《网络关键设备安全技术要求 可编程逻辑控制器（PLC）-编制说明》

国家标准报批资料

一、工作简况

1.1任务来源

根据全国信息安全标准化技术委员会下达的2019年网络安全标准项目立项

清单，《信息安全技术可编程逻辑控制器（PLC）安全技术要求和测试评价方法》

由国家工业信息安全发展研究中心负责牵头起草。

1.2主要起草单位和工作组成员

国家工业信息安全发展研究中心负责起草，中国电子技术标准化研究院、中

国网络安全审查技术与认证中心、国家计算机网络应急技术处理协调中心、国家

信息技术安全研究中心、公安部第三研究所、工业和信息化部计算机与微电子发

展研究中心（中国软件评测中心）、中国信息通信研究院、中国电子信息产业集

团有限公司第六研究所、中国信息安全测评中心、机械工业仪器仪表综合技术经

济研究所、西门子（中国）有限公司、施耐德电气（中国）有限公司、浙江中控

技术股份有限公司、南大傲拓科技江苏股份有限公司、北京和利时智能技术有限

公司、烽台科技（北京）有限公司、欧姆龙自动化（中国）有限公司、中国电力

科学研究院有限公司、北京腾控科技有限公司、北京威努特技术有限公司、三菱

电机自动化（中国）有限公司等单位共同参与了该标准的起草工作。

1.3主要工作过程

2018年4月，国家工业信息安全发展研究中心对PLC产品开展调研和资料收集

工作，并对PLC产品安全功能进行了内部测试。

5月-7月，基于PLC产品实际的测试情况，结合国内和国际相关工业控制系统

及设备相关安全标准，形成PLC产品安全要求和测试评价规范的框架结构。

8月-10月，组织召开测试机构内部讨论会，对标准草案的框架架构进行调整，

并编写完成《信息安全技术可编程逻辑控制器（PLC）安全技术要求和测试评价

方法》标准草案初稿。

11月-12月，组织召开PLC厂商意见座谈会，介绍标准草案初稿的编制工作及

主要内容，听取行业各厂商相关意见；

2019年1月-3月，组织标准草案初稿的专家评审会，汇总整理专家修改意见，

完成标准草案初稿修改稿编制工作。

国家标准报批资料

4月，参与全国信息安全标准化技术委员会2019年第一次标准周会议，申请

国家标准项目立项，汇总整理6条修改意见。

5月-8月，组织编制工作组对标准周反馈的修改意见进行逐项修改，组织测

试机构和PLC厂商对标准草案中的测试评价方法进行验证。

9月，公开征集《信息安全技术可编程逻辑控制器（PLC）安全技术要求和

测试评价方法》标准参编单位，新增中电智能科技有限公司、中国科学院信息工

程研究所等19家单位参与标准编制工作。

二、标准编制原则和确定主要内容的论据及解决的主要问题

（一）标准编制原则

本标准编制原则是：

1.严格按照GB/T1.1-2009《标准化工作导则》的要求起草；

2.标准的相关内容应符合国家有关法律法规、强制性标准及相关产业政策要

求；

3.标准要具有科学性、先进性、经济性和可行性。

（二）拟解决的主要问题

1.界定整体式和模块式结构的PLC测试评价对象；

2.统一PLC安全功能要求以及相应的安全保障要求；

3.规范PLC安全功能和安全保障要求所应采取的测试评价方法。

（三）标准草案主要内容

本标准规定了可编程逻辑控制器（PLC）信息安全技术要求和测试评价方法。

由于PLC本身为具有控制功能的自动化电器设备，涉及保障人身安全等安装、运

维的相关技术要求不在本标准的范围之内。本标准适用于指导PLC设计、开发、

检测和评估。

1.评价对象的确定。

明确界定整体式和模块式PLC设备安全测试评价主体，确定PLC测试评价主

体的基本结构应至少包括CPU模块、输入模块、输出模块、通信模块和电源模块，

应用于特定场景的PLC产品还应包含其专用模块（如高速计数模块、运动控制模

块等）；

2.安全功能要求和安全保障要求的确定。

研究提出PLC所应具备的安全功能要求和安全保障要求。其中，安全功能要

国家标准报批资料

求参照国外IEC62443-4-2嵌入式产品通用安全功能要求分为用户标识与鉴别、

使用控制、数据完整性、数据保密性、数据流限制和资源可用性7类；安全保障

要求分为开发、指导性文档、生命周期支持、测试和脆弱性分析五个方面。

3.测试环境和测试条件的确定。

统一和规范开展PLC设备安全检测的测试环境和测试条件，对测试过程中的

拓扑环境和测试条件进行明确。

4.测试方法的确定。

统一和规范PLC设备安全功能要求和安全保障要求所采取的的测试方法。

三、主要试验[或验证]情况分析

无。

四、知识产权情况说明

本标准不涉及相关专利。

五、产业化情况、推广应用论证和预期达到的经济效果

本标准的起草能够统一和规范第三方测试机构在开展安全检测和安全认证

工作，减少PLC厂商的重复开发和安全检测、安全认证环节，有利于提升PLC

产品自身安全防护能力，促进PLC产品的安全健康发展。

六、采用国际标准和国外先进标准情况

标准编制组在标准编制过程中，专门分析了国外工控自动化安全标准IEC

62443系列标准，结合我国已有相关信息安全标准，综合考虑制定了本标准。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。

八、重大分歧意见的处理经过和依据

本标准在编制过程中未出现重大分歧意见。

九、标准性质的建议

本标准为首次制定，建议作为推荐性标准发布实施。

十、贯彻标准的要求和措施建议

建议国内PLC产品厂商、PLC产品安全测试机构和认证机构等相关单位采用。

十一、替代或废止现行相关标准的建议

无。

十二、其它应予说明的事项

国家标准报批资料

无。