中国工信息安全技术标准体系

1、中国工控信息安全技术标准体系中国工控信息安全技术标准体系梅恪梅恪机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（itei）全国工业过程测量控制和自动化标准化技术委员会（全国工业过程测量控制和自动化标准化技术委员会（sac/tc124）2014年年9月月q 工控技术发展与信息安全势态工控技术发展与信息安全势态q 国际工控信息安全技术标准情况国际工控信息安全技术标准情况q 国家工控信息安全技术标准情况国家工控信息安全技术标准情况q 技术标准体系的构建技术标准体系的构建q 面临的问题面临的问题q 总结总结2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表

2、综合技术经济研究所（iteiitei）2021-11-142021-11-14技术发展需求2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei） 以智能制造为主导的第四次工业革命正在兴起技术发展需求工控系统的发展方向工控系统的发展方向全球互联、嵌入式智能、自组织全球互联、嵌入式智能、自组织 传统系统封闭式系统演变到开放式的网络系统传统系统封闭式系统演变到开放式的网络系统开放的硬件体系开放的硬件体系开放的协议体系开放的协议体系 过程控制和企业信息系统的集成过程控制和企业信息系统的集成供给链集成供给链集成企业间协同企业间协同 无线技术的广泛应

3、用无线技术的广泛应用2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）2021-11-142021-11-14安全势态2010年年2011年年2012年年伊朗政府核电站员工感染stuxnet病毒，严重威胁核反应堆安全运营 黑客入侵数据采集与监控系统，使美国伊利诺伊州城市供水系统的供水泵遭到破坏 两座美国电厂遭usb病毒攻击，感染了每个工厂的工控系统，可被窃取数据 微软警告称最新发现的“duqu”病毒可从工业控制系统制造商收集情报数据 发现攻击多个中东国家的恶意程序flame火焰病毒，它能收集各行业的敏感信息 工控系统信息安全势态：我国

4、：2010年齐鲁石化、2011年大庆石化炼油厂，某装置控制系统分别感染conficker蠕虫病毒，都造成控制系统服务器与控制器通讯不同程度地中断 2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）企业分层模型以以mes制造执行系统层分界制造执行系统层分界向上为传统向上为传统it领域领域向下为工控领域向下为工控领域传统信息系统：保密性传统信息系统：保密性完整性完整性可用性可用性仪控系统：可用性仪控系统：可用性完整性完整性保密性保密性it系统与工控系统的需求比较2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技

5、术经济研究所（iteiitei）it系统系统工控系统工控系统可用性允许短时间/周期性的间断或维护要求24h/7d/365d模式的可用性时间敏感性允许一定时延要求实时响应系统生命周期3-5年5-20年信息安全意识及准备较好没有基础保密性较高要求较低设备类型较少较多无线技术应用很多刚刚起步vdi/vdebsi grundschutznistroadmap to secure control systems in the energy sectoriec 62351iec tc 57 wg15sactc 124dkecommitteesassociationsstandardsguidelinesd

6、hschemsecroadmapnerc-cipiso/iec15408wib m-2784 iso/iec 2700 x iec 62443 / isa-99iacs is信息安全标准2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）iec62443系列标准框架2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）102021-11-14102021-11-1410ie

7、c/tc65组织结构图2021-11-14全国工业过程测量和控制标准化技全国工业过程测量和控制标准化技术委员会（术委员会（sac/tc124sac/tc124）11systemsdevicesisa secure测试验证12嵌入式设备安全保证嵌入式设备安全保证(edsa)软件开发安全评估软件开发安全评估(sdsa)功能性安全评估功能性安全评估(fsa)通信健壮性测试通信健壮性测试(crt)检测和避免系统设计错误检测和避免系统设计错误审核供应商的软件开发和维护程序确保组织机构遵照稳定和安全的软件开发程序检测执行错误检测执行错误 / 疏忽疏忽按照目标安全等级的要求对组件的安全功能进行审核确保产品能

8、够达到安全功能要求鉴别网络和设备缺陷鉴别网络和设备缺陷根据通信健壮性要求测试组件的通信健壮性基于4层osi参考模型进行缺陷测试isa secure嵌入式设备测试2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）l nist: sp800-82工业控制系统信息安全指南l wib m2784过程控制领域中对供应商的信息安全要求l 其他国家及技术组织标准其他国家及技术组织标准2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）l iec/tc65发布65/569/dc，建立一个协调s

9、afety和security的特别工作组（ad-hoc group），以提出建议和新项目提案工作组的研究内容包括：1、现有相关标准；2、 safety和security的区别；3、 safety和security的共性；4、协调safety和security的限制；5、可能的协调方法；6、紧急情况下的权衡与取舍；7、建议和新项目提案的范围。现向各国征集意见并召集专家（截至9月5日）第一次会议定于2014.10.28-29 德国法兰克福2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）协调工作组2021-11-14机械工业仪器仪表综合技

10、术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）iecee认证iecee - 工业自动化认证indat 工业设备电气安全（物理安全）iec 61010-2-201: 控制系统：例如, plc, dcs, paciec 61010-2-20a: 独立电源iec 61010-2-20b: 包含运动的执行器：例如，旋转，线性阀门iec 61010-2-20c: 不包含运动的执行器iec 61010-2-20d: 人机接口 功能安全iec 61508: 通用电气控制系统iec 62061: 机械电气控制系统iec 61511: 过程电气控制系统iec 61131-6: 功能安全pl

11、c 工业信息安全isa积极推进工控系统信息安全我国的标准工作组2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）机械工业仪器仪表综合技术经济研究所、中国电子技术标准化研究所、机械工业仪器仪表综合技术经济研究所、中国电子技术标准化研究所、浙江大学、北京和利时系统工程有限公司、中国核电工程有限公司、中浙江大学、北京和利时系统工程有限公司、中国核电工程有限公司、中国电力科学研究院、清华大学、西南大学、重庆邮电大学、华中科技大国电力科学研究院、清华大学、西南大学、重庆邮电大学、华中科技大学、上海自动化仪表股份有限公司、东土科技股份有限公司、西

12、门子（学、上海自动化仪表股份有限公司、东土科技股份有限公司、西门子（中国）有限公司、施耐得电气（中国）有限公司、罗克韦尔自动化（中中国）有限公司、施耐得电气（中国）有限公司、罗克韦尔自动化（中国）有限公司、中国仪器仪表学会、北京海泰方圆科技有限公司、华北国）有限公司、中国仪器仪表学会、北京海泰方圆科技有限公司、华北电力设计院工程有限公司、北京国电智深控制技术有限公司、中国科学电力设计院工程有限公司、北京国电智深控制技术有限公司、中国科学院沈阳自动化研究所、横河电机（中国）有限公司北京研发中心、青岛院沈阳自动化研究所、横河电机（中国）有限公司北京研发中心、青岛多芬诺信息安全技术有限公司、北京力控

13、华康科技有限公司、华为数字多芬诺信息安全技术有限公司、北京力控华康科技有限公司、华为数字技术（都）有限公司、欧姆龙上海有限公司技术（都）有限公司、欧姆龙上海有限公司 r&dr&d中心、北京四方继保自中心、北京四方继保自动化股份有限公司、中国电子产品可靠性与环境试验研究所信息安全研动化股份有限公司、中国电子产品可靠性与环境试验研究所信息安全研究中心、启明星辰、电子科技集团三十所究中心、启明星辰、电子科技集团三十所 工控信息安全标准起草工作组成员单位工控信息安全标准起草工作组成员单位2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（itei

14、itei）工作组成员2021-11-14 已发布国家标准（已发布国家标准（2项）：项）：gb/t 30976.1-2014 工控系统信息安全工控系统信息安全 第第1部分：评估规范部分：评估规范gb/t 30976.2-2014 工控系统信息安全工控系统信息安全 第第2部分：验收规范部分：验收规范 国家标准计划项目（国家标准计划项目（6项）：项）：20120829-t-604 工业通信网络工业通信网络 网络和系统安全网络和系统安全 第第2-1部分（部分（ 等同等同 iec 62443-2-1：2010） （10月送审）月送审）20130783-t-604 集散控制系统（集散控制系统（dcs）安全

15、防护标准（）安全防护标准（10月送审）月送审） 20130784-t-604 集散控制系统（集散控制系统（dcs）安全管理标准（）安全管理标准（10月送审）月送审） 20130785-t-604 集散控制系统（集散控制系统（dcs）安全评估标准（）安全评估标准（10月送审）月送审） 20130786-t-604 集散控制系统（集散控制系统（dcs） 风险与脆弱性检测标准（风险与脆弱性检测标准（10月送审）月送审） 20130787-t-604 可编程逻辑控制器（可编程逻辑控制器（plc） 安全要求（安全要求（10月送审）月送审） 行业标准计划项目（行业标准计划项目（3 3项）项）jb/t 11

16、960-2014 工业过程测量和控制安全工业过程测量和控制安全 网络和系统安全网络和系统安全iec/tr62443-3：2008jb/t 11962-2014 工业通信网络工业通信网络 网络和系统安全网络和系统安全 第第1-1部分：术语、概念和模型部分：术语、概念和模型 iec /ts62443-1-1：2009jb/t 11962-2014 工业通信网络工业通信网络 网络和系统安全网络和系统安全 第第3-1部分：工业自动化和控制系统用安全技术部分：工业自动化和控制系统用安全技术iec/tr62443-3-1：2009机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（it

17、eiitei）我国标准研制进程 授权和认证技术 过滤/阻塞/访问控制技术 加密技术和数据有效性确认 管理、审记、监控和检测工具信息安全的标准要素需求需求技 术管 理 信息安全管理体系iso2700 x对象对象系统和设备人员和机构 dcs、scada、fcs 等 ipc、plc、交换设备、智能仪表等 资质、培训 等 评审、认可、制度等2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei） 管理等级管理等级 基于基于iso27002iso27002的管理要求；的管理要求； 基于基于wibwib； 三级划分；三级划分； 系统能力等级系统能力等级

18、 基于基于iec62443-3-3iec62443-3-3技术要求；技术要求； 四级划分；四级划分； 信息安全等级信息安全等级 管理要求与技术要求加权；管理要求与技术要求加权； 四级划分。四级划分。信息安全等级信息安全等级 2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei） 系统能力等级 信息安全等级管理等级cl1cl2cl3cl4ml1sl1sl1sl1sl1ml2sl1sl2sl2sl3ml3sl1sl2sl3sl4确定评估目标制定评估计划选择评估方法获取必备信息高级风险评估详细风险评估综合评估结果改进措施建议识别工况环境措施风险

19、分析措施具体实施风险处置方案整改实施计划安全措施验证系统完整性验证iacs生命周期评估验收iacs安全周期v模型安全态势分析常规分析与报告定期审计与措施重新评估与验收2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）iacs安全周期v模型2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）plc系统信息安全要求系统信息安全要求 定义了从现场设备层到运营定义了从现场设备层到运营管理层的信息安全要求。管理层的信息安全要求。 主要描述风险内容、安全技主要描述风险内容、安全技术要求、安

20、全管理要求、检测术要求、安全管理要求、检测与验收等。与验收等。 包括系统生命周期内的设计包括系统生命周期内的设计开发、安装、运行维护、退出开发、安装、运行维护、退出使用等各阶段与系统相关的所使用等各阶段与系统相关的所有活动。有活动。plc系统信息安全要求工业环境适应性要求工业环境适应性要求 气候环境、电磁兼容、电气安全、机械适应性、外壳防护要求等气候环境、电磁兼容、电气安全、机械适应性、外壳防护要求等安全防护安全防护标准中定义了集散控制系统在运行和维护过程中应具备的安全能力和防护技术要求安全评估安全评估标准定义了集散控制系统在运行和维护过程中对系统技术防护能力和安全管理有效性的评估过程和方法。

21、安全管理安全管理标准定义了集散控制系统在运行和维护过程中应具备的安全管理要点和防护管理要求风险与脆弱性检测风险与脆弱性检测标准定义了集散控制系统在运行和维护过程中潜在系统脆弱性和安全风险的检测内容和测试方法dcs系统信息安全要求系统信息安全要求2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）dcs系统信息安全要求2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）信息安全标准现状通过通过11项国家项国家/行业标准的制定，已经初行业标准的制定，已经初步建立了系统级的安全要求标准

22、体系：步建立了系统级的安全要求标准体系： 顶层设计：建立了基于技术与管理方法的评顶层设计：建立了基于技术与管理方法的评估规范和验收规范估规范和验收规范； 系统设计：建立了系统设计：建立了dcs、现场总线、现场总线、plc系系统安全设计规范；统安全设计规范； 产品设计：即将建立基于嵌入式系统的产品产品设计：即将建立基于嵌入式系统的产品安全规范。安全规范。2021-11-14机械工业仪器仪表综合技术经济研究所（机械工业仪器仪表综合技术经济研究所（iteiitei）技术标准体系工控信息安全标准化：工控信息安全标准化： 层域划分：将工控系统按功能划分层次，按工层域划分：将工控系统按功能划分层次，按工艺划分区域；艺划分区域； 要求映射：将技术要求与管理要求映射到不同要求映射：将技术要求与管理要求映射到不同的层域；的层域； 定性定量：安全等级、量化风险评估结果等；定性定量：安全等级、量化风险评估结果等；技术标准体系2021-11-14机械工业仪器仪表综合技术经济研究所（