GB/T 44861-2024 工业自动化和控制系统安全 系统设计的安全风险评估

ICS25040

CCSN.10

中华人民共和国国家标准

GB/T44861—2024/IEC62443-3-22020

:

工业自动化和控制系统安全

系统设计的安全风险评估

Securityforindustrialautomationandcontrolsystems—

Securityriskassessmentforsystemdesign

IEC62443-3-22020Securitforindustrialautomationandcontrolsstems—

(:,yy

Part3-2SecuritriskassessmentforsstemdesinIDT

:yyg,)

2024-10-26发布2025-05-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T44861—2024/IEC62443-3-22020

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义缩略语和约定

3、、………………1

区域管道和风险评估要求

4、………………4

概述

4.1…………………4

识别

4.2ZCR1:SUC…………………5

初始网络安全风险评估

4.3ZCR2:……………………6

将划分为区域和管道

4.4ZCR3:SUC………………6

风险比较

4.5ZCR4:……………………8

执行详细网络安全风险评估

4.6ZCR5:………………8

文档化网络安全要求假定和约束

4.7ZCR6:、………13

资产所有者批准

4.8ZCR7:…………17

附录资料性安全等级

A()………………18

附录资料性风险矩阵

B()………………19

参考文献

……………………22

Ⅰ

GB/T44861—2024/IEC62443-3-22020

:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件等同采用工业自动化和控制系统安全第部分系统设计的安全

IEC62443-3-2:2020《3-2:

风险评估

》。

本文件做了下列最小限度的编辑性改动

:

为与现有标准协调将标准名称改为工业自动化和控制系统安全系统设计的安全风险

———,《

评估

》。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由中国机械工业联合会提出

。

本文件由全国工业过程测量控制和自动化标准化技术委员会归口

(SAC/TC124)。

本文件起草单位机械工业仪器仪表综合技术经济研究所北京天地和兴科技有限公司重庆信安

:、、

网络安全测评有限公司电力规划总院有限公司中国工程物理研究院动力部东方电气集团科学技术

、、、

研究院有限公司国能智深控制技术有限公司北京市自来水集团有限责任公司施耐德电气中国有

、、、()

限公司罗克韦尔自动化中国有限公司国网辽宁省电力有限公司电力科学研究院国网辽宁省电力

、()、、

有限公司大连供电公司华北电力大学淄博市标准化研究院深圳市奥图威尔科技有限公司北京机械

、、、、

工业自动化研究所有限公司北京市自来水集团大通供水技术有限公司华北电力科学研究院有限责任

、、

公司国网思极网安科技北京有限公司北京卓识网安技术股份有限公司中国电力科学研究院有限

、()、、

公司国网北京市电力公司电力科学研究院国家电网有限公司信息通信分公司国网山东省电力公司

、、、

潍坊供电公司北京电安信科技有限公司广东电网有限责任公司中国电子科技集团公司第三十研

、、、

究所

。

本文件主要起草人尚羽佳李凯斌周彦晖张一彬周沫燃张晋宾王玉敏李云张晨艳

:、、、、、、、、、

杨书评朱镜灵高镜媚王勇胡博杨超李桐孙峰孙跃唐聪高涛杨波程平翟婉波张强

、、、、、、、、、、、、、、、

龚钢军陆俊何剑刘韧屠竞哲杨德龙高阳王立永陈亮王怀宇李志宏孙华忠张琪李燕平

、、、、、、、、、、、、、、

施又丹王海城周泽龙李祉岐兰昆

、、、、。

Ⅲ

GB/T44861—2024/IEC62443-3-22020

:

引言

之所以没有简单的方法来保证工业自动化和控制系统的安全是因为安全是一个风险管理

(IACS),

问题由于面临的威胁产生这些威胁的可能性系统中固有的脆弱性以及系统被破坏时的后果不

。、、

同使得每一个都会给组织带来不同的风险此外不同组织对风险的容忍度都不同

,IACS。,。

本文件旨在指导组织评估特定的风险识别并应用安全对策将风险降低到可承受的水平

IACS,,。

本文件中的关键概念是区域和管道的应用定义见

,GB/T40211。

本文件的使用者包括资产所有者系统集成商产品供应商服务提供商和合规管理机构等

、、、。

本文件通过目标安全等级与能力安全等级达成一致来为确定安全对抗措施提供

(SL-T)(SL-C)

依据

。

Ⅳ

GB/T44861—2024/IEC62443-3-22020

:

工业自动化和控制系统安全

系统设计的安全风险评估

1范围

本文件规定了以下方面的要求

:

确定工业自动化和控制系统的被评估系统

a)(IACS)(SUC);

划分的区域和管道

b)SUC;

评估每个区域和管道的风险

c);

建立每个区域和管道的目标安全等级

d)(SL-T);

文档化安全要求

e)。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

工业通信网络网络和系统安全系统安全要求和安全等级

GB/T35673—2017(IEC62443-3-

3:2013,IDT)

3术语定义缩略语和约定

、、

31术语和定义

.

下列术语和定义适用于本文件

。

和维护的用于标准化的术语数据库网址如下

ISOIEC:

在线浏览平台

———ISO:/obp;

电工百科

———IEC:/。

311

..

通道channel

资产之间的特定逻辑或物理的通信链路

。

注通道有助于建立连接

:。

312

..

合规管理机构complianceauthority

有权确定管理文件中规定的安全评估的充分性或实施的有效性的实体机构

。

注合规管理机构的例子包括政府机构监管机构外部和内部审计机构

:、、。

313

..

管道conduit

连接两个及以上区域具有相同安全要求的通信信道的逻辑分组

、。

1

GB/T44861—2024/IEC62443-3-22020

:

314

..

保密性confidentiality

保留对信息获取和披露的授权限制包括保护个人隐私和专有信息的手段

,。

315

..

后果consequence

事件的结果通常描述为特定事件造成的健康和安全影响环境影响财产损失信息损失例如知

,、、、(

识产权和或业务中断成本

)/。

316

..

对抗措施countermeasure

通过消除或者阻止攻击最小化攻击造成的损失及时发现报告攻击以采取纠正措施从而降低威

,,、,

胁脆弱性或者攻击后果的行动装置过程或技术措施

、、、。

注术语控制也用来描述相似的概念但在本文件中使用对抗措施一词以避免与过程控制中控制一词

:“”。,“”,“”“”

相混淆

。

317

..

网络安全cybersecurity

为保护计算机或计算机系统免受未经授权的访问或攻击而采取的措施

。

注是计算机系统

:IACS。

318

..

数据流dataflow

数据在软件硬件或两者结合构成的系统中的流动

、。

319

..

外部网络externalnetwork

仅连接到但不属于的网络

SUCSUC。

3110

..

影响impact

与后果有关的最终损失或损害的度量

。

示例某一事件的后果是工业泄漏该泄漏造成的影响是约万元的罚款和约万元的清理费用

:,7017。

注影响可表示为受伤和或死亡人数环境损害程度和或损失程度如财产损害材料损失知识产权损失产量

:/、/,、、、

损失市场份额损失和恢复成本

、。

3111

..

可能性likelihood

某个事件发生的几率

。

注1在风险管理术语中可能性一词用于指发生某事的可能性无论是客观或主观的定性的或定量的定义测

:,“”,、、

量或确定的还是用一般术语或数学方法描述的如给定时间段内的概率或频率

,()。

注2在估计信息系统风险管理的可能性时考虑了许多因素如威胁源的动机和能力类似威胁的历史已知脆弱

:,,、、

性目标的迷惑性等

、。

来源有修改

[:GB/T23694—2013,,]

3112

..

过程危害分析processhazardanalysis

对与工业过程相关的潜在危险进行有组织和系统的评估

。

3113

..

残余风险residualrisk

实施现有对抗措施后仍然存在的风险例如净风险或实施对抗措施后的风险

(,)。

2

GB/T44861—2024/IEC62443-3-22020

:

3114

..

风险risk

损失预期表示为特定威胁利用特定脆弱性造成特定后果的可能性

,。

3115

..

安全等级securitylevelSL

;

安全区域或管道不受脆弱性影响并按预期方式工作的置信度

SUC、。

3116

..

安全边界securityperimeter

围绕受安全区域控制和保护的所有资产的逻辑或物理界线

。

3117

..

被评估系统systemunderconsiderationSUC

;

提供完整自动化解决方案所需的确定的资产集包括任何相关的网络基础设施资产

IACS,。

注一个由一个或多个区域和相关管道组成中的所有资产属于某个区域或管道

:SUC。SUC。

3118

..

威胁threat

可能对组织运作包括使命职能形象或声誉和或包括的组织资产产生不利影响的情况

(、、)/IACS

或事件

。

注情况包括违反安全策略有意或无意阻止访问数据或导致数据如控制逻辑参数保护逻辑参数或诊断等

:,(:/、/)

损毁披露或修改的个人

、。

3119

..

威胁环境threatenvironment

有关威胁信息的综合如威胁源威胁向量和趋势这些威胁可能对已界定的目标例如公司设施

,、,(,、

或产生不利影响

SUC)。

3120

..

威胁源threatsource

恶意利用脆弱性的意图和方法或可能意外地利用到脆弱性的情况和方法

,。

3121

..

威胁向量threatvector

威胁源能访问资产的路径或手段

。

3122

..

可承受风险tolerablerisk

组织认为可接受的风险水平

。

注组织在确定可容忍风险时宜包括法律要求和中提供了建立可容忍风险的相关指导

:。ISO31000NIST800-39。

3123

..

未缓解的网络安全风险unmitigatedcybersecurityrisk

在考虑任何网络安全对抗措施之前系统中存在的网络安全风险等级

,。

注这一等级有助于识别制定的应对措施需要降低多少网络安全风险

:。

3124

..

脆弱性vulnerability

系统设计实施或操作和管理中存在的可被利用来危害系统的完整性或安全策略的缺陷或弱点

、,。

3125

..

区域zone

基于风险或其他条件区分的逻辑或物理资产分组如资产的关键性操作功能物理或逻辑位置所

,、、、

3

GB/T44861—2024/IEC62443-3-22020

:

需访问权限例如最低权限原则或负责组织

(:)。

注逻辑或物理资产的集合是一种根据其共同安全要求关键性例如财务健康安全或环境影响功能逻辑

:,、(:、、)、、

和物理包括位置关系对被评估系统的划分方式

()。

32缩略语

.

下列缩略语适用于本文件

。

基本过程控制系统

BPCS:(BasicProcessControlSystem)

计算机安全应急响应组

CERT:(ComputerEmergencyResponseTeam)

网络安全要求规范

CRS:(CyberSecurityRequirementsSpecification)

分布式控制系统

DCS:(DistributedControlSystem)

人机界面

HMI:(HumanMachineInterface)

健康安全与环境

HSE:、(Health,SafetyandEnvironment)

暖通空调系统

HVAC:(Heating,VentilationandAir-conditioning)

工业自动化和控制系统

IACS:[IndustrialAutomationandControlSystem(s)]

工业控制系统

ICS-CERT:CERT(IndustrialControlSystemCERT)

工业物联网

IIoT:(IndustrialInternetofThings)

独立保护层

IPL:(IndependentProtectionLayer)

信息共享和分析中心

ISAC:(InformationSharingandAnalysisCenters)

制造执行系统

MES:(ManufacturingExecutionSystem)

流程危害分析

PHA:(ProcessHazardanalysis)

可编程逻辑控制器

PLC:(ProgrammableLogicController)

远程终端单元

RTU:(RemoteTerminalUnit)

监视控制与数据采集

SCADA:(SupervisoryControlandDataAcquisition)

安全仪表系统

SIS:(SafetyInstrumentedSystem)

实现的安全等级

SL-A:(AchievedSL)

能力安全等级

SL-C:(CapabilitySL)

目标安全等级

SL-T:(TargetSL)

通用串行总线

USB:(UniversalSerialBus)

区域和管道要求

ZCR:(ZoneandConduitRequirement)

33约定

.

本文件使用流程图来说明要求之间的工作流程这些流程图是资料性的可使用其他工作流程

。,。

4区域管道和风险评估要求

、

41概述

.

本章描述了将划分为区域和管道的要求以及评估网络安全风险和确定每个定义区域和管道

SUC,

的的要求本章中介绍的要求称为区域和管道要求本章还提供了每项要求的基本原理

SL-T。(ZCR)。

和附加指南图是一个