N10 ICS25.040
中华人民共和国国家标准
GB/T40682-2021/IEC62443-2-4:2015
工业自动化和控制系统安全 IACS服务提供商的安全程序要求
Securityforindustrialautomationandcontrolsystem-Securityprogram requirementsforIACSserviceproviders
(IEC 62443-2-4:2015,Security for industrial automation and control system- Part 2-4:Security program requirements for IACS service providers,IDT)
2021-10-11发布2022-05-01实施 国家市场监督管理总局发布 国家标准化管理委员会
GB/T 40682-2021/IEC62443-2-4:2015
目次
前言 1范围 2规范性引用文件 3术语、定义和缩略语 3.1术语和定义 3.2缩略语 4概念 4.1本标准的使用 4.2成熟度模型 5要求综述 5.1内容 5.2分类与筛选 5.3IEC62264-1层次模型 5.4要求表的列 5.5列的定义 附录A(规范性附录)安全要求15 参考文献65
GB/T 40682-2021/IEC62443-2-4:2015
前言
IEC62443是应用于工业自动化和控制系统安全的系列国际标准,目前我国已采用该系列标准发 布了GB/T33007一2016《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》 (IEC62443-2-1:2010,IDT)、GB/T35673一2017《工业通信网络网络和系统安全系统安全要求和
的系列国家标准。
本标准按照GB/T1.1一2009给出的规则起草。
本标准使用翻译法等同采用IEC62443-2-4:2015《工业自动化和控制系统安全第2-4部分:1ACS 服务提供商的安全程序要求》。
本标准做了下列编辑性修改: -将标准名称修改为《工业自动化和控制系统安全IACS服务提供商的安全程序要求》。
本标准由中国机械工业联合会提出。
本标准由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)归口。
本标准起草单位:机械工业仪器仪表综合技术经济研究所、电力规划总院有限公司、中国核电工程 有限公司、和利时科技集团有限公司、北京市自来水集团有限责任公司、浙江大学、华中科技大学、重庆 邮电大学、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、西门子(中国)有限公 司、施耐德电气(中国)有限公司、罗克韦尔自动化(中国)有限公司、中国科学院沈阳自动化研究所、北京 启明星辰信息安全技术有限公司、北京国电智深控制技术有限公司、深圳万讯自控股份有限公司、中国 电子科技集团公司第三十研究所、工业和信息化部电子第五研究所、西南大学、中国东方电气集团有限 公司、北京四方继保自动化股份有限公司、国家工业信息安全发展研究中心、北京市轨道交通设计研究 院有限公司、上海自动化仪表有限公司、重庆信安网络安全等级测评有限公司、公安部第三研究所、中国 网络安全审查技术与认证中心、北京网御星云信息技术有限公司。
本标准主要起草人:王玉敏、梅恪、张晋宾、王彦君、华、孙静、张晨艳、冯冬芹、周纯杰、李锐、 陈小综、朱镜灵、魏曼、王浩、王、刘杰、成继勋、赵军凯、兰昆、尚文利、张为群、刘枫、刘志祥、袁晓舒、 尚羽佳、郭永振、杜振华、张哲宇、肖衍、陆妹、丁长富、肖煦媛、高镜媚、闫韬、袁静、任卫红、甘杰夫、 宋文刚。
GB/T 40682-2021/IEC62443-2-4:2015
工业自动化和控制系统安全 IACS服务提供商的安全程序要求
1范围
本标准定义了在自动化解决方案的集成和维护活动中IACS服务提供商可以向资产者提供的 安全能力的一系列综合要求。
因为并不是的要求都适用于的工业门类和组织,所以4.1.4为 行规制定提供了这些要求的子集。
行规用于将本标准适用于特定环境,也包括不基于IACS的环境。
注1:术语“自动化解决方案"在本标准中用作名词,防止与这一术语的其他用法混淆。
本标准中的“安全”指 “网络安全”。
总之,IACS服务提供商提供的安全能力,被称为安全程序。
在相关规范中,IEC62443-2-1描述了 对资产者安全管理系统的要求。
注2:这些安全能力通常指的是策略、规程、实践和相关人员。
图1说明了集成和维护能力是如何与IACS以及集成到自动化解决方案中的控制系统产品相关 的。
某些能力参考了IEC62443-3-3里定义的安全措施,服务提供商必须确保在自动化解决方案中(包 含在控制系统产品中或单独添加到自动化解决方案中)支持这些措施。
操作工业自动化和控制系统(IACS) 资产 者操作和维护能力(策略和规程)
+ 自动化解决方案 系统集成能力基本过程安全仪表 集成商(设计和部署)控制系统系统补充的硬
(BPCS)(SIS)件和软件 IACS环境/具体项目
包括一个控制系统产品的配置实例
控制系统产品由以下部分组合 供应商开发
支持应嵌入式网络主机 独立于IACS环境用程序设备组件设备
图1服务提供商的能力范围 在图1中,自动化解决方案的图示包括一个基本过程控制系统(BPCS),可选的安全仪表系统(SIS) 和可选的支持应用程序,例如先进控制。
虚线框表示这些组件是“可选的”。
注3:在BPCS中术语“过程"可用于多种工业过程,包括连续过程和(离散)制造流程。
GB/T 40682-2021/IEC62443-2-4:2015 注4:4.1.4描述了概述文件(profile)以及工业集团和其他组织可以如何使用它,从而使本标准适应其特定环境,包 括不基于IACS的环境。
注5:自动化解决方案通常有一个单独的控制系统(产品),但并不仅限于此。
通常,自动化解决方案是硬件和软件
2规范性引用文件
无。
3术语、定义和缩略语
3.1术语和定义 下列术语和定义适用于本文件。
3.1.1 资产者assetowner 负责一个或者多个IACS的个人或者组织。
注1:用于代替常说的最终用户以示区别。
注2:定义包括了构成IACS的组件。
注3:本标准中,资产者也包括IACS的运营者。
3.1.2 攻击面attack surface 能够访问系统的物理的和功能的接口,并且通过该接口可以潜在利用该系统。
注1:对于软件接口,攻击面的大小与接口定义的方法和参数数量成正比。
因此,与复杂接口比较,简单接口的攻击 面比较小。
注2:攻击面的大小与脆弱性的数量之间没有必然联系。
3.1.3 自动化解决方案automationsolution 在IACS中已安装、组态并运行的控制系统及其他额外的硬件和软件组件。
注1:在本标准中,自动化解决方案被用作名词。
注2:控制系统和自动化解决方案的区别在于控制系统包含在自动化解决方案设计中(例如,以特定方式配置的一 定数量的工作站、控制器和设备),然后被实现。
该最终的配置被称为自动化解决方案。
注3:自动化解决方案可以由来自多个供应商的组件构成,供应商也包括控制系统的产品供应商。
3.1.4 基本过程控制系统basicprocess control system
过程及其相关设备以要求的方式运行,但不执行任何安全完整性功能(SIF)的系统。
注1:安全仪表功能的定义见IEC61508。
注2:本定义中的术语“过程”适用于多种工业过程,包括连续过程和制造流程。
3.1.5 咨询方consultant 给集成或维护服务提供商提供专家意见或指导的分包方。
2...
