中石油 中国石油炼化企业工业控制系统信息安全等级保护及定级指导意见

中国石油炼化企业
工业控制系统信息安全等级保护及定级指导意见
各炼化企业:
为了加强工业控制系统的信息安全管理，提升系统的安全防护水平，满足系统定级的要求，根据国家相关法律、规定和标准，制定本指导意见。

一、基本要求
1．本指导意见适用于中国石油炼化企业新建、改扩建及在役的工业控制系统；
2．工业控制系统实行全寿命周期管理，安全防护设施建设应坚持同时设计、同时施工和同时投用的原则。

3．企业应定期开展工业控制系统网络安全风险评估，制定可行的安全防护策略，总结防护经验，完善防护措施，提升防御水平，及时定级，及时向政府有关部门备案。

4．企业应有专门的机构负责工业控制系统的安全防护工作，制定安全方针，明确职责，落实系统安全升级等技术方案，部署系统的安全防护措施
二、原则
依据《中华人民共和国网络安全法》“第二十一条国家实行网络安全等级保护制度。

网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负
责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。

”
公安部《信息安全等级保护管理办法》第六条“国家信息安全等级保护坚持自主定级、自主保护的原则。

”
工业和信息化部《工业控制系统信息安全防护指南》工信部信软〔2016〕338号文件等相关法律、规定和标准。

三、信息系统的安全定级
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严
重损害。

四、工业控制系统信息安全现状
1．工业控制系统定义
是指用于生产过程控制、生产装置安全保护的软硬件系统和平台的集合，包括DCS、PLC、SCADA、SIS、ESD等系统，是生产过程稳定运行及装置安全保护的重要手段。

2．工业控制系统的网络结构
工业控制系统基本要素是，用于模数/数模转换的输入输出卡件、控制器（CPU）、工业控制网络和用于监控的工业主机操作站。

工业控制网络结构分为三层级，第一层级是输入输出卡与控制器之间的控制网络、第二层级是用于各控制器与各监控计算机之间通讯的冗余工业以太网、第三层级是用于各生产单元联网成一套整体，目的是为应用层（MES）单向上传数据。

工业控制系统边界和边界设备是由第三层级网络经过工业防火墙、网闸与中石油企业管理应用网络逻辑隔离。

数据上传是采用OPC接口给企业管理网的MES系统单向送数据。

SIS、ESD仅与DCS通讯，与应用层没有连接。

五、工业控制系统安全策略
1．硬件安全策略
1.1工业控制系统是独立的封闭网络，与企业管理需求的MES 网络相连，使用独立的OPC服务器和工业防火墙、网闸逻辑隔离，数据只能单向上传数据，禁止管理网络数据下载。

1.2封闭工业控制系统工程师站和操作站上不必要的USB口、拆除光驱、关闭或不配置无线接口。

1.3 除DCS、SIS一体化系统外，其他SIS系统、专用控制系统应通过RS485等接口与Modbus协议，或通过硬接线与控制系统相连。

SIS系统不应与MES或数采系统直接相连。

1.4 与工业控制系统无关的计算机或设备严禁直接接入或利用工业控制系统网络。

1.5 工业控制系统原则上不采用无线网络。

确需采用无线网络时，应对无线连接进行授权、监控和隔离，通过无线连接只应进行数据的采集，无线连接采集的数据不应参与联锁和控制。

2．软件安全策略
2.1炼油化工行业实行严格的工业控制系统操作权限登录制度。

从其行业内生产特点出发，分类设置账户权限，并以最小特权原则分配各工种操作账户权限。

不允许云平台等远程访问。

2.2不允许使用默认口令或弱口令，并制定有定期更新口令规定。

2.3会同工业控制系统生产厂家和网监部门，密切关注工控安全漏洞和其补丁发布，及时采取补丁升级措施。

2.4在升级补丁等应用软件安装前，需严格的采用经过离线环境中充分验证测试，采用应用程序白名单软件。

2.5采取严格的机房门禁、上机登记、视频监控等访问控制的物理安全防护措施。

严格专用移动存储介质的使用、保管和登记等管理措施。

2.6建立防病毒和恶意软件管理机制,对工业控制系统及临时接入的设备(调试用便携式计算机、移动存储设备等)采取病毒查杀
等安全预防措施。

2.7 防病毒软件宜采取离线升级的方式更新病毒库。

2.8生产运行期间严禁在过程监控设备上安装运行第三方信息安全评估软件。

六、工业控制系统信息安全定级
1．定级范围
通过OPC接口与企业管理网的MES系统联网的DCS、SCADA 等系统。

2．定级
根据炼油化工行业生产特点和工业控制系统的功能，在工业控制系统受到破坏后，因为现场仪表及执行机构及独立的安全仪表系统（SIS）和安全阀等保护层的本质安全设计，包括工业控制系统被侵入的误操作或任何故障的极端情况，能够保证生产单元退守到安全稳定状态。

因此不会对社会秩序和公共利益造成严重损害，不会对国家安全造成损害，经评估后确定工业控制系统信息安全等级最高为二级。

2.1 非爆炸危险区域内的工业控制系统受到破坏或极端故障时，严重时会造成装置停工，对公民、法人和其他组织的合法权益造成损害，不会对社会秩序和公共利益造成损害，定为一级。

2.2 爆炸危险区域内的工业控制系统受到破坏或极端故障时，
严重时会造成装置停工，对公民、法人和其他组织的合法权益造成损害，对社会秩序和公共利益造成损害，定为二级。

七、监督、管理和实施
炼油与化工分公司对炼化企业工业控制系统的安全防护工作进行指导、监督和管理。

企业应成立工业控制系统安全防护小组，明确工控安全管理责任部门，落实公开安全责任，部署工控安全防护措施，达到相关要求。