2025智能工厂生产系统网络安全评价标准.docx

智能工厂生产系统网络安全评价标准1 目的及适用范围1.1 目的为确保贵州天义技术有限公司（以下简称：天义技术）智能工厂生产系统的网络安全编制本标准，为天义技术生产系统网络安全的评价提供依据1.2 适用范围本规范适用于天义技术用生产系统网络2 引用和参考的相关标准下列文件中的条款通过本规范的引用而成为本规范的条款凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件，其最新版本适用于本规范编号文件编号文件名称1《供应商生产系统网络安全标准》3 总则具体标准以及要求见附件 1、生产系统网络安全标准第 2 页 共 8 页序号项目条款&内容实施要点检查方法或要点范围及数量评分备注1设备安全资产管理需要建立资产管理清单，动态管理系统、资产配置、操作系统及软硬件生命周期等检查资产管理清单及版本更新情况最近三个版本22操作系统管控生产服务器禁止使用盗版操作系统且及时升级最新补丁现场随机抽查机房抽3 台服务器1强制项（违反评分不高于 C）3GDP 文控电脑必须使用非EOS 版本（如：win2016， win10）；其它环节电脑推荐使用 WIN10，如无法升级到 WIN10，需要进行安全加固（如：隔离、离线等）低版本系统排查（低版本界定：电脑 win7系统及以下；服务器：Windows2008 及以下，具体以微软发布的为准）查低版本的加固措施各区域随机抽查至少3 台电脑24需要建立操作系统补丁服务器及漏洞预警响应规范，自动推送升级操作系统补丁，特殊设备如无法自动升级，须及时手动升级，紧急补丁需要 24 小时内更新（如：勒索病毒补丁），高危补丁需要 7 天内更新补丁更新检查：1）生产电脑、服务器系统补丁是否正常更新补丁（查看补丁安装记录） 2）高危补丁是否安装（查看补丁安装记录）；例如：windows 10 系统补丁编号： KB4528759(1903/1909)/KB4523204(1809)各区域随机抽查至少3 台电脑15杀毒软件管控所有的服务器、GDP 文控、烧录及测试电脑需要安装主流杀毒软件，杀毒软件补丁需要实时更新，需要设置定期活动扫描（每周至少一次）及全盘扫描（每月至少一次）1、检查生产设备、测试终端、服务器等资产是否安装杀毒软件；2、检查生产设备、服务器等资产是杀毒软件是否正常运行、病毒库是否正常升级； 3、检查生产设备、服务器等资产是杀毒软件是否定期快速扫描、全盘扫描，查看扫描日志记录各区域随机抽查至少3 台电脑16密码管理服务器（含域、软件、MES、GDP 等）及生产电脑须设置开机密码、屏保密码等，密码至少 8位，复杂度为字母、数字、大写和特殊符号三种以上，严禁使用简单密码或有规律性的密码；1、抽查工厂的服务器账号是否明文，密码设置策略并按要求进行设置/更新等；2、检查生产电脑密码设置策略及更新记录抽查3 台服务器及1 台公共电脑验证1每半年至少修改一次；7网络隔离双网卡管理禁止两个不同属性的网络间使用双网卡从而绕开网络隔离的规则查服务器、GDP 电脑、工程软件转化电脑、烧录电脑是否存在双网卡各区域随机抽查至少3 台电脑1强制项（违反评分不高于 C）8与外网隔离服务华为业务的生产区域与外围通讯的网络必须设置防火墙隔离1、网络拓扑稽核审视2、查 GDP 电脑是否能上外网，是否能收发邮件（华为邮件除外），可以通过 GDP 电脑安装的邮箱发一个测试邮件到私人 邮箱，如果能发出去，则属于违规各区域随机抽查至少3 台电脑19内网模板化管理应采用防火墙建立与办公网络隔离的生产网络1、网络拓扑稽核审视2、查工程软件转化电脑、烧录电脑、测试电脑、SMT 设备电脑是否能上外网，是否能收发邮件（华为邮件除外），可以通过 GDP 电脑安装的邮箱发一个测试邮件到私人 邮箱，如果能发出去，则属于违规各区域随机抽查至少3 台电脑110生产网络应根据业务特点划分为不同的安全域（如服务器区、生产网络、测试网络），实现生产网络层的精细化管理（建议根据业务量按楼栋隔离）1、网络拓扑稽核审视2、查工程软件转化电脑、烧录电脑、测试电脑、SMT 设备电脑是否能上外网，是否能收发邮件（华为邮件除外），生产网络内电脑是否能与办公电脑（有外网或邮件功能）PING 通，用 IP 地址的方法现场测试验证，能 PING 通则违规各区域随机抽查至少3 台电脑211无线网络管理生产用无线网络须与生产有线网络及办公用无线网络隔离；生产用无线网络信号强度及覆盖范围需要有效控制，不得超出工厂园区范围；检查 WIFI 认证方式现场抽查一台生产移动终端1第 5 页 共 8 页生产用无线网络须开启接入认证功能（如： RADIS、证书），禁止使用 WEP 方式进行认证（如使用口令）12高危端口管控工厂与 Internet 网络边界 17 类高危端口必须关闭；若工厂内部服务器，生产及办公业务需要开通 17 类高危端口，需按最小化原则开通,开通最长有效期为 1 年，需定期审视并删除多余或无效的访问控制规则1、检查服务器，生产、办公网络 17 类高危端口管理机制（文件）2、抽查服务器、生产电脑的高危端口关闭情况各区域随机抽查至少3 台电脑/服务器117 类高危端口具体指 Telnet：23，Ftp： 20/21，Ssh/Sftp：22， Tftp：69，Rpc：135， Netbios：137-139， SMB：445，Ldap：389， Xmanager/Xwin：177， Rlogin：513，Rdp： 3389，Remoteadmin： 4899，TCP_Napster_directo ry_8888_primary： 8888，X11：6000-6063， SQL:1433-1435，Oracle:1521-1530，DB2：50000-5005013应用安全应用系统安全供应商是否建立了应用程序全生命周期的安全防护措施（最小安装、关闭高危端口、签名验证、可信验证等），如：通过渗透测试、安全扫描等措施减少漏洞引入及产生的危害检查生产关键应用程序渗透测试或安全扫描记录查看最近一次记录1推荐项14访问权限管理制定应用访问控制规则，对使用制造平台及应用程序用户分配账户及相应的访问权限；应及时删除或停用多余的、过期账户；共享账户需要有管理机制且即制到最小权限查权限管理规范、审批流程及过期清除策略及记录随机查3 个审批记录215身份鉴权制造平台及应用程序应具备用户身份标示和鉴别功能及登录失败处理功能，多次登录（建议 5次）失败后应采取必要的保护措施（如：帐号锁定、异常报告）；禁止使用明文密码使用同一帐号在同一电脑上输入 5 次错误的密码，确认密码是否明文，帐号是否被锁定，后台是否有异常报警随机抽查 1台电脑116密码管控应用系统需设置密码，密码至少 8 位，复杂度为字母、数字、大写和特殊符号三种以上，严禁使用简单密码或有规律性的密码； 每半年至少修改一次；抽查工厂生产执行系统账号是否明文，密码设置策略并按要求进行设置/更新等；随机抽查 3个账号117数据安全数据分级应建立数据资产安全分类分级策略，对数据资产进行等级划分，从而优先实现对关键数据的数据质量资源保障查数据或系统分级规范查看文件118数据传输针对关键的数据对外传输通道，需部署传输通道加密方案（如：HTTPS）,内部重要服务器及重要文件禁止通过共享文件夹方式传输从而绕开网络隔离的规则1、查外发应用或系统的网址2、查服务器、工程软件转化电脑、烧录电脑、测试电脑是否有共享文件夹随机抽查 3台119数据备份应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份环境；应提供重要数据处理系统的热冗余，保证系统的高可用性；应建立异地灾难备份中心，提供业务应用的实时切换现场演示备份记录现场演示120应提供重要数据离线备份功能，数据最少保存 1个月，增量离线备份周期不大于 7 天查离线备份实物和记录现场查看1强制项（违反评分不高于 C）21存储介质管理存储系统及存储介质在使用前需要进行病毒查杀,并落实定期查杀机制，查杀周期不低于每月 1 次,存储系统及存储介质的使用和传递过程需要严格管控，防止非授权使用或接触；报废前需要确保无数据检查存储系统或介质病毒查杀记录各区域随机抽查至少3 台电脑222安全运维入网检测新引入的生产设备、装备、服务器、应用软件及系统在入网前须经过安全检测（操作系统版本、补丁、防病毒、漏洞等），检测合格后才投入使用1、查入网检测流程2、查新入网设备清单及检查记录现场抽查对应日志 3台123例行检测建立定期网络安全巡检机制，月度对生产设备、装备、服务器安全防护状态进行抽查，季度全 覆盖，年度对关键应用软件及系统进行安全检查1、检查定期网络安全巡检机制2、查设备、系统巡检记录现场抽查对应日志 3台224态势感知需部署相应的监测及控制系统，具备数据采集、收集汇聚、特征提取、关联分析、状态感知、 异常预警、响应决策等能力（如:资产安全防护、垃圾邮件、暴力破解、异常行为等）系统演示系统演示125响应及恢复须建立网络安全应急响应组织及处理流程，制定网络安全应急响应预案，定期组织安全演练查应急响应流程、预案及演练记录近1 年内的演练记录1。