【儀表網(wǎng) 行業(yè)標(biāo)準(zhǔn)】遼寧省《基于蜂窩網(wǎng)絡(luò)的工業(yè)無線通信安全規(guī)范》地方標(biāo)準(zhǔn)已經(jīng)通過技術(shù)審查并形成報批稿，擬對外正式發(fā)布，現(xiàn)公開征求意見。意見反饋郵箱：lnzjbzhc@163.com，截止時間2023年5月29日前。
 

　　本文件按照GB/T 1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。參考GB/T 17626(所有部分) 電磁兼容 試驗和測量技術(shù)；GB/T 17799.1-2017 電磁兼容 通用標(biāo)準(zhǔn) 居住、商業(yè)和輕工業(yè)環(huán)境中的抗擾度；GB/T 17799.2-2003 電磁兼容 通用標(biāo)準(zhǔn) 工業(yè)環(huán)境中的抗擾度試驗等文件編制。
 

　　本文件規(guī)定了基于蜂窩網(wǎng)絡(luò)的工業(yè)無線通信總體安全要求、物理環(huán)境安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計算環(huán)境安全和建設(shè)運維安全等。本文件適用于以應(yīng)用場景為重點的工業(yè)蜂窩網(wǎng)絡(luò)安全的建設(shè)運維和監(jiān)督管理。
 

　　總體安全要求：
 

　　工業(yè)蜂窩網(wǎng)絡(luò)安全要求涉及工業(yè)蜂窩網(wǎng)絡(luò)基本要求、蜂窩網(wǎng)絡(luò)安全要求、工業(yè)蜂窩網(wǎng)絡(luò)設(shè)備電磁兼容性要求及工業(yè)蜂窩網(wǎng)絡(luò)應(yīng)用場景的安全要求。
 

　　工業(yè)蜂窩網(wǎng)絡(luò)基本要求應(yīng)滿足GB/T 42126.1-2022中的要求；4G蜂窩網(wǎng)絡(luò)安全應(yīng)滿足YD/T 2910-2015中的要求；5G蜂窩網(wǎng)絡(luò)安全要求參考附錄A。
 

　　工業(yè)蜂窩網(wǎng)絡(luò)設(shè)備電磁兼容性應(yīng)滿足GB/T 17626(所有部分)、GB/T 17799.1-2017、GB/T17799.2-2003、GB 17799.3-2012、GB 17799.4-2012、GB/T 17799.5-2012、GB/T 18268.1-2010、GB/T19286-2015、GB/T 19287-2016、GB/T 22451-2008、CISPR 16-1-1、CISPR 16-2-1、IEC 61000-4-1、IEC 61000-4-2、IEC 61000-4-3、IEC 61000-4-4、IEC 61000-4-5、IEC 61000-4-6、IEC 61000-4-7、IEC 61000-4-8、IEC 61000-4-9、IEC 61000-4-10、IEC 61000-4-11、IEC 61000-4-12、IEC 61000-6-1、IEC 61000-6-2、IEC 61000-6-3、IEC 61000-6-4等標(biāo)準(zhǔn)中的要求。
 

　　工業(yè)蜂窩網(wǎng)絡(luò)應(yīng)用場景應(yīng)首先滿足工業(yè)網(wǎng)絡(luò)信息安全的規(guī)定，如IEC TS 62443-1-1:2009，IEC62443-2-1:2010，IEC TR 62443-2-3:2015，IEC 62443-2-4:2015，IEC 62443-2-4:2015+AMD1:2017 CSV，IEC 62443-2-4:2015/AMD1:2017 ，IEC 62443-2-4:2015/COR1:2015， IEC 62443-3-2:2020，IEC TR62443-3-1:2009，IEC 62443-3-3:2013，IEC 62443-3-3:2013/COR1:2014，IEC 62443-4-1:2018，IEC62443-4-2:2019，ISO 27001，ISO/IEC 27002，ISO/IEC 27005等標(biāo)準(zhǔn)中的要求，以及網(wǎng)絡(luò)安全等級保護的要求，如GB/T 22240-2020、GB/T 22239-2019等標(biāo)準(zhǔn)中的要求。此外，還應(yīng)滿足本文件所提出的物理環(huán)境安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計算環(huán)境安全以及建設(shè)運維安全等要求。
 

　　網(wǎng)絡(luò)架構(gòu)：
 

　　工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)應(yīng)滿足如下要求:
 

　　a)工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為不同區(qū)域，區(qū)域間應(yīng)采用技術(shù)手段實現(xiàn)安全隔離；工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點劃分為不同的安全域，安全域之間應(yīng)采用技術(shù)手段實現(xiàn)安全隔離；
 

　　b)涉及實時控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)，應(yīng)使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離；
 

　　c)對重要生產(chǎn)系統(tǒng)，應(yīng)在無線蜂窩網(wǎng)絡(luò)的邊界采用屏蔽或干擾手段，隔離物理邊界外對無線蜂窩網(wǎng)絡(luò)的訪問；
 

　　d)應(yīng)在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設(shè)備，配置訪問控制策略，禁止任何穿越區(qū)域邊界的 E-Mail，Web、Telnet、Rlogin 及 FTP 等通用網(wǎng)絡(luò)服務(wù)；
 

　　e)應(yīng)在工業(yè)控制系統(tǒng)內(nèi)安全域和安全域之間的邊界防護機制失效時，及時進行報警；
 

　　f)蜂窩網(wǎng)絡(luò)接入設(shè)備應(yīng)開啟接入認證功能，并支持采用認證服務(wù)器認證或國家密碼管理機構(gòu)批準(zhǔn)的密碼模塊進行認證；
 

　　g)對重要生產(chǎn)系統(tǒng)，宜采用單向隔離數(shù)據(jù)交換產(chǎn)品。
 

　　蜂窩網(wǎng)絡(luò)使用控制:
 

　　工業(yè)蜂窩網(wǎng)絡(luò)使用控制應(yīng)滿足如下要求：
 

　　a)應(yīng)對所有參與蜂窩網(wǎng)絡(luò)通信的用戶(人員、軟件進程或者設(shè)備)提供唯一性標(biāo)識和鑒別；
 

　　b)應(yīng)對所有參與蜂窩網(wǎng)絡(luò)通信的用戶(人員、軟件進程或者設(shè)備)進行授權(quán)以及執(zhí)行使用進行限制；
 

　　c)應(yīng)對蜂窩網(wǎng)絡(luò)通信采取傳輸加密的安全措施，實現(xiàn)傳輸報文的機密性保護；
 

　　d)對采用蜂窩網(wǎng)絡(luò)通信技術(shù)進行控制的工業(yè)控制系統(tǒng)，應(yīng)能識別其物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的蜂窩網(wǎng)絡(luò)設(shè)備，報告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)的行為。
 

　　入侵防范:
 

　　工業(yè)網(wǎng)絡(luò)入侵防范應(yīng)滿足如下要求：
 

　　a)終端節(jié)點應(yīng)能夠限制與終端節(jié)點通信的目標(biāo)地址，以避免對陌生環(huán)境的攻擊行為；
 

　　b)終端節(jié)點應(yīng)能夠限制與網(wǎng)關(guān)節(jié)點通信的目標(biāo)地址，以避免對陌生環(huán)境的攻擊行為；
 

　　c)應(yīng)能夠檢測到非授權(quán)蜂窩網(wǎng)絡(luò)接入設(shè)備和非授權(quán)移動終端的接入行為；
 

　　d)應(yīng)能夠檢測到針對蜂窩網(wǎng)絡(luò)接入設(shè)備的網(wǎng)絡(luò)掃描、DDoS 攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為；
 

　　e)應(yīng)能夠阻斷非授權(quán)蜂窩接入設(shè)備或非授權(quán)移動終端；
 

　　f)對重要生產(chǎn)系統(tǒng)應(yīng)采用探針和異常檢測技術(shù)對網(wǎng)絡(luò)行為進行實時檢測；
 

　　g)對重要生產(chǎn)系統(tǒng)宜部署態(tài)勢感知及蜜罐系統(tǒng)進行持續(xù)監(jiān)控，并對網(wǎng)絡(luò)攻擊行為進行捕獲。
 

　　安全審計:
 

　　工業(yè)蜂窩網(wǎng)絡(luò)區(qū)域邊界安全審計應(yīng)滿足如下要求：
 

　　a) 應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計；
 

　　b) 審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；
 

　　c) 應(yīng)對審計記錄進行保護,定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；
 

　　d) 應(yīng)能對遠程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進行行為審計和數(shù)據(jù)分析。
 

　　更多詳情請見附件。