DB32T 2289-2013 重点领域工业控制系统信息安全保护基本要求

省地DB32Baselineforinformationsecurityprotectionofimportantfieldsindustrialcontrol江苏省质量技术监督局发布I 1 1 14重点领域工业控制系统连接要求 1 2 3 3 4 5本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中1重点领域工业控制系统信息安全保护基本要求配置要求、设备选择与升级要求、数据要求、应急等基本GB/T20984信息安全技术信GB/T26333和GB/T2683.1重点领域importantfields4重点领域工业控制系统连接要求4.1与公共网的连接管理要求4.1.1应制定工业控制系统网络与公共网互联的审批备案制度；4.1.2应制定工业控制系统网络与公共网互联情况的定期检查制度；4.1.4应对工业控制系统开展风险评4.1.6应对隔离措施的有效性进行验4.1.7应采取必要的技术措施对系统之间的互联采取识别和认证。24.2对移动存储介质的管理要求4.2.1应制定移动存储介质的使用管理制4.2.2应在管理制度中禁止在工业控制系统网络和公共网之间交叉使用移动存储介质；4.2.3应提供工业控制系统与其他系统间专用的安全信息交换途径；4.2.4应对工业控制系统中使用的移动存储介质进行定期检查；4.2.5应对需要销毁的存储介质制定严格的处置流程，并做好销毁记录；4.2.6应禁止移动存储介质的自动播放功4.3对终端计算机的管理要求4.3.1应制定工业控制系统中终端计算机的使用及审批管理制度；4.3.2应对接入工业控制系统的终端计算机进行标识；4.3.3应对接入工业控制系统的终端计算机进行安全性评估。5.1系统信息安全生命周期管理5.1.2应在工业控制系统设计中包含信息安全防护方面的内容，并组织专家5.1.3应在工业控制系统的实施验收中检验实际系统与设计的一致性，并验证信息安全防护5.1.4应制定针对工业控制系统维护过程的信息安全操作规范，并保存操作记录以备后续检5.1.5应对工业控制系统操作人员组织工业控制系统信息安全操5.1.6应对工业控制系统升级改造后5.1.7应对工业控制系统废弃后的剩5.2远端设备安全保障5.2.1应制定工业控制系统远端设备5.2.3应定期对远端设备的型号和标识进行检查，防止5.2.4应对工业控制系统远端维护的接入设备进行限制，并5.2.6应具有实施接入控制的技术条件，其规则的配置应同36.1设备的安全配置与审计6.1.1应制定工业控制系统设备的安全6.2用户权限管理6.2.3应按照角色的不同来划分用户权限，确保用户6.3口令管理6.3.1应制定口令管理制度，对口令长度、复杂度等作出要求，禁用空口令6.3.2应制定口令变更管理要求，并对变更时间6.4配置管理6.4.2应定期检查设备账户，记录并处理不必要的用户和6.4.3应定期检查设备端口使用情况，并对未使用的端口进行通信阻断6.4.4应定期对操作系统端口进行检查，停止无用的后台程序和进程，关闭与业务无关的端6.4.5应对工业控制系统主机上允许安装的软件作规定，禁止安装非法、不安6.4.7应定期检查设备提供服务的情况，并与系统设计进行对应，关闭不必要7.1供应商管理7.1.1应在采购前通过选型测试确定7.1.2应在选择工业控制系统设备时，对产品的安全性47.1.3应在采购合同中明确设备供应商所承担的信息安全责7.1.4应在合同中明确系统集成商所承担的信息安全责7.2运维管理7.2.1应制定工业控制系统远程运维管理制度，在安全得7.2.2应指定专人或专门部门对设备7.2.3应对设备选用的各个环节（如选型、采购、发放等）进行审7.2.4应对服务器建立安全日志，制定日志文件管理制度，定期检查日志管7.3软件漏洞防护管理7.3.1应制定软件升级、补丁安装管理制度（管理制度中至少应包括定期对系统安装安全补7.4设备测试验收管理7.4.1应制定设备测试验收的信息安7.4.2应在信息系统正式运行前，根据设计方案或合同要求进行安7.5设备交付管理7.5.1应指定专门部门办理系统或设7.5.2应根据交付清单对所交接的设备、文档、软件等进7.5.3应规定交付清单中必须包含所有软7.5.4应要求系统建设实施方对运维技术8.1数据管理规范与培训8.1.1应根据工业控制系统数据重要性进行分级，并在采集、传输、8.1.2应对工业控制系统数据管理中涉及的8.2数据采集管理8.2.1应对数据的采集环节部署专用的安全防护技术或制定特别的管理要求以确保设备的物58.2.3应在数据采集设备和接收设备之间建立鉴别机制以8.3数据传输管理8.3.1应在数据传输过程中采用符合国家规定的加密算法8.3.2应在数据传输过程中采用符合国家规定的完整性保障技术以确保数据不测到数据在传输过程中存在完整性错误时采取必要的恢8.4数据存储与备份管理8.4.1应对重要数据的存储采用加密文件系统或者第三方的数据保护软件以确保存储过程的8.4.2应对重要数据采用符合国家规定的灾备措施进行备份，并定期演练以确保数据的可恢复性，在检测到重要数据在存储过程中存在完整性错误8.4.3应对备份数据的访问和恢复制定8.4.4应采用安全措施确保重要数据的采用冗余的网络拓扑结构，避免关键节点存在单点故障，确保数据的可用8.4.6应在重要数据应用过程中采用访问控制技术以确8.5数据审计管理9.1应急响应规范与流程9.2应急响应组织9.2.1应建立应急响应组织，对人员的角色和职责进行69.3应急响应技术支撑9.3.1应具备应急处理的技术支撑能力，并检查技术同规范