等保测评--工业控制系统安全扩展要求

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。

---

工业控制系统安全扩展要求

室外控制设备物理防护

室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固；箱体或装置具有透风、散热、防盗、防雨和防火能力等；

室外控制设备放置应远离强电磁干扰、强热源等环境，如无法避免应及时做好应急处置及检修，保证设备正常运行。

网络架构

工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用单向的技术隔离手段。

工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术隔离手段。

涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

通信传输

在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

访问控制

应在工业控制系统与企业其他系统之间部署访问控制设备，配置访问控制策略，禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。

应在工业控制系统内安全域和安全域之间的边界防护机制失效时，及时进行报警。

拨号使用控制

工业控制系统确需使用拨号访问服务的，应限制具有拨号访问权限的用户数量，并采用用户身份鉴别和访问控制等措施。

拨号服务器和客户端均应使用经安全加固的操作系统，并采取数字证书认证、传输加密和访问控制等措施。