工业控制系统信息安全与功能安全的有机结合

DCS、SIS、PLC三大控制系统的特点与差异分析摘要：本文简略阐述了DCS、SIS、PLC三大控制系统本身的特点，并针对三者z之间所具有的差异性展开了综合性的探究，旨在明确区分各种控制系统的优劣势，为后续系统的高效应用提供参考。

关键词：工业生产；控制系统；装置引言：当前在工业生产领域较常应用DCS、SIS以及PLC三种控制系统，但从本质上来看，其在实际应用阶段存在着诸多不同，然而现阶段在上述控制系统的实际应用方面依然面临着一定的不利因素，基于此，有必要对其展开更为深入的研究。

1DCS、SIS、PLC三大控制系统的特点分析1.1DCS对于DCS控制系统来说，其主要包括三层，分别是过程控制级、集中操作监控级以及综合信息管理级，不同的层级中间包含着两级通信电路，通信网络则会为各装置之间的通信联系提供支持。

过程控制级的构成涉及到部分测控装置、智能调节器以及现场控制站，在集中操作监控级中则包含着网间连接器、操作站以及监控计算机等多个部分，网间连接器同上位管理级之间共同组成了信息综合管理级。

该控制系统主要包括以下几方面特点。

首先便是其技术应用的特殊性，网络是该控制系统实施最主要的技术之一，其全部的操作都直接关系到网络的应用，不管是哪个网络都要基于网络展开工作，其中最为基础的便是分散过程控制级。

其次便是其在硬件设备组装方式方面的特殊性，对于工业化生产来说，不同的工业生产有着各不相同的生产条件和需求，所以其在控制系统方面的要求也存在着较大的差异性，若是单纯采用传统的控制系统难以随便都控制系统进行调整。

但DCS控制系统所使用的是积木化的硬件设备组装形式，所以，工作人员能够从用户自身的实际需求出发，对系统的规模进行优化调整。

DCS控制系统如图1所示。

图1 DCS控制系统再次，其软件的设计呈现出模块化的特点，这种设计形式能够在极大程度上提升功能的多样性，进而为用户提供更多的选择，此举不仅能够起到减小工作量的作用，还可以减少对于系统空间的占用，可以为计算机的高质量运行创造良好的条件。

聚焦■Focus22工业安全和利时：增强控制系统内生安全★本刊记者/文晓完善和建设控制系统基础安全、增强控制系统内生安全将是今后工业控制系统信息安全最需要开拓和创新的核心所在。

未来，和利时将继续在控制系统内生安全方面加大技术开发和技术创新的力度，为推动国家工业信息安全事业的建设贡献力量。

随着智能制造领域的发展，两化深度融合已经成为产业结构调整和转型升级的重要手段，而工业安全正是实现两化融合的重要保障。

面对当前日益严峻的工业安全威胁，和利时集团产品管理部总经理李蒙表示：“和利时目前已具备包括信息安全、功能安全和本质安全在内的完整安全产品族，能够为用户提供一体化的整体解决方案，通过丰富的产品类型，可打通上下游的信息安全技术和产品壁垒，实现网络、控制、安全的统一。

”打造完整工业安全解决方案一直以来，功能安全都是工业安全领域的主要领域，但近年来，随着工业控制系统网络安全事故频发，全球对于工业领域信息安全问题的重视程度达到前所未有的高度。

谈到如何看待功能安全与信息安全的关系，李蒙介绍道：“信息安全、本质安全、功能安全，从本质上来说，其结果都是指向安全的。

它们具有相同的目标，面向的是不同的场景和环境，其本质都是为了保护控制系统的安全运行，且为并列关系，缺一不可。

一切安全行为都是基于威胁出发的，信息安全的威胁是来源于网络、流量以及个人或组织的攻击行为，其与功能安全的威胁来源不同，作用对象也不同。

传统的工业控制系统是封闭网络，其安全需求不需要或很少需要考虑来自外界网络的威胁，因此功能安全是保障系统可靠运行的有效措施。

随着工业控制系统的发展，产生了来自网络的威胁，需要由信息安全解决网络的威胁问题，因此功能安全和信息安全是协同作用的关系，是相辅相成的关系，都是为解决和消除控制系统存在的威胁而服务的。

”作为国产控制系统供应商和自动化解决方案提供商，和利时具有专业的工业控制领域技术积累，同时也非常了解工业企业用户需求。

工业控制信息安全标准首先，工业控制信息安全标准需要包括对网络安全的规定。

工业控制系统通常由多个网络组成，这些网络之间可能存在连接，因此网络安全是保障工业控制系统信息安全的基础。

在网络安全标准中，需要规定网络拓扑结构、网络访问控制、网络隔离等内容，以确保工业控制系统的网络安全。

其次，工业控制信息安全标准还需要规定对设备和数据的安全要求。

工业控制系统中包括大量的设备和数据，这些设备和数据的安全直接关系到整个系统的安全。

因此，需要规定设备的安全防护要求、设备的访问控制、数据的加密传输等内容，以确保设备和数据的安全。

此外，工业控制信息安全标准还需要规定对人员的安全管理要求。

工业控制系统的安全不仅仅依赖于技术手段，人员的安全意识和行为也至关重要。

因此，需要规定人员的安全培训要求、人员的权限管理、人员的安全行为规范等内容，以提高人员的安全意识和行为规范，从而提升整个系统的安全性。

另外，工业控制信息安全标准还需要规定对安全事件的监测和应急响应要求。

安全事件的监测和应急响应是保障工业控制系统信息安全的重要手段。

因此，需要规定安全事件的监测要求、安全事件的报告要求、安全事件的应急响应流程等内容，以及时发现和应对安全事件，减小安全事件对系统造成的影响。

最后，工业控制信息安全标准还需要规定对安全管理的要求。

安全管理是保障工业控制系统信息安全的基础，需要规定安全管理的组织架构、安全管理的责任分工、安全管理的审核评估等内容，以建立健全的安全管理体系，保障工业控制系统的信息安全。

综上所述，工业控制信息安全标准是保障工业控制系统信息安全的重要手段，需要包括网络安全、设备和数据安全、人员安全管理、安全事件监测和应急响应、安全管理等内容。

只有建立和完善工业控制信息安全标准，才能有效保障工业控制系统的信息安全，确保生产系统的稳定运行。

工业控制系统信息安全现状及发展趋势作者：夏春明刘涛王华忠吴清来源：《信息安全与技术》2013年第02期【摘要】文章基于工业安全事件信息库RISI，对国内外电力、石化、交通、水利等国家基础设施行业的典型工业控制系统安全事件进行统计，从工业控制系统的自身特点、网络结构及引发安全事件的攻击手段等角度分析了工控系统的现状，总结了国内外针对工业控制系统安全所面临的问题、相关措施及未来的发展趋势。

【关键词】工业控制系统；信息安全；现状；趋势【中图分类号】 T-19 【文献标示码】 A1 引言随着科学技术的发展，工业控制系统（Industrial Control Systems， ICS）已成为电力、水力、石化天然气及交通运输等行业的基石。

但工业控制系统往往缺乏或根本不具备防护能力，与此同时工业控制系统的每次安全事件都会造成巨大的经济损失，并直接关系到国家的战略安全。

特别是2010年爆发的Stuxnet病毒让全球都明白，一直以来被认为相对安全的工业控制系统已经成为黑客攻击的目标，因此，工业控制系统安全是世界各国关注的焦点。

本文将从工业控制系统特点出发、立足典型工控安全事件，对该领域的现状及未来发展趋势做详细阐述和分析。

2 典型工业控制系统基本结构工业控制系统是由各种自动化组件、过程监控组件共同构成的以完成实时数据采集、工业生产流程监测控制的管控系统，其结构如图1所示，主要分为控制中心、通信网络、控制器组。

工业控制系统包括过程控制、数据采集系统（SCADA）、分布式控制系统（DCS）、程序逻辑控制（PLC）以及其他控制系统等，目前已广泛应用于电力、水力、石化、医药、食品以及汽车、航天等工业领域，成为国家关键基础设施的重要组成部分。

作为工业控制系统的重要组件，SCADA、DCS及PLC各具特点。

SCADA（Supervisory Control And Data Acquisition）系统：SCADA经通信网络与人机交互界面进行数据交互，可以对现场的运行设备实时监视和控制，以实现数据采集、设备控制、测量、参数调节以及各类信号报警等。

工业控制系统信息安全标准化是为了确保工业控制系统的安全
性和可靠性而制定的一系列标准。

这些标准涉及到工业控制系统的各个方面，包括系统安全、网络安全、数据安全等。

通过制定和实施这些标准，可以规范工业控制系统在设计、开发、部署、运行和维护过程中的安全行为，提高系统的安全性、可靠性和可控性。

同时，标准化也有助于促进工业控制系统之间的互操作性和兼容性，降低安全风险和成本。

工业控制系统信息安全标准化的主要内容包括：
系统安全：制定系统安全标准和规范，确保工业控制系统的物理安全、逻辑安全和网络安全。

网络安全：制定网络安全标准和规范，确保工业控制系统的网络通信安全、网络设备安全和网络管理安全。

数据安全：制定数据安全标准和规范，确保工业控制系统的数据完整性、数据保密性和数据可用性。

应用安全：制定应用安全标准和规范，确保工业控制系统中的应用程序的安全性和可靠性。

安全管理：制定安全管理标准和规范，确保工业控制系统在安全管理方面的规范化和标准化。

工业控制系统信息安全标准化的实施需要政府、企业和社会各界的共同努力。

政府应加强标准化工作的引导和支持，企业应加强自身的标准化建设和管理，社会各界应加强标准化的宣传和推广。

总之，工业控制系统信息安全标准化是保障工业控制系统安全的重要手段，对于促进工业控制系统的发展和应用具有重要意义。

企业信息管理、单项选择题1. 信息与其它物质商品的不同之处是：共享性2. 信息的价值是指信息的：使用价值和交换价值3. 以下几个特征中哪个不是系统的特征：及时性4. 在信息传输模式中，信息在下列哪个环节中容易受到干扰，发生信息失真现象：信道5. 作为信息的存储载体，不是纸张存储载体主要优点的是：存储密度高6. 保证信息的安全性应采取的措施是：保存备份7. 在企业系统中，信息处理部门在企业中起：检测器作用8. 从信息系统的作用观点来看,下面哪个不是信息系统的主要部件：系统分析员9. 下列哪项属于企业运用信息系统有助于抗击买方的竞争作用力：提高转换成本10. DSS应用于企业中，可以支持企业的决策问题，它主要支持的决策问题类型是：半结构化或非结构化问题11企业通过总结经验教训，开始认识到运用系统的方法，从总体出发，全面规划，进行信息系统的建设与改造。

根据诺兰模型，这属于下列哪个阶段：集成阶段12. 采用结构化开发方法开发信息系统，在系统开发生命周期各阶段中，采用"自下而上"方法的阶段是：系统实施13. 反映企业中过去的、历史的以及综合的数据属于下列哪类：统计类数据14. 采用BSP方法制定系统战略规划，作为BSP方法的核心是：定义企业过程15. 下面哪个层次不属于企业的管理层次：部门管理层16. 耦合是指一个系统内两个模块间的相互依赖关系，最理想的耦合形式是：数据耦合17. E—R图方法是设计数据库（概念模型）的典型代表18. 在信息系统开发过程中，下列哪个阶段是信息系统的物理设计：系统设计19. 在系统开发时首先分析企业的信息需求，建立全企业共享的数据库。

属于下列哪种开发方法：面向数据方法20. 描述信息系统能“做什么”，即系统具有哪些功能的模型是：逻辑模型21. 在信息系统的开发中，反映系统逻辑模型的是：DFD图22. 下列属于企业概念资源的是：数据23. 在定义数据库时，首先要进行三个世界的转换，处在信息世界层面上的模型有：概念模型24. 网络经营需要选准产品与服务范围，选择产品或服务范围对于一个企业来说至关重要，不适合在网上交易的产品和服务有：蔬菜25. TCP/IP协议是互联网上不同子网间的主机进行数据交换所遵守的网络通信协议，其中TCP协议控制信息在互联网传输前打包和到达目的地后重组，它工作在：传输层26. 将存在于企业员工头脑中和企业组织结构中的隐性知识转化为企业知识库中可以共享的显性知识。

《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿）编制说明1 工作简况1.1任务来源2015年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号：2015bzzd-WG5-001。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心（以下简称“检测中心”）负责主编。

国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》，开展实施工业控制等多个领域的信息安全专用产品扶持工作。

面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一，其中包含了隔离类设备，表明了工控隔离产品在工控领域信息安全产品中的地位，其标准的建设工作至关重要。

因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。

1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后，检测中心立即与产品生产厂商、工业控制厂商进行沟通，并得到了多家单位的积极参与和反馈。

最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。

1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合，逐步形成了管理与控制的一体化，导致生产控制系统不再是一个独立运行的系统，其接入的范围不仅扩展到了企业网甚至互联网，从而面临着来自互联网的威胁。

CCRC信息安全服务资质超超超详细说明中国网络安全审查技术与认证中心(CCRC，原中国信息安全认证中心)是依据国家《网络安全法》和国家有关强制性产品认证、网络安全管理法规，负责实施网络安全审查和认证的专门机构。

CCRC信息安全服务资质规定了信息安全服务提供者在提供服务时应具备的服务安全通用要求和专业服务能力要求。

通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。

同时，认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

一、CCRC信息安全服务资质认证的基本环节:①认证申请与受理;②文档审核;③现场审核;④认证决定;⑤年度监督审核。

二、CCRC信息安全服务资质认证的申请资料初次申请服务资质认证时，申请单位应填写认证申请书，并提交资格、能力方面的证明材料。

申请材料通常包括:①服务资质认证申请书;②独立法人资格证明材料;③从事信息安全服务的相关资质证明;④工作保密制度及相应组织监管体系的证明材料;⑤与信息安全风险评估服务人员签订的保密协议复印件;⑥人员构成与素质证明材料;⑦公司组织结构证明材料;⑧具备固定办公场所的证明材料;⑨项目管理制度文档;⑩信息安全服务质量管理文件;⑪项目案例及业绩证明材料;⑫信息安全服务能力证明材料等。

三、CCRC信息安全服务资质认证依据对特定类别的信息安全服务，有具体的评价标准。

例如，信息安全应急处理服务资质认证的依据是《网络与信息安全应急处理服务资质评估方法》(YD/T 1799-2008)，信息安全风险评估服务资质认证的依据是《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)与《信息安全风险评估服务资质认证实施规则》(ISCCC-SV-002)。

四、CCRC信息安全服务资质认证的8大认证分项CCRC信息安全服务资质包含8大认证分项，即信息系统安全集成服务资质认证、安全运维服务资质认证、风险评估服务资质认证、应急处理服务资质认证、软件安全开发服务资质认证、信息系统灾难备份与恢复服务资质认证、工业控制安全服务资质认证、网络安全审计服务资质认证。

I C S35.040L80中华人民共和国国家标准G B/T37934 2019信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求I n f o r m a t i o n s e c u r i t y t e c h n o l o g y S e c u r i t y t e c h n i c a l r e q u i r e m e n t s o f i n d u s t r i a lc o n t r o l s y s t e ms e c u r i t y i s o l a t i o na nd i n f o r m a t i o n fe r r y s y s t e m2019-08-30发布2020-03-01实施国家市场监督管理总局发布目 次前言Ⅰ 引言Ⅱ 1 范围1 2 规范性引用文件1 3 术语和定义1 4 缩略语2 5 产品描述2 6 安全技术要求2 6.1 基本级安全技术要求2 6.1.1 安全功能要求2 6.1.2 自身安全要求3 6.1.3 安全保障要求5 6.2 增强级安全技术要求7 6.2.1 安全功能要求7 6.2.2 自身安全要求8 6.2.3 安全保障要求11G B /T 37934 2019G B/T37934 2019信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求1范围本标准规定了工业控制网络安全隔离与信息交换系统的安全功能要求㊁自身安全要求和安全保障要求㊂本标准适用于工业控制网络安全隔离与信息交换系统的设计㊁开发及测试㊂2规范性引用文件下列文件对于本文件的应用是必不可少的㊂凡是注日期的引用文件,仅注日期的版本适用于本文件㊂凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件㊂G B/T20279 2015信息安全技术网络和终端隔离产品安全技术要求G B/T20438.3 2017电气/电子/可编程电子安全相关系统的功能安全第3部分:软件要求G B/T20438.4 2017电气/电子/可编程电子安全相关系统的功能安全第4部分:定义和缩略语G B/T25069 2010信息安全技术术语3术语和定义G B/T20279 2015㊁G B/T20438.4 2017和G B/T25069 2010界定的以及下列术语和定义适用于本文件㊂3.1工业控制系统i n d u s t r i a l c o n t r o l s y s t e m;I C S工业控制系统(I C S)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(S C A D A)㊁分布式控制系统(D C S)和其他较小的控制系统,如可编程逻辑控制器(P L C),现已广泛应用在工业部门和关键基础设施中㊂[G B/T32919 2016,定义3.1]3.2工业控制协议i n d u s t r i a l c o n t r o l p r o t o c o l工业控制系统中,上位机与控制设备之间,以及控制设备与控制设备之间的通信报文规约㊂注:通常包括模拟量和数字量的读写控制㊂3.3工业控制网络安全隔离与信息交换系统i n d u s t r i a lc o n t r o ls y s t e m s e c u r i t y i s o l a t i o n a n d i n f o r m a t i o n f e r r y s y s t e m部署于工业控制网络中不同的安全域之间,采用协议隔离技术实现两个安全域之间访问控制㊁协议转换㊁内容过滤和信息交换等功能的产品㊂1G B/T37934 20194缩略语下列缩略语适用于本文件㊂MA C:媒体接入控制(M e d i aA c c e s sC o n t r o l)O P C:用于过程控制的对象链接与嵌入(O b j e c tL i n k i n g a n dE m b e d d i n g f o rP r o c e s sC o n t r o l)5产品描述工业控制网络安全隔离与信息交换系统通常部署在工业控制网络边界,保护的资产为工业控制网络;或者部署在生产管理层与过程监控层之间,保护的资产为过程监控层网络及现场控制层网络㊂此外,工业控制网络安全隔离与信息交换系统本身及其内部的重要数据也是受保护的资产㊂工业控制网络安全隔离与信息交换系统一般以二主机加专用隔离部件的方式组成,即由内部处理单元㊁外部处理单元和专用隔离部件组成㊂其中,专用隔离部件既可以是采用包含电子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡,也可以是经过安全强化的运行专用信息传输逻辑控制程序的主机㊂工业控制网络安全隔离与信息交换系统中的内㊁外部处理单元通过专用隔离部件相连,专用隔离部件是两个安全域之间唯一的可信物理信道㊂该内部信道裁剪了T C P/I P等公共网络协议栈,采用私有协议实现公共协议隔离㊂专用隔离部件通常有两种实现方式:一是采用私有协议以逻辑方式实现协议隔离和信息传输;二是采用一组互斥的分时切换电子开关实现内部物理信道的通断控制,以分时切换连接方式完成信息摆渡,从而在两个安全域之间形成一个不存在实时物理连接的隔离区㊂本标准将工业控制网络安全隔离与信息交换系统安全技术要求分为安全功能㊁自身安全要求和安全保障要求三个大类㊂安全功能要求㊁自身安全要求和安全保障要求分为基本级和增强级,与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过 黑体 表示㊂6安全技术要求6.1基本级安全技术要求6.1.1安全功能要求6.1.1.1访问控制6.1.1.1.1基于白名单的访问控制产品应采用白名单的访问控制策略,即非访问控制策略明确允许的访问,需默认禁止㊂6.1.1.1.2网络层访问控制产品应支持基于源I P㊁源端口㊁目的I P㊁目的端口㊁传输层协议等要求进行访问控制㊂6.1.1.1.3应用层访问控制产品应支持应用层的访问控制:a)支持H T T P㊁F T P㊁T E L N E T等应用的识别与访问控制;b)至少支持一种工业控制协议的访问控制㊂2G B/T37934 20196.1.1.1.4工业控制协议深度检查产品应支持对工业控制协议内容进行深度分析和访问控制:a)对所支持的工业控制协议进行协议规约检查,明确拒绝不符合协议规约的访问;b)应支持对工业控制协议的操作类型㊁操作对象㊁操作范围等参数进行访问控制;c)若支持O P C协议:应支持基于控制点名称㊁读写操作等要素进行控制;d)若支持M o d b u s T C P协议:应支持基于设备I D㊁功能码类型㊁读写操作㊁寄存器地址㊁控制值范围等要素进行控制㊂6.1.1.2协议隔离所有主客体之间发送和接收的信息流均执行网络层协议剥离,还原成应用层数据,在两机之间以非T C P/I P的私有协议格式传输㊂6.1.1.3残余信息保护在为所有内部或外部网络上的主机连接进行资源分配时,安全功能应保证其分配的资源中不提供以前连接活动中所产生的任何信息内容㊂6.1.1.4不可旁路在与安全有关的操作(例如安全属性的修改㊁内部网络主机向外部网络主机传送信息等)被允许执行之前,安全功能应确保其通过安全功能策略的检查㊂6.1.1.5抗攻击产品应具备抵御S Y NF l o o d攻击㊁U D PF l o o d攻击㊁I C M PF l o o d攻击㊁P i n g o f d e a t h攻击等典型拒绝服务攻击能力㊂6.1.2自身安全要求6.1.2.1标识和鉴别6.1.2.1.1唯一性标识产品应保证任何用户都具有唯一的标识㊂6.1.2.1.2管理员属性定义产品应为每个管理员规定与之相关的安全属性,如管理员标识㊁鉴别信息㊁隶属组㊁权限等,并提供使用默认值对创建的每个管理员的属性进行初始化的功能㊂6.1.2.1.3基本鉴别产品应保证任何用户在执行安全功能前都要进行身份鉴别㊂6.1.2.1.4鉴别失败处理产品应为管理员登录设定一个授权管理员可修改的鉴别尝试阈值,当管理员的不成功登录尝试超过阈值,系统应通过技术手段阻止管理员的进一步鉴别请求㊂3G B/T37934 20196.1.2.2安全管理6.1.2.2.1接口及管理安全产品应保证业务接口㊁管理接口㊁管理界面的安全:a)业务接口和管理接口采用不同的网络接口;b)管理接口及管理界面不存在中高风险安全漏洞㊂6.1.2.2.2安全状态监测产品应能够监测产品自身及组件状态,包括对产品C P U㊁内存㊁存储空间等系统资源使用状态进行监测㊂6.1.2.3数据完整性安全功能应保护储存于设备中的鉴别数据和信息传输策略不受未授权查阅㊁修改和破坏㊂6.1.2.4时间同步产品应支持与外部时间服务器进行时间同步㊂6.1.2.5高可用性6.1.2.5.1容错产品应具备一定的容错能力:a)重要程序及文件被破坏时,设备重启后能够自恢复;b)重要进程异常终止时,能够自启动㊂6.1.2.5.2安全策略更新进行访问控制安全策略应用时不应该影响正常的数据通信㊂6.1.2.6审计日志6.1.2.6.1业务日志生成产品应对其提供的业务功能生成审计日志:a)访问控制策略匹配的访问请求,包括允许及禁止的访问请求;b)识别及防护的各类攻击行为㊂6.1.2.6.2业务日志内容业务日志内容至少包括:a)日期㊁时间㊁源目的MA C㊁源目的I P㊁源目的端口㊁协议类型;b)工业控制协议的操作类型㊁操作对象㊁操作值等相关参数;c)攻击事件的类型及描述㊂6.1.2.6.3系统日志生成产品应对与自身安全相关的以下事件生成审计日志:4G B/T37934 2019a)身份鉴别,包括成功和失败;b)因鉴别失败次数超过阈值而采取的禁止进一步尝试的措施;c)访问控制策略的增加㊁删除㊁修改;6.1.2.6.4系统日志内容系统日志内容至少应包括日期㊁时间㊁事件主体㊁事件客体㊁事件描述等㊂6.1.2.6.5审计日志管理应支持日志管理功能,具体技术要求如下:a)应只允许授权管理员能够对审计日志进行读取㊁存档㊁导出㊁删除和清空等操作;b)应提供能查阅日志的工具;c)审计事件应存储于掉电非易失性存储介质中,且在存储空间达到阈值时至少能够通知授权审计员㊂6.1.3安全保障要求6.1.3.1开发6.1.3.1.1安全架构开发者应提供产品安全功能的安全架构描述,技术要求如下:a)与产品设计文档中对安全功能的描述一致;b)描述与安全功能要求一致的安全域;c)描述产品安全功能初始化过程及安全措施;d)证实产品安全功能能够防止被破坏;e)证实产品安全功能能够防止安全策略被旁路㊂6.1.3.1.2功能规范开发者应提供完备的功能规范说明,技术要求如下:a)完整描述产品的安全功能;b)描述所有安全功能接口的目的与使用方法;c)标识和描述每个安全功能接口相关的所有参数;d)描述安全功能接口相关的安全功能实施行为;e)描述由安全功能实施行为而引起的直接错误消息;f)证实安全功能要求到安全功能接口的追溯㊂6.1.3.1.3产品设计开发者应提供产品设计文档,技术要求如下:a)根据子系统描述产品结构,并标识和描述产品安全功能的所有子系统;b)描述安全功能所有子系统间的相互作用;c)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口㊂5G B/T37934 20196.1.3.2指导性文档6.1.3.2.1操作用户指南开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的描述要求如下:a)描述授权用户可访问的功能和特权,包含适当的警示信息;b)描述如何以安全的方式使用产品提供的接口;c)描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值;d)明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控制实体的安全特性;e)标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系;f)实现安全目的所应执行的安全策略㊂6.1.3.2.2准备程序开发者应提供产品及其准备程序,技术要求如下:a)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;b)描述安全安装产品及其运行环境必需的所有步骤㊂6.1.3.3生命周期支持6.1.3.3.1配置管理能力开发者的配置管理能力应满足以下要求:a)为产品的不同版本提供唯一的标识;b)使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识各配置项;c)提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法㊂6.1.3.3.2配置管理范围开发者应提供产品配置项列表,并说明配置项的开发者㊂配置项列表至少包括产品㊁安全保障要求的评估证据和产品的组成部分㊂6.1.3.3.3交付程序开发者应使用一定的交付程序交付产品,并将交付过程文档化㊂在给用户方交付产品的各版本时,交付文档应描述为维护安全所必需的所有程序㊂6.1.3.3.4支撑系统安全保障开发者应明确产品支撑系统的安全保障措施,技术要求如下:a)若产品以软件形态提交,应在交付文档中详细描述支撑操作系统的兼容性㊁可靠性㊁安全性要求;b)若产品以硬件形态提交,应选取和采用安全可靠的支撑操作系统,以最小化原则选取必要的系统组件,并采取一定的加固措施㊂66.1.3.3.5 硬件安全保障若产品以硬件形态提交,开发者应采取措施保障硬件安全,技术要求如下:a ) 产品应采用具有高可靠性的硬件平台;b ) 若硬件平台为外购,应制定相应程序对硬件提供商进行管理㊁对采购的硬件平台或部件进行验证测试,并要求硬件提供商提供合格证明及必要的第三方环境适用性测试报告㊂6.1.3.4 测试6.1.3.4.1 测试覆盖开发者应提供测试覆盖文档,测试覆盖描述应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性㊂6.1.3.4.2 功能测试开发者应测试产品安全功能,将结果文档化并提供测试文档㊂测试文档应包括以下内容:a ) 测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果的任何顺序依赖性;b ) 预期的测试结果,表明测试成功后的预期输出;c ) 实际测试结果和预期的测试结果一致㊂6.1.3.4.3 独立测试开发者应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试㊂6.1.3.5 脆弱性评定基于已标识的潜在脆弱性,产品能够抵抗基本的攻击㊂6.2 增强级安全技术要求6.2.1 安全功能要求6.2.1.1 访问控制6.2.1.1.1 基于白名单的访问控制产品应采用白名单的访问控制策略,即非访问控制策略明确允许的访问,需默认禁止㊂6.2.1.1.2 网络层访问控制产品应支持基于源I P ㊁源端口㊁目的I P ㊁目的端口㊁传输层协议等要求进行访问控制㊂6.2.1.1.3 I P /M A C 地址绑定产品应支持自动或管理员手工绑定与其进行通信的设备的I P /M A C 地址,当通信的I P ㊁M A C 地址与绑定列表不符时,应阻止通信㊂6.2.1.1.4 应用层访问控制产品应支持应用层的访问控制:7G B /T 37934 2019G B/T37934 2019a)支持H T T P㊁F T P㊁T E L N E T等应用的识别与访问控制;b)至少支持两种工业控制协议的访问控制㊂6.2.1.1.5工业控制协议深度检查产品应支持对工业控制协议内容进行深度分析和访问控制:a)对所支持的工业控制协议进行协议规约检查,明确拒绝不符合协议规约的访问;b)应支持对工业控制协议的操作类型㊁操作对象㊁操作范围等参数进行访问控制;c)若支持O P C协议:应支持基于控制点名称㊁读写操作等要素进行控制;d)若支持M o d b u s T C P协议:应支持基于设备I D㊁功能码类型㊁读写操作㊁寄存器地址㊁控制值范围等要素进行控制㊂6.2.1.2协议隔离所有主客体之间发送和接收的信息流均执行网络层协议剥离,还原成应用层数据,在两机之间以非T C P/I P的私有协议格式传输㊂6.2.1.3信息摆渡设备双机之间应采用专用隔离部件,并确保数据传输链路物理上的时分切换,即设备的双机在物理链路上不能同时与专用隔离部件连通,并完成信息摆渡㊂6.2.1.4残余信息保护在为所有内部或外部网络上的主机连接进行资源分配时,安全功能应保证其分配的资源中不提供以前连接活动中所产生的任何信息内容㊂6.2.1.5不可旁路在与安全有关的操作(例如安全属性的修改㊁内部网络主机向外部网络主机传送信息等)被允许执行之前,安全功能应确保其通过安全功能策略的检查㊂6.2.1.6抗攻击产品应具备一定的抗拒绝服务攻击能力:a)S Y NF l o o d攻击㊁U D PF l o o d攻击㊁I C M PF l o o d攻击㊁P i n g o f d e a t h攻击等;b)T e a r D r o p攻击㊁L a n d攻击等㊂6.2.1.7双机热备产品应具备双机热备的能力,当主设备出现故障时或者主设备链路故障时,备用设备应能及时接管进行工作㊂6.2.2自身安全要求6.2.2.1标识和鉴别6.2.2.1.1唯一性标识产品应保证任何用户都具有唯一的标识㊂86.2.2.1.2管理员属性定义产品应为每个管理员规定与之相关的安全属性,如管理员标识㊁鉴别信息㊁隶属组㊁权限等,并提供使用默认值对创建的每个管理员的属性进行初始化的功能㊂6.2.2.1.3管理员角色产品应为管理角色进行分级,使不同级别的管理角色具有不同的管理权限㊂各管理角色的权限应形成互相制约关系㊂6.2.2.1.4基本鉴别产品应保证任何用户在执行安全功能前都要进行身份鉴别㊂若其采用网络远程方式管理,还应对可管理的地址进行限制㊂6.2.2.1.5多鉴别产品应能向管理角色提供除口令身份鉴别机制以外的其他身份鉴别机制(如证书㊁智能I C卡㊁指纹等鉴别机制)㊂6.2.2.1.6超时锁定或注销当已通过身份鉴别的管理角色空闲操作的时间超过规定值,在该管理角色需要执行管理功能前,产品应对该管理角色的身份重新进行鉴别㊂6.2.2.1.7鉴别失败处理产品应为管理员登录设定一个授权管理员可修改的鉴别尝试阈值,当管理员的不成功登录尝试超过阈值,系统应通过技术手段阻止管理员的进一步鉴别请求㊂6.2.2.2安全管理6.2.2.2.1接口及管理安全产品应保证业务接口㊁管理接口㊁管理界面的安全:a)应支持业务接口和管理接口采用不同的网络接口;b)管理接口及管理界面不存在中高风险安全漏洞㊂6.2.2.2.2管理信息传输安全产品需要通过网络进行管理时,产品应能对管理信息进行保密传输㊂6.2.2.2.3安全状态监测产品应能够监测产品自身及组件状态,包括:a)对产品C P U㊁内存㊁存储空间等系统资源使用状态进行监测;b)对产品的主要功能模块运行状态进行监测㊂6.2.2.3数据完整性安全功能应保护储存于设备中的鉴别数据和信息传输策略不受未授权查阅㊁修改和破坏㊂6.2.2.4时间同步产品应支持与外部时间服务器进行时间同步㊂6.2.2.5高可用性6.2.2.5.1容错产品应具备一定的容错能力:a)重要程序及文件被破坏时,设备重启后能够自恢复;b)重要进程异常终止时,能够自启动㊂6.2.2.5.2安全策略更新进行访问控制安全策略下装及应用时不应影响正常的数据通信㊂6.2.2.6审计日志6.2.2.6.1业务日志生成产品应对其提供的业务功能生成审计日志:a)访问控制策略匹配的访问请求,包括允许及禁止的访问请求;b)识别及防护的各类攻击行为㊂6.2.2.6.2业务日志内容业务日志内容至少包括:a)日期㊁时间㊁源目的MA C㊁源目的I P㊁源目的端口㊁协议类型;b)工业控制协议的操作类型㊁操作对象㊁操作值等相关参数;c)攻击事件的类型及描述㊂6.2.2.6.3系统日志生成产品应对与自身安全相关的以下事件生成审计日志:a)身份鉴别,包括成功和失败;b)因鉴别失败次数超过阈值而采取的禁止进一步尝试的措施;c)访问控制策略的增加㊁删除㊁修改;d)管理员的增加㊁删除㊁修改;e)时间同步;f)超过保存时限的审计记录和自身审计日志的自动删除;g)审计日志和审计记录的备份与恢复;h)存储空间达到阈值报警;i)其他事件㊂6.2.2.6.4系统日志内容系统日志内容至少应包括日期㊁时间㊁事件主体㊁事件客体㊁事件描述等㊂6.2.2.6.5审计日志管理应支持日志管理功能,具体技术要求如下:a)应只允许授权管理员能够对审计日志进行读取㊁存档㊁导出㊁删除和清空等操作;b)应提供能查阅日志的工具,支持多条件对审计日志进行组合查询;c)审计事件应存储于掉电非易失性存储介质中,且在存储空间达到阈值时至少能够通知授权审计员;d)应支持以标准格式将审计日志外发到专用的日志服务器㊂6.2.3安全保障要求6.2.3.1开发6.2.3.1.1安全架构开发者应提供产品安全功能的安全架构描述,技术要求如下:a)与产品设计文档中对安全功能的描述一致;b)描述与安全功能要求一致的安全域;c)描述产品安全功能初始化过程及安全措施;d)证实产品安全功能能够防止被破坏;e)证实产品安全功能能够防止安全策略被旁路㊂6.2.3.1.2功能规范开发者应提供完备的功能规范说明,技术要求如下:a)完整描述产品的安全功能;b)描述所有安全功能接口的目的与使用方法;c)标识和描述每个安全功能接口相关的所有参数;d)描述安全功能接口相关的安全功能实施行为;e)描述由安全功能实施行为而引起的直接错误消息;f)证实安全功能要求到安全功能接口的追溯;g)描述安全功能实施过程中,与安全功能接口相关的所有行为;h)描述可能由安全功能接口的调用而引起的所有错误消息㊂6.2.3.1.3实现表示开发者应提供全部安全功能的实现表示,技术要求如下:a)提供产品设计描述与实现表示实例之间的映射,并证明其一致性;b)详细定义产品安全功能,达到无须进一步设计就能生成安全功能的程度;c)实现表示以开发人员使用的形式提供㊂6.2.3.1.4产品设计开发者应提供产品设计文档,技术要求如下:a)根据子系统描述产品结构,并标识和描述产品安全功能的所有子系统;b)描述安全功能所有子系统间的相互作用;c)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口;d)根据模块描述安全功能,并提供安全功能子系统到模块间的映射关系;e)描述所有安全功能实现模块,包括其目的及与其他模块间的相互关系;f)描述所有模块的安全功能要求相关接口㊁与其他相邻接口的调用参数及返回值;g)描述所有安全功能的支撑或相关模块,包括其目的及与其他模块间的相互作用㊂6.2.3.2指导性文档6.2.3.2.1操作用户指南开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的描述要求如下:a)描述授权用户可访问的功能和特权,包含适当的警示信息;b)描述如何以安全的方式使用产品提供的接口;c)描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值;d)明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控制实体的安全特性;e)标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系;f)实现安全目的所应执行的安全策略㊂6.2.3.2.2准备程序开发者应提供产品及其准备程序,技术要求如下:a)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;b)描述安全安装产品及其运行环境必需的所有步骤㊂6.2.3.3生命周期支持6.2.3.3.1配置管理能力开发者的配置管理能力应满足以下要求:a)为产品的不同版本提供唯一的标识;b)使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识各配置项;c)提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法;d)配置管理系统提供一种自动方式来支持产品的生成,并确保只能对配置项进行已授权的变更;e)配置管理文档包括配置管理计划,计划中需描述如何使用配置管理系统,并依据该计划实施配置管理;f)配置管理计划应描述配置项的变更(包括新建㊁修改㊁删除)控制程序㊂6.2.3.3.2配置管理范围开发者应提供产品配置项列表,并说明配置项的开发者,技术要求如下:a)产品㊁安全保障要求的评估证据和产品的组成部分;b)实现表示㊁安全缺陷报告及其解决状态㊂6.2.3.3.3交付程序开发者应使用一定的交付程序交付产品,并将交付过程文档化㊂在给用户方交付产品的各版本时,。

2016年10月印发工业控制系统信息安全防护指南【最新版】目录1.工业控制系统信息安全防护指南的背景和重要性2.工业控制系统信息安全的概念和防护目标3.工业控制系统信息安全的技术体系4.工业控制系统信息安全的发展趋势5.工业控制系统信息安全防护指南的实施和应用正文一、工业控制系统信息安全防护指南的背景和重要性随着工业控制系统在过程生产、电力设施、水力油气和运输等领域的广泛应用，其信息安全问题逐渐成为一个广泛关注的热点问题。

传统的工业控制系统安全性主要依赖于技术的隐秘性，但随着企业对生产过程数据的日益关注，工业控制系统越来越多地采用开放的互联网技术实现与企业网的互连，这使得工业控制系统的通信应用存在许多漏洞，容易受到攻击。

因此，工业控制系统信息安全防护指南的制定和实施显得尤为重要。

二、工业控制系统信息安全的概念和防护目标工业控制系统信息安全通常包括功能安全、物理安全和信息安全三个方面。

功能安全是为了达到设备和工厂安全功能，受保护的、和控制设备的安全相关部分必须正确执行其功能，而且当失效或故障发生时，设备或系统必须仍能保持安全条件或进入到安全状态。

物理安全主要是指对工业控制系统的硬件设备和设施进行保护，防止外部破坏和损坏。

信息安全则是指对工业控制系统中的信息进行保护，防止信息泄露、篡改和破坏。

工业控制系统信息安全防护的目标是确保工业控制系统的稳定运行，防止因信息安全问题导致的生产事故和经济损失，同时，也要保障国家和企业的安全利益。

三、工业控制系统信息安全的技术体系工业控制系统信息安全的技术体系主要包括以下几个方面：1.安全防护策略：根据工业控制系统的实际情况，制定相应的安全防护策略，包括安全管理、安全技术和安全运营等。

2.安全防护技术：采用加密、认证、访问控制等技术手段，对工业控制系统中的信息进行保护。

3.安全监测和预警：通过安全监测和预警系统，实时监测工业控制系统的安全状态，及时发现和预警安全事件。

工业控制系统中的安全管理与控制技术随着信息技术的飞速发展和工业化程度的不断提高，工业控制系统（Industrial Control System, ICS）在现代生产中扮演着越来越重要的角色。

工业控制系统的安全问题日益引起人们的关注。

因为安全问题严重威胁到了工业的维稳和发展。

因此，本文阐述了工业控制系统的安全管理和控制技术。

一、工业控制系统简介工业控制系统主要用于自动化生产任务。

它可以实现生产线的自动化生产，提高生产效率和生产质量，减少了人力成本和人为操作带来的错误。

工业控制系统的基本架构包括四个方面：传感器、控制器、执行器和通信网络。

其中传感器负责采集物理量；控制器负责处理信号和算法；执行器负责动作控制；通信网络负责传输数据和指令。

工业控制系统的实现基本上通过可编程逻辑控制器（PLC）、计算机控制等方式进行。

二、工业控制系统的安全风险工业控制系统作为关键基础设施的一部分，其安全风险不容忽视。

与传统的计算机网络相比，工业控制系统具有本质上的区别和独特性。

一方面，工业控制系统的生命周期长，软件集成高，没有及时升级保障机制；另一方面，它也普遍存在多协议、跨运营商跨平台等网络难题。

一旦遭受黑客攻击、病毒或者恶意程序的侵害，将对人、财、物产生巨大的威胁。

三、工业控制系统安全管理安全管理是保障工业控制系统安全的一项重要任务。

安全管理需从以下几个方面出发：实施物理隔离、网络自治、污染防护、授权决策和事件响应。

物理隔离：工业控制系统在设计和运行过程中，需要严格要求物理安全。

区域禁止非授权人员进入。

所有与工业控制系统连接的设备都应该是安全可靠的，例如，接口设备、网卡、网络等。

定期检查和修复控制系统的物理漏洞也是非常重要的。

网络自治：联网是工业控制系统发挥作用的关键。

与此同时，企业可同时实现控制平面和信息平面，所涉及的协议、接口和技术也更多样化。

网络自治是工业控制系统安全的基础。

只有确保了自治权的正常行使，才能稳定运行工业控制系统。

IT和OT的协同防护已刻不容缓随着互联网技术、物联网技术以及人工智能技术的逐渐普及和发展，信息技术（IT）和运行技术（OT）在工业行业的应用也越来越广泛。

IT负责企业的信息化建设，包括企业信息化基础设施、应用系统的建设和运维等，而OT则负责工业控制系统（ICS）的建设和运维，主要涉及传感器、执行机构、PLC、DCS等设备的使用，以及涉及工业过程管理、设备维护、质量监控等方面的体系建设及其应用。

IT和OT在工业行业中的应用领域不同，但二者的紧密联系却非常重要，决定了企业能否高效运转。

IT和OT的协同防护是指将IT的网络安全技术和OT的物理安全技术有机结合，共同防范工业系统中的安全威胁。

IT和OT的协同防护可以看作是针对数字化工业的“防护一体化”手段，可为企业提供更高的安全性、可靠性和稳定性。

目前，工业行业的安全局面还存在着诸多风险，例如黑客攻击、病毒感染、误操作、系统漏洞等。

这些安全威胁可能导致生产数据、知识产权、设备安全等方面的损失。

然而从目前的情况来看，大多数企业在工业系统安全方面还存在很大的隐患，对IT和OT的保护措施并不够完善。

IT和OT的协同防护是解决这些问题的有效途径，一方面它可以将IT技术和OT技术的优势进行有机整合，最大程度地保证工业系统的安全。

另一方面，协同防护的实施也可以为企业的数字化转型提供有力支撑，帮助企业更好地利用信息和数字技术，提高竞争力和创新能力。

具体来说，IT和OT的协同防护应该从以下方面着手：首先，在设备安全方面，需要保证OT系统具有物理安全措施。

如加密方式、数控设备等，这些举措对于工业系统中的数据、知识产权等方面进行加密保护，以达到更佳的防护效果。

在IT方面，应该加强网络安全技术的使用，例如防火墙、入侵检测系统（IDS）、安全审计等技术，以保障网络安全。

特别是在ICS中，可以加入强安全的认证技术，排除网络入侵、运营失误等风险。

最后，在人员安全方面，需要加强员工的安全意识教育和培训。

一文看懂功能安全和信息安全的区别
 今天我们来聊聊功能安全。

了解功能安全之前，首先我们来重新认识下安全这个概念。

 安全可以说是无处不在，信息安全（Security），财产安全，生命安全…… 我们无时无刻不暴露在安全的威胁下，安全的风险永远无法降低到零。

 而功能安全着重关注如何去避免电气/电子/可编程化系统（E/E/PE）方面的威胁所造成的人员伤亡、财产损失或是环境污染等不可接受的风险。

 “不可接受”并不意味着系统100%不出问题，而是同时要考虑到最终的应用场合、可容忍级别等等安全需求。

 下图也同时罗列了大家很容易搞混的功能安全和信息安全两个概念的区别。

 摘自工业控制系统信息安全专刊。