5.3输出设备的访问控制

DB43/T13472017

本项要求包括： a）应对ICS输出设备进行物理访问控制以防止非授权人员获得输出信息； b）应控制对输出设备的物理访问； C） 确保只有授权人员收到来自设备的输出； d）组织应对输出设备进行标记，标明哪些信息可以标记的输出设备输出，

本项要求包括： a）应保护ICS的电力设备与电缆，免遭损害和破坏； b）应依据安全需求和风险，采用禁用或对电源进行物理保护的手段来防止系统的非授权的使用； C）组织应使用几余的电力设备和电缆

电气安全标准本项要求包括： a）应确保在紧急情况下能够切断ICS电源或个别组件电源； b）应在指定位置设置安全易用的紧急断电开关或设备； C）应保护紧急断电能力以防止非授权操作。

本项要求包括： a）应为ICS配备应急UPS电源，并计算其续航时间； b）应提供短期不间断电源，以便在主电源失效的情况下正常关闭ICS c）应提供长期备份电源，以便主电源失效时在规定时间内保持ICS功能

本项要求包括： a）应为ICS部署火灾检测和消防系统或设备，并维护该设备； b）应为消防系统或设备配备独立电源； c）应使用防火设备或系统，该设备或系统在火灾事故中会自动激活并通知组织和紧急事件处理 人员； d）应在ICS组件集中部署的区域，如主机房、通信设备机房使用自动灭火系统

本项要求包括： a）应维护ICS所在环境的温湿度，使其处于可接受的范围； b 应定期监视ICS组件集中部署区域的温湿度； C 主机房、通信设备机房等区域应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所 允许的范围之内。

DB43/T13472017

0B43/T1347—2017 a）应提供易用、工作正常的、关键人员知晓的总阀门或隔离阀门以保护ICS免受漏水事故的损害； ICS组件集中部署的区域，如主机房、通信设备机房等水管安装不得穿过机房屋顶和活动地板 下，防止雨水通过机房窗户、屋顶和墙壁渗透： C）组织应使用自动化机制，在重大漏水事故时能保护ICS免受水灾

本项要求包括： a）机房建筑应设置避雷装置： b）机房应设置交流电源地线。

本项要求包括： a）应采用接地方式阻止外界电磁干扰和设备寄生耦合干扰； ）电源线和通信线缆应隔离铺设，避免互相干扰

6.1工业控制系统安全等级保护二级要求

6.1.1安全计算环境技术要求

6.1.1.1 身份鉴别

本项要求包括： a）用户身份鉴别 在每次用户登录系统时，应采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别。应 针对任何用户（人员、软件进程或设备）在可配置时间周期内，对连续无效的访问尝试进行可配置次数 限制。当限制次数超出后，应在规定的周期内拒绝访问直到管理员解锁。 b）主机设备身份鉴别 支持工业控制系统中重要主机设备的身份标识和鉴别。重要主机设备在使用前，应先在安全管理中 心进行设备身份的标识；在工业控制系统的整个生命周期要保持设备标识的唯一性；重要主机设备在启 动并接入工业控制系统时，应该对其设备身份的真实性进行鉴别。

6.1.1.2 恶意代码防范

应通过“白名单”技术，将工业主机中的可信应用程序加入到白名单列表中，形成应用程序白环境， 用于阻止恶意程序的运行，保证主机安全稳定运行。当工业控制系统网络中有新的可信任执行文件运行 时（软件变更时），需要及时将其加入在白名单列表中。

6.1.1.3 访问控制

6.1.1.4 安全审计

DB43/T13472017

应提供安全审计机制，记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类 型和结果等内容。该机制应提供审计记录查询、分类和存储保护。 b）现场设备审计 应提供现场设备审计机制，记录现场设备相关安全事件。审计记录应带有时间戳，包括现场设备用 户登录事件、时间修改事件、配置修改事件、程序修改事件和流入现场设备的数据流（包括数据流的发 送方、应用功能等）。

6.1.2安全区域边界隔离技术要求

安全区域边界隔离技术要

6.1.2.1区域边界包过滤

本项要求包括： a）应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求白 务等，确定是否允许该数据包进出该区域边界； b）边界防护设备应支持端口级的会话状态检测功能

6.1.2.2区域边界安全审讯

本项要求包括： a）区域边界安全审计 应在安全区域边界设置审计机制。 b）区域边界事件审计 对工业控制系统的相关安全事件及操作进行记录，并支持对审计信息的汇总

6.1.2.3区域边界完整性保护

应采用数据完整性验证机制，对重要的控制指令和现场数据等关键性业务数据在存储和传输过 整性进行验证，以判断其完整性是否被破坏。

6.1.2.4区域边界恶意代码防范

应在安全区域边界提供恶意代码防护 对不同的恶意入侵行为，设置不同的防护规则。

6.1.3安全网络通信技术要求

6.1.3.1通信网络安全审计

本项要求包括： a）应在安全通信网络中设置审计机制； b）应能生成安全相关审计记录，包括：访问控制、请求错误、系统事件、备份和恢复事件、配置 改变、潜在的侦查活动和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件进 程或人员用户）、分类、类型、事件ID和事件结果

6.1.3.2通信网络异常监测

本项要求包括： a）采用相应的监测审计设备进行流量监测； b）应对工业控制系统的通讯数据、访问异常、业务操作异常、网络和设备流量、工作周期、抖动 值、运行模式、各站点状态、余机制等进行监测，如发生异常可进行报警。

DB43/T1347—2017

DB43/T13472017

DB43/T1347—2017

6.2工业控制系统等级保护三级要求

6.2.1安全计算环境技术要求

6.2.1.1身份鉴别

本项要求包括： a）用户身份鉴别 应支持操作系统、数据库、通用程序的用户标识和用户鉴别。在对每一个用户注册到系统时，应采 用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录 系统时，采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度 的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。 b）主机设备身份鉴别 支持工业控制系统中重要主机设备的身份标识和鉴别。重要主机设备在使用前，应先在安全管理中 心进行设备身份的标识；在工业控制系统的整个生命周期要保持设备标识的唯一性；重要主机设备在启 动并接入工业控制系统时，应该对其设备身份的真实性进行鉴别。 C）工控设备身份鉴别 对于现场控制层嵌入式设备（控制器、PLC）实施唯一性的标识，并实施鉴别与认证。

),2.1.2恶意代码防范

本项要求包括： a）应通过“白名单”技术，将工业主机中的可信应用程序加入到白名单列表中，形成应用程序白 环境，用于阻止恶意程序的运行，保证主机安全稳定运行。当工业控制系统网络中有新的可信 任执行文件运行时（软件变更时），需要及时将其加入在白名单列表中； b）应支持防白名单软件的统一管理

6.2.1.3 访问控制

本项要求包括： a）自主访问控制 自主访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级和（或）记录或字段级。自主 访问控制包括对客体的创建、读、写、修改和删除等。 b）最小权限控制 应根据职责分离和最小权限对特定用户（人员、软件进程或设备）实施工业控制系统的控制使用授 权。 ） 现场设备访问控制 现场设备应采用基于角色的访问控制，只有得到授权的用户才能对现场设备进行组态下装、软件更 新、数据更新、参数设定等操作。

6.2.1.4 安全审计

本项要求包括： a）系统安全审计 应提供安全审计机制，记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类 型和结果等内容。应提供审计记录查询、分类、分析和存储保护，并可由安全管理中心管理，确保审计 记录不被破坏或非授权访问。

DB43/T13472017

应能够针对重要操作行为生成安全相关审计记录，审计内容应达到指令级。 C）现场设备安全审计 现场设备应将带时间戳的审计记录通过网络远程传输发送给安全管理中心，且传输通道应采用力 有协议的方式进行保护。

6.2.1.5数据完整性保护

本项要求包括： a）应采用支持密码技术的完整性校验机制，检验存储和处理用户数据的完整性，以发现其完整性 是否被破坏，且在其受到破坏时能对重要数据进行恢复； b）重要主机的系统管理数据、鉴别信息和重要控制数据在传输过程中采用支持密码技术的完整性 校验机制，应支持国家密码管理主管部门批准使用的密码算法，使用国家密码管理主管部门认 证核准的密码产品，遵循相关密码国家标准和行业标准

6.2.1.6 本质安全

业设备要求： a）应建立工业设备和工业软件的安全准入机制，禁止选用经国家相关管理部门检测认定并通报存 在漏洞和风险的系统及设备，对于已经投入运行的设备，应按照国家相关标准及政策法规的要 求及时进行整改，同时应当加强相关系统及设备的运行管理和安全防护； 应优先采用符合国家相关要求的自主、安全、可靠的工业设备及元器件： C 应对登录工业设备的用户进行身份鉴别； 应对主要工业设备同一用户选择两种或两种以上组合的鉴别技术进行身份鉴别； e）工业设备故障关闭功能的设计应不干扰功能安全系统或其他功能安全相关功能的运行； f）工业设备应基于实现分区模型的关键程度提供对数据、应用和服务进行分离的能力； g）工业设备应提供能力，在允许代码执行之前验证移动代码的完整性； h）工业设备系统应提供将每个接口的并发连接数目限制为一个可配置数目的能力； i）工业设备应提供时间戳用于生成审计记录； i）工业设备应提供对所有用户是否执行了某个行为进行判定的能力； k）工业设备应对拒绝服务攻击具有一定的防护能力 工控安全防护设备要求： a）工控安全防护设备（包括硬件设备和软件系统，如工业防火墙、工业监测审计设备、工业主机 防护软件等）应采用自主可控的安全技术机制； b）工控安全防护设备应采取技术措施保证自身安全，避免恶意攻击导致防护失效； C）工控安全防护设备应提供能力拒绝来自不可信网络的访问； d）工控安全防护设备应提供标识和认证所有用户的安全技术措施； e）工控安全防护设备应保护数据存储和传输时不被未经授权的泄露和更改； f）工控安全防护设备应采用基于用户角色的权限管理机制，按照职责分离和最小特权来控制对 设备的使用； g）工控安全防护设备应提供必要的能力，明确禁止和/或限制对非必要的功能、端口、协议和/ 或服务的使用； 7 工控安全防护设备应提供为以下类别生成审计记录的能力：访问控制、请求错误、系统事件、 备份和存储事件、配置变更、潜在的侦查行为和审计日志事件：

DB43/T1347—2017

i）工控安全防护硬件应采用工业级设计，满足工业现场的环境要求； j）工控安全防护硬件应采用基于工业协议深度识别的白名单技术； k）工控安全防护软件系统的核心技术应具备自主知识产权，并通过国家有关机构的安全检测 认证，防范代码存在安全漏洞； 1）工控安全防护软件应采用应用程序白名单技术，对工业主机内必要的业务组件、系统组件和安 全软件等执行程序保护，保证相关可执行程序的可用性、完整性； m）工控安全防护软件应提供标识和认证所有软件进程的能力，应对所有合法软件进程拥有唯一标 识认证的能力； n 工控安全防护软件应具备防止、检测、报告和消减恶意代码或非授权软件的影响的能力

6.2.2 安全区域边界隔离技术要求

2.2.1区域边界包过滤

a） 应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、协议、请求的服务等， 确定是否充许该数据包进出该区域边界； b）： 边界防护应支持协议级的会话状态检测功能； C） 应在不同区域间采取可靠的技术隔离手段形成边界防护，且边界防护设备应能识别工业协议， 采用白名单技术，仅允许必要的网络数据流； d）应能够对非授权设备连接到内部网络的行为进行限制或检查，并同步对其进行及时的报警和有 效阻断； e）应能够对内部用户未经授权连接外部网络的行为进行限制或检查，并同步对其进行及时的报警 和有效阻断

6.2.2.2区域边界访问控制

应在安全区域边界设置自主访问控制机制，实施相应的访问控制策略，对进出安全区域边界的数据 信息进行控制，禁止非授权访问。

6.2.2.3区域边界安全审讯

本项要求包括： a） 应在安全区域边界设置审计机制，由安全管理中心集中管理，并对确认的违规行为及时报警。 对工业控制系统的相关安全事件及操作进行记录，并支持对审计信息的汇总、关联分析等操作； 0 通过设定本地审计记录访问、修改、删除等权限和支持审计日志网络远程传输并存储功能，确 保审计记录不被破坏或非授权访问以及防止审计记录丢失，同时需保护审计进程免受未预期的 中断等破坏

6.2.2.4区域边界恶意代码防范

应在安全区域边界提供恶意代码防 入侵行为，设置不同的防护规则， 内容进行分类、报警、存储、分析，适时阻止攻击并向安全管理中心报告

6.2.3安全网络通信技术要求

6.2.3.1通信网络安全审讯

DB43/T13472017

a）应在安全通信网络设置审计机制，由安全管理中心集中管理，并对确认的违规行为进行报 应能生成安全相关审计记录，包括：访问控制、请求错误、系统事件、备份和恢复事件、配 改变、潜在的侦查活动和审计日志事件。单个审计记录应包括时间戳、来源（源设备、软件 程或人员用户）、分类、类型、事件ID和事件结果。

6.2.3.2通信网络数据传输完整性保护

应采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护，并在发现 皮破坏时进行恢复。

6.2.3.3通信网络传输的鉴别保护

6.2.3.4通信网络异常监测

本项要求包括： a）应采用监测与审计设备进行流量监测，并对工业控制协议通信中异常的控制命令、控制点位 控制值有分析能力； b）应对工业控制系统的通讯数据、访问异常、业务操作异常、网络和设备流量、工作周期、抖动 值、运行模式、各站点状态、穴余机制等进行监测，如发生异常可进行报警，

6.2.4安全管理中心技术要求

6.2.4.1系统管理

本项要求包括： a）应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份和授权管理、系 统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复以及恶意代码 防范等； b）通过系统管理员能够对工业控制系统设备的可用性和安全性进行实时监控，可以对监控指标设 置告警阈值，触发告警并记录； C） 安全管理中心系统应具有自身运行监控与告警、系统日志记录功能。

6.2.4.2 审计管理

本项要求包括： a）应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审 计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计 记录进行存储、管理和查询等； 审计管理员可实时监控安全管理中心的详细安全事件，并依据其源、目的IP和端口信息进行 深入的事件追踪调查。

6.2.4.3 安全管理

a）通过安全管理员能够对工业控制现场控制设备、信息安全设备、网络设备、服务器、终端 备信息进行登记，并对各设备的信息安全监控和报警、信息安全日志信息进行集中管理。

DB43/T13472017

安全审计策略对各类信息安全信息进行分类管理与查询，并生成统一的审计报告； 0 通过安全管理员能够建立工业控制信息安全设备的策略管理功能，实现对工业控制信息安全设 备的安全策略的集中管理与维护； c）通过安全管理员能够实现对工业安全设备的安全策略配置现状进行分析，协助管理员及时对设 备存在的配置脆弱性进行修复。

7风力发电工业控制系统安全管理要求

7.1安全管理制度要求

b）应对安全管理活动中的各类管理内容建立安全管理制度； c）应对要求管理人员或操作人员执行的日常管理操作建立操作规程； d）应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系

7.1.2 制定和发布

a) 应指定或授权专门的部门或人员负责安全管理制度的制定； b) 安全管理制度应具有统一的格式，并进行版本控制； 应组织相关人员对制定的安全管理制度进行论证和审定； d) 信息安全工作的总体方针应得到公司的正式批准； e) 安全管理制度应通过正式、有效的方式发布； f）安全管理制度应注明发布范围，并对收发文进行登记

行审定； b）应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行 修订。

7.2人员安全管理要求

7.2.1岗位风险管理

本项要求包括： a）应建立ICS岗位分类机制； b）应评估ICS所有岗位的风险； c）应建立人员审查制度，尤其对控制和管理ICS的关键岗位的人员进行审查； d）应定期对岗位风险进行评审和更新。

7.2.2人员审查管理

本项要求包括： a）应在授权访问ICS之前进行人员审查； b）应在人员离职或岗位调动时对其进行审查

DB43/T13472017

本项要求包括： a）应终止离职人员对IcS系统的访问权限； b) 应删除与离职人员相关的任何身份鉴别信息； c）应与离职人员签订安全保密协议； d）应收回离职人员所有与安全相关的系统的相关所有权； e）应确保离职人员移交信息和ICS的可用性

应在人员调动至其他岗位时，评审该人员对ICS的逻辑和物理访问权限并根据评审结果调整访

7.2.5第三方人员安全

本项要求包括： a）应为第三方提供商建立包含安全角色和责任的人员安全要求，并形成文件： b）第三方提供商应遵守已制定的人员安全方针策略和规程； c）应要求第三方提供商在任何人员调动或离职时予以告知。

7.3系统建设管理要求

7.3.1安全方案设计

a）应根据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施； b）应指定和授权专门的部门对控制系统的安全建设进行总体规划，制定近期和远期的安全建设工 作计划： C 应根据控制系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安 全管理策略、总体建设规划和详细设计方案，并形成配套文件； d 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建 设规划、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后， 才能正式实施； e）应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策 略、总体建设规划、详细设计方案等相关配套文件。

7.3.2产品采购和使用

a）应确保安全产品采购和使用符合国家的有关规定； b） 应确保密码产品采购和使用符合国家密码主管部门的要求； C 应指定或授权专门的部门负责产品的采购； d）应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单。

7.3.3自行软件开发

DB43/T13472017

应确保开发环境与实际运行环境物理分开，开发人员和测试人员分离，测试数据和测试结果 受到控制； b 应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则； C） 应制定代码编写安全规范，要求开发人员参照规范编写代码； d 应确保提供软件设计的相关文档和使用指南，并由专人负责保管； e） 应确保对程序资源库的修改、更新、发布进行授权和批准

a）应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告； b 在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中详细记录 测试验收结果，并形成测试验收报告； C 应对系统测试验收的控制方法和人员行为准则进行书面规定； d 应指定或授权专门的部门负责系统测试验收管理，并按照管理规定的要求完成系统测试验收 工作； e）应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认

7.3.5安全厂商选择

a）应确保安全厂商的选择符合国家的有关规定； b）应与选定的厂商签订与安全相关的协议，明确约定相关责任； c）应确保选定的厂商提供技术培训和服务承诺，必要的与其签订服务合同。

7.4安全评估和授权管理要求

本项要求包括： a）应制定安全评估计划，该评估计划应包括：应评估的安全控制措施；判定安全措施有效性的评 估流程；评估环境、队伍、角色及责任； b）应定期对ICS采取的安全措施实施的正确性、有效性进行评估，并判断是否满足相关安全需求； C）应根据评估结果生成评估报告，并向相关人员报告评估结果： d）应授权独立且具有评审资质的机构进行评估，并确保评估不干扰ICS运行和功能： e）应确保评估人员充分了解信息安全相关方针策略和规程，ICS的安全方针策略和规程，以及特 定的设备和/或工艺相关的具体的安全、环境风险：

本项要求包括： a）应指定一位高层管理人员作为ICS的授权责任人； b） ICS未经授权责任人正式授权，不得投入运行； C） 应对ICS定期或发生重大变更时，重新进行安全授权； d 应识别并定期评审反应组织机构信息保护需要的保密性或不泄露协议的要求； e）开发、测试和运行设施应分离，以减少未授权访问或改变运行系统的风险。

DB43/T13472017

应制定持续的监控策略，并实施持续的监控计划，计划内容包括：被监控的目标、监控的频率、 以及对监控进行评估的频率； b）应使用独立评估人员或评估组织，在持续的基础上来监视工业控制系统的安全控制； c）组织应定期规划、安排并进行评估，公开或不公开该评估信息，以便确保符合所有脆弱性缓解 过程； d）应根据组织的连续监控策略，实施安全控制评估； e）应根据组织的连续监控战略，对组织已确定的度量指标，进行安全状态监控； f）应对评估和监控产生的安全相关信息进行关联和分析，并根据分析结果，采取相应的响应措施： 应定期向相关人员报告信息系统安全状态。

本项要求包括： a）应制定ICS互联安全规定，授权ICS与外部其他信息系统进行连接； b） 应对ICS与外部其他工业控制系统连接的接口特征、安全要求、通信信息特性等内容进行记录； C）应定期评审ICS与外部的连接情况，以验证ICS连接是否符合规定要求，

7.4.5内部系统的连接

本项要求包括： a）应授权组织定义的ICS系统或组件连接到内部信息系统； b）应为每个内部连接建立文件，包括连接的接口特性石化标准，安全性要求，和传输信息的性 C）在建立内部连接前，在ICS系统或组件上执行安全合规性检查

7.5资源配置与文档管理要求

本项要求包括： a）应在业务过程规划中明确提出ICS或系统服务的安全需求； b）应明确、配置保护信息系统及相关服务所需的资源，形成相关文档并将其作为资本计划和投资 管理过程的组成部分。

本安求包拍 a）应提供描述系统、组件或服务的管理员文档，文档应包括：系统、组件、服务及安全功能的安 装、配置、使用、管理及运行维护信息以及系统管理员功能相关的脆弱性； b） 应提供描述系统、组件或服务的用户文档，文档应包括：用户可访问的安全功能描述及其有效 使用方法；用户对系统、组件或服务的安全使用方法及安全维护责任； C 当需要时，应获取并保护描述ICS中所使用的安全控制的功能特性的文档； d） 当需要时，应获取并保护描述了ICS与安全有关的外部接口的文档； 当需要时，应获取并保护以子系统以及安全控制的实现细节来描述ICS高层设计的文档； f 当需要时，应获取并保护描述了ICS与安全有关外部接口的文档； 9) 应基于风险管理策略要求对ICS文档进行保护； h）ICS文档应分发到指定的角色或个人

DB43/T1347—2017

DB43/T1347—2017

本项要求包括： a）应将供应链的安全作为综合信息安全防护战略的组成部分； b） 应购置初始获取中所有ICS部件以及相关附件； C） 应对要获取的硬件、软件、固件或服务，在编入合同协议之前，组织应对供应方进行认真的评审； d） 应对交付的ICS、ICS构件、工业控制系统安全产品进行独立分析和仿真测试； e） 应建立供应链的安全评估规程； f）应采用指定的安全措施来保障ICS关键组件的供应。

学士标准规范范本7.5.4网络服务安全