ICS 25.040 JB N10 备案号：45861—2014 中华人民共和国机械行业标准 JB/T11961—2014/IEC/TS62443-1-1:2009 工业通信网络 网络和系统安全 术语、概念和模型 Industrial communication networks-Network and system security Terminology,conceptsandmodels (IEC/TS62443-1-1:2009，IDT) 2014-05-06发布 2014-10-01实施 中华人民共和国工业和信息化部发布 中华人民共和 国 机械行业标准 工业通信网络网络和系统安全 术语、概念和模型 JB/T11961—2014/IEC/TS62443-1-1:2009 * 机械工业出版社出版发行 北京市百万庄大街22号 邮政编码：100037 * 210mm×297mm?4印张·133千字 2015年8月第1版第1次印刷 定价：54.00元 * 书号：15111·12178 网址：http：//www.cmpbook.com 编辑部电话：（010）88379778 直销中心电话： （010）88379693 封面无防伪标均为盗版 版权专有 侵权必究 JB/T119612014/IEC/TS62443-1-1:2009 目 次 前言 .I 引言. IV 1范围. 1.1 概述.. 1.2 所含的功能性 1.3系统和接口， 1.4基于活动的准则 1.5基于资产的准则 2规范性引用文件 3术语和缩略语 3.1介绍. 3.2 3.3 缩略语. 16 情况 4 4.1 概述. 17 4.2 当前系统， 4.3 当前趋势. 17 4.4 潜在影响， 18 5 概念 18 5.1 概述. 18 5.2 信息安全目标. 18 5.3 基础要求.. 19 5.4 纵深防御. 5.5 信息安全上下文 5.6 威胁-风险评估. 21 5.7 安全程序成熟度. 5.8 策略 .31 5.9 安全区域. 34 5.10 管道. .35 5.11 信息安全等级 ..36 5.12 信息安全等级生命周期 .40 模型 6 43 6.1 概述， 43 6.2 参考模型， 44 资产模型.. 6.3 .46 6.4 参考体系结构... 49 6.5 区域和管道模型 49 6.6 模型间的关系 56 I JB/T11961—2014/IEC/TS62443-1-1:2009 参考文献. 58 图1IACS和一般IT系统目标比较 .19 图2上下文要素相互关系 .20 图3上下文模型.. .20 图4 商业IT和IACS网络安全集成. 27 图5 网络安全等级随时间的变化 .27 图6 用于CSMS开发的综合资源. .28 图7 管道示例... 图8 信息安全等级生命周期. .40 图9 信息安全等级生命周期一 一评估阶段 .41 图10 信息安全等级生命周期 实施阶段 42 图11 信息安全生命周期一 一维护阶段 43 图12 IEC62443使用的参考模型 44 图13 SCADA参考模型 44 图14 过程制造资产模型例子。 47 图15 SCADA系统资产模型例子 .47 图16 简单参考体系结构例子. .49 图17 多工厂区域例子 .50 图18 分离区域例子。 .51 图19 SCADA区域例子， .51 图20 SCADA分离区域例子 52 图21 企业管道. 55 图22 SCADA管道例子 55 图23 模型之间的关系. 57 表 1 资产的损失类型 22 表2安全成熟度阶段 .29 表3概念阶段. .29 表4功能分析阶段 ..29 表5实施阶段 ..30 表6运行阶段 30 表7[ 回收和处置阶段， .30 表8信息安全等级. 37 JB/T11961—2014/IEC/TS62443-1-1:2009 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准使用翻译法等同采用IEC/TS62443-1-1：2009《工业通信网络 网络和系统安全术语、概 念和模型》。 为了使用方便，本标准做了下列编辑性修改： 一删除了原文中的前言； 一将介绍部分的内容作为本标准的引言； 一如果不做说明，文中的“安全”都是指“信息安全” 本标准由中国机械工业联合会提出。 本标准由全国工业过程测量和控制标准化技术委员会（SAC/TC124）归口。 本标准起草单位：机械工业仪器仪表综合技术经济研究所、中国电子技术标准化研究所、北京和利 时系统工程有限公司、西门子（中国）有限公司、施耐德电气（中国）有限公司、中国核电工程有限公 司、北京钢铁设计研究总院、罗克韦尔自动化（中国）有限公司、中国电力科学研究院、清华大学、浙 江大学、西南大学、重庆邮电大学、华中科技大学、北京奥斯汀科技有限公司、上海自动化仪表股份有 限公司、东土科技股份有限公司、三菱电机自动化（中国）有限公司、中国仪器仪表学会、中国科学院 沈阳自动化研究所、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、无线网络安 全技术国家工程实验室、西安西电捷通无线网络通信股份有限公司、北京力控华康科技有限公司、北京 海泰方圆科技有限公司、横河电机（中国）有限公司北京研发中心、中标软件有限公司。 本标准主要起草人：王玉敏、唐一鸿、罗安、隋爱芬、陈小、吕冬宝、夏德海、华、王玉裴、 王雪、冯冬芹、刘枫、王浩、周纯杰、陈小枫、张建军、薛百华、龚明、张莉、曾鹏、刘安正、田雨聪、 李琴、胡亚楠、方亮、胡伯良、杨磊、何佳、丁露、王春喜、惠敦炎、唐文、王勇、杜佳琳、王亦君、 陈日罡、张涛、高昆仑、刘利民、丁青芝、刘文龙 本标准为首次发布。 IⅢI JB/T11961—2014/IEC/TS62443-1-1:2009 引言 本标准的主题是工业自动化和控制系统的信息安全。为了适用于应用范围（如工业类型），每条术 语都被广泛理解。 术语“工业自动化和控制系统”（IACS），包括了用于制造业和流程工业的控制系统、楼宇控制系 统、地理上分散的操作诸如公共设施（例如电力、天然气和自来水）、管道和石油生产及分配设施、其 他工业和应用如交通运输网络，那些使用自动化的或远程被控制或监视的资产。 本标准中的术语“信息安全”是指防非法或有害的渗入，有意或无意的妨碍正常的和预期的运行、 或不适宜的访问IACS的保密信息。本标准特别关注的计算机信息安全，包括计算机、网络、操作系统、 应用和系统的其他可编程组件。 本标准的读者包括所有的IACS用户（包括设施运行、维护、施工和用户组织公司的一部分）、生产 者、供应商、政府组织在内的、被影响的、控制系统计算机信息安全、控制系统实践者和信息安全实践 者。因为信息技术（IT）和操作人员、工程人员以及制造商组织之间的互相理解和合作对于任何信息倡 议取得全面成功都是非常重要的，本标准也是那些负责IACS和企业网络集成人员的参考资料。 本标准主要包括以下几个典型的问题： IACS信息安全应用的范围是什么； ：使用统一的术语如何定义信息安全系统的需要和要求； 以什么基本概念为基础以便用于活动、系统属性和行动的进一步分析，这些对提供电子信息安 全控制系统来说非常重要； 如何对IACS构件进行分组或分类以用于定义和管理信息安全； · 控制系统应用中，不同的信息安全目标是什么： 这些目标是如何建立和修改的。 每个问题都在以下章节中详细介绍。 IV JB/T11961—2014/IEC/TS62443-1-1:2009 工业通信网络网络和系统安全 术语、概念和模型 1范围 1.1概述 本标准是技术规范，定义了用于工业自动化和控制系统（IACS）信息安全的术语、概念和模型， 是系列标准中其他标准的基础。 为了全面清晰地表达本标准的系统和组件，可以从几个方面定义和理解覆盖的范围，包括如下： —所含功能性的范围； —特定的系统和接口； 一选择所含活动的准则； 一选择所含资产的准则。 以下几节是对这些内容的介绍。 1.2所含的功能性 本标准的范围能够描述为组织信息和自动化系统内的功能性范围。该功能性可以典型地以一个或更 多的模型来描述。 本标准主要集中于工业自动化和控制，这在参考模型中有所描述（见第6章）。虽然考虑了业务系 统和工业系统间进行数据完整性的交换，业务的持续性和后勤系统并不在本技术规范的范围内。 工业自动化和控制包括了过程自动化中典型常见的监视控制构件，也包括SCADA（数据监控与采 集）系统，该系统常被组织用于操作企业关键基础设施。企业关键基础设施包括但不限于： —输变电和配电： 一供气和供水管网； 一石油和燃气生产运营； 一燃气和液体传输管道。 SCADA系统也可以应用在企业的其他关键和非关键基础设施中。 1.3系统和接口 在所含的全部IACS，该标准覆盖了系统中可能会改变或影响到工业过程的功能安全、信息安全和 可靠运行。这些包括，但不限于： 程终端单元（RTU)、智能电子设备、SCADA系统、网络电子传感和控制、输油监测计量系统 以及监视和诊断系统【本标准中，工业控制系统包括基本过程控制系统和安全仪表系统（SIS）， 不管它们是否物理上分离或整合]。 b）与第6章描述的参考模型中第3层或更下层相关的系统。诸如先进或多变量控制、在线优化器、 专用设备监视器、图形界面、过程历史记录、生产执行系统、管道泄漏检测系统、工作管理、 停电管理以及电能量管理系统。 c）用于提供控制、功能安全、生产或远程操作功能以实现连续、批量、离散以及其他过程的相关 1