(高清版)GBT 40211-2021 工業(yè)通信網(wǎng)絡(luò)　網(wǎng)絡(luò)和系統(tǒng)安全　術(shù)語、概念和模型

ICS25.040GB/T40211—2021/IEC/TS62443-1-1:2009工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全(IEC/TS62443-1-1:2009,Industrialcommunicationnetworks—Networkandsystemsecurity—Part1-1:Terminology,conceptsandmodels,IDT)國家市場監(jiān)督管理總局國家標(biāo)準化管理委員會IGB/T40211—2021/IEC/TS62443-1-1:2009 Ⅲ 1 1 1 11.4基于活動的準則 21.5基于資產(chǎn)的準則 2 23術(shù)語和定義、縮略語 3 3 33.3縮略語 4.1概述 4.2當(dāng)前系統(tǒng) 4.3當(dāng)前趨勢 4.4潛在影響 5.1概述 5.2安全目標(biāo) 5.3基礎(chǔ)要求 5.4縱深防御 5.5安全上下文 5.6威脅—風(fēng)險評估 5.7安全程序成熟度 5.8策略 5.9安全區(qū) 6模型 466.1概述 46ⅡGB/T40211—2021/IEC/TS62443-1-1:20096.2參考模型 476.3資產(chǎn)模型 6.4參考體系結(jié)構(gòu) 6.5區(qū)和管道模型 546.6模型間的關(guān)系 參考文獻 ⅢGB/T40211—2021/IEC/TS62443-1-1:2009本標(biāo)準按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準使用翻譯法等同采用IEC/TS62443-1-1:2009《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第1-1部與本標(biāo)準中規(guī)范性引用的國際文件有一致性對應(yīng)關(guān)系的我國文件如下：——GB/T18336.1—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則般模型(ISO/IEC15408-1:2009,IDT)——GB/T20720.1—2019企業(yè)控制系統(tǒng)集成第1部分：模型和術(shù)語(IEC第1部分：簡介和一62264-1:2013,IDT)本標(biāo)準由中國機械工業(yè)聯(lián)合會提出。本標(biāo)準由全國工業(yè)過程測量控制和自動化標(biāo)準化技術(shù)委員會(SAC/TC124)歸口。郵電大學(xué)、工業(yè)和信息化部計算機與微電子發(fā)展研究中心(中國軟件評測中心)、西門子(中國)有限公宋文剛。GB/T40211—2021/IEC/TS62443-1-1:2009都進行寬泛的解讀。統(tǒng)的其他可編程組件。息技術(shù)(IT)和操作人員、工程人員以及制造商組織之間的互相理解和合作對于任何信息倡議取得全面成功都是非常重要的，本標(biāo)準也是那些負責(zé)IAC本標(biāo)準主要涉及以下幾個典型的問題：a)IACS安全應(yīng)用的范圍是什么?b)如何使用統(tǒng)一術(shù)語定義安全系統(tǒng)的需要和要求?c)以什么基本概念為基礎(chǔ)以便用于活動、系統(tǒng)屬性和行動的進一步分析，這些對提供電子安全控制系統(tǒng)來說非常重要?d)如何對IACS構(gòu)件進行分組或分類以用于定義和管理安全?f)這些目標(biāo)是如何建立和修改的?每個問題都在本標(biāo)準中詳細介紹。1GB/T40211—2021/IEC/TS62443-1-1:2009工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全準中其他標(biāo)準的基礎(chǔ)。——所含功能性的范圍；——特定的系統(tǒng)和接口；——選擇所含活動的準則；——選擇所含資產(chǎn)的準則。以下幾節(jié)是對這些內(nèi)容的介紹。本標(biāo)準的范圍能夠描述為組織信息和自動化系統(tǒng)內(nèi)的功能性范圍。該功能性可以典型地以一個或更多的模型來描述。本標(biāo)準主要集中于工業(yè)自動化和控制，這在參考模型中有所描述(見第6章)。雖然考慮了業(yè)務(wù)系工業(yè)自動化和控制包括了過程工業(yè)中典型常見的監(jiān)視控制構(gòu)件。也包括SCADA(監(jiān)督和數(shù)據(jù)采集),該系統(tǒng)常被組織用于操作關(guān)鍵基礎(chǔ)設(shè)施。包括：——輸變電和配電；——供氣和供水管網(wǎng)；——燃氣和液體傳輸管道?？窟\行。這些包括但不限于：a)工業(yè)控制系統(tǒng)及其相關(guān)通信網(wǎng)絡(luò)，包括分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠統(tǒng)以及監(jiān)視和診斷系統(tǒng)[本標(biāo)準中，工業(yè)控制系統(tǒng)包括基本過程控制系統(tǒng)和安全儀表系統(tǒng)(SIS),不管它們是否物理上分離或整合]。b)與第6章描述的參考模型中第3層或更下層相關(guān)的系統(tǒng)。諸如先進或多變量控制、在線優(yōu)化停電管理以及電能量管理系統(tǒng)。2GB/T40211—2021/IEC/TS62443-1-1:2009IEC62443-2-1提供了用于定義與生產(chǎn)操作相關(guān)活動的準則。已經(jīng)有了確定該技術(shù)規(guī)范范圍的相似列表。如果一個系統(tǒng)在執(zhí)行過程中應(yīng)考慮下列因素，該系統(tǒng)應(yīng)在IEC62443系列覆蓋的范圍內(nèi)進行設(shè)計：a)可預(yù)見的過程操作；b)過程或人員安全；c)過程可靠性或可用性；e)過程可操作性；f)產(chǎn)品質(zhì)量；h)合規(guī)；i)產(chǎn)品銷售或儲運交接。a)資產(chǎn)具有制造或運行過程的經(jīng)濟價值；b)資產(chǎn)完成制造或運行過程所必須的功能；c)資產(chǎn)代表制造或運行過程中的知識產(chǎn)權(quán)；d)資產(chǎn)在制造或運行過程中對運行和維護安全是必須的；f)資產(chǎn)對保護環(huán)境是必須的；g)資產(chǎn)應(yīng)保護公眾免于受到制造或運行過程中引起的事件影響；i)用于災(zāi)難恢復(fù)所需要的資產(chǎn)；j)記錄安全事件所需要的資產(chǎn)。下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文ISO/IEC15408-1信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第1部分：簡介和一般模型(Informationtechnology—Securitytechniques—EvaluationcriteriaforITsecurity—Part1:Introudctionandgeneralmodel)部分：模型和術(shù)語(Enterprise-controlsystemintegration—Part1:Modelsandterminology)3GB/T40211—2021/IEC/TS62443-1-1:20093.2.1注：訪問可能會涉及物理訪問(物理上允許在某個區(qū)域授權(quán)，擁有物理的加密裝置，PIN碼或訪問卡或允許訪問的生物特征)或邏輯訪問(通過邏輯和物理方法的結(jié)合，獲得授權(quán)登錄到系統(tǒng)和應(yīng)用)。3.2.2.43.2.5注：區(qū)域可以包括生產(chǎn)線、過程單元和生產(chǎn)設(shè)備。區(qū)域可以通過本地的網(wǎng)絡(luò)進行互連，并且包括該區(qū)域執(zhí)行操作的3.2.63.2.7.94GB/T40211—2021/IEC/TS62443-1-1:2009——主動攻擊是指企圖改變系統(tǒng)資源或影響其操作。 內(nèi)部攻擊是指安全范圍內(nèi)的實體發(fā)起的攻擊(內(nèi)部實體),即被授權(quán)訪問系統(tǒng)資源的實體未按所授權(quán)的方——外部攻擊是指范圍外部由系統(tǒng)未授權(quán)或者不合法的使用者發(fā)起的(包括內(nèi)部人員從安全范圍外發(fā)起的攻3.2.10攻擊樹attacktree3.2.11---內(nèi)部審計是由組織內(nèi)專門從事內(nèi)部審計的獨立部門實施；.13旨在建立傳輸、信息或發(fā)起方有效性的安全方法，核實接收特定信息類別的個人授權(quán)的方法的有效性。3.2.143.2.15包括控制系統(tǒng)以能夠自主或者遠程操作的移動設(shè)備。3.2.163.2.17物理或者邏輯安全區(qū)域的邊或者邊界。5GB/T40211—2021/IEC/TS62443-1-1:20093.2.18能夠自主運行的惡意軟件的統(tǒng)稱。.20通道channel在通信管道(見3.2.27)內(nèi)建立的特定的通信鏈接。3.2.21密文ciphertext通過加密后傳輸?shù)臄?shù)據(jù)，這樣其語義信息內(nèi)容(它的含3.2.22接收或請求來自服務(wù)器端的服務(wù)或信息的設(shè)備或應(yīng)用11]。..26危害(泄密)compromise3.2.27保護安全的通信資產(chǎn)邏輯組。3.2.28保密性confidentiality6GB/T40211—2021/IEC/TS62443-1-1:20093.2.29控制中心controlcenter用于運營資產(chǎn)的中心位置。3.2.30過程的現(xiàn)場傳感控制設(shè)備。3.2.31用于連接控制物理過程設(shè)備的實時網(wǎng)絡(luò)(見3.2.97)。3.2.32成本cost影響公司或者個人的可度量的價值。3.2.333.2.343.2.35通過加密算法執(zhí)行變換的輸入?yún)?shù)。3.2.36行為。3.2.37數(shù)據(jù)保密性dataconfidentiality7GB/T40211—2021/IEC/TS62443-1-1:20093.2.383.2.393.2.40縱深防御defenseindepth—--攻擊者在不被發(fā)現(xiàn)的情況下突破或者繞過每一層；3.2.41注1:非軍事化區(qū)的目的是為外部信息交換提供內(nèi)部網(wǎng)絡(luò)策略，實現(xiàn)外部非信任源的受限訪問，同時屏蔽內(nèi)部網(wǎng)絡(luò)3.2.42拒絕服務(wù)denialofservice3.2.43數(shù)字簽名digitalsignature3.2.44分布式控制系統(tǒng)distributed系統(tǒng)單元被分離但是以耦合方式運行的一種控制系統(tǒng)類型。注1:分布式控制系統(tǒng)有比那些典型的SCADA系統(tǒng)更短的耦合時間常數(shù)。3.2.453.2.46未授權(quán)組織對通信信息的監(jiān)視或者記錄。8GB/T40211—2021/IEC/TS62443-1-1:20093.2.473.2.48生產(chǎn)或運輸產(chǎn)品運營和維護基礎(chǔ)服務(wù)的商業(yè)實體。3.2.493.2.503.2.51現(xiàn)場I/0網(wǎng)絡(luò)fieldI/0network連接傳感器和執(zhí)行器到控制設(shè)備的通信鏈路(有線的或無線的)。3.2.52防火墻firewall注：防火墻可以是安裝在通用計算機上的應(yīng)用軟件或者是專有平臺(設(shè)備),用于轉(zhuǎn)發(fā)或者拒絕/丟棄網(wǎng)絡(luò)上的包。3.2.53連接功能相近但實現(xiàn)不同的兩個(或多個)計算機網(wǎng)絡(luò)的中繼裝置，且該裝置能夠使一個網(wǎng)絡(luò)的主3.2.54地理場所geographicsite3.2.55用于不同安全等級(一個網(wǎng)絡(luò)通常比另一個更安全)的兩個網(wǎng)絡(luò)(或者計算機或者其他信息系統(tǒng))之3.2.56接入到通信子網(wǎng)或網(wǎng)間的計算機，并且該計算機可以使用網(wǎng)絡(luò)提供的服務(wù)與其他附屬系統(tǒng)進行數(shù)9GB/T40211—2021/IEC/TS62443-1-1:20093.2.573.2.583.2.593.2.603.2.613.2.623.2.633.2.643.2.653.2.66ISO國際標(biāo)準化組織。GB/T40211—2021/IEC/TS62443-1-1:20093.2.673.2.683.2.693.2.703.2.71●制造企業(yè)內(nèi)與生產(chǎn)進度表、使用、能力、定義、歷史記錄和所有資源狀態(tài)(人員、設(shè)備和材料)相關(guān)的管理3.2.723.2.73：縮寫“OPC”來自“過程控制OLE(OdEmbedding)”的縮寫。3.2.743.2.75GB/T40211—2021/IEC/TS62443-1-1:20093.2.76網(wǎng)絡(luò)釣魚phishing通過偽造郵件引誘接收者瀏覽貌似合法的網(wǎng)站，使受害者透露信3.2.773.2.78特權(quán)privilege3.2.793.2.80兩個系統(tǒng)間執(zhí)行和控制某些關(guān)聯(lián)類型(例如通信)的規(guī)則集(例如格式和規(guī)程)10]3.2.81用一致的方式描述模塊和系統(tǒng)接口的結(jié)構(gòu)。3.2.823.2.83織的區(qū)域內(nèi)。與從公司區(qū)域外部并且很遠的位置來的訪問相比，訪問風(fēng)險可能比較低。3.2.84遠程客戶端remoteclient問控制網(wǎng)絡(luò)的部分控制設(shè)備。3.2.85參與通信的某一實體拒絕承認參與了全部通信或部分通信。3.2.86采取安全控制或者對抗措施后仍存在的風(fēng)險。3.2.87GB/T40211—2021/IEC/TS62443-1-1:20093.2.88建議如何對各對抗措施分配資源以使總風(fēng)險最小的過程。3.2.89基于風(fēng)險評估來辨識和采用與所保護的資產(chǎn)價值相稱的對抗措施的過程。3.2.90風(fēng)險緩解控制riskmitigationcontrols風(fēng)險對抗措施和業(yè)務(wù)連續(xù)性計劃的結(jié)合。3.2.91組織機構(gòu)可接受的殘余風(fēng)險的等級。3.2.923.2.93在OSI第三層上的兩個網(wǎng)絡(luò)之間的網(wǎng)關(guān)，在網(wǎng)絡(luò)間中繼和直接傳遞數(shù)據(jù)包。路由器最常見的形式3.2.943.2.953.2.96安全完整性等級safetyintegritylevel離散的等級(四個中的一個),用于規(guī)定分配注：安全完整性等級4是安全完整性的最高等級，安全完整性等級1是安全完整性的最低等級。3.2.97安全網(wǎng)絡(luò)safetynetwork連接安全儀表系統(tǒng)并用于安全相關(guān)信息通信的網(wǎng)絡(luò)。3.2.98秘密secretGB/T40211—2021/IEC/TS62443-1-1:20093.2.99a)保護系統(tǒng)所采取的措施；b)由建立和維護保護系統(tǒng)的措施而產(chǎn)生的系統(tǒng)狀態(tài)；d)基于計算機系統(tǒng)的能力，能夠提供充分的把握使非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)e)防止對工業(yè)自動化和控制系統(tǒng)的非法或有害的入侵，或者干擾其正確和計劃的操作。注：措施可以是與物理安全(控制物理訪問計算機的資產(chǎn))或者邏輯安全(登錄給定系統(tǒng)和應(yīng)用的能力)相關(guān)的控制手段。3.2.1003.2.101安全審計securityaudit3.2.1023.2.103安全控制securitycontrol見3.2.33。3.2.104安全事件securityevent3.2.105安全功能securityfunction防止未授權(quán)電子干預(yù)的區(qū)域或者管道功能，這些干預(yù)能影響或改變在區(qū)或管道內(nèi)的設(shè)備和系統(tǒng)的3.2.106系統(tǒng)或者網(wǎng)絡(luò)的不利事件或者這種事件發(fā)生的威脅9]。3.2.107安全入侵securityintrusionGB/T40211—2021/IEC/TS62443-1-1:20093.2.108基于該區(qū)域或者管道的風(fēng)險評估，與區(qū)域或管道的設(shè)備和系統(tǒng)所需要的對抗措施有效性及固有安3.2.1093.2.110安全邊界securityperimeter應(yīng)用了安全策略和安全體系結(jié)構(gòu)的區(qū)域分界線(邏輯的或物理的),即系統(tǒng)資源得到安全服務(wù)保護3.2.1113.2.1123.2.113精確描述了安全實踐是如何實現(xiàn)和執(zhí)行的。3.2.114從策略的定義和通信到最佳行業(yè)實踐的實現(xiàn)，以及目前執(zhí)行的操作和審計等管理安全所有概念的統(tǒng)稱。3.2.1153.2.116安全違規(guī)securityviolation來自外部入侵或內(nèi)部無意違反安全策略的行為或事件。3.2.117安全區(qū)securityzone共享通用安全需求的邏輯資產(chǎn)或物理資產(chǎn)的集合。GB/T40211—2021/IEC/TS62443-1-1:20093.2.1183.2.1193.2.1203.2.121欺騙spoof3.2.1223.2.1233.2.1243.2.1253.2.1263.2.1273.2.1283.2.129GB/T40211—2021/IEC/TS62443-1-1:20093.2.130在兩個安全區(qū)域內(nèi)能夠提供安全通信的通信鏈路。3.2.131在兩個安全區(qū)域內(nèi)不能夠提供安全通信的通信鏈路。3.2.132用于獲取潛在功能需求的技術(shù)，采用一個或者多個場景以傳達系統(tǒng)如何連接到終端用戶或者其他系統(tǒng)以達到特定目標(biāo)。3.2.1333.2.134通過將自身副本插入到其他可執(zhí)行的代碼或文件中進行傳播的，可自我復(fù)制或者自我衍生的程序。3.2.135脆弱性vulnerability3.2.136用于連接遠距離(例如國內(nèi)或跨國)的計算機、網(wǎng)絡(luò)和其他設(shè)備的通信網(wǎng)絡(luò)3.2.137注1:雖然術(shù)語最初指與電導(dǎo)體進行機械連接以鏈接兩個節(jié)點，現(xiàn)在指從任何類型的媒介上讀信息，媒介用于鏈接3.2.1383.2.139下列縮略語適用于本文件。ANSI:AmericanNationalStandardsInstitute(美國國家標(biāo)準研究所)CIA:Confidentiality,Integrity,andAvailability(保密性、完整性和可用性)GB/T40211—2021/IEC/TS62443-1-1:2009CN:ControlNetwork(控制網(wǎng)絡(luò))COTS:CommercialofftheShelf(商用現(xiàn)貨)CSMS:CyberSecurityManagementSystem(網(wǎng)絡(luò)安全管理系統(tǒng))DCS:DistributedControlSystem(分布式控制系統(tǒng))DDoS:DistributedDenialofService(分布式拒絕服務(wù))DoS:DenialofService(拒絕服務(wù))DMZ:DemilitarizedZone(非軍事化區(qū))FIPS:U.S.FederalInformationProcessingStandards(美國聯(lián)邦信息處理標(biāo)準)IACS:IndustrialAutomationandControlSystem(工業(yè)自動化和控制系統(tǒng))IEC:InternationalElectrotechnicalCommission(國際電工委員會)IEEE:InstituteofElectricalandElectronicsEngineers(電子和電氣工程師協(xié)會)I/O:Input/Output(輸入/輸出)IP:InternetProtocol(因特網(wǎng)協(xié)議)IT:InformationTechnology(信息技術(shù))LAN:LocalAreaNetwork(局域網(wǎng))NASA:U.S.NationalAeronauticsandSpaceAdministration(美國國家航空航天局)NOST:NASAOfficeofStandardsandTechnology(NASA標(biāo)準和技術(shù)辦公室)OSI:OpenSystemsInterconnect(開放系統(tǒng)互連)PLC:ProgrammableLogicController(可編程邏輯控制器)RTU:RemoteTerminalUnit(遠程終端單元)SCADA:SupervisoryControlandDataAcquisition(監(jiān)督控制和數(shù)據(jù)采集)SIL:SafetyIntegrityLevel(安全完整性等級)SIS:Safety-InstrumentedSystem(安全儀表系統(tǒng))WAN:WideAreaNetwork(廣域網(wǎng))4現(xiàn)狀工業(yè)自動化和控制系統(tǒng)在復(fù)雜的環(huán)境下運行。組織越來越需要信息在工業(yè)自動化和業(yè)務(wù)之間共設(shè)備是直接和工藝過程相連的，安全遭到破壞的后果不僅僅是喪失了商業(yè)保密或在信息傳送中發(fā)生中威脅不僅僅來自外部，內(nèi)部具有一定技術(shù)能力的人員惡意或另外，工業(yè)自動化和控制系統(tǒng)還經(jīng)常和其他業(yè)務(wù)系統(tǒng)相連。對運行系統(tǒng)的修改和測試還會對系統(tǒng)的運行產(chǎn)生沒有意識到的影響?？刂葡到y(tǒng)區(qū)域之外的人對系統(tǒng)所進行的安全測試，更加劇了這些影響的數(shù)道的。雖然技術(shù)變化和合作伙伴關(guān)系可能對業(yè)務(wù)行為是有益的，但也增加了破壞安全的潛在風(fēng)險。正因GB/T40211—2021/IEC/TS62443-1-1:2009工業(yè)自動化和控制系統(tǒng)是從單個的、獨立的、專用操作系統(tǒng)和網(wǎng)絡(luò)向互聯(lián)的系統(tǒng)和使用商用技術(shù)(即，操作系統(tǒng)和協(xié)議)的應(yīng)用逐漸演化的。工業(yè)自動化和控制系統(tǒng)正在通過各種通信網(wǎng)絡(luò)與企業(yè)管理a)增加了工業(yè)控制系統(tǒng)各項活動的可見性(工作進程、設(shè)備狀態(tài)、生產(chǎn)進度),從業(yè)務(wù)層面集成工c)通用的接口降低了總體維護成本，并允許對生產(chǎn)過程的遠程支持；d)對過程控制系統(tǒng)的遠程監(jiān)視可以降低成本并有利于更快速地解決問題。工業(yè)自動化和控制系統(tǒng)的企業(yè)帶來潛在的風(fēng)險。難以確定：——授權(quán)誰可以訪問電子信息；——用戶何時能訪問信息；-—用戶訪問何種數(shù)據(jù)或功能；——訪問請求源的位置；——如何請求訪問。下面幾個趨勢使得工業(yè)自動化和控制系統(tǒng)的安全變得越來越重要：a)近年來對商業(yè)和個人計算機系統(tǒng)的惡意代碼攻擊顯著增加。與前些年比，每年企業(yè)報告發(fā)生未經(jīng)授權(quán)企圖(無論是有意的還是無意的)訪問電子信息的案例逐漸增多。b)工業(yè)自動化和控制系統(tǒng)轉(zhuǎn)向COTS操作系統(tǒng)和協(xié)議，并與商業(yè)網(wǎng)絡(luò)互聯(lián)。使得這些系統(tǒng)和目前商業(yè)系統(tǒng)和桌面設(shè)備容易遭到同樣的軟件攻擊。c)因特網(wǎng)上用于自動攻擊的工具隨處可得到。現(xiàn)在使用這些工具的外部威脅包括網(wǎng)絡(luò)犯罪分子和控制系統(tǒng)的安全變得更加復(fù)雜。在開發(fā)這些系統(tǒng)的安全措施時應(yīng)考慮這些情況。犯罪或恐怖活動意圖對更大的組織機構(gòu)或設(shè)施造成影響。f)采用工業(yè)文件協(xié)議，例如作為工業(yè)自動化和控制系統(tǒng)與現(xiàn)場設(shè)備之間的通信的因特網(wǎng)協(xié)議(IP)。使用IP協(xié)議，工業(yè)自動化和控制系統(tǒng)與現(xiàn)場設(shè)備在網(wǎng)絡(luò)層會受到同商用系統(tǒng)一樣的安全正在受到更加顯著和廣泛的關(guān)注。這種變化需要建立結(jié)構(gòu)化的導(dǎo)則和規(guī)程，來規(guī)范工業(yè)自動化和GB/T40211—2021/IEC/TS62443-1-1:2009下是控制平臺的可能性。入侵工業(yè)自動化和控制系統(tǒng)可能出現(xiàn)的后果包括：b)向未經(jīng)授權(quán)的目的地發(fā)布信息；c)喪失過程數(shù)據(jù)和生產(chǎn)信息的完整性或可靠性；d)喪失系統(tǒng)的可用性；f)設(shè)備損壞；g)人員傷害；h)違反法律法規(guī)；i)帶來公共健康和信任的風(fēng)險；j)對國家安全造成威脅。5概念本章描述幾個基本概念，這些概念構(gòu)成了后面章節(jié)以及IEC62443其他標(biāo)準的基礎(chǔ)。特別是解決a)哪些是用于描述安全的主要概念；b)哪些重要概念構(gòu)成了完整的安全程序的基礎(chǔ)。商業(yè)系統(tǒng)的信息技術(shù)(IT)安全策略一般最為關(guān)注信息的保密性，以及為此要采取的必要的訪問控制。在工業(yè)自動化和控制系統(tǒng)的環(huán)境下，這些目標(biāo)的優(yōu)先級往往是不同的。這些系統(tǒng)的安全最關(guān)注維持系統(tǒng)所有部件的可用性。存在與由工業(yè)自動化和控制系統(tǒng)控制、監(jiān)視甚至影響的工業(yè)機器相關(guān)聯(lián)的時間響應(yīng)也很重要。控制系統(tǒng)可以要求1ms范圍內(nèi)的系統(tǒng)響應(yīng)時間，而傳統(tǒng)商業(yè)系統(tǒng)在1s或幾秒內(nèi)完成操作就可以了。GB/T40211—2021/IEC/TS62443-1-1:2009通用的信息技術(shù)(IT)系統(tǒng)保密性(C)保密性(C)根據(jù)應(yīng)用場景的不同，系統(tǒng)的完整性也可具有最高優(yōu)先級。某些運行要求各個部件或系統(tǒng)具有不同的優(yōu)先級目標(biāo)(即完整性或可用性可優(yōu)先于保密性，或反之),從而使得組織采取不同的應(yīng)對措施達到這些安全目標(biāo)。圖1所示簡單的CIA模型還不足以使人們完全理解工業(yè)自動化和控制系統(tǒng)安全的要求。雖然IEC62443系列的其他部分會給出詳盡的清單，但一些工業(yè)自動化安全的最基本要求還是在這里列出。這些要求包括：c)數(shù)據(jù)完整性(DI):保證被選通信通道上數(shù)據(jù)的完整性，防止未經(jīng)授權(quán)的修改。d)數(shù)據(jù)保密性(DC):保證被選通信通道上數(shù)e)限制數(shù)據(jù)流(RDF):限制通信通道上的數(shù)據(jù)流，防止向未經(jīng)授權(quán)的信息源發(fā)布信息。f)事件及時響應(yīng)(TRE):對于任務(wù)關(guān)鍵型或安全關(guān)鍵型的情況，通過通知合適的主管機構(gòu)、報告g)資源可用性(RA):保證網(wǎng)絡(luò)資源的可上述的所有要求都在本標(biāo)準范圍內(nèi)，只是有些更詳細的內(nèi)容見IEC62443系列的其他部分。例如，數(shù)據(jù)完整性和數(shù)據(jù)保密性的技術(shù)要求細節(jié)見IEC62443的其他部分。一般通過單一措施或技術(shù)很難達到安全的目標(biāo)。比較高級的方法是使用縱深防御的概念，即通過安全上下文構(gòu)成了解釋術(shù)語和概念的基礎(chǔ)，并給出了安全各要素之間的相互關(guān)系。這里所說安全GB/T40211—2021/IEC/TS62443-1-1:2009的意思是防止對工業(yè)自動化和控制系統(tǒng)的正常和預(yù)期運行過程的非法或有害的入侵和干擾。安全上下文基于威脅、風(fēng)險、措施的概念，以及它們相互之間的關(guān)系。這些概念的關(guān)系可以用一個簡單的模型來表示。圖2復(fù)制的是ISO/IEC15408-1(通常規(guī)則)里的一個模型。圖3是對這種相互關(guān)系的另一種不同的觀點。資產(chǎn)擁有者希望最小化資產(chǎn)擁有者希望最小化強制對策風(fēng)險對產(chǎn)生資產(chǎn)增加對威脅圖2上下文要素相互關(guān)系信息安全保證信息安全保證產(chǎn)生保證資產(chǎn)擁有者信心脆弱性要求對策最小化對資產(chǎn)給出依據(jù)利用威脅評價在圖3的上下文模型給出了與安全保證和威脅—風(fēng)險評估兩個相互關(guān)聯(lián)的過程有關(guān)的一套擴展概念集。GB/T40211—2021/IEC/TS62443-1-1:2009被不同威脅利用的脆弱性。下面這些條款將對這些要素進行詳細描述。資產(chǎn)是安全程序關(guān)注的焦點。它們是被保護的對象。為了充分理解對于IACS環(huán)境的風(fēng)險，首先系統(tǒng)并構(gòu)成設(shè)備的資產(chǎn)是最重要的物理資產(chǎn)。資產(chǎn)經(jīng)常會對組織產(chǎn)生非常持久的和破壞性的后果。過程自動化資產(chǎn)是一種特殊形式的邏輯資產(chǎn)。它們包括執(zhí)行工業(yè)過程的自動邏輯。這些過程高度依賴于對精確定義事件的重復(fù)或連續(xù)的執(zhí)行。過程資產(chǎn)的損害可能通過物理方法(例如，破壞媒體)或非物理方法(例如，未經(jīng)授權(quán)的修改),導(dǎo)致對過程某種程度c)人員資產(chǎn)：人員資產(chǎn)包括人員以及它們所擁有的與生產(chǎn)活動相關(guān)的知識和技能。人員資產(chǎn)還技能。很少有工藝設(shè)施是完全自動的，由于人為因素造成的運行故障可能會對生產(chǎn)造成重大機并對生產(chǎn)造成影響，雖然并沒有對工業(yè)自動化和控制系統(tǒng)產(chǎn)生任何物理或邏輯上的破壞。任何傷及人員的事故或攻擊都被認為是影響了人員資產(chǎn)。程中也是用定性的方法表述資產(chǎn)損失。組織提供關(guān)于損失的潛在影響的清晰描繪。影響、無影響這樣的相對值。很多資產(chǎn)僅能用定性損失來分析。風(fēng)險評估過程可以從定性評GB/T40211—2021/IEC/TS62443-1-1:2009價值可以按照產(chǎn)生損失的類型來進行分類：c)直接損失：直接損失代表的是更新資產(chǎn)的成本。對物理資產(chǎn)而言，包括設(shè)備本身更新的成本。d)間接損失：間接損失代表了由于喪失資產(chǎn)組織將會面對的任何損失。這可以包括生產(chǎn)過程的停工期、返工或其他由于資產(chǎn)喪失導(dǎo)致的生產(chǎn)成本。物理資產(chǎn)的間接損失一般包括由于部件資產(chǎn)類型直接損失間接損失定性或定量物理可能產(chǎn)生高的直接損失，主要是由于資產(chǎn)更新產(chǎn)生的成本。直接損失來自生產(chǎn)過程喪失完整性或可用性，以及干擾了生產(chǎn)過程的準確順序或協(xié)調(diào)性而導(dǎo)致的物理資產(chǎn)的破壞損失造成的下游影響包括喪失控制、其他資產(chǎn)的喪失或破壞，以及停工損失等可以從對高風(fēng)險的定性分析開始，然后再定量分析獲得更精確的結(jié)果邏輯直接損失較小，因為存儲媒體通常價格低廉且容易更換高的間接損失，經(jīng)常是由于喪失知識產(chǎn)權(quán)、專有程序的損害或違規(guī)造成的。由于設(shè)備損壞或物質(zhì)釋放產(chǎn)生的間接損失可以導(dǎo)致停工、返工、重新設(shè)計，或其他為恢復(fù)工業(yè)過程控制的工作大部分是定性的，但有些下游影響可以定量評估人員按照人員傷害的程度可以從低到中等確定直接損失。可以短時間內(nèi)恢復(fù)的小的傷害可能對公司的直接損失比較小，雖然傷害對個人的影響還會持續(xù)一段時間按照人員傷害程度，以及該人對生產(chǎn)過程的重要性，間接損失可以是從低到高。按照個人所需恢復(fù)時間的不同，產(chǎn)生的加班成本或臨時替換成本也會有很大不同。如果評估中考慮到社會責(zé)任以及潛在的訴訟和裁決的因素，永久性致殘或死亡可能會產(chǎn)生高的間接損失對生產(chǎn)立即產(chǎn)生定性影響，緊接著會產(chǎn)生人員恢復(fù)或替換的定量影響脆弱性可能是來自有意的設(shè)計選擇，也可能源于錯誤理解運行環(huán)境的偶然情況。脆弱性還有可能在設(shè)備老化直至最終被淘汰的過程中顯現(xiàn)。與正常運行或受控的設(shè)備相比，這種情況通常發(fā)生在較短的時間內(nèi)。脆弱性不僅僅限于電子或網(wǎng)絡(luò)系統(tǒng)。了解物理(包括人員)和電子脆弱性之間的相互作用，24GB/T40211—2021/IEC/TS62443-1-1:2009對于建立有效的工業(yè)自動化和控制系統(tǒng)安全是至關(guān)重要的。風(fēng)險通常定義為用概率表示的預(yù)計損失，這里的概率是指特定的威脅利用特定的脆弱性造成特定的后果的幾率。風(fēng)險是威脅、脆弱性和后果的函數(shù)，由于特定威脅或脆弱性對組織的資產(chǎn)造成特定損害，因而后果對組織造成負面影響。威脅和脆弱性可以用可能性來表示，可能性是特定行為發(fā)生的概率。資產(chǎn)擁有者在估計風(fēng)險時應(yīng)歸類并包括緩解或修補的成本。它們還應(yīng)當(dāng)采取適當(dāng)?shù)膶勾胧﹣砭徣魏魏侠淼娘L(fēng)險評估方法都應(yīng)采用層次化的方法對所有涉及的系統(tǒng)進行分析，從最靠近威脅的系a)風(fēng)險初始評估；c)評估殘余風(fēng)險。第2步和第3步可以根據(jù)需要重復(fù)進行，以將該殘余風(fēng)險降低到可接受的水平。特別的，第2步還包括評估現(xiàn)有控制和實施計劃，增加補救措施或其他對抗措施。更具體的確定風(fēng)險過程的描述將在IEC62443以后部分給出。需要考慮的典型風(fēng)險通常包括：定性風(fēng)險分析的結(jié)果包括一份資產(chǎn)或情況清單，包含總體可能性和后果分級。按照分級對各項風(fēng)險做出適當(dāng)?shù)捻憫?yīng)屬于管理責(zé)任。一些組織可以接受相對比較高的風(fēng)險等級(例如有強勁增長勢頭的和能力。管理宜明確定義和理解組織對風(fēng)險承受的意愿和能力，才能夠更好地分析已被識別的殘余風(fēng)險的響應(yīng)級別。工業(yè)自動化和控制系統(tǒng)安全不必重新使用定義風(fēng)險容忍等級的過程，只需從組織其他風(fēng)險管理實踐中獲得即可。GB/T40211—2021/IEC/TS62443-1-1:2009c)接受風(fēng)險：還有一種選擇是接受風(fēng)險，將它看作是開展業(yè)務(wù)的代價。組織需要承擔(dān)一定的風(fēng)d)轉(zhuǎn)移或分擔(dān)風(fēng)險：也可以通過建立保險或協(xié)議來轉(zhuǎn)移部分或全部風(fēng)險到第三方。一例子是外包實現(xiàn)某些功能或服務(wù)。這種方法不是總有效，因為可能不能覆蓋所有資產(chǎn)。安全注有效的控制。組織不了解所有風(fēng)險，在運行復(fù)雜的工業(yè)自動化和控制系統(tǒng)時，偶然的事故使這些風(fēng)險呈現(xiàn)工業(yè)自動化和控制系統(tǒng)或?qū)?yīng)的生產(chǎn)過程帶來沒有預(yù)料到的安全威脅。制手段進行工作的結(jié)果可能就會產(chǎn)生威脅。威脅付諸行動就變成攻擊(有時叫入侵)。無論設(shè)計部件和系統(tǒng)，或在某地或某組織內(nèi)部實施安全樹的方法。威脅可能是被動的或主動的。下面條款將分別進行描述。被動信息的收集能為潛在入侵者提供有價值的信息。威脅代理經(jīng)常通過與雇員、合同承包商隨意的語言交流來收集被動信息。當(dāng)然，設(shè)施內(nèi)部或外部的人員也可以通過視覺觀察來收集被動信息。被些經(jīng)常在它們責(zé)任區(qū)域外活動的人的持續(xù)觀察可以幫助組織判斷出正在遭受被動信息收集，特別是在26GB/T40211—2021/IEC/TS62443-1-1:2009與精確背景調(diào)查信息結(jié)合時。偵聽是一種被動威脅的例子。它是監(jiān)視通信流中數(shù)據(jù)的行為。搭線竊聽、截取信息流中的數(shù)據(jù)是最為常見的偵聽方法。偵聽可能很復(fù)雜。偵聽各種通信網(wǎng)絡(luò)的數(shù)據(jù)的工具隨處可見。雖然這些設(shè)備通通信攻擊意圖是中斷工業(yè)自動化和控制系統(tǒng)的通信。通信攻擊可以通過各種方式進行。通信攻擊系統(tǒng)進行攻擊。不安全代碼、旁路防火墻執(zhí)行未經(jīng)授權(quán)的命令。注入攻擊用于從數(shù)據(jù)庫竊取通常無法獲得的信息，和或通過載有數(shù)據(jù)庫的計算機獲得對組織機構(gòu)的主機訪問。在網(wǎng)絡(luò)連接中，這些詞匯用來形容硬件和軟件可能被愚弄的各種方法。黑客可以偽造一個電子郵信息看似來自授權(quán)的IP地址。威脅代理還企圖通過哄騙個人出示安全信息來獲取其他數(shù)據(jù)。社會工程之所以成功是因為它的受害者本能地希望相信其他人或自然地希望可以幫助別人。這些社會工程的受害者被哄騙釋放信息，而他們自己沒有意識到這些信息可以用來攻擊計算機網(wǎng)絡(luò)。GB/T40211—2021/IEC/TS62443-1-1:2009與品牌的信任度相關(guān)聯(lián)。用代碼(automatedexploitcode)或木馬的形式。用的存儲空間，并將導(dǎo)致整個系統(tǒng)停止工作。更為危險的病毒可以旁路掉安全系統(tǒng)，自己在網(wǎng)絡(luò)上傳播。對簡單的自開發(fā)代碼可以收集信息以便用于將來入侵、財務(wù)開發(fā)(financialexploitation)或統(tǒng)計目的(營銷)。自動利用代碼能利用其他資源或系統(tǒng)中已有的應(yīng)用來強化收集信息和破壞數(shù)據(jù)的能力。一個全自動利用代碼一般稱為蠕蟲病毒。蠕蟲病毒是一個獨立的程序或算法，它可以在計算機網(wǎng)絡(luò)上自我復(fù)險惡的木馬病毒是一個聲稱可以擺脫病毒的程序，而實際上反過來它是將病毒帶入計算機。惡意代碼能夠以僵尸網(wǎng)絡(luò)形式傳播，收集所泄密的在通用命令和控制設(shè)施的機器運行程序。僵尸拒絕(或降級)服務(wù)攻擊影響網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用資源的可用性。基于網(wǎng)絡(luò)的拒絕服務(wù)最常見的應(yīng)用造成重大損失。采取一些本來能夠被防御的攻擊行動。對抗措施是要采取的行動或預(yù)案，目的是將風(fēng)險降低到可接受的水平或滿足安全策略。它們一般不能消除風(fēng)險。要采取的對抗措施的特性取決于要應(yīng)對的威脅的特性。a)用戶和/或計算機鑒別；b)訪問控制；28GB/T40211—2021/IEC/TS62443-1-1:2009f)資源隔離和分離；g)惡意軟件的掃描；h)系統(tǒng)活動的監(jiān)視；i)物理安全。施上。徑上產(chǎn)生信號。硬連接偵聽通過先進通信控制設(shè)備可以被檢測，例如智能數(shù)據(jù)網(wǎng)絡(luò)交換機，但無線偵聽，即使用非常精良和昂貴的無線遠程通信技術(shù)也幾乎無法被檢測到?？梢酝ㄟ^控制和關(guān)閉電廠無用受到日益增長的計算機安全風(fēng)險的驅(qū)使，很多組織采取了積極的方法來解決針對他們的IT系統(tǒng)和網(wǎng)絡(luò)的安全風(fēng)險。它們開始意識到網(wǎng)絡(luò)安全問題的解決是一個連續(xù)的過程，而不是一個具有顯著的起點和終點的項目。歷史上提供和支持商業(yè)信息系統(tǒng)和工業(yè)自動化和控制系統(tǒng)的組織一直運行在兩個相互排斥的領(lǐng)域。它們都不能理解對方的需求和專業(yè)技術(shù)。當(dāng)它們將普通的IT安全實踐在工業(yè)自動化和控制系統(tǒng)上實施的時候產(chǎn)生了大量的問題。在某些情況下，安全實踐對立于將生產(chǎn)連續(xù)性和安全性最大化的普通的功能安全實踐。因為目前工業(yè)自動化和控制系統(tǒng)中采用了大量的開放信息技術(shù)，所以需要額外的知識來安全地運用這些技術(shù)。IT和制造、生產(chǎn)性組織宜協(xié)同工作并把它們的知識和技能共同應(yīng)用于解決安全問題。在具有很高潛在一個成熟的安全程序的目標(biāo)是集成計算機安全的所有方面，包括桌面和商業(yè)計算系統(tǒng)以及工業(yè)自動化和控制系統(tǒng)。圖4顯示了很多業(yè)務(wù)所面臨的集成過程。很多組織對它們的商業(yè)計算機系統(tǒng)有很具體的和完整的計算機安全程序，但是并沒有完全針對IACS開發(fā)出網(wǎng)絡(luò)安全管理實踐。GB/T40211—2021/IEC/TS62443-1-1:2009一個常見的錯誤就是把解決計算機安全當(dāng)作一個有起始和結(jié)束日期的項目。在這種情況下，安全性水平經(jīng)常隨著時間推移而下降，如圖5所示。當(dāng)新的威脅和脆弱性隨著技術(shù)的改變而產(chǎn)生的時候，網(wǎng)絡(luò)安全風(fēng)險總是在改變。需要一個新的方式來維持安全并且把風(fēng)險控制在一個可接受的水平。時間建議開發(fā)并且實現(xiàn)整個組織范圍內(nèi)的網(wǎng)絡(luò)安全管理系統(tǒng)，包括采取糾正措施防止隨著時間推移安全等級下降的趨勢以及評估風(fēng)險的程序元素。IEC62443-2-1中詳細描述了網(wǎng)絡(luò)安全管理系統(tǒng)的關(guān)鍵元素。每個組織實施網(wǎng)絡(luò)安全管理系統(tǒng)的過程由于組織目標(biāo)和對風(fēng)險的容忍程度而不同。將網(wǎng)絡(luò)安全集成到組織的文檔實踐是一種文化的改變，需要花費時間和資源。如圖6所示，它不能一步實現(xiàn)。它是一GB/T40211—2021/IEC/TS62443-1-1:2009個為達到網(wǎng)絡(luò)安全性的循序漸進的標(biāo)準化過程。要實施的安全實踐需要跟風(fēng)險水平相稱，在不同的組織中也是不一樣的，甚至在基于全局目標(biāo)和需求的同一個組織內(nèi)部不同的實踐之間也是不一樣的。在一個組織中為每個級別的系統(tǒng)制定的策略和規(guī)程也可以是不同的，因為風(fēng)險水平和安全要求也可能是a)培訓(xùn)IACS的職員以理解當(dāng)前的信息技術(shù)和網(wǎng)絡(luò)安全問題；b)教育IT職員以理解IACS技術(shù)以及過程安全管理規(guī)程和方法；c)開發(fā)(安全)實踐以綜合所有組織的協(xié)同應(yīng)對網(wǎng)絡(luò)安全問題的技能。為成功實施網(wǎng)絡(luò)安全程序，需要適當(dāng)結(jié)合風(fēng)險緩解項目和網(wǎng)絡(luò)安全管理系統(tǒng)(CSMS)程序開發(fā)兩方面的人員。為達到所需的集成的成熟的網(wǎng)絡(luò)安全程序狀態(tài)，來自多組人員的技能和理解的典型范圍見圖6。通信和IT支持IT安全供應(yīng)商過程安全IACS支持操作和維護圖6用于CSMS開發(fā)的綜合資源可以用包含若干個階段的生命周期來描述一個網(wǎng)絡(luò)安全程序的相對成熟度。每個階段包含一個或工業(yè)自動化和控制系統(tǒng)的分區(qū)或控制系統(tǒng)內(nèi)的控制區(qū)域可能處于不同成熟度階段。這種情況出于出售設(shè)施或者業(yè)務(wù)的一部分或者有其他資源可用于將安全系統(tǒng)升級到更成熟的階段。通過按照表2中的階段和步驟對工業(yè)自動化和控制系統(tǒng)部分中取得的進展進行評估，組織可以獲得對安全成熟度更詳細的評估。GB/T40211—2021/IEC/TS62443-1-1:2009階段步驟概念識別概念功能分析定義實施功能設(shè)計詳細設(shè)計建設(shè)運行運行符合性監(jiān)視回收和處置處置拆解表3～表7描述了成熟度生命周期中的階段和步驟。表3概念階段步驟描述識別識別需要保護的財產(chǎn)、資產(chǎn)、服務(wù)以及員工。開始開發(fā)安全程序概念繼續(xù)開發(fā)安全程序。對資產(chǎn)服務(wù)以及需要某種程度保護的職員進行建檔。把針對企業(yè)的潛在的內(nèi)部、外部威脅進行建檔。建立安全任務(wù)、愿景和價值。為工業(yè)自動化和控制系統(tǒng)、設(shè)備、信息系統(tǒng)以及職員開發(fā)安全策略步驟描述定義繼續(xù)開發(fā)安全程序。為工業(yè)自動化和控制系統(tǒng)、設(shè)備、生產(chǎn)系統(tǒng)、信息系統(tǒng)和職員建立安全功能需求。針對潛在危險清單對設(shè)施和相關(guān)服務(wù)執(zhí)行脆弱性評估。發(fā)現(xiàn)和確定工業(yè)自動化和控制系統(tǒng)的法律要求。執(zhí)行針對潛在脆弱性和威脅的風(fēng)險分析。將風(fēng)險、對企業(yè)的潛在影響和潛在的緩解方法進行歸類。將安全工作劃分到可控的任務(wù)和模塊，以便進行功能設(shè)計的開發(fā)。為工業(yè)自動化和控制系統(tǒng)的安全部分建立網(wǎng)絡(luò)功能定義GB/T40211—2021/IEC/TS62443-1-1:2009步驟描述功能設(shè)計在本階段完成安全程序的開發(fā)。定義企業(yè)范圍、裝置范圍和控制區(qū)域的安全需求。定義潛在的活動和事件并建檔，執(zhí)行功能需求和實施計劃以實現(xiàn)安全的企業(yè)。定義功能性安全組織和結(jié)構(gòu)。定義實施計劃中需要的功能。定義和發(fā)布安全區(qū)域、邊界和訪問控制門戶。完成和發(fā)布安全策略及規(guī)程詳細設(shè)計定義物理和邏輯系統(tǒng)以執(zhí)行此前定義的功能化的安全需求。實施培訓(xùn)程序。完成實施計劃的開發(fā)。啟動資產(chǎn)管理和變更管理程序。為被保護區(qū)域設(shè)計邊界和訪問控制門戶構(gòu)建執(zhí)行實施計劃。為完成被保護區(qū)域以及在企業(yè)內(nèi)的邊界，安裝物理的安全設(shè)備、邏輯應(yīng)用、配置和員工規(guī)程。激活和維護訪問控制門戶的屬性。培訓(xùn)程序完成。資產(chǎn)管理和變更管理程序起作用，并開始運行。安全安全系統(tǒng)完成交接，并準備由運行和維護人員接收表6運行階段步驟描述運行安全設(shè)備、服務(wù)、應(yīng)用和配置都已完成，并由運行人員和維護人員接收。員工已培訓(xùn)，并就安全事項繼續(xù)培訓(xùn)。維護人員監(jiān)視企業(yè)、裝置或者控制區(qū)域部分的安全性，并保持運行正常。資產(chǎn)管理和變更管理處于運行和維護狀態(tài)符合性監(jiān)視內(nèi)部審計。風(fēng)險審核。外部審計表7回收和處置階段步驟描述處置淘汰的安全系統(tǒng)被正確地拆解和處置。為保護區(qū)域更新或重建安全邊界。訪問控制門戶被生成，重新定義，重新配置或者關(guān)閉。向員工通報關(guān)于安全系統(tǒng)及事項的變更及其對相關(guān)系統(tǒng)的影響拆解知識產(chǎn)權(quán)被適當(dāng)?shù)厥占?、建檔并安全地保存或者銷毀。訪問控制門戶以及相關(guān)鏈接被關(guān)閉。向員工通報安全系統(tǒng)及事項的拆解及其對剩余安全系統(tǒng)的影響GB/T40211—2021/IEC/TS62443-1-1:2009安全策略使得組織能夠為了維持可接受的安全水平而遵循一致的程序。策略被定義在企業(yè)中的不同層級，從建立在企業(yè)層級的治理或管理策略到定義安全管理細節(jié)的操作策略。最特定等級的策略是安全審計能夠檢驗其符合性的組織文檔。所謂安全策略是指定或規(guī)定組織如何保護其敏感、關(guān)鍵系統(tǒng)資源的規(guī)則。策略無歧義地指明什么是強制性的。因為策略是強制性和無歧義的，因此可以審計。組織的安全策略也將法律法規(guī)以及合同義務(wù)考慮在內(nèi)。它們是審計檢測該組織實際業(yè)務(wù)的標(biāo)尺。補充策略的是規(guī)程。安全規(guī)程詳細定義了提供某種安全機制的必要步驟。因為它們的詳細程度，規(guī)程是應(yīng)用于一個特定事項。它們屬于特定技術(shù)。策略引用了這些規(guī)程并強制它們的使用。和策略及規(guī)程相對的是導(dǎo)則。導(dǎo)則不是強制性的。它們是描述做某些事情的一種方法，這些事情是想做的但不是強制性的。因為導(dǎo)則不是強制的并且可能是含糊的，所以不能審計實踐是否遵從導(dǎo)則。導(dǎo)則在一些時候是由沒有權(quán)威去要求其被遵守的團體所撰寫的。導(dǎo)則不適于描述那些應(yīng)被強制的實踐。因為每個組織不同部分的策略和規(guī)程經(jīng)常是不同的，所以它們之間的充分協(xié)調(diào)是很重要的。尤其是工業(yè)自動化和控制系統(tǒng)的安全策略宜與通用IT安全的類似策略相互協(xié)調(diào)。如果各方之間有很好的各種策略和規(guī)程結(jié)構(gòu)上的一致性將增加整體的策略和規(guī)程集合的協(xié)調(diào)性。每個策略和規(guī)程文檔都有一個簡短但是對其目的精確的說明。它也有一個定義文檔適用范圍的說明。以及對它想要降低的風(fēng)險、文檔的關(guān)鍵原則的描述。這些公共的條目通過提供關(guān)于策略或規(guī)程的意圖的信息來引導(dǎo)讀者。它們還通過描述文檔的意圖在文檔被修訂時提供有益的指南。系統(tǒng)生命周期的不同階段不同安全策略問題的行規(guī)。安全策略和規(guī)程可只針對某個生命周期階段。某些策略和規(guī)程可規(guī)定它們只和某個階段有關(guān)。關(guān)注所有不同階段以及特定階段的所有策略和規(guī)程都放在安全策略和規(guī)程的集合中。安全策略和規(guī)程包含組織如何測量符合程度以及如何更新策略的使用說明。組織經(jīng)常在執(zhí)行或者評估審計的時候意識到需要更新策略。審計可以發(fā)現(xiàn)策略和規(guī)程中的模糊之處，以及部分策略和規(guī)程沒有清晰地定義所需的過程和結(jié)果。審計能指出對抗措施和規(guī)程所需的增補。審計還可以指出需要重策略和規(guī)程宜允許不可預(yù)見的環(huán)境導(dǎo)致其無法被遵守。策略還宜指出如何將對抗策略和規(guī)程的例外進行文檔化和批準。對批準的例外進行文檔化使得安全狀態(tài)變得清晰，而不是在策略和規(guī)程中保留模糊和不精確。此外，組織宜在策略中明確哪些是要求，哪些是選擇性建議。精確地使用以下助動詞將去除模糊對一個要求所提供的選擇性。詞組“在可能時策略和規(guī)程標(biāo)識出人員職責(zé)。過程-控制員工是否應(yīng)對控制網(wǎng)絡(luò)負責(zé)，是否應(yīng)對控制網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)之間的一個非軍事化區(qū)(DMZ)負責(zé)?如果企業(yè)信息系統(tǒng)部門負責(zé)需要過程-控制員工完成特定操作GB/T40211—2021/IEC/TS62443-1-1:2009該組織在近期能夠處理的安全實踐集合。隨著時間的推移和組織能力的提高，可以修訂和強化策略和企業(yè)級策略對安全程序授權(quán)并且設(shè)定其方向。它指明了組織總體的安全目標(biāo)。都保持恰當(dāng)和精確。策略因此可以是穩(wěn)定的，只有當(dāng)組織在安全上的基本定位發(fā)生改變時，才需要重企業(yè)級策略指明責(zé)任區(qū)域，并且為這些區(qū)域分配責(zé)任。策略可定義IT部門和裝置運行之間的關(guān)是企業(yè)網(wǎng)絡(luò)安全的最高級別的考量，然而保持連續(xù)運行可以是控制系統(tǒng)的此外，策略指明適用于組織的特定標(biāo)準和法規(guī)。它可以指明培訓(xùn)是安全程序中的一個重要組成部分。策略還可以指明策略違規(guī)的后果。操作性策略和規(guī)程是在組織的較低層級上建立的，用于規(guī)定企業(yè)級策略是如何在一套特定情況下實施。安全規(guī)程將策略付諸實施。它們定義了組織如何實現(xiàn)目標(biāo)以及如何滿足策略的要求。規(guī)程建立起解決策略所關(guān)注的過程。a)系統(tǒng)設(shè)計；b)采購；c)安裝；e)系統(tǒng)維護；f)人員；h)培訓(xùn)。書面的規(guī)程描述了當(dāng)情況發(fā)生變化時變更它們(指規(guī)程)的過程。每個策略或規(guī)程有一個明確的所利于組織判斷風(fēng)險的降低和實施策略的費用之間是否平衡。如果此平衡是不可接受的，策略和規(guī)程將不得不調(diào)整。規(guī)程還需更新以反映技術(shù)的變化。規(guī)程能夠支持審計。安全審計對觀察到的組織行動與書面規(guī)程進行比較。策略和規(guī)程可以涵蓋若干個主題。每個組織都是不一樣的，宜確定適用于它的工業(yè)自動化和控制系統(tǒng)的適當(dāng)?shù)牟呗院鸵?guī)程?？赡艿闹黝}包括以下條款。GB/T40211—2021/IEC/TS62443-1-1:2009全范圍的設(shè)備或者規(guī)程，風(fēng)險管理是十分重要的。不過風(fēng)險管理是復(fù)雜的，而且需要針對組織進行裁剪?；陲L(fēng)險管理的策略定義了如何確定一個可以接受的風(fēng)險等級以及如何控制風(fēng)險。該等級根據(jù)特定組織環(huán)境和目標(biāo)的不同而不同。確定風(fēng)險等級的過程宜周期性地重復(fù)進行，以適應(yīng)環(huán)境的改變。系統(tǒng)安全性的提高可以通過把訪問權(quán)限限定給那些需要且可信的用戶。訪問管理策略辨別用戶的不同角色，以及每個角色訪問不同類別(物理的或邏輯的)資產(chǎn)的權(quán)限。它規(guī)定了保護資產(chǎn)職員的責(zé)任，以及維護訪問管理規(guī)程管理者的責(zé)任。這些訪問特權(quán)的授權(quán)宜由管理層批準并詳細文檔化，而且周期重要。這一領(lǐng)域中的策略為備份和恢復(fù)提供了必要的框架和期望的需求，以及業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的規(guī)劃。它們還定義了存檔特性(例如數(shù)據(jù)需要被保留多久)。控制系統(tǒng)的安全取決于包含控制系統(tǒng)的空間物理安全。工廠的場地可能在為控制系統(tǒng)編寫安全策略之前就有一個物理安全策略。然而，與系統(tǒng)物理訪問有關(guān)的策略與那些涉及非系統(tǒng)資產(chǎn)的策略可以不同。例如，所有煉油廠的員工幾乎可以對裝置柵欄內(nèi)的所有設(shè)施具有通用訪問權(quán)，但是對IT機房的訪問僅限于IT相關(guān)的人員—就是為了防止意外的損壞?？刂葡到y(tǒng)安全策略宜包含對物理安全策略a)推薦的網(wǎng)絡(luò)設(shè)計；b)推薦的防火墻配置；c)用戶授權(quán)和鑒別；d)不同過程控制系統(tǒng)之間的相互連接；e)無線通信的使用；f)域和信任關(guān)系；g)補丁管理(包括鑒別);存儲設(shè)備；j)對外部網(wǎng)絡(luò)的訪問(如因特網(wǎng));k)email的恰當(dāng)使用。GB/T40211—2021/IEC/TS62443-1-1:2009便攜式設(shè)備構(gòu)成固定設(shè)備所有的安全風(fēng)險，但是由于它們的可移動性使得它們不容易被常用從安裝到審計的安全規(guī)程所涵蓋。它們的移動性使得當(dāng)它們離開物理安全區(qū)域的時候更容易發(fā)生(數(shù)據(jù))損壞，當(dāng)它們連接到安全區(qū)域的時候更容易發(fā)生信息攔截。因此經(jīng)常需要一個特殊的策略涵蓋便攜式設(shè)取代有線使用射頻傳輸?shù)目刂圃O(shè)備已經(jīng)在某些控制系統(tǒng)應(yīng)用中使用很多年。當(dāng)成本下降以及新標(biāo)備的關(guān)鍵區(qū)別在于后者的信號在物理安全邊界內(nèi)不受局限，使得它們更容易受到攔截和損壞。因此一個專門針對無線設(shè)備的策略適用于在業(yè)務(wù)中正在使用或者將來可能采用無線設(shè)備或傳感器的組織。該遠程訪問繞過了系統(tǒng)邊界的本地物理安全控制。它將對信任區(qū)域的訪問擴展到一個完全不同的地理位置，包括一臺可能沒有經(jīng)過物理上位于信任區(qū)域的計算機的安全檢查的計算機。宜采取不同的安人員事項一般在企業(yè)人事和IT安全策略中定義。控制系統(tǒng)安全策略提供具體細節(jié)，而更通用的策略并不包含在控制系統(tǒng)方面。例如控制系統(tǒng)安全策略將協(xié)調(diào)帶有人員篩查和監(jiān)視實踐的控制系統(tǒng)的訪問角色。安全事項包括涉及分包商的工作，它們的角色例如供應(yīng)商、一個涵蓋分包商的安全策略針對的是和那些可能帶來脆弱性的分包商的相互作用。該策略指明各方的入與分包商的合同。賴和守時。系統(tǒng)的安全性要定期審計，以測量與安全策略和實踐的符合度。安全策略針對審計的需求并規(guī)定合規(guī)等其他方面。要監(jiān)視安全策略以確定策略自身是否需要修改。監(jiān)視安全策略是每個安全策略和規(guī)程文檔的一部及由何人來審查和更新該策略。GB/T40211—2021/IEC/TS62443-1-1:2009每種情況都有不同的可接受安全性等級。對于大的或復(fù)雜的系統(tǒng)，對所有組成部分都采取同樣等級的安全性是不實際的或不必要的。使用安全區(qū)或受保護區(qū)域的概念來說明不同。安全區(qū)是具用相同且解決多層次安全性需求?？v深防御可以通過對安全區(qū)分配不同的屬性完成。一個安全區(qū)有一個邊界，介于被包含的和被排斥的元素之間。區(qū)的概念還隱含著從區(qū)內(nèi)和區(qū)外對資產(chǎn)訪問的需求。這定義了必要的訪問和通信，允許信息和人員在安全區(qū)內(nèi)和區(qū)間的移動。區(qū)可以被認為是被信任的或不被信任的。安全區(qū)能以物理概念(物理區(qū))或者邏輯方式(虛擬區(qū))定義。物理區(qū)的定義通過物理位置把資產(chǎn)分組。這種類型的區(qū)容易確定哪個資產(chǎn)在區(qū)內(nèi)。虛擬區(qū)的定義是通過將資產(chǎn)或部分物理資產(chǎn)編組進安全還是在區(qū)外。安全需求可以分為以下類型。對于在安全邊界內(nèi)有價值的一組資產(chǎn)，它們需要被鏈接到安全區(qū)外的資產(chǎn)。這個訪問可以有多種遠程通信是與相互不靠近的實體之間的信息的傳送。為實現(xiàn)這一技術(shù)規(guī)范的目的，遠程訪問被定義為與所針對的安全區(qū)邊界之外的資產(chǎn)進行通信。本地訪問通常被認為是在單個安全區(qū)內(nèi)的資產(chǎn)之間的通信。物理安全區(qū)被用于限制對一個特定區(qū)域的訪問，因為在那個區(qū)域內(nèi)的所有系統(tǒng)都要求它們的操作員、維護人員和開發(fā)人員有同樣的信任級別。這并不排除一個更高級別的物理安全區(qū)嵌入在一個較低級別的物理安全區(qū)內(nèi)，或者一個更高級別的通信訪問區(qū)嵌入在一個較低級別的物理安全區(qū)內(nèi)。對于物理區(qū)宜具有與其期望的安全等級相稱的物理邊界，并且和其他資產(chǎn)安全性規(guī)劃相一致。物理安全區(qū)的一個例子是一個典型的制造工廠。被授權(quán)的人員由一個授權(quán)機構(gòu)(安全警衛(wèi)或者安全邊界之內(nèi)的資產(chǎn)需要被保護以達到一個給定的安全等級或策略。邊界內(nèi)所有的設(shè)備宜采用相的資產(chǎn)而不同。根據(jù)定義，安全區(qū)之外的資產(chǎn)在一個不同的或者更低的安全等級。它們不以相同的安全等級被保GB/T40211—2021/IEC/TS62443-1-1:2009護，并且不以相同的安全等級或策略被信任。5.10管道信息需要在安全區(qū)內(nèi)流入與流出。甚至在非網(wǎng)絡(luò)化系統(tǒng)中，也會存在一些通信(如：為創(chuàng)建和維持系統(tǒng)，可編程設(shè)備的間斷連接等)。為涵蓋通信的安全方面以及提供包括通信特殊要求的結(jié)構(gòu)，本標(biāo)準定義了專門的安全區(qū)：通信管道。管道是一種特殊類型的安全區(qū)，成組信息按邏輯被編成信息組在區(qū)內(nèi)或在區(qū)外流動。它可能是單個服務(wù)(即單一以太網(wǎng))或由多個數(shù)據(jù)載體組成(多根網(wǎng)絡(luò)電纜和直接的物理存取通路)。與區(qū)一樣，它由物理的與邏輯的兩種結(jié)構(gòu)組成。管道可連接區(qū)內(nèi)的實體，或連接不同區(qū)的實體。與區(qū)相同，管道可以是可信的或不可信的。典型的可信管道是不越過區(qū)邊界，在區(qū)內(nèi)通過通信處理。越過區(qū)邊界的可信管道需要使用端到端的安全處理。不可信管道是與區(qū)端點不具有相同安全等級的管道。在這種情形下，實際的通信安全由單個通道負責(zé)，如圖7所示。企業(yè)區(qū)城便攜式電腦便攜式電腦便攜式電腦工作站便攜式電腦作站文件/打印應(yīng)用數(shù)據(jù)服務(wù)器服務(wù)器服務(wù)器A控制區(qū)域防火墻應(yīng)用服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)服務(wù)器應(yīng)用服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)服務(wù)器服務(wù)器工廠C控制區(qū)域防火墻應(yīng)用數(shù)據(jù)防火墻服務(wù)器廠控制管道防火墻應(yīng)用數(shù)據(jù)維護服務(wù)器服務(wù)器服務(wù)器工廠控制管道應(yīng)用數(shù)據(jù)防火墻維護服務(wù)器廠控制管道畫控制器I/O控制器控制器I/OIO控制器I/O含有三個廠區(qū)的企業(yè)見圖7,每個廠區(qū)有自己的總部。三個廠區(qū)都連接至企業(yè)網(wǎng)絡(luò)中，以便與廠區(qū)總部以及其他廠區(qū)進行通信。圖中定義了四個可能的管道(也有其他的定義方式，為簡潔起見在此忽略)。第一種管道企業(yè)管道位于圖中的頂部。它將不同位置的多個廠區(qū)連接到企業(yè)數(shù)據(jù)中心。如果采用租用通信或?qū)Ｓ猛ㄐ艁順?gòu)建廣域網(wǎng)(WAN),則認為是可信管道。假如同時采用公用網(wǎng)絡(luò)和專用網(wǎng)絡(luò)，則被視為不可信管道。管道包括組成廠區(qū)連接的所有通信設(shè)備和防火墻。GB/T40211—2021/IEC/TS62443-1-1:2009圖7中在每個廠區(qū)表示了第二種管道的例子，每個廠區(qū)有各自的可信管道進行控制通信。通道是建立在通信管道內(nèi)的特定通信連接，它們繼承了用作通信媒體的管道的安全屬性(即安全管道內(nèi)的通道將保持安全管道的安全等級)。通道有可信的或不可信的?？尚磐ǖ朗窃试S與其他安全區(qū)進行安全通信的通信連接。可信通道能用于將虛擬安全區(qū)擴展到包含物理安全區(qū)之外的實體。不可信通道是與被研究的安全區(qū)不在同一個安全等級的通信路徑。在接收信息前，到參考區(qū)(該區(qū)定義為不安全通信)的通信和從參考區(qū)來的通信都需要驗證。安全等級概念是以區(qū)為基礎(chǔ)，而不是基于單個設(shè)備或系統(tǒng)來思考安全問題。通常IACS由多個廠家的設(shè)備與系統(tǒng)組成，所有功能協(xié)調(diào)一起為工業(yè)操作提供集成自動化功能。正如單個設(shè)備的功能能力有助于IACS的能力一樣，單個設(shè)備的安全能力和實施對抗策略需要相互作用來達到該區(qū)所期望的安安全等級為區(qū)安全提供了定性的方法。作為一種定性方法，安全等級定義適用于比較和管理組織選擇和驗證安全等級提供了定性的方法。它既適用于最終用戶也適用于IACS和安全產(chǎn)品的供應(yīng)商。織的區(qū)的安全。采用安全等級方法的組織宜定義每個等級表示的內(nèi)容，以及在區(qū)中如何測量安全等級。整個組織件的技術(shù)對抗措施以及管理類對抗措施。求的效果一致。安全等級方法提供了對區(qū)或管道進行風(fēng)險分類的能力，也有助于定義在區(qū)或管道內(nèi)用推薦最少使用三個安全等級。三個等級的定性描述見表8。組織為描述其特定的安全需求，可在此基礎(chǔ)上擴展和定義額外的安全等級。安全等級定性描述1低2中3高安全等級可以被定義為以下三種不同的類型：GB/T40211—2021/IEC/TS62443-1-1:2009a)SL(目標(biāo)):區(qū)或管道的目標(biāo)安全等級；b)SL(達到的):區(qū)或管道已實現(xiàn)的安全等級；c)SL(能力):與區(qū)或管道相關(guān)的對抗措施的安全等級能力，或區(qū)或管道內(nèi)的設(shè)備或系統(tǒng)固有的SL(目標(biāo))宜分配給一個區(qū)，也可以分配給一個管道。區(qū)和管道的SL(目標(biāo))在風(fēng)險評估時確定。只要使用該管道的區(qū)在風(fēng)險評估中考慮了該管道相關(guān)的安全屬性，則沒必要再給該管道分配目標(biāo)安全等級。風(fēng)險評價宜考慮相關(guān)區(qū)或管道的安全被損害的可能性和結(jié)果。風(fēng)險評估可以是定性的、半定量的或定量的。SL(目標(biāo))確定用于防止區(qū)或管道內(nèi)安對抗措施可以是：a)技術(shù)性對抗措施(防火墻、防病毒軟件等);b)管理性對抗措施(策略和規(guī)程);c)物理性對抗措施(鎖門等)。影響區(qū)和管道SL(目標(biāo))確定的因素有：d)已定義區(qū)邊界和管道的網(wǎng)絡(luò)結(jié)構(gòu)；e)將與被考慮區(qū)域進行通信的區(qū)域的SL(目標(biāo));f)用于區(qū)通信的管道的SL(目標(biāo)),如果已分配；g)對區(qū)內(nèi)設(shè)備和系統(tǒng)的物理訪問。區(qū)域內(nèi)，計算SL(目標(biāo))宜基于安全層及它們對整體的影響。區(qū)或管道的SL(達到的)取決于區(qū)或管道內(nèi)設(shè)備和系統(tǒng)的固有安全屬性和/或用于防止區(qū)或管道的目的是確保在任何時候區(qū)或管道的SL(達到的)大于或等于該區(qū)或管道的SL(目標(biāo))。SL(能力)用于定義區(qū)或管道內(nèi)與區(qū)或管道的安全相關(guān)的對抗措施及設(shè)備和系統(tǒng)的固有安全屬性。a)證明對等實體的真實性；b)保護消息的真實性和完整性；c)保護消息/信息/通信的保密性；d)確保問責(zé)制(不可否認性);e)強制訪問控制策略；f)防止拒絕服務(wù)攻擊；g)維護平臺信任度；h)檢測篡改；i)監(jiān)視安全狀態(tài)。41GB/T40211—2021/IEC/TS62443-1-1:2009區(qū)或管道內(nèi)對抗措施、設(shè)備或系統(tǒng)的SL(能力)有助于達到基于該區(qū)或管道內(nèi)對抗措施、設(shè)備或系統(tǒng)所涉及的相關(guān)安全屬性的SL(達到的)。區(qū)或管道的SL(達到的)取決于幾個因素。區(qū)或管道的SL(達到的)可以用這些因素的函數(shù)表示：SL(達到的)=f(x?, ,xn,t)……(1)x;(1≤i≤n)包括但不限于：x?:與區(qū)或管道相關(guān)的對抗措施，以及區(qū)或管道內(nèi)設(shè)備和系統(tǒng)的固有安全屬性的SL(能力);x?:與之建立通信的區(qū)域的SL(達到的);x?:管道類型及用于與其他區(qū)域通信的管道相關(guān)的安全屬性(僅適用于區(qū)域);x?:對抗措施的效果；xg:攻擊者可用的專業(yè)知識和資源；x?:設(shè)備和系統(tǒng)的對抗措施和固有安全屬性的降級；xg:入侵檢測；這些參數(shù)在下面的條款中有更詳細的描述。對抗措施和固有安全屬性的SL(能力)區(qū)或管道內(nèi)對抗措施、設(shè)備和系統(tǒng)涉及的相關(guān)安全屬性及其效果有助于實現(xiàn)區(qū)或管道的SL(達到的)。則無益于區(qū)或管道SL(達到的)的實現(xiàn)。與此類似，如果區(qū)或管道內(nèi)的設(shè)備和系統(tǒng)的固有安全屬性與區(qū)或管道的安全無關(guān)，那么它們也無益于區(qū)或管道SL(達到的)的實現(xiàn)。建立通信區(qū)域的SL(達到的)區(qū)或管道的安全不能孤立考慮。它受與之進行通信的其他區(qū)域的SL(達到的)影響。例如，考慮利用串行鏈路與DCS通信的化工廠內(nèi)的SIS。假設(shè)DCS和SIS位于兩個獨立的區(qū)域，那么SIS區(qū)域的SL(達到的)將受DCS區(qū)域的SL(達到的)影響。管道可以是具有固有安全屬性的點對點鏈路、LAN或WAN。管道可包括增強管道安全屬性的對抗措施。有助于管道安全的管道的安全屬性也將有助于實現(xiàn)管道的SL(達到的)。一個區(qū)用來與其他區(qū)通信的管道的安全屬性將有助于實現(xiàn)區(qū)域的SL(達到的)。使用技術(shù)和管理對抗措施能幫助達到區(qū)或管道所要求的SL(目標(biāo))。涉及不同安全屬性的各種技術(shù)對抗措施都可用于工業(yè)自動化和控制系統(tǒng)(IACS)的實現(xiàn)。技術(shù)對42GB/T40211—2021/IEC/TS62443-1-1:2009SL(達到的)的達到幫助很小或者完全沒有幫助。技術(shù)對抗措施的示例包括入侵檢測系統(tǒng)(IDS)、防火墻和防病毒軟件。技術(shù)對抗措施效果評價宜考慮以下因素：全的軟件缺陷或內(nèi)存泄露。當(dāng)技術(shù)對抗措施不可行時宜使用管理對抗措施。管理措施的示例如限制對IACS部件的物理訪問?；趯徲嫼?或測試至少與區(qū)域相關(guān)的安全屬性的程序規(guī)定，宜定期審計和/或測試對抗措施以及設(shè)備和系統(tǒng)的固有安全屬性的效果。在某些情況下，新脆弱性的發(fā)現(xiàn)也可攻擊者可用的專業(yè)知識和資源(包括工具和時間)會影響區(qū)或管道的SL(達到的)。宜假定工業(yè)可接受攻擊者的能力和工具。攻擊者損害區(qū)域安全的可用時間取決于區(qū)或管道已實現(xiàn)的應(yīng)用和對抗措施。設(shè)備和系統(tǒng)的對抗措施和固有安全屬性事實上將隨時間而降級，從而降低區(qū)或管道的SL(達到的)。設(shè)備和系統(tǒng)的對抗措施和固有安全屬性的降級由以下因素導(dǎo)致：a)新脆弱性的發(fā)現(xiàn)；b)攻擊者技能的提高；c)攻擊者對現(xiàn)有對抗措施的熟悉；d)攻擊者可使用更好的資源。設(shè)備和系統(tǒng)的對抗措施和固有安全屬性可能包括入侵檢測。檢測到入侵后的可用響應(yīng)時間會影響區(qū)域和管道的SL(達到的)。用于實現(xiàn)SL(目標(biāo))的設(shè)備和系統(tǒng)的對抗措施和固有安全屬性的使用可能導(dǎo)致通信性能的降級。由于設(shè)備和系統(tǒng)的對抗措施和固有安全屬性導(dǎo)致的通信性能的降級需要被評價，以確保區(qū)域仍能滿足最小功能要求。例如，響應(yīng)速度對于IACS是一個重要要求。對抗措施可能增加通信延遲，這在43GB/T40211—2021/IEC/TS62443-1-1:2009一旦確定了區(qū)域邊界和管道，安全等級就成了IACS區(qū)域的安全生命周期的一個重要部分。認識到安全等級生命周期是區(qū)域和管道的隨著時間推移變化的安全級別是重要的。意識到安全等級生命周期始終關(guān)注于區(qū)域和管道的安全等級是重要的。它不宜與區(qū)域內(nèi)組成IACS的實際物理資產(chǎn)的生命周期階段混淆。雖然資產(chǎn)生命周期和區(qū)域安全等級生命周期間有許多重疊和互補活動，但是它們每個有不同的觸發(fā)點導(dǎo)致從一個階段進入另一個階段。而且，物理資產(chǎn)的改變可能引起一系列安全等級活動圖8描述了安全等級生命周期。在安全生命周期的評估階段給區(qū)域分配SL(目標(biāo))。在實施階段執(zhí)行對抗措施以滿足區(qū)域要求的SL(目標(biāo))。一個區(qū)域的SL(達到的)依賴于多種因素。為了確保區(qū)域的SL(達到的)始終優(yōu)于或等于SL(目標(biāo)),必要時，在安全生命周期的維護階段宜審計和/或測試并升級對抗措施。IEC61158-4涉及了SL(能力)安全等級生命周期的評估階段所示的活動見圖9。在給區(qū)域分配SL(目標(biāo))前，需建立以下內(nèi)容：b)組織的風(fēng)險容忍準則。44GB/T40211—2021/IEC/TS62443-1-1:2009針對針對IACS信息安全IA是否已建立區(qū)域?是區(qū)域和管道的SL(目標(biāo))是否已知?否為區(qū)域和管道評估公司的風(fēng)險容忍提供的安全保護程度區(qū)域和管道SL(目標(biāo))的目標(biāo)的SL(目標(biāo))進入開發(fā)和實施階段供應(yīng)商和用戶的任務(wù)選擇適當(dāng)?shù)腟L(目標(biāo))評估IACS的后果/風(fēng)險建立IACS區(qū)域和管道供應(yīng)商的任務(wù)用戶的任務(wù)來自維護階段圖9安全等級生命周期——評估階段宜對區(qū)域執(zhí)行風(fēng)險評估，并給區(qū)域分配SL(目標(biāo))。與評估階段相關(guān)的風(fēng)險評估和其他的相關(guān)活動的細節(jié)見IEC62443以后的部分。5.12.3開發(fā)和實施階段一旦在評估階段給區(qū)域分配了SL(目標(biāo)),就宜執(zhí)行對抗措施以實現(xiàn)區(qū)域的SL(達到的)大于或等于SL(目標(biāo))。在安全等級生命周期的實施階段，有關(guān)新建或現(xiàn)有IACS區(qū)域的所有活動見圖10。在根據(jù)區(qū)域的安全要求確認系統(tǒng)后，SL(達到的)就已確定。與實施階段相關(guān)活動的細節(jié)見IEC62443以后的部分。45GB/T40211—2021/IEC/TS62443-1-1:2009新建IACSSL(目標(biāo))改變(目標(biāo))是新建或現(xiàn)有?新建現(xiàn)有(能力)選擇設(shè)備使用SL等級的開發(fā)集成IACS設(shè)備確認系統(tǒng)SL(能力)IACS屬性測試集成IACS供應(yīng)商的供應(yīng)商的任務(wù)用戶的任務(wù)區(qū)域和管道在1是SL(達到的)是否可接受?安全保證因素在現(xiàn)場已經(jīng)到位否(達到的)或接受風(fēng)險用戶的任務(wù)圖10安全等級生命周期——實施階段設(shè)備和系統(tǒng)的對抗措施和固有安全屬性會隨時間而降級。區(qū)域(包括與區(qū)域相關(guān)的管道)的安全屬性宜定期或者當(dāng)發(fā)現(xiàn)新脆弱性時進行審計和/或測試，以確保區(qū)域的SL(達到的)始終大于或等于SL(目標(biāo))。與維護區(qū)域的SL(達到的)相關(guān)的活動見圖11。與維護階段相關(guān)活動的細節(jié)見IEC62443以后的其他部分。46GB/T40211—2021/IEC/TS62443-1-1:2009過程改變計劃中的和安全保障屬性結(jié)果檢查影響，確定f1時刻的SL(達到的)是審查OS補丁和更新的更新和應(yīng)用程序補丁記錄1.時刻的記錄1.時刻的SL(達到的)L(達到的)是否是可接受?是否否否SL(達到的)確定SL(達到的)供應(yīng)商應(yīng)用程序修補兼容性和實際的否實際的否否實施附加的安全措施是接受風(fēng)險并對1時刻的SL(達到的)文檔化供應(yīng)商和用戶的任務(wù)任務(wù)用戶的任務(wù)6模型本章描述了可用于設(shè)計恰當(dāng)安全程序的一系列模型。其目的是使用通用的框架和詞匯，按照處理47第4層第3層第2層第1層第0層第4層第3層第2層第1層第0層GB/T40211—2021/IEC/TS62443-1-1:2009c)參考體系結(jié)構(gòu)，描述資產(chǎn)的配置。參考架構(gòu)對每個企業(yè)或企業(yè)內(nèi)的部門都是唯一的。依賴于被審查IACS范圍，參考架構(gòu)對每個狀況也是d)區(qū)模型，依據(jù)已定義特征將參考架構(gòu)元素進行分組。它為策略、規(guī)程和指南的定義提供了環(huán)所有這些信息被用于開發(fā)管理IAC