IEC 62443 系统安全要求与等级保护基本要求对比研究

王建，王天屹，翟亚红，蒋天伦

（1.北京卓识网安技术股份有限公司，北京100190；2.南方科技大学，广东深圳518055；3.中国网络安全审查技术与认证中心，北京100020；4.华北电力大学a.控制与计算机工程学院；b.电气与电子工程学院，北京102206）

0 引言

为实现工业自动化和控制系统通信网络的信息安全，工业过程测量、控制与自动化∕网络与系统信息安全工作组（IEC∕TC65∕WG10）与国际自动化协会（ISA 99）的联合工作组经过10 余年工作，制定出IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》系列标准（以下简称为IEC 62443 标准）已被业界广泛认同并采用［1-7］。该系列标准针对工业生产过程中涉及的信息安全问题，且充分考虑了各参与方的不同需求。其中IEC 62443-3-3《系统信息安全要求和信息安全保障等级》围绕着基本概念模型中所定义的6 项基本要求（标志和鉴别控制、使用控制、系统完整性、数据保密性、对事件的及时响应和资源可用性）规范了相关的系统信息安全内容及如何分配系统信息安全保障等级。

我国网络安全领域的基本制度是网络安全等级保护制度，自2007年全国范围内推进实施。2019年等级保护标准升级为GB∕T 22239—2019《信息安全技术网络安全等级保护基本要求》，即等级保护标准2.0。在工业领域，等级保护标准2.0以信息安全为起点，逐步与工业生产业务相融合，将工业控制列入标准范围，构成“安全通用要求+工业控制安全扩展要求”的内容。工业控制系统安全扩展要求是针对工业控制系统特点提出的特殊保护要求。

全国工业过程测量控制和自动化标准化技术委员会（TC124）正将IEC 62443 系列标准转化为国家标准，网络安全等级保护基本要求GB∕T 22239—2019《信息安全技术网络安全等级保护基本要求》（以下简称为GB∕T 22239—2019 标准）也正式颁布实施，下文将对比2个标准的异同。

1 适用范围对比

工业控制系统是数据采集与监视控制（SCADA）系统、分散控制系统（DCS）、可编程逻辑控制器（PLC）、远程终端单元（RTU）和其他用于传感、控制、监视和诊断的系统，包括用于制造业和流程工业的控制系统、楼宇控制系统、地理上分散的操作诸如公共设施（电力、天然气和自来水）、管道和石油生产及分配设施、其他工业和应用如交通运输网络，使用自动化或被远程控制、监视的资产。

1.1 IEC 62443标准

制定IEC 62443 系列标准的主要目的是提供一种灵活的框架，以应对工业自动化和控制系统（IACS）目前存在的不足。IEC 62443 系列标准可以有效提高企业系统安全性，使之适应业务IT 系统的要求，并与IACS独特的高可用性需求相结合。

IEC 62443 结构分为5 个层级，由上至下依次为企业系统、运营管理、监督控制、安全和保护或基本控制、过程（受控设备），如图1所示。

图1 IEC 62443参考模型Fig.1 IEC 62443 reference model

其中，第3―0 层为标准对应的范围。第3 层为运营管理层，具有管理生产最终产品的工作流程的功能。第2 层为监督控制层，具有监督和控制物理过程的功能。第1 层为本地或基本控制层，具有感知和操作物理过程的功能。控制器直接连接到过程中的传感器和执行器。同时，该层也包括安全和保护系统，用于监视过程，并在超出安全限值时自动将过程返回安全状态。第0 层为过程层，包括直接连接到过程设备的传感器和执行器。

1.2 等级保护工控扩展要求

2019 年正式实施的GB∕T 22239—2019 标准将原标准中的信息系统改为等级保护对象，并将工业控制系统列入了标准范围。参考IEC 62443 层次结构模型划分，将SCADA 系统、DCS 和PLC 的模型共性进行抽象，通用工业企业采用层次模型进从上到下共分为5个层次，以由上至下依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层［8］，如图2所示。

各个层级具体分工如IEC 62443 参考模型，不同层级对实时性的要求不同，在工业控制系统中的功能也不同。层级4（企业资源层）通过企业资源管理（ERP）系统为企业决策层提供决策运行手段。层级3（生产管理层）通过制造执行系统（MES）为企业提供包括制造数据管理、计划排程管理、生产调度管理等管理模块。层级2（过程监控层）通过分布式SCADA 系统采集和监控生产过程参数，并利用人机界面（HMI）系统实现人机交互。层级1（现场控制层）通过PLC，DCS控制单元和RTU等进行生产过程的控制。层级0（现场设备层）控制执行器执行生产过程，并通过传感器采集实际生产过程中的数据。

图2 等级保护工控扩展要求参考模型Fig.2 Reference model of extension requirements for industrial control system with classified security protection

IEC 62443 标准与等级保护标准都应用于工业控制系统，适用范围一致。从发展历程来讲，IEC 62443 标准是从工业控制系统的自身安全需求延伸到信息安全层面，而GB∕T 22239—2019 标准是从通用的信息安全扩展到了工业控制系统领域。

2 安全等级对比

IEC 62443-3-3 标准定义了系统级的技术安全要求，信息安全等级（SLs）被划分为3 个不同的类型：目标（SL-T）、实现（SL-A）和能力（SL-C），在工业控制系统全生命周期的各个阶段均有不同的安全要求。同时该标准定义了0―4 共5 种不同级别的信息安全等级，每个安全级别的安全要求逐级递增，每个技术指标项均定义了不同的安全等级［9-12］。

在等级保护标准中，对于工业控制系统的现场采集∕执行、现场控制、过程控制和生产管理等要素，可根据系统功能、责任主体、控制对象和生产厂商等划分为不同的定级对象。不同对象可以确定为不同级别并拥有不同的安全保护能力。等级保护根据受害的客体和对客体的侵害程度共分为5个安全等级，不同级别的等级保护对象所具备的基本安全保护能力不同。第5级保护的是非常重要的监管对象，有特殊的管理模式和安全要求，不做详细介绍。

IEC 62443-3-3 与GB∕T 22239—2019 标准的安全等级对比见表1。两者对不同安全等级的攻击行为和保障方式进行分级，对于受到损害后的系统，根据标准中不同安全等级要求，对系统受到损害后的恢复功能也有不同要求。

表1 IEC 62443-3-3与GB/T 22239—2019标准安全等级对比Tab.1 Comparison of security levels in IEC 62443-3-3 and GB/T 22239—2019

3 安全指标对比

以核电站DCS 为例，比较IEC 62443-3-3 标准与GB∕T 22239—2019 标准的技术指标。核电站非安全级DCS 主要用于核电站正常运行的监视和控制，与其他系统相互隔离。与传统IT 网络不同，核电站DCS 主要考虑系统的可用性和可靠运行。当核电站DCS 发生故障或受到信息安全影响时，首要考虑的是使设备或系统保持安全水平或者进入安全状态（不对功能安全造成影响），如不影响系统的响应时间、可靠性、内存等要求［13］。因此，在安全技术指标方面会更关注控制系统运行的特点。

3.1 IEC 62443-3-3 标准安全要求

IEC 62443-3-3 标准规定了标志和鉴别控制、使用控制、系统完整性、数据保密性、对事件的及时响应和资源可用性等7个基本要求相关的详细技术类控制系统要求［14］，每个技术类控制要求包含1 个基线要求以及0 个或数个加强安全性的增强要求，控制要求逐级递增，每个安全等级所对应的安全要求数量见表2。

3.2 等级保护技术指标

GB∕T 22239—2019 标准技术部分除安全物理环境外，由安全通信网络、安全区域边界、安全计算环境和安全管理中心构成了安全技术指标，同时还包括通用安全和工业控制系统安全扩展要求。各等级的安全指标数量见表3。在安全计算环境中，安全技术指标分布如图3所示。

表2 IEC 62443-3-3所定义的安全要求数量Tab.2 Safety requirement number defined by IEC 62443-3-3

表3 等级保护的安全指标数量Tab.3 Number of security indicators for graded protection

图3 安全计算环境的指标分布Fig.3 Distribution of secured computing environment indexes

3.3 相关技术指标对比

IEC 62443-3-3标准所规范的IACS安全要求与IACS 独特的高可用性需求相结合，采用系统化的防御方式，从控制系统业务可靠运行的角度扩展信息安全的要求。主要技术指标包括：防止未经授权查询、使用设备或信息；保证通信通道上数据的完整性、保密性；限制通信通道上的数据流；及时响应危及信息安全的事件及时响应以及保证网络资源的可用性等，并在基础要求上逐级递增。

GB∕T 22239—2019 标准的安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求。其中，安全计算环境主要描述控制系统、控制设备的安全要素。选取同样的控制系统，分别选取GB∕T 22239—2019 标准第3 级定义的工业控制系统安全计算环境的技术指标，与IEC 62443-3-3 标准的技术指标进行比对，其关系如图4所示。

图4 IEC 62443-3-3与GB/T 22239—2019标准相关技术指标对比Fig.4 Comparison of relevant technical indexes in IEC 62443-3-3 and GB/T 22239—2019

以核电站DCS 为例进行相关技术指标的对比分析，2 个标准对DCS 均适用，两者对控制系统通用的信息安全约束、用户三权分立、用户身份鉴别、使用控制等基本相同。如IEC 62443-3-3 标准中的标志和鉴别控制指标，明确对设备与软件的口令策略、安全策略、双因子认证以及远程加密管理等要求。在GB∕T 22239—2019 标准中也存在身份鉴别明确对设备与软件的口令策略、安全策略、双因子认证以及远程加密管理等要求。

2 个标准的侧重点明显不同，IEC 62443-3-3 标准更加关注工业控制系统以及所有系统部件可用性，重点关注生产控制系统保证企业生产的持续、可操作性及稳定的运行。从IEC 62443-3-3 标准中的技术指标看，系统访问、系统性能、专用工业控制系统安全保护技术及全生命周期的安全支持方面，技术要求比GB∕T 22239—2019 标准中相关的安全指标更为具体、更能体现工业控制系统的特征。

在核电站DCS 自身安全性方面，如针对标志和鉴别的指标，IEC 62443-3-3 标准对设备、进程和人员的标志和身份鉴别均提出了安全要求［15］，SR1.5鉴别器管理，含有要求控制系统提供初始化鉴别器内容；鉴别器安装完成后立即改变所有鉴别器的默认值；改变或者刷新所有的鉴别器；当存储或者传输的时候，要保护鉴别器免受未经授权的泄露和修改；又如SR1.10 鉴别器反馈，其中包含要求控制系统提供鉴别过程中隐藏鉴别信息反馈的能力。而在GB∕T 22239—2019 标准中安全计算环境层面身份鉴别安全指标中，只要求对登录的用户进行身份标志和鉴别。

在边界防护方面，GB∕T 22239—2019 标准等级保护要求中边界方面的技术指标比较多，围绕着网络架构、边界防护、入侵防范有比较多的安全防护措施。而IEC 62443-3-3 标准则强调系统自我保护能力。针对与其他系统采取隔离方式的核电站DCS，更适用于自我保护工作模式。如IEC 62443-3-3 标准中的SR5.2 区域边界防护-孤岛模式、失效关闭，这项指标明确描述了系统一旦遭受攻击，控制系统不但会阻断网络边界的通信，而且系统自身还会切断一切与其通信的路径和传输数据，做到自身与外界无任何数据交互，形成信息孤岛，确保系统自身安全稳定运行。

4 结束语

围绕工业控制系统信息安全需求，对IEC 62443-3-3 标准中系统安全要求与GB∕T 22239—2019 标准进行分析和对比，二者适用范围一致，并分别对不同安全等级的攻击行为和保障方式进行分级。系统访问、系统性能、专用工业控制系统安全保护技术及全生命周期的安全支持方面，前者的技术要求比后者相关的安全指标更为具体、更能体现工业控制系统的特征。