工业互联网安全要求.pdf

工业互联网安全要求

1范围

本文件规定了工业互联网设备安全、控制安全、网络安全、标识解析安全、平台安全以及数据安全等

方面的要求。

本文件适用于工业互联网安全监管部门、运营单位等组织开展安全防护工作，为工业互联网安全防护

提供指导。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文

件。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T42021-2022工业互联网总体网络架构

YD/T2439-2012移动互联网恶意程序描述格式

3术语和定义

下列术语和定义适用于本文件。

3.1

工业互联网industrialinternet

新一代信息通信技术与工业经济深度融合的新型基础设施、应用模式和工业生态，通过对人、机、物、

系统等的全面连接,构建起覆盖全产业链、全价值链的全新制造和服务体系。

[来源：GB/T42021-2022,3.1]

3.2

工业互联网平台industrialinternetplatform

面向制造业数字化、网络化、智能化需求，构建基于海量数据采集、汇聚、分析的服务体系，支撑制

造资源泛在连接、弹性供给、高效配置的载体。

3.3

工业应用程序industrialapplication

可实现包括工业设计、生产、管理、服务等在内能力的工业业务系统或移动应用程序。

3.4

1

X

工厂内部网络enterpriseinternalnetwork

在工厂内部，用于生产要素互联及企业IT管理系统之间连接的网络。

3.5

工厂外部网络enterpriseexternalnetwork

以支撑工业全生命周期各项活动为目的，用于连接企业上下游之间、企业与智能产品、企业与用户之

间的网络。

3.6

网络安全cybersecurity

通过采取必要措施，防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故，使网络处于可

靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

[来源：GB/T22239-2019,3.1]

4缩略语

下列缩略语适用于本文件。

FTP：文件传输协议（FileTransferProtocol）

HMI：人机接口（HumanMachineInterface）

IP：网络协议（InternetProtocol）

5设备安全

5.1设备身份鉴别

设备身份鉴别要求如下：

a）应采用鉴别机制对接入工业互联网中的设备身份进行鉴别，确保数据来源于真实的设备；

b）若存在需要对接入工业互联网中的设备进行远程管理的，应采取必要措施，防止身份鉴别信息在

网络传输过程中被窃听。

5.2设备访问控制

应通过制定安全策略如访问控制列表，实现对接入工业互联网中设备的访问控制。

5.3运维用户身份鉴别

运维用户身份鉴别要求如下：

a）应对登录设备进行运维的用户进行身份标识和鉴别，身份标识应具有唯一性，身份鉴别信息应具

有复杂度要求并定期更换；

2

b）对于登录设备进行运维的过程应具有登录失败处理功能，应配置并启用结束会话、限制非法登录

次数和当登录连接超时自动退出等相关措施。

5.4运维用户访问控制

运维用户访问控制要求如下：

a）应对登录设备进行运维的用户分配账户和权限；

b）应重命名或删除默认账户，修改默认账户的默认口令；

c）应及时删除或停用多余的、过期的账户，避免共享账户的存在；

d）应对登录设备进行运维的用户授予其所需的最小权限，并实现对不同类型运维用户的权限分离。

5.5入侵防范

入侵防范要求如下：

a）应遵循最小安装的原则，仅为设备安装需要的组件和应用程序；

b）设备生产商应明示设备中使用的端口与服务列表及用途，并关闭设