ICS 25.040 N 10 备案号：45860—2014
JB
中华人民共和国机械行业标准
JB/T11960—2014/IEC/PAS62443-3:2008
工业过程测量和控制安全
网络和系统安全
Security for industrial process measurement and control
Network and system security
(IEC/PAS62443-3:2008，IDT)
2014-10-01实施
2014-05-06发布
中华人民共和国工业和信息化部发布 JB/T11960—2014/IEC/PAS62443-3:2008
目 次
前言引言 1范围 2规范性引用文件 3术语、定义、符号、缩略语和惯例，
ⅡI I
3.1术语和定义， 3.2符号和缩略语
4 介绍和符合性 5原则和参考模型
...
5.1 综述... 5.2 威胁-风险模型. 5.3安全生命周期. 5.4策略. 5.5 通用参考配置 5.6保护模型.. 6工业控制系统（ICS）安全策略概述 7ICS信息安全策略 规则及假设 7.1ICS信息安全策略 规则.. 7.2ICS信息安全策略 假设和例外. 7.3ICS信息安全策略 组织和管理、 8ICS信息安全策略 措施 8.1可用性管理 8.2 完整性管理.. 8.3 逻辑访问管理. 8.4 物理访问管理 8.5 分区管理. 8.6 外部访问管理附录A（资料性附录）IEC62443新版本参考文献.
10 11 13 15 19 20 ,20 .21 23 .26 .26 27 29 .30 31 32 35 37
O
图1 威胁和风险的关系，图2 安全生命周期模型图3 策略等级图4 工业控制系统图5 通用工业控制系统主机的参考结构：通用工业控制系统主机及外部设备图6 设备保护：加固和访问管理，图7 区域划分的纵深防御.. 图8 工业控制系统（ICS）分区的例子图9 通用的外部连接.
11
..12 14 .15 .15 ...17 17 18
I JB/T11960—2014/IEC/PAS62443-3:2008
前言
本标准按照GB/T1.1一2009给出的规则起草。 本标准使用翻译法等同采用IEC/PAS62443-3：2008《工业过程和控制安全网络和系统信息安全》。 为了使用方便，本标准做了下列编辑性修改：
删除了原文中的前言；一将介绍部分的内容作为本标准的引言：一如果不做说明，文中的“安全”都是指“信息安全”。 本标准由中国机械工业联合会提出。 本标准由全国工业过程测量和控制标准化技术委员会（SAC/TC124）归口。 本标准起草单位：机械工业仪器仪表综合技术经济研究所、中国电子技术标准化研究所、北京和利
时系统工程有限公司、西门子（中国）有限公司、施耐德电气（中国）有限公司、中国核电工程有限公司、北京钢铁设计研究总院、罗克韦尔自动化（中国）有限公司、中国电力科学研究院、清华大学、浙江大学、西南大学、重庆邮电大学、华中科技大学、北京奥斯汀科技有限公司、上海自动化仪表股份有限公司、东土科技股份有限公司、三菱电机自动化（中国）有限公司、中国仪器仪表学会、中国科学院沈阳自动化研究所、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、无线网络安全技术国家工程实验室、西安西电捷通无线网络通信股份有限公司、北京力控华康科技有限公司、北京海泰方圆科技有限公司、横河电机（中国）有限公司北京研发中心、中标软件有限公司。
本标准主要起草人：王玉敏、唐一鸿、罗安、隋爱芬、陈小宗、吕冬宝、夏德海、华铬、王玉裴王雪、冯冬芹、刘枫、王浩、周纯杰、陈小枫、张建军、薛百华、龚明、张莉、曾鹏、刘安正、田雨聪、 李琴、胡亚楠、方亮、胡伯良、杨磊、何佳、丁露、王春喜、惠敦炎、唐文、王勇、杜佳琳、王亦君、 陈日罡、张涛、高昆仑、刘利民、丁青芝、刘文龙。
本标准为首次发布。
II JB/T11960—2014/IEC/PAS62443-3:2008
引言
原来隔离的自动化系统与公网互联的日益增长使得这些系统易受攻击。标准IT安全机制的保护目标和战略并不适用自动化系统。本标准介绍的主题是安全访问工业系统和在系统内确保工厂运行中最为关键的实时响应。
对于功能安全应用和制药应用或其他等高度专业化的工业，可能应用额外的标准、指南、定义和条款，例如IEC61508、GAMP（ISPE）、GMP遵从21CFR（FDA）和欧洲药物管理局的标准操作程序 (SOP/INSP/2003)。 JB/T11960-—2014/IEC/PAS62443-3:2008
工业过程测量和控制安全
网络和系统安全
1范围
本标准建立了在工厂生命周期中的运行阶段来保障工业过程测量和控制系统的信息和通信技术方面的框架，包括其网络以及这些网络中的设备。
本标准提供了工厂运行的安全要求指南，主要是用于自动化系统所有者/操作者（负责ICS运行）。 此外，本标准的运行要求可能会引起ICS相关方的兴趣，例如： a）自动化系统设计者； b）设备、子系统和系统的制造商（供应商）； c）子系统和系统的集成商。 本标准考虑到以下几点：适当的移植或改进现有系统；
使用现有的COTS技术和产品来满足安全目标；保证安全通信服务的可靠性/可用性；
一对于各种规模和风险系统的适用性（可扩展性）：
兼顾功能安全、法律法规及符合信息安全要求的自动化功能要求。 注1：工厂和系统可包括功能安全关键的部件和设备。任何功能安全相关的信息安全部件可基于GB/T20438并根据
其SIL来进行认证。对于这些功能安全关键的部件和设备的信息安全，本标准不保证其规范全部或者部分适用或足够。
注2：本标准并不包括安全保障的评估和测试的相关要求。 注3：本标准提供的措施是以过程为基础，在本质上是综述性的，而非技术特定或者规定性的技术对抗措施和配置。 注4：本标准的规程是以工厂拥有者/操作者的思路进行编写的。 注5：本标准不涵盖概念、设计和实施运转周期过程，如对控制设备制造商的以后产品开发周期的要求。 注6：本标准不涵盖对构件和子系统的系统集成。 注7：本标准不涵盖对现有系统集成的采购，如工厂拥有者/操作者的采购要求。 注8：本标准将被拆分成三个部分，以覆盖上述注释中所表述的大部分限制内容；扩展内容的计划范围请参阅附
录A。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T18336（所有部分）信息技术安全技术信息技术安全性评估准则［ISO/IEC15408（所有部分），IDTJ
GB/T220812008 3信息技术安全技术信息安全管理实用规则 （ISO/IEC27002：2005，IDT） GB/T23694—2009风险管理术语（ISO/IECGuide73：2002，IDT）
I JB/T11960—2014/IEC/PAS62443-3:2008
3术语、定义、符号、缩略语和惯例
3.1术语和定义
下列术语和定义适用于本文件。 3.1.1
访问控制accesscontrol 防止非授权使用受限资源，个 包括非授权方式使用。 [ISO/IEC18208-2：2006，修改]
3.1.2
对抗者adversary 攻击或威胁系统的实体。 [RFC 2828]
3.1.3
警报alert 即时显示因为事故、失效或者人为错误，导致一个信息系统和网络可能受到攻击，或处于危险。 [GB/T25068.1-2012]
3.1.4
资产asset 对组织有价值的任何事物。 [ISO/IEC13335-1:2004]
3.1.5
保证 assurance 适当活动或进程的性能，以增强交付物达到其安全目标的信心。 [ISO/IEC/TR15443-1]
3.1.6
攻击 attack 试图损坏、暴露、改变或禁用信息系统和（或）内部信息，反之满足安全策略。 [ISO/IEC18043]
3.1.7
攻击面 jattacksurface 直接或间接暴露于潜在攻击的系统资源。
3.1.8
审计audit 为实现符合性和一致性，正式地质询、正式地检查或验证事实是否符合预期。 [GB/T25068.1—2012]
3.1.9
鉴别authenticate，authentication 保证实体所声明的身份的规定。 [ISO/IEC19792]
3.1.10
可用性availability 基于授权实体需求的可获得和可使用的属性。 [ISO/IEC7498-2]
2 JB/T11960—2014/IEC/PAS62443-3:2008
3.1.11
商用现货 commercialoff-theshelf（COTS) 为多种用途和（或）顾客而生产并商业化分布的物品，可为特殊用途而设计。 注：COTS与因特殊应用而完全并唯一设计的定制产品不同。
3.1.12
泄密 compromise 分别地非授权使用、公开、修改、替换数据、程序或系统配置，例如以入侵的方式和入侵以后。
3.1.13
保密性confidentiality 对非授权的个人、实体或过程不可用或不开放的信息。 [ISO/IEC 13335-3]
3.1.14
证书 credentials 证明其身份是声明的身份，该抽象实体可以是访问信息服务或资源的IT账户。 [ISO/IEC24760]
3.1.15
非军事化区 demilitarizedzone (DMZ) 在网络间插入的作为“中立区”的安全主机或小型网络（或称为屏蔽的子网）。 [GB/T25068.3] 注：由此形成安全缓冲区（GB/T25068.3）。
3.1.16
拒绝服务（攻击） denial of service(attack) 攻击系统以阻止其可用性。 ［GB/T 25068.4]
3.1.17
事件 event 在系统内发生的与系统安全有关的事件。 ［RFC2828，修改］
3.1.18
曝光 exposed，exposure 脆弱的并暴露于攻击下的明显状态。
3.1.19
外部的 external ICN安全区的外部或外边界，例如连接到外部组织或公共网络。
3.1.20
外部连接网关 externalconnectivitygateway(ECG) ICN安全区外边界上的专用安全网关（SGW），通过附加功能来满足特定要求，例如与外部设备的
连接性。 3.1.21
外部网络 externalnetwork(EN) ICN外部的网络和ICN所属组织的任一部分，它们为第三方或公共组织，例如互联网。
3.1.22
辩论forensic 在事件发生后，以正式的可验证方式进行解释，并以连续的和逻辑的方式归属责任。
3 JB/T11960—2014/IEC/PAS62443-3:2008
3.1.23
网关，安全网关gateway，securitygateway（SGW）网络之间的连接点，或网络与子网络和外部网络之间的连接点，其目的是根据特定的安全规则保护
网络或子网络。
［GB/T25068.3，修改］注：一个安全网关包含多个防火墙；网关包括路由器和交换机，使其具有访间控制和可选加密功能（GB/T25068.3)。
3.1.24
加固harden，hardening 减少不必要的功能，来降低物理、逻辑和（或）组织的脆弱性。
3.1.25
人机接口human-machine-interface（HMI）向操作者显示输出信息或接收操作者的输入信息的设备功能，这样操作者就成为过程的一部分。
3.1.26
事故incident 安全事件或者由多个安全事件组成的安全事故。
3.1.27
工业控制网络industrialcontrolnetwork（ICN）连接ICS设备的网络，一个工厂可能同时存在不同的ICN，它们可能与远程设备和工厂外部资源相
连接。 3.1.28
工业控制系统industrialcontrolsystem（ICS）由计算和工业控制主机、装置和设备组成的系统，将它们集成在一起来控制工业生产、传输或分配
过程。
注：在本标准中，ICS代表自动化系统，具有监督、控制和数据采集（SCADA）功能。 3.1.29
内部的insider，inside，internal 安全边界内的（实体）；它是授权访问系统资源的实体。 注：内部攻击指非授权使用系统资源。
3.1.30
完整性integrity 保护信息和处理方法的准确性和完备性。 [GB/T 20261] 注：完整性可适用于数据（数据的完整性）或运行中的ICS的完整性（系统完整性）。
3.1.31
内联网intranet 计算机网络，特别是基于公共网络技术的计算机网络。组织将它作为自已的内部网络，通常是私有
的，不对外开放。 3.1.32
入侵intrusion 未授权实体（如攻击者）获得或者试图获得访问受限系统资源的事故。 [RFC2828，修改］
3.1.33
入侵检测intrusiondetection 为了找到并实时或近似实时提醒非授权方式对系统资源的访问，监视并分析系统事件的安全服务。
4