标准规范下载简介
Q/SY 201.2-2015 油气管道监控与数据采集系统通用技术规范 第2部分:系统安全.pdf中国石油天然气集团公司企业标准
油气管道监控与数据采集系统
Generaltechnical specification of supervisory control anc data acquisition system for oil and gas pipelines Part 2: System security
中国石油天然气集团公司 发布
河南某医院手术部装修施工组织设计Q/SY201.22015
范围 术语和定义 一般要求 SCADA系统机房安全及设备安全 软件安全 网络安全 信息安全 系统安全审计 参考文献:
Q/SY201.22015
Q/SY201《油气管道监控与数据采集系统通用技术规范》共有10个部分: 第1部分:功能设置; 第2部分:系统安全; 第3部分:设备编码; 第4部分:数据需求与管理; 第5部分:报警管理; 第6部分:人机画面; 第7部分:控制器程序编制; 第8部分:过程控制逻辑图; 第9部分:站场控制系统设计与集成; 第10部分:数据网络。 本部分为Q/SY201的第2部分。 本部分按照GB/T1.1一2009《标准化工作导则 第1部分:标准的结构和编写》给出的规则 起草。 本部分代替Q/SY201一2007《油气管道监控与数据采集系统通用技术规范》的第9章,与 Q/SY201一2007中第9章的内容相比,主要技术差异如下: 补充了控制系统的物理安全、网络安全要求(见第3章、第6章,2007年版的9.5); 软件安全方面补充了系统专用、端口防护、病毒防护要求(见5.1,5.4,5.5,2007年版的 9.5.3); 信息安全方面增加了信息备份与恢复内容(见7.3); 增加了系统安全审计要求(见第8章)。 本部分由中国石油天然气集团公司标准化委员会天然气与管道专业标准化技术委员会提出并 归口。 本部分起草单位:北京油气调控中心、管道分公司、西部管道分公司、西气东输管道分公司、北 京天然气管道有限公司、管道工程有限公司。 本部分主要起草人:闫峰、颜辉、梁建青、王海峰、李官政、董秀娟、张监、刘庆宏、樊欣
油气管道监控与数据采集系统通用技术规范 第2部分:系统安全
油气管道监控与数据采集系统通用技术规范 第2部分:系统安全
Q/SY201的本部分规定了油气管道监控与数据采集系统(SCADA系统)安全防护的要求。 本部分适用于新建油气管道SCADA系统安全防护方面的建设和管理
下列术语和定义适用于本文件。 2.1 远程诊断维护系统 remotediagnosticsand maintenancesystem 通过在管道站场部署数据采集设备,并通过计算机网络实现对站场智能设备运行状态实时监视 诊断和远程维护的应用系统。 2.2 中间数据库平台 middledatabaseplatform SCADA系统生产专网与企业信息网络之间的数据缓冲隔离层,作为企业信息网络应用系统获取 SCADA生产数据的唯一数据源。 2.3 物理隔离装置physicalisolationdevice 即网闸,是一种在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据 交换的网络安全设备。
即单向网闸,通过采用单向传输技术,实现数据从安全级别高的网络向安全级别低的网 动的网络安全设备
SCADA系统安全防护应覆盖系统的物理设备、安装环境、软件、网络、信息等所有安全范目 SCADA系统安全防护采用的防护设备或软件应对SCADA系统正常运行的影响降到最低。 SCADA系统与外部应用系统网络连接时,应参照系统结构示意图(如图1所示)执行
4SCADA系统机房安全及设备安全
4.1机房应设置在电力稳定可靠、清洁安静、无强电磁场干扰、并远离强震动源和强噪声源、密闭 的建筑内。 4.2机房应具备防雷和防静电要求,并设置可靠的接地设施。 4.3机房应设置火灾报警系统和灭火设备。 4.4系统设备应采用UPS供电,UPS提供的后备电源时间不得少于2h
Q/SY201.22015
度操作员工作站等, 注2:在企业信息网上运行有中间数据库平台为企业应用系统提供数据等服务。 注3:在站场控制系统中包括现场控制器、站控机, 注4:地区公司或管理处设置控制中心SCADA系统数据远程监视终端, 注5:有些地区公司设置了远程诊断维护系统,通过在站控系统部署数据采集设备,采集站场各设备运行 信息,并通过网络传至地区公司,用于设备运行状态的实时监视、诊断和远程维护。 图1系统结构示意图(虚线内为SCADA系统) 控制中心SCADA系统主要设备(服务器、网络设备)应穴余设置。 管道站场(除阀室、高点、清管站外)控制系统中的电源、控制器、网络应余设置。
.1系统服务器和操作员工作站应遵循最小安装原则,应仅安装SCADA系统本身组件、必要 毒防护软件及操作系统补丁程序。 1.2数据采集通信服务器、智能控制器应仅安装与数据采集及监控相关的程序代码
Q/SY201.22015
5.2.1系统应用操作与系统维护应采取用户账户控制方式,并根据用户类别设置分级权限。 5.2.2用户权限分级应至少包括系统管理员和系统操作员两级权限。系统管理员应具备系统组态、 系统配置、用户权限及密码、系统管理等权限。系统操作员应具备控制画面操作、数据查询、报警确 认、下发命令等权限。 5.2.3系统管理员应定期对系统中账户进行审查和确认,禁用或删除多余账户。 5.2.4用户账户与密码应一一对应。
2.1系统应用操作与系统维护应采取用户账户控制方式,并根据用户类别设置分级权限。 2.2用户权限分级应至少包括系统管理员和系统操作员两级权限。系统管理员应具备系统组 统配置、用户权限及密码、系统管理等权限。系统操作员应具备控制画面操作、数据查询、报警
5.3.1服务器和工作站操作系统、网络设备配置管理软件、SCADA应用软件系统
3.1服务器和工作站操作系统、网络设备配置管理软件、SCADA应用软件系统应采取系统登 系统操作密码防护手段
5.3.2系统软件的密码设置与管理应遵守如下原则
密码的设置应遵循规范原则,密码最小长度为6位,且必须为数字与英文字母组合形式。 b 由于某种原因密码外泄后需立即更改密码设置。 C 控制中心重要的软硬件系统配置及管理界面宜结合动态口令、物理设备、生物识别和数字证 书等鉴别技术。 用户账户和密码应备案并由系统管理员保管
5.4端口策略与服务控制
5.4.1系统服务器和工作站的操作系统应关闭与数据采集及监控无关的系统服务和协议端口,操作 系统如有系统防火墙功能应将其开启,并设置安全防护策略 5.4.2应限制对系统服务器的远程登录方式,并开启地址范围限制策略, 5.4.3启用服务器操作系统安全审计,设置文件系统的访问权限,删除系统默认共享
5.5病毒防护与补丁更新
5.1应对SCADA系统进行病毒主动防护工作,具体包括: a) SCADA系统的服务器和工作站应配置防病毒软件,并及时下载与更新测试成功的防病毒软 件病毒库。 b) SCADA系统网络中如果部署有防病毒服务器,该服务器应与互联网物理隔离。 C) 应限制光盘和移动存储介质的使用。因设备调试、系统升级等,确需通过存储介质向系统加 载数据与程序文件,应先对存储介质进行离线查杀病毒后再使用。 d) 接入SCADA系统网络的计算机设备,必须先安装杀毒软件并查杀病毒后,方可接入 SCADA系统网络。 5.2SCADA系统服务器、工作站、网络设备应进行必要的补丁更新
SCADA系统的服务器和工作站应配置防病毒软件,并及时下载与更新测试成功的防病毒软 件病毒库。 b) SCADA系统网络中如果部署有防病毒服务器,该服务器应与互联网物理隔离。 C 应限制光盘和移动存储介质的使用。因设备调试、系统升级等,确需通过存储介质向系统加 载数据与程序文件,应先对存储介质进行离线查杀病毒后再使用。 d) 接入SCADA系统网络的计算机设备,必须先安装杀毒软件并查杀病毒后,方可接人 SCADA系统网络。 5.5.2SCADA系统服务器、工作站、网络设备应进行必要的补丁更新
式。 .2SCADA系统各通信链路带宽分配应满足监控数据传输的需求
O/SY 201.22015
6.3网络分区与边界防护
6.3.1SCADA系统网络作为专用的生产控制网络,应具有相对独立性与封闭性 6.3.2不应从互联网对SCADA系统直接进行访问。 6.3.3外部应用系统网络如需与SCADA系统网络进行连接,应在两者之间部署网络防火墙及物理 隔离装置。 6.3.4各管道站控系统网络间可采用网络防火墙划分不同VLAN、设置访问列表、限制访问协议和 端口等控制方式实现网络安全域的划分及网络访问控制
6.3.1SCADA系统网络作为专用的生产控制网络,应具有相对独立性与封闭性。 6.3.2不应从互联网对SCADA系统直接进行访问。 6.3.3外部应用系统网络如需与SCADA系统网络进行连接,应在两者之间部署网络防火墙及物理 隔离装置。 6.3.4各管道站控系统网络间可采用网络防火墙划分不同VLAN、设置访问列表、限制访问协议和 端口等控制方式实现网络安全域的划分及网络访问控制
7.1.1应限制SCADA系统中移动存储介质的接入,系统更新与数据交互需使用内部专用存储介质 由内部管理人员实施操作, 7.1.2所有存储有SCADA系统信息的电子媒介,应采取物理破坏的办法来进行处理。 7.1.3服务器控制台访问应开启超时锁定功能。 7.1.4第三方系统服务商应与用户签订保密协议
7.2.1除主备中心SCADA系统和远程诊断维护系统外SGBZ-0305水泥砂浆地面施工工艺标准,严禁其他外部应用系统对站控系统进行 访间。 7.2.2远程诊断维护系统不应对站控系统中的控制设备进行远程操作和程序下载等工作 7.2.3外部应用系统不应直接访问SCADA系统的实时与历史数据库,可设置一个中间数据库平台, 作为应用系统读取生产数据的唯一数据源。
7.2.1除主备中心SCADA系统和远程诊断维护系统外,严禁其他外部应用系统对站控系统进行 访问。 7.2.2远程诊断维护系统不应对站控系统中的控制设备进行远程操作和程序下载等工作。 .2.3外部应用系统不应直接访问SCADA系统的实时与历史数据库,可设置一个中间数据库平台, 作为应用系统读取生产数据的唯一数据源。
7.3.1每周对控制中心SCADA系统工程信息进行一次增量备份,每月进行一次完全备份。 7.3.2在SCADA系统升级或维护之前,应对系统软件和工程信息进行备份。 7.3.3在对SCADA系统进行恢复操作前,应在测试系统上测试通过后,才能在在线生产环境进行 恢复操作
Q/SY201.22015
Q/SY201.22015
1]GB/T22240信息安全技术信息系统安全等级保护定级指南 [2]APIStd1164:2004PipelineSCADAsecurity
玉龙苑居住小区12#楼工程施工组织设计Q/SY 201. 22015
中国石油天然气集团公司 企业标准 油气管道监控与数据采集系统 通用技术规范 第2部分:系统安全 Q/SY 201.2—2015 石油工业出版社出版 (北京安定门外安华里二区一号楼) 北京中石油彩色印刷有限责任公司排版印刷 (内部发行) 880×1230毫米16开本0.75印张19千字印1—1200 2015年10月北京第1版 2015年10月北京第1次印刷 书号:155021·18183 定价:12.00元 版权专有不得翻印