ICS 25.040 N 10
GB
中华人民共和国国家标准
GB/T35673—2017/IEC62443-3-3:2013
工业通信网络 网络和系统安全
系统安全要求和安全等级
Industrial communication networksNetwork and system security-
System security requirements and security levels
(IEC62443-3-3:2013,Industrialcommunicationnetworks NetworkandsystemsecurityPart3-3:Systemsecurity
requirements and security levels,IDT)
2018-07-01实施
2017-12-29发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
发布 GB/T 35673—2017/IEC 62443-3-3:2013
前言
本标准按照GB/T1.1一2009给出的规则起草。 本标准使用翻译法等同采用IEC62443-3-3：2013《工业通信网络 网络和系统安全 第3-3部分：
系统安全要求和安全等级》及其修正案corrigendum1
与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下：
GB/T33007一2016工业通信网络网络和系统安全建立工业自动化和控制系统安全程序(IEC62443-2-1:2010,IDT)
为了使用方便，本标准做了下列编辑性修改：
标准名称修改为“工业通信网络网络和系统安全系统安全要求和安全等级”；一纳人了技术勘误1的内容，这些技术勘误涉及的条款已通过在其外侧页边空白位置的垂直双
线（Ⅱ）进行了标示；对5.7.1中错误的序列号进行了修正，
本标准由中国机械工业联合会提出本标准由全国工业过程测量控制和自动化标准化技术委员会（SAC/TC124）归口。 本标准起草单位：北京匡恩网络科技有限责任公司、机械工业仪器仪表综合技术经济研究所、中国
核电工程有限公司、北京和利时系统工程有限公司、西南电力设计院有限公司、东土科技股份有限公司、 全球能源互联网研究院、北京市自来水集团有限责任公司、浙江大学、华中科技大学、西南大学、重庆邮电大学、中国软件测评中心、西门子（中国)有限公司、施耐德电气（中国）有限公司、罗克韦尔自动化（中国)有限公司、中国科学院沈阳自动化研究所、北京启明星辰信息安全技术有限公司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、华北电力设计院工程有限公司、深圳万讯自控股份有限公司、中国电子科技集团公司第三十研究所、上海自动化仪表研究院、工业和信息化部电子第五研究所、横河电机（中国)有限公司北京研发中心。
本标准主要起草人：王春霞、张大江、王玉敏、梅恪、梁猛、芦宁、徐岩、王亦君、王、罗安、张晋宾、 薛百华、梁潇、冯冬芹、刘枫、周纯杰、李锐、陈小宗、华熔、张晨艳、朱镜灵、刘安正、马欣欣、周峰、魏曼、 刘杰、成继勋、赵军凯、兰昆、王英、张东旗、董黎芳、刘广庆、宋秀娟、杨泓彬、徐近升、刘畅、尚文利、潘东波、 刘志祥、钱大涛。
I GB/T 35673—2017/IEC 62443-3-3:2013
引言
0.1概述
注：本标准是涉及工业自动化和控制系统（IACS)信息安全系列标准的一部分。是由ISA99委员会第四工作组的
第2任务组与IECTC65/WG10一起合作制定的。本标准描述了在IEC62443-1-1中定义的与控制系统信息安全要求相关的七个基本要求，并对待评估系统（SuC)分配了系统安全等级。
工业自动化和控制系统（IACS)的组织越来越多地使用商用网络设备成品，因为价格低廉、性能高效和高度自动化。出于商业目的，控制系统也越来越多地与非1ACS网络相互连接。这些设备采用开放的网络技术和持续增加的网络连接，为针对控制系统硬件和软件的网络攻击提供了机会。这个弱点可能导致所部署的系统产生健康、安全和环境（HSE）、财务或声誉问题
部署商用信息网络安全解决方案来应对IACS安全的组织，可能无法完全理解采用这一措施的后果。尽管许多商业IT应用和安全解决方案可应用于IACS，但是它们需要以合适的方式来应用，以避免因疏忽造成的后果。因此，需要结合功能要求和风险评估，通常也包括对运营问题的意识，来定义系统要求。
IACS安全措施不宜具有引起基本服务和功能（包括应急程序）丢失的隐患。（经常部署的IT安全措施，确实有这种潜在弱点。)IACS安全目标集中在控制系统的可用性、工厂保护、工厂运行（即使在降级模式）和时间关键（time-critical)的系统响应。IT安全目标往往对这些因素有不同程度的重视；他们可能更关心的是保护信息，而非有形资产。无论工厂集成的实现程度如何，这些不同的目标需要明确地表述为安全目标。根据IEC62443-2-1要求，风险评估中的关键一步是识别出哪些服务和功能对运行是必不可少的。（例如，在一些设施中，工程支持可能被判定为非基本的服务或功能。）在某些情况下，安全性的动作引起非基本的服务或功能的暂时丧失是可以接受的，但是基本服务或功能不宜受到不利影响。
本标准假定系统已经按照IEC62443-2-1规定建立并运行了安全程序。进一步假定通过利用本标准描述的适当的控制系统要求及增强要求，实现了符合IEC/TR62443-2-3[5]所建议的补丁管理。此外，IEC62443-3-2C8I描述了怎样对项目定义基于风险的安全等级（SL），并用于选择符合本标准中详述的适当技术安全能力的产品。本标准的主要参考标准包括ISO/IEC27002-13.和NISTSP800-53第3 版[24)（见第2章和参考文献）。
IEC62443系列标准的主要目的是提供一种灵活的框架，以应对IACS当前和未来的脆弱性，并采用系统化的防御方式，实施必要的缓解方法。IEC62443系列标准的自的是扩展企业安全性，使之适应业务IT系统的要求，并与IACS独特的高可用性需求相结合。 0.2目的和本标准的使用者
本标准在IACS领域的使用者包括资产所有者、系统集成商、产品供应商、服务供应商、合规性管理机构。合规性管理机构包括具有法定权力、根据法律法规进行合规性审计的政府机构和监管部门。
系统集成商、产品供应商和服务提供商将使用本标准来评价其产品和服务是否能够提供满足资产所有者目标安全等级（SL-T)要求的安全能力。对于SL-T的分配，单个控制系统的要求（SR)和增强要求(RE)的适用性将基于资产所有者的安全策略、规程和基于具体场所的风险评估。值得注意的是，某些SR存在允许例外的特定条件，例如当满足SR将违反控制系统的基本操作要求时（这可能需要增加补偿对抗措施）。 I GB/T35673—2017/IEC62443-3-3:2013
当设计控制系统为满足特定SL-T相关的一系列SR时，不必要求该控制系统的每个组件都满足本标准强制级别的每项系统要求。补偿对抗措施可以用来提供其他子系统所需的功能，在控制系统级，全部的SL-T要求都得到满足。在设计阶段宜考虑包括补偿措施，并附有详尽的文档，这样所达到的控制系统SL、SL-A（控制系统），充分体现了安全能力的设计预期。同样，为满足整个控制系统的SL，在认证测试和/或安装后的审计时，可以应用补偿措施并做文件记录，
本标准未提供设计和建立集成安全架构的详细内容。这需要额外的系统级分析和IEC62443系列的其他标准（见0)衍生的要求。需要注意的是，本标准的目标不是提供详细的规范来建立一个安全架构。本标准的目标是定义一个通用的最低限度要求，逐步达到更严格的信息安全等级。符合这些要求的架构实际设计是系统集成商和产品供应商的工作。在此工作中，他们可以自由选择，从而支持竞争和创新。因此，本标准仅严格地明确功能要求，并不涉及这些功能要求应如何满足。 0.3本标准在IEC62443系列标准的应用
图1给出了本标准撰写时IEC62443系列标准的构成 IEC62443-3-2使用SR和RE作为一个检查清单。在待评估系统（SuC)使用区域和管道术语进行
描述，以及相应的目标SL分配给这些区域和管道之后，本标准定义的SR和RE，以及它们与安全能等级SL(SL-C)的映射关系，汇集成控制系统设计需要满足的要求列表。一个给定的控制系统设计就可以SL-A为条件，进行完整性检查
IEC 62443-1-1(Ed. 2) 术语、概念和模型
TEC/TR 62443-1-2 术语和缩略语
IEC/TS 62443-1-3 系统安全合规度量
IEC/TR 62443-1-4 IACS安全生命周期和用例
通用
策略和
IEC/TR 62443-2-2 IACS安全管理系统安装指南
IEC 62443-2-4 IACS产品的安装和维护要求
TEC 62443-2-1 (Ed. 2) IACS安全管理系统要求
TEC/TR 62443-2-3
TACS环境补丁管理
R
IEC 62443-3-3 系统安全要求和安全等级
IEC/TR 62443-3-1 IACS安全技术
IEC 62443-3-2 区域和管道的安全等级
系统
TEC 62443-4-2 IACS组件的技术安全要求
TEC 62443-4-1 产品研发要求
组
K
图1IEC62443系列标准的结构
IEC/TS62443-1-3L2J将基本要求（FR），SR,RE和SL-C的映射作为检查表来测试量化指标规范的完整性。量化的安全符合性指标基于特定的上下文。结合IEC62443-3-2，资产所有者的SL-T的任务要求转换成量化指标，用来支持系统的分析和设计权衡研究，以及开发安全体系结构。
IEC62443-4-1C91提出产品开发过程中的总体要求。例如，IEC62443-4-1的规定内容都是围绕产品
II GB/T 35673—2017/IEC 62443-3-3:2013
供应商。产品安全性的要求都源于本标准中规定的基线要求列表和RE。开发这些产品的功能时，将使用IEC62443-4-1质量规范
IEC62443-4-2[101包含一系列派生要求，提供了详细的本标准SR到子系统和SuC组件的映射。在本标准撰写的时候，IEC62443-4-2涉及的组件类别分别为：嵌人式设备、主机设备、网络设备和应用程序。同样，IEC62443-4-2主要以供应商（产品供应商和服务供应商）为中心。产品安全性的要求，首先来自本标准中规定的基本要求和RE列表。IEC62443-3-2和IEC/TS62443-1-3的安全要求和度量被用来完善这些规范性派生需求。
IV GB/T 35673—2017/IEC 62443-3-3:2013
工业通信网络网络和系统安全
系统安全要求和安全等级
1范围
本标准规定了与IEC62443-1-1中所描述的7个基本要求（FR)相关的详细的技术类控制系统要求
（SR），包括定义了控制系统安全能力等级（SL-C)要求。当为特定资产开发适用的控制系统目标SL，即 SL-T（控制系统)时，对于待评估系统（SuC)，工业自动化和控制系统（IACS)的各方可以将这些要求和明确的安全区域及管道一同采用。
根据IEC62443-1-1定义，7个基本要求（FR)如下： a） 标识和鉴别控制（IAC)； b) 使用控制(UC)； c) 系统完整性（SI)； d) 数据保密性(DC)； e) 受限的数据流（RDF）； f) 对事件的及时响应（TRE)； g） 资源可用性（RA）。 这7项要求是控制系统能力SL(SL-C)的基础。本标准的目标及目的在于确定控制系统级的安全
能力等级。目标SL（SL-T)或如何实现SL（SL-A），不在本标准规定的范围，
全面实现控制系统的SL目标，还需参见IEC62443-2-1规定的一系列非技术性、程序相关的SR能力要求。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文
件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件
IEC 62443-1-1:2009 9工业通信网络网络和系统安全第1-1部分：术语、概念和模型 (Industrial communication networksNetwork and system securityPart 1-l:Terminology,concepts and models)
IEC62443-2-1工业通信网络网络和系统安全第2-1部分：建立工业自动化和控制系统安全程序（Industrial communication networks—Network and system security—Part2-1:Establishing an industrial automation and control system sercurity program)
3术语、定义、缩略语和约定
3.1术语和定义
IEC62443-1-1和IEC62443-2-1界定的以及下列术语和定义适用于本文件。 注：下列术语和定义多数是基于国际标准化组织（ISO）、国际电工委员会（IEC)或美国标准技术研究院（NIST)的标
准，为适用于控制系统信息安全要求，有时会做少量修正以增强实用性
1 GB/T35673—2017/IEC62443-3-3:2013
3.1.1
资产asset 对IACS具有潜在或实际价值的物理对象或逻辑对象注：本标准中，资产可以是IACS信息安全管理系统中任何受保护的对象。
3.1.2
资产所有者 assetowner 拥有一个或多个IACS的个人或者公司。 注1：术语“资产所有者”用于代替通用术语“终端用户”而使用，并以示区别注2：这个定义包括组成IACS的组件。 注3：在本标准中，资产所有者也包括IACS的运营者
3.1.3
攻击 attack 来自智能威胁对系统发起的击注1：例如，企图躲避系统安全服务和违反系统安全策略的故意行为。 注2：一般公认的攻击类别有：
·主动发起的攻击行为：企图改变系统资源或者影响系统运行； ·被动攻击行为：企图学习或者利用系统信息，但是不影响系统资源； · 内部攻击：在安全边界内部的一个实体发起的攻击，例如，一个被授权可以访问系统资源的实体未按所授
权的方式使用系统资源；外部攻击：指在安全边界外部由系统未授权或者不合法的使用者发起的攻击（包括内部人员从安全边界外部发起的攻击），潜在的外部攻击者包括恶作剧者、有组织的罪犯、国际恐怖分子和敌对政府。
3.1.4
鉴别 authentication 身份所声明特征正确性的保证行为注：在一个控制系统中，鉴别是允许访问系统资源的先决条件。
3.1.5
鉴别器 authenticator 确认使用者（人、软件进程或设备）身份的手段。 注：例如，口令或者权标可以作为鉴别器使用。
3.1.6
真实性 authenticity 实体与其所声明属性符合的特性注：真实性一词通常用于说明一个实体身份的可信度，或传输、报文或报文发生器的正确性。
3.1.7
自动 automatic 在特定条件下，过程或者设备自行运行，无人工干预。
3.1.8
可用性 availability 确保及时和可靠访问或使用控制系统信息和功能的属性。
3.1.9
通信信道 communication channel 资产之间特定的逻辑或者物理通信链路。 注：信道帮助建立连接， 2