工业控制系统安全标准体系及政策法规介绍

合集下载

【推荐下载】工业控制系统信息安全推荐性国家标准发布

张小只智能机械工业网
张小只机械知识库工业控制系统信息安全推荐性国家标准发布
2014年12月2日，全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)秘书处在我国职工之家组织召开了推荐性国家标准GB/T30976.1～.2-2014《工业控制系统信息安全》（2个部分）发布暨报告会。

国家标准化管理委员会工业二部戴红主任、张成宇同志；科技部高新司先进制造与自动化处孙权副处长；工信部装备司机械处辛晨华处长；工信部协调司蔡野处长；SAC/TC124秘书长王春喜主任等领导出席了会议。

机械工业仪器仪表综合技术经济研究所欧阳劲松所长主持了会议。

戴红主任根据中华人民共和国国家标准公告2014年第19号批复，宣布《工业控制系统信息安全》（2个部分）已被国家质量监督检验检疫总局、国家标准化管理委员会批准为推荐性国家标准,标准编号和名称为：
GB/T30976.1-2014工业控制系统信息安全第1部分：评估规范；
GB/T30976.2-2014工业控制系统信息安全第2部分：验收规范。

孙权副处长结合当前科技工作，做了工控信息安全的技术研究思路主题发言，并希望全国工业过程测量控制和自动化标准化委员会能够再接再厉，与国家科技攻关项目密切配合，开展重点领域工业控制系统及其关键设施的信息安全标准研制工作，逐步完善我国工业控制领域的信息安全标准体系。

标准起草工作组王玉敏高工代表工作组对该标准的制定、审查和工作过程做了说明；机械工业仪器仪表综合技术经济研究所的梅恪副所长作了《我国工控系统信息安全技术标准体系》报告，介绍了秘书处在工控系统安全标准体系建设方面的设想。

我国核电工程有限公司的张玉锋主任工程师介绍了《核电厂网络安全实施现状》，北京。

工业控制系统安全

设立保密区域限制敏感信息的访问
建立安全培训机制提升员工的安全意识
工业控制系统安全综述
工业控制系统安全是一项综合性工作，需要软硬件结合，技术人员和管理层共同努力。只有全面提升工业控制系统安全意识，才能有效防范各类安全威胁。
工业控制系统安全综述
综合性工作
需要软硬件结合，共同努力
技术人员和管理层合作
工业控制系统组成
传感器将物理量转换为电信号
执行器
根据控制器的指令执行动作
控制器
根据输入信号执行逻辑控制
通信网络
连接各个组件进行数据交换
工业控制系统分类
过程控制系统
01 用于连续生产过程的控制
离散控制系统
02 用于离散制造过程的控制
机器人控制系统
03 用于自动化生产中的机器人控制
工业控制系统安全意义
定期更新加密算法应对新的威胁
总结
工业控制系统加密技术是保障工业安全的重要一环。加密算法如AES、RSA和SHA为控制系统数据提供了安全保障，加密实践则是将理论付诸实践的关键步骤。
●04
第四章工业控制系统审计与监控
审计概念
审计是对系统操作行为进行记录和分析的过程。通过审计可以发现异常行为和安全漏洞。对工业控制系统而言，审计是保障系统安全的重要手段。
漏洞对策
及时更新补丁解决软件漏洞
加密通信数据保护通信过程安全
设备安全加固防止硬件漏洞
漏洞利用案例
斯托克网
01 通过利用控制系统漏洞导致停电事件
斯塔克工厂
02 控制系统被黑客入侵导致生产事故
03
漏洞预防
加强系统安全意识培训
定期组织员工进行安全意识培训建立安全意识教育体系

IATF16949标准说明

会变得不稳定或统计能力不足时。
求
组织应针对如下任一情况对控制计划进行评审，并在需要
时更新：
9.1. 9.1.1.1 制造过程的监视和测量
对应TS16949：
1. e) 当不满足接收准则时的反应计划和升级过程。
2009 8.2.3.1条
组织应对统计能力不足或不稳定的特性启动已在控制计划款
中标识，并且经过规范符合性影响评价的反应计划。这些
行十二个月的绩效； • 对于外部支持场所支持制造现场无法按IATF16949监督审核并换
证书时，则需要外部支持场所提供以下证据清单：A列出所有支持功能；B审核所依据的标准，比如：ISO/TS16949:2009；C 外部场所审核日期；D与IATF16949:2016的差异分析
2020/7/26
IATF16949:2016演变/与TS：2009认证时间转换-认证人天的减少说明
• 2017年10月1日前仍可以做ISO/TS16949：2009审核，但是2018 年9月14日以后，所有ISO/TS 16949：2009证书不再有效
• IATF16949:2016标准第一版于2016年10月1日正式向全世界发布； • IATF16949:2016认证认可规则将于2016年11月正式发布 • 由ISO/TS16949:2009升级至IATF16949时，不需要按IATF16949运
评审（至少每年一次），并在需要时进行更新；
g) 对应急计划形成文件，并保留描述修订以及更改授权人
员的形成文件的信息。
应急计划应包含相关规定，用以在发生生产停止的紧急情
况后重新开始生产之后，以及在常规停机过程未得到遵循
的情况下，确认制造的产品持续符合顾客规范。
2020/7/26

国务院关于深化制造业与互联网融合发展的指导意见-国发〔2016〕28号

国务院关于深化制造业与互联网融合发展的指导意见正文：----------------------------------------------------------------------------------------------------------------------------------------------------国务院关于深化制造业与互联网融合发展的指导意见国发〔2016〕28号各省、自治区、直辖市人民政府，国务院各部委、各直属机构：制造业是国民经济的主体，是实施“互联网+”行动的主战场。

我国是制造业大国，也是互联网大国，推动制造业与互联网融合，有利于形成叠加效应、聚合效应、倍增效应，加快新旧发展动能和生产体系转换，前景广阔、潜力巨大。

当前，我国制造业与互联网融合步伐不断加快，在激发“双创”活力、培育新模式新业态、推进供给侧结构性改革等方面已初显成效，但仍存在平台支撑不足、核心技术薄弱、应用水平不高、安全保障有待加强、体制机制亟需完善等问题。

为进一步深化制造业与互联网融合发展，协同推进“中国制造2025”和“互联网+”行动，加快制造强国建设，现提出以下意见。

一、总体要求（一）指导思想。

全面贯彻党的十八大和十八届三中、四中、五中全会精神，按照国务院决策部署，牢固树立和贯彻落实创新、协调、绿色、开放、共享的发展理念，以激发制造企业创新活力、发展潜力和转型动力为主线，以建设制造业与互联网融合“双创”平台为抓手，围绕制造业与互联网融合关键环节，积极培育新模式新业态，强化信息技术产业支撑，完善信息安全保障，夯实融合发展基础，营造融合发展新生态，充分释放“互联网+”的力量，改造提升传统动能，培育新的经济增长点，发展新经济，加快推动“中国制造”提质增效升级，实现从工业大国向工业强国迈进。

（二）基本原则。

坚持创新驱动，激发转型新动能。

积极搭建支撑制造业转型升级的各类互联网平台，充分汇聚整合制造企业、互联网企业等“双创”力量和资源，带动技术产品、组织管理、经营机制、销售理念和模式等创新，提高供给质量和效率，激发制造业转型升级新动能。

工业控制系统信息安全标准

1 《信息安全技术工业控制系统安全控制应用指南》 2 《信息安全技术工业控制系统安全管理基本要求》 3 《信息安全技术工业控制系统测控终端安全要求》 4 《信息安全技术工业控制系统安全检查指南》 5 《信息安全技术工业控制系统安全分级指南》 6 《信息系统安全等级保护基本要求第5部分：工业控制系统》 7 《工业控制系统风险评估实施指南》 8 《信息安全技术工业控制系统安全防护技术要求和测试评价方法》 9 《信息安全技术工业控制系统网络审计产品安全技术要求》 10《工业控制系统专用防火墙技术要求》 11《信息安全技术工业控制系统网络监测安全技术要求和测试评价方法》 12《信息安全技术工业控制系统漏洞检测技术要求》 13《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》 14《工业控制系统产品信息安全评估准则第1部分简介和一般模型》 15《工业控制系统产品信息安全评估准则第2部分安全功能要求》 16《工业控制系统产品信息安全评估准则第3部分安全保障要求》
国际工控安全标准化组织：
3. 美国国家标准技术研究院（ NIST ， National Institute of Standards and Technology ） NIST是一个非监管性质的测量技术和标准国家级研究机构，其中信息技术实验室的计算机安全研究室是信息安全标准的主要制定者。2002年，美国政府在《联邦信息安全管理法案》（FISMA）以及《电子政府法案》中再次重申了NIST的职责是开发信息安全标准（联邦信息处理标准,即FIPS系列）。
国际工控安全标准化组织：
2. 国际自动化协会（ISA，the International Society of Automation）其前身是美国仪器、系统和自动化协会，是一个非盈利技术协会，服务于从事、研究、学习工业自动化及其相关领域（如现场仪表等）的工程师、技术员等人士，是世界上最重要的自动化标准订制与工业自动化人才培养专业组织之一。目前，ISA的主要任务是制定和完善标准、职业资格认证、提供教育和培训、出版书籍和论文、并且主办自动化专业领域最大型的会议和展览。ISA为它的成员提供各种渠道来获取技术信息、专业发展资源和与其他自动化专家交流的机会。除了这些之外，ISA会员还能有更多机会得到自动化领域内众多专家的认可。

工控系统信息安全与等级保护2.0概述

可靠的工控信息安全产品
工控系统的信息安全
工业控制信息安全·政策法规
《中国人民共和国网络安全法》
▪ 第二十一条国家实行网络安全等级保护制度 ▪ 第二十三条网络关键设备和网络安全专用产
品实行销售许可制度 ▪ 第三十一条关键信息基础设施，在网络安全
等级保护制度的基础上，实行重点保护
工业控制信息安全·政策法规
测试 ▪ 工业控制系统的安全评估/等保
测评
▪ 工业控制信息安全相关的科研工作
谢谢聆听！
等级保护2.0体系升级
等
政策体系
级
• 网络安全等级保护条例起草
保
标准体系
护 2.0
• 主要标准全面修订
体
测评体系
系
技术体系
升
级
教育培训体系
等级保护标准体系
信息安全技术网络安全等级保护定级指南信息系统安全等级保护行业定级细则
保信护息测系评统过安程全指等南级
信保息护系测统评安要全求等
注：允许部分层级合并
工业控制系统安全扩展要求
安ቤተ መጻሕፍቲ ባይዱ要求类层面
一级
二级
三级
四级
安全物理环境
2
2
2
2
安全通信网络
2
4
4
4
技术要求安全区域边界
3
5
8
9
安全计算环境
2
2
5
5
管理要求
安全建设管理
0
2
2
2
合计
/
9
15
21
22
级差
/
/
6

ot安全认识解释思路

ot安全认识解释思路1.引言1.1 概述概述部分内容：OT安全是指运营技术（Operational Technology）领域的安全问题。

在工业控制系统（Industrial Control Systems，ICS）中，OT安全扮演着至关重要的角色，涵盖了保护能源、交通、通信、制造等各个关键基础设施的安全。

随着信息技术的不断发展和工业化进程的加速，工业控制系统的网络化程度越来越高，传统的物理空间和网络空间日益融合，导致OT安全问题日益突出。

在这个背景下，对OT安全进行深入认识和解释，成为了至关重要的任务。

本文将通过对OT安全的基本概念、威胁与挑战的分析，以及总结OT 安全的重要性和提出加强OT安全的思路与建议，来全面探讨OT安全的认识和解释。

通过这篇文章，读者将能够更好地理解OT安全的本质、重要性和相关挑战，同时也将获得一些加强OT安全的思路和建议。

综上所述，本文将对OT安全进行全面介绍和解释，旨在增强读者对OT安全的认识和理解，引起社会对OT安全问题的重视，并提出一些具体的思路和建议，以加强OT安全保护措施，确保关键基础设施的运行安全和可靠性。

下面将详细介绍文章的结构和目的。

1.2 文章结构文章结构部分的内容需要对整篇文章的结构进行说明，给读者一个清晰的导航。

以下是一个可能的内容：2. 正文2.1 OT安全的基本概念在本节中，我们将介绍OT（运营技术）安全的基本概念。

首先，我们会解释什么是OT，它与IT（信息技术）的区别，以及OT在各个行业中的应用。

然后，我们将探讨OT系统的组成部分，如传感器、控制器和通信网络，以及它们之间的关系。

最后，我们将介绍OT系统的关键特征和优势，以及为什么OT安全至关重要。

2.2 OT安全的威胁与挑战在本节中，我们将讨论OT安全面临的威胁和挑战。

首先，我们会探讨攻击者可能利用的不同类型的威胁，如恶意软件、网络攻击和物理攻击。

然后，我们将介绍OT系统存在的脆弱点和漏洞，以及它们可能导致的后果。

工控安全防护pa体系分

工控安全防护pa体系分
工控安全防护PA体系分为五个等级，具体如下：
基础建设级：此级别主要是基于工业控制系统信息安全防护的技术基础和条件开展基本保护工作。

安全防护能力建设主要基于特定业务场景，尚未形成规范化、流程化的工作方式，相关工作多依赖信息安全人员主观经验，建设过程未要求以文档形式记录，无法形成可复制的工作模式。

例如，此级别可以初步建立工业控制系统信息安全管理制度，但主要是基于组织的特定业务场景和知识经验水平。

规范防护级：此级别的安全要求数量为167项，它涵盖了更多的规范化和流程化的安全防护措施。

集成管控级：此级别的安全要求数量为259项，主要强调对工控系统的集成和集中管控能力。

综合协同级：此级别的安全要求数量为320项，强调各部门和系统之间的综合协同能力。

智能优化级：此级别的安全要求数量为365项，主要关注于利用智能化手段对工控安全防护进行持续优化。

总的来说，这五个等级代表了工控安全防护能力从基础到高级的逐步演进过程，每个级别都有其特定的安全要求和关注点。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

国标制定情况
工作重点
信息安全等级保护网络信任体系建设信息安全应急处理信息安全测评信息安全管理 … 16个领域的标准制定
标准成果
提出227项国标计划发布102项国家标准在研125项
我国工业控制系统信息安全标准全国信息安全标准化技术委员会（TC260）
工控系统信息安全标准体系研究
我国工业控制系统信息安全标准全国信息安全标准化技术委员会（TC260） 1）在编标准：
2
3
4
全国信息安全标准化技术委员会（TC260）
2002年4月国标委发文正式成立，由国家标准委直接领导；
国际：ISO/IEC JTC1/SC27；秘书处：中国电子技术标准化研究院；组成：由30多个部门和单位的49名领导和专家组成；共有工作组成员单位165家，其中企业120家；标准：已发布国标 102项，正在制定中的125项联系人：罗锋盈 15901234287 luofy@
文中明确指出：“全国信息安全标准化技术委员会抓紧制
定工业控制系统关键设备信息安全规范和技术标准，明确设备安全技术要求。 ”
政策法规行业方面
电力行业已陆续发布《电力二次系统安全防护规定》、《电力二次系统安全防护总体要求》等一系列文件。交通铁路系统也发布了TB10117－98《铁路电力牵引供电远动系统技术规范》，TB10064－2002《电力系统综合设计》和《铁路供电水电调度规则》、《关于强化铁路牵引供电和电力远动系统若干要求》等文件。
•IEC/TC65（工业过程测量、控制和自动化）下的网络和系统信息安全工作组WG10与国际自动化协会ISA 99委员会的专家成立联合工作组，共同制定IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》系列标准。 •目标是定义一个通用的、最小要求集以达到各级 SALS （ Security Assurances Levels，SAL）的安全保障需求。 •IEC 62443一共分为了四个部分，第一部分是通用标准，第二部分是策略和规程，第三部分提出系统级的措施，第四部分提出组件级的措施。
（国标委高新函[2004]1号文）
TC260组织结构图
WG1 （主任、副委主员任会、委员）秘书处 WG2 WG3 WG4 WG5 WG6 WG7
信息安全标准体系与协调工作组涉密信息系统安全保密标准工作组
密码技术标准工作组
鉴别与授权工作组信息安全评估工作组通信安全标准工作组信息安全管理工作组
Cyber Storm Aurora 测试
污水泄漏
天然气爆炸
1982年6月，美国中央情报局通过利用SCADA 系统的缺陷，对前苏联天然气管线进行了远程攻击，导致了有史以来最大的非核爆炸。
工控系统相关安全事件
Duqu 蠕虫
2011年9月，一种与Stuxnet具有相似结构的恶意代码Duqu出现在欧洲多个国家。Duqu的主要作用是侦查和搜集资料。虽然Duqu不像 Stuxnet一样直接攻击现场设备，但是可以随时根据攻击对象安装不同的攻击工具包， Duqu可能会成为寄居在基础设施内的定时炸弹。 2011年3月21日意大利黑客在主页上披露Siemens、Iconics、7-Technologies、RealFlex Technologies等公司产品存在34个漏洞， 3月23日披露BroadWin公司产品存在2个漏洞。 2011年5月开始，美国NSS实验室持续报告出大量工控系统的安全漏洞，包括中国的力控软件和国外的Siemens在内。8月份的黑帽大会上，他为大家演示了如何入侵一台西门子S7 PLC，包括获取内存读写权限、盗取数据、运行指令以及关闭整台计算机。 2011年10月，美国DerbyCon会议上，Teryy McCorkle和Billy Rios在报告中提到他们发现了存在于工控系统中的665个漏洞，其中75个漏洞位于网上可以免费下载的工控系统软件和 HMI中。
全国信息安全标准化技术委员会（TC260）
“自2004年1月起，各有关部门在申报信息安全国家标准计划项目时，必须经信息安全标委会提出工作意见，协调一致后由信息安全标委会组织申
报；在国家标准制定过程中，标准工作组或主要
起草单位要与信息安全标委会积极合作，并由信息安全标委会完成国家标准送审、报批工作。”
Luigi Auriemma Dillon Beresford McCorkle &Rios
提纲
工业控制系统概述
国外工业控制系统信息安全标准我国工业控制系统信息安全标准相关政策法规结论与展望
国外工业控制系统信息安全标准
国际上，研究工控系统安全的标准化组织如下：
1.
国际电工委员会
（IEC，International Electro Technical Commission ）
ICS
SCADA系统
DCS系统
PLC
工控系统概述
工业控制系统与IT系统的差别：工控系统在地域上分布广阔，其边缘部分是智能程度不高网络边缘不同的含传感和控制功能的远动装置，而不是IT系统边缘的通用计算机，两者之间在物理安全需求上差异很大。工控系统结构纵向高度集成，主站节点和终端节点之间是体系结构不同主从关系，IT系统则是扁平的对等关系，两者之间在脆弱节点分布上差异很大。
2012年6月28日国务院《关于大力推进信息化发展和切实保障信息安全的若干意见（国发〔2012〕23号）》明确要求：保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统，定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。对重点领域使用的关键产品开展安全测评，实行安全风险和漏洞通报制度。
《信息安全技术 SCADA系统安全控制指南》《信息安全技术安全可控信息系统（电力系统）安全指标体系》
2）计划制定
《信息安全技术《信息安全技术《信息安全技术《信息安全技术《信息安全技术工业控制系统安全管理基本要求》工业控制系统安全检查指南》工业控制系统测控终端安全要求》工业控制系统安全防护技术要求和测评方法》工业控制系统安全分级指南》
……
全国电力系统管理及其信息交换标准化技术委员会 TC82
已发布标准
《电力系统管理及其信息交换数据和通信安全第1部分：通信网络和系统安全安全问题介绍》（GB/Z 25320.1-2010）《电力系统管理及其信息交换数据和通信安全第3部分：通信网络和系统安全包括TCP/IP的协议集》（GB/Z 25320.3-2010）《电力系统管理及其信息交换数据和通信安全第4部分：包含MMS的协议集》（GB/Z 25320.4-2010）《电力系统管理及其信息交换数据和通信安全第6部分：IEC 61850的安全》（GB/Z 25320.6-2011）
政策法规国家政府方面
工业和信息化部2011年9月发布《关于加强工业控制系统信息安全管理的通知》（[2011]451号），通知明确了工业控制系统信息安全管理的组织领导、技术保障、规章制度等方面的要求。并在工业控制系统的连接、组网、配置、设备选择与升级、数据、应急管理等六个方面提出了明确的具体要求。
我国工业控制系统信息安全标准
组织名称 1 全国信息安全标准化技术委员会（TC260）全国电力系统管理及其信息交换标准化技术委员会（TC82）全国工业过程测量和控制标准化技术委员会（TC124）全国电力监管标准化技术委员会（TC 296 ）国际对口 ISO/IEC JTC1 SC27 IEC TC 57 （电力系统管理与相关信息交换委员会） IEC/TC65 （工业过程测量、控制与自动化委员会）挂靠单位中国电子技术标准化研究院国网电力科学研究院机械工业仪器仪表综合技术经济研究所电监会输电监管部
国内外工业控制系统信息安全标准及政策法规介绍
全国信息安全标准化技术委员会秘书处（TC260） 2012年11月
提纲
工业控制系统概述
国外工业控制系统信息安全标准我国工业控制系统信息安全标准相关政策法规结论与展望
工控系统概述
工业控制系统(ICS)是对多种控制系统的总称，典型形态包括监控和数据采集(SCADA)系统、分布式控制系统（DCS)，以及可编程逻辑控制器(PLC)之类的小型的控制系统装置。ICS普遍应用于电力、水处理、石油、天然气、化工、交通运输、制造业。
工控系统相关安全事件
美国国土安全部分别在2006年2月6日、2008年3 月10日和2010年9月27日共举办了三次网络风暴演习。三次演习都涉及多个政府部门、私人企业和厂商。演习目的在于检验包括电力、水源和银行在内的美国重要部门遭大规模网络攻击时的协同应对能力。美国国家能源实验室于2007年3月进行了“极光发电机测试”，摄制的视频录像中显示了黑客通过攻击汽轮机导致汽轮机失控和电力中断。 “极光” 事件之后，美国政府全面加大了针对工业控制系统信息安全防护的力度，国会在2008年5月举办了电网安全听证会。 2001年，在澳大利亚昆士兰，一名被解雇的工程师通过无线网络侵入水厂控制系统，造成水处理厂发生46次控制设备功能异常事件，导致数百万公升污水进入地区供水系统。
结论与展望
小结
工业控制系统是国家重要基础设施（如电力、交通、能源、通信、水利、金融等）的“大脑”和“中枢神经”，是基础的基础、核心的核心。从总体上看，我国工控系统信息安全防护体系建设明显滞后于工控系统建设，在防护意识、防护策略、防护机制、法规标准、防护检测等方面都存在不少问题，涉及工控系统的信息安全工作尚在起步阶段。我国工业控制系统信息安全标准尚不健全，尚在发展初期。
国外工业控制系统信息安全标准 SP800-82《工业控制系统(ICS)安全指南》