中國(guó)工控信息安全技術(shù)標(biāo)準(zhǔn)體系

工控技術(shù)發(fā)展與信息安全勢(shì)態(tài)國(guó)際工控信息安全技術(shù)標(biāo)準(zhǔn)情況國(guó)家工控信息安全技術(shù)標(biāo)準(zhǔn)情況技術(shù)標(biāo)準(zhǔn)體系的構(gòu)建面臨的問題總結(jié)2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）2024/10/262024/10/26技術(shù)發(fā)展需求2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）以智能制造為主導(dǎo)的第四次工業(yè)革命正在興起技術(shù)發(fā)展需求工控系統(tǒng)的發(fā)展方向——全球互聯(lián)、嵌入式智能、自組織傳統(tǒng)系統(tǒng)封閉式系統(tǒng)演變到開放式的網(wǎng)絡(luò)系統(tǒng)開放的硬件體系開放的協(xié)議體系過程控制和企業(yè)信息系統(tǒng)的集成供給鏈集成企業(yè)間協(xié)同無線技術(shù)的廣泛應(yīng)用2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）2024/10/262024/10/26安全勢(shì)態(tài)2010年2011年2012年伊朗政府核電站員工感染Stuxnet病毒，嚴(yán)重威脅核反應(yīng)堆安全運(yùn)營(yíng)黑客入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng)，使美國(guó)伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞兩座美國(guó)電廠遭USB病毒攻擊，感染了每個(gè)工廠的工控系統(tǒng)，可被竊取數(shù)據(jù)微軟警告稱最新發(fā)現(xiàn)的“Duqu”病毒可從工業(yè)控制系統(tǒng)制造商收集情報(bào)數(shù)據(jù)發(fā)現(xiàn)攻擊多個(gè)中東國(guó)家的惡意程序Flame火焰病毒，它能收集各行業(yè)的敏感信息工控系統(tǒng)信息安全勢(shì)態(tài)：我國(guó)：2010年齊魯石化、2011年大慶石化煉油廠，某裝置控制系統(tǒng)分別感染Conficker蠕蟲病毒，都造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷

2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）企業(yè)分層模型以MES制造執(zhí)行系統(tǒng)層分界—向上為傳統(tǒng)IT領(lǐng)域—向下為工控領(lǐng)域傳統(tǒng)信息系統(tǒng)：保密性—完整性—可用性儀控系統(tǒng)：可用性—完整性—保密性IT系統(tǒng)與工控系統(tǒng)的需求比較2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）IT系統(tǒng)工控系統(tǒng)可用性允許短時(shí)間/周期性的間斷或維護(hù)要求24h/7d/365d模式的可用性時(shí)間敏感性允許一定時(shí)延要求實(shí)時(shí)響應(yīng)系統(tǒng)生命周期3-5年5-20年信息安全意識(shí)及準(zhǔn)備較好沒有基礎(chǔ)保密性較高要求較低設(shè)備類型較少較多無線技術(shù)應(yīng)用很多剛剛起步VDI/VDEBSIGrundschutzNISTRoadmaptoSecureControlSystemsintheEnergySectorIEC62351IECTC57WG15SAC

TC124DKECommittees

AssociationsStandardsGuidelinesDHSChemSec

RoadmapNERC-CIPISO/IEC

15408WIBM-2784ISO/IEC2700xIEC62443/

ISA-99IACSIS信息安全標(biāo)準(zhǔn)2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）IEC62443系列標(biāo)準(zhǔn)框架2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）92024/10/2692024/10/269IEC/TC65組織結(jié)構(gòu)圖2024/10/26全國(guó)工業(yè)過程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC124）10SystemsDevicesISASecure測(cè)試驗(yàn)證11嵌入式設(shè)備安全保證(EDSA)軟件開發(fā)安全評(píng)估(SDSA)功能性安全評(píng)估(FSA)通信健壯性測(cè)試(CRT)檢測(cè)和避免系統(tǒng)設(shè)計(jì)錯(cuò)誤審核供應(yīng)商的軟件開發(fā)和維護(hù)程序確保組織機(jī)構(gòu)遵照穩(wěn)定和安全的軟件開發(fā)程序檢測(cè)執(zhí)行錯(cuò)誤/疏忽按照目標(biāo)安全等級(jí)的要求對(duì)組件的安全功能進(jìn)行審核確保產(chǎn)品能夠達(dá)到安全功能要求鑒別網(wǎng)絡(luò)和設(shè)備缺陷根據(jù)通信健壯性要求測(cè)試組件的通信健壯性基于4層OSI參考模型進(jìn)行缺陷測(cè)試ISASecure嵌入式設(shè)備測(cè)試2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）NIST:SP800-82《工業(yè)控制系統(tǒng)信息安全指南》WIBM2784《過程控制領(lǐng)域中對(duì)供應(yīng)商的信息安全要求》

······其他國(guó)家及技術(shù)組織標(biāo)準(zhǔn)其他國(guó)家及技術(shù)組織標(biāo)準(zhǔn)2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）

IEC/TC65發(fā)布65/569/DC，建立一個(gè)協(xié)調(diào)Safety和Security的特別工作組（AD-HOCGroup），以提出建議和新項(xiàng)目提案工作組的研究?jī)?nèi)容包括：1、現(xiàn)有相關(guān)標(biāo)準(zhǔn)；2、

Safety和Security的區(qū)別；3、Safety和Security的共性；4、協(xié)調(diào)Safety和Security的限制；5、可能的協(xié)調(diào)方法；6、緊急情況下的權(quán)衡與取舍；7、建議和新項(xiàng)目提案的范圍?，F(xiàn)向各國(guó)征集意見并召集專家（截至9月5日）第一次會(huì)議定于2014.10.28-29德國(guó)法蘭克福2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）協(xié)調(diào)工作組2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）IECEE認(rèn)證IECEE-工業(yè)自動(dòng)化認(rèn)證INDAT?工業(yè)設(shè)備電氣安全（物理安全）IEC61010-2-201:控制系統(tǒng)：例如,PLC,DCS,PACIEC61010-2-20a:獨(dú)立電源IEC61010-2-20b:包含運(yùn)動(dòng)的執(zhí)行器：例如，旋轉(zhuǎn)，線性閥門IEC61010-2-20c:不包含運(yùn)動(dòng)的執(zhí)行器IEC61010-2-20d:人機(jī)接口?功能安全I(xiàn)EC61508:通用電氣控制系統(tǒng)IEC62061:機(jī)械電氣控制系統(tǒng)IEC61511:過程電氣控制系統(tǒng)IEC61131-6:功能安全PLC

?工業(yè)信息安全I(xiàn)SA積極推進(jìn)工控系統(tǒng)信息安全我國(guó)的標(biāo)準(zhǔn)工作組2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所、浙江大學(xué)、北京和利時(shí)系統(tǒng)工程有限公司、中國(guó)核電工程有限公司、中國(guó)電力科學(xué)研究院、清華大學(xué)、西南大學(xué)、重慶郵電大學(xué)、華中科技大學(xué)、上海自動(dòng)化儀表股份有限公司、東土科技股份有限公司、西門子（中國(guó)）有限公司、施耐得電氣（中國(guó)）有限公司、羅克韋爾自動(dòng)化（中國(guó)）有限公司、中國(guó)儀器儀表學(xué)會(huì)、北京海泰方圓科技有限公司、華北電力設(shè)計(jì)院工程有限公司、北京國(guó)電智深控制技術(shù)有限公司、中國(guó)科學(xué)院沈陽(yáng)自動(dòng)化研究所、橫河電機(jī)（中國(guó)）有限公司北京研發(fā)中心、青島多芬諾信息安全技術(shù)有限公司、北京力控華康科技有限公司、華為數(shù)字技術(shù)（都）有限公司、歐姆龍上海有限公司

R&D中心、北京四方繼保自動(dòng)化股份有限公司、中國(guó)電子產(chǎn)品可靠性與環(huán)境試驗(yàn)研究所信息安全研究中心、啟明星辰、電子科技集團(tuán)三十所

工控信息安全標(biāo)準(zhǔn)起草工作組成員單位2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）工作組成員2024/10/26已發(fā)布國(guó)家標(biāo)準(zhǔn)（2項(xiàng)）：GB/T30976.1-2014工控系統(tǒng)信息安全第1部分：評(píng)估規(guī)范?GB/T30976.2-2014工控系統(tǒng)信息安全第2部分：驗(yàn)收規(guī)范

國(guó)家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目（6項(xiàng)）：20120829-T-604

工業(yè)通信網(wǎng)絡(luò)

網(wǎng)絡(luò)和系統(tǒng)安全

第2-1部分（等同IEC62443-2-1：2010）

（10月送審）

20130783-T-604集散控制系統(tǒng)（DCS）安全防護(hù)標(biāo)準(zhǔn)（10月送審）20130784-T-604集散控制系統(tǒng)（DCS）安全管理標(biāo)準(zhǔn)（10月送審）20130785-T-604集散控制系統(tǒng)（DCS）安全評(píng)估標(biāo)準(zhǔn)（10月送審）

20130786-T-604集散控制系統(tǒng)（DCS）

風(fēng)險(xiǎn)與脆弱性檢測(cè)標(biāo)準(zhǔn)（10月送審）20130787-T-604可編程邏輯控制器（PLC）安全要求（10月送審）行業(yè)標(biāo)準(zhǔn)計(jì)劃項(xiàng)目（3項(xiàng)）JB/T11960-2014工業(yè)過程測(cè)量和控制安全網(wǎng)絡(luò)和系統(tǒng)安全I(xiàn)EC/TR62443-3：2008JB/T11962-2014工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第1-1部分：術(shù)語(yǔ)、概念和模型IEC/TS62443-1-1：2009JB/T11962-2014工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第3-1部分：工業(yè)自動(dòng)化和控制系統(tǒng)用安全技術(shù)IEC/TR62443-3-1：2009機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）我國(guó)標(biāo)準(zhǔn)研制進(jìn)程

授權(quán)和認(rèn)證技術(shù) 過濾/阻塞/訪問控制技術(shù)加密技術(shù)和數(shù)據(jù)有效性確認(rèn)管理、審記、監(jiān)控和檢測(cè)工具信息安全的標(biāo)準(zhǔn)要素需求技術(shù)管理

信息安全管理體系 ISO2700x對(duì)象系統(tǒng)和設(shè)備人員和機(jī)構(gòu)

DCS、SCADA、FCS等IPC、PLC、交換設(shè)備、智能儀表等

資質(zhì)、培訓(xùn)等

評(píng)審、認(rèn)可、制度等2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）管理等級(jí)

——基于ISO27002的管理要求；

——基于WIB；

——三級(jí)劃分；系統(tǒng)能力等級(jí)

——基于IEC62443-3-3技術(shù)要求；

——四級(jí)劃分；信息安全等級(jí)

——管理要求與技術(shù)要求加權(quán)；

——四級(jí)劃分。信息安全等級(jí)

2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）系統(tǒng)能力等級(jí)

信息安全等級(jí)管理等級(jí)CL1CL2CL3CL4ML1SL1SL1SL1SL1ML2SL1SL2SL2SL3ML3SL1SL2SL3SL4確定評(píng)估目標(biāo)制定評(píng)估計(jì)劃選擇評(píng)估方法獲取必備信息高級(jí)風(fēng)險(xiǎn)評(píng)估詳細(xì)風(fēng)險(xiǎn)評(píng)估綜合評(píng)估結(jié)果改進(jìn)措施建議識(shí)別工況環(huán)境措施風(fēng)險(xiǎn)分析措施具體實(shí)施風(fēng)險(xiǎn)處置方案整改實(shí)施計(jì)劃安全措施驗(yàn)證系統(tǒng)完整性驗(yàn)證IACS生命周期評(píng)估驗(yàn)收IACS安全周期V模型安全態(tài)勢(shì)分析常規(guī)分析與報(bào)告定期審計(jì)與措施重新評(píng)估與驗(yàn)收2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）IACS安全周期V模型2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）PLC系統(tǒng)信息安全要求

定義了從現(xiàn)場(chǎng)設(shè)備層到運(yùn)營(yíng)管理層的信息安全要求。主要描述風(fēng)險(xiǎn)內(nèi)容、安全技術(shù)要求、安全管理要求、檢測(cè)與驗(yàn)收等。包括系統(tǒng)生命周期內(nèi)的設(shè)計(jì)開發(fā)、安裝、運(yùn)行維護(hù)、退出使用等各階段與系統(tǒng)相關(guān)的所有活動(dòng)。PLC系統(tǒng)信息安全要求工業(yè)環(huán)境適應(yīng)性要求

——?dú)夂颦h(huán)境、電磁兼容、電氣安全、機(jī)械適應(yīng)性、外殼防護(hù)要求等安全防護(hù)標(biāo)準(zhǔn)中定義了集散控制系統(tǒng)在運(yùn)行和維護(hù)過程中應(yīng)具備的安全能力和防護(hù)技術(shù)要求風(fēng)險(xiǎn)與脆弱性安全防護(hù)安全管理安全評(píng)估安全評(píng)估標(biāo)準(zhǔn)定義了集散控制系統(tǒng)在運(yùn)行和維護(hù)過程中對(duì)系統(tǒng)技術(shù)防護(hù)能力和安全管理有效性的評(píng)估過程和方法。安全管理標(biāo)準(zhǔn)定義了集散控制系統(tǒng)在運(yùn)行和維護(hù)過程中應(yīng)具備的安全管理要點(diǎn)和防護(hù)管理要求風(fēng)險(xiǎn)與脆弱性檢測(cè)標(biāo)準(zhǔn)定義了集散控制系統(tǒng)在運(yùn)行和維護(hù)過程中潛在系統(tǒng)脆弱性和安全風(fēng)險(xiǎn)的檢測(cè)內(nèi)容和測(cè)試方法DCS系統(tǒng)信息安全要求2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）DCS系統(tǒng)信息安全要求2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）信息安全標(biāo)準(zhǔn)現(xiàn)狀通過11項(xiàng)國(guó)家/行業(yè)標(biāo)準(zhǔn)的制定，已經(jīng)初步建立了系統(tǒng)級(jí)的安全要求標(biāo)準(zhǔn)體系：頂層設(shè)計(jì)：建立了基于技術(shù)與管理方法的評(píng)估規(guī)范和驗(yàn)收規(guī)范；

系統(tǒng)設(shè)計(jì)：建立了DCS、現(xiàn)場(chǎng)總線、PLC系統(tǒng)安全設(shè)計(jì)規(guī)范；

產(chǎn)品設(shè)計(jì)：即將建立基于嵌入式系統(tǒng)的產(chǎn)品安全規(guī)范。2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）技術(shù)標(biāo)準(zhǔn)體系工控信息安全標(biāo)準(zhǔn)化：

層域劃分：將工控系統(tǒng)按功能劃分層次，按工藝劃分區(qū)域；

要求映射：將技術(shù)要求與管理要求映射到不同的層域；

定性定量：安全等級(jí)、量化風(fēng)險(xiǎn)評(píng)估結(jié)果等；技術(shù)標(biāo)準(zhǔn)體系2024/10/26機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI）標(biāo)準(zhǔn)體系：

領(lǐng)域：適應(yīng)工控系統(tǒng)所有應(yīng)用領(lǐng)域；

層次：現(xiàn)場(chǎng)設(shè)備層到MES層；

系統(tǒng)：產(chǎn)品全生命周期；技術(shù)層面的問題1、面向生產(chǎn)工藝的資產(chǎn)模型與安全決策；2、探測(cè)與偵別異常信息的手段；3、多維聯(lián)動(dòng)報(bào)警與故障恢復(fù)技術(shù)；4、工業(yè)級(jí)邊界防護(hù)設(shè)備；5、工控軟件的健壯性設(shè)計(jì)；機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所