2020工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)體系

國(guó)內(nèi)外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)及政策法規(guī)提綱提綱工業(yè)控制系統(tǒng)概述工業(yè)控制系統(tǒng)概述國(guó)外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)我國(guó)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)相關(guān)政策法規(guī)結(jié)論與展望ICS

工控系統(tǒng)概述工業(yè)控制系統(tǒng)(lCS)是對(duì)多種控制系統(tǒng)的總稱，典型、石油、天然氣、化工、交通運(yùn)輸、制造業(yè)。形態(tài)包括監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)、分布式控制系統(tǒng)（DCS)，以及可編程邏輯控制器(PLC)之類的小型的控制系統(tǒng)裝置。lCS普遍應(yīng)用于電力、水處理、石油、天然氣、化工、交通運(yùn)輸、制造業(yè)。SCADA系統(tǒng) DCS系統(tǒng) PLC傳輸內(nèi)容不同工控系統(tǒng)傳輸?shù)氖枪I(yè)設(shè)備的“四遙信息”，安全問(wèn)題大多集中于物理層面，安全防護(hù)要延伸到物理層并防止復(fù)雜的控制關(guān)系所產(chǎn)生的骨牌效應(yīng)。傳輸內(nèi)容不同工控系統(tǒng)傳輸?shù)氖枪I(yè)設(shè)備的“四遙信息”，安全問(wèn)題大多集中于物理層面，安全防護(hù)要延伸到物理層并防止復(fù)雜的控制關(guān)系所產(chǎn)生的骨牌效應(yīng)。工控系統(tǒng)概述工業(yè)控制系統(tǒng)與lT系統(tǒng)的差別：網(wǎng)絡(luò)邊緣不同網(wǎng)絡(luò)邊緣不同工控系統(tǒng)在地域上分布廣闊，其邊緣部分是智能程度不高的含傳感和控制功能的遠(yuǎn)動(dòng)裝置，而不是lT系統(tǒng)邊緣的通用計(jì)算機(jī)，兩者之間在物理安全需求上差異很大。體系結(jié)構(gòu)不同體系結(jié)構(gòu)不同工控系統(tǒng)結(jié)構(gòu)縱向高度集成，主站節(jié)點(diǎn)和終端節(jié)點(diǎn)之間是主從關(guān)系，lT系統(tǒng)則是扁平的對(duì)等關(guān)系，兩者之間在脆弱節(jié)點(diǎn)分布上差異很大。工控系統(tǒng)面臨的威脅

工控系統(tǒng)概述工控系統(tǒng)存在的漏洞敵對(duì)政府、恐怖主義組織偶然事件策略和程序漏洞偶然事件惡意入侵平臺(tái)漏洞惡意入侵平臺(tái)漏洞自然災(zāi)害網(wǎng)絡(luò)漏洞內(nèi)部人員的惡意或無(wú)意行為自然災(zāi)害網(wǎng)絡(luò)漏洞工控系統(tǒng)相關(guān)安全事件CyberStormAurora測(cè)試

美國(guó)國(guó)土安全部分別在2006年2月6日、2008年3月10日和2010年9月27日共舉辦了三次網(wǎng)絡(luò)風(fēng)暴演習(xí)。三次演習(xí)都涉及多個(gè)政府部門、私人企業(yè)和廠商。演習(xí)目的在于檢驗(yàn)包括電力、水源和銀行在內(nèi)的美國(guó)重要部門遭大規(guī)模網(wǎng)絡(luò)攻擊時(shí)的協(xié)同應(yīng)對(duì)能力。2007年32008年52001發(fā)生46天然氣爆炸

1982年6工控系統(tǒng)相關(guān)安全事件Duqu蠕蟲(chóng)

2011年9月，一種與Stuxnet具有相似結(jié)構(gòu)的惡意代碼Duqu出現(xiàn)在歐洲多個(gè)國(guó)家。Duqu的主要作用是偵查和搜集資料。雖然Duqu不像Stuxnet一樣直接攻擊現(xiàn)場(chǎng)設(shè)備，但是可以隨時(shí)根據(jù)攻擊對(duì)象安裝不同的攻擊工具包，Duqu可能會(huì)成為寄居在基礎(chǔ)設(shè)施內(nèi)的定時(shí)炸彈。LuigiAuriemma2011年3月21Siemens、lconics、7-Technologies、RealFlexTechnologies343月23BroadWinLuigiAuriemmaDillonBeresfordDillonBeresford2011年5月開(kāi)始，美國(guó)NSS件和國(guó)外的Siemens在內(nèi)。S7McCorkle&Rios

2011年10DerbyConTeryyMcCorkle和BillyRios66575HMl中。提綱提綱工業(yè)控制系統(tǒng)概述工業(yè)控制系統(tǒng)概述國(guó)外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)我國(guó)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)相關(guān)政策法規(guī)結(jié)論與展望國(guó)外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)國(guó)際上，研究工控系統(tǒng)安全的標(biāo)準(zhǔn)化組織如下：國(guó)際電工委員會(huì)（lEC，lnternationalEle×troTe×hni×alCommi??ion）國(guó)際自動(dòng)化協(xié)會(huì)（lGA，thelnternationalGo×ietyofAutomation）美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NlGT，Nationalln?tituteofGtandard?andTe×hnology）國(guó)外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)國(guó)外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)lEC62443標(biāo)準(zhǔn)lEC/TC65（工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化）下的網(wǎng)絡(luò)和系統(tǒng)信息安全工作組WG10與國(guó)際自動(dòng)化協(xié)會(huì)lGA99委員會(huì)的專家成立聯(lián)合工作組，共同制定lEC62443《工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標(biāo)準(zhǔn)。目標(biāo)是定義一個(gè)通用的、最小要求集以達(dá)到各級(jí)GALG（Ge×urityA??uran×e?Level?，GAL）的安全保障需求。lEC62443一共分為了四個(gè)部分，第一部分是通用標(biāo)準(zhǔn)，第二部分是策略和規(guī)程，第三部分提出系統(tǒng)級(jí)的措施，第四部分提出組件級(jí)的措施。國(guó)外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)GP800–82《工業(yè)控制系統(tǒng)(lCG)安全指南》GP800–82于2010年10月發(fā)布，是NlGT依據(jù)2002年《聯(lián)邦信息安全管HGPD–7等編制而成。它遵循《OMB手冊(cè)》的要求“保障機(jī)構(gòu)信息系統(tǒng)”，為聯(lián)邦機(jī)構(gòu)使用，同時(shí)允許非政府組織資源使用。該指南概述了lCG和典型的系統(tǒng)拓?fù)浣Y(jié)構(gòu)，指出了對(duì)于這些系統(tǒng)的典型威脅和脆弱點(diǎn)所在，為消減相關(guān)風(fēng)險(xiǎn)提供了建議性的安全對(duì)策。同時(shí)，根據(jù)lCG的潛在風(fēng)險(xiǎn)和影響水平的不同，指出了保障的不同方法和技術(shù)手段。該指南適用于電力、水利、石化、交通、化工、制藥等行業(yè)的lCG系統(tǒng)。我國(guó)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)我國(guó)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)組織名稱國(guó)際對(duì)口掛靠單位1全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）lGO/lECJTC1GC27中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院2全國(guó)電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC82）lECTC57（電力系統(tǒng)管理與相關(guān)信息交換委員會(huì)）國(guó)網(wǎng)電力科學(xué)研究院3全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC124）lEC/TC65（工業(yè)過(guò)程測(cè)量、控制與自動(dòng)化委員會(huì)）機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所4全國(guó)電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC296 ）電監(jiān)會(huì)輸電監(jiān)管部全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）2002年4月國(guó)標(biāo)委發(fā)文正式成立，由國(guó)家標(biāo)準(zhǔn)委直接領(lǐng)導(dǎo)；國(guó) 際：ISO/IECJTC1/SC23；秘書(shū)處：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院；組 成：由30多個(gè)部門和單位的49名領(lǐng)導(dǎo)和專家組成共有工作組成員單位16G家，其中企業(yè)120家；標(biāo) 準(zhǔn)：已發(fā)布國(guó)標(biāo)102項(xiàng)，正在制定中的12G項(xiàng)聯(lián)系人：羅鋒盈1G901234283 luofy@全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）“自2004年1月起，各有關(guān)部門在申報(bào)信息安全國(guó)家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目時(shí)，必須經(jīng)信息安全標(biāo)委會(huì)提出工作意見(jiàn)，協(xié)調(diào)一致后由信息安全標(biāo)委會(huì)組織申起草單位要與信息安全標(biāo)委會(huì)積極合作，并由信息安全標(biāo)委會(huì)完成國(guó)家標(biāo)準(zhǔn)送審、報(bào)批工作?！保▏?guó)標(biāo)委高新函[2004)1號(hào)文）WG1TC260組織結(jié)構(gòu)圖WG1（主任、副委主員任會(huì)（主任、副委主員任會(huì)、委員）秘書(shū)處

信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組WG7WG6WG5WG4WG3WG2密碼技術(shù)標(biāo)準(zhǔn)工作組鑒別與授權(quán)工作組信息安全評(píng)估工作組通信安全標(biāo)準(zhǔn)工作組WG7WG6WG5WG4WG3WG2信息安全管理工作組國(guó)標(biāo)制定情況標(biāo)準(zhǔn)成果工作重點(diǎn)國(guó)標(biāo)制定情況標(biāo)準(zhǔn)成果工作重點(diǎn)信息安全管理…16個(gè)領(lǐng)域的標(biāo)準(zhǔn)制定

提出227項(xiàng)國(guó)標(biāo)計(jì)劃發(fā)布102項(xiàng)國(guó)家標(biāo)準(zhǔn)在研125項(xiàng)我國(guó)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）工控系統(tǒng)信息安全標(biāo)準(zhǔn)體系研究我國(guó)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）在編標(biāo)準(zhǔn)：《信息安全技術(shù)GCADA系統(tǒng)安全控制指南》《信息安全技術(shù)安全可控信息系統(tǒng)（電力系統(tǒng)）安全指標(biāo)體系》計(jì)劃制定《信息安全技術(shù)工業(yè)控制系統(tǒng)安全管理基本要求》《信息安全技術(shù)工業(yè)控制系統(tǒng)安全檢查指南》《信息安全技術(shù)工業(yè)控制系統(tǒng)測(cè)控終端安全要求》《信息安全技術(shù)工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)要求和測(cè)評(píng)方法》《信息安全技術(shù)工業(yè)控制系統(tǒng)安全分級(jí)指南》……全國(guó)電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會(huì)TC82已發(fā)布標(biāo)準(zhǔn)《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第1部分：通信網(wǎng)絡(luò)和系統(tǒng)安全安全問(wèn)題介紹》（GB/Z25320.1–2010）《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第3部分：通信網(wǎng)絡(luò)和系統(tǒng)安全包括TCP/lP的協(xié)議集》（GB/Z25320.3–2010）《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第4部分：包含MMG的協(xié)議集》（GB/Z25320.4–2010）《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第6部分：lEC61850的安全》（GB/Z25320.6–2011）全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)TC124在編標(biāo)準(zhǔn)《工業(yè)控制計(jì)算機(jī)系統(tǒng)通用規(guī)范第2部分:工業(yè)控制計(jì)算機(jī)的安全要求》計(jì)劃制定《工業(yè)通信網(wǎng)絡(luò)–網(wǎng)絡(luò)和系統(tǒng)安全–第2–1部分：建立工業(yè)自動(dòng)化和控制系統(tǒng)信息安全程序》，等同采用lEC62443–2–1:2010《工業(yè)控制系統(tǒng)信息安全第1部分：評(píng)估規(guī)范》《工業(yè)控制系統(tǒng)信息安全第2部分：驗(yàn)收規(guī)范》全國(guó)電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會(huì)（全國(guó)電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC296）在編標(biāo)準(zhǔn)：《電力二次系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)》（強(qiáng)制）《電力信息系統(tǒng)安全檢查規(guī)范》（強(qiáng)制）《電力行業(yè)信息安全水平評(píng)價(jià)指標(biāo)》（推薦）提綱提綱工業(yè)控制系統(tǒng)概述工業(yè)控制系統(tǒng)概述國(guó)外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)我國(guó)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)相關(guān)政策法規(guī)結(jié)論與展望政策法規(guī)政策法規(guī)國(guó)家政府方面2012年6月28日國(guó)務(wù)院《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)（國(guó)發(fā)〔2012〕23號(hào)）》明確要求：保障工業(yè)控制系統(tǒng)安全。加強(qiáng)核設(shè)施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運(yùn)輸、水利樞紐、城市設(shè)施等重要領(lǐng)域工業(yè)控制系統(tǒng)，定期開(kāi)展安全檢查和風(fēng)險(xiǎn)評(píng)估。重點(diǎn)對(duì)可能危及生命和公共財(cái)產(chǎn)安全的工業(yè)控制系統(tǒng)加強(qiáng)監(jiān)管。對(duì)重點(diǎn)領(lǐng)域使用的關(guān)鍵產(chǎn)品開(kāi)展安全測(cè)評(píng)，實(shí)行安全風(fēng)險(xiǎn)和漏洞通報(bào)制度。政策法規(guī)政策法規(guī)國(guó)家政府方面工業(yè)和信息化部2011年9月發(fā)布《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（[2011]451號(hào)），通知明確了工業(yè)控制系統(tǒng)信息安全管理的組織領(lǐng)導(dǎo)、技術(shù)保障、規(guī)章制度等方面的要求。并在工業(yè)控制系統(tǒng)的連接、組網(wǎng)、配置、設(shè)備選擇與升級(jí)、數(shù)據(jù)、應(yīng)急管理等六個(gè)方面提出了明確的具體要求。文中明確指出：“全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)抓緊制定工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備信息安全規(guī)范和技術(shù)標(biāo)準(zhǔn)，明確設(shè)備安全技術(shù)要求?！闭叻ㄒ?guī)政策法規(guī)行業(yè)方面電力行業(yè)已陸續(xù)發(fā)布《電力二次系統(tǒng)安全防護(hù)規(guī)定》、《電力二次系統(tǒng)安全防護(hù)總體要求》等一系列文件。交通鐵路系統(tǒng)也發(fā)布了TB10117－98《鐵路電力牽引供電遠(yuǎn)動(dòng)系統(tǒng)技術(shù)規(guī)范》，TB10064－2002《電力系統(tǒng)綜合設(shè)計(jì)》和《鐵路供電水電調(diào)度規(guī)則》、《關(guān)于強(qiáng)化鐵路牽引供電和電力遠(yuǎn)動(dòng)系統(tǒng)若干要求》等文件。結(jié)論與展望結(jié)論與展望小結(jié)工業(yè)控制系統(tǒng)是國(guó)家重要基礎(chǔ)設(shè)施（如電力、交通、能源、通信、水利、金融等）的“大腦”和“中樞神經(jīng)”，是基礎(chǔ)的基礎(chǔ)、核心的核心。從總體上看，我國(guó)工控系統(tǒng)信息安全防護(hù)體系建設(shè)明顯滯后于工控系統(tǒng)建設(shè)，在防護(hù)意識(shí)、防護(hù)策略、防護(hù)機(jī)制、