ICS 25.040 N 10
GB
中华人民共和国国家标准
GB/T40218—2021/IEC/TR62443-3-1:2009
工业通信网络 网络和系统安全工业自动化和控制系统信息安全技术
Industrial communication networks-Network and system security- Security technologies for industrial automation and control system
(IEC/TR 62443-3-1:2009,Industrial communication networks Network and system security-Part 3-l: Security technologies for
industrial automation and control system,IDT)
2021-12-01实施
2021-05-21发布
国家市场监督管理总局国家标准化管理委员会
发布 GB/T40218—2021/IEC/TR62443-3-1:2009
前膏
本标准按照GB/T1.1一2009给出的规则起草。 本标准使用翻译法等同采用IEC/TR62443-3-1：2009《工业通信网络 网络和系统安全 第3-1
部分：工业自动化和控制系统信息安全技术》。
本标准做了下列编辑性修改：
修改了标准名称：一剩除了与我国情况不符的脚注。 本标准由中国机械工业联合会提出本标准由全国工业过程测量控制和自动化标准化技术委员会（SAC/TC124)归口。 本标准起草单位：机械工业仪器仪表综合技术经济研究所、电力规划总院有限公司、中国核电工程
有限公司、和利时科技集团有限公司、北京市自来水集团有限责任公司、浙江大学、华中科技大学、重庆邮电大学、工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）、西门子（中国）有限公司、施耐德电气（中国）有限公司、罗克韦尔自动化（中国）有限公司、中国科学院沈阳自动化研究所、北京启明星辰信息安全技术有限公司、北京国电智深控制技术有限公司、深圳万讯自控股份有限公司、中国电子科技集团公司第三十研究所、工业和信息化部电子第五研究所、西南大学、中国东方电气集团有限公司、北京四方继保自动化股份有限公司、国家工业信息安全发展研究中心、北京市轨道交通设计研究院有限公司、上海白动化仪表有限公司、重庆信安网络安全等级测评有限公司、公安部第三研究所、中国网络安全审查技术与认证中心、北京网御星云信息技术有限公司。
本标准主要起草人：王玉敏、梅恪、张晋宾、王彦君、华、孙静、张晨艳、冯冬芹、周纯杰、李锐、 陈小综、朱镜灵、魏宴、王浩、王、刘杰、成继勋、赵军凯、兰昆、尚文利、张为群、刘枫、刘志祥、衰晓舒、 尚羽佳、郭永振、杜振华、张哲宇、育衍、陆妹、丁长富、育照媛、高镜媚、韬、袁静、任卫红、甘杰夫、 宋文刚。
1 GB/T40218—2021/IEC/TR62443-3-1:2009
引言
保护工业自动化和控制系统（IACS)的计算机环境免受恶意代码入侵的需求在过去十年里越来越
受到关注。IACS环境中越来越多地使用开放的系统、平台和协议，随着对外联合投资活动的提高、外部合作伙伴和外部资源的联合，都会带来更多的威胁和更高级的计算机攻击。随着这些威胁和脆弱性的增加，工业通信网络上遭受计算机攻击的风险也会相应地提高，因此对计算机和基于网络的信息共享和分析中心也需要加以保护。此外，智能设备和嵌人式系统的发展，计算机、网络设备和软件互连的增加，增强的外部连接以及网络人侵事故的快速增长，更多的智能攻击者和恶意的极易访问的软件，所有这些都增加了风险。
很多的电子安全技术和计算机人侵防范措施可能都适用于IACS环境。本标准列举了几类计算机信息安全技术和防范措施，并针对每一类具体讨论其所处理的脆弱性、部署的建议及其已知的优点和弱点。此外，也提供了使用各类安全技术的指南和针对以上所提及风险所要采取的防范技术。
本标准未对上述安全技术和防范措施进行比较，仅提供了使用这些技术和方法的建议和指南，以及
在制定与IACS环境相关的现场或企业级信息安全策略、程序和规程中所需考虑的信息
工作组将周期性更新技术要求以反映新的信息、计算机安全技术、应对措施和计算机风险降低方法。同时告诚读者在使用该标准中的推荐指南时，不确保其工业自动化或控制系统环境达到最佳的计算机安全状态。但是，本标准有助于识别和处理脆弱性，减少非预期的网络人侵。这些网络人侵可能会窃取机密信息，甚至造成人员和环境的伤害，或导致工业网络、控制系统及其监视和管理的工业和基础设施关键资产遭受破坏或失效。
本标准提供了对当前许多类型的电子计算机安全技术、缓解措施和工具的评价和评估，这些用于保
护IACS环境以防不利的计算机入侵和攻击。本标准中介绍了各类技术、方法和工具，并提供了对这些内容的开发、实现、运行、维护、工程实施/管理和其他服务的讨论。本标准也提供了适用于生产商、供货商和终端用户的信息安全实践者、设施和工厂的指南，以便在技术选择上和应对措施上用于保护自动化的IACS（及其相关的工业网络）免受电子（计算机)攻击。
本标准中给出的指南并不能确保IACS已经达到最佳的计算机信息安全。但是，这些指南有助于
识别和指出脆弱性，并且能够减少未预期入侵的风险以防保密信息的泄露或者造成控制系统和其自动控制的关键资产的损坏或失效。更关注的是，当自动化控制系统或其相关工业网络发生计算机泄密时，这些指南的使用能够帮助减少对任何人员或环境损害的风险。
本标准中的网络安全指南是通用/一般性的，视人员知识在工业自动化系统中的应用而定/并且应根据适用的、特定的工业自动化系统人员知识，正确适用于每一个控制系统和网络。本指南标识了对于提供网络安全控制系统而言，典型的、重要的活动行为。但是上述活动行为并不总是与系统功能的有效运行或维护相兼容。指南包括了针对特定控制系统的适用的信息安全的建议和推荐。然而，选择和部署那些特定用于给定控制系统及其相关的工业网络的信息安全活动和实践是系统拥有者的责任。
随着控制系统脆弱性经验的获得，特定网络信息安全实施的成熟以及新的基于控制的网络信息安全技术的使用，本标准将逐渐修改并完善。这样，在本标准的主体结构保持相对稳定的同时，其应用和解决方案也将逐步完善。
I GB/T40218—2021/IEC/TR62443-3-1:2009
工业通信网络网络和系统安全工业自动化和控制系统信息安全技术
1范围
本标准提供了对当前各种网络信息安全工具、缓解对抗措施和技术的评估。这些技术可有效地用
在基于现代电子的IACS中，以调整和监视数量众多的工业和关键基础设施。本标准描述了几种类型的以控制系统为中心的网络信息安全技术、这些种类中可用的产品类别、在自动化IACS环境中使用这些产品的利弊、相对于预期的威胁和已知的网络脆弱性，更重要的是，对于使用这些网络信息安全技术产品和/或对抗措施的初步建议和指南
本标准应用的IACS网络安全概念是最大可能地涵盖所有行业和关键基础设施中的组件、工厂、设施以及系统。IACS包括但不限于：
。硬件（如历史数据服务器）和软件系统（如操作平台、配置、应用），例如分布式控制系统（DCS）、 可编程序控制器（PLC）、监测控制和数据采集（SCADA)系统、网络化电子传感系统以及监视、诊断和评估系统。包含此硬件和软件范围的是重要的工业网络及任何相连的或相关的关键信息技术（IT)设备和对成功运行整个控制系统的链路。就这点而言，此范围也包括但不限于：防火墙、服务器、路由器、交换机、网关、现场总线系统、人侵检测系统、智能电子/终端设备、远程终端单元（RTU），以及有线和无线远程调制解调器，
· 用于连续的、批处理的、分散的或组合过程的相关内部的、人员的、网络或机器的接口，用来提供控制、数据记录、诊断、（功能)安全、监视、维护、质量保证、法规符合性、审计和其他类型的操作功能
类似地，网络信息安全技术和对抗措施的概念也广泛用于本标准，并包括但不限于如下技术： ·鉴别和授权； ·过滤、阻塞和访问控制； ·加密； ·数据确认； ·审计； ·测量； ·监视和检测工具； ·操作系统此外，非网络信息安全技术，即物理安全控制，对于网络信息安全的某些方面来说是必不可少的要
求，并在本标准中进行了讨论
本标准的目的是分类和定义网络信息安全技术、对抗措施和目前可用的工具，为后续标准提供一个通用基础。本标准的每项技术从以下几方面进行讨论
·技术、工具和/或对抗措施所针对的信息安全脆弱性； ·典型部署； ·已知问题和弱点； ·在IACS环境中使用的评估； ·未来方向； ·建议和指南；
1 GB/T40218—2021/IEC/TR62443-3-1:2009
信息源和参考材料。
.
本标准旨在记录适用于IACS环境的信息安全技术、工具和对抗措施的已知技术发展水平，明确定
义目前可采用哪种技术，并定义了需要进一步研究的领域。
2规范性引用文件
2
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本义件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件
无。
3术语和定义、缩略语
3.1术语和定义
下列术语和定义适用于本文件。 3.1.1
访问授权 access authority 负责监视和授予其他被授权实体访问IACS及其关联网络权限的实体3]。
3.1.2
访问控制 access control a） 保护系统资源以防止未授权的访问。 b) 系统资源使用的过程是根据安全策略规定的，并且根据该策略只允许被授权的实体（用户、程
序、过程，或者其他系统)[3]。
3.1.3
问责制 Jaccountability 系统属性（包括其系统的所有资源），以确保一个系统实体的行动可追溯到该唯一的实体，并且该实
体可为他的行为负责[3]。 3.1.4
应用层协议 applicationlayerprotocol 特指实现诸如电子邮件和文件传输等网络应用的第7层协议2]。 注：很多现代工业控制系统包含现场总线网络，这些现场总线网络通常不包括完整的七层，但会包括应用层。
3.1.5
非对称密钥算法 asymmetric key algorithm 公共密钥加密算法。 注：所谓非对称性，指用于编码传输数字数据的密钥与在接收端用于解码数据的代码完全不同。相对应地，对称加
密算法使用相同的密钥来加密和解密数据。因为避免了在发送器和接收器之问传输有可能被侦听的密钥，非对称性在逻辑上更安全。值得注意的是，对于IT网络，用于保护机密数据的加密方法要比控制网络更关键。 对于LACS，在对给定IACS进行访问控制的验证和授权阶段，保密性最为关键。密码通常会增加IACS网络所不期望的延时，而这样的延时对于开环和闭环系统来说是不希望有的，因为这些系统必须以一个与资产的工艺动态相称的速率接收、操作和发送控制数据。所以，相比于保密性，可用性和完整性通常是IACS计算机安全的更高目标[3]。
2 GB/T40218—2021/IEC/TR62443-3-1:2009
3.1.6
鉴别 Jauthentication 旨在建立传输，信息或发起方有效性的安全方法，核实接收特定信息的个人授权的方法的有
效性[4]。 3.1.7
授权 authorization 授予系统实体访问系统资源的权力或权限[3]。
3.1.8
可用性 availability 在其可靠性、可维护性和信息安全联合影响下，资产能够在指定的时期或者在给定的时间点完成其
所需功能的可能性。 3.1.9
带宽 bandwidth 在给定的时间内传递数据的信道的容量。 注1：从信道容量的角度来说，带宽通常用字节每秒来表示。 注2：相比于传统用于运载更高层网络数据的IT网络，控制和SCADA数据通常具有更小的但是一致的位长度
然而，向现场总线系统的迁移需要有更高的带宽，因为现场总线系统本质上要求有更少的接线，并且在无主站或PLC的情况下实现控制算法。
3.1.10
证书 certificate 见3.1.44。
3.1.11
证书认证机构 certification authority 公钥基础设施(PKI)中负责颁发证书以及强制遵守某个PKI策略的实体。
3.1.12
密文 ciphertext 通过加密后传输的数据，这样其语义信息内容（它的含义)不再是可理解的或者直接能用的。
3.1.13
明文 cleartext 见3.1.39。
3.1.14
客户端 client 接收或请求来自服务器端的服务或信息的设备或应用1。
3.1.15
保密性 confidentiality 保证信息不被泄露给未授权的个人、过程或者设备[4]。
3.1.16
密钥 cryptographickey 通过加密算法执行变换的输入参数。 注：通常简写为“钥匙”。
3 GB/T40218—2021/IEC/TR62443-3-1:2009
3.1.17
网络攻击 cyberattack 成功利用IACS组件与/或连接到工业网络的IT网络组件中软件、硬件或固件的脆弱性。
3.1.18
数据链路层协议 data-link layerprotocol 用于点对点数据通信、实施错误检查、实现物理寻址以及实施媒体访问控制的第2层协议2。 注：这些协议存在于大多数连接至控制局域网的IT企业系统，同时在一些情况下也存在于工业网络协议中。
3.1.19
解密decryption 使用密码算法和密钥，把密文转换成明文的过程（见3.1.24)[3]。
3.1.20
纵深防御defenseindepth 提供多重安全保护，特别是在层次上，如果不能阻止攻击就采取延缓策略。 注：纵深防御意指在各层的安全和检测，即便在一个单独的系统，具有以下特征： ·攻击者在不被发现的情况下突破或者绕过每一层； ·某层上的缺陷可以通过其他层的能力来缓解； ·系统安全在全部网络安全范围内由各个安全层组成，
3.1.21
拒绝服务denialof service;DoS 对授权访问系统资源的阻止或者中断，或者系统操作和功能的延缓3]。
3.1.22
数字签名 digital signature 数据加密变换的结果，正确完成时，提供数据源鉴别、数据完整性和签名者防抵赖服务[1]。
3.1.23
分发 distribution 见3.1.29[3]。
3.1.24
加密 encryption 明文转换成密文的密码变换，隐藏了数据的原始意义以阻止该数据被知道或者使用（见3.1.19)[3]。 注：如果进行反向转换，相反的逆向过程被称为“解密”，解密是将储存的加密数据转换成它的原始状态
3.1.25
完整性 integrity 系统质量，反映了操作系统的逻辑正确性和可靠性、实现保护机械装置的软件和硬件的逻辑完备
性、数据结构和存储数据表现的一致性[4]。
注：正常信息安全模式下，完整性常被狭义地理解为保护信息免遭非授权修改或破坏。 3.1.26
拦截 interception 捕获和揭露报文内容，或者基于报文目的地或来源地、传输的频率或时长以及其他通信属性，使用
通信量分析破坏通信系统的保密性。 3.1.27
接口interface 为逻辑信息流提供访问模块的逻辑入口点或出口点。 4