工业过程测量控制和自动化 智能制造 第3部分：网络安全面临的挑战 征求意见稿

1GB/ZXXXXX—XXXX/IEC/TR63283-3:2022工业过程测量、控制和自动化智能制造第3部分：网络安全面临本文件识别适用于智能制造设施工程与网络安全相关的挑战。注：网络安全挑战以及如何应对这些挑战可能会对智能制造2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。IEC62443(所有部分)工业自动化和控制系统安全3术语和定义、缩略语3.1术语和定义下列术语和定义适用于本文件。注：以下定义与GB/TXXXXX.1完全一致。3.1.1访问access为了使用系统资源而与系统进行通信，或别的互动的能力和手段。注：访问可能会涉及物理访问（物理上允许在某个区域授权，拥有物理的加密装置，PIN码或访问卡或者允许访问的生物特性)或者逻辑访问(通过逻辑和物理方法的结合，获得授权登录到系统和应用)。[来源：GB/T40211-2021,3.2.1]3.1.2访问控制accesscontrol保护系统资源防止未授权的访问﹔系统资源使用的过程是根据安全策略规定的，并且根据该策略只允许被授权的实体(用户、程序、过程或者其他系统)。[来源：GB/T40211-2021,3.2.2]3.1.3管理员administrator其职责包括控制对系统安全策略的访问与实施系统安全策略的用户角色。2GB/ZXXXXX—XXXX/IEC/TR63283-3:20223.1.4资产asset由一个组织拥有或负有保管责任的实体，对该组织具有感知价值或实际价值。3.1.5攻击attack对系统具有威胁的破坏，即企图逃避系统安全服务并破坏系统安全策略的故障行为(尤其指方法或技术)。注：以下为常见攻击分类：——主动攻击是指企图改变系统资源或影响其操作。——被动攻击是指企图使用系统的信息但不会影响系统资源。——内部攻击是指安全范围内的实体发起的攻击（内部实体即被授权访问系统资源的实体未按所授权的方式使用这些资源。——外部攻击是指范围外部由系统未授权或者不合法的使用者发起的(包括内部人员从安全范围外发起的攻击)，潜在的外部攻击者包括业余攻击者、有组织的罪犯、国际恐怖分子和敌对政府。[来源：GB/T40211-2021,3.2.9]3.1.6属性attribute一个实体的性质或特征。[来源：GB/T34064-2017,3.1.3]3.1.7审核日志auditlog与典型事件日志相比，需要更高级别完整性保护的可追溯记录。注：审核日志用于防止拒绝承担操作责任的声明。3.1.8鉴别操作authenticate验证用户、用户设备或者其他实体的身份，数据存储、传输的完整性，暴露信息系统内未经授权的修改；建立传输的有效性。[来源：GB/T40211-2021,3.2.12]3.1.9鉴别authentication旨在建立传输、信息或发起方有效性的安全方法，核实接收特定信息类别的个人授权的方法的有效[来源：GB/T40211-2021,3.2.13]3GB/ZXXXXX—XXXX/IEC/TR63283-3:20223.1.10授权authorization授予系统实体访问系统资源的权利或权限。[来源：GB/T40211-2021,3.2.14]3.1.11可用性availability假设提供了其所需的外部资源，在给定的时刻或者给定的时间内，在给定的条件下执行必要功能时的能力。注1：性能来源于可靠性，可维护性和维护支持。注2：所需的外部资源，除了维护资源，不影响项目的可用性能力。[来源：GB/T40211-2021,3.2.16,有修改]3.1.12批量生产batchproduction成批生产产品或部件的生产过程，其中每一批次都由许多相同的产品或部件组成。[来源：DINEN14943：2006-03]3.1.13管道conduit保护安全的通信资产逻辑组。注：这和保护电缆免受物理损坏的物理管道类似。[来源：GB/T40211-2021,3.2.27]3.1.14保密性confidentiality保证信息不被泄露给未授权的个人、过程或者设备。[来源：GB/T40211-2021,3.2.28]3.1.15连续生产continuousproduction以稳定的生产速率进行的生产。[来源：GB/T2828.3-2008,3.1.1,有修改]3.1.16网络安全cybersecurity4GB/ZXXXXX—XXXX/IEC/TR63283-3:2022用于防止关键系统或者信息类资产的非授权使用、拒绝服务、修改、泄露、财政损失和系统损害的行为。注：目的是降低风险，这些风险包括人身伤害、威胁公共健康、丧失公众或者消费者信任度、泄露敏感资产、不能保护商业资产，或者违背法规。这些概念适用于生产过程中的任何系统，包括单机的和网络的设备。系统间的通信可以通过内部报文或者通过任何操作员或机器接口，以便认证、操作、控制，或和任意的控制系统交换数据。计算机安全包括标识、认证、问责制、授权、可用性和隐私。[来源：GB/T40211-2021,3.2.36]3.1.17数据保密性dataconfidentiality信息对未授权的系统实体（未授权的个人、实体或者过程）不可用或者不能被披露的属性。[来源：GB/T40211-2021,3.2.37]3.1.18数据完整性dataintegrity数据在未授权或者意外情况，不被修改，破坏，或者丢失的属性。注：该术语描述的是数据值的持续性和保密性，不涉及数据值代表的信息或值的来源的可靠性。[来源：GB/T40211-2021,3.2.38]3.1.19拒绝服务denialofservice对授权访问系统资源的阻止或者中断，或者系统操作和功能的延缓。注：工业自动化和控制系统的环境中，拒绝服务是指过程功能的损失，而不仅仅是数据通信的损失。[来源：GB/T40211-2021,3.2.42]3.1.20设备device由其接口划分的，能够在在特定的背景下执行一个或多个特殊功能的独立的物理实体。[来源：GB/T21099.2-2024,3.1.18]3.1.21数字签名digitalsignature数据密码变换的结果，正确完成时，提供数据源认证，数据完整性和签名者非抵赖服务。[来源：GB/T40211-2021,3.2.43]3.1.22离散制造discretemanufacturing以非连续方式制造产品的制造方法，例如汽车、电器、电脑。5GB/ZXXXXX—XXXX/IEC/TR63283-3:2022[来源：DINEN14943：2006-03]3.1.23实体entity明确存在的物(物理的或非物理的)。[来源：ISO/IEC20924：2021,3.1.18]3.1.24功能要求functionalrequirement解决方案或解决方案的一部分应执行的行为规范。3.1.25主机host接入到通信子网或网间的计算机，并且该计算机可以使用网络提供的服务与其他附属系统进行交换数据。[来源：GB/T40211-2021,3.2.56]3.1.26标识符IdentifierID在给定身份环境中，用来明确区分一个实体与其他实体的信息。[来源：IEC60050-741：2020,741-01-21]3.1.27影响impact特定事件的评估后果。注：影响可以用伤害和/或死亡人数、环境损害程度和/或财产损害、物质损失3.1.28事故incident不属于系统或服务预期操作的事件，它导致或可导致控制系统所提供服务中断或质量降低的事件。3.1.29工业自动化和控制系统industrialautomationandcontrolsystemsIACS影响或改变工业过程的功能安全、安全和可靠操作的人员、硬件和软件的集合。6GB/ZXXXXX—XXXX/IEC/TR63283-3:2022注：系统包括，但不限于：-工业控制系统包括分布式控制系统(DCS)、可编程序逻辑控制器(PLC)、远程终端单元(RTU)、智能电子设备、监督控制和数据采集(SCADA)、网络电子传感和控制、监视和诊断系统。（在本文件中，不论物理上是分开的还是集成的，过程控制系统包括基本过程控制系统和安全仪表系统(SIS)功能）。–相关的信息系统，例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、制造执行系统和工厂信息管理系统。–相关的内部、人员、网络或机器接口，为连续的、批处理的、离散的和其他生产过程提供控制、安全和制造操作功能。[来源：GB/T40211-2021,3.2.57]3.1.30制造manufacturing涉及生产系统和生产产品的设计、生产和支持的全生命周期活动和过程。3.1.31防抵赖nonrepudiation提供一种安全服务，以防止对通信行为的非法否认。[来源：GB/T40211-2021,3.2.72]3.1.32特权privilege执行特定功能的授权或一系列授权，尤其是在计算机操作系统环境中。示例：使用特权控制的功能包括：确认报警、改变设定点、修改控制算法。[来源：GB/T40211-2021,3.2.78]3.1.33过程process在特定的时间轴内，用一组资源执行一系列活动以实现目标。[来源：GB/T34044.1-2019,2.8]3.1.34产品product劳动、自然或者工业过程的结果。[来源：GB/T17564.1-2011,3.1.23]3.1.35公钥证书publickeycertificate唯一标识实体的数据集，包含实体的公钥，并由受信任方进行数字签名，从而将公钥与实体绑定。7GB/ZXXXXX—XXXX/IEC/TR63283-3:20223.1.36韧性resilienceIACS组织、过程实体或系统抵抗干扰影响的能力。3.1.37风险risk伤害发生的可能性和伤害严重程度的组合。3.1.38风险评估riskassessment系统地辨识重要系统资源的潜在脆弱性和威胁，基于发生的概率量化损失风险和后果，并(可选地)建议如何对各对抗措施分配资源以使总风险最小的过程。注1：资源类型包括物理资源、逻辑资源和人力资源。注2：风险评估常与脆弱性评估相结合，以辨识脆弱性并量化相关风险，周期地执行这些内容是为了反映组织机构的风险裕度、脆弱性、规程、人员和技术上的变化。[来源：GB/T40211-2021,3.2.88]3.1.39安全securitya)保护系统所采取的措施；b)由建立和维护保护系统的措施而产生的系统状态；c)能够免于未授权访问和非授权或意外的变更、破坏或损失的系统资源的状态；d)基于计算机系统的能力，能够提供充分的把握使非授权人员和系统既无法修改软件及其数据也无法访问系统功能，却保证授权人员和系统不被阻止；e)防止对工业自动化和控制系统的非法或有害的入侵、或者干扰其正确和计划的操作。注：措施可以是与物理安全(控制物理访问计算机的资产)或者逻辑安全(登录给定系统和应用的能力)相关的控制手段。[来源：GB/T40211-2021,3.2.99]3.1.40智能smart有一定自主行动的能力。3.1.41系统system在确定的背景中作为一个整体并与其环境分离的相互关联的元素的集合。注1：这些元素可以是实物和概念，也可以是其中结果(例如，组织形式、数学方法和编程语言)。注2：系统被认为通过一个虚构的表面与环境和其他外部系统分离，并且可以切断它们与所考虑的8GB/ZXXXXX—XXXX/IEC/TR63283-3:2022系统之间的联系。[来源：GB/T21099.2-2024,3.1.65]3.1.42系统之系统systemofsystems当独立系统集成到一个更大的系统时所形成的系统集或系统排列。3.1.43威胁threat当有违反安全而引起伤害的环境、能力、行动或事件时，出现安全违规的可能性。[来源：GB/T40211-2021,3.2.125]3.1.44用例usecase由系统执行的一组动作的规范，其会产生可观测的结果，通常来说这个结果对一个或多个参与方或系统的其他利益相关方是有价值的。[来源：ISO/IEC19505-2：2012,16.3.6]3.1.45区域zone基于风险或其他条件区分的逻辑或物理资产分组，如资产的关键性、操作功能、物理或逻辑位置、所需访问权限（例如：最低权限原则）或负责组织。注：在本文件中，术语“区域”的所有无限制使用均被假定为指安全区域。[来源：GB/T44861-2024,3.1.25,有修改]3.2缩略语下列缩略语适用于本文件。AC：标识和鉴别控制(IdentificationandAuthentication，在GB/T40211中定义为安全功能要求）ACS：自动化与控制系统（AutomationandControlSystem）CAD：计算机辅助设计（ComputerAidedDesign）CAPP：计算机辅助生产计划（ComputerAidedProductionPlanning）DC：数据保密性(DataConfidentiality，在GB/T40211中定义为安全功能要求）FMEA：失效模式与影响分析（FailureModeandEffectsAnalysis）FR：基本要求（FoundationalRequirement）IACS：工业自动化和控制系统（IndustrialAutomationandControlSystem）IIoT：工业物联网（IndustrialInternet-of-Things）IDS/IPS：入侵检测系统/入侵防御系统（IntrusionDetectionSystem/IntrusionPreventionSystem）9GB/ZXXXXX—XXXX/IEC/TR63283-3:2022IP：知识产权（IntellectualProperty）ISMS：信息安全管理体系（InformationSecurityManagementSystem）KPI：关键绩效指标（KeyPerformanceIndicator）RA：资源可用性(ResourceAvailability，在GB/T40211中定义为安全功能要求)RDF：限制数据流(RestrictedDataFlow，在GB/T40211中定义为安全功能要求)SI：系统完整性(SystemIntegrity，在GB/T40211中定义为安全功能要求)SM：智能制造（SmartManufacturing）TRE：事件及时响应(TimelyResponsetoEvents，在GB/T40211中定义为安全功能要求)UC：使用控制(UseControl，在GB/T40211中定义为安全功能要求)4智能制造的网络安全挑战智能制造在自动化控制系统(ACS)网络安全方面面临着一些新的挑战。与传统制造系统相比，智能制造系统的以下特点对网络安全产生了影响：l多个利益相关方：ACS不再受单一利益相关方的控制。与之相反，多个利益相关方(如产品所有者、生产设备所有者、生产过程所有者、数据分析服务提供商)需要互动。所使用的安全机制需要能够支持多个利益相关方,并平衡和保护他们潜在的对立的利益。l持续变化：智能制造系统会持续变化和重新配置，例如功能增强、生产设备的变化、所生产产品的变化、过程优化。不同生命周期阶段之间的界限变得模糊(尤其是产品设计、工程、运营)。系统的安全性需要适应这些变化，包括在变化转换期间，并进行相应地调整。l数字数据的密集使用(数字化)：智能制造系统会产生和处理大量的控制及其他数字数据。产品和过程设计数据(例如，计算机辅助设计(CAD)、计算机辅助生产计划(CAPP))、传感器数据、工程数据、设备自描述数据、仿真模型数据，这些数据以前是被保存在不同的系统中，现在则是制造系统的固有部分。这增加了数据暴露，使其更容易受到攻击。潜在的攻击者要么从这些数据中获取直接利益(例如：产品或流程/算法的知识产权(IP))，获得竞争优势(关键绩效指标(KPI)数据)，要么使用捕获的数据开发更复杂的攻击(例如：通过使用仿真模型，这些模型本身需要有受限的访问权限)。l架构：经典自动化金字塔架构解体，转变为依赖于面向服务范式的结构化自动化网络。新的架构概念源于如IECPAS63088：2017(RAMI4.0)、ISO/IEC30141：2018,IoT-参考架构、ISO/IEC30166：2020，IoT-工业物联网。这就需要对相应的网络安全架构进行调整。l新的通信技术在制造业中的应用：智能制造中采用如Wi-Fi和3GPP技术(LTE、5G)等无线网络可增加灵活性(例如易于重新布置生产设备)。然而，无线网络需要提供良好定义的性能。随着新的通信基础设施范式的出现，例如软件定义网络(SDN)和5G，使远程通信易于实现，且在某些情况下也使按GB/T20720(所有部分)或GB/T19892(所有部分)的跨IECPAS63088层级的通信易于实现。例如，现场设备传感器(1层)可旁路传统的金字塔层而被允许与企业/互联世界(4层)直接通信。本文件主要基于对智能制造用例子集的评估。需要进一步的工作，但不限于，例如将评估扩展至更大的用例集。此外，这项工作也需要与正在快速发展的智能制造网络安全领域进行的其他工作保持一致。5系统工程GB/ZXXXXX—XXXX/IEC/TR63283-3:2022智能制造设施是复杂的集成的系统之系统。它们是通过部署ISO/IEC/IEEE15288：2015中规定的过程、活动和任务来进行工程化的。一些系统工程过程需要从网络安全的角度去进行针对性的考虑。当这些过程活动使用与网络安全相关的输入或产生与网络安全相关的输出时，就需要进行相应的考虑。下面的表1标识出了相关的过程和活动。就网络安全而言，它提出了必须考虑的具体方面。1GB/ZXXXXX—XXXX/IEC/TR63283-3:2022表1ISO/IEC/IEEE15288系统工程过程技术管理过程项目策划项目策划过程的目的是制定并协调有效可行的计划。该过程确定项目管理和技术活动的范围，识别过程输出、任务和可交付物，建立任务执行进度，包括完成的标准，以及完成任务所需的资源。这是一个贯穿整个项目并对计划进行定期修改的持续的过程。确定了安全目标和计划；确定了安全方面的角色、职责、责任和权限;正式要求并承诺实现安全目标所需的资源和服务。项目评估与控制项目评估和控制过程旨在监视要求和关键质量特性的完成程度，并将结果传达给利益相关方和管理方。有安全性能措施或评估结评估了安全方面的角色、职责、责任和权限的充分性。评估了与安全有关资源的充分性；评审了技术进度，包括安全目标的实现情况；调查并分析了安全性能与计划的偏差；将项目状态告知受安全问题影响的利益相关方；当安全绩效未达到目标时，确定并指导纠正行动；安全目标得已实现。与系统工程管理计划相关的安全策略。2GB/ZXXXXX—XXXX/IEC/TR63283-3:2022决策管理过程决策管理过程旨在根据决策标准(包括关键的质量特性)来评估替代要求、架构特性和设计特性。通过合适的选择模型来对这些比较的结果进行排序，然后确定识别出需要替代安全分在概念和开发阶段，权衡安全约束和要求，以优化利益相关方需求的风险管理作为一个整体而言，风险管理过程旨在识别、评价和处理系统风险，包括那些与满足关键质量特性相关的风险。识别导致风险的安全脆弱对安全脆弱性的风险处理可选方案进行识别、优先排序和选择。已实施了适当的安全措施。在整个系统生命周期中，相关的风险。配置管理配置管理过程的目的是在整个生命周期中管理、控制系统元素和配置。配置管理还管理产品与其相关配置定义之间的一致性。确定与安全相关的需要配置管理的项目。受配置管理的对安全相关项的变更是受控的。信息管理整体而言，信息管理过程进行信息项的规范制定、开发和维护，用以记录和沟通成果实现的程度。需注意的是，用于关键质量特性目的的信息项有时在性质上是专门的。这些信息项描述的来源包括产业协会、监管机构和特定标准。识别需管理的安全相关信确定安全相关信息如何表示。获取、开发、转换、存储、确认、呈现和处置安全相关信息。指定的利益相关方可获得安全相关信息。记录整个系统生命周期的所有安全输出。3GB/ZXXXXX—XXXX/IEC/TR63283-3:2022测量测量过程的目的是收集、分析、报告客观数据和信息，用以支持有效的管理和证明产品、服务和过程的质量。基于安全相关信息的需求，识别或开发一套适当的安全指标;收集、验证和存储所需的安全数据；分析安全数据并解释结安全相关信息项提供支持决策的客观信息。质量保证质量保证过程的目的是帮助确保组织的质量管理过程有效地应用于项质量保证聚焦于提供满足质量要求的信心。对项目周期过程和输出进行前瞻性分析，以确保所生产的产品达到预期的质量，组织和项目的方针及程序得到贯彻执行。按照质量管理方针、程序和要求，对项目的安全相关产品、服务和过程进行评估；向有关的利益相关方提供安全评估结果；安全事件得到解决。1GB/ZXXXXX—XXXX/IEC/TR63283-3:2022过程ISO/IEC/IEEE15288：2015工程安全方面的成果安全活动的考虑技术过程业务和使命分析业务和使命分析过程确定问题空间的定义和解决方案空间的特性，包括相关的贸易空间因素和初步生命周期概念。也包括揭示对背景和诸如关键质量特性等任何关键参数（例如：安全威胁、安全危害、人机界面、运营特性和系统保证背景）的理解。确定问题或机会空间的安全方面；描述安全解决方案空间的特确定生命周期阶段的初步运营安全概念及其他概念；识别并分析备选安全解决方案类；选择更合适的备选安全解决方案类；建立安全相关业务或使命问题、机会、更合适的备选安全解决方案类的可追溯性。抓住业务和运营背景，识别使命、能力、运营场景。确定与运营场景相关的初步利益相关方领域目标(业务、安全、形象等)，进行初步网络安全脆弱性分析。2GB/ZXXXXX—XXXX/IEC/TR63283-3:2022利益相关方的需求和要求确定利益相关方需求和要求确定过程旨在选择和确定特性（包括关键质量特性）及相关信息项。活动和文件在识别、优先排序、定义和记录关键质量特性的要求等方面是有用的。识别与安全相关的系统的利益相关方；确定生命周期阶段中所需的安全特性，能力及概念的使用背景，包括运营概念；识别系统的安全约束；确定利益相关方的安全需求；优先考虑利益相关方的安全需求，并将其转化为清晰定义的利益相关方要求；确定关键安全性能指标；利益相关方一致同意其安全需求和期望在要求中得到了充分反映；利益相关方需求和要求区域所需的任何使之可行的系统或服务都可用；建立利益相关方对利益相关方的要求及其需求的可追溯性。初步分析；确定利益相关方领域的目标和按领域的初步要求。为了在系统环境下正式制定安全策略，启动系统安全计划(SSecP)。系统要求确定系统要求确定过程制定关键质量特性的参数的规范，以及针对待开发的特定系统，如何选择用于跟踪这些要求实现情况的措施。确定系统解决方案的系统描述，包括系统接口、安全功能和边界；确定安全相关系统的要求（功能、性能、过程、非功能和接口）和设计约束；确定关键安全性能指标；分析系统安全要求；开发安全系统要求到利益相关方安全要求的可追溯性。针对不同运营场景下系统的不同不期望行为，通过可能性/严重性矩阵来准确确定安全目标。针对每个运营场景，也考虑到不期望的控制动作，来进行不期望行为的识别。确认系统安全计划。1GB/ZXXXXX—XXXX/IEC/TR63283-3:2022架构确定架构确定过程从架构视角来识别利益相关方的关注点。这些关注点通常转化为横跨生命周期阶段的与关键质量特性相关的期望或约束，如应用（例如可用性、安支持（例如可修复性、的演变（例如适应性、可扩展性、可生存性）、生产（例如可制造性、环境影响、可运输性）等。该过程进一步解决了驱动架构决策的关键质量特性要求，包括就关注点和相关特性来对架构的评估。通过架构来解决已识别的利益相关方安全关注点；开发安全架构视角；为系统开发安全架构模将对系统安全架构决策有重大意义的概念、属性、特性、行为、功能和约束分配到架构实体中；定义安全相关系统的元素及其接口。评估安全架构候选者；实现贯穿整个生命周期的过程用安全架构基础。实现安全架构与安全要求和设计特性的一致性。开发安全相关架构元素到利益相关方和系统安全要求的可追溯性。进行初步安全对策分析确认在工程化安全架构中穿透式要求，不仅要考虑每个运营场景中名义对策所要求的内容，而且还要考虑在对策未被应用或应用过早、过晚或未正确应用情形下所要求的内容（失效模设计确定设计确定过程旨在确定必要的设计特性，包括关键质量特性，例如用于专业特性的设计准则的安全性，根据这些准则对备选设计进行评估。确定每个安全相关系统元素的设计特性；将安全系统要求分配给系统元素；确定或完善构成系统的安全相关系统元素之间的接口；评估安全相关系统元素的设计替代方案；建立安全相关元素的设计特性至系统架构的架构实体的可追溯性。从包括运营、功能和物理架构在内的视角，进行系统和子系统级别的安全分析1GB/ZXXXXX—XXXX/IEC/TR63283-3:2022系统分析系统分析过程通过应用数学分析、建模、仿真、实验和其他技术，为知晓贸易空间的关键质量特性提供了所需的分析水平。分析结果被输入至通过决策管理过程所做的权衡中，以支持其他技术过程。识别所需的系统安全分确认系统安全分析的假设和结果；给决策提供系统安全分析的结果；建立系统安全分析结果的可追溯性；确保系统安全关键失效可能性符合利益相关方目标的置信；通过危险威胁和脆弱性跟踪系统，完成系统和子系统的安全分析，确保一致性。实施实施过程记录关键质量要求已满足的证据。识别影响系统安全要求、构架或设计的实施约束。此外，对于复杂组件的开发（即不可能进行100%的测试一旦已确定了详尽的对策，可能会增加过程保证的定制级别。通过参考协议过程已商定的现有标准，可为复杂组件分配特定的完整性或保证级别。集成集成过程制定集成计划，包括对关键质量特性的考虑，以及确定和记录这些特征实现的保证。识别影响系统安全要求、架构或设计的集成约束，包括接口；确定组装接口和系统功能的安全运行的方法和检查检查组成系统的已实施的系统安全相关元素之间的接口：识别集成安全结果和异常情况；建立已集成的系统安全相关元素的可追溯性。通过危险威胁和脆弱性跟踪系统，完成系统和子系统的安全分析，确保一致性。2GB/ZXXXXX—XXXX/IEC/TR63283-3:2022验证验证过程旨在策划和执行验证实施策略，包括关键质量特性。所选的验证策略会引入可能影响特性实现的设计约束。识别影响系统安全要求、安全架构或设计的验证约束；验证系统或系统安全相关元素；提供已实现系统符合安全要求、架构和设计的客观证据；识别安全方面的验证结果和异常情况。通过危险威胁和脆弱性跟踪系统，完成系统和子系统的安全分析，确保一致性。验证安全需求并创建安全评估报告。转换转换过程旨在其运营环境中安装系统。由于某些特殊属性涉及到在设计约束和运营约束之间进行权衡，因此关注安装过程通常很重要。识别影响系统安全要求、架构或设计的转换约束；对运行人员、用户和对系统使用和支持所需的其他利益相关方进行安全方面的培训；识别安全转换结果和异常情况；激活已安装的系统，准备进行安全运行。通过危险威胁和脆弱性跟踪系统，完成系统和子系统的安全分析，确保一致性。验证安全需求并创建安全评估报告。确认确认过程提供证据，以表明系统所提供的服务满足利益相关方的需求，包括关键质量特性。确定利益相关方安全要求的确认准则；确认利益相关方所需的安全服务的可用性；识别影响系统要求、架构或设计的确认的安全约束；确认系统或系统安全相关元素；识别安全方面的确认结果和异常情况；提供已实现的系统或系统元素满足利益相关方安全需求的客观证据。验证和确认安全要求并完成安全评估报告。3GB/ZXXXXX—XXXX/IEC/TR63283-3:2022运行使用系统提供的服务。识别影响系统安全要求、架构或设计的运行约束；有经过安全培训的合格的运行人员；提供满足利益相关方要求的系统安全服务；监视运行期间的系统安全性能。快速响应安全事件，保护系统之系统的保密性、完整性和可用性。维护保持系统提供服务的能力。识别影响系统安全要求、架构或设计的维护约束；提供替换、已维修或已修订的安全相关系统元素；报告为应对纠正性、完善性或适应性维护而进行变更所带来的安全需求；记录失效和寿命周期安全数据，包括相关成本。测试并安装安全补丁来应对脆弱性。处置维持系统提供服务的能力提供处置安全约束，以作为要求、架构、设计和实施的输入。清除系统退役部分的敏感信息，并确保其余部分仍能继续满足其安全要求。1GB/ZXXXXX—XXXX/IEC/TR63283-3:20226IEC62443(所有部分)在智能制造中的应用6.1概述IEC62443是用于工业网络安全的系列标准。尽管其起源于自动化工业，但是许多领域（例如自动化、配电、移动....）现在都对使用IEC62443(所有部分)感兴趣。IEC62443（所有部分）覆盖了生产系统的整个生命周期，并为产品供应商、集成商、服务提供商以及系统运营商提供了要求。智能制造系统要么由来自不同领域的组件构成，要么需要与这些来自不同领域的组件接口，该方法使得IEC62443（所有部分）成为定义智能制造系统的安全要求的有吸引力的标准。图1示出了IEC62443系列文件已发布和已投票批准的部分，其他部分及修订则正在进行中。图1IEC62443系列IEC62443（所有部分）中勾勒的基本概念也适用于智能制造系统的安全程序的实施（IECTS62443-1-1，ISO/IEC27000：2014）。本文件提供了IEC62443（所有部分）在智能制造系统中的应用指南。在智能制造的范围内，该标准可能应用于组件、设备、系统、系统之系统、企业和智能制造工件（例如产品）。图2示出了在自动化资产（供应、集成、运营）的各个生命周期阶段如何详细地应用IEC62443（所有部分）的各个部分。2GB/ZXXXXX—XXXX/IEC/TR63283-3:2022图2在自动化资产的各个生命周期阶段中，按不同角色分类的IEC62443各个部分的应用细节图2说明了IEC62443（所有部分）如何处理不同的利益相关方，如产品供应商、集成商、服务提供商和系统运营商。随着每个生命周期阶段之间的边界（特别是集成和运营）变得模糊不清，IEC62443（所有部分）的这种整体方法也使其非常适合于智能制造系统。6.2与ISO/IEC27000(所有部分)的关系组织内的安全通常首先应用GB/T22080和GB/T22081以及行业特定文件，从ISMS（信息安全管理体系）的安全角度进行部署。该过程围绕风险分析和风险管理计划的实施进行构建。在工业活动的情况下，其范围通常包括具有某些特定的运营、安全和可用性限制的IACS（工业自动化和控制系统）。该ACS的网络安全方法往往是独立于ISMS进行处理。从网络安全的深度角度来看，ACS和ISMS系统需要被视为一个系统之系统，其安全评估是在此基础上进行的。从网络安全的角度来看，组合的各个系统提出了不同的要求、限制和风险（例如保密性、完整性）。事实上，有许多系统功能通常由ISMS部分处理，并直接影响运营部分的网络安全。随着系统变得越来越数字化，两个组织（IT和OT）之间的边界趋向于变得越来越模糊。GB/T33007提出了针对这一问题的第一种解决方法，该标准将GB/T22080和GB/T22081控制映射到IEC62443的要求中，涵盖了系统、产品或服务提供商等方面。对于关键基础设施，需进行更深入的分析和风险评估，以解决安全性、可用性和实时操作的问题。6.3参考模型虽然GB/T40211-2021第6章中给出的通用参考模型为组织智能制造系统的不同功能方面提供了一个好的框架，但它也支持解决与GB/T40211-2021图16所示的经典自动化金字塔不同的互联智能制造系统架构的示例。6.4基本要求3GB/ZXXXXX—XXXX/IEC/TR63283-3:2022为了实施ACS网络安全，IEC62443（所有部分）确定了七个需要解决的基本要求。这些基本要求同样也适用于智能制造系统。GB/T40211中给出的基础要求如下：1）访问控制(AC)：控制对被选设备、信息或两者的访问，防止未经授权查询设备或信息。2）使用控制(UC)：控制对被选设备、信息或两者的使用，防止未经授权操作设备或使用信息。3）数据完整性(DI)：保证被选通信通道上数据的完整性，防止未经授权的修改。4）数据保密性(DC)：保证被选通信通道上数据的保密性，防止被窃听。5）限制数据流(RDF)：限制通信通道上数据流，防止向未经授权的信息源发布信息。6）事件及时响应(TRE)：对于任务关键型或安全关键型的情况，通过通知合适的主管机构，报告所必需的破坏的法律证据、自动采取及时的纠正行动以对破坏安全的事件作出响应。7）资源可用性(RA)：保证网络资源的可用性，防止拒绝服务攻击。在传统系统中，敏感用户数据通常不会暴露给自动化系统，但在智能制造中，情况发生变化。对于智能制造系统（例如，制药中的批量生产）而言，保护用户数据隐私的重要性将会增加。并不需要对隐私保护有一个全新的基本需求，这是因为智能制造系统的FR4（数据保密性）和FR5（限制数据流）能涵盖这一点。当新的威胁变得明显时，可能需要开发其他FR。此类其他FR需要与TC65/WG10合作开发。6.5系统之系统中的区域和管道区域和管道是IEC62443中的重要概念。区域和管道背后的想法是将复杂的自动化系统分成几个（嵌套的）子系统。区域是一个基于风险或其他准则，如资产关键性、运行功能、物理或逻辑位置、所需访问权限（例如最小特权原则）或负责组织，由自动化资产（设备）所组成的组/子系统。一个区域内或区域之间的设备之间的通信使用所谓的管道进行（示例见GB/T40211）。虽然能按不同特性定义区域，但典型实现/设施通常是试图将属于某个区域的生产系统分组到一个封闭的物理位置（例如，在一个生产线内本地组织的几个设备被组织在一个区域内）。在智能自动化系统中，智能生产设备可能会更加灵活地部署。例如，机器人参与多条生产线的生产过程，在整个工厂范围内移动的自动化智能车辆替代了固定安装的传送带，自动化系统中使用的软件服务被远程部署（云）等。此外，智能制造系统可使用变更后的架构蓝图，诸如无线、5G和软件定义网络等新技术允许减少物理层级和复杂性，并将物理网络拓扑与IEC62264(所有部分)中定义的功能层级解耦。区域和管道需要适应这些类型的架构和通信基础设施。GB/T40211提到了虚拟区域和虚拟管道。虚拟区域和管道不受物理位置的限制。虚拟区域和管道是一个可用于智能制造系统的潜在概念。GB/T44861尚未详细阐述虚拟区域和管道，也未给出任何关于如何将区域和管道应用于智能制造系统的提示。智能制造系统的系统分割的关注点需要从物理访问和接近转向基于访问控制和通过加密手段支持的虚拟网络隔离的逻辑分离。需要对虚拟区域和管道的定义和实施提供进一步的指南。6.6安全风险评估和安全等级安全风险评估的目标是识别所需的安全活动和机制的范围和程度，以保护制造系统的基本功能（见图2）。智能制造系统的安全风险评估不再聚焦于特定的产品和生产过程——安全评级和安全要求需要根据制造系统的实际使用情况进行动态调整。实现期望中的灵活生产的前提是智能制造系统能提供并调整到所要求的安全级别。智能制造系统构成了一个系统之系统。智能组件被集成到智能设备中形成智能系统，依此类推。需要有一个有效且明确定义的过程来确定组合系统的安全级别。4GB/ZXXXXX—XXXX/IEC/TR63283-3:20226.7安全生命周期智能制造系统的安全生命周期需要与智能制造系统的生命周期模型保持一致。如上所观察到的，生命周期阶段之间的边界将消失。需要定义如何将IEC62443安全生命周期模型（见GB/T40211-2021，图19）与经历持续重新配置的智能制造系统的灵活生命周期集成。这些转换过程中的完整路径均需要是受保护的。6.8审计和记录针对智能制造场景的审计和记录需要进一步研究。组件（包括产品）会在制造系统中动态添加和移除，和/或在不同的制造系统之间移动。审计和记录需要跟踪这些动作。此外，需要确保存储在这些组件上的审计和记录数据在组件不再可访问时仍然保持可用。至少需要考虑GB/T40682和GB/T42456标准要求，其他标准的适用性需要进一步评估。6.9结论以下列项总结了用于智能制造时需进一步完善现有IEC62443系列标准的建议：1）在使用专门术语和定义时保持一致，尤其是在组件、产品和系统方面，以避免误解（见IEC63283-1）。2）将IEC62443的虚拟区域和管道概念扩展到采用与之物理制造系统中等效的逻辑/虚拟拓扑。3）调整IEC62443的风险评估和安全等级，例如，制造系统能够根据实际生产环境（例如，正在生产的产品）在不同的（预定义的）安全等级之间切换。4）使IEC62443（GB/T33007-2016，4.3.4.1图5）的安全管理活动与智能制造系统的生命周期相一致，特别是对初始系统设计中考虑灵活重新配置的程度以及在维护过程中能处理的程度提供指南。5）考虑到产品及其数据是生产系统的组成部分（例如，携带生产数据，提供反馈数据），因此正在制造的产品参与了制造过程。6）扩展IEC62443（所有部分）的审计和记录（见6.8）。7智能制造的安全威胁7.1概述本文件识别了智能制造系统的潜在安全风险。分析采用基于威胁的方法。威胁描述了攻击者执行的行动，导致以下工业自动化和控制系统（IACS）保护目标之一的违规：可用性-自动化系统能够执行其预定功能。生产不受（有意的）攻击的干扰。完整性-自动化系统按照预期运行，生产系统使用的所有数据未被未经授权的实体篡改或修改。机密性-某些数据，如产品、加工或机器知识产权、客户私人数据或关键绩效指标（KPI）不会透露给未经授权的实体。为了涵盖广泛的潜在威胁，本文件采用了以下观点：使用案例视图–探讨IECTR63283-2[2]2中描述的几个使用情况涉及的潜在威胁。生命周期视图-探讨智能制造系统附加生命周期相互依赖可能引起的潜在威胁。在不同的视角中出现的威胁并不是相互排斥的，例如，与特定用例相关的威胁也会出现在与该用例相关的生命周期或功能中。7.2网络安全用例视图5GB/ZXXXXX—XXXX/IEC/TR63283-3:20227.2.1概述第7章根据网络安全性对一组选定的用例进行分析。分析的用例来自IECTR63283-2[2]。任务组还定义了其他用例，以说明特定的安全问题。选择用例旨在提供智能制造特定安全威胁和挑战的概述。这些挑战按照IEC62443（所有部分中所描述的）中的基本要求进行分类，如第6.4节所述。在适用的情况下，我们可以反复利用IECTR63283-2[2]中的技术视角图并进行注释，来说明已经确定的威胁适用于哪些交互和/或资产。注意，这些资产和系统内交互发生的位置在很大程度上取决于实际智能制造系统的实现和部署。威胁和风险分析也是如此。下文中的7.2.2到7.2.13不能替代对实际系统进行的威胁和风险分析。这样做的目的是为将这些抽象使用案例转化为实际系统时提供一些安全指导。随着对智能制造和智能制造安全的理解不断深入，未来会添加更多的使用案例。附录A提供了已分析使用案例和正在解决的基础要求的概述。7.2.2个性化产品制造用例制造商希望基于适应性强的生产系统提供客户要求的个性化产品，以更好地满足客户各自的市场需图3个性化产品制造用例图3展示了可能的攻击点。潜在的威胁和安全挑战详细内容见表2。表2个性化产品制造用例6GB/ZXXXXX—XXXX/IEC/TR63283-3:20221攻击者获取了机密客户数据（例DC01客户数据的隐私-确保敏感客户数据的机密客户数据的知情流程-确保客户数据仅在需要知道的情况下才可客户个性化产2攻击者/制造商获取了机密产品数这些数据可以被用于窃取知识产DC05产品知识产DI11确保半成品产品数据在制造系统内被暴露的详细程度3AC01对客户的身份验证-确保订订单在不同的安全域之间进订单不太可能4高价值产品而不是实际订购的产DI01交换数据的保订单的真实性需要与物流领域合作或开发适当订单在不同的安全域之间进行交换（如子5攻击者利用制造过程设计中的错相对于已知边界条件-实施输入验证，DI12数据的完整性只接受在良好的定义的变化范围内的产品TRE03是用于安全监视和取证的客户订单直接影响生产过程（例如传递配方、数字产品7GB/ZXXXXX—XXXX/IEC/TR63283-3:2022审计日志（保留产品订单的完整7.2.3生产技术标准化用例制造商要求生产资源符合语义化定义的生产能力，以提高生产效率和灵活性（例如通过外包或内部生产订单）。生产资源供应商希望提供符合语义化定义的生产能力的生产资源，但也希望能够提供独特的卖点。图4生产技术标准化用例图4展示了可能的攻击点。详细的潜在的威胁和安全挑战见表3表3生产技术标准化用例8GB/ZXXXXX—XXXX/IEC/TR63283-3:20221在生产网络中披露详细的施工计识产权的机保施工计划中所包含的知识产权的生产系统内部交换的数字化信息容易涉及不同知识产权2在制造设备使用/加工时披露第DC07可信执行-第三方生产技术知识提供商需要确保其知识产权不会被产设备所危害生产设备和生产技由独立方动态提供7.2.4灵活调度和资源分配用例生产经理希望最小化停机时间（故障时间）并优化生产。图5灵活调度和资源分配用例9GB/ZXXXXX—XXXX/IEC/TR63283-3:2022图5展示了可能的攻击点。详细的潜在的威胁和安全挑战见表4。表4潜在的威胁和安全挑战1攻击者欺骗（意外的）事件，导致自动化系统AC06重新安排对需求UC01生产计划的使用DI04生产计划的数据产计划需要经过授权不断的变化是生产网络的一个特征-预期行2攻击者操纵可用的生产资源信息，让制造商无DI04生产计划的数据TRE02当系统仅有部动态适应调节将资源分配固7.2.5生产系统模块化使用用例制造商希望建立一个基于可互换生产资源的适应性生产系统，以更好地响应不断变化的客户或市场一个新的领域组件会自动添加到现有的生产系统中生产系统被重新配置，原因可能如下：由于可用性问题（例如，机器的意外故障），必须使用不同的设备来制造产品。设备被重新配置以生产不同的产品。GB/ZXXXXX—XXXX/IEC/TR63283-3:2022图6生产系统模块化图6展示了可能的攻击点。潜在的威胁和安全挑战详见表5。表5生产系统模块化案例1UC05现场设备的使用控制-新的现场设备访问权限需要根据其在生产过程中预安全引导过程。设备最初是未知的，需要足够的权限才能与现有系2AC02设备/传感器的身份验证——设备需要提供关于其身份和属性/功能的身份验没有专门的建GB/ZXXXXX—XXXX/IEC/TR63283-3:20223UC05现场设备使用控制—新增现场设备的访问权限需要根据其在生产过程中的任RDF02面向任务的数据流限制——新设备的通信范围需要根据其在生产过程中的预4DI06过渡期间的系统完整性-验证整个过渡路径是否安全。这可能排除了几个(最为了保持安全性，不是直接从A转换到在运营期间重新配置现有的5DI07端点自包含基本保护——对于具有静常假定设备位于专用对于所有智能制造系受限制的功能层面上提供一些基本的自我件后，才提供高级功单独的设备/端点不能再依赖于稳定的运GB/ZXXXXX—XXXX/IEC/TR63283-3:20226DI03新功能/配置的数据完整性-在实施之前，需要验证和AC04配置更改提供者的身份验证-只有经过授权的来源才配置更改是正常的，并不总7.2.6反馈循环用例制造公司希望客户（即各自市场）将使用产品的经验（即各自感知）反馈给制造公司，来便优化向客户（即市场）提供的产品。图7反馈循环用例图7展示了可能的攻击点。详细的潜在的威胁和安全挑战见表6。表6反馈循环用例GB/ZXXXXX—XXXX/IEC/TR63283-3:20221攻击者/使用者将无效数据反馈AC01客户端认证—确保客户端与生产域之间反馈数据的真实性/可品是整个生命周期的一部分特别是在反馈中直接使用客2攻击者基于反馈数据构建最终客户配置文件（例如，行为、位置DC01客户数据的隐私-保护收集的最终用户数据7.2.7运行中的仿真生产管理人员希望通过对生产模型进行仿真来优化生产、检查原理可行性、减少由于生产系统重新配置而导致的安全风险，并/或加快生产系统的重新配置过程。安全分析的重点是在预定义的仿真模型中使用当前数据。图8运行中的仿真案例图8展示了可能的攻击点，详细描述潜在的威胁和安全隐患。表7运行中的仿真案例GB/ZXXXXX—XXXX/IEC/TR63283-3:20221攻击者/竞争对手利用仿真数据分析真模型数据的机密性-保持仿真模型和数据的频繁的数据交换会增加关键数据的2攻击者干扰仿真模型和实际生产系统RA01现有仿真数据的可用性-确保仿真运行的数据是最新的智能制造提供仿真以支3攻击者向仿真模型输入无效数据，以诱导做出错误决策（例如，生产供应据提供者的许经过正确识别和授权的参与方提供的数据用4攻击者操纵仿真模型，引导做出错误DI02仿真模型的数据完确保仿真模7.2.8设计与工程中的仿真用例工厂设计工程师想要通过仿真设计的生产系统模型，减少由生产系统工程带来的安全风险，或加快生产系统工程的进度。安全分析的重点在于针对实际生产系统创建和分配仿真模型。GB/ZXXXXX—XXXX/IEC/TR63283-3:2022图9设计与工程中的仿真用例图9展示了可能存在的攻击点。详细的潜在的威胁和安全挑战见表8表8设计与工程仿真用例1真模型的控制性2性-保持仿GB/ZXXXXX—XXXX/IEC/TR63283-3:20227.2.9“生产资源更新和功能可扩展性”和“设备配置”用例“生产资源更新和功能可扩展性”的目标是生产资源供应商希望基于软件提供额外的功能，这些功能可以在生产资源被出售并由制造商使用后解锁，以创建额外的收入流。制造商只想使用生产资源的必要功能以满足其特定目的，但希望能够通过升级（甚至降级）生产资源以灵活地应对市场变化。“设备配置”的目标是软件应用程序提供商希望提供可以灵活部署到设备或通用计算基础设施的软件应用程序。可能存在的威胁和安全挑战见表9。表9生产资源的更新和功能可扩展性，用例设备配置1攻击者/客户在未支付的情况UC04生产能力的使用控制-仅授权用户可以访问特定的功能不再完全由硬件决定，而变成了软件2攻击者安装对计算机或其环境有负面影响的恶意附加功AC07对于功能增强DI03新功能/配置的数据完整性-在安对其合法性进行验3攻击者通过逆向工程/从功能功能更新甚至可能由不同的DC05的内容是产品即明确保护如何在潜在敌对执行环境中安装和运行的更由独立第三方添加到设备中7.2.10从生产系统中提取信息用例制造商希望以无副作用、简单易行的方式收集生产系统的信息，以便使用通用的计算基础设施分析和处理这些信息。GB/ZXXXXX—XXXX/IEC/TR63283-3:2022图10从生产系统中提取信息用例图10展示了可能的攻击点。可能存在的威胁和安全挑战详见表10表10从生产系统中提取信息用例1攻击者欺骗设备或向后端服务发AC02设备/传感AC09传感器数据的传感器数据的完整性-特别是在原始数据不再可用的合数据的完整性问GB/ZXXXXX—XXXX/IEC/TR63283-3:20222攻击者在生产系统中放置伪造的传感器或智能传感器聚合设备（例如，边缘分析提供无效的传感结果DI09确保安装的设备/传感器的真实从传感器直接连接到后端3攻击者拦截与后端系统交换的传DC02网络数据的4UC05使用现场设备控制-保护设备/5被篡改的传感器向后端服务发送动/暴露-系统的客户/操作者可以决定向外部服务提供6DC08员工/工作人员/相关的传感器7.2.11生产资源的自我优化案例、通过机器学习优化操作案例、通过机器学习优化设计和工程案例数据分析将机器学习(ML)技术(例如，人工神经网络)应用于现场设备和智能传感器收集的大量数据。潜在的威胁和安全挑战详见表11。表11机器学习用例1攻击者通过提供被操纵的训练或测试DI10用于机器学习训练和测试的（收集和聚合的机器学习的使用2攻击者向机器学习系统提供被操纵的DI08收集和聚合传感器3攻击者从AI模型中提取原本包含在DC09暴露在机器学习训使用机器学习GB/ZXXXXX—XXXX/IEC/TR63283-3:20224攻击者试图从人工智能结果缺乏可解释性方面而导致的人类操作员的不确TRE06确保机器学习系统基于机器学习系统输出作出7.2.12能效设计案例、能源优化用例生产管理者希望根据与能源效率相关的特定kpi(例如能源消耗和/或能源成本)来优化生产系统的运行。潜在的威胁和安全挑战详见表12。表12能效设计、能源优化用例1攻击者在系统关闭时操纵系统。由于安全系统/解决方案也会受到关闭的影响或在断电期间无法使用，因此可能无法察觉到这种操纵。这也可能RA05传感器和监控的可用性-用于安全监控的传感器需要保持DI05工程数据的数据完整性-在设计时间验证系统完整性所需的一切现在也需在系统运行时伺机关闭部分系2攻击者使用未受保护的能源管理功AC04配置更改提供者的身份验的来源才能启动UC05对现场设备的使用控制-为设备电源管理功能或智能开关提供访问控制权3攻击者利用关闭系统时降低的物理安全性，物理访问设备（例如通过暴GB/ZXXXXX—XXXX/IEC/TR63283-3:20227.2.13无缝模型案例制造商对管理日益增加的产品和生产系统的技术复杂性感兴趣，做出平衡和安全的决策来改善工作流程并降低总成本。潜在的威胁和安全挑战详见表13。表13无缝模型用例1攻击者可以访问通常不在OT系统上的机密性-使用的交换格式提供了保护数据机密性的控制-只有授权的实体才能访问受生产系统内交换的数字化信息容易复2攻击者操纵工程和/或设计数据，以使用的交换格式提供了保护数据完整7.3智能制造生命周期视角下的网络安全智能制造要求不同生命周期轨迹中的流程之间进行密切的交互。如图11所示，这些不同的轨迹不仅在生产过程中相互作用，而且在它们的整个生命周期中互相交换信息。GB/ZXXXXX—XXXX/IEC/TR63283-3:2022图11从价值到价值网络智能制造生命周期视角下的网络安全展示在在表格14中。表14智能制造生命周期视角下的网络安全通过互联网窃听传输到工厂的生例如为了造成生产延迟或过度生AC05，UC06-只允许经过身份验证和过订单或不必要的过度生产攻击者通过互联网更改从工厂传输AC05，UC06-只允许经过身份验证和例如为了识别客户及其报告的问公司的智能产品报告维护和保修AC05，UC06-只允许经过身份验证和GB/ZXXXXX—XXXX/IEC/TR63283-3:2022例如为了识别竞争对手的设备和生产设备（针对性销售攻击者通过互联网窃听从工厂传输到供应商的信息或来自智能生产设备AC05，UC06-只允许经过身份验证和过互联网窃听传输到工厂的产品AC05，UC06-只允许经过身份验证和AC05，UC06-只允许经过身份验证和8挑战总结8.1概述网络安全基于一系列智能制造用例、生命周期流程和功能特性，对智能制造进行了威胁分析，但尚未详尽。8.2至8.8简要概述了构建安全的智能制造系统需要解决的基本挑战。每条都收集了与IEC62443（所有部分）中定义的基本安全要求相关的用例和生命周期视图中确定的安全挑战，见6.4。由于目前只评估了有限的一组用例，因此该概述尚不被认为是全面的。建议在商定的智能制造用例清单[2]可用后，继续进行此项工作。8.2标识和鉴别控制（AC）实体的身份标识为网络安全提供了基础。当以安全的方式执行时，许多功能（例如，数据交换、访问授权）都基于有关各方的正确标识。智能制造依赖于整个价值创造网络中信息的安全交换。信息的安全交换需要对涉及的实体进行明确、唯一的标识和身份认证。许多智能制造用例需要安全身份（安全身份的定义超出了本文件的范围。参见附录B，了解安全身份概念的讨论）。标识和鉴别控制(AC)要求见表15。表15标识和鉴别控制(AC)的挑战ID说明AC01客户的鉴别AC02设备/传感器的鉴别GB/ZXXXXX—XXXX/IEC/TR63283-3:2022AC03仿真数据提供者的鉴别AC04配置更改提供者的鉴别AC05网络参与者的鉴别AC06重新调度请求者的鉴别AC07功能升级提供者的鉴别AC08审计信息的不可否认性智能制造中增加的柔性（例如，临时部署的第三方生产系统进入和离开系统）可能需要提高可追溯性信息的可信度。需确保不同利益相关方之间可追溯性信息的不可否认性。AC09传感器数据的鉴别8.3使用控制(UC)几个智能制造用例取决于系统的（自）描述性信息的可用性。例如，为了实现即插即生产的场景，新添加的设备需要能够展示其功能，并在现有生产系统中发现和探索其新的邻居。一方面，所需的信息需要随时可用，另一方面，未经授权的访问和修改信息会导致多种安全威胁（参见表16）。图12生命周期、用户/利益相关方,授予的权限和视图如图12所示，智能制造系统附带的信息通常会在多个生命周期阶段中持续存在(例如，最初由设备供应商/制造商提供的一些信息可能会被集成商用于工程任务，在运行期间用于维护任务，并可用于反GB/ZXXXXX—XXXX/IEC/TR63283-3:2022馈使用最终产品生成的信息)。生命周期存在于不同的抽象/层次结构级别(例如，自动化设备，最终客户产品)。每个生命周期步骤都涉及不同用户/利益相关方与智能制造系统的数字表示以及智能制造系统产生的人工制品的交互。每个用户都需要被授予当前任务所需的适当访问许可。使用控制(UC)需求如表16所示。表16使用控制(UC)挑战说明智能制造面临的另一个挑战是制定合理的全局访问控制策略。授予权限可能不再仅取决于本地管理员的决策，因为对本地系统的更改可能会通过智能反馈回路对整个系统产生不希望的副作用。这需要反映在IEC62443风险管理过程中。作为第一步，需要确定哪些本地设置需要放入全文并获得透明度。只有确保了这一点，才可能决定本地访问控制策略。为了在复杂系统中建立使用控制，一致的方法至关重要。有各种已建立的范式，例如基于角色的（RBAC）或基于属性的（ABAC）的访问控制，允许实现灵活而一致的访问策略。在定义智能制造系统中的访问控制机制时需要考虑以下几点：.需要统一的常见的基本许可（例如，OPCUA[7]规定的Browse,ReadRolePermissions,WriteAttribute,Call等）；.需要统一的对象和主体属性来构建访问策略（例如，一组熟知的角色）；.引导使用控制，例如，对智能制造设备本身具有最低配置要求的初始访问级别的开箱即用访问控制（例如，在设备加入现有的插拔式系统之前，在设备上设置一组工厂特定的用户是不切实际的）。从这里开始，可以完成/增强配置；.获取特定任务所需访问权限的通用流程（例如，即插即用引导程序）；.提供不同级别的访问控制（主机级别、用户级别）-在主机级身份认证后提供基本访问权限-在用户/应用程序级身份认证后提供特殊访问权限；.允许不同身份之间的使用和映射（身份提供者）；.访问条件的自描述性/反射性表示，即角色、权限、访问限制是OPCUA信息模型的固有部分（也受访问控制机制的约束）。8.4数据和系统完整性(DI)系统和系统间处理和交换的数据的完整性必不可少。数据和系统完整性（DI）要求如表17所示：表17数据和系统完整性(DI)挑战GB/ZXXXXX—XXXX/IEC/TR63283-3:2022用于机器学习训练和测试的（收集和汇总的这些用例突出了智能制造系统面临以下的完整性挑战：.更改智能制造系统的配置或设置（例如优化）或重新安排生产计划时所依据的信息的完整性非常关键，需要由授权的操作人员进行确认。.（不受控）客户/消费者领域和生产领域之间交换的反馈数据的可靠性和完整性被认为较低，需要对数据进行双重检查（例如，通过多个数据集的相关性）；.确保交换的工程和设计数据的完整性；.确保仿真系统和输入仿真系统的数据的完整性;.新功能/附加设备/组件在安装前进行验证，投入运行需要由授权的操作人员确认。8.5数据保密性(DC)8.5.1概述在智能制造中，有必要区分以下三种类型的数据/信息：.需要在不同利益相关方之间共享的数据，以实现特定的用例（例如，用于智能数据分析的传感器数据）。数据所有者有意牺牲某些数据的严格保密性，以从与第三方共享数据中获利。但是，数据所有者希望确保数据仅限用于预期用途。.一种特殊情况涉及个人数据的处理(例如，通过反馈提供的最终客户数据，在这种情况下适用隐私法规)。.与传统制造系统一样，也存在数据所有者不希望共享的数据，例如算法或构造上的知识产权。如果必须在不受信息所有者控制的信任域中使用此信息，则需要特别考虑。8.5.2预期使用预期使用是指正确使用有意共享的数据，以获得所有可能的利益。隐私一词指的是个人数据的预期使用。实际个人数据和通用传感器数据之间的分界线是可变的，可取决于上下文。如图13所示：GB/ZXXXXX—XXXX/IEC/TR63283-3:2022图13隐私及预期使用在可能的情况下，避免在智能制造系统中使用个人数据。在涉及个人数据的情况下，假名化/匿名化等技术尽可能靠近数据来源，以避免个人数据暴露。有关隐私的数据保密性（DC）要求列于表18中。表18数据保密性在隐私方面的挑战(DC)8.5.3数据保密性除隐私外，数据保密性（DC）的其他要求见表19。表19隐私外的数据保密性(DC)要求说明DC02网络数据的保密性DC03仿真模型数据的保密性DC04工程数据的保密性DC05产品知识产权的保密性DC06审计日志的保密性可追溯性信息可能包含敏感数据，攻击者可能会使用这些数据来检索生产系统的信息和弱攻击者可以从可追溯性记录中提取和获取敏感信息，并了解生产系统的弱点DC07可信执行DC08员工/相关工作人员/可关联的传感器数据的隐私DC09暴露机器学习训练数据中的机密数据DC10生产计划的保密性8.6受限的数据流(RDF)受限的数据流(RDF)要求详见表20。GB/ZXXXXX—XXXX/IEC/TR63283-3:2022表20受限的数据流的挑战(RDF)8.7对事件的及时响应(TRE)追溯是一种内置于生产系统中的功能，用于追踪故障和攻击的谱系。在发生