《信息安全技术 工业控制系统现场测控设备安全功能要求》编制说明

一、编制背景

针对目前工控现场测控设备存在的信息安全功能脆弱

性和实现漏洞，亟需针对这些具有处理能力的现场测控设备

制定信息安全要求标准，规范设备的安全功能和安全设计与

实现，标准化有关部门、测评认证机构对设备的安全性评价、

评估、认证基准。

2012年12月，中国电力科学研究院（以下简称中国电

科院）与全国信息安全标准化技术委员会签订国家信息安全

战略研究与标准制定工作专项项目任务书，开展《信息安全

技术工业控制系统测控终端安全要求》标准的研究与编写

工作。

二、编制依据

1、《电力监管条例》（中华人民共和国国务院令第432

号）、《电力行业网络与信息安全监督管理暂行规定》（电

监信息[2007]50号）、《电力二次系统安全防护规定》（电

监会5号令）等电监会规范性文件。

2、《信息安全技术信息系统安全等级保护基本要求》

（GB/T22239-2008）、《信息技术安全技术信息技术安全

性评估准则第2部分:安全功能要求》（GB/T

18336.2-2008/IEC15408-2:2005）、NISTSpecialPublication

800-53Revision3RecommendedSecurityControlsforFederal

InformationSystemsandOrganizations、ISA-99.04.02Security

-1-

forindustrialautomationandcontrolsystems-Technical

SecurityRequirementsforIACSComponentsDraft1Edit1等

国家和国际标准。

三、标准范围

本标准规定了工业控制系统现场测控终端设备的安全

技术要求，适用于指导设备的安全设计、开发、测试与评估。

典型设备包括远程传输单元（RTU）、智能电子装置（IED）、

可编程逻辑控制器（PLC）等。

某些内容因涉及设备功能实现原理、工业控制系统整体

管理和运行或仅仅是信息技术安全的外围技术，因此不在本

标准范围之内。

四、编制过程

2013年2月，成立了由8家单位共同组成的标准编写组。

2013年3月28日，召开了《工业控制系统测控终端安

全要求》标准编制工作启动会，确定了标准编制的技术思路、

主要内容、标准框架及工作计划。

2013年5月，编写组采用研究与编制相结合的原则，采

用分散研究和集中讨论的形式，形成标准草案的结构、范围

和对象描述。

2013年7月，初步完成标准草案中安全技术要求的编写，

并在协调会上对标准的内容和工作进展进行了汇报。

2013年8月-9月，根据协调会意见对标准进行了修改，

并编制完成安全分级与安全要求的对应关系。

-2-

2013年10月，同包括施奈德、西门子、上海自动化仪

表公司、罗克韦尔登多个工控系统厂商对PLC设备的功能和

安全需求进行了讨论，会后并对安全要求进行了调整。

2013年12月，在安标委的组织下，召开了标准初审会，

编写组根据会上意见对初稿进行了调整，形成初稿中间稿。

2014年5月，在对初稿进行修改后，再一次召开了标准

初审会，专家通过了标准初稿，并提出了修改意见。工作组

对根据专家意见对标准进行修改。

2014年6月，在安标委的组织下，进行了标准初稿的投

标，工作组根据投票过程中专家提出的意见对标准进行了修

改形成了标准征求意见稿。

五、主要内容

本标准参照GB/T1.1—2009《标准化工作导则第1部分：

标准的结构和编写规则》进行编制。标准的主要结构和内容

如下：

目次

前言

引言

标准正文设6章：范围、规范性引用文件、术语和定义、

缩略语、概述、安全技术要求。

附录A（规范性附录）安全功能要求汇总表

附录B（资料性附录）工控系统安全级及设备安全功能

要求与能力安全级对应关系

-3-

附录C（资料性附录）典型工业控制系统现场测控设备

功能与构成

附录D（资料性附录）重要信息安全术语和定义

5．安全技术要求

安全技术要求是通过嵌入式测控终端设备安全性分析

得出的安全需求分析来的。

（1）典型攻击

终端可能遭受的攻击包括已知服务漏洞攻击、Fuzz测试

攻击和非法访问等。

已知服务漏洞攻击：攻击者可以通过连接网络或外置网

口对设备开启的服务进行扫描，利用已知的服务漏洞对设备

进行攻击，获取设备的控制权限或读取配置，进而直接控制

下层开关设备或向监控后台发送错误报告，导致误动。

Fuzz测试攻击：攻击者也可以对设备启用的端口进行监

听，利用工具构造报文对设备进行Fuzz攻击，可能发现溢出

漏洞或直接导致设备异常运行，或在对配置通信协议分析的

基础上，构造恶意报文发送至配置端口，实现对设备配置的

修改或直接导致设备异常。

非法访问：对于有显示屏可以直接配置的设备，攻击者

暴力猜测设备管理员口令，一旦成功将直接获取设备的控制

权限。

（2）安全需求

为防止对设备的攻击，应保证设备本身具有必要的安全