ICS 25.040 N 10
中华人民共和国国家标准
GB/T 26333—2010
工业控制网络安全风险评估规范
Evaluation specification for security in industrial control network
2011-06-01实施
2011-01-14 发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
发布 GB/T 26333--2010
目 次
前言引言 范围
II IV
1
2　规范性引用文件 3 术语和定义
符号和缩略语 5 风险评估要点 6 特性 7 确定评估目的 8 评估设计和规划 9 制定评估计划- 10　评定技术 11评估的实施 12 编写评估报告附录A（规范性附录） 工业控制网络安全网关的安全风险评估附录B（规范性附录） 工业控制网络现场设备层安全风险评估
4.
人
8
11 11 12 12 13 15 GB/T 26333—2010
前言
本标准按照GB/T1.1—2009给出的规则起草。 本标准中的一些内容可能涉及某些专利，本标准对任何这样的专利权均不负有鉴别责任。 本标准由中国机械工业联合会提出。 本标准由全国工业过程测量和控制标准化技术委员会归口。 本标准起草单位：重庆邮电大学、浙江大学、浙江中控技术股份有限公司、机械工业仪器仪表综合技
术经济研究所、中国科学院沈阳自动化研究所、大连理工大学、上海工业自动化仪表研究所、上海自动化仪表股份有限公司、中国四联仪器仪表集团有限公司、西南大学、天津天仪集团仪表有限公司、北京华控技术有限公司。
本标准起草人：王浩、王平、金建祥、冯冬芹、欧阳劲松、梅恪、徐冬、仲崇权、缪学勤、包伟华、刘进、 张庆军、秘明睿、刘杰、刘枫、杨彬、周勇。 GB/T 26333-2010
引 言
随着各种通信技术在工业控制网络中的广泛应用，在实现更多功能的同时，工业控制网络的安全问题日益凸显。
本评估标准是一种针对工业控制网络的安全风险评估方法。通过对工业控制网络的安全风险评估可以发现网络的安全隐患，通过采用相应的安全措施弥补安全漏洞，从而增强工业控制网络的安全。
本标准规定了工业控制网络安全风险评估的一般方法和准则，描述了工业控制网络安全风险评估的一般步骤，侧重于评估对象的分析和评估计划的设计。
IV GB/T 26333—-2010
GB/T210522007信息安全技术信息系统物理安全技术要求 GB/T22081一2008　信息技术安全技术　信息安全管理实用规则 GB/T22239—2008信息安全技术信息系统安全等级保护基本要求 ISO/IEC TR 13335 Guidelines for the Management of IT Security(IT 安全管理指南) ISO/IEC TR 13335. 1 Information technology-Guidelines for the management of IT Security-
Part 1 :Concepts and models of IT Security
ISO/IEC 15408 Evaluation Criteria for IT Security(IT 安全评估准则) ISO/IEC 17799:2000 Information technology-Part l: Code of practice for information security
management
ISO/IEC17799：2005　信息技术　安全技术信息安全管理实践规范
3术语和定义
下列术语和定义适用于本文件。
3. 1
安全　safety 不存在不可接受的风险。
3.2
安全状态 safe state 不存在不可接受风险的状态。
3.3
资产asset 对组织具有价值的信息资源，是工业安全策略保护的对象（参见ISO/IEC13335-1:2004）。
3.4
信息安全 information Security 保护信息的机密性、完整性和可用性及其他属性，如防抵赖性、可靠性等（参见ISO/IEC 17799：
2005). 3.5
工业控制网络安全风险评估 security risk assessment in industrial control network 依据有关信息安全技术与管理标准，考虑工业控制网络的特殊性，对工业控制网络及由其处理、传
输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合资产价值来判断安全事件一旦发生对工业企业造成的影响。 3.6
机密性 confidentiality 使控制信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。
3.7
完整性 integrality 保证控制信息及控制系统不会被有意地或无意地更改或破坏的特性。
3.8
可用性availability 数据或资源的特性，被授权实体按要求能访问和使用数据或资源（参见ISO/IEC13335-1：2004）。 2 GB/T 26333—2010
3.9
安全事件security event 指系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失
效，或未预知的不安全状况。 3. 10
安全需求 security requirement 为保证组织业务战略的正常运作而在安全措施方面提出的要求。
3.11
安全措施 E security measure 保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规
程和机制的总称。 3. 12
证书 certificate 用于证明关威胁、漏洞针对于特定网络的相对安全性。
3. 13
威胁 threat 可能对资产或组织造成损害的潜在原因。威胁可以通过威胁主体、资源、动机、途径等多种属性来
刻画。 3.14
工业以太网 ethernet for plant automation EPA 我国第一个拥有自主知识产权的现场总线国家标准。同时，该标准被列人现场总线国际标准
IEC61158(第四版)中的第十四类型，并列为与IEC61158相配套的实时以太网应用行规国际标准 IEC 61784-2中的第十四应用行规簇(Common Profile Family14,CPF14）。
4符号和缩略语
ICS PLC 可编程逻辑控制器(Programmable lagic Controller) SCADA 监控和数据采集(Supervisory Control and Data Acquisition) DCS 分布式控制系统(Distributed Control System) RTOS 实时操作系统(Real-time operating system)
工业控制系统(Industrial Control Systems)
风险评估要点
5
工业控制网络安全风险评估的目的是定性和(或)定量地确定其完成某一特定使命的能力。 评估一个工业控制网络就是根据各种数据判断其是否适用于某一特定的使命或者某一类使命。 要想获取全部数据，就需要在各种影响条件下，评定与工业控制网络的特定使命或一类使命相关的
各种网络性能,但实施难度极大。因此,工业控制网络评估的基本原理是：
确定与完成网络使命有关的网络的临界状态；通过研究评定各种特性的成本效益制定评定有关工业控制网络特性的计划。
工业控制网络安全风险评估的关键是必须考虑以允许的经费和时间，尽可能地提高工业控制网络适用性的置信度。
3 GB/T 26333--2010
5.1评估范围
对工业控制网络的安全风险评估必须是一个整体考虑、充分规划、持续运作的过程，从系统结构方
面，评估范围包括了工业控制网络的各个逻辑层（现场设备层、过程监控层、企业管理层）；从评估要素方面，评估范围包括技术、管理、运行等各层面；从系统生命周期方面，工业控制网络的安全评估过程必须贯穿于整个网络设计、开发、建设和维护的各个阶段。
工业控制网络中比较有代表性的 EPA网络，结构-般如图 1所示（参照GB/T 20171一2006 中
6.3.1的定义）。
边界路由器
管理工作站
管理工作站
防火墙与防病毒网关
企业管理层L3
内部路由器
工程师站
操作站
EPA安全代理
过程监控层 L2
现场设备层L1
EPA安全网关
EPA安全网关
EPA安全网关
无线EPA接入设备
EPA现场设备
EPA现场设备
EPA现场设备
EPA有线微网段 EPA有线微网段 A
EPA现场设备
EPA现场设备
EPA现场设备
线微
无线EPA现 [无线EPA现场设备
场设备
EPA现场设备
EPA现场设备
图1EPA网络结构
在定义评估范围时，要对控制系统边界和机构责任进行分析，可以通过一组进程、通信、存储、资源等来确定
在控制系统的边界范围内的每个要素必须满足：
处于相同的直接管理控制下；具有相同的功能或使命目标；有本质上相同的运行特性和安全需求；位于相同的通用运行环境中。
5.2评估对象
工业控制网络的安全风险评估，是为了保护控制系统的硬件、软件及相关数据，使之不因为偶然或
者恶意侵犯而遭受破坏、更改及泄露，保证控制网络系统能够连续、正常、可靠的运行。因此，工业控制网络的安全风险评估对象，包括了网络中的各种关键信息资产、应用系统、实物资产、设施和环境，以及
4