GB-T 35673-2017 工业通信网络 网络和系统安全系统安全要求和安全等级.pdf
《GB-T 35673-2017 工业通信网络 网络和系统安全系统安全要求和安全等级.pdf》由会员分享,可在线阅读,更多相关《GB-T 35673-2017 工业通信网络 网络和系统安全系统安全要求和安全等级.pdf(68页珍藏版)》请在冰点文库上搜索。
ICS25.040N10中华人民共和国国家标准GB/T356732017/IEC62443-3-3:
2013工业通信网络网络和系统安全系统安全要求和安全等级IndustrialcommunicationnetworksNetworkandsystemsecuritySystemsecurityrequirementsandsecuritylevels(IEC62443-3-3:
2013,IndustrialcommunicationnetworksNetworkandsystemsecurityPart3-3:
Systemsecurityrequirementsandsecuritylevels,IDT)2017-12-29发布2018-07-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布前言本标准按照GB/T1.12009给出的规则起草。
本标准使用翻译法等同采用IEC62443-3-3:
2013工业通信网络网络和系统安全第3-3部分:
系统安全要求和安全等级及其修正案corrigendum1。
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:
GB/T330072016工业通信网络网络和系统安全建立工业自动化和控制系统安全程序(IEC62443-2-1:
2010,IDT)为了使用方便,本标准做了下列编辑性修改:
标准名称修改为“工业通信网络网络和系统安全系统安全要求和安全等级”;纳入了技术勘误1的内容,这些技术勘误涉及的条款已通过在其外侧页边空白位置的垂直双线()进行了标示;对5.7.1中错误的序列号进行了修正。
本标准由中国机械工业联合会提出。
本标准由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。
本标准起草单位:
北京匡恩网络科技有限责任公司、机械工业仪器仪表综合技术经济研究所、中国核电工程有限公司、北京和利时系统工程有限公司、西南电力设计院有限公司、东土科技股份有限公司、全球能源互联网研究院、北京市自来水集团有限责任公司、浙江大学、华中科技大学、西南大学、重庆邮电大学、中国软件测评中心、西门子(中国)有限公司、施耐德电气(中国)有限公司、罗克韦尔自动化(中国)有限公司、中国科学院沈阳自动化研究所、北京启明星辰信息安全技术有限公司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、华北电力设计院工程有限公司、深圳万讯自控股份有限公司、中国电子科技集团公司第三十研究所、上海自动化仪表研究院、工业和信息化部电子第五研究所、横河电机(中国)有限公司北京研发中心。
本标准主要起草人:
王春霞、张大江、王玉敏、梅恪、梁猛、芦宁、徐岩、王亦君、王弢、罗安、张晋宾、薛百华、梁潇、冯冬芹、刘枫、周纯杰、李锐、陈小淙、华镕、张晨艳、朱镜灵、刘安正、马欣欣、周峰、魏旻、刘杰、成继勋、赵军凯、兰昆、王英、张东旗、董黎芳、刘广庆、宋秀娟、杨泓彬、徐近升、刘畅、尚文利、潘东波、刘志祥、钱大涛。
GB/T356732017/IEC62443-3-3:
2013引言0.1概述注:
本标准是涉及工业自动化和控制系统(IACS)信息安全系列标准的一部分。
是由ISA99委员会第四工作组的第2任务组与IECTC65/WG10一起合作制定的。
本标准描述了在IEC62443-1-1中定义的与控制系统信息安全要求相关的七个基本要求,并对待评估系统(SuC)分配了系统安全等级。
工业自动化和控制系统(IACS)的组织越来越多地使用商用网络设备成品,因为价格低廉、性能高效和高度自动化。
出于商业目的,控制系统也越来越多地与非IACS网络相互连接。
这些设备采用开放的网络技术和持续增加的网络连接,为针对控制系统硬件和软件的网络攻击提供了机会。
这个弱点可能导致所部署的系统产生健康、安全和环境(HSE)、财务或声誉问题。
部署商用信息网络安全解决方案来应对IACS安全的组织,可能无法完全理解采用这一措施的后果。
尽管许多商业IT应用和安全解决方案可应用于IACS,但是它们需要以合适的方式来应用,以避免因疏忽造成的后果。
因此,需要结合功能要求和风险评估,通常也包括对运营问题的意识,来定义系统要求。
IACS安全措施不宜具有引起基本服务和功能(包括应急程序)丢失的隐患。
(经常部署的IT安全措施,确实有这种潜在弱点。
)IACS安全目标集中在控制系统的可用性、工厂保护、工厂运行(即使在降级模式)和时间关键(time-critical)的系统响应。
IT安全目标往往对这些因素有不同程度的重视;他们可能更关心的是保护信息,而非有形资产。
无论工厂集成的实现程度如何,这些不同的目标需要明确地表述为安全目标。
根据IEC62443-2-1要求,风险评估中的关键一步是识别出哪些服务和功能对运行是必不可少的。
(例如,在一些设施中,工程支持可能被判定为非基本的服务或功能。
)在某些情况下,安全性的动作引起非基本的服务或功能的暂时丧失是可以接受的,但是基本服务或功能不宜受到不利影响。
本标准假定系统已经按照IEC62443-2-1规定建立并运行了安全程序。
进一步假定通过利用本标准描述的适当的控制系统要求及增强要求,实现了符合IEC/TR62443-2-35所建议的补丁管理。
此外,IEC62443-3-28描述了怎样对项目定义基于风险的安全等级(SL),并用于选择符合本标准中详述的适当技术安全能力的产品。
本标准的主要参考标准包括ISO/IEC2700215和NISTSP800-53第3版24(见第2章和参考文献)。
IEC62443系列标准的主要目的是提供一种灵活的框架,以应对IACS当前和未来的脆弱性,并采用系统化的防御方式,实施必要的缓解方法。
IEC62443系列标准的目的是扩展企业安全性,使之适应业务IT系统的要求,并与IACS独特的高可用性需求相结合。
0.2目的和本标准的使用者本标准在IACS领域的使用者包括资产所有者、系统集成商、产品供应商、服务供应商、合规性管理机构。
合规性管理机构包括具有法定权力、根据法律法规进行合规性审计的政府机构和监管部门。
系统集成商、产品供应商和服务提供商将使用本标准来评价其产品和服务是否能够提供满足资产所有者目标安全等级(SL-T)要求的安全能力。
对于SL-T的分配,单个控制系统的要求(SR)和增强要求(RE)的适用性将基于资产所有者的安全策略、规程和基于具体场所的风险评估。
值得注意的是,某些SR存在允许例外的特定条件,例如当满足SR将违反控制系统的基本操作要求时(这可能需要增加补偿对抗措施)。
GB/T356732017/IEC62443-3-3:
2013当设计控制系统为满足特定SL-T相关的一系列SR时,不必要求该控制系统的每个组件都满足本标准强制级别的每项系统要求。
补偿对抗措施可以用来提供其他子系统所需的功能,在控制系统级,全部的SL-T要求都得到满足。
在设计阶段宜考虑包括补偿措施,并附有详尽的文档,这样所达到的控制系统SL、SL-A(控制系统),充分体现了安全能力的设计预期。
同样,为满足整个控制系统的SL,在认证测试和/或安装后的审计时,可以应用补偿措施并做文件记录。
本标准未提供设计和建立集成安全架构的详细内容。
这需要额外的系统级分析和IEC62443系列的其他标准(见0)衍生的要求。
需要注意的是,本标准的目标不是提供详细的规范来建立一个安全架构。
本标准的目标是定义一个通用的最低限度要求,逐步达到更严格的信息安全等级。
符合这些要求的架构实际设计是系统集成商和产品供应商的工作。
在此工作中,他们可以自由选择,从而支持竞争和创新。
因此,本标准仅严格地明确功能要求,并不涉及这些功能要求应如何满足。
0.3本标准在IEC62443系列标准的应用图1给出了本标准撰写时IEC62443系列标准的构成。
IEC62443-3-2使用SR和RE作为一个检查清单。
在待评估系统(SuC)使用区域和管道术语进行描述,以及相应的目标SL分配给这些区域和管道之后,本标准定义的SR和RE,以及它们与安全能力等级SL(SL-C)的映射关系,汇集成控制系统设计需要满足的要求列表。
一个给定的控制系统设计就可以SL-A为条件,进行完整性检查。
图1IEC62443系列标准的结构IEC/TS62443-1-32将基本要求(FR),SR,RE和SL-C的映射作为检查表来测试量化指标规范的完整性。
量化的安全符合性指标基于特定的上下文。
结合IEC62443-3-2,资产所有者的SL-T的任务要求转换成量化指标,用来支持系统的分析和设计权衡研究,以及开发安全体系结构。
IEC62443-4-19提出产品开发过程中的总体要求。
例如,IEC62443-4-1的规定内容都是围绕产品GB/T356732017/IEC62443-3-3:
2013供应商。
产品安全性的要求都源于本标准中规定的基线要求列表和RE。
开发这些产品的功能时,将使用IEC62443-4-1质量规范。
IEC62443-4-210包含一系列派生要求,提供了详细的本标准SR到子系统和SuC组件的映射。
在本标准撰写的时候,IEC62443-4-2涉及的组件类别分别为:
嵌入式设备、主机设备、网络设备和应用程序。
同样,IEC62443-4-2主要以供应商(产品供应商和服务供应商)为中心。
产品安全性的要求,首先来自本标准中规定的基本要求和RE列表。
IEC62443-3-2和IEC/TS62443-1-3的安全要求和度量被用来完善这些规范性派生需求。
GB/T356732017/IEC62443-3-3:
2013工业通信网络网络和系统安全系统安全要求和安全等级1范围本标准规定了与IEC62443-1-1中所描述的7个基本要求(FR)相关的详细的技术类控制系统要求(SR),包括定义了控制系统安全能力等级(SL-C)要求。
当为特定资产开发适用的控制系统目标SL,即SL-T(控制系统)时,对于待评估系统(SuC),工业自动化和控制系统(IACS)的各方可以将这些要求和明确的安全区域及管道一同采用。
根据IEC62443-1-1定义,7个基本要求(FR)如下:
a)标识和鉴别控制(IAC);b)使用控制(UC);c)系统完整性(SI);d)数据保密性(DC);e)受限的数据流(RDF);f)对事件的及时响应(TRE);g)资源可用性(RA)。
这7项要求是控制系统能力SL(SL-C)的基础。
本标准的目标及目的在于确定控制系统级的安全能力等级。
目标SL(SL-T)或如何实现SL(SL-A),不在本标准规定的范围。
全面实现控制系统的SL目标,还需参见IEC62443-2-1规定的一系列非技术性、程序相关的SR能力要求。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
IEC62443-1-1:
2009工业通信网络网络和系统安全第1-1部分:
术语、概念和模型(IndustrialcommunicationnetworksNetworkandsystemsecurityPart1-1:
Terminology,conceptsandmodels)IEC62443-2-1工业通信网络网络和系统安全第2-1部分:
建立工业自动化和控制系统安全程序(IndustrialcommunicationnetworksNetworkandsystemsecurityPart2-1:
Establishinganindustrialautomationandcontrolsystemsercurityprogram)3术语、定义、缩略语和约定3.1术语和定义IEC62443-1-1和IEC62443-2-1界定的以及下列术语和定义适用于本文件。
注:
下列术语和定义多数是基于国际标准化组织(ISO)、国际电工委员会(IEC)或美国标准技术研究院(NIST)的标准,为适用于控制系统信息安全要求,有时会做少量修正以增强实用性。
1GB/T356732017/IEC62443-3-3:
20133.1.1资产asset对IACS具有潜在或实际价值的物理对象或逻辑对象。
注:
本标准中,资产可以是IACS信息安全管理系统中任何受保护的对象。
3.1.2资产所有者assetowner拥有一个或多个IACS的个人或者公司。
注1:
术语“资产所有者”用于代替通用术语“终端用户”而使用,并以示区别。
注2:
这个定义包括组成IACS的组件。
注3:
在本标准中,资产所有者也包括IACS的运营者。
3.1.3攻击attack来自智能威胁对系统发起的袭击。
注1:
例如,企图躲避系统安全服务和违反系统安全策略的故意行为。
注2:
一般公认的攻击类别有:
主动发起的攻击行为:
企图改变系统资源或者影响系统运行;被动攻击行为:
企图学习或者利用系统信息,但是不影响系统资源;内部攻击:
在安全边界内部的一个实体发起的攻击,例如,一个被授权可以访问系统资源的实体未按所授权的方式使用系统资源;外部攻击:
指在安全边界外部由系统未授权或者不合法的使用者发起的攻击(包括内部人员从安全边界外部发起的攻击),潜在的外部攻击者包括恶作剧者、有组织的罪犯、国际恐怖分子和敌对政府。
3.1.4鉴别authentication身份所声明特征正确性的保证行为。
注:
在一个控制系统中,鉴别是允许访问系统资源的先决条件。
3.1.5鉴别器authenticator确认使用者(人、软件进程或设备)身份的手段。
注:
例如,口令或者权标可以作为鉴别器使用。
3.1.6真实性authenticity实体与其所声明属性符合的特性。
注:
真实性一词通常用于说明一个实体身份的可信度,或传输、报文或报文发生器的正确性。
3.1.7自动automatic在特定条件下,过程或者设备自行运行,无人工干预。
3.1.8可用性availability确保及时和可靠访问或使用控制系统信息和功能的属性。
3.1.9通信信道communicationchannel资产之间特定的逻辑或者物理通信链路。
注:
信道帮助建立连接。
2GB/T356732017/IEC62443-3-3:
20133.1.10补偿对抗措施compensatingcountermeasure用于替代或增加固有安全能力,以满足一个或者多个安全要求而采取的措施。
注:
例如,(组件级):
使用加锁的机柜,对没有充分的网络访问控制措施的控制器进行防护;(控制系统/区域级):
物理出入口控制(门卫、门闸、枪)用来保护一个控制室,只允许对某一已知人员群体的访问,以此来补偿IACS对人员鉴别的技术要求;(组件级):
设备供应商提供的可编程逻辑控制器(PLC)不具备满足终端用户进行访问控制的能力要求,因此,设备供应商在PLC前端设置一个防火墙,并将其作为一个整体进行售卖。
3.1.11合规性管理机构complianceauthority具有对政府文件中明确规定的安全评估、实施和有效性进行充分性判定的法定管理机构。
3.1.12管道conduit连接两个及以上区域、满足共同安全要求的通信信道的逻辑分组。
注:
管道允许穿过某个区域,只要该区域不影响管道内的信道安全。
3.1.13保密性confidentiality对信息访问和信息公开保留授权限制,包括保护个人隐私和所有者信息的手段。
注:
对于IACS来说,这个术语主要指保护的IACS数据和信息不受非授权访问。
3.1.14连接connection两个或多个端点之间建立起来的联系,用来支持一个会话的建立。
3.1.15后果consequence事件发生后,逻辑地或自然地产生的状况或状态。
3.1.16控制系统controlsystemIACS的硬件和软件组件。
3.1.17对抗措施countermeasure用来降低威胁、脆弱性或者攻击而采取的行动、装置、过程或者技术措施,主要通过采取消除或者阻止措施或者最大程度降低危害程度或者通过发现、报告攻击,并采取的纠正行动。
注:
术语“控制”也用来描述相似的概念。
但在本标准文本中,使用“对抗措施”一词,以避免与“过程控制”中“控制”一词相混淆。
3.1.18降级模式degradedmode在控制系统设计中,预期的故障出现时所采取的操作模式。
注:
在降级模式下,尽管一个或多个系统元件缺失,控制系统仍能继续提供基本的功能。
例如,控制设备出现故障或者运行中断,通信中断或者发现可疑的子系统故障而刻意采取的系统隔离。
3.1.19非军事区域demilitarizedzone通用的服务器受限网络,连接两个或者多个区域,用于控制区域之间的数据流。
注:
非军事区域主要用于避免不同区域之间的直接连接。
3GB/T356732017/IEC62443-3-3:
20133.1.20设备device集成一个或多个处理器的资产,具有数据收发和控制或者受控于另一资产的功能。
注:
典型设备类型有:
控制器、人-机界面(HMI)、PLC、远程终端单元(RTU)、变送器、执行器、阀门、网络交换机等。
3.1.21环境environment可能影响IACS行为和/或被IACS影响的周围对象、区域或者事件。
3.1.22基本功能essentialfunction为维持健康、安全、环境和受控设备的可用性所要求的功能或能力。
注:
基本功能包括但不限于,安全仪表功能,控制功能,操作员观察和操作受控设备的控制职责和能力。
基本功能的失去通常被定义为失去保护、失去控制或失去观察。
在一些工业领域,附加的功能可以被看作是重要功能,比如历史记录。
3.1.23事件event特定情况的发生或者改变。
注:
在IACS中,事件可能是授权或者未授权的个人行为、正常的或者异常的控制系统变化或者来源于正常的或异常的控制系统本身的自动响应。
3.1.24应急响应firecall紧急情况时接入安全控制系统的方法。
注:
在紧急情况下,非特权使用者能够获得授权访问关键系统来纠正问题。
在应急响应的情况下,通常会设置一个检查的过程,确保授权恰当使用来纠正问题。
这些方法通常包括提供一次性使用者标识符(ID)或者一次性使用的口令。
3.1.25标识符identifier用于识别、指示或者命名一个实体所声称的身份符号,在安全域具有唯一性。
3.1.26标识identify身份的声明。
3.1.27影响impact某个特定事件的评估结果。
3.1.28事故incident一个系统或服务发生非预期操作事件,造成或可能造成系统所提供的服务质量的中断或降低。
3.1.29工业自动化和控制系统industrialautomationandcontrolsystem包括人员、硬件、软件和工业过程操作的策略,其中策略可能影响工业过程的安全、信息安全和可靠性操作。
3.1.30完整性integrity保护资产的准确性和完备性的属性。
4GB/T356732017/IEC62443-3-3:
20133.1.31最小权限leastprivilege维持使用者(人员、软件进程或设备)在其职责和作用之内被授予最小权限的基本原则。
注:
最小权限通常通过IACS中的一组角色来实现。
3.1.32移动代码mobilecode通过网络或者可移动媒介与远程的、可能“不可信的”系统之间传递的程序,不经显式安装、在本地系统未加改变的执行,或者被接收者执行。
注:
移动代码典型例子包括JavaScript、VBScript、Java小型应用程序、ActiveX控件、Flash动画、Shockwavemovies和微软office宏命令。
3.1.33抗抵赖non-repudiation证明一个声明的事件或行为的发生和其来源实体的能力。
注:
抗抵赖的目的是为了解决关于事件是否发生、事件中的行为、接介入事件的实体等纠纷。
3.1.34产品供应商productsupplier硬件和/或软件产品的制造者。
注:
这个术语用来代替通用词语“供应商”使用,以示区别。
3.1.35远程访问remoteaccess从区域边界外部,任何使用者(人员、软件进程或设备)对控制系统的寻址访问。
3.1.36角色role在IACS中,与所有使用者(人员、软件进程或设备)相关的行为、权限和职责的集合。
注:
执行特定操作的权限被授予特定的角色。
3.1.37安全仪表系统safetyinstrumentedsystem用于执行一个或者多个安全相关功能的系统。
3.1.38信息安全等级securitylevelIACS不受脆弱性影响并按预期方式工作的置信度。
注:
脆弱性可能在IACS生命周期的任何时间因为设计因素而引
升级会员 