【儀表網 行業標準】遼寧省《基于蜂窩網絡的工業無線通信安全規范》地方標準已經通過技術審查并形成報批稿，擬對外正式發布，現公開征求意見。意見反饋郵箱：lnzjbzhc@163.com，截止時間2023年5月29日前。
 

　　本文件按照GB/T 1.1-2020《標準化工作導則 第1部分：標準化文件的結構和起草規則》的規定起草。參考GB/T 17626(所有部分) 電磁兼容 試驗和測量技術；GB/T 17799.1-2017 電磁兼容 通用標準 居住、商業和輕工業環境中的抗擾度；GB/T 17799.2-2003 電磁兼容 通用標準 工業環境中的抗擾度試驗等文件編制。
 

　　本文件規定了基于蜂窩網絡的工業無線通信總體安全要求、物理環境安全、通信網絡安全、區域邊界安全、計算環境安全和建設運維安全等。本文件適用于以應用場景為重點的工業蜂窩網絡安全的建設運維和監督管理。
 

　　總體安全要求：
 

　　工業蜂窩網絡安全要求涉及工業蜂窩網絡基本要求、蜂窩網絡安全要求、工業蜂窩網絡設備電磁兼容性要求及工業蜂窩網絡應用場景的安全要求。
 

　　工業蜂窩網絡基本要求應滿足GB/T 42126.1-2022中的要求；4G蜂窩網絡安全應滿足YD/T 2910-2015中的要求；5G蜂窩網絡安全要求參考附錄A。
 

　　工業蜂窩網絡設備電磁兼容性應滿足GB/T 17626(所有部分)、GB/T 17799.1-2017、GB/T17799.2-2003、GB 17799.3-2012、GB 17799.4-2012、GB/T 17799.5-2012、GB/T 18268.1-2010、GB/T19286-2015、GB/T 19287-2016、GB/T 22451-2008、CISPR 16-1-1、CISPR 16-2-1、IEC 61000-4-1、IEC 61000-4-2、IEC 61000-4-3、IEC 61000-4-4、IEC 61000-4-5、IEC 61000-4-6、IEC 61000-4-7、IEC 61000-4-8、IEC 61000-4-9、IEC 61000-4-10、IEC 61000-4-11、IEC 61000-4-12、IEC 61000-6-1、IEC 61000-6-2、IEC 61000-6-3、IEC 61000-6-4等標準中的要求。
 

　　工業蜂窩網絡應用場景應首先滿足工業網絡信息安全的規定，如IEC TS 62443-1-1:2009，IEC62443-2-1:2010，IEC TR 62443-2-3:2015，IEC 62443-2-4:2015，IEC 62443-2-4:2015+AMD1:2017 CSV，IEC 62443-2-4:2015/AMD1:2017 ，IEC 62443-2-4:2015/COR1:2015， IEC 62443-3-2:2020，IEC TR62443-3-1:2009，IEC 62443-3-3:2013，IEC 62443-3-3:2013/COR1:2014，IEC 62443-4-1:2018，IEC62443-4-2:2019，ISO 27001，ISO/IEC 27002，ISO/IEC 27005等標準中的要求，以及網絡安全等級保護的要求，如GB/T 22240-2020、GB/T 22239-2019等標準中的要求。此外，還應滿足本文件所提出的物理環境安全、通信網絡安全、區域邊界安全、計算環境安全以及建設運維安全等要求。
 

　　網絡架構：
 

　　工業控制系統網絡架構應滿足如下要求:
 

　　a)工業控制系統與企業其他系統之間應劃分為不同區域，區域間應采用技術手段實現安全隔離；工業控制系統內部應根據業務特點劃分為不同的安全域，安全域之間應采用技術手段實現安全隔離；
 

　　b)涉及實時控制和數據傳輸的工業控制系統，應使用獨立的網絡設備組網，在物理層面上實現與其他數據網及外部公共信息網的安全隔離；
 

　　c)對重要生產系統，應在無線蜂窩網絡的邊界采用屏蔽或干擾手段，隔離物理邊界外對無線蜂窩網絡的訪問；
 

　　d)應在工業控制系統與企業其他系統之間部署訪問控制設備，配置訪問控制策略，禁止任何穿越區域邊界的 E-Mail，Web、Telnet、Rlogin 及 FTP 等通用網絡服務；
 

　　e)應在工業控制系統內安全域和安全域之間的邊界防護機制失效時，及時進行報警；
 

　　f)蜂窩網絡接入設備應開啟接入認證功能，并支持采用認證服務器認證或國家密碼管理機構批準的密碼模塊進行認證；
 

　　g)對重要生產系統，宜采用單向隔離數據交換產品。
 

　　蜂窩網絡使用控制:
 

　　工業蜂窩網絡使用控制應滿足如下要求：
 

　　a)應對所有參與蜂窩網絡通信的用戶(人員、軟件進程或者設備)提供唯一性標識和鑒別；
 

　　b)應對所有參與蜂窩網絡通信的用戶(人員、軟件進程或者設備)進行授權以及執行使用進行限制；
 

　　c)應對蜂窩網絡通信采取傳輸加密的安全措施，實現傳輸報文的機密性保護；
 

　　d)對采用蜂窩網絡通信技術進行控制的工業控制系統，應能識別其物理環境中發射的未經授權的蜂窩網絡設備，報告未經授權試圖接入或干擾控制系統的行為。
 

　　入侵防范:
 

　　工業網絡入侵防范應滿足如下要求：
 

　　a)終端節點應能夠限制與終端節點通信的目標地址，以避免對陌生環境的攻擊行為；
 

　　b)終端節點應能夠限制與網關節點通信的目標地址，以避免對陌生環境的攻擊行為；
 

　　c)應能夠檢測到非授權蜂窩網絡接入設備和非授權移動終端的接入行為；
 

　　d)應能夠檢測到針對蜂窩網絡接入設備的網絡掃描、DDoS 攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為；
 

　　e)應能夠阻斷非授權蜂窩接入設備或非授權移動終端；
 

　　f)對重要生產系統應采用探針和異常檢測技術對網絡行為進行實時檢測；
 

　　g)對重要生產系統宜部署態勢感知及蜜罐系統進行持續監控，并對網絡攻擊行為進行捕獲。
 

　　安全審計:
 

　　工業蜂窩網絡區域邊界安全審計應滿足如下要求：
 

　　a) 應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計；
 

　　b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；
 

　　c) 應對審計記錄進行保護,定期備份，避免受到未預期的刪除、修改或覆蓋等；
 

　　d) 應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。
 

　　更多詳情請見附件。