（高清版）GBT 41260-2022 數(shù)字化車間信息安全要求

數(shù)字化車間信息安全要求2022-03-09發(fā)布I前言 12規(guī)范性引用文件 13術(shù)語和定義、縮略語 13.1術(shù)語和定義 13.2縮略語 44數(shù)字化車間信息安全總則 44.1數(shù)字化車間信息安全范圍 44.2數(shù)字化車間信息安全基本要求 54.3數(shù)字化車間信息安全分析流程 65數(shù)字化車間信息安全管理要求 75.1概述 75.2信息安全管理制度 75.3信息安全管理崗位與職責(zé) 75.4人員管理 85.5風(fēng)險管理 85.6物理訪問控制管理 95.7運維安全管理 95.8監(jiān)視和評審信息安全管理的有效性 95.9保持和改進 6數(shù)字化車間信息安全技術(shù)要求 6.1概述 6.2區(qū)域劃分與邊界防護 6.3身份鑒別與認證 6.4使用控制 6.5資源控制 6.6數(shù)據(jù)安全 6.7安全審計 附錄A(資料性)數(shù)字化車間信息安全常見威脅源 附錄B(資料性)典型機械制造行業(yè)數(shù)字化車間信息安全示例 B.1概述 B.2確定保護對象與目標 B.3風(fēng)險分析與處置 B.4安全防護需求與安全策略 B.5安全確認與評估 ⅡB.6運行與維護 附錄C(規(guī)范性)數(shù)字化車間信息安全增強要求 C.1概述 C.2區(qū)域劃分與邊界防護 C.3身份鑒別與認證 C.4使用控制 C.5資源控制 C.6數(shù)據(jù)安全 C.7安全審計 參考文獻 圖1數(shù)字化車間信息安全范圍(實線部分) 5圖2數(shù)字化車間信息安全分析流程 7圖B.1機械制造行業(yè)典型架構(gòu) 圖B.2典型工程/數(shù)字化車間安全架構(gòu) ⅢGB/T41260—2022本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中國機械工業(yè)聯(lián)合會提出。本文件由全國工業(yè)過程測量控制和自動化標準化技術(shù)委員會(SAC/TC124)歸口。本文件起草單位：機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所、中國石油集團安全環(huán)保技術(shù)研究院有限公司、重慶信安網(wǎng)絡(luò)安全等級測評有限公司、浙江中控技術(shù)股份有限公司、國能智深控制技術(shù)有限公司、深圳市標利科技開發(fā)有限公司、寧波和利時信息安全研究院有限公司、中國科學(xué)院沈陽自動化研究所、中國電力工程顧問集團華北電力設(shè)計院有限公司、北京市勞動保護科學(xué)研究所、工業(yè)和信息化部計算機與微電子發(fā)展研究中心(中國軟件評測中心)、上海工業(yè)自動化儀表研究院有限公司、西門子(中國)有限公司、菲尼克斯(南京)智能制造技術(shù)工程有限公司、長沙有色冶金設(shè)計研究院有限公司、羅克韋爾自動化(中國)有限公司、快克智能裝備股份有限公司。數(shù)字化車間較傳統(tǒng)生產(chǎn)車間具有數(shù)字化、網(wǎng)絡(luò)化、智能化等特點，互聯(lián)互通互操作成為數(shù)字化車間建設(shè)的基本特征。生產(chǎn)車間的邊界被擴大，傳統(tǒng)信息安全的威脅將會滲透到數(shù)字化車間內(nèi)部，而數(shù)字化車間內(nèi)的各類設(shè)備、系統(tǒng)設(shè)計之初主要是面向可用性而非安全性，信息安全防護能力普遍低下；數(shù)字化車間系統(tǒng)化的特性也導(dǎo)致信息安全產(chǎn)生的影響變得更大，一個局部的影響可能導(dǎo)致整個車間的停運；與此同時，物聯(lián)網(wǎng)及新興網(wǎng)絡(luò)和通信技術(shù)等的應(yīng)用也會把外部威脅直接引入到生產(chǎn)現(xiàn)場，因此數(shù)字化車間的建設(shè)應(yīng)充分考慮信息安全的因素。本文件以數(shù)字化車間為對象，充分考慮數(shù)字化車間的特點，從管理與技術(shù)兩個方面提出信息安全要求。1數(shù)字化車間信息安全要求本文件規(guī)定了數(shù)字化車間信息安全總則、管理要求和技術(shù)要求等。本文件適用于針對數(shù)字化車間的工程設(shè)計、設(shè)備生產(chǎn)、系統(tǒng)集成、生產(chǎn)運維、安全評估等信息安全活動。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T37413—2019數(shù)字化車間術(shù)語和定義communicationnetworks—Network3.1術(shù)語和定義GB/T37413—2019和IEC62443-1-1:2009界定的以及下列術(shù)語和定義適用于本文件。以生產(chǎn)對象所要求的工藝和設(shè)備為基礎(chǔ)，以信息技術(shù)、自動化、測控技術(shù)等為手段，用數(shù)據(jù)連接車間不同單元，對生產(chǎn)運行過程進行規(guī)劃、管理、診斷和優(yōu)化的實施單元。注：在本文件中，數(shù)字化車間僅包括生產(chǎn)規(guī)劃、生產(chǎn)工藝、生產(chǎn)執(zhí)行階段，不包括產(chǎn)品設(shè)計、服務(wù)和支持等階段。數(shù)字化車間擁有或保管的物理或邏輯對象，該對象對數(shù)字化車間具有潛在或?qū)嶋H的價值。注：在工業(yè)自動化和控制系統(tǒng)的情況下，具有最大直接可測量價值的實物資產(chǎn)可能是受控設(shè)備。生產(chǎn)系統(tǒng)productionsystem為完成數(shù)字化車間生產(chǎn)任務(wù)而需要的各類硬件、軟件以及人員的集合。注：數(shù)字化車間生產(chǎn)系統(tǒng)包括但不限于。a)可編程邏輯控制器(PLC)、智能電子設(shè)備(IED)、分布式控制系統(tǒng)(DCS)、緊急停車系統(tǒng)(ESD)、安全儀表系統(tǒng)(SIS)、監(jiān)視控制與數(shù)據(jù)采集(SCADA)系統(tǒng)、運動控制(MC)系統(tǒng)、數(shù)控系統(tǒng)(CNC)、柔性制造系統(tǒng)(FMS)等系統(tǒng)。2感知控制層thelayerofperceptionandcontrol定義了感知和操控車間物理流程的活動。監(jiān)控層thelayerofmonitoring定義了監(jiān)測和控制車間物理流程的活動。a)保護系統(tǒng)所采取的措施；b)由建立和維護保護系統(tǒng)的措施而產(chǎn)生的系統(tǒng)狀態(tài)；c)能夠免于非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失的系統(tǒng)資源的狀態(tài)；d)基于計算機系統(tǒng)的能力，能夠提供充分的把握使非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)能力，卻保證授權(quán)人員和系統(tǒng)不被阻止；e)防止對工業(yè)自動化和控制系統(tǒng)的非法或有害的入侵，或者干擾其正確和計劃的操作。注：措施可以是與物理信息安全(控制物理訪問計算機的資產(chǎn))或者邏輯信息安全(登錄給定系統(tǒng)和應(yīng)用的能力)相系統(tǒng)設(shè)計、實現(xiàn)或操作和管理中存在的缺陷或弱點，可被利用來危害系統(tǒng)的完整性或安保策略。可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因。信息安全風(fēng)險informationsecurityrisk人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。系統(tǒng)地使用信息來識別風(fēng)險來源和估計風(fēng)險。選擇并且執(zhí)行措施來更改風(fēng)險的過程。3經(jīng)過風(fēng)險處置后遺留的風(fēng)險。安全事件securityincident系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別狀態(tài)的發(fā)生，它可能是對安全策略的違反或防護措施的失效，或未預(yù)知的不安全狀況。數(shù)據(jù)或資源的特性，被授權(quán)實體按要求能訪問和使用數(shù)據(jù)或資源。保證信息及信息系統(tǒng)不會被非授權(quán)更改或破壞的特性。注：包括數(shù)據(jù)完整性和系統(tǒng)完整性。數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達到的未提供或未泄露給非授權(quán)的個人、過程或其他實體的共享相同信息安全要求的邏輯資產(chǎn)或物理資產(chǎn)的集合。注：區(qū)域具有清晰的邊界。一個信息安全區(qū)域的信息安全策略在其內(nèi)部和邊界都要強制執(zhí)行。獨立審查和記錄檢查，以確保遵守既定的政策和操作程序，并建議必要的控制變更。保護系統(tǒng)資源防止未經(jīng)授權(quán)的訪問；系統(tǒng)資源使用的過程是根據(jù)安全策略規(guī)定的，并且根據(jù)該策略4身份所聲明特征正確性的保證行為。依據(jù)安全策略可以執(zhí)行某項操作的用戶。下列縮略語適用于本文件。APT:高級持續(xù)性威脅(AdvancedPersistentThreat)CAD:計算機輔助設(shè)計(ComputerAidedDesign)CAE:計算機輔助工程(ComputerAidedEngineering)CNC:數(shù)控系統(tǒng)(ComputerNumericalControl)DCS:分布式控制系統(tǒng)(DistributedControlSystem)DDoS:分布式拒絕服務(wù)(DistributedDenialofService)DMZ:非軍事區(qū)(DemilitarizedZone)DNC:分布式數(shù)控(DistributedNumericalControl)DoS:拒絕服務(wù)攻擊(DenialofService)ERP:企業(yè)資源計劃(EnterpriseResourcePlanning)ESD:緊急停車系統(tǒng)(EmergencyShutdownDevice)FMS:柔性制造系統(tǒng)(FlexibleManufacturingSystem)HMI:人機界面(HumanMachineInterface)MES:制造執(zhí)行系統(tǒng)(ManufacturingExecutionSystem)PLC:可編程邏輯控制器(ProgrammableLogicController)PLM:產(chǎn)品生命周期管理(ProductLifecycleManagement)RFID:無線射頻識別(RadioFrequencyIdentification)SIS:安全儀表系統(tǒng)(SafetyInstrumentedSystem)VLAN:虛擬本地網(wǎng)(VirtualLocalAreaNetwork)4數(shù)字化車間信息安全總則4.1數(shù)字化車間信息安全范圍數(shù)字化車間的基礎(chǔ)層包括了數(shù)字化車間生產(chǎn)制造所必需的各種制造設(shè)備及生產(chǎn)資源，其中制造設(shè)RFID等技術(shù)進行標識，參與生產(chǎn)過程并通過其數(shù)字化標識與系統(tǒng)進行自動或半自動交互。5GB/T41260—2022這里基礎(chǔ)層通?？梢约毞譃閮蓪樱焊兄刂茖优c監(jiān)控層。數(shù)字化車間的執(zhí)行層主要包括車間計劃與調(diào)度、生產(chǎn)物流管理、工藝執(zhí)行與管理、生產(chǎn)過程質(zhì)量管理、車間設(shè)備管理五個功能模塊，對生產(chǎn)過程中的各類業(yè)務(wù)、活動或相關(guān)資產(chǎn)進行管理，實現(xiàn)車間制造過程的數(shù)字化、精益化及透明化。由于數(shù)字化工藝是生產(chǎn)執(zhí)行的重要源頭，對于部分中小企業(yè)沒有獨立的產(chǎn)品設(shè)計和工藝管理情況，可在數(shù)字化車間中建設(shè)工藝設(shè)計系統(tǒng)，為制造運行管理提供數(shù)字化工藝信息。以MES系統(tǒng)為代表的面向車間執(zhí)行層的生產(chǎn)信息化管理系統(tǒng)，該系統(tǒng)會進行數(shù)據(jù)采集、生產(chǎn)調(diào)度、代碼下載、參數(shù)配置等各項功能的執(zhí)行。數(shù)字化車間的管理層以ERP為代表的企業(yè)資源管理，負責(zé)企業(yè)訂單的接收，人力、工資等信息的管理，包括但不限于PLM、CAD、CAE等各種資源。數(shù)字化車間以物理車間為基礎(chǔ)，物理車間的資產(chǎn)屬于數(shù)字化車間的一部分，不在物理車間內(nèi)部但是通過網(wǎng)絡(luò)等方式連接的設(shè)備/系統(tǒng)仍然作為數(shù)字化車間的一部分，如MES系統(tǒng)使用的服務(wù)器可能放置于專門的機房，車間與機房通過光纖方式進行連接通信。因此，數(shù)字化車間信息安全的范圍包括基礎(chǔ)層和執(zhí)行層全部與信息安全相關(guān)的系統(tǒng)/活動。數(shù)字化車間信息安全保護的對象包括數(shù)字化車間的物理資產(chǎn)、邏輯資產(chǎn)(如工藝配方等)。管理層管理層企業(yè)資源計劃產(chǎn)品生命周期管理…企業(yè)信息交互制造運行管理工藝執(zhí)行與管理執(zhí)行層生產(chǎn)過程質(zhì)量管理車間設(shè)備管理車間信息交互生產(chǎn)資源息交互車間信息交互車間計劃與調(diào)度生產(chǎn)物流管理工藝設(shè)計制造設(shè)備基礎(chǔ)層數(shù)字化車間/智能工廠可選功能。圖1數(shù)字化車間信息安全范圍(實線部分)4.2數(shù)字化車間信息安全基本要求4.2.1保障生產(chǎn)安全要求信息安全措施應(yīng)有利于增強安全相關(guān)系統(tǒng)對內(nèi)部攻擊、外部攻擊和誤操作的防御。信息安全措施不應(yīng)對生產(chǎn)緊急事件處理產(chǎn)生妨礙，或者雖有影響但經(jīng)過充分評估后可以實施。4.2.2保障連續(xù)生產(chǎn)要求信息安全技術(shù)措施不應(yīng)對自動化控制裝備的通訊端口、控制網(wǎng)絡(luò)產(chǎn)生連續(xù)或階段性的網(wǎng)絡(luò)沖擊對6控制實時性和連續(xù)性的不利影響應(yīng)控制在允許范圍。對控制設(shè)備和操作站點采取信息安全技術(shù)措施前，應(yīng)充分測試和驗證該技術(shù)措施是否影響控制設(shè)備和工業(yè)軟件的運行。4.2.3不影響控制裝備互聯(lián)互通要求采取信息安全管理和技術(shù)措施前應(yīng)考慮到事實上多種工業(yè)控制協(xié)議設(shè)備間的互聯(lián)互通，對于采用私有協(xié)議或國際現(xiàn)場總線標準的控制和通訊設(shè)備可考慮采取網(wǎng)段隔離等措施，不宜更改相關(guān)通訊標準協(xié)議。應(yīng)考慮數(shù)字化車間重要程度，以及系統(tǒng)脆弱性、威脅和安全風(fēng)險現(xiàn)狀，平衡經(jīng)濟性和安全性，結(jié)合系統(tǒng)架構(gòu)和技術(shù)情況，采用適宜的安全防護措施/補償對抗措施。應(yīng)考慮數(shù)字化車間全生命周期內(nèi)風(fēng)險與信息安全需求的變化，及時采取相應(yīng)措施。4.2.6內(nèi)生安全與縱深防御相結(jié)合要求應(yīng)結(jié)合內(nèi)生安全技術(shù)與多層次縱深防御措施來有效保障信息安全，宜優(yōu)先采用具備內(nèi)生安全技術(shù)的控制裝備，從而抵御相關(guān)技術(shù)和管理措施失效或過失情況下的風(fēng)險。4.2.7管理和技術(shù)相結(jié)合要求數(shù)字化車間的信息安全應(yīng)綜合考慮管理和技術(shù)措施，技術(shù)措施應(yīng)通過必要的管理措施來保障落實和執(zhí)行。4.3數(shù)字化車間信息安全分析流程如圖2所示，對于一個數(shù)字化車間在建設(shè)階段應(yīng)充分考慮安全需求，安全需求的前提是基于目標對象的確定，進而進行必要的危險和風(fēng)險分析之后得出的，對于安全需求要進行評估，進而制定安全策略和安全措施，在數(shù)字化車間實際投入運行之前應(yīng)對安全措施進行評估和確認。注：對安全措施進行評估和確認可以通過線上測試和分析實現(xiàn)。當(dāng)數(shù)字化車間進入運行維護階段，應(yīng)定期和根據(jù)實際需要進行風(fēng)險評估，根據(jù)評估結(jié)果通過修改、加強、增加安全措施來應(yīng)對風(fēng)險變化導(dǎo)致的安全能力下降，其中安全措施包括管理措施和技術(shù)手段。數(shù)字化車間的常見威脅和風(fēng)險點見附錄A,實際的分析處理過程見附錄B。數(shù)字化車間信息安全能力由管理措施、技術(shù)手段各方面因素綜合決定，具體要求見第5章、第6章。7概念概念危險和風(fēng)險分析信息安全需求安全需求評估安全策略安全實施安全確認運行和維護停用數(shù)字化車間建設(shè)階段運行維護安全變化風(fēng)險評佔安全加固管理增強變史返回適當(dāng)階段圖2數(shù)字化車間信息安全分析流程5數(shù)字化車間信息安全管理要求5.1概述面臨安全風(fēng)險，建立并維護信息安全管理要求的措施，明確信息安全管理職責(zé)，分配和管理資源，運用過程方法實現(xiàn)數(shù)字化車間的正常運行，并采取有效的措施評估、分析和改進，以滿足數(shù)字化車間信息安全管理的要求。5.2信息安全管理制度在數(shù)字化車間信息安全管理制度的制定中應(yīng)：a)按照信息安全管理方針和策略，制定數(shù)字化車間的信息安全工作原則與目標；b)對數(shù)字化車間的安全管理活動建立相應(yīng)的信息安全管理制度；c)對管理人員和操作人員執(zhí)行的日常信息安全管理操作建立操作規(guī)程或者作業(yè)指導(dǎo)書；d)通過正式、有效的方式發(fā)布，并進行版本控制。5.3信息安全管理崗位與職責(zé)應(yīng)通過清晰的崗位設(shè)置、明確的信息安全職責(zé)劃分，支持數(shù)字化車間的信息安全管理。a)設(shè)立數(shù)字化車間的信息安全管理崗位，并明確定義崗位職責(zé)。b)各崗位應(yīng)配備相應(yīng)的管理人員，并應(yīng)明確定義各級人員的職責(zé)。c)關(guān)鍵崗位應(yīng)配備多人共同管理。d)信息安全管理的角色和職責(zé)應(yīng)落實到具體的責(zé)任人、管理者、具體的工位、具體的單元操作等。85.4人員管理5.4.1人員錄用與離職管理在數(shù)字化車間的人員錄用與離職管理中應(yīng)：a)對被錄用關(guān)鍵崗位信息安全管理人員的身份背景、資質(zhì)等進行審查；b)及時終止離職信息安全管理人員的所有訪問權(quán)限，更換相應(yīng)訪問密碼，收回所授予的各種身份證件、鑰匙以及組織提供的軟硬件設(shè)備等。應(yīng)通過以下方式，確保所有被賦予信息安全管理職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力：a)確定從事數(shù)字化車間信息安全管理工作的人員所必要的能力；b)對各類人員進行信息安全意識教育和崗位技能培訓(xùn)，或采取其他措施(如聘用有能力的人員)以滿足這些能力需求；并告知相關(guān)的安全責(zé)任和懲戒措施；c)對關(guān)鍵崗位的人員進行信息安全技能考核；d)評價所采取措施的有效性；5.4.3外部人員訪問管理在數(shù)字化車間的外部人員訪問管理中應(yīng)：a)確保外部人員在進入物理訪問受控區(qū)域前提出書面申請，批準后由專人全程陪同，并登記b)確保在外部人員接入網(wǎng)絡(luò)訪問系統(tǒng)前提出書面申請，批準后由專人開設(shè)賬號、分配權(quán)限，并登記備案；c)在外部人員離場后及時清除其所有的訪問權(quán)限。5.5風(fēng)險管理5.5.1確定風(fēng)險管理目標對數(shù)字化車間的風(fēng)險管理控制目標和控制措施應(yīng)加以選擇和實施，以滿足風(fēng)險評估和風(fēng)險處置過程中所識別的要求。這種選擇應(yīng)考慮接受風(fēng)險的準則以及法律法規(guī)的要求。組織宜獲得管理者對殘余風(fēng)險的批準。險評估：a)確定風(fēng)險評估方法、制定接受風(fēng)險的準則和識別可接受的風(fēng)險級別；b)定期識別各類風(fēng)險，如通過連網(wǎng)設(shè)備識別風(fēng)險時應(yīng)有相應(yīng)流程或資產(chǎn)面臨的危險和可能被威脅利用的脆弱性等；c)定期分析和評價各類風(fēng)險，包括評價安全失效可能對組織造成的影響等；d)確定可選措施以消除風(fēng)險或避免風(fēng)險等；e)在組織的方針策略和可接受風(fēng)險的準則條件下，主動、客觀地接受風(fēng)險。9在數(shù)字化車間的風(fēng)險處置中應(yīng)：a)為管理數(shù)字化車間信息安全風(fēng)險制定處置計劃，該計劃應(yīng)包含適當(dāng)?shù)墓芾泶胧?、資源、職責(zé)和優(yōu)先順序等；b)實施風(fēng)險處置計劃達到已識別的控制目標，包括資金安排、角色和職責(zé)的分配；c)實施所選擇的控制措施滿足控制目標；d)確定如何測量所選擇的控制措施或控制措施實際的有效性，并指明如何運用這些測量措施來評估控制措施的有效性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果；e)管理數(shù)字化車間信息安全相關(guān)的資源；f)實施能夠迅速檢測安全事件和響應(yīng)安全事件的規(guī)程和其他控制措施。5.6物理訪問控制管理物理訪問控制基本要求應(yīng)包括但不限于：a)對數(shù)字化車間出入口進出的人員進行控制、鑒別和記錄；b)對數(shù)字化車間劃分區(qū)域進行管理，必要時，區(qū)域和區(qū)域之間應(yīng)物理隔離；c)全程陪同對受控區(qū)域訪問的外部人員；d)限制外部人員攜帶可能導(dǎo)致泄密的電子設(shè)備或其他物品如手機、相機、電子記錄儀等；e)制定規(guī)章制度限制內(nèi)部人員攜帶可能導(dǎo)致泄密的物品；f)對重要區(qū)域進行視頻監(jiān)控。5.7運維安全管理在數(shù)字化車間的運維安全管理中應(yīng)：a)制定并發(fā)布數(shù)字化車間安全運維規(guī)程，定期對安全運維規(guī)程進行評審和更新；b)根據(jù)廠商或供應(yīng)商的規(guī)格說明以及組織的要求，對數(shù)字化車間設(shè)備和系統(tǒng)的運維進行規(guī)劃、實c)審批和監(jiān)視所有運維行為，不論被維護對象是在現(xiàn)場還是被轉(zhuǎn)移到其他位置；d)在對系統(tǒng)或組件維護或修理后，檢查所有可能受影響的安全控制措施以確認其仍能正常發(fā)揮功能；e)數(shù)字化車間設(shè)備或系統(tǒng)的第三方運維商承諾未經(jīng)用戶同意不得采集用戶相關(guān)信息、不得遠程控制用戶設(shè)備或系統(tǒng)；f)如果采用遠程運維的方式，組織根據(jù)產(chǎn)品的運維需求，為遠程控制端口設(shè)置控制權(quán)限和控制時間窗；在遠程維護完成后，組織安排專人立即關(guān)閉為遠程維護需求開放的權(quán)限設(shè)置；g)完整地記錄所有運維的工作計劃、要求、過程和完成情況，并存檔；h)能夠?qū)λ羞\維操作記錄進行安全審計，審計記錄應(yīng)定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；i)定期開展風(fēng)險評估，對識別和發(fā)現(xiàn)的安全漏洞和隱患及時進行修補。5.8監(jiān)視和評審信息安全管理的有效性在監(jiān)視和評審數(shù)字化車間信息安全管理的有效性時應(yīng)：a)執(zhí)行監(jiān)視評審規(guī)程和其他控制措施：●迅速檢測過程運行結(jié)果中的錯誤；●迅速識別即將發(fā)生的和已發(fā)生的安全違規(guī)和事件；·幫助管理者確定分配給人員的安全活動或通過信息技術(shù)實施的安全活動是否按期望執(zhí)行；●幫助檢測并預(yù)防安全事件；●確定安全違規(guī)的解決措施是否有效。b)在考慮安全事件、有效性測量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，進行信息安全管理有效性的定期評審(包括滿足信息安全管理方針和目標，以及安全控制措施的評審);c)測量控制措施的有效性以驗證安全要求是否被滿足；d)按照計劃時間間隔進行風(fēng)險評估的評審，以及對殘余風(fēng)險和已確定的可接受風(fēng)險及級別進行評審，應(yīng)考慮以下方面的變化·數(shù)字化車間升級或更新；●已實施的控制措施的有效性；·外部事態(tài)，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會環(huán)境的變更。e)考慮監(jiān)視評審活動的結(jié)果，以更新安全計劃；f)記錄可能影響數(shù)字化車間信息安全的有效性或執(zhí)行情況的措施和事態(tài)。5.9保持和改進在保持和改進數(shù)字化車間信息安全管理時應(yīng)：a)實施易識別的信息安全管理改進措施；b)采取糾正和預(yù)防措施，從其他組織和組織自身的安全經(jīng)驗中吸取教訓(xùn)；c)向所有相關(guān)方溝通糾正和預(yù)防措施、改進情況，其詳細程度與環(huán)境相適應(yīng)，需要時商定如何進行；d)確保改進達到了預(yù)期目標。6數(shù)字化車間信息安全技術(shù)要求本文件以區(qū)域劃分與邊界防護、身份鑒別與認證、使用控制、資源控制、數(shù)據(jù)安全與安全審計作為數(shù)字化車間信息安全技術(shù)要求的基本要素，具體為：a)區(qū)域劃分與邊界防護應(yīng)從企業(yè)和數(shù)字化車間系統(tǒng)整體角度來考慮信息安全，通過區(qū)域劃分和邊界防護來實現(xiàn)縱深防御，保障數(shù)字化車間生產(chǎn)系統(tǒng)受到攻擊時不擴散到另外的區(qū)域。b)身份鑒別與認證應(yīng)防止未經(jīng)授權(quán)的訪問，如用戶名與密碼形式的身份鑒別與認證。c)使用控制應(yīng)防止未經(jīng)授權(quán)的使用，即使用戶、軟件等實體通過了鑒別，不同授權(quán)用戶、軟件等實體對數(shù)字化車間生產(chǎn)系統(tǒng)的操作與使用不得超過其所分配的權(quán)限。d)資源控制應(yīng)控制資源的使用防止因非法或超限使用資源從而影響生產(chǎn)系統(tǒng)的可用性、生產(chǎn)連續(xù)性等。e)數(shù)據(jù)安全應(yīng)保證靜態(tài)數(shù)據(jù)和通信數(shù)據(jù)的可用性、完整性、保密性。f)安全審計應(yīng)對生產(chǎn)系統(tǒng)的日志、狀態(tài)、報警等信息進行核查來檢測系統(tǒng)是否處于預(yù)期的安全設(shè)置。6.1.2安全要求說明本文件中規(guī)定的安全要求是實現(xiàn)數(shù)字化車間信息安全能力的基本要求。如果需要更高的要求，應(yīng)符合附錄C的規(guī)定。6.2區(qū)域劃分與邊界防護6.2.1感知控制層基本要求在數(shù)字化車間感知控制層對區(qū)域劃分與邊界防護的基本要求為：a)感知控制層宜和對應(yīng)的監(jiān)控層劃分為同一區(qū)域；b)如有必要感知控制層內(nèi)宜可劃分多個子區(qū)域；c)如有必要在感知控制層和對應(yīng)監(jiān)控層之間可設(shè)置邊界，運用安全審計等非阻斷型策略；d)與感知控制層相連的其他所有網(wǎng)絡(luò)或系統(tǒng)，如沒有在同一安全區(qū)域，則與感知控制層相連的邊界應(yīng)滿足邊界防護的基本要求；e)如有物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)與感知控制層有線網(wǎng)絡(luò)相連，物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)應(yīng)作為各自獨立的區(qū)域，在與感知控制層有線網(wǎng)絡(luò)之間設(shè)置邊界防護；f)如感知控制層直接與云相連，應(yīng)按照縱深防御的原則整體進行邊界防護。對于設(shè)備直接上云的情況應(yīng)優(yōu)先配置設(shè)備的邊界防護，如果設(shè)備的邊界防護能力不足，應(yīng)在云端做虛擬邊界6.2.2監(jiān)控層基本要求在數(shù)字化車間監(jiān)控層對區(qū)域劃分與邊界防護的基本要求為：a)監(jiān)控層宜和對應(yīng)的感知控制層劃分為同一區(qū)域，此區(qū)域在與其他區(qū)域相連時應(yīng)做好邊界防護；b)如有必要監(jiān)控層內(nèi)宜可劃分多個子區(qū)域；c)與監(jiān)控層相連的其他所有網(wǎng)絡(luò)或系統(tǒng)，如沒有在同一安全區(qū)域，則與監(jiān)控層相連的邊界應(yīng)滿足邊界防護的基本要求；d)監(jiān)控層和執(zhí)行層可為不同區(qū)域，在監(jiān)控層與執(zhí)行層之間應(yīng)滿足邊界防護基本要求；應(yīng)部署訪問控制設(shè)備，配置訪問控制策略，禁止任何穿越區(qū)域邊界的E-mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)；e)如有物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)與監(jiān)控層有線網(wǎng)絡(luò)相連，物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)應(yīng)作為各自獨立的區(qū)域，在與監(jiān)控層有線網(wǎng)絡(luò)之間設(shè)置邊界防護；f)如監(jiān)控層直接與云相連，應(yīng)按照縱深防御的原則整體進行邊界防護。對于邊緣終端直接上云的情況應(yīng)優(yōu)先配置邊緣終端的邊界防護，如果邊緣終端的邊界防護能力不足，應(yīng)在云端做虛擬邊界防護。6.2.3執(zhí)行層基本要求在數(shù)字化車間執(zhí)行層對區(qū)域劃分與邊界防護的基本要求為：a)執(zhí)行層應(yīng)整體作為一個區(qū)域；b)執(zhí)行層與管理層可為不同區(qū)域，在執(zhí)行層和管理層之間應(yīng)滿足邊界防護基本要求；可設(shè)置網(wǎng)絡(luò)隔離設(shè)備，禁止管理層未經(jīng)協(xié)議轉(zhuǎn)換直接訪問執(zhí)行層；c)如有物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)與執(zhí)行層相連，物聯(lián)網(wǎng)或其他無線網(wǎng)絡(luò)應(yīng)作為各自獨立的區(qū)域，在與執(zhí)行層之間設(shè)置邊界防護；d)如執(zhí)行層直接與云相連，應(yīng)按照縱深防御的原則整體進行邊界防護，同時云端應(yīng)做必要的虛擬邊界防護。6.3身份鑒別與認證6.3.1感知控制層基本要求在數(shù)字化車間感知控制層對身份鑒別與認證的基本要求為：a)應(yīng)保證登錄、操作與維護系統(tǒng)人員為可信人員，防止出現(xiàn)非相關(guān)人員的訪問，影響設(shè)備或系統(tǒng)安全運行；b)系統(tǒng)應(yīng)保證外部登錄的設(shè)備為可信設(shè)備，禁止任何不可信設(shè)備的接入；c)系統(tǒng)內(nèi)部設(shè)備連接外部網(wǎng)絡(luò)時，應(yīng)經(jīng)過上網(wǎng)認證；d)系統(tǒng)應(yīng)具備記錄連接事件的功能，以保證所有的連接均可查詢；e)如果該層使用了遠程訪問，系統(tǒng)應(yīng)具備對遠程訪問設(shè)備身份鑒別的能力。6.3.2監(jiān)控層基本要求在數(shù)字化車間監(jiān)控層對身份鑒別與認證的基本要求為：a)應(yīng)保證登錄、操作與維護系統(tǒng)人員為可信人員，防止出現(xiàn)非相關(guān)人員的訪問，影響設(shè)備或系統(tǒng)安全運行；b)系統(tǒng)應(yīng)提供訪問用戶身份鑒別和認證的能力；c)對于使用口令鑒別機制的生產(chǎn)系統(tǒng)，口令應(yīng)具有一定的復(fù)雜性，且需在多次嘗試密碼失敗后，延長重新輸入密碼等待時間；d)系統(tǒng)內(nèi)部設(shè)備連接外部網(wǎng)絡(luò)時，應(yīng)經(jīng)過上網(wǎng)認證；e)系統(tǒng)應(yīng)具備訪問記錄與事件記錄功能；f)如果使用了無線網(wǎng)絡(luò)，無線系統(tǒng)應(yīng)具備識別接入設(shè)備并阻止未經(jīng)授權(quán)設(shè)備接入的能力。6.3.3執(zhí)行層基本要求在數(shù)字化車間執(zhí)行層對身份鑒別與認證的基本要求為：a)系統(tǒng)應(yīng)具備對操作人員身份鑒別的能力；b)使用口令鑒別機制的系統(tǒng)，口令應(yīng)具有一定的復(fù)雜性；c)系統(tǒng)應(yīng)具備訪問記錄與事件記錄功能。6.4使用控制6.4.1感知控制層基本要求在數(shù)字化車間感知控制層對使用控制的基本要求為：a)數(shù)字化車間各區(qū)域間應(yīng)具有相互訪問控制的能力，保證不同區(qū)域之間存在隔離，如通過b)系統(tǒng)應(yīng)具備可配置的使用限制能力，對內(nèi)部所有可能會被外部接入的接口進行接入限制管理，如現(xiàn)場交換機的網(wǎng)口，現(xiàn)場工控機的USB口、網(wǎng)口等，以防止非授權(quán)設(shè)備的接入；c)系統(tǒng)應(yīng)具備限制非必要通訊端口、協(xié)議和服務(wù)的能力；d)系統(tǒng)應(yīng)具備限制不同區(qū)域操作或維護人員訪問權(quán)限的能力；e)系統(tǒng)同一區(qū)域應(yīng)實現(xiàn)對不同操作或維護人員實行不同控制權(quán)限的能力；f)如果使用了無線網(wǎng)絡(luò)，無線系統(tǒng)應(yīng)具備識別接入設(shè)備并阻止未經(jīng)授權(quán)設(shè)備接入的能力；g)如果使用了無線網(wǎng)絡(luò)，工廠應(yīng)保證使用的無線信道在此無線覆蓋區(qū)域未曾被占用。6.4.2監(jiān)控層基本要求在數(shù)字化車間監(jiān)控層對使用控制的基本要求為：a)系統(tǒng)應(yīng)具備可配置的使用限制能力，防止非授權(quán)設(shè)備的接入；b)系統(tǒng)應(yīng)具有為不同授權(quán)用戶提供不同權(quán)限的能力，以支持職責(zé)分離和最小權(quán)限；c)系統(tǒng)應(yīng)提供對第三方未經(jīng)兼容性測試的可能造成生產(chǎn)系統(tǒng)損害的應(yīng)用程序或移動代碼執(zhí)行使用限制的能力；d)應(yīng)及時為數(shù)字化車間采取補丁升級措施，在安裝前應(yīng)對補丁進行嚴格的安全評估和測試驗證；e)數(shù)字化車間的遠程訪問端口應(yīng)具有訪問控制措施，對從發(fā)起方的訪問進行源地址、目的地址、源端口、目的端口和協(xié)議等項目的控制。6.5資源控制6.5.1感知控制層基本要求在數(shù)字化車間感知控制層對資源控制的基本要求為：a)應(yīng)通過設(shè)定設(shè)備接入方式、網(wǎng)絡(luò)地址范圍等條件限制設(shè)備接入該層網(wǎng)絡(luò)；b)網(wǎng)絡(luò)化的感知控制設(shè)備應(yīng)提供能力：在DoS事件時能切換到降級模式下繼續(xù)運行；c)應(yīng)能夠監(jiān)視接入該層網(wǎng)絡(luò)的感知控制設(shè)備的網(wǎng)絡(luò)負荷、流量、連接數(shù)、會話數(shù)等網(wǎng)絡(luò)資源信息；應(yīng)支持根據(jù)安全策略要求對感知控制設(shè)備端允許通過的數(shù)據(jù)流量、支持的連接數(shù)、會話數(shù)進行限制；d)應(yīng)能夠監(jiān)視接入該層網(wǎng)絡(luò)的感知控制設(shè)備及相關(guān)網(wǎng)絡(luò)設(shè)備的運行狀態(tài)，例如設(shè)備的CPU負e)感知控制設(shè)備應(yīng)對存儲于內(nèi)存中的配置信息、控制程序、數(shù)據(jù)進行監(jiān)控，在系統(tǒng)運行時應(yīng)限制對感知控制設(shè)備的關(guān)鍵數(shù)據(jù)(包括控制程序代碼、組態(tài)配置信息等)的訪問；f)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備應(yīng)提供能力：限制信息安全功能的資源使用，以防止資源耗盡；g)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備應(yīng)在不影響正常設(shè)備使用的前提下，提供關(guān)鍵文件的識別和定位，以及用戶級和系統(tǒng)級的信息備份(包括系統(tǒng)狀態(tài)信息)的能力，且能驗證備份機制的可靠性；h)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備在受到破壞或發(fā)生失效后，應(yīng)提供能力：恢復(fù)和重構(gòu)設(shè)備到一個已知的安全狀態(tài)；i)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備應(yīng)提供應(yīng)急電源切換能力，切換不影響設(shè)備的運行狀態(tài)；j)網(wǎng)絡(luò)化的感知控制設(shè)備或網(wǎng)絡(luò)設(shè)備應(yīng)提供禁用無用功能、端口、協(xié)議和服務(wù)的能力；k)該層網(wǎng)絡(luò)應(yīng)能識別并支持指示所有連接的設(shè)備。6.5.2監(jiān)控層基本要求在數(shù)字化車間監(jiān)控層對資源控制的基本要求為：a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端及設(shè)備接入該層網(wǎng)絡(luò)；b)應(yīng)支持根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；c)該層邊界處應(yīng)提供檢測DoS事件的能力；d)該層邊界處應(yīng)支持根據(jù)安全策略要求對允許訪問主機、服務(wù)器和感知控制設(shè)備端的協(xié)議、端e)接入監(jiān)控層的感知控制設(shè)備應(yīng)提供能力：在DoS事件時能切換到降級模式下繼續(xù)運行；f)應(yīng)能夠監(jiān)視接入該層網(wǎng)絡(luò)的主機、服務(wù)器和感知控制設(shè)備的網(wǎng)絡(luò)負荷、流量、連接數(shù)、會話數(shù)、會話響應(yīng)時間等網(wǎng)絡(luò)資源信息；g)應(yīng)能夠監(jiān)視接入該層網(wǎng)絡(luò)的主機、服務(wù)器、軟件程序、感知控制設(shè)備及相關(guān)網(wǎng)絡(luò)設(shè)備的運行狀態(tài)，例如設(shè)備的CPU負荷、內(nèi)存使用情況、設(shè)備故障報警信息等；h)應(yīng)提供能力限制主機、服務(wù)器、軟件程序、網(wǎng)絡(luò)設(shè)備對感知控制設(shè)備的關(guān)鍵數(shù)據(jù)(包括控制程序代碼、組態(tài)配置信息等)的訪問；i)主機、服務(wù)器、軟件程序、網(wǎng)絡(luò)設(shè)備應(yīng)提供能力：限制信息安全功能的資源使用，以防止資源耗盡；j)主機、服務(wù)器、軟件程序、網(wǎng)絡(luò)設(shè)備應(yīng)在不影響正常使用的前提下，提供關(guān)鍵文件的識別和定位，以及用戶級和系統(tǒng)級的信息備份(包括系統(tǒng)狀態(tài)信息)的能力，且能驗證備份機制的可靠性；k)應(yīng)對關(guān)鍵主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備提供應(yīng)急電源切換能力，切換不影響主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備等的運行狀態(tài)；m)該層網(wǎng)絡(luò)應(yīng)能識別并支持指示所有連接的主機、服務(wù)器、設(shè)備；n)通過HMI接口應(yīng)能獲取并指示所有網(wǎng)絡(luò)化的感知控制設(shè)備、主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備及其特6.5.3執(zhí)行層基本要求在數(shù)字化車間執(zhí)行層對資源控制的基本要求為：a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端及設(shè)備接入該層網(wǎng)絡(luò)；b)應(yīng)支持根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；c)該層邊界處應(yīng)提供檢測DoS事件的能力；d)該層邊界處應(yīng)支持根據(jù)安全策略要求對允許訪問主機、服務(wù)器端的協(xié)議、端口、數(shù)據(jù)流量、支持的連接數(shù)、會話數(shù)等進行限制；e)應(yīng)提供能力限制主機、服務(wù)器、軟件程序、網(wǎng)絡(luò)設(shè)備對感知控制設(shè)備的關(guān)鍵數(shù)據(jù)(包括控制程序代碼、組態(tài)配置信息等)的訪問；f)主機、服務(wù)器、軟件程序、網(wǎng)絡(luò)設(shè)備應(yīng)在不影響正常使用的前提下，提供關(guān)鍵文件的識別和定位，以及用戶級和系統(tǒng)級的信息備份(包括系統(tǒng)狀態(tài)信息)的能力，且能驗證備份機制的可靠性；g)應(yīng)對關(guān)鍵主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備提供應(yīng)急電源切換能力，切換不影響主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備等的運行狀態(tài)；i)該層網(wǎng)絡(luò)應(yīng)能識別并支持指示所有連接的主機、服務(wù)器、設(shè)備；j)通過HMI接口應(yīng)能獲取并指示所有網(wǎng)絡(luò)化的感知控制設(shè)備、主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備及其特6.6.1感知控制層基本要求連接在系統(tǒng)中的感知控制層設(shè)備應(yīng)滿足系統(tǒng)對數(shù)據(jù)安全的可用性、完整性和保密性的基本要求，包括：a)應(yīng)提供多層的獨立防護，來確保數(shù)據(jù)的安全性，從而保障系統(tǒng)安全；b)應(yīng)通過物理訪問保護機制，如控制器的訪問等級功能、防護門的鑰匙鎖、帶讀卡器和PIN的防c)應(yīng)通過硬件的信息安全解決方案：如控制器的防拷貝功能、程序保護技術(shù)、網(wǎng)絡(luò)分段的防火墻保護、帶失效關(guān)閉的防火墻等；d)應(yīng)通過流程和指令實現(xiàn)數(shù)據(jù)安全，如對員工的安全培訓(xùn)教育、設(shè)置U盤訪問的白名單規(guī)則、關(guān)鍵動作的雙重批準等；e)應(yīng)通過安全服務(wù)保障生產(chǎn)設(shè)備的數(shù)據(jù)安全，如對系統(tǒng)進行備份和恢復(fù)、安全的在線驗證等；f)可通過安全通信機制。6.6.2監(jiān)控層基本要求連接在系統(tǒng)中的監(jiān)控層應(yīng)滿足系統(tǒng)對數(shù)據(jù)安全的可用性、完整性和保密性的基本要求，包括：a)應(yīng)通過隔離區(qū)DMZ進行數(shù)據(jù)交換以加強防護效果，避免直接訪問自動化網(wǎng)絡(luò)；b)通過互聯(lián)網(wǎng)或者移動網(wǎng)絡(luò)進行遠程訪問時應(yīng)進行保護，防止工業(yè)間諜活動和蓄謀的破壞；可通過對數(shù)據(jù)傳輸進行加密，并通過安全模塊或者互聯(lián)網(wǎng)和移動無線路由器進行訪問控制；c)可通過環(huán)網(wǎng)增強網(wǎng)絡(luò)的可用性。6.6.3執(zhí)行層基本要求連接在系統(tǒng)中的執(zhí)行層應(yīng)滿足系統(tǒng)對數(shù)據(jù)安全的可用性、完整性和保密性的基本要求，包括：a)連接在執(zhí)行層中的設(shè)備應(yīng)保證其操作系統(tǒng)、軟件和硬件具備對應(yīng)的安全性和健壯性，以抵御惡意軟件的攻擊或者人為破壞的造成的影響；b)應(yīng)通過設(shè)備和系統(tǒng)構(gòu)建信息安全網(wǎng)絡(luò)構(gòu)架；c)應(yīng)通過信息安全網(wǎng)絡(luò)構(gòu)建抵御非授權(quán)訪問的風(fēng)險，實現(xiàn)訪問保護和加密的數(shù)據(jù)交換等。6.7安全審計6.7.1感知控制層基本要求關(guān)鍵生產(chǎn)系統(tǒng)中的重要軟/硬件設(shè)備應(yīng)具備日志存儲和防篡改的功能。6.7.2監(jiān)控層基本要求在數(shù)字化車間監(jiān)控層對安全審計的基本要求為：a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、主體標識、客體標識、事件是否成功以及其他與審計相關(guān)的信息；c)應(yīng)對審計記錄進行保護，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。注1:安全審計可以是外部審計，也可以是內(nèi)部審計。注2:安全審計需要一定的周期，也可以根據(jù)情況隨時審計(如出現(xiàn)設(shè)備故障高發(fā)、產(chǎn)能下降等現(xiàn)象時)。6.7.3執(zhí)行層基本要求在數(shù)字化車間執(zhí)行層對安全審計的基本要求為：a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點、重要應(yīng)用和數(shù)據(jù)進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、主體標識、客體標識、事件是否成功以及其他與審計相關(guān)的信息；c)應(yīng)對審計記錄進行保護，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。(資料性)數(shù)字化車間信息安全常見威脅源數(shù)字化車間的信息安全危險既可能來自于數(shù)字化車間(數(shù)字化車間應(yīng)有明確的邊界)外部，也可能來自于數(shù)字化車間內(nèi)部。威脅來源歸結(jié)但不限于以下幾類：a)數(shù)字化車間互聯(lián)互通，上層系統(tǒng)受到的威脅可能滲透到數(shù)字化車間內(nèi)；b)數(shù)字化車間系統(tǒng)支持的遠程維護以及不規(guī)范的無線接入點；c)數(shù)字化車間內(nèi)設(shè)備訪問因特網(wǎng)或物聯(lián)網(wǎng)連接；f)人員誤操作。(資料性)典型機械制造行業(yè)數(shù)字化車間信息安全示例隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，通過網(wǎng)絡(luò)來進行生產(chǎn)、管理成為制造業(yè)的趨勢，利用DNC技術(shù)進行加工過程管控，已經(jīng)成為各制造企業(yè)的主流選擇。DNC不同于單臺機床與計算機的一對一連接，而是多臺機床組成網(wǎng)絡(luò)，編程人員在自己的計算機編制好加工程序(NC程序)后，通過網(wǎng)絡(luò)傳輸?shù)紻NC系統(tǒng)中，再由DNC系統(tǒng)傳輸?shù)綌?shù)控機床中或通過數(shù)控機床訪問DNC系統(tǒng)下載程序。目前部分單位已經(jīng)實現(xiàn)了以DNC系統(tǒng)為中心的生產(chǎn)工控系統(tǒng)網(wǎng)絡(luò)，通過DNC系統(tǒng)進行NC程序的下載和上傳，實現(xiàn)生產(chǎn)的自動化控制；同時通過CNC的采集系統(tǒng)對機床的實時狀態(tài)進行采集，將采集數(shù)據(jù)上傳至DNC服務(wù)器，實現(xiàn)設(shè)備狀態(tài)的實時采集和匯總。這些變化大大提高了生產(chǎn)力，但同時也讓控制系統(tǒng)面臨新的風(fēng)險與挑戰(zhàn)。如圖辦公及ERP網(wǎng)絡(luò)B.1所示?？蛻舳丝蛻舳丝蛻舳薖服務(wù)器MES網(wǎng)絡(luò)DNC客戶端DNC客戶端DNC客戶端生產(chǎn)數(shù)據(jù)下裝狀態(tài)數(shù)據(jù)采集數(shù)控設(shè)備網(wǎng)DNC服務(wù)器設(shè)備機床其他輸入機床機床觸摸屏機床設(shè)備圖B.1機械制造行業(yè)典型架構(gòu)根據(jù)安全防護需求分析，典型工程/數(shù)字化車間安全架構(gòu)如圖B.2所示。Wel服務(wù)器企業(yè)WLAN生產(chǎn)執(zhí)行管理系工業(yè)網(wǎng)絡(luò)1現(xiàn)場總線■文件服務(wù)器工業(yè)網(wǎng)絡(luò)2企業(yè)網(wǎng)絡(luò)現(xiàn)場總線PI.CPI.C圖B.2典型工程/數(shù)字化車間安全架構(gòu)B.2確定保護對象與目標對車間進行現(xiàn)場調(diào)研，通過對現(xiàn)場相關(guān)的網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)和應(yīng)用等資產(chǎn)進行識別與分類，確定各類資產(chǎn)的可用性、完整性和保密性安全屬性，然后利用確定的算法將信息資產(chǎn)三個因素的價值綜合考慮，確定資產(chǎn)價值大小，從而最終確定要保護的關(guān)鍵資產(chǎn)如下：a)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備；b)現(xiàn)場控制層設(shè)備：數(shù)控機床；c)計算機設(shè)備：服務(wù)器、工作站、DNC客戶端等；d)軟件：工業(yè)控制系統(tǒng)專有協(xié)議、DNC相關(guān)軟件、源代碼；e)數(shù)據(jù)：工藝配方、數(shù)據(jù)庫數(shù)據(jù)。B.3風(fēng)險分析與處置B.3.1威脅識別對車間的威脅識別包括：a)車間管理網(wǎng)絡(luò)與控制網(wǎng)絡(luò)互聯(lián)互通，上層管理網(wǎng)絡(luò)受到的威脅與攻擊可能滲透擴展到控制網(wǎng)絡(luò)；b)車間不同控制單元間沒有進行網(wǎng)絡(luò)劃分與隔離，局部感染可能會影響到全局；c)車間控制系統(tǒng)遠程維護缺少有效管控手段，可能會造成生產(chǎn)數(shù)據(jù)的信息泄密或者破壞；d)USB設(shè)備、移動硬盤等使用無有效管控手段；e)車間工控設(shè)備、主機可能遭受惡意代碼及病毒攻擊，未對操作站主機或者工控設(shè)備進行必要的安全配置，一旦能接觸訪問到被攻擊的成功機會很大；f)對關(guān)鍵生產(chǎn)工藝數(shù)據(jù)、工藝配方進行竊取或破壞。B.3.2脆弱性識別對車間的脆弱性識別包括：a)工控設(shè)備因自身安全性設(shè)計方面存在不足，導(dǎo)致其具有可自主修改權(quán)限低、安全性差；b)數(shù)字化車間設(shè)備所使用的網(wǎng)絡(luò)協(xié)議及應(yīng)用軟件存在漏洞等；c)數(shù)字化車間網(wǎng)絡(luò)系統(tǒng)設(shè)計、配置存在缺陷；d)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)交換設(shè)備的鏈路層安全策略配置不全，通過網(wǎng)絡(luò)進行惡意攻擊如MAC洪泛攻擊、ARP攻擊、生成樹攻擊等成功機會很大。B.3.3安全風(fēng)險處置基于威脅和脆弱性識別以及威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性分析，并對當(dāng)前已有安全措施確認后，綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，確定需要處置的安全風(fēng)險如下：a)從縱向上來看，控制網(wǎng)絡(luò)可能會遭受來自辦公管理網(wǎng)絡(luò)的蠕蟲、病毒擴散及其他攻擊；b)從橫向上來看，一旦一個控制室單元中感染蠕蟲、全面風(fēng)險威脅；c)攻擊者可輕易的將攻擊機接入到網(wǎng)絡(luò)的某一端口，獲得與工控設(shè)備進行通訊的權(quán)限，實施攻擊行為；d)主機設(shè)備對于合法進程無識別，對于病毒無防護，主機較容易感染病毒或啟動非法進程，比較容易遭受惡意代碼的攻擊；e)工控設(shè)備有的依然采用默認口令或者弱口令；f)整個系統(tǒng)網(wǎng)絡(luò)沒有形成統(tǒng)一有效的安全監(jiān)控及審計體系，網(wǎng)絡(luò)中如果發(fā)生異常通訊或故障，無法及時識別并定位安全問題的源頭。B.4安全防護需求與安全策略B.4.1安全防護需求基于安全風(fēng)險處置要求，結(jié)合業(yè)務(wù)現(xiàn)狀，安全需求主要體現(xiàn)在以下幾個方面：a)對車間網(wǎng)絡(luò)進行安全域劃分并對安全域之間實行邊界防護，禁止沒有防護的控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接，安全域之間通過防火墻等安全設(shè)備進行邏輯隔離；b)在工控設(shè)備自身安全方面，其可自主修改權(quán)限低、安全性差，可被配置程度低，需要實現(xiàn)對設(shè)備的安全使用和管理控制，降低自身威脅和整體風(fēng)險性；c)在工業(yè)控制網(wǎng)絡(luò)平臺安全方面，如何保證指令在工控系統(tǒng)中傳輸時不被篡改、丟棄，提供良好的網(wǎng)絡(luò)平臺，提升網(wǎng)絡(luò)質(zhì)量，是能正常、正確生產(chǎn)的前提d)在工控系統(tǒng)安全方面，如何保證系統(tǒng)不被病毒、木馬等惡意程序侵害，如何保證系統(tǒng)不被非授權(quán)使用、破壞等，如何保證數(shù)據(jù)被正確下載和上傳，是應(yīng)解決的安全問題；e)在工控應(yīng)用方面，如何保證系統(tǒng)的權(quán)限及使用過程合法、合理，行為可追蹤，訪問內(nèi)容可控；f)在協(xié)議安全方面，應(yīng)處理好工控設(shè)備與現(xiàn)代信息設(shè)備協(xié)議轉(zhuǎn)換和過程中數(shù)據(jù)傳輸?shù)尿炞C等；g)在接入安全方面，解決工控網(wǎng)絡(luò)和工控設(shè)備的接入認證問題，防止非法接入；h)從設(shè)備本身的安全角度看，由于設(shè)備的內(nèi)部結(jié)構(gòu)比較復(fù)雜、外部通用接口較多、內(nèi)部專有接口較多、控制難度較大、系統(tǒng)漏洞很難修補，需加強技術(shù)手段進行訪問控制和審計；i)從設(shè)備工作環(huán)境看，由于大部分設(shè)備安放在比較開放的環(huán)境下，接觸人員包括公司員工、產(chǎn)品廠商/供應(yīng)商、協(xié)作配套等多類人群，對人員的識別應(yīng)采取有效的機制，達到有效的控制信息的知悉范圍；j)從數(shù)據(jù)管理角度看，由于現(xiàn)場操作人員過多的參與到數(shù)據(jù)存儲、刪除等處理活動中，數(shù)據(jù)存儲在本地未進行加密處理，同時又無相關(guān)的審計、訪問控制措施，尤其在試驗環(huán)境下，信息泄露問題嚴重，而目前無論從管理手段還是從技術(shù)手段均不能完全滿足現(xiàn)有的管理的要求。B.4.2安全策略B.4.2.1管理措施指定專人負責(zé)車間安全管理，重要數(shù)據(jù)、工藝配方、文件資料做到專人管理并簽署保密協(xié)議，使用要有授權(quán)并有記錄；外部人員的訪問與網(wǎng)絡(luò)接入要有嚴格的審批與權(quán)限控制。B.4.2.2技術(shù)措施a)區(qū)域劃分與網(wǎng)絡(luò)防護1)區(qū)域劃分，將具備相同功能和安全要求的設(shè)備劃分在同一區(qū)域內(nèi)，對網(wǎng)絡(luò)結(jié)構(gòu)進行重新設(shè)計規(guī)劃，不同的區(qū)域劃分不同的子網(wǎng)，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。2)在區(qū)域網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)安全隔離設(shè)備，分別管控流經(jīng)網(wǎng)絡(luò)邊界的數(shù)據(jù)流，安全策略配置數(shù)據(jù)單向通訊和端口級網(wǎng)絡(luò)防護策略，保證通訊的可靠性和傳輸方向的一致性。3)每個數(shù)控機床和數(shù)控設(shè)備網(wǎng)之間部署工業(yè)防火墻，實現(xiàn)網(wǎng)絡(luò)區(qū)域隔離和通訊管控，工業(yè)防火墻具備工業(yè)環(huán)境適用性和OPC、ModBus等工業(yè)通訊協(xié)議的應(yīng)用層安全防護功能，可以針對協(xié)議本身進行數(shù)據(jù)合法性檢查，保證數(shù)據(jù)通訊的可控性與可信度。同時工業(yè)防火墻還具備鏈路層數(shù)據(jù)幀檢查功能和ARP攻擊防護能力，可有效識別通訊設(shè)備IP和MAC是否合法，防止廣播風(fēng)暴和洪泛攻擊等對工控網(wǎng)絡(luò)的威脅。4)在網(wǎng)絡(luò)交換機等設(shè)備配置最小化的應(yīng)用安全策略，根據(jù)業(yè)務(wù)應(yīng)用需求劃分VLAN、關(guān)閉空閑端口，綁定端口接入主機信息(MAC、IP等),避免設(shè)備非法接入以及保證網(wǎng)絡(luò)接入的安全性。5)在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)，采取旁路監(jiān)聽模式，這樣既可以偵測網(wǎng)絡(luò)中是否存在入侵行為或異常通訊行為，如有異常情況則及時發(fā)送安全審計報警日志，又同時保證了工控網(wǎng)絡(luò)生產(chǎn)數(shù)據(jù)的正常傳遞不受影響。b)身份鑒別與認證核查車間網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備、工控系統(tǒng)等默認口令或弱口令，進行整改并定期更新。c)使用控制1)在DNC系統(tǒng)中的計算機上采用基于可信計算技術(shù)的主機安全防護產(chǎn)品為工控系統(tǒng)主機提供白名單方式的軟件系統(tǒng)進程管控，進而實現(xiàn)對惡意代碼的防范，及時阻止或發(fā)現(xiàn)可疑進程的啟動，進而為工控系統(tǒng)的主機構(gòu)建可信的進程運行環(huán)境。2)計算機上部署基于可信計算技術(shù)的移動存儲介質(zhì)的管控及審計系統(tǒng)，實現(xiàn)主機對移動存儲介質(zhì)的身份認證與準入控制，管控移動設(shè)備的使用。3)重要計算機上安裝訪問控制終端軟件，實現(xiàn)不同授權(quán)用戶對于主機系統(tǒng)中的程序和文件的使用權(quán)限的訪問控制及記錄。d)安全審計時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為，并可對過去發(fā)生的網(wǎng)絡(luò)通信行為進行追溯。B.5安全確認與評估根據(jù)實施的安全策略，確定驗證和證實系統(tǒng)安全性的目標并制定詳細的安全測試計劃，定義測試所采取的步驟，用測試、分析、觀察和演示的方法驗證和證實系統(tǒng)安全需求。對系統(tǒng)安全性進行檢測或證實，使用滲透測試工具、工控協(xié)議漏洞檢測設(shè)備、網(wǎng)絡(luò)分析系統(tǒng)等工具設(shè)備通過網(wǎng)絡(luò)對工控系統(tǒng)與設(shè)備進行攻擊與網(wǎng)絡(luò)信息收集；使用病毒樣本、非法U盤等對主機系統(tǒng)與設(shè)備進行破壞，實際記錄測試結(jié)果，出具測試報告。對檢測結(jié)果與檢測報告進行分析，通過與安全需求對照，確定系統(tǒng)的安全性滿足車間的安全需求，安全策略得到正確有效的實施。B.6運行與維護信息安全是一個長期持久的工作，車間的信息安全解決方案實施投入運行后，需要建立一個長效的安全運行機制，才能使車間的信息安全進入持續(xù)改進的良性循環(huán)。進入運行維護階段后須重點關(guān)注：運行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控、安全自查和持續(xù)改進等。措施如下。a)制定車間安全運維相關(guān)制度規(guī)程。明確安全運維具體責(zé)任人，建立詳細的維護操作流程與相關(guān)表單。b)明確現(xiàn)場運維和遠程運維的管理要求，對運維賬號的申請與管理、運維行為的規(guī)范等提出具體要求，對現(xiàn)場運維尤其是遠程運維進行嚴格審批和監(jiān)視。c)在車間網(wǎng)絡(luò)部署安全運維統(tǒng)一管理平臺，自動采集車間所有安全設(shè)備、主機服務(wù)器、網(wǎng)絡(luò)通信、應(yīng)用等的運行狀態(tài)和審計日志等數(shù)據(jù)，并利用大數(shù)據(jù)、數(shù)據(jù)挖掘等先進技術(shù)分析網(wǎng)絡(luò)行為及用戶行為等因素所構(gòu)成的網(wǎng)絡(luò)態(tài)勢。為用戶提供安全動態(tài)監(jiān)控運維平臺，對當(dāng)前網(wǎng)絡(luò)及設(shè)備安全狀態(tài)進行集中、實時監(jiān)控，發(fā)現(xiàn)異常及時告警，提醒用戶及時處理。d)運行過程中須及時了解和控制運行過程中的安全風(fēng)險，應(yīng)定期進行風(fēng)險評估，評估內(nèi)容包括對車間保護對象的威脅、脆弱性等方面，并出具風(fēng)險評估報告。e)當(dāng)車間的業(yè)務(wù)流程、系統(tǒng)狀況發(fā)生重大變更時，如“增加新的應(yīng)用或應(yīng)用發(fā)生較大變更、網(wǎng)絡(luò)結(jié)構(gòu)和連接狀況發(fā)生較大變更、技術(shù)平臺大規(guī)模的更新、系統(tǒng)擴容或改造、發(fā)生重大安全事件后，或基于某些運行記錄懷疑將發(fā)生重大安全事件”,也須進行風(fēng)險評估。(規(guī)范性)數(shù)字化車間信息安全增強要求C.1概述用戶在實現(xiàn)數(shù)字化車間信息安全技術(shù)基本要求的同時，可以根據(jù)實際需要采用本附錄的增強要求以提高數(shù)字化車間的信息安全能力。C.2區(qū)域劃分與邊界防護C.2.1感知控制層增強要求在數(shù)字化車間感知控制層對區(qū)域劃分與邊界防護的增強要求為：a)不宜將不同數(shù)字化車間感知控制層生產(chǎn)系統(tǒng)的數(shù)據(jù)服務(wù)器軟件安裝在同一臺主機上；各個生產(chǎn)系統(tǒng)網(wǎng)段的數(shù)據(jù)服務(wù)器不宜直接連接在同一個網(wǎng)絡(luò)上；b)數(shù)字化車間感知控制層生產(chǎn)系統(tǒng)應(yīng)提供監(jiān)視和控制區(qū)域邊界通信的能力，并提供入侵檢測的能力；c)應(yīng)限制物聯(lián)網(wǎng)或無線網(wǎng)絡(luò)與感知控制層相連；應(yīng)提供默認拒絕所有外界網(wǎng)絡(luò)數(shù)據(jù)流，例外允許網(wǎng)絡(luò)數(shù)據(jù)流(也稱為拒絕所有，允許例外)的能力；應(yīng)對無線通信采取傳輸加密的安全措施，實現(xiàn)傳輸報文的機密性保護；d)對采用無線通信技術(shù)進行控制的工業(yè)控制系統(tǒng)，應(yīng)能識別其物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無線設(shè)備，報告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)的行為；e)數(shù)字化車間感知控制層安全域之間的邊界防護機制失效時，及時進行報警；f)感知控制層與云平臺相連時，應(yīng)在感知控制層設(shè)置物理邊界防護；g)對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應(yīng)用程序等進行可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心。C.2.2監(jiān)控層增強要求在數(shù)字化車間監(jiān)控層對區(qū)域劃分與邊界防護的增強要求為：a)不宜將不同數(shù)字化車間監(jiān)控層生產(chǎn)系統(tǒng)的數(shù)據(jù)服務(wù)器軟件安裝在同一臺主機上；各個生產(chǎn)系統(tǒng)網(wǎng)段的數(shù)據(jù)服務(wù)器不宜直接連接在同一個網(wǎng)絡(luò)上；b)數(shù)字化車間監(jiān)控層生產(chǎn)系統(tǒng)應(yīng)提供監(jiān)視和控制區(qū)域邊界通信的能力，并提供入侵檢測與防御的能力；c)應(yīng)限制物聯(lián)網(wǎng)或無線網(wǎng)絡(luò)與監(jiān)控層相連；應(yīng)提供默認拒絕所有外界網(wǎng)絡(luò)數(shù)據(jù)流，例外允許網(wǎng)絡(luò)數(shù)據(jù)流(也稱為拒絕所有，允許例外)的能力；應(yīng)對無線通信采取傳輸加密的安全措施，實現(xiàn)傳輸報文的機密性保護；d)對采用無線通信技術(shù)進行控制的工業(yè)控制系統(tǒng)，應(yīng)能識別其物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無線設(shè)備，報告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)的行為；e)數(shù)字化車間監(jiān)控層安全域之間的邊界防護機制失效時，及時進行報警；f)監(jiān)控層與云平臺相連時，應(yīng)在監(jiān)控層設(shè)置物理邊界防護；g)對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應(yīng)用程序等進行可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心。C.2.3執(zhí)行層增強要求在數(shù)字化車間執(zhí)行層對區(qū)域劃分與邊界防護的增強要求為：a)數(shù)字化車間執(zhí)行層中的關(guān)鍵區(qū)域應(yīng)限制物聯(lián)網(wǎng)或無線網(wǎng)絡(luò)與執(zhí)行層相連，應(yīng)限制任何云平臺與執(zhí)行層中關(guān)鍵區(qū)域相連；b)數(shù)字化車間執(zhí)行層中的關(guān)鍵區(qū)域應(yīng)提供監(jiān)視和控制區(qū)域邊界通信的能力，并提供入侵檢測與防御的能力；c)應(yīng)限制物聯(lián)網(wǎng)或無線網(wǎng)絡(luò)與執(zhí)行層的關(guān)鍵區(qū)域相連；應(yīng)對無線通信采取傳輸加密的安全措施，實現(xiàn)傳輸報文的機密性保護；d)數(shù)字化車間的執(zhí)行層中的關(guān)鍵區(qū)域的邊界防護機制失效時，及時進行報警；e)執(zhí)行層與云平臺相連時，應(yīng)在執(zhí)行層設(shè)置物理邊界防護；f)對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應(yīng)用程序等進行可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心。C.3身份鑒別與認證C.3.1感知控制層增強要求在數(shù)字化車間感知控制層對身份鑒別與認證的增強要求為：a)無線系統(tǒng)應(yīng)具備識別接入設(shè)備并阻止未經(jīng)授權(quán)的設(shè)備接入的能力；b)在無線系統(tǒng)無法提供上述能力的情況下，控制系統(tǒng)應(yīng)具備識別與控制系統(tǒng)相連的無線系統(tǒng)的接入設(shè)備并阻止未經(jīng)授權(quán)的設(shè)備接入的能力；c)若系統(tǒng)使用無線通訊，需使用加密的方式進行連接認證。C.3.2監(jiān)控層增強要求在數(shù)字化車間監(jiān)控層對身份鑒別與認證的增強要求為：a)系統(tǒng)應(yīng)提供訪問用戶身份認證的能力；b)系統(tǒng)應(yīng)針對連續(xù)無效的訪問嘗試進行次數(shù)限制。當(dāng)限制次數(shù)超出后，系統(tǒng)應(yīng)在規(guī)定的周期內(nèi)拒絕訪問或者直到管理員解鎖。C.4使用控制C.4.1感知控制層增強要求在數(shù)字化車間感知控制層對使用控制的增強要求為：a)系統(tǒng)應(yīng)提供建立防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統(tǒng)及臨時接入的設(shè)備采取病毒查殺等安全預(yù)防措施；b)系統(tǒng)應(yīng)具備系統(tǒng)關(guān)鍵文件監(jiān)控功能，防止關(guān)鍵文件被篡改；c)當(dāng)系統(tǒng)通訊協(xié)議為動態(tài)端口時，系統(tǒng)應(yīng)具備對動態(tài)端口相應(yīng)的管理能力，以保證系統(tǒng)通訊的安全性；d)系統(tǒng)密碼實現(xiàn)定期更改，防止密碼長期不更改導(dǎo)致密碼泄露。C.4.2監(jiān)控層增強要求在數(shù)字化車間監(jiān)控層對使用控制的增強要求為：a)數(shù)字化車間生產(chǎn)系統(tǒng)應(yīng)提供阻止接收來自生產(chǎn)系統(tǒng)外的用戶或系統(tǒng)的個人間通信消息的b)系統(tǒng)應(yīng)定期更新殺毒軟件；c)系統(tǒng)應(yīng)具備系統(tǒng)關(guān)鍵文件監(jiān)控功能，防止關(guān)鍵文件被篡改；d)應(yīng)定期備份