ICS 35.240.01 CCS L00 15 内 蒙 古 自 治 区 地 方 标 准 DB15/T 2078—2021 奶业加工智能化控制系统信息安全 技术要求 Technical requirements for information security of dairy processing intelligent control system 2021-01-25 发布 2021-02-25 实施 内蒙古自治区市场监督管理局 发 布 DB15/T 2078—2021 目 次 前言 ................................................................................. II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 缩略语 ............................................................................. 2 5 奶业加工智能化控制系统信息安全概述 ................................................. 2 5.1 奶业加工智能化控制系统安全框架 ................................................. 2 5.2 奶业加工智能化控制系统安全目标 ................................................. 2 5.3 奶业加工智能化控制系统保护原则 ................................................. 2 6 信息安全技术要求 ................................................................... 2 6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 6.9 6.10 物理和环境防护 ................................................................. 2 网络安全防护 ................................................................... 5 工业网络边界安全防护 ........................................................... 7 工业主机安全防护 ............................................................... 8 控制设备安全防护 .............................................................. 11 数据安全防护 .................................................................. 13 防护产品安全 .................................................................. 15 系统安全运维 .................................................................. 16 系统集中监控 .................................................................. 18 系统安全建设 ................................................................. 19 参考文献 ............................................................................. 21 I DB15/T 2078—2021 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由内蒙古自治区工业和信息化厅归口。 本文件起草单位：内蒙古自治区电子信息产品质量检验院、蒙牛乳业（集团）股份有限公司。 本文件主要起草人：巴特尔、门嗣睿、王永翱、刘建华、王晓光、刘业斌、杨宏业、赵春霖、李应 彤、王明鑫、王磊、武浩东、岳鑫。 II DB15/T 2078—2021 奶业加工智能化控制系统信息安全技术要求 1 范围 本文件规定了奶业加工智能化控制系统中各个环节的信息安全技术方面的要求，明确了奶业加工智 能化控制系统信息安全的控制基线。 本文件适用于全区奶业加工智能化控制系统的设计、建设，也可作为奶业加工智能化控制系统安全 性测试、评估的依据。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB 50016 建筑设计防火规范 GB 50174 数据中心设计规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 奶业加工智能化控制系统 intelligent contorl system for dairy industray 由现代奶业加工机械、电气、电子、通信及系统管理与信息技术、计算机网络技术、行业技术、智 能控制技术汇集而成的针对奶业加工生产应用的智能集合。 3.2 工业主机 industrial host 工业生产控制各业务环节涉及组态、工作流程和工艺管理、状态监控、运行数据采集以及重要信息 存储等工作的设备载体。 3.3 工程师站 engineer station 供工业过程控制工程师使用的，对计算机系统进行组态、编程、修改等的工作站。 3.4 工业控制网络边界 industrial control network boundary 1 DB15/T 2078—2021 工业控制系统的安全计算环境边界， 以及安全计算环境与安全通信网络之间实现连接并实施安全 策略的相关部件。 3.5 深度包检测 deep packet inspection 一种计算机网络数据包过滤技术， 用来检查通过检测点之数据包的数据部分（亦可能包含其标头） ， 以搜索不匹配规范之协议、病毒、垃圾邮件、入侵，或以预定之准则来决定数据包是否可通过或需被路 由至其他不同目的地，亦或是为了收集统计数据之目的。 4 缩略语 下列缩略语适用于本文件。 DCS：集散控制系统（Distributed Control System） ICS：工业控制系统（Industrial Control System） ID：身份证标识号、账号（Identity document） PLC：可编程逻辑控制器（Programmable Logic Controller） SCADA：数据采集与监视控制系统(Supervisory Control And Data Acquisition） VPN: 虚拟专用网络（Virtual Private Network） 5 奶业加工智能化控制系统信息安全概述 5.1 奶业加工智能化控制系统安全框架 奶业加工智能化控制系统是几种类型的控制系统的总称，包括数据采集与视频监视控制系统 （SCADA）、集散控制系统（DCS）和其他控制系统。奶业加工智能化控制系统的信息安全特性取决于其 设计、管理、建设和环境条件等各种因素。 5.2 奶业加工智能化控制系统安全目标 奶业加工智能化控制系统的安全以可用性、完整性、保密性为主要目标，其中保障生产系统的可用 性尤其重要；奶业加工智能化控制系统的安全威胁一般是利用Windows系统、工业软件系统（如SCADA、 DCS）以及开放的标准工业通信协议的多个漏洞进行攻击；此外，由于专用的工业以太网通信协议（如 PROFINET、Ethernet/IP、Modbus等）在设计时并未考虑信息安全防护，存在安全漏洞。 5.3 奶业加工智能化控制系统保护原则 保护奶业加工智能化控制系统首先是保护现场系统（如 PLC、DCS 等），保护生产连续性，其次 是保护中央服务器等资产。在实际生产环境中，一些设备如果实现特定类型的安全措施可能会终止其连 续运行，原则上所提出的安全防护技术要求不应对奶业加工智能化控制系统的功能安全产生不利影响。 6 信息安全技术要求 6.1 物理和环境防护 6.1.1 安全目标 2 DB15/T 2078—2021 建立完善的物理环境安全机制，优化物理环境下的操作管理，以保证数据的可用性、保密性和完整 性，规范设备所处物理环境的安全性，防止对组织场所和信息的未授权物理访问、损坏和干扰。 6.1.2 技术要求 6.1.2.1 物理位置选择 本项要求包括： a) 机房应选择在具有防雷、防震、防风和防雨等能力的建筑内； b) 奶业企业应根据程师站、数据库、服务器等工业控制软硬件的重要性，自行明确重点物理安 全防护区域； c) 机房场地应避免设在建筑物的高层或地下室以及用水设备的下层或隔壁；如果不可避免，应 采取有效防水和防潮、有效固定等措施； d) 如果机房周围有用水设备，应有防渗水和疏导措施； e) 机房外墙壁应没有对外的窗户；否则，应采用双层固定窗并作密封、防水处理。 6.1.2.2 物理访问控制 本项要求包括： a) 需进入机房的来访人员应经过申请和审批流程，记录带进带出的设备、进出时间、工作内容， 并有专人陪同并限制和监控其活动范围；带入的设备使用前要进行系统扫描、使用过程中要 进行行为监测，设备带出前要对工作日志等进行审计； b) 机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录人员的进出情况，人员 进出记录应至少保存 6 个月 ； c) 机房出入口应有视频监控，监控记录至少保存 3 个月 ；