中国工控信息安全技术标准体系课件

1、中国工控信息安全技术标准体系梅恪机械工业仪器仪表综合技术经济研究所（ITEI）全国工业过程测量控制和自动化标准化技术委员会（SAC/TC124）2014年9月 工控技术发展与信息安全势态 国际工控信息安全技术标准情况 国家工控信息安全技术标准情况 技术标准体系的构建 面临的问题 总结2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI）2022/9/132022/9/13技术发展需求2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI）以智能制造为主导的第四次工业革命正在兴起技术发展需求工控系统的发展方向全球互联、嵌入式智能、自组织 传统系统封闭式系统演变到开放式的网络系统

2、开放的硬件体系开放的协议体系 过程控制和企业信息系统的集成供给链集成企业间协同 无线技术的广泛应用2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI）企业分层模型以MES制造执行系统层分界向上为传统IT领域向下为工控领域传统信息系统：保密性完整性可用性仪控系统：可用性完整性保密性IT系统与工控系统的需求比较2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI）IT系统工控系统可用性允许短时间/周期性的间断或维护要求24h/7d/365d模式的可用性时间敏感性允许一定时延要求实时响应系统生命周期3-5年5-20年信息安全意识及准备较好没有基础保密性较高要求较低设备类型较少较

3、多无线技术应用很多刚刚起步IEC62443系列标准框架2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI）2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI）102022/9/13102022/9/1310IEC/TC65组织结构图2022/9/13全国工业过程测量和控制标准化技术委员会（SAC/TC124）11SystemsDevicesISA Secure测试验证12嵌入式设备安全保证(EDSA)软件开发安全评估(SDSA)功能性安全评估(FSA)通信健壮性测试(CRT)检测和避免系统设计错误审核供应商的软件开发和维护程序确保组织机构遵照稳定和安全的软件开发程序检测

4、执行错误 / 疏忽按照目标安全等级的要求对组件的安全功能进行审核确保产品能够达到安全功能要求鉴别网络和设备缺陷根据通信健壮性要求测试组件的通信健壮性基于4层OSI参考模型进行缺陷测试ISA Secure嵌入式设备测试2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI） NIST: SP800-82工业控制系统信息安全指南 WIB M2784过程控制领域中对供应商的信息安全要求 其他国家及技术组织标准其他国家及技术组织标准2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI） IEC/TC65发布65/569/DC，建立一个协调Safety和Security的特别工作组（A

5、D-HOC Group），以提出建议和新项目提案工作组的研究内容包括：1、现有相关标准；2、 Safety和Security的区别；3、 Safety和Security的共性；4、协调Safety和Security的限制；5、可能的协调方法；6、紧急情况下的权衡与取舍；7、建议和新项目提案的范围。现向各国征集意见并召集专家（截至9月5日）第一次会议定于2014.10.28-29 德国法兰克福2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI）协调工作组工控系统信息安全我国的标准工作组2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI）机械工业仪器仪表综合技术经济研究所、

6、中国电子技术标准化研究所、浙江大学、北京和利时系统工程有限公司、中国核电工程有限公司、中国电力科学研究院、清华大学、西南大学、重庆邮电大学、华中科技大学、上海自动化仪表股份有限公司、东土科技股份有限公司、西门子（中国）有限公司、施耐得电气（中国）有限公司、罗克韦尔自动化（中国）有限公司、中国仪器仪表学会、北京海泰方圆科技有限公司、华北电力设计院工程有限公司、北京国电智深控制技术有限公司、中国科学院沈阳自动化研究所、横河电机（中国）有限公司北京研发中心、青岛多芬诺信息安全技术有限公司、北京力控华康科技有限公司、华为数字技术（都）有限公司、欧姆龙上海有限公司R&D中心、北京四方继保自动化股份有限公

7、司、中国电子产品可靠性与环境试验研究所信息安全研究中心、启明星辰、电子科技集团三十所 工控信息安全标准起草工作组成员单位2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI）工作组成员 授权和认证技术 过滤/阻塞/访问控制技术 加密技术和数据有效性确认 管理、审记、监控和检测工具信息安全的标准要素需求技 术管 理 信息安全管理体系ISO2700 x对象系统和设备人员和机构 DCS、SCADA、FCS 等 IPC、PLC、交换设备、智能仪表等 资质、培训 等 评审、认可、制度等2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI） 管理等级 基于ISO27002的管理要求；

8、基于WIB； 三级划分； 系统能力等级 基于IEC62443-3-3技术要求； 四级划分； 信息安全等级 管理要求与技术要求加权； 四级划分。信息安全等级 2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI） 系统能力等级 信息安全等级管理等级CL1CL2CL3CL4ML1SL1SL1SL1SL1ML2SL1SL2SL2SL3ML3SL1SL2SL3SL4确定评估目标制定评估计划选择评估方法获取必备信息高级风险评估详细风险评估综合评估结果改进措施建议识别工况环境措施风险分析措施具体实施风险处置方案整改实施计划安全措施验证系统完整性验证IACS生命周期评估验收IACS安全周期V模型安

9、全态势分析常规分析与报告定期审计与措施重新评估与验收2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI）IACS安全周期V模型2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI）PLC系统信息安全要求 定义了从现场设备层到运营管理层的信息安全要求。 主要描述风险内容、安全技术要求、安全管理要求、检测与验收等。 包括系统生命周期内的设计开发、安装、运行维护、退出使用等各阶段与系统相关的所有活动。PLC系统信息安全要求工业环境适应性要求 气候环境、电磁兼容、电气安全、机械适应性、外壳防护要求等安全防护标准中定义了集散控制系统在运行和维护过程中应具备的安全能力和防护技术要求风

10、险与脆弱性安全防护安全管理安全评估安全评估标准定义了集散控制系统在运行和维护过程中对系统技术防护能力和安全管理有效性的评估过程和方法。安全管理标准定义了集散控制系统在运行和维护过程中应具备的安全管理要点和防护管理要求风险与脆弱性检测标准定义了集散控制系统在运行和维护过程中潜在系统脆弱性和安全风险的检测内容和测试方法DCS系统信息安全要求2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI）DCS系统信息安全要求2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI）信息安全标准现状通过11项国家/行业标准的制定，已经初步建立了系统级的安全要求标准体系： 顶层设计：建立了基于技术与管理方法的评估规范和验收规范； 系统设计：建立了DCS、现场总线、PLC系统安全设计规范； 产品设计：即将建立基于嵌入式系统的产品安全规范。技术标准体系2022/9/13机械工业仪器仪表综合技术经济研究所（ITEI）标准体系： 领域：适应工控系统所有应用领域； 层次：现场设备层到MES层； 系统：产品全生命周期；技术层面的问题 1、面向生产工艺的资产模型与安全决策； 2、探测与侦别异常信息的手段； 3、多维联动报警与故障恢复技术； 4、工业级边界防护设备； 5、工控软件的健壮性设