【GA公共安全标准】 信息安全技术网络安全等级保护基本要求第5部分:工业控制系统安全扩展要求

ICS35.040
中华人民共和国公共安全行业标准GA/T1390.5—2017
信息安全技术
网络安全等级保护基本免费标准bzxz.net
要求第5部分：工业控制系统安全扩展要求
Information security technology-General requirements for classifiedprotection of cyber security-Part 5 : Special security requirements forindustrial control system
2017-05-08发布
中华人民共和国公安部
2017-05-08实施
规范性引用文件
术语、定义和缩略语
术语和定义
缩略语
安全通用要求
工业控制系统概述提要
层次模型
区域模型
安全域划分原则
4.3工业控制系统等级保护原则和要求4.3.1
安全域保护原则
安全域保护措施实施说明
技术要求和管理要求
4.4工业控制系统定级
工业控制系统等级保护通用约束条件4.5
基本功能支持
补偿措施
5第一级基本要求
技术要求
物理安全
边界防护
生产管理层安全要求
过程监控层安全要求
现场控制层安全要求
现场设备层安全要求
5.2管理要求
安全管理机构和人员
安全运维管理漏洞和风险管理
6第二级基本要习
...............
GA/T1390.5—2017
......
GA/T1390.5—2017
技术要求
物理和环境安全
边界防护·
生产管理层安全要求
过程监控层安全要求
6.1.5现场控制层安全要求
6.1.6现场设备层安全要求
6.2管理要求.
安全管理机构和人员
安全运维管理漏洞和风险管理
第三级基本要求
技术要求
物理和环境安全
边界防护
集中管控
生产管理层安全要求
过程监控层安全要求
现场控制层安全要求
现场设备层安全要求
7.2管理要求
安全策略和管理制度
安全管理机构和人员
安全建设管理外包软件开发
安全运维管理漏洞和风险管理
8第四级基本要求
8.1技术要求
物理和环境安全
边界防护
集中管控
生产管理层安全要求
过程监控层安全要求
现场控制层安全要求
现场设备层安全要求
8.2管理要求
安全策略和管理制度安全策略
安全管理机构和人员
安全管理建设外包软件开发
8.2.4安全运维管理漏洞和风险管理附录A（资料性附录）工业控制系统概述详解附录B（资料性附录）安全域划分示例.....
附录C（资料性附录）基于可信计算技术的工业控制系统安全等级防护.参考文献
HiiKAoNiKAca
GA/T1390.5—2017
GA/T1390《信息安全技术网络安全等级保护基本要求》已经或计划发布以下部分：一第1部分：安全通用要求；
第2部分：云计算安全扩展要求；一第3部分：移动互联安全扩展要求：一第4部分：物联网安全扩展要求：一第5部分：工业控制系统安全扩展要求：第6部分：大数据安全扩展要求。本部分为GA/T1390的第5部分。
本部分按照GB/T1.12009给出的规则起草本部分由公安部信息系统安全标准化技术委员会提出并归口。本部分负责起草单位：浙江大学、浙江中控研究院有限公司、机械工业仪器仪表综合技术经济研究所、公安部第三研究所、杭州科技职业技术学院、北京启明星辰信息安全技术有限公司。本部分参加起草单位：中国电力工程顾问集团西南电力设计院有限公司、北京国电智深控制技术有限公司、西门子（中国）有限公司、施耐德电气（中国)有限公司、工业和信息化部电子第五研究所、北京和利时系统工程公司、东方电气中央研究院、北京市轨道交通设计研究院有限公司、国家信息技术安全研究中心中国软件测评中心，中石化齐鲁石化公司、中科院沈阳自动化所，中国电子科技集团公司第三十研究所，国家电力投资集团公司，中国电力工程顾问集团华北电力设计院有限公司，国核自仪系统工程有限公司、北京自来水集团。
本部分主要起草人：冯冬芹、刘之涛、贾驰千、陆耿虹、高梦州、梁耀、刘大龙、梅恪、王玉敏、赵艳领、任卫红、袁静、杨悦梅。
本部分参与起草人：张晋宾、朱镜灵、李锐、梁军、刘杰、刘太洪、赵军凯、袁晓舒、梅棋、肖衍、李冰庞宁、周峰、刘利民、陈秀丽、王爱鹏、孟雅辉方进社、下志军、张晨艳、王玻、兰昆、王静、李忠生、王勇，刘志祥、罗安、尚文利、马欣欣、何彦君。iiiKAoNhikAca
GA/T1390.5—2017
为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展，需对GB/T22239一2008进行修订，修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域提出扩展的安全要求。IV
iiiKAoNiKAca
1范围
信息安全技术网络安全等级保护基本要求第5部分：工业控制系统安全扩展要求
GA/T1390.5—2017
GA/T1390的本部分规定了不同安全保护等级工业控制系统的安全扩展要求。本部分适用于批量控制、连续控制、离散控制等工业控制系统，为工业控制系统网络安全等级保护措施的设计、落实、测试、评估等提供指导要求。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB17859一1999计算机信息系统安全保护等级划分准则GB/T22239信息安全技术信息系统安全等级保护基本要求GB/T25069—2010信息安全技术术语IEC62443-1-1工业通信网络网络和系统安全第1-1部分：术语、概念和模型IEC62443-3-2工业通信网络网络和系统安全第3-2部分：区域和通道的安全保障等级3术语、定义和缩略语
3.1术语和定义
GB17859—1999、GB/T25069—2010和IEC62443-1-1界定的以及下列术语和定义适用于本文件。3.1.1
工业控制系统industrial control system对工业生产过程安全、信息安全和可靠运行产生作用和影响的人员、硬件和软件的集合。注：系统包括，但不限于：
1）工业控制系统包括集散式控制系统（DCS)、可编程逻辑控制器（PLC)、智能电子设备（IED)、监视控制与数据采集（SCADA）系统，运动控制（MC）系统、网络电子传感和控制，监视和诊断系统在本标准中，不论物理上是分开的还是集成的，过程控制系统(PCS)包括基本过程控制系统和安全仪表系统（SIS)]：2）相关的信息系统，例如先进控制或多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、制造执行系统（MES）；
3）相关的部门、人员、网络或机器接口，为连续的、批处理、离散的和其他过程提供控制、安全和制造操作功能。
站点内划分的物理的、地理的或逻辑的资源分组。3.1.3
安全域
security zone
具有相同安全要求的逻辑资产或物理资产的集合。1
-iiKAoNniKAca
GA/T1390.5—2017
boundary
软件、硬件或者其他物理屏障，限制进入系统或者部分系统。3.1.5
控制中心
control centel
资产集合的运行中心。
控制网络
control network
用于连接控制物理过程设备的实时网络。3.1.7
现场总线
fieldbus
将安装在工业过程现场的智能自动化仪表和装置与设置在控制室内的仪表和控制设备连接起来的一种数字化、串行、双向、多站的通信网络技术，3.1.8
移动代码
mobile code
通过网络或者可移动媒介与可能是非可信的系统之间传递的程序，被不经显式安装在本地系统，会被自动执行或被接收者执行。
session
在两个或者多个通信设备之间的半永久性、状态性或者交互式的信息交换。3.1.10
会话ID
sessionID
用于表明特定会话入口的标识符。2缩略语
下列缩略语适用于本文件。
DCS：集散控制系统（DistributedControlSystem）DMZ：隔离区(DemilitarizedZone）ERP：企业资源计划（EnterpriseResourcePlanning）HMI：人机界面（HumanMachineInterafce)ICS：工业控制系统（IndustrialControlSystem）MES：制造执行系统（ManufactoringExecutionSystem）PLC：可编程逻辑控制器（ProgrammableLogicController）RTU：远程终端单元（RemoteTerminalUnit)SCADA：数据采集与监视控制系统（SupervisoryControlAndDataAcquisitionSystems）VPN：虚拟专用网（VirtualPrivateNetwork）4概述
安全通用要求
信息安全技术网络安全等级保护基本要求的通用要求应符合GB/T22239。2
iiKANiKAca
4.2工业控制系统概述提要
4.2.1总则
GA/T1390.5—2017
工业控制系统（ICS）是几种类型控制系统的总称，包括数据采集与监视控制系统（SCADA）系统集散控制系统（DCS）和其他控制系统，如在工业部门和关键基础设施中经常使用的可编程逻辑控制器(PLC)。对包括SCADA系统、PLC系统、DCS系统、RTU系统在内的几种工业控制系统的概述与比较，可参见附录A。ICS通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等行业。在阅读、规定和实施第5～8章详述的控制系统的安全等级要求时，应遵循一些通用约束。本章和后续章节提供了必要的规范性材料，扩展现有的工业控制系统安全技术，支持工业控制系统所需的完整性和可用性要求。4.2.2层次模型
参考IEC62264-1的层次结构模型划分，同时将SCADA系统、DCS系统和PLC系统的模型的共性进行抽象，对通用工业企业采用层次模型进行说明。层次模型的内容包括：功能层次模型、功能单元映射模型、资产组件映射模型
工业企业功能层次模型从上到下共分为5个层级，依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层，不同层级的实时性要求不同。该层次结构的简要划分模型如图1所示。层级4：企业资源层
建立基本工厂生产调度、材料使用、运输、1企业资源层
生产管理层
批过程/连续过程/离散过程
确定库存等级、操作管理等
实时性
月、周、日
层级3：生产管理层
工作流/处方控制来生产期望的终端产品。维护记录和优化生产过程，调度生产，细化生产调度过程，保证可靠性等实时性
日、工作班时、小时、分钟、秒、层级2：过程监控层
监控，管理控制和自动控制生产过程实时性
小时、分钟、秒
层级1：现场控制层
传感数据采集和生产过程控制
实时性
秒、亚秒
层级0：现场设备层
传感和操作生产过程
注：该图为工业控制系统经典的功能层次模型，参考自IEC62264-1，但随着工业4.0和信息物理系统的发展，已不能完全适用，因此对于不同的行业企业实际发展情况，充许部分层级合并。图1工业企业功能层次模型
GA/T1390.5—2017
图1描述并解释了功能层次模型的各个层级。在不同实时性下，各层级的具体分工见IEC62443-1-1。根据图1的层次结构划分，各个层次在工业控制系统中发挥不同的功能。各层次功能单元映射模型如图2所示。
集中式监控服务器
本地监控服务器
控制器
本地监控服务器
(PLC/DCS控制单元/RTU）
传感器/执行器
层级4：企业资源层
该层级主要通过ERP系统为企业决策层及员工提供决策运行手段
层级3：生产管理层
该层级主要通过MES系统为企业提供包括制造数据管理、计划排程管理、生产调度管理等管理模块层级2：过程监控层
该层级主要通过分布式SCADA系统采集和监控生产过程参数，并利用HMI系统实现人机交互层级1：现场控制层
该层级主要通过PLC、DCS控制单元和RTU等进行生产过程的控制
层级0：现场设备层
该层级主要通过传感器对实际生产过程的数据进行采集，同时，利用执行器对生产过程进行操作图2工业企业各层次功能单元映射模型其中各个层次功能单元有：
企业资源层：主要包括ERP系统功能单元，用于为企业决策层员工提供决策运行手段；a
b）生产管理层：主要包括MES系统功能单元，用于对生产过程进行管理，如制造数据管理、生产调度管理等；
过程监控层：主要包括监控服务器与HMI系统功能单元，用于对生产过程数据进行采集与监c）
控，并利用HMI系统实现人机交互；d）现场控制层：主要包括各类控制器单元，如PLC、DCS控制单元等，用于对各执行设备进行控制；
现场设备层：主要包括各类过程传感设备与执行设备单元，用于对生产过程进行感知与操作e
工业企业的资产组件映射模型可用于明确各层次保护对象，为安全域划分提供依据；应能够根据各层次主要资产来构建，且与图2的各层级功能单元一一映射，如图3所示。4
各层次保护对象
集中式监控数据库/
本地监控数据库/
生产管理层
过程监控层
本地监控数据库/
控制器
传感器/执行机构
现场控制层
机7）（主机8
仓储管理系统
监控软件
控制程序
设计软件
各层具体保护资产
主机9）（主机10）
计划排产系统
组态软件
（仿真软件）
工程师站
PLC控制器
传感器
CS控制单元
监控软件
操作员站
过程控制器
执行机构
图3工业企业资产组件映射模型
其中各个层次具体应保护的资产有：先进控制
GA/T1390.5—2017
（设备维护
数据库
数据库
物流调度
控制程序！
组套信息
备份数据
OPC服务器
无纸记录仪
保护装置
企业资源层应保护与企业资源相关的财务管理，资产管理、人力管理等系统的软件和数据资产a
不被恶意窃取，硬件设施不遭到恶意破坏；b）生产管理层应保护与生产制造相关的仓储管理、先进控制、工艺管理等系统的软件和数据资产不被恶意窃取，硬件设施不遭到恶意破坏；过程监控层应保护各个操作员站、工程师站，OPC服务器等物理资产不被恶意破坏，同时应保c
护运行在这些设备上的软件和数据资产，如组态信息、监控软件、控制程序/工艺配方等不被恶意篡改或窃取；
d）现场控制层应保护各类控制器、控制单元、记录装置等不被恶意破坏或操控，同时应保护控制单元内的控制程序或组态信息不被恶意算改现场设备层应保护各类变送器、执行机构、保护装置等不被恶意破坏。e
4.2.3区域模型
区域是一些具备公有属性的独立资产构成的组群，或一些子区域构成的组群，或一些独立资产与子区域中具备公有属性的资产构成的组群。区域模型是符合区域定义要求，辅助分析工业控制系统安全性的框架。它用于定义保护区域内资产所需的不同安全等级，分析安全政策和安全要求，评估通用风险、脆弱性及相应对策等。如图4所示，根据生产过程的不同，工控企业在各自的工厂或站点可以构建不同的区域模型。5
GA/T1390.5—2017
批过程
SCADA/DCS
PLC/RTU/.
区域1，区域2，
连续过程
SEERAYDS
区域1，区域2，
离敢过程
SCORAYDS
区域1，区域2，*
注：批过程包括制药工业、食品工业、啤酒工业、造纸工业、轧钢工业等：连续过程包括能源工业、石油化工、化工、治金、电力、天然气、水处理等：离散过程包括机械制造工业、汽车工业、仪器仪表工业、家电工业、机床等图4工业企业区域模型
4.2.4安全域划分原则
在一个工业大系统或复杂系统中，对所有组件采取相同等级的安全措施是不实际或不必要的。在不同的实际情况下，资产的安全等级不同，因此提出使用安全域（或受保护的区域）的概念。划分安全域时，应参考IEC62443-1-1中安全域的划分方式，综合考虑资产价值，资产重要性，资产地理位置，系统功能，控制对象、生产厂商及资产被破坏时所造成的损失，社会影响程度等因素，将控制系统进行安全域划分。参照附录B中给出的DCS系统和SCADA系统安全域划分的参考模型。4.3工业控制系统等级保护原则和要求4.3.1总则
针对工业控制系统等级保护定义有总体原则、技术要求和管理要求共3类说明。其中，总体原则是针对工业控制系统整体提出的安全域保护原则；技术要求和管理要求是针对不同安全保护等级工业控制系统应该具有的基本安全保护能力提出的安全要求针对工业控制系统的软件、硬件，网络协议等的安全性，规定了需要保护的数据、指令、协议等要素，其具体实现方式（如可信性计算等）、防护手段应根据具体的工业控制系统品牌、配置、工程实际等确定。但应保证这些防护措施对系统的正常运行不产生危害或灾难性的生产停顿，应保证这些防护措施经过工业现场的工程实践验证，并获得用户认可。附录C中给出了基于可信计算技术的工业控制系统安全等级防护的要求与说明。
企业用户应结合自身行业特点和企业特点依照GB/T22239和本部分的各级技术要求和管理要求部署实现各安全要点。
4.3.2安全域保护原则
根据工业控制系统安全域模型的划分原则，将工业控制系统划分为若干安全域，再根据系统实际情况，对不同的安全域采取不同的安全保护措施：a）安全域划分：依据4.2.4提出的安全域划分原则，对系统进行安全域划分；6
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。