ICS 25. 040 N 10
GP
中华人民共和国国家标准
GB/T 33008.1-2016
工业自动化和控制系统网络安全
可编程序控制器（PLC）第1部分：系统要求
Industrial automation and control system security-
Programmable logic controller(PLC)-Part 1 : System requirements
2017-05-01实施
2016-10-13 发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
发布 GB/T 33008.1—2016
目 次
前言 1范围 2 规范性引用文件 3术语、定义和缩略语· 3.1术语和定义
3.2 缩略语 4PLC 网络安全概述 4.1 总则 4.2 网络安全相关内容概述 4.3 PLC 系统典型结构 4.4 PLC系统网络安全总体要求 5　PLC 系统网络安全技术要求 5.1网络安全技术要求说明 5.2　对第2层和第1层的总体要求 5.3对第 2 层的要求 5.4对第1层的要求 6PLC 系统网络安全管理要求 6.1　总体要求· 6.2PLC系统设计、开发过程网络安全管理补充要求附录A（规范性附录）系统要求和增强要求与安全等级的映射附录B（规范性附录） 网络安全管理评估列表参考文献
17
19 19 19
20 24 31 GB/T 33008.1—2016
前言
GB/T33009《工业自动化和控制系统网络安全集散控制系统（DCS）》和GB/T33008《工业自动化和控制系统网络安全可编程序控制器（PLC)》等共同构成工业自动化和控制系统网络安全系列标准。
GB/T33008《工业自动化和控制系统网络安全可编程序控制器（PLC）》计划发布如下部分：第1部分:系统要求；一第2部分:系统评测实施指南；
..
本部分为GB/T33008的第1部分。 本部分按照GB/T 1.1—2009给出的规则起草。 本部分由中国机械工业联合会提出。 本部分由全国工业过程测量控制和自动化标准化技术委员会（SAC/TC124)和全国信息安全标准
化技术委员会（SAC/TC260)归口。
本部分起草单位：北京和利时系统工程有限公司、机械工业仪器仪表综合技术经济研究所、中国电子技术标准化研究院、国网智能电网研究院、中国核电工程有限公司、上海自动化仪表股份有限公司、清华大学、西门子（中国)有限公司、施耐德电气（中国)有限公司、北京钢铁设计研究总院、华中科技大学、 北京奥斯汀科技有限公司、罗克韦尔自动化（中国)有限公司、中国仪器仪表学会、工业和信息化部电子第五研究所、东土科技股份有限公司、北京海泰方圆科技有限公司、青岛多芬诺信息安全技术有限公司、 北京国电智深控制技术有限公司、北京力控华康科技有限公司、重庆邮电大学、中国科学院沈阳自动化研究所、西南大学、中国石油天然气管道有限公司、北京匡恩网络科技有限责任公司、西南电力设计院、 北京启明星辰信息安全技术有限公司、广东航宇卫星科技有限公司、华北电力设计院工程有限公司、华为技术有限公司、中国电子科技集团公司第三十研究所、深圳万讯自控股份有限公司、横河电机（中国）有限公司北京研发中心。
本部分主要起草人：王、王玉敏、范科峰、梁潇、孙静、冯冬芹、朱毅明、梅恪、王浩、徐冬、刘枫、 王亦君、张建军、薛百华、许斌、陈小宗、华熔、高昆仑、王雪、周纯杰、张莉、刘杰、刘安正、田雨聪、魏钦志、 马欣欣、王勇、杜佳琳、陈日罡、丁露、李锐、刘文龙、孟雅辉、刘利民、胡伯良、孔勇、黄敏、朱镜灵、张智、 张建勋、兰昆、张晋宾、成继勋、尚文利、钟诚、梁猛、陈小枫、卜志军、李琳、杨应良、杨磊。
1 GB/T 33008.1-2016
工业自动化和控制系统网络安全
可编程序控制器（PLC) 第1部分：系统要求
1范围
GB/T33008的本部分规定了可编程序控制器（PLC）系统的网络安全要求，包括PLC直接或间接
与其他系统通信的网络安全要求。
本部分适用于工程设计方、设备生产商、系统集成商、用户以及评估认证机构等。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文
件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。
GB/T30976.1一2014　工业控制系统信息安全　第1部分：评估规范
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。 3.1.1
可编程序(逻辑)控制器 programmable (logic) controller; PLC 一种用于工业环境的数字式操作的电子系统。这种系统用可编程的存储器作面向用户指令的内部
寄存器，完成规定的功能，如逻辑、顺序、定时、计数、运算等，通过数字或模拟的输人/输出，控制各种类型的机械或过程。可编程序控制器及其相关外围设备的设计，使它能够非常方便地集成到工业控制系统中,并能很容易地达到所期望的所有功能。
注：在本部分中使用缩写词PLC代表可编程序控制器（programmable controllers），这在自动化行业中已形成共识。
原来曾用PC作为可编程序控制器的缩略语，它容易与个人计算机所使用的缩略语PC相混淆。 ［GB/T 15969.1—2007,定义 3.5]
3.1.2
可编程序控制器(PLC)系统 programmable controller system or PLC-system 用户根据所要完成的自动化系统要求而建立的由可编程序控制器及其相关外围设备组成的配置。
其组成是一些由连接永久设施的电缆或插人部件，以及由连接便携式或可搬运外围设备的电缆或其他连接方式互连的单元。
[GB/T 15969.1-2007,定义 3.6] 3.1.3
脆弱性 vulnerability 系统设计、实现或操作和管理中存在的缺陷或弱点，可被利用来危害系统的完整性或安全策略 [GB/T 30976.1--2014,定义 3.1.1]
1 GB/T 33008.1-2016
3.1.4
识别 identify 对某一评估要素进行标识与辨别的过程。 ［[GB/T 30976.1-2014,定义 3.1.2]
3.1.5
验收 acceptance 风险评估活动中用于结束项目实施的一种方法，主要由被评估方组织机构，对评估活动进行逐项检
验，以是否达到评估目标为接受标准。
［[GB/T 30976.1-2014,定义 3.1.4] 3.1.6
风险处置 risk treatment 选择并且执行措施来更改风险的过程。 GB/T 30976.1-2014,定义 3.1.5
3.1.7
残余风险 residual risk 经过风险处置后遗留的风险。 [GB/T 30976.1—2014,定义 3.1.6]
3.1.8
风险分析 risk analysis 系统地使用信息来识别风险来源和估计风险。 『GB/T 30976.1--2014,定义 3.1.8
3.1.9
风险评估 risk assessment 风险分析和风险评价的整个过程。 ［GB/T 30976.1-2014,定义 3.1.9］
3.1.10
风险管理 risk management 指导和控制一个组织机构相关风险的协调活动。 ［GB/T 30976.1—2014,定义3.1.10]
3.1.11
（网络）安全 security a） 保护系统所采取的措施； b） 由建立和维护保护系统的措施而产生的系统状态； c) 能够免于非授权访问和非授权或意外的变更、破坏或者损失的系统资源的状态； d） 基于PLC系统的能力，能够提供充分的把握使非授权人员和系统既无法修改软件及其数据也
无法访问系统功能，同时保证授权人员和系统不被阻止； e） 防止对 PLC系统的非法或有害的人侵，,或者干扰其正确和计划的操作。 注1：措施可以是与物理(网络)安全(控制物理访问计算机的资产)或者逻辑(网络)安全(登录给定系统和应用的能
力)相关的控制手段。 注2：改写GB/T30976.1—2014,定义3.1.14。
3.2缩略语
下列缩略语适用于本文件。
2 GB/T 33008.1-2016
PLC:可编程序控制器Programmable（Logic）Controller」 FR:基本要求(Foundational Requirement) SR:系统要求(System Requirement) RE:增强要求(Requirement Enhancement) PKI:公钥基础设施(Public Key Infrastructure) CA:数字证书认证中心(Certificate Authority) CL:能力等级(Capability Level) USB:通用串行总线(Universal Serial Bus) ID：身份标识号码（Identification） API:应用程序编程接口（Application Programming Interface)
4PLC 网络安全概述
4.1总则
本部分只针对PLC系统的网络安全要求，主要描述风险内容及安全要求、安全管理、检测与验收几个环节，为 PLC网络安全提供依据和守则。PLC网络安全与工程设计、管理和环境条件等各种因素相关。PLC系统网络安全应包括在系统生命周期内的设计开发、安装、运行维护、退出使用等各阶段与系统相关的所有活动。应认识到系统面临的风险在整个生命周期内会发生变化，应该通过技术和管理两个方面,把PLC系统网络安全风险降低到最低或可接受的范围内。 4.2网络安全相关内容概述 4.2.1危险源
危险源主要包括非安全设备、系统和网络的接人点。危险源可能来自 PLC系统外部，也可能来自 PLC系统内部。安全威胁通过危险引人点并利用传播途径可能对受体造成伤害。危险引人点归结为以下几类,但不限于：
a）网络通信的连接点：例如：开放的PLC系统网络连接、与PLC系统专网互联的其他网络连接、远程技术支持和访问点、
无线接人点、因特网或物联网连接；
b）移动媒体：例如：USB设备、光盘、移动硬盘等； c）不当操作: 例如：恶意攻击、无意识误操作等； d）第三方设备：例如：受感染的工业控制系统以及其他现场设备。
4.2.2 2传播途径
危险源可能通过传播途径对受体造成伤害。通常，可识别单一的传播途径，但在多数情况下，一个完整的传播途径是由若干单一类型的传播途径组合而成。传播途径一般分为以下几类，但不限于：
a）外部公共网络，如因特网、无线； b）局域网络（环网、点对点、无线通信）； c）移动存储装置。
3 GB/T 33008.1-2016
4.2.3环境条件
PLC系统网络安全应考虑环境条件的制约因素，特别是针对在用工业自化控制系统，应考虑现场测试和引人安全技术措施对正常生产过程的影响。 4.2.4系统能力等级(CL)
系统能力等级如下： a）1 能力等级CL1：提供机制保护控制系统防范偶然的、轻度的攻击。 b） 能力等级CL2：提供机制保护控制系统防范有意的、利用较少资源和一般技术的简单手段可
能达到较小破坏后果的攻击。 c） 能力等级CL3：提供机制保护控制系统防范恶意的、利用中等资源、PLC特殊技术的复杂手段
可能达到较大破坏后果的攻击。 d） 能力等级CL4：提供机制保护控制系统防范恶意的、使用扩展资源、PLC特殊技术的复杂手段
与工具可能达到重大破坏后果的攻击。
4.3PLC 系统典型结构
PLC系统典型结构如图1所示。
第3层运营管理层
运营管理
监督控制
第2层监督控制层
PLC系统
基本控制
第1层现场控制层
安全和保护
过程（现场设备）
第0层现场设备层
图 1 PLC 系统典型结构
第3层运营管理层包括管理生产所要求的最终产品的工作流程的功能。例子包括：生产调度、详细生产计划、可靠性
保证和生产全现场控制优化。
第2层　监督控制层包括监督和控制物理过程的功能。典型功能包括：操作员界面、工程师组态下装、历史数据存储、报警等。 第1层现场控制层包括感知和操作物理过程的功能。典型设备为PLC控制器及输人输出模块、安全和保护系统等。
此层设备从传感器读取数据，必要时执行算法，并维护过程历史记录。安全和保护系统监视过程，并在超出安全限值时将过程自动返回安全状态。
第0层　现场设备层包括直接连接到过程和过程设备的传感器和执行器。
4.4PLC 系统网络安全总体要求 4.4.1概述
工程设计方、设备生产商、系统集成商、用户以及评估认证机构（以下简称“组织”)宜识别、分析、评 GB/T 33008.1-2016
价、管理、监视和评审组织所面临安全风险，建立并维护网络安全管理的要求，建立网络安全管理职责，分配和管理资源，运用过程方法实现PLC系统的正常运行，并采取有效的措施测量、分析和改进，以满足PLC系统网络安全管理的要求。
4.4.2建立 PLC 系统网络安全管理要求 4.4.2.1网络安全管理方针
依据业务要求和相关法律法规提供管理指导并支持网络安全。 网络安全管理要求由管理者组织、制定、批准、发布并传达给所有员工和外部相关方；网络安全方针
文件应说明管理承诺，并提出组织机构的管理网络安全的方法。方针文件建议包括以下声明：
a) 网络安全、整体目标和范围的定义，以及在允许信息共享机制下安全的重要性； b） 管理者意图的声明，以支持符合业务策略和目标的网络安全目标和原则；
设置控制目标和控制措施的框架，包括风险评估和风险管理的结构；
c）
d） 对组织机构特别重要的安全方针策略、原则、标准和符合性要求的简要说明，包括：
●符合法律法规要求; ·安全教育、培训和意识要求； ·业务连续性管理； ·违反网络安全方针的后果
4.4.2.2 识别、分析和评价安全风险
组织应建立、维护PLC系统网络安全风险的识别、分析和评价的方法： a）确定风险评估方法：
·识别适合PLC系统网络安全、已识别的业务网络安全和法律法规要求的风险评估方法； ·制定接受风险的准则，识别可接受的风险级别; ·选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
b） 定期识别风险，包括：
·识别PLC系统网络安全管理范围内的资产及其责任人； ·识别资产所面临的威胁； ·识别可能被威胁利用的脆弱性; ·识别丧失保密性、完整性和可用性可能对资产造成的影响。
c）定期分析和评价风险，应：
在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失效可能造
·
成的对组织的影响; ·根据主要的威胁和脆弱性、对资产的影响以及当前所实施的控制措施，评估安全失效发生
的可能性; ·估计风险的级别； ·确定风险是否可接受，或者是否需要使用接受风险的准则进行处理。
d）识别和评价风险处置的可选措施，可能的措施包括：
●采取适当的控制措施;
在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险；，避免风险； ·将相关业务风险转移到其他方，如：保险，供应商等。
?
5