GB/T 40218-2021工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全工業(yè)自動(dòng)化和控制系統(tǒng)信息安全技術(shù)

ICS25040

N10.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T40218—2021/IEC/TR62443-3-12009

:

工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全

工業(yè)自動(dòng)化和控制系統(tǒng)信息安全技術(shù)

Industrialcommunicationnetworks—Networkandsystemsecurity—

Securitytechnologiesforindustrialautomationandcontrolsystem

(IEC/TR62443-3-1:2009,Industrialcommunicationnetworks—

Networkandsystemsecurity—Part3-1:Securitytechnologiesfor

industrialautomationandcontrolsystem,IDT)

2021-05-21發(fā)布2021-12-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T40218—2021/IEC/TR62443-3-12009

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)使用翻譯法等同采用工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第

IEC/TR62443-3-1:2009《3-1

部分工業(yè)自動(dòng)化和控制系統(tǒng)信息安全技術(shù)

:》。

本標(biāo)準(zhǔn)做了下列編輯性修改

:

修改了標(biāo)準(zhǔn)名稱

———;

刪除了與我國(guó)情況不符的腳注

———。

本標(biāo)準(zhǔn)由中國(guó)機(jī)械工業(yè)聯(lián)合會(huì)提出

。

本標(biāo)準(zhǔn)由全國(guó)工業(yè)過程測(cè)量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC124)。

本標(biāo)準(zhǔn)起草單位機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所電力規(guī)劃總院有限公司中國(guó)核電工程

:、、

有限公司和利時(shí)科技集團(tuán)有限公司北京市自來水集團(tuán)有限責(zé)任公司浙江大學(xué)華中科技大學(xué)重慶

、、、、、

郵電大學(xué)工業(yè)和信息化部計(jì)算機(jī)與微電子發(fā)展研究中心中國(guó)軟件評(píng)測(cè)中心西門子中國(guó)有限公

、()、()

司施耐德電氣中國(guó)有限公司羅克韋爾自動(dòng)化中國(guó)有限公司中國(guó)科學(xué)院沈陽(yáng)自動(dòng)化研究所北京

、()、()、、

啟明星辰信息安全技術(shù)有限公司北京國(guó)電智深控制技術(shù)有限公司深圳萬訊自控股份有限公司中國(guó)

、、、

電子科技集團(tuán)公司第三十研究所工業(yè)和信息化部電子第五研究所西南大學(xué)中國(guó)東方電氣集團(tuán)有限

、、、

公司北京四方繼保自動(dòng)化股份有限公司國(guó)家工業(yè)信息安全發(fā)展研究中心北京市軌道交通設(shè)計(jì)研究

、、、

院有限公司上海自動(dòng)化儀表有限公司重慶信安網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)有限公司公安部第三研究所中國(guó)

、、、、

網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心北京網(wǎng)御星云信息技術(shù)有限公司

、。

本標(biāo)準(zhǔn)主要起草人王玉敏梅恪張晉賓王彥君華镕孫靜張晨艷馮冬芹周純杰李銳

:、、、、、、、、、、

陳小淙朱鏡靈魏旻王浩王弢劉杰成繼勛趙軍凱蘭昆尚文利張為群劉楓劉志祥袁曉舒

、、、、、、、、、、、、、、

尚羽佳郭永振杜振華張哲宇肖衍陸妹丁長(zhǎng)富肖煦媛高鏡媚閆韜袁靜任衛(wèi)紅甘杰夫

、、、、、、、、、、、、、

宋文剛

。

Ⅰ

GB/T40218—2021/IEC/TR62443-3-12009

:

引言

保護(hù)工業(yè)自動(dòng)化和控制系統(tǒng)的計(jì)算機(jī)環(huán)境免受惡意代碼入侵的需求在過去十年里越來越

(IACS)

受到關(guān)注環(huán)境中越來越多地使用開放的系統(tǒng)平臺(tái)和協(xié)議隨著對(duì)外聯(lián)合投資活動(dòng)的提高外

。IACS、,、

部合作伙伴和外部資源的聯(lián)合都會(huì)帶來更多的威脅和更高級(jí)的計(jì)算機(jī)攻擊隨著這些威脅和脆弱性

,。

的增加工業(yè)通信網(wǎng)絡(luò)上遭受計(jì)算機(jī)攻擊的風(fēng)險(xiǎn)也會(huì)相應(yīng)地提高因此對(duì)計(jì)算機(jī)和基于網(wǎng)絡(luò)的信息共享

,,

和分析中心也需要加以保護(hù)此外智能設(shè)備和嵌入式系統(tǒng)的發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備和軟件互連的增

。,,、

加增強(qiáng)的外部連接以及網(wǎng)絡(luò)入侵事故的快速增長(zhǎng)更多的智能攻擊者和惡意的極易訪問的軟件所有

,,,

這些都增加了風(fēng)險(xiǎn)

。

很多的電子安全技術(shù)和計(jì)算機(jī)入侵防范措施可能都適用于環(huán)境本標(biāo)準(zhǔn)列舉了幾類計(jì)算機(jī)

IACS。

信息安全技術(shù)和防范措施并針對(duì)每一類具體討論其所處理的脆弱性部署的建議及其已知的優(yōu)點(diǎn)和弱

,、

點(diǎn)此外也提供了使用各類安全技術(shù)的指南和針對(duì)以上所提及風(fēng)險(xiǎn)所要采取的防范技術(shù)

。,。

本標(biāo)準(zhǔn)未對(duì)上述安全技術(shù)和防范措施進(jìn)行比較僅提供了使用這些技術(shù)和方法的建議和指南以及

,,

在制定與環(huán)境相關(guān)的現(xiàn)場(chǎng)或企業(yè)級(jí)信息安全策略程序和規(guī)程中所需考慮的信息

IACS、。

工作組將周期性更新技術(shù)要求以反映新的信息計(jì)算機(jī)安全技術(shù)應(yīng)對(duì)措施和計(jì)算機(jī)風(fēng)險(xiǎn)降低方

、、

法同時(shí)告誡讀者在使用該標(biāo)準(zhǔn)中的推薦指南時(shí)不確保其工業(yè)自動(dòng)化或控制系統(tǒng)環(huán)境達(dá)到最佳的計(jì)

。,

算機(jī)安全狀態(tài)但是本標(biāo)準(zhǔn)有助于識(shí)別和處理脆弱性減少非預(yù)期的網(wǎng)絡(luò)入侵這些網(wǎng)絡(luò)入侵可能會(huì)

。,,。

竊取機(jī)密信息甚至造成人員和環(huán)境的傷害或?qū)е鹿I(yè)網(wǎng)絡(luò)控制系統(tǒng)及其監(jiān)視和管理的工業(yè)和基礎(chǔ)

,,、

設(shè)施關(guān)鍵資產(chǎn)遭受破壞或失效

。

本標(biāo)準(zhǔn)提供了對(duì)當(dāng)前許多類型的電子計(jì)算機(jī)安全技術(shù)緩解措施和工具的評(píng)價(jià)和評(píng)估這些用于保

、,

護(hù)環(huán)境以防不利的計(jì)算機(jī)入侵和攻擊本標(biāo)準(zhǔn)中介紹了各類技術(shù)方法和工具并提供了對(duì)這些

IACS。、,

內(nèi)容的開發(fā)實(shí)現(xiàn)運(yùn)行維護(hù)工程實(shí)施管理和其他服務(wù)的討論本標(biāo)準(zhǔn)也提供了適用于生產(chǎn)商供貨

、、、、/。、

商和終端用戶的信息安全實(shí)踐者設(shè)施和工廠的指南以便在技術(shù)選擇上和應(yīng)對(duì)措施上用于保護(hù)自動(dòng)化

、,

的及其相關(guān)的工業(yè)網(wǎng)絡(luò)免受電子計(jì)算機(jī)攻擊

IACS()()。

本標(biāo)準(zhǔn)中給出的指南并不能確保已經(jīng)達(dá)到最佳的計(jì)算機(jī)信息安全但是這些指南有助于

IACS。,

識(shí)別和指出脆弱性并且能夠減少未預(yù)期入侵的風(fēng)險(xiǎn)以防保密信息的泄露或者造成控制系統(tǒng)和其自動(dòng)

,

控制的關(guān)鍵資產(chǎn)的損壞或失效更關(guān)注的是當(dāng)自動(dòng)化控制系統(tǒng)或其相關(guān)工業(yè)網(wǎng)絡(luò)發(fā)生計(jì)算機(jī)泄密時(shí)

。,,

這些指南的使用能夠幫助減少對(duì)任何人員或環(huán)境損害的風(fēng)險(xiǎn)

。

本標(biāo)準(zhǔn)中的網(wǎng)絡(luò)安全指南是通用一般性的視人員知識(shí)在工業(yè)自動(dòng)化系統(tǒng)中的應(yīng)用而定并且應(yīng)

/,/

根據(jù)適用的特定的工業(yè)自動(dòng)化系統(tǒng)人員知識(shí)正確適用于每一個(gè)控制系統(tǒng)和網(wǎng)絡(luò)本指南標(biāo)識(shí)了對(duì)于

、,。

提供網(wǎng)絡(luò)安全控制系統(tǒng)而言典型的重要的活動(dòng)行為但是上述活動(dòng)行為并不總是與系統(tǒng)功能的有效

,、。

運(yùn)行或維護(hù)相兼容指南包括了針對(duì)特定控制系統(tǒng)的適用的信息安全的建議和推薦然而選擇和部

。。,

署那些特定用于給定控制系統(tǒng)及其相關(guān)的工業(yè)網(wǎng)絡(luò)的信息安全活動(dòng)和實(shí)踐是系統(tǒng)擁有者的責(zé)任

。

隨著控制系統(tǒng)脆弱性經(jīng)驗(yàn)的獲得特定網(wǎng)絡(luò)信息安全實(shí)施的成熟以及新的基于控制的網(wǎng)絡(luò)信息安

,

全技術(shù)的使用本標(biāo)準(zhǔn)將逐漸修改并完善這樣在本標(biāo)準(zhǔn)的主體結(jié)構(gòu)保持相對(duì)穩(wěn)定的同時(shí)其應(yīng)用和

,。,,

解決方案也將逐步完善

。

Ⅱ

GB/T40218—2021/IEC/TR62443-3-12009

:

工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全

工業(yè)自動(dòng)化和控制系統(tǒng)信息安全技術(shù)

1范圍

本標(biāo)準(zhǔn)提供了對(duì)當(dāng)前各種網(wǎng)絡(luò)信息安全工具緩解對(duì)抗措施和技術(shù)的評(píng)估這些技術(shù)可有效地用

、。

在基于現(xiàn)代電子的中以調(diào)整和監(jiān)視數(shù)量眾多的工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施本標(biāo)準(zhǔn)描述了幾種類型

IACS,。

的以控制系統(tǒng)為中心的網(wǎng)絡(luò)信息安全技術(shù)這些種類中可用的產(chǎn)品類別在自動(dòng)化環(huán)境中使用這

、、IACS

些產(chǎn)品的利弊相對(duì)于預(yù)期的威脅和已知的網(wǎng)絡(luò)脆弱性更重要的是對(duì)于使用這些網(wǎng)絡(luò)信息安全技術(shù)

、,,

產(chǎn)品和或?qū)勾胧┑某醪浇ㄗh和指南

/。

本標(biāo)準(zhǔn)應(yīng)用的網(wǎng)絡(luò)安全概念是最大可能地涵蓋所有行業(yè)和關(guān)鍵基礎(chǔ)設(shè)施中的組件工廠設(shè)

IACS、、

施以及系統(tǒng)包括但不限于

。IACS:

硬件如歷史數(shù)據(jù)服務(wù)器和軟件系統(tǒng)如操作平臺(tái)配置應(yīng)用例如分布式控制系統(tǒng)

●()(、、),(DCS)、

可編程序控制器監(jiān)測(cè)控制和數(shù)據(jù)采集系統(tǒng)網(wǎng)絡(luò)化電子傳感系統(tǒng)以及監(jiān)視診斷和評(píng)

(PLC)、(SCADA)、、

估系統(tǒng)包含此硬件和軟件范圍的是重要的工業(yè)網(wǎng)絡(luò)及任何相連的或相關(guān)的關(guān)鍵信息技術(shù)設(shè)備

。(IT)

和對(duì)成功運(yùn)行整個(gè)控制系統(tǒng)的鏈路就這點(diǎn)而言此范圍也包括但不限于防火墻服務(wù)器路由器交

。,:、、、

換機(jī)網(wǎng)關(guān)現(xiàn)場(chǎng)總線系統(tǒng)入侵檢測(cè)系統(tǒng)智能電子終端設(shè)備遠(yuǎn)程終端單元以及有線和無線

、、、、/、(RTU),

遠(yuǎn)程調(diào)制解調(diào)器

。

用于連續(xù)的批處理的分散的或組合過程的相關(guān)內(nèi)部的人員的網(wǎng)絡(luò)或機(jī)器的接口用來提

●、、、、,

供控制數(shù)據(jù)記錄診斷功能安全監(jiān)視維護(hù)質(zhì)量保證法規(guī)符合性審計(jì)和其他類型的操作功能

、、、()、、、、、