DB15/T 2078-2021 奶業加工智能化控制系統信息安全技術要求

1 范圍

      本文件規定了奶業加工智能化控制系統中各個環節的信息安全技術方面的要求，明確了奶業加工智能化控制系統信息安全的控制基線。

      本文件適用于全區奶業加工智能化控制系統的設計、建設，也可作為奶業加工智能化控制系統安全性測試、評估的依據。

2 規范性引用文件

      下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 22239 信息安全技術 網絡安全等級保護基本要求

      GB/T 25069 信息安全技術 術語

      GB 50016 建筑設計防火規范

      GB 50174 數據中心設計規范

3 術語和定義

      下列術語和定義適用于本文件。

3.1

      奶業加工智能化控制系統 intelligent contorl system for dairy industray

      由現代奶業加工機械、電氣、電子、通信及系統管理與信息技術、計算機網絡技術、行業技術、智能控制技術匯集而成的針對奶業加工生產應用的智能集合。

3.2

      工業主機 industrial host

      工業生產控制各業務環節涉及組態、工作流程和工藝管理、狀態監控、運行數據采集以及重要信息存儲等工作的設備載體。

3.3

      工程師站 engineer station

      供工業過程控制工程師使用的，對計算機系統進行組態、編程、修改等的工作站。

3.4

      工業控制網絡邊界 industrial control network boundary

      工業控制系統的安全計算環境邊界， 以及安全計算環境與安全通信網絡之間實現連接并實施安全策略的相關部件。

3.5

      深度包檢測 deep packet inspection

      一種計算機網絡數據包過濾技術，用來檢查通過檢測點之數據包的數據部分（亦可能包含其標頭），以搜索不匹配規范之協議、病毒、垃圾郵件、入侵，或以預定之準則來決定數據包是否可通過或需被路由至其他不同目的地，亦或是為了收集統計數據之目的。

4 縮略語

      下列縮略語適用于本文件。

      DCS：集散控制系統（Distributed Control System）

      ICS：工業控制系統（Industrial Control System）

      ID：身份證標識號、賬號（Identity document）

      PLC：可編程邏輯控制器（Programmable Logic Controller）

      SCADA：數據采集與監視控制系統(Supervisory Control And Data Acquisition）

      VPN:  虛擬專用網絡（Virtual Private Network）

5 奶業加工智能化控制系統信息安全概述

5.1 奶業加工智能化控制系統安全框架

      奶業加工智能化控制系統是幾種類型的控制系統的總稱，包括數據采集與視頻監視控制系統（SCADA）、集散控制系統（DCS）和其他控制系統。奶業加工智能化控制系統的信息安全特性取決于其設計、管理、建設和環境條件等各種因素。

5.2 奶業加工智能化控制系統安全目標

      奶業加工智能化控制系統的安全以可用性、完整性、保密性為主要目標，其中保障生產系統的可用性尤其重要；奶業加工智能化控制系統的安全威脅一般是利用Windows系統、工業軟件系統（如SCADA、DCS）以及開放的標準工業通信協議的多個漏洞進行攻擊；此外，由于專用的工業以太網通信協議（如PROFINET、Ethernet/IP、Modbus等）在設計時并未考慮信息安全防護，存在安全漏洞。

5.3 奶業加工智能化控制系統保護原則

      保護奶業加工智能化控制系統首先是保護現場系統（如 PLC、DCS 等），保護生產連續性，其次是保護中央服務器等資產。在實際生產環境中，一些設備如果實現特定類型的安全措施可能會終止其連續運行，原則上所提出的安全防護技術要求不應對奶業加工智能化控制系統的功能安全產生不利影響。

6 信息安全技術要求

6.1 物理和環境防護

6.1.1 安全目標

      建立完善的物理環境安全機制，優化物理環境下的操作管理，以保證數據的可用性、保密性和完整性，規范設備所處物理環境的安全性，防止對組織場所和信息的未授權物理訪問、損壞和干擾。

6.1.2 技術要求

6.1.2.1 物理位置選擇

      本項要求包括：

      a) 機房應選擇在具有防雷、防震、防風和防雨等能力的建筑內；

      b) 奶業企業應根據程師站、數據庫、服務器等工業控制軟硬件的重要性，自行明確重點物理安全防護區域；

      c) 機房場地應避免設在建筑物的高層或地下室以及用水設備的下層或隔壁；如果不可避免，應采取有效防水和防潮、有效固定等措施；

      d) 如果機房周圍有用水設備，應有防滲水和疏導措施；

      e) 機房外墻壁應沒有對外的窗戶；否則，應采用雙層固定窗并作密封、防水處理。

6.1.2.2 物理訪問控制

      本項要求包括：

      a) 需進入機房的來訪人員應經過申請和審批流程，記錄帶進帶出的設備、進出時間、工作內容， 并有專人陪同并限制和監控其活動范圍；帶入的設備使用前要進行系統掃描、使用過程中要進行行為監測，設備帶出前要對工作日志等進行審計；

      b) 機房出入口應安排專人值守或配置電子門禁系統，控制、鑒別和記錄人員的進出情況，人員進出記錄應至少保存 6 個月 ；

      c) 機房出入口應有視頻監控，監控記錄至少保存 3 個月 ；

      d) 重要工程師站、數據庫、服務器等核心工業控制軟硬件所在區域采取訪問控制、視頻監控、專人值守等物理安全防護措施；

      e) 重要區域應配置第二道電子門禁系統，控制、鑒別和記錄進入的人員。

6.1.2.3 防盜竊和防破壞

      本項要求包括：

      a) 應把服務器、路由器、交換機等主要設備放置在機房內；

      b) 應把設備或主要部件進行固定，并設置明顯的不易除去的標記，如粘貼標簽或銘牌；

      c) 應把通信線纜鋪設在隱蔽處，可鋪設在地下或管道中；

      d) 應設置冗余或并行的電力電纜線路為奶業加工智能化控制系統供電，輸入電源應采用雙回路自動切換供電方式。

6.1.2.4 防雷擊

      本項要求包括：

      a) 機房應設計并安裝防雷擊措施，并在機房所在大樓防雷措施基礎上另外采取加強防護措施；

      b) 機房應設置交流電源地線，各類機柜、設施和設備等通過接地系統安全接地。

      c) 機房防雷設計除應符合本規范外，應同時符合 GB 50174 的有關規定。

6.1.2.5 防火

      本項要求包括：

      a) 機房應設置滅火設備；

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。