DB32T 2289-2013 重点领域工业控制系统信息安全保护基本要求.docxVIP

ICS25.040L70

备案号：41724-2014

江苏

省

地

DB32

方标准DB32/T2289—2013

重点领域工业控制系统信息安全保护基本要求

Baselineforinformationsecurityprotectionofimportantfieldsindustrialcontrolsystems

2013-04-10发布2013-06-10实施

江苏省质量技术监督局发布

DB32/T2289—2013

I

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4重点领域工业控制系统连接要求 1

5重点领域工业控制系统组网要求 2

6重点领域工业控制系统配置要求 3

7重点领域工业控制系统设备选择与升级要求 3

8重点领域工业控制系统数据要求 4

9重点领域工业控制系统应急要求 5

DB32/T2289—2013

II

前言

本规范依据GB/T1.1—2009《标准化工作导则第1部分：标准的结构和编写》编写。

本规范由江苏省经济和信息化委员会提出。

本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）。

本规范起草人：黄申、吴兰、张腾标、李国琴。本规范由江苏省经济和信息化委员会归口。

DB32/T2289—2013

1

重点领域工业控制系统信息安全保护基本要求

1范围

本标准规定了重点领域工业控制系统信息安全保护的术语和定义、连接要求、组网要求、配置要求、设备选择与升级要求、数据要求、应急等基本要求。

本标准适用于重点领域工业控制系统的信息安全保护。

2规范性引用文件

下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20984信息安全技术信息安全风险评估规范

GB/T26333工业控制网络安全风险评估规范

GB/T26802.1工业控制计算机系统通用规范第1部分:通用要求

3术语和定义

GB/T26333和GB/T26802.1界定的及以下术语和定义适用于本文件。

3.1重点领域importantfields

包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。

4重点领域工业控制系统连接要求

4.1与公共网的连接管理要求

4.1.1应制定工业控制系统网络与公共网互联的审批备案制度；

4.1.2应制定工业控制系统网络与公共网互联情况的定期检查制度；

4.1.3应制定定期风险评估的规定，依据GB/T20984对与工业控制系统网络互联的系统开展风险评估；

4.1.4应对工业控制系统开展风险评估；

4.1.5应在工业控制系统网络与公共网的互联中采取隔离措施（防火墙、单向隔离设备等）；

4.1.6应对隔离措施的有效性进行验证；

4.1.7应采取必要的技术措施对系统之间的互联采取识别和认证。

DB32/T2289—2013

2

4.2对移动存储介质的管理要求

4.2.1应制定移动存储介质的使用管理制度；

4.2.2应在管理制度中禁止在工业控制系统网络和公共网之间交叉使用移动存储介质；

4.2.3应提供工业控制系统与其他系统间专用的安全信息交换途径；

4.2.4应对工业控制系统中使用的移动存储介质进行定期检查；

4.2.5应对需要销毁的存储介质制定严格的处置流程，并做好销毁记录；

4.2.6应禁止移动存储介质的自动播放功能。

4.3对终端计算机的管理要求

4.3.1应制定工业控制系统中终端计算机的使用及审批管理制度；

4.3.2应对接入工业控制系统的终端计算机进行标识；

4.3.3应对接入工业控制系统的终端计算机进行安全性评估。

5重点领域工业控制系统组网要求

5.1系统信息安全生命周期管理

5.1.1应制定关于工业控制系统设计、实施、维护、升级、废弃的管理制度；

5.1.2应在工业控制系统设计中包含信息安全防护方面的内容，并组织专家进行论证；

5.1.3应在工业控制系统的实施验收中检验实际系统与设计的一致性，并验证信息安全防护措施的有效性；

5.1.4应制定针对工业控制系统维护过程的信息安全操作规范，并保存操作记录以备后续检查；

5.1.5应对工业控制