GB／T 41260-2022  数字化车间信息安全要求

控制实时性和连续性的不利影响应控制在充许范围。 对控制设备和操作站点采取信息安全技术措施前，应充分测试和验证该技术措施是否影响控制设 备和工业软件的运行。

4.2.3不影响控制装备互联互通要求

采取信息安全管理和技术措施前应考虑到事实上多种工业控制协议设备间的互联互通，对于采 协议或国际现场总线标准的控制和通讯设备可考虑采取网段隔离等措施，不宜更改相关通讯标

应考虑数字化车间全生命周期内风险与信息安全需求的变化电力弱电施工组织设计，及时采取相应措施。

4.2.6内生安全与纵深防御相结合要求

应结合内生安全技术与多层次纵深防御措施来有效保障信息安全，宜优先采用具备内生安全技术 的控制装备，从而抵御相关技术和管理措施失效或过失情况下的风险

4.2.7管理和技术相结合要求

数字化车间的信息安全应综合考虑管理和技术措施，技术措施应通过必要的管理措施来保障落实 和执行。

如图2所示，对于一个数字化车间在建设阶段应充分考虑安全需求，安全需求的前提是基于目标对 象的确定，进而进行必要的危险和风险分析之后得出的，对于安全需求要进行评估，进而制定安全策略 和安全措施，在数字化车间实际投人运行之前应对安全措施进行评估和确认。 注：对安全措施进行评估和确认可以通过线上测试和分析实现。 当数字化车间进人运行维护阶段，应定期和根据实际需要进行风险评估，根据评估结果通过修改 加强、增加安全措施来应对风险变化导致的安全能力下降，其中安全措施包括管理措施和技术手段。 数字化车间的常见威胁和风险点见附录A，实际的分析处理过程见附录B。 数字化车间信息安全能力由管理措施、技术手段各方面因素综合决定，具体要求见第5章、第6章。

5数字化车间信息安全管理要求

字化车间信息安全分析流

数字化车间的拥有者或运营者（以下简称组织”)应充分识别、分析、评价、管理、监视和评审组织所 面临安全风险，建立并维护信息安全管理要求的措施，明确信息安全管理职责，分配和管理资源，运用过 程方法实现数字化车间的正常运行，并采取有效的措施评估、分析和改进，以满足数字化车间信息安全 管理的要求。

5.2信息安全管理制度

在数字化车间信息安全管理制度的制定中应： a）按照信息安全管理方针和策略，制定数字化车间的信息安全工作原则与目标； b）对数字化车间的安全管理活动建立相应的信息安全管理制度； c）对管理人员和操作人员执行的日常信息安全管理操作建立操作规程或者作业指导书： d）通过正式、有效的方式发布，并进行版本控制

5.3信息安全管理岗位与职责

应通过清断的岗位设置、明确的信息安全职责划分，支持数学化车间的信息安全管理。 组）设立数字化车间的信息安全管理岗位，并明确定义岗位职责。 b）各岗位应配备相应的管理人员，并应明确定义各级人员的职责。 c）关键岗位应配备多人共同管理。 d）信息安全管理的角色和职责应落实到具体的责任人、管理者、具体的工位、具体的单元操作等

.4.1人员录用与离职管

a）对被录用关键岗位信息安全管理人员的身份背景、资质等进行审查； b）及时终止离职信息安全管理人员的所有访问权限，更换相应访问密码，收回所授予的各种身份 证件、钥匙以及组织提供的软硬件设备等

5.4.2人员培训、意识和能力

应通过以下方式，确保所有被赋予信息安全管理职责的人员具有执行所要求任务的能力： a）确定从事数字化车间信息安全管理工作的人员所必要的能力； b 对各类人员进行信息安全意识教育和岗位技能培训，或采取其他措施（如聘用有能力的人员） 以满足这些能力需求；并告知相关的安全责任和惩戒措施 C 对关键岗位的人员进行信息安全技能考核； 评价所采取措施的有效性； e）保存教音、培训、技能、经历和资格的记录

5.4.3外部人员访问管理

在数字化车间的外部人员访问管理中应： a）确保外部人员在进入物理访问受控区域前提出书面申请，批准后由专人全程陪同，并登记 备案； b）确保在外部人员接人网络访问系统前提出书面申请，批准后由专人开设账号、分配权限，并登 记备案； ）在外部人员离场后及时清除其所有的访问权限。

5.5.1确定风险管理目标

对数字化车间的风险管理控制目标和控制措施应加以选择和实施，以满足风险评估和风险处置过 程中所识别的要求。这种选择应考虑接受风险的准则以及法律法规的要求。 组织宜获得管理者对残余风险的批准

5.5.2识别、分析和评价安全风险

应建立、维护数字化车间信息安全风险的识别、评估、分析、评价、处置及控制的方法，并定期实施风 险评估： 确定风险评估方法、制定接受风险的准则和识别可接受的风险级别； b） 定期识别各类风险，如通过连网设备识别风险时应有相应流程或资产面临的危险和可能被威 胁利用的脆弱性等； C 定期分析和评价各类风险，包括评价安全失效可能对组织造成的影响等； d） 确定可选措施以消除风险或避免风险等； e 在组织的方针策略和可接受风险的准则条件下，主动、客观地接受风险

在数字化车间的风险处置中应： a）为管理数字化车间信息安全风险制定处置计划，该计划应包含适当的管理措施、资源、职责和 优先顺序等； b）实施风险处置计划达到已识别的控制目标，包括资金安排、角色和职责的分配； c）实施所选择的控制措施满足控制目标； d）确定如何测量所选择的控制措施或控制措施实际的有效性，并指明如何运用这些测量措施来 评估控制措施的有效性，以产生可比较的和可再现的结果； e）管理数字化车间信息安全相关的资源； f）实施能够迅速检测安全事件和响应安全事件的规程和其他控制措施。

5.6物理访问控制管理

物理访问控制基本要求应包括但不限于： a）对数字化车间出入口进出的人员进行控制、鉴别和记录； b）对数字化车间划分区域进行管理，必要时，区域和区域之间应物理隔离； ）全程陪同对受控区域访问的外部人员； d）限制外部人员携带可能导致泄密的电子设备或其他物品如手机、相机、电子记录仪等 制定规章制度限制内部人员携带可能导致泄密的物品； 对重要区域进行视频监控

在数字化车间的运维安全管理中应： a）制定并发布数字化车间安全运维规程，定期对安全运维规程进行评审和更新； b 根据厂商或供应商的规格说明以及组织的要求，对数字化车间设备和系统的运维进行规划、实 施、记录，并对维护和修理记录进行评审； C 审批和监视所有运维行为，不论被维护对象是在现场还是被转移到其他位置： d）在对系统或组件维护或修理后，检查所有可能受影响的安全控制措施以确认其仍能正常发挥 功能； e 数字化车间设备或系统的第三方运维商承诺未经用户同意不得采集用户相关信息、不得远程 控制用户设备或系统； 如果采用远程运维的方式，组织根据产品的运维需求，为远程控制端口设置控制权限和控制时 间窗；在远程维护完成后，组织安排专人立即关闭为远程维护需求开放的权限设置； 8 完整地记录所有运维的工作计划、要求、过程和完成情况，并存档； 能够对所有运维操作记录进行安全审计，审计记录应定期备份，避免受到未预期的删除、修改 或覆盖等； 1 定期开展风险评估，对识别和发现的安全漏洞和隐惠及时进行修补

5.8监视和评审信息安全管理的有效性

监视和评审数字化车间信息安全管理的有效性时应： ）执行监视评审规程和其他控制措施

GB/T412602022

迅速检测过程运行结果中的错误； ·迅速识别即将发生的和已发生的安全违规和事件； 帮助管理者确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期望执行； ·帮助检测并预防安全事件； ·确定安全违规的解决措施是否有效 b）在考虑安全事件、有效性测量结果、所有相关方的建议和反馈的基础上，进行信息安全管理有 效性的定期评审（包括满足信息安全管理方针和目标，以及安全控制措施的评审）； C 测量控制措施的有效性以验证安全要求是否被满足； 按照计划时间间隔进行风险评估的评审，以及对残余风险和已确定的可接受风险及级别进行 评审，应考虑以下方面的变化： ·组织； ·数字化车间升级或更新； 业务目标和过程； · 已识别的威胁； 已实施的控制措施的有效性； ? 外部事态，如法律法规环境的变更、合同义务的变更和社会环境的变更。 考虑监视评审活动的结果，以更新安全计划； 源业车尚管全的君新洗成新得焦源药洲和重

在保持和改进数字化车间信息安全管理时应： a）实施易识别的信息安全管理改进措施； b 采取纠正和预防措施，从其他组织和组织自身的安全经验中吸取教训； C 向所有相关方沟通纠正和预防措施、改进情况，其详细程度与环境相适应，需要时商定如何 进行； d）确保改进达到了预期目标

本文件以区域划分与边界防护、身份鉴别与认证、使用控制、资源控制、数据安全与安全审计作为数 字化车间信息安全技术要求的基本要素，具体为： a）区域划分与边界防护 应从企业和数字化车间系统整体角度来考虑信息安全，通过区域划分和边界防护来实现纵深 防御，保障数字化车间生产系统受到攻击时不扩散到另外的区域 b） 身份鉴别与认证 应防止未经授权的访问，如用户名与密码形式的身份鉴别与认证。 C） 使用控制 应防止未经授权的使用，即使用户、软件等实体通过了鉴别，不同授权用户、软件等实体对数字 化车间生产系统的操作与使用不得超过其所分配的权限

GB/T412602022

d）资源控制 应控制资源的使用防止因非法或超限使用资源从而影响生产系统的可用性、生产连续性等。 e 数据安全 应保证静态数据和通信数据的可用性、完整性、保密性。 安全审计 应对生产系统的日志、状态、报警等信息进行核查来检测系统是否处于预期的安全设置

6. 1.2 安全要求说明

本文件中规定的安全要求是实现数字化车间信息安全能力的基本要求。如果需要更高的要求，应 符合附录C的规定，

.2区域划分与边界防护

6.2.1感知控制层基本要求

在数字化车间感知控制层对区域划分与边界防护的基本要求为： a 感知控制层宜和对应的监控层划分为同一区域； b 如有必要感知控制层内宜可划分多个子区域 C 如有必要在感知控制层和对应监控层之间可设置边界，运用安全审计等非阻断型策略； d 与感知控制层相连的其他所有网络或系统，如没有在同一安全区域，则与感知控制层相连的边 界应满足边界防护的基本要求； e 如有物联网或其他无线网络与感知控制层有线网络相连，物联网或其他无线网络应作为各自 独立的区域，在与感知控制层有线网络之间设置边界防护； 如感知控制层直接与云相连，应按照纵深防御的原则整体进行边界防护。对于设备直接上云 的情况应优先配置设备的边界防护，如果设备的边界防护能力不足，应在云端做虚拟边界 防护。

6.2.2监控层基本要求

6.2.3执行层基本要求

车间执行层对区域划分与边界防护的基本要求为

GB/T412602022

a）执行层应整体作为一个区域； D 执行层与管理层可为不同区域，在执行层和管理层之间应满足边界防护基本要求；可设置网络 隔离设备，禁止管理层未经协议转换直接访问执行层； C 如有物联网或其他无线网络与执行层相连，物联网或其他无线网络应作为各自独立的区域，在 与执行层之间设置边界防护； d）如执行层直接与云相连，应按照纵深防御的原则整体进行边界防护，同时云端应做必要的虚拟 边界防护。

6.3.1感知控制层基本要求

在数字化车间感知控制层对身份鉴别与认证的基本要求为： a）应保证登录、操作与维护系统人员为可信人员，防止出现非相关人员的访问，影响设备或系统 安全运行； D 系统应保证外部登录的设备为可信设备，禁止任何不可信设备的接人； C） 系统内部设备连接外部网络时，应经过上网认证； 系统应具备记录连接事件的功能，以保证所有的连接均可查询； e 如果该层使用了远程访问，系统应具备对远程访问设备身份鉴别的能力

6.3.2监控层基本要求

在数字化车间监控层对身份鉴别与认证的基本要求为： a）应保证登录、操作与维护系统人员为可信人员，防止出现非相关人员的访问，影响设备或系统 安全运行； 系统应提供访问用户身份鉴别和认证的能力； c）对于使用口令鉴别机制的生产系统，口令应具有一定的复杂性，且需在多次尝试密码失败后 延长重新输入密码等待时间； d 系统内部设备连接外部网络时，应经过上网认证； e 系统应具备访问记录与事件记录功能； 如果使用了无线网络，无线系统应具备识别接人设备并阻止未经授权设备接入的能力

6.3.3执行层基本要求

在数字化车间执行层对身份鉴别与认证的基本要求为： a）系统应具备对操作人员身份鉴别的能力； b） 使用口令鉴别机制的系统，口令应具有一定的复杂性； c）系统应具备访问记录与事件记录功能

6.4.1感知控制层基本要求

在数字化车间感知控制层对使用控制的基本要求为： a）数字化车间各区域间应具有相互访问控制的能力，保证不同区域之间存在隔离，如通 VLAN、路由、防火墙等方式； b） 系统应具备可配置的使用限制能力，对内部所有可能会被外部接人的接口进行接入限制管理

如现场交换机的网口，现场工控机的USB口、网口等，以防止非授权设备的接入 系统应具备限制非必要通讯端口、协议和服务的能力： d）系统应具备限制不同区域操作或维护人员访问权限的能力； e）系统同一区域应实现对不同操作或维护人员实行不同控制权限的能力； 如果使用了无线网络，无线系统应具备识别接入设备并阻止未经授权设备接人的能力； g）如果使用了无线网络，工厂应保证使用的无线信道在此无线覆盖区域未曾被占用

6.4.2监控层基本要求

在数字化车间监控层对使用控制的基本要求为： a）系统应具备可配置的使用限制能力，防止非授权设备的接人； D） 系统应具有为不同授权用户提供不同权限的能力，以支持职责分离和最小权限； 系统应提供对第三方未经兼容性测试的可能造成生产系统损害的应用程序或移动代码执行使 用限制的能力； d）应及时为数字化车间采取补丁升级措施，在安装前应对补丁进行严格的安全评估和测试验证： e 数字化车间的远程访问端口应具有访问控制措施，对从发起方的访问进行源地址、目的地址 源端口、目的端口和协议等项目的控制

6.5.1感知控制层基本要求

在数字化车间感知控制层对资源控制的基本要求为： a） 应通过设定设备接入方式、网络地址范围等条件限制设备接人该层网络； b) 网络化的感知控制设备应提供能力：在DoS事件时能切换到降级模式下继续运行； C 应能够监视接入该层网络的感知控制设备的网络负荷、流量、连接数、会话数等网络资源信息： 应支持根据安全策略要求对感知控制设备端充许通过的数据流量、支持的连接数、会话数进行 限制； 应能够监视接入该层网络的感知控制设备及相关网络设备的运行状态，例如设备的CPU负 荷、内存使用情况、设备故障报警信息等； 感知控制设备应对存储于内存中的配置信息、控制程序、数据进行监控，在系统运行时应限制 对感知控制设备的关键数据（包括控制程序代码、组态配置信息等）的访问； 网络化的感知控制设备或网络设备应提供能力：限制信息安全功能的资源使用，以防止资源 耗尽； g） 网络化的感知控制设备或网络设备应在不影响正常设备使用的前提下，提供关键文件的识别 和定位，以及用户级和系统级的信息备份（包括系统状态信息）的能力，且能验证备份机制的可 靠性； h 网络化的感知控制设备或网络设备在受到破坏或发生失效后，应提供能力：恢复和重构设备到 一个已知的安全状态； 1） 网络化的感知控制设备或网络设备应提供应急电源切换能力，切换不影响设备的运行状态； j） 网络化的感知控制设备或网络设备应提供禁用无用功能、端口、协议和服务的能力； k 该层网络应能识别并支持指示所有连接的设备

6.5.2监控层基本要求

在数字化车间监控层对资源控制的基本要求为！

GB/T412602022

a）应通过设定终端接人方式、网络地址范围等条件限制终端及设备接人该层网络； b）应支持根据安全策略设置登录终端的操作超时锁定； C 该层边界处应提供检测DoS事件的能力； d）该层边界处应支持根据安全策略要求对允许访问主机、服务器和感知控制设备端的协议、端 口、数据流量、支持的连接数、会话数等进行限制； e）接人监控层的感知控制设备应提供能力：在DoS事件时能切换到降级模式下继续运行； f）应能够监视接人该层网络的主机、服务器和感知控制设备的网络负荷、流量、连接数、会话数 会话响应时间等网络资源信息； g 应能够监视接人该层网络的主机、服务器、软件程序、感知控制设备及相关网络设备的运行状 态，例如设备的CPU负荷、内存使用情况、设备故障报警信息等； h）应提供能力限制主机、服务器、软件程序、网络设备对感知控制设备的关键数据（包括控制程序 代码、组态配置信息等）的访问； 1 主机、服务器、软件程序、网络设备应提供能力：限制信息安全功能的资源使用，以防止资源 耗尽； 主机、服务器、软件程序、网络设备应在不影响正常使用的前提下，提供关键文件的识别和定 位，以及用户级和系统级的信息备份（包括系统状态信息）的能力，且能验证备份机制的可 靠性； k）应对关键主机、服务器、网络设备提供应急电源切换能力，切换不影响主机、服务器、网络设备 等的运行状态； 主机、服务器、网络设备应提供禁用无用功能、端口、协议和服务的能力； m）该层网络应能识别并支持指示所有连接的主机、服务器、设备； n）通过HMI接口应能获取并指示所有网络化的感知控制设备、主机、服务器、网络设备及其特 性、运行状态、故障信息

a）应通过设定终端接人方式、网络地址范围等条件限制终端及设备接人该层网络； b）应支持根据安全策略设置登录终端的操作超时锁定； C 该层边界处应提供检测DoS事件的能力； d）该层边界处应支持根据安全策略要求对允许访问主机、服务器和感知控制设备端的协议、端 口、数据流量、支持的连接数、会话数等进行限制； e）接人监控层的感知控制设备应提供能力：在DoS事件时能切换到降级模式下继续运行； 应能够监视接人该层网络的主机、服务器和感知控制设备的网络负荷、流量、连接数、会话数 会话响应时间等网络资源信息； 名 应能够监视接人该层网络的主机、服务器、软件程序、感知控制设备及相关网络设备的运行状 态，例如设备的CPU负荷、内存使用情况、设备故障报警信息等； h）应提供能力限制主机、服务器、软件程序、网络设备对感知控制设备的关键数据（包括控制程序 代码、组态配置信息等）的访问； 1 主机、服务器、软件程序、网络设备应提供能力：限制信息安全功能的资源使用，以防止资源 耗尽； 1 主机、服务器、软件程序、网络设备应在不影响正常使用的前提下，提供关键文件的识别和定 位，以及用户级和系统级的信息备份（包括系统状态信息）的能力，且能验证备份机制的可 靠性； k）应对关键主机、服务器、网络设备提供应急电源切换能力，切换不影响主机、服务器、网络设备 等的运行状态； 主机、服务器、网络设备应提供禁用无用功能、端口、协议和服务的能力； m）该层网络应能识别并支持指示所有连接的主机、服务器、设备； n）通过HMI接口应能获取并指示所有网络化的感知控制设备、主机、服务器、网络设备及其特 性、运行状态、故障信息

6.5.3执行层基本要求

在数字化车间执行层对资源控制的基本要求为： 应通过设定终端接人方式、网络地址范围等条件限制终端及设备接人该层网络； b 应支持根据安全策略设置登录终端的操作超时锁定； 该层边界处应提供检测DoS事件的能力； d 该层边界处应支持根据安全策略要求对充许访问主机、服务器端的协议、端口、数据流量、支持 的连接数、会话数等进行限制； 应提供能力限制主机、服务器、软件程序、网络设备对感知控制设备的关键数据（包括控制程序 代码、组态配置信息等）的访问： 主机、服务器、软件程序、网络设备应在不影响正常使用的前提下，提供关键文件的识别和定 位，以及用户级和系统级的信息备份（包括系统状态信息）的能力，且能验证备份机制的可 靠性； g 应对关键主机、服务器、网络设备提供应急电源切换能力，切换不影响主机、服务器、网络设备 等的运行状态； h）主机、服务器、网络设备应提供禁用无用功能、端口、协议和服务的能力； ） 该层网络应能识别并支持指示所有连接的主机、服务器、设备； 通过HMI接口应能获取并指示所有网络化的感知控制设备、主机、服务器、网络设备及其特

在数字化车间执行层对资源控制的基本要求为： a）应通过设定终端接人方式、网络地址范围等条件限制终端及设备接人该层网络； b 应支持根据安全策略设置登录终端的操作超时锁定； 该层边界处应提供检测DoS事件的能力； d 该层边界处应支持根据安全策略要求对充许访问主机、服务器端的协议、端口、数据流量、支持 的连接数、会话数等进行限制； 应提供能力限制主机、服务器、软件程序、网络设备对感知控制设备的关键数据（包括控制程序 代码、组态配置信息等）的访问： 主机、服务器、软件程序、网络设备应在不影响正常使用的前提下，提供关键文件的识别和定 位，以及用户级和系统级的信息备份（包括系统状态信息）的能力，且能验证备份机制的可 靠性； g 应对关键主机、服务器、网络设备提供应急电源切换能力，切换不影响主机、服务器、网络设备 等的运行状态； h）主机、服务器、网络设备应提供禁用无用功能、端口、协议和服务的能力； 1 该层网络应能识别并支持指示所有连接的主机、服务器、设备； 通过HMI接口应能获取并指示所有网络化的感知控制设备、主机、服务器、网络设备及其特

性、运行状态、故障信息

6.6.1感知控制层基本要求

连接在系统中的感知控制层设备应满足系统对数据安全的可用性、完整性和保密性的基本要求 包括： a 应提供多层的独立防护，来确保数据的安全性，从而保障系统安全： b） 应通过物理访向保护机制，如控制器的访问等级功能、防护门的钥匙锁、带读卡器和PIN的防 护门、视频监控等： C 应通过硬件的信息安全解决方案：如控制器的防拷贝功能、程序保护技术、网络分段的防火墙 保护、带失效关闭的防火墙等； 应通过流程和指令实现数据安全，如对员工的安全培训教育、设置U盘访问的白名单规则、关 键动作的双重批准等； e 应通过安全服务保障生产设备的数据安全，如对系统进行备份和恢复、安全的在线验证等； 可通过安全通信机制

6.6.2监控层基本要求

连接在系统中的监控层应满足系统对数据安全的可用性、完整性和保密性的基本要求，包括 a 应通过隔离区DMZ进行数据交换以加强防护效果，避免直接访问自动化网络； b 通过互联网或者移动网络进行远程访问时应进行保护，防止工业间谍活动和蓄谋的破坏；可通 过对数据传输进行加密，并通过安全模块或者互联网和移动无线路由器进行访问控制； c）可通过环网增强网络的可用性

6.6.3执行层基本要求

连接在系统中的执行层应满足系统对数据安全的可用性、完整性和保密性的基本要求，包括： 连接在执行层中的设备应保证其操作系统、软件和硬件具备对应的安全性和健壮性，以抵御恶 意软件的攻击或者人为破坏的造成的影响； b） 应通过设备和系统构建信息安全网络构架： 应通过信息安全网络构建抵御非授权访问的风险，实现访问保护和加密的数据交换等。

6.7.1感知控制层基本要求

关键生产系统中的重要软/硬件设备应具备日志存储和防算可

6.7.2监控层基本要求

在数字化车间监控层对安全审计的基本要求为： a）应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要 安全事件进行审计； b）审计记录应包括事件的日期和时间、用户、事件类型、主体标识、客体标识、事件是否成功以及 其他与审计相关的信息； 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等，

6.7.3执行层基本要求

在数字化车间执行层对安全审计的基本要求为： a）应在网络边界、重要网络节点、重要应用和数据进行安全审计，审计覆盖到每个用户，对重要的 用户行为和重要安全事件进行审计； b）审计记录应包括事件的日期和时间、用户、事件类型、主体标识、客体标识、事件是否成功以及 其他与审计相关的信息； C）应对审计记录进行保护，定期备份.避免受到未预期的删除、修改或覆盖等

在数字化车间执行层对安全审计的基本要求为： a）应在网络边界、重要网络节点、重要应用和数据进行安全审计，审计覆盖到每个用户，对重要的 用户行为和重要安全事件进行审计； b）审计记录应包括事件的日期和时间、用户、事件类型、主体标识、客体标识、事件是否成功以及 其他与审计相关的信息；

GB/T412602022

附录A （资料性） 数字化车间信息安全常见威胁源 数字化车间的信息安全危险既可能来自于数字化车间（数字化车间应有明确的边界）外部，也可能 来自于数字化车间内部。威胁来源归结但不限于以下几类： a）数字化车间互联互通，上层系统受到的威胁可能渗透到数字化车间内； b）数字化车间系统支持的远程维护以及不规范的无线接入点； 数字化车间内设备访问因特网或物联网连接： d 移动媒体的不规范使用，USB设备、光盘、移动硬盘等； e）恶意攻击如DoS、DDoS、APT、人员恶意操作等； f）人员误操作

（资料性） 数字化车间信息安全常见威胁源 数字化车间的信息安全危险既可能来自于数字化车间（数字化车间应有明确的边界）外部，也可能 来自于数字化车间内部。威胁来源归结但不限于以下几类： a）数字化车间互联互通，上层系统受到的威胁可能渗透到数字化车间内； b）数字化车间系统支持的远程维护以及不规范的无线接入点； 数字化车间内设备访问因特网或物联网连接； d 移动媒体的不规范使用，USB设备、光盘、移动硬盘等； e）恶意攻击如DoS、DDoS、APT、人员恶意操作等； f）人员误操作

附 录 B （资料性） 典型机械制造行业数字化车间信息安全示例

随着网络技术的快速发展，通过网络来进行生产、管理成为制造业的趋势，利用DNC技术进行加 工过程管控，已经成为各制造企业的主流选择。DNC不同于单台机床与计算机的一对一连接，而是多 台机床组成网络，编程人员在自已的计算机编制好加工程序（NC程序）后，通过网络传输到DNC系统 中，再由DNC系统传输到数控机床中或通过数控机床访问DNC系统下载程序。 目前部分单位已经实现了以DNC系统为中心的生产工控系统网络，通过DNC系统进行NC程序 的下载和上传，实现生产的自动化控制；同时通过CNC的采集系统对机床的实时状态进行采集，将采 集数据上传至DNC服务器，实现设备状态的实时采集和汇总。这些变化大大提高了生产力，但同时也 让控制系统面临新的风险与挑战。如图B.1所示。

根据安全防护需求分析，典型工程/数字化车间安全架构如图B.2所示。

图B.1机械制造行业典型架构

B.2确定保护对象与目标

图B.2典型工程/数字化车间安全架构

对车间进行现场调研，通过对现场相关的网络、设备、数据和应用等资产进行识别与分类，确定各类 资产的可用性、完整性和保密性安全属性，然后利用确定的算法将信息资产三个因素的价值综合考虑， 确定资产价值大小，从而最终确定要保护的关键资产如下： 网络及网络设备； b）现场控制层设备：数控机床； c）计算机设备：服务器、工作站、DNC客户端等； d）软件：工业控制系统专有协议、DNC相关软件、源代码； e）数据：工艺配方、数据库数据

对车间的威胁识别包括： a）车间管理网络与控制网络互联互通，上层管理网络受到的威胁与攻击可能渗透扩展到控制 网络； b 车间不同控制单元间没有进行网络划分与隔离，局部感染可能会影响到全局； 车间控制系统远程维护缺少有效管控手段，可能会造成生产数据的信息泄密或者破坏； d）USB设备、移动硬盘等使用无有效管控手段； e 车间工控设备、主机可能遭受恶意代码及病毒攻击，未对操作站主机或者工控设备进行必要的 安全配置，一旦能接触访问到被攻击的成功机会很大； 对关键生产工艺数据、工艺配方进行窃取或破坏

对车间的脆弱性识别包括： 工控设备因自身安全性设计方面存在不足，导致其具有可自主修改权限低、安全性差； b 数字化车间设备所使用的网络协议及应用软件存在漏洞等； C 数字化车间网络系统设计、配置存在缺陷； 网络设备和网络交换设备的链路层安全策略配置不全，通过网络进行恶意攻击如MAC洪江 攻击、ARP攻击、生成树攻击等成功机会很大

B.3.3安全风险处置

基于威胁和脆弱性识别以及威胁利用脆弱性导致安全事件发生的可能性分析，并对当前已有安全 措施确认后，综合考虑风险控制成本与风险造成的影响，确定需要处置的安全风险如下： a） 从纵向上来看，控制网络可能会遭受来自办公管理网络的蠕虫、病毒扩散及其他攻击； b） 从横向上来看，一旦一个控制室单元中感染蠕虫、病毒，就可能向其他的控制区进行扩散，造成 全面风险威胁； c）攻击者可轻易的将攻击机接入到网络的某一端口，获得与工控设备进行通讯的权限，实施攻击 行为； d） 主机设备对于合法进程无识别，对于病毒无防护，主机较容易感染病毒或启动非法进程，比较 容易遭受恶意代码的攻击； e 工控设备有的依然采用默认口令或者弱口令； 整个系统网络没有形成统一有效的安全监控及审计体系，网络中如果发生异常通讯或故障，无 法及时识别并定位安全问题的源头，

B.4安全防护需求与安全策略

照明设计标准B.4.1安全防护需求

基于安全风险处置要求，结合业务现状，安全需求主要体现在以下几个方面： a）对车间网络进行安全域划分并对安全域之间实行边界防护，禁止没有防护的控制网络与互联 网连接，安全域之间通过防火墙等安全设备进行逻辑隔离； b） 在工控设备自身安全方面，其可自主修改权限低、安全性差，可被配置程度低，需要实现对设备 的安全使用和管理控制，降低自身威胁和整体风险性； C 在工业控制网络平台安全方面，如何保证指令在工控系统中传输时不被套改、丢弃，提供良好 的网络平台，提升网络质量，是能正常、正确生产的前提条件； d 在工控系统安全方面，如何保证系统不被病毒、木马等恶意程序侵害，如何保证系统不被非授 权使用、破坏等，如何保证数据被正确下载和上传，是应解决的安全问题； e） 在工控应用方面，如何保证系统的权限及使用过程合法、合理，行为可追踪，访问内容可控； 在协议安全方面，应处理好工控设备与现代信息设备协议转换和过程中数据传输的验证等： g 在接人安全方面，解决工控网络和工控设备的接人认证问题，防止非法接入； 从设备本身的安全角度看，由于设备的内部结构比较复杂、外部通用接口较多、内部专有接口 较多、控制难度较大、系统漏洞很难修补，需加强技术手段进行访问控制和审计； 1 从设备工作环境看，由于大部分设备安放在比较开放的环境下，接触人员包括公司员工、产品 厂商/供应商、协作配套等多类人群，对人员的识别应采取有效的机制，达到有效的控制信息的 知悉范围；

删除等处理活动中，数据存储 在本地未进行加密处理，同时文无相 制措施，尤其在试验环境下，信息泄露问 题严重，而目前无论从管理手

B.4.2.1管理措施

指定专人负责车间安全管理，重 牛资料做到专人管理并签署保密协议，使月 授权并有记录；外部人员的访问 与权限控制

车库设计规范和图纸B.4.2.2技术措施