2020工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)體系

國內(nèi)外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)及政策法規(guī)提綱提綱工業(yè)控制系統(tǒng)概述工業(yè)控制系統(tǒng)概述國外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)我國工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)相關(guān)政策法規(guī)結(jié)論與展望ICS

工控系統(tǒng)概述工業(yè)控制系統(tǒng)(lCS)是對多種控制系統(tǒng)的總稱，典型、石油、天然氣、化工、交通運輸、制造業(yè)。形態(tài)包括監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)、分布式控制系統(tǒng)（DCS)，以及可編程邏輯控制器(PLC)之類的小型的控制系統(tǒng)裝置。lCS普遍應(yīng)用于電力、水處理、石油、天然氣、化工、交通運輸、制造業(yè)。SCADA系統(tǒng) DCS系統(tǒng) PLC傳輸內(nèi)容不同工控系統(tǒng)傳輸?shù)氖枪I(yè)設(shè)備的“四遙信息”，安全問題大多集中于物理層面，安全防護(hù)要延伸到物理層并防止復(fù)雜的控制關(guān)系所產(chǎn)生的骨牌效應(yīng)。傳輸內(nèi)容不同工控系統(tǒng)傳輸?shù)氖枪I(yè)設(shè)備的“四遙信息”，安全問題大多集中于物理層面，安全防護(hù)要延伸到物理層并防止復(fù)雜的控制關(guān)系所產(chǎn)生的骨牌效應(yīng)。工控系統(tǒng)概述工業(yè)控制系統(tǒng)與lT系統(tǒng)的差別：網(wǎng)絡(luò)邊緣不同網(wǎng)絡(luò)邊緣不同工控系統(tǒng)在地域上分布廣闊，其邊緣部分是智能程度不高的含傳感和控制功能的遠(yuǎn)動裝置，而不是lT系統(tǒng)邊緣的通用計算機(jī)，兩者之間在物理安全需求上差異很大。體系結(jié)構(gòu)不同體系結(jié)構(gòu)不同工控系統(tǒng)結(jié)構(gòu)縱向高度集成，主站節(jié)點和終端節(jié)點之間是主從關(guān)系，lT系統(tǒng)則是扁平的對等關(guān)系，兩者之間在脆弱節(jié)點分布上差異很大。工控系統(tǒng)面臨的威脅

工控系統(tǒng)概述工控系統(tǒng)存在的漏洞敵對政府、恐怖主義組織偶然事件策略和程序漏洞偶然事件惡意入侵平臺漏洞惡意入侵平臺漏洞自然災(zāi)害網(wǎng)絡(luò)漏洞內(nèi)部人員的惡意或無意行為自然災(zāi)害網(wǎng)絡(luò)漏洞工控系統(tǒng)相關(guān)安全事件CyberStormAurora測試

美國國土安全部分別在2006年2月6日、2008年3月10日和2010年9月27日共舉辦了三次網(wǎng)絡(luò)風(fēng)暴演習(xí)。三次演習(xí)都涉及多個政府部門、私人企業(yè)和廠商。演習(xí)目的在于檢驗包括電力、水源和銀行在內(nèi)的美國重要部門遭大規(guī)模網(wǎng)絡(luò)攻擊時的協(xié)同應(yīng)對能力。2007年32008年52001發(fā)生46天然氣爆炸

1982年6工控系統(tǒng)相關(guān)安全事件Duqu蠕蟲

2011年9月，一種與Stuxnet具有相似結(jié)構(gòu)的惡意代碼Duqu出現(xiàn)在歐洲多個國家。Duqu的主要作用是偵查和搜集資料。雖然Duqu不像Stuxnet一樣直接攻擊現(xiàn)場設(shè)備，但是可以隨時根據(jù)攻擊對象安裝不同的攻擊工具包，Duqu可能會成為寄居在基礎(chǔ)設(shè)施內(nèi)的定時炸彈。LuigiAuriemma2011年3月21Siemens、lconics、7-Technologies、RealFlexTechnologies343月23BroadWinLuigiAuriemmaDillonBeresfordDillonBeresford2011年5月開始，美國NSS件和國外的Siemens在內(nèi)。S7McCorkle&Rios

2011年10DerbyConTeryyMcCorkle和BillyRios66575HMl中。提綱提綱工業(yè)控制系統(tǒng)概述工業(yè)控制系統(tǒng)概述國外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)我國工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)相關(guān)政策法規(guī)結(jié)論與展望國外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)國際上，研究工控系統(tǒng)安全的標(biāo)準(zhǔn)化組織如下：國際電工委員會（lEC，lnternationalEle×troTe×hni×alCommi??ion）國際自動化協(xié)會（lGA，thelnternationalGo×ietyofAutomation）美國國家標(biāo)準(zhǔn)技術(shù)研究院（NlGT，Nationalln?tituteofGtandard?andTe×hnology）國外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)國外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)lEC62443標(biāo)準(zhǔn)lEC/TC65（工業(yè)過程測量、控制和自動化）下的網(wǎng)絡(luò)和系統(tǒng)信息安全工作組WG10與國際自動化協(xié)會lGA99委員會的專家成立聯(lián)合工作組，共同制定lEC62443《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標(biāo)準(zhǔn)。目標(biāo)是定義一個通用的、最小要求集以達(dá)到各級GALG（Ge×urityA??uran×e?Level?，GAL）的安全保障需求。lEC62443一共分為了四個部分，第一部分是通用標(biāo)準(zhǔn)，第二部分是策略和規(guī)程，第三部分提出系統(tǒng)級的措施，第四部分提出組件級的措施。國外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)GP800–82《工業(yè)控制系統(tǒng)(lCG)安全指南》GP800–82于2010年10月發(fā)布，是NlGT依據(jù)2002年《聯(lián)邦信息安全管HGPD–7等編制而成。它遵循《OMB手冊》的要求“保障機(jī)構(gòu)信息系統(tǒng)”，為聯(lián)邦機(jī)構(gòu)使用，同時允許非政府組織資源使用。該指南概述了lCG和典型的系統(tǒng)拓?fù)浣Y(jié)構(gòu)，指出了對于這些系統(tǒng)的典型威脅和脆弱點所在，為消減相關(guān)風(fēng)險提供了建議性的安全對策。同時，根據(jù)lCG的潛在風(fēng)險和影響水平的不同，指出了保障的不同方法和技術(shù)手段。該指南適用于電力、水利、石化、交通、化工、制藥等行業(yè)的lCG系統(tǒng)。我國工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)我國工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)組織名稱國際對口掛靠單位1全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）lGO/lECJTC1GC27中國電子技術(shù)標(biāo)準(zhǔn)化研究院2全國電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會（TC82）lECTC57（電力系統(tǒng)管理與相關(guān)信息交換委員會）國網(wǎng)電力科學(xué)研究院3全國工業(yè)過程測量和控制標(biāo)準(zhǔn)化技術(shù)委員會（TC124）lEC/TC65（工業(yè)過程測量、控制與自動化委員會）機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所4全國電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會（TC296 ）電監(jiān)會輸電監(jiān)管部全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）2002年4月國標(biāo)委發(fā)文正式成立，由國家標(biāo)準(zhǔn)委直接領(lǐng)導(dǎo)；國 際：ISO/IECJTC1/SC23；秘書處：中國電子技術(shù)標(biāo)準(zhǔn)化研究院；組 成：由30多個部門和單位的49名領(lǐng)導(dǎo)和專家組成共有工作組成員單位16G家，其中企業(yè)120家；標(biāo) 準(zhǔn)：已發(fā)布國標(biāo)102項，正在制定中的12G項聯(lián)系人：羅鋒盈1G901234283 luofy@全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）“自2004年1月起，各有關(guān)部門在申報信息安全國家標(biāo)準(zhǔn)計劃項目時，必須經(jīng)信息安全標(biāo)委會提出工作意見，協(xié)調(diào)一致后由信息安全標(biāo)委會組織申起草單位要與信息安全標(biāo)委會積極合作，并由信息安全標(biāo)委會完成國家標(biāo)準(zhǔn)送審、報批工作。”（國標(biāo)委高新函[2004)1號文）WG1TC260組織結(jié)構(gòu)圖WG1（主任、副委主員任會（主任、副委主員任會、委員）秘書處

信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組WG7WG6WG5WG4WG3WG2密碼技術(shù)標(biāo)準(zhǔn)工作組鑒別與授權(quán)工作組信息安全評估工作組通信安全標(biāo)準(zhǔn)工作組WG7WG6WG5WG4WG3WG2信息安全管理工作組國標(biāo)制定情況標(biāo)準(zhǔn)成果工作重點國標(biāo)制定情況標(biāo)準(zhǔn)成果工作重點信息安全管理…16個領(lǐng)域的標(biāo)準(zhǔn)制定

提出227項國標(biāo)計劃發(fā)布102項國家標(biāo)準(zhǔn)在研125項我國工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）工控系統(tǒng)信息安全標(biāo)準(zhǔn)體系研究我國工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）在編標(biāo)準(zhǔn)：《信息安全技術(shù)GCADA系統(tǒng)安全控制指南》《信息安全技術(shù)安全可控信息系統(tǒng)（電力系統(tǒng)）安全指標(biāo)體系》計劃制定《信息安全技術(shù)工業(yè)控制系統(tǒng)安全管理基本要求》《信息安全技術(shù)工業(yè)控制系統(tǒng)安全檢查指南》《信息安全技術(shù)工業(yè)控制系統(tǒng)測控終端安全要求》《信息安全技術(shù)工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)要求和測評方法》《信息安全技術(shù)工業(yè)控制系統(tǒng)安全分級指南》……全國電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會TC82已發(fā)布標(biāo)準(zhǔn)《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第1部分：通信網(wǎng)絡(luò)和系統(tǒng)安全安全問題介紹》（GB/Z25320.1–2010）《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第3部分：通信網(wǎng)絡(luò)和系統(tǒng)安全包括TCP/lP的協(xié)議集》（GB/Z25320.3–2010）《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第4部分：包含MMG的協(xié)議集》（GB/Z25320.4–2010）《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第6部分：lEC61850的安全》（GB/Z25320.6–2011）全國工業(yè)過程測量和控制標(biāo)準(zhǔn)化技術(shù)委員會全國工業(yè)過程測量和控制標(biāo)準(zhǔn)化技術(shù)委員會TC124在編標(biāo)準(zhǔn)《工業(yè)控制計算機(jī)系統(tǒng)通用規(guī)范第2部分:工業(yè)控制計算機(jī)的安全要求》計劃制定《工業(yè)通信網(wǎng)絡(luò)–網(wǎng)絡(luò)和系統(tǒng)安全–第2–1部分：建立工業(yè)自動化和控制系統(tǒng)信息安全程序》，等同采用lEC62443–2–1:2010《工業(yè)控制系統(tǒng)信息安全第1部分：評估規(guī)范》《工業(yè)控制系統(tǒng)信息安全第2部分：驗收規(guī)范》全國電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會（全國電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會（TC296）在編標(biāo)準(zhǔn)：《電力二次系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)》（強制）《電力信息系統(tǒng)安全檢查規(guī)范》（強制）《電力行業(yè)信息安全水平評價指標(biāo)》（推薦）提綱提綱工業(yè)控制系統(tǒng)概述工業(yè)控制系統(tǒng)概述國外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)我國工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)相關(guān)政策法規(guī)結(jié)論與展望政策法規(guī)政策法規(guī)國家政府方面2012年6月28日國務(wù)院《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見（國發(fā)〔2012〕23號）》明確要求：保障工業(yè)控制系統(tǒng)安全。加強核設(shè)施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運輸、水利樞紐、城市設(shè)施等重要領(lǐng)域工業(yè)控制系統(tǒng)，定期開展安全檢查和風(fēng)險評估。重點對可能危及生命和公共財產(chǎn)安全的工業(yè)控制系統(tǒng)加強監(jiān)管。對重點領(lǐng)域使用的關(guān)鍵產(chǎn)品開展安全測評，實行安全風(fēng)險和漏洞通報制度。政策法規(guī)政策法規(guī)國家政府方面工業(yè)和信息化部2011年9月發(fā)布《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（[2011]451號），通知明確了工業(yè)控制系統(tǒng)信息安全管理的組織領(lǐng)導(dǎo)、技術(shù)保障、規(guī)章制度等方面的要求。并在工業(yè)控制系統(tǒng)的連接、組網(wǎng)、配置、設(shè)備選擇與升級、數(shù)據(jù)、應(yīng)急管理等六個方面提出了明確的具體要求。文中明確指出：“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會抓緊制定工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備信息安全規(guī)范和技術(shù)標(biāo)準(zhǔn)，明確設(shè)備安全技術(shù)要求?！闭叻ㄒ?guī)政策法規(guī)行業(yè)方面電力行業(yè)已陸續(xù)發(fā)布《電力二次系統(tǒng)安全防護(hù)規(guī)定》、《電力二次系統(tǒng)安全防護(hù)總體要求》等一系列文件。交通鐵路系統(tǒng)也發(fā)布了TB10117－98《鐵路電力牽引供電遠(yuǎn)動系統(tǒng)技術(shù)規(guī)范》，TB10064－2002《電力系統(tǒng)綜合設(shè)計》和《鐵路供電水電調(diào)度規(guī)則》、《關(guān)于強化鐵路牽引供電和電力遠(yuǎn)動系統(tǒng)若干要求》等文件。結(jié)論與展望結(jié)論與展望小結(jié)工業(yè)控制系統(tǒng)是國家重要基礎(chǔ)設(shè)施（如電力、交通、能源、通信、水利、金融等）的“大腦”和“中樞神經(jīng)”，是基礎(chǔ)的基礎(chǔ)、核心的核心。從總體上看，我國工控系統(tǒng)信息安全防護(hù)體系建設(shè)明顯滯后于工控系統(tǒng)建設(shè)，在防護(hù)意識、防護(hù)策略、防護(hù)機(jī)制、