SY_T 7037-2016油气输送管道监控与数据采集（SCADA）系统安全防护规范.pdf

ICS 75. 200E 70SY备案号：53453-2016中华人民共和国石油天然气行业标准SY/T 7037—2016油气输送管道监控与数据采集（SCADA）系统安全防护规范Pipeline SCADA system security2016—0107 发布2016-06一01实施发布国家能源局 SY/T 7037--2016目次前言11范围1目的和目标1.11.2角色和职责2定义和缩略语2.1　定义2.2缩略语3系统管理.3.1人员11J安全防护策略·3.210风险和漏洞评估·3.3103.4业务连续性计划（BCP)10事故响应计划（IRP)3.513.6　变更管理·113.7操作系统和应用程序更新·113.8应用与软件限制·124.物理安全防护125系统访问控制12限制访问·5.112用户账户5. 213操作系统账户。5.313SCADA系统账户5.413密码管理5.513生物识别技术5.6145.7禁止非必要的服务145.8操作系统工具·14+5. 9设备访问155.10人员管理15+6　信息发布15保密信息·6.115受限信息·6.2166.3公共信息·167网络设计和数据交换16专量邮#fe网络设计7. 1167. 2网络管理·17 SY/T 7037-—201619数据交换7. 3218现场通信·218.1　现场设备技术·228.2系统访问··23SCADA安全防护示例附录A（资料性附录）.·35附录B（资料性附录）SCADA/控制系统安全防护计划11 SY/T 7037-2016前言本标准按照GB/T1.1--2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。本标准使用翻译法等同采用APIStd 1164：2009《Pipeline SCADA system security》（英文版）。为了便于使用，本标准按照GB/T1.12009和 GB/T 20000.2-2009的要求做了下列一些编辑性修改：-删除了APIStd1164：2009（英文版）的特别声明、前言和参考文献；一删除了“API石油工业安全指南”；-删除了附录B部分“根据美国能源部21个步骤提高SCADA网络安全防护水平”；删除了附录B部分“美国能源部文件中的21个步骤列表如下，以供参考”；-删除了“NIST”的定义和缩写。本标准由石油工程建设专业标准化委员会提出并归口。本标准起草单位：中国石油天然气管道工程有限公司、北京油气调控中心、中国石油管道公司、中石化石油工程设计有限公司。本标准主要起草人：聂中文、徐志强、汪涛、董旭、王怀义、田京山、高原、卜志军、邓东花程德发、刘亮、王勇、莫巨华、张书勇、吴兆鹏、闫峰、颜辉、马永祥、尹明路。 SY/T 7037--2016油气输送管道监控与数据采集（SCADA）系统安全防护规范1范围本标准为油气输送管道监控与数据采集（SCADA）系统提供了高水准的整体安全防护推荐作法。附录中提供了更详尽的细节描述和技术指导。按照本标准正文和附录的要求，可制定一套规范的安全防护操作方法。由于 SCADA系统的复杂性，管道 SCADA系统网络安全防护性能的提高，不是一个简单的过程或一次性事件，而是一个持续的过程，按照本标准正确实施整个过程可能需要数年时间。此外，SCADA系统升级可参照本标准，将本标准推荐的安全防护措施可作为新系统的内置应用，提升整个系统的安全性。1.1目的和目标运营商的目标是对管道进行有效的控制，避免因运营商或其他方的行为对员工、环境、公众及客户等造成不良影响。SCADA安全防护程序宜通过以下方法，提高管道SCADA运行安全：分析可被未授权系统利用的SCADA系统漏洞；列出用于识别和分析未授权系统攻击SCADA系统漏洞的过程；-提供用于强化核心架构的综合实践列表；一提供行业内最佳实践案例。1.2角色和职责运营商的高级管理人员应严格执行SCADA安全防护管理程序，保证能在各组织层面识别SCADA安全防护的各项责任。SCADA系统安全防护程序的涵盖范围包括运营商、业务合作伙伴、供应商、SCADA系统软硬件产品供货商和技术服务商。SCADA安全防护程序应形成SCADA安全防护计划文件，用于识别执行策略和规程的安全防护专家及从业者的任务和责任，并对SCADA领域中整个组织的计算机安全活动提供协调一致的安全防护。应规划和宣贯SCADA安全防护管理程序，以便所有实际影响或潜在影响SCADA系统安全防护的操作人员能够充分了解他们的安全任务和职责，并接受足够的培训以便安全地完成任务。SCADA安全防护程序的设计应确保正在执行的是网络安全的行业最优方案，并符合所有相关规范。2定义和缩略语2.1　定义下列定义适用于本文件。2.1.1访问控制列表access control list （ACL)每个对象配有一个