安全物理环境
室外控制设备物理防护
- 室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等;
- 室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行。
安全通信网络
网络架构
- 工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段;
- 工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;
- 涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。
通信传输
- 在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。
安全区域边界
访问控制
- 应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络设备;
- 应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。
拨号使用控制
- 工业控制系统确需使用拨号服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施;
- 拨号服务器和客户端均应使