核能行业网络安全等级保护实施指引第 5 部分：工业控制系统安全扩展要求

本文件主要依据国家《GB/T22239-2019信息安全技术网络安全等级保护基本要求和后处理设施等核燃料循环设施；放射性废物的处理、贮存、处置设施。本文件适用于实施信息系统安全等级保护的核能行业机构、测评机构和核能信息系统安全等级保2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日GB/T22239-2019信息安全技术网络安全等级保护基本GB/T25070-2019信息安全技术网络安全等级保护安全设计技术GB/T28448-2019信息安全技术网络安全等级保护测评GB/T25058-2019信息安全技术网络安全等级保护实施GB/T36627-2018信息安全技术网络安全等级保护测试评估技术GB/T36958-2018信息安全技术网络安全等级保护安全管理中心技术GB/T22240-2020信息安全技术网络安全等级保护定级NB/T20063-2012核电厂仪表和控制术语NB/T20428-2017核电厂仪表核控制系统计算机安全防范总体要求（2）安全保护能力securityprot能够抵御威胁、发现安全事件以及在遭到损害后能够是指一旦泄露可能会对用户或机构造成损失的数据，包工业控制系统(ICS)是一个通用术语,它包括多种工业生产中使用的控制系统,包统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统,如可编程逻辑控制器(PLC),现已广从一个数字化数据网络分离的角度进行的直接数据通信的移除（例如没有任何代理或网络安FTP：文件传输协议（FileTransferProtocTCB：可信计算基（TrustedComputingAPT：高级可持续威胁攻击（AdvancedPersistentThreat等级保护对象是指网络安全等级保护工作中的对象，通常是指由计算机或者其他信息终端及相络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互不同级别的等级保护对象应具备的基本安全保第一级安全保护能力：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的第二级安全保护能力：应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻第三级安全保护能力：应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快第四级安全保护能力：应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够及/系统、大数据平台/系统、物联网、工业控制系统等。形态不同的等级保护全保护需求也会有所差异。为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保特定技术或特定的应用场景选择性实现安全扩展要求。安全通用要求和安全扩展要求共同构成了对等级保本部分新增“核能行业增强性安全要求”，在文本中以粗体表示。核能行业增强性安全要求在结的有关要求，坚持“安全分区、网络专用、横向隔离、纵向认证”的原则，保障系统的安全运行；3)管理信息大区网络与生产控制大区网络应物理隔离；两网之间有信息通信交换时应部有唯一网络边界，应在网络边界处按照等保要求重点进行安略a)室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固；箱体或装置具有透b)室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保c)对于相关应用场景下的控制设备，出了满足以上要求外还应依照特定项目要求a)机房各出入口应安排专人值守或配置电子门b)工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段。c)涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他a)在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份a)应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区c)访问控制设备应支持数据流访问控制检查规则，基于通信数据流的会话状态信息、应用协议和应用内容（包括常用工控协议Modbus、OPC协议等）进行访问控制；a)工业控制系统内部应禁止使用拨号访问服务。a)工业控制系统内部应禁止限制无线网络的使用，避免非授权用户私自通过无线网络接入工业控制c)应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及d)应能够对内部网络中出现的内部用户未通过准许私自联到外部网络a)控制设备自身应实现相应级别安全通用要求提受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手b)应在经过充分测试评估后,在不影响系统安全稳定运行c)上线前应针对控制系统设备开展漏洞扫描工作，漏洞的修复应事先验证修复操作是否对系统的功d)在投运周期内应充分利用系统维修等离线场景，定期针对控制设备开展漏洞扫描工作，漏洞的修复应事先验证修复操作是否对系统的功能、性能或可靠性产生不可接受的影响，如存在不可接受影响或因其他技术限制无法验证修复措施对系统的f)控制系统内各主机应部署基于文件加载控制功能的白名单软件并于投入运行前开启白名单防护策h)恶意代码检测和白名单列表应形成文档记录并贯穿控件管理，定期对网络安全设备的配置文件进行备份，发生变动时应及时备份。b)应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这c)应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等e)安全管理平台通过专用网络进行安全事件的收集、网络安全设备进行管理，应避免网络安全数据与工业控制系统业务共用网络资源a)应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对操作病毒、黑客的攻击行为。审计内容包括但不限于对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。a)应在外包开发合同中规定针对开发单位、供应a)室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固；箱体或装置具有透a)机房各出入口应安排专人值守或配置电子门c)应对机房划分区域进行管理，区域和区域之间应用物理方式隔断，在重要区域前设置交付或安装a)应建立备用供电系统，至少满足主要设备在断电情况下的正常运a)工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔b)工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段；c)涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他a)在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份a)应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域；，c)访问控制设备应支持数据流访问控制检查规则，基于通信数据流的会话状态信息、应用协议和应用内容（包括常用工控协议Modbus、OPC协议等）进行访问控制；d)应在工业控制系统内安全域和安全域之间的边界防护机制失e)生产控制系统与调度管理系统进行控制指令或相关数据交换应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。a)工业控制系统内部应禁止使用拨号访问服务。b)应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识c)应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及d)应对无线通信采取传输加密的安全措施,实现传输e)对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设a)控制设备自身应实现相应级别安全通用要求提出受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手b)应在经过充分测试评估后,在不影响系统安全稳定运行c)应关闭或拆除控制设备的软盘驱动、光盘驱f)上线前应对控制系统设备开展脆弱性检测工漏洞的修复应事先验证修复操作是否对系统的功能、性能或可靠性产生不可接受的影响，如存在不可接受影响，则应放弃修复并采取其他补偿措施；g)控制设备在投运周期内应充分利用系统维修等离线场景，应采用如下的漏洞检测方法及时和定期漏洞的修复应事先验证修复操作是否对系统的功能、性能或可靠性产生不可接受的影响，如存在不可接受影响，则应放弃修复并采取其他补偿措施；h)漏洞的扫描和修复应形成文档记录并贯穿控制系统生命周期全周期存档；i)漏洞的扫描和修复应形成文档记录并贯穿控制系统生命周期全周期存档；j)控制系统内各主机应部署基于文件加载控制功能的白名单软件并于投入运行前开启白名单防护策a)应在工业控制系统中部署安全管理系统，应能通过系统管理员对网络安全设备进行统一的策略、事件管理，定期对网络安全设备的配置文件进行备份，发生变动b)应对系统管理员进行身份鉴别，只允c)应能通过系统管理员对系统资源和运行参数进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份d)安全管理系统应提供数据备份与恢复功能；a)应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对操作记录进行存储、管理和查询等；c)应能够对工控系统内部网络流量进行协议深度解析，识别工业控制系统内工控设备的通信关系，能够发现隐藏在正常流量中的异常数据包，应能针对工业协议的网络攻击、用户误操作、用户违规操作、违规外联、非法设备接入等内网异常行为进行实时检测，并d）应能够实时监测工业控制系统的主机、网络设备、安全设备运行状态，进行集中化的性能状态监控、安全事件的集中展示；病毒、黑客的攻击行为。审计内容包括但不限于对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。a)工业控制系统的重要设备、软件等应通过专业机构的安全性检测后方可采购使用；b)采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。a)应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容；b)工控系统中使用的自行开发或外包开发的软件产品投运前应进行安全评估。a)室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透a)机房各出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的a)应建立备用供电系统，至少满足主要设备在断电情况下的正常运a)工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用符合国家或行业规定的专用b)工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;c)涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他a)在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份a)应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域c)访问控制设备应支持数据流访问控制检查规则，基于通信数据流的会话状态信息、应用协议和应用内容（包括常用工控协议Modbus、OPC协议等）进行访问控制；d)应在工业控制系统内安全域和安全域之间的边界防护机制失e)生产控制系统与调度管理系统进行控制指令或相关数据交换应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。a)工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴b)拨号服务器和客户端均应使用经安全加固的操作系统,b)应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识c)应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及d)应对无线通信采取传输加密的安全措施,实现传输e)对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设a)控制设备自身应实现相应级别安全通用要求提受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手b)应在经过充分测试评估后,在不影响系统安全稳定运行c)应关闭或拆除控制设备的软盘驱动、光盘驱漏洞的修复应事先验证修复操作是否对系统的功能、性能或可靠性产生不可接受的影响，如存在不可接受影响，则应放弃修复并采取其他补偿措施；k)控制设备在投运周期内应充分利用系统维修等离线场景，应采用如下的漏洞检测方法及时和定期漏洞的修复应事先验证修复操作是否对系统的功能、性能或可靠性产生不可接受的影响，如存在不可接受影响，则应放弃修复并采取其他补偿措施；l)漏洞的扫描和修复应形成文档记录并贯穿控制系统生命周期全周期存档；m)可对控制设备开展协议模糊测试，以验证协议栈健壮性并进一步挖掘系统漏洞；m)漏洞的扫描和修复应形成文档记录并贯穿控制系统生命周期全周期存档；n)控制系统内各主机应部署基于文件加载控制功能的白名单软件并于投入运行前开启白名单防护策p)恶意代码检测和白名单列表应形成文档记录并贯穿控a)应在工业控制系统中部署安全管理系统，应具备系统管理员对网络安全设备进行统一的策略、事件管理，定期对网络安全设备的配置文件进行备份，发生变动时应及时备份；b)应对系统管理员进行身份鉴别，只允e)安全管理平台通过专用网络进行安全事件的收集、网络安全设备进行管理，应避免网络安全数据a)应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对操作记录进行存储、管理和查询等；c)应能够对工控系统内部网络流量进行协议深度解析，识别工业控制系统内工控设备的通信关系，能够发现隐藏在正常流量中的异常数据包，应能针对工业协议的网络攻击、用户误操作、用户违规操作、违规外联、非法设备接入等内网异常行为进行实时检测，并d）应能够实时监测工业控制系统的主机、网络设备、安全设备运行状态，进行集中化的性能状态监控、安全事件的集中展示；病毒、黑客的攻击行为。审计内容包括但不限于对网络运行日志、操作系统运行日