坏行为，避免遭到漏洞攻击、非法登录或 远程控制，确保主机不会受到恶意软件的干扰和破坏，防止不信任的移动介质访问、工业数据泄密、非 授权用户查看重要数据以及病毒感染操作行为等现象发生。 6.4.2 技术要求 6.4.2.1 身

31、份鉴别 DB15/T 20782021 9 本项要求包括： a) 在使用重要主机设备前应对设备身份进行标识，在设备整个生命周期中要保持设备标识的唯 一性； b) 在启动重要主机设备并接入奶业加工智能化控制系统时，应对设备身份的真实性进行鉴别； c) 强化工业主机的登录账户及密码，重命名或删除默认账户，修改默认账户的默认口令，定期 更新口令； d) 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性； e) 应具有登录失败处理功能，多次登录失败后应采取结束会话、限制非法登录次数和自动退出 等必要的保护措施； f) 登录用户执行重要操作时应再次进行身份鉴别； g) 身份鉴别信息不易被冒用，应修改

32、默认用户和口令，不得使用缺省口令，口令应符数字、字 母、符号混排，无规律的组合方式，口令的长度至少为 8 位，每季度更换 1 次，更新的口 令至少5次内不能重复；如果设备口令长度不支持 8 位或其他复杂度要求，口令应使用所支 持的最长长度并适当缩小更换周期；也可使用动态密码卡等一次性口令认证方式，口令应加 密存储； h) 应实现操作系统和数据库系统特权用户的权限分离； i) 应确保用户身份认证证书传输、存储的安全可靠，避免在未授权的情况下使用证书, 禁止在 不同系统和网络环境下共享身份认证证书； j) 用户身份鉴别信息丢失或失效时，应采取技术措施以确保鉴别信息重置过程的安全； k) 当对服务器

33、进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。 6.4.2.2 访问控制 本项要求包括： a) 应以满足工作要求的最小特权原则对登录主机的用户分配账户和权限，并在他们之间形成相 互制约的关系，降低因事故、错误、篡改等原因造成损失的可能性； b) 定期自行审计分配的账户权限是否超出工作需要，应及时删除或停用多余的、过期的账户， 避免共享账户的存在； c) 应为工业主机登录账户设定足够强度的登录密码，采取措施避免使用默认口令或弱口令，并 妥善管理，以降低对设备未授权登录和操作的可能性； d) 原则上严禁工业主机面向互联网开通 HTTP、FTP、Telnet 等高风险通用网络服务

34、；确需远程 访问的，应采用数据单向访问控制、VPN、堡垒机等策略进行安全加固，对访问时限进行控制 并采用加标锁定策略确保数据传输安全，避免未授权操作； e) 工业主机确需远程维护的，应采用加密协议的远程接入方式； f) 工业主机访问控制机制不应对奶业加工智能化控制系统的正常运行产生负面影响； g) 应进行角色划分，并授予管理用户所需的最小权限，实现管理用户的权限分离； h) 保留工业主机上的相关访问日志，并对操作过程进行安全审计； i) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表、记录或字段级； j) 应对所有主体、客体设置安全标记，主机不支持安全标记的，应在系统级生成安全

35、标记，使 系统整体支持强制访问控制机制； k) 应依据安全策略和所有主客体设置的安全标记控制主体对客体的访问。 6.4.2.3 安全审计 本项要求包括： DB15/T 20782021 10 a) 应对重要用户行为和安全事件进行审计，审计范围应覆盖服务器和重要客户端上的每个操作 系统和数据库用户；主机操作系统不支持该要求的，应采用第三方安全审计产品进行审计； b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等重要信息，至 少包括：用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资 源的异常使用、重要的系统操作（如用户登录、退出）等； c) 审计记录

36、应包括事件的日期、时间、类型、主体标识、客体标识和结果等； d) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； e) 应确保审计记录的留存时间符合法律法规要求； f) 应对审计进程进行保护，防止未经授权的中断； g) 审计记录的产生时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性； h) 应能够根据奶业加工智能化控制系统的统一安全策略实现集中审计。 6.4.2.4 剩余信息保护 本项要求包括： a) 应保证操作系统和数据库系统用户的鉴别信息所在的硬盘或内存中的存储空间被释放或重新 分配前得到完全清除； b) 应保证系统内的文件、目录和数据库记录等资源所在的存

37、储空间被释放或重新分配给其他用 户前得到完全清除。 6.4.2.5 入侵防范 本项要求包括： a) 应建立病毒和恶意软件入侵防护机制，定期对奶业加工智能化控制系统和临时接入的设备采 取病毒查杀等安全预防措施，并做详细查杀记录； b) 应在工业主机中实施应用程序白名单等检测和防止非授权软件运行的控制措施，只允许运行 经过工业企业自身授权和安全评估的软件； c) 工业主机中实施的控制措施应通过离线环境中充分的验证测试； d) 工业主机上线运行前不应存在恶意代码程序； e) 应遵循最小安装原则安装操作系统和应用程序，仅安装必要的组件和应用程序，系统补丁安 装前应通过严格的离线环境安全行和兼容性测试，

38、必要时应在离线环境中进行安全验证，以 确保配置变更不会影响主机正常运行； f) 应关闭不需要的系统服务、默认共享和高危端口； g) 应在工业主机中定期检查控制措施是否失效，并在失效时及时报警； h) 工业主机针对网络攻击采取的技术措施不应对奶业加工智能化控制系统的正常运行产生负面 影响； i) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制； j) 应能对重要程序的完整性进行检测，并具有完整性恢复的能力。 6.4.2.6 恶意代码防范 本项要求包括： a) 应在工业主机上安装经过离线环境中充分验证测试的防恶意代码软件或独立部署恶意代码防 护设备，只允许运行经过工业企业

39、自身授权和安全评估的防恶意代码软件或应用程序白名单 软件；应定期升级和更新防恶意代码软件版本和恶意代码库，更新前应在离线环境中进行安 DB15/T 20782021 11 全性和兼容性测试，必要时应在离线环境中进行安全验证，以保证配置变更不会影响主机的 正常运行； b) 如系统不支持，则应采取独立部署恶意代码防护设备等有效措施进行恶意代码防范； c) 应采用基准库比对或其他可信验证机制对系统程序、应用程序和重要配置文件/参数进行可信 执行验证，并在检测到其完整性受到破坏时采取恢复措施。 6.4.2.7 漏洞防范 本项要求包括： a) 应密切关注可能影响主机安全运行的安全漏洞，建立主机漏洞台账和

40、漏洞测试验证机制，定 期对不影响生产环境的高危漏洞进行修补，及时采取补丁升级或消减措施； b) 需借助专用工具进行漏洞扫描，工具使用前应经过严格的安全性测试并取得相应使用许可资 质； c) 如果工业控制主机漏洞无法通过补丁或更改配置等有效措施得以解决，则应基于漏洞系统关 键性的充分考虑采取停用脆弱服务、移除软件、移除设备或系统隔离等手段；如因停用存在 漏洞的服务导致奶业加工智能化控制系统的关键功能不可用，应首先隔离存在漏洞的系统， 有效锁定其安全区域并防止在区域边界对其有任何异常访问，并尽快联系主机生产厂商进行 处理。 6.4.2.8 移动介质防护 本项要求包括： a) 应对移动存储介质的使用

41、进行严格限制，接入设备时通过设备自带的安全管理软件或中间机 等外设安全管理设备等技术手段实行严格访问控制； b) 当不信任移动介质接入时应采取专门安全防护措施，并进行日志审计； c) 应基于对移动介质建立的可信标识对其用户角色与权限做到策略对应，根据用户角色分配明 确移动介质使用权限，不得越权使用和数据的随意拷贝，以防止工业数据泄漏。 6.4.2.9 资源控制 本项要求包括： a) 应封闭或拆除工业主机上不必要的光盘驱动、USB 接口等，以避免因未授权的外设终端接入 而导致病毒、木马、蠕虫等恶意代码入侵或数据泄露；确需使用的，应通过主机外设安全管 理技术手段实施严格的访问控制和监督管理； b)

42、 应通过设定终端接入方式、网络地址范围等条件限制终端登录； c) 应根据安全策略设置登录终端的操作超时锁定； d) 应提供重要节点设备的硬件冗余，保证系统的可用性； e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 6.5 控制设备安全防护 6.5.1 安全目标 及时发现工业控制设备存在的漏洞，通过采取有效防护措施防止非法或未经授权访问控制设备、随 意篡改数据信息以及恶意入侵等破坏行为，确保用户信息、数据信息等的安全性以及操作过程的可追溯 性，避免遭到漏洞攻击、非法登录或远程控制，限制外部恶意代码传入或影响奶业加工智能化控制系统 的正常运行。 DB15/T 20782021

43、12 6.5.2 技术要求 6.5.2.1 身份鉴别 本项要求包括： a) 控制设备自身应实现对于用户登录访问的身份鉴别的安全要求，具体要求参照GB/T 22239标 准执行； b) 如受条件限制控制设备无法采用上述身份鉴别措施，应由其上位控制或管理设备实现同等功 能或通过管理手段控制。 c) 应对所有参与无线通信的用户（人员、软件进程或者设备）提供唯一性标识和鉴别、进行授 权以及执行使用进行限制； d) 如受条件限制控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通过 管理手段控制。 6.5.2.2 访问控制 本项要求包括： a) 控制设备自身应实现对于用户登录访问控制的安全

44、要求，具体要求参照GB/T 22239标准执行； b) 应对关键操作和指令执行动作实行基于用户权限的访问控制规则； c) 对采用无线通信技术进行控制的工业控制设备，应能识别其物理环境中发射的未经授权的无 线设备，报告未经授权试图接入或干扰控制系统行为。 6.5.2.3 安全审计 本项要求包括： a) 控制设备自身应实现对于重要的用户行为和重要安全事件进行安全审计的要求，具体要求参 照GB/T 22239标准执行； b) 如受条件限制控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通过 管理手段控制。 6.5.2.4 入侵防范 本项要求包括： a) 控制设备自身应实现对于各种入侵

45、行为进行安全防范的要求，具体要求参照GB/T 22239标准 执行； b) 设备上线前确保不存在恶意代码程序； c) 可在重要工业控制设备前端部署可对所使用的 ICS 协议进行深度包分析和检测过滤的防护 设备，具备检测或阻断不符合协议标准结构的数据包、不符合正常生产业务范围的数据内容 等功能，限制违法操作； d) 如受条件限制控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通过 管理手段控制。 6.5.2.5 恶意代码防范 本项要求包括： a) 控制设备自身应实现对于各种恶意代码进行安全防范的要求，具体要求参照GB/T 22239标准 执行； b) 应保证设备在上线前经过安全性检测，保证控制设备固件中不存在恶意代码程序； DB15/T 20782021 13 c) 应能对通过外部物理接口接入的可移动设备介质生成使用记录； d) 如受条件限制控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通过 管理手段控制。 6.5.2.6