中國工控信息安全技術(shù)標準體系

中國工控信息安全技術(shù)標準體系梅恪機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）全國工業(yè)過程測量控制和自動化標準化技術(shù)委員會（SAC/TC124）2019年9月

工控技術(shù)發(fā)展與信息安全勢態(tài)國際工控信息安全技術(shù)標準情況國家工控信息安全技術(shù)標準情況技術(shù)標準體系的構(gòu)建面臨的問題總結(jié)2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）2023/5/182023/5/18技術(shù)發(fā)展需求2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）以智能制造為主導(dǎo)的第四次工業(yè)革命正在興起技術(shù)發(fā)展需求工控系統(tǒng)的發(fā)展方向——全球互聯(lián)、嵌入式智能、自組織傳統(tǒng)系統(tǒng)封閉式系統(tǒng)演變到開放式的網(wǎng)絡(luò)系統(tǒng)開放的硬件體系開放的協(xié)議體系過程控制和企業(yè)信息系統(tǒng)的集成供給鏈集成企業(yè)間協(xié)同無線技術(shù)的廣泛應(yīng)用2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）2023/5/182023/5/18安全勢態(tài)2019年2019年2019年伊朗政府核電站員工感染Stuxnet病毒，嚴重威脅核反應(yīng)堆安全運營黑客入侵數(shù)據(jù)采集與監(jiān)控系統(tǒng)，使美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞兩座美國電廠遭USB病毒攻擊，感染了每個工廠的工控系統(tǒng)，可被竊取數(shù)據(jù)微軟警告稱最新發(fā)現(xiàn)的“Duqu”病毒可從工業(yè)控制系統(tǒng)制造商收集情報數(shù)據(jù)發(fā)現(xiàn)攻擊多個中東國家的惡意程序Flame火焰病毒，它能收集各行業(yè)的敏感信息工控系統(tǒng)信息安全勢態(tài)：我國：2019年齊魯石化、2019年大慶石化煉油廠，某裝置控制系統(tǒng)分別感染Conficker蠕蟲病毒，都造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷

2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）企業(yè)分層模型以MES制造執(zhí)行系統(tǒng)層分界—向上為傳統(tǒng)IT領(lǐng)域—向下為工控領(lǐng)域傳統(tǒng)信息系統(tǒng)：保密性—完整性—可用性儀控系統(tǒng)：可用性—完整性—保密性IT系統(tǒng)與工控系統(tǒng)的需求比較2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）IT系統(tǒng)工控系統(tǒng)可用性允許短時間/周期性的間斷或維護要求24h/7d/365d模式的可用性時間敏感性允許一定時延要求實時響應(yīng)系統(tǒng)生命周期3-5年5-20年信息安全意識及準備較好沒有基礎(chǔ)保密性較高要求較低設(shè)備類型較少較多無線技術(shù)應(yīng)用很多剛剛起步VDI/VDEBSIGrundschutzNISTRoadmaptoSecureControlSystemsintheEnergySectorIEC62351IECTC57WG15SAC

TC124DKECommittees

AssociationsStandardsGuidelinesDHSChemSec

RoadmapNERC-CIPISO/IEC

15408WIBM-2784ISO/IEC2700xIEC62443/

ISA-99IACSIS信息安全標準2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）IEC62443系列標準框架2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）102023/5/18102023/5/1810IEC/TC65組織結(jié)構(gòu)圖2023/5/18全國工業(yè)過程測量和控制標準化技術(shù)委員會（SAC/TC124）11SystemsDevicesISASecure測試驗證12嵌入式設(shè)備安全保證(EDSA)軟件開發(fā)安全評估(SDSA)功能性安全評估(FSA)通信健壯性測試(CRT)檢測和避免系統(tǒng)設(shè)計錯誤審核供應(yīng)商的軟件開發(fā)和維護程序確保組織機構(gòu)遵照穩(wěn)定和安全的軟件開發(fā)程序檢測執(zhí)行錯誤/疏忽按照目標安全等級的要求對組件的安全功能進行審核確保產(chǎn)品能夠達到安全功能要求鑒別網(wǎng)絡(luò)和設(shè)備缺陷根據(jù)通信健壯性要求測試組件的通信健壯性基于4層OSI參考模型進行缺陷測試ISASecure嵌入式設(shè)備測試2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）NIST:SP800-82《工業(yè)控制系統(tǒng)信息安全指南》WIBM2784《過程控制領(lǐng)域中對供應(yīng)商的信息安全要求》

······其他國家及技術(shù)組織標準其他國家及技術(shù)組織標準2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）

IEC/TC65發(fā)布65/569/DC，建立一個協(xié)調(diào)Safety和Security的特別工作組（AD-HOCGroup），以提出建議和新項目提案工作組的研究內(nèi)容包括：1、現(xiàn)有相關(guān)標準；2、

Safety和Security的區(qū)別；3、Safety和Security的共性；4、協(xié)調(diào)Safety和Security的限制；5、可能的協(xié)調(diào)方法；6、緊急情況下的權(quán)衡與取舍；7、建議和新項目提案的范圍。現(xiàn)向各國征集意見并召集專家（截至9月5日）第一次會議定于2019.10.28-29德國法蘭克福2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）協(xié)調(diào)工作組2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）IECEE認證IECEE-工業(yè)自動化認證INDAT?工業(yè)設(shè)備電氣安全（物理安全）IEC61010-2-201:控制系統(tǒng)：例如,PLC,DCS,PACIEC61010-2-20a:獨立電源IEC61010-2-20b:包含運動的執(zhí)行器：例如，旋轉(zhuǎn)，線性閥門IEC61010-2-20c:不包含運動的執(zhí)行器IEC61010-2-20d:人機接口?功能安全IEC61508:通用電氣控制系統(tǒng)IEC62061:機械電氣控制系統(tǒng)IEC61511:過程電氣控制系統(tǒng)IEC61131-6:功能安全PLC

?工業(yè)信息安全ISA積極推進工控系統(tǒng)信息安全我國的標準工作組2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所、中國電子技術(shù)標準化研究所、浙江大學(xué)、北京和利時系統(tǒng)工程有限公司、中國核電工程有限公司、中國電力科學(xué)研究院、清華大學(xué)、西南大學(xué)、重慶郵電大學(xué)、華中科技大學(xué)、上海自動化儀表股份有限公司、東土科技股份有限公司、西門子（中國）有限公司、施耐得電氣（中國）有限公司、羅克韋爾自動化（中國）有限公司、中國儀器儀表學(xué)會、北京海泰方圓科技有限公司、華北電力設(shè)計院工程有限公司、北京國電智深控制技術(shù)有限公司、中國科學(xué)院沈陽自動化研究所、橫河電機（中國）有限公司北京研發(fā)中心、青島多芬諾信息安全技術(shù)有限公司、北京力控華康科技有限公司、華為數(shù)字技術(shù)（都）有限公司、歐姆龍上海有限公司

R&D中心、北京四方繼保自動化股份有限公司、中國電子產(chǎn)品可靠性與環(huán)境試驗研究所信息安全研究中心、啟明星辰、電子科技集團三十所

工控信息安全標準起草工作組成員單位2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）工作組成員2023/5/18已發(fā)布國家標準（2項）：GB/T30976.1-2019工控系統(tǒng)信息安全第1部分：評估規(guī)范?GB/T30976.2-2019工控系統(tǒng)信息安全第2部分：驗收規(guī)范

國家標準計劃項目（6項）：20190829-T-604

工業(yè)通信網(wǎng)絡(luò)

網(wǎng)絡(luò)和系統(tǒng)安全

第2-1部分（等同IEC62443-2-1：2019）

（10月送審）

20190783-T-604集散控制系統(tǒng)（DCS）安全防護標準（10月送審）20190784-T-604集散控制系統(tǒng)（DCS）安全管理標準（10月送審）20190785-T-604集散控制系統(tǒng)（DCS）安全評估標準（10月送審）

20190786-T-604集散控制系統(tǒng)（DCS）

風(fēng)險與脆弱性檢測標準（10月送審）20190787-T-604可編程邏輯控制器（PLC）安全要求（10月送審）行業(yè)標準計劃項目（3項）JB/T11960-2019工業(yè)過程測量和控制安全網(wǎng)絡(luò)和系統(tǒng)安全IEC/TR62443-3：2019JB/T11962-2019工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第1-1部分：術(shù)語、概念和模型IEC/TS62443-1-1：2009JB/T11962-2019工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第3-1部分：工業(yè)自動化和控制系統(tǒng)用安全技術(shù)IEC/TR62443-3-1：2009機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）我國標準研制進程

授權(quán)和認證技術(shù) 過濾/阻塞/訪問控制技術(shù)加密技術(shù)和數(shù)據(jù)有效性確認管理、審記、監(jiān)控和檢測工具信息安全的標準要素需求技術(shù)管理

信息安全管理體系 ISO2700x對象系統(tǒng)和設(shè)備人員和機構(gòu)

DCS、SCADA、FCS等IPC、PLC、交換設(shè)備、智能儀表等

資質(zhì)、培訓(xùn)等

評審、認可、制度等2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）管理等級

——基于ISO27002的管理要求；

——基于WIB；

——三級劃分；系統(tǒng)能力等級

——基于IEC62443-3-3技術(shù)要求；

——四級劃分；信息安全等級

——管理要求與技術(shù)要求加權(quán)；

——四級劃分。信息安全等級

2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）系統(tǒng)能力等級

信息安全等級管理等級CL1CL2CL3CL4ML1SL1SL1SL1SL1ML2SL1SL2SL2SL3ML3SL1SL2SL3SL4確定評估目標制定評估計劃選擇評估方法獲取必備信息高級風(fēng)險評估詳細風(fēng)險評估綜合評估結(jié)果改進措施建議識別工況環(huán)境措施風(fēng)險分析措施具體實施風(fēng)險處置方案整改實施計劃安全措施驗證系統(tǒng)完整性驗證IACS生命周期評估驗收IACS安全周期V模型安全態(tài)勢分析常規(guī)分析與報告定期審計與措施重新評估與驗收2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）IACS安全周期V模型2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）PLC系統(tǒng)信息安全要求

定義了從現(xiàn)場設(shè)備層到運營管理層的信息安全要求。主要描述風(fēng)險內(nèi)容、安全技術(shù)要求、安全管理要求、檢測與驗收等。包括系統(tǒng)生命周期內(nèi)的設(shè)計開發(fā)、安裝、運行維護、退出使用等各階段與系統(tǒng)相關(guān)的所有活動。PLC系統(tǒng)信息安全要求工業(yè)環(huán)境適應(yīng)性要求

——氣候環(huán)境、電磁兼容、電氣安全、機械適應(yīng)性、外殼防護要求等安全防護標準中定義了集散控制系統(tǒng)在運行和維護過程中應(yīng)具備的安全能力和防護技術(shù)要求風(fēng)險與脆弱性安全防護安全管理安全評估安全評估標準定義了集散控制系統(tǒng)在運行和維護過程中對系統(tǒng)技術(shù)防護能力和安全管理有效性的評估過程和方法。安全管理標準定義了集散控制系統(tǒng)在運行和維護過程中應(yīng)具備的安全管理要點和防護管理要求風(fēng)險與脆弱性檢測標準定義了集散控制系統(tǒng)在運行和維護過程中潛在系統(tǒng)脆弱性和安全風(fēng)險的檢測內(nèi)容和測試方法DCS系統(tǒng)信息安全要求2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）DCS系統(tǒng)信息安全要求2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）信息安全標準現(xiàn)狀通過11項國家/行業(yè)標準的制定，已經(jīng)初步建立了系統(tǒng)級的安全要求標準體系：頂層設(shè)計：建立了基于技術(shù)與管理方法的評估規(guī)范和驗收規(guī)范；

系統(tǒng)設(shè)計：建立了DCS、現(xiàn)場總線、PLC系統(tǒng)安全設(shè)計規(guī)范；

產(chǎn)品設(shè)計：即將建立基于嵌入式系統(tǒng)的產(chǎn)品安全規(guī)范。2023/5/18機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所（ITEI）技術(shù)標準體系工控信息安全標準化：