ICS 75. 200 E 70 SY 备案号：53453—2016 中华人民共和国石油天然气行业标准 SY/T 7037—2016 油气输送管道监控与数据采集 （SCADA）系统安全防护规范 Pipeline SCADA system security 2016-01—07发布 2016—06-01实施 国家能源局 发布 SY/T 7037—-2016 目 次 前言 范围 1.1目的和目标 1.2 角色和职责 2定义和缩略语 2.1定义· 2.2缩略语 系统管理 3 3.1 人员· 10 3. 2 安全防护策略…· 10 3. 3 风险和漏洞评估 3. 4 业务连续性计划（BCP） 10 3.5 事故响应计划（IRP) 门 3.6 变更管理. 3.7 操作系统和应用程序更新· 3.8 应用与软件限制 12 物理安全防护。 12 5 系统访问控制. 12 5. 1 限制访问 12 5. 2 用户账户.. 5. 3 操作系统账户 5. 4 SCADA系统账户 5. 5 密码管理 5. 6 生物识别技术· 5. 7 禁止非必要的服务 5.8 操作系统工具 5. 9 设备访问 5.10 人员管理 6 信息发布· 保密信息 6. 1 6.2 受限信息 16 6.3 公共信息· 16 网络设计和数据交换 7 16 7. 1 网络设计 16 7. 2 网络管理. 1 SY/T7037-—2016 7.3 数据交换 21 8现场通信… 21 8.1现场设备技术 8.2系统访问…· 22 附录A（资料性附录） SCADA安全防护示例 35 附录B（资料性附录）SCADA/控制系统安全防护计划 SY/T7037-2016 前言 本标准按照GB/T1.1一2009《标准化工作导则第1部分：标准的结构和编写》给出的规则 起草。 本标准使用翻译法等同采用APIStd1164：2009《PipelineSCADAsystemsecurity》（英文版）。 为了便于使用，本标准按照GB/T1.1一2009和GB/T20000.2--2009的要求做了下列一些编辑性 修改： 删除了APIStd1164：2009（英文版）的特别声明、前言和参考文献； 删除了“API石油工业安全指南”； 删除了附录B部分“美国能源部文件中的21个步骤列表如下，以供参考”； 删除了“NIST”的定义和缩写。 本标准由石油工程建设专业标准化委员会提出并归口。 本标准起草单位：中国石油天然气管道工程有限公司、北京油气调控中心、中国石油管道公司、 中石化石油工程设计有限公司。 本标准主要起草人：聂中文、徐志强、汪涛、董旭、王怀义、田京山、高原、卜志军、邓东花、 程德发、刘亮、王勇、莫巨华、张书勇、吴兆鹏、闫峰、颜辉、马永祥、尹明路。 SY/T7037—2016 油气输送管道监控与数据采集（SCADA）系统安全防护规范 1范围 本标准为油气输送管道监控与数据采集（SCADA）系统提供了高水准的整体安全防护推荐作法。 附录中提供了更详尽的细节描述和技术指导。按照本标准正文和附录的要求，可制定一套规范的安全 防护操作方法。由于SCADA系统的复杂性，管道SCADA系统网络安全防护性能的提高，不是一个 简单的过程或一次性事件，而是一个持续的过程，按照本标准正确实施整个过程可能需要数年时间。 此外，SCADA系统升级可参照本标准，将本标准推荐的安全防护措施可作为新系统的内置应用，提 升整个系统的安全性。 1.1目的和目标 运营商的目标是对管道进行有效的控制，避免因运营商或其他方的行为对员工、环境、公众及客 户等造成不良影响。SCADA安全防护程序宜通过以下方法，提高管道SCADA运行安全： 分析可被未授权系统利用的SCADA系统漏洞； -列出用于识别和分析未授权系统攻击SCADA系统漏洞的过程； 提供用于强化核心架构的综合实践列表； 提供行业内最佳实践案例。 1.2角色和职贵 运营商的高级管理人员应严格执行SCADA安全防护管理程序，保证能在各组织层面识别 SCADA安全防护的各项责任。SCADA系统安全防护程序的涵盖范围包括运营商、业务合作伙伴、 供应商、SCADA系统软硬件产品供货商和技术服务商。SCADA安全防护程序应形成SCADA安全 防护计划文件，用于识别执行策略和规程的安全防护专家及从业者的任务和责任，并对SCADA领域 中整个组织的计算机安全活动提供协调一致的安全防护。应规划和宣贯SCADA安全防护管理程序， 以便所有实际影响或潜在影响SCADA系统安全防护的操作人员能够充分了解他们的安全任务和职 责，并接受足够的培训以便安全地完成任务。SCADA安全防护程序的设计应确保正在执行的是网络 安全的行业最优方案，并符合所有相关规范。 2定义和缩略语 2.1定义 下列定义适用于本文件。 2.1.1 访问控制列表access control list（ACL） 每个对象配有一个权限列表。该列表明确了允许访问该对象的人员，以及允许在该对象上执行的 操作。 2.1.2 后门backdoor，trapdoor 1