中国工控信息安全技术标准体系

张小只智能机械工业网
张小只机械知识库工业控制系统信息安全推荐性国家标准发布
2014年12月2日，全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)秘书处在我国职工之家组织召开了推荐性国家标准GB/T30976.1～.2-2014《工业控制系统信息安全》（2个部分）发布暨报告会。

国家标准化管理委员会工业二部戴红主任、张成宇同志；科技部高新司先进制造与自动化处孙权副处长；工信部装备司机械处辛晨华处长；工信部协调司蔡野处长；SAC/TC124秘书长王春喜主任等领导出席了会议。

机械工业仪器仪表综合技术经济研究所欧阳劲松所长主持了会议。

戴红主任根据中华人民共和国国家标准公告2014年第19号批复，宣布《工业控制系统信息安全》（2个部分）已被国家质量监督检验检疫总局、国家标准化管理委员会批准为推荐性国家标准,标准编号和名称为：
GB/T30976.1-2014工业控制系统信息安全第1部分：评估规范；
GB/T30976.2-2014工业控制系统信息安全第2部分：验收规范。

孙权副处长结合当前科技工作，做了工控信息安全的技术研究思路主题发言，并希望全国工业过程测量控制和自动化标准化委员会能够再接再厉，与国家科技攻关项目密切配合，开展重点领域工业控制系统及其关键设施的信息安全标准研制工作，逐步完善我国工业控制领域的信息安全标准体系。

标准起草工作组王玉敏高工代表工作组对该标准的制定、审查和工作过程做了说明；机械工业仪器仪表综合技术经济研究所的梅恪副所长作了《我国工控系统信息安全技术标准体系》报告，介绍了秘书处在工控系统安全标准体系建设方面的设想。

我国核电工程有限公司的张玉锋主任工程师介绍了《核电厂网络安全实施现状》，北京。

工控信息安全标准
工控信息安全标准是指对工控系统进行信息安全保护的规范和要求。

其主要内容包括以下方面：
1. 安全管理体系：建立完善的信息安全管理制度，包括安全策略、安全规定、安全组织、安全培训、应急预案等。

2. 安全技术措施：采用多种技术手段进行信息安全保护，包括访问控制、身份验证、数据加密、漏洞管理、安全监控等。

3. 安全评估测试：进行定期的安全评估和测试，识别潜在的安全风险和漏洞，及时采取措施进行修复。

4. 安全事件应急处理：建立完善的应急预案和响应机制，对安全事件进行及时有效的处理，缩小安全事故的影响。

5. 安全培训和宣传：开展相关的安全培训和宣传，提高信息安全意识和保护能力，促进人员的安全行为和责任意识。

当前国内针对工控系统信息安全的标准主要包括GB/T 28448《工控系统信息安全技术规范》、GB/T 31120《信息技术工业过程测控设备网络安全能力要求》、GA/T 184-2018《工控系统网络安全指南》等。

1 工业控制系统信息安全简介工业控制系统被广泛应用于现代社会的诸多关键领域，包括能源、水电、通信、交通、调度、工业制造等。

在工业控制系统与互联网连接的趋势下，工业控制系统信息安全越来越引起业界的关注。

一个完整的工控企业的信息系统通常分为四层，即企业管理层、生产管理层、生产控制层和设备层。

企业管理层实现企业内部办公系统功能，生产相关数据不包括在内。

一般将生产管理层、生产控制层和设备层涉及的部分统称为工业控信息系统。

工业控制信息系统不但包括SCADA、DCS、PLC、RTU等专用的信号采集、数据传输和信息控制系统，还包括专用的工业通信输设备及工业企业专用数据库。

S C A D A（S u p e r v i s o r y C o n t r o l A n d D a t a Acquisition）即数据采集与监视控制系统，用来控制地域上分散的大型分布式系统。

SCADA系统控制的分布式系统，地域跨度大，分散的数据采集和集中的数据处理是SCADA的主要特点。

典型的SCADA系统有供水和污水收集系统、石油和天然气管道、电力电网及铁路运输系统等。

DCS（Distributed Control System）即分布式控制系作者简介：李莉中国信息通信研究院泰尔系统实验工程师。

统，是对工业系统的生产过程进行集中管理和分散控制的计算机系统。

DCS对实时性和可靠性要求较高。

DCS 通常是专用定制化系统，使用专用处理器，采用私有通信协议通信，运行针对企业特定应用的定制化软件系统。

DCS广泛应用在在能源化工、汽车生产、食品、废水处理等行业。

图1 工业控制系统架构PLC（Programmable Logic Controller）即可编程逻辑控制器，用于控制工业设备和生产过程。

PLC通常在较小的控制系统配置中作为主要组件，用于提供离散过工业控制系统信息安全浅析Analysis of Certification Requirements for IoT Wireless Communication Products at Home and Abroad李 莉（中国信息通信研究院，北京 100191）摘 要：本文首先研究了工业控制系统信息安全的范畴和发展现状，然后对工业控制信息体统安全行业发展带来的新机遇进行了探讨，接下来对促进工控信息系统发展的国内外相关标准做了梳理，最后给出了工控安全行业发展展望和建议。

工业控制信息安全标准首先，工业控制信息安全标准需要包括对网络安全的规定。

工业控制系统通常由多个网络组成，这些网络之间可能存在连接，因此网络安全是保障工业控制系统信息安全的基础。

在网络安全标准中，需要规定网络拓扑结构、网络访问控制、网络隔离等内容，以确保工业控制系统的网络安全。

其次，工业控制信息安全标准还需要规定对设备和数据的安全要求。

工业控制系统中包括大量的设备和数据，这些设备和数据的安全直接关系到整个系统的安全。

因此，需要规定设备的安全防护要求、设备的访问控制、数据的加密传输等内容，以确保设备和数据的安全。

此外，工业控制信息安全标准还需要规定对人员的安全管理要求。

工业控制系统的安全不仅仅依赖于技术手段，人员的安全意识和行为也至关重要。

因此，需要规定人员的安全培训要求、人员的权限管理、人员的安全行为规范等内容，以提高人员的安全意识和行为规范，从而提升整个系统的安全性。

另外，工业控制信息安全标准还需要规定对安全事件的监测和应急响应要求。

安全事件的监测和应急响应是保障工业控制系统信息安全的重要手段。

因此，需要规定安全事件的监测要求、安全事件的报告要求、安全事件的应急响应流程等内容，以及时发现和应对安全事件，减小安全事件对系统造成的影响。

最后，工业控制信息安全标准还需要规定对安全管理的要求。

安全管理是保障工业控制系统信息安全的基础，需要规定安全管理的组织架构、安全管理的责任分工、安全管理的审核评估等内容，以建立健全的安全管理体系，保障工业控制系统的信息安全。

综上所述，工业控制信息安全标准是保障工业控制系统信息安全的重要手段，需要包括网络安全、设备和数据安全、人员安全管理、安全事件监测和应急响应、安全管理等内容。

只有建立和完善工业控制信息安全标准，才能有效保障工业控制系统的信息安全，确保生产系统的稳定运行。

工业互联网安全技术标准体系建设随着信息技术的快速发展以及工业互联网的兴起，工业控制系统面临着越来越多的安全威胁和挑战。

为了保护工业互联网系统的稳定运行和关键信息的安全，建立健全的工业互联网安全技术标准体系显得尤为重要。

一、背景及意义工业互联网是将传统工业控制系统与互联网技术相结合的新型工业系统。

它的出现为工业生产带来了巨大的便利和效率提升，但也带来了一系列的安全风险。

工业互联网涉及到的设备众多，网络覆盖范围广，系统底层软硬件运行环境复杂，因此，确保工业互联网的安全性成为当务之急。

建立工业互联网安全技术标准体系，对于加强工业互联网系统的安全性，规范系统开发和运行，提升整体的安全能力和抵抗能力具有重要意义。

它可以为安全技术的研发和应用提供统一的指导和标准，促进技术共享与协同，提高安全防护的整体水平。

二、主要内容建设工业互联网安全技术标准体系应包含以下主要内容：协议与接口标准：规范工业互联网中各设备和系统之间的通信协议和接口标准，确保数据的安全传输和信息的准确交换。

同时，制定统一的接入认证标准，加强对外部网络的访问控制。

数据安全管理标准：制定工业互联网中数据存储、传输和处理的安全管理标准，包括数据的加密、权限管理、审计等，确保数据的保密性和完整性。

系统安全评估标准：建立工业控制系统的安全评估标准，对系统进行全面的安全性分析和评估。

通过识别系统中的潜在安全隐患和漏洞，及时采取相应的措施进行修复和加固。

漏洞管理与应急响应标准：建立漏洞管理与应急响应的标准体系，及时发现和修复系统中的漏洞，提高系统对新威胁的适应能力和威胁防范能力。

人员培训和管理标准：制定工业互联网安全人员的培训和管理标准，提高从业人员的安全意识和技术能力。

同时，建立合理的安全责任制度，明确人员在工业互联网安全工作中的责任和义务。

三、建设方法建设工业互联网安全技术标准体系需要遵循以下方法：参考国内外现有标准：借鉴国内外工业互联网安全技术标准的成熟成果，对其进行分析和评估，选择适合本国国情的标准进行采纳和应用。

工控安全标准一、安全管理1.1 定义和目标工控安全标准旨在确保工业控制系统的安全性，以减少由于安全漏洞和隐患导致的风险。

通过实施安全标准和最佳实践，可以保护工业控制系统的机密性、完整性和可用性。

1.2 责任人工控安全标准应由企业负责人、管理层和员工共同负责实施和维持。

企业负责人应制定并实施工控安全政策和计划，确保员工接受适当的培训和指导。

二、资产安全2.1 定义和目标资产安全是指保护工业控制系统中的资产免受未经授权的访问、修改或破坏。

资产可能包括硬件、软件、数据和人员。

2.2 保护措施实施多层次的安全控制，包括物理和逻辑访问控制，以确保只有授权人员才能访问敏感资产。

对敏感资产进行加密和保护，以防止未经授权的访问。

三、操作安全3.1 定义和目标操作安全涉及确保工业控制系统中的操作指令和数据传输的安全性。

操作安全旨在防止恶意攻击或误操作对工业控制系统的干扰或破坏。

3.2 保护措施实施安全的通信协议，如加密通信和安全的远程访问通道。

对操作指令进行验证和授权，以防止未经授权的操作。

实施访问控制策略，限制对关键操作指令的访问权限。

四、变更管理4.1 定义和目标变更管理涉及对工业控制系统中的人员、技术、过程和物理环境的变更进行管理和控制。

变更管理旨在减少由于变更过程中的漏洞和失误导致的风险。

4.2 管理流程建立变更管理流程，包括变更请求、变更评估、风险分析和审批过程。

对每个变更进行风险评估，以确保变更不会对工业控制系统安全性产生负面影响。

五、物理安全5.1 定义和目标物理安全涉及确保工业控制系统的硬件和软件免受物理破坏或未经授权的访问。

这包括对工业控制系统的机柜、设备、网络和其他基础设施进行保护。

5.2 保护措施实施严格的物理访问控制，包括门禁系统和监控摄像头。

确保只有授权人员才能访问敏感设备和基础设施。

对敏感设备和基础设施进行安全存储和备份，以防止物理破坏或盗窃。

六、供应链安全6.1 定义和目标供应链安全涉及确保工业控制系统中的组件和服务的供应链不包含恶意软件、恶意组件或恶意服务。

国家标准《信息安全技术工业控制系统漏洞检测技术要求及测试评价方法》（征求意见稿）编制说明一、工作简况1.1任务来源《信息安全技术工业控制系统漏洞检测技术要求及测试评价方法》是全国信息安全标准化技术委员会 2015年下达的信息安全国家标准制定项目，由北京匡恩网络科技有限责任公司中国电子技术标准化研究院承担，参与单位包括中国信息安全测评中心、中国电子技术标准化研究院、北京工业大学、中国科学院沈阳自动化研究所、北京和利时系统工程有限公司、公安部计算机信息系统安全产品质量监督检验中心、北京交通大学、浙江大学、解放军信息工程大学、中车株洲电力机车有限公司等单位。

1.2主要工作过程1.2015年5月到6月，联系各个参与单位，进行任务分工和任务组织；研究现有国内外工控安全相关标准，分析各自特点，学习借鉴。

2.2015年7月到8月调研国内工业控制系统安全现状，学习、研究、讨论国内外相关的标准及研究成果, 确定并编写总体框架。

3.2015.8-2015.12 编写标准初稿，在工作组内征求意见，根据组内意见进行修改。

4.2016年1月，向全国信息安全标准化技术委员会专家崔书昆老师和王立福老师、石化盈科等行业用户、和利时等工业控制设备制造商、公安3所等科研院所、长城网际等安全厂商征求意见，根据反馈意见多次修改。

5.2016年1月，标准编制组召开研讨会，根据专家在会上提出的修改意见对标准进行修改。

6.2016年5月，标准编制组在“工控系统信息安全标准和技术专题研讨会”介绍了标准草案，听取了来自轨交、石化、电力、冶金、制造业、汽车等行业专家对标准草案的意见并根据专家在会上和会后提出的修改意见对标准进行修改。

7.2016年6月，标准编制组召开专题研讨会介绍了标准草案，并根据专家在会上提出的修改意见对标准进行修改。

8.2016年10月，标准编制组在信安标委第2次会议周上介绍了标准草案，并根据专家在会前会上提出的修改意见对标准进行修改。