DB21/T 4010-2024 基于蜂窝网络的工业无线通信安全测评要求

ICS25.040

CCSN10

21

辽宁省地方标准

DB21/T4010—2024

基于蜂窝网络的工业无线通信安全

测评要求

2024-09-30发布2024-10-30实施

辽宁省市场监督管理局发布

DB21/T4010—2024

目次

前言..................................................................................II

引言.................................................................................III

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4物理环境安全........................................................................2

4.1室外控制设备物理防护............................................................2

4.2蜂窝网络接入节点的物理位置......................................................2

5通信网络安全........................................................................2

5.1网络架构........................................................................3

5.2通信传输........................................................................3

6区域边界安全........................................................................4

6.1边界保护........................................................................4

6.2蜂窝网络使用控制................................................................4

6.3接入控制........................................................................5

6.4入侵防范........................................................................5

6.5安全审计........................................................................7

7计算环境安全........................................................................8

7.1工业蜂窝网络控制设备安全........................................................8

7.2终端节点设备安全................................................................9

7.3网关节点设备安全...............................................................11

7.4抗数据重放.....................................................................12

7.5边缘计算.......................................................................12

7.6安全审计.......................................................................12

7.7数据完整性保护.................................................................14

8建设运维安全.......................................................................15

8.1产品采购和使用.................................................................15

8.2外包软件开发...................................................................15

8.3运维...........................................................................15

8.4安全检查及响应措施.............................................................16

9测评结果判定要求...................................................................17

参考文献..............................................................................18

I

DB21/T4010—2024

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由辽宁省工业和信息化厅提出并归口。

本文件起草单位：沈阳华睿博信息技术有限公司、东北大学、辽宁省信息安全与软件测评认证中心、

辽宁省先进装备制造业基地建设工程中心、沈阳鼓风机集团股份有限公司、辽宁交投艾特斯技术股份有

限公司、中国烟草总公司辽宁省公司、辽宁省烟草公司沈阳市公司、辽宁省烟草公司营口市公司、济南

大学、沈阳职业技术学院等。

本文件主要起草人：邵华、姚羽、郭剑峰、陈莹、刘奇、郝玉明、黄书鹏、王宇飞、高刚、袁辉、

杨海涛、赵伟、纪科、陈贞翔、吴丽萍、李慧玲、杨巍等。

本文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈，

我们将及时答复并认真处理，根据实际情况依法进行评估及复审。

归口管理部门通信地址：辽宁省沈阳市皇姑区北陵大街45-2号

归口管理部门联系电话：024-86913384

标准起草单位通信地址：沈阳市和平区青年大街386号华阳国际大厦2396室

标准起草单位联系电话：18698849086

II

DB21/T4010—2024

引言

随着工业无线通信技术的广泛应用，基于蜂窝网络的无线通信技术在提升生产效率和灵活性方面发

挥着越来越重要的作用，确保其安全性已成为维护工业系统稳定运行的重中之重。本文件《基于蜂窝网

络的工业无线通信安全测评要求》的制定，提出了工业无线通信技术安全性的测评方法和要求，响应了

工业领域对网络安全保障的迫切需求，针对当前工业无线通信领域面临的网络安全挑战，为相关安全测

评活动提供标准化的指导。本文件有助于安全测评服务机构、工业蜂窝网络运营使用单位及主管部门对

工业蜂窝网络的安全状况进行全面评估，为提升工业无线通信网络的整体安全防护能力提供支持。

本文件的编写严格遵循了GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规

则》的规定。在起草过程中，通过广泛调研、深入分析，并结合工业无线通信技术的最新发展趋势，确

保了科学性、先进性和适用性。此外，本文件草案在形成过程中经过了多轮专家咨询和公开征求意见，

以确保其内容全面、准确地反映行业共识和实际需求。

本文件与《基于蜂窝网络的工业无线通信安全规范》（DB21/T3726—2023）相互依托，共同构成

了辽宁省基于蜂窝网络的工业无线通信安全的标准体系。本文件的实施，将为安全测评服务机构、工业

蜂窝网络运营使用单位及主管部门提供标准化的测评要求，推动工业无线通信安全领域的规范化管理和

技术进步。

III

DB21/T4010—2024

基于蜂窝网络的工业无线通信安全测评要求

1范围

本文件规定了基于蜂窝网络的工业无线通信安全测评要求，包括物理环境、通信网络、

区域边界、计算环境和建设运维方面的测评要求以及测评结果判定要求。

本文件适用于安全测评服务机构、工业蜂窝网络运营使用单位及主管部门对工业蜂窝网

络的安全状况安全测评。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期

的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括

所有的修改单）适用于本文件。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T22240-2020信息安全技术网络安全等级保护定级指南

GB/T35673-2017工业通信网络网络和系统安全系统安全要求和安全等级

GB/T41780.1-2022物联网边缘计算第1部分：通用要求

DB21/T3726-2023基于蜂窝网络的无线通信安全规范

3术语和定义

GB/T22239-2019、GB/T22240-2020、GB/T35673-2017、GB/T41780.1-2022界定的及

以下术语和定义适用于本文件。

3.1

访谈interview

测评人员通过引导测评对象相关人员进行有目的的（有针对性的）交流以及帮助测评人

员理解、澄清或取得证据的过程。

3.2

核查examine

测评人员通过对测评对象（如制度文档、各类设备及安全配置等）进行观察。以帮助测

评人员理解、澄清或取得证据的过程。

3.3

测试test

测评人员使用预定的方法/工具使测评对象（各类设备或安全配置）产生特定的结果，

将运行结果与预期的结果进行对比的过程。

3.4

评估evaluate

1

DB21/T4010—2024

对测评对象可能存在的威胁及其可能产生的后果进行综合评价和预测的过程。

3.5

测评对象targetoftestingandevaluation

测评过程中不同测评方法作用的对象，主要涉及相关配套制度文档、设备设施及人员等。

4物理环境安全

4.1室外控制设备物理防护

4.1.1室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固。测评

内容应满足以下要求：

a)测评对象：室外控制设备；

b)测评实施：核查室外控制设备是否放置于采用铁板或其他防火材料制作的箱体或装

置中并紧固；

c)单元判定：若以上测评实施内容均为肯定，则完全符合本测评单元指标要求，计1

分；若任意项测评实施内容为否定，则不符合本测评单元指标要求，计0分。

4.1.2箱体或装置具有透风、散热、防盗、防雨和防火能力等。测评内容应满足以下要求：

a)测评对象：室外控制设备箱体或装置；

b)测评实施：核查室外控制设备箱体或装置是否具有透风、散热、防盗、防雨和防火

能力；

c)单元判定：若以上测评实施内容均为肯定，则完全符合本测评单元指标要求，计1

分；若任意项测评实施内容为否定，则不符合本测评单元指标要求，计0分。

4.1.3室外控制设备放置应远离强电磁干扰、强热源等环境，如无法避免应及时做好应急

处置及检修，保证设备正常运行。测评内容应满足以下要求：

a)测评对象：室外控制设备物理位置；

b)测评实施：核查室外控制设备物理位置是否远离强电磁干扰、强热源等环境，如果

无法避免是否及时做好应急处置及检修，保证设备正常运行；

c)单元判定：

1)若以上测评实施内容均为肯定，则完全符合本测评单元指标要求，计2分；

2)若无法避免但能及时做好应急处置及检修，保证设备正常运行，则部分符合本

测评单元指标要求，计1分；

3)若以上测评实施内容均为否定，则不符合本测评单元指标要求，计0分。

4.2蜂窝网络接入节点的物理位置

应为蜂窝网络接入设备的安装选择合理位置，避免过度覆盖和电磁干扰。测评内容应满

足以下要求：

a)测评对象：蜂窝网络接入设备物理位置；

b)测评实施：核查蜂窝网络接入设备的物理位置是否能够避免过度覆盖和电磁干扰；

c)单元判定：若以上测评实施内容均为肯定，则完全符合本测评单元指标要求，计1

分；若任意项测评实施内容为否定，则不符合本测评单元指标要求，计0分。

5通信网络安全

2

DB21/T4010—2024

5.1网络架构

5.1.1工业控制系统与企业其他系统之间应划分为不同区域，区域间应采用技术手段实现

安全隔离。测评内容应满足以下要求：

a)测评对象：网闸、路由器、交换机和防火墙等提供访问控制功能的设备；

b)测评实施包括以下内容：

1)核查工业控制系统和企业其他系统之间是否部署单项隔离设备；

2)核查是否采用了有效的单项隔离策略实施访问控制；

3)核查使用无线通信的工业控制系统边界是否采用与企业其他系统隔离响度相

同的措施。

c)单元判定：

1)若以上测评实施内容均为肯定，则完全符合本测评单元指标要求，计3分；

2)若以上任意测评实施内容为肯定，但存在任意项测评实施内容为否定，则部分

符合本测评单元指标要求，计1分；

3)若以上测评实施内容均为否定，则不符合本测评单元指标要求，计0分。

5.1.2工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术手

段实现安全隔离。测评内容应满足以下要求：

a)测评对象：路由器、交换机和防火墙等提供访问控制功能的设备；

b)测评实施包括以下内容：

1)核查工业控制系统内部是否根据业务特点划分了不同的安全域；

2)核查各安全域之间访问控制设备是否配置了有效的访问控制策略。

c)单元判定：

1)若以上测评实施内容均为肯定，则完全符合本测评单元指标要求，计2分；

2)若以上任意测评实施内容为肯定，但存在任意项测评实施内容为否定，则部分

符合本测评单元指标要求，计1分；

3)若以上测评实施内容均为否定，则不符合本测评单元指标要求，计0分。

5.1.3涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层

面上实现与其他数据网及外部公共信息网的安全隔离。测评内容应满足以下要求：

a)测评对象：工业控制系统网络；

b)测评实施：核查涉及实时控制和数据传输的工业控制系统是否在物理层面上独立组

网；

c)单元判定：若以上测评实施内容均为肯定，则完全符合本测评单元指标要求，计1

分；若任意项测评实施内容为否定，则不符合本测评单元指标要求，计0分。

5.1.4对重要生产系统，应在无线蜂窝网络的边界采用屏蔽或干扰手段，隔离物理边界外

对无线蜂窝网络的访问。测评内容应满足以下要求：

a)测评对象：无线蜂窝网络边界；

b)测评实施：核查无线蜂窝网络边界是否采用屏蔽或干扰手段，隔离物理边界处对无

线蜂窝网络的访问；

c)单元判定：若以上测评实施内容均为肯定，则完全符合本测评单元指标要求，计1

分；若任意项测评实施内容为否定，则不符合本测评单元指标要求，计0分。

5.2通信传输

3

DB21/T4010—2024

在工业控制系统内使用工业生产网络进行控制指令或相关数据交换的应采用加密技术

手段实现身份认证、访问控制和数据加密传输。测评内容应满足以下要求：

a)测评对象：加密认证设备、路由器、交换机和防火墙等提供访问控制功能的设备；

b)测评实施：核查工业控制系统中使用广域网传输的控制指令或相关数据是否采用加

密认证技术实现身份认证、访问控制和敏感数据加密传输；

c)单元判定：若以上测评实施内容均为肯定，则完全符合本测评单元指标要求，计1

分；若任意项测评实施内容为否定，则不符合本测评单元指标要求，计0分。

6区域边界安全

6.1边界保护

应保证有线网络与蜂窝网络边界之间的访问和数据流通过无线接入网关设备。测评内容

应满足以下要求：

a)测评对象：无线接入网关设备；

b)测评实施：核查有线网络与无线网络边界之间是否部署无线接入网关设备；

c)单元判定：若以上测评实施内容均为肯定，则完全符合本测评单元指标要求，计1

分；若任意项测评实施内容为否定，则不符合本测评单元指标要求，计0分。

6.2蜂窝网络使用控制

6.2.1应对所有参与蜂窝网络通信的用户（人员、软件进程或者设备）提供唯一性