ICS 25. 040 N 10
C
中华人民共和国国家标准
GB/T 33009.4—2016
工业自动化和控制系统网络安全
集散控制系统（DCS）
第4部分：风险与脆弱性检测要求
Industrial automation and control system security-
Distributed control system (DCS)-
Part 4 : Risk and vulnerability detection requirements
2017-05-01实施
2016-10-13 发布
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会 发布 GB/T 33009.4—2016
目 次
前言 1１范围 2规范性引用文件 3术语、定义、缩略语
I
3.1术语和定义 3.2缩略语 4DCS 风险与脆弱性检测概述
4.1 DCS 系统概述 4.2 DCS 风险与脆弱性检测的目标 4.3 DCS 风险与脆弱性检测基本原则 4.4 DCS 风险与脆弱性检测内容 4.5 DCS 风险与脆弱性检测基本工作单元 4.6 DCS 风险与脆弱性检测的执行 4.7 DCS 风险与脆弱性检测结果的处置 5 DCS 软件安全风险与脆弱性 5.1 服务器和控制站的操作系统 5.2 数据库管理系统 5.3 OPC 类软件 5.4 DCS 监控软件 5.5 DCS 组态软件 5.6 其他软件 6DCS 网络通信安全风险与脆弱性
..
·
..
.
.
营+ ...... ..............
10 10 12 12 13 13 13 14 15 16 17
6.1 商用以太网协议通信机制 6.2 工业网络协议通信机制· 6.3 DCS通信数据安全· 6.4 DCS通信服务 6.5 DCS 状态转换· 参考文献
.·
.. GB/T 33009.4-—2016
前言
GB/T33009《工业自动化和控制系统网络安全集散控制系统（DCS）》和GB/T33008《工业自动
化和控制系统网络安全可编程序控制器（PLC)》等共同构成工业自动化和控制系统网络安全系列标准。
GB/T33009《工业自动化和控制系统网络安全集散控制系统（DCS)》分为4个部分：
第1部分：防护要求； —第2部分：管理要求; 一第3部分：评估指南; 第 4 部分:风险与脆弱性检测要求。 本部分为GB/T33009的第4部分。 本部分按照GB/T1.1一2009给出的规则起草。 本部分由中国机械工业联合会提出。 本部分由全国工业过程测量、控制和自动化标准化技术委员会（SAC/TC124）和全国信息安全标
准化技术委员会（SAC/TC 260)归口。
本部分起草单位：浙江大学、浙江中控研究院有限公司、机械工业仪器仪表综合技术经济研究所、重庆邮电大学、中国科学院沈阳自动化研究所、西南大学、福建工程学院、杭州科技职业技术学院、北京启明星辰信息安全技术有限公司、中国电子技术标准化研究院、国网智能电网研究院、中国核电工程有限公司、上海自动化仪表股份有限公司、东土科技股份有限公司、清华大学、西门子（中国)有限公司、施耐德电气（中国)有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克韦尔自动化（中国)有限公司、中国仪器仪表学会、工业和信息化部电子第五研究所、北京海泰方圆科技有限公司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、北京力控华康科技有限公司、 北京和利时系统工程有限公司、中国石油天然气管道有限公司、北京匡恩网络科技有限责任公司、西南电力设计院、广东航宇卫星科技有限公司、华北电力设计院工程有限公司、华为技术有限公司、中国电子科技集团公司第三十研究所、深圳万讯自控股份有限公司、横河电机（中国)有限公司北京研发中心
本部分主要起草人：冯冬芹、施一明、梅恪、王玉敏、王平、王浩、高梦州、徐珊珊、徐冬、刘枫、 许剑新、陈平、杨悦梅、陈建飞、还约辉、黄家辉、贾驰千、梁耀、刘大龙、陆耿虹、刘文龙、吴彦彪、王芳、 孟雅辉、范科峰、梁潇、王彦君、张建军、薛百华、许斌、陈小琮、华、高昆仑、王雪、周纯杰、张莉、刘杰、 朱毅明、王斐、孙静、胡伯良、刘安正、田雨聪、方亮、马欣欣、王勇、杜佳琳、陈日罡、李锐、刘利民、孔勇、 黄敏、朱镜灵、张智、张建勋、兰昆、张晋宾、成继勋、尚文利、钟诚、梁猛、陈小枫、卜志军、丁露、李琳、 杨应良、杨磊。
I GB/T 33009.4--2016
工业自动化和控制系统网络安全
集散控制系统（DCS）
第4部分：风险与脆弱性检测要求
1范围
GB/T 33009的本部分规定了集散控制系统(DCS)在投运前、后的风险和脆弱性检测，对DCS软件、以太网网络通信协议与工业控制网络协议的风险与脆弱性检测提出具体的要求。
本部分适用于对 DCS 中的下列对象进行脆弱性检测： a）监控软件、组态软件、数据库软件等 DCS 中的应用软件； b）DCS操作员站和控制站等操作系统； c）DCS 中的具有网络协议实现和网络通信能力的功能和组件。 本部分不适用于智能仪表和工业无线的脆弱性检测。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。
GB17859一1999计算机信息系统安全保护等级划分准则 GB/T20271-2006　信息安全技术　信息系统通用安全技术要求 GB/T20984一2007　信息安全技术　信息安全风险评估规范 GB/T28449-2012信息安全技术信息系统安全等级保护测评过程指南 GB/T30976.1-2014　工业控制系统信息安全　第1部分：评估规范 GB/T33009.1-2016工业自动化和控制系统网络安全集散控制系统（DCS) ）第1部分：防护
要求
GB/T33009.2—2016工业自动化和控制系统网络安全集散控制系统（DCS）第2部分：管理要求
3术语、定义、缩略语
3.1术语和定义
GB/T 20984—2007和GB/T 30976.1—2014界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GB/T20984—2007和GB/T30976.1一2014中的些术语和定义。 3.1.1
可用性availability 数据或资源能被授权实体按要求访问和使用的特性。 [GB/T 20984-2007,定义 3.3] GB/T 33009.4-2016
3.1.2
鉴别 authentication 验证实体所声称的身份的动作。
3.1.3
授权用户authorized user 依据安全策略可以执行某项操作的用户。
3.1.4
保密性 :confidentiality 数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的
程度。
[GB/T 20984—2007,定义 3.5] 3.1.5
控制系统网络安全 control system security 以保护控制系统的可用性、完整性、保密性为目标，另外也包括实时性、可靠性与稳定性。
3.1.6
识别identify 对某一评估要素进行标识与辨别的过程。 ［GB/T 30976.1-2014,定义3.1.2]
3.1.7
完整性integrity 保证信息及信息系统不会被非授权更改或破坏的特性，包括数据完整性和系统完整性 [GB/T 20984—2007,定义 3.10]
3.1.8
制造执行系统 manufacturing execution system 生产规划和跟踪系统，用于分析和报告资源可用性和状态、规划和更新订单、收集详细的执行数据，
例如材料使用、人力使用、操作参数、订单和装置状态及其他关键信息。
注1：此系统访问材料清单、工艺路线和其他来自于基础企业资源规划系统的数据，典型用于实时车间作业报告和
监视将活动数据反馈给基础系统的过程。 注2：更多信息参见GB/T20720.1—2006。
3.1.9
组织 organization 由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织，某个业务部门也
可以是一个组织。
［GB/T 20984—2007,定义 3.11] 3.1.10
威胁　threat 可能导致对系统或组织危害的不希望事故潜在起因。 [GB/T 20984—2007,定义 3.17]
3.1.11
脆弱性vulnerability 系统设计、实现或操作和管理中存在的缺陷或弱点，可被利用来危害系统的完整性或安保策略。
2 GB/T 33009.4—2016
[GB/T 30976.1-2014,定义 3.1.1] 3.1.12
嗅探sniffing 使用嗅探器对数据流的数据截获与分组分析。
3.1.13
溢出漏洞 overflow vulnerability 由于程序中的某个或某些输人函数(使用者输人参数)对所接收数据的边界验证不严密造成的缓冲
区溢出。 3.1.14
强度测试stress testing 评价系统或部件在它规定的需求的限定或超出时情况的测试。 [GB/T 11457—2006,定义 2.1599
3.1.15
模糊测试fuzzy testing 通过向应用提供非预期输人并监控输出异常来发现软件中故障的方法。
3.1.16
语法测试syntex testing 根据输人域和(或)输出域的定义设计测试用例。
3.1.17
数据完整性data integrity 数据完整性泛指数据库中数据的正确性和一致性，包括实体完整性、参照完整性和用户定义完
整性。
[GB/T 20273—2006,定义3.1.9] 3.2缩略语
下列缩略语适用于本文件。 DCS:集散控制系统(Distributed Control System) DoS:服务拒绝(Denial of Service) ERP:企业资源计划(Enterprise Resource Planning) HMI:人机界面(Human Machine Interface) MES:制造执行系统(Manufacturing Execution System) OPC:用于过程控制的对象链接与嵌人[Object Linking and Embedding(OLE)for Process Control
4 DCS 风险与脆弱性检测概述
4.1 DCS 系统概述 4.1.1通用DCS 系统应用的网络结构
通常DCS系统应用是一种纵向分层的网络结构，自上到下依次为过程监控层、现场控制层和现场设备层。各层之间由通信网络连接，层内各装置之间由本级的通信网络进行通信联系，其典型网络结构如图1所示。本部分主要对DCS系统中的过程监控层、现场控制层网络和现场设备层网络的安全要求进行了要求。各层的说明如下：
过程监控层：以操作监视为主要任务，兼有部分管理功能。这一级是面向操作员和控制系统工
3 GB/T33009.4—2016
程师的，因而这一级配备有技术手段齐备，功能强的计算机系统及各类外部装置，特别是显示器和键盘，以及需要较大存储容量的硬盘或软盘支持，另外还需要功能强的软件支持，确保工程师和操作员对系统进行组态、监视和操作，对生产过程实行高级控制策略、故障诊断、质量评估。 现场控制层：现场控制层的主要功能包括：采集过程数据，进行数据转换与处理；对生产过程进行监测和控制，输出控制信号，实现模拟量和开关量的控制；对/O卡件进行诊断；与过程监控层等进行数据通信。 现场设备层：现场设备层的主要功能包括：采集控制信号、执行控制命令，依照控制信号进行设备动作。
人力资源管理系统
财务管理系统
资产管理系统
对外服务系统
口
商
企业资源层
设备维护工作站
工艺工程师站
先进控制工作站
Internet
打印机通
生产管理层
连接设备
历史数据站
工程师站
主人机界面
控制服务器（穴余控制服务器）
自
过程监控层
操作员站 工程师站 连接 操作员站 工程师站
操作员站 工程师站
设备
设备
张
控制器
控制器
控制器
现场控制层
一
现场
设备层
子子现场仪表图1典型DCS系统应用的网络结构示意图
高现场仪表
NO
现场仪表
注：将监控层以下的现场控制层网络进行细分，其中现场控制层网络主要包括DCS控制器和控制器通信模块、I/O
模块等，现场设备层网络包括现场智能仪表、执行机构、传感器等现场设备和仪表。
4.1.2DCS运行安全总体要求 4.1.2.1 实时性要求
DCS应具备实时响应能力，不允许存在不可接受的延迟和抖动。 4.1.2.2 可用性要求
DCS具有高可用性需求，一般不允许重启系统，所以部署前需要详尽的测试,在生产过程中的中断
4 GB/T 33009.4--2016
操作需要提前计划。 4.1.2.3安全性要求
DCS具有安全性要求。DCS一般部署在重要的生产领域,系统不允许出现安全事故。 4.1.2.4完整性要求
DCS 具有完整性要求,不允许未授权用户或者恶意程序对信息和数据的修改。 4.1.2.5稳定性要求
DCS具有稳定性要求。DCS一旦工作不稳定,将存在严重的威胁，导致大批的不合格产品流出，而且加剧设备的损耗等。 4.1.2.6高可靠性要求
DCS具有可靠性要求。DCS能够在规定的条件下，长期正常执行其设定的控制功能，,期间不允许发生停车，且具有很好的耐久性和可维修性。 4.2 DCS 风险与脆弱性检测的目标
DCS 风险与脆弱性检测的目的是在 DCS安全风险评估的基础上，通过对DCS 系统的软件和系统
通信安全的风险和脆弱性检测，发现现有DCS中潜在的安全风险和脆弱性。企业通过对潜在风险的处置,进一步提高 DCS系统的安全性。DCS 风险与脆弱性检测是对 DCS 安全风险评估工作的补充和扩展，主要用于对DCS系统安全性要求较高的行业和用户。
4.3DCS 风险与脆弱性检测基本原则
DCS进行风险与脆弱性检测时，应不明显影响原有系统的实时性、可用性、可靠性、安全性 (safety），而且检测应从系统的实时性、可用性、可靠性、安全性（safety)角度出发。对于 DCS软件安全风险与脆弱性的各项测试内容建议在离线或模拟环境下执行;DCS网络通信协议安全风险与脆弱性的检测，为确保其有效性，建议在网络结构完整的 DCS环境下进行，如在相同网络结构的模拟系统或目标 DCS系统检修期间。本部分的建立旨在对 DCS 软件安全和网络通信的风险与脆弱性进行检测，使 DCS满足DCS运行安全总体要求。 4.4DCS 风险与脆弱性检测内容
风险与脆弱性检测是DCS用户发起的，可由发起方实施或委托DCS安全服务组织支持实施。测试内容的选择宜以检测项为单位进行，以免破坏单个测试项的完整性。检测内容包括以下几个方面：
a）DCS软件安全风险与脆弱性
1）服务器和控制站的操作系统（见5.1）。 2） 数据库管理系统（见5.2）。 3） OPC类软件（见5.3）。 4） DCS 监控软件（见 5.4）。 5）1 DCS组态软件（见5.5）。 6）其他软件（见5.6）。
b）DCS网络通信安全风险与脆弱性
1） 商用以太网协议通信机制（见6.1）。 2）工业网络协议通信机制（见6.2）。
5