YC/T 580-2019 烟草行业工业控制系统网络安全基线技术规范

E<::s65.160

x89YC

中华人民共和国烟草行业标准

YC/T580-2019

烟草行业工业控制系统网络安全基线

技术规范

Technicalspecificationfornetworksecuritybaselineofindustrialcontrol

systemintobaccoindustry

2019-05-14发布2019-06-15实施

国家烟草专卖局

发布

YC/T580-2019

前言

本标准按照GB/T1.1一2009绘出的规则起草．

请注意本文件的某些内容可能涉及专利．本文件的发布机构不承担识别这些专利的责任．

本标准由国家烟草专卖局提出．

本标准由全国烟草标准化技术委员会信息分技术委员会（SAC/TC144/SC7）归口．

本标准起草单位g龙岩烟草工业有限责任公司、国家烟草专卖局烟草经济信息中心、福建中烟工业

有限责任公司、四川中烟工业有限责任公司、重庆中烟工业有限责任公司、浙江中烟工业有限责任公司、

上海烟草集团有限责任公司、湖南省烟草专卖局（公司〉、北京启明星辰信息安全技术有限公司．

本标准主要起草人：高一军、张雪峰、王海清、林郁、吴正举、冯祥国、李威、胡庭Jll、耿欣、吴洪亮、

曹琦、陈琦、冯明辉、石洁、章志华、李健俊、周佳杰、蔡苗、唐亮、李转琴、原真．

I

YC/T580-2019

烟草行业工业控制系统网络安全基线

技术规范

1范围

本标准规定了烟草行业典型工业控制系统的分类以及系统定级、安全域划分和保护要求．

本标准适用于烟草行业各单位工业控制系统网络安全防护体系建设和管理工作．

2规范性引用文件

下列文件对于本文件的应用是必不可少的．凡是注日期的引用文件，仅注日期的版本适用于本文

件．凡是不注日期的引用文件，其最新版本（包括所有的修改单〉适用于本文件．

YC/T494-2014烟草工业企业生产网与管理网网络互联安全规范

3术语和定义

下列术语和定义适用于本文件．

3.1

工业控制系统(I臼〉industr训controlsystem

在烟草制品加工制造、物流仓储分拣、动力能源供应等环节中对设备、设施进行自动控制的系统．

注：工业控制系统（以下简称“工控系统”〉通常由工业控制软件、工程师站、操作员站、人机界面、组态软件、控制服

务糖、控制设备〈控制楞〉等组成．

3.2

工业控制网络industrialcontrolnetwork

支撑工控系统运行的基础网络．

注：工业控制网络一般由在过程监控层、现场控制层和现场设备层运行的有线或无线网络组成．

3.3

控制设备controller

工业生产过程中用于控制执行器以及采集传感器数据的装置．

注2控制设备包括数据采集与监控（SCADA）、分布式控制系统（DCS）、可编程逻篝控制辘（PLC）等现场控制设备．

3.4

过程监控层proc倒monitoringlayer

用于对工控系统进行组态、监控和管理，实现生产过程中的高级控制、故障诊断、质量评估等的软、

硬件集合．

注z过程监控层主要包括监控服务楼与人机交互界面(HM1）系统功能单元．

3.5

现场控制层fieldcontrollayer

用于对各执行设备进行控制的设备集合．

注z现场控制层主要包括各类控制糯单元，如PLC、民S控制单元等．

YC/T580一2019

3.6

现场设备层fielddevicelayer

用于对生产过程进行数据采集与控制执行的设备集合．

注：现场设备层主要包括各类过程传感设备与执行设备单元．

3.7

工程师站engineerstation

用于组态和下发控制参数、控制算法的计算机．

3.8

操作员站operatorstation

用于监视现场设备状态和调整现场设备参数的计算机。

3.9

人机变互界面humanmachineinterface;HMI

操作员与控制设备进行交互的界面。

3.10

工控主机industrialcontrolmainunit

工控系统中计算机设备的总称．

3.11

安全草草sec町ity盯ea

工控系统中执行相同安全策略的区域．

4工控系统分类

烟草行业工控系统按分布单位、生产类别共分为6类，包括卷烟生产类、物流配送类、烟叶复烤类、

丝柬生产类、机械加工类和其他类别，每一类别中可根据生产环节包含多个工控子系统．烟草行业工控

系统分类见表1.

褒1烟草行业工控系统分类

分布单位工控系统（子系统）

生产类别

制丝控制系统

卷包控制系统

卷烟生产物流控制系统（包括原辅料及成品物流控制等〉

卷烟工业企业

动力能源控制系统

其他系统

物流控制系统〈包括仓储、分练物流控制等）

物流分练动力能源控制系统

其他系统

烟叶复烤控制系统

商业企业

物流控制系统

烟叶复烤

动力能源控制系统

其他系统

2

YC/T580-2019

表1（续）

分布单位

生产类别

工控系统〈子系统〉

纺丝生产控制系统

制备生产控制系统

醺片生产控制系统

醋纤企业

丝柬生产

回收控制系统

动力能源控制系统

其他系统

烟机生产控制系统

烟机制造企业动力能源控制系统

机械加工

其他系统

如：烟草包装印刷控制系统、烟草薄片生产纸机控制系统和嘴糠生产控制系

其他企业其他类别

统等

5工控系统定级

5.1确定定级对象

每个确定安全保护等级的定级对象应是一个完整的工控子系统或由若干子系统集合组成的工控系

统，同一工业控制网络的多个工控子系统可合并作为一个定级对象．各单位可按照控制类别，将一个生

产过程中包含的多个工控子系统作为一个工控系统进行安全保护等级定级和备案E也可根据需要，将各

工控子系统分别作为独立系统进行定级和备案．

5.2确定责任主体

每个定级的工控系统应有唯一的责任部门，涉及多部门共同管理的工控系统应指定一个牵头部门

作为唯一责任部门．

5.3确定保护等级

烟草行业工控系统安全保护等级由低到高划分为一级、二级、三级共三个级别．确定等级为一、二、

三级的工控系统均应满足本标准的工控系统安全基线要求，并应满足国家工控安全标准规范相应等级

的安全要求．由多个子系统集合组成的工控系统最终定级应按照安全保护要求最高的子系统安全等级

确定．其中z

一一发生网络安全事件后对企业仅造成一般损害的应确定为一级系统；

一一发生网络安全事件后对企业可能造成严重损害的应确定为二级系统；

一一发生网络安全事件后对企业可能造成特别严重损害或人员伤亡的应确定为三级系统．

损害程度划分见表2.

3

YC/T580-2019

褒2担害程度l!J分

描述

损害程度

工作

职能受到局部影响，生产业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，

一般损害

较低的财产损失，有限的社会不良影响

工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题．较

严重损害

高的财产损失，较大范围的社会不良影响，对其他组织和个人造成严重损失

工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严

特别严重损害

重的法律问题，极离的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损失

6工控系统安全基钱要求

6.1工控系统安全域划分

工控系统应划分安全域进行保护，可根据便于安全防护管理和降低安全事件爆发时的影响范围的

原则，在各工控系统内部划分不同的安全域．工控系统安全域划分基本要求如下：

a)宜将安全需求相近、安全等级相同的工控系统、工控子系统或设备划分在同一安全域，安全域

的划分可以是物理的，也可以是逻辑的，但均应有明确的安全边界z

b)应按照安全管理和控制要求为各安全域分配不同的IP地址网段，各网段间应设置安全措施进

行隔离．

6.2工控系统安全蜡间防护

工控系统的安全域间防护应符合以下要求：

a)一般情况下各安全域间应只设置一个网络互联接口，并采用工业防火捕、网闸等防护技术进行

安全域之间的逻辑隔离和访问控制J日业务需要设置多个网络互联接口时，则每个接口均应通

过工业防火墙、网闸等进行防护．

b)对各安全域间的访问控制宜采用白名单模式或其他适合的方式，仅设置必要的工控系统操作、

管理和维护策略．

c)应严格禁止工控系统与互联网直接连接．

d)工控系统与管理网的连接应符合YC/T494-2014的要求．

e)各安全域间的网络通信设备、防护设备应关闭不必要的网络服务，且设置复杂密码，避免使用

默认口令或弱口令．

6.3工控系统安全域内防护

6.3.1工业控制网络技术要求

工业控制网络技术要求包括但不限于以下内容：

a)应对工业控制网络内设备之间的访问数据、服务、端口和协议等进行监控．

b)应在工业控制网络部署网络安全监测设备，对网络内TCP/IP协议和工控协议的异常流量、异

常协议和入侵行为等进行检测，发现利用工控漏洞或关键工控指令进行攻击的行为．

c)无线网络的使用控制应符合以下要求：

一一应对所有使用无线通信的终端设备提供唯一性标识和鉴别措施；

4

YC/T580-2019

一一应提供无线连接的授权、监控以及权限控制措施；

一一－应通过部署无线安全检测、防护措施，识别和阻断未经授权无线设备接入工业控制网络的

行为，以及提供对无线扫描、无线破解、元钱Dos等攻击行为的栓测和阻断能力．

d)在重要工业控制设备前端应部署具备工业协议深度包检测功能的防护设备，限制违规操作．

检测功能应支持现场实际通信的工控协议和主流的工控协议（如ModBus、OPC、町等）．

6.3.2工控主机与应用技术要求

工控主机与应用技术要求包括但不限于以下内容2

a)工控主机设备操作系统应采用“最小安装”原则，仅安装自身业务运行操作所需的操作系统组

件及应用软件．

b)工控主机管理员认证口令应满足复杂度要求，避免使用默认口令或弱口令，定期更新口令，对

关键设备、系统、平台的访问宜采用硬件数字证书实现双因子认证．

c)做好工控主机和应用系统的口令管理，应禁止将口令粘贴在外部及将口令保存在主机文档中．

d）拆除或封闭工业主机上不必要的USB、无线等外设接口．如确需使用，应对工控主机的外设

接口进行控制和审计，禁止未授权的设备接人工控主机．

e)启用工控主机的系统防火墙前应经过严格测试以确保对业务无影响．

。在工控主机上应采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，仅

允许经过行业单位自身授权利安全评估的软件运行．

g)工控主机安装的防病毒软件宜是一套不与其他非工控系统中防病毒软件互联的独立的防病毒

系统－

h）应在保障组态软件、编程软件正常使用的前提下安装防病毒软件并配置病毒查杀策略和升级

策略，应禁止从互联网直接升级．

i)对工控主机的通信协议和端口的访问控制宜采用自名单模式进行．

j)应对上线前的工业软件进行漏洞检测，并安装厂家正式发布的所有安全补丁．

k)对运行中的工控主机漏洞进行修补前应在测试环境下进行安全评估和测试验证，并保证在不

影响系统可用性、实时性和可靠性的前提下实施．

l)应依据安全策略对组态信息、控制程序、实时数据库表项、OPC服务器数据等文件的访问和修

改操作进行权限控制和审计．

m）应采用密码技术对鉴别数据、重要业务数据等在传输和存储过程中进行技术处理，防止数据完

整性受到破坏．

6.3.3安全运维审计技术要求

安全运维审计技术要求包括但不限于以下内容：

a)应确保工控系统所有设备和软件的时钟同步s

b)应对工控系统所有设备和软件的配置与维护等行为进行审计记录z

c)应对工控系统中的控制设备、工控主机、网络设备、安全设备、操作系统、数据库、中间件等的状

态进行实时监测，并提供集中、独立的报警检查机制s

d)应对工控系统中的控制设备、工控主机、网络设备、安全设备、操作系统、数据库、中间件等进行

统一管理和日志集中审计；

e)宜在工控系统中建立独立运行的安全管理网络．

5

YC/T580-2019

6.4工控系统安全管理要求

6.4.1基本要求

基础要求包括但不限于以下内容：

a)应成立工控系统安全管理机构，明确安全管理责任人，以及各项安全责任，完善针对工控系统

的安全管理制度．

b）应制定工控系统安全应急处置预案，每年至少进行一次演练，确保发生安全事件时能够有序处

置、快速恢复．当工控系统发生变化时，应及时组织对应急处置预案进行评估，根据实际情况

适时修改并进行演练．

c)每年应至少进行一次工控系统安全培训，加强工控系统使用人员的安全意识，提升技术人员的

信息安全知识和能力水平．

d)应建立工控系统定期安全检查和整改工作机制，每年至少自行或委托第三方开展一次安全检

查，发现问题及时整改，不能马上整改的应制定计划．

6.4.2安全建设管理

安全建设管理包括但不限于以下内容：

a)在工控系统规划设计阶段应同步设计安全防护方案，在建设阶段应同步实施安全防护措施，在

运行阶段应同步运行各项安全防护设施，并以合同或文件等方式明确各方（管理、设计、实施和

运维等〉应承担的安全责任和义务；

b)所有新建工控系统及设备应在验收后更新供应商、服务商提供的所有初始密码或原始密码；

c)应分离工控系统的开发、测试和生产环境；

d)应定期对工控系统开展专业化的网络安全风险评估，制定整改方案，并在测试环境中进行兼容

性、稳定性测试后方可实施安全建设整改．

6.4.3安全接入管理

安全接入管理包括但不限于以下内容：

a)应对临时接入的设备采取病毒查杀等安全预防措施z

b)应禁止工控系统直接面向互联网开通网络服务，原则上不允许工控系统向管理网开通

HTTP、FTP、Telnet等高风险通用网络服务；

c)确需远程访问的，应采用数据单向访问控制等策略进行安全加固，对访问时限进行控制，远程

访问时间尽量避开业务高峰期；

d)确需远程维护的，应采用虚拟专用网络（VPN）、HTTPS等远程安全接入方式进行，维护结束

后立即关闭网络连接．

6.4.4日常运维管理

日常运维管理包括但不限于以下内容：

a)应建立工控系统资产清单，明确资产责任人，以及资产使用及处置规则，对关键主机设备、网络

设备、控制组件等进行冗余配置；

b）应做好工业控制网络、工控主机和工业控制设备的安全配置，建立工控系统配置清单，定期进

行配置审计s

c)应定期对工控系统进行漏洞检查并针对漏洞制定相应的加固防护方案；

6

YC/T580-2019

d）应制定安全报警处理流程，设置报警消除时限，快速消除告警隐患，定期输出报警处置汇总

报告；

e)工控系统的运维应使用专用的运维审计设备，操作行为审计记录保留6个月以上；第三方运维

人员进入现场时应有专人全程陪同；

f)应定期备份关键工控系统业务数据．