中国工控信息安全技术标准体系
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 功能安全 IEC 61508: 通用电气控制系统 IEC 62061: 机械电气控制系统 IEC 61511: 过程电气控制系统 IEC 61131-6: 功能安全PLC
• 工业信息安全 ISA积极推进
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
我国的标准工作组
工控系统信息安全
获取必备信息
高级风险评估
详细风险评估
验收
系统完整性验证 安全措施验证 措施具体实施
风险处置方案
措施风险分析
识别工况环境
综合评估结果
整改实施计划
改进措施建议
安全态势分析
常规分析与报告 定期审计与措施 重新评估与验收 IACS生命周期
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
PLC系统信息安全要求
系统能力等级
CL1
信息安全等级 管理等级
ML1
SL1
ML2
SL1
ML3
SL1
CL2
CL3
CL4
SL1
SL1
SL1
SL2
SL2
SL3
SL2
SL3
SL4
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
IACS安全周期V模型
IACS安全周期V模型 确定评估目标
制定评估计划
评估
选择评估方法
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
工作组成员
工控信息安全标准起草工作组成员单位
机械工业仪器仪表综合技术经济研究所、中国电子技术标准化研究所、 浙江大学、北京和利时系统工程有限公司、中国核电工程有限公司、中 国电力科学研究院、清华大学、西南大学、重庆邮电大学、华中科技大 学、上海自动化仪表股份有限公司、东土科技股份有限公司、西门子( 中国)有限公司、施耐得电气(中国)有限公司、罗克韦尔自动化(中 国)有限公司、中国仪器仪表学会、北京海泰方圆科技有限公司、华北 电力设计院工程有限公司、北京国电智深控制技术有限公司、中国科学 院沈阳自动化研究所、横河电机(中国)有限公司北京研发中心、青岛 多芬诺信息安全技术有限公司、北京力控华康科技有限公司、华为数字 技术(都)有限公司、欧姆龙上海有限公司 R&D中心、北京四方继保自 动化股份有限公司、中国电子产品可靠性与环境试验研究所信息安全研 究中心、启明星辰、电子科技集团三十所
。
安全 防护
风险与 脆弱性
安全管理标准定义了集散控制 系统在运行和维护过程中应具 备的安全管理要点和防护管理 要求
安全 管理
安全 评估
风险与脆弱性检测标准 定义了集散控制系统在 运行和维护过程中潜在 系统脆弱性和安全风险 的检测内容和测试方法
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
协调工作组
IEC/TC65发布65/569/DC,建立一个协调Safety和Security 的特别工作组(AD-HOC Group),以提出建议和新项目提案
工作组的研究内容包括: 1、现有相关标准; 2、 Safety和Security的区别; 3、 Safety和Security的共性; 4、协调Safety和Security的限制; 5、可能的协调方法; 6、紧急情况下的权衡与取舍; 7、建议和新项目提案的范围。
• 过程控制和企业信息系统的集成 供给链集成 企业间协同
• 无线技术的广泛应用
技术发展需求
安全势态
Baidu Nhomakorabea
工控系统信息安全势态:
2019年
2019年
2019年
伊朗政府核电站员工感 染Stuxnet病毒,严重 威胁核反应堆安全运营
黑客入侵数据采集与监控系统,使美 国伊利诺伊州城市供水系统的供水泵 遭到破坏
微软警告称最新发现的“Duqu”病毒 可从工业控制系统制造商收集情报数 据
PLC系统信息安全要求
• 定义了从现场设备层到运营 管理层的信息安全要求。 • 主要描述风险内容、安全技 术要求、安全管理要求、检测 与验收等。 • 包括系统生命周期内的设计 开 使发 用、 等安 各装阶、 段运 与系行统维相护关、的退所出• 有活动。
工业环境适应性要求
——气候环境、电磁兼容、电气安全、机械适应性、外壳防护要求等
机械工业仪器仪表综合技术经济研究所(ITEI)
IEC/TC65组织结构图
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
10
ISA Secure测试验证
2019/8/12
全国工业过程测量和控制标准化技 术委员会(SAC/TC124)
Systems
Devices
11
ISA Secure嵌入式设备测试
IEC TC 57
WG15
NIST
信息安全标准
DHS NERC-CIP
WIB M-2784
Roadmap to Secure Control Systems in the Energy Sector
ChemSec Roadmap
BSI Grundschutz
ISO/IEC 2700x
ISO/IEC 15408
现向各国征集意见并召集专家(截至9月5日) 第一次会议定于2019.10.28-29 德国法兰克福
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
IECEE认证
IECEE - 工业自动化认证INDAT
• 工业设备电气安全(物理安全) IEC 61010-2-201: 控制系统:例如, PLC, DCS, PAC IEC 61010-2-20a: 独立电源 IEC 61010-2-20b: 包含运动的执行器:例如,旋转,线性阀门 IEC 61010-2-20c: 不包含运动的执行器 IEC 61010-2-20d: 人机接口
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
以MES制造执行系统层分界
—向上为传统IT领域 —向下为工控领域
企业分层模型
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
IT系统与工控系统的需求比较
可用性 时间敏感性 系统生命周期 信息安全意识及准备
保密性 设备类型 无线技术应用
IEC 62351
SAC TC 124
VDI/VDE
Standards
Guidelines Committees Associations
IACS IS
2019/8/12
IEC 62443 / ISA-99
DKE
机械工业仪器仪表综合技术经济研究所(ITEI)
IEC62443系列标准框架
2019/8/12
两座美国电厂遭USB病毒攻击,感染了 每个工厂的工控系统,可被窃取数据
发现攻击多个中东国家的恶意程序 Flame火焰病毒,它能收集各行业的敏 感信息
我国:2019年齐鲁石化、2019年大庆石化炼油厂,某装置控 制系统分别感染Conficker蠕虫病毒,都造成控制系统服务器 与控制器通讯不同程度地中断
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
我国标准研制进程
• 已发布国家标准(2项):
GB/T 30976.1-2019 工控系统信息安全 第1部分:评估规范 GB/T 30976.2-2019 工控系统信息安全 第2部分:验收规范
• 国家标准计划项目(6项):
20190829-T-604 工业通信网络 网络和系统安全 第2-1部分( 等同 IEC 62443-2-1:2019) (10 月送审)
工控信息安全标准化:
• 层域划分:将工控系统按功能划分层次,按工 艺划分区域; • 要求映射:将技术要求与管理要求映射到不同 的层域; • 定性定量:安全等级、量化风险评估结果等;
技术标准体系
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
标准体系:
• 领域:适应工控系统所有应用领域; • 层次:现场设备层到MES层; • 系统:产品全生命周期;
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
DCS系统信息安全要求
DCS系统信息安全要求
安全防护标准中定义了集 散控制系统在运行和维护 过程中应具备的安全能力 和防护技术要求
安全评估标准定义 了集散控制系统在 运行和维护过程中 对系统技术防护能 力和安全管理有效 性的评估过程和方 法
• 资质、培训 等 • 评审、认可、制度等
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
信息安全等级
• 管理等级
——基于ISO27002的管理要求; ——基于WIB; ——三级划分;
• 系统能力等级
——基于IEC62443-3-3技术要求; ——四级划分;
• 信息安全等级
——管理要求与技术要求加权; ——四级划分。
IT系统 允许短时间/周期性的间断或维护
允许一定时延 3-5年 较好 较高 较少 很多
工控系统 要求24h/7d/365d模式的可用性
要求实时响应 5-20年 没有基础 要求较低 较多 刚刚起步
传统信息系统:保密性—完整性—可用性 仪控系统:可用性—完整性—保密性
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
需求
技术 管理
信息安全的标准要素
• 授权和认证技术 • 过滤/阻塞/访问控制技术 • 加密技术和数据有效性确认 • 管理、审记、监控和检测工具
• 信息安全管理体系
ISO2700x
对象
系统和设备 人员和机构
• DCS、SCADA、FCS 等 • IPC、PLC、交换设备、智能仪表等
技术标准体系
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
中国工控信息安全技术标准体系
梅恪 机械工业仪器仪表综合技术经济研究所(ITEI) 全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)
2019年9月
工控技术发展与信息安全势态 国际工控信息安全技术标准情况 国家工控信息安全技术标准情况 技术标准体系的构建 面临的问题 总结
• 行业标准计划项目(3项)
JB/T 11960-2019 工业过程测量和控制安全 网络和系统安全IEC/TR62443-3:2019 JB/T 11962-2019 工业通信网络 网络和系统安全 第1-1部分:术语、概念和模型 IEC /TS62443-11:2009 JB/T 11962-2019 工业通信网络 网络和系统安全 第3-1部分:工业自动化和控制系统用安全技术 IEC/TR62443-3-1:2009
通过11项国家/行业标准的制定,已经初 步建立了系统级的安全要求标准体系:
• 顶层设计:建立了基于技术与管理方法的评 估规范和验收规范; • 系统设计:建立了DCS、现场总线、PLC系 统安全设计规范; • 产品设计:即将建立基于嵌入式系统的产品 安全规范。
信息安全标准现状
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
技术发展需求
• 以智能制造为主导的第四次工业革命正在兴起
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
工控系统的发展方向——全球互联、嵌入式智能、自组织
• 传统系统封闭式系统演变到开放式的网络系统 开放的硬件体系 开放的协议体系
20190783-T-604 集散控制系统(DCS)安全防护标准(10月送审) 20190784-T-604 集散控制系统(DCS)安全管理标准(10月送审) 20190785-T-604 集散控制系统(DCS)安全评估标准(10月送审) 20190786-T-604 集散控制系统(DCS) 风险与脆弱性检测标准(10月送审) 20190787-T-604 可编程逻辑控制器(PLC) 安全要求(10月送审)
嵌入式设备安全保证(EDSA) 软件开发安全评估(SDSA)
功能性安全评估(FSA)
检测和避免系统设计错误 • 审核供应商的软件开发和维护程序 • 确保组织机构遵照稳定和安全的软件开发程序
检测执行错误 / 疏忽 • 按照目标安全等级的要求对组件的安全功能进行审核
• 确保产品能够达到安全功能要求
通信健壮性测试(CRT)
鉴别网络和设备缺陷 • 根据通信健壮性要求测试组件的通信健壮性
• 基于4层OSI参考模型进行缺陷测试
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
12
其他国家及技术组织标准
其他国家及技术组织标准
NIST: SP800-82《工业控制系统信息安全指南》 WIB M2784《过程控制领域中对供应商的信息安全要求》 ······
• 工业信息安全 ISA积极推进
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
我国的标准工作组
工控系统信息安全
获取必备信息
高级风险评估
详细风险评估
验收
系统完整性验证 安全措施验证 措施具体实施
风险处置方案
措施风险分析
识别工况环境
综合评估结果
整改实施计划
改进措施建议
安全态势分析
常规分析与报告 定期审计与措施 重新评估与验收 IACS生命周期
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
PLC系统信息安全要求
系统能力等级
CL1
信息安全等级 管理等级
ML1
SL1
ML2
SL1
ML3
SL1
CL2
CL3
CL4
SL1
SL1
SL1
SL2
SL2
SL3
SL2
SL3
SL4
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
IACS安全周期V模型
IACS安全周期V模型 确定评估目标
制定评估计划
评估
选择评估方法
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
工作组成员
工控信息安全标准起草工作组成员单位
机械工业仪器仪表综合技术经济研究所、中国电子技术标准化研究所、 浙江大学、北京和利时系统工程有限公司、中国核电工程有限公司、中 国电力科学研究院、清华大学、西南大学、重庆邮电大学、华中科技大 学、上海自动化仪表股份有限公司、东土科技股份有限公司、西门子( 中国)有限公司、施耐得电气(中国)有限公司、罗克韦尔自动化(中 国)有限公司、中国仪器仪表学会、北京海泰方圆科技有限公司、华北 电力设计院工程有限公司、北京国电智深控制技术有限公司、中国科学 院沈阳自动化研究所、横河电机(中国)有限公司北京研发中心、青岛 多芬诺信息安全技术有限公司、北京力控华康科技有限公司、华为数字 技术(都)有限公司、欧姆龙上海有限公司 R&D中心、北京四方继保自 动化股份有限公司、中国电子产品可靠性与环境试验研究所信息安全研 究中心、启明星辰、电子科技集团三十所
。
安全 防护
风险与 脆弱性
安全管理标准定义了集散控制 系统在运行和维护过程中应具 备的安全管理要点和防护管理 要求
安全 管理
安全 评估
风险与脆弱性检测标准 定义了集散控制系统在 运行和维护过程中潜在 系统脆弱性和安全风险 的检测内容和测试方法
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
协调工作组
IEC/TC65发布65/569/DC,建立一个协调Safety和Security 的特别工作组(AD-HOC Group),以提出建议和新项目提案
工作组的研究内容包括: 1、现有相关标准; 2、 Safety和Security的区别; 3、 Safety和Security的共性; 4、协调Safety和Security的限制; 5、可能的协调方法; 6、紧急情况下的权衡与取舍; 7、建议和新项目提案的范围。
• 过程控制和企业信息系统的集成 供给链集成 企业间协同
• 无线技术的广泛应用
技术发展需求
安全势态
Baidu Nhomakorabea
工控系统信息安全势态:
2019年
2019年
2019年
伊朗政府核电站员工感 染Stuxnet病毒,严重 威胁核反应堆安全运营
黑客入侵数据采集与监控系统,使美 国伊利诺伊州城市供水系统的供水泵 遭到破坏
微软警告称最新发现的“Duqu”病毒 可从工业控制系统制造商收集情报数 据
PLC系统信息安全要求
• 定义了从现场设备层到运营 管理层的信息安全要求。 • 主要描述风险内容、安全技 术要求、安全管理要求、检测 与验收等。 • 包括系统生命周期内的设计 开 使发 用、 等安 各装阶、 段运 与系行统维相护关、的退所出• 有活动。
工业环境适应性要求
——气候环境、电磁兼容、电气安全、机械适应性、外壳防护要求等
机械工业仪器仪表综合技术经济研究所(ITEI)
IEC/TC65组织结构图
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
10
ISA Secure测试验证
2019/8/12
全国工业过程测量和控制标准化技 术委员会(SAC/TC124)
Systems
Devices
11
ISA Secure嵌入式设备测试
IEC TC 57
WG15
NIST
信息安全标准
DHS NERC-CIP
WIB M-2784
Roadmap to Secure Control Systems in the Energy Sector
ChemSec Roadmap
BSI Grundschutz
ISO/IEC 2700x
ISO/IEC 15408
现向各国征集意见并召集专家(截至9月5日) 第一次会议定于2019.10.28-29 德国法兰克福
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
IECEE认证
IECEE - 工业自动化认证INDAT
• 工业设备电气安全(物理安全) IEC 61010-2-201: 控制系统:例如, PLC, DCS, PAC IEC 61010-2-20a: 独立电源 IEC 61010-2-20b: 包含运动的执行器:例如,旋转,线性阀门 IEC 61010-2-20c: 不包含运动的执行器 IEC 61010-2-20d: 人机接口
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
以MES制造执行系统层分界
—向上为传统IT领域 —向下为工控领域
企业分层模型
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
IT系统与工控系统的需求比较
可用性 时间敏感性 系统生命周期 信息安全意识及准备
保密性 设备类型 无线技术应用
IEC 62351
SAC TC 124
VDI/VDE
Standards
Guidelines Committees Associations
IACS IS
2019/8/12
IEC 62443 / ISA-99
DKE
机械工业仪器仪表综合技术经济研究所(ITEI)
IEC62443系列标准框架
2019/8/12
两座美国电厂遭USB病毒攻击,感染了 每个工厂的工控系统,可被窃取数据
发现攻击多个中东国家的恶意程序 Flame火焰病毒,它能收集各行业的敏 感信息
我国:2019年齐鲁石化、2019年大庆石化炼油厂,某装置控 制系统分别感染Conficker蠕虫病毒,都造成控制系统服务器 与控制器通讯不同程度地中断
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
我国标准研制进程
• 已发布国家标准(2项):
GB/T 30976.1-2019 工控系统信息安全 第1部分:评估规范 GB/T 30976.2-2019 工控系统信息安全 第2部分:验收规范
• 国家标准计划项目(6项):
20190829-T-604 工业通信网络 网络和系统安全 第2-1部分( 等同 IEC 62443-2-1:2019) (10 月送审)
工控信息安全标准化:
• 层域划分:将工控系统按功能划分层次,按工 艺划分区域; • 要求映射:将技术要求与管理要求映射到不同 的层域; • 定性定量:安全等级、量化风险评估结果等;
技术标准体系
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
标准体系:
• 领域:适应工控系统所有应用领域; • 层次:现场设备层到MES层; • 系统:产品全生命周期;
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
DCS系统信息安全要求
DCS系统信息安全要求
安全防护标准中定义了集 散控制系统在运行和维护 过程中应具备的安全能力 和防护技术要求
安全评估标准定义 了集散控制系统在 运行和维护过程中 对系统技术防护能 力和安全管理有效 性的评估过程和方 法
• 资质、培训 等 • 评审、认可、制度等
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
信息安全等级
• 管理等级
——基于ISO27002的管理要求; ——基于WIB; ——三级划分;
• 系统能力等级
——基于IEC62443-3-3技术要求; ——四级划分;
• 信息安全等级
——管理要求与技术要求加权; ——四级划分。
IT系统 允许短时间/周期性的间断或维护
允许一定时延 3-5年 较好 较高 较少 很多
工控系统 要求24h/7d/365d模式的可用性
要求实时响应 5-20年 没有基础 要求较低 较多 刚刚起步
传统信息系统:保密性—完整性—可用性 仪控系统:可用性—完整性—保密性
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
需求
技术 管理
信息安全的标准要素
• 授权和认证技术 • 过滤/阻塞/访问控制技术 • 加密技术和数据有效性确认 • 管理、审记、监控和检测工具
• 信息安全管理体系
ISO2700x
对象
系统和设备 人员和机构
• DCS、SCADA、FCS 等 • IPC、PLC、交换设备、智能仪表等
技术标准体系
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
中国工控信息安全技术标准体系
梅恪 机械工业仪器仪表综合技术经济研究所(ITEI) 全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)
2019年9月
工控技术发展与信息安全势态 国际工控信息安全技术标准情况 国家工控信息安全技术标准情况 技术标准体系的构建 面临的问题 总结
• 行业标准计划项目(3项)
JB/T 11960-2019 工业过程测量和控制安全 网络和系统安全IEC/TR62443-3:2019 JB/T 11962-2019 工业通信网络 网络和系统安全 第1-1部分:术语、概念和模型 IEC /TS62443-11:2009 JB/T 11962-2019 工业通信网络 网络和系统安全 第3-1部分:工业自动化和控制系统用安全技术 IEC/TR62443-3-1:2009
通过11项国家/行业标准的制定,已经初 步建立了系统级的安全要求标准体系:
• 顶层设计:建立了基于技术与管理方法的评 估规范和验收规范; • 系统设计:建立了DCS、现场总线、PLC系 统安全设计规范; • 产品设计:即将建立基于嵌入式系统的产品 安全规范。
信息安全标准现状
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
技术发展需求
• 以智能制造为主导的第四次工业革命正在兴起
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
工控系统的发展方向——全球互联、嵌入式智能、自组织
• 传统系统封闭式系统演变到开放式的网络系统 开放的硬件体系 开放的协议体系
20190783-T-604 集散控制系统(DCS)安全防护标准(10月送审) 20190784-T-604 集散控制系统(DCS)安全管理标准(10月送审) 20190785-T-604 集散控制系统(DCS)安全评估标准(10月送审) 20190786-T-604 集散控制系统(DCS) 风险与脆弱性检测标准(10月送审) 20190787-T-604 可编程逻辑控制器(PLC) 安全要求(10月送审)
嵌入式设备安全保证(EDSA) 软件开发安全评估(SDSA)
功能性安全评估(FSA)
检测和避免系统设计错误 • 审核供应商的软件开发和维护程序 • 确保组织机构遵照稳定和安全的软件开发程序
检测执行错误 / 疏忽 • 按照目标安全等级的要求对组件的安全功能进行审核
• 确保产品能够达到安全功能要求
通信健壮性测试(CRT)
鉴别网络和设备缺陷 • 根据通信健壮性要求测试组件的通信健壮性
• 基于4层OSI参考模型进行缺陷测试
2019/8/12
机械工业仪器仪表综合技术经济研究所(ITEI)
12
其他国家及技术组织标准
其他国家及技术组织标准
NIST: SP800-82《工业控制系统信息安全指南》 WIB M2784《过程控制领域中对供应商的信息安全要求》 ······