ICS25040

N10.

中華人民共和國國家標準

GB/T40218—2021/IEC/TR62443-3-12009

:

工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全

工業(yè)自動化和控制系統(tǒng)信息安全技術(shù)

Industrialcommunicationnetworks—Networkandsystemsecurity—

Securitytechnologiesforindustrialautomationandcontrolsystem

(IEC/TR62443-3-1:2009,Industrialcommunicationnetworks—

Networkandsystemsecurity—Part3-1:Securitytechnologiesfor

industrialautomationandcontrolsystem,IDT)

2021-05-21發(fā)布2021-12-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T40218—2021/IEC/TR62443-3-12009

:

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準使用翻譯法等同采用工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第

IEC/TR62443-3-1:2009《3-1

部分工業(yè)自動化和控制系統(tǒng)信息安全技術(shù)

:》。

本標準做了下列編輯性修改

:

修改了標準名稱

———;

刪除了與我國情況不符的腳注

———。

本標準由中國機械工業(yè)聯(lián)合會提出

。

本標準由全國工業(yè)過程測量控制和自動化標準化技術(shù)委員會歸口

(SAC/TC124)。

本標準起草單位機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所電力規(guī)劃總院有限公司中國核電工程

:、、

有限公司和利時科技集團有限公司北京市自來水集團有限責(zé)任公司浙江大學(xué)華中科技大學(xué)重慶

、、、、、

郵電大學(xué)工業(yè)和信息化部計算機與微電子發(fā)展研究中心中國軟件評測中心西門子中國有限公

、()、()

司施耐德電氣中國有限公司羅克韋爾自動化中國有限公司中國科學(xué)院沈陽自動化研究所北京

、()、()、、

啟明星辰信息安全技術(shù)有限公司北京國電智深控制技術(shù)有限公司深圳萬訊自控股份有限公司中國

、、、

電子科技集團公司第三十研究所工業(yè)和信息化部電子第五研究所西南大學(xué)中國東方電氣集團有限

、、、

公司北京四方繼保自動化股份有限公司國家工業(yè)信息安全發(fā)展研究中心北京市軌道交通設(shè)計研究

、、、

院有限公司上海自動化儀表有限公司重慶信安網(wǎng)絡(luò)安全等級測評有限公司公安部第三研究所中國

、、、、

網(wǎng)絡(luò)安全審查技術(shù)與認證中心北京網(wǎng)御星云信息技術(shù)有限公司

、。

本標準主要起草人王玉敏梅恪張晉賓王彥君華镕孫靜張晨艷馮冬芹周純杰李銳

:、、、、、、、、、、

陳小淙朱鏡靈魏旻王浩王弢劉杰成繼勛趙軍凱蘭昆尚文利張為群劉楓劉志祥袁曉舒

、、、、、、、、、、、、、、

尚羽佳郭永振杜振華張哲宇肖衍陸妹丁長富肖煦媛高鏡媚閆韜袁靜任衛(wèi)紅甘杰夫

、、、、、、、、、、、、、

宋文剛

。

Ⅰ

GB/T40218—2021/IEC/TR62443-3-12009

:

引言

保護工業(yè)自動化和控制系統(tǒng)的計算機環(huán)境免受惡意代碼入侵的需求在過去十年里越來越

(IACS)

受到關(guān)注環(huán)境中越來越多地使用開放的系統(tǒng)平臺和協(xié)議隨著對外聯(lián)合投資活動的提高外

。IACS、,、

部合作伙伴和外部資源的聯(lián)合都會帶來更多的威脅和更高級的計算機攻擊隨著這些威脅和脆弱性

,。

的增加工業(yè)通信網(wǎng)絡(luò)上遭受計算機攻擊的風(fēng)險也會相應(yīng)地提高因此對計算機和基于網(wǎng)絡(luò)的信息共享

,,

和分析中心也需要加以保護此外智能設(shè)備和嵌入式系統(tǒng)的發(fā)展計算機網(wǎng)絡(luò)設(shè)備和軟件互連的增

。,,、

加增強的外部連接以及網(wǎng)絡(luò)入侵事故的快速增長更多的智能攻擊者和惡意的極易訪問的軟件所有

,,,

這些都增加了風(fēng)險

。

很多的電子安全技術(shù)和計算機入侵防范措施可能都適用于環(huán)境本標準列舉了幾類計算機

IACS。

信息安全技術(shù)和防范措施并針對每一類具體討論其所處理的脆弱性部署的建議及其已知的優(yōu)點和弱

,、

點此外也提供了使用各類安全技術(shù)的指南和針對以上所提及風(fēng)險所要采取的防范技術(shù)

。,。

本標準未對上述安全技術(shù)和防范措施進行比較僅提供了使用這些技術(shù)和方法的建議和指南以及

,,

在制定與環(huán)境相關(guān)的現(xiàn)場或企業(yè)級信息安全策略程序和規(guī)程中所需考慮的信息

IACS、。

工作組將周期性更新技術(shù)要求以反映新的信息計算機安全技術(shù)應(yīng)對措施和計算機風(fēng)險降低方

、、

法同時告誡讀者在使用該標準中的推薦指南時不確保其工業(yè)自動化或控制系統(tǒng)環(huán)境達到最佳的計

。,

算機安全狀態(tài)但是本標準有助于識別和處理脆弱性減少非預(yù)期的網(wǎng)絡(luò)入侵這些網(wǎng)絡(luò)入侵可能會

。,,。

竊取機密信息甚至造成人員和環(huán)境的傷害或?qū)е鹿I(yè)網(wǎng)絡(luò)控制系統(tǒng)及其監(jiān)視和管理的工業(yè)和基礎(chǔ)

,,、

設(shè)施關(guān)鍵資產(chǎn)遭受破壞或失效

。

本標準提供了對當(dāng)前許多類型的電子計算機安全技術(shù)緩解措施和工具的評價和評估這些用于保

、,

護環(huán)境以防不利的計算機入侵和攻擊本標準中介紹了各類技術(shù)方法和工具并提供了對這些

IACS。、,

內(nèi)容的開發(fā)實現(xiàn)運行維護工程實施管理和其他服務(wù)的討論本標準也提供了適用于生產(chǎn)商供貨

、、、、/。、

商和終端用戶的信息安全實踐者設(shè)施和工廠的指南以便在技術(shù)選擇上和應(yīng)對措施上用于保護自動化

、,

的及其相關(guān)的工業(yè)網(wǎng)絡(luò)免受電子計算機攻擊

IACS()()。

本標準中給出的指南并不能確保已經(jīng)達到最佳的計算機信息安全但是這些指南有助于

IACS。,

識別和指出脆弱性并且能夠減少未預(yù)期入侵的風(fēng)險以防保密信息的泄露或者造成控制系統(tǒng)和其自動

,

控制的關(guān)鍵資產(chǎn)的損壞或失效更關(guān)注的是當(dāng)自動化控制系統(tǒng)或其相關(guān)工業(yè)網(wǎng)絡(luò)發(fā)生計算機泄密時

。,,

這些指南的使用能夠幫助減少對任何人員或環(huán)境損害的風(fēng)險

。

本標準中的網(wǎng)絡(luò)安全指南是通用一般性的視人員知識在工業(yè)自動化系統(tǒng)中的應(yīng)用而定并且應(yīng)

/,/

根據(jù)適用的特定的工業(yè)自動化系統(tǒng)人員知識正確適用于每一個控制系統(tǒng)和網(wǎng)絡(luò)本指南標識了對于

、,。

提供網(wǎng)絡(luò)安全控制系統(tǒng)而言典型的重要的活動行為但是上述活動行為并不總是與系統(tǒng)功能的有效

,、。

運行或維護相兼容指南包括了針對特定控制系統(tǒng)的適用的信息安全的建議和推薦然而選擇和部

。。,

署那些特定用于給定控制系統(tǒng)及其相關(guān)的工業(yè)網(wǎng)絡(luò)的信息安全活動和實踐是系統(tǒng)擁有者的責(zé)任

。

隨著控制系統(tǒng)脆弱性經(jīng)驗的獲得特定網(wǎng)絡(luò)信息安全實施的成熟以及新的基于控制的網(wǎng)絡(luò)信息安

,

全技術(shù)的使用本標準將逐漸修改并完善這樣在本標準的主體結(jié)構(gòu)保持相對穩(wěn)定的同時其應(yīng)用和

,。,,

解決方案也將逐步完善

。

Ⅱ

GB/T40218—2021/IEC/TR62443-3-12009

:

工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全

工業(yè)自動化和控制系統(tǒng)信息安全技術(shù)

1范圍

本標準提供了對當(dāng)前各種網(wǎng)絡(luò)信息安全工具緩解對抗措施和技術(shù)的評估這些技術(shù)可有效地用

、。

在基于現(xiàn)代電子的中以調(diào)整和監(jiān)視數(shù)量眾多的工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施本標準描述了幾種類型

IACS,。

的以控制系統(tǒng)為中心的網(wǎng)絡(luò)信息安全技術(shù)這些種類中可用的產(chǎn)品類別在自動化環(huán)境中使用這

、、IACS

些產(chǎn)品的利弊相對于預(yù)期的威脅和已知的網(wǎng)絡(luò)脆弱性更重要的是對于使用這些網(wǎng)絡(luò)信息安全技術(shù)

、,,

產(chǎn)品和或?qū)勾胧┑某醪浇ㄗh和指南

/。

本標準應(yīng)用的網(wǎng)絡(luò)安全概念是最大可能地涵蓋所有行業(yè)和關(guān)鍵基礎(chǔ)設(shè)施中的組件工廠設(shè)

IACS、、

施以及系統(tǒng)包括但不限于

。IACS:

硬件如歷史數(shù)據(jù)服務(wù)器和軟件系統(tǒng)如操作平臺配置應(yīng)用例如分布式控制系統(tǒng)

●()(、、),(DCS)、

可編程序控制器監(jiān)測控制和數(shù)據(jù)采集系統(tǒng)網(wǎng)絡(luò)化電子傳感系統(tǒng)以及監(jiān)視診斷和評

(PLC)、(SCADA)、、

估系統(tǒng)包含此硬件和軟件范圍的是重要的工業(yè)網(wǎng)絡(luò)及任何相連的或相關(guān)的關(guān)鍵信息技術(shù)設(shè)備

。(IT)

和對成功運行整個控制系統(tǒng)的鏈路就這點而言此范圍也包括但不限于防火墻服務(wù)器路由器交

。,:、、、

換機網(wǎng)關(guān)現(xiàn)場總線系統(tǒng)入侵檢測系統(tǒng)智能電子終端設(shè)備遠程終端單元以及有線和無線

、、、、/、(RTU),

遠程調(diào)制解調(diào)器

。

用于連續(xù)的批處理的分散的或組合過程的相關(guān)內(nèi)部的人員的網(wǎng)絡(luò)或機器的接口用來提

●、、、、,

供控制數(shù)據(jù)記錄診斷功能安全監(jiān)視維護質(zhì)量保證法規(guī)符合性審計和其他類型的操作功能

、、、()、、、、、