數字化車間信息安全要求2022-03-09發布I前言 12規范性引用文件 13術語和定義、縮略語 13.1術語和定義 13.2縮略語 44數字化車間信息安全總則 44.1數字化車間信息安全范圍 44.2數字化車間信息安全基本要求 54.3數字化車間信息安全分析流程 65數字化車間信息安全管理要求 75.1概述 75.2信息安全管理制度 75.3信息安全管理崗位與職責 75.4人員管理 85.5風險管理 85.6物理訪問控制管理 95.7運維安全管理 95.8監視和評審信息安全管理的有效性 95.9保持和改進 6數字化車間信息安全技術要求 6.1概述 6.2區域劃分與邊界防護 6.3身份鑒別與認證 6.4使用控制 6.5資源控制 6.6數據安全 6.7安全審計 附錄A(資料性)數字化車間信息安全常見威脅源 附錄B(資料性)典型機械制造行業數字化車間信息安全示例 B.1概述 B.2確定保護對象與目標 B.3風險分析與處置 B.4安全防護需求與安全策略 B.5安全確認與評估 ⅡB.6運行與維護 附錄C(規范性)數字化車間信息安全增強要求 C.1概述 C.2區域劃分與邊界防護 C.3身份鑒別與認證 C.4使用控制 C.5資源控制 C.6數據安全 C.7安全審計 參考文獻 圖1數字化車間信息安全范圍(實線部分) 5圖2數字化車間信息安全分析流程 7圖B.1機械制造行業典型架構 圖B.2典型工程/數字化車間安全架構 ⅢGB/T41260—2022本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由中國機械工業聯合會提出。本文件由全國工業過程測量控制和自動化標準化技術委員會(SAC/TC124)歸口。本文件起草單位：機械工業儀器儀表綜合技術經濟研究所、中國石油集團安全環保技術研究院有限公司、重慶信安網絡安全等級測評有限公司、浙江中控技術股份有限公司、國能智深控制技術有限公司、深圳市標利科技開發有限公司、寧波和利時信息安全研究院有限公司、中國科學院沈陽自動化研究所、中國電力工程顧問集團華北電力設計院有限公司、北京市勞動保護科學研究所、工業和信息化部計算機與微電子發展研究中心(中國軟件評測中心)、上海工業自動化儀表研究院有限公司、西門子(中國)有限公司、菲尼克斯(南京)智能制造技術工程有限公司、長沙有色冶金設計研究院有限公司、羅克韋爾自動化(中國)有限公司、快克智能裝備股份有限公司。數字化車間較傳統生產車間具有數字化、網絡化、智能化等特點，互聯互通互操作成為數字化車間建設的基本特征。生產車間的邊界被擴大，傳統信息安全的威脅將會滲透到數字化車間內部，而數字化車間內的各類設備、系統設計之初主要是面向可用性而非安全性，信息安全防護能力普遍低下；數字化車間系統化的特性也導致信息安全產生的影響變得更大，一個局部的影響可能導致整個車間的停運；與此同時，物聯網及新興網絡和通信技術等的應用也會把外部威脅直接引入到生產現場，因此數字化車間的建設應充分考慮信息安全的因素。本文件以數字化車間為對象，充分考慮數字化車間的特點，從管理與技術兩個方面提出信息安全要求。1數字化車間信息安全要求本文件規定了數字化車間信息安全總則、管理要求和技術要求等。本文件適用于針對數字化車間的工程設計、設備生產、系統集成、生產運維、安全評估等信息安全活動。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T37413—2019數字化車間術語和定義communicationnetworks—Network3.1術語和定義GB/T37413—2019和IEC62443-1-1:2009界定的以及下列術語和定義適用于本文件。以生產對象所要求的工藝和設備為基礎，以信息技術、自動化、測控技術等為手段，用數據連接車間不同單元，對生產運行過程進行規劃、管理、診斷和優化的實施單元。注：在本文件中，數字化車間僅包括生產規劃、生產工藝、生產執行階段，不包括產品設計、服務和支持等階段。數字化車間擁有或保管的物理或邏輯對象，該對象對數字化車間具有潛在或實際的價值。注：在工業自動化和控制系統的情況下，具有最大直接可測量價值的實物資產可能是受控設備。生產系統productionsystem為完成數字化車間生產任務而需要的各類硬件、軟件以及人員的集合。注：數字化車間生產系統包括但不限于。a)可編程邏輯控制器(PLC)、智能電子設備(IED)、分布式控制系統(DCS)、緊急停車系統(ESD)、安全儀表系統(SIS)、監視控制與數據采集(SCADA)系統、運動控制(MC)系統、數控系統(CNC)、柔性制造系統(FMS)等系統。2感知控制層thelayerofperceptionandcontrol定義了感知和操控車間物理流程的活動。監控層thelayerofmonitoring定義了監測和控制車間物理流程的活動。a)保護系統所采取的措施；b)由建立和維護保護系統的措施而產生的系統狀態；c)能夠免于非授權訪問和非授權或意外的變更、破壞或者損失的系統資源的狀態；d)基于計算機系統的能力，能夠提供充分的把握使非授權人員和系統既無法修改軟件及其數據也無法訪問系統能力，卻保證授權人員和系統不被阻止；e)防止對工業自動化和控制系統的非法或有害的入侵，或者干擾其正確和計劃的操作。注：措施可以是與物理信息安全(控制物理訪問計算機的資產)或者邏輯信息安全(登錄給定系統和應用的能力)相系統設計、實現或操作和管理中存在的缺陷或弱點，可被利用來危害系統的完整性或安保策略。可能導致對系統或組織危害的不希望事故潛在起因。信息安全風險informationsecurityrisk人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響。系統地使用信息來識別風險來源和估計風險。選擇并且執行措施來更改風險的過程。3經過風險處置后遺留的風險。安全事件securityincident系統、服務或網絡的一種可識別狀態的發生，它可能是對安全策略的違反或防護措施的失效，或未預知的不安全狀況。數據或資源的特性，被授權實體按要求能訪問和使用數據或資源。保證信息及信息系統不會被非授權更改或破壞的特性。注：包括數據完整性和系統完整性。數據所具有的特性，即表示數據所達到的未提供或未泄露給非授權的個人、過程或其他實體的共享相同信息安全要求的邏輯資產或物理資產的集合。注：區域具有清晰的邊界。一個信息安全區域的信息安全策略在其內部和邊界都要強制執行。獨立審查和記錄檢查，以確保遵守既定的政策和操作程序，并建議必要的控制變更。保護系統資源防止未經授權的訪問；系統資源使用的過程是根據安全策略規定的，并且根據該策略4身份所聲明特征正確性的保證行為。依據安全策略可以執行某項操作的用戶。下列縮略語適用于本文件。APT:高級持續性威脅(AdvancedPersistentThreat)CAD:計算機輔助設計(ComputerAidedDesign)CAE:計算機輔助工程(ComputerAidedEngineering)CNC:數控系統(ComputerNumericalControl)DCS:分布式控制系統(DistributedControlSystem)DDoS:分布式拒絕服務(DistributedDenialofService)DMZ:非軍事區(DemilitarizedZone)DNC:分布式數控(DistributedNumericalControl)DoS:拒絕服務攻擊(DenialofService)ERP:企業資源計劃(EnterpriseResourcePlanning)ESD:緊急停車系統(EmergencyShutdownDevice)FMS:柔性制造系統(FlexibleManufacturingSystem)HMI:人機界面(HumanMachineInterface)MES:制造執行系統(ManufacturingExecutionSystem)PLC:可編程邏輯控制器(ProgrammableLogicController)PLM:產品生命周期管理(ProductLifecycleManagement)RFID:無線射頻識別(RadioFrequencyIdentification)SIS:安全儀表系統(SafetyInstrumentedSystem)VLAN:虛擬本地網(VirtualLocalAreaNetwork)4數字化車間信息安全總則4.1數字化車間信息安全范圍數字化車間的基礎層包括了數字化車間生產制造所必需的各種制造設備及生產資源，其中制造設RFID等技術進行標識，參與生產過程并通過其數字化標識與系統進行自動或半自動交互。5GB/T41260—2022這里基礎層通常可以細分為兩層：感知控制層與監控層。數字化車間的執行層主要包括車間計劃與調度、生產物流管理、工藝執行與管理、生產過程質量管理、車間設備管理五個功能模塊，對生產過程中的各類業務、活動或相關資產進行管理，實現車間制造過程的數字化、精益化及透明化。由于數字化工藝是生產執行的重要源頭，對于部分中小企業沒有獨立的產品設計和工藝管理情況，可在數字化車間中建設工藝設計系統，為制造運行管理提供數字化工藝信息。以MES系統為代表的面向車間執行層的生產信息化管理系統，該系統會進行數據采集、生產調度、代碼下載、參數配置等各項功能的執行。數字化車間的管理層以ERP為代表的企業資源管理，負責企業訂單的接收，人力、工資等信息的管理，包括但不限于PLM、CAD、CAE等各種資源。數字化車間以物理車間為基礎，物理車間的資產屬于數字化車間的一部分，不在物理車間內部但是通過網絡等方式連接的設備/系統仍然作為數字化車間的一部分，如MES系統使用的服務器可能放置于專門的機房，車間與機房通過光纖方式進行連接通信。因此，數字化車間信息安全的范圍包括基礎層和執行層全部與信息安全相關的系統/活動。數字化車間信息安全保護的對象包括數字化車間的物理資產、邏輯資產(如工藝配方等)。管理層管理層企業資源計劃產品生命周期管理…企業信息交互制造運行管理工藝執行與管理執行層生產過程質量管理車間設備管理車間信息交互生產資源息交互車間信息交互車間計劃與調度生產物流管理工藝設計制造設備基礎層數字化車間/智能工廠可選功能。圖1數字化車間信息安全范圍(實線部分)4.2數字化車間信息安全基本要求4.2.1保障生產安全要求信息安全措施應有利于增強安全相關系統對內部攻擊、外部攻擊和誤操作的防御。信息安全措施不應對生產緊急事件處理產生妨礙，或者雖有影響但經過充分評估后可以實施。4.2.2保障連續生產要求信息安全技術措施不應對自動化控制裝備的通訊端口、控制網絡產生連續或階段性的網絡沖擊對6控制實時性和連續性的不利影響應控制在允許范圍。對控制設備和操作站點采取信息安全技術措施前，應充分測試和驗證該技術措施是否影響控制設備和工業軟件的運行。4.2.3不影響控制裝備互聯互通要求采取信息安全管理和技術措施前應考慮到事實上多種工業控制協議設備間的互聯互通，對于采用私有協議或國際現場總線標準的控制和通訊設備可考慮采取網段隔離等措施，不宜更改相關通訊標準協議。應考慮數字化車間重要程度，以及系統脆弱性、威脅和安全風險現狀，平衡經濟性和安全性，結合系統架構和技術情況，采用適宜的安全防護措施/補償對抗措施。應考慮數字化車間全生命周期內風險與信息安全需求的變化，及時采取相應措施。4.2.6內生安全與縱深防御相結合要求應結合內生安全技術與多層次縱深防御措施來有效保障信息安全，宜優先采用具備內生安全技術的控制裝備，從而抵御相關技術和管理措施失效或過失情況下的風險。4.2.7管理和技術相結合要求數字化車間的信息安全應綜合考慮管理和技術措施，技術措施應通過必要的管理措施來保障落實和執行。4.3數字化車間信息安全分析流程如圖2所示，對于一個數字化車間在建設階段應充分考慮安全需求，安全需求的前提是基于目標對象的確定，進而進行必要的危險和風險分析之后得出的，對于安全需求要進行評估，進而制定安全策略和安全措施，在數字化車間實際投入運行之前應對安全措施進行評估和確認。注：對安全措施進行評估和確認可以通過線上測試和分析實現。當數字化車間進入運行維護階段，應定期和根據實際需要進行風險評估，根據評估結果通過修改、加強、增加安全措施來應對風險變化導致的安全能力下降，其中安全措施包括管理措施和技術手段。數字化車間的常見威脅和風險點見附錄A,實際的分析處理過程見附錄B。數字化車間信息安全能力由管理措施、技術手段各方面因素綜合決定，具體要求見第5章、第6章。7概念概念危險和風險分析信息安全需求安全需求評估安全策略安全實施安全確認運行和維護停用數字化車間建設階段運行維護安全變化風險評佔安全加固管理增強變史返回適當階段圖2數字化車間信息安全分析流程5數字化車間信息安全管理要求5.1概述面臨安全風險，建立并維護信息安全管理要求的措施，明確信息安全管理職責，分配和管理資源，運用過程方法實現數字化車間的正常運行，并采取有效的措施評估、分析和改進，以滿足數字化車間信息安全管理的要求。5.2信息安全管理制度在數字化車間信息安全管理制度的制定中應：a)按照信息安全管理方針和策略，制定數字化車間的信息安全工作原則與目標；b)對數字化車間的安全管理活動建立相應的信息安全管理制度；c)對管理人員和操作人員執行的日常信息安全管理操作建立操作規程或者作業指導書；d)通過正式、有效的方式發布，并進行版本控制。5.3信息安全管理崗位與職責應通過清晰的崗位設置、明確的信息安全職責劃分，支持數字化車間的信息安全管理。a)設立數字化車間的信息安全管理崗位，并明確定義崗位職責。b)各崗位應配備相應的管理人員，并應明確定義各級人員的職責。c)關鍵崗位應配備多人共同管理。d)信息安全管理的角色和職責應落實到具體的責任人、管理者、具體的工位、具體的單元操作等。85.4人員管理5.4.1人員錄用與離職管理在數字化車間的人員錄用與離職管理中應：a)對被錄用關鍵崗位信息安全管理人員的身份背景、資質等進行審查；b)及時終止離職信息安全管理人員的所有訪問權限，更換相應訪問密碼，收回所授予的各種身份證件、鑰匙以及組織提供的軟硬件設備等。應通過以下方式，確保所有被賦予信息安全管理職責的人員具有執行所要求任務的能力：a)確定從事數字化車間信息安全管理工作的人員所必要的能力；b)對各類人員進行信息安全意識教育和崗位技能培訓，或采取其他措施(如聘用有能力的人員)以滿足這些能力需求；并告知相關的安全責任和懲戒措施；c)對關鍵崗位的人員進行信息安全技能考核；d)評價所采取措施的有效性；5.4.3外部人員訪問管理在數字化車間的外部人員訪問管理中應：a)確保外部人員在進入物理訪問受控區域前提出書面申請，批準后由專人全程陪同，并登記b)確保在外部人員接入網絡訪問系統前提出書面申請，批準后由專人開設賬號、分配權限，并登記備案；c)在外部人員離場后及時清除其所有的訪問權限。5.5風險管理5.5.1確定風險管理目標對數字化車間的風險管理控制目標和控制措施應加以選擇和實施，以滿足風險評估和風險處置過程中所識別的要求。這種選擇應考慮接受風險的準則以及法律法規的要求。組織宜獲得管理者對殘余風險的批準。險評估：a)確定風險評估方法、制定接受風險的準則和識別可接受的風險級別；b)定期識別各類風險，如通過連網設備識別風險時應有相應流程或資產面臨的危險和可能被威脅利用的脆弱性等；c)定期分析和評價各類風險，包括評價安全失效可能對組織造成的影響等；d)確定可選措施以消除風險或避免風險等；e)在組織的方針策略和可接受風險的準則條件下，主動、客觀地接受風險。9在數字化車間的風險處置中應：a)為管理數字化車間信息安全風險制定處置計劃，該計劃應包含適當的管理措施、資源、職責和優先順序等；b)實施風險處置計劃達到已識別的控制目標，包括資金安排、角色和職責的分配；c)實施所選擇的控制措施滿足控制目標；d)確定如何測量所選擇的控制措施或控制措施實際的有效性，并指明如何運用這些測量措施來評估控制措施的有效性，以產生可比較的和可再現的結果；e)管理數字化車間信息安全相關的資源；f)實施能夠迅速檢測安全事件和響應安全事件的規程和其他控制措施。5.6物理訪問控制管理物理訪問控制基本要求應包括但不限于：a)對數字化車間出入口進出的人員進行控制、鑒別和記錄；b)對數字化車間劃分區域進行管理，必要時，區域和區域之間應物理隔離；c)全程陪同對受控區域訪問的外部人員；d)限制外部人員攜帶可能導致泄密的電子設備或其他物品如手機、相機、電子記錄儀等；e)制定規章制度限制內部人員攜帶可能導致泄密的物品；f)對重要區域進行視頻監控。5.7運維安全管理在數字化車間的運維安全管理中應：a)制定并發布數字化車間安全運維規程，定期對安全運維規程進行評審和更新；b)根據廠商或供應商的規格說明以及組織的要求，對數字化車間設備和系統的運維進行規劃、實c)審批和監視所有運維行為，不論被維護對象是在現場還是被轉移到其他位置；d)在對系統或組件維護或修理后，檢查所有可能受影響的安全控制措施以確認其仍能正常發揮功能；e)數字化車間設備或系統的第三方運維商承諾未經用戶同意不得采集用戶相關信息、不得遠程控制用戶設備或系統；f)如果采用遠程運維的方式，組織根據產品的運維需求，為遠程控制端口設置控制權限和控制時間窗；在遠程維護完成后，組織安排專人立即關閉為遠程維護需求開放的權限設置；g)完整地記錄所有運維的工作計劃、要求、過程和完成情況，并存檔；h)能夠對所有運維操作記錄進行安全審計，審計記錄應定期備份，避免受到未預期的刪除、修改或覆蓋等；i)定期開展風險評估，對識別和發現的安全漏洞和隱患及時進行修補。5.8監視和評審信息安全管理的有效性在監視和評審數字化車間信息安全管理的有效性時應：a)執行監視評審規程和其他控制措施：●迅速檢測過程運行結果中的錯誤；●迅速識別即將發生的和已發生的安全違規和事件；·幫助管理者確定分配給人員的安全活動或通過信息技術實施的安全活動是否按期望執行；●幫助檢測并預防安全事件；●確定安全違規的解決措施是否有效。b)在考慮安全事件、有效性測量結果、所有相關方的建議和反饋的基礎上，進行信息安全管理有效性的定期評審(包括滿足信息安全管理方針和目標，以及安全控制措施的評審);c)測量控制措施的有效性以驗證安全要求是否被滿足；d)按照計劃時間間隔進行風險評估的評審，以及對殘余風險和已確定的可接受風險及級別進行評審，應考慮以下方面的變化·數字化車間升級或更新；●已實施的控制措施的有效性；·外部事態，如法律法規環境的變更、合同義務的變更和社會環境的變更。e)考慮監視評審活動的結果，以更新安全計劃；f)記錄可能影響數字化車間信息安全的有效性或執行情況的措施和事態。5.9保持和改進在保持和改進數字化車間信息安全管理時應：a)實施易識別的信息安全管理改進措施；b)采取糾正和預防措施，從其他組織和組織自身的安全經驗中吸取教訓；c)向所有相關方溝通糾正和預防措施、改進情況，其詳細程度與環境相適應，需要時商定如何進行；d)確保改進達到了預期目標。6數字化車間信息安全技術要求本文件以區域劃分與邊界防護、身份鑒別與認證、使用控制、資源控制、數據安全與安全審計作為數字化車間信息安全技術要求的基本要素，具體為：a)區域劃分與邊界防護應從企業和數字化車間系統整體角度來考慮信息安全，通過區域劃分和邊界防護來實現縱深防御，保障數字化車間生產系統受到攻擊時不擴散到另外的區域。b)身份鑒別與認證應防止未經授權的訪問，如用戶名與密碼形式的身份鑒別與認證。c)使用控制應防止未經授權的使用，即使用戶、軟件等實體通過了鑒別，不同授權用戶、軟件等實體對數字化車間生產系統的操作與使用不得超過其所分配的權限。d)資源控制應控制資源的使用防止因非法或超限使用資源從而影響生產系統的可用性、生產連續性等。e)數據安全應保證靜態數據和通信數據的可用性、完整性、保密性。f)安全審計應對生產系統的日志、狀態、報警等信息進行核查來檢測系統是否處于預期的安全設置。6.1.2安全要求說明本文件中規定的安全要求是實現數字化車間信息安全能力的基本要求。如果需要更高的要求，應符合附錄C的規定。6.2區域劃分與邊界防護6.2.1感知控制層基本要求在數字化車間感知控制層對區域劃分與邊界防護的基本要求為：a)感知控制層宜和對應的監控層劃分為同一區域；b)如有必要感知控制層內宜可劃分多個子區域；c)如有必要在感知控制層和對應監控層之間可設置邊界，運用安全審計等非阻斷型策略；d)與感知控制層相連的其他所有網絡或系統，如沒有在同一安全區域，則與感知控制層相連的邊界應滿足邊界防護的基本要求；e)如有物聯網或其他無線網絡與感知控制層有線網絡相連，物聯網或其他無線網絡應作為各自獨立的區域，在與感知控制層有線網絡之間設置邊界防護；f)如感知控制層直接與云相連，應按照縱深防御的原則整體進行邊界防護。對于設備直接上云的情況應優先配置設備的邊界防護，如果設備的邊界防護能力不足，應在云端做虛擬邊界6.2.2監控層基本要求在數字化車間監控層對區域劃分與邊界防護的基本要求為：a)監控層宜和對應的感知控制層劃分為同一區域，此區域在與其他區域相連時應做好邊界防護；b)如有必要監控層內宜可劃分多個子區域；c)與監控層相連的其他所有網絡或系統，如沒有在同一安全區域，則與監控層相連的邊界應滿足邊界防護的基本要求；d)監控層和執行層可為不同區域，在監控層與執行層之間應滿足邊界防護基本要求；應部署訪問控制設備，配置訪問控制策略，禁止任何穿越區域邊界的E-mail、Web、Telnet、Rlogin、FTP等通用網絡服務；e)如有物聯網或其他無線網絡與監控層有線網絡相連，物聯網或其他無線網絡應作為各自獨立的區域，在與監控層有線網絡之間設置邊界防護；f)如監控層直接與云相連，應按照縱深防御的原則整體進行邊界防護。對于邊緣終端直接上云的情況應優先配置邊緣終端的邊界防護，如果邊緣終端的邊界防護能力不足，應在云端做虛擬邊界防護。6.2.3執行層基本要求在數字化車間執行層對區域劃分與邊界防護的基本要求為：a)執行層應整體作為一個區域；b)執行層與管理層可為不同區域，在執行層和管理層之間應滿足邊界防護基本要求；可設置網絡隔離設備，禁止管理層未經協議轉換直接訪問執行層；c)如有物聯網或其他無線網絡與執行層相連，物聯網或其他無線網絡應作為各自獨立的區域，在與執行層之間設置邊界防護；d)如執行層直接與云相連，應按照縱深防御的原則整體進行邊界防護，同時云端應做必要的虛擬邊界防護。6.3身份鑒別與認證6.3.1感知控制層基本要求在數字化車間感知控制層對身份鑒別與認證的基本要求為：a)應保證登錄、操作與維護系統人員為可信人員，防止出現非相關人員的訪問，影響設備或系統安全運行；b)系統應保證外部登錄的設備為可信設備，禁止任何不可信設備的接入；c)系統內部設備連接外部網絡時，應經過上網認證；d)系統應具備記錄連接事件的功能，以保證所有的連接均可查詢；e)如果該層使用了遠程訪問，系統應具備對遠程訪問設備身份鑒別的能力。6.3.2監控層基本要求在數字化車間監控層對身份鑒別與認證的基本要求為：a)應保證登錄、操作與維護系統人員為可信人員，防止出現非相關人員的訪問，影響設備或系統安全運行；b)系統應提供訪問用戶身份鑒別和認證的能力；c)對于使用口令鑒別機制的生產系統，口令應具有一定的復雜性，且需在多次嘗試密碼失敗后，延長重新輸入密碼等待時間；d)系統內部設備連接外部網絡時，應經過上網認證；e)系統應具備訪問記錄與事件記錄功能；f)如果使用了無線網絡，無線系統應具備識別接入設備并阻止未經授權設備接入的能力。6.3.3執行層基本要求在數字化車間執行層對身份鑒別與認證的基本要求為：a)系統應具備對操作人員身份鑒別的能力；b)使用口令鑒別機制的系統，口令應具有一定的復雜性；c)系統應具備訪問記錄與事件記錄功能。6.4使用控制6.4.1感知控制層基本要求在數字化車間感知控制層對使用控制的基本要求為：a)數字化車間各區域間應具有相互訪問控制的能力，保證不同區域之間存在隔離，如通過b)系統應具備可配置的使用限制能力，對內部所有可能會被外部接入的接口進行接入限制管理，如現場交換機的網口，現場工控機的USB口、網口等，以防止非授權設備的接入；c)系統應具備限制非必要通訊端口、協議和服務的能力；d)系統應具備限制不同區域操作或維護人員訪問權限的能力；e)系統同一區域應實現對不同操作或維護人員實行不同控制權限的能力；f)如果使用了無線網絡，無線系統應具備識別接入設備并阻止未經授權設備接入的能力；g)如果使用了無線網絡，工廠應保證使用的無線信道在此無線覆蓋區域未曾被占用。6.4.2監控層基本要求在數字化車間監控層對使用控制的基本要求為：a)系統應具備可配置的使用限制能力，防止非授權設備的接入；b)系統應具有為不同授權用戶提供不同權限的能力，以支持職責分離和最小權限；c)系統應提供對第三方未經兼容性測試的可能造成生產系統損害的應用程序或移動代碼執行使用限制的能力；d)應及時為數字化車間采取補丁升級措施，在安裝前應對補丁進行嚴格的安全評估和測試驗證；e)數字化車間的遠程訪問端口應具有訪問控制措施，對從發起方的訪問進行源地址、目的地址、源端口、目的端口和協議等項目的控制。6.5資源控制6.5.1感知控制層基本要求在數字化車間感知控制層對資源控制的基本要求為：a)應通過設定設備接入方式、網絡地址范圍等條件限制設備接入該層網絡；b)網絡化的感知控制設備應提供能力：在DoS事件時能切換到降級模式下繼續運行；c)應能夠監視接入該層網絡的感知控制設備的網絡負荷、流量、連接數、會話數等網絡資源信息；應支持根據安全策略要求對感知控制設備端允許通過的數據流量、支持的連接數、會話數進行限制；d)應能夠監視接入該層網絡的感知控制設備及相關網絡設備的運行狀態，例如設備的CPU負e)感知控制設備應對存儲于內存中的配置信息、控制程序、數據進行監控，在系統運行時應限制對感知控制設備的關鍵數據(包括控制程序代碼、組態配置信息等)的訪問；f)網絡化的感知控制設備或網絡設備應提供能力：限制信息安全功能的資源使用，以防止資源耗盡；g)網絡化的感知控制設備或網絡設備應在不影響正常設備使用的前提下，提供關鍵文件的識別和定位，以及用戶級和系統級的信息備份(包括系統狀態信息)的能力，且能驗證備份機制的可靠性；h)網絡化的感知控制設備或網絡設備在受到破壞或發生失效后，應提供能力：恢復和重構設備到一個已知的安全狀態；i)網絡化的感知控制設備或網絡設備應提供應急電源切換能力，切換不影響設備的運行狀態；j)網絡化的感知控制設備或網絡設備應提供禁用無用功能、端口、協議和服務的能力；k)該層網絡應能識別并支持指示所有連接的設備。6.5.2監控層基本要求在數字化車間監控層對資源控制的基本要求為：a)應通過設定終端接入方式、網絡地址范圍等條件限制終端及設備接入該層網絡；b)應支持根據安全策略設置登錄終端的操作超時鎖定；c)該層邊界處應提供檢測DoS事件的能力；d)該層邊界處應支持根據安全策略要求對允許訪問主機、服務器和感知控制設備端的協議、端e)接入監控層的感知控制設備應提供能力：在DoS事件時能切換到降級模式下繼續運行；f)應能夠監視接入該層網絡的主機、服務器和感知控制設備的網絡負荷、流量、連接數、會話數、會話響應時間等網絡資源信息；g)應能夠監視接入該層網絡的主機、服務器、軟件程序、感知控制設備及相關網絡設備的運行狀態，例如設備的CPU負荷、內存使用情況、設備故障報警信息等；h)應提供能力限制主機、服務器、軟件程序、網絡設備對感知控制設備的關鍵數據(包括控制程序代碼、組態配置信息等)的訪問；i)主機、服務器、軟件程序、網絡設備應提供能力：限制信息安全功能的資源使用，以防止資源耗盡；j)主機、服務器、軟件程序、網絡設備應在不影響正常使用的前提下，提供關鍵文件的識別和定位，以及用戶級和系統級的信息備份(包括系統狀態信息)的能力，且能驗證備份機制的可靠性；k)應對關鍵主機、服務器、網絡設備提供應急電源切換能力，切換不影響主機、服務器、網絡設備等的運行狀態；m)該層網絡應能識別并支持指示所有連接的主機、服務器、設備；n)通過HMI接口應能獲取并指示所有網絡化的感知控制設備、主機、服務器、網絡設備及其特6.5.3執行層基本要求在數字化車間執行層對資源控制的基本要求為：a)應通過設定終端接入方式、網絡地址范圍等條件限制終端及設備接入該層網絡；b)應支持根據安全策略設置登錄終端的操作超時鎖定；c)該層邊界處應提供檢測DoS事件的能力；d)該層邊界處應支持根據安全策略要求對允許訪問主機、服務器端的協議、端口、數據流量、支持的連接數、會話數等進行限制；e)應提供能力限制主機、服務器、軟件程序、網絡設備對感知控制設備的關鍵數據(包括控制程序代碼、組態配置信息等)的訪問；f)主機、服務器、軟件程序、網絡設備應在不影響正常使用的前提下，提供關鍵文件的識別和定位，以及用戶級和系統級的信息備份(包括系統狀態信息)的能力，且能驗證備份機制的可靠性；g)應對關鍵主機、服務器、網絡設備提供應急電源切換能力，切換不影響主機、服務器、網絡設備等的運行狀態；i)該層網絡應能識別并支持指示所有連接的主機、服務器、設備；j)通過HMI接口應能獲取并指示所有網絡化的感知控制設備、主機、服務器、網絡設備及其特6.6.1感知控制層基本要求連接在系統中的感知控制層設備應滿足系統對數據安全的可用性、完整性和保密性的基本要求，包括：a)應提供多層的獨立防護，來確保數據的安全性，從而保障系統安全；b)應通過物理訪問保護機制，如控制器的訪問等級功能、防護門的鑰匙鎖、帶讀卡器和PIN的防c)應通過硬件的信息安全解決方案：如控制器的防拷貝功能、程序保護技術、網絡分段的防火墻保護、帶失效關閉的防火墻等；d)應通過流程和指令實現數據安全，如對員工的安全培訓教育、設置U盤訪問的白名單規則、關鍵動作的雙重批準等；e)應通過安全服務保障生產設備的數據安全，如對系統進行備份和恢復、安全的在線驗證等；f)可通過安全通信機制。6.6.2監控層基本要求連接在系統中的監控層應滿足系統對數據安全的可用性、完整性和保密性的基本要求，包括：a)應通過隔離區DMZ進行數據交換以加強防護效果，避免直接訪問自動化網絡；b)通過互聯網或者移動網絡進行遠程訪問時應進行保護，防止工業間諜活動和蓄謀的破壞；可通過對數據傳輸進行加密，并通過安全模塊或者互聯網和移動無線路由器進行訪問控制；c)可通過環網增強網絡的可用性。6.6.3執行層基本要求連接在系統中的執行層應滿足系統對數據安全的可用性、完整性和保密性的基本要求，包括：a)連接在執行層中的設備應保證其操作系統、軟件和硬件具備對應的安全性和健壯性，以抵御惡意軟件的攻擊或者人為破壞的造成的影響；b)應通過設備和系統構建信息安全網絡構架；c)應通過信息安全網絡構建抵御非授權訪問的風險，實現訪問保護和加密的數據交換等。6.7安全審計6.7.1感知控制層基本要求關鍵生產系統中的重要軟/硬件設備應具備日志存儲和防篡改的功能。6.7.2監控層基本要求在數字化車間監控層對安全審計的基本要求為：a)應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；b)審計記錄應包括事件的日期和時間、用戶、事件類型、主體標識、客體標識、事件是否成功以及其他與審計相關的信息；c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。注1:安全審計可以是外部審計，也可以是內部審計。注2:安全審計需要一定的周期，也可以根據情況隨時審計(如出現設備故障高發、產能下降等現象時)。6.7.3執行層基本要求在數字化車間執行層對安全審計的基本要求為：a)應在網絡邊界、重要網絡節點、重要應用和數據進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；b)審計記錄應包括事件的日期和時間、用戶、事件類型、主體標識、客體標識、事件是否成功以及其他與審計相關的信息；c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。(資料性)數字化車間信息安全常見威脅源數字化車間的信息安全危險既可能來自于數字化車間(數字化車間應有明確的邊界)外部，也可能來自于數字化車間內部。威脅來源歸結但不限于以下幾類：a)數字化車間互聯互通，上層系統受到的威脅可能滲透到數字化車間內；b)數字化車間系統支持的遠程維護以及不規范的無線接入點；c)數字化車間內設備訪問因特網或物聯網連接；f)人員誤操作。(資料性)典型機械制造行業數字化車間信息安全示例隨著網絡技術的快速發展，通過網絡來進行生產、管理成為制造業的趨勢，利用DNC技術進行加工過程管控，已經成為各制造企業的主流選擇。DNC不同于單臺機床與計算機的一對一連接，而是多臺機床組成網絡，編程人員在自己的計算機編制好加工程序(NC程序)后，通過網絡傳輸到DNC系統中，再由DNC系統傳輸到數控機床中或通過數控機床訪問DNC系統下載程序。目前部分單位已經實現了以DNC系統為中心的生產工控系統網絡，通過DNC系統進行NC程序的下載和上傳，實現生產的自動化控制；同時通過CNC的采集系統對機床的實時狀態進行采集，將采集數據上傳至DNC服務器，實現設備狀態的實時采集和匯總。這些變化大大提高了生產力，但同時也讓控制系統面臨新的風險與挑戰。如圖辦公及ERP網絡B.1所示。客戶端客戶端客戶端P服務器MES網絡DNC客戶端DNC客戶端DNC客戶端生產數據下裝狀態數據采集數控設備網DNC服務器設備機床其他輸入機床機床觸摸屏機床設備圖B.1機械制造行業典型架構根據安全防護需求分析，典型工程/數字化車間安全架構如圖B.2所示。Wel服務器企業WLAN生產執行管理系工業網絡1現場總線■文件服務器工業網絡2企業網絡現場總線PI.CPI.C圖B.2典型工程/數字化車間安全架構B.2確定保護對象與目標對車間進行現場調研，通過對現場相關的網絡、設備、數據和應用等資產進行識別與分類，確定各類資產的可用性、完整性和保密性安全屬性，然后利用確定的算法將信息資產三個因素的價值綜合考慮，確定資產價值大小，從而最終確定要保護的關鍵資產如下：a)網絡及網絡設備；b)現場控制層設備：數控機床；c)計算機設備：服務器、工作站、DNC客戶端等；d)軟件：工業控制系統專有協議、DNC相關軟件、源代碼；e)數據：工藝配方、數據庫數據。B.3風險分析與處置B.3.1威脅識別對車間的威脅識別包括：a)車間管理網絡與控制網絡互聯互通，上層管理網絡受到的威脅與攻擊可能滲透擴展到控制網絡；b)車間不同控制單元間沒有進行網絡劃分與隔離，局部感染可能會影響到全局；c)車間控制系統遠程維護缺少有效管控手段，可能會造成生產數據的信息泄密或者破壞；d)USB設備、移動硬盤等使用無有效管控手段；e)車間工控設備、主機可能遭受惡意代碼及病毒攻擊，未對操作站主機或者工控設備進行必要的安全配置，一旦能接觸訪問到被攻擊的成功機會很大；f)對關鍵生產工藝數據、工藝配方進行竊取或破壞。B.3.2脆弱性識別對車間的脆弱性識別包括：a)工控設備因自身安全性設計方面存在不足，導致其具有可自主修改權限低、安全性差；b)數字化車間設備所使用的網絡協議及應用軟件存在漏洞等；c)數字化車間網絡系統設計、配置存在缺陷；d)網絡設備和網絡交換設備的鏈路層安全策略配置不全，通過網絡進行惡意攻擊如MAC洪泛攻擊、ARP攻擊、生成樹攻擊等成功機會很大。B.3.3安全風險處置基于威脅和脆弱性識別以及威脅利用脆弱性導致安全事件發生的可能性分析，并對當前已有安全措施確認后，綜合考慮風險控制成本與風險造成的影響，確定需要處置的安全風險如下：a)從縱向上來看，控制網絡可能會遭受來自辦公管理網絡的蠕蟲、病毒擴散及其他攻擊；b)從橫向上來看，一旦一個控制室單元中感染蠕蟲、全面風險威脅；c)攻擊者可輕易的將攻擊機接入到網絡的某一端口，獲得與工控設備進行通訊的權限，實施攻擊行為；d)主機設備對于合法進程無識別，對于病毒無防護，主機較容易感染病毒或啟動非法進程，比較容易遭受惡意代碼的攻擊；e)工控設備有的依然采用默認口令或者弱口令；f)整個系統網絡沒有形成統一有效的安全監控及審計體系，網絡中如果發生異常通訊或故障，無法及時識別并定位安全問題的源頭。B.4安全防護需求與安全策略B.4.1安全防護需求基于安全風險處置要求，結合業務現狀，安全需求主要體現在以下幾個方面：a)對車間網絡進行安全域劃分并對安全域之間實行邊界防護，禁止沒有防護的控制網絡與互聯網連接，安全域之間通過防火墻等安全設備進行邏輯隔離；b)在工控設備自身安全方面，其可自主修改權限低、安全性差，可被配置程度低，需要實現對設備的安全使用和管理控制，降低自身威脅和整體風險性；c)在工業控制網絡平臺安全方面，如何保證指令在工控系統中傳輸時不被篡改、丟棄，提供良好的網絡平臺，提升網絡質量，是能正常、正確生產的前提d)在工控系統安全方面，如何保證系統不被病毒、木馬等惡意程序侵害，如何保證系統不被非授權使用、破壞等，如何保證數據被正確下載和上傳，是應解決的安全問題；e)在工控應用方面，如何保證系統的權限及使用過程合法、合理，行為可追蹤，訪問內容可控；f)在協議安全方面，應處理好工控設備與現代信息設備協議轉換和過程中數據傳輸的驗證等；g)在接入安全方面，解決工控網絡和工控設備的接入認證問題，防止非法接入；h)從設備本身的安全角度看，由于設備的內部結構比較復雜、外部通用接口較多、內部專有接口較多、控制難度較大、系統漏洞很難修補，需加強技術手段進行訪問控制和審計；i)從設備工作環境看，由于大部分設備安放在比較開放的環境下，接觸人員包括公司員工、產品廠商/供應商、協作配套等多類人群，對人員的識別應采取有效的機制，達到有效的控制信息的知悉范圍；j)從數據管理角度看，由于現場操作人員過多的參與到數據存儲、刪除等處理活動中，數據存儲在本地未進行加密處理，同時又無相關的審計、訪問控制措施，尤其在試驗環境下，信息泄露問題嚴重，而目前無論從管理手段還是從技術手段均不能完全滿足現有的管理的要求。B.4.2安全策略B.4.2.1管理措施指定專人負責車間安全管理，重要數據、工藝配方、文件資料做到專人管理并簽署保密協議，使用要有授權并有記錄；外部人員的訪問與網絡接入要有嚴格的審批與權限控制。B.4.2.2技術措施a)區域劃分與網絡防護1)區域劃分，將具備相同功能和安全要求的設備劃分在同一區域內，對網絡結構進行重新設計規劃，不同的區域劃分不同的子網，并按照方便管理和控制的原則為各子網、網段分配地址段。2)在區域網絡邊界部署網絡安全隔離設備，分別管控流經網絡邊界的數據流，安全策略配置數據單向通訊和端口級網絡防護策略，保證通訊的可靠性和傳輸方向的一致性。3)每個數控機床和數控設備網之間部署工業防火墻，實現網絡區域隔離和通訊管控，工業防火墻具備工業環境適用性和OPC、ModBus等工業通訊協議的應用層安全防護功能，可以針對協議本身進行數據合法性檢查，保證數據通訊的可控性與可信度。同時工業防火墻還具備鏈路層數據幀檢查功能和ARP攻擊防護能力，可有效識別通訊設備IP和MAC是否合法，防止廣播風暴和洪泛攻擊等對工控網絡的威脅。4)在網絡交換機等設備配置最小化的應用安全策略，根據業務應用需求劃分VLAN、關閉空閑端口，綁定端口接入主機信息(MAC、IP等),避免設備非法接入以及保證網絡接入的安全性。5)在網絡中部署入侵檢測系統，采取旁路監聽模式，這樣既可以偵測網絡中是否存在入侵行為或異常通訊行為，如有異常情況則及時發送安全審計報警日志，又同時保證了工控網絡生產數據的正常傳遞不受影響。b)身份鑒別與認證核查車間網絡中網絡設備、工控系統等默認口令或弱口令，進行整改并定期更新。c)使用控制1)在DNC系統中的計算機上采用基于可信計算技術的主機安全防護產品為工控系統主機提供白名單方式的軟件系統進程管控，進而實現對惡意代碼的防范，及時阻止或發現可疑進程的啟動，進而為工控系統的主機構建可信的進程運行環境。2)計算機上部署基于可信計算技術的移動存儲介質的管控及審計系統，實現主機對移動存儲介質的身份認證與準入控制，管控移動設備的使用。3)重要計算機上安裝訪問控制終端軟件，實現不同授權用戶對于主機系統中的程序和文件的使用權限的訪問控制及記錄。d)安全審計時發現各種違規行為以及病毒和黑客的攻擊行為，并可對過去發生的網絡通信行為進行追溯。B.5安全確認與評估根據實施的安全策略，確定驗證和證實系統安全性的目標并制定詳細的安全測試計劃，定義測試所采取的步驟，用測試、分析、觀察和演示的方法驗證和證實系統安全需求。對系統安全性進行檢測或證實，使用滲透測試工具、工控協議漏洞檢測設備、網絡分析系統等工具設備通過網絡對工控系統與設備進行攻擊與網絡信息收集；使用病毒樣本、非法U盤等對主機系統與設備進行破壞，實際記錄測試結果，出具測試報告。對檢測結果與檢測報告進行分析，通過與安全需求對照，確定系統的安全性滿足車間的安全需求，安全策略得到正確有效的實施。B.6運行與維護信息安全是一個長期持久的工作，車間的信息安全解決方案實施投入運行后，需要建立一個長效的安全運行機制，才能使車間的信息安全進入持續改進的良性循環。進入運行維護階段后須重點關注：運行管理和控制、變更管理和控制、安全狀態監控、安全自查和持續改進等。措施如下。a)制定車間安全運維相關制度規程。明確安全運維具體責任人，建立詳細的維護操作流程與相關表單。b)明確現場運維和遠程運維的管理要求，對運維賬號的申請與管理、運維行為的規范等提出具體要求，對現場運維尤其是遠程運維進行嚴格審批和監視。c)在車間網絡部署安全運維統一管理平臺，自動采集車間所有安全設備、主機服務器、網絡通信、應用等的運行狀態和審計日志等數據，并利用大數據、數據挖掘等先進技術分析網絡行為及用戶行為等因素所構成的網絡態勢。為用戶提供安全動態監控運維平臺，對當前網絡及設備安全狀態進行集中、實時監控，發現異常及時告警，提醒用戶及時處理。d)運行過程中須及時了解和控制運行過程中的安全風險，應定期進行風險評估，評估內容包括對車間保護對象的威脅、脆弱性等方面，并出具風險評估報告。e)當車間的業務流程、系統狀況發生重大變更時，如“增加新的應用或應用發生較大變更、網絡結構和連接狀況發生較大變更、技術平臺大規模的更新、系統擴容或改造、發生重大安全事件后，或基于某些運行記錄懷疑將發生重大安全事件”,也須進行風險評估。(規范性)數字化車間信息安全增強要求C.1概述用戶在實現數字化車間信息安全技術基本要求的同時，可以根據實際需要采用本附錄的增強要求以提高數字化車間的信息安全能力。C.2區域劃分與邊界防護C.2.1感知控制層增強要求在數字化車間感知控制層對區域劃分與邊界防護的增強要求為：a)不宜將不同數字化車間感知控制層生產系統的數據服務器軟件安裝在同一臺主機上；各個生產系統網段的數據服務器不宜直接連接在同一個網絡上；b)數字化車間感知控制層生產系統應提供監視和控制區域邊界通信的能力，并提供入侵檢測的能力；c)應限制物聯網或無線網絡與感知控制層相連；應提供默認拒絕所有外界網絡數據流，例外允許網絡數據流(也稱為拒絕所有，允許例外)的能力；應對無線通信采取傳輸加密的安全措施，實現傳輸報文的機密性保護；d)對采用無線通信技術進行控制的工業控制系統，應能識別其物理環境中發射的未經授權的無線設備，報告未經授權試圖接入或干擾控制系統的行為；e)數字化車間感知控制層安全域之間的邊界防護機制失效時，及時進行報警；f)感知控制層與云平臺相連時，應在感知控制層設置物理邊界防護；g)對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。C.2.2監控層增強要求在數字化車間監控層對區域劃分與邊界防護的增強要求為：a)不宜將不同數字化車間監控層生產系統的數據服務器軟件安裝在同一臺主機上；各個生產系統網段的數據服務器不宜直接連接在同一個網絡上；b)數字化車間監控層生產系統應提供監視和控制區域邊界通信的能力，并提供入侵檢測與防御的能力；c)應限制物聯網或無線網絡與監控層相連；應提供默認拒絕所有外界網絡數據流，例外允許網絡數據流(也稱為拒絕所有，允許例外)的能力；應對無線通信采取傳輸加密的安全措施，實現傳輸報文的機密性保護；d)對采用無線通信技術進行控制的工業控制系統，應能識別其物理環境中發射的未經授權的無線設備，報告未經授權試圖接入或干擾控制系統的行為；e)數字化車間監控層安全域之間的邊界防護機制失效時，及時進行報警；f)監控層與云平臺相連時，應在監控層設置物理邊界防護；g)對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。C.2.3執行層增強要求在數字化車間執行層對區域劃分與邊界防護的增強要求為：a)數字化車間執行層中的關鍵區域應限制物聯網或無線網絡與執行層相連，應限制任何云平臺與執行層中關鍵區域相連；b)數字化車間執行層中的關鍵區域應提供監視和控制區域邊界通信的能力，并提供入侵檢測與防御的能力；c)應限制物聯網或無線網絡與執行層的關鍵區域相連；應對無線通信采取傳輸加密的安全措施，實現傳輸報文的機密性保護；d)數字化車間的執行層中的關鍵區域的邊界防護機制失效時，及時進行報警；e)執行層與云平臺相連時，應在執行層設置物理邊界防護；f)對邊界設備的系統引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。C.3身份鑒別與認證C.3.1感知控制層增強要求在數字化車間感知控制層對身份鑒別與認證的增強要求為：a)無線系統應具備識別接入設備并阻止未經授權的設備接入的能力；b)在無線系統無法提供上述能力的情況下，控制系統應具備識別與控制系統相連的無線系統的接入設備并阻止未經授權的設備接入的能力；c)若系統使用無線通訊，需使用加密的方式進行連接認證。C.3.2監控層增強要求在數字化車間監控層對身份鑒別與認證的增強要求為：a)系統應提供訪問用戶身份認證的能力；b)系統應針對連續無效的訪問嘗試進行次數限制。當限制次數超出后，系統應在規定的周期內拒絕訪問或者直到管理員解鎖。C.4使用控制C.4.1感知控制層增強要求在數字化車間感知控制層對使用控制的增強要求為：a)系統應提供建立防病毒和惡意軟件入侵管理機制，對工業控制系統及臨時接入的設備采取病毒查殺等安全預防措施；b)系統應具備系統關鍵文件監控功能，防止關鍵文件被篡改；c)當系統通訊協議為動態端口時，系統應具備對動態端口相應的管理能力，以保證系統通訊的安全性；d)系統密碼實現定期更改，防止密碼長期不更改導致密碼泄露。C.4.2監控層增強要求在數字化車間監控層對使用控制的增強要求為：a)數字化車間生產系統應提供阻止接收來自生產系統外的用戶或系統的個人間通信消息的b)系統應定期更新殺毒軟件；c)系統應具備系統關鍵文件監控功能，防止關鍵文件被篡改；d)應定期備份