TCESA1100-2020工业控制系统信息安全防护建设实施规范

ICS35.240

L80

团体标准

T/CESA1100—2020

工业控制系统信息安全防护建设实施规范

Implementationguidefortheconstructionofinformationsecurityprotectionin

industrialcontrolsystems

2020-06-20发布2020-06-20实施

中国电子工业标准化技术协会发布

T/CESA1100-2020

工业控制系统信息安全防护建设实施规范

1范围

本标准规定了工业控制系统信息安全防护建设实施，描述了工业企业新建/存量工业控制系统信息

安全防护建设实施流程，以及实施过程中需考虑的13个方面，制定了信息安全防护效果核验及对标方法。

本标准适用于工业企业非涉及国家秘密的工业控制系统设计、建设、运维等相关方进行工业控制系

统信息安全防护建设，并为工业控制系统信息安全测评与安全检查工作提供依据。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2010 信息安全技术术语

GB/T32919—2016 信息安全技术工业控制系统安全控制应用指南

GB/T36323—2018 信息安全技术工业控制系统安全管理基本要求

3术语、定义和缩略语

3.1术语和定义

GB/T25069—2010和GB/T32919—2016界定的及下列术语和定义适用于本文件。

3.1.1

分布式控制系统DistributedControlSystem（DCS）

以计算机为基础，在系统内部（单位内部）对生产过程进行分布控制、集中管理的系统。

注1：DCS系统一般包括现场控制级、控制管理级两个层次，现场控制级主要是对单个子过程进行控制，控制管理

级主要是对多个分散的子过程进行数据采集、集中显示、统一调度和管理。

注2：改写GB/T32919—2016，定义3.3。

3.1.2

监控和数据采集系统SupervisoryControlandDataAcquisitionSystem（SCADA）

在工业生产控制过程中，对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据采

集与监控管理的控制系统。

注1：它以计算机为基础、对远程分布运行设备进行监控调度，其主要功能包括数据采集、参数测量和调节、信号

报警等。SCADA系统一般由设在控制中心的主终端控制单元（MTU）、通信线路和设备等组成。

注2：改写GB/T32919—2016，定义3.2。

3.1.3

可编程逻辑控制器ProgrammableLogicController（PLC）

1

T/CESA1100-2020

采用可编辑存储器，通过数字运算操作对工业生产装备进行控制的电子设备。

注1：PLC主要执行各类运算、顺序控制、定时等指令，用于控制工业生产装备的动作，是工业控制系统的基础单

元。

注2：改写GB/T32919—2016，定义3.4。

3.1.4

单点防护SinglePointProtection

组织面向工业控制系统、工业主机、工业网络等关键核心部分，采用数字化装备、信息技术手段等，

有针对性开展的安全防护。

3.2缩略语

ICS工业控制系统（IndustrialControlSystem）

OPC用于过程控制的对象连接与嵌入（ObjectLinkingandEmbeddingforProcessControl）

4工业控制系统信息安全防护能力建设概述

工业控制系统信息安全防护建设涉及工业控制系统设备提供商、集成商、使用方、信息安全设备提

供商、第三方测评机构等多种角色，各角色在安全防护建设过程中承担的工作各不相同，需相互配合，

共同完成。工业控制系统信息安全防护工作，需贯穿工业控制系统规划、建设、运维等生命周期各过程，

根据具体活动不同，其建设流程可分为安全分析、安全设计、安全加固、效果核验四个步骤,各步骤需

开展的活动，在本标准第5章详细介绍。第6章详细阐述上述各步骤中，开展工业控制系统信息安全防

护建设实施工作需考虑的13个安全防护控制措施，主要包含通信网络安全、工业主机安全、应用程序

安全、数据安全防护、监测预警、安全规划、组织机构建设、人员管理及培训、资产安全管理、供应链

安全、应急响应、访问控制、配置管理、介质保护和安全审计等。相关安全防护控制措施共分为13个

安全措施族，各控制措施族和族标识符的对照关系见表1。

表1安全控制族

族标识符安全控制族安全控制类

PE物理与环境安全技术

TN通信网络安全技术

IH工业主机安全技术

AP应用程序安全技术

DP数据安全防护技术

MS监测预警与态势感知技术

PD安全规划与机构建设管理

PT人员管理及培训管理

AM资产安全管理管理

SC供应链安全管理

ER应急响应管理

CM配置管理管理

AC访问控制与审计管理

2

T/CESA1100-2020

针对上述安全控制族，工业企业根据工业控制系统信息安全防护建设实际投入资源情况，采用附录

A所述工业控制系统信息安全防护效果核验法，分析安全隐患点、脆弱点、风险点，据此形成工业控制

系统信息安全防护方案，依据方案开展安全控制措施加固实施等活动，提升工业控制系统信息安全防护

水平。最后，依据附录A所述工业控制系统信息安全防护效果核验，核验加固后工业控制系统信息安

全防护达到的阶段。

工业控制系统信息安全防护效果核验通过组织所拥有的工业控制系统在13个安全控制族所达到的

水平，将工业控制系统信息安全防护分为5个目标，作为防护的综合评价结果。5个目标自低向高分别

是S-1（规划建设）、S-2（单点防护）、S-3（集成管控）、S-4（综合协同）、S-5（智能保障），如

图1所示，并在第6章给出为实现各目标，相关组织应实现的13个安全控制族的安全要求。其中较高

的安全防护目标涵盖了低目标的要求，目标的提升应通过渐进的方式来实现，即组织需达到低阶段要求

基础上，才可开展高阶段的评价。由于S-1（规划建设）指导组织建立完善的工业控制系统信息安全防

护管理体系，故该阶段要求需全部达到，才可开展S-2（单点防护）的建设工作。

图1工业控制系统信息安全防护目标示意图

规划建设（S-1）：组织应能够对工业控制系统信息安全防护建设的基础和条件进行规划，制定完

善的管理制度和组织架构，并切实推广落实相关安全管理规章制度。

单点防护（S-2）：组织能够面向工业控制系统、工业主机、工业网络等关键核心部分，采用数字

化装备、信息技术手段等，有针对性的开展安全防护，解决各部分安全问题。

集成管控（S-3）：组织能够对工业控制系统设备、主机、系统、网络、数据等方面，在各部分已

有安全防护的基础上，通过集成化工具、系统等，开展安全防护能力提升，实现工业控制系统信息安全

的集成管控。

综合协同（S-4）：组织能够面向不同产线、厂区、工厂的工业控制系统，开展信息安全防护建设，

建立多级协同的安全管理体系，并通过态势感知、统一监控等技术手段实现综合防护。

智能保障（S-5）：组织能够采用人工智能、主动防御等先进技术，通过安全知识学习、智能模型

建模等技术，全面加固工业控制系统，并实现安全防护体系的智能化演进。

第6章中的编号，均采用“安全控制族标示符-安全控制编号-安全防护阶段编号”的格式，如PE-1-1，

即表示物理与环境安全控制族中的第1个控制项在规划建设阶段目标（S-1）的要求。

5工业控制系统信息安全防护能力建设实施流程

5.1安全防护能力建设流程

3

T/CESA1100-2020

工业企业开展工业控制系统信息安全防护建设工作，需在工业控制系统规划、建设、运维三个过程

同步考虑。根据工业控制系统安全防护建设起始时段不同，通常分为两种情况：一是针对新建工业控制

系统，开展工业控制系统信息安全防护建设工作；二是针对存量工业控制系统，开展工业控制系统信息

安全防护建设工作。针对上述两种情况，工业控制系统信息安全防护建设流程，可分为分析、设计、加

固、核验等步骤，流程图参见图2。

图2工业控制系统信息安全防护建设实施流程图

a）针对新建工业控制系统，需将工业控制系统信息安全防护建设工作贯穿于生命周期各个过程，

在其规划期间，完成工业控制系统信息安全防护分析、设计工作，在建设过程完成加固、核验

工作，在运维过程持续跟踪工业控制系统信息安全防护实际情况，并当满足工业控制系统运行

达到规定的时间周期需开展安全防护复核、系统结构或工艺流程发生重大变更、重大安全隐患

及安全事件发生三条要求之一时，针对该时间点目标工业控制系统信息安全实际情况，开展安

全性分析、安全设计、安全加固及防护效果核验等活动；

b）针对存量工业控制系统，因其已进入系统运维过程，故在持续跟踪工业控制系统信息安全防

护实际情况中，当满足工业控制系统运行达到规定的时间周期、系统结构或工艺流程发生重大

变更、重大安全隐患及安全事件发生三条要求之一时，需根据该时间点目标工业控制系统信息

安全实际情况，开展安全性分析、安全设计、安全加固及防护效果核验等活动。

5.2安全分析

组织在工业控制系统信息安全防护建设活动中，应根据自身所属行业等因素，确定目标安全效果，

基于不同工业行业、工艺流程、工业控制系统品牌型号、组织实际安全防护资源现状、组织机构特点等

因素，开展工业控制系统信息安全防护安全分析及工业控制系统风险分析，分析内容包含但不限于改善

工业控制系统安全防护可带来的收益、未实施安全防护措施可造成的潜在成本损失情况、制定实施及维

持安全防护活动所需资源成本等，形成工业控制系统信息安全防护分析报告。

a）针对新建工业控制系统，安全分析为安全防护工作起始，需结合组织所属工业行业、工艺流

程特点，结合组织实际安全防护资源现状、组织机构特点等因素，开展安全分析工作；

b）针对存量工业控制系统，当工业控制系统运行达到规定的时间周期、系统结构或工艺流程发

生重大变更、重大安全隐患及安全事件发生三种情况中的一种发生时，应基于不同工业行业、

工艺流程、工业控制系统品牌型号、已有安全防护措施等因素，综合考虑组织安全防护资源现

状、组织机构特点、现有工业控制系统及安全防护方案等,开展安全分析工作。

安全分析可根据第6章所列通信网络安全、工业主机安全、应用程序安全、数据安全防护、监测预

警、安全规划、组织机构建设、人员管理及培训、资产安全管理、供应链安全、应急响应、访问控制、

配置管理、介质保护和安全审计等13个安全防护方面来考虑，结合业务系统特点，分析安全防护措施

4

T/CESA1100-2020

缺失造成的潜在影响，并依据附录A中所述的工业控制系统信息安全防护效果核验，综合衡量评判当前

控制系统信息安全防护所处的阶段。

5.3安全设计

工业控制系统信息安全防护建设需在安全分析的基础上，针对目标系统安全缺陷及脆弱性，结合组

织自身所属工业行业及工艺流程特点，以及组织安全防护资源现状、组织机构特点等因素，开展安全防

护建设方案设计工作，主要包括工业信息安全咨询、安全防护方案设计、防护方案评审等，形成工业控

制系统信息安全防护方案。原则上，工业企业工业控制系统信息安全防护年度投资额应不低于工业控制

系统总投资额的一定比例。

a）针对新建工业控制系统，需在控制系统规划阶段同步考虑工业控制系统信息安全防护，统筹

考虑控制系统及安全防护设备选择，设计形成内外融合的一体化安全防护方案，同时设计配套

的安全管理组织机构及规章制度，形成完善的工业控制系统信息安全防护体系；

b）针对存量工业控制系统，根据安全分析所发现的系统脆弱性、安全缺陷及风险隐患，结合已

有信息安全防护基础，有针对性的设计安全防护解决方案，进一步提升工业控制系统信息安全

防护能力水平。

安全设计应结合组织目标安全效果需求，依据第6章中13个安全防护控制族中相关要求开展技术、

管理方面设计，并针对工业控制系统信息安全防护方案中拟采用的信息系统IT产品、工业控制设备产

品、信息系统安全防护产品和控制系统安全防护产品等开展安全功能测试和防护能力测试，并在条件允

许的情况下，通过数字仿真或半实物仿真方式模拟系统的行为，验证工业控制系统信息安全防护方案的

科学性、合理性和有效性。

5.4安全加固

工业控制系统信息安全防护相关组织应在工业控制系统上线前、停机检修期间等时间段内，根据安

全设计形成的工业控制系统信息安全防护方案内容，开展信息安全防护加固工作，并成立专项工作小组，

具体监督、审核安全防护措施工作实施。针对安全管理类安全控制措施，依据工业控制系统信息安全防

护方案内容，开展安全管理体系建设工作，重点开展安全管理策略、规划等制度制定，并通过宣传培训

等方式，落实相关管理制度。针对安全技术类安全控制措施，应由组织内工业生产相关部门、生产设备

运维相关部门、信息化相关部门共同组成实施小组，开展工业控制系统信息安全防护实施工作，对于需

由第三方服务提供商完成的工作，应根据组织安全管理制度，严格执行服务提供商选择、安全协议签订、

服务过程监督等规定。

在安全控制措施实施结束后，需对工业控制系统信息安全防护措施的有效性、对控制系统的潜在影

响等进行统一测试。

5.5效果核验

组织在安全加固的基础上，需对完成工业控制系统信息安全防护加固工作的工业控制系统开展监

视、测量、分析和评价，定期开展内部审核和管理评审，依据第6章所列13个安全防护方面，并依据

附录A中所述的工业控制系统信息安全防护效果核验，综合衡量评判安全加固后工业控制系统信息安全

防护综合水平，核验其是否满足预期水平。

6工业控制系统信息安全防护能力通用要求

6.1安全技术要求

5

T/CESA1100-2020

6.1.1物理与环境安全（PE）

物理隔离保护（PE-1）

组织应对工业控制系统所在区域采取区域划分、物理隔离、访问控制、视频监控、专人值守等物理

安全防护措施，安全建设要求见下表2：

表2物理隔离保护安全要求

S-5

域S-1（PE-1-1）S-2（PE-1-2）S-3（PE-1-3）S-4（PE-1-4）

（PE-1-5）

a）组织应基a）组织应基于重要工程师a）维护工业控制系统a）应对较容易进入且拥a）组织使

于工业控制站、数据库、服务器、工业物理访问记录；有可移动介质驱动器的用自动化

物软硬件重要控制设备等核心工业控制软b）在需要对访客进行工业现场设备采取物理的物理隔

理程度规划设硬件划分重点物理安全防护陪同和监视的环境下加锁、驱动卸载或软件禁离保护管

隔

立重点物理区域；对访问者的行为进行用等手段提高安全性；理实时监

离

保安全防护区b）在指定出入口采用围墙、陪同和监视；b）应将服务器放置在带控机制，自

护

域；门禁、门卫等物理访问控制c）组织应控制对工程锁的区域并采用认证保动保存物

（

b）组织应对措施，具有物理访问授权不师站、操作员站等工业护机制；理隔离保

P

E

-重点物理安代表对该区域工业控制系统主机的物理访问，这些c）应将工业控制系统网护日志，并

1

）全防护区域组件有逻辑访问权；控制应独立于对工业络设备放置在只能由授实现实时

创建物理隔c）在物理访问工业控制系统生产设备的物理访问权人员访问的符合环境预警提示

离保护管理设施前对人员的访问权限进控制要求的安全区域中

文档行验证

应急电源（PE-2）

组织应为工业控制系统设立独立应急电源以保证其正常运行，安全建设要求见下表3：

表3应急电源的安全建设要求

域S-1（PE-2-1）S-2（PE-2-2）S-3（PE-2-3）S-4（PE-2-4）S-5（PE-2-5）

a）组织中备有应急a）为工业控制系统a）提供长期备份电a）组织应提供工业a）组织为工业控制

电源，能在紧急情况配备应急UPS电源，以便主电源失效控制系统长期的备系统提供长期高效

下为包括工业控制源，并计算其续航时时在规定时间内保用电力供应系统，该的备用电力供应系

应系统在内的设施提间；持工业控制系统功系统是独立运行而统，能完全接替主电

急

供电力保障）提供短期不间断能；不依赖外部电源的源的供电任务，使工

电b

源电源，以便在主电源b）组织应为工业控业控制系统能够在

（失效的情况下正常制系统提供备用电主电源长期丧失的

P

E关闭工业控制系统力供应系统，能够在事故中，实现主备电

-

2）主电源长期丧失的源的实时切换，以维

事故中有能力维持持其事故前的工作

工业控制系统所必运行能力

须的最小的运行能

力

6

T/CESA1100-2020

物理防灾（PE-3）

组织应具备物理防灾能力并部署相应防灾装置，安全建设要求见下表4：

表4物理防灾安全要求

S-1

域S-2（PE-3-2）S-3（PE-3-3）S-4（PE-3-4）S-5（PE-3-5）

（PE-3-1）

a）组织应a）为工业控制系a）组织应在放置工业控制系统a)工业主机集中部a）组织应使用自动

为工业控统部署火灾检测的设施内应设置避雷装置，工署的区域，如主机房、化的物理防灾管理

制系统创和消防系统或设业主机集中部署区域，如主机通信设备机房等应采实时监控机制，对工

建物理防备，并维护该设房、通信设备机房等应满足机用具有耐火等级的建业控制系统所在区

灾管理制备；房相关安全建设标准；筑材料，采取区域隔域的物理防灾情况

度文档b）应控制工业控b）工业控制系统应满足电磁离防火措施，将重要实时探测并记录，能

物制系统所在环境防护要求，防止外界电磁干扰设备与其他设备隔对有物理灾患的情

理

的温湿度，使其和设备寄生耦合干扰；电源线离；况及时进行预警提

防

灾处于设备运行允和通信线缆应隔离，避免互相b）工业主机集中部署示；

（

许的范围；干扰；的区域，如主机房、b）当有事故发生时，

P

Ec）组织应提供易c）应使用防火设备或系统，该通信设备机房等应设物理防灾系统能自

-

3）用、工作正常的、设备或系统在火灾事故中会置温湿度自动调节设动调配物理防灾装

关键人员知晓的自动激活并通知组织和紧急施，使机房温湿度的置，对事故所在区域

总阀门或隔离阀事件处理人员；变化在设备运行所允实施正确应急处理

门以保护工业控d）应使用灭火设备或系统，许的范围之内；手段，快速控制现场

制系统免受漏水该设备或系统为组织和紧急c）组织应使用自动化事故情况，使其负面

事故的损害事件处理人员提供任何激活机制，在重大漏水事后果最小化

操作的自动通知故时能保护工业控制

系统免受水灾

6.1.2通信网络安全（TN）

网络隔离（TN-1）

组织应分离工业控制系统的开发、测试和生产环境，安全建设要求见下表5：

表5网络隔离安全要求

域S-1（TN-1-1）S-2（TN-1-2）S-3（TN-1-3）S-4（TN-1-4）S-5（TN-1-5）

网a）组织应为开发和a）组织应确保开发a）开发测试环境应a）组织应针对工业a）组织应搭建云端

络

隔测试环境，维护一个测试环境与实际生由一系列足以支持控制系统分别提供开发环境，测试环境

离基线配置产环境物理相分离开发测试工作且尽独立的开发、测试和与实际生产环境高

（量与生产环境接近生产环境，避免开度仿真，实现开发环

T

N的设备搭建而成发、测试环境中的安境、测试环境、用户

-

1）全风险引入生产系验收测试环境及生

统产环境的分离控制

7

T/CESA1100-2020

区域划分（TN-2）

组织应对工业控制网络安全区域之间进行逻辑隔离安全防护，安全建设要求见下表6：

表6区域划分安全要求

域S-1（TN-2-1）S-2（TN-2-2）S-3（TN-2-3）S-4（TN-2-4）S-5（TN-2-5）

）组织应建立安全）组织应根据区域）组织应采用工业）组织应将具有相）组织可采用自动

区aaaaa

域区域划分策略重要性和业务需求防火墙、网闸等防护同功能和安全要求化机制，基于深度防

划对工业控制系统进设备，对工业控制网的控制设备划分到御的思想，智能生成

分

（行安全区域划分，以络安全区域实施隔同一区域，区域之间区域访问控制策略

T确保安全风险的区离防护执行管道通信，并对并自适应演进，以针

N

-域隔离控制区域间管道中对不同安全区域的

2）

的通信内容进行统边界实现不同程度

一管理的安全隔离强度

边界防护（TN-3）

组织应禁止没有防护的工业控制网络与互联网连接，安全建设要求见下表7：

表7边界防护安全要求

域S-1（TN-3-1）S-2（TN-3-2）S-3（TN-3-3）S-4（TN-3-4）S-5（TN-3-5）

a）组织应禁止未加a）组织应在生产网a）组织应监视并控a）组织应通过受控a）组织应部署相应

防护的工业控制网和办公网边界部署制在工业控制网络的接口连接外部网技术措施，以发现并

络与互联网直接连安全防护设备，防止边界上的通信，以及络或工业控制系统；阻断非授权内联和

边接，确保互联网的安办公网的安全风险网络内关键边界上b）组织应限制无线非法外联行为；

界

全风险不被引入工进入工业控制网络；的通信网络的使用，保证无）组织可采用可信

防b

护业控制网络b）应能够对非授权线网络通过受控的验证机制对接入到

（设备私自联到内部边界防护设备接入网络中的设备进行

T

N网络的行为进行限内部网络可信验证，保证接入

-

3）制或检查；网络的设备真实可

c）应能够对内部用信

户非授权联到外部

网络的行为进行限

制或检查

6.1.3工业主机安全（IH）

安全软件（IH-1）

组织应在工业主机中采用经过离线环境中充分验证测试的安全软件，安全建设要求见下表8：

8

T/CESA1100-2020

表8安全软件安全要求

域S-1（IH-1-1）S-2（IH-1-2）S-3（IH-1-3）S-4（IH-1-4）S-5（IH-1-5）

a）应建立工业主机a）安全软件应在离a）应定期对工业控a）组织应安装工业a）工业控制系统安

防病毒和恶意软件线环境中充分测试制系统进行查杀，在控制系统安全软件全软件统一管理系

入侵管理制度，制定验证，确保其不会对临时接入设备使用统一管理系统，以实统应集成自适应分

安安全管理文档，确保工业控制系统的正前进行查杀，并做详现网络内工业主机析学习功能，通过控

全

该管理机制可有效常运行造成影响；细查杀记录安全防护软件的统制行为逻辑安全性

软

件规范防病毒和恶意b）应依据采购合同、一管理；判断、分布式逻辑行

（软件入侵管理工作；软件协议等规定的b）工业主机上部署为的综合分析等，实

I

Hb）应在工业主机中方式使用安全软件的安全软件，应能够现异常控制程序、指

-

1）安装安全软件，有效及时识别网络入侵令等实时分析反馈

防护病毒、木马等恶和恶意病毒，并告警

意程序，防止未授权

应用程序和服务运

行

补丁升级（IH-2）

组织应密切关注重大工控安全漏洞及其补丁发布，及时安装最新发布的安全相关补丁和服务包，安

全建设要求见下表9：

表9补丁升级安全要求

域S-1（IH-2-1）S-2（IH-2-2）S-3（IH-2-3）S-4（IH-2-4）S-5（IH-2-5）

a）应建立工业信息a）出现重大工业信a）补丁安装前，应a）应制定详细的回a）应部署补丁审查

安全漏洞和补丁管息安全漏洞后，应及对补丁进行安全评退计划，确保工业控系统，自动定期扫描

理制度，确保组织掌时跟踪补丁发布，在估测试，验证其有效制系统能够回到稳检查工业主机补丁

补握重大工业信息安适当时间（原则上不性并评估可能带来定的运行状态升级情况；

丁

全漏洞信息，并及时超过天）进行补的后果，必要时进行）补丁安装前，应

升180b

级采取措施丁升级或开展消减离线评估，确保补丁建立与实际生产环

（措施安装后工业控制系境高度一致的安全

I

H统的正常运行；测试环境，并在测试

-

2

）b）应建立补丁升级环境中开展全面安

标准化流程，对补丁全性测试，确保补丁

升级进行集中统一的有效性及可靠性

管理，由专业人员进

行补丁升级

外设管理（IH-3）

组织应拆除或封闭工业主机上不必要的USB、光驱、无线等接口，安全建设要求见下表10：

9

T/CESA1100-2020

表10外设管理安全要求

域S-1（IH-3-1）S-2（IH-3-2）S-3（IH-3-3）S-4（IH-3-4）S-5（IH-3-5）

外a）应建立工业主机a）应拆除或封闭工a）确需使用工业主a）应采用统一审批无

设

外设接口管理制度，业主机上不必要的机外设接口时，通过的工业主机外接设

管

理严格管控工业主机USB、光驱、无线等主机外设安全管理备，工业主机拒绝访

（外设接口的使用接口，防止病毒、木技术手段实施访问问未经审批的外接

I

H马、蠕虫等恶意代码控制，以避免未授权设备

-

3）入侵，并避免数据泄的外设终端接入

露

身份认证（IH-4）

组织应在工业主机登录、应用服务资源访问等过程中采用身份认证措施，安全建设要求见下表11：

表11身份认证安全要求

域S-1（IH-4-1）S-2（IH-4-2）S-3（IH-4-3）S-4（IH-4-4）S-5（IH-4-5）

a）应建立身份认a）应在工业主机登录、a）连续登录失败时，a）应根据实际情况，a）组织通过自建电

证管理制度；应用服务资源访问、工应限制账户的无效明确关键设备、系统子认证体系，建立全

b）应建立密码业云平台访问等过程中访问尝试；和平台，并在访问过组织范围内的身份

口令管理制度；使用身份认证管理技术b）应加强对身份认程中，采用两种或两认证系统，实现多级

c）应根据不同业（如口令密码、数字证证证书信息保护力种以上因素认证方别多因素的认证方

务需求、岗位职书、生物指纹等）；度，禁止在不同系统式，以避免非法登录式，以此构建重要工

身

份责等，合理分类b）应明确禁止账户借和网络环境下共享。等安全隐患；业主机多层防御机

认设置账户用；组织应确保其身份b）应明确授权和监制

证

）应以满足工作要求的认证证书传输、存储督匿名账户的使用；

（c

I最小特权原则来进行系的安全可靠，避免证c）需定期自行审计

H

-

4统账户权限分配；书的未授权使用分配的账户权限是

）

d）应为工业控制设备、否超出工作需要，确

工业通信设备等的登录保超出工作需要的

账户设置高强度登录密账户权限及时调整；

码，并定期更新d）当未成功尝试超

出最大次数时，应锁

死账户，直至管理员

予以释放

6.1.4应用程序安全（AP）

源代码审计（AP-1）

组织应开展工业控制系统应用程序的源代码审计，安全建设要求见下表12：

10

T/CESA1100-2020

表12源代码审计安全要求

域S-1（AP-1-1）S-2（AP-1-2）S-3（AP-1-3）S-4（AP-1-4）S-5（AP-1-5）

a）组织制定相关管a）防止在工业控制a）对于定制软件和a）组织应记录代码a）组织根据累积的

理制度，明确规定在系统相关应用程序应用程序的脆弱性审计过程和结论，经经验和知识库，定制

源部署运行应用程序中使用来自开源、受进行分析，开展源代过分析形成知识库，开发行业级的代码

代

前，应对其源代码进限制的或无认证源码评审、分析、漏洞规范代码审计流程，审计工具，并不断进

码

审行安全性测试代码源的可执行代挖掘等工作，包括但指导产业链上下游行升级维护；

计码不限于SQL注入、依规开展源代码审b）组织应进一步形

（

文件操作（上传/写计工作；成标准化的代码审

A

P入/读取/删除）、文b）组织中安装运营计工具库及流程；

-

1

）件包含、命令执行、的应用程序，均应具c）组织应对安装运

XSS、Cookie欺骗、有应用程序的源代营的应用程序，开展

逻辑漏洞等方面码安全检测审计报源代码安全检测工

告作

升级安全保障（AP-2）

组织应对工业控制系统应用程序进行安全升级，安全建设要求见下表13：

表13升级安全保障安全要求

域S-1（AP-2-1）S-2（AP-2-2）S-3（AP-2-3）S-4（AP-2-4）S-5（AP-2-5）

a）组织应针对应用a）组织在对应用程a）组织应对应用程a）组织应针对应用无

程序的升级过程建序升级实施前，对升序升级后的运行情程序建立安全升级

升

立完善的安全保障级包的来源进行可况进行持续跟踪，及管理系统，统筹管理

级

安制度靠性验证；时发现异常状况，确组织内部应用程序

全b）组织在升级包安保系统稳定运行的升级计划及实施

保

障装前，应对升级包进过程；

（行安全评估测试，验b）组织应制定详细

A证其有效性并评估的“回退”计划并具

P

-

2）可能带来的后果，以备实施能力，确保需

确保其安装后应用要时应用程序及工

程序及工业控制系业控制系统能够回

统仍能够正常运行退到稳定运行状态

6.1.5数据安全防护（DP）

数据分类分级管理（DP-1）

组织应按照行业主管部门相关要求，结合数据重要性级别，建立工业数据分类分级管理制度，安全

建设要求见下表14：

11

T/CESA1100-2020

表14数据分类分级管理安全要求

域S-1（DP-1-1）S-2（DP-1-2）S-3（DP-1-3）S-4（DP-1-4）S-5（DP-1-5）

a）定期对工业数据a）应按照行业主管a）应对工业数据的a）原则上禁止核心a）应对不同重要性

资产进行分类梳理，部门相关规定，开展应用现状、防护措工业数据共享，确需或敏感