SY/T 5231-2024 石油工业信息系统安全管理规范

　　ICS75-010CCS E07

　　中华人民共和国石油天然气行业标准

　　SY/T5231—2024

　　代替SY/T5231—2010

　　石油工业信息系统安全管理规范

　　Specification for security management ofinformation systemsin the petroleum industry

　　2024-09-24发布2025-03-24实施

　　国家能源局发布

　　SY/T5231—2024

　　目次

　　前言 Ⅱ

　　1范围 1

　　2规范性引用文件 1

　　3 术语和定义 1

　　4 缩略语 3

　　5 总体要求 3

　　6管理基本要求 3

　　7增强管理要求 5

　　8 关键信息基础设施安全保护 6

　　9证实方法 6

　　附录A (资料性)检测控制 8

　　参考文献 11

　　1

　　SY/T 5231—2024

　　前言

　　本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

　　本文件代替SY/T 5231—2010《石油工业计算机信息系统安全管理规范》,与SY/T 5231—2010相比，除结构调整和编辑性改动外，主要技术变化如下：

　　a) 删除了“体系概述”(见2010年版的第4章);

　　b)增加了“总体要求”(见第5章);

　　c) 更改了“管理基本要求”(见第6章，2010年版的第5章、第6章、第7章及第8章);

　　d)增加了“网络安全等级保护”“区域边界”“系统建设”“运行维护”(见6.1、6.4、6.7及

　　6.8);

　　e)删除了“访问控制”“安全架构和评估”“业务连续性计划和灾难性恢复计划”“遵守法律与犯罪调查管理”及“用户管理”(见2010年版的第9章、第10章、第11章、第12章及第13章) ;

　　f) 增加了“增强管理要求”(见第7章);

　　g) 增加了“关键信息基础设施安全保护”(见第8章);

　　h)增加了管理检测控制(见第9章)。

　　请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

　　本文件由石油工业标准化技术委员会石油信息与计算机应用专业标准化委员会提出并归口。

　　本文件起草单位：中国石油天然气股份有限公司勘探开发研究院、中国石油天然气集团有限公司数字和信息化管理部、中国石化集团有限公司信息和数字化管理部、中国海洋石油集团有限公司科技与信息化部、国家石油天然气管网集团有限公司数字化部、新疆石油管理局有限公司数据公司、中国石油昆仑数智公司。

　　本文件主要起草人：冯梅、唐福宇、孙晓绯、帅训波、李青、董之光、柏东明、张文博、孙东旭、谷海生、魏萍、叶铭、陈靓、吴建军、张涛、宋一纯、刘辉。

　　本文件及其所代替文件的历次版本发布情况为：

　　——1991年首次发布为SY/T 5231—1991,1999年第一次修订，2010年第二次修订;

　　——本次为第三次修订。

　　SY/T5231—2024

　　石油工业信息系统安全管理规范

　　1范围

　　本文件规定了石油工业信息系统安全管理的总体要求，以及涵盖信息系统的技术、管理、建设、运维的各环节管理的基本要求和对于云计算、工控系统、物联网的增强管理要求，还包括关键信息基础设施的安全保护，描述了检测控制的证实方法。

　　本文件适用于石油工业领域的信息系统设计、建设和运行维护的安全管理。

　　2规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 22239信息安全技术网络安全等级保护基本要求

　　GB/T 22240—2020信息安全技术网络安全等级保护定级指南

　　GB/T 25070信息安全技术网络安全等级保护安全设计技术要求

　　GB/T 28448信息安全技术网络安全等级保护测评要求

　　GB/T 39204信息安全技术关键信息基础设施安全保护要求

　　3术语和定义

　　下列术语和定义适用于本文件。

　　3.1

　　安全策略securitypolicy

　　由最高管理层作出的关于信息安全的最广泛、最概括的定义，明确指定了企业信息安全的作用、 价值与意义。

　　3.2

　　安全域security domain

　　遵从共同安全策略的资产和资源的集合。

　　3.3

　　安全事件security incident

　　与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态。

　　[来源：GB/T20985.1—2017,3.4]

　　3.4

　　云计算平台cloud computing platform

　　云服务商提供的云计算基础设施及其上的服务软件的集合。

　　[来源：GB/T22239—2019,3.6]

　　3.5

　　工业控制系统industrial control system(ICS)

　　工业生产中使用的控制系统，包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统，如可编程逻辑控制器(PLC)。

　　[来源：GB/T 32919—2016,3.1]

　　3.6

　　物联网internet ofthings

　　通过感知设备，按照约定协议，连接物、人、系统和信息资源，实现对物理和虚拟世界的信息进行处理，并作为反应的智能服务系统。

　　[来源：GB/T33745—2017,2.1.1]3.7

　　感知终端 perceptionterminal

　　能对物或环境进行信息采集或执行操作，并能联网进行通信的装置。

　　[来源：GB/T 37044—2018,3.2]

　　3.8

　　区域边界area boundary

　　对信息系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连通并实施安全策略的相关部件。

　　注：安全区域边界按照保护能力划分为一级至五级。

　　[来源：GB/T 34990—2017,3.10]

　　3.9

　　安全审计security audit

　　对信息系统记录与活动的独立评审与考察，以测试系统控制的充分程度，确保对于既定安全策略和运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提出改进建议。

　　[来源：GB/T 25069—2022,3.24]

　　3.10

　　访问控制access control

　　一种确保数据处理系统的资源只能由经授权实体以授权访问方式进行访问的手段。

　　[来源：GB/T 5271.8—2001,8.4.1]

　　3.11

　　保密性confidentiality

　　信息对未授权的个人、实体或过程不可用或不泄露的性质。

　　[来源：GB/T 25069—2022,3.41]

　　3.12

　　个人信息personalinformation

　　以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。

　　注：通常包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

　　3.13

　　关键信息基础设施criticalinformationinfrastructure

　　公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

　　[来源：GB/T 39204—2022,3.1]

　　4 缩略语

　　下列缩略语适用于本文件。

　　API:应用程序编程接口(ApplicationProgramming Interface)

　　FTP:文本传输协议(FileTransferProtocol)

　　HMI:人机界面(HumanMachineInterface)

　　HTTP:超文本传输协议(HyperText TransferProtocol)

　　TelNet:远程登录协议(TelecommunicationsNetworkProtocol)

　　5总体要求

　　5.1企业应建立网络安全管理机构，指定网络安全工作职能部门，设立人员岗位，明确工作职责。

　　5.2企业应制订网络安全工作制度，阐明总体目标、范围、原则和安全框架等。

　　5.3企业应按照GB/T 28448的要求。建立信息系统网络安全等级保护相关管理制度、符合GB/T22239的要求，对已定级系统实施安全建设和运维管理。

　　5.4 企业应按照GB/T 39204的要求，在网络安全等级保护制度基础上加强关键信息系统的安全防护。

　　5.5企业应建立适合本企业的信息系统安全管理体系，主要包含密码应用、数据安全和个人信息保护制度，加强对云计算、物联网、智能制造、大数据等新技术信息系统的安全防护。

　　5.6信息系统中涉及商业秘密的，应按照保密主管部门要求开展商业秘密保护工作。

　　5.7信息系统主管部门应重点保护勘探与开发、炼油与化工、天然气与销售、管道与新能源等业务运行安全、数据安全和个人信息安全。

　　6管理基本要求

　　6.1网络安全等级保护

　　1 6.1.1应落实国家网络安全等级保护制度相关要求，开展网络和信息系统的定级、备案、安全建设整改和等级测评等工作。

　　6.1.2云计算、大数据、物联网、工业控制系统等系统，应依据GB/T 22240—2020中第5章的要求确定定级对象。

　　6.1.3 应依据GB/T 22240—2020中4.4的要求，对初步确认为第二级及以上的信息系统，应组织专家评审、主管部门核准和行业主管(监管)部门核准，并将定级结果提交公安机关完成备案审核。

　　6.1.4信息系统安全等级测评，依据《信息安全等级保护管理办法》中第14条的规定，第三级信息系统应每年至少进行一次等级测评，第四级信息系统应每半年至少进行一次等级测评。

　　6.1.5网络安全等级保护第三级及以上系统应采用密码技术进行安全防护，并使用符合相关要求的密码产品和服务，在网络安全等级测评中同步开展密码应用安全性评估。

　　6.2物理环境

　　6.2.1信息系统的承载场地应实行物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护管理。

　　6.2.2根据石油工业企业生产过程特性，应制订适合本企业信息系统安全等级的物理环境安全策略。

　　6.2.3信息系统部署位置选择宜避免在高温、高压生产厂区内部和储油储气设施附近。

　　SY/T5231—2024

　　6.2.4应重点加强对资源集中的物理环境，如云技术基础设施、重要网络节点、重要数据节点的物理环境安全防护。

　　6.2.5应指定专人负责机房安全，对机房出入进行管理，定期对机房场地环境进行维护管理。

　　6.3通信网络

　　6.3.1应依据不同的信息系统安全等级，划分网络安全域，对不同的安全域制订不同的安全策略。

　　6.3.2不应将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。

　　6.3.3应确保关键网络设备和链路的硬件冗余，确保网络可用性。

　　6.3.4应至少每半年开展网络自查、渗透测试，确认网络安全运行状态，主动发现和修复安全漏洞。

　　6.3.5通信网络链路租赁方应与网络运营商划定网络安全责任权利和义务，并告知网络运营商网络安全防护需求。

　　6.4区域边界

　　6.4.1依据访问控制策略，应采用合适的访问控制技术，实现不同信任级别的主体对不同安全域的访问控制。

　　6.4.2应在网络边界监测网络异常行为，并阻止网络攻击行为。

　　6.4.3应在网络边界、关键节点进行安全审计，审计记录包括用户、行为、事件、类型、日期等信息，并按照要求留存保护。

　　6.4.4应在企业内网与因特网、外部机构网络的互联边界区域部署必要的安全防护措施，仅运行必要的网络服务。

　　6.4.5确需对境外提供互联网服务的，应出具个人信息和重要数据出境安全评估报告。

　　6.5计算环境

　　6.5.1应建立信息系统的身份鉴别机制，并满足安全等级对应的技术要求。

　　6.5.2应严格控制信息系统访问权限，对每个系统用户仅提供满足业务或管理需要的最小权限。

　　6.5.3应至少半年检查用户账户，及时删除或停用多余、过期账户，发现并整改弱口令账户。

　　6.5.4应至少半年开展安全检查，发现并修复操作系统、中间件、数据库等存在的安全漏洞。

　　6.5.5信息系统应按照GB/T 22239的要求进行计算环境安全设计。

　　6.6数据安全

　　6.6.1应在信息系统的设计阶段，建立基于数据分类分级的数据安全保护策略，明确重要数据的保护措施。

　　6.6.2信息系统存在重要数据跨境传输，应按照法律法规要求采取数据安全保护措施。

　　6.6.3 应制订数据备份和恢复策略，依据GB/T 22239的要求，安全保护等级第二级及以上系统应提供异地数据备份，第三级以上系统应提供异地实时数据备份。

　　6.6.4 应严格控制重要数据的收集、存储、使用、加工、传输、提供和公开等关键环节，采取加密、脱敏等技术手段保护敏感数据安全。

　　6.6.5应对数据操作保存审计记录，至少包括日期时间、主体身份、操作内容、操作结果等。

　　6.6.6应建立数据安全监测和分析机制，对威胁数据安全的恶意行为具备发现和阻断能力。

　　6.6.7应建立数据安全应急处置机制。发生数据安全事件.应启动应急预案。防止危害扩大.消除安全隐患。 6.7系统建设

　　6.7.1 系统在设计建设时，应按照GB/T 25070的要求，完成系统安全等级方案设计。

　　6.7.2软件开发阶段应将开发环境和运行环境隔离，软件投入使用前应完成源代码检测。

　　6.7.3服务供应商选择应符合国家有关规定，明确服务供应链各方需履行的网络安全义务。

　　6.7.4信息系统存在收集用户信息功能的应向用户明示并取得同意。

　　6.7.5信息系统对个人信息采集应采取适度原则，不应强制、超范围采集个人信息，对于个人图像、生物识别信息等采集应取得个人同意。

　　6.8运行维护

　　6.8.1应分析运行过程中所面临的威胁与风险，建立对应的安全管理制度。

　　6.8.2应对信息系统配置和管理划分权限，并对操作记录执行审计和备份。

　　6.8.3应有限度地采集和保存业务运行所必需的用户个人信息，并防止信息泄露、毁损、丢失。

　　6.8.4应编制系统对应资产的清单，包括资产的责任部门、重要程度和所处位置等内容。

　　6.8.5介质应存放在安全的环境中，介质的存放、管理、使用应按照安全管理制度进行并归档。

　　6.8.6信息系统配套的设施、线路、软硬件维护应明确责任，做好维护过程中的审批和监督。

　　6.8.7应记录和保存信息系统基本配置信息，包括网络拓扑、软件版本、补丁信息、配置参数等。

　　6.8.8应定期检查信息系统版本和补丁的升级情况，做好恶意代码的检查和防范工作。

　　6.8.9应制订安全事件应急预案，明确事件上报流程、处理方式、系统恢复等内容，并定期演练。

　　6.8.10应对信息系统持续开展日常监测活动，实施有效预警，监测的范围包括应用系统、支持应用系统的软件、网络及网络设备、安全设备、主机及外设等终端设备、电力及空调等基础设施环境。

　　6.8.11外包运维服务商的选择应符合国家的有关规定，与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容、安全责任。

　　7增强管理要求

　　7.1云计算平台

　　7.1.1 依据GB/T 22239的要求，平台不应承载高于自身安全等级的信息系统。

　　7.1.2平台与租户应划分安全责任，并签订相关保密协议及承诺书。

　　7.1.3 平台应满足计算资源、数据存储、虚拟网络等隔离控制的基础功能。

　　7.1.4平台应保证租户数据、虚拟机镜像在运行、备份、迁移等过程中的保密性。

　　7.1.5平台应能提供边界防护、入侵防范、加密传输等安全功能。

　　7.1.6平台应能为租户提供对资源滥用、攻击行为、运行状态等监测功能。

　　7.1.7应将供应链安全事件或威胁信息及时传达到租户，并采取措施降低风险。

　　7.1.8应选择安全合规的云平台供应商，明确权限和责任。

　　7.1.9云计算平台应加强其应用程序编程接口(API)的安全管控，建立授权隔离措施，防止滥用。

　　7.2工业控制系统

　　7.2.1工业控制系统内应划分不同安全区域，区域间部署安全访问控制策略，通过检查数据包的源地址、目的地址、传输协议、所请求的服务等，及时制止不符合安全控制策略的数据包传输。

　　7.2.2应识别未经授权的无线设备在控制系统物理环境中发射信号，及时报告对系统造成的影响。

　　7.2.3应在网络边界和重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 7.2.4应具备对关键上位机HMI的外部物理接口启用、禁用的控制能力。

　　7.2.5工业控制系统与其他信息系统宜采用物理隔离，存在信息交换需求的，应采用单向技术隔离手段，不应采用FTP、HTTP、TelNet等高风险网络服务。

　　7.2.6应确保系统的开发环境、测试环境、生产环境相互独立。

　　7.2.7工业主机应执行最小化系统安装，部署白名单控制策略，可运行经过授权和安全评估的软件。

　　7.2.8应封禁或拆除工业主机上不必要的移动存储、光驱、无线等接口。

　　7.2.9应确保控制指令和工业数据的加密存储和传输。

　　7.2.10应对参与无线通信的设备进行授权及执行使用进行限制。

　　7.2.11应识别未经授权的无线设备，并报告未授权接入或干扰控制系统的行为。

　　7.2.12应对关键业务数据，如工艺参数、配置文件、设备运行数据、生产数据、控制指令等进行定期备份。

　　7.2.13应建立工业控制网络、工业主机和工业控制设备的安全配置清单，并定期审计。

　　7.2.14应保留工业控制系统的相关访问日志，并对操作过程进行安全审计。

　　7.3物联网系统

　　7.3.1感知终端设备应具有长时间工作的电力供应，物理环境应确保不被破坏和干扰。

　　7.3.2感知层网关设备主要部件应设置明显的不易去除的标记。

　　7.3.3感知终端设备应具备对其连接的感知终端设备进行身份标识和鉴别的能力。

　　7.3.4感知层网关设备应具备对连接设备进行标识和鉴别的能力、控制外部连接数量的能力及对过滤非法和伪造连接的能力。

　　7.3.5关键感知层网关设备应具有持续稳定的电力供应，其物理环境应确保良好的信号收发能力。

　　7.3.6数据采集应采用标准化时间戳等技术确保数据可用性。

　　7.3.7数据传输应采用国家法律法规允许的加密算法确保数据传输的保密性，且具备数据校验功能，确保数据传输的完整性。

　　7.3.8 数据传输应能鉴别数据的时效性，避免历史数据的重放攻击。

　　8关键信息基础设施安全保护

　　8.1关键信息基础设施运营者应保障专门安全管理机构运行经费和关键信息基础设施安全防护经费。

　　8.2关键信息基础设施所属企业应配合主管部门完成关键信息基础设施认定和变更。

　　8.3 应对安全管理机构的负责人和关键岗位的人员进行安全背景审查和安全技能考核，关键岗位应配备专人，并配备2人以上共同管理。

　　8.4应采购通过国家检测认证的设备和产品，并建立和维护合格供应方目录。

　　8.5应确保重要数据和个人信息在境内存储，因业务需要确需向境外提供数据的，应按照国家相关规定和标准评估。

　　8.6关键信息基础设施每年至少进行一次网络安全检测和风险评估，并及时整改安全问题。

　　8.7应建立网络安全通报预警制度和威胁情报共享机制，及时掌握所在行业和领域的安全态势。

　　8.8应建立应急预案，定期组织应急演练。

　　9证实方法

　　9.1信息系统安全管理的验证通过检测控制实现。检测控制可划分为准备阶段、实施阶段和总结阶段。

　　SY/T5231—2024

　　9.2 准备阶段了解被检测信息系统安全管理现状，明确检测控制项和控制点，检测控制相关信息见附录A。

　　9.3实施阶段按照控制点描述开展测试工作，并记录检测结果。

　　9.4总结阶段针对未符合或部分符合的控制点分析安全风险，并结合系统现状提出整改建议。

　　SY/T 5231—2024

　　附录 A(资料性)检测控制

　　检测控制相关信息见表A.1。

　　表A.1检测控制表 控制分类 控制项 控制点

　　管理

　　总体要求 a)成立网络安全管理工作的职能部门，并定义部门及各个工作岗位的职责，设立系统管理员、审计管理员和安全管理员等岗位。

　　b)制订网络安全工作的总体方针和安全策略，阐明总体目标、范围、原则和安全框架等。

　　c)制订并及时修订网络安全管理制度，建立包含密码应用、数据安全和个人信息保护等在信息系统中应用的安全管理体系。

　　d)信息系统网络安全等级保护符合GB/T 28448和GB/T 22239的要求。

　　e)关键信息系统的安全防护符合GB/T 39204的要求。

　　f)加强对云计算、大数据、物联网、工业控制等系统的安全管理。

　　g)对于涉及商业秘密的信息系统，应开展商业秘密保护工作

　　技术

　　物理环境 a)机房场地选择在具备防震、防风和防雨等能力的建筑内，非顶层或地下室。

　　b)机房场地避免设在油气生产、炼油炼化等区域及储油储气设施附近。

　　c)机房出入口配置门禁系统，控制、鉴别和记录出入人员。

　　d)将设备或主要部件进行固定，并设置明显的不易除去的标识。

　　e)设置机房防盗报警系统或设置有专人值守的视频监控系统。

　　f)将各类机柜、设施和设备等通过接地系统安全接地。

　　g)采用防静电地板或地面并采用必要的接地防静电措施。

　　h)设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内。

　　i)提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求。

　　j)电源线和通信线缆应隔离铺设，避免互相干扰

　　通信网络 a)根据系统功能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段。

　　b)按照方便管理和控制的原则为各子网、网段分配地址段。

　　c)避免将重要网段部署在网络边界处，重要网段与其他网段之间采取技术隔离手段。

　　d)保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。

　　e)保证网络各个部分的带宽满足业务高峰期需要。

　　f)每半年组织网络渗透测试，确认网络区域间防护策略的有效性。

　　g)主动发现安全漏洞并修复，如存在安全隐患的通信协议、管理弱口令等

　　区域边界 a)根据系统的安全等级，采用对应的访问控制技术。

　　b)企业办公网与外部网络互联的边界区域，系统仅运行满足业务需要的网络通信协议，并实现访问控制。

　　c)在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。

　　d)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

　　e)对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录，避免记录受到未预期的删除、修改或覆盖等 表A.1(续)

　　控制分类 控制项 控制点

　　技术

　　计算环境 a)对登录操作系统的用户进行身份标识和鉴别。

　　b)每半年检查系统账户，删除或停用多余的、过期的账户，避免共享账户的存在。

　　c)对系统用户分配账户和权限，授予管理用户所需的最小权限，实现管理用户的权限分离。

　　d)至少每半年，检查并修复操作系统、中间件、数据库等存在的安全漏洞。

　　e)提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计。

　　f)能够检测到对重要服务器进行人侵的行为，能够记录入侵的源P、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。

　　g)能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。

　　h)操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新

　　数据安全 a)在系统设计中，包含数据分类分级的保护内容，明确重要数据的保护措施。

　　b)提供重要数据的本地数据备份与恢复功能。

　　c)安全保护等级第二级及以上系统提供异地数据备份，第三级以上系统提供异地实时数据备份。

　　d)能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。

　　e)采用加密或其他保护措施实现重要数据的保密性。

　　f)审计数据操作行为，并确保审计记录不被篡改

　　系统建设 a)根据系统安全保护等级选择基本安全措施，依据风险分析的结果完成安全方案设计，设计内容应包含密码技术相关内容，并形成配套文件。

　　b)分别对系统开发和运行建立独立环境并隔离。

　　c)在系统上线运行前，完成源代码检测和渗透测试。

　　d)确保服务供应商的选择符合国家的有关规定。

　　e)定期监督、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制。

　　f)确保网络安全产品采购和使用符合国家的有关规定。

　　g)确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求

　　运行维护 a)编制并保存系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。

　　b)根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施。

　　c)将介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存档介质的目录清单定期盘点。

　　d)制订系统配套设施、线路、软硬件维护的管理制度，明确各方责任，确保维护过程中的审批和监督。

　　e)采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。

　　f)定期开展安全检查，形成报告，采取措施应对发现的安全问题

　　增强管理

　　云计算平台 a)平台不承载高于自身安全保护等级的系统。

　　b)平台和租户实现职责划分，承担各自控制部分的安全责任。

　　c)平台对虚拟机的指令、内存、网络、存储等资源实现隔离，且互无干扰。

　　d)平台能监测外部访问及虚拟机与宿主机、虚拟机之间的攻击或异常流量，并记录和告警。

　　e)使用校验技术或密码技术保证虚拟机镜像、迁移过程中完整性，防止恶意篡改。

　　f)平台对API调用实施用户鉴别、鉴权等访问控制功能

　　SY/T 5231—2024

　　表A.1(续)

　　控制分类 控制项 控制点

　　增强管理

　　工业控制系统 a)加强室外设备的物理安全防护，远离电磁干扰、强热源等环境。

　　b)工业控制系统独立组网，加强与其他系统间的网络区域划分和隔离。

　　c)在数据传输方面应加强安全加密措施，特别是跨网段传输，应做好访问控制和数据加密，并能够监测安全策略的有效性。

　　d)加强对工业控制系统无线网络管理，实现接入设备准入控制、无线传输加密、无线信号抗干扰。

　　e)工业控制系统设备本身应加强安全防护，包括最小化安装、定期更新、供应商排查等

　　物联网系统 a)感知终端设备具有长时间工作的电力供应，物理环境应确保不被破坏和干扰。

　　b)感知节点对连接设备实现网络准入，能够发现网络攻击和伪造连接，并告警。

　　c)确保数据传输的保密性和完整性

　　关键信息基

　　础设施安全

　　保护

　　关键信息基

　　础设施 a)配合上级部门对关键信息基础设施的认定、监督和检查，保障安全防护经费落实到位。

　　b)关键岗位配备2人以上共同管理。

　　c)建立和维护设备和产品供应方目录，确保使用国家检测认证的设备和产品。

　　d)每年至少进行一次网络安全检测和风险评估。

　　e)建立应急预案，定期组织应急演练

　　参考文献

　　[1]GB/T 5271.8—2001信息技术词汇第8部分：安全

　　[2]GB/T 18336(所有部分)信息技术安全技术信息技术安全评估准则

　　[3]GB/T 20985.1—2017信息技术安全技术信息安全事件管理第1部分：事件管理原理

　　[4]GB/T22080—2016信息技术安全技术信息安全管理体系要求

　　[5]GB/T25069—2022信息安全技术术语

　　[6]GB/T28454—2020 信息技术安全技术入侵检测和防御系统(IDPS)的选择、部署和操作

　　[7]GB/T29246—2023信息安全技术信息安全管理体系 概述和词汇

　　[8]GB/T32914—2023信息安全技术网络安全服务能力要求

　　[9]GB/T32919—2016信息安全技术 工业控制系统安全控制应用指南

　　[10]GB/T 33745—2017物联网术语

　　[11]GB/T34990—2017 信息安全技术 信息系统安全管理平台技术要求和测试评价方法

　　[12]GB/T36626—2018 信息安全技术 信息系统安全运维管理指南

　　[13]GB/T37044—2018信息安全技术 物联网安全参考模型及通用要求

　　[14]信息安全等级保护管理办法 公通字[2007]43号

　　[15]ISO/IEC27002:2022 信息安全、网络安全和隐私保护一信息安全控制(Information security,cybersecurity and privacy protection—Information security controls)

　　[16]ISO/EC 30111:2019 信息技术安全技术漏洞处理过程(Information technology—Securitytechniques—Vulnerabilityhandlingprocesses)