标准规范下载简介
YC/T 580-2019 烟草行业工业控制系统网络安全基线技术规范.pdf简介:
"YC/T 580-2019 烟草行业工业控制系统网络安全基线技术规范.pdf" 是一份由中国烟草行业的技术标准文件。这份文件主要针对烟草行业特定的工业控制系统网络安全提出了一套详细的技术规范。工业控制系统是烟草生产中的关键部分,它的安全直接关系到生产过程的稳定和数据的安全。
该规范涵盖了工业控制系统的网络安全策略、网络架构、安全设备配置、数据加密、访问控制、安全监测、应急响应等多个方面,旨在确保工业控制系统免受网络安全威胁,防止数据泄露、生产中断等风险。其目标是提升烟草行业在数字化生产环境下的网络安全防护能力,保障企业生产和业务的正常运行。
这份文件适用于烟草行业的工业企业,对于其他需要工业控制系统安全防护的行业也具有参考价值。
YC/T 580-2019 烟草行业工业控制系统网络安全基线技术规范.pdf部分内容预览:
国家烟草专卖局 发布
本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由国家烟草专卖局提出。 本标准由全国烟草标准化技术委员会信息分技术委员会(SAC/TC144/SC7)归口。 本标准起草单位:龙岩烟草工业有限责任公司、国家烟草专卖局烟草经济信息中心、福建中烟工业 有限责任公司、四川中烟工业有限责任公司、重庆中烟工业有限责任公司、浙江中烟工业有限责任公司、 上海烟草集团有限责任公司、湖南省烟草专卖局(公司)、北京启明星辰信息安全技术有限公司。 本标准主要起草人:高一军、张雪峰、王海清、林郁、吴正举、冯祥国、李威、胡庭川、耿欣、吴洪亮、 曹琦、陈玮、冯明辉、石洁、章志华、李健俊、周佳杰、蔡喆、唐亮、李转琴、原直
《外墙涂料二氧化碳渗透率的测定方法 JG/T485-2015》YC/T5802019
烟草行业工业控制系统网络安全基线 技术规范
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本工 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 YC/T494一2014烟草工业企业生产网与管理网网络互联安全规范
每个确定安全保护等级的定级对象应是一个完整的工控子系统或由若干子系统集合组成的工控系 统,同一工业控制网络的多个工控子系统可合并作为一个定级对象。各单位可按照控制类别,将一个生 产过程中包含的多个工控子系统作为一个工控系统进行安全保护等级定级和备案;也可根据需要,将各 工控子系统分别作为独立系统进行定级和备案。
每个定级的工控系统应有唯一的责任部门,涉及多部门共同管理的工控系统应指定一个牵头部 作为唯一责任部门
6工控系统安全基线要求
6.1工控系统安全域划分
6.2工控系统安全域间防折
工控系统的安全域间防护应符合以下要求: a)一般情况下各安全域间应只设置一个网络互联接口,并采用工业防火墙、网闸等防护技术进行 安全域之间的逻辑隔离和访问控制;如业务需要设置多个网络互联接口时,则每个接口均应通 过工业防火墙、网闸等进行防护。 b)对各安全域间的访问控制宜采用白名单模式或其他适合的方式,仅设置必要的工控系统操作 管理和维护策略。 c)应严格禁止工控系统与互联网直接连接。 d)工控系统与管理网的连接应符合YC/T494一2014的要求。 e 各安全域间的网络通信设备、防护设备应关闭不必要的网络服务,且设置复杂密码,避免使用 默认口令或弱口令
6.3工控系统安全域内防护
6.3.1工业控制网络技术要求
工业控制网络技术要求包括但不限于以下内容: a)应对工业控制网络内设备之间的访问数据、服务、端口和协议等进行监控。 b)应在工业控制网络部署网络安全监测设备,对网络内TCP/IP协议和工控协议的异常流量、异 常协议和入侵行为等进行检测,发现利用工控漏洞或关键工控指令进行攻击的行为。 无线网络的使用控制应符合以下要求: 应对所有使用无线通信的终端设备提供唯一性标识和鉴别措施:
6.3.2工控主机与应用技术要求
工控主机与应用技术要求包括但不限于以下内容: a)工控主机设备操作系统应采用“最小安装”原则,仅安装自身业务运行操作所需的操作系统组 件及应用软件。 b) 工控主机管理员认证口令应满足复杂度要求,避免使用默认口令或弱口令,定期更新口令,对 关键设备、系统、平台的访问宜采用硬件数字证书实现双因子认证。 做好工控主机和应用系统的口令管理,应禁止将口令粘贴在外部及将口令保存在主机文档中。 d)拆除或封闭工业主机上不必要的USB、无线等外设接口。如确需使用,应对工控主机的外设 接口进行控制和审计,禁止未授权的设备接人工控主机。 e 启用工控主机的系统防火墙前应经过严格测试以确保对业务无影响。 在工控主机上应采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,仅 充许经过行业单位自身授权和安全评估的软件运行。 工控主机安装的防病毒软件宜是一套不与其他非工控系统中防病毒软件互联的独立的防病毒 系统。 h 应在保障组态软件、编程软件正常使用的前提下安装防病毒软件并配置病毒查杀策略和升级 策略,应禁止从互联网直接升级。 1 对工控主机的通信协议和端口的访问控制宜采用白名单模式进行。 力 应对上线前的工业软件进行漏洞检测,并安装厂家正式发布的所有安全补丁。 k) 对运行中的工控主机漏洞进行修补前应在测试环境下进行安全评估和测试验证,并保证在不 影响系统可用性、实时性和可靠性的前提下实施。 应依据安全策略对组态信息、控制程序、实时数据库表项、OPC服务器数据等文件的访问和修 改操作进行权限控制和审计。 m 应采用密码技术对鉴别数据、重要业务数据等在传输和存储过程中进行技术处理,防止数据完 整性受到破坏。
6.3.3安全运维审计技术要求
安全运维审计技术要求包括但不限于以下内容: 应确保工控系统所有设备和软件的时钟同步; b)应对工控系统所有设备和软件的配置与维护等行为进行审计记录; 应对工控系统中的控制设备、工控主机、网络设备、安全设备、操作系统、数据库、中间件等的状 态进行实时监测,并提供集中、独立的报警检查机制; d 应对工控系统中的控制设备、工控主机、网络设备、安全设备、操作系统、数据库、中间件等进行 统一管理和日志集中审计; e)宜在工控系统中建立独立运行的安全管理网络。
6.4工控系统安全管理
《建筑合同能源管理节能效果评价标准 GB/T51285-2018》6.4.2安全建设管理
安全建设管理包括但不限于以下内容: a)在工控系统规划设计阶段应同步设计安全防护方案,在建设阶段应同步实施安全防护措施,在 运行阶段应同步运行各项安全防护设施,并以合同或文件等方式明确各方(管理、设计、实施和 运维等)应承担的安全责任和义务; b)所有新建工控系统及设备应在验收后更新供应商、服务商提供的所有初始密码或原始密码; c)应分离工控系统的开发、测试和生产环境; d)应定期对工控系统开展专业化的网络安全风险评估,制定整改方案,并在测试环境中进行兼容 性、稳定性测试后方可实施安全建设整改。
6.4.3安全接入管理
《基于电压源换流器的高压直流输电 GB/T30553-2014》6.4.4日常运维管理
日常运维管理包括但不限于以下内容: 应建立工控系统资产清单,明确资产责任人,以及资产使用及处置规则,对关键主机设备、网络 设备、控制组件等进行穴余配置; ) 应做好工业控制网络、工控主机和工业控制设备的安全配置,建立工控系统配置清单,定期进 行配置审计; c)应定期对工控系统进行漏洞检查并针对漏洞制定相应的加固防护方案;
d)应制定安全报警处理流程,设置报警消除时限,快速消除告警隐患,定期输出报警处置汇总 报告; e)工控系统的运维应使用专用的运维审计设备,操作行为审计记录保留6个月以上;第三方运维 人员进人现场时应有专人全程陪同; 应定期备份关键工控系统业务数据,