《信息安全技术 信息系统安全等级保护基本要求 第5部分 工业控制安全扩展要求-编制说明》

1.概述

1.1.项目来源

本标准编写任务由公安部信息系统安全标准化技术委员会下达，公安部十一局组织，浙

江大学负责具体编制工作。

1.2.编制的背景和意义

随着信息技术的发展，网络安全等级保护工作的时效性、易用性、可操作性要求日益增

加，为了适应工业控制系统下网络安全等级保护工作的开展，我们对《GB/T22239.1—XXXX

信息安全技术网络安全等级保护基本要求第1部分：安全通用要求》（以下简称“安全通

用要求”）进行了扩展，形成了本部分，这对追赶世界先进水平、提升我国工业控制系统安

全能力都有着深远的意义。

1.3.编制的目的

通过本标准的制定，规定了网络安全等级保护的工业控制系统扩展要求，能够为电力、

水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散

制造（如汽车、航空航天和耐用品）等各行业、企业的工业控制系统网络安全等级保护措施

的设计、落实、测试、评估等提供清晰的指导要求。

1.4.编制原则

本标准在编制过程中，依据以下原则：

a.实用性原则

标准必须是可用的，才有实际意义，本标准在编制过程中严格按照流程对工控行业、工

控安全产品、技术等相关领域展开系统的、全面的调研工作，注重与工控各行业单位的交流，

进行工程实践验证，保证标准的可操作性。

b.先进性原则

标准是先进经验的总结，同时也是技术的发展趋势。本标准在编制过程中，充分吸收已

有国内外工业控制系统信息安全相关标准，包括：IEC62443系列标准、NISTSP800-82、NIST

SP800-41、IEC62264-1和集散控制系统（DCS）安全类系列标准等大量获工控行业广泛认可

的标准，既确保标准科学性，又使得标准内容符合我国国情。

c.兼容性原则

本标准与我国现有的政策、法规、标准和规范相一致。编制组在对标准起草过程中始终

遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。

1.5.编制说明内容简介

本标准在《安全通用要求》的基础上，针对监控和数据采集（SCADA）系统、集散控制

系统（DCS）、可编程逻辑控制器（PLC）、远程测控单元（RTU）等各类工业控制系统（ICS），

规定了网络安全等级保护的扩展要求，为电力、水和污水处理、石油和天然气、化工、交通

运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等各行

业、企业的工控系统网络安全等级保护措施的设计、落实、测试、评估等提供了清晰的指导

要求。

2015年7月1日，公安部在北京召开标准评审会，与会专家建议将标准名称修改为《信息

安全技术网络安全等级保护基本要求第5部分：工业控制系统安全扩展要求》（原为：《信

息安全技术信息系统安全等级保护基本要求第5部分：工业控制系统安全扩展要求》）。

2.主要工作过程

2.1.前期调研

本标准在研究国内外相关工控标准的基础上，根据我国工控行业的实际情况，提炼出适

用于批量控制、连续控制、离散控制等工业控制系统的网络安全等级保护的基本要求。

主要参考的标准有：

GB/T22239.1-XXXX《信息安全技术网络安全等级保护基本要求第1部分：安全通用要求》

GB/T30976.1-2014《工业控制系统信息安全第1部分：评估规范》

GB/T30976.2-2014《工业控制系统信息安全第2部分：验收规范》

GB/T32919-2016《信息安全技术工业控制系统安全控制应用指南》

NISTSP800-82-2011《GuidetoIndustrialControlSystems(ICS)Security》

NISTSP800-41-2009《GuidelinesonFirewallsandFirewallPolicy》

IEC62264-1《Enterprise-controlsystemintegration–Part1:Modelsandterminology》

IEC/TS62443-1-1《工业通信网络网络和系统安全第1-1部分：术语、概念和模型》

IEC62443-3《工业过程测量和控制安全第3部分：网络和系统信息安全》

IEC62443-3-3《工业通信网络网络和系统安全第3-3部分：系统安全要求和安全等级》

集散控制系统（DCS）安全防护标准

集散控制系统（DCS）安全评估标准

集散控制系统（DCS）风险与脆弱性检测标准

2.2.编制工作简要过程

2014年7月至2015年3月，在前期研究和工作积累的基础上，进行标准的编制工作，

完成了标准草案。

2016年4月6-7日，在广州召开专家评审会对标准草案进行讨论，与会期间，标准框

架，分层次、分安全域的工业控制系统安全等级保护思路得到行业专家的认可。

2016年4月23日，公安部三所在北京组织专家讨论《网络安全等级保护》的各部分标

准框架，本部分的标准框架得到专家认可。

2016年4月27日，公安部三所在北京组织专家，对《网络安全等级保护》的各部分标

准进行协调，要求各部分标准与《安全通用要求》保持一致。

2016年5月3日，公安部三所在北京组织专家对《网络安全等级保护》的各部分标准

进行讨论。

2016年5月17日，公安部三所在北京组织专家，再次对《网络安全等级保护》的各部

分标准具体要求进行讨论。

2016年5月26日，在北京召开专家评审会对标准草案进行讨论，对标准的控制点进行

逐一审阅，确保本标准在工控各行业具有广泛可行性。

2016年7月1日，在北京开展专家评审会，会议上以沈昌祥院士为组长的专家组专家

听取了标准编制情况的汇报，并一致同意标准通过评审，行标形成征求意见稿。

2016年10月17-20日，在成都召开了2016年度TC260第二次会议周，与会专家听取

标准汇报情况，国标形成征求意见。

2016年10月27日，在北京开展专家审查会，会议上以崔书昆为组长的专家组专家听

取了标准编制情况的汇报，并一致同意标准通过审查，行标形成送审稿。

2016年11月18日，在北京向公安部陆磊处长以及电子六所等单位一同进行了工控相

关标准对比，并对本标准的情况进行汇报，本标准与其他工控相关标准不存在冲突。

在历次的专家评审会中，与会专家来自各个工控行业单位，包括：

等保安全相关部门：国家信息技术安全研究中心、中国软件测评中心；

工控相关研究所：工业西南电力设计院、东方电气中央研究院、北京市轨道交通设计研

究院有限公司、工业和信息化部电子第五研究所

工业产品生产单位：北京国电智深控制技术有限公司、北京和利时系统工程公司

工控安全产品生产单位：启明星辰、

工控国企：中石化齐鲁石化公司、中国石油天然气管道工程有限公司、北京自来水集团

工控外企：西门子（中国）有限公司、施耐德电气（中国）有限公司

2.3.汉译英情况

本标准的汉译英部分涉及标准名称、术语和定义，在汉译英的过程中，工作组做了一下

工作，参考了国内外工控相关标准中的相关汉译英部分内容，如IEC62443-1、GB/T30976.1

等标准中的术语和定义，在此基础上，充分吸收标准审查会专家意见，确定了最终的汉译英

内容，并得到了专家的一致认可。

3.标准主要结构和内容

3.1.主要结构

本标准主要参考《安全通用要求》的框架，具体内容主要结合《安全通用要求》标准、

IEC62264-1标准、IEC62443系列标准、DCS系统标准等相关标准进行起草，同时，也结合

了公安部去年某大型工程网络安全验收项目进行验证与补充（第三、第四级）。

本标准参考IEC62264-1对工控系统进行层次结构划分，参考IEC62443-1-1对工控系统

进行分安全域保护，在《安全通用要求》的框架下，结合相关工控标准设立不同安全等级的

保护要求。在起草相关安全保护要求时，考虑工控系统本身的特点，主要是对工控系统的数

据进行保护，并不要求一定设立防火墙，而是既可以由生产厂商提供安全保护措施，也可由

第三方提供保护措施，不做限定。

3.2.主要内容

标准的主要内容由概述部分和安全等级要求两大部分构成。

标准概述部分内容包含以下几点：

概述典型工业系统特点。

介绍了几种典型工业控制系统的特点，包括SCADA系统、DCS系统、PLC系统和RTU系

统。对各个系统之间的区别与特点做了相应阐述。目的在于让读者在使用本标准时，对工业

控制系统能有一定了解，能更好地理解下文阐述的工业控制系统安全等级保护相关要求的执

行。

建立工控系统层次化模型，并综合考虑相关因素划分安全域。

在上文介绍了几种典型工业控制系统的基础上，将工业控制系统模型抽象化，参考

62264-1的内容将工控系统模型抽象为层次化模型，并对各个层次的功能特点进行说明。然

后，对各个层次的典型设备、组件进行映射，介绍了各个层次的具体资产。目的在于介绍工

控系统各个层次的不同功能与资产，明确下文分层次的各级保护要求的应用对象。

工控系统等级保护原则和要求。

本标准针对工控系统的软件、硬件、网络协议等的安全性，规定了需要保护的数据、指

令、协议等要素，其具体实现方式（如可信性计算等）、防护手段应根据具体的工控系统品

牌、配置、工程实际等具体确定。但必须保证这些防护措施对系统的正常运行不产生危害或

灾难性的生产停顿，必须保证这些防护措施经过工业现场的工程实践验证，并获得用户认可。

根据《安全通用要求》的框架，提出工控系统等级保护原则，即分安全域保护原则。分

安全域保护原则主要说明了工控系统在安全域划分的基础上，需要综合考虑安全域资产价值、

被控对象等因素，对各个安全域采用不同安全保护措施，同时，对安全域安全等级保护要求

的执行进行说明，明确了单层次安全域与跨层次安全域的等级要求如何执行。

工业控制系统定级。

根据工业控制系统业务对象、业务特点和业务范围等因素，综合确定工控系统等级保护

对象。在对等级保护对象进行安全定级的基础上，可对定级对象进行安全域划分，各个安全

域可根据工控系统实际情况，采用不同安全保护措施。

安全防护技术或产品的使用必须在工业生产实践验证、用户认可的基础上进行，确保不

会导致工控系统异常。

定级时应综合考虑资产价值、生产对象、后果等因素，确定定级对象的安全等级。

工业控制系统等级保护通用约束条件。

实施本标准第5章～第8章详述的安全等级保护要求时，应遵循通用约束，确保严格的

完整性和可用性的要求，不应造成保护丧失、控制丧失、观察丧失或其它基本功能丧失。

标准的安全等级要求说明：

根据《安全通用要求》标准的框架，对各级安全要求按照物理安全、网络和通信安全、

设备和计算安全、应用和数据安全的框架进行说明。在此基础上，结合工控系统的实际情况，

对系统划分层次，分别就上述框架内容进行安全等级保护说明，同时，边界防护、集中管控

两点不作分层说明。

参考IEC62443-3、IEC62443-3-3、集散控制系统(DCS)安全防护标准对各级安全要求的具

体内容进行一定程度的修改、增强和删减。

本标准内容如下：

前言

引言

1范围

2规范性引用文件

3术语、定义和缩略语

3.1术语和定义

3.1.1工业控制系统industrialcontrolsystem

3.1.2安全域securityzone

3.1.3边界boundary

3.1.4数据传输管道datatransmissionchannel

3.1.5控制中心controlcenter

3.1.6控制设备controlequipment

3.1.7移动代码mobilecode

3.1.8会话session

3.1.9会话IDsessionID

3.2缩略词和缩略语

4概述

4.1工业控制系统概述

4.1.1总则

4.1.2层次模型

4.1.3安全域模型

4.1.4安全域划分原则

4.2工业控制系统等级保护原则和要求

4.2.1总则

4.2.2安全域保护原则

4.2.3安全域保护措施实施说明

4.2.4技术要求和管理要求

4.3工业控制系统定级

4.4工业控制系统等级保护通用约束条件

4.4.1概述

4.4.2基本功能支持

4.4.3补偿措施

5第一级基本要求

5.1技术要求

5.1.1物理安全

5.1.2边界防护

5.1.3集中管控

5.1.4生产管理层安全要求

5.1.4.1网络和通信安全

5.1.4.1.1无线使用控制

5.1.4.1.2访问控制

5.1.4.1.3安全审计

5.1.4.2设备和计算安全

5.1.4.2.1身份鉴别

5.1.4.2.2访问控制

5.1.4.2.3安全审计

5.1.4.2.4入侵防范

5.1.4.2.5恶意代码防范

5.1.4.2.6资源控制

5.1.4.3应用和数据安全

5.1.4.3.1身份鉴别

5.1.4.3.2访问控制

5.1.4.3.3安全审计

5.1.4.3.4软件容错

5.1.4.3.5数据完整性

5.1.4.3.6数据保密性

5.1.4.3.7数据备份和恢复

5.1.5过程监控层安全要求

5.1.5.1网络和通信安全

5.1.5.1.1网络架构

5.1.5.1.2无线使用控制

5.1.5.1.3访问控制

5.1.5.1.4入侵防范

5.1.5.1.5安全审计

5.1.5.2设备和计算安全

5.1.5.2.1身份鉴别

5.1.5.2.2访问控制

5.1.5.2.3安全审计

5.1.5.2.4入侵防范

5.1.5.2.5恶意代码防范

5.1.5.2.6资源控制

5.1.5.3应用和数据安全

5.1.5.3.1身份鉴别

5.1.5.3.2访问控制

5.1.5.3.3安全审计

5.1.5.3.4软件容错

5.1.5.3.5资源控制

5.1.5.3.6数据完整性

5.1.5.3.8数据备份恢复

5.1.6现场控制层安全要求

5.1.6.1网络和通信安全

5.1.6.1.1网络架构

5.1.6.1.2无线使用控制

5.1.6.1.3访问控制

5.1.6.1.4安全审计

5.1.6.2设备和计算安全

5.1.6.2.1安全审计

5.1.6.3应用和数据安全

5.1.6.3.1数据完整性

5.1.6.3.2数据备份恢复

5.1.7现场设备层安全要求

5.1.7.1网络和通信安全

5.1.7.1.1无线控制使用

5.1.7.2应用和数据安全

5.1.7.2.1数据完整性

5.1.7.2.2数据备份恢复

5.2管理要求

6第二级基本要求

6.1技术要求

6.1.1物理安全

6.1.2边界防护

6.1.3集中管控

6.1.4生产管理层安全要求

6.1.4.1网络和通信安全

6.1.4.1.1网络架构

6.1.4.1.2通信传输

6.1.4.1.3无线使用控制

6.1.4.1.4访问控制

6.1.4.1.5入侵防范

6.1.4.1.6安全审计

6.1.4.2设备和计算安全

6.1.4.2.1身份鉴别

6.1.4.2.2访问控制

6.1.4.2.3安全审计

6.1.4.2.4入侵防范

6.1.4.2.5恶意代码防范

6.1.4.2.6资源控制

6.1.4.3应用和数据安全

6.1.4.3.1身份鉴别

6.1.4.3.2访问控制

6.1.4.3.4软件容错

6.1.4.3.5资源控制

6.1.4.3.6数据完整性

6.1.4.3.7数据保密性

6.1.4.3.8数据备份和恢复

6.1.4.3.9剩余信息保护

6.1.5过程监控层安全要求

6.1.5.1网络和通信安全

6.1.5.1.1网络架构

6.1.5.1.2通信传输

6.1.5.1.3无线使用控制

6.1.5.1.4访问控制

6.1.5.1.5入侵防范

6.1.5.1.6安全审计

6.1.5.2设备和计算安全

6.1.5.2.1身份鉴别

6.1.5.2.2访问控制

6.1.5.2.3安全审计

6.1.5.2.4入侵防范

6.1.5.2.5恶意代码防范

6.1.5.2.6资源控制

6.1.5.3应用和数据安全

6.1.5.3.1身份鉴别

6.1.5.3.2访问控制

6.1.5.3.3安全审计

6.1.5.3.4软件容错

6.1.5.3.5资源控制

6.1.5.3.6数据完整性

6.1.5.3.7数据保密性

6.1.5.3.8数据备份恢复

6.1.5.3.9剩余信息保护

6.1.6现场控制层安全要求

6.1.6.1网络和通信安全

6.1.6.1.1网络架构

6.1.6.1.2通信传输

6.1.6.1.3无线使用控制

6.1.6.1.4访问控制

6.1.6.1.5入侵防范

6.1.6.1.6恶意代码防范

6.1.6.1.7安全审计

6.1.6.2设备和计算安全

6.1.6.2.1安全审计

6.1.6.2.2入侵防范

6.1.6.3应用和数据安全

6.1.6.3.1数据完整性

6.1.6.3.2数据保密性

6.1.6.3.3数据备份恢复

6.1.7现场设备层安全要求

6.1.7.1网络和通信安全

6.1.7.1.1无线控制使用

6.1.7.2应用和数据安全

6.1.7.2.1数据完整性

6.1.7.2.2数据备份恢复

6.2管理要求

7第三级基本要求

7.1技术要求

7.1.1物理安全

7.1.2边界防护

7.1.3集中管控

7.1.4生产管理层安全要求

7.1.4.1网络和通信安全

7.1.4.1.1网络架构

7.1.4.1.2通信传输

7.1.4.1.3无线使用控制

7.1.4.1.4访问控制

7.1.4.1.5入侵防范

7.1.4.1.6恶意代码防范

7.1.4.1.7安全审计

7.1.4.2设备和计算安全

7.1.4.2.1身份鉴别

7.1.4.2.2访问控制

7.1.4.2.3安全审计

7.1.4.2.4入侵防范

7.1.4.2.5恶意代码防范

7.1.4.2.6资源控制

7.1.4.3应用和数据安全

7.1.4.3.1身份鉴别

7.1.4.3.2访问控制

7.1.4.3.3安全审计

7.1.4.3.4软件容错

7.1.4.3.5资源控制

7.1.4.3.6数据完整性

7.1.4.3.7数据保密性

7.1.4.3.8数据备份和恢复

7.1.4.3.9剩余信息保护

7.1.5过程监控层安全要求

7.1.5.1网络和通信安全

7.1.5.1.1网络架构

7.1.5.1.2通信传输

7.1.5.1.3无线使用控制

7.1.5.1.4访问控制

7.1.5.1.5入侵防范

7.1.5.1.6安全审计

7.1.5.2设备和计算安全

7.1.5.2.1身份鉴别

7.1.5.2.2访问控制

7.1.5.2.3安全审计

7.1.5.2.4入侵防范

7.1.5.2.5恶意代码防范

7.1.5.2.6资源控制

7.1.5.3应用和数据安全

7.1.5.3.1身份鉴别

7.1.5.3.2访问控制

7.1.5.3.3安全审计

7.1.5.3.4软件容错

7.1.5.3.5资源控制

7.1.5.3.6数据完整性

7.1.5.3.7数据保密性

7.1.5.3.8数据备份恢复

7.1.5.3.9剩余信息保护

7.1.6现场控制层安全要求

7.1.6.1网络和通信安全

7.1.6.1.1网络架构

7.1.6.1.2通信传输

7.1.6.1.3无线使用控制

7.1.6.1.4访问控制

7.1.6.1.5入侵防范

7.1.6.1.6恶意代码防范

7.1.6.1.7安全审计

7.1.6.2设备和计算安全

7.1.6.2.1身份鉴别

7.1.6.2.2安全审计

7.1.6.2.3入侵防范

7.1.6.2.4资源控制

7.1.6.3应用和数据安全

7.1.6.3.1数据完整性

7.1.6.3.2数据保密性

7.1.6.3.3数据备份恢复

7.1.7现场设备层安全要求

7.1.7.1网络和通信安全

7.1.7.1.1无线控制使用

7.1.7.2应用和数据安全

7.1.7.2.1数据完整性

7.1.7.2.2数据备份恢复

7.2管理要求

8第四级基本要求

8.1技术要求

8.1.1物理安全

8.1.2边界防护

8.1.3集中管控

8.1.4生产管理层安全要求

8.1.4.1网络和通信安全

8.1.4.1.1网络架构

8.1.4.1.2通信传输

8.1.4.1.3无线使用控制

8.1.4.1.4访问控制

8.1.4.1.5入侵防范

8.1.4.1.6恶意代码防范

8.1.4.1.7安全审计

8.1.4.2设备和计算安全

8.1.4.2.1身份鉴别

8.1.4.2.2访问控制

8.1.4.2.3安全审计

8.1.4.2.4入侵防范

8.1.4.2.5恶意代码防范

8.1.4.2.6资源控制

8.1.4.3应用和数据安全

8.1.4.3.1身份鉴别

8.1.4.3.2访问控制

8.1.4.3.3安全审计

8.1.4.3.4软件容错

8.1.4.3.5资源控制

8.1.4.3.6数据完整性

8.1.4.3.7数据保密性

8.1.4.3.8数据备份和恢复

8.1.4.3.9剩余信息保护

8.1.5过程监控层安全要求

8.1.5.1网络和通信安全

8.1.5.1.1网络架构

8.1.5.1.2通信传输

8.1.5.1.3无线使用控制

8.1.5.1.4访问控制

8.1.5.1.5入侵防范

8.1.5.1.6安全审计

8.1.5.2设备和计算安全

8.1.5.2.1身份鉴别

8.1.5.2.2访问控制

8.1.5.2.3安全审计

8.1.5.2.4入侵防范

8.1.5.2.5恶意代