资讯中心

　　【仪表网 行业标准】辽宁省《基于蜂窝网络的工业无线通信安全规范》地方标准已经通过技术审查并形成报批稿，拟对外正式发布，现公开征求意见。意见反馈邮箱：lnzjbzhc@163.com，截止时间2023年5月29日前。
 

　　本文件按照GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。参考GB/T 17626(所有部分) 电磁兼容 试验和测量技术；GB/T 17799.1-2017 电磁兼容 通用标准 居住、商业和轻工业环境中的抗扰度；GB/T 17799.2-2003 电磁兼容 通用标准 工业环境中的抗扰度试验等文件编制。
 

　　本文件规定了基于蜂窝网络的工业无线通信总体安全要求、物理环境安全、通信网络安全、区域边界安全、计算环境安全和建设运维安全等。本文件适用于以应用场景为重点的工业蜂窝网络安全的建设运维和监督管理。
 

　　总体安全要求：
 

　　工业蜂窝网络安全要求涉及工业蜂窝网络基本要求、蜂窝网络安全要求、工业蜂窝网络设备电磁兼容性要求及工业蜂窝网络应用场景的安全要求。
 

　　工业蜂窝网络基本要求应满足GB/T 42126.1-2022中的要求；4G蜂窝网络安全应满足YD/T 2910-2015中的要求；5G蜂窝网络安全要求参考附录A。
 

　　工业蜂窝网络设备电磁兼容性应满足GB/T 17626(所有部分)、GB/T 17799.1-2017、GB/T17799.2-2003、GB 17799.3-2012、GB 17799.4-2012、GB/T 17799.5-2012、GB/T 18268.1-2010、GB/T19286-2015、GB/T 19287-2016、GB/T 22451-2008、CISPR 16-1-1、CISPR 16-2-1、IEC 61000-4-1、IEC 61000-4-2、IEC 61000-4-3、IEC 61000-4-4、IEC 61000-4-5、IEC 61000-4-6、IEC 61000-4-7、IEC 61000-4-8、IEC 61000-4-9、IEC 61000-4-10、IEC 61000-4-11、IEC 61000-4-12、IEC 61000-6-1、IEC 61000-6-2、IEC 61000-6-3、IEC 61000-6-4等标准中的要求。
 

　　工业蜂窝网络应用场景应首先满足工业网络信息安全的规定，如IEC TS 62443-1-1:2009，IEC62443-2-1:2010，IEC TR 62443-2-3:2015，IEC 62443-2-4:2015，IEC 62443-2-4:2015+AMD1:2017 CSV，IEC 62443-2-4:2015/AMD1:2017 ，IEC 62443-2-4:2015/COR1:2015， IEC 62443-3-2:2020，IEC TR62443-3-1:2009，IEC 62443-3-3:2013，IEC 62443-3-3:2013/COR1:2014，IEC 62443-4-1:2018，IEC62443-4-2:2019，ISO 27001，ISO/IEC 27002，ISO/IEC 27005等标准中的要求，以及网络安全等级保护的要求，如GB/T 22240-2020、GB/T 22239-2019等标准中的要求。此外，还应满足本文件所提出的物理环境安全、通信网络安全、区域边界安全、计算环境安全以及建设运维安全等要求。
 

　　网络架构：
 

　　工业控制系统网络架构应满足如下要求:
 

　　a)工业控制系统与企业其他系统之间应划分为不同区域，区域间应采用技术手段实现安全隔离；工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术手段实现安全隔离；
 

　　b)涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其他数据网及外部公共信息网的安全隔离；
 

　　c)对重要生产系统，应在无线蜂窝网络的边界采用屏蔽或干扰手段，隔离物理边界外对无线蜂窝网络的访问；
 

　　d)应在工业控制系统与企业其他系统之间部署访问控制设备，配置访问控制策略，禁止任何穿越区域边界的 E-Mail，Web、Telnet、Rlogin 及 FTP 等通用网络服务；
 

　　e)应在工业控制系统内安全域和安全域之间的边界防护机制失效时，及时进行报警；
 

　　f)蜂窝网络接入设备应开启接入认证功能，并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证；
 

　　g)对重要生产系统，宜采用单向隔离数据交换产品。
 

　　蜂窝网络使用控制:
 

　　工业蜂窝网络使用控制应满足如下要求：
 

　　a)应对所有参与蜂窝网络通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别；
 

　　b)应对所有参与蜂窝网络通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制；
 

　　c)应对蜂窝网络通信采取传输加密的安全措施，实现传输报文的机密性保护；
 

　　d)对采用蜂窝网络通信技术进行控制的工业控制系统，应能识别其物理环境中发射的未经授权的蜂窝网络设备，报告未经授权试图接入或干扰控制系统的行为。
 

　　入侵防范:
 

　　工业网络入侵防范应满足如下要求：
 

　　a)终端节点应能够限制与终端节点通信的目标地址，以避免对陌生环境的攻击行为；
 

　　b)终端节点应能够限制与网关节点通信的目标地址，以避免对陌生环境的攻击行为；
 

　　c)应能够检测到非授权蜂窝网络接入设备和非授权移动终端的接入行为；
 

　　d)应能够检测到针对蜂窝网络接入设备的网络扫描、DDoS 攻击、密钥破解、中间人攻击和欺骗攻击等行为；
 

　　e)应能够阻断非授权蜂窝接入设备或非授权移动终端；
 

　　f)对重要生产系统应采用探针和异常检测技术对网络行为进行实时检测；
 

　　g)对重要生产系统宜部署态势感知及蜜罐系统进行持续监控，并对网络攻击行为进行捕获。
 

　　安全审计:
 

　　工业蜂窝网络区域边界安全审计应满足如下要求：
 

　　a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计；
 

　　b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；
 

　　c) 应对审计记录进行保护,定期备份，避免受到未预期的删除、修改或覆盖等；
 

　　d) 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
 

　　更多详情请见附件。