2020工業(yè)控制系統(tǒng)安全標準體系

國內外工業(yè)控制系統(tǒng)信息安全標準及政策法規(guī)提綱工業(yè)控制系統(tǒng)概述國外工業(yè)控制系統(tǒng)信息安全標準我國工業(yè)控制系統(tǒng)信息安全標準相關政策法規(guī)結論與展望工控系統(tǒng)概述工業(yè)控制系統(tǒng)(lCS)是對多種控制系統(tǒng)的總稱，典型形態(tài)包括

監(jiān)控和數據采集(SCADA)系統(tǒng)、分布式控制系統(tǒng)（DCS)，以及可編程邏輯控制器(PLC)之類的小型的控制系統(tǒng)裝置。lCS普遍應用于電力、水處理、石油、天然氣、化工、交通運輸、制造業(yè)。ICSSCADA系統(tǒng)DCS系統(tǒng)PLC工業(yè)控制系統(tǒng)與lT系統(tǒng)的差別

：網絡邊緣不同工控系統(tǒng)在地域上分布廣闊，其邊緣部分是智能程度不高的含傳感和控制功能的遠動裝置，而不是lT系統(tǒng)邊緣的通用計算機，兩者之間在物理安全需求上差異很大。體系結構不同工控系統(tǒng)結構縱向高度集成，主站節(jié)點和終端節(jié)點之間是主從關系，lT系統(tǒng)則是扁平的對等關系，兩者之間在脆弱節(jié)點分布上差異很大。傳輸內容不同工控系統(tǒng)傳輸的是工業(yè)設備的“四遙信息”，安全問題大多集中于物理層面，安全防護要延伸到物理層并防止復雜的控制關系所產生的骨牌效應。工控系統(tǒng)概述工控系統(tǒng)面臨的威脅工控系統(tǒng)概述敵對政府、恐怖主義組織偶然事件惡意入侵自然災害內部人員的惡意或無意行為策略和程序漏洞工控系統(tǒng)存在的漏洞平臺漏洞網絡漏洞Cyber

Storm美國國土安全部分別在2006年2月6日、2008年3月10日和2010年9月27日共舉辦了三次網絡風暴演習。三次演習都涉及多個政府部門、私人企業(yè)和廠商。演習目的在于檢驗包括電力、水源和銀行在內的美國重要部門遭大規(guī)模網絡攻擊時的協同應對能力。Aurora測試美國國家能源實驗室于2007年3月進行了“極光發(fā)電機測試”，攝制的視頻錄像中顯示了黑客通過攻擊汽輪機導致汽輪機失控和電力中斷。

“極光”事件之后，美國政府全面加大了針對工業(yè)控制系統(tǒng)信息安全防護的力度，國會在2008年5月舉辦了電網安全聽證會。污水泄漏2001年，在澳大利亞昆士蘭，一名被解雇的工程師通過無線網絡侵入水廠控制系統(tǒng)，造成水處理廠發(fā)生46次控制設備功能異常事件，導致數百萬公升污水進入地區(qū)供水系統(tǒng)。天然氣爆炸1982年6月，美國中央情報局通過利用SCADA系統(tǒng)的缺陷，對前蘇聯天然氣管線進行了遠程攻擊，導致了有史以來最大的非核爆炸。工控系統(tǒng)相關安全事件2011年3月21日意大利黑客在主頁上披露Siemens、lconics、7-Technologies、RealFlexTechnologies等公司產品存在34個漏洞，

3月23日披露BroadWin公司產品存在2個漏洞。Duqu蠕蟲2011年9月，一種與Stuxnet具有相似結構的惡意代碼Duqu出現在歐洲多個國家。Duqu的主要作用是

偵查和搜集資料。雖然Duqu不像Stuxnet一樣直接攻擊現場設備，但是可以隨時根據攻擊對象安裝不同的攻擊工具包，Duqu可能會成為寄居在基礎設施內的定時炸彈。2011年5月開始，美國NSS實驗室持續(xù)報告出大量工控系統(tǒng)的安全漏洞，包括中國的力控軟件和國外的Siemens在內。8月份的黑帽大會上，他為大家演示了如何入侵一臺西門子S7PLC，

包括獲取內存讀寫權限、盜取數據、運行指令以及關閉整臺計算機。Luigi

AuriemmaDillon

BeresfordMcCorkle

&Rios2011年10月，美國DerbyCon會議上，Teryy

McCorkle和Billy

Rios在報告中提到他們發(fā)現了存在于工控系統(tǒng)中的665個漏洞，其中75個漏洞位于網上可以免費下載的工控系統(tǒng)軟件和HMl中。工控系統(tǒng)相關安全事件提綱工業(yè)控制系統(tǒng)概述國外工業(yè)控制系統(tǒng)信息安全標準我國工業(yè)控制系統(tǒng)信息安全標準相關政策法規(guī)結論與展望1.國際電工委員會（lEC，lnternational

Ele×tro

Te×hni×al

Commi??ion）國際自動化協會（lGA，the

lnternational

Go×iety

of

Automation）美國國家標準技術研究院（NlGT

，National

ln?titute

of

Gtandard?

and

Te×hnology

）2.3.國際上，研究工控系統(tǒng)安全的標準化組織如下：國外工業(yè)控制系統(tǒng)信息安全標準lEC

62443標準國外工業(yè)控制系統(tǒng)信息安全標準lEC/TC65（工業(yè)過程測量、控制和自動化）下的網絡和系統(tǒng)信息安全工作組WG10與國際自動化協會lGA

99委員會的專家成立聯合工作組，共同制定lEC

62443《工業(yè)過程測量、控制和自動化網絡與系統(tǒng)信息安全》系列標準。目標是定義一個通用的、最小要求集以達到各級GALG

（

Ge×urityA??uran×e?

Level?，GAL）的安全保障需求。lEC

62443一共分為了四個部分，第一部分是通用標準，第二部分是策略和規(guī)程，第三部分提出系統(tǒng)級的措施，第四部分提出組件級的措施。GP800–82《工業(yè)控制系統(tǒng)(lCG)安全指南》國外工業(yè)控制系統(tǒng)信息安全標準GP800–82于2010年10月發(fā)布，是NlGT依據2002年《聯邦信息安全管理法》、2003年國土安全總統(tǒng)令HGPD–7等編制而成。它遵循《OMB手冊》的要求“保障機構信息系統(tǒng)”，為聯邦機構使用，同時允許非政府組織資源使用。該指南概述了lCG和典型的系統(tǒng)拓撲結構，指出了對于這些系統(tǒng)的典型威脅和脆弱點所在，為消減相關風險提供了建議性的安全對策。同時，根據lCG的潛在風險和影響水平的不同，指出了保障的不同方法和技術手段。該指南適用于電力、水利、石化、交通、化工、制藥等行業(yè)的lCG系統(tǒng)。我國工業(yè)控制系統(tǒng)信息安全標準組織名稱國際對口掛靠單位1全國信息安全標準化技術委員會（TC260）lGO/lEC

JTC1

GC27中國電子技術標準化研究院2全國電力系統(tǒng)管理及其信息交換標準化技術委員會（TC82）lEC

TC

57（電力系統(tǒng)管理與相關信息交換委員會）國網電力科學研究院3全國工業(yè)過程測量和控制標準化技術委員會（TC124）lEC/TC65（工業(yè)過程測量、控制與自動化委員會）機械工業(yè)儀器儀表綜合技術經濟研究所4全國電力監(jiān)管標準化技術委員會（TC

296

）電監(jiān)會輸電監(jiān)管部2002年4月國標委發(fā)文正式成立，由國家標準委直接領導；國 際：ISO/IEC

JTC1/SC23；秘書處：中國電子技術標準化研究院；組 成：由30多個部門和單位的49名領導和專家組成；共有工作組成員單位16G家，其中企業(yè)120家；標 準：已發(fā)布國標

102項，正在制定中的12G項聯系人：羅鋒盈

1G901234283

luofy@全國信息安全標準化技術委員會（TC260）“自2004年1月起，各有關部門在申報信息安全國家標準計劃項目時，必須經信息安全標委會提出工作意見，協調一致后由信息安全標委會組織申報；在國家標準制定過程中，標準工作組或主要起草單位要與信息安全標委會積極合作，并由信息安全標委會完成國家標準送審、報批工作?！保▏鴺宋咝潞痆2004)1號文）全國信息安全標準化技術委員會（TC260）TC260組織結構圖（主任、副委主員任會、委員）秘書處WG1WG4WG7WG5WG6WG3WG2信息安全標準體系與協調工作組涉密信息系統(tǒng)安全保密標準工作組密碼技術標準工作組鑒別與授權工作組信息安全評估工作組通信安全標準工作組信息安全管理工作組國標制定情況工作重點信息安全等級保護網絡信任體系建設信息安全應急處理信息安全測評信息安全管理…16個領域的標準制定標準成果提出227項國標計劃發(fā)布102項國家標準在研125項我國工業(yè)控制系統(tǒng)信息安全標準全國信息安全標準化技術委員會（TC260）工控系統(tǒng)信息安全標準體系研究《信息安全技術

GCADA系統(tǒng)安全控制指南》《信息安全技術

安全可控信息系統(tǒng)（電力系統(tǒng)）安全指標體系》2）計劃制定《信息安全技術

工業(yè)控制系統(tǒng)安全管理基本要求》《信息安全技術

工業(yè)控制系統(tǒng)安全檢查指南》《信息安全技術

工業(yè)控制系統(tǒng)測控終端安全要求》《信息安全技術工業(yè)控制系統(tǒng)安全防護技術要求和測評方法》《信息安全技術

工業(yè)控制系統(tǒng)安全分級指南》……全國信息安全標準化技術委員會（TC260）1）在編標準：我國工業(yè)控制系統(tǒng)信息安全標準全國電力系統(tǒng)管理及其信息交換標準化技術委員會TC82已發(fā)布標準《電力系統(tǒng)管理及其信息交換

數據和通信安全

第1部分：通信網絡和系統(tǒng)安全

安全問題介紹》（GB/Z

25320.1–2010）《電力系統(tǒng)管理及其信息交換

數據和通信安全

第3部分：通信網絡和系統(tǒng)安全

包括TCP/lP的協議集》（GB/Z

25320.3–2010）《電力系統(tǒng)管理及其信息交換數據和通信安全

第4部分：包含MMG的協議集》（GB/Z

25320.4–2010）《電力系統(tǒng)管理及其信息交換

數據和通信安全

第6部分：lEC

61850的安全》（GB/Z

25320.6–2011）在編標準《工業(yè)控制計算機系統(tǒng)

通用規(guī)范

第2部分:

工業(yè)控制計算機的安全要求》計劃制定《工業(yè)通信網絡–網絡和系統(tǒng)安全–第2–1部分：建立工業(yè)自動化和控制系統(tǒng)信息安全程序》，等同采用lEC

62443–2–1:2010《工業(yè)控制系統(tǒng)信息安全

第1部分：評估規(guī)范》《工業(yè)控制系統(tǒng)信息安全

第2部分：驗收規(guī)范》全國工業(yè)過程測量和控制標準化技術委員會TC124在編標準：《電力二次系統(tǒng)安全防護標準》

（強制）《電力信息系統(tǒng)安全檢查規(guī)范》

（強制）《電力行業(yè)信息安全水平評價指標》

（推薦）全國電力監(jiān)管標準化技術委員會（TC

296

）提綱工業(yè)控制系統(tǒng)概述國外工業(yè)控制系統(tǒng)信息安全標準我國工業(yè)控制系統(tǒng)信息安全標準相關政策法規(guī)結論與展望政策法規(guī)國家政府方面2012年6月28日國務院《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見（國發(fā)〔2012〕23號）》明確要求：保障工業(yè)控制系統(tǒng)安全。加強核設施、航空航天、先進制造、石油石化、油氣管網、電力系統(tǒng)、交通運輸、水利樞紐、城市設施等重要領域工業(yè)控制系統(tǒng)，定期開展安全檢查和風險評估。重點對可能危及生命和公共財產安全的工業(yè)控制系統(tǒng)加強監(jiān)管。對重點領域使用的關鍵產品開展安全測評，實行安全風險和漏洞通報制度。政策法規(guī)國家政府方面工業(yè)和信息化部2011年9月發(fā)布《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（[2011]451號），通知明確了工業(yè)控制系統(tǒng)信息安全管理的組織領導、技術保障、規(guī)章制度等方面的要求。并在工業(yè)控制系統(tǒng)的連接、組網、