工業(yè)過(guò)程測(cè)量控制和自動(dòng)化 智能制造 第3部分：網(wǎng)絡(luò)安全面臨的挑戰(zhàn) 征求意見稿

1GB/ZXXXXX—XXXX/IEC/TR63283-3:2022工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化智能制造第3部分：網(wǎng)絡(luò)安全面臨本文件識(shí)別適用于智能制造設(shè)施工程與網(wǎng)絡(luò)安全相關(guān)的挑戰(zhàn)。注：網(wǎng)絡(luò)安全挑戰(zhàn)以及如何應(yīng)對(duì)這些挑戰(zhàn)可能會(huì)對(duì)智能制造2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。IEC62443(所有部分)工業(yè)自動(dòng)化和控制系統(tǒng)安全3術(shù)語(yǔ)和定義、縮略語(yǔ)3.1術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。注：以下定義與GB/TXXXXX.1完全一致。3.1.1訪問(wèn)access為了使用系統(tǒng)資源而與系統(tǒng)進(jìn)行通信，或別的互動(dòng)的能力和手段。注：訪問(wèn)可能會(huì)涉及物理訪問(wèn)（物理上允許在某個(gè)區(qū)域授權(quán)，擁有物理的加密裝置，PIN碼或訪問(wèn)卡或者允許訪問(wèn)的生物特性)或者邏輯訪問(wèn)(通過(guò)邏輯和物理方法的結(jié)合，獲得授權(quán)登錄到系統(tǒng)和應(yīng)用)。[來(lái)源：GB/T40211-2021,3.2.1]3.1.2訪問(wèn)控制accesscontrol保護(hù)系統(tǒng)資源防止未授權(quán)的訪問(wèn)﹔系統(tǒng)資源使用的過(guò)程是根據(jù)安全策略規(guī)定的，并且根據(jù)該策略只允許被授權(quán)的實(shí)體(用戶、程序、過(guò)程或者其他系統(tǒng))。[來(lái)源：GB/T40211-2021,3.2.2]3.1.3管理員administrator其職責(zé)包括控制對(duì)系統(tǒng)安全策略的訪問(wèn)與實(shí)施系統(tǒng)安全策略的用戶角色。2GB/ZXXXXX—XXXX/IEC/TR63283-3:20223.1.4資產(chǎn)asset由一個(gè)組織擁有或負(fù)有保管責(zé)任的實(shí)體，對(duì)該組織具有感知價(jià)值或?qū)嶋H價(jià)值。3.1.5攻擊attack對(duì)系統(tǒng)具有威脅的破壞，即企圖逃避系統(tǒng)安全服務(wù)并破壞系統(tǒng)安全策略的故障行為(尤其指方法或技術(shù))。注：以下為常見攻擊分類：——主動(dòng)攻擊是指企圖改變系統(tǒng)資源或影響其操作。——被動(dòng)攻擊是指企圖使用系統(tǒng)的信息但不會(huì)影響系統(tǒng)資源?！獌?nèi)部攻擊是指安全范圍內(nèi)的實(shí)體發(fā)起的攻擊（內(nèi)部實(shí)體即被授權(quán)訪問(wèn)系統(tǒng)資源的實(shí)體未按所授權(quán)的方式使用這些資源。——外部攻擊是指范圍外部由系統(tǒng)未授權(quán)或者不合法的使用者發(fā)起的(包括內(nèi)部人員從安全范圍外發(fā)起的攻擊)，潛在的外部攻擊者包括業(yè)余攻擊者、有組織的罪犯、國(guó)際恐怖分子和敵對(duì)政府。[來(lái)源：GB/T40211-2021,3.2.9]3.1.6屬性attribute一個(gè)實(shí)體的性質(zhì)或特征。[來(lái)源：GB/T34064-2017,3.1.3]3.1.7審核日志auditlog與典型事件日志相比，需要更高級(jí)別完整性保護(hù)的可追溯記錄。注：審核日志用于防止拒絕承擔(dān)操作責(zé)任的聲明。3.1.8鑒別操作authenticate驗(yàn)證用戶、用戶設(shè)備或者其他實(shí)體的身份，數(shù)據(jù)存儲(chǔ)、傳輸?shù)耐暾裕┞缎畔⑾到y(tǒng)內(nèi)未經(jīng)授權(quán)的修改；建立傳輸?shù)挠行?。[來(lái)源：GB/T40211-2021,3.2.12]3.1.9鑒別authentication旨在建立傳輸、信息或發(fā)起方有效性的安全方法，核實(shí)接收特定信息類別的個(gè)人授權(quán)的方法的有效[來(lái)源：GB/T40211-2021,3.2.13]3GB/ZXXXXX—XXXX/IEC/TR63283-3:20223.1.10授權(quán)authorization授予系統(tǒng)實(shí)體訪問(wèn)系統(tǒng)資源的權(quán)利或權(quán)限。[來(lái)源：GB/T40211-2021,3.2.14]3.1.11可用性availability假設(shè)提供了其所需的外部資源，在給定的時(shí)刻或者給定的時(shí)間內(nèi)，在給定的條件下執(zhí)行必要功能時(shí)的能力。注1：性能來(lái)源于可靠性，可維護(hù)性和維護(hù)支持。注2：所需的外部資源，除了維護(hù)資源，不影響項(xiàng)目的可用性能力。[來(lái)源：GB/T40211-2021,3.2.16,有修改]3.1.12批量生產(chǎn)batchproduction成批生產(chǎn)產(chǎn)品或部件的生產(chǎn)過(guò)程，其中每一批次都由許多相同的產(chǎn)品或部件組成。[來(lái)源：DINEN14943：2006-03]3.1.13管道conduit保護(hù)安全的通信資產(chǎn)邏輯組。注：這和保護(hù)電纜免受物理?yè)p壞的物理管道類似。[來(lái)源：GB/T40211-2021,3.2.27]3.1.14保密性confidentiality保證信息不被泄露給未授權(quán)的個(gè)人、過(guò)程或者設(shè)備。[來(lái)源：GB/T40211-2021,3.2.28]3.1.15連續(xù)生產(chǎn)continuousproduction以穩(wěn)定的生產(chǎn)速率進(jìn)行的生產(chǎn)。[來(lái)源：GB/T2828.3-2008,3.1.1,有修改]3.1.16網(wǎng)絡(luò)安全cybersecurity4GB/ZXXXXX—XXXX/IEC/TR63283-3:2022用于防止關(guān)鍵系統(tǒng)或者信息類資產(chǎn)的非授權(quán)使用、拒絕服務(wù)、修改、泄露、財(cái)政損失和系統(tǒng)損害的行為。注：目的是降低風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)包括人身傷害、威脅公共健康、喪失公眾或者消費(fèi)者信任度、泄露敏感資產(chǎn)、不能保護(hù)商業(yè)資產(chǎn)，或者違背法規(guī)。這些概念適用于生產(chǎn)過(guò)程中的任何系統(tǒng)，包括單機(jī)的和網(wǎng)絡(luò)的設(shè)備。系統(tǒng)間的通信可以通過(guò)內(nèi)部報(bào)文或者通過(guò)任何操作員或機(jī)器接口，以便認(rèn)證、操作、控制，或和任意的控制系統(tǒng)交換數(shù)據(jù)。計(jì)算機(jī)安全包括標(biāo)識(shí)、認(rèn)證、問(wèn)責(zé)制、授權(quán)、可用性和隱私。[來(lái)源：GB/T40211-2021,3.2.36]3.1.17數(shù)據(jù)保密性dataconfidentiality信息對(duì)未授權(quán)的系統(tǒng)實(shí)體（未授權(quán)的個(gè)人、實(shí)體或者過(guò)程）不可用或者不能被披露的屬性。[來(lái)源：GB/T40211-2021,3.2.37]3.1.18數(shù)據(jù)完整性dataintegrity數(shù)據(jù)在未授權(quán)或者意外情況，不被修改，破壞，或者丟失的屬性。注：該術(shù)語(yǔ)描述的是數(shù)據(jù)值的持續(xù)性和保密性，不涉及數(shù)據(jù)值代表的信息或值的來(lái)源的可靠性。[來(lái)源：GB/T40211-2021,3.2.38]3.1.19拒絕服務(wù)denialofservice對(duì)授權(quán)訪問(wèn)系統(tǒng)資源的阻止或者中斷，或者系統(tǒng)操作和功能的延緩。注：工業(yè)自動(dòng)化和控制系統(tǒng)的環(huán)境中，拒絕服務(wù)是指過(guò)程功能的損失，而不僅僅是數(shù)據(jù)通信的損失。[來(lái)源：GB/T40211-2021,3.2.42]3.1.20設(shè)備device由其接口劃分的，能夠在在特定的背景下執(zhí)行一個(gè)或多個(gè)特殊功能的獨(dú)立的物理實(shí)體。[來(lái)源：GB/T21099.2-2024,3.1.18]3.1.21數(shù)字簽名digitalsignature數(shù)據(jù)密碼變換的結(jié)果，正確完成時(shí)，提供數(shù)據(jù)源認(rèn)證，數(shù)據(jù)完整性和簽名者非抵賴服務(wù)。[來(lái)源：GB/T40211-2021,3.2.43]3.1.22離散制造discretemanufacturing以非連續(xù)方式制造產(chǎn)品的制造方法，例如汽車、電器、電腦。5GB/ZXXXXX—XXXX/IEC/TR63283-3:2022[來(lái)源：DINEN14943：2006-03]3.1.23實(shí)體entity明確存在的物(物理的或非物理的)。[來(lái)源：ISO/IEC20924：2021,3.1.18]3.1.24功能要求functionalrequirement解決方案或解決方案的一部分應(yīng)執(zhí)行的行為規(guī)范。3.1.25主機(jī)host接入到通信子網(wǎng)或網(wǎng)間的計(jì)算機(jī)，并且該計(jì)算機(jī)可以使用網(wǎng)絡(luò)提供的服務(wù)與其他附屬系統(tǒng)進(jìn)行交換數(shù)據(jù)。[來(lái)源：GB/T40211-2021,3.2.56]3.1.26標(biāo)識(shí)符IdentifierID在給定身份環(huán)境中，用來(lái)明確區(qū)分一個(gè)實(shí)體與其他實(shí)體的信息。[來(lái)源：IEC60050-741：2020,741-01-21]3.1.27影響impact特定事件的評(píng)估后果。注：影響可以用傷害和/或死亡人數(shù)、環(huán)境損害程度和/或財(cái)產(chǎn)損害、物質(zhì)損失3.1.28事故incident不屬于系統(tǒng)或服務(wù)預(yù)期操作的事件，它導(dǎo)致或可導(dǎo)致控制系統(tǒng)所提供服務(wù)中斷或質(zhì)量降低的事件。3.1.29工業(yè)自動(dòng)化和控制系統(tǒng)industrialautomationandcontrolsystemsIACS影響或改變工業(yè)過(guò)程的功能安全、安全和可靠操作的人員、硬件和軟件的集合。6GB/ZXXXXX—XXXX/IEC/TR63283-3:2022注：系統(tǒng)包括，但不限于：-工業(yè)控制系統(tǒng)包括分布式控制系統(tǒng)(DCS)、可編程序邏輯控制器(PLC)、遠(yuǎn)程終端單元(RTU)、智能電子設(shè)備、監(jiān)督控制和數(shù)據(jù)采集(SCADA)、網(wǎng)絡(luò)電子傳感和控制、監(jiān)視和診斷系統(tǒng)。（在本文件中，不論物理上是分開的還是集成的，過(guò)程控制系統(tǒng)包括基本過(guò)程控制系統(tǒng)和安全儀表系統(tǒng)(SIS)功能）。–相關(guān)的信息系統(tǒng)，例如先進(jìn)控制或者多變量控制、在線優(yōu)化器、專用設(shè)備監(jiān)視器、圖形界面、過(guò)程歷史記錄、制造執(zhí)行系統(tǒng)和工廠信息管理系統(tǒng)。–相關(guān)的內(nèi)部、人員、網(wǎng)絡(luò)或機(jī)器接口，為連續(xù)的、批處理的、離散的和其他生產(chǎn)過(guò)程提供控制、安全和制造操作功能。[來(lái)源：GB/T40211-2021,3.2.57]3.1.30制造manufacturing涉及生產(chǎn)系統(tǒng)和生產(chǎn)產(chǎn)品的設(shè)計(jì)、生產(chǎn)和支持的全生命周期活動(dòng)和過(guò)程。3.1.31防抵賴nonrepudiation提供一種安全服務(wù)，以防止對(duì)通信行為的非法否認(rèn)。[來(lái)源：GB/T40211-2021,3.2.72]3.1.32特權(quán)privilege執(zhí)行特定功能的授權(quán)或一系列授權(quán)，尤其是在計(jì)算機(jī)操作系統(tǒng)環(huán)境中。示例：使用特權(quán)控制的功能包括：確認(rèn)報(bào)警、改變?cè)O(shè)定點(diǎn)、修改控制算法。[來(lái)源：GB/T40211-2021,3.2.78]3.1.33過(guò)程process在特定的時(shí)間軸內(nèi)，用一組資源執(zhí)行一系列活動(dòng)以實(shí)現(xiàn)目標(biāo)。[來(lái)源：GB/T34044.1-2019,2.8]3.1.34產(chǎn)品product勞動(dòng)、自然或者工業(yè)過(guò)程的結(jié)果。[來(lái)源：GB/T17564.1-2011,3.1.23]3.1.35公鑰證書publickeycertificate唯一標(biāo)識(shí)實(shí)體的數(shù)據(jù)集，包含實(shí)體的公鑰，并由受信任方進(jìn)行數(shù)字簽名，從而將公鑰與實(shí)體綁定。7GB/ZXXXXX—XXXX/IEC/TR63283-3:20223.1.36韌性resilienceIACS組織、過(guò)程實(shí)體或系統(tǒng)抵抗干擾影響的能力。3.1.37風(fēng)險(xiǎn)risk傷害發(fā)生的可能性和傷害嚴(yán)重程度的組合。3.1.38風(fēng)險(xiǎn)評(píng)估riskassessment系統(tǒng)地辨識(shí)重要系統(tǒng)資源的潛在脆弱性和威脅，基于發(fā)生的概率量化損失風(fēng)險(xiǎn)和后果，并(可選地)建議如何對(duì)各對(duì)抗措施分配資源以使總風(fēng)險(xiǎn)最小的過(guò)程。注1：資源類型包括物理資源、邏輯資源和人力資源。注2：風(fēng)險(xiǎn)評(píng)估常與脆弱性評(píng)估相結(jié)合，以辨識(shí)脆弱性并量化相關(guān)風(fēng)險(xiǎn)，周期地執(zhí)行這些內(nèi)容是為了反映組織機(jī)構(gòu)的風(fēng)險(xiǎn)裕度、脆弱性、規(guī)程、人員和技術(shù)上的變化。[來(lái)源：GB/T40211-2021,3.2.88]3.1.39安全securitya)保護(hù)系統(tǒng)所采取的措施；b)由建立和維護(hù)保護(hù)系統(tǒng)的措施而產(chǎn)生的系統(tǒng)狀態(tài)；c)能夠免于未授權(quán)訪問(wèn)和非授權(quán)或意外的變更、破壞或損失的系統(tǒng)資源的狀態(tài)；d)基于計(jì)算機(jī)系統(tǒng)的能力，能夠提供充分的把握使非授權(quán)人員和系統(tǒng)既無(wú)法修改軟件及其數(shù)據(jù)也無(wú)法訪問(wèn)系統(tǒng)功能，卻保證授權(quán)人員和系統(tǒng)不被阻止；e)防止對(duì)工業(yè)自動(dòng)化和控制系統(tǒng)的非法或有害的入侵、或者干擾其正確和計(jì)劃的操作。注：措施可以是與物理安全(控制物理訪問(wèn)計(jì)算機(jī)的資產(chǎn))或者邏輯安全(登錄給定系統(tǒng)和應(yīng)用的能力)相關(guān)的控制手段。[來(lái)源：GB/T40211-2021,3.2.99]3.1.40智能smart有一定自主行動(dòng)的能力。3.1.41系統(tǒng)system在確定的背景中作為一個(gè)整體并與其環(huán)境分離的相互關(guān)聯(lián)的元素的集合。注1：這些元素可以是實(shí)物和概念，也可以是其中結(jié)果(例如，組織形式、數(shù)學(xué)方法和編程語(yǔ)言)。注2：系統(tǒng)被認(rèn)為通過(guò)一個(gè)虛構(gòu)的表面與環(huán)境和其他外部系統(tǒng)分離，并且可以切斷它們與所考慮的8GB/ZXXXXX—XXXX/IEC/TR63283-3:2022系統(tǒng)之間的聯(lián)系。[來(lái)源：GB/T21099.2-2024,3.1.65]3.1.42系統(tǒng)之系統(tǒng)systemofsystems當(dāng)獨(dú)立系統(tǒng)集成到一個(gè)更大的系統(tǒng)時(shí)所形成的系統(tǒng)集或系統(tǒng)排列。3.1.43威脅threat當(dāng)有違反安全而引起傷害的環(huán)境、能力、行動(dòng)或事件時(shí)，出現(xiàn)安全違規(guī)的可能性。[來(lái)源：GB/T40211-2021,3.2.125]3.1.44用例usecase由系統(tǒng)執(zhí)行的一組動(dòng)作的規(guī)范，其會(huì)產(chǎn)生可觀測(cè)的結(jié)果，通常來(lái)說(shuō)這個(gè)結(jié)果對(duì)一個(gè)或多個(gè)參與方或系統(tǒng)的其他利益相關(guān)方是有價(jià)值的。[來(lái)源：ISO/IEC19505-2：2012,16.3.6]3.1.45區(qū)域zone基于風(fēng)險(xiǎn)或其他條件區(qū)分的邏輯或物理資產(chǎn)分組，如資產(chǎn)的關(guān)鍵性、操作功能、物理或邏輯位置、所需訪問(wèn)權(quán)限（例如：最低權(quán)限原則）或負(fù)責(zé)組織。注：在本文件中，術(shù)語(yǔ)“區(qū)域”的所有無(wú)限制使用均被假定為指安全區(qū)域。[來(lái)源：GB/T44861-2024,3.1.25,有修改]3.2縮略語(yǔ)下列縮略語(yǔ)適用于本文件。AC：標(biāo)識(shí)和鑒別控制(IdentificationandAuthentication，在GB/T40211中定義為安全功能要求）ACS：自動(dòng)化與控制系統(tǒng)（AutomationandControlSystem）CAD：計(jì)算機(jī)輔助設(shè)計(jì)（ComputerAidedDesign）CAPP：計(jì)算機(jī)輔助生產(chǎn)計(jì)劃（ComputerAidedProductionPlanning）DC：數(shù)據(jù)保密性(DataConfidentiality，在GB/T40211中定義為安全功能要求）FMEA：失效模式與影響分析（FailureModeandEffectsAnalysis）FR：基本要求（FoundationalRequirement）IACS：工業(yè)自動(dòng)化和控制系統(tǒng)（IndustrialAutomationandControlSystem）IIoT：工業(yè)物聯(lián)網(wǎng)（IndustrialInternet-of-Things）IDS/IPS：入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)（IntrusionDetectionSystem/IntrusionPreventionSystem）9GB/ZXXXXX—XXXX/IEC/TR63283-3:2022IP：知識(shí)產(chǎn)權(quán)（IntellectualProperty）ISMS：信息安全管理體系（InformationSecurityManagementSystem）KPI：關(guān)鍵績(jī)效指標(biāo)（KeyPerformanceIndicator）RA：資源可用性(ResourceAvailability，在GB/T40211中定義為安全功能要求)RDF：限制數(shù)據(jù)流(RestrictedDataFlow，在GB/T40211中定義為安全功能要求)SI：系統(tǒng)完整性(SystemIntegrity，在GB/T40211中定義為安全功能要求)SM：智能制造（SmartManufacturing）TRE：事件及時(shí)響應(yīng)(TimelyResponsetoEvents，在GB/T40211中定義為安全功能要求)UC：使用控制(UseControl，在GB/T40211中定義為安全功能要求)4智能制造的網(wǎng)絡(luò)安全挑戰(zhàn)智能制造在自動(dòng)化控制系統(tǒng)(ACS)網(wǎng)絡(luò)安全方面面臨著一些新的挑戰(zhàn)。與傳統(tǒng)制造系統(tǒng)相比，智能制造系統(tǒng)的以下特點(diǎn)對(duì)網(wǎng)絡(luò)安全產(chǎn)生了影響：l多個(gè)利益相關(guān)方：ACS不再受單一利益相關(guān)方的控制。與之相反，多個(gè)利益相關(guān)方(如產(chǎn)品所有者、生產(chǎn)設(shè)備所有者、生產(chǎn)過(guò)程所有者、數(shù)據(jù)分析服務(wù)提供商)需要互動(dòng)。所使用的安全機(jī)制需要能夠支持多個(gè)利益相關(guān)方,并平衡和保護(hù)他們潛在的對(duì)立的利益。l持續(xù)變化：智能制造系統(tǒng)會(huì)持續(xù)變化和重新配置，例如功能增強(qiáng)、生產(chǎn)設(shè)備的變化、所生產(chǎn)產(chǎn)品的變化、過(guò)程優(yōu)化。不同生命周期階段之間的界限變得模糊(尤其是產(chǎn)品設(shè)計(jì)、工程、運(yùn)營(yíng))。系統(tǒng)的安全性需要適應(yīng)這些變化，包括在變化轉(zhuǎn)換期間，并進(jìn)行相應(yīng)地調(diào)整。l數(shù)字?jǐn)?shù)據(jù)的密集使用(數(shù)字化)：智能制造系統(tǒng)會(huì)產(chǎn)生和處理大量的控制及其他數(shù)字?jǐn)?shù)據(jù)。產(chǎn)品和過(guò)程設(shè)計(jì)數(shù)據(jù)(例如，計(jì)算機(jī)輔助設(shè)計(jì)(CAD)、計(jì)算機(jī)輔助生產(chǎn)計(jì)劃(CAPP))、傳感器數(shù)據(jù)、工程數(shù)據(jù)、設(shè)備自描述數(shù)據(jù)、仿真模型數(shù)據(jù)，這些數(shù)據(jù)以前是被保存在不同的系統(tǒng)中，現(xiàn)在則是制造系統(tǒng)的固有部分。這增加了數(shù)據(jù)暴露，使其更容易受到攻擊。潛在的攻擊者要么從這些數(shù)據(jù)中獲取直接利益(例如：產(chǎn)品或流程/算法的知識(shí)產(chǎn)權(quán)(IP))，獲得競(jìng)爭(zhēng)優(yōu)勢(shì)(關(guān)鍵績(jī)效指標(biāo)(KPI)數(shù)據(jù))，要么使用捕獲的數(shù)據(jù)開發(fā)更復(fù)雜的攻擊(例如：通過(guò)使用仿真模型，這些模型本身需要有受限的訪問(wèn)權(quán)限)。l架構(gòu)：經(jīng)典自動(dòng)化金字塔架構(gòu)解體，轉(zhuǎn)變?yōu)橐蕾囉诿嫦蚍?wù)范式的結(jié)構(gòu)化自動(dòng)化網(wǎng)絡(luò)。新的架構(gòu)概念源于如IECPAS63088：2017(RAMI4.0)、ISO/IEC30141：2018,IoT-參考架構(gòu)、ISO/IEC30166：2020，IoT-工業(yè)物聯(lián)網(wǎng)。這就需要對(duì)相應(yīng)的網(wǎng)絡(luò)安全架構(gòu)進(jìn)行調(diào)整。l新的通信技術(shù)在制造業(yè)中的應(yīng)用：智能制造中采用如Wi-Fi和3GPP技術(shù)(LTE、5G)等無(wú)線網(wǎng)絡(luò)可增加靈活性(例如易于重新布置生產(chǎn)設(shè)備)。然而，無(wú)線網(wǎng)絡(luò)需要提供良好定義的性能。隨著新的通信基礎(chǔ)設(shè)施范式的出現(xiàn)，例如軟件定義網(wǎng)絡(luò)(SDN)和5G，使遠(yuǎn)程通信易于實(shí)現(xiàn)，且在某些情況下也使按GB/T20720(所有部分)或GB/T19892(所有部分)的跨IECPAS63088層級(jí)的通信易于實(shí)現(xiàn)。例如，現(xiàn)場(chǎng)設(shè)備傳感器(1層)可旁路傳統(tǒng)的金字塔層而被允許與企業(yè)/互聯(lián)世界(4層)直接通信。本文件主要基于對(duì)智能制造用例子集的評(píng)估。需要進(jìn)一步的工作，但不限于，例如將評(píng)估擴(kuò)展至更大的用例集。此外，這項(xiàng)工作也需要與正在快速發(fā)展的智能制造網(wǎng)絡(luò)安全領(lǐng)域進(jìn)行的其他工作保持一致。5系統(tǒng)工程GB/ZXXXXX—XXXX/IEC/TR63283-3:2022智能制造設(shè)施是復(fù)雜的集成的系統(tǒng)之系統(tǒng)。它們是通過(guò)部署ISO/IEC/IEEE15288：2015中規(guī)定的過(guò)程、活動(dòng)和任務(wù)來(lái)進(jìn)行工程化的。一些系統(tǒng)工程過(guò)程需要從網(wǎng)絡(luò)安全的角度去進(jìn)行針對(duì)性的考慮。當(dāng)這些過(guò)程活動(dòng)使用與網(wǎng)絡(luò)安全相關(guān)的輸入或產(chǎn)生與網(wǎng)絡(luò)安全相關(guān)的輸出時(shí)，就需要進(jìn)行相應(yīng)的考慮。下面的表1標(biāo)識(shí)出了相關(guān)的過(guò)程和活動(dòng)。就網(wǎng)絡(luò)安全而言，它提出了必須考慮的具體方面。1GB/ZXXXXX—XXXX/IEC/TR63283-3:2022表1ISO/IEC/IEEE15288系統(tǒng)工程過(guò)程技術(shù)管理過(guò)程項(xiàng)目策劃項(xiàng)目策劃過(guò)程的目的是制定并協(xié)調(diào)有效可行的計(jì)劃。該過(guò)程確定項(xiàng)目管理和技術(shù)活動(dòng)的范圍，識(shí)別過(guò)程輸出、任務(wù)和可交付物，建立任務(wù)執(zhí)行進(jìn)度，包括完成的標(biāo)準(zhǔn)，以及完成任務(wù)所需的資源。這是一個(gè)貫穿整個(gè)項(xiàng)目并對(duì)計(jì)劃進(jìn)行定期修改的持續(xù)的過(guò)程。確定了安全目標(biāo)和計(jì)劃；確定了安全方面的角色、職責(zé)、責(zé)任和權(quán)限;正式要求并承諾實(shí)現(xiàn)安全目標(biāo)所需的資源和服務(wù)。項(xiàng)目評(píng)估與控制項(xiàng)目評(píng)估和控制過(guò)程旨在監(jiān)視要求和關(guān)鍵質(zhì)量特性的完成程度，并將結(jié)果傳達(dá)給利益相關(guān)方和管理方。有安全性能措施或評(píng)估結(jié)評(píng)估了安全方面的角色、職責(zé)、責(zé)任和權(quán)限的充分性。評(píng)估了與安全有關(guān)資源的充分性；評(píng)審了技術(shù)進(jìn)度，包括安全目標(biāo)的實(shí)現(xiàn)情況；調(diào)查并分析了安全性能與計(jì)劃的偏差；將項(xiàng)目狀態(tài)告知受安全問(wèn)題影響的利益相關(guān)方；當(dāng)安全績(jī)效未達(dá)到目標(biāo)時(shí)，確定并指導(dǎo)糾正行動(dòng)；安全目標(biāo)得已實(shí)現(xiàn)。與系統(tǒng)工程管理計(jì)劃相關(guān)的安全策略。2GB/ZXXXXX—XXXX/IEC/TR63283-3:2022決策管理過(guò)程決策管理過(guò)程旨在根據(jù)決策標(biāo)準(zhǔn)(包括關(guān)鍵的質(zhì)量特性)來(lái)評(píng)估替代要求、架構(gòu)特性和設(shè)計(jì)特性。通過(guò)合適的選擇模型來(lái)對(duì)這些比較的結(jié)果進(jìn)行排序，然后確定識(shí)別出需要替代安全分在概念和開發(fā)階段，權(quán)衡安全約束和要求，以優(yōu)化利益相關(guān)方需求的風(fēng)險(xiǎn)管理作為一個(gè)整體而言，風(fēng)險(xiǎn)管理過(guò)程旨在識(shí)別、評(píng)價(jià)和處理系統(tǒng)風(fēng)險(xiǎn)，包括那些與滿足關(guān)鍵質(zhì)量特性相關(guān)的風(fēng)險(xiǎn)。識(shí)別導(dǎo)致風(fēng)險(xiǎn)的安全脆弱對(duì)安全脆弱性的風(fēng)險(xiǎn)處理可選方案進(jìn)行識(shí)別、優(yōu)先排序和選擇。已實(shí)施了適當(dāng)?shù)陌踩胧?。在整個(gè)系統(tǒng)生命周期中，相關(guān)的風(fēng)險(xiǎn)。配置管理配置管理過(guò)程的目的是在整個(gè)生命周期中管理、控制系統(tǒng)元素和配置。配置管理還管理產(chǎn)品與其相關(guān)配置定義之間的一致性。確定與安全相關(guān)的需要配置管理的項(xiàng)目。受配置管理的對(duì)安全相關(guān)項(xiàng)的變更是受控的。信息管理整體而言，信息管理過(guò)程進(jìn)行信息項(xiàng)的規(guī)范制定、開發(fā)和維護(hù)，用以記錄和溝通成果實(shí)現(xiàn)的程度。需注意的是，用于關(guān)鍵質(zhì)量特性目的的信息項(xiàng)有時(shí)在性質(zhì)上是專門的。這些信息項(xiàng)描述的來(lái)源包括產(chǎn)業(yè)協(xié)會(huì)、監(jiān)管機(jī)構(gòu)和特定標(biāo)準(zhǔn)。識(shí)別需管理的安全相關(guān)信確定安全相關(guān)信息如何表示。獲取、開發(fā)、轉(zhuǎn)換、存儲(chǔ)、確認(rèn)、呈現(xiàn)和處置安全相關(guān)信息。指定的利益相關(guān)方可獲得安全相關(guān)信息。記錄整個(gè)系統(tǒng)生命周期的所有安全輸出。3GB/ZXXXXX—XXXX/IEC/TR63283-3:2022測(cè)量測(cè)量過(guò)程的目的是收集、分析、報(bào)告客觀數(shù)據(jù)和信息，用以支持有效的管理和證明產(chǎn)品、服務(wù)和過(guò)程的質(zhì)量?；诎踩嚓P(guān)信息的需求，識(shí)別或開發(fā)一套適當(dāng)?shù)陌踩笜?biāo);收集、驗(yàn)證和存儲(chǔ)所需的安全數(shù)據(jù)；分析安全數(shù)據(jù)并解釋結(jié)安全相關(guān)信息項(xiàng)提供支持決策的客觀信息。質(zhì)量保證質(zhì)量保證過(guò)程的目的是幫助確保組織的質(zhì)量管理過(guò)程有效地應(yīng)用于項(xiàng)質(zhì)量保證聚焦于提供滿足質(zhì)量要求的信心。對(duì)項(xiàng)目周期過(guò)程和輸出進(jìn)行前瞻性分析，以確保所生產(chǎn)的產(chǎn)品達(dá)到預(yù)期的質(zhì)量，組織和項(xiàng)目的方針及程序得到貫徹執(zhí)行。按照質(zhì)量管理方針、程序和要求，對(duì)項(xiàng)目的安全相關(guān)產(chǎn)品、服務(wù)和過(guò)程進(jìn)行評(píng)估；向有關(guān)的利益相關(guān)方提供安全評(píng)估結(jié)果；安全事件得到解決。1GB/ZXXXXX—XXXX/IEC/TR63283-3:2022過(guò)程ISO/IEC/IEEE15288：2015工程安全方面的成果安全活動(dòng)的考慮技術(shù)過(guò)程業(yè)務(wù)和使命分析業(yè)務(wù)和使命分析過(guò)程確定問(wèn)題空間的定義和解決方案空間的特性，包括相關(guān)的貿(mào)易空間因素和初步生命周期概念。也包括揭示對(duì)背景和諸如關(guān)鍵質(zhì)量特性等任何關(guān)鍵參數(shù)（例如：安全威脅、安全危害、人機(jī)界面、運(yùn)營(yíng)特性和系統(tǒng)保證背景）的理解。確定問(wèn)題或機(jī)會(huì)空間的安全方面；描述安全解決方案空間的特確定生命周期階段的初步運(yùn)營(yíng)安全概念及其他概念；識(shí)別并分析備選安全解決方案類；選擇更合適的備選安全解決方案類；建立安全相關(guān)業(yè)務(wù)或使命問(wèn)題、機(jī)會(huì)、更合適的備選安全解決方案類的可追溯性。抓住業(yè)務(wù)和運(yùn)營(yíng)背景，識(shí)別使命、能力、運(yùn)營(yíng)場(chǎng)景。確定與運(yùn)營(yíng)場(chǎng)景相關(guān)的初步利益相關(guān)方領(lǐng)域目標(biāo)(業(yè)務(wù)、安全、形象等)，進(jìn)行初步網(wǎng)絡(luò)安全脆弱性分析。2GB/ZXXXXX—XXXX/IEC/TR63283-3:2022利益相關(guān)方的需求和要求確定利益相關(guān)方需求和要求確定過(guò)程旨在選擇和確定特性（包括關(guān)鍵質(zhì)量特性）及相關(guān)信息項(xiàng)?；顒?dòng)和文件在識(shí)別、優(yōu)先排序、定義和記錄關(guān)鍵質(zhì)量特性的要求等方面是有用的。識(shí)別與安全相關(guān)的系統(tǒng)的利益相關(guān)方；確定生命周期階段中所需的安全特性，能力及概念的使用背景，包括運(yùn)營(yíng)概念；識(shí)別系統(tǒng)的安全約束；確定利益相關(guān)方的安全需求；優(yōu)先考慮利益相關(guān)方的安全需求，并將其轉(zhuǎn)化為清晰定義的利益相關(guān)方要求；確定關(guān)鍵安全性能指標(biāo)；利益相關(guān)方一致同意其安全需求和期望在要求中得到了充分反映；利益相關(guān)方需求和要求區(qū)域所需的任何使之可行的系統(tǒng)或服務(wù)都可用；建立利益相關(guān)方對(duì)利益相關(guān)方的要求及其需求的可追溯性。初步分析；確定利益相關(guān)方領(lǐng)域的目標(biāo)和按領(lǐng)域的初步要求。為了在系統(tǒng)環(huán)境下正式制定安全策略，啟動(dòng)系統(tǒng)安全計(jì)劃(SSecP)。系統(tǒng)要求確定系統(tǒng)要求確定過(guò)程制定關(guān)鍵質(zhì)量特性的參數(shù)的規(guī)范，以及針對(duì)待開發(fā)的特定系統(tǒng)，如何選擇用于跟蹤這些要求實(shí)現(xiàn)情況的措施。確定系統(tǒng)解決方案的系統(tǒng)描述，包括系統(tǒng)接口、安全功能和邊界；確定安全相關(guān)系統(tǒng)的要求（功能、性能、過(guò)程、非功能和接口）和設(shè)計(jì)約束；確定關(guān)鍵安全性能指標(biāo)；分析系統(tǒng)安全要求；開發(fā)安全系統(tǒng)要求到利益相關(guān)方安全要求的可追溯性。針對(duì)不同運(yùn)營(yíng)場(chǎng)景下系統(tǒng)的不同不期望行為，通過(guò)可能性/嚴(yán)重性矩陣來(lái)準(zhǔn)確確定安全目標(biāo)。針對(duì)每個(gè)運(yùn)營(yíng)場(chǎng)景，也考慮到不期望的控制動(dòng)作，來(lái)進(jìn)行不期望行為的識(shí)別。確認(rèn)系統(tǒng)安全計(jì)劃。1GB/ZXXXXX—XXXX/IEC/TR63283-3:2022架構(gòu)確定架構(gòu)確定過(guò)程從架構(gòu)視角來(lái)識(shí)別利益相關(guān)方的關(guān)注點(diǎn)。這些關(guān)注點(diǎn)通常轉(zhuǎn)化為橫跨生命周期階段的與關(guān)鍵質(zhì)量特性相關(guān)的期望或約束，如應(yīng)用（例如可用性、安支持（例如可修復(fù)性、的演變（例如適應(yīng)性、可擴(kuò)展性、可生存性）、生產(chǎn)（例如可制造性、環(huán)境影響、可運(yùn)輸性）等。該過(guò)程進(jìn)一步解決了驅(qū)動(dòng)架構(gòu)決策的關(guān)鍵質(zhì)量特性要求，包括就關(guān)注點(diǎn)和相關(guān)特性來(lái)對(duì)架構(gòu)的評(píng)估。通過(guò)架構(gòu)來(lái)解決已識(shí)別的利益相關(guān)方安全關(guān)注點(diǎn)；開發(fā)安全架構(gòu)視角；為系統(tǒng)開發(fā)安全架構(gòu)模將對(duì)系統(tǒng)安全架構(gòu)決策有重大意義的概念、屬性、特性、行為、功能和約束分配到架構(gòu)實(shí)體中；定義安全相關(guān)系統(tǒng)的元素及其接口。評(píng)估安全架構(gòu)候選者；實(shí)現(xiàn)貫穿整個(gè)生命周期的過(guò)程用安全架構(gòu)基礎(chǔ)。實(shí)現(xiàn)安全架構(gòu)與安全要求和設(shè)計(jì)特性的一致性。開發(fā)安全相關(guān)架構(gòu)元素到利益相關(guān)方和系統(tǒng)安全要求的可追溯性。進(jìn)行初步安全對(duì)策分析確認(rèn)在工程化安全架構(gòu)中穿透式要求，不僅要考慮每個(gè)運(yùn)營(yíng)場(chǎng)景中名義對(duì)策所要求的內(nèi)容，而且還要考慮在對(duì)策未被應(yīng)用或應(yīng)用過(guò)早、過(guò)晚或未正確應(yīng)用情形下所要求的內(nèi)容（失效模設(shè)計(jì)確定設(shè)計(jì)確定過(guò)程旨在確定必要的設(shè)計(jì)特性，包括關(guān)鍵質(zhì)量特性，例如用于專業(yè)特性的設(shè)計(jì)準(zhǔn)則的安全性，根據(jù)這些準(zhǔn)則對(duì)備選設(shè)計(jì)進(jìn)行評(píng)估。確定每個(gè)安全相關(guān)系統(tǒng)元素的設(shè)計(jì)特性；將安全系統(tǒng)要求分配給系統(tǒng)元素；確定或完善構(gòu)成系統(tǒng)的安全相關(guān)系統(tǒng)元素之間的接口；評(píng)估安全相關(guān)系統(tǒng)元素的設(shè)計(jì)替代方案；建立安全相關(guān)元素的設(shè)計(jì)特性至系統(tǒng)架構(gòu)的架構(gòu)實(shí)體的可追溯性。從包括運(yùn)營(yíng)、功能和物理架構(gòu)在內(nèi)的視角，進(jìn)行系統(tǒng)和子系統(tǒng)級(jí)別的安全分析1GB/ZXXXXX—XXXX/IEC/TR63283-3:2022系統(tǒng)分析系統(tǒng)分析過(guò)程通過(guò)應(yīng)用數(shù)學(xué)分析、建模、仿真、實(shí)驗(yàn)和其他技術(shù)，為知曉貿(mào)易空間的關(guān)鍵質(zhì)量特性提供了所需的分析水平。分析結(jié)果被輸入至通過(guò)決策管理過(guò)程所做的權(quán)衡中，以支持其他技術(shù)過(guò)程。識(shí)別所需的系統(tǒng)安全分確認(rèn)系統(tǒng)安全分析的假設(shè)和結(jié)果；給決策提供系統(tǒng)安全分析的結(jié)果；建立系統(tǒng)安全分析結(jié)果的可追溯性；確保系統(tǒng)安全關(guān)鍵失效可能性符合利益相關(guān)方目標(biāo)的置信；通過(guò)危險(xiǎn)威脅和脆弱性跟蹤系統(tǒng)，完成系統(tǒng)和子系統(tǒng)的安全分析，確保一致性。實(shí)施實(shí)施過(guò)程記錄關(guān)鍵質(zhì)量要求已滿足的證據(jù)。識(shí)別影響系統(tǒng)安全要求、構(gòu)架或設(shè)計(jì)的實(shí)施約束。此外，對(duì)于復(fù)雜組件的開發(fā)（即不可能進(jìn)行100%的測(cè)試一旦已確定了詳盡的對(duì)策，可能會(huì)增加過(guò)程保證的定制級(jí)別。通過(guò)參考協(xié)議過(guò)程已商定的現(xiàn)有標(biāo)準(zhǔn)，可為復(fù)雜組件分配特定的完整性或保證級(jí)別。集成集成過(guò)程制定集成計(jì)劃，包括對(duì)關(guān)鍵質(zhì)量特性的考慮，以及確定和記錄這些特征實(shí)現(xiàn)的保證。識(shí)別影響系統(tǒng)安全要求、架構(gòu)或設(shè)計(jì)的集成約束，包括接口；確定組裝接口和系統(tǒng)功能的安全運(yùn)行的方法和檢查檢查組成系統(tǒng)的已實(shí)施的系統(tǒng)安全相關(guān)元素之間的接口：識(shí)別集成安全結(jié)果和異常情況；建立已集成的系統(tǒng)安全相關(guān)元素的可追溯性。通過(guò)危險(xiǎn)威脅和脆弱性跟蹤系統(tǒng)，完成系統(tǒng)和子系統(tǒng)的安全分析，確保一致性。2GB/ZXXXXX—XXXX/IEC/TR63283-3:2022驗(yàn)證驗(yàn)證過(guò)程旨在策劃和執(zhí)行驗(yàn)證實(shí)施策略，包括關(guān)鍵質(zhì)量特性。所選的驗(yàn)證策略會(huì)引入可能影響特性實(shí)現(xiàn)的設(shè)計(jì)約束。識(shí)別影響系統(tǒng)安全要求、安全架構(gòu)或設(shè)計(jì)的驗(yàn)證約束；驗(yàn)證系統(tǒng)或系統(tǒng)安全相關(guān)元素；提供已實(shí)現(xiàn)系統(tǒng)符合安全要求、架構(gòu)和設(shè)計(jì)的客觀證據(jù)；識(shí)別安全方面的驗(yàn)證結(jié)果和異常情況。通過(guò)危險(xiǎn)威脅和脆弱性跟蹤系統(tǒng)，完成系統(tǒng)和子系統(tǒng)的安全分析，確保一致性。驗(yàn)證安全需求并創(chuàng)建安全評(píng)估報(bào)告。轉(zhuǎn)換轉(zhuǎn)換過(guò)程旨在其運(yùn)營(yíng)環(huán)境中安裝系統(tǒng)。由于某些特殊屬性涉及到在設(shè)計(jì)約束和運(yùn)營(yíng)約束之間進(jìn)行權(quán)衡，因此關(guān)注安裝過(guò)程通常很重要。識(shí)別影響系統(tǒng)安全要求、架構(gòu)或設(shè)計(jì)的轉(zhuǎn)換約束；對(duì)運(yùn)行人員、用戶和對(duì)系統(tǒng)使用和支持所需的其他利益相關(guān)方進(jìn)行安全方面的培訓(xùn)；識(shí)別安全轉(zhuǎn)換結(jié)果和異常情況；激活已安裝的系統(tǒng)，準(zhǔn)備進(jìn)行安全運(yùn)行。通過(guò)危險(xiǎn)威脅和脆弱性跟蹤系統(tǒng)，完成系統(tǒng)和子系統(tǒng)的安全分析，確保一致性。驗(yàn)證安全需求并創(chuàng)建安全評(píng)估報(bào)告。確認(rèn)確認(rèn)過(guò)程提供證據(jù)，以表明系統(tǒng)所提供的服務(wù)滿足利益相關(guān)方的需求，包括關(guān)鍵質(zhì)量特性。確定利益相關(guān)方安全要求的確認(rèn)準(zhǔn)則；確認(rèn)利益相關(guān)方所需的安全服務(wù)的可用性；識(shí)別影響系統(tǒng)要求、架構(gòu)或設(shè)計(jì)的確認(rèn)的安全約束；確認(rèn)系統(tǒng)或系統(tǒng)安全相關(guān)元素；識(shí)別安全方面的確認(rèn)結(jié)果和異常情況；提供已實(shí)現(xiàn)的系統(tǒng)或系統(tǒng)元素滿足利益相關(guān)方安全需求的客觀證據(jù)。驗(yàn)證和確認(rèn)安全要求并完成安全評(píng)估報(bào)告。3GB/ZXXXXX—XXXX/IEC/TR63283-3:2022運(yùn)行使用系統(tǒng)提供的服務(wù)。識(shí)別影響系統(tǒng)安全要求、架構(gòu)或設(shè)計(jì)的運(yùn)行約束；有經(jīng)過(guò)安全培訓(xùn)的合格的運(yùn)行人員；提供滿足利益相關(guān)方要求的系統(tǒng)安全服務(wù)；監(jiān)視運(yùn)行期間的系統(tǒng)安全性能。快速響應(yīng)安全事件，保護(hù)系統(tǒng)之系統(tǒng)的保密性、完整性和可用性。維護(hù)保持系統(tǒng)提供服務(wù)的能力。識(shí)別影響系統(tǒng)安全要求、架構(gòu)或設(shè)計(jì)的維護(hù)約束；提供替換、已維修或已修訂的安全相關(guān)系統(tǒng)元素；報(bào)告為應(yīng)對(duì)糾正性、完善性或適應(yīng)性維護(hù)而進(jìn)行變更所帶來(lái)的安全需求；記錄失效和壽命周期安全數(shù)據(jù)，包括相關(guān)成本。測(cè)試并安裝安全補(bǔ)丁來(lái)應(yīng)對(duì)脆弱性。處置維持系統(tǒng)提供服務(wù)的能力提供處置安全約束，以作為要求、架構(gòu)、設(shè)計(jì)和實(shí)施的輸入。清除系統(tǒng)退役部分的敏感信息，并確保其余部分仍能繼續(xù)滿足其安全要求。1GB/ZXXXXX—XXXX/IEC/TR63283-3:20226IEC62443(所有部分)在智能制造中的應(yīng)用6.1概述IEC62443是用于工業(yè)網(wǎng)絡(luò)安全的系列標(biāo)準(zhǔn)。盡管其起源于自動(dòng)化工業(yè)，但是許多領(lǐng)域（例如自動(dòng)化、配電、移動(dòng)....）現(xiàn)在都對(duì)使用IEC62443(所有部分)感興趣。IEC62443（所有部分）覆蓋了生產(chǎn)系統(tǒng)的整個(gè)生命周期，并為產(chǎn)品供應(yīng)商、集成商、服務(wù)提供商以及系統(tǒng)運(yùn)營(yíng)商提供了要求。智能制造系統(tǒng)要么由來(lái)自不同領(lǐng)域的組件構(gòu)成，要么需要與這些來(lái)自不同領(lǐng)域的組件接口，該方法使得IEC62443（所有部分）成為定義智能制造系統(tǒng)的安全要求的有吸引力的標(biāo)準(zhǔn)。圖1示出了IEC62443系列文件已發(fā)布和已投票批準(zhǔn)的部分，其他部分及修訂則正在進(jìn)行中。圖1IEC62443系列IEC62443（所有部分）中勾勒的基本概念也適用于智能制造系統(tǒng)的安全程序的實(shí)施（IECTS62443-1-1，ISO/IEC27000：2014）。本文件提供了IEC62443（所有部分）在智能制造系統(tǒng)中的應(yīng)用指南。在智能制造的范圍內(nèi)，該標(biāo)準(zhǔn)可能應(yīng)用于組件、設(shè)備、系統(tǒng)、系統(tǒng)之系統(tǒng)、企業(yè)和智能制造工件（例如產(chǎn)品）。圖2示出了在自動(dòng)化資產(chǎn)（供應(yīng)、集成、運(yùn)營(yíng)）的各個(gè)生命周期階段如何詳細(xì)地應(yīng)用IEC62443（所有部分）的各個(gè)部分。2GB/ZXXXXX—XXXX/IEC/TR63283-3:2022圖2在自動(dòng)化資產(chǎn)的各個(gè)生命周期階段中，按不同角色分類的IEC62443各個(gè)部分的應(yīng)用細(xì)節(jié)圖2說(shuō)明了IEC62443（所有部分）如何處理不同的利益相關(guān)方，如產(chǎn)品供應(yīng)商、集成商、服務(wù)提供商和系統(tǒng)運(yùn)營(yíng)商。隨著每個(gè)生命周期階段之間的邊界（特別是集成和運(yùn)營(yíng)）變得模糊不清，IEC62443（所有部分）的這種整體方法也使其非常適合于智能制造系統(tǒng)。6.2與ISO/IEC27000(所有部分)的關(guān)系組織內(nèi)的安全通常首先應(yīng)用GB/T22080和GB/T22081以及行業(yè)特定文件，從ISMS（信息安全管理體系）的安全角度進(jìn)行部署。該過(guò)程圍繞風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理計(jì)劃的實(shí)施進(jìn)行構(gòu)建。在工業(yè)活動(dòng)的情況下，其范圍通常包括具有某些特定的運(yùn)營(yíng)、安全和可用性限制的IACS（工業(yè)自動(dòng)化和控制系統(tǒng)）。該ACS的網(wǎng)絡(luò)安全方法往往是獨(dú)立于ISMS進(jìn)行處理。從網(wǎng)絡(luò)安全的深度角度來(lái)看，ACS和ISMS系統(tǒng)需要被視為一個(gè)系統(tǒng)之系統(tǒng)，其安全評(píng)估是在此基礎(chǔ)上進(jìn)行的。從網(wǎng)絡(luò)安全的角度來(lái)看，組合的各個(gè)系統(tǒng)提出了不同的要求、限制和風(fēng)險(xiǎn)（例如保密性、完整性）。事實(shí)上，有許多系統(tǒng)功能通常由ISMS部分處理，并直接影響運(yùn)營(yíng)部分的網(wǎng)絡(luò)安全。隨著系統(tǒng)變得越來(lái)越數(shù)字化，兩個(gè)組織（IT和OT）之間的邊界趨向于變得越來(lái)越模糊。GB/T33007提出了針對(duì)這一問(wèn)題的第一種解決方法，該標(biāo)準(zhǔn)將GB/T22080和GB/T22081控制映射到IEC62443的要求中，涵蓋了系統(tǒng)、產(chǎn)品或服務(wù)提供商等方面。對(duì)于關(guān)鍵基礎(chǔ)設(shè)施，需進(jìn)行更深入的分析和風(fēng)險(xiǎn)評(píng)估，以解決安全性、可用性和實(shí)時(shí)操作的問(wèn)題。6.3參考模型雖然GB/T40211-2021第6章中給出的通用參考模型為組織智能制造系統(tǒng)的不同功能方面提供了一個(gè)好的框架，但它也支持解決與GB/T40211-2021圖16所示的經(jīng)典自動(dòng)化金字塔不同的互聯(lián)智能制造系統(tǒng)架構(gòu)的示例。6.4基本要求3GB/ZXXXXX—XXXX/IEC/TR63283-3:2022為了實(shí)施ACS網(wǎng)絡(luò)安全，IEC62443（所有部分）確定了七個(gè)需要解決的基本要求。這些基本要求同樣也適用于智能制造系統(tǒng)。GB/T40211中給出的基礎(chǔ)要求如下：1）訪問(wèn)控制(AC)：控制對(duì)被選設(shè)備、信息或兩者的訪問(wèn)，防止未經(jīng)授權(quán)查詢?cè)O(shè)備或信息。2）使用控制(UC)：控制對(duì)被選設(shè)備、信息或兩者的使用，防止未經(jīng)授權(quán)操作設(shè)備或使用信息。3）數(shù)據(jù)完整性(DI)：保證被選通信通道上數(shù)據(jù)的完整性，防止未經(jīng)授權(quán)的修改。4）數(shù)據(jù)保密性(DC)：保證被選通信通道上數(shù)據(jù)的保密性，防止被竊聽。5）限制數(shù)據(jù)流(RDF)：限制通信通道上數(shù)據(jù)流，防止向未經(jīng)授權(quán)的信息源發(fā)布信息。6）事件及時(shí)響應(yīng)(TRE)：對(duì)于任務(wù)關(guān)鍵型或安全關(guān)鍵型的情況，通過(guò)通知合適的主管機(jī)構(gòu)，報(bào)告所必需的破壞的法律證據(jù)、自動(dòng)采取及時(shí)的糾正行動(dòng)以對(duì)破壞安全的事件作出響應(yīng)。7）資源可用性(RA)：保證網(wǎng)絡(luò)資源的可用性，防止拒絕服務(wù)攻擊。在傳統(tǒng)系統(tǒng)中，敏感用戶數(shù)據(jù)通常不會(huì)暴露給自動(dòng)化系統(tǒng)，但在智能制造中，情況發(fā)生變化。對(duì)于智能制造系統(tǒng)（例如，制藥中的批量生產(chǎn)）而言，保護(hù)用戶數(shù)據(jù)隱私的重要性將會(huì)增加。并不需要對(duì)隱私保護(hù)有一個(gè)全新的基本需求，這是因?yàn)橹悄苤圃煜到y(tǒng)的FR4（數(shù)據(jù)保密性）和FR5（限制數(shù)據(jù)流）能涵蓋這一點(diǎn)。當(dāng)新的威脅變得明顯時(shí)，可能需要開發(fā)其他FR。此類其他FR需要與TC65/WG10合作開發(fā)。6.5系統(tǒng)之系統(tǒng)中的區(qū)域和管道區(qū)域和管道是IEC62443中的重要概念。區(qū)域和管道背后的想法是將復(fù)雜的自動(dòng)化系統(tǒng)分成幾個(gè)（嵌套的）子系統(tǒng)。區(qū)域是一個(gè)基于風(fēng)險(xiǎn)或其他準(zhǔn)則，如資產(chǎn)關(guān)鍵性、運(yùn)行功能、物理或邏輯位置、所需訪問(wèn)權(quán)限（例如最小特權(quán)原則）或負(fù)責(zé)組織，由自動(dòng)化資產(chǎn)（設(shè)備）所組成的組/子系統(tǒng)。一個(gè)區(qū)域內(nèi)或區(qū)域之間的設(shè)備之間的通信使用所謂的管道進(jìn)行（示例見GB/T40211）。雖然能按不同特性定義區(qū)域，但典型實(shí)現(xiàn)/設(shè)施通常是試圖將屬于某個(gè)區(qū)域的生產(chǎn)系統(tǒng)分組到一個(gè)封閉的物理位置（例如，在一個(gè)生產(chǎn)線內(nèi)本地組織的幾個(gè)設(shè)備被組織在一個(gè)區(qū)域內(nèi)）。在智能自動(dòng)化系統(tǒng)中，智能生產(chǎn)設(shè)備可能會(huì)更加靈活地部署。例如，機(jī)器人參與多條生產(chǎn)線的生產(chǎn)過(guò)程，在整個(gè)工廠范圍內(nèi)移動(dòng)的自動(dòng)化智能車輛替代了固定安裝的傳送帶，自動(dòng)化系統(tǒng)中使用的軟件服務(wù)被遠(yuǎn)程部署（云）等。此外，智能制造系統(tǒng)可使用變更后的架構(gòu)藍(lán)圖，諸如無(wú)線、5G和軟件定義網(wǎng)絡(luò)等新技術(shù)允許減少物理層級(jí)和復(fù)雜性，并將物理網(wǎng)絡(luò)拓?fù)渑cIEC62264(所有部分)中定義的功能層級(jí)解耦。區(qū)域和管道需要適應(yīng)這些類型的架構(gòu)和通信基礎(chǔ)設(shè)施。GB/T40211提到了虛擬區(qū)域和虛擬管道。虛擬區(qū)域和管道不受物理位置的限制。虛擬區(qū)域和管道是一個(gè)可用于智能制造系統(tǒng)的潛在概念。GB/T44861尚未詳細(xì)闡述虛擬區(qū)域和管道，也未給出任何關(guān)于如何將區(qū)域和管道應(yīng)用于智能制造系統(tǒng)的提示。智能制造系統(tǒng)的系統(tǒng)分割的關(guān)注點(diǎn)需要從物理訪問(wèn)和接近轉(zhuǎn)向基于訪問(wèn)控制和通過(guò)加密手段支持的虛擬網(wǎng)絡(luò)隔離的邏輯分離。需要對(duì)虛擬區(qū)域和管道的定義和實(shí)施提供進(jìn)一步的指南。6.6安全風(fēng)險(xiǎn)評(píng)估和安全等級(jí)安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)是識(shí)別所需的安全活動(dòng)和機(jī)制的范圍和程度，以保護(hù)制造系統(tǒng)的基本功能（見圖2）。智能制造系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估不再聚焦于特定的產(chǎn)品和生產(chǎn)過(guò)程——安全評(píng)級(jí)和安全要求需要根據(jù)制造系統(tǒng)的實(shí)際使用情況進(jìn)行動(dòng)態(tài)調(diào)整。實(shí)現(xiàn)期望中的靈活生產(chǎn)的前提是智能制造系統(tǒng)能提供并調(diào)整到所要求的安全級(jí)別。智能制造系統(tǒng)構(gòu)成了一個(gè)系統(tǒng)之系統(tǒng)。智能組件被集成到智能設(shè)備中形成智能系統(tǒng)，依此類推。需要有一個(gè)有效且明確定義的過(guò)程來(lái)確定組合系統(tǒng)的安全級(jí)別。4GB/ZXXXXX—XXXX/IEC/TR63283-3:20226.7安全生命周期智能制造系統(tǒng)的安全生命周期需要與智能制造系統(tǒng)的生命周期模型保持一致。如上所觀察到的，生命周期階段之間的邊界將消失。需要定義如何將IEC62443安全生命周期模型（見GB/T40211-2021，圖19）與經(jīng)歷持續(xù)重新配置的智能制造系統(tǒng)的靈活生命周期集成。這些轉(zhuǎn)換過(guò)程中的完整路徑均需要是受保護(hù)的。6.8審計(jì)和記錄針對(duì)智能制造場(chǎng)景的審計(jì)和記錄需要進(jìn)一步研究。組件（包括產(chǎn)品）會(huì)在制造系統(tǒng)中動(dòng)態(tài)添加和移除，和/或在不同的制造系統(tǒng)之間移動(dòng)。審計(jì)和記錄需要跟蹤這些動(dòng)作。此外，需要確保存儲(chǔ)在這些組件上的審計(jì)和記錄數(shù)據(jù)在組件不再可訪問(wèn)時(shí)仍然保持可用。至少需要考慮GB/T40682和GB/T42456標(biāo)準(zhǔn)要求，其他標(biāo)準(zhǔn)的適用性需要進(jìn)一步評(píng)估。6.9結(jié)論以下列項(xiàng)總結(jié)了用于智能制造時(shí)需進(jìn)一步完善現(xiàn)有IEC62443系列標(biāo)準(zhǔn)的建議：1）在使用專門術(shù)語(yǔ)和定義時(shí)保持一致，尤其是在組件、產(chǎn)品和系統(tǒng)方面，以避免誤解（見IEC63283-1）。2）將IEC62443的虛擬區(qū)域和管道概念擴(kuò)展到采用與之物理制造系統(tǒng)中等效的邏輯/虛擬拓?fù)洹?）調(diào)整IEC62443的風(fēng)險(xiǎn)評(píng)估和安全等級(jí)，例如，制造系統(tǒng)能夠根據(jù)實(shí)際生產(chǎn)環(huán)境（例如，正在生產(chǎn)的產(chǎn)品）在不同的（預(yù)定義的）安全等級(jí)之間切換。4）使IEC62443（GB/T33007-2016，4.3.4.1圖5）的安全管理活動(dòng)與智能制造系統(tǒng)的生命周期相一致，特別是對(duì)初始系統(tǒng)設(shè)計(jì)中考慮靈活重新配置的程度以及在維護(hù)過(guò)程中能處理的程度提供指南。5）考慮到產(chǎn)品及其數(shù)據(jù)是生產(chǎn)系統(tǒng)的組成部分（例如，攜帶生產(chǎn)數(shù)據(jù)，提供反饋數(shù)據(jù)），因此正在制造的產(chǎn)品參與了制造過(guò)程。6）擴(kuò)展IEC62443（所有部分）的審計(jì)和記錄（見6.8）。7智能制造的安全威脅7.1概述本文件識(shí)別了智能制造系統(tǒng)的潛在安全風(fēng)險(xiǎn)。分析采用基于威脅的方法。威脅描述了攻擊者執(zhí)行的行動(dòng)，導(dǎo)致以下工業(yè)自動(dòng)化和控制系統(tǒng)（IACS）保護(hù)目標(biāo)之一的違規(guī)：可用性-自動(dòng)化系統(tǒng)能夠執(zhí)行其預(yù)定功能。生產(chǎn)不受（有意的）攻擊的干擾。完整性-自動(dòng)化系統(tǒng)按照預(yù)期運(yùn)行，生產(chǎn)系統(tǒng)使用的所有數(shù)據(jù)未被未經(jīng)授權(quán)的實(shí)體篡改或修改。機(jī)密性-某些數(shù)據(jù)，如產(chǎn)品、加工或機(jī)器知識(shí)產(chǎn)權(quán)、客戶私人數(shù)據(jù)或關(guān)鍵績(jī)效指標(biāo)（KPI）不會(huì)透露給未經(jīng)授權(quán)的實(shí)體。為了涵蓋廣泛的潛在威脅，本文件采用了以下觀點(diǎn)：使用案例視圖–探討IECTR63283-2[2]2中描述的幾個(gè)使用情況涉及的潛在威脅。生命周期視圖-探討智能制造系統(tǒng)附加生命周期相互依賴可能引起的潛在威脅。在不同的視角中出現(xiàn)的威脅并不是相互排斥的，例如，與特定用例相關(guān)的威脅也會(huì)出現(xiàn)在與該用例相關(guān)的生命周期或功能中。7.2網(wǎng)絡(luò)安全用例視圖5GB/ZXXXXX—XXXX/IEC/TR63283-3:20227.2.1概述第7章根據(jù)網(wǎng)絡(luò)安全性對(duì)一組選定的用例進(jìn)行分析。分析的用例來(lái)自IECTR63283-2[2]。任務(wù)組還定義了其他用例，以說(shuō)明特定的安全問(wèn)題。選擇用例旨在提供智能制造特定安全威脅和挑戰(zhàn)的概述。這些挑戰(zhàn)按照IEC62443（所有部分中所描述的）中的基本要求進(jìn)行分類，如第6.4節(jié)所述。在適用的情況下，我們可以反復(fù)利用IECTR63283-2[2]中的技術(shù)視角圖并進(jìn)行注釋，來(lái)說(shuō)明已經(jīng)確定的威脅適用于哪些交互和/或資產(chǎn)。注意，這些資產(chǎn)和系統(tǒng)內(nèi)交互發(fā)生的位置在很大程度上取決于實(shí)際智能制造系統(tǒng)的實(shí)現(xiàn)和部署。威脅和風(fēng)險(xiǎn)分析也是如此。下文中的7.2.2到7.2.13不能替代對(duì)實(shí)際系統(tǒng)進(jìn)行的威脅和風(fēng)險(xiǎn)分析。這樣做的目的是為將這些抽象使用案例轉(zhuǎn)化為實(shí)際系統(tǒng)時(shí)提供一些安全指導(dǎo)。隨著對(duì)智能制造和智能制造安全的理解不斷深入，未來(lái)會(huì)添加更多的使用案例。附錄A提供了已分析使用案例和正在解決的基礎(chǔ)要求的概述。7.2.2個(gè)性化產(chǎn)品制造用例制造商希望基于適應(yīng)性強(qiáng)的生產(chǎn)系統(tǒng)提供客戶要求的個(gè)性化產(chǎn)品，以更好地滿足客戶各自的市場(chǎng)需圖3個(gè)性化產(chǎn)品制造用例圖3展示了可能的攻擊點(diǎn)。潛在的威脅和安全挑戰(zhàn)詳細(xì)內(nèi)容見表2。表2個(gè)性化產(chǎn)品制造用例6GB/ZXXXXX—XXXX/IEC/TR63283-3:20221攻擊者獲取了機(jī)密客戶數(shù)據(jù)（例DC01客戶數(shù)據(jù)的隱私-確保敏感客戶數(shù)據(jù)的機(jī)密客戶數(shù)據(jù)的知情流程-確?？蛻魯?shù)據(jù)僅在需要知道的情況下才可客戶個(gè)性化產(chǎn)2攻擊者/制造商獲取了機(jī)密產(chǎn)品數(shù)這些數(shù)據(jù)可以被用于竊取知識(shí)產(chǎn)DC05產(chǎn)品知識(shí)產(chǎn)DI11確保半成品產(chǎn)品數(shù)據(jù)在制造系統(tǒng)內(nèi)被暴露的詳細(xì)程度3AC01對(duì)客戶的身份驗(yàn)證-確保訂訂單在不同的安全域之間進(jìn)訂單不太可能4高價(jià)值產(chǎn)品而不是實(shí)際訂購(gòu)的產(chǎn)DI01交換數(shù)據(jù)的保訂單的真實(shí)性需要與物流領(lǐng)域合作或開發(fā)適當(dāng)訂單在不同的安全域之間進(jìn)行交換（如子5攻擊者利用制造過(guò)程設(shè)計(jì)中的錯(cuò)相對(duì)于已知邊界條件-實(shí)施輸入驗(yàn)證，DI12數(shù)據(jù)的完整性只接受在良好的定義的變化范圍內(nèi)的產(chǎn)品TRE03是用于安全監(jiān)視和取證的客戶訂單直接影響生產(chǎn)過(guò)程（例如傳遞配方、數(shù)字產(chǎn)品7GB/ZXXXXX—XXXX/IEC/TR63283-3:2022審計(jì)日志（保留產(chǎn)品訂單的完整7.2.3生產(chǎn)技術(shù)標(biāo)準(zhǔn)化用例制造商要求生產(chǎn)資源符合語(yǔ)義化定義的生產(chǎn)能力，以提高生產(chǎn)效率和靈活性（例如通過(guò)外包或內(nèi)部生產(chǎn)訂單）。生產(chǎn)資源供應(yīng)商希望提供符合語(yǔ)義化定義的生產(chǎn)能力的生產(chǎn)資源，但也希望能夠提供獨(dú)特的賣點(diǎn)。圖4生產(chǎn)技術(shù)標(biāo)準(zhǔn)化用例圖4展示了可能的攻擊點(diǎn)。詳細(xì)的潛在的威脅和安全挑戰(zhàn)見表3表3生產(chǎn)技術(shù)標(biāo)準(zhǔn)化用例8GB/ZXXXXX—XXXX/IEC/TR63283-3:20221在生產(chǎn)網(wǎng)絡(luò)中披露詳細(xì)的施工計(jì)識(shí)產(chǎn)權(quán)的機(jī)保施工計(jì)劃中所包含的知識(shí)產(chǎn)權(quán)的生產(chǎn)系統(tǒng)內(nèi)部交換的數(shù)字化信息容易涉及不同知識(shí)產(chǎn)權(quán)2在制造設(shè)備使用/加工時(shí)披露第DC07可信執(zhí)行-第三方生產(chǎn)技術(shù)知識(shí)提供商需要確保其知識(shí)產(chǎn)權(quán)不會(huì)被產(chǎn)設(shè)備所危害生產(chǎn)設(shè)備和生產(chǎn)技由獨(dú)立方動(dòng)態(tài)提供7.2.4靈活調(diào)度和資源分配用例生產(chǎn)經(jīng)理希望最小化停機(jī)時(shí)間（故障時(shí)間）并優(yōu)化生產(chǎn)。圖5靈活調(diào)度和資源分配用例9GB/ZXXXXX—XXXX/IEC/TR63283-3:2022圖5展示了可能的攻擊點(diǎn)。詳細(xì)的潛在的威脅和安全挑戰(zhàn)見表4。表4潛在的威脅和安全挑戰(zhàn)1攻擊者欺騙（意外的）事件，導(dǎo)致自動(dòng)化系統(tǒng)AC06重新安排對(duì)需求UC01生產(chǎn)計(jì)劃的使用DI04生產(chǎn)計(jì)劃的數(shù)據(jù)產(chǎn)計(jì)劃需要經(jīng)過(guò)授權(quán)不斷的變化是生產(chǎn)網(wǎng)絡(luò)的一個(gè)特征-預(yù)期行2攻擊者操縱可用的生產(chǎn)資源信息，讓制造商無(wú)DI04生產(chǎn)計(jì)劃的數(shù)據(jù)TRE02當(dāng)系統(tǒng)僅有部動(dòng)態(tài)適應(yīng)調(diào)節(jié)將資源分配固7.2.5生產(chǎn)系統(tǒng)模塊化使用用例制造商希望建立一個(gè)基于可互換生產(chǎn)資源的適應(yīng)性生產(chǎn)系統(tǒng)，以更好地響應(yīng)不斷變化的客戶或市場(chǎng)一個(gè)新的領(lǐng)域組件會(huì)自動(dòng)添加到現(xiàn)有的生產(chǎn)系統(tǒng)中生產(chǎn)系統(tǒng)被重新配置，原因可能如下：由于可用性問(wèn)題（例如，機(jī)器的意外故障），必須使用不同的設(shè)備來(lái)制造產(chǎn)品。設(shè)備被重新配置以生產(chǎn)不同的產(chǎn)品。GB/ZXXXXX—XXXX/IEC/TR63283-3:2022圖6生產(chǎn)系統(tǒng)模塊化圖6展示了可能的攻擊點(diǎn)。潛在的威脅和安全挑戰(zhàn)詳見表5。表5生產(chǎn)系統(tǒng)模塊化案例1UC05現(xiàn)場(chǎng)設(shè)備的使用控制-新的現(xiàn)場(chǎng)設(shè)備訪問(wèn)權(quán)限需要根據(jù)其在生產(chǎn)過(guò)程中預(yù)安全引導(dǎo)過(guò)程。設(shè)備最初是未知的，需要足夠的權(quán)限才能與現(xiàn)有系2AC02設(shè)備/傳感器的身份驗(yàn)證——設(shè)備需要提供關(guān)于其身份和屬性/功能的身份驗(yàn)沒(méi)有專門的建GB/ZXXXXX—XXXX/IEC/TR63283-3:20223UC05現(xiàn)場(chǎng)設(shè)備使用控制—新增現(xiàn)場(chǎng)設(shè)備的訪問(wèn)權(quán)限需要根據(jù)其在生產(chǎn)過(guò)程中的任RDF02面向任務(wù)的數(shù)據(jù)流限制——新設(shè)備的通信范圍需要根據(jù)其在生產(chǎn)過(guò)程中的預(yù)4DI06過(guò)渡期間的系統(tǒng)完整性-驗(yàn)證整個(gè)過(guò)渡路徑是否安全。這可能排除了幾個(gè)(最為了保持安全性，不是直接從A轉(zhuǎn)換到在運(yùn)營(yíng)期間重新配置現(xiàn)有的5DI07端點(diǎn)自包含基本保護(hù)——對(duì)于具有靜常假定設(shè)備位于專用對(duì)于所有智能制造系受限制的功能層面上提供一些基本的自我件后，才提供高級(jí)功單獨(dú)的設(shè)備/端點(diǎn)不能再依賴于穩(wěn)定的運(yùn)GB/ZXXXXX—XXXX/IEC/TR63283-3:20226DI03新功能/配置的數(shù)據(jù)完整性-在實(shí)施之前，需要驗(yàn)證和AC04配置更改提供者的身份驗(yàn)證-只有經(jīng)過(guò)授權(quán)的來(lái)源才配置更改是正常的，并不總7.2.6反饋循環(huán)用例制造公司希望客戶（即各自市場(chǎng)）將使用產(chǎn)品的經(jīng)驗(yàn)（即各自感知）反饋給制造公司，來(lái)便優(yōu)化向客戶（即市場(chǎng)）提供的產(chǎn)品。圖7反饋循環(huán)用例圖7展示了可能的攻擊點(diǎn)。詳細(xì)的潛在的威脅和安全挑戰(zhàn)見表6。表6反饋循環(huán)用例GB/ZXXXXX—XXXX/IEC/TR63283-3:20221攻擊者/使用者將無(wú)效數(shù)據(jù)反饋AC01客戶端認(rèn)證—確保客戶端與生產(chǎn)域之間反饋數(shù)據(jù)的真實(shí)性/可品是整個(gè)生命周期的一部分特別是在反饋中直接使用客2攻擊者基于反饋數(shù)據(jù)構(gòu)建最終客戶配置文件（例如，行為、位置DC01客戶數(shù)據(jù)的隱私-保護(hù)收集的最終用戶數(shù)據(jù)7.2.7運(yùn)行中的仿真生產(chǎn)管理人員希望通過(guò)對(duì)生產(chǎn)模型進(jìn)行仿真來(lái)優(yōu)化生產(chǎn)、檢查原理可行性、減少由于生產(chǎn)系統(tǒng)重新配置而導(dǎo)致的安全風(fēng)險(xiǎn)，并/或加快生產(chǎn)系統(tǒng)的重新配置過(guò)程。安全分析的重點(diǎn)是在預(yù)定義的仿真模型中使用當(dāng)前數(shù)據(jù)。圖8運(yùn)行中的仿真案例圖8展示了可能的攻擊點(diǎn)，詳細(xì)描述潛在的威脅和安全隱患。表7運(yùn)行中的仿真案例GB/ZXXXXX—XXXX/IEC/TR63283-3:20221攻擊者/競(jìng)爭(zhēng)對(duì)手利用仿真數(shù)據(jù)分析真模型數(shù)據(jù)的機(jī)密性-保持仿真模型和數(shù)據(jù)的頻繁的數(shù)據(jù)交換會(huì)增加關(guān)鍵數(shù)據(jù)的2攻擊者干擾仿真模型和實(shí)際生產(chǎn)系統(tǒng)RA01現(xiàn)有仿真數(shù)據(jù)的可用性-確保仿真運(yùn)行的數(shù)據(jù)是最新的智能制造提供仿真以支3攻擊者向仿真模型輸入無(wú)效數(shù)據(jù)，以誘導(dǎo)做出錯(cuò)誤決策（例如，生產(chǎn)供應(yīng)據(jù)提供者的許經(jīng)過(guò)正確識(shí)別和授權(quán)的參與方提供的數(shù)據(jù)用4攻擊者操縱仿真模型，引導(dǎo)做出錯(cuò)誤DI02仿真模型的數(shù)據(jù)完確保仿真模7.2.8設(shè)計(jì)與工程中的仿真用例工廠設(shè)計(jì)工程師想要通過(guò)仿真設(shè)計(jì)的生產(chǎn)系統(tǒng)模型，減少由生產(chǎn)系統(tǒng)工程帶來(lái)的安全風(fēng)險(xiǎn)，或加快生產(chǎn)系統(tǒng)工程的進(jìn)度。安全分析的重點(diǎn)在于針對(duì)實(shí)際生產(chǎn)系統(tǒng)創(chuàng)建和分配仿真模型。GB/ZXXXXX—XXXX/IEC/TR63283-3:2022圖9設(shè)計(jì)與工程中的仿真用例圖9展示了可能存在的攻擊點(diǎn)。詳細(xì)的潛在的威脅和安全挑戰(zhàn)見表8表8設(shè)計(jì)與工程仿真用例1真模型的控制性2性-保持仿GB/ZXXXXX—XXXX/IEC/TR63283-3:20227.2.9“生產(chǎn)資源更新和功能可擴(kuò)展性”和“設(shè)備配置”用例“生產(chǎn)資源更新和功能可擴(kuò)展性”的目標(biāo)是生產(chǎn)資源供應(yīng)商希望基于軟件提供額外的功能，這些功能可以在生產(chǎn)資源被出售并由制造商使用后解鎖，以創(chuàng)建額外的收入流。制造商只想使用生產(chǎn)資源的必要功能以滿足其特定目的，但希望能夠通過(guò)升級(jí)（甚至降級(jí)）生產(chǎn)資源以靈活地應(yīng)對(duì)市場(chǎng)變化?！霸O(shè)備配置”的目標(biāo)是軟件應(yīng)用程序提供商希望提供可以靈活部署到設(shè)備或通用計(jì)算基礎(chǔ)設(shè)施的軟件應(yīng)用程序。可能存在的威脅和安全挑戰(zhàn)見表9。表9生產(chǎn)資源的更新和功能可擴(kuò)展性，用例設(shè)備配置1攻擊者/客戶在未支付的情況UC04生產(chǎn)能力的使用控制-僅授權(quán)用戶可以訪問(wèn)特定的功能不再完全由硬件決定，而變成了軟件2攻擊者安裝對(duì)計(jì)算機(jī)或其環(huán)境有負(fù)面影響的惡意附加功AC07對(duì)于功能增強(qiáng)DI03新功能/配置的數(shù)據(jù)完整性-在安對(duì)其合法性進(jìn)行驗(yàn)3攻擊者通過(guò)逆向工程/從功能功能更新甚至可能由不同的DC05的內(nèi)容是產(chǎn)品即明確保護(hù)如何在潛在敵對(duì)執(zhí)行環(huán)境中安裝和運(yùn)行的更由獨(dú)立第三方添加到設(shè)備中7.2.10從生產(chǎn)系統(tǒng)中提取信息用例制造商希望以無(wú)副作用、簡(jiǎn)單易行的方式收集生產(chǎn)系統(tǒng)的信息，以便使用通用的計(jì)算基礎(chǔ)設(shè)施分析和處理這些信息。GB/ZXXXXX—XXXX/IEC/TR63283-3:2022圖10從生產(chǎn)系統(tǒng)中提取信息用例圖10展示了可能的攻擊點(diǎn)。可能存在的威脅和安全挑戰(zhàn)詳見表10表10從生產(chǎn)系統(tǒng)中提取信息用例1攻擊者欺騙設(shè)備或向后端服務(wù)發(fā)AC02設(shè)備/傳感AC09傳感器數(shù)據(jù)的傳感器數(shù)據(jù)的完整性-特別是在原始數(shù)據(jù)不再可用的合數(shù)據(jù)的完整性問(wèn)GB/ZXXXXX—XXXX/IEC/TR63283-3:20222攻擊者在生產(chǎn)系統(tǒng)中放置偽造的傳感器或智能傳感器聚合設(shè)備（例如，邊緣分析提供無(wú)效的傳感結(jié)果DI09確保安裝的設(shè)備/傳感器的真實(shí)從傳感器直接連接到后端3攻擊者攔截與后端系統(tǒng)交換的傳DC02網(wǎng)絡(luò)數(shù)據(jù)的4UC05使用現(xiàn)場(chǎng)設(shè)備控制-保護(hù)設(shè)備/5被篡改的傳感器向后端服務(wù)發(fā)送動(dòng)/暴露-系統(tǒng)的客戶/操作者可以決定向外部服務(wù)提供6DC08員工/工作人員/相關(guān)的傳感器7.2.11生產(chǎn)資源的自我優(yōu)化案例、通過(guò)機(jī)器學(xué)習(xí)優(yōu)化操作案例、通過(guò)機(jī)器學(xué)習(xí)優(yōu)化設(shè)計(jì)和工程案例數(shù)據(jù)分析將機(jī)器學(xué)習(xí)(ML)技術(shù)(例如，人工神經(jīng)網(wǎng)絡(luò))應(yīng)用于現(xiàn)場(chǎng)設(shè)備和智能傳感器收集的大量數(shù)據(jù)。潛在的威脅和安全挑戰(zhàn)詳見表11。表11機(jī)器學(xué)習(xí)用例1攻擊者通過(guò)提供被操縱的訓(xùn)練或測(cè)試DI10用于機(jī)器學(xué)習(xí)訓(xùn)練和測(cè)試的（收集和聚合的機(jī)器學(xué)習(xí)的使用2攻擊者向機(jī)器學(xué)習(xí)系統(tǒng)提供被操縱的DI08收集和聚合傳感器3攻擊者從AI模型中提取原本包含在DC09暴露在機(jī)器學(xué)習(xí)訓(xùn)使用機(jī)器學(xué)習(xí)GB/ZXXXXX—XXXX/IEC/TR63283-3:20224攻擊者試圖從人工智能結(jié)果缺乏可解釋性方面而導(dǎo)致的人類操作員的不確TRE06確保機(jī)器學(xué)習(xí)系統(tǒng)基于機(jī)器學(xué)習(xí)系統(tǒng)輸出作出7.2.12能效設(shè)計(jì)案例、能源優(yōu)化用例生產(chǎn)管理者希望根據(jù)與能源效率相關(guān)的特定kpi(例如能源消耗和/或能源成本)來(lái)優(yōu)化生產(chǎn)系統(tǒng)的運(yùn)行。潛在的威脅和安全挑戰(zhàn)詳見表12。表12能效設(shè)計(jì)、能源優(yōu)化用例1攻擊者在系統(tǒng)關(guān)閉時(shí)操縱系統(tǒng)。由于安全系統(tǒng)/解決方案也會(huì)受到關(guān)閉的影響或在斷電期間無(wú)法使用，因此可能無(wú)法察覺(jué)到這種操縱。這也可能RA05傳感器和監(jiān)控的可用性-用于安全監(jiān)控的傳感器需要保持DI05工程數(shù)據(jù)的數(shù)據(jù)完整性-在設(shè)計(jì)時(shí)間驗(yàn)證系統(tǒng)完整性所需的一切現(xiàn)在也需在系統(tǒng)運(yùn)行時(shí)伺機(jī)關(guān)閉部分系2攻擊者使用未受保護(hù)的能源管理功AC04配置更改提供者的身份驗(yàn)的來(lái)源才能啟動(dòng)UC05對(duì)現(xiàn)場(chǎng)設(shè)備的使用控制-為設(shè)備電源管理功能或智能開關(guān)提供訪問(wèn)控制權(quán)3攻擊者利用關(guān)閉系統(tǒng)時(shí)降低的物理安全性，物理訪問(wèn)設(shè)備（例如通過(guò)暴GB/ZXXXXX—XXXX/IEC/TR63283-3:20227.2.13無(wú)縫模型案例制造商對(duì)管理日益增加的產(chǎn)品和生產(chǎn)系統(tǒng)的技術(shù)復(fù)雜性感興趣，做出平衡和安全的決策來(lái)改善工作流程并降低總成本。潛在的威脅和安全挑戰(zhàn)詳見表13。表13無(wú)縫模型用例1攻擊者可以訪問(wèn)通常不在OT系統(tǒng)上的機(jī)密性-使用的交換格式提供了保護(hù)數(shù)據(jù)機(jī)密性的控制-只有授權(quán)的實(shí)體才能訪問(wèn)受生產(chǎn)系統(tǒng)內(nèi)交換的數(shù)字化信息容易復(fù)2攻擊者操縱工程和/或設(shè)計(jì)數(shù)據(jù)，以使用的交換格式提供了保護(hù)數(shù)據(jù)完整7.3智能制造生命周期視角下的網(wǎng)絡(luò)安全智能制造要求不同生命周期軌跡中的流程之間進(jìn)行密切的交互。如圖11所示，這些不同的軌跡不僅在生產(chǎn)過(guò)程中相互作用，而且在它們的整個(gè)生命周期中互相交換信息。GB/ZXXXXX—XXXX/IEC/TR63283-3:2022圖11從價(jià)值到價(jià)值網(wǎng)絡(luò)智能制造生命周期視角下的網(wǎng)絡(luò)安全展示在在表格14中。表14智能制造生命周期視角下的網(wǎng)絡(luò)安全通過(guò)互聯(lián)網(wǎng)竊聽傳輸?shù)焦S的生例如為了造成生產(chǎn)延遲或過(guò)度生AC05，UC06-只允許經(jīng)過(guò)身份驗(yàn)證和過(guò)訂單或不必要的過(guò)度生產(chǎn)攻擊者通過(guò)互聯(lián)網(wǎng)更改從工廠傳輸AC05，UC06-只允許經(jīng)過(guò)身份驗(yàn)證和例如為了識(shí)別客戶及其報(bào)告的問(wèn)公司的智能產(chǎn)品報(bào)告維護(hù)和保修AC05，UC06-只允許經(jīng)過(guò)身份驗(yàn)證和GB/ZXXXXX—XXXX/IEC/TR63283-3:2022例如為了識(shí)別競(jìng)爭(zhēng)對(duì)手的設(shè)備和生產(chǎn)設(shè)備（針對(duì)性銷售攻擊者通過(guò)互聯(lián)網(wǎng)竊聽從工廠傳輸?shù)焦?yīng)商的信息或來(lái)自智能生產(chǎn)設(shè)備AC05，UC06-只允許經(jīng)過(guò)身份驗(yàn)證和過(guò)互聯(lián)網(wǎng)竊聽傳輸?shù)焦S的產(chǎn)品AC05，UC06-只允許經(jīng)過(guò)身份驗(yàn)證和AC05，UC06-只允許經(jīng)過(guò)身份驗(yàn)證和8挑戰(zhàn)總結(jié)8.1概述網(wǎng)絡(luò)安全基于一系列智能制造用例、生命周期流程和功能特性，對(duì)智能制造進(jìn)行了威脅分析，但尚未詳盡。8.2至8.8簡(jiǎn)要概述了構(gòu)建安全的智能制造系統(tǒng)需要解決的基本挑戰(zhàn)。每條都收集了與IEC62443（所有部分）中定義的基本安全要求相關(guān)的用例和生命周期視圖中確定的安全挑戰(zhàn)，見6.4。由于目前只評(píng)估了有限的一組用例，因此該概述尚不被認(rèn)為是全面的。建議在商定的智能制造用例清單[2]可用后，繼續(xù)進(jìn)行此項(xiàng)工作。8.2標(biāo)識(shí)和鑒別控制（AC）實(shí)體的身份標(biāo)識(shí)為網(wǎng)絡(luò)安全提供了基礎(chǔ)。當(dāng)以安全的方式執(zhí)行時(shí)，許多功能（例如，數(shù)據(jù)交換、訪問(wèn)授權(quán)）都基于有關(guān)各方的正確標(biāo)識(shí)。智能制造依賴于整個(gè)價(jià)值創(chuàng)造網(wǎng)絡(luò)中信息的安全交換。信息的安全交換需要對(duì)涉及的實(shí)體進(jìn)行明確、唯一的標(biāo)識(shí)和身份認(rèn)證。許多智能制造用例需要安全身份（安全身份的定義超出了本文件的范圍。參見附錄B，了解安全身份概念的討論）。標(biāo)識(shí)和鑒別控制(AC)要求見表15。表15標(biāo)識(shí)和鑒別控制(AC)的挑戰(zhàn)ID說(shuō)明AC01客戶的鑒別AC02設(shè)備/傳感器的鑒別GB/ZXXXXX—XXXX/IEC/TR63283-3:2022AC03仿真數(shù)據(jù)提供者的鑒別AC04配置更改提供者的鑒別AC05網(wǎng)絡(luò)參與者的鑒別AC06重新調(diào)度請(qǐng)求者的鑒別AC07功能升級(jí)提供者的鑒別AC08審計(jì)信息的不可否認(rèn)性智能制造中增加的柔性（例如，臨時(shí)部署的第三方生產(chǎn)系統(tǒng)進(jìn)入和離開系統(tǒng)）可能需要提高可追溯性信息的可信度。需確保不同利益相關(guān)方之間可追溯性信息的不可否認(rèn)性。AC09傳感器數(shù)據(jù)的鑒別8.3使用控制(UC)幾個(gè)智能制造用例取決于系統(tǒng)的（自）描述性信息的可用性。例如，為了實(shí)現(xiàn)即插即生產(chǎn)的場(chǎng)景，新添加的設(shè)備需要能夠展示其功能，并在現(xiàn)有生產(chǎn)系統(tǒng)中發(fā)現(xiàn)和探索其新的鄰居。一方面，所需的信息需要隨時(shí)可用，另一方面，未經(jīng)授權(quán)的訪問(wèn)和修改信息會(huì)導(dǎo)致多種安全威脅（參見表16）。圖12生命周期、用戶/利益相關(guān)方,授予的權(quán)限和視圖如圖12所示，智能制造系統(tǒng)附帶的信息通常會(huì)在多個(gè)生命周期階段中持續(xù)存在(例如，最初由設(shè)備供應(yīng)商/制造商提供的一些信息可能會(huì)被集成商用于工程任務(wù)，在運(yùn)行期間用于維護(hù)任務(wù)，并可用于反GB/ZXXXXX—XXXX/IEC/TR63283-3:2022饋使用最終產(chǎn)品生成的信息)。生命周期存在于不同的抽象/層次結(jié)構(gòu)級(jí)別(例如，自動(dòng)化設(shè)備，最終客戶產(chǎn)品)。每個(gè)生命周期步驟都涉及不同用戶/利益相關(guān)方與智能制造系統(tǒng)的數(shù)字表示以及智能制造系統(tǒng)產(chǎn)生的人工制品的交互。每個(gè)用戶都需要被授予當(dāng)前任務(wù)所需的適當(dāng)訪問(wèn)許可。使用控制(UC)需求如表16所示。表16使用控制(UC)挑戰(zhàn)說(shuō)明智能制造面臨的另一個(gè)挑戰(zhàn)是制定合理的全局訪問(wèn)控制策略。授予權(quán)限可能不再僅取決于本地管理員的決策，因?yàn)閷?duì)本地系統(tǒng)的更改可能會(huì)通過(guò)智能反饋回路對(duì)整個(gè)系統(tǒng)產(chǎn)生不希望的副作用。這需要反映在IEC62443風(fēng)險(xiǎn)管理過(guò)程中。作為第一步，需要確定哪些本地設(shè)置需要放入全文并獲得透明度。只有確保了這一點(diǎn)，才可能決定本地訪問(wèn)控制策略。為了在復(fù)雜系統(tǒng)中建立使用控制，一致的方法至關(guān)重要。有各種已建立的范式，例如基于角色的（RBAC）或基于屬性的（ABAC）的訪問(wèn)控制，允許實(shí)現(xiàn)靈活而一致的訪問(wèn)策略。在定義智能制造系統(tǒng)中的訪問(wèn)控制機(jī)制時(shí)需要考慮以下幾點(diǎn)：.需要統(tǒng)一的常見的基本許可（例如，OPCUA[7]規(guī)定的Browse,ReadRolePermissions,WriteAttribute,Call等）；.需要統(tǒng)一的對(duì)象和主體屬性來(lái)構(gòu)建訪問(wèn)策略（例如，一組熟知的角色）；.引導(dǎo)使用控制，例如，對(duì)智能制造設(shè)備本身具有最低配置要求的初始訪問(wèn)級(jí)別的開箱即用訪問(wèn)控制（例如，在設(shè)備加入現(xiàn)有的插拔式系統(tǒng)之前，在設(shè)備上設(shè)置一組工廠特定的用戶是不切實(shí)際的）。從這里開始，可以完成/增強(qiáng)配置；.獲取特定任務(wù)所需訪問(wèn)權(quán)限的通用流程（例如，即插即用引導(dǎo)程序）；.提供不同級(jí)別的訪問(wèn)控制（主機(jī)級(jí)別、用戶級(jí)別）-在主機(jī)級(jí)身份認(rèn)證后提供基本訪問(wèn)權(quán)限-在用戶/應(yīng)用程序級(jí)身份認(rèn)證后提供特殊訪問(wèn)權(quán)限；.允許不同身份之間的使用和映射（身份提供者）；.訪問(wèn)條件的自描述性/反射性表示，即角色、權(quán)限、訪問(wèn)限制是OPCUA信息模型的固有部分（也受訪問(wèn)控制機(jī)制的約束）。8.4數(shù)據(jù)和系統(tǒng)完整性(DI)系統(tǒng)和系統(tǒng)間處理和交換的數(shù)據(jù)的完整性必不可少。數(shù)據(jù)和系統(tǒng)完整性（DI）要求如表17所示：表17數(shù)據(jù)和系統(tǒng)完整性(DI)挑戰(zhàn)GB/ZXXXXX—XXXX/IEC/TR63283-3:2022用于機(jī)器學(xué)習(xí)訓(xùn)練和測(cè)試的（收集和匯總的這些用例突出了智能制造系統(tǒng)面臨以下的完整性挑戰(zhàn)：.更改智能制造系統(tǒng)的配置或設(shè)置（例如優(yōu)化）或重新安排生產(chǎn)計(jì)劃時(shí)所依據(jù)的信息的完整性非常關(guān)鍵，需要由授權(quán)的操作人員進(jìn)行確認(rèn)。.（不受控）客戶/消費(fèi)者領(lǐng)域和生產(chǎn)領(lǐng)域之間交換的反饋數(shù)據(jù)的可靠性和完整性被認(rèn)為較低，需要對(duì)數(shù)據(jù)進(jìn)行雙重檢查（例如，通過(guò)多個(gè)數(shù)據(jù)集的相關(guān)性）；.確保交換的工程和設(shè)計(jì)數(shù)據(jù)的完整性；.確保仿真系統(tǒng)和輸入仿真系統(tǒng)的數(shù)據(jù)的完整性;.新功能/附加設(shè)備/組件在安裝前進(jìn)行驗(yàn)證，投入運(yùn)行需要由授權(quán)的操作人員確認(rèn)。8.5數(shù)據(jù)保密性(DC)8.5.1概述在智能制造中，有必要區(qū)分以下三種類型的數(shù)據(jù)/信息：.需要在不同利益相關(guān)方之間共享的數(shù)據(jù)，以實(shí)現(xiàn)特定的用例（例如，用于智能數(shù)據(jù)分析的傳感器數(shù)據(jù)）。數(shù)據(jù)所有者有意犧牲某些數(shù)據(jù)的嚴(yán)格保密性，以從與第三方共享數(shù)據(jù)中獲利。但是，數(shù)據(jù)所有者希望確保數(shù)據(jù)僅限用于預(yù)期用途。.一種特殊情況涉及個(gè)人數(shù)據(jù)的處理(例如，通過(guò)反饋提供的最終客戶數(shù)據(jù)，在這種情況下適用隱私法規(guī))。.與傳統(tǒng)制造系統(tǒng)一樣，也存在數(shù)據(jù)所有者不希望共享的數(shù)據(jù)，例如算法或構(gòu)造上的知識(shí)產(chǎn)權(quán)。如果必須在不受信息所有者控制的信任域中使用此信息，則需要特別考慮。8.5.2預(yù)期使用預(yù)期使用是指正確使用有意共享的數(shù)據(jù)，以獲得所有可能的利益。隱私一詞指的是個(gè)人數(shù)據(jù)的預(yù)期使用。實(shí)際個(gè)人數(shù)據(jù)和通用傳感器數(shù)據(jù)之間的分界線是可變的，可取決于上下文。如圖13所示：GB/ZXXXXX—XXXX/IEC/TR63283-3:2022圖13隱私及預(yù)期使用在可能的情況下，避免在智能制造系統(tǒng)中使用個(gè)人數(shù)據(jù)。在涉及個(gè)人數(shù)據(jù)的情況下，假名化/匿名化等技術(shù)盡可能靠近數(shù)據(jù)來(lái)源，以避免個(gè)人數(shù)據(jù)暴露。有關(guān)隱私的數(shù)據(jù)保密性（DC）要求列于表18中。表18數(shù)據(jù)保密性在隱私方面的挑戰(zhàn)(DC)8.5.3數(shù)據(jù)保密性除隱私外，數(shù)據(jù)保密性（DC）的其他要求見表19。表19隱私外的數(shù)據(jù)保密性(DC)要求說(shuō)明DC02網(wǎng)絡(luò)數(shù)據(jù)的保密性DC03仿真模型數(shù)據(jù)的保密性DC04工程數(shù)據(jù)的保密性DC05產(chǎn)品知識(shí)產(chǎn)權(quán)的保密性DC06審計(jì)日志的保密性可追溯性信息可能包含敏感數(shù)據(jù)，攻擊者可能會(huì)使用這些數(shù)據(jù)來(lái)檢索生產(chǎn)系統(tǒng)的信息和弱攻擊者可以從可追溯性記錄中提取和獲取敏感信息，并了解生產(chǎn)系統(tǒng)的弱點(diǎn)DC07可信執(zhí)行DC08員工/相關(guān)工作人員/可關(guān)聯(lián)的傳感器數(shù)據(jù)的隱私DC09暴露機(jī)器學(xué)習(xí)訓(xùn)練數(shù)據(jù)中的機(jī)密數(shù)據(jù)DC10生產(chǎn)計(jì)劃的保密性8.6受限的數(shù)據(jù)流(RDF)受限的數(shù)據(jù)流(RDF)要求詳見表20。GB/ZXXXXX—XXXX/IEC/TR63283-3:2022表20受限的數(shù)據(jù)流的挑戰(zhàn)(RDF)8.7對(duì)事件的及時(shí)響應(yīng)(TRE)追溯是一種內(nèi)置于生產(chǎn)系統(tǒng)中的功能，用于追蹤故障和攻擊的譜系。在發(fā)生