二、国际标准体系_工业控制系统信息安全的10堂课-QQ阅读男生武侠网

书名：工业控制系统信息安全的10堂课
作者名：肖建荣编著
本章字数：3228字
更新时间：2020-08-27 22:41:26

二、国际标准体系

（一）IEC/ISA

1．IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》

IEC 62443共分为4个系列13个标准，第一系列是通用标准，第二系列是策略和规程，第三系列提出系统级的措施，第四系列提出组件级的措施。在这13个标准中，7个标准已完成，其他6个标准在投票或制定过程中，其详细架构图如图2-1所示。各系列的各个标准简要介绍如下：

图2-1 IEC 62443/ISA-99 架构图

IEC 62443-1是第一系列，描述了信息安全的通用方面，作为IEC 62443其他系列的基础。

IEC 62443-1-1是术语、概念和模型，主要介绍安全目标、深度防御、安全上下文、威胁风险评估、安全程序成熟度、安全等级生命周期、参考模型、资产模型、区域和管道模型，以及模型之间的关系，此外还包括7个基本要求（FR）的安全保障等级（SAL）。

IEC 62443-1-2是术语和缩略语，包含该系列标准中用到的全部术语和缩略语列表。

IEC 62443-1-3是系统信息安全合规度量，包含建立定量系统信息安全合规度量体系的必要要求，提供系统目标、系统设计和最终达到的信息安全保障等级。

IEC 62443-1-4是系统信息安全生命周期和使用案例。

IEC 62443-2是第二系列，主要针对用户的信息安全程序，包括整个信息安全系统的管理、人员和程序设计方面，是用户在建立其信息安全程序时需要考虑的。

IEC 62443-2-1是建立工业自动化和控制系统信息安全的程序，描述了建立网络信息安全管理系统所要求的元素和工作流程，以及实现各元素要求的指南。

IEC 62443-2-2是运作工业自动化和控制系统信息安全的程序，描述了在项目已设计完成并实施后如何运行信息安全程序，包括测量项目有效性的度量体系的定义和应用。

IEC 62443-2-3是工业自动化和控制系统环境中的补丁更新管理。

IEC 62443-2-4是对工业自动化和控制系统制造商信息安全政策与实践的认证。

IEC 62443-3是第三系列，是针对系统集成商保护系统所需的技术性信息安全要求，主要包括系统集成商在把系统组装到一起时需要处理的内容，具体包括将整体工业自动化控制系统设计分配到各个区域和通道的方法，以及信息安全保障等级的定义和要求。

IEC 62443-3-1是信息安全技术，提供了对当前不同网络信息安全工具的评估、缓解措施，可有效地应用于基于现代电子的控制系统，以及用来调节和监控众多产业和关键基础设施的技术。

IEC 62443-3-2是安全风险评估和系统设计，描述了定义所考虑系统的区域和通道要求，用于工业自动化和控制系统的目标信息安全保障等级要求，并且对验证这些要求提供信息性的导则。

IEC 62443-3-3是系统信息安全要求和信息安全保障等级，描述了与IEC 62443-1-1定义的7项与基本要求相关的系统信息安全要求，以及如何分配系统信息安全保障等级。

IEC 62443-4是第四系列，是针对制造商提供的单个部件的技术性信息安全要求，包括系统的硬件、软件和信息部分，以及当开发或获取这些类型的部件时需要考虑的特定技术性信息安全要求。

IEC 62443-4-1是产品开发要求，定义了产品开发的特定信息安全要求。

IEC 62443-4-2是对IACS产品的信息安全技术要求，描述了对嵌入式设备、主机设备、网络设备等产品的技术要求。

IEC 62443涵盖了所有的利益相关方，即资产所有者、系统集成商、组件供应商，以尽可能地实现全方位的安全防护。为了避免标准冲突，IEC 62443同时涵盖了业内相关国际标准的内容，例如，来自荷兰石油天然气组织的WIB标准和美国电力可靠性保护协会的NERC-CIP标准，它们包含的附加要求也被整合在IEC 62443系列标准中。因此，该标准是工业控制系统信息安全的通用且全面的标准。该标准的建立和实施是工业控制系统信息安全的里程碑，将对工业控制系统信息安全产生深远影响。

2．IEC 62351《电力系统管理与相关信息交互数据和通信信息安全》

IEC 62351是IEC第57技术委员会WG15工作组为电力系统安全运行针对有关通信协议（IEC 60870-5、IEC 60870-6、IEC 61850、IEC 61970、IEC 61968系列和DNP 3）而开发的数据和通信安全标准。IEC 62351标准的全名为电力系统管理及关联的信息交换-数据和通信安全性（Power Systems Management and Associated Information Exchange - Data and Communications Security），它由8个部分组成，现对该标准各部分做简要介绍：

（1）IEC 62351-1是介绍部分，包括对电力系统运行安全的背景，以及IEC 62351安全性系列标准的导言信息。

（2）IEC 62351-2是术语部分，包括IEC 62351标准中使用的术语和缩写词的定义。这些定义将建立在尽可能多的现有安全性和通信行业标准定义上，所给出的安全性术语广泛应用于其他行业及电力系统中。

（3）IEC 62351-3是TCP/IP平台的安全性规范部分，提供任何包括TCP/IP协议平台的安全性规范，如IEC 60870-6 TASE.2、基于TCP/IPACSI的IEC 61850 ACSI和IEC 60870-5-104，指定了通常在互联网上包括验证、保密性和完整性的安全配合的传输层安全性（TLS）的使用。这部分介绍了在电力系统运行中有可能使用的TLS参数和整定值。

（4）IEC 62351-4是MMS平台的安全性部分，提供了包括制造报文规范（MMS）（9506标准）平台的安全性，包括TASE.2（ICCP）和IEC 61850。主要与TLS一起配置和利用其安全措施，特别是身份认证，也允许同时使用安全和不安全的通信，所以在同一时间并不是所有的系统需要使用安全措施升级。

（5）IEC 62351-5是IEC 60870-5及其衍生规约的安全性部分，对该系列版本的规约（主要是IEC 60870-5-101，以及部分102和103）和网络版本（IEC 60870-5-104和DNP 3.0）提供不同的解决办法。具体来说，运行在TCP/IP上的网络版本，可以利用在IEC 62351-3中描述的安全措施，其中包括由TLS加密提供的保密性和完整性。因此，唯一的额外要求是身份认证。串行版本通常仅能支持低比特率通信媒介，或与受到计算约束的现场设备一起使用。因此，TLS在这些环境中使用的计算和/或通信会过于紧张，提供给串行版本唯一的安全措施，包括地址欺骗、重放、修改和一些拒绝服务攻击的认证机制，但不尝试解决窃听、流量分析或需要加密的拒绝。这些基于加密的安全性措施，可以通过其他方法来提供，如虚拟专用网（VPN）或“撞点上线”技术，依赖于采用的通信和有关设备的能力。

（6）IEC 62351-6是IEC 61850对等通信平台的安全性部分，IEC 61850包含变电站LAN的对等通信多播数据包的3个协议，它们是不可路由的。所需要的信息传送要在4ms内完成，因而采用影响传输速率的加密或其他安全措施是不能被接受的。身份认证是唯一包括的安全措施，IEC 62351-6这些报文的数字签名提供了一种涉及最少计算要求的机制。

（7）IEC 62351-7是用于网络和系统管理的管理信息库部分，这部分标准规定了电力行业通过以SNMP为基础处理网络和系统管理的管理信息库（MIB），其支持通信网络的完整性、系统和应用的健全性、入侵检测系统（IDS），以及电力系统运行所特别要求的其他安全性/网络管理要求。

（8）IEC 62351-8是基于角色的访问控制部分，这部分提供了电力系统中访问控制的技术规范。通过本规范支持的电力系统环境是企业范围内的，以及超出传统边界的，包括外部供应商、供应商和其他能源合作伙伴。本规范精确地解释了基于角色的访问控制（RBAC）在电力系统中企业范围内的使用。其支持分布式或面向服务的架构，这里的安全性是分布式服务的，而应用来自分布式服务的消费者。

IEC 62351中所采用的主要安全机制，包括数据加密技术、数字签名技术、信息摘要技术等，其常用的标准有先进的加密标准（AES）、数据加密标准（DES）、数字签名算法（DSA）、RSA公钥密码、MD5信息摘要算法、D-H密钥交换算法、SHA-1哈希散列算法等。当有新的更加安全、可靠的算法出现时，也可以引入IEC 62351标准中。

该标准的建立和实施将对电力系统数据和通信信息安全产生深远影响。

3．IEC 62278《轨道交通可靠性、可用性、可维修性和安全性规范及示例》

本标准定义了RAMS各要素（可靠性、可用性、可维修性和安全性）及其相互作用，规定了一个以系统生命周期及其工作为基础、用于管理RAMS的流程，使RAMS各个要素间的矛盾得以有效地控制和管理。

本标准不规定轨道交通特定应用中的RAMS指标、量值、需求或解决方案，不指定保证系统安全的需求。这些应在各类特定应用的RAMS子标准中规定。

（二）ISO/IEC

ISO/IEC 27000 《信息安全管理系统》包含了信息安保标准，由国际标准化组织（ISO）和国际电工委员会（IEC）共同颁布。

下面是ISO/IEC的安保系列标准，可以用于实施安保蓝图中的项目：

ISO/IEC 27000—信息安保管理系统—概述和词汇。

ISO/IEC 27001—信息安保管理系统—要求。

ISO/IEC 27002—用于信息安保管理实践的规则。

ISO/IEC 27003—信息安保管理系统实施指南。

ISO/IEC 27004—信息安保管理—测量。

ISO/IEC 27005—信息安保危险管理。

ISO/IEC 27006—对信息安保管理系统提供审计和认证机构的要求。

ISO/IEC 27011—基于ISO/IEC 27002电信组织的信息安保管理指南。

ISO/IEC 27033-1—网络安保概述和概念。