标准规范下载简介
GB/T 33009.1-2016 工业自动化和控制系统网络安全 集散控制系统(DCS) 第1部分:防护要求.pdf简介:
GB/T 33009.1-2016《工业自动化和控制系统网络安全 集散控制系统(DCS) 第1部分:防护要求简介》是中国国家标准,由国家标准化管理委员会发布。该标准主要针对工业自动化和控制系统的网络安全,特别是针对集散控制系统(DCS)的网络安全防护提出了具体的要求和指导。
该标准旨在确保DCS系统的安全运行,防止未经授权的访问、修改或破坏,以保护关键的工业控制过程和数据。它涵盖了DCS系统的安全架构、安全功能要求、安全管理和评估等方面,包括但不限于以下几点:
1. 安全管理体系:规定了DCS系统应建立的安全管理体系,包括安全政策、安全培训、应急响应等。 2. 网络安全防护:要求DCS系统应具备防火墙、入侵检测/防御系统、数据加密等基本网络安全设施,防止网络攻击和数据泄露。 3. 访问控制:规定了对DCS系统访问的权限管理,确保只有授权用户才能访问相关数据和功能。 4. 安全审计:强调了对DCS系统操作和安全事件的记录和审计,以便于追踪和分析安全问题。
遵循此标准,可以帮助企业确保其DCS系统的网络安全,降低因网络安全问题导致的生产风险和经济损失。
GB/T 33009.1-2016 工业自动化和控制系统网络安全 集散控制系统(DCS) 第1部分:防护要求.pdf部分内容预览:
应能够监视现场控制层网络与过程监控层网络接口处的网络流量、连接数等网络资源信息,并根据 安全策略要求对流量、连接数进行限制
本项要求包但不仪限于: a)网络资源控制 应通过设定设备接人方式、网络地址范围等条件限制设备接入网络。 b)嵌人式控制器资源控制 应对嵌人式控制器的运行状态进行监控,包括系统的CPU、内存、堆栈等,对存储于内存中的配置 信息、控制程序、数据进行监控,限制对关键控制系统数据(包括控制程序代码、组态配置信息等)的 访问。
7.7.2.1常规加强要求
层传输过程中的完整性GBT 3323.2-2019标准下载,包括防止数据包被插入、防止 被删除、防止数据包被超期延迟、防止数据包被重排序和重放
7.7.2.2深度加强要求
本项要求包括但不仅限于: a)控制器存储数据完整性 应保证存储于嵌人式控制系统内的数据完整性,包括静态数据保护、关闭无用端口、写保护、可执行 代码保护、应用程序配置保护、应用程序语法检查、操作系统配置保护、可执行代码注人保护等。 b)控制系统实时数据完整性 应能够检测现场控制层网络内所有的现场实时数据、控制指令数据、监控数据等在传输过程中完整 性是否受到破坏。应具备利用密码技术或其他同等功效的技术检测数据包被修改的能力。 c)点对点通信加密 应保证在点对点通信的过程中,会话的建立有相应的身份认证机制、会话过程中应提供加密机制或 其他等效技术手段保证会话不会被窃听、在会话目的达到后及时关闭会话、在会话超时时提供会话超时 响应功能,如可关闭会话也可重新进行会话认证,
8.1.1常规加强要求
8.1.2深度加强要求
8.2.1常规加强要求
应在各安全区域之间部署安全网关设备,建立各区域之间的网关路径,保证各子区域之间访问的相 对独立性。 应对危险区域、关键装置中的执行机构(压力执行机构、温度执行机构等)的操作行为进行限制,对 装置的手动操作区域应采用物理防 措施进行防护,但不应影响紧急操作,
8.2.2深度加强要求
应在现场控制层与现场设备层网络的边界部署访问控制设备,设定访问控制策略。对从现场控制 层发起的访问,进行现场总线协议和服务功能等项目的检查,以允许/拒绝数据包的出入。 应提供对控制器发送操控指令的操作行为进行授权验证的功能,如开关操作、电磁阀操作等。
8.3.1常规加强要求
a)智能仪表软件检测 智能仪表嵌人式软件应对输人数据提供有效性检验功能,保证通过通信接口输入的数据格式 合系统要求,当出现异常情况时能够提供异常处理功能。
b)总线负载检测 应能够对现场总线上的网络流量及网络负载数量进行监测,当发现网络负载异常时能够提供报警 信息。
8.3.2深度加强要求
本项要求包括但不仅限于: a)控制指令识别 应能够对关键装置、关键执行机构(压力控制机构、温度控制机构、流量控制机构等)的控制指令进 行识别。 b)恶意指令防护 应在现场设备层与现场控制层网络的边界部署安全防护设备,并能够监视过滤网络中的恶意控制 指令行为,根据安全策略对恶意指令进行阻断
8.4.1常规加强要求
2013浙J67:防水透气膜建筑构造.pdf对发送操作数据和指令的现场设备进行身份识别
8.4.2深度加强要求
8.5.1常规加强要求
8.5.2深度加强要求
8.6.1常规加强要求
GB∕T 51196-2016 有色金属矿山工程测控设计规范8.6.2深度加强要求
期延迟、防止数据被重排序和重放;应具备利用密码技术或其他同等功效的技术检测数据被修改