1 范圍

      本文件規(guī)定了工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)要求、保障要求和測(cè)試評(píng)價(jià)方法。

      本文件適用于工業(yè)控制系統(tǒng)建設(shè)、運(yùn)營(yíng)、維護(hù)等。

2 規(guī)范性引用文件

      下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 7353-1999 工業(yè)自動(dòng)化儀表盤(pán)、柜、臺(tái)、箱

      GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)

      GB/T 36324-2018 信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范

      GB/T 37933-2019 信息安全技術(shù) 工業(yè)控制系統(tǒng)專(zhuān)用防火墻技術(shù)要求

3 術(shù)語(yǔ)和定義

      GB/T 22239-2019、GB/T 25069-2010、GB/T 36324-2018和GB/T 37933-2019界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

      工業(yè)控制資產(chǎn) industrial control asset

      工業(yè)生產(chǎn)控制過(guò)程中具有價(jià)值的軟硬件資源和數(shù)據(jù)。

      注：包括控制設(shè)備、工業(yè)主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序、工業(yè)數(shù)據(jù)等。

3.2

      中心控制室 central control room

      位于組織內(nèi)，具有生產(chǎn)操作、過(guò)程控制、安全保護(hù)、儀器儀表維護(hù)和生產(chǎn)管理等功能的綜合性場(chǎng)所。

3.3

      現(xiàn)場(chǎng)控制室 field control room

      位于組織內(nèi)生產(chǎn)現(xiàn)場(chǎng)，具有生產(chǎn)操作、過(guò)程控制和安全保護(hù)等功能的場(chǎng)所。

3.4

      現(xiàn)場(chǎng)機(jī)柜室 field auxiliary room

      位于組織內(nèi)生產(chǎn)現(xiàn)場(chǎng)，用于安裝工業(yè)控制系統(tǒng)機(jī)柜及其他設(shè)備的場(chǎng)所。

3.5

      控制設(shè)備 control equipment

      工業(yè)生產(chǎn)過(guò)程中用于控制執(zhí)行器以及采集傳感器數(shù)據(jù)的裝置。

      注：包括DCS現(xiàn)場(chǎng)控制單元、PLC以及RTU等進(jìn)行生產(chǎn)過(guò)程控制的單元設(shè)備。

3.6

      工業(yè)主機(jī) industrial host

      工業(yè)生產(chǎn)控制各業(yè)務(wù)環(huán)節(jié)涉及組態(tài)、工作流程和工藝管理、狀態(tài)監(jiān)控、運(yùn)行數(shù)據(jù)采集以及重要信息存儲(chǔ)等工作的設(shè)備。

      注：包括工程師站、操作員站、服務(wù)器等。

3.7

      雙機(jī)熱備 dual-machine hot standby

      通過(guò)網(wǎng)絡(luò)連接主機(jī)和從機(jī)，正常情況下主機(jī)處于工作狀態(tài)，從機(jī)處于監(jiān)視狀態(tài)，一旦主機(jī)異常，從機(jī)自動(dòng)代替主機(jī)。

4 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      APT：高級(jí)持續(xù)性威脅（Advanced Persistent Threat）

      CPE：客戶(hù)前置設(shè)備（Customer Premise Equipment）

      DCS：分布式控制系統(tǒng)（Distributed Control System）

      DNP：分布式網(wǎng)絡(luò)協(xié)議（Distributed Network Protocol）

      FTP：文本傳輸協(xié)議（File Transfer Protocol）

      HMI：人機(jī)界面（Human Machine Interface）

      HTTPS：以安全為目標(biāo)的超文本傳輸協(xié)議通道（Hyper Text Transfer Protocol over Secure Socket Layer)

      ICS：工業(yè)控制系統(tǒng)（Industrial Control System）

      IEC：國(guó)際電工委員會(huì)（International Electrotechnical Commission）

      IP：互聯(lián)網(wǎng)協(xié)議（Internet Protocol）

      IPSec：互聯(lián)網(wǎng)安全協(xié)議（Internet Protocol Security）

      MAC：媒體存取控制（Media Access Control）

      OLE：對(duì)象連接與嵌入（Object Linking and Embedding）

      OPC：用于過(guò)程控制的 OLE（OLE for Process Control）

      PLC：可編程邏輯控制器（Programmable Logic Controller）

      RPO：恢復(fù)點(diǎn)目標(biāo)（Recovery Point Objective）

      RTO：恢復(fù)時(shí)間目標(biāo)（Recovery Time Objective）

      RTU：遠(yuǎn)程終端單元（Remote Terminal Unit）

      SCADA：監(jiān)視控制與數(shù)據(jù)采集（Supervisory Control and Data Acquisition）

      SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol）

      SSH：安全外殼（Secure Shell）

      SSL：安全套接層（Secure Socket Layer）

      TCP：傳輸控制協(xié)議（Transmission Control Protocol）

      VPN：虛擬專(zhuān)用網(wǎng)絡(luò)（Virtual Private Network）

      WAF：網(wǎng)絡(luò)應(yīng)用防火墻（Web Application Firewall）

5 概述

5.1 ICS基本構(gòu)成

      按GB/T 36324-2018中4.1，ICS包括但不限于以下部分。

      a）核心組件：包括SCADA、DCS、PLC等控制系統(tǒng)和控制設(shè)備，以及各組件通信的接口單元。

      b）控制過(guò)程：由控制回路、工業(yè)主機(jī)、遠(yuǎn)程診斷與維護(hù)工具三部分完成，控制回路用以控制邏輯運(yùn)算，工業(yè)主機(jī)執(zhí)行信息交換，遠(yuǎn)程診斷與維護(hù)工具用于出現(xiàn)異常操作時(shí)進(jìn)行診斷和恢復(fù)。

      c) 結(jié)構(gòu)層次：參考GB/T22239-2019中附錄G，ICS及相關(guān)聯(lián)系統(tǒng)從上到下共分為企業(yè)資源層、生產(chǎn)管理層、過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層等五層。在實(shí)際工業(yè)生產(chǎn)環(huán)境中，可出現(xiàn)相鄰兩層的功能由一個(gè)系統(tǒng)、設(shè)備來(lái)實(shí)現(xiàn)，即在物理上并未分開(kāi)。

5.2 安全防護(hù)對(duì)象和目的

      本文件中ICS安全防護(hù)對(duì)象包括：現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層和過(guò)程監(jiān)控層工業(yè)控制資產(chǎn)。

      本文件給出了物理環(huán)境安全防護(hù)等八項(xiàng)技術(shù)要求指標(biāo)和軟件開(kāi)發(fā)安全防護(hù)等兩項(xiàng)保障要求指標(biāo)，安全防護(hù)目的包括如下內(nèi)容。

      a） 安全防護(hù)技術(shù)要求：

      1) 物理環(huán)境安全防護(hù)的目的是防止人員未經(jīng)授權(quán)訪(fǎng)問(wèn)、損壞和干擾ICS資產(chǎn)，避免受到外部物理環(huán)境因素影響，保護(hù)ICS的外部運(yùn)行環(huán)境；

      2) 網(wǎng)絡(luò)通信安全防護(hù)的目的是保護(hù)ICS中傳輸?shù)臄?shù)據(jù)的完整性和保密性，維護(hù)ICS內(nèi)部以及與外部網(wǎng)絡(luò)之間信息的安全傳輸；

      3) 網(wǎng)絡(luò)邊界安全防護(hù)的目的是安全訪(fǎng)問(wèn)ICS，避免非授權(quán)訪(fǎng)問(wèn)，及時(shí)發(fā)現(xiàn)并有效保護(hù)ICS免受惡意入侵和攻擊，部分行業(yè)的應(yīng)用場(chǎng)景見(jiàn)附錄A；

      4) 工業(yè)主機(jī)安全防護(hù)的目的是有效控制工業(yè)主機(jī)訪(fǎng)問(wèn)行為，避免非授權(quán)訪(fǎng)問(wèn)，防止工業(yè)主機(jī)受到非法入侵或造成工業(yè)數(shù)據(jù)泄漏；

      5) 控制設(shè)備安全防護(hù)的目的是安全訪(fǎng)問(wèn)控制設(shè)備，阻止非授權(quán)訪(fǎng)問(wèn)，避免控制設(shè)備受到惡意入侵、攻擊或非法控制；

      6) 數(shù)據(jù)安全防護(hù)的目的是保護(hù)數(shù)據(jù)全生存周期的完整性和保密性，防止未經(jīng)授權(quán)使用和處理數(shù)據(jù)、惡意篡改和竊取數(shù)據(jù)等現(xiàn)象發(fā)生，數(shù)據(jù)安全防護(hù)對(duì)象見(jiàn)附錄B；

      7) 防護(hù)產(chǎn)品安全的目的是產(chǎn)品功能安全可靠、管控策略有效，避免因產(chǎn)品自身功能缺陷給ICS的正常運(yùn)行帶來(lái)安全隱患；

      8) 系統(tǒng)集中管控的目的是集中維護(hù)和管控ICS，統(tǒng)一制定與部署安全策略，集中響應(yīng)安全事件，典型部署方式見(jiàn)附錄C。

      b) 安全防護(hù)保障要求：

      1）軟件開(kāi)發(fā)安全防護(hù)的目的是控制ICS軟件的安全開(kāi)發(fā)，避免軟件自身存在安全隱患；

      2) 系統(tǒng)維護(hù)安全防護(hù)的目的是有效控制系統(tǒng)維護(hù)過(guò)程，避免系統(tǒng)在維護(hù)過(guò)程中受到干擾、惡意入侵，或發(fā)生數(shù)據(jù)泄露、被破壞或篡改等現(xiàn)象。

      本文件提出的安全防護(hù)技術(shù)要求和保障要求分為四個(gè)等級(jí)，與GB/T 22239-2019、GB/T 36324-2018提出的相應(yīng)安全保護(hù)等級(jí)要求保持一致，并按梯次推進(jìn)的方式給出了不同安全保護(hù)等級(jí)ICS所對(duì)應(yīng)的技術(shù)要求和保障要求。

      測(cè)試評(píng)價(jià)方法是針對(duì)ICS運(yùn)營(yíng)單位執(zhí)行本文件安全防護(hù)技術(shù)要求和保障要求的情況進(jìn)行測(cè)試評(píng)價(jià)的一般方法，也可根據(jù)自身關(guān)注點(diǎn)自行調(diào)整測(cè)試評(píng)價(jià)指標(biāo)。測(cè)試評(píng)價(jià)流程見(jiàn)附錄D。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買(mǎi)標(biāo)準(zhǔn)正版。