5 信息安全部分

5.1 总则

芯片式传感器数字化车间重点涵盖产品生产制造过程。芯片式传感器数字化车间网络架构如图 1所示，主要分为数字化管控层和数字化装备层两个层次，数字化装备层和数字化管控层间通过相应的集成接口实现数据交换。

数字化管控层：实现服务器、工作站、移动终端等信息设备的网络连接。

数字化装备层：实现生产设备、检测设备、PLC 等控制单元、监控终端的网络连接。

注：图 1 参考引用自《芯片式传感器数字化车间 第 1 部分：通用技术要求》的图 3。附录 A 中对芯片式传感器数字化车间信息安全要求在数字化装备层和数字化管控层两个层次进行了划分及归类。

5.2 芯片式传感器数字化车间信息安全要求

本标准的总体要求是针对芯片式传感器数字化车间整体的安全性和防护水平提出的安全要求。本标准中规定的每一种安全要素划分为 3 个等级：基本要求、加强要求、深度加强要求。等级原则上向下兼容，即加强要求应包括基本要求和加强要求；深度加强要求包括基本要求、加强要求以及深度加强要求。

图 1 芯片式传感器数字化车间网络架构

5.2.1 物理访问控制

a）对数字化装备区设备操作应进行控制，并指定操作人员与操作责任。

b）见 GB/T ×××××《数字化车间信息安全要求》的 5.6 节。

注：原文如下。

物理访问控制基本要求包括：

1）数字化车间出入口应对进出的人员进行控制、鉴别和记录；

2）应对数字化车间划分区域进行管理，必要时，区域和区域之间应物理隔离；

3）重要区域应控制、鉴别和记录进出的人员；

4）外部人员不允许携带任何导致泄密的电子设备如手机、相机、电子记录仪；

5）内部人员携带物品应遵循企业自己的规章；

6）物理视频监控。

5.2.2 信息安全管理

芯片式传感器数字化车间应具有信息安全管理制度，依据业务要求和相关法律法规提供管理指导，并采取有效的措施进行评估、分析和改进，以满足数字化车间信息安全管理的要求。制度和规范应包括以下几个部分：

a）信息安全管理方针，见 GB/T ×××××《数字化车间信息安全要求》的 6.2 节。

b）识别、分析和评价安全风险，见 GB/T ×××××《数字化车间信息安全要求》的 6.3 节。

c）安全管理目标，见 GB/T ×××××《数字化车间信息安全要求》的 6.4 节。

d）管理职责，见 GB/T ×××××《数字化车间信息安全要求》的 6.5 节。

e）风险处置计划、实施，见 GB/T ×××××《数字化车间信息安全要求》的 6.6 节。

f）监视和评审信息安全管理的有效性，见 GB/T ×××××《数字化车间信息安全要求》的6.7 节。

g）保持和改进，见 GB/T ×××××《数字化车间信息安全要求》的 6.8 节。

5.2.3 区域划分

5.2.3.1 基本要求

a） 芯片式传感器数据化车间应将数字化管控层与数字化装备层进行逻辑分区，将生产设备区、控制区、监控区进行逻辑分区。

b）数字化装备层各区域网段应相互隔离，原则上不直接连接在一起，且不同类控制系统应分配不同的网段地址。

c）应将数字化管控层与外部网络进行逻辑分区。

5.2.3.2 加强要求

a）各数据采集系统不应直接连接在同一个网络上。

b）应根据数字化管控层中各系统的功能、所涉及控制系统信息的重要程度，以及各系统之间的关联程度等因素，对网络进行子网划分，并以方便管理和控制为原则为各网段分配地址。

5.2.4 访问控制

5.2.4.1 基本要求

a）应在数字化管控层向上部署边界隔离能力，隔离企业管理网，对访问控制源地址、目的地址、源端口、目的端口和协议等项目进行检查，以允许/拒绝数据包的出入。

b）应在数字化管控层向下部署边界隔离能力，隔离作业执行层，对访问控制源地址、目的地址、源端口、目的端口和协议等项目进行检查，以允许/拒绝数据包的出入。

5.2.4.2 加强要求

a） 对数字化装备层各区域网段应部署访问控制能力装置，对于数字化加工装备区和数字化物流装备区的访问控制能力一般以双向为主，数字化检测装备区一般以单向为主。

b）应对接入数字化装备层的终端真实性进行 MAC 绑定控制。

c）见 GB/T ×××××《数字化车间信息安全要求》的 7.2.2 节的 c） 。

d）数字化装备层的访问控制能力应符合特定装备的延时需求（如磁控溅射台、电子束蒸发台、光刻机等应达到 ms 级）。

5.2.5 异常监测

5.2.5.1 基本要求

a）应在数字化管控层向上部署异常监测能力，能够监视边界处的常见网络攻击行为，并能够在检测到攻击行为时记录，并进行报警。

b）数字化管控层的服务器、终端等重要系统应具有进程监测能力，并对监测到的异常进程进行报警。

5.2.5.2 加强要求

应在数字化管控层向下部署异常监测能力，能够监测特有的工业异常行为，并能够在检测到攻击行为时记录，并进行报警。

5.2.6 身份鉴别与认证

5.2.6.1 基本要求

a）数字化管控层应提供用户身份登录认证功能，并提供用户身份信息修改、添加、删除等操作功能日志。

b）应提供用户身份认证反馈功能，将身份认证结果向用户反馈。

c）见 GB/T ×××××《数字化车间信息安全要求》的 7.3.1 节的 c）。

5.2.6.2 加强要求

a）用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求。

b）如有必要，系统可采用更高级的身份鉴别方式（如认证卡、指纹等方式）登录系统。

c）见 GB/T ×××××《数字化车间信息安全要求》的 7.3.2 节的 c）。

5.2.7 安全审计

5.2.7.1 基本要求

a）应对数字化设备运行状况、网络流量进行审计。

b）见 GB/T 32919—2016《信息安全技术 工业控制系统安全控制应用指南》的 B.5 节附加指导 b）。

5.2.7.2 加强要求

应对审计记录进行保护，保证无法单独中断审计进程，无法删除、修改和覆盖审计记录。

5.2.8 资源控制

5.2.8.1 基本要求

a）应能够监视数字化装备层网络接口处的网络流量、连接数等网络资源信息。

b）应能够监视数字化管控层的网络流量、连接数等网络资源信息。

c）数字化管控层应提供检测和一定程度上防范 DoS 事件发生的能力。

5.2.8.2 加强要求

a）应通过设定终端接入方式、网络地址范围等条件限制终端登录。

b）见 GB/T ×××××《数字化车间信息安全要求》的 7.5.2 节的 c）。

c）见 GB/T ×××××《数字化车间信息安全要求》的 7.5.2 节的 d）。

5.2.9 数据安全

5.2.9.1 基本要求

a）应能够检测关键通信数据完整性是否受到破坏。

b）如果必要，应提供数字化装备层与数字化管控层通信的加密能力。

5.2.9.2 加强要求

a）应能够检测通信数据完整性是否受到破坏。

b）如果必要，应分别提供数字化装备层各区域与数字化管控层通信的加密能力。

5.2.10 使用控制

5.2.10.1 基本要求

a）应提供针对用户操作行为的授权验证功能，如读写数据、下载程序、设置配置等行为。

b）应控制使用便携式和移动设备。

c）关键数字化装备区生产控制系统（包括薄膜、光刻、扩散、减薄、蒸发、合金、划片、烧焊核心生产装置等）应具备安全进程启动控制。

5.2.10.2 加强要求

a）应对关键装置中的关键执行机构的操作行为进行限制。

b）见 GB/T ×××××《数字化车间信息安全要求》的 7.4.2 节的 b）。

5.2.10.3 深度加强要求

在安全区域间增加安全连接控制功能，建立区域安全访问路径，对各安全区域之间的访问进行连接控制。

5.3 芯片式传感器数字化车间信息安全评估方法

5.3.1 评估等级划分

用信息安全等级（Security Level，SL）来表示不同风险，根据 SL 来确定组织机构的整体安全策略和相应的技术防御措施。

如果风险计算值在可接受的范围内，则该风险是可接受的，即残余风险在系统允许风险之内说明系统是健壮的，应保持已有的安全措施；如果风险评估值在可接受的范围外，但是低于不可接受范围的下限值，则该风险需要降低安全措施并控制风险到可接受的程度；如果评估的风险从经济、健康、安全和环境方面进行评估后发现风险是不可接受的，那么就要对现有的系统重新设计信息安全程序。

5.3.2 评估工作

芯片式传感器数字化车间的信息安全评估分为 4 个阶段，具体见 GB/T 30976.1—2014《工业控制系统信息安全 第 1 部分：评估规范》的第 8 章。

注：参考 GB/T 30976.1—2014 《工业控制系统信息安全第 1 部分：评估规范》第 8 章内容，对安全评估阶段进行总结，如需了解详细内容，可查阅 GB/T 30976.1—2014 中的详细规定。第一阶段为规划阶段，确定评估目的；第二阶段为评估设计；第三阶段为评估的实施；第四阶段为编写评估报告。

5.3.3 评估方法

确定某种评估方法一般要进行以下 4 个步骤：

a）筛选，确定适用于机构要求的理想方法。

b）选择，根据机构要求从若干可用的评估方法中选取适用的方法。

c）验证，此步骤是可选的。

d）确定，根据评估的对象确定评估方法。

一般可选择的评估方法定义如下：

a）基于场景和基于资产的风险评估。基于资产的方法倾向于利用组织机构对系统、工作方法和能够对经济产生影响的特殊资产的认识。

b）高层次风险评估。高层次风险评估过程需要通过风险分析会议聚集利益关系者的意见，也需要利用商业后果，这些应在经营理念中阐述。风险分析会议中的文件应列举一些场景，这些场景应描述一个特定的威胁是怎样利用特定的漏洞来造成经济损失和负面的商业影响，同时确定 后果等级标准和抗风险等级优先顺序。

注：高层次风险评估方法阐明了运用工业控制系统产生的个别风险的性质，这需要从根本上选择最有效的方法和分析配置的成本。

c）详细风险评估。详细风险评估集中在个别网络和设备，同时要考虑具体的财产上的技术漏洞评估和现有政策的有效性；组织机构将会收集足够的关于芯片式传感器数字化车间的信息，允许对信息做优先级排序，决定对哪些信息优先做具体漏洞和风险评估分析。

d）定性和定量风险评估。定性风险评估以有经验的雇员或者专家的意见，提供关于特定风险影响特定资产的可能性和严重性的信息；定量风险评估以资产影响的可能性为依据，对特定资产损害影响进行定量评估。