GB/T 41260-2022 數(shù)字化車間信息安全要求（正式版）

ICS25.040數(shù)字化車間信息安全要求國家市場(chǎng)監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會(huì)I Ⅲ 1 13術(shù)語和定義、縮略語 13.1術(shù)語和定義 1 44數(shù)字化車間信息安全總則 44.1數(shù)字化車間信息安全范圍 44.2數(shù)字化車間信息安全基本要求 54.3數(shù)字化車間信息安全分析流程 65數(shù)字化車間信息安全管理要求 7 75.2信息安全管理制度 75.3信息安全管理崗位與職責(zé) 75.4人員管理 85.5風(fēng)險(xiǎn)管理 85.6物理訪問控制管理 95.7運(yùn)維安全管理 95.8監(jiān)視和評(píng)審信息安全管理的有效性 95.9保持和改進(jìn) 6數(shù)字化車間信息安全技術(shù)要求 6.1概述 6.2區(qū)域劃分與邊界防護(hù) 6.3身份鑒別與認(rèn)證 6.4使用控制 6.5資源控制 6.6數(shù)據(jù)安全 6.7安全審計(jì) 附錄A(資料性)數(shù)字化車間信息安全常見威脅源 附錄B(資料性)典型機(jī)械制造行業(yè)數(shù)字化車間信息安全示例 B.2確定保護(hù)對(duì)象與目標(biāo) B.3風(fēng)險(xiǎn)分析與處置 B.4安全防護(hù)需求與安全策略 B.5安全確認(rèn)與評(píng)估 GB/T41260—2022B.6運(yùn)行與維護(hù) 附錄C(規(guī)范性)數(shù)字化車間信息安全增強(qiáng)要求 C.2區(qū)域劃分與邊界防護(hù) C.3身份鑒別與認(rèn)證 C.4使用控制 C.5資源控制 C.6數(shù)據(jù)安全 C.7安全審計(jì) 圖1數(shù)字化車間信息安全范圍(實(shí)線部分) 圖2數(shù)字化車間信息安全分析流程 圖B.1機(jī)械制造行業(yè)典型架構(gòu) 圖B.2典型工程/數(shù)字化車間安全架構(gòu) ⅡGB/T41260—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國機(jī)械工業(yè)聯(lián)合會(huì)提出。本文件由全國工業(yè)過程測(cè)量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC124)歸口。本文件起草單位：機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所、中國石油集團(tuán)安全環(huán)保技術(shù)研究院有限公司、重慶信安網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)有限公司、浙江中控技術(shù)股份有限公司、國能智深控制技術(shù)有限公司、深圳市標(biāo)利科技開發(fā)有限公司、寧波和利時(shí)信息安全研究院有限公司、中國科學(xué)院沈陽自動(dòng)化研究所、中國電力工程顧問集團(tuán)華北電力設(shè)計(jì)院有限公司、北京市勞動(dòng)保護(hù)科學(xué)研究所、工業(yè)和信息化部計(jì)算機(jī)與微電子發(fā)展研究中心(中國軟件評(píng)測(cè)中心)、上海工業(yè)自動(dòng)化儀表研究院有限公司、西門子(中國)有限公司、菲尼克斯(南京)智能制造技術(shù)工程有限公司、長沙有色冶金設(shè)計(jì)研究院有限公司、羅克韋爾自動(dòng)化(中國)有限公司、快克智能裝備股份有限公司。ⅢGB/T41260—2022的建設(shè)應(yīng)充分考慮信息安全的因素。本文件以數(shù)字化車間為對(duì)象，充分考慮數(shù)字化車間的特點(diǎn)，從管理與技術(shù)兩個(gè)方面提出信息安全要求。1GB/T41260—2022數(shù)字化車間信息安全要求GB/T37413—2019數(shù)字化車間術(shù)語和定義IEC62443-1-1:2009工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第1-1部分：術(shù)語、概念和模型(Industrialcommunicationnetworks—Networkandsystemsecurity—Part1-1:Terminol注：在工業(yè)自動(dòng)化和控制系統(tǒng)的情況下，具有最大直接可測(cè)量價(jià)值的實(shí)物資產(chǎn)可能是受控設(shè)備。注：數(shù)字化車間生產(chǎn)系統(tǒng)包括但不限于。a)可編程邏輯控制器(PLC)、智能電子設(shè)備(IED)、分布式控制系統(tǒng)(DCS)、緊急停車系統(tǒng)(ESD)、安全儀表系2GB/T41260—20223.1.4感知控制層thelayerofperceptionandcontrol定義了感知和操控車間物理流程的活動(dòng)。3.1.5監(jiān)控層thelayerofmonitoring定義了監(jiān)測(cè)和控制車間物理流程的活動(dòng)。3.1.6信息安全securitya)保護(hù)系統(tǒng)所采取的措施；b)由建立和維護(hù)保護(hù)系統(tǒng)的措施而產(chǎn)生的系統(tǒng)狀態(tài)；c)能夠免于非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失的系統(tǒng)資源的狀態(tài)；d)基于計(jì)算機(jī)系統(tǒng)的能力，能夠提供充分的把握使非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)e)防止對(duì)工業(yè)自動(dòng)化和控制系統(tǒng)的非法或有害的入侵，或者干擾其正確和計(jì)劃的操作。注：措施可以是與物理信息安全(控制物理訪問計(jì)算機(jī)的資產(chǎn))或者邏輯信息安全(登錄給定系統(tǒng)和應(yīng)用的能力)相關(guān)的控制手段。3.1.7脆弱性vulnerability3.1.8可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因。3.1.9人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。3.1.10風(fēng)險(xiǎn)分析riskanalysis系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)。3.1.11選擇并且執(zhí)行措施來更改風(fēng)險(xiǎn)的過程。3GB/T41260—20223.1.12[來源：GB/T20984—2007,3.15,有修改]3.1.13殘余風(fēng)險(xiǎn)residualrisk經(jīng)過風(fēng)險(xiǎn)處置后遺留的風(fēng)險(xiǎn)。3.1.14系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別狀態(tài)的發(fā)生，它可能是對(duì)安全策略的違反或防護(hù)措施的失效，或未預(yù)知的不安全狀況。3.1.15可用性availability數(shù)據(jù)或資源的特性，被授權(quán)實(shí)體按要求能訪問和使用數(shù)據(jù)或資源。3.1.16完整性integrity保證信息及信息系統(tǒng)不會(huì)被非授權(quán)更改或破壞的特性。[來源：GB/T20984—23.1.17數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給非授權(quán)的個(gè)人、過程或其他實(shí)體的程度。3.1.18區(qū)域zone共享相同信息安全要求的邏輯資產(chǎn)或物理資產(chǎn)的集合。3.1.193.1.20獨(dú)立審查和記錄檢查，以確保遵守既定的政策和操作程序，并建議必要的控制變更。3.1.21訪問控制accesscontrol保護(hù)系統(tǒng)資源防止未經(jīng)授權(quán)的訪問；系統(tǒng)資源使用的過程是根據(jù)安全策略規(guī)定的，并且根據(jù)該策略4GB/T41260—20223.1.22身份所聲明特征正確性的保證行為。3.1.23依據(jù)安全策略可以執(zhí)行某項(xiàng)操作的用戶。APT:高級(jí)持續(xù)性威脅(AdvancedPersistentThreat)CAD:計(jì)算機(jī)輔助設(shè)計(jì)(ComputerAidedDesign)CAE:計(jì)算機(jī)輔助工程(ComputerAidedEngineering)CNC:數(shù)控系統(tǒng)(ComputerNumericalControl)DCS:分布式控制系統(tǒng)(DistributedControlSystem)DDoS:分布式拒絕服務(wù)(DistributedDenialofService)DMZ:非軍事區(qū)(DemilitarizedZone)DNC:分布式數(shù)控(DistributedNumericalControl)DoS:拒絕服務(wù)攻擊(DenialofService)ERP:企業(yè)資源計(jì)劃(EnterpriseResourcePlanning)ESD:緊急停車系統(tǒng)(EmergencyShutdownDevice)FMS:柔性制造系統(tǒng)(FlexibleManufacturingSystem)MES:制造執(zhí)行系統(tǒng)(ManufacturingExecutionSystem)PLC:可編程邏輯控制器(ProgrammableLogicController)PLM:產(chǎn)品生命周期管理(ProductLifecycleManagement)RFID:無線射頻識(shí)別(RadioFrequencyIdentification)SIS:安全儀表系統(tǒng)(SafetyInstrumentedSystem)VLAN:虛擬本地網(wǎng)(VirtualLocalAreaNetwork)4數(shù)字化車間信息安全總則數(shù)字化車間的基礎(chǔ)層包括了數(shù)字化車間生產(chǎn)制造所必需的各種制造設(shè)備及生產(chǎn)資源，其中制造設(shè)RFID等技術(shù)進(jìn)行標(biāo)識(shí)，參與生產(chǎn)過程并通過其數(shù)字化標(biāo)識(shí)與系統(tǒng)進(jìn)行自動(dòng)或半自動(dòng)交互。5GB/T41260—2022這里基礎(chǔ)層通?？梢约?xì)分為兩層：感知控制層與監(jiān)控層。數(shù)字化車間的執(zhí)行層主要包括車間計(jì)劃與調(diào)度、生產(chǎn)物流管理、工藝執(zhí)行與管理、生產(chǎn)過程質(zhì)量管程的數(shù)字化、精益化及透明化。由于數(shù)字化工藝是生產(chǎn)執(zhí)行的重要源頭，對(duì)于部分中小企業(yè)沒有獨(dú)立的產(chǎn)品設(shè)計(jì)和工藝管理情況，可在數(shù)字化車間中建設(shè)工藝設(shè)計(jì)系統(tǒng)，為制造運(yùn)行管理提供數(shù)字化工藝信息。以MES系統(tǒng)為代表的面向車間執(zhí)行層的生產(chǎn)信息化管理系統(tǒng)，該系統(tǒng)會(huì)進(jìn)行數(shù)據(jù)采集、生產(chǎn)調(diào)數(shù)字化車間的管理層以ERP為代表的企業(yè)資源管理，負(fù)責(zé)企業(yè)訂單的接收，人力、工資等信息的管數(shù)字化車間以物理車間為基礎(chǔ)，物理車間的資產(chǎn)屬于數(shù)字化車間的一部分，不在物理車間內(nèi)部但是通過網(wǎng)絡(luò)等方式連接的設(shè)備/系統(tǒng)仍然作為數(shù)字化車間的一部分，如MES系統(tǒng)使用的服務(wù)器可能放置于專門的機(jī)房，車間與機(jī)房通過光纖方式進(jìn)行連接通信。因此，數(shù)字化車間信息安全的范圍包括基礎(chǔ)層和執(zhí)行層全部與信息安全相關(guān)的系統(tǒng)/活動(dòng)。數(shù)字化車間信息安全保護(hù)的對(duì)象包括數(shù)字化車間的物理資產(chǎn)、邏輯資產(chǎn)(如工藝配方等)。企業(yè)信車間信制造設(shè)備息交瓦執(zhí)行層基礎(chǔ)層工藝“數(shù)字化車間/智能工廠可選功能。圖1數(shù)字化車間信息安全范圍(實(shí)線部分)4.2數(shù)字化車間信息安全基本要求信息安全措施應(yīng)有利于增強(qiáng)安全相關(guān)系統(tǒng)對(duì)內(nèi)部攻擊、外部攻擊和誤操作的防御。信息安全措施不應(yīng)對(duì)生產(chǎn)緊急事件處理產(chǎn)生妨礙，或者雖有影響但經(jīng)過充分評(píng)估后可以實(shí)施。4.2.2保障連續(xù)生產(chǎn)要求信息安全技術(shù)措施不應(yīng)對(duì)自動(dòng)化控制裝備的通訊端口、控制網(wǎng)絡(luò)產(chǎn)生連續(xù)或階段性的網(wǎng)絡(luò)沖擊對(duì)6GB/T41260—2022控制實(shí)時(shí)性和連續(xù)性的不利影響應(yīng)控制在允許范圍。對(duì)控制設(shè)備和操作站點(diǎn)采取信息安全技術(shù)措施前，應(yīng)充分測(cè)試和驗(yàn)證該技術(shù)措施是否影響控制設(shè)備和工業(yè)軟件的運(yùn)行。4.2.3不影響控制裝備互聯(lián)互通要求采取信息安全管理和技術(shù)措施前應(yīng)考慮到事實(shí)上多種工業(yè)控制協(xié)議設(shè)備間的互聯(lián)互通，對(duì)于采用私有協(xié)議或國際現(xiàn)場(chǎng)總線標(biāo)準(zhǔn)的控制和通訊設(shè)備可考慮采取網(wǎng)段隔離等措施，不宜更改相關(guān)通訊標(biāo)準(zhǔn)協(xié)議。統(tǒng)架構(gòu)和技術(shù)情況，采用適宜的安全防護(hù)措施/補(bǔ)償對(duì)抗措施。4.2.5動(dòng)態(tài)性要求應(yīng)考慮數(shù)字化車間全生命周期內(nèi)風(fēng)險(xiǎn)與信息安全需求的變化，及時(shí)采取相應(yīng)措施。4.2.6內(nèi)生安全與縱深防御相結(jié)合要求應(yīng)結(jié)合內(nèi)生安全技術(shù)與多層次縱深防御措施來有效保障信息安全，宜優(yōu)先采用具備內(nèi)生安全技術(shù)的控制裝備，從而抵御相關(guān)技術(shù)和管理措施失效或過失情況下的風(fēng)險(xiǎn)。4.2.7管理和技術(shù)相結(jié)合要求數(shù)字化車間的信息安全應(yīng)綜合考慮管理和技術(shù)措施，技術(shù)措施應(yīng)通過必要的管理措施來保障落實(shí)和執(zhí)行。4.3數(shù)字化車間信息安全分析流程如圖2所示，對(duì)于一個(gè)數(shù)字化車間在建設(shè)階段應(yīng)充分考慮安全需求，安全需求的前提是基于目標(biāo)對(duì)象的確定，進(jìn)而進(jìn)行必要的危險(xiǎn)和風(fēng)險(xiǎn)分析之后得出的，對(duì)于安全需求要進(jìn)行評(píng)估，進(jìn)而制定安全策略和安全措施，在數(shù)字化車間實(shí)際投入運(yùn)行之前應(yīng)對(duì)安全措施進(jìn)行評(píng)估和確認(rèn)。當(dāng)數(shù)字化車間進(jìn)入運(yùn)行維護(hù)階段，應(yīng)定期和根據(jù)實(shí)際需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)評(píng)估結(jié)果通過修改、加強(qiáng)、增加安全措施來應(yīng)對(duì)風(fēng)險(xiǎn)變化導(dǎo)致的安全能力下降，其中安全措施包括管理措施和技術(shù)手段。數(shù)字化車間的常見威脅和風(fēng)險(xiǎn)點(diǎn)見附錄A,實(shí)際的分析處理過程見附錄B。數(shù)字化車間信息安全能力由管理措施、技術(shù)手段各方面因素綜合決定，具體要求見第5章、第6章。7GB/T41260—2022概念概念月標(biāo)與對(duì)象危險(xiǎn)和風(fēng)險(xiǎn)分析信息安全需求安全需求評(píng)估安全策略安全實(shí)施安全確認(rèn)運(yùn)行和維護(hù)停用安企變化風(fēng)險(xiǎn)評(píng)佔(zhàn)安企加固管理增強(qiáng)數(shù)字化車間建設(shè)階段變更返回適當(dāng)階段運(yùn)行維護(hù)圖2數(shù)字化車間信息安全分析流程5數(shù)字化車間信息安全管理要求5.1概述程方法實(shí)現(xiàn)數(shù)字化車間的正常運(yùn)行，并采取有效的措施評(píng)估、分析和改進(jìn)，以滿足數(shù)字化車間信息安全管理的要求。5.2信息安全管理制度在數(shù)字化車間信息安全管理制度的制定中應(yīng)：a)按照信息安全管理方針和策略，制定數(shù)字化車間的信息安全工作原則與目標(biāo)；b)對(duì)數(shù)字化車間的安全管理活動(dòng)建立相應(yīng)的信息安全管理制度；c)對(duì)管理人員和操作人員執(zhí)行的日常信息安全管理操作建立操作規(guī)程或者作業(yè)指導(dǎo)書；5.3信息安全管理崗位與職責(zé)應(yīng)通過清晰的崗位設(shè)置、明確的信息安全職責(zé)劃分，支持?jǐn)?shù)字化車間的信息安全管理。a)設(shè)立數(shù)字化車間的信息安全管理崗位，并明確定義崗位職責(zé)。b)各崗位應(yīng)配備相應(yīng)的管理人員，并應(yīng)明確定義各級(jí)人員的職責(zé)。c)關(guān)鍵崗位應(yīng)配備多人共同管理。d)信息安全管理的角色和職責(zé)應(yīng)落實(shí)到具體的責(zé)任人、管理者、具體的工位、具體的單元操作等。8GB/T41260—20225.4人員管理5.4.1人員錄用與離職管理在數(shù)字化車間的人員錄用與離職管理中應(yīng)：a)對(duì)被錄用關(guān)鍵崗位信息安全管理人員的身份背景、資質(zhì)等進(jìn)行審查；b)及時(shí)終止離職信息安全管理人員的所有訪問權(quán)限，更換相應(yīng)訪問密碼，收回所授予的各種身份證件、鑰匙以及組織提供的軟硬件設(shè)備等。應(yīng)通過以下方式，確保所有被賦予信息安全管理職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力：a)確定從事數(shù)字化車間信息安全管理工作的人員所必要的能力；b)對(duì)各類人員進(jìn)行信息安全意識(shí)教育和崗位技能培訓(xùn)，或采取其他措施(如聘用有能力的人員)以滿足這些能力需求；并告知相關(guān)的安全責(zé)任和懲戒措施；c)對(duì)關(guān)鍵崗位的人員進(jìn)行信息安全技能考核；d)評(píng)價(jià)所采取措施的有效性；5.4.3外部人員訪問管理在數(shù)字化車間的外部人員訪問管理中應(yīng)：a)確保外部人員在進(jìn)入物理訪問受控區(qū)域前提出書面申請(qǐng)，批準(zhǔn)后由專人全程陪同，并登記b)確保在外部人員接入網(wǎng)絡(luò)訪問系統(tǒng)前提出書面申請(qǐng)，批準(zhǔn)后由專人開設(shè)賬號(hào)、分配權(quán)限，并登記備案；c)在外部人員離場(chǎng)后及時(shí)清除其所有的訪問權(quán)限。5.5風(fēng)險(xiǎn)管理對(duì)數(shù)字化車間的風(fēng)險(xiǎn)管理控制目標(biāo)和控制措施應(yīng)加以選擇和實(shí)施，以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過程中所識(shí)別的要求。這種選擇應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則以及法律法規(guī)的要求。組織宜獲得管理者對(duì)殘余風(fēng)險(xiǎn)的批準(zhǔn)。險(xiǎn)評(píng)估：a)確定風(fēng)險(xiǎn)評(píng)估方法、制定接受風(fēng)險(xiǎn)的準(zhǔn)則和識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別；b)定期識(shí)別各類風(fēng)險(xiǎn)，如通過連網(wǎng)設(shè)備識(shí)別風(fēng)險(xiǎn)時(shí)應(yīng)有相應(yīng)流程或資產(chǎn)面臨的危險(xiǎn)和可能被威脅利用的脆弱性等；c)定期分析和評(píng)價(jià)各類風(fēng)險(xiǎn)，包括評(píng)價(jià)安全失效可能對(duì)組織造成的影響等；d)確定可選措施以消除風(fēng)險(xiǎn)或避免風(fēng)險(xiǎn)等；e)在組織的方針策略和可接受風(fēng)險(xiǎn)的準(zhǔn)則條件下，主動(dòng)、客觀地接受風(fēng)險(xiǎn)。9GB/T41260—20225.5.3風(fēng)險(xiǎn)處置在數(shù)字化車間的風(fēng)險(xiǎn)處置中應(yīng)：a)為管理數(shù)字化車間信息安全風(fēng)險(xiǎn)制定處置計(jì)劃，該計(jì)劃應(yīng)包含適當(dāng)?shù)墓芾泶胧①Y源、職責(zé)和優(yōu)先順序等；b)實(shí)施風(fēng)險(xiǎn)處置計(jì)劃達(dá)到已識(shí)別的控制目標(biāo)，包括資金安排、角色和職責(zé)的分配；c)實(shí)施所選擇的控制措施滿足控制目標(biāo)；d)確定如何測(cè)量所選擇的控制措施或控制措施實(shí)際的有效性，并指明如何運(yùn)用這些測(cè)量措施來評(píng)估控制措施的有效性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果；e)管理數(shù)字化車間信息安全相關(guān)的資源；f)實(shí)施能夠迅速檢測(cè)安全事件和響應(yīng)安全事件的規(guī)程和其他控制措施。5.6物理訪問控制管理物理訪問控制基本要求應(yīng)包括但不限于：a)對(duì)數(shù)字化車間出入口進(jìn)出的人員進(jìn)行控制、鑒別和記錄；b)對(duì)數(shù)字化車間劃分區(qū)域進(jìn)行管理，必要時(shí)，區(qū)域和區(qū)域之間應(yīng)物理隔離；c)全程陪同對(duì)受控區(qū)域訪問的外部人員；d)限制外部人員攜帶可能導(dǎo)致泄密的電子設(shè)備或其他物品如手機(jī)、相機(jī)、電子記錄儀等；e)制定規(guī)章制度限制內(nèi)部人員攜帶可能導(dǎo)致泄密的物品；f)對(duì)重要區(qū)域進(jìn)行視頻監(jiān)控。5.7運(yùn)維安全管理在數(shù)字化車間的運(yùn)維安全管理中應(yīng)：a)制定并發(fā)布數(shù)字化車間安全運(yùn)維規(guī)程，定期對(duì)安全運(yùn)維規(guī)程進(jìn)行評(píng)審和更新；b)根據(jù)廠商或供應(yīng)商的規(guī)格說明以及組織的要求，對(duì)數(shù)字化車間設(shè)備和系統(tǒng)的運(yùn)維進(jìn)行規(guī)劃、實(shí)c)審批和監(jiān)視所有運(yùn)維行為，不論被維護(hù)對(duì)象是在現(xiàn)場(chǎng)還是被轉(zhuǎn)移到其他位置；d)在對(duì)系統(tǒng)或組件維護(hù)或修理后，檢查所有可能受影響的安全控制措施以確認(rèn)其仍能正常發(fā)揮功能；e)數(shù)字化車間設(shè)備或系統(tǒng)的第三方運(yùn)維商承諾未經(jīng)用戶同意不得采集用戶相關(guān)信息、不得遠(yuǎn)程控制用戶設(shè)備或系統(tǒng)；f)如果采用遠(yuǎn)程運(yùn)維的方式，組織根據(jù)產(chǎn)品的運(yùn)維需求，為遠(yuǎn)程控制端口設(shè)置控制權(quán)限和控制時(shí)間窗；在遠(yuǎn)程維護(hù)完成后，組織安排專人立即關(guān)閉為遠(yuǎn)程維護(hù)需求開放的權(quán)限設(shè)置；h)能夠?qū)λ羞\(yùn)維操作記錄進(jìn)行安全審計(jì)，審計(jì)記錄應(yīng)定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；i)定期開展風(fēng)險(xiǎn)評(píng)估，對(duì)識(shí)別和發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)。5.8監(jiān)視和評(píng)審信息安全管理的有效性在監(jiān)視和評(píng)審數(shù)字化車間信息安全管理的有效性時(shí)應(yīng)：a)執(zhí)行監(jiān)視評(píng)審規(guī)程和其他控制措施：GB/T41260—2022·迅速檢測(cè)過程運(yùn)行結(jié)果中的錯(cuò)誤；·迅速識(shí)別即將發(fā)生的和已發(fā)生的安全違規(guī)和事件；·幫助管理者確定分配給人員的安全活動(dòng)或通過信息技術(shù)實(shí)施的安全活動(dòng)是否按期望執(zhí)行；·幫助檢測(cè)并預(yù)防安全事件；·確定安全違規(guī)的解決措施是否有效。b)在考慮安全事件、有效性測(cè)量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，進(jìn)行信息安全管理有效性的定期評(píng)審(包括滿足信息安全管理方針和目標(biāo)，以及安全控制措施的評(píng)審);c)測(cè)量控制措施的有效性以驗(yàn)證安全要求是否被滿足；d)按照計(jì)劃時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審，以及對(duì)殘余風(fēng)險(xiǎn)和已確定的可接受風(fēng)險(xiǎn)及級(jí)別進(jìn)行·數(shù)字化車間升級(jí)或更新；·業(yè)務(wù)目標(biāo)和過程；·已實(shí)施的控制措施的有效性；·外部事態(tài)，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會(huì)環(huán)境的變更。e)考慮監(jiān)視評(píng)審活動(dòng)的結(jié)果，以更新安全計(jì)劃；f)記錄可能影響數(shù)字化車間信息安全的有效性或執(zhí)行情況的措施和事態(tài)。在保持和改進(jìn)數(shù)字化車間信息安全管理時(shí)應(yīng)：a)實(shí)施易識(shí)別的信息安全管理改進(jìn)措施；b)采取糾正和預(yù)防措施，從其他組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)；c)向所有相關(guān)方溝通糾正和預(yù)防措施、改進(jìn)情況，其詳細(xì)程度與環(huán)境相適應(yīng)，需要時(shí)商定如何進(jìn)行；d)確保改進(jìn)達(dá)到了預(yù)期目標(biāo)。6數(shù)字化車間信息安全技術(shù)要求字化車間信息安全技術(shù)要求的基本要素，具體為：a)區(qū)域劃分與邊界防護(hù)應(yīng)從企業(yè)和數(shù)字化車間系統(tǒng)整體角度來考慮信息安全，通過區(qū)域劃分和邊界防護(hù)來實(shí)現(xiàn)縱深防御，保障數(shù)字化車間生產(chǎn)系統(tǒng)受到攻擊時(shí)不擴(kuò)散到另外的區(qū)域。b)身份鑒別與認(rèn)證應(yīng)防止未經(jīng)授權(quán)的訪問，如用戶名與密碼形式的身份鑒別與認(rèn)證。c)使用控制化車間生產(chǎn)系統(tǒng)的操作與使用不得超過其所分配的權(quán)限。GB/T41260—2022d)資源控制e)數(shù)據(jù)安全f)安全審計(jì)本文件中規(guī)定的安全要求是實(shí)現(xiàn)數(shù)字化車間信息安全能力的基本要求。如果需要更高的要求，應(yīng)符合附錄C的規(guī)定。在數(shù)字化車間感知控制層對(duì)區(qū)域劃分與邊界防護(hù)的基本要求為：a)感知控制層宜和對(duì)應(yīng)的監(jiān)控層劃分為同一區(qū)域；b)如有必要感知控制層內(nèi)宜可劃分多個(gè)子區(qū)域；c)如有必要在感知控制層和對(duì)應(yīng)監(jiān)控層之間可設(shè)置邊界，運(yùn)用安全審計(jì)等非阻斷型策略；界應(yīng)滿足邊界防護(hù)的基本要求；e)如有物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)與感知控制層有線網(wǎng)絡(luò)相連，物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)應(yīng)作為各自f)如感知控制層直接與云相連，應(yīng)按照縱深防御的原則整體進(jìn)行邊界防護(hù)。對(duì)于設(shè)備直接上云的情況應(yīng)優(yōu)先配置設(shè)備的邊界防護(hù)，如果設(shè)備的邊界防護(hù)能力不足，應(yīng)在云端做虛擬邊界在數(shù)字化車間監(jiān)控層對(duì)區(qū)域劃分與邊界防護(hù)的基本要求為：a)監(jiān)控層宜和對(duì)應(yīng)的感知控制層劃分為同一區(qū)域，此區(qū)域在與其他區(qū)域相連時(shí)應(yīng)做好邊界防護(hù)；b)如有必要監(jiān)控層內(nèi)宜可劃分多個(gè)子區(qū)域；邊界防護(hù)的基本要求；通用網(wǎng)絡(luò)服務(wù)；e)如有物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)與監(jiān)控層有線網(wǎng)絡(luò)相連，物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)應(yīng)作為各自獨(dú)立f)如監(jiān)控層直接與云相連，應(yīng)按照縱深防御的原則整體進(jìn)行邊界防護(hù)。對(duì)于邊緣終端直接上云邊界防護(hù)。在數(shù)字化車間執(zhí)行層對(duì)區(qū)域劃分與邊界防護(hù)的基本要求為：GB/T41260—2022a)執(zhí)行層應(yīng)整體作為一個(gè)區(qū)域；b)執(zhí)行層與管理層可為不同區(qū)域，在執(zhí)行層和管理層之間應(yīng)滿足邊界防護(hù)基本要求；可設(shè)置網(wǎng)絡(luò)隔離設(shè)備，禁止管理層未經(jīng)協(xié)議轉(zhuǎn)換直接訪問執(zhí)行層；c)如有物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)與執(zhí)行層相連，物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)應(yīng)作為各自獨(dú)立的區(qū)域，在與執(zhí)行層之間設(shè)置邊界防護(hù)；d)如執(zhí)行層直接與云相連，應(yīng)按照縱深防御的原則整體進(jìn)行邊界防護(hù)，同時(shí)云端應(yīng)做必要的虛擬邊界防護(hù)。6.3身份鑒別與認(rèn)證6.3.1感知控制層基本要求在數(shù)字化車間感知控制層對(duì)身份鑒別與認(rèn)證的基本要求為：a)應(yīng)保證登錄、操作與維護(hù)系統(tǒng)人員為可信人員，防止出現(xiàn)非相關(guān)人員的訪問，影響設(shè)備或系統(tǒng)安全運(yùn)行；b)系統(tǒng)應(yīng)保證外部登錄的設(shè)備為可信設(shè)備，禁止任何不可信設(shè)備的接入；c)系統(tǒng)內(nèi)部設(shè)備連接外部網(wǎng)絡(luò)時(shí)，應(yīng)經(jīng)過上網(wǎng)認(rèn)證；d)系統(tǒng)應(yīng)具備記錄連接事件的功能，以保證所有的連接均可查詢；e)如果該層使用了遠(yuǎn)程訪問，系統(tǒng)應(yīng)具備對(duì)遠(yuǎn)程訪問設(shè)備身份鑒別的能力。6.3.2監(jiān)控層基本要求在數(shù)字化車間監(jiān)控層對(duì)身份鑒別與認(rèn)證的基本要求為：a)應(yīng)保證登錄、操作與維護(hù)系統(tǒng)人員為可信人員，防止出現(xiàn)非相關(guān)人員的訪問，影響設(shè)備或系統(tǒng)安全運(yùn)行；b)系統(tǒng)應(yīng)提供訪問用戶身份鑒別和認(rèn)證的能力；c)對(duì)于使用口令鑒別機(jī)制的生產(chǎn)系統(tǒng)，口令應(yīng)具有一定的復(fù)雜性，且需在多次嘗試密碼失敗后，延長重新輸入密碼等待時(shí)間；d)系統(tǒng)內(nèi)部設(shè)備連接外部網(wǎng)絡(luò)時(shí)，應(yīng)經(jīng)過上網(wǎng)認(rèn)證；e)系統(tǒng)應(yīng)具備訪問記錄與事件記錄功能；f)如果使用了無線網(wǎng)絡(luò)，無線系統(tǒng)應(yīng)具備識(shí)別接入設(shè)備并阻止未經(jīng)授權(quán)設(shè)備接入的能力。6.3.3執(zhí)行層基本要求在數(shù)字化車間執(zhí)行層對(duì)身份鑒別與認(rèn)證的基本要求為：a)系統(tǒng)應(yīng)具備對(duì)操作人員身份鑒別的能力；b)使用口令鑒別機(jī)制的系統(tǒng)，口令應(yīng)具有一定的復(fù)雜性；c)系統(tǒng)應(yīng)具備訪問記錄與事件記錄功能。6.4使用控制6.4.1感知控制層基本要求在數(shù)字化車間感知控制層對(duì)使用控制的基本要求為：a)數(shù)字化車間各區(qū)域間應(yīng)具有相互訪問控制的能力，保證不同區(qū)域之間存在隔離，如通過b)系統(tǒng)應(yīng)具備可配置的使用限制能力，對(duì)內(nèi)部所有可能會(huì)被外部接入的接口進(jìn)行接入限制管理，GB/T41260—2022如現(xiàn)場(chǎng)交換機(jī)的網(wǎng)口，現(xiàn)場(chǎng)工控機(jī)的USB口、網(wǎng)口等，以防止非授權(quán)設(shè)備的接c)系統(tǒng)應(yīng)具備限制非必要通訊端口、協(xié)議和服務(wù)的能力；d)系統(tǒng)應(yīng)具備限制不同區(qū)域操作或維護(hù)人員訪問權(quán)限的能力；e)系統(tǒng)同一區(qū)域應(yīng)實(shí)現(xiàn)對(duì)不同操作或維護(hù)人員實(shí)行不同控制權(quán)限的能力；f)如果使用了無線網(wǎng)絡(luò)，無線系統(tǒng)應(yīng)具備識(shí)別接入設(shè)備并阻止未經(jīng)授權(quán)設(shè)備接入的能力；g)如果使用了無線網(wǎng)絡(luò)，工廠應(yīng)保證使用的無線信道在此無線覆蓋區(qū)域未曾被占用。6.4.2監(jiān)控層基本要求在數(shù)字化車間監(jiān)控層對(duì)使用控制的基本要求為：a)系統(tǒng)應(yīng)具備可配置的使用限制能力，防止非授權(quán)設(shè)備的接入；b)系統(tǒng)應(yīng)具有為不同授權(quán)用戶提供不同權(quán)限的能力，以支持職責(zé)分離和最小權(quán)限；c)系統(tǒng)應(yīng)提供對(duì)第三方未經(jīng)兼容性測(cè)試的可能造成生產(chǎn)系統(tǒng)損害的應(yīng)用程序或移動(dòng)代碼執(zhí)行使用限制的能力；d)應(yīng)及時(shí)為數(shù)字化車間采取補(bǔ)丁升級(jí)措施，在安裝前應(yīng)對(duì)補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證；e)數(shù)字化車間的遠(yuǎn)程訪問端口應(yīng)具有訪問控制措施，對(duì)從發(fā)起方的訪問進(jìn)行源地址、目的地址、源端口、目的端口和協(xié)議等項(xiàng)目的控制。6.5資源控制6.5.1感知控制層基本要求在數(shù)字化車間感知控制層對(duì)資源控制的基本要求為：a)應(yīng)通過設(shè)定設(shè)備接入方式、網(wǎng)絡(luò)地址范圍等條件限制設(shè)備接入該層網(wǎng)絡(luò)；b)網(wǎng)絡(luò)化的感知控制設(shè)備應(yīng)提供能力：在DoS事件時(shí)能切換到降級(jí)模式下繼續(xù)運(yùn)行；c)應(yīng)能夠監(jiān)視接入該層網(wǎng)絡(luò)的感知控制設(shè)備的網(wǎng)絡(luò)負(fù)荷、流量、連接數(shù)、會(huì)話數(shù)等網(wǎng)絡(luò)資源信息；應(yīng)支持根據(jù)安全策略要求對(duì)感知控制設(shè)備端允許通過的數(shù)據(jù)流量、支持的連接數(shù)、會(huì)話數(shù)進(jìn)行d)應(yīng)能夠監(jiān)視接入該層網(wǎng)絡(luò)的感知控制設(shè)備及相關(guān)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)，例如設(shè)備的CPU負(fù)e)感知控制設(shè)備應(yīng)對(duì)存儲(chǔ)于內(nèi)存中的配置信息、控制程序、數(shù)據(jù)進(jìn)行監(jiān)控，在系統(tǒng)運(yùn)行時(shí)應(yīng)限制對(duì)感知控制設(shè)備的關(guān)鍵數(shù)據(jù)(包括控制程序代碼、組態(tài)配置信息等)的訪問；f)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備應(yīng)提供能力：限制信息安全功能的資源使用，以防止資源耗盡；g)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備應(yīng)在不影響正常設(shè)備使用的前提下，提供關(guān)鍵文件的識(shí)別和定位，以及用戶級(jí)和系統(tǒng)級(jí)的信息備份(包括系統(tǒng)狀態(tài)信息)的能力，且能驗(yàn)證備份機(jī)制的可靠性；h)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備在受到破壞或發(fā)生失效后，應(yīng)提供能力：恢復(fù)和重構(gòu)設(shè)備到一個(gè)已知的安全狀態(tài)；i)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備應(yīng)提供應(yīng)急電源切換能力，切換不影響設(shè)備的運(yùn)行狀態(tài)；j)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備應(yīng)提供禁用無用功能、端口、協(xié)議和服務(wù)的能力；k)該層網(wǎng)絡(luò)應(yīng)能識(shí)別并支持指示所有連接的設(shè)備。6.5.2監(jiān)控層基本要求在數(shù)字化車間監(jiān)控層對(duì)資源控制的基本要求為：GB/T41260—2022a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端及設(shè)備接入該層網(wǎng)絡(luò)；b)應(yīng)支持根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；c)該層邊界處應(yīng)提供檢測(cè)DoS事件的能力；d)該層邊界處應(yīng)支持根據(jù)安全策略要求對(duì)允許訪問主機(jī)、服務(wù)器和感知控制設(shè)備端的協(xié)議、端e)接入監(jiān)控層的感知控制設(shè)備應(yīng)提供能力：在DoS事件時(shí)能切換到降級(jí)模式下繼續(xù)運(yùn)行；會(huì)話響應(yīng)時(shí)間等網(wǎng)絡(luò)資源信息；位，以及用戶級(jí)和系統(tǒng)級(jí)的信息備份(包括系統(tǒng)狀態(tài)信息)的能力，且能驗(yàn)證備份機(jī)制的可n)通過HMI接口應(yīng)能獲取并指示所有網(wǎng)絡(luò)化的感知控制設(shè)備、主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備及其特在數(shù)字化車間執(zhí)行層對(duì)資源控制的基本要求為：a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端及設(shè)備接入該層網(wǎng)絡(luò)；b)應(yīng)支持根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；c)該層邊界處應(yīng)提供檢測(cè)DoS事件的能力；位，以及用戶級(jí)和系統(tǒng)級(jí)的信息備份(包括系統(tǒng)狀態(tài)信息)的能力，且能驗(yàn)證備份機(jī)制的可j)通過HMI接口應(yīng)能獲取并指示所有網(wǎng)絡(luò)化的感知控制設(shè)備、主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備及其特GB/T41260—20226.6數(shù)據(jù)安全連接在系統(tǒng)中的感知控制層設(shè)備應(yīng)滿足系統(tǒng)對(duì)數(shù)據(jù)安全的可用性、完整性和保密性的基本要求，包括：a)應(yīng)提供多層的獨(dú)立防護(hù)，來確保數(shù)據(jù)的安全性，從而保障系統(tǒng)安全；b)應(yīng)通過物理訪問保護(hù)機(jī)制，如控制器的訪問等級(jí)功能、防護(hù)門的鑰匙鎖、帶讀卡器和PIN的防c)應(yīng)通過硬件的信息安全解決方案：如控制器的防拷貝功能、程序保護(hù)技術(shù)、網(wǎng)絡(luò)分段的防火墻d)應(yīng)通過流程和指令實(shí)現(xiàn)數(shù)據(jù)安全，如對(duì)員工的安全培訓(xùn)教育、設(shè)置U盤訪問的白名單規(guī)則、關(guān)鍵動(dòng)作的雙重批準(zhǔn)等；e)應(yīng)通過安全服務(wù)保障生產(chǎn)設(shè)備的數(shù)據(jù)安全，如對(duì)系統(tǒng)進(jìn)行備份和恢復(fù)、安全的在線驗(yàn)證等；f)可通過安全通信機(jī)制。6.6.2監(jiān)控層基本要求連接在系統(tǒng)中的監(jiān)控層應(yīng)滿足系統(tǒng)對(duì)數(shù)據(jù)安全的可用性、完整性和保密性的基本要求，包括：a)應(yīng)通過隔離區(qū)DMZ進(jìn)行數(shù)據(jù)交換以加強(qiáng)防護(hù)效果，避免直接訪問自動(dòng)化網(wǎng)絡(luò)；b)通過互聯(lián)網(wǎng)或者移動(dòng)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問時(shí)應(yīng)進(jìn)行保護(hù)，防止工業(yè)間諜活動(dòng)和蓄謀的破壞；可通過對(duì)數(shù)據(jù)傳輸進(jìn)行加密，并通過安全模塊或者互聯(lián)網(wǎng)和移動(dòng)無線路由器進(jìn)行訪問控制；c)可通過環(huán)網(wǎng)增強(qiáng)網(wǎng)絡(luò)的可用性。連接在系統(tǒng)中的執(zhí)行層應(yīng)滿足系統(tǒng)對(duì)數(shù)據(jù)安全的可用性、完整性和保密性的基本要求，包括：a)連接在執(zhí)行層中的設(shè)備應(yīng)保證其操作系統(tǒng)、軟件和硬件具備對(duì)應(yīng)的安全性和健壯性，以抵御惡意軟件的攻擊或者人為破壞的造成的影響；b)應(yīng)通過設(shè)備和系統(tǒng)構(gòu)建信息安全網(wǎng)絡(luò)構(gòu)架；c)應(yīng)通過信息安全網(wǎng)絡(luò)構(gòu)建抵御非授權(quán)訪問的風(fēng)險(xiǎn)，實(shí)現(xiàn)訪問保護(hù)和加密的數(shù)據(jù)交換等。6.7安全審計(jì)關(guān)鍵生產(chǎn)系統(tǒng)中的重要軟/硬件設(shè)備應(yīng)具備日志存儲(chǔ)和防篡改的功能。6.7.2監(jiān)控層基本要求在數(shù)字化車間監(jiān)控層對(duì)安全審計(jì)的基本要求為：a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)；其他與審計(jì)相關(guān)的信息；GB/T41260—2022注1:安全審計(jì)可以是外部審計(jì)，也可以是內(nèi)部審計(jì)。在數(shù)字化車間執(zhí)行層對(duì)安全審計(jì)的基本要求為：用戶行為和重要安全事件進(jìn)行審計(jì)；其他與審計(jì)相關(guān)的信息；GB/T41260—2022(資料性)數(shù)字化車間的信息安全危險(xiǎn)既可能來自于數(shù)字化車間(數(shù)字化車間應(yīng)有明確的邊界)外部，也可能來自于數(shù)字化車間內(nèi)部。威脅來源歸結(jié)但不限于以下幾類：b)數(shù)字化車間系統(tǒng)支持的遠(yuǎn)程維護(hù)以及不規(guī)范的無線接入點(diǎn)；c)數(shù)字化車間內(nèi)設(shè)備訪問因特網(wǎng)或物聯(lián)網(wǎng)連接；f)人員誤操作。GB/T41260—2022(資料性)典型機(jī)械制造行業(yè)數(shù)字化車間信息安全示例B.1概述隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，通過網(wǎng)絡(luò)來進(jìn)行生產(chǎn)、管理成為制造業(yè)的趨勢(shì)，利用DNC技術(shù)進(jìn)行加工過程管控，已經(jīng)成為各制造企業(yè)的主流選擇。DNC不同于單臺(tái)機(jī)床與計(jì)算機(jī)的一對(duì)一連接，而是多臺(tái)機(jī)床組成網(wǎng)絡(luò)，編程人員在自己的計(jì)算機(jī)編制好加工程序(NC程序)后，通過網(wǎng)絡(luò)傳輸?shù)紻NC系統(tǒng)中，再由DNC系統(tǒng)傳輸?shù)綌?shù)控機(jī)床中或通過數(shù)控機(jī)床訪問DNC系統(tǒng)下載程序。目前部分單位已經(jīng)實(shí)現(xiàn)了以DNC系統(tǒng)為中心的生產(chǎn)工控系統(tǒng)網(wǎng)絡(luò)，通過DNC系統(tǒng)進(jìn)行NC程序的下載和上傳，實(shí)現(xiàn)生產(chǎn)的自動(dòng)化控制；同時(shí)通過CNC的采集系統(tǒng)對(duì)機(jī)床的實(shí)時(shí)狀態(tài)進(jìn)行采集，將采集數(shù)據(jù)上傳至DNC服務(wù)器，實(shí)現(xiàn)設(shè)備狀態(tài)的實(shí)時(shí)采集和匯總。這些變化大大提高了生產(chǎn)力，但同時(shí)也讓控制系統(tǒng)面臨新的風(fēng)險(xiǎn)與挑戰(zhàn)。如圖B.1所示。辦公及FRP網(wǎng)絡(luò)客戶端客戶端客戶端MES網(wǎng)絡(luò)DNC客戶端DNC客戶端D)NC客戶端數(shù)控設(shè)備網(wǎng)設(shè)備機(jī)床其他輸入機(jī)床機(jī)床觸摸屏機(jī)床設(shè)備圖B.1機(jī)械制造行業(yè)典型架構(gòu)根據(jù)安全防護(hù)需求分析，典型工程/數(shù)字化車間安全架構(gòu)如圖B.2所示。GB/T41260—2022企業(yè)防火墻企業(yè)防火墻Wel>服務(wù)器企業(yè)WLAN日錄管理服務(wù)器生產(chǎn)執(zhí)行管理系統(tǒng)服務(wù)器域控/防病毒/補(bǔ)工業(yè)網(wǎng)絡(luò)1PI.C線現(xiàn)場(chǎng)設(shè)備終端服務(wù)/歷史數(shù)據(jù)庫服務(wù)器鏡像企業(yè)網(wǎng)絡(luò)架構(gòu)工業(yè)企業(yè)DM[Z電子商務(wù)服務(wù)器工業(yè)網(wǎng)絡(luò)2現(xiàn)場(chǎng)設(shè)備企業(yè)網(wǎng)絡(luò)HMIHMIPLC圖B.2典型工程/數(shù)字化車間安全架構(gòu)B.2確定保護(hù)對(duì)象與目標(biāo)資產(chǎn)的可用性、完整性和保密性安全屬性，然后利用確定的算法將信息資產(chǎn)三個(gè)因素的價(jià)值綜合考慮，確定資產(chǎn)價(jià)值大小，從而最終確定要保護(hù)的關(guān)鍵資產(chǎn)如下：a)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備；B.3風(fēng)險(xiǎn)分析與處置B.3.1威脅識(shí)別對(duì)車間的威脅識(shí)別包括：a)車間管理網(wǎng)絡(luò)與控制網(wǎng)絡(luò)互聯(lián)互通，上層管理網(wǎng)絡(luò)受到的威脅與攻擊可能滲透擴(kuò)展到控制b)車間不同控制單元間沒有進(jìn)行網(wǎng)絡(luò)劃分與隔離，局部感染可能會(huì)影響到全局；c)車間控制系統(tǒng)遠(yuǎn)程維護(hù)缺少有效管控手段，可能會(huì)造成生產(chǎn)數(shù)據(jù)的信息泄密或者破壞；d)USB設(shè)備、移動(dòng)硬盤等使用無有效管控手段；e)車間工控設(shè)備、主機(jī)可能遭受惡意代碼及病毒攻擊，未對(duì)操作站主機(jī)或者工控設(shè)備進(jìn)行必要的f)對(duì)關(guān)鍵生產(chǎn)工藝數(shù)據(jù)、工藝配方進(jìn)行竊取或破壞。GB/T41260—2022B.3.2脆弱性識(shí)別對(duì)車間的脆弱性識(shí)別包括：a)工控設(shè)備因自身安全性設(shè)計(jì)方面存在不足，導(dǎo)致其具有可自主修改權(quán)限低、安全性差；b)數(shù)字化車間設(shè)備所使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用軟件存在漏洞等；c)數(shù)字化車間網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)、配置存在缺陷；d)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)交換設(shè)備的鏈路層安全策略配置不全，通過網(wǎng)絡(luò)進(jìn)行惡意攻擊如MAC洪泛B.3.3安全風(fēng)險(xiǎn)處置基于威脅和脆弱性識(shí)別以及威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性分析，并對(duì)當(dāng)前已有安全措施確認(rèn)后，綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響，確定需要處置的安全風(fēng)險(xiǎn)如下：a)從縱向上來看，控制網(wǎng)絡(luò)可能會(huì)遭受來自辦公管理網(wǎng)絡(luò)的蠕蟲、病毒擴(kuò)散及其他攻擊；c)攻擊者可輕易的將攻擊機(jī)接入到網(wǎng)絡(luò)的某一端口，獲得與工控設(shè)備進(jìn)行通訊的權(quán)限，實(shí)施攻擊d)主機(jī)設(shè)備對(duì)于合法進(jìn)程無識(shí)別，對(duì)于病毒無防護(hù)，主機(jī)較容易感染病毒或啟動(dòng)非法進(jìn)程，比較容易遭受惡意代碼的攻擊；e)工控設(shè)備有的依然采用默認(rèn)口令或者弱口令；f)整個(gè)系統(tǒng)網(wǎng)絡(luò)沒有形成統(tǒng)一有效的安全監(jiān)控及審計(jì)體系，網(wǎng)絡(luò)中如果發(fā)生異常通訊或故障，無法及時(shí)識(shí)別并定位安全問題的源頭。B.4安全防護(hù)需求與安全策略B.4.1安全防護(hù)需求基于安全風(fēng)險(xiǎn)處置要求，結(jié)合業(yè)務(wù)現(xiàn)狀，安全需求主要體現(xiàn)在以下幾個(gè)方面：a)對(duì)車間網(wǎng)絡(luò)進(jìn)行安全域劃分并對(duì)安全域之間實(shí)行邊界防護(hù)，禁止沒有防護(hù)的控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接，安全域之間通過防火墻等安全設(shè)備進(jìn)行邏輯隔離；的安全使用和管理控制，降低自身威脅和整體風(fēng)險(xiǎn)性；c)在工業(yè)控制網(wǎng)絡(luò)平臺(tái)安全方面，如何保證指令在工控系統(tǒng)中傳輸時(shí)不被篡改、丟棄，提供良好d)在工控系統(tǒng)安全方面，如何保證系統(tǒng)不被病毒、木馬等惡意程序侵害，如何保證系統(tǒng)不被非授f)在協(xié)議安全方面，應(yīng)處理好工控設(shè)備與現(xiàn)代信息設(shè)備協(xié)議轉(zhuǎn)換和過程中數(shù)據(jù)傳輸?shù)尿?yàn)證等；g)在接入安全方面，解決工控網(wǎng)絡(luò)和工控設(shè)備的接入認(rèn)證問題，防止非法接入；h)從設(shè)備本身的安全角度看，由于設(shè)備的內(nèi)部結(jié)構(gòu)比較復(fù)雜、外部通用接口較多、內(nèi)部專有接口i)從設(shè)備工作環(huán)境看，由于大部分設(shè)備安放在比較開放的環(huán)境下，接觸人員包括公司員工、產(chǎn)品廠商/供應(yīng)商、協(xié)作配套等多類人群，對(duì)人員的識(shí)別應(yīng)采取有效的機(jī)制，達(dá)到有效的控制信息的知悉范圍；j)從數(shù)據(jù)管理角度看，由于現(xiàn)場(chǎng)操作人員過多的參與到數(shù)據(jù)存儲(chǔ)、刪除等處理活動(dòng)中，數(shù)據(jù)存儲(chǔ)題嚴(yán)重，而目前無論從管理手段還是從技術(shù)手段均不能完全滿足現(xiàn)有的管理的要求。B.4.2安全策略B.4.2.1管理措施有授權(quán)并有記錄；外部人員的訪問與網(wǎng)絡(luò)接入要有嚴(yán)格的審批與權(quán)限控制。B.4.2.2技術(shù)措施a)區(qū)域劃分與網(wǎng)絡(luò)防護(hù)1)區(qū)域劃分，將具備相同功能和安全要求的設(shè)備劃分在同一區(qū)域內(nèi)，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行重新設(shè)計(jì)規(guī)劃，不同的區(qū)域劃分不同的子網(wǎng)，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配2)在區(qū)域網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)安全隔離設(shè)備，分別管控流經(jīng)網(wǎng)絡(luò)邊界的數(shù)據(jù)流，安全策略配置數(shù)據(jù)單向通訊和端口級(jí)網(wǎng)絡(luò)防護(hù)策略，保證通訊的可靠性和傳輸方向的一致性。3)每個(gè)數(shù)控機(jī)床和數(shù)控設(shè)備網(wǎng)之間部署工業(yè)防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)區(qū)域隔離和通訊管控，工業(yè)防火墻具備工業(yè)環(huán)境適用性和OPC、ModBus等工業(yè)通訊協(xié)議的應(yīng)用層安全防護(hù)功能，可以針對(duì)協(xié)議本身進(jìn)行數(shù)據(jù)合法性檢查，保證數(shù)據(jù)通訊的可控性與可信度。同時(shí)工業(yè)防火墻還具備鏈路層數(shù)據(jù)幀檢查功能和ARP攻擊防護(hù)能力，可有效識(shí)別通訊設(shè)備IP和MAC是否合法，防止廣播風(fēng)暴和洪泛攻擊等對(duì)工控網(wǎng)絡(luò)的威脅。4)在網(wǎng)絡(luò)交換機(jī)等設(shè)備配置最小化的應(yīng)用安全策略，根據(jù)業(yè)務(wù)應(yīng)用需求劃分VLAN、關(guān)閉空閑端口，綁定端口接入主機(jī)信息(MAC、IP等),避免設(shè)備非法接入以及保證網(wǎng)絡(luò)接入的安全性。5)在網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng)，采取旁路監(jiān)聽模式，這樣既可以偵測(cè)網(wǎng)絡(luò)中是否存在入侵行為或異常通訊行為，如有異常情況則及時(shí)發(fā)送安全審計(jì)報(bào)警日志，又同時(shí)保證了工控網(wǎng)絡(luò)生產(chǎn)數(shù)據(jù)的正常傳遞不受影響。b)身份鑒別與認(rèn)證核查車間網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備、工控系統(tǒng)等默認(rèn)口令或弱口令，進(jìn)行整改并定期更新。c)使用控制1)在DNC系統(tǒng)中的計(jì)算機(jī)上采用基于可信計(jì)算技術(shù)的主機(jī)安全防護(hù)產(chǎn)品為工控系統(tǒng)主機(jī)提供白名單方式的軟件系統(tǒng)進(jìn)程管控，進(jìn)而實(shí)現(xiàn)對(duì)惡意代碼的防范，及時(shí)阻止或發(fā)現(xiàn)可疑進(jìn)程的啟動(dòng)，進(jìn)而為工控系統(tǒng)的主機(jī)構(gòu)建可信的進(jìn)程運(yùn)行環(huán)境。2)計(jì)算機(jī)上部署基于可信計(jì)算技術(shù)的移動(dòng)存儲(chǔ)介質(zhì)的管控及審計(jì)系統(tǒng)，實(shí)現(xiàn)主機(jī)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的身份認(rèn)證與準(zhǔn)入控制，管控移動(dòng)設(shè)備的使用。3)重要計(jì)算機(jī)上安裝訪問控制終端軟件，實(shí)現(xiàn)不同授權(quán)用戶對(duì)于主機(jī)系統(tǒng)中的程序和文件的使用權(quán)限的訪問控制及記錄。d)安全審計(jì)B.5安全確認(rèn)與評(píng)估根據(jù)實(shí)施的安全策略，確定驗(yàn)證和證實(shí)系統(tǒng)安全性的目標(biāo)并制定詳細(xì)的安全測(cè)試計(jì)劃，定義測(cè)試所GB/T41260—2022對(duì)系統(tǒng)安全性進(jìn)行檢測(cè)或證實(shí)，使用滲透測(cè)試工具、工控協(xié)議漏洞檢測(cè)設(shè)備、網(wǎng)絡(luò)分析系統(tǒng)等工具設(shè)備通過網(wǎng)絡(luò)對(duì)工控系統(tǒng)與設(shè)備進(jìn)行攻擊與網(wǎng)絡(luò)信息收集；使用病毒樣本、非法U盤等對(duì)主機(jī)系統(tǒng)與對(duì)檢測(cè)結(jié)果與檢測(cè)報(bào)告進(jìn)行分析，通過與安全需求對(duì)照，確定系統(tǒng)的安全性滿足車間的安全需求，安全策略得到正確有效的實(shí)施。B.6運(yùn)行與維護(hù)信息安全是一個(gè)長期持久的工作，車間的信息安全解決方案實(shí)施投入運(yùn)行后，需要建立一個(gè)長效的安全運(yùn)行機(jī)制，才能使車間的信息安全進(jìn)入持續(xù)改進(jìn)的良性循環(huán)。進(jìn)入運(yùn)行維護(hù)階段后須重點(diǎn)關(guān)注：運(yùn)a)制定車間安全運(yùn)維相關(guān)制度規(guī)程。明確安全運(yùn)維具體責(zé)任人，建立詳細(xì)的維護(hù)操作流程與相關(guān)表單。b)明確現(xiàn)場(chǎng)運(yùn)維和遠(yuǎn)程運(yùn)維的管理要求，對(duì)運(yùn)維賬號(hào)的申請(qǐng)與管理、運(yùn)維行為的規(guī)范等提出具體要求，對(duì)現(xiàn)場(chǎng)運(yùn)維尤其是遠(yuǎn)程運(yùn)維進(jìn)行嚴(yán)格審批和監(jiān)視。c)在車間網(wǎng)絡(luò)部署安全運(yùn)維統(tǒng)一管理平臺(tái)，自動(dòng)采集車間所有安全設(shè)備、主機(jī)服務(wù)器、網(wǎng)絡(luò)通信、應(yīng)用等的運(yùn)行狀態(tài)和審計(jì)日志等數(shù)據(jù)，并利用大數(shù)據(jù)、數(shù)據(jù)挖掘等先進(jìn)技術(shù)分析網(wǎng)絡(luò)行為及用戶行為等因素所構(gòu)成的網(wǎng)絡(luò)態(tài)勢(shì)。為用戶提供安全動(dòng)態(tài)監(jiān)控運(yùn)維平臺(tái)，對(duì)當(dāng)前網(wǎng)絡(luò)及設(shè)備安d)運(yùn)行過程中須及時(shí)了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn)，應(yīng)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，評(píng)估內(nèi)容包括對(duì)構(gòu)和連接狀況發(fā)生較大變更、技術(shù)平臺(tái)大規(guī)模的更新、系或基于某些運(yùn)行記錄懷疑將發(fā)生重大安全事件”,也須進(jìn)行風(fēng)險(xiǎn)評(píng)估。GB/T41260—2022(規(guī)范性)C.1概述用戶在實(shí)現(xiàn)數(shù)字化車間信息安全技術(shù)基本要求的同時(shí)，可以根據(jù)實(shí)際需要采用本附錄的增強(qiáng)要求以提高數(shù)字化車間的信息安全能力。C.2區(qū)域劃分與邊界防護(hù)C.2.1感知控制層增強(qiáng)要求在數(shù)字化車間感知控制層對(duì)區(qū)域劃分與邊界防護(hù)的增強(qiáng)要求為：a)不宜將不同數(shù)字化車間感知控制層生產(chǎn)系統(tǒng)的數(shù)據(jù)服務(wù)器軟件安裝在同一臺(tái)主機(jī)上；各個(gè)生產(chǎn)系統(tǒng)網(wǎng)段的數(shù)據(jù)服務(wù)器不宜直接連接在同一個(gè)網(wǎng)絡(luò)上；b)數(shù)字化車間感知控制層生產(chǎn)系統(tǒng)應(yīng)提供監(jiān)視和控制區(qū)域邊界通信的能力，并提供入侵檢測(cè)的現(xiàn)傳輸報(bào)文的機(jī)密性保護(hù)；d)對(duì)采用無線通信技術(shù)進(jìn)行控制的工業(yè)控制系統(tǒng)，應(yīng)能識(shí)別其物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無f)感知控制層與云平臺(tái)相連時(shí)，應(yīng)在感知控制層設(shè)置物理邊界防護(hù)；g)對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，在數(shù)字化車間監(jiān)控層對(duì)區(qū)域劃分與邊界防護(hù)的增強(qiáng)要求為：a)不宜將不同數(shù)字化車間監(jiān)控層生產(chǎn)系統(tǒng)的數(shù)據(jù)服務(wù)器軟件安裝在同一臺(tái)主機(jī)上；各個(gè)生產(chǎn)系統(tǒng)網(wǎng)段的數(shù)據(jù)服務(wù)器不宜直接連接在同一個(gè)網(wǎng)絡(luò)上；b)數(shù)字化車間監(jiān)控層生產(chǎn)系統(tǒng)應(yīng)提供監(jiān)視和控制區(qū)域邊界通信的能力，并提供入侵檢測(cè)與防御輸報(bào)文的機(jī)密性保護(hù)；d)對(duì)采用無線通信技術(shù)進(jìn)行控制的工業(yè)控制系統(tǒng)，應(yīng)能識(shí)別其物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無e)數(shù)字化車間監(jiān)控層安全域之間的邊界防護(hù)機(jī)制失效時(shí)，及時(shí)進(jìn)行報(bào)警；g)對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證GB/T41260—2022C.2.3執(zhí)行層增強(qiáng)要求在數(shù)字化車間執(zhí)行層對(duì)區(qū)域劃分與邊界防護(hù)的增強(qiáng)要求為：a)數(shù)字化車間執(zhí)行層中的關(guān)鍵區(qū)域應(yīng)限制物聯(lián)網(wǎng)或無線網(wǎng)絡(luò)與執(zhí)行層相連，應(yīng)限制任何云平臺(tái)與執(zhí)行層中關(guān)鍵區(qū)域相連；b)數(shù)字化車間執(zhí)行層中的關(guān)鍵區(qū)域應(yīng)提供監(jiān)視和控制區(qū)域邊界通信的能力，并提供入侵檢測(cè)與防御的能力；c)應(yīng)限制物聯(lián)網(wǎng)或無線網(wǎng)絡(luò)與執(zhí)行層的關(guān)鍵區(qū)域相連；應(yīng)對(duì)無線通信采取傳輸加密的安全措施，實(shí)現(xiàn)傳輸報(bào)文的機(jī)密性保護(hù)；d)數(shù)字化車間的執(zhí)行層中的關(guān)鍵區(qū)域的邊界防護(hù)機(jī)制失效時(shí)，及時(shí)進(jìn)行報(bào)警；e)執(zhí)行層與云平臺(tái)相連時(shí)，應(yīng)在執(zhí)行層設(shè)置物理邊界防護(hù)；f)對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。C.3身份鑒別與認(rèn)證C.3.1感知控制層增強(qiáng)要求在數(shù)字化車間感知控制層對(duì)身份鑒別與認(rèn)證的增強(qiáng)要求為：a)無線系統(tǒng)應(yīng)具備識(shí)別接入設(shè)備并阻止未經(jīng)授權(quán)的設(shè)備接入的能力；b)在無線系統(tǒng)無法提供上述能力的情況下，控制系統(tǒng)應(yīng)具備識(shí)別與控制系統(tǒng)相連的無線系統(tǒng)的接入設(shè)備并阻止未經(jīng)授權(quán)的設(shè)備接入的能力；c)若系統(tǒng)使用無線通訊，需使用加密的方式進(jìn)行連接認(rèn)證。C.3.2監(jiān)控層增強(qiáng)要求在數(shù)字化車間監(jiān)控層對(duì)身份鑒別與認(rèn)證的增強(qiáng)要求為：a)系統(tǒng)應(yīng)提供訪問用戶身份認(rèn)證的能力；b)系統(tǒng)應(yīng)針對(duì)連續(xù)無效的訪問嘗試進(jìn)行次數(shù)限制。當(dāng)限制次數(shù)超出后，系統(tǒng)應(yīng)在規(guī)定的周期內(nèi)拒絕訪問或者直到管理員解鎖。C.4使用控制C.4.1感知控制層增強(qiáng)要求在數(shù)字化車間感知控制層對(duì)使用控制的增強(qiáng)要求為：a)系統(tǒng)應(yīng)提供建立防病毒和惡意軟件入侵管理機(jī)制，對(duì)工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備采取病毒查殺等安全預(yù)防措施；b)系統(tǒng)應(yīng)具備系統(tǒng)關(guān)鍵文件監(jiān)控功能，防止關(guān)鍵文件被篡改；c)當(dāng)系統(tǒng)通訊協(xié)議為動(dòng)態(tài)端口時(shí)，系統(tǒng)應(yīng)具備對(duì)動(dòng)態(tài)端口相應(yīng)的管理能力，以保證系統(tǒng)通訊的安d)系統(tǒng)密碼實(shí)現(xiàn)定期更改，防止密碼長期不更改導(dǎo)致密碼泄露。C.4.2監(jiān)控層增強(qiáng)要求在數(shù)字化車間監(jiān)控層對(duì)使用控制的增強(qiáng)要求為：a)數(shù)字化車間生產(chǎn)系統(tǒng)應(yīng)提供阻止接收來自生產(chǎn)系統(tǒng)外的用戶或系統(tǒng)的個(gè)人間通信消息的GB/T41260—2022b)系統(tǒng)應(yīng)定期更新殺毒軟件；c)系統(tǒng)應(yīng)具備系統(tǒng)關(guān)鍵文件監(jiān)控功能，防止關(guān)鍵文件被篡改；C.5資源控制C.5.1感知控制層增強(qiáng)要求在數(shù)字化車間感知控制層對(duì)資源控制的增強(qiáng)要求為：a)網(wǎng)絡(luò)化的感知控制設(shè)備應(yīng)提供檢測(cè)和防范DoS事件的能力，并能避免DoS事件影響其他設(shè)備b)網(wǎng)絡(luò)化的感知控制設(shè)備應(yīng)提供能力：根據(jù)可配置的頻率自動(dòng)進(jìn)行關(guān)鍵文件的備份。在數(shù)字化車間監(jiān)控層對(duì)使用控制的增強(qiáng)要求為：a)應(yīng)在過程監(jiān)控層安全網(wǎng)絡(luò)與上層網(wǎng)絡(luò)間部署入侵防護(hù)設(shè)備，能夠監(jiān)視邊界處的常見網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)蠕蟲等),并能夠在檢測(cè)到攻擊行為時(shí)實(shí)時(shí)記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)b)應(yīng)提供能力：根據(jù)可配置的頻率自動(dòng)進(jìn)行主機(jī)、服務(wù)器關(guān)鍵文件的備份。C.5.3執(zhí)行層增強(qiáng)要求在數(shù)字化車間執(zhí)行層對(duì)使用控制的增強(qiáng)要求為：網(wǎng)絡(luò)資源信息；b)應(yīng)能夠監(jiān)視接入該層網(wǎng)絡(luò)的主機(jī)、服務(wù)器、軟件程序及相關(guān)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)，例如