标准规范下载简介
YC/T 580-2019 烟草行业工业控制系统网络安全基线技术规范.pdfICS 65.160 X89
中华人民和国烟草行业标准
烟草行业工业控制系统网络安全基线
TB 10068-2010 铁路隧道运营通风设计规范国家烟草专卖局 发布
本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由国家烟草专卖局提出。 本标准由全国烟草标准化技术委员会信息分技术委员会(SAC/TC144/SC7)归口。 本标准起草单位:龙岩烟草工业有限责任公司、国家烟草专卖局烟草经济信息中心、福建中烟工业 有限责任公司、四川中烟工业有限责任公司、重庆中烟工业有限责任公司、浙江中烟工业有限责任公司、 上海烟草集团有限责任公司、湖南省烟草专卖局(公司)、北京启明星辰信息安全技术有限公司。 本标准主要起草人:高一军、张雪峰、王海清、林郁、吴正举、冯祥国、李威、胡庭川、耿欣、吴洪亮、 曹琦、陈玮、冯明辉、石洁、章志华、李健俊、周佳杰、蔡喆、唐亮、李转琴、原直
YC/T5802019
烟草行业工业控制系统网络安全基线 技术规范
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本工 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 YC/T494一2014烟草工业企业生产网与管理网网络互联安全规范
每个确定安全保护等级的定级对象应是一个完整的工控子系统或由若干子系统集合组成的工控系 统,同一工业控制网络的多个工控子系统可合并作为一个定级对象。各单位可按照控制类别,将一个生 产过程中包含的多个工控子系统作为一个工控系统进行安全保护等级定级和备案;也可根据需要,将各 工控子系统分别作为独立系统进行定级和备案。
每个定级的工控系统应有唯一的责任部门,涉及多部门共同管理的工控系统应指定一个牵头部 作为唯一责任部门
6工控系统安全基线要求
T/CBDA 13-2018 轨道交通车站装饰装修施工技术规程6.1工控系统安全域划分
6.2工控系统安全域间防折
工控系统的安全域间防护应符合以下要求: a)一般情况下各安全域间应只设置一个网络互联接口,并采用工业防火墙、网闸等防护技术进行 安全域之间的逻辑隔离和访问控制;如业务需要设置多个网络互联接口时,则每个接口均应通 过工业防火墙、网闸等进行防护。 b)对各安全域间的访问控制宜采用白名单模式或其他适合的方式,仅设置必要的工控系统操作 管理和维护策略。 c)应严格禁止工控系统与互联网直接连接。 d)工控系统与管理网的连接应符合YC/T494一2014的要求。 e 各安全域间的网络通信设备、防护设备应关闭不必要的网络服务,且设置复杂密码,避免使用 默认口令或弱口令
6.3工控系统安全域内防护
6.3.1工业控制网络技术要求
工业控制网络技术要求包括但不限于以下内容: a)应对工业控制网络内设备之间的访问数据、服务、端口和协议等进行监控。 b)应在工业控制网络部署网络安全监测设备,对网络内TCP/IP协议和工控协议的异常流量、异 常协议和入侵行为等进行检测,发现利用工控漏洞或关键工控指令进行攻击的行为。 无线网络的使用控制应符合以下要求: 应对所有使用无线通信的终端设备提供唯一性标识和鉴别措施:
20kV及以下配电网工程计价定额使用疑难200问(电力工程造价与定额管理总站2019年3月)6.3.2工控主机与应用技术要求
工控主机与应用技术要求包括但不限于以下内容: a)工控主机设备操作系统应采用“最小安装”原则,仅安装自身业务运行操作所需的操作系统组 件及应用软件。 b) 工控主机管理员认证口令应满足复杂度要求,避免使用默认口令或弱口令,定期更新口令,对 关键设备、系统、平台的访问宜采用硬件数字证书实现双因子认证。 做好工控主机和应用系统的口令管理,应禁止将口令粘贴在外部及将口令保存在主机文档中。 d)拆除或封闭工业主机上不必要的USB、无线等外设接口。如确需使用,应对工控主机的外设 接口进行控制和审计,禁止未授权的设备接人工控主机。 e 启用工控主机的系统防火墙前应经过严格测试以确保对业务无影响。 在工控主机上应采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,仅 充许经过行业单位自身授权和安全评估的软件运行。 工控主机安装的防病毒软件宜是一套不与其他非工控系统中防病毒软件互联的独立的防病毒 系统。 h 应在保障组态软件、编程软件正常使用的前提下安装防病毒软件并配置病毒查杀策略和升级 策略,应禁止从互联网直接升级。 1 对工控主机的通信协议和端口的访问控制宜采用白名单模式进行。 力 应对上线前的工业软件进行漏洞检测,并安装厂家正式发布的所有安全补丁。 k) 对运行中的工控主机漏洞进行修补前应在测试环境下进行安全评估和测试验证,并保证在不 影响系统可用性、实时性和可靠性的前提下实施。 应依据安全策略对组态信息、控制程序、实时数据库表项、OPC服务器数据等文件的访问和修 改操作进行权限控制和审计。 m 应采用密码技术对鉴别数据、重要业务数据等在传输和存储过程中进行技术处理,防止数据完 整性受到破坏。
6.3.3安全运维审计技术要求