1、ICS 25.040 N 10 备案号:45861-2014 中华人民共和国机械行业标准JB/T 11961-20 14/IEC/TS 62443斗胃1:2009 工业通信网络网络和系统安全术语、概念和模型Industrial communication networks-Network and system security 一Terminology,concepts and models (IEC厅S62443-1-1: 2009, IDT) 2014-05-06发布2014-10-01实施中华人民共和国工业和信息化部发布中华人民共和同机械行业标准工业通信网络网络和系统安全术语、概念和模型
2、JBrr 11961-20141IEC厅S62443-1-1: 2009 * 机械工业111版社111版发行北京市百万庄街22号邮政编码:100037 * 21OmmX297mm.4印张.133干字2015年8月第l版第l欠印刷定价:54.00兀* 书号r:15111. 12178 网址:h即:/ 编辑部电话:(010) 88379778 直销中心电话:(010) 88379693 封面无防伪标均为盗版版权专有侵权必究JB厅、11961-20141IEC厅S62443-1-1: 2009 目次皿W1111222jjjM口口口口MMMMMMmwmw却MMM川UMNNUmMW钉钉钊钊栩栩um期田间
3、命t帆帆hm瞅瞅轨如札幌孔能口的的付uu目uu上i成结道关功接动产文语统势响全求御全险序城全全喇-m系管的L制柳m刊明问响矶队酬L瞅帕服也瞅瞅糊战机悻响hwm也MU以L特吨特制棚概所系基基性和介术缩概当当潜概信基纵信戚安策安管信f一概参资参以模范语说念nu1Aqh 川仁范J23A5规术123情J23A概J2345189111模123A56tI1且且且且句3句3句3A吁AAA3,、J、dJF3气dqJJ4J3,3气M正urO正UrO正U正U前叫123456JB厅11961-2014月EC厅S62443-1斗:2009 参考文献.58图1IACS和一般IT系统目标比较.19图2下文要素相互关系.2
4、0图31:下文模理.,.,.20图4商业IT和IACS网络安全集成.27图5网络安全等级随时间的变化.27图6用j二CSMS开发的综合资源.28图7管道示例.H.36图8信息安全等级生命周期.,.40图9信息安全等级生命周期一一评估阶段.41图10信息安全等级生命周期一一一实施阶段.42图11信息安全生命周期维护阶段.43图12IEC 62443使用的参考模咽.44图13SCADA参考模型.44 图14过程制造资产模理例子.47图15SCADA系统资产模例子.47图16简单参考体系结构例子.49图17多丁.厂!反域例子.50图18分离以域例子.51图19SCADA f(域例子.51图20SCA
5、DA分离以域例子.52图21企业管道.55图22SCADA管道例子.55图23模型之间的关系.,.,.57表1资产的损失类用-.22表2安全成熟度阶段.29表3概念阶段.29表4功能分析阶段.,.,.29表5实施阶段.30表6运行阶段.,.30表7间收和处置阶段.30 表8信息安全等级.37H JB厅11961一2014/IEC厅S62443-1回1:2009 目。画本标准按照GB厅1.1-2009给出的规则起草。本标准使用嗣译法等问采用IEC厅S62443-1-1: 2009 (域一样等级的安全性。5.8.4.10 人员人员事项一般在企业人事和IT安全策略中起义。控制系统安全策略提供具体细节
6、,而更通用的策略并不包含在控制系统)j面。例如控制系统安全策略将协调带有人员显示和监视实践的控制系统的访问角色。5.8.4.11 分包商策略安全事项包括涉及分包商的工作,他们的角色例如供应商、集成商、维护服务提供应或者咨询方。一个涵盖分包商的安全策略针对的是和那些可能带来脆弱性的分包商的相互作用。该策略指明了各厅的责任,它解决随着项目阶段的进展,随着材料和系统的交付而变化的责任。该策略可要求特定的条款写入与分包商的合同。对合同程序员如果没有适当的管理,应用的完整性将被打折扣,或者程序代问可能兀法维护。发现非常合格的合|叫程序员是很重要的,他们遵守组织的编程和文档标准,执行充分的测试,同时还值得
7、信赖和守时。5.8.4.12 审计系统的安全性要定期审计,以测量与安全策略和实践的符合度。安全策略针对审计的需求并规定职责、周期及纠正措施的要求。综合的审计规程不仅针对安全性,还针对诸如过程的效率和效能及合规等其他却面。5.8.4.13 安全策略的更新要监视安全策略以确定策略自身是否需要修改。监视安全策略是每个安全策略和规程文档的部分,并且企业的安全策略要规定整体的右法。每个操作性策略和规程文档都包含一个声明,指出何时及由何人来审资和更新该策略。培训程序应适用T新雇员、操作、维护、升级和民续计划。培训程序应很好地文档化、结构化并且定期更新,以适应操作环境的变化。5.9 安全区域5.9.1 概述
8、每种情况都奋不同的可接受安全性等级。对于大的或复杂的系统,对所有组成部分都采取同样等级的安全性是不实际或不必要的。使用安全以域或受保护以域的概念来说明不同。安全l兴域是具用相同安34 JB/T 11961一,2014/IEC厅S62443斗斗:2009 全需求的物理、信息、应用资产的逻辑编组。这一概念适用于一部分系统包含在安全以域而其他的都处r-安全1(域之外的电子环境。1)(域之中还可以有)(域或者子域,这可以提供分层的安全性,提供纵深防御并且解决多层次安全性需求。纵深防御可以通过对安全以域分配不同的属性完成。一个安全(域街一个边界,介于被包含的和被排斥的元素之间。以域的概念还隐含着从以域内
9、和以域外对资产访问的需求。这定义了必要的前问和通信,允许信息和人员在安全阪域内和以域间的移动。(域可以被认为是被信任的或不被信任的。安全!灭域能以物理概念(物理(域或者逻辑厅式(虚拟以域定义。物理l灭域的定义通过物理仿.置把资产分组。这种类刑的l泛域容易确定哪个资产在以域内。虚拟l灭域的定义是通过将资产或部分物理资产编组进安全以域来实现,这个组合或者基f功能性,或者基于其他特性而不是资产的实际位置。5且2确定需求5.9.2.1 总则当定义安全区域的时候,一个组织应芮先评估安全需求(安全目标),然后确定一个特定资产应该在以域内坯是在;域外。安全需求可以分为以下类刑。5.9.2.2 通信的访问对-
10、r-在去全边界内有价值的一组资产,它们需要被链接到安全区域外的资产。这个访问可以有多种形式,包括资产(产品和人员(雇员或厂商)的物理移础,或与安全区域外实体的电子通信。远程通信是与相互不靠近的实体之间的信息的传送。为实现这一技术规范的目睛,远程访问被定义为与所针对的安全区域边界之外的资产进行通信。本地访问通常被认为是在同一个安全区域内的资产之间的通信。5.9.2.3 物理访问和接近物理安全区域被用于限制对一个特定区域的访问,因为在那个区域内的所有系统都要求它们的操作员、维护人员和开发人员有同样的信任级别。这并不排除一个更高级别的物理安全区域嵌入在一个较低级别的物理安全以域内,或-个更高级别的通
11、信坊问K域嵌入在一个较低级的物理安全1)(域相同,管道可以是可信的或不可信的。典的可信管道是不越过以域边界,在|灭域内通过通信处理。越过以域边界的可信管道需要使用端到端的安全处理。不可信管道是与以域端点不具有相同信息安全等级的管道。在这种情形下,实际的通信安全由单个通道负责,如图7所示。雪月2辑l企业区域UtLE呵管111I i lj AK叹11 - _ lTlll愧I 1 r 山区域i 吾E时;门:iil11;,Q曰EJI iU日自lj l! 1311l R l ; |lr尸广gl,.与VkM曰自肖驾哥i封司i晶A1野y户f1尸川T忖忖f打J仰印咀叫?忖?吃川M俨叽悄川川附毕盯肌5立此-注仨
12、1t!1!忖i;划/(lJ:士?士巳T生l川E且bJ I 哥司哥防附州IbJI 驾哥驾凯附IIOI 离勇驾盼阳州|F咛f明叩捂蛐捣雄?r严服叫i 户阳刷服?俨榕瞅放叩甲呼F牛脱刷捂摇叫Ij I户阳应酬刷服咛?俨丰?蛐?服晕蛐叫器叫| 1 丁J控制i锋活I -r -Ti:/f笔制传iltI -r- -1王:T.协l控E招I搜剑吕西控110 110 图7管道示例图7示出了含育二个厂x:的企业,每个厂K育自己的总部。二个厂以都连接至企业网络中,以便与厂(总部及其他厂以进行通信。图中定义了四个可能的管道(也有其他的定义方式,为简洁起见在此忽略。第一种管道企业管道位于图中的顶部。它将不同位置的多个厂K连
13、接到企业数据中心。如果采用租用通信或专用通信来构建广域网(WAN),则认为是可信管道。假如同时采用公用网络和专用网络,则被视为不可信管道。管道包括组成厂以连接的所有通信设备和防火墙。罔7中在每个厂以表示了第二种管道的例子,每个r-(有各自的可信管道进行控制通信。5.10.2 通道通道是建在在通信管道内的特定通信连接,它们继准了用作通信媒体的管道的信息安全属性(即安全管道内的通道将保持安全管道的信息安全等级)。通道何可信的或不可信的。可信通道是允许与具他安全l灭域进行安全通信的通信连接。可信通道能用于将虚拟安全以域扩展到包含实体的物理安全以域之外。不可信通道是与被研究的安全x:域不在同一个安全等
14、级的通信路径。在接收信息前,到参考x:域(该以域定义为不安全通信的通信和从参考以域来的通信都需要验证。5.11 信息安全等级5.11.1 概述信息安全等级概念是以区域为基础,rfIj不是基于单个设备或系统来思考信息安全问题。通常IACS36 JB/T 11961-20 14/IEC厅S62443斗-1:2009 由多个厂家的设备与系统组成,所有功能协调一起为工业操作提供集成白动化功能。正如单个设备的功能能力有助fIACS的能力一样,单个设备的信息安全能力和实施策略需要相互作用来达到该网域所期望的信息去全等级。信息安全等级为使用具育不同固有安全能力的对抗措施及设备做决策时,提供了个参考框架。信息
15、安全等级为以域信息安全提供了定性的厅法。作为一种定性方法,信息安全等级定义适用于比较和管理组织内的以域信息安全。网更多的数据变成可提供,以及对危险、威胁和信息安全事件的精确同答能力的发展,该概念为选择和验证安全等级提供了定性的方法。它既适用于最终用户,也适用fIACS和安全产品的供应商。在(域内,它被用来选择IACS设备和使用的对抗措施,在整个工业环节中,它被用于识别和比较不同组织的以域信息安全。采用信息安全等级方法的组织向该定义每个等级表示的内容,以及在以域中如何测量信息安全等级。费个组织向始终使用该定义豆豆特性。信息安全等级用于识别K域内综合层面的纵深防御策略,该策略包括硬件、基f软件的技
16、术对抗措施,以及管理类对抗措施。基f对管道或以域的风险评估,信息安全等级庇与l兴域或管道的系统、设备的固有安全属性和对抗措施所要求的效果一致。安全等级右法提供了对以域或管道进行风险分类的能力,也;宵助于定义在(域或管道内用于阻止未授权的电子入侵,防止未授极读出,或影响设备和系统正常功能的对抗措施段实现的效果。信息安全等级是)(域和管道的属性,而不是设备、系统或系绕中任何部分的属性。推荐最少使用二个安全等级。三个信息安全等级的定性描述见表8。组织为描述其特定的安全需求,可在此基础上扩展和定义额外的安全等级。信息安4号等级2 3 5.11.2 信息安全等级类型5.11.2.1 概述表8信息安全等级
17、信息安全等级可以被定义为以下二种不同的类:a) SL (目标):(域或管道的目标信息安全等级:b) SL (达到的):(域或营造已实现的信息安全等级:定性:描述低中高c) SL (能力):与以域或管遥相关的对抗措施的信息安全等级能力,或1) 10 ISO 7498: Information processing systems-)pen Systems Interconnection-Basic Reference Model-Part 2: Security Architecture 11 RFC 2828, Intemet Security Glossa叩,available at 12
18、FIPS PUB 140-2, Sec町ityrequirements for cryptographic modules, available at 13 CNSS Instruction No. 4009, National Information Assurance Gloss町(AI),available at 14 NASAlScience Office of Standards and Technology (NOST) , ISO Archiving Standarl出一FourthUS Workshop-Reference Model Defmitions, available at 15 SANS, Glossary of Terms used in Security and Intrusion Detection, available at 版权专有侵权必究* 书号:15111. 12178 定fl:54.00元JB/T 11961-2014 OON 寸寸的寸寸NmvHKU国电寸FON-FFFH筒1