石油工业信息系统安全管理规范.docxVIP

1

SY/T5231-2024

石油工业信息系统安全管理规范

1范围

本文件规定了石油工业信息系统安全管理的总体要求，以及涵盖信息系统的技术、管理、建设、运维的各环节管理的基本要求和对于云计算、工控系统、物联网的增强管理要求，还包括关键信息基础设施的安全保护，描述了检测控制的证实方法。

本文件适用于石油工业领域的信息系统设计、建设和运行维护的安全管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T22240-2020信息安全技术网络安全等级保护定级指南

GB/T25070信息安全技术网络安全等级保护安全设计技术要求GB/T28448信息安全技术网络安全等级保护测评要求

GB/T39204信息安全技术关键信息基础设施安全保护要求

3术语和定义

下列术语和定义适用于本文件。3.1

安全策略securitypolicy

由最高管理层作出的关于信息安全的最广泛、最概括的定义，明确指定了企业信息安全的作用、价值与意义。

3.2

安全域securitydomain

遵从共同安全策略的资产和资源的集合。3.3

安全事件securityinciden

与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态。

[来源：GB/T20985.1-2017,3.4]

3.4

云计算平台cloudcomputingplatform

云服务商提供的云计算基础设施及其上的服务软件的集合。[来源：GB/T22239-2019,3.6]

1

1

SY/T5231—2024

9.2准备阶段了解被检测信息系统安全管理现状，明确检测控制项和控制点，检测控制相关信息见附录A。

9.3实施阶段按照控制点描述开展测试工作，并记录检测结果。

9.4总结阶段针对未符合或部分符合的控制点分析安全风险，并结合系统现状提出整改建议。

SY/T5231—2024

附录A(资料性)检测控制

检测控制相关信息见表A1。

控制分类

控制项

控制点

管理

总体要求

a)成立网络安全管理工作的职能部门，并定义部门及各个工作岗位的职责，设立系统管理员，审计管理员和安全管理员等岗位。

b)制订网络安全工作的总体方针和安全策略，阐明总体日标、范围、原则和安全框架等。

c)制订并及时修订网络安全管理制度，建立包含密码庄用、数据安全和个人信息保护等在信息系统中应用的安全管理体系。

d)信息系统网络安全等吸保护符合GB/T28448和GBT22239的要求。e)关键信息系统的安全防护符合GB/T39204的要求。

)加强对云计算、大数据、物联网、工业控制等系统的安全管理。g)对于步及商业秘密的信息系统，应开展商业秘密保护工作

技术

物理环境

a)机房场地选择在具备防震，防风和防雨等能力的建筑内，非顶层或地下室。

b)机房场地避免让在油气生产、炼油炼化等区城及储油储气设施附近。

c)机房出人口配置门禁系统，控制、鉴别和记录出人人员。

d)将设备或主要部件进行固定，并设置明显的不易除去的标识。e)设置机房防盗报警系统或设置有专人值守的现频监控系统。

f)将各类机柜。设施和设备房通过接地系统安全接地。

g)采用防静电地板或地面并采用必要的接地防静电措施。

h)设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内。i)提供短期的备用电力供应，至少润足设备在所电情况下的正常运行要求。

i)电源线和通信线缆应隔高铺设，避免互相干扰

通信网络

a)根据系统功能、重要性和所步及信息的重要程度等因素，划分不同的子网或网段。

b)按照方便管理和控制的原则为各于网、胃段分配地址段。

c)避免开重要料段部署在网络边界处，重要网段与其他网段之间采取技术隔离手段。

d)保证主要网络设备的业务处理能力具备兀余空间，满足业务高峰期需要。e)保证网络各个部分的带宽满足业务高峰期需要。

f)每半年组织网络渗透测试，确认网络区城间防护策略的有效性。

g)主动发现安全漏洞并修复，如存在安全患的通信协议、管理弱口令等

区域边界

a)根据系统的安全等级，采用对应的访问控制技术。

b)企业办公网与外部网络互联的边界区城，系统仅运行满足业务需要的网络通信协议，并实现访问控制。

c)在网络边界处监视以下攻击行为：端口扫描