ICS25.040 N10 备案号：45862—2014
JB
中华人民共和国机械行业标准
JB/T11962—2014/IEC/PAS62443-3-1:2009
工业通信网络 网络和系统安全工业自动化和控制系统信息安全技术
IndustrialcommunicationnetworksNetworkand systemsecurity Security technologies for industrial automation and control systems
(IEC/PAS62443-3-1:2009，IDT)
2014-10-01实施
2014-05-06发布
中华人民共和国工业和信息化部发布 JB/T11962—2014/IEC/PAS62443-3-1:2009
目 次
前言引言... 1 范围 2 规范性引用文件 3术语、定义和缩略语， 3.1术语和定义， 3.2缩略语.. 4 概述 5
III IV
鉴别与授权技术， 5.1 概述.. 5.2 基于角色的授权工具 5.3 口令鉴别. 5.4 质询/响应鉴别... 5.5 物理/令牌鉴别， 5.6 智能卡鉴别， 5.7 生物鉴别... 5.8 基于位置的鉴别 5.9 口令分配和管理技术 5.10 设备到设备鉴别， 6 过滤/阻塞/访问控制技术. 6.1 概述 6.2 网络防火墙 6.3 基于主机的防火墙 6.4 虚拟网络加密技术和数据确认，
10 10 11 12 15 16
....17
19 20 21 23 .24 24 25 27 29 31 ...31 .31 34 36 39 39 39 .41 43 46
7
7.1 概述.. 7.2 对称（密）钥加密 7.3 公钥加密和密钥分配。 7.4 虚拟专用网（VPN）管理、审计、测量、监视和检测工具 8.1 概述.. 8.2 日志审计工具 8.3 病毒和恶意代码检测系统 8.4 入侵检测系统（IDS） 8.5 脆弱性扫描.. 8.6 取证和分析工具（FAT） 8.7 主机配置管理工具（HCM） 8.8 自动化软件管理工具（ASM）
8
48 .50 52
I JB/T11962—2014/IEC/PAS62443-3-1:2009
9工业自动化和控制系统计算机软件 9.1 概述.. 9.2 服务器和工作站操作系统 9.3 实时和嵌入操作系统， 9.4 网络技术.. 10 物理安全控制. 10.1 概述. 10.2 物理保护
54 54 54 .56 57 .58 .58 ..59 .61 ...65
.
10.3 人员安全附录A（资料性附录）商品名称声明参考文献
.68
图1 防火墙区域隔离. 图2安全网关到安全网关VPN. 图3主机到安全网关VPN.. 图4主机到主机网关VPN.
.25 37 .37 37
II JB/T11962—2014/IEC/PAS62443-3-1:2009
前言
本标准按照GB/T1.12009给出的规则起草。 本标准使用翻译法等同采用IEC/PAS62443-3-1：2009《工业通信网络网络和系统安全工业自动
化和控制系统信息安全技术》。
为了使用方便，本标准做了下列编辑性修改：
删除了原文中的前言：将介绍部分的内容作为本标准的引言：
一对于本标准中不影响技术内容理解的与我国情况不相符的描述性内容直接删除；
如果不做说明，文中的“安全”都是指“信息安全”。 本标准由中国机械工业联合会提出。 本标准由全国工业过程测量和控制标准化技术委员会（SAC/TC124）归口。 本标准起草单位：机械工业仪器仪表综合技术经济研究所、中国电子技术标准化研究所、北京和利
时系统工程有限公司、西门子（中国）有限公司、施耐德电气（中国）有限公司、中国核电工程有限公司、北京钢铁设计研究总院、罗克韦尔自动化（中国）有限公司、中国电力科学研究院、清华大学、浙江大学、西南大学、重庆邮电大学、华中科技大学、北京奥斯汀科技有限公司、上海自动化仪表股份有限公司、东土科技股份有限公司、三菱电机自动化（中国）有限公司、中国仪器仪表学会、中国科学院沈阳自动化研究所、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、无线网络安全技术国家工程实验室、西安西电捷通无线网络通信股份有限公司、北京力控华康科技有限公司、北京海泰方圆科技有限公司、横河电机（中国）有限公司北京研发中心、中标软件有限公司。
本标准主要起草人：王玉敏、唐一鸿、罗安、隋爱芬、陈小浣、吕冬宝、夏德海、华、王玉装、 王雪、冯冬芹、刘枫、王浩、周纯杰、陈小枫、张建军、薛百华、龚明、张莉、曾鹏、刘安正、田雨聪、 李琴、胡亚楠、方亮、胡伯良、杨磊、何佳、丁露、王春喜、惠敦炎、唐文、王勇、杜佳琳、王亦君、 陈日罡、张涛、高昆仑、刘利民、丁青芝、刘文龙。
本标准为首次发布。
III JB/T11962——2014/IEC/PAS62443-3-1:2009
引言
保护工业自动化和控制系统（IACS）的计算机环境免受恶意代码入侵的需求在过去十年里越来越受到关注。IACS环境中越来越多地使用开放的系统、平台和协议，以及对外联合投资活动的提高、外部合作伙伴和外部资源的联合，都会带来更多的威胁和更高级的计算机攻击。随着这些威胁和脆弱性的增加，工业通信网络上遭受计算机攻击的风险也会相应地提高，因而对计算机和基于网络信息共享和分析中心也需要加以保护。此外，智能设备和嵌入式系统的发展，计算机、网络设备和软件互连的增加，增强的外部连接及网络入侵事故的快速增长，更多的智能攻击者和恶意的极易访问的软件，所有这些都增加了风险。
很多的电子安全技术和计算机入侵防范措施可能都适用于IACS环境。本标准列举了几类计算机信息安全技术和防范措施及在每类中都讨论了特定的应用类型、每一类型所带来的脆弱性、部署的建议，以及它们的强度和弱点。此外，也提供了使用各类安全技术的指南和针对以上所提及风险所要采取的防范技术。
本标准不涉及单个计算机安全技术或与其他技术相关的降低风险的方法，但是提供了使用这些技术和方法的建议和指南，以及开发地理相关需要考虑的信息或与IACS环境相关的企业级信息安全策略、 程序和过程。
该标准工作组将周期性更新技术要求以反映新的信息、计算机安全技术、应对措施和计算机风险降低方法。同时告诚读者在使用该标准中的推荐指南时，不需要读者确保其工业自动化或控制系统环境达到最佳的计算机安全。但是，本标准有助于标识和指出脆弱性，减少未预期的计算机入侵，这样以防止泄露信息，甚基至造成人员和环境的伤害，同时会导致工业网络、控制系统及其监视和管理的工业和设施的关键资产遭受破坏或失效。
本标准提供了对当前许多类型的电子计算机安全技术、转移方法和工具的评价和评估，这些应用于对IACS环境的保护以防不利的计算机入侵和攻击。本标准中介绍了各类技术、方法和工具，对提供了这些内容的开发、实施、运行、维护、施工和其他服务。该标准也提供了适用于生产商、供货商和终端用户的信息安全实践者、设施和工厂的指南，以便在技术选择上和应对措施上用于保护自动化的IACS （及其相关的工业网络）免受电子（计算机）攻击。
本标准中给出的指南并不能确保IACS已经达到最佳的计算机信息安全。但是，这些指南有助于识别和指出脆弱性，并且能够减少未预期入侵的风险以防保密信息的泄露或者造成控制系统和其自动控制的关键资产的损坏或失效。更关注的是，当自动化控制系统或其相关工业网络发生计算机泄密时，这些指南的使用能够帮助减少对任何人员或环境损害的风险
本标准中计算机安全指南是通用的，并且宜适用于任一控制系统或网络，就像已经应用于特定工业自动化或控制系统的那些知识一样。指南标识的那些活动和行动对那些典型的计算机安全控制系统是非常重要的，但是那些应用并不总是与系统功能的有效运行或维护相兼容。指南包括了针对特定控制系统的适用的信息安全的建议和推荐。然而，选择和部署那些特定用于给定控制系统及其相关的工业基础工业控制的信息安全活动和实践是系统拥有者的责任。
目的是随着控制系统脆弱性经验的获得和特定计算机信息安全实施的成熟，新的基于控制的计算机信息安全技术的使用，本标准将逐渐成熟和不断地修改。如果这样，在本标准的通用格式保持相对稳定时，有望解决其应用和解决方案的实施。
IV JB/T11962—2014/IEC/PAS62443-3-1:2009
工业通信网络网络和系统安全工业自动化和控制系统信息安全技术
1范围
本标准提供了对不同网络信息安全工具、缓解对抗措施和技术的评估，它们可有效地用在基于现代电子的IACS中，以调整和监视数量众多的工业关键基础设施。它描述了若干不同种类的控制系统网络信息安全技术、这些种类中可用的产品类别、在自动化IACS环境中使用这些产品的正面和反面理由相对于预期的威胁和已知的网络脆弱性，更重要的是，对于使用这些网络信息安全技术产品和/或对抗措施的初步建议和指南。
在本标准中所用到的IACS网络信息安全的概念是，最大可能地在所有工业关键基础设施中包含所有类型的部件、工厂、设施和系统。IACS包括，但不限于：
硬件（如历史数据服务器）和软件系统（如操作平台、配置、应用），例如分布式控制系统（DCS）、 可编程序控制器（PLC）、监测控制和数据采集（SCADA）系统、网络化电子传感系统，以及监视、诊断和评估系统。包含在此硬件和软件范围的是必要的工业网络，以及任何相连的或相关的信息技术（IT）设备和对成功运行整个控制系统关键的链路。就这点而言，此范围也包括，但不限于防火墙、服务器、路由器、交换机、网关、现场总线系统、入侵检测系统、智能电子/ 终端设备、远程终端单元（RTU），以及有线和无线远程调制解调器。 用于连续的、批处理的、分散的或组合过程的相关内部的人员、网络或机器接口，用来提供控
?
·
制、数据记录、诊断、（功能）安全、监视、维护、质量保证、法规符合性、审计和其他类型的操作功能。
类似地，网络信息安全技术和对抗措施的概念也是广泛用于本标准，并包括但不限于如下技术：
鉴别和授权；过滤、阻塞和访问控制；
.
·加密；
数据确认；
·
·审计； ·措施；
监视和检测工具；
.
操作系统。
·
此外，非网络信息安全技术，即物理信息安全控制，对于网络信息安全的某些方面来说也是一个基本要求，并在本标准中进行了讨论。
本标准的目的是分类和定义网络信息安全技术、对抗措施和目前可用的工具，为后续技术报告和标准提供一个通用基础。本标准中的每项技术从以下几方面进行讨论：
：此技术、工具和/或对抗措施针对的信息安全脆弱性； ·典型部署；已知问题和弱点； ·在IACS环境中使用的评估 ·未来方向； ·建议和指南； ·信息源和参考材料。
*
1 JB/T11962-2014/IEC/PAS62443-3-1:2009
本标准旨在记录适用于IACS环境的信息安全技术、工具和对抗措施的已知技术发展水平，明确定义目前可采用哪种技术，并定义了需要进一步研究的领域。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
IEC62443-2-1：2010工业通信网络网络和系统安全第2-1部分：建立工业自动化和控制系统信息安全程序（IndustrialcommunicationnetworksNetworkandsystemsecurity—Part2-1:Establishingan industrial automation and control system security program)
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准 3.1.1
访问授权 access authority 负责监视和授予其他被授权实体访尚IACS及其关联网络权限的实体
3.1.2
访问控制 access control a）保护系统资源以防止未授权的访 b）系统资源使用的过程是根据安全策略规定的并且根据该策略只允许被授权的实体（用户、程
过程或者其他系统理
序
3.1.3
问责制accountability 系统属性（包括其系统的所有资源），以确保一） 一个系统实体的行动可追溯到该唯一 一的实体，并且该
实体可为它的行为负责[3]。 3.1.4
应用层协议 applicationlayerprotocol 特指实现诸如电子邮件和文件传输等网络应用的第7层协议[2] 注：很多现代工业控制系统包含现场总线网络，这些现场总线网络通常不包括完整的七层，但会包括应用层。
3.1.5
非对称密钥算法 asymmetrickeyalgorithm 公共密钥密码算法。 注：所谓非对称性，指用于编码传输数字数据的密钥与在接收端用于解码数据的代码完全不同。相对应地，对称加
密算法使用相同的密钥来加密和解密数据。因为避免了在发送器和接收器之间传输有可能被侦听的密钥，非对称性在逻辑上更安全。值得注意的是，对于IT网络，用于保护机密数据的密码方法要比控制网络更关键。对于 IACS，在对给定IACS进行访问控制的验证和授权阶段，保密性最为关键。密码通常会增加IACS网络所不期望的延时，而这样的延时对于开环和闭环系统来说是不希望有的，因为这些系统必须以一个与资产的工艺动态相称的速率接收、操作和发送控制数据。所以，相比于保密性，可用性和完整性通常是IACS计算机安全的更高目标[3]。
3.1.6
鉴别 authentication
2 JB/T11962—2014/IEC/PAS62443-3-1:2009
旨在建立传输、信息或发起方有效性的安全方法，核实接收特定信息的个人授权的方法的有效性[4]。 3.1.7
授权authorization 授予系统实体访问系统资源的权力或权限[3]。
3.1.8
可用性availability 在其可靠性、可维护性和信息安全联合影响下，资产能够在指定的时期或者在给定的时间点完成其
所需功能的可能性。
[JB/T 1196120143.2.15]
3.1.9
带宽bandwidth 在给定的时间内传递数据的信道的容量。 注1：从信道容量的角度来说，带宽通常用字节/秒来表示。 注2：相比于传统用于运载更高层网络数据的IT网络，控制和SCADA数据通常具有更小的，但是一致的位长度。
然而，向现场总线系统的迁移需要有更高的带宽，因为现场总线系统本质上要求有更少的接线，并且在无主站或PLC的情况下实现控制算法。
3.1.10
证书certificate 见3.1.43。
3.1.11
证书认证机构 certificationauthority 公共密钥基础设施（PKI）中负责颁发证书及强制遵守某个PKI策略的实体。
3.1.12
密文ciphertext 通过加密后传输的数据，这样其语义信息内容（它的含义）不再是可理解的或者直接能用的。
3.1.13
明文cleartext 见3.1.39。
3.1.14
客户端client 接收或请求来自服务器端的服务或信息的设备或应用[1]。
3.1.15
保密性confidentiality 保证信息不被泄露给未授权的个人、过程或者设备[4]。
3.1.16
密钥 cryptographickey 通过加密算法影响变换的输入参数。 注：通常简写为“密销”。
3.1.17
网络攻击cyberattack 成功利用IACS组件与/或连接到工业网络的IT网络组件中软件、硬件或固件的脆弱性。
3.1.18
数据链路层协议data-linklayerprotocol
3