ICS35.030 CCSM10 中华人民共和国国家标准 GB/T44462.1—2024 工业互联网企业网络安全 第1部分:应用工业互联网的工业企业 防护要求 Industrialinternetenterprisecybersecurity— Part1:Protectionrequirementsofinternetindustrialenterprise 2024-09-29发布 2025-01-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 1 …………………………………………………………………………………………………… 5 应用工业互联网的工业企业安全防护级别的确定 2 …………………………………………………… 6 应用工业互联网的工业企业安全防护范围 2 …………………………………………………………… 7 应用工业互联网的工业企业安全防护要求 2 …………………………………………………………… 7.1 初始级防护要求 2 …………………………………………………………………………………… 7.2 基本级防护要求 7 …………………………………………………………………………………… 7.3 增强级防护要求 13 …………………………………………………………………………………… 附录A(资料性) 应用工业互联网的工业企业典型网络层次架构示例 20 ……………………………… 参考文献 21 …………………………………………………………………………………………………… ⅠGB/T44462.1—2024 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件是GB/T44462《工业互联网企业网络安全》的第1部分。GB/T44462已经发布了以下 部分: ———第1部分:应用工业互联网的工业企业防护要求; ———第2部分:平台企业防护要求; ———第3部分:标识解析企业防护要求。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中华人民共和国工业和信息化部提出。 本文件由全国通信标准化技术委员会(SAC/TC485)和全国网络安全标准化技术委员会(SAC/TC260) 共同归口。 本文件起草单位:国家工业信息安全发展研究中心、中国信息通信研究院、南方电网科学研究院有 限责任公司、国能数智科技开发(北京)有限公司、中国航天科工飞航技术研究院、北京天融信网络安全 技术有限公司、交通运输部科学研究院、烽台科技(北京)有限公司、北京启明星辰信息安全技术有限公 司、中国电子技术标准化研究院、北京京航计算通讯研究所、施耐德电气(中国)有限公司、正泰集团股份 有限公司、杭州安恒信息技术股份有限公司、中国软件评测中心(工业和信息化部软件与集成电路促进 中心)、中国科学院信息工程研究所、郑州信大捷安信息技术股份有限公司、上海宝信软件股份有限公 司、北京威努特技术有限公司、中国工业互联网研究院、国家信息技术安全研究中心、上海化工宝数字科 技有限公司、上海计算机软件技术开发中心、深圳市燃气集团股份有限公司、中国南方电网有限责任公 司、贵州电子信息职业技术学院。 本文件主要起草人:蒋艳、王蕊、廖剑、张哲宇、董良遇、孙军、董娜、梁志宏、匡晓云、张格、李俊、 王诗蕊、章利光、于盟、马娟、杨梓涛、韩鹏军、李杨、安高峰、曹禹、原真、赵冉、杨兴城、刘志尧、李琳、 王尊、张永静、毕继华、谢承运、彭华、马立祥、赵佳宁、张卫东、刘为华、王冲华、王思蕊、郭洋、查奇文、 赵梓桐、曾珍珍、张瑜、刘振宇、张静、苏扬、杨祎巍、黄思齐、李景田、刘昉、王许培、裴彦纯、马霄、郝鑫、 安成飞。 ⅢGB/T44462.1—2024 引 言 工业互联网企业数量众多、信息化发展程度不同且承载业务类型相异,所属行业网络安全防护规律 差异化明显,为解决现有网络安全防护要求无法满足工业互联网企业发展实际需求的问题,需实施工业 互联网企业网络安全分类分级管理并编制相关标准。 GB/T44462《工业互联网企业网络安全》是指导工业互联网企业开展网络安全分类分级防护工作 的基础性标准,旨在针对应用工业互联网的工业企业、工业互联网平台企业、工业互联网标识解析企业 及企业数据安全,提出不同级别的网络安全管理及安全防护技术要求,用于指导企业落实与自身级别相 适应的安全防护措施,由于文件的使用者需求不同,由四个部分构成。 ———第1部分:应用工业互联网的工业企业防护要求。目的在于提出应用工业互联网的工业企业 开展网络安全分类分级防护工作需要落实的安全要求。 ———第2部分:平台企业防护要求。目的在于提出工业互联网平台企业开展网络安全分类分级防 护工作需要落实的安全要求。 ———第3部分:标识解析企业防护要求。目的在于提出工业互联网标识解析企业开展网络安全分 类分级防护工作需要落实的安全要求。 ———第4部分:数据防护要求。目的在于提出工业互联网企业开展网络安全分类分级防护工作需 要落实的数据安全要求。 本文件面向应用工业互联网的工业企业,提出了初始级、基本级、增强级三个不同级别的安全要 求,指导企业实施工业互联网安全分类分级管理工作,为应用工业互联网的工业企业各类信息系统安全 防护水平提升奠定基础,为企业整体工业互联网安全防护能力建设提供指导。 ⅣGB/T44462.1—2024 工业互联网企业网络安全 第1部分:应用工业互联网的工业企业 防护要求 1 范围 本文件规定了应用工业互联网的工业企业在设备、控制、网络、应用平台软件、管理以及物理环境等 方面不同级别的网络安全防护要求。 本文件适用于指导应用工业互联网的工业企业开展网络安全分类分级防护工作。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069 信息安全技术 术语 GB/T39786 信息安全技术 信息系统密码应用基本要求 GB/T42021 工业互联网 总体网络架构 3 术语和定义 GB/T25069和GB/T42021界定的以及下列术语和定义适用于本文件。 3.1 应用工业互联网的工业企业 internetindustrialenterprise 运用工业互联网技术实现智能控制、运营优化和生产组织方式变革的工业企业。 4 缩略语 下列缩略语适用于本文件。 AGV:自动导引运输车(AutomatedGuidedVehicle) APP:应用程序(Application) CNC:计算机数字控制(ComputerNumericalControl) DCS:集散控制系统(DistributedControlSystem) DPU:分散处理单元(DistributedProcessingUnit) ERP:企业资源计划(EnterpriseResourcePlanning) HMI:人机界面(HumanMachineInterface) IED:智能电子设备(IntelligentElectronicDevice) MES:生产执行系统(ManufacturingExecutionSystem) PLC:可编程逻辑控制器(ProgrammableLogicController) 1GB/T44462.1—2024 RTU:远程终端单元(RemoteTerminalUnit) SCADA:数据采集与监视控制系统(SupervisoryControlandDataAcquisitionSystem) UPS:不间断电源(UninterruptedPowerSupply) USB:通用串行总线(UniversalSerialBus) 5 应用工业互联网的工业企业安全防护级别的确定 应用工业互联网的工业企业应按照工业互联网企业网络安全定级方法确定级别,由低到高划分为 一级、二级、三级,采取不同程度的安全防护,如表1所示。应用工业互联网的工业企业的安全防护要求 分为初始级、基本级和增强级三个级别,其中: ———一级的应用工业互联网的工业企业按照初始级防护要求采取防护措施; ———二级的应用工业互联网的工业企业按照基本级防护要求采取防护措施; ———三级的应用工业互联网的工业企业按照增强级防护要求采取防护措施。 表1 应用工业互联网的工业企业安全防护级别的确定 企业级别 安全防护要求级别 一级 初始级 二级 基本级 三级 增强级 6 应用工业互联网的工业企业安全防护范围 安全防护从设备安全、控制安全、网络安全、应用平台安全、物理和环境安全以及安全管理要求等方 面开展,应用工业互联网的工业企业典型网络层次架构示例参见附录A,安全防护范围具体包括: a) 设备安全防护:包括工业主机安全、网络设备安全、工业控制设备安全; b) 控制安全防护:包括应用工业互联网的工业企业控制系统安全、控制软件安全、配置安全、智能