工控技術發展與信息安全勢態國際工控信息安全技術標準情況國家工控信息安全技術標準情況技術標準體系的構建面臨的問題總結2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）2024/10/262024/10/26技術發展需求2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）以智能制造為主導的第四次工業革命正在興起技術發展需求工控系統的發展方向——全球互聯、嵌入式智能、自組織傳統系統封閉式系統演變到開放式的網絡系統開放的硬件體系開放的協議體系過程控制和企業信息系統的集成供給鏈集成企業間協同無線技術的廣泛應用2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）2024/10/262024/10/26安全勢態2010年2011年2012年伊朗政府核電站員工感染Stuxnet病毒，嚴重威脅核反應堆安全運營黑客入侵數據采集與監控系統，使美國伊利諾伊州城市供水系統的供水泵遭到破壞兩座美國電廠遭USB病毒攻擊，感染了每個工廠的工控系統，可被竊取數據微軟警告稱最新發現的“Duqu”病毒可從工業控制系統制造商收集情報數據發現攻擊多個中東國家的惡意程序Flame火焰病毒，它能收集各行業的敏感信息工控系統信息安全勢態：我國：2010年齊魯石化、2011年大慶石化煉油廠，某裝置控制系統分別感染Conficker蠕蟲病毒，都造成控制系統服務器與控制器通訊不同程度地中斷

2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）企業分層模型以MES制造執行系統層分界—向上為傳統IT領域—向下為工控領域傳統信息系統：保密性—完整性—可用性儀控系統：可用性—完整性—保密性IT系統與工控系統的需求比較2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）IT系統工控系統可用性允許短時間/周期性的間斷或維護要求24h/7d/365d模式的可用性時間敏感性允許一定時延要求實時響應系統生命周期3-5年5-20年信息安全意識及準備較好沒有基礎保密性較高要求較低設備類型較少較多無線技術應用很多剛剛起步VDI/VDEBSIGrundschutzNISTRoadmaptoSecureControlSystemsintheEnergySectorIEC62351IECTC57WG15SAC

TC124DKECommittees

AssociationsStandardsGuidelinesDHSChemSec

RoadmapNERC-CIPISO/IEC

15408WIBM-2784ISO/IEC2700xIEC62443/

ISA-99IACSIS信息安全標準2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）IEC62443系列標準框架2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）92024/10/2692024/10/269IEC/TC65組織結構圖2024/10/26全國工業過程測量和控制標準化技術委員會（SAC/TC124）10SystemsDevicesISASecure測試驗證11嵌入式設備安全保證(EDSA)軟件開發安全評估(SDSA)功能性安全評估(FSA)通信健壯性測試(CRT)檢測和避免系統設計錯誤審核供應商的軟件開發和維護程序確保組織機構遵照穩定和安全的軟件開發程序檢測執行錯誤/疏忽按照目標安全等級的要求對組件的安全功能進行審核確保產品能夠達到安全功能要求鑒別網絡和設備缺陷根據通信健壯性要求測試組件的通信健壯性基于4層OSI參考模型進行缺陷測試ISASecure嵌入式設備測試2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）NIST:SP800-82《工業控制系統信息安全指南》WIBM2784《過程控制領域中對供應商的信息安全要求》

······其他國家及技術組織標準其他國家及技術組織標準2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）

IEC/TC65發布65/569/DC，建立一個協調Safety和Security的特別工作組（AD-HOCGroup），以提出建議和新項目提案工作組的研究內容包括：1、現有相關標準；2、

Safety和Security的區別；3、Safety和Security的共性；4、協調Safety和Security的限制；5、可能的協調方法；6、緊急情況下的權衡與取舍；7、建議和新項目提案的范圍。現向各國征集意見并召集專家（截至9月5日）第一次會議定于2014.10.28-29德國法蘭克福2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）協調工作組2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）IECEE認證IECEE-工業自動化認證INDAT?工業設備電氣安全（物理安全）IEC61010-2-201:控制系統：例如,PLC,DCS,PACIEC61010-2-20a:獨立電源IEC61010-2-20b:包含運動的執行器：例如，旋轉，線性閥門IEC61010-2-20c:不包含運動的執行器IEC61010-2-20d:人機接口?功能安全IEC61508:通用電氣控制系統IEC62061:機械電氣控制系統IEC61511:過程電氣控制系統IEC61131-6:功能安全PLC

?工業信息安全ISA積極推進工控系統信息安全我國的標準工作組2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）機械工業儀器儀表綜合技術經濟研究所、中國電子技術標準化研究所、浙江大學、北京和利時系統工程有限公司、中國核電工程有限公司、中國電力科學研究院、清華大學、西南大學、重慶郵電大學、華中科技大學、上海自動化儀表股份有限公司、東土科技股份有限公司、西門子（中國）有限公司、施耐得電氣（中國）有限公司、羅克韋爾自動化（中國）有限公司、中國儀器儀表學會、北京海泰方圓科技有限公司、華北電力設計院工程有限公司、北京國電智深控制技術有限公司、中國科學院沈陽自動化研究所、橫河電機（中國）有限公司北京研發中心、青島多芬諾信息安全技術有限公司、北京力控華康科技有限公司、華為數字技術（都）有限公司、歐姆龍上海有限公司

R&D中心、北京四方繼保自動化股份有限公司、中國電子產品可靠性與環境試驗研究所信息安全研究中心、啟明星辰、電子科技集團三十所

工控信息安全標準起草工作組成員單位2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）工作組成員2024/10/26已發布國家標準（2項）：GB/T30976.1-2014工控系統信息安全第1部分：評估規范?GB/T30976.2-2014工控系統信息安全第2部分：驗收規范

國家標準計劃項目（6項）：20120829-T-604

工業通信網絡

網絡和系統安全

第2-1部分（等同IEC62443-2-1：2010）

（10月送審）

20130783-T-604集散控制系統（DCS）安全防護標準（10月送審）20130784-T-604集散控制系統（DCS）安全管理標準（10月送審）20130785-T-604集散控制系統（DCS）安全評估標準（10月送審）

20130786-T-604集散控制系統（DCS）

風險與脆弱性檢測標準（10月送審）20130787-T-604可編程邏輯控制器（PLC）安全要求（10月送審）行業標準計劃項目（3項）JB/T11960-2014工業過程測量和控制安全網絡和系統安全IEC/TR62443-3：2008JB/T11962-2014工業通信網絡網絡和系統安全第1-1部分：術語、概念和模型IEC/TS62443-1-1：2009JB/T11962-2014工業通信網絡網絡和系統安全第3-1部分：工業自動化和控制系統用安全技術IEC/TR62443-3-1：2009機械工業儀器儀表綜合技術經濟研究所（ITEI）我國標準研制進程

授權和認證技術 過濾/阻塞/訪問控制技術加密技術和數據有效性確認管理、審記、監控和檢測工具信息安全的標準要素需求技術管理

信息安全管理體系 ISO2700x對象系統和設備人員和機構

DCS、SCADA、FCS等IPC、PLC、交換設備、智能儀表等

資質、培訓等

評審、認可、制度等2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）管理等級

——基于ISO27002的管理要求；

——基于WIB；

——三級劃分；系統能力等級

——基于IEC62443-3-3技術要求；

——四級劃分；信息安全等級

——管理要求與技術要求加權；

——四級劃分。信息安全等級

2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）系統能力等級

信息安全等級管理等級CL1CL2CL3CL4ML1SL1SL1SL1SL1ML2SL1SL2SL2SL3ML3SL1SL2SL3SL4確定評估目標制定評估計劃選擇評估方法獲取必備信息高級風險評估詳細風險評估綜合評估結果改進措施建議識別工況環境措施風險分析措施具體實施風險處置方案整改實施計劃安全措施驗證系統完整性驗證IACS生命周期評估驗收IACS安全周期V模型安全態勢分析常規分析與報告定期審計與措施重新評估與驗收2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）IACS安全周期V模型2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）PLC系統信息安全要求

定義了從現場設備層到運營管理層的信息安全要求。主要描述風險內容、安全技術要求、安全管理要求、檢測與驗收等。包括系統生命周期內的設計開發、安裝、運行維護、退出使用等各階段與系統相關的所有活動。PLC系統信息安全要求工業環境適應性要求

——氣候環境、電磁兼容、電氣安全、機械適應性、外殼防護要求等安全防護標準中定義了集散控制系統在運行和維護過程中應具備的安全能力和防護技術要求風險與脆弱性安全防護安全管理安全評估安全評估標準定義了集散控制系統在運行和維護過程中對系統技術防護能力和安全管理有效性的評估過程和方法。安全管理標準定義了集散控制系統在運行和維護過程中應具備的安全管理要點和防護管理要求風險與脆弱性檢測標準定義了集散控制系統在運行和維護過程中潛在系統脆弱性和安全風險的檢測內容和測試方法DCS系統信息安全要求2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）DCS系統信息安全要求2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）信息安全標準現狀通過11項國家/行業標準的制定，已經初步建立了系統級的安全要求標準體系：頂層設計：建立了基于技術與管理方法的評估規范和驗收規范；

系統設計：建立了DCS、現場總線、PLC系統安全設計規范；

產品設計：即將建立基于嵌入式系統的產品安全規范。2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）技術標準體系工控信息安全標準化：

層域劃分：將工控系統按功能劃分層次，按工藝劃分區域；

要求映射：將技術要求與管理要求映射到不同的層域；

定性定量：安全等級、量化風險評估結果等；技術標準體系2024/10/26機械工業儀器儀表綜合技術經濟研究所（ITEI）標準體系：

領域：適應工控系統所有應用領域；

層次：現場設備層到MES層；

系統：產品全生命周期；技術層面的問題1、面向生產工藝的資產模型與安全決策；2、探測與偵別異常信息的手段；3、多維聯動報警與故障恢復技術；4、工業級邊界防護設備；5、工控軟件的健壯性設計；機械工業儀器儀表綜合技術經濟研究所