GB/T 44462.1-2024 工业互联网企业网络安全 第1部分：应用工业互联网的工业企业防护要求

ICS35030

CCSM.10

中华人民共和国国家标准

GB/T444621—2024

.

工业互联网企业网络安全

第1部分应用工业互联网的工业企业

:

防护要求

Industrialinternetenterprisecybersecurity—

Part1Protectionreuirementsofinternetindustrialenterrise

:qp

2024-09-29发布2025-01-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T444621—2024

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………1

应用工业互联网的工业企业安全防护级别的确定

5……………………2

应用工业互联网的工业企业安全防护范围

6……………2

应用工业互联网的工业企业安全防护要求

7……………2

初始级防护要求

7.1……………………2

基本级防护要求

7.2……………………7

增强级防护要求

7.3……………………13

附录资料性应用工业互联网的工业企业典型网络层次架构示例

A()………………20

参考文献

……………………21

Ⅰ

GB/T444621—2024

.

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件是工业互联网企业网络安全的第部分已经发布了以下

GB/T44462《》1。GB/T44462

部分

:

第部分应用工业互联网的工业企业防护要求

———1:;

第部分平台企业防护要求

———2:;

第部分标识解析企业防护要求

———3:。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由中华人民共和国工业和信息化部提出

。

本文件由全国通信标准化技术委员会和全国网络安全标准化技术委员会

(SAC/TC485)(SAC/TC260)

共同归口

。

本文件起草单位国家工业信息安全发展研究中心中国信息通信研究院南方电网科学研究院有

:、、

限责任公司国能数智科技开发北京有限公司中国航天科工飞航技术研究院北京天融信网络安全

、()、、

技术有限公司交通运输部科学研究院烽台科技北京有限公司北京启明星辰信息安全技术有限公

、、()、

司中国电子技术标准化研究院北京京航计算通讯研究所施耐德电气中国有限公司正泰集团股份

、、、()、

有限公司杭州安恒信息技术股份有限公司中国软件评测中心工业和信息化部软件与集成电路促进

、、(

中心中国科学院信息工程研究所郑州信大捷安信息技术股份有限公司上海宝信软件股份有限公

)、、、

司北京威努特技术有限公司中国工业互联网研究院国家信息技术安全研究中心上海化工宝数字科

、、、、

技有限公司上海计算机软件技术开发中心深圳市燃气集团股份有限公司中国南方电网有限责任公

、、、

司贵州电子信息职业技术学院

、。

本文件主要起草人蒋艳王蕊廖剑张哲宇董良遇孙军董娜梁志宏匡晓云张格李俊

:、、、、、、、、、、、

王诗蕊章利光于盟马娟杨梓涛韩鹏军李杨安高峰曹禹原真赵冉杨兴城刘志尧李琳

、、、、、、、、、、、、、、

王尊张永静毕继华谢承运彭华马立祥赵佳宁张卫东刘为华王冲华王思蕊郭洋查奇文

、、、、、、、、、、、、、

赵梓桐曾珍珍张瑜刘振宇张静苏扬杨祎巍黄思齐李景田刘昉王许培裴彦纯马霄郝鑫

、、、、、、、、、、、、、、

安成飞

。

Ⅲ

GB/T444621—2024

.

引言

工业互联网企业数量众多信息化发展程度不同且承载业务类型相异所属行业网络安全防护规律

、,

差异化明显为解决现有网络安全防护要求无法满足工业互联网企业发展实际需求的问题需实施工业

,,

互联网企业网络安全分类分级管理并编制相关标准

。

工业互联网企业网络安全是指导工业互联网企业开展网络安全分类分级防护工作

GB/T44462《》

的基础性标准旨在针对应用工业互联网的工业企业工业互联网平台企业工业互联网标识解析企业

,、、

及企业数据安全提出不同级别的网络安全管理及安全防护技术要求用于指导企业落实与自身级别相

,,

适应的安全防护措施由于文件的使用者需求不同由四个部分构成

,,。

第部分应用工业互联网的工业企业防护要求目的在于提出应用工业互联网的工业企业

———1:。

开展网络安全分类分级防护工作需要落实的安全要求

。

第部分平台企业防护要求目的在于提出工业互联网平台企业开展网络安全分类分级防

———2:。

护工作需要落实的安全要求

。

第部分标识解析企业防护要求目的在于提出工业互联网标识解析企业开展网络安全分

———3:。

类分级防护工作需要落实的安全要求

。

第部分数据防护要求目的在于提出工业互联网企业开展网络安全分类分级防护工作需

———4:。

要落实的数据安全要求

。

本文件面向应用工业互联网的工业企业提出了初始级基本级增强级三个不同级别的安全要

,、、

求指导企业实施工业互联网安全分类分级管理工作为应用工业互联网的工业企业各类信息系统安全

,,

防护水平提升奠定基础为企业整体工业互联网安全防护能力建设提供指导

,。

Ⅳ

GB/T444621—2024

.

工业互联网企业网络安全

第1部分应用工业互联网的工业企业

:

防护要求

1范围

本文件规定了应用工业互联网的工业企业在设备控制网络应用平台软件管理以及物理环境等

、、、、

方面不同级别的网络安全防护要求

。

本文件适用于指导应用工业互联网的工业企业开展网络安全分类分级防护工作

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069

信息安全技术信息系统密码应用基本要求

GB/T39786

工业互联网总体网络架构

GB/T42021

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069GB/T42021。

31

.

应用工业互联网的工业企业internetindustrialenterprise

运用工业互联网技术实现智能控制运营优化和生产组织方式变革的工业企业

、。

4缩略语

下列缩略语适用于本文件

。

自动导引运输车

AGV:(AutomatedGuidedVehicle)

应用程序

APP:(Application)

计算机数字控制

CNC:(ComputerNumericalControl)

集散控制系统

DCS:(DistributedControlSystem)

分散处理单元

DPU:(DistributedProcessingUnit)

企业资源计划

ERP:(EnterpriseResourcePlanning)

人机界面

HMI:(HumanMachineInterface)

智能电子设备

IED:(IntelligentElectronicDevice)

生产执行系统

MES:(ManufacturingExecutionSystem)

可编程逻辑控制器

PLC:(ProgrammableLogicController)

1

GB/T444621—2024

.

远程终端单元

RTU:(RemoteTerminalUnit)

数据采集与监视控制系统

SCADA:(SupervisoryControlandDataAcquisitionSystem)

不间断电源

UPS:(UninterruptedPowerSupply)

通用串行总线

USB:(UniversalSerialBus)

5应用工业互联网的工业企业安全防护级别的确定

应用工业互联网的工业企业应按照工业互联网企业网络安全定级方法确定级别由低到高划分为

,

一级二级三级采取不同程度的安全防护如表所示应用工业互联网的工业企业的安全防护要求

、、,,1。

分为初始级基本级和增强级三个级别其中

、,:

一级的应用工业互联网的工业企业按照初始级防护要求采取防护措施

———;

二级的应用工业互联网的工业企业按照基本级防护要求采取防护措施

———;

三级的应用工业互联网的工业企业按照增强级防护要求采取防护措施

———。

表1应用工业互联网的工业企业安全防护级别的确定

企业级别安全防护要求级别

一级初始级

二级基本级

三级增强级

6应用工业互联网的工业企业安全防护范围

安全防护从设备安全控制安全网络安全应用平台安全物理和环境安全以及安全管理要求等方

、、、、

面开展应用工业互联网的工业企业典型网络层次架构示例参见附录安全防护范围具体包括

,A,:

设备安全防护包括工业主机安全网络设备安全工业控制设备安全

a):、、;

控制安全防护包括应用工业互联网的工业企业控制系统安全控制软件安全配置安全智能

b):、、、

装备控制安全等

;

网络安全防护包括架构安全边界安全通信安全等

c):、、;

应用平台软件安全防护包括平台软件安全工业安全等

d):、APP;

安全管理包括机构管理制度管理人员管理建设管理运维管理等

e):、、、、;

物理环境安全包括物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防

f):、、、、、

潮防静电温湿度控制电力供应电磁防护等

、、、、。

7应用工业互联网的工业企业安全防护要求

71初始级防护要求

.

711设备安全防护要求

..

7111工业主机安全

...

本项要求包括

:

应对移动存储介质的接入和使用的权限进行管理和控制

a);

2

GB/T444621—2024

.

应规范工业主机系统软硬件安装和使用禁止未授权的情况下擅自安装卸载升级软件及更

b),、、

改软硬件配置

;

应对工业主机外部接口进行管控对外部接入设备特别是有线或无线通信设备进行管理和

c),,

控制

。

7112网络设备安全

...

本项要求包括

:

应对网络设备采取登录失败处理措施包括限制登录失败次数结束会话等

a),、;

应对网络设备的接口进行管控关闭或封锁不使用的网络端口

b),。

7113工业控制设备安全

...

本项要求包括

:

对采用无线通信技术的工业控制设备应对无线通信采取传输加密的安全措施保证传输报文

a),,

的保密性

;

如受条件限制控制设备无法采用相关安全措施应由其上位控制或管理设备实现同等功能或

b),

通过管理手段控制

。

712控制安全防护要求

..

7121应用工业互联网的工业企业控制系统安全

...

本项要求包括

:

应建立工业控制系统的入侵防范管理机制

a);

应对工业控制系统进行用户登录认证管理和权限控制

b)。

7122控制软件安全

...

本项要求包括

:

应具备登录控制功能对登录用户进行身份鉴别与访问权限控制

a),;

若生产控制软件自身无法实现相应功能可以通过网络设备安全设备或安全管理等其他设备

b),、

或手段满足相应的安全要求

,。

7123配置安全

...

本项要求包括

:

应建立针对重要工业控制系统安全配置的备份和审计机制审计记录应至少包含访问控制配

a),、

置变更操作配置变更结果及时间戳等信息

、;

应按照最小化原则禁用非必要的后台程序进程端口服务应定期对账户口令端口服务

b)、、、,、、、

等内容进行检查

。

7124智能装备控制安全

...

应严格控制远程运维的开通经过审批后才可开通远程运维接口或通道操作过程中应保留不可更

,,

改的审计日志操作结束后立即关闭接口或通道

,。

713网络安全防护要求

..

7131架构安全

...

应划分不同的网络安全域其中工业控制系统与企业其他系统划分不同安全域按照安全管理和控

,,

3

GB/T444621—2024

.

制的原则为各安全域分配地址

。

7132边界安全

...

本项要求包括

:

工业企业应定义明确企业网络与互联网企业网络内部各控制系统网络和非控制系统网络重

a)、、

要控制系统网络与非重要控制系统网络的安全边界

;

应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信

b)。

7133通信安全

...

应采用校验技术保证通信过程中数据的完整性

。

714应用平台软件安全防护要求

..

7141平台软件安全

...

本项要求包括

:

平台软件开发升级或更新后应进行充分的测试确保软件的可用性和安全性后再进行正式

a)、,,,

部署

;

在使用平台软件的过程中应定期更新平台软件

b),。

7142工业APP安全

...

本项要求包括

:

工业开发升级或更新后应进行充分的测试确保软件的可用性和安全性后再进行正

c)APP、,,,

式部署

;

在使用工业过程中应区分操作员管理员审计员等不同角色并赋予不同操作权限

d)APP,、、,。

715安全管理要求

..

7151机构管理

...

本项要求包括

:

应设立网络安全管理工作的职能部门具体承担网络安全管理工作组织制定和落实网络安全

a),,

管理制度落实网络安全技术防护措施开展网络安全宣传教育培训执行网络安全监督检

,,,

查等

;

应设立系统管理员审计管理员和安全管理员等岗位并定义部门及各个工作岗位的职责

b)、,;

设立安全负责人岗位以及系统管理员网络管理员安全管理员等专职人员岗位并明确部

c),、、,

门各负责人和专职人员的岗位职责明确授权审批事项审批部门和批准人等

、,、。

7152制度管理

...

本项要求包括

:

应制定安全工作的总体方针和安全策略说明机构安全工作的总体目标范围原则和安全框

a),、、

架等

;

应指定或授权专门的部门或人员负责安全管理制度的制定

b);

根据机构的安全工作总体方针和安全策略建立适合机构安全工作实际情况的安全管理制

c),

度覆盖机构和人员物理和环境安全建设和安全运维等层面的管理内容

,、