奶业加工智能化控制系统验收测试规范（征求意见稿）

ICS点击此处添加ICS号点击此处添加中国标准文献分类号DB内蒙古自治区地方标准DB XX/T XXXXXXXXX奶业加工智能化控制系统验收测试规范Acceptance Test Specification for Intelligent Control System of Milk Processing点击此处添加与国际标准一致性程度的标识XXXX - XX - XX发布XXXX - XX - XX实施内蒙古自治区市场监督管理局发布DBXX/ XXXXXXXXX目次前言III1 范围12 规范性引用文件13 术语和定义14 缩略语25 验收测试概述25.1 验收测试的基本原则25.2 验收流程设计与验收模型设计25.2.1 测试评价准备35.2.2 验收模型45.2.3 现场测试评价45.2.4 测试评价总结46 测试评价指标56.1 奶业加工智能化控制系统安装56.1.1 综合布线56.1.2 控制设备安装56.1.3 工业主机安装56.1.4 监控摄像头安装56.2 奶业加工智能化控制系统环境适应性66.2.1 气候环境66.2.2 外壳防护66.2.3 电磁防护66.2.4 电力供应66.2.5 绝缘电阻76.2.6 绝缘强度（介电强度)76.3 奶业加工智能化控制系统功能76.3.1奶业加工智能化控制系统功能测试76.3.2奶业加工智能化控制系统安全测试76.3.3奶业加工智能化控制系统性能测试86.4网络安全性86.4.1网络架构安全性86.4.2网络边界防护86.4.3网络访问控制96.4.4网络入侵防护96.4.5恶意代码防护106.5工控资产安全性106.5.1工业主机安全性106.5.2控制设备安全性136.5.3数据安全性156.5.4网络设备安全性166.5.5应用程序安全性176.6防护产品安全性186.6.1安全审计186.6.2标识与鉴别206.6.3用户数据保护216.6.4安全管理226.6.5安全功能保护236.7系统运维安全性236.7.1物理环境安全性236.7.2管理安全性246.7.3监控与处置256.8验收结论276.8.1验收文档276.8.2验收结论的编制27附录A（资料性）文档及设备检验记录29附录B（资料性）验收测试记录30附录C（资料性）验收不符合项表37附录D（资料性）验收结论38参考文献39前言本文件按照GB/T 1.1-2020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。本文件由内蒙古自治区工业和信息化厅技术归口。本文件起草单位：内蒙古自治区电子信息产品质量检验院、蒙牛乳业（集团）股份有限公司。本文件主要起草人： 巴特尔、门嗣睿、王永翱、李应彤、刘建华、王晓光、刘业斌、杨宏业、赵春霖、王明鑫、王磊、武浩东、岳鑫。39奶业加工智能化控制系统验收测试规范1 范围本文件规定了奶业加工智能化控制系统的信息安全解决方案的安全性进行验收的流程、测试内容、方法及应达到的要求，该方案可以通过增加设备或系统提高其安全性。本文件适用于全区奶业加工新建，扩建和改建工程中的智能化控制系统的验收。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 2423.1 电工电子产品环境试验 第2部分：试验方法 试验A：低温GB/T 2423.2 电工电子产品环境试验 第2部分：试验方法 试验B：高温GB 4793.1 测量、控制和实验室用电气设备的安全要求第1部分：通用要求GB/T 18272.4 工业过程测量和控制系统评估中系统特性的评定第4部分：系统性能评估GB/T 30976.1 工业控制系统信息安全 第1部分：评估规范GB 50311-2016 综合布线系统工程设计规范 3 术语和定义下列术语和定义适用于本文件。3.1奶业加工智能化控制系统 Intelligent Contorl system for Dairy Industray由现代机械、电气、电子、通信及系统管理与信息技术、计算机网络技术、行业技术、智能控制技术汇集而成的针对奶业加工生产应用的智能集合。3.2工业主机 Industrial Host工业生产控制各业务环节涉及组态、工作流程和工艺管理、状态监控、运行数据采集以及重要信息存储等工作的设备载体，包括工程师站、操作员站、服务器 存储设备等。3.3工程师站 Engineer Station供工业过程控制工程师使用的，对计算机系统进行组态、编程、修改等的工作站。3.4奶业加工智能化控制网络边界Industrial Control Network Boundary奶业加工智能化控制系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。3.5买方 buyer从供应商处直接购买奶业加工智能化系统并对其负责的业主，既可以是业主也可以是总承包商。3.6业主 owner 雇佣总承包商去建设奶业加工智能化控制系统的业主。3.7总承包商 contractor 被业主雇佣承建奶业加工智能化控制系统的业主。3.8供应商 vendor 自动化系统的供应商或分包商。3.9性能 performance 系统在规定条件下执行任务的准确性和速度。4 缩略语下列缩略语适用于本文件。DCS：集散控制系统（Distributed Control System）ICS：工业控制系统（Industrial Control System）PLC：可编程逻辑控制器（Programmable Logic Controller）SIS：安全仪表系统（Safety Instrumented System）TSF：TOE安全功能（TOE Security Functions）IPSec ：互联网安全协议(Internet Protocol Security)SSL ：安全套接字协议(Secure Socket Layer)RPC ：远程过程调用（Remote Procedure Call）5 验收测试概述5.1 验收测试的基本原则奶业加工智能化控制系统测试应在系统投料加工前、智能化系统试运行合格后进行。在验收奶业加工智能化控制系统时，应依据业主提出的要求来进行验收。信息安全相关技术要求可以参考奶业加工智能化控制系统信息安全技术要求。对于在运行系统的验收测试，应采取最小影响原则，及首要保障系统的稳定运行。对于需要进行攻击性测试的工作内容，需得到业主授权，与业主和供应商沟通并进行备份，尽量选择非运行时间进行。5.2 验收流程设计与验收模型设计奶业加工智能化控制系统验收测试过程主要包括测试评价准备、现场测试评价、测试评价总结等三个阶段，奶业加工智能化控制系统运营单位可依据评价结论进行整改。5.2.1 测试评价准备5.2.1.1 基本情况梳理与资料收集对奶业加工智能化控制系统进行全面梳理，目的是及时掌握奶业加工智能化控制系统基本情况，特别是变更情况，以便针对性地开展验收测试工作。查验奶业加工智能化控制系统规划设计方案、安全防护规划设计方案、网络拓扑图等相关文档，访谈智能化控制系统管理人员与工作人员，了解掌握系统基本信息并记录结果，包括：1) 主要功能、部署位置、网络拓扑结构、服务对象、用户规模、业务周期、运行高峰期等；2) 业务主管部门、运维机构、系统开发商和集成商、上线运行及系统升级日期等；3) 定级情况、数据集中情况、灾备情况等。系统构成情况梳理包括主要硬件构成和主要软件构成。1) 主要硬件构成重点梳理主要硬件设备类型、数量、生产商（品牌）情况。硬件设备类型主要有：服务器、路由器、交换机、防火墙、终端计算机、磁盘阵列、磁带库及其他主要安全设备。2) 主要软件构成重点梳理主要软件类型、套数、生产商（品牌）情况。软件类型主要有：操作系统、数据库、公文处理软件及主要业务应用系统。5.2.1.2 业主/总承包商通常准备的文件1） 相关规范（如参考标准、管理规程等）；2） 商定的相关协议（如安全性要求等）；3） 功能规划；4） 评估方案；5） 改进要求；6） 验收方案；7） 验收测试指导书。5.2.1.3 供应商通常准备的文件1） 奶业加工智能化控制系统使用手册、系统数据资料、证书等；2） 系统设计说明；3） 硬件设计说明；4） 软件设计说明；5） 接口说明；6） 操作画面说明；7） 内部测试报告；8） 奶业加工智能化控制系统信息安全解决方案；5.2.1.4 确定评价具体任务与方案根据业主的奶业加工智能化控制系统基本情况调研，制定评价方案。评价方案应当明确以下内容：1) 评价工作负责人和具体实施机构；2) 评价范围和评价重点；3) 评价内容；4) 评价工作时间进度安排。5.2.1.5 确定评价工作组成员工作组成员应包括业主主管安全生产和工业信息安全等相关业务部门的领导、技术人员和相关管理人员、以及提供运维技术支撑的相关机构和人员。5.2.1.6 确定系统还原恢复措施对于渗透式等入侵攻击的评价方式，需清除设置的后门账户、上传的脚本木马等。5.2.1.7 确定测试评价使用工具确定评价活动使用的评价工具，明确工具使用方法和注意事项，评价工具的使用以不能影响奶业加工智能化控制系统的正常生产运行为原则。5.2.2 验收模型业主/总承包商要求未通过验收是否通过整改验收完成通过 图1示出了验收活动顺序。根据业主提出的功能规划要求，供应商系统按照业主规划的需求和有关标准完成安装和调试，并已投入连续运行，由业主最终决定是否通过验收。对其验收时如果没有通过，则进行整改，再重新验收，直至最后通过。图1 奶业加工智能化控制系统验收活动顺序示意图5.2.3现场测试评价现场评价一般采用文档查阅与资料收集、现场情况核查、系统运行数据信息采集、专用工具检测等多种方式。主要包括：1) 人员访谈。与对相关岗位人员进行交流，核实已落实防护措施情况。2) 文档查阅。查阅已落实防护措施形成的相关文档等证明材料。3) 人工核查。通过手动方式核查部分已落实防护措施情况。4) 工具检测。通过专用工具检测防护措施实际落实情况及其有效性。5.2.3 测试评价总结借助上述手段的综合应用，应及时对评价结果进行梳理、汇总，从安全管理、技术防护等方面对评价发现的问题和隐患进行分类整理，通过对单位现有防护措施合规性评价、安全防护手段的健壮性测试以及网络中是否存在安全威胁等综合评价，找出安全防护措施的缺陷，对测试评价过程中发现的不合格项或缺陷提出针对性的解决方案，明确下一步整改计划。指定专门部门负责编制测试评价报告，作为后续进行整改完善的主要依据。6 测试评价指标6.1 奶业加工智能化控制系统安装6.1.1 综合布线6.1.1.1 评价方法1) 综合布线要求见GB 50311-2016 综合布线系统工程设计规范 3.7 工业环境布线系统。6.1.1.2 结果判定1) 综合布线系统工程符合相关标准。6.1.2 控制设备安装6.1.2.1 评价方法1) 接入奶业加工智能化控制系统的控制设备应安装牢固，水平垂直，无倾斜。 2) 接入奶业加工智能化控制系统的控制设备结构件应有良好的表面处理，不应有镀层脱落、锈蚀、划伤、毛刺、锐角、玷污等痕迹，面板上的标志和文字应鲜明、清晰，显示屏亮度均匀，无异常现象。6.1.2.2 结果判定1) 奶业加工智能化控制系统控制设备安装符合规范，控制设备运行正常。6.1.3 工业主机安装6.1.3.1 评价方法1) 奶业加工智能化控制系统工业主机设备应安装在具有防震、防风和防雨等能力的建筑内，应摆放在牢固、无倾斜的位置上。2) 奶业加工智能化控制系统工业主机设备接受信息应准确，图像清晰无雪花。 6.1.3.2 结果判定1) 奶业加工智能化控制系统工业主机设备安装符合规范，主机设备运行正常。6.1.4 监控摄像头安装6.1.4.1 评价方法1) 监控摄像头设置位置应符合设计要求，视野范围达到最佳状态。2) 监控摄像头应安装牢固，水平垂直，无倾斜。3) 监控摄像头采集图像应清晰无雪花。6.1.4.2 结果判定1) 监控摄像头安装符合规范，监控摄像头设备运行正常。6.2 奶业加工智能化控制系统环境适应性6.2.1 气候环境6.2.1.1 评价方法1) 奶业加工智能化控制系统设备在规定的工作温度范围工作时，应符合其功能和性能规定。在规定的温度范围内贮存和运输时，不应发生裂痕、老化或其他损失；当经受该温度范围后再恢复到工作温度范围时，设备应能正常工作。2) 可能应用于温度快速变化场合的设备，在经受不超过5/min的温度变化时，应能正常工作。3) 工作温度、贮存、运输温度的要求见GB/T 2423.1和GB/T 2423.2。6.2.1.2 结果判定1) 奶业加工智能化控制系统设备在规定的工作温度范围工作时，系统运转正常。6.2.2 外壳防护6.2.2.1 评价方法1) 设备外壳防护等级由供应商和业主协商确定。用于控制室内或机柜内的设备至少应达到IP20等级，用于现场的设备至少应达到IP65等级。6.2.2.2 结果判定 1) 奶业加工智能化控制系统用于控制室内或机柜内的设备至少达到IP20等级，用于现场的设备至少达到IP65等级。6.2.3 电磁防护6.2.3.1 评价方法1) 电源线和通信线缆应隔离铺设，避免互相干扰：2) 集中存储、处理、传输敏感数据的设备，要考虑电磁信息泄露防护，并根据国家相关规定设置信息安全保护措施：3) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰：4) 重要工艺控制环路所涉及设备，应分析无线注入攻击和干扰的风险，并采取足够的防护措施：5) 应对涉及敏感数据的关键区域、关键设备和磁介质实施电磁屏蔽，以防止通信烦扰和敏感信息泄露。6.2.3.2 结果判定 1) 奶业加工智能化控制系统能够达到电磁防护要求。6.2.4 电力供应6.2.4.1 评价方法1) 正常电源、应急电源以及电源控制管理系统的设计、部署应充分考虑信息安全防护需求。2) 应在机房供电线路上配置稳压器和过电压防护设备；3) 应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求；4) 应设置冗余或并行的电力电缆为奶业加工智能化控制系统供电，输入电源应采用双回路自动切换供电方式。6.2.4.2 结果判定 1) 奶业加工智能化控制系统电力供应充足，备用电源满足设备在断电情况下的正常运行要求。6.2.5 绝缘电阻6.2.5.1 评价方法1) 在一般试验大气条件下，设备的输入端子与外壳、输出端子与外壳、电源端子与外壳、输入端子与电源端子、输出端子与电源端子之间的绝缘电阻应不小于20M。6.2.5.2 结果判定1) 奶业加工智能化控制系统设备的输入端子与外壳、输出端子与外壳、电源端子与外壳、输入端子与电源端子、输出端子与电源端子之间的绝缘电阻不小于20M。6.2.6 绝缘强度（介电强度)6.2.6.1 评价方法1) 在一般试验大气条件下，设备的设备的输入端子与外壳、输出端子与外壳、电源端子与外壳、输入端子与电源端子、输出端子与电源端子之间施加规定的试验电源，判定电流5mA，保持1 min，应不出现击穿或飞狐现象。2) 试验电压有效值应参照被试装置的额定电源（或绝缘电源)值和供应商规定的安全等级（或）加以确定。绝缘强度试验电压见GB 4793.1。6.2.6.2 结果判定 1) 奶业加工智能化控制系统设备绝缘强度符合国家要求的相关标准。6.3 奶业加工智能化控制系统功能6.3.1 奶业加工智能化控制系统功能测试6.3.1.1 评价方法 1) 奶业加工智能化控制系统功能设计由供应商和业主协商确定，供应商建设的奶业加工智能化控制系统应按照业主规划的需求和有关标准完成安装和调试，并已投入连续运行。6.3.1.2 结果判定 1) 奶业加工智能化控制系统功能设计符合功能规划要求,设备连续运行功能正常。6.3.2 奶业加工智能化控制系统安全测试6.3.2.1 评价方法1) 奶业加工智能化控制系统信息安全的测试主要针对系统安全防护能力。具体评估准则见GB/T30976.1，可根据实际情况选择适用的条款进行测试。6.3.2.2 结果判定1) 奶业加工智能化控制系统安全性设计符合当前系统运行环境实际情况及相关标准要求。6.3.3 奶业加工智能化控制系统性能测试6.3.3.1 评价方法 1) 加入信息安全保障措施后，应满足原有奶业加工智能化系统的实时性、可靠性、安全性的要求。可根据具体项目要求，选择相关重要参，如精确度、响应时间、处理能力等，进行奶业加工智能化系统性能测试。具体要求和方法见GB/T 18272.4-2006。6.3.3.2 结果判定 1) 奶业加工智能化控制系统性能符合功能设计及相关标准要求。6.4 网络安全性运营使用单位对奶业加工智能化控制系统网络运行的结构设计、边界控制、访问控制、入侵防护、恶意代码防护等进行综合评估，评估人员可采用访谈主要对象或环节的管理操作人员、配置核查、工具检查、监督验证等手段实施综合评估，查找、统计本单位奶业加工智能化控制系统在网络安全方面的安全状态和问题，分析这些问题、缺陷、漏洞可能带来的安全隐患。6.4.1 网络架构安全性6.4.1.1 评价方法1) 依据拓扑图定期对当前运行的网络结构进行比对，排查与拓扑图不相符的网络环境；2) 根据各部门的工作职能、重要性和所涉及奶业加工智能化控制系统的重要程度等因素，划分不同的子网或网段，设置安全域，为各子网、网段分配地址段；3) 根据奶业加工智能化控制系统 重要性对网络线路、网络设备等进行冗余，保障关键节点通信正常；4) 根据业务重要性对网络结构进行优化，分配不同的优先级别，保障网络可用性；5) 通过定期巡查或部署安全防护设备，将重要网段与外部信息系统进行隔离。6.4.1.2 结果判定1) 绘制了与当前运行情况相符的网络拓扑结构图；2) 能够根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；3) 奶业加工智能化控制系统的重要节点应正常通信；4) 网络结构优先级的划分应符合奶业加工智能化控制系统业务重要性；5) 能够避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段。6.4.2 网络边界防护6.4.2.1 评价方法1) 根据不同的奶业加工智能化控制系统网络结构划分逻辑隔离或物理隔离的安全域；2) 管理网、控制网、生产网之间根据数据流转建立各自的安全域；3) 通过安全防护设备或管理手段对非授权设备私自联到内部网络的行为进行阻断；4) 通过安全防护设备或管理手段对内部网络用户私自联到外部网络的行为进行阻断；5) 通过采用网络准入、终端控制、身份认证、可信计算等技术手段维护网络边界完整性。6.4.2.2 结果判定1) 不同的ICS之间划分了安全域；2) 管理网、控制网、生产网之间建立了各自的安全域；3) 能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；4) 能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断；5) 能够通过网络准入、终端控制、身份认证、可信计算等技术手段，维护网络边界的完整性。6.4.3 网络访问控制6.4.3.1 评价方法1) 根据网络、区域边界、设备等安全控制策略，通过配置数据包的源地址、目的地址、传输层协议、请求的服务等信息，对用户访问数据进行合法性校验，确定允许访问的数据包；2) 根据业务需求，在用户与系统之间设置允许访问规则，控制粒度为单个用户；3) 如需加密访问的系统、设备，可通过使用 IPSec 加密、SSL 加密或 RPC 加密等技术来保护访问传输通道；4) 通过对消息来源、用户、设备身份进行鉴别，结合安全策略对接入行为进行访问控制；5) 通过对非授权设备私自联到内部网络的行为进行限制或检查，并对其进行有效阻断；6) 通过对内部用户非授权联到外部网络的行为进行限制或检查，并对其进行有效阻断；7) 通过将 IP 与 MAC 地址绑定限制无线网络的使用，防止未授权设备连接；8) 通过监测当奶业加工智能化控制系统内安全域和外安全域之间的边界防护机制失效时，进行报警。6.4.3.2 结果判定1) 在网络边界、设备上通过设置访问控制权限，有效阻断了非法行为。6.4.4 网络入侵防护6.4.4.1 评价方法1) 通过配置安全策略在关键网络节点处防止或限制从外部或从内部发起的网络攻击行为，对异常的奶业加工智能化控制指令、数据进行识别、告警；2) 通过配置安全策略对不必要开放的端口、服务进行关闭或限制访问；3) 定期人工查验、备份在网络边界处部署的入侵防护设备配置策略，以有效阻止入侵攻击行为，如端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；4) 根据攻击行为时，入侵防护设备应记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。6.4.4.2 结果判定1) 通过在网络边界处部署入侵防护设备，有效监视并阻断入侵攻击行为；2) 在检测到攻击行为时，记录攻击源 IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。6.4.5 恶意代码防护6.4.5.1 评价方法1) 在测试环境对恶意代码库升级后检测对系统的影响程度；2) 定期通过专用杀毒软件在网络中对恶意代码进行检测和清除；3) 定期人工查验或批量维护恶意代码库的升级和系统的更新。6.4.5.2 结果判定1) 恶意代码库升级后对测试环境未产生影响，可在生产环境中进行补丁更新；2) 能够在网络中对恶意代码进行检测和清除；3) 能够维护恶意代码库的升级和检测系统的更新。6.5 工控资产安全性运营使用单位对奶业加工智能化控制系统运行的智能化控制设备、上位机软件应用程序、工业主机、工业网络设备、系统数据等进行综合评估，评估人员可采用与管理操作人员交谈、配置核查、工具检查、监督验证等手段实施综合评估。查找、统计本单位奶业加工智能化控制系统中奶业加工智能化控制系统资产的基数、安全状态和问题，分析这些问题、缺陷、漏洞可能带来的安全隐患。6.5.1 工业主机安全性6.5.1.1 身份鉴别6.5.1.1.1 评价方法1) 通过配置信息查验登录奶业加工智能化控制系统工业主机的用户身份（包括操作系统和数据库系统），保持用户身份标识的唯一性；2) 通过配置信息查验奶业加工智能化控制系统工业主机登录口令的强度要求和更换时间，如采用 USB-key、智能卡、生物指纹、虹膜等身份认证管理技术；3) 通过配置策略对操作系统和数据库系统特权用户的权限进行分离；4) 通过配置策略启用工业主机登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；5) 通过配置信息查验奶业加工智能化控制系统工业主机远程管理时，采取必要措施，防止信息在网络传输过程中被窃听。6.5.1.1.2 结果判定1) 能够对登录奶业加工智能化控制系统工业主机的用户（包括操作系统和数据库系统）进行身份标识和鉴别；2) 主机登录口令具有强度要求；3) 主机登录口令定期更换；4) 启用了登录失败处理功能；5) 当对奶业加工智能化控制系统工业主机进行远程管理时，采取了必要措施，防止鉴别信息在网络传输过程中被窃听。6.5.1.2 访问控制6.5.1.2.1 评价方法1) 通过配置信息查验奶业加工智能化控制系统工业主机访问控制策略，依据安全需求设置用户对资源的访问控制权限；2) 通过配置信息查验奶业加工智能化控制系统工业主机管理用户的角色分配权限，如实现管理用户的权限分离，仅授予管理用户所需的最小权限；3) 通过配置信息查验奶业加工智能化控制系统工业主机默认账户的访问权限，修改或删除默认的账户和口令；4) 通过配置信息查验奶业加工智能化控制系统工业主机多余的、过期的账户，如删除共享账户信息；5) 根据业务需求，在用户与系统之间设置允许访问规则，控制粒度为单个用户；6) 如需加密访问的系统、设备，可通过使用 IPSec 加密、SSL 加密或 RPC 加密等技术来保护访问传输通道；7) 通过对消息来源、用户、设备身份进行鉴别，结合安全策略对接入行为进行访问控制；8) 通过对非授权设备私自联到内部网络的行为进行限制或检查，并对其进行有效阻断；9) 通过对内部用户非授权联到外部网络的行为进行限制或检查，并对其进行有效阻断；10) 通过将 IP 与 MAC 地址绑定限制无线网络的使用，防止未授权设备连接；11) 通过监测当奶业加工智能化控制系统内安全域和外安全域之间的边界防护机制失效时，进行报警；12) 通过封闭或拆除工业主机上不必要的光盘驱动、USB 接口等，避免因未授权的外设终端接入而导致病毒、木马、蠕虫等恶意代码入侵或数据泄露； 确需保留的，可以通过主机外设安全管理技术手段实施严格的访问控制和监督管理；13) 定期查看、备份主机日志，对操作过程进行记录。6.5.1.2.2 结果判定1) 配置主机访问控制功能，依据安全策略控制用户对资源的访问；2) 根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；3) 严格限制默认账户的访问权限，修改这些账户的默认口令；4) 重要系统、设备通过加密技术访问；5) 奶业加工智能化控制系统工业主机中不存在多余的、过期的账户；6) 奶业加工智能化控制系统主机日志定期进行备份、审计。6.5.1.3 安全审计6.5.1.3.1 评价方法1) 通过审计文档记录或日志信息查验审计范围是否覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；2) 通过审计文档记录或日志信息查验审计内容是否包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；3) 通过审计文档记录或日志信息查验审计记录是否包括事件的日期、时间、类型、主体标识、客体标识和结果等；4) 通过审计文档记录或日志信息查阅是否保护审计进程，避免受到未预期的中断；5) 通过审计文档记录或日志信息查验是否保护审计记录，避免受到未预期的删除、修改或覆盖等；6) 根据奶业加工智能化控制系统的统一安全策略实现集中审计；7) 通过安全策略对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。6.5.1.3.2 结果判定1) 审计范围能够覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；2) 审计内容能够包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；3) 审计记录能够包括事件的日期、时间、类型、主体标识、客体标识和结果等；4) 审计进程保护完整，未存在中断记录；5) 审计记录备份完整，未进行删除、修改或覆盖等操作。6.5.1.4 入侵防护6.5.1.4.1 评价方法1) 通过制定管理文档约定操作人员入侵防护管理机制，并对操作行为进行记录；2) 通过日常文档记录或入侵防护设备日志查验能够检测到对重要服务器进行入侵的行为，完整记录入侵的 IP、攻击类型、攻击目的、攻击时间等信息，并在发生严重入侵事件时提供报警；3) 通过入侵防护设备配置策略设置对重要程序的完整性进行检测，定期针对奶业加工智能化控制系统及临时接入的设备采取病毒查杀等安全预防措施，并在检测到完整性受到破坏后具有恢复的措施；4) 在工业主机中实施防止或检测使用非授权软件的控制措施（如应用程序白名单），只允许经过奶业加工智能化控制系统自身授权和安全评估的软件运行；5) 通过入侵防护设备配置策略设置奶业加工智能化控制系统工业主机操作系统最小安装权限，如仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新；6) 通过在离线环境下对升级补丁进行严格的安全评估和测试验证，在不影响系统安全稳定运行的情况下对奶业加工智能化控制系统工业主机进行补丁更新、固件更新等工作，确保补丁安装后奶业加工智能化控制主机的正常运行；7) 通过漏洞扫描工具对奶业加工智能化控制系统进行漏洞检测；8) 定期备份阻止攻击的日志信息。6.5.1.4.2 结果判定1) 制定了入侵防护管理制度，并有详细的操作记录；2) 能够检测到对重要服务器进行入侵的行为，并在发生严重入侵事件时提供报警；3) 能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施，以保障奶业加工智能化控制系统正常运行；4) 主机操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新；5) 奶业加工智能化控制系统不存在高危漏洞；6) 入侵防护日志定期备份。6.5.1.5 资源控制6.5.1.5.1 评价方法1) 通过策略配置设定终端接入方式、网络地址范围等条件限制终端登录，限制单个用户对系统资源的最大或最小使用限度；2) 通过策略配置信息查验根据安全策略设置登录终端的操作超时锁定时间；3) 通过策略配置对重要服务器进行监视，包括监视服务器的 CPU、硬盘、内存、网络等资源的使用情况；4) 通过策略配置对系统的服务水平降低到预先规定的最小值进行检测和报警，及时查看日志信息。6.5.1.5.2 结果判定1) 能够通过设定终端接入方式、网络地址范围等条件限制终端登录；2) 能够根据安全策略设置登录终端的操作超时锁定；3) 能够对重要服务器进行监视，包括监视服务器的 CPU、硬盘、内存、网络等资源的使用情况；4) 能够对系统的服务水平降低到预先规定的最小值进行检测和报警。6.5.2 控制设备安全性6.5.2.1 身份鉴别6.5.2.1.1 评价方法1) 人工核查控制设备存在的所有访问接口是否以支持符合相应安全策略和规程的职责分离和最小特权原则；2) 通过设备信息人工验证控制设备在所有访问接口上能够实施标识和认证，无其他接入设备。6.5.2.1.2 结果判定1) 控制设备能够对所有访问操作实施进行标识和认证。6.5.2.2 访问控制6.5.2.2.1 评价方法1) 通过策略配置人工查验控制设备的所有逻辑接口，在所有逻辑接口上实施授权控制；2) 通过策略配置对控制设备限制用户工程代码的传入/传出；3) 根据网络、区域边界、设备等安全控制策略，通过配置数据包的源地址、目的地址、传输层协议、请求的服务等信息，对用户访问数据进行合法性校验，确定允许访问的数据包；4) 根据业务需求，在用户与系统之间设置允许访问规则，控制粒度为单个用户；5) 如需加密访问的系统、设备，可通过使用 IPSec 加密、SSL 加密或 RPC 加密等技术来保护访问传输通道；6) 通过对消息来源、用户、设备身份进行鉴别，结合安全策略对接入行为进行访问控制；7) 通过对非授权设备私自联到内部网络的行为进行限制或检查，并对其进行有效阻断；8) 通过对内部用户非授权联到外部网络的行为进行限制或检查，并对其进行有效阻断；9) 通过将 IP 与 MAC 地址绑定限制无线网络的使用，防止未授权设备连接；10) 通过监测当奶业加工智能化控制系统内安全域和外安全域之间的边界防护机制失效时，进行报警。6.5.2.2.2 结果判定1) 控制设备能够提供能力执行分配给所有用户（人）的授权；2) 控制设备在使用中能够根据不同用户操作划分不同的最小使用权限；3) 控制设备能够提供能力，限制用户工程代码传入/传出。6.5.2.3 校验功能6.5.2.3.1 评价方法1) 结合通信接口或人机接口输入的数据格式符合设定要求，人工查看控制设备提供了数据的有效性验证功能；2) 通过采取容错技术，在控制设备存在异常时能够正常运行生产功能，自动保存易失性数据和所有状态日志。6.5.2.3.2 结果判定1) 控制设备能够对通过通信接口或人机接口对输入的数据格式或长度进行有效性验证，能够拒绝不符合预先设定要求的输入；2) 控制设备在发生异常时可采取容错措施，以保障奶业加工智能化控制系统的可用性。6.5.2.4 状态监视6.5.2.4.1 评价方法1) 结合设计信息核查验证产品通过图形、列表或其他形式对控制设备反馈的信号或数据并进行监视。6.5.2.4.2 结果判定1) 能够通过图形、列表或其他形式对奶业加工智能化控制系统现场控制设备反馈的信号或数据进行监视。6.5.2.5 数据统计6.5.2.5.1 评价方法1) 通过校验系统及人工检查记录对奶业加工智能化控制系统现场控制设备反馈的信号或数据进行统计分析，如绘制趋势图，生成统计报表等；2) 根据日期、时间、数值范围等参数自定义绘制趋势图或生成统计报表。6.5.2.5.2 结果判定1) 能够提供对奶业加工智能化控制系统现场控制设备反馈的信号或数据进行统计分析。2) 用户可根据日期、时间、数值范围等参数自定义生成统计分析结果。6.5.2.6 报警响应6.5.2.6.1 评价方法1) 通过策略配置为奶业加工智能化控制系统现场控制设备反馈的信号或数据配置报警阈值；2) 在信号或数据超过报警阈值时，通过策略配置和日志记录显示、分析报警信息。6.5.2.6.2 结果判定1) 能够提供奶业加工智能化控制系统现场控制设备反馈的信号或数据配置报警阈值的功能；2) 能够在信号或数据超过报警阈值时正确显示报警信息。6.5.3 数据安全性6.5.3.1 数据可用性6.5.3.1.1 评价方法1) 通过策略配置自动对本地数据备份或人工备份，定期对备份数据进行恢复测试；2) 通过人员访谈、文档记录、备份日志等信息确保数据异地备份，备份介质在场外存放，配备灾难恢复所需的通信线路、网络设备和数据处理设备，提供业务应用的实时切换。6.5.3.1.2 结果判定1) 能够提供本地数据备份与恢复功能；2) 能够提供异地数据备份功能，备份介质应在场外存放。6.5.3.2 数据完整性6.5.3.2.1 评价方法1) 通过数据安全防护设备检测传输过程中被篡改和伪造的管理数据、鉴别信息和重要业务数据，并采取相应措施；2) 通过数据安全防护设备检测存储过程中被篡改和伪造的管理数据、鉴别信息和重要业务数据，并采取相应措施；3) 通过对数据收集和获取源、范围和频度保障数据采集完整；4) 制定数据分类分级策略，对采集到的数据进行完整性、一致性和合规性校验；5) 通过技术检测系统管理数据、鉴别信息和重要业务数据在采集、传输、存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。6.5.3.2.2 结果判定1) 能够检测到传输过程中被篡改和伪造的管理数据、鉴别信息和重要业务数据，并有能力采取相应措施；2) 能够检测到存储过程中被篡改和伪造的管理数据、鉴别信息和重要业务数据，并有能力采取相应措施；3) 在数据采集、传输、存储过程中能够保障其完整性。6.5.3.3 数据保密性6.5.3.3.1 评价方法1) 通过采用技术保证重要数据在采集、传输、存储过程中的保密性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；2) 通过在奶业加工智能化控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输；3) 通过对重要介质中的数据和软件采取加密存储，并根据所承载数据和软件的重要程度对介质进行分类和标识管理。6.5.3.3.2 结果判定1) 能够采用加密或其他有效措施实现管理数据、鉴别信息和重要业务数据传输保密性；2) 能够采用加密或其他保护措施实现管理数据、鉴别信息和重要业务数据存储保密性；3) 在数据采集、传输、存储过程中能够保障其完整性。6.5.4 网络设备安全性6.5.4.1 身份鉴别6.5.4.1.1 评价方法1) 通过在网络设备上配置符合需求的安全策略对登录网络设备的用户进行身份鉴别；2) 通过在网络设备上配置符合需求的安全策略确保网络设备用户标识的唯一性；3) 通过在网络设备上配置符合需求的安全策略对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；4) 通过在网络设备上配置符合需求的安全策略对网络设备的管理员登录地址进行限制；5) 通过在网络设备上配置符合需求的安全策略进行身份鉴别信息，定期更换为满足复杂度要求的口令；6) 通过在网络设备上配置符合需求的安全策略启用登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。6.5.4.1.2 结果判定1) 能够对登录网络设备的用户进行身份鉴别；2) 网络设备用户的标识唯一；3) 主要网络设备能够对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；4) 能够对网络设备的管理员登录地址进行限制；5) 身份鉴别信息具有不易被冒用的特点，口令应有复杂度要求并定期更换；6) 具有登录失败处理功能。6.5.4.2 访问控制6.5.4.2.1 评价方法1) 通过在网络设备上配置符合需求的安全策略启用访问控制功能，依据安全策略控制用户对资源的访问；2) 通过在网络设备上配置符合需求的安全策略实现设备特权用户的权限分离；3) 根据网络、区域边界、设备等安全控制策略，通过配置数据包的源地址、目 的地址、传输层协议、请求的服务等信息，对用户访问数据进行合法性校验，确定允许访问的数据包；4) 根据业务需求，在用户与系统之间设置允许访问规则，控制粒度为单个用户；5) 如需加密访问的系统、设备，可通过使用 IPSec 加密、SSL 加密或 RPC 加密等技术来保护访问传输通道；6) 通过对消息来源、用户、设备身份进行鉴别，结合安全策略对接入行为进行访问控制；7) 通过对非授权设备私自联到内部网络的行为进行限制或检查，并对其进行有效阻断；8) 通过对内部用户非授权联到外部网络的行为进行限制或检查，并对其进行有效阻断；9) 通过将 IP 与 MAC 地址绑定限制无线网络的使用，防止未授权设备连接；10) 通过监测当奶业加工智能化控制系统内安全域和外安全域之间的边界防护机制失效时，进行报警。6.5.4.2.2 结果判定1) 启用访问控制功能，依据安全策略控制用户对资源的访问；2) 实现设备特权用户的权限分离。6.5.4.3 安全审计6.5.4.3.1 评价方法1) 通过在网络设备上配置符合需求的安全策略和日志保存等措施，对奶业加工智能化控制系统网络设备的重要用户行为、系统资源的异常使用等事件生成审计信息；2) 通过在网络设备上配置符合需求的安全策略设置审计记录信息，包括事件的日期、时间、类型、主体标识、客体标识和结果等；3) 通过在网络设备上配置符合需求的安全策略保护审计记录，避免受到未预期的删除、修改或覆盖等。6.5.4.3.2 结果判定1) 能够对奶业加工智能化控制系统网络设备的重要用户行为、系统资源的异常使用等事件生成审计信息；2) 审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等；3) 能够保护审计记录，避免受到未预期的删除、修改或覆盖等。6.5.5 应用程序安全性6.5.5.1 身份鉴别6.5.5.1.1 评价方法1) 提供专用的登录控制模块（或在组态软件中）对登录用户进行身份标识和鉴别；2) 提供对用户身份标识进行唯一性检查，保证应用系统中不存在重复用户身份标识；3) 查验鉴别信息复杂度进行检查，使鉴别数据具备强度，确保身份鉴别信息不易被冒用；4) 通过采取结束会话、限制非法登录次数和自动退出等措施，提供登录失败处理功能。6.5.5.1.2 结果判定1) 能够提供专用的登录控制模块（或在组态软件中）对登录用户进行身份标识和鉴别；2) 能够提供对用户身份标识进行唯一性检查，保证应用系统中不存在重复用户身份标识；3) 能够对鉴别信息复杂度进行检查，使鉴别数据具备强度，确保身份鉴别信息不易被冒用；4) 能够提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。6.5.5.2 访问控制6.5.5.2.1 评价方法1) 提供访问控制功能，依据安全策略控制用户对应用程序的访问；2) 通过配置访问控制策略，并限制默认账户对应用程序的访问权限；3) 根据不同账户为完成各自承担任务分配对应用程序所需的最小权限，并在它们之间形成相互制约的关系；4) 通过配置数据包的源地址、目的地址、传输层协议、请求的服务等信息，对用户访问应用程序进行合法性校验，确定允许访问的数据包；5) 如需加密访问应用程序的设备，可通过使用 IPSec 加密、SSL 加密或 RPC 加密等技术来保护访问传输通道；6) 通过对消息来源、用户、设备身份进行鉴别，结合安全策略对接入行为进行访问控制；7) 通过对非授权设备私自联到内部网络的行为进行限制或检查，并对其进行有效阻断；8) 通过对内部用户非授权联到外部网络的行为进行限制或检查，并对其进行有效阻断。6.5.5.2.2 结果判定1) 能够提供访问控制功能，依据安全策略控制用户对应用程序的访问；2) 访问控制的覆盖范围能够包括与资源访问相关的主体、客体及它们之间的操作；3) 由授权主体配置访问控制策略，并严格限制默认账户的访问权限；4) 能够授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。6.5.5.3 安全审计6.5.5.3.1 评价方法1) 通过配置安全审计策略提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；2) 通过配置安全审计策略保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；3) 通过配置安全审计策略确保审计记录的内容是否至少包括事件的日期、时间、主体身份、类型、描述和结果等；4) 通过配置安全审计策略对审计记录数据进行统计、查询的功能。6.5.5.3.2 结果判定1) 能够提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；2) 能够保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；3) 审计记录的内容包括事件的日期、时间、主体身份、类型、描述和结果等；4) 能够提供对审计记录数据进行统计、查询的功能。6.6 防护产品安全性运营使用单位对奶业加工智能化控制系统中使用的安全防护产品自身安全性，分别在安全审计、标识鉴别、用户数据保护、安全管理、安全功能保护等方面进行综合评估，评估人员可采用访谈主要对象或环节的管理操作人员、配置核查、工具检查、监督验证等手段实施综合评估。查找、统计本单位奶业加工智能化控制系统中安全产品的安全状态和问题，分析这些问题、缺陷、漏洞可能带来的安全隐患。6.6.1 安全审计6.6.1.1 审计数据产生6.6.1.1.1 评价方法1) 通过日志信息查看奶业加工智能化控制系统安全防护产品的登录和退出信息；2) 通过日志信息查看对角色的管理操作（如新增、修改、删除等操作）信息；3) 通过日志信息查看对用户的管理操作（如新增、修改、删除等操作）信息；4) 通过日志信息查看执行鉴别失败和成功的信息；5) 通过策略配置查看连续失败次数超过设定的阈值；6) 通过日志信息查看执行策略配置和修改操作的信息；7) 通过日志信息查看上述行为生成正确的审计记录；8) 通过策略配置设置每个审计记录包括如下信息：事件发生的日期和时间，主体、客体和事件内容等。6.6.1.1.2 结果判定1) 系统能够对重要的事件（如适用）生成正确的审计记录： 用户的登录和退出； 角色管理操作（如创建、修改删除角色）； 账号管理操作（如创建、修改删除账号）； 鉴别机制的使用，包括鉴别成功和失败事件； 鉴别失败的次数超过给定门限时产品采取的行动； 安全功能策略配置和修改的行为。2) 每个审计记录中包括如下信息：事件发生的日期和时间，主体、客体和事件内容等。6.6.1.2 用户身份关联6.6.1.2.1 评价方法1) 查看系统审计信息，验证每条事件记录都有事件发起者身份的记录，从而能够实现正确的用户身份关联。6.6.1.2.2 结果判定1) 审计记录中包含了相关用户身份信息。6.6.1.3 审计查阅6.6.1.3.1 评价方法1) 通过策略配置授权管理员能够从审计记录中读取审计信息；2) 通过策略配置审计记录中的所有审计数据能够为用户所理解。6.6.1.3.2 结果判定1) 授权管理员能够从审计记录中读取审计信息；2) 审计记录中的所有审计数据可读，便于理解。6.6.1.4 限制审计查阅6.6.1.4.1 评价方法1) 模拟授权管理员访问审计记录，查看访问日志信息；2)模拟非授权管理员访问审计记录，查看访问日志信息；3) 通过策略配置仅允许授权管理员访问审计记录。6.6.1.4.2 结果判定1) 禁止非授权管理员访问审计记录；2) 仅限授