ICS 25. 040 N 10
中华人民共和国国家标准
GB/T 33009.3—2016
工业自动化和控制系统网络安全
集散控制系统（DCS）第3部分：评估指南
Industrial automation and control system security-
Distributed control system(DCS) --
Part 3 : Assessment guidelines
2017-05-01实施
2016-10-13 发布
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会 发布 GB/T 33009.3—2016
前創言
GB/T33009《工业自动化和控制系统网络安全集散控制系统（DCS)》和GB/T 33008《工业自动化和控制系统网络安全可编程序控制器(PLC)》等共同构成工业自动化和控制系统网络安全系列标准。
GB/T 33009《工业自动化和控制系统网络安全集散控制系统(DCS)》分为4个部分：
第1部分：防护要求；第2部分：管理要求; 第3部分：评估指南；第4部分：风险与脆弱性检测要求。
本部分为GB/T33009的第3部分。 本部分按照GB/T1.1一2009给出的规则起草。 本部分由中国机械工业联合会提出。 本部分由全国工业过程测量、控制和自动化标准化技术委员会（SAC/TC124）和全国信息安全标
准化技术委员会（SAC/TC 260)归口。
本部分起草单位：浙江中控研究院有限公司、浙江大学、机械工业仪器仪表综合技术经济研究所、重庆邮电大学、中国科学院沈阳自动化研究所、西南大学、福建工程学院、杭州科技职业技术学院、北京启明星辰信息安全技术有限公司、中国电子技术标准化研究院、国网智能电网研究院、中国核电工程有限公司、上海自动化仪表股份有限公司、东土科技股份有限公司、清华大学、西门子（中国）有限公司、施耐德电气（中国)有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克韦尔自动化（中国)有限公司、中国仪器仪表学会、工业和信息化部电子第五研究所、北京海泰方圆科技有限公司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、北京力控华康科技有限公司、 北京和利时系统工程有限公司、中国石油天然气管道有限公司、北京匡恩网络科技有限责任公司、西南电力设计院、广东航宇卫星科技有限公司、华北电力设计院工程有限公司、华为技术有限公司、中国电子科技集团公司第三十研究所、深圳万讯自控股份有限公司、横河电机（中国）有限公司北京研发中心。
本部分主要起草人：施一明、冯冬芹、梅恪、王玉敏、王平、王浩、高梦州、徐珊珊、徐冬、刘枫、 许剑新、陈平、杨悦梅、陈建飞、还约辉、黄家辉、贾驰千、梁耀、刘大龙、陆耿虹、刘文龙、王芳、孟雅辉、 范科峰、梁潇、王彦君、张建军、薛百华、许斌、陈小、华、高昆仑、王雪、周纯杰、张莉、刘杰、朱毅明、 王斐、孙静、胡伯良、刘安正、田雨聪、方亮、马欣欣、王勇、杜佳琳、陈日罡、李锐、刘利民、孔勇、黄敏、 朱镜灵、张智、张建勋、兰昆、张晋宾、成继勋、尚文利、钟诚、梁猛、陈小枫、卜志军、丁露、李琳、杨应良、 杨磊。
ⅢI GB/T 33009.3—2016
工业自动化和控制系统网络安全
集散控制系统（DCS）第3部分：评估指南
1范围
GB/T33009的本部分规定了集散控制系统的安全风险评估等级划分、评估的对象及实施流程，以及安全措施有效性测试。
本部分适用于电力、石油、化工、水利、冶金、建材等各领域针对DCS系统的进行的安全风险评估活动，也适用于指导DCS用户改善和提高生产系统中 DCS安全能力的系统维护活动。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。
GB/T20984一2007　信息安全技术　信息安全风险评估规范 GB/T30976.12014工业控制系统信息安全　第1部分：评估规范
3术语、定义、缩略语
3.1术语和定义
GB/T 20984--2007和GB/T 30976.1一2014界定的以及下列术语和定义适用于本文件。 为了便
于使用，以下重复列出了GB/T20984一2007和GB/T30976.1—2014中的一些术语和定义。 3.1.1
验收 acceptance 风险评估活动中用于结束项目实施的一种方法，主要由被评估方组织机构，对评估活动进行逐项检
验，以是否达到评估目标为接受标准。
[GB/T 30976.1—2014,定义 3.1.4] 3.1.2
访问控制 access control 保护系统资源防止未授权的访问；系统资源使用的过程是根据安全策略规定的，并且根据该策略只
允许被授权的实体（用户、程序、过程或者其他系统）。
［IEC 62443-1-1,定义3.2.2] 3.1.3
可用性availability 数据或资源能被授权实体按要求访问和使用的特性。 [GB/T 20984—2007,定义 3.3] GB/T 33009.32016
3.1.4
鉴别 authentication 验证实体所声称的身份的动作。
3.1.5
边界border 物理或者逻辑安全区域的边或者边界。 ［IEC 62443-1-1,定义 3.2.16]
3.1.6
信道　channel 在通信管道内建立的特定的通信链接。 [IEC 62443-1-1,定义 3.2.19]
3.1.7
保密性confidentiality 数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的
程度。
[GB/T 20984--2007,定义 3.5|
3.1.8
控制系统网络安全 control system security 以保护控制系统的可用性、完整性、保密性为目标，另外也包括实时性、可靠性与稳定性。
3.1.9
服务拒绝　denial of service 阻止或者中断系统资源的授权访问或者挂起系统的操作的功能。 注：在工业自动化和控制系统的情况下，服务拒绝是指过程功能的损失，而不仅仅是数据通信的损失。 [IEC 62443-1-1,定义 3.2.42]
3.1.10
识别identify 对某一评估要素进行标识与辨别的过程。 [GB/T 30976.1—2014,定义 3.1.2]
3.1.11
网络安全风险 security risk 人为或自然的威胁利用系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的
影响。
［GB/T 20984—2007,定义 3.6] 3.1.12
完整性 integrity 保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。 ［GB/T 20984-2007,定义 3.10]
3.1.13
制造执行系统 manufacturing execution system 生产规划和跟踪系统，用于分析和报告资源可用性和状态、规划和更新订单、收集详细的执行数据，
2 GB/T 33009.3--2016
例如材料使用、人力使用、操作参数、订单和装置状态及其他关键信息。
注1：此系统访问材料清单、工艺路线和其他来自于基础企业资源规划系统的数据，典型用于实时车间作业报告和
监视将活动数据反馈给基础系统的过程。 注2：更多的信息参见IEC62264-1。
3.1.14
组织 organization 由作用不同的个体为实施共同的业务目标而建立的机构。一个单位是一个组织，某个业务部门也
可以是一个组织。
［GB/T 20984—2007,定义 3.11] 3.1.15
残余风险residual risk 采取了安全措施后，信息系统仍然可能存在的风险。 [GB/T 20984—2007,定义3.12]
3.1.16
风险接受risk acceptance 接受风险的决定。 [GB/T 30976.1-—2014,定义 3.1.7]
3.1.17
风险分析risk analysis 系统地使用信息来识别风险来源和估计风险。 LGB/T 30976.1-2014,定义 3.1.8
3.1.18
风险评估 risk assessment 系统地辨识重要系统资源的潜在脆弱性和威胁，基于发生的概率量化损失风险和后果，并（可选地）
建议如何对各对抗措施分配资源以使总风险最小的过程。
注1：资源类型包括物理资源，逻辑资源和人力资源注2：风险评估常与脆弱性评估相结合，以辨识脆弱性并量化相关风险。周期地执行这些内容是为了反映组织机
构的风险裕度、脆弱性、规程、人员和技术上的变化。
3.1.19
风险管理risk management 基于风险评估来辨识和采用与所保护的资产价值相称的对抗措施的过程。
3.1.20
安全事件　security incident 系统、服务或网络的一种可识别状态的发生，它可能是对安全策略的违反或防护措施的失效，或未
预知的不安全状况。
[GB/T20984—2007,定义3.14] 3.1.21
网络安全措施security measure 为保护资产、抵御威胁、减少脆弱性、降低安全事件的影响而实施的各种实践、规程和机制。
3 GB/T 33009.3-2016
3.1.22
威胁threat 可能导致对系统或组织危害的不希望事故潜在起因。 ［[GB/T 20984—2007,定义 3.17]
3.1.23
脆弱性vulnerability 系统设计、实现或操作和管理中存在的缺陷或弱点，可被利用来危害系统的完整性或安保策略。 ［GB/T 30976.1-2014,定义3.1.1]
3.2缩略语
下列缩略语适用于本文件。 CL:能力等级(Capability Level) DCS:集散控制系统(Distributed Control System) DoS:服务拒绝(Denial of Service) IACS:工业自动化和控制系统[Industrial Automation and Control System(s)] MES:制造执行系统(Manufacturing Execution System) ML:管理等级(Management Level) SL:安全等级(Security Level)
4DCS安全风险评估概述
4.1DCS 系统概述 4.1.1通用DCS系统应用的网络结构
通常DCS系统应用是一种纵向分层的网络结构，自上到下依次为过程监控层、现场控制层和现场设备层。各层之间由通信网络连接，层内各装置之间由本级的通信网络进行通信联系，其典型网络结构如图1所示。本部分主要对DCS系统中的过程监控层、现场控制层网络和现场设备层网络的安全要求进行了要求。各层的说明如下：
过程监控层：以操作监视为主要任务，兼有部分管理功能。这一级是面向操作员和控制系统工程师的，因而这一级配备有技术手段齐备，功能强的计算机系统及各类外部装置，特别是显示器和键盘，以及需要较大存储容量的硬盘或软盘支持，另外还需要功能强的软件支持，确保工程师和操作员对系统进行组态、监视和操作，对生产过程实行高级控制策略、故障诊断、质量评估。
一一现场控制层：现场控制层的主要功能包括：采集过程数据，进行数据转换与处理；对生产过程进
行监测和控制，输出控制信号，实现模拟量和开关量的控制；对I/O卡件进行诊断；与过程监控层等进行数据通信。 现场设备层：现场设备层的主要功能包括：采集控制信号、执行控制命令，依照控制信号进行设备动作。
4 GB/T33009.3—2016
财务管理系统
人力资源管理系统
资产管理系统
对外服务系统
企业资源层
工艺
设备维护工作站
先进控制工作站
工程师站
Internet
打印机
生产管理层
连接 历史数据站
工程师站
主人机界面
控制服务器（穴余控制服务器）
设备
直
过程监控层
操作员站 工程师站 连接
操作员站 工程师站
梁作员站
上程站
设备
控制器
控制器
控制器
现场控制层
现场设备层
面喜
O 一 砂家香
福
现场仪表图1 典型DCS系统应用的网络结构示意图
现场仪表
现场仪表
注：将监控层以下的现场控制层网络进行细分，其中现场控制层网络主要包括DCS控制器和控制器通信模块、I/O
模块等，现场设备层网络包括现场智能仪表、执行机构、传感器等现场设备和仪表。
4.1.2DCS运行安全总体要求 4.1.2.1 实时性要求
DCS应具备实时响应能力，不允许存在不可接受的延迟和抖动。 4.1.2.2可用性要求
DCS具有高可用性需求，一般不允许重启系统，所以部署前需要详尽的测试，在生产过程中的中断操作需要提前计划。 4.1.2.3安全性要求
DCS具有安全性要求。DCS一般部署在重要的生产领域，系统不允许出现安全事故。 4.1.2.4完整性要求
DCS具有完整性要求，不允许未授权用户或者恶意程序对信息和数据的修改。
5