DB13/T 5002-2019 信息安全技术 工业控制系统安全保护技术规范

ICS35.030

L09

DB13

河北省地方标准

DB13/T5002—2019

信息安全技术工业控制系统安全

保护技术规范

2019-07-04发布2019-08-01实施

河北省市场监督管理局发布

DB13/T5002—2019

目次

前言.................................................................................II

引言................................................................................III

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语、定义和缩略语.................................................................1

4物理和环境安全.....................................................................3

5网络安全...........................................................................4

6主机安全...........................................................................7

7监视控制与数据采集系统安全........................................................10

8现场控制设备安全..................................................................15

9系统防护级别与能力要求............................................................17

附录A(规范性附录)系统能力要求与安全级别的映射………………18

参考文献.............................................................................23

I

DB13/T5002—2019

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由河北省工业和信息化厅提出并归口。

本标准主要起草单位：河北省信息安全测评中心、河北省委党校（河北行政学院）、河北金信网

络技术开发服务有限公司、唐山港集团股份有限公司。

本标准主要起草人：陶卫江、张凤臣、闫利平、牛占冀、黄亮、张友平、刘艳、梁志、孟宪辉、

王辙、李鹏、王淑婧、李娜、任旭东、高飞、张争、付江、张桐、甘振旺、和德明、侯志方、王会娟。

II

DB13/T5002—2019

引言

随着工业化和信息化的高度融合，工业控制系统的信息安全问题越来越受到关注。为了增强工业

控制系统的安全防护能力，从技术上加强工业控制系统的防护能力，特制定本标准。

本标准在GB/T30976.1-2014等技术类标准的基础上，根据现有技术的发展水平，提出和规定了工

业控制系统的最低安全保护技术要求，即技术安全要求。

III

DB13/T5002—2019

信息安全技术工业控制系统安全保护技术规范

1范围

本标准规定了工业控制系统安全保护技术的术语和定义、系统能力等内容。

本标准既适用于工业控制系统的安全测评，又适用于指导工业控制系统的安全建设和管理，以及

工业控制系统安全主管部门的监督检查，适用于系统设计单位、设备生产商、系统集成商、用户、资

产所有人以及评估认证机构等对工业控制系统信息安全进行评估时使用。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T30976.1-2014工业控制系统信息安全第1部分：评估规范

3术语、定义和缩略语

3.1术语和定义

下列术语和定义适用于本文件

3.1.1

识别identify

对某一评估要素进行标识与辨别的过程。

3.1.2

验收acceptance

风险评估活动中用于结束项目实施的一种方法，主要由被评估方组织机构，对评估活动进行逐项

检验，以是否达到评估目标为接受标准。

3.1.3

工业控制系统industrialcontrolsystem：ICS

对工业生产过程安全（safety）、信息安全（security）和可靠运行产生作用和影响的人员、硬

件和软件的集合。

注：系统包括，但不限于：

1）工业控制系统包括分布式控制系统（DCS）、可编程逻辑控制器（PLC）、智能电子设备(IED)、

监视控制与数据采集（SCADA）系统，运动控制（MC）系统、网络电子传感和控制，监视

和诊断系统。

2）相关的信息系统，例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界

面、过程历史记录、制造执行系统（MES）和企业资源计划（ERP）管理系统。

3）相关部门、人员、网络或机器接口，为连续的、批处理、离散的和其他过程和提供控制、

安全和制造操作功能。

1

DB13/T5002—2019

3.1.4

现场控制设备fieldcontrolequipment

现场控制设备主要包括各类控制单元，如PLC、DCS控制单元等，用于对各执行设备进行控制。

3.1.5

区域area

站点内划分的物理的、地理的或逻辑的资源分组。

3.1.6

边界boundary

软件、硬件或者其他物理屏障，限制进入系统或者部分系统。

3.1.7

安全safety

免于不可接受的风险。

3.1.8

移动代码mobilecode

通过网络或者可移动媒介与可能是非可信的系统之间传递的程序，被不经显示安装在本地系统，

会被自动执行或被接收者执行。

3.1.9

会话session

在两个或者多个通信设备之间的半永久性、状态性或者交互式的信息转换。

3.1.10

会话IDsessionID

用于表明特定会话入口的标识符。

3.1.11

信息安全security

a)保护系统所采取的措施；

b)由建立和维护保护系统的措施而产生的系统状态；

c)能够免于非授权访问和非授权或意外的变更、破坏或损失的系统资源的状态；

d)基于计算机系统的能力，能够提供充分的把握使非授权人员和系统既无法修改软件及其数据

也无法访问系统功能，却保证授权人员和系统不被阻止；

e)防止对工业自动化和控制系统的非法或有害的入侵，或者干扰其正确和计划的操作。

f)注：措施可以是与物理信息安全（控制物理访问计算机的资产）或者逻辑信息安全（登录给

定系统和应用的能力）相关的控制手段。

3.2缩略语

下列缩略语适用于本文件。

2

DB13/T5002—2019

DCS分布式控制系统（DistributedControlSystem）

ERP企业资源计划（EnterpriseResourcePlanning）

IED智能电子设备（IntelligentElectronicDevice）

ICS工业控制系统（IndustrialControlSystem）

mes制造执行系统（ManufacturingExecutionSystem）

PLC可编程逻辑控制器（ProgrammableLogicController)

SCADA监视控制与数据采集系统（SupervisoryControlAndDataAcquisition）

VPN虚拟专用网（VirtualPrivateNetwork）

PKI公钥基础设施（PublicKeyInfrastructure）

4物理和环境安全

4.1安全区域防护

4.1.1物理安全周边防护

本项目包括但不限于：

a)应设置物理安全管理制度，规定对组织机构场所和重要系统的物理访问控制；

b)重要区域应有门禁、视频监控、消防、人体探测器等相应的控制措施。

4.1.2物理入口控制

本项目包括但不限于：

a)重要区域应设置有门禁，或配置有专人值守，控制人员的进出，记录保存至少六个月；

b)门窗应有防盗措施；

c)现场中控机房需具备门禁等防盗防破坏措施，禁止人员随意接触关键设备。

4.1.3办公室区域的安全防护

本项目包括但不限于：

a)应有针对办公区域的管理措施，外部人员的访问应经过审批，并有专人陪同；

b)重要区域应设置门禁、视频监控等控制措施。

4.1.4外部和环境的安全防护

中控机房等重要区域应有防雷、防水、防火、温湿度控制等安全防护措施，应有防毒、防爆，即

对有毒可燃气体的检测功能；

4.1.5公共访问、交换区域安全

公共访问、交换区域与生产系统应有隔离防护措施。

4.1.6安全区域工作

在操作手册和岗位管理制度中应有操作规程对人员、设备的安全做出规定，并在工作区域明显地

方张贴。

4.2设备安全

4.2.1设备安置和保护

3

DB13/T5002—2019

本项目包括但不限于：

a)设备安装应牢固、合规；

b)关键设备应有物理安全防护措施。

4.2.2支持性设施

本项目包括但不限于：

a)应保证系统正常运行的支持性设备工作正常。

b)控制系统应具备紧急电源设施，应可提供与紧急电源设施之间的切换；

c)应确保紧急电源之间的切换不会影响到现有的安全状态。

4.2.3布缆安全

通信线缆和电源线应隔离铺设，并且远离火源、电磁辐射源。

4.2.4设备维护

本项目包括但不限于：

a)应制定相关管理规定，明确责任部门和人员负责设施的定期维护管理；

b)设备管理制度中应包括对各类设备维护维修等方面要求；

c)维护记录内容应全面、真实。

4.2.5组织机构场所外的设备安全

场外的设备应具备防盗、防拆、坚固耐用等要求，应能够适应所处的物理环境。

4.2.6设备的安全处置或再利用

本项目包括但不限于：

a)不同设备的存放环境应采取与其相应的保护措施，设备管理制度中应包括对设备的存放环境、

报废或再利用等方面；

b)应有设备的报废或再利用清单；

c)重要设备在报废或再利用前应彻底清除内含有的敏感信息。

4.2.7资产的移动

本项目包括但不限于：

a)设备管理制度应对资产的转移做出规定，包括转移过程是否有专人负责，转移流程、移动前

后资产的存放环境等；

b)资产的移动记录内容应全面、真实。

5网络安全

5.1网络访问控制

5.1.1网络服务的策略

本项目包括但不限于：

a)应在网络边界部署访问控制设备，启用访问控制功能；

b)系统对外提供的服务应仅限业务范围之内；

4

DB13/T5002—2019

c)应制定对网络服务的访问控制策略；

d)如制定规则，应测试访问控制规则是否有效。

5.1.2外部连接的用户鉴别

本项目包括但不限于：

a)网络与外部连接情况应与相关的管理制度且与网络拓扑结构相符；

b)系统内部终端连接外部网络情况应与相关的管理制度且与网络拓扑结构相符；

c)如与外部网络有连接，应通过措施进行控制；

d)网络内部如有VPN接入，应制定有效的控制措施（与外界均应物理隔离）。

5.1.3网络设备标识

本项目包括但不限于：

a)应制定网络设备标识命名规则；

b)接入网络的设备应设有标识，且标识唯一。

5.1.4远程诊断和配置端口

对设备远程维护端口应设置访问控制规则，只允许特定IP地址访问。

5.1.5网络隔离

本项目包括但不限于：

a)重要生产系统应部署在网络内部，重要网段与其他网段间应采用可靠的技术手段进行隔离；

b)应根据部门职能、重要性划分出不同的子网。

5.1.6网络连接控制

重要网段与其他网段之间的访问应有访问控制措施。

5.1.7经由非可信网络的访问

应具备监视和控制所有经由不可信网络对控制系统访问的措施。

5.1.8明确对访问请求的批准

控制系统应提供能力默认拒绝来自不可信网络的访问。

5.1.9无线使用控制

本项目包括但不限于：

a)应具备对无线访问的授权、监视和限制的能力；

b)应具备认证机制保护无线访问。

5.1.10对未授权的无线设备进行识别和报告

本项目包括但不限于：

a)应具备扫描物理环境内发射信号的无线设备的功能；

b)应具备对物理环境内发射信号的未授权的无线设备进行识别和报告的能力。

5.2监视

5

DB13/T5002—2019

5.2.1审计记录

本项目包括但不限于：

a)系统应具备日志功能，并且日志功能处于开启状态；

b)应对网络设备的运行状况、用户行为等进行日志记录；

c)日志记录内容应包含日期、时间、用户、事件等相关事项，至少保存6个月。

5.2.2监视系统的使用

系统日志应对系统资源使用情况进行记录，包括网络流量、资源占用率等。

5.2.3日志信息的保护

应对审计日志进行保护，避免受到预期的修改、删除和覆盖。

5.2.4管理员和操作日志

系统日志应对管理员登录和操作进行记录，内容应包括日期、时间、用户名、登录IP地址、操作

内容及结果等，当审计记录存储上限时应具备发出警告功能。

5.2.5故障日志

应对系统故障或错误进行日志记录，记录内容应包括日期、时间、系统故障或系统错误内容等。

5.2.6时钟同步

本项目包括但不限于：

a)系统时间应与标准时区时间一致；

b)如有必要相关工业控制系统可以采用时间戳服务器进行时间管理。

5.3限制的数据流

5.3.1网络分区

本项目包括但不限于：

a)应具备控制系统网络与非控制系统网络的逻辑分区功能；

b)应具备关键控制系统网络与其他控制系统网络的逻辑分区功能。

5.3.2物理网络分区

本项目包括但不限于：

a)控制系统网络与非控制系统网络之间应进行物理划分；

b)关键控制系统网络与其他控制系统网络之间应进行物理划分。

5.3.3与非控制系统网络的独立性

应采取措施将控制系统与非控制系统网络之间进行逻辑和物理隔离。

5.3.4关键网络的逻辑和物理隔离

应采取措施将关键控制系统与其他控制系统进行逻辑和物理隔离。

5.3.5区域边界防护

6

DB13/T5002—2019

控制系统应具备边界防护设备，对所有区域边界的外部接口进行管理。

5.3.6默认拒绝，例外允许

边界防护设备应按照默认拒绝，例外允许的原则进行功能配置。

5.3.7孤岛模型

边界安全设备应具备当检测到安全事件时拒绝所有访问的功能。

5.3.8故障关闭

边界设备应具备当边界防护机制出现操作故障时,可关闭所有访问的功能。

5.4持续监视

控制系统应具备检测攻击的工具。

5.5资源可用性

5.5.1拒绝服务的防护

应具备防护拒绝服务攻击的能力，或以降级模式运行，攻击事件不应对任何功能安全相关系统产

生不利影响。

5.5.2管理通信负荷

应提供管理通信负荷的能力（例如使用限速）来削减拒绝服务攻击事件。

5.5.3限制拒绝服务攻击对其他系统和网络的影响

应提供能力限制所有用户（人、软件进程和设备）引发拒绝服务攻击事件的能力，避免影响其他

控制系统和网络。

6主机安全

6.1操作系统访问控制

6.1.1安全登录规程

本项目包括但不限于：

a)应对操作系统和数据库用户进行身份鉴别；

b)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

c)当对服务器进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

6.1.2用户标识和鉴别

本项目包括但不限于：

a)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性；

b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权

限；

c)应严格限制默认帐户的访问权限，重命名系统默认帐户；

7

DB13/T5002—2019

d)应及时删除多余的、过期的账户，避免共享账户的存在。

6.1.3口令管理系统

本项目包括但不限于：

a)操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要

求并定期更换；

b)修改系统默认口令。

6.1.4系统实用工具的使用

应设置访问控制规则，限制用户对资源的访问。

6.1.5会话超时

应根据安全策略设置登录终端的操作超时锁定。

6.1.6联机时间的限定

本项目包括但不限于：

a)网络内是否存在安装在高风险位置的敏感应用程序；

b)如存在此类程序，应设置联机时间（如无特殊要求，则设为正常办公时间）。

6.2监视

6.2.1审计记录

本项目包括但不限于：

a)系统应开启日志记录功能；

b)应对系统关键事件、用户行为等进行日志记录；

c)日志记录需包含日期、时间、用户、事件等相关事项。

6.2.2监视系统的使用

应对系统资源使用情况进行记录，包括网络流量、资源占用率等。

6.2.3日志信息的保护

应对审计日志进行保护，避免受到预期的修改、删除和覆盖。

6.2.4管理员和操作日志

应对管理员登录和操作进行记录，内容应包括日期、时间、用户名、登录IP地址、操作内容及结

果等，当审计记录存储上限时应具备发出警告功能。

6.2.5故障日志

应对系统故障或错误进行日志记录，记录内容包括日期、时间、系统故障或系统错误内容等。

6.2.6时钟同步

本项目包括但不限于：

a)系统时间应与标准时区时间一致；

8

DB13/T5002—2019

b)如果与互联网有连接，时间服务应运行，时间服务器应设置正确。

6.3恶意代码防护

6.3.1恶意代码防护

本项目包括但不限于：

a)系统应安装有恶意代码防护产品；

b)恶意代码防护产品的防护功能应配置和启用；

c)恶意代码防护产品的特征库应为最新版本。

6.3.2恶意代码防护的集中管理

应具备对恶意代码防护机制进行集中管理和报告的功能。

6.4限制的数据流

系统边界设备的设置，应具备禁止传输和接收一般目的的个人通信功能，如电子邮件或即时通讯

软件等。

6.5资源可用性

6.5.1最小功能化

操作系统应禁止或限制其他多余的功能、端口、协议和/或服务。

6.5.2资源管理

应提供安全功能对系统资源使用限制的能力，防止资源耗尽。

6.6使用控制

6.6.1对移动存储介质和移动设备的使用控制

本项目包括但不限于：

a)应具备安全措施对移动存储介质和移动设备进行禁用和控制；

b)应具备对移动存储介质和移动设备进行监视和记录的功能；

c)控制系统应具备限制代码和数据传入传出移动存储介质和移动设备的能力。

6.6.2对移动存储介质和移动设备的安全状态的检查

本项目包括但不限于：

a)应具备安全措施对移动存储介质和移动设备的安全状态进行检查；

b)应对扫描结果进行监视和记录。

6.6.3移动代码

本项目包括但不限于：

a)系统是否提供禁用/控制使用移动代码的功能；

b)应提供监视和记录移动代码的功能；

c)应定义限制使用的移动代码技术列表。

6.6.4移动代码的完整性

9

DB13/T