电力行业信息系统安全等级保护基本要求管理信息类分册-全国信息安全

1、工业控制系统测控终端安全要求 （征求意见稿）编制说明2014 年 6 月一、编制背景 针对目前工控现场测控设备存在的信息安全功能脆弱 性和实现漏洞，亟需针对这些具有处理能力的现场测控设备 制定信息安全要求标准，规范设备的安全功能和安全设计与 实现，标准化有关部门、 测评认证机构对设备的安全性评价、 评估、认证基准。2012 年 12 月，中国电力科学研究院（以下简称中国电 科院）与全国信息安全标准化技术委员会签订国家信息安全 战略研究与标准制定工作专项项目任务书，开展信息安全 技术 工业控制系统测控终端安全要求标准的研究与编写 工作。二、编制依据4321、电力监管条例 （中华人民共和国国务院令

2、第 号）、电力行业网络与信息安全监督管理暂行规定（电 监信息 200750 号）、电力二次系统安全防护规定（电 监会 5 号令）等电监会规范性文件。2、信息安全技术 信息系统安全等级保护基本要求 （GB/T22239-2008 ）、信息技术 安全技术 信息技术安全 性 评 估 准 则 第 2 部 分 : 安 全 功 能 要 求 （ GB/T 18336.2-2008/IEC 15408-2:2005 ）、 NIST Special Publication 800-53 Revision 3 Recommended Security Controls for Federal Informatio

3、n Systems and Organizations 、 ISA-99.04.02 Security for industrial automation and control systems-Technical Security Requirements for IACS Components Draft 1 Edit 1 等 国家和国际标准。三、标准范围本标准规定了工业控制系统现场测控终端设备的安全 技术要求， 适用于指导设备的安全设计、 开发、 测试与评估。 典型设备包括远程传输单元 （RTU ）、智能电子装置 （IED ）、 可编程逻辑控制器（ PLC ）等。某些内容因涉及设备功能实

4、现原理、工业控制系统整体 管理和运行或仅仅是信息技术安全的外围技术，因此不在本 标准范围之内。四、编制过程2013年 2月，成立了由 8家单位共同组成的标准编写组。 2013 年 3 月 28 日，召开了工业控制系统测控终端安 全要求 标准编制工作启动会， 确定了标准编制的技术思路、 主要内容、标准框架及工作计划。2013 年 5 月，编写组采用研究与编制相结合的原则， 采 用分散研究和集中讨论的形式，形成标准草案的结构、范围 和对象描述。2013年 7月，初步完成标准草案中安全技术要求的编写， 并在协调会上对标准的内容和工作进展进行了汇报。2013 年 8 月-9 月，根据协调会意见对标准进

5、行了修改， 并编制完成安全分级与安全要求的对应关系。2013 年 10 月，同包括施奈德、西门子、上海自动化仪 表公司、罗克韦尔登多个工控系统厂商对 PLC 设备的功能和 安全需求进行了讨论，会后并对安全要求进行了调整。2013 年 12 月，在安标委的组织下， 召开了标准初审会， 编写组根据会上意见对初稿进行了调整，形成初稿中间稿。2014 年 5 月，在对初稿进行修改后， 再一次召开了标准 初审会，专家通过了标准初稿，并提出了修改意见。工作组 对根据专家意见对标准进行修改。2014 年 6 月，在安标委的组织下， 进行了标准初稿的投 标，工作组根据投票过程中专家提出的意见对标准进行了修 改

6、形成了标准征求意见稿。五、主要内容本标准参照 GB/T1.1 2009标准化工作导则第 1 部分： 标准的结构和编写规则进行编制。标准的主要结构和内容 如下：目次前言引言标准正文设 6 章：范围、规范性引用文件、 术语和定义、 缩略语、概述、安全技术要求。附录 A （规范性附录）安全功能要求汇总表附录 B（资料性附录）工控系统安全级及设备安全功能 要求与能力安全级对应关系附录 C（资料性附录）典型工业控制系统现场测控设备 功能与构成附录 D（资料性附录）重要信息安全术语和定义 5安全技术要求安全技术要求是通过嵌入式测控终端设备安全性分析 得出的安全需求分析来的。（1）典型攻击终端可能遭受的攻击

7、包括已知服务漏洞攻击、 Fuzz 测试 攻击和非法访问等。已知服务漏洞攻击：攻击者可以通过连接网络或外置网 口对设备开启的服务进行扫描，利用已知的服务漏洞对设备 进行攻击，获取设备的控制权限或读取配置，进而直接控制 下层开关设备或向监控后台发送错误报告，导致误动。Fuzz 测试攻击： 攻击者也可以对设备启用的端口进行监 听，利用工具构造报文对设备进行 Fuzz 攻击， 可能发现溢出 漏洞或直接导致设备异常运行，或在对配置通信协议分析的 基础上，构造恶意报文发送至配置端口，实现对设备配置的修改或直接导致设备异常非法访问：对于有显示屏可以直接配置的设备，攻击者 暴力猜测设备管理员口令，一旦成功将直接获取设备的控制 权限。（2）安全