企业工业仪表控制系统安全防护实施规定.docxVIP

总则

为规范工业仪表控制系统(以下简称工控系统)安全配置，保障工控系统网络安全和稳定运行，指导企业做好工控系统安全防护工作，制定本规定。

本规定适用于企业所属油田企业、炼化企业、销售企业、专业公司（以下统称企业）新建、改扩建及在役的各种工控系统，网络不具备整改条件的油田企业和销售企业可参照执行。

本规定所称工控系统包括：分散控制系统DCS、现场总线控制系统FCS、数据采集和监控系统SCADA、可编程逻辑控制器系统PLC、工业控制计算机系统IPC（含嵌入式计算机系统）、机组控制系统CCS、安全仪表系统SIS等。

本规定主要针对工控系统网络的安全防护。与工控系统网络相连的其他工厂网络（含边界），其安全防护标准由信息化管理部另行制定。

技术要求

网络配置

工厂网络结构层次可分为过程控制层、操作监控层、数据服务层、生产运行管理层。工控系统网络层次是指工厂网络的过程控制层和操作监控层。工控系统网络配置应符合“横向分区”“纵向分层”的原则。典型工厂网络结构示意图详见附件5.1。

工控系统“横向分区”应根据工艺操作需要和数据交换最小原则进行网络分区。分区之间禁止互相操作和控制变量传输。限制过程变量传输，确需传输少量过程变量的，应采用硬接线或者串行通信卡件方式实现。各分区网络和设备应能独立运行、独立启动，数据应能独立存储。

过程控制层、操作监控层网络应按照物理子网或者设备虚拟局域网方式设置独立分区，优先采用物理子网的分区方式。

工控系统应按“纵向分层”原则设置网络各层级，在操作监控层和工厂网络的生产运行管理层之间应设置数据服务层，各层级之间应采用网络交换机连接。

过程控制层、操作监控层应通过OPC服务器、网络隔离设备（如工业防火墙等）向数据服务层传输数据。OPC服务器与数据服务层相连的网卡应独立设置。不同应用的OPC服务器应独立设置，禁止OPC服务器与工程师站共用。

与工控系统无关的网络和设备不得接入工控系统网络。SIS系统数据应通过通信传输到DCS再与数据服务层相连。独立配置的APC服务器、优化服务器与OPC服务器之间应加装工业防火墙等网络隔离设备。

第三方应用系统、计算机或者控制设备，不得直接接入过程控制层交换机，应通过串行通信卡件的方式接入。

第三方应用系统采用MODBUSTCP/IP通信协议直接接入过程控制层交换机的设备和系统，应加装工业防火墙。

宜在数据服务层配置网络流量分析设备，宜在操作监控层配置具有安全审计、异常监测和入侵检测功能等网络安全监控设备或者系统，及时发现外来的异常访问和可疑数据

，记录并报警。

工控系统应采用带网管功能的交换机，在操作监控层设置网管监控站，安装相应管理软件，对交换机的端口、网络拓扑、工作状态、运行负荷进行监测管理。

网络设备

不同物理网络分区之间的网络交换机以及不同网络分层之间的网络交换机均不得共用。

禁止网络交换机采用级联或者堆叠方式扩展端口数量。过程控制层网络交换机和操作监控层网络交换机应按1︰1冗余配置，并宜采用冗余供电方式。

网络隔离设备应独立配置，禁止采用带有防火墙功能的网络交换机替代，禁止采用软件隔离代替硬件隔离。网络隔离设备应通过工控系统兼容性测试。

OPC服务器与数据服务层之间、数据服务层与生产运行管理层之间应分别设置网络隔离设备。

网络隔离设备（数据服务层与生产运行管理层之间的除外）应具备工业协议内容识别和网络访问控制能力，并启用网络访问策略保障双向通信安全。网络访问为双向访问时

，宜使用工业防火墙，网络访问为单向访问时，可使用网闸或者数采隔离网关。

应关闭或者限制使用网络交换机、路由器不必要的物理端口，关闭或者限制使用服务器不必要的协议和服务。

采用的网络隔离设备应具有检测和报警功能。

软件补丁和病毒防护

工控系统在工厂安装、组态开发、测试期间应同步安装防病毒软件。

操作监控层的操作站、工程师站和服务器等计算机应安装厂家推荐的防病毒软件，并采用具有进程和服务配置功能的应用程序白名单和（或者）黑名单策略。

操作监控层宜设置固定或者移动专用服务器，集中对计算机软件和防病毒软件进行离线安装、更新和管理。禁止操作监控层的计算机接入公共网络对软件进行升级等操作。

应利用装置检修等机会，结合工控系统厂家等提供的系统补丁、版本升级等信息，对操作监控层的操作站、工程师站和服务器等计算机安装补丁和更新病毒库。

防病毒软件宜优先选用主动式病毒防护软件，以防止防病毒软件攻击正常操作软件导致事故发生。防病毒软件必须为合法授权的正式版本，并通过工控厂家兼容性等测试。

发现工控系统疑似被病毒感染时，应按照应急预案及时采取紧急防护措施，防止事件扩大。

访问控制

禁止工控系统面向其他网络开通HTTP、FTP、Telnet等网络服务。

禁止从企业外部