《工控网络安全：示例》.pdf

工业控制系统信息安全 GB/T 30976-2014 15.8.6 山西省《工业控制系统信息安全》国家标 准宣贯培训 1 工控系统信息安全 ISA/IEC 62443 系统能力（技术能力） ——为了帮助更好的理解工业控制系统信息安全系统能 力等级的概念，这里部分（关于设备能力）内容参考了 未公布的标准讨论稿，具体规定以发布后的标准为准。 安全等级 SL：安全级（Security level） SL提供了一个定性的方法来定义一个区域的安全。 CSL：能力安全级（Capability Security Level） 正确的进行安全配置后组件或系统能够达到的安全级。CSL阐 述了一个具体的组件或系统在不使用额外的补偿性的措施的情 况下，仅仅通过正确配置和集成能够满足TSL的水平。 TSL：目标安全级（Target Security Level） TSL是一个具体的工业控制系统需要达到的安全级。目标安全 级是根据具体系统的风险评估结果来判定保证系统的正常运行 需要达到的安全水平。 ASL：达到的安全级（Achieved Security Level） ASL是一个具体的工业控制系统实际达到的安 《工控网络安全：示例》探讨的是工业控制系统（Industrial Control Systems, ICS）的信息安全标准，特别是GB/T 30976-2014和ISA/IEC 62443系列标准。这些标准旨在确保ICS的网络安全，防止潜在的威胁和攻击，保证工业生产的安全和稳定。 安全等级在ICS的网络安全中起着核心作用，它们包括SL（安全级）、CSL（能力安全级）、TSL（目标安全级）和ASL（达到的安全级）。SL提供了一种定性的方式来定义特定区域的安全程度。CSL则表示在正确配置和集成后，组件或系统能够达到的安全级别，无需额外的补偿性措施。TSL是根据风险评估确定的，它规定了特定的ICS需要达到的安全级别，以保障系统的正常运行。而ASL是在系统设计完成后或上线后，实际测量到的安全级别，用于验证系统是否满足了目标安全要求。 在设计或升级ICS安全时，首先要将系统划分为不同的区域，并定义它们之间的“管道”，即通信路径。然后，根据风险分析，为每个区域和管道分配TSL。设计过程通常是迭代的，需要不断比较系统设计与目标安全级别。ISA-62443系列标准提供了设计、安全要求和评估的指导，如ISA-62443-2-1提供设计过程程序，ISA-62443-3-3和ISA-62443-4-2定义了系统级和组件级的技术安全要求及CSL。 在系统设计过程中，需要评估每个组件和子系统的安全能力。供应商应提供组件或系统的CSL数据，以便判断其是否能满足TSL。如果系统不满足要求，可能需要维护程序或重新设计部分系统。ASL的评估应在系统变更时或之后进行，以确保安全等级不会降低。 系统安全等级SL1到SL4描述了不同级别的防护能力，从SL1的防范偶然违规行为到SL4的抵御高度专业和有动机的攻击。每个等级都对应不同层次的攻击复杂性和资源需求，强调了逐步加强的安全措施。 工业控制系统的信息安全不仅涉及技术层面，也涉及风险管理、系统设计和持续监控。遵循GB/T 30976-2014和ISA/IEC 62443等标准，可以帮助企业建立和维护一套有效、合规的工控网络安全体系，以应对日益严峻的网络安全挑战。