DCS具有可靠性要求。DCS能够在规定的条件 执行其设定的控制切能，期间不允许 发生停车，且具有很好的耐久性和可维修性

4.2DCS防护总体要求和原则

4.2.1DCS安全要求

加强要求等三类安全要求，其中总体要求是针对DCS系统整体的安全性和防护水平提出的安全要求； 基本要求和加强要求是针对DCS系统中不同网络层次特点，在本部分的第5章、第6章、第7章和 第8章分层进行了定义，其中DCS系统安全性要求不高的企业用户只需满足基本要求，对DCS系统安 全要求高的企业用户可以结合企业特点和所用的DCS系统的特点，有选择的部署实现加强要求中的安 全要点。加强要求分为常规加强要求和深度加强要求，常规加强要求主要用于普通企业用户，深度加强 要求用于具有高安全要求的特殊行业。

仿古建筑4.2.1.2外部网络隔离要求

DCS用户企业全网拓扑结构可 扣果DCS系统网络与外部网络（指企业 管理层网络、互联网等DCS系统网络以外的其他网络)存在直接或间接互连时，DCS系统网络与外部网 之间应使用物理或逻辑隔离技术措施进行防护

4.2.13网络链路要求

对部署于多地区并通过网络进行互联的DCS系统应用，应保证互联网络链路资源充足，即在企业 业务量达最大峰值时，链路数据通信正常且网络延时仍能满足DCS系统应用要求。 对于网络互通性和稳定性要求较高的企业用户，可采取链路穴余技术和手段保证企业网络在网络 出现故障时能够维持基本通信，保证在一条链路出现故障时另一条链路能够为企业的正常生产经营活 动提供网络保障。 对于网络互通性和稳定性要求非常高的企业用户可采用物理线路余的方式部署企业的核心业务

网络、骨于网、核心控制网络，并且穴余线路网络可采用与主网络不同的网络构建方式。

4.2.1.4数据备份要求

一般DCS系统应具有实时数据、OPC数据、组态数据、控制方案等重要数据的实时备份和定期备 份措施；对于数据安全性要求高的DCS系统应用，可以采用对系统正常运行的数据进行完整备份的措 施，备份周期应不大于3个月；对于数据安全性要求非常高的DCS系统应用可以建立异地灾难数据备 份中心，配备灾难恢复所需的通信线路、网络设备和数据处理设备

4.2.2系统防护原则

3）针对现场设备的攻击； 4）针对数据库的攻击； 5）通信劫持和“中间人”攻击。 在纵深防御技术各项设备或技术应用DCS前，应采用线下测试等手段确保其上线后不影响正常的 OCS运行的可用性、实时性、可靠性和安全性；如果存在影响系统可用性、实时性、可靠性和安全性的较 大风险，则撤销对系统造成影响的防护技术的使用

物理访问控制基本要求包括： a）机房（包括电子设备间）出入口应安排专人值守，控制、鉴别和记录进人的人员； b）需进人机房的来访人员应经过申请和审批流程，并限制和监控其活动范围； 应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在进入重要区域前设置交付 或安装等过渡区域； d）重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员，

应根据过程监控层网络中各系统的安全等级划分成不同的安全区域，并按照方便管理和控制为原 则为各安全功能区域分配网段地址。过程监控层各网段应相互隔离，原则上不直接连接在一起。

6.1.2常规加强要求

6. 1.2.1加强要求

本项要求包括但不仅限于： 重要设备不直接与外层网络相连 1）应在工程师站、操作员站与MES层网络间采用数据隔离措施。 2）不宜将工程师站与操作员站放置在同一物理区域内。 OPC等其他数据服务器安全 1）不宜将不同安全等级的服务器软件安装在同一台主机上；如果需要安装在同一台主机上， 需要考虑安全措施。 2）各个控制系统网段的服务器不宜直接连接在同一个网络上。 3）应在服务器与实时数据库通信处部署隔离设备

6.1.2.2深度加强要求

本项要求包括但不仅限于！

GB/T 33009.12016

6.2.2.1常规加强要求

本项要求包括但不仅限于： a）逻辑安全隔离 在过程监控层与上层网络通信处部署隔离设备或采用其他隔离技术手段，保证两个层次网络间的 罗辑隔离。 b）用户权限安全 应对多用户共同操作的主机进行用户权限划分，根据用户的工作职责分配相应的访问权限，授予用 户所需的最小权限；并实现操作系统和数据库系统特权用户的权限分离。 c）移动代码限制 对可能对系统造成破坏的移动代码技术（如Java、VBscript等）的使用提供限制功能，包括防止移 动代码的执行、对移动代码的源进行身份认证、限制移动代码与控制系统通信、监控移动代码的使用、对 移动代码的完整性进行检查等，

6.2.2.2深度加强要求

本项要求包括但不仅限于： a）物理安全隔离 在过程监控层与上层网络通信处部署隔离设备或采用其他隔离技术手段，保证两个层次网络间的 物理隔离。 b）应用协议检查 应对进出网络的协议数据内容进行过滤，实现对HTTP、FTP、TELNET、SMTP、POP3等通用协 议以及其他工业协议的命令级控制，以允许/拒绝数据包的出人。 c）敏感信息访问控制 应对工程师站、操作员站、OPC服务器、实时数据库服务器等重要设备内的重要信息资源（如系统 组态信息、控制程序、实时数据库用户及密码表项、OPC服务器数据文件）设置敏感标记；应依据安全策 略严格控制用户对有敏感标记重要信息资源的操作，如对组态信息、控制程序、实时数据库表项、OPC 服务器数据等文件的访问和修改操作进行监管，严格控制访问权限。 d）基于角色的授权 应对用户组态软件、系统组态软件、图形化编辑软件、语言编程软件、流程图制作软件、实时监控软 件、数据服务软件、数据通信软件、报警记录软件、趋势记录软件、OPC数据通信软件、OPC服务器软 件、历史数据传输软件、网络文件传输软件等工 控应用软件中的所有角色提供授权执行功能，

宜在过程监控层与上层网络间部署人侵防护设备，能够监视边界处的常见网络攻击行为（包括端口

GB/T 33009.12016

描攻击、强力攻击、木马后门攻击、DoS攻击 P碎片攻击、网络端虫等），并能 测到攻击行为时实时记录攻击源IP、攻击类型、攻击目标、攻击时间，并提供报警

6.3.2.1常规加强要求

本项要求包括但不仅限于： a）系统最小化安装 工程师站、操作员站、OPC服务器、实时数据库服务器、监控计算机等主机设备操作系统采用最小 化系统安装原则，只安装与自身业务相关的操作系统组件及应用软件。 b）重要系统病毒防护 在工程师站、操作员站、OPC服务器、实时数据库服务器、监控计算机等重要系统部署经过验证的 防病毒软件，病毒库和补丁的更新需在线下模拟系统中进行严格的验证，在不影响系统可用性、实时性 和稳定性的前提下实施更新。 c）移动存储接口管理 应对工程师站、操作员站、OPC服务器、实时数据库服务器、监控计算机等系统的物理接口进行限 制，禁止USB接口或使用USB端口设备绑定；部署文件拷贝中转设备，对通过存储介质中转的数据进 行病毒和木马的查杀

6.3.2.2深度加强要求

本项要求包括但不仅限于： a）边界完整性监测 应能够对非授权设备私自连接到过程监控层网络的行为和内部网络用户私自连接到外部其他层次 网络的行为进行检查，并对非法接人部位进行准确定位，进行有效隔离和阻断。 b）系统完整性保护 应提供数据有效性检验功能，保证通过人机接口输人或通过通信接口输入的数据格式、长度符合系 统要求；能够对组态软件（包括用户组态软件、系统组态软件、图形化编辑软件、语言编程软件、流程图制 作软件等）和监控软件（包括实时监控软件、数据服务软件、数据通信软件、报警记录软件、趋势记录软 件、OPC数据通信软件、OPC服务器软件、历史数据传输软件、网络文件传输软件等）的完整性进行检 查，并在检测到完整性受到破坏后具有恢复的措施，

本项要求包括但不仅限于： 应对工程师站、操作员站、OPC服务器、实时数据库服务器、监控计算机等所有设备提供用户 身份登录认证功能，并提供用户身份信息修改、添加、删除等操作功能； 应提供用户身份认证反馈功能，对身份认证结果向用户反馈； 限制默认账户的访问权限，重命名系统默认账户，修改默认口令，禁止在工程师站、操作员站， OPC服务器和实时数据库服务器使用默认账户； d）应及时删除多余的、过期的账户，避免共享账户的存在，

6.4.2.1常规加强要求

本项要求包括但不仅限于：

GB/T33009.12016

a）密码强度 身份鉴别信息应不易被冒用，口令应有复杂度要求并定期更换。 b）管理员地址限定 应对网络设备的管理员登录地址进行限制。 c）登录失败处理 应具有用户登录失败处理功能，可采取结束会话、限制非法登录的次数、自动退出和当网络登录连 接超时自动退出等措施。

6.4.2.2深度加强要求

对重要系统（如历史数据库服务器等)应提供两种或两种以上的鉴别技术来进行身份鉴定，其中

应对过程监控层网络中的网络设备运行状况、网络流量等进行审计，审计记录应包括日期和时间 、主体标识、客体标识等

6.5.2.1常规加强要求

应对审计记录进行保护，严格控制审计记录的访问权限，降低被非法算改的风险。

6.5.2.2深度加强要求

本项要求包括但不仅限于： a）加强审计 应对工程师站、操作员站、OPC服务器、实时数据库服务器等重要系统的操作系统用户、数据库用 户和控制应用软件（用户组态软件、系统组态软件、图形化编辑软件、语言编程软件、流程图制作软件、实 时监控软件、数据服务软件、数据通信软件、报警记录软件、趋势记录软件、OPC数据通信软件、OPC服 务器软件、历史数据传输软件、网络文件传输软件等）的运行事件（包括用户登录事件、组态事件、编程事 件、程序下载/上传事件、控制操控事件、系统进程事件、客户端请求事件、数据传输事件、OPC服务器进 程事件）、系统资源的异常使用和重要系统命令的使用等进行安全审计，并能生成审计报表进行分析。 b）集中审计 应根据系统的统一安全策略，实现集中审计，并与时钟服务器同步

应能够监视过程监控层网统 正文整体网 资源使用限定阅值，整体网络使用的望 或网络的资源占用行为。

6.6.2.1常规加强要求

本项要求包括但不仅限于：

本项要求包括但不仅限于： 10

GB/T33009.1—2016

a）网络资源控制 应通过设定终端接人方式、网络地址范围等条件限制终端登录，并根据安全策略设置登录终端的操 作超时锁定。 b）角色资源控制 应根据控制应用软件（包括用户组态软件、系统组态软件、图形化编辑软件、语言编程软件、流程图 制作软件、实时监控软件、数据服务软件、数据通信软件、报警记录软件、趋势记录软件、OPC数据通信 软件、OPC服务器软件、历史数据传输软件、网络文件传输软件等）用户的角色进行资源访问的限制，防 止角色之间的交叉访问

6.6.2.2深度加强要求

本项要求包括但不仅限于： a）用户资源控制 应限制单个用户对系统资源的最大或最小使用限度，对单个账户的多重并发会话进行限制。 b）主机资源控制 应对工程师站、操作员站、OPC服务器、实时数据库服务器等重要系统进行监视，包括监视服务器 的CPU、硬盘、内存等资源的使用情况；对用户组态软件、系统组态软件、图形化编辑软件、语言编程软 件、流程图制作软件、实时监控软件、数据服务软件、数据通信软件、报警记录软件、趋势记录软件、OPC 数据通信软件、OPC服务器软件、历史数据传输软件、网络文件传输软件等软件进程占用的资源进行监 视，分配最大限额和最小限额。

6.7.1常规加强要求

本项要求包括但不仅限于： a）必要信息保护 应能够检测过程监控层网络内所有的系统管理数据、控制指令数据、上传/下载程序数据、监控数据 等在存储过程中是否受到破坏，并在检测到破坏时及时采取必要的恢复措施。 b）剩余信息保护 1）应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他 用户前得到完全清除，无论这些信息是存放在硬盘上还是内存中。 2） 应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其 他用户前得到完全清除。 3 应保证工程组态文件、系统组态文件、控制程序文件等资源所在的存储空间在重新分配给 其他用户前得到完全清除。

6.7.2深度加强要求

本项要求包括但不仅限于： a）数据保密 应能够采用加密技术或其他有效的技术手段实现系统管理数据、现场实时数据、控制指令数据、上 传/下载程序数据、监控数据在传输和存储过程中的保密性。 b）数据备份及恢复 应对实时数据库服务器、OPC数据库服务器、组态数据库服务器、历史数据库服务器等重要服务器 设备进行硬件兀余。启用实时数据备份功能，保证当主服务器出现故障时穴余设备可以切换并恢复

数据。 ）私有通信 应能够对重要通信提供专用通信协议或安全通信协议服务，避免来自基于通信协议的攻击破坏数 据的完整性。

7.1.2.1常规加强要求

不宜将不同控制系统的数据服务器软件安装在同一台主机上；各个控制系统网段的数据服务器不 宜直接连接在同一个网络上；应在数据服务器与实时数据库通信处部署隔离设备。现场控制层各网段 相互隔离，原则上不直接连接在一起。

7.1.2.2深度加强要求

应在现场控制层网络与过程监控层网络间具有访问控制措施，对从过程监控层发起的访问进行源 地址、目的地址、源端口、目的端口和协议等项目的控制

7.2.2. 1常规加强要求

对于安全接人，应对接人现场控制层的设备进行身份认证，拒绝未经认证的设备访问网络；现场 网对于已使用的无线网络连接，应至少启用MAC地址过滤白名单功能。 应提供针对工程师站、操作员站、OPC服务器、实时数据库服务器等用户发送的操作行为的授权 能，如读写数据、下载程序、用户组态、设备操控命令、设置配置等行为。

7.2.2.2深度加强要求

本项要求包括但不仅限于： a）安全连接 在现场控制层和过程监控层网络的边界增加安全连接控制功能，无线网络连接，应启用MAC地址 绑定功能。 在现场控制层内的安全区域间增加安全连接控制功能，建立区域安全访问路径，对各安全区域之间 的访问进行连接控制。 b）应用协议检查

应对进出网络的信息内容进行过滤，实现对应用层协议的命令级（包括数据上传服务、数据下载服 务、读服务、写服务、控制指令执行服务等的检查，对非法数据包的出人进行报警。 c）敏感信息访问控制 应对DCS控制器内的配置信息、控制程序、数据块等重要信息资源设置敏感标记，并依据安全策略 严格控制用户对有敏感标记重要信息资源的操作。 d）移动代码限制 对可能对系统造成破坏的移动代码技术（如Java、VBscript等）的使用提供限制功能，包括防止移 动代码的执行、对移动代码的源进行身份认证、限制移动代码与控制系统通信、监控移动代码的使用、对 移动代码的完整性进行检查等。 e）敏感文件使用限制 应对控制器内组态文件、控制程序代码、实时数据等关键敏感文件的访问进行限制

7.3.1常规加强要求

本项要求包括但不仅限于： a）控制器软件容错 控制器软件（如嵌入式软件）应提供数据有效性检验功能，对通过通信接口输人的数据格式、长度， 功能码等进行实时检查，保证其符合系统要求，当控制器出现故障后能够自动保存当前所有状态，并采 取恢复措施。 b）通信检测 应能够对总线上的网络流量及网络负载进行监测，对现场控制层设备接入网络具有识别能力

7.3.2深度加强要求

本项要求包括但不仅限于： a）总线恶意服务指令识别与阻断 应在控制器人口端部署控制器防护功能和设备，能够识别针对控制器的操控服务指令（包括组态服 务、数据上传服务、数据下载服务、读服务、写服务、控制程序下载服务、操控指令服务等），并能够根据安 全策略要求对非法的服务请求进行报警。能在必要时断开非认证设备的连接。 b）人侵监测 应在现场控制层与过程监控层间旁路部署人侵检测设备，能够监视边界处的常见网络行为（包括端 口扫描攻击、暴露攻击、木马后门攻击、DoS攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫等），并能够 在检测到攻击行为时实时记录攻击源IP、攻击类型、攻击目标、攻击时间，并提供报警。

7.4.1常规加强要求

应对工程师站、操作员站、OPC服务器、实时数据库服务器的网络地址进行限制，现场控制层 以根据网络标识对服务请求的发送方进行识别

7.4.2深度加强要求

采用身份标识手段，能够对工程师站、操作员站、OPC服务器和实时数据库服务器发送的服务 指令（包括数据读服务、数据写服务、程序上传服务、程序下载服务、开关控制指令等）发送方的角色身 进行验证和鉴别。

7.5.1常规加强要求

应对现场控制层网络中关键系统 的系统)的网络设备运行状况、网络流量等 进行审计，审计记录应包括日期和时间 件类型等

7.5.2深度加强要求

本项要求包括但不仅限于： a）审计记录保护 应对审计记录进行保护，应保证无法单独中断审计进程，无法删除、修改和覆盖审计记录。 b）加强审计 应对嵌人式控制器内的修改事件（包括配置修改事件、算法修改事件、控制程序修改事件、关键变量 修改事件等）和控制器服务事件（包括组态服务、数据块下载服务、程序下载服务、写服务等）进行安全审 计，并生成审计报表进行分析。 c）集中审计 应根据系统的统一安全策略，实现集中审计，注意审计任务时钟保持与系统主时钟同步

应能够监视现场控制层网络与过程监控层网络接口处的网络流量、连接数等网络资源信息，并根据 安全策略要求对流量、连接数进行限制

本项要求包但不仪限于： a）网络资源控制 应通过设定设备接人方式、网络地址范围等条件限制设备接入网络。 b）嵌人式控制器资源控制 应对嵌人式控制器的运行状态进行监控，包括系统的CPU、内存、堆栈等，对存储于内存中的配置 信息、控制程序、数据进行监控，限制对关键控制系统数据（包括控制程序代码、组态配置信息等）的 访问。

7.7.2.1常规加强要求

层传输过程中的完整性，包括防止数据包被插入、防止 被删除、防止数据包被超期延迟、防止数据包被重排序和重放

7.7.2.2深度加强要求

本项要求包括但不仅限于： a）控制器存储数据完整性 应保证存储于嵌人式控制系统内的数据完整性，包括静态数据保护、关闭无用端口、写保护、可执行 代码保护、应用程序配置保护、应用程序语法检查、操作系统配置保护、可执行代码注人保护等。 b）控制系统实时数据完整性 应能够检测现场控制层网络内所有的现场实时数据、控制指令数据、监控数据等在传输过程中完整 性是否受到破坏。应具备利用密码技术或其他同等功效的技术检测数据包被修改的能力。 c）点对点通信加密 应保证在点对点通信的过程中，会话的建立有相应的身份认证机制、会话过程中应提供加密机制或 其他等效技术手段保证会话不会被窃听、在会话目的达到后及时关闭会话、在会话超时时提供会话超时 响应功能，如可关闭会话也可重新进行会话认证，

8.1.1常规加强要求

8.1.2深度加强要求

8.2.1常规加强要求

应在各安全区域之间部署安全网关设备，建立各区域之间的网关路径，保证各子区域之间访问的相 对独立性。 应对危险区域、关键装置中的执行机构（压力执行机构、温度执行机构等)的操作行为进行限制，对 装置的手动操作区域应采用物理防 措施进行防护，但不应影响紧急操作，

8.2.2深度加强要求

应在现场控制层与现场设备层网络的边界部署访问控制设备，设定访问控制策略。对从现场控制 层发起的访问，进行现场总线协议和服务功能等项目的检查，以允许/拒绝数据包的出入。 应提供对控制器发送操控指令的操作行为进行授权验证的功能，如开关操作、电磁阀操作等。

8.3.1常规加强要求

a）智能仪表软件检测 智能仪表嵌人式软件应对输人数据提供有效性检验功能，保证通过通信接口输入的数据格式 合系统要求，当出现异常情况时能够提供异常处理功能。

b）总线负载检测 应能够对现场总线上的网络流量及网络负载数量进行监测，当发现网络负载异常时能够提供报警 信息。

8.3.2深度加强要求

本项要求包括但不仅限于： a）控制指令识别 应能够对关键装置、关键执行机构（压力控制机构、温度控制机构、流量控制机构等）的控制指令进 行识别。 b）恶意指令防护 应在现场设备层与现场控制层网络的边界部署安全防护设备，并能够监视过滤网络中的恶意控制 指令行为螺栓标准，根据安全策略对恶意指令进行阻断

8.4.1常规加强要求

对发送操作数据和指令的现场设备进行身份识别

8.4.2深度加强要求

8.5.1常规加强要求

8.5.2深度加强要求

环境标准8.6.1常规加强要求

8.6.2深度加强要求

期延迟、防止数据被重排序和重放；应具备利用密码技术或其他同等功效的技术检测数据被修改