2024流程工業(yè)企業(yè)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障密碼應(yīng)用要求

流程工業(yè)企業(yè)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障密碼應(yīng)用要求目次前言 II1范圍 1規(guī)性用件 1術(shù)和義 1縮語 2應(yīng)原則 3應(yīng)框架 3碼用體架 3碼用用求 5應(yīng)技要求 5程業(yè)業(yè)業(yè)聯(lián)網(wǎng)心據(jù) 5程業(yè)業(yè)業(yè)聯(lián)網(wǎng)要據(jù) 6程業(yè)業(yè)業(yè)聯(lián)網(wǎng)般據(jù) 7應(yīng)管要求 8理度 8員理 8設(shè)行 9急置 9用評 9參考獻(xiàn) 10I流程工業(yè)企業(yè)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障密碼應(yīng)用要求范圍本文件適用于指導(dǎo)流程工業(yè)企業(yè)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障密碼應(yīng)用的規(guī)劃、建設(shè)、運(yùn)行及測評。（GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求下列術(shù)語和定義適用于本文件。3.1流程工業(yè)processindustry利用化學(xué)反應(yīng)、分離或混合等技術(shù)手段制造新產(chǎn)品，改進(jìn)已有產(chǎn)品或處理廢棄物的工業(yè)。流程工業(yè)包含以下行業(yè)：石油、化工、礦業(yè)、鋼鐵、有色、電力、建材、廢棄物處理、造紙等。流程工業(yè)不包括以下行業(yè)：裝備，機(jī)械制造及其類似行業(yè)。也不包括有特殊要求或需要特殊批準(zhǔn)的行業(yè)。3.2工業(yè)互聯(lián)網(wǎng)industrialinternet新一代信息通信技術(shù)與工業(yè)經(jīng)濟(jì)深度融合的新型基礎(chǔ)設(shè)施、應(yīng)用模式和工業(yè)生態(tài)，通過對人、機(jī)、物、系統(tǒng)等的全面連接，構(gòu)建起覆蓋全產(chǎn)業(yè)鏈、全價(jià)值鏈的全新制造和服務(wù)體系。3.3生產(chǎn)控制大區(qū)productioncontrolzone由具有數(shù)據(jù)采集與控制功能、縱向聯(lián)接使用專用網(wǎng)絡(luò)或?qū)Ｓ猛ǖ赖谋O(jiān)控系統(tǒng)構(gòu)成的安全區(qū)域。3.4控制區(qū)controlsubzone由具有實(shí)時(shí)監(jiān)控功能、縱向聯(lián)接使用實(shí)時(shí)子網(wǎng)或者專用通道的各業(yè)務(wù)系統(tǒng)構(gòu)成的安全區(qū)域。3.5非控制區(qū)non-controlsubzone3.6管理信息大區(qū)managementinformationzone生產(chǎn)控制大區(qū)之外,主要由企業(yè)管理辦公業(yè)務(wù)系統(tǒng)及辦公網(wǎng)絡(luò)構(gòu)成的安全區(qū)域。13.7機(jī)密性confidentiality保證信息不被泄露給非授權(quán)實(shí)體的性質(zhì)。3.8完整性integrity數(shù)據(jù)沒有遭受以非授權(quán)方式所作的改變的性質(zhì)。3.9真實(shí)性authenticity一個(gè)實(shí)體是其所聲明實(shí)體的這種特性。真實(shí)性適用于用戶、進(jìn)程、系統(tǒng)和信息之類的實(shí)體。3.10不可否認(rèn)性non-repudiation證明一個(gè)已經(jīng)發(fā)生的操作行為無法否認(rèn)的性質(zhì)。3.11加密encipherment；encryption對數(shù)據(jù)進(jìn)行密碼變換以產(chǎn)生密文的過程。3.12密鑰key控制密碼算法運(yùn)算的關(guān)鍵信息或參數(shù)。3.13密碼基礎(chǔ)設(shè)施cryptographyinfrastructure提供鑒別、加密、完整性和不可否認(rèn)性服務(wù)的信息安全基礎(chǔ)設(shè)施。3.14數(shù)字證書digitalcertificate具有權(quán)威性、可信性和公正性的證書認(rèn)證機(jī)構(gòu)（CA）進(jìn)行數(shù)字簽名的一個(gè)可信的數(shù)字化文件。3.15非可控網(wǎng)絡(luò)non-controlnetwork（5G3.16非對稱密碼算法asymmetriccryptographicalgorithm（私鑰必須3.17身份認(rèn)證authentication縮略語下列縮略語適用于本文件。CA：數(shù)字證書認(rèn)證中心（CertificateAuthority）PKI：公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure)2結(jié)合流程工業(yè)企業(yè)工業(yè)互聯(lián)網(wǎng)系統(tǒng)特性和面臨網(wǎng)絡(luò)安全威脅，流程工業(yè)企業(yè)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障密碼應(yīng)用遵循以下基本原則：3GB/T43697-2024（20206GB/T39786-20215圖1流程工業(yè)企業(yè)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障密碼應(yīng)用總體框架1）。3圖2流程工業(yè)企業(yè)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障密碼應(yīng)用部署流程工業(yè)企業(yè)工業(yè)互聯(lián)網(wǎng)系統(tǒng)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)，應(yīng)劃分為生產(chǎn)控制大區(qū)和2）I）生產(chǎn)控制大區(qū)與管理信息大區(qū)之間如需通信，應(yīng)設(shè)置經(jīng)國家指定部門檢測認(rèn)證的專用單向隔離裝生產(chǎn)控制大區(qū)的業(yè)務(wù)系統(tǒng)在與其終端的縱向聯(lián)接中使用專用有線通信網(wǎng)或公用通信網(wǎng)進(jìn)行通信的，兩端均應(yīng)采用相應(yīng)的密碼措施，實(shí)現(xiàn)雙向身份認(rèn)證、訪問控制，以及數(shù)據(jù)完整性和機(jī)密性保護(hù)。其中，使用公用通信網(wǎng)進(jìn)行通信的，應(yīng)設(shè)立安全接入?yún)^(qū)，并通過單向隔離裝置接入生產(chǎn)控制大區(qū)。4管理信息大區(qū)在通過內(nèi)部專網(wǎng)與外部公共因特網(wǎng)進(jìn)行數(shù)據(jù)傳輸時(shí)，應(yīng)采用具備加密認(rèn)證功能的防火墻，實(shí)現(xiàn)安全傳輸。流程工業(yè)企業(yè)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)密碼應(yīng)用應(yīng)滿足以下通用要求：（SM2）（SM3）（SM4）PKI/CA本級要求包括：本級要求包括：本級要求包括：本級要求包括：5本級要求包括：本級要求包括：本級要求包括：本級要求包括：本級要求包括：6本級要求包括：本級要求包括：本級要求包括：本級要求包括：本級要求包括：本級要求包括：本級要