1　范圍

    本部分規(guī)定了對(duì)工業(yè)控制系統(tǒng)的信息安全解決方案的安全性進(jìn)行驗(yàn)收的流程、測(cè)試內(nèi)容、方法及應(yīng)達(dá)到的要求。該方案可以通過增加設(shè)備或系統(tǒng)提高其安全性。本部分的各項(xiàng)內(nèi)容可作為實(shí)際工作中的指導(dǎo)，適用于石油、化工、電力、核設(shè)施、交通、冶金、水處理、生產(chǎn)制造等行業(yè)使用的控制系統(tǒng)和設(shè)備。

    2　概述

    對(duì)于在運(yùn)行系統(tǒng)的驗(yàn)收測(cè)試，應(yīng)采用最小影響原則，即首要保障系統(tǒng)的穩(wěn)定運(yùn)行。對(duì)于需要進(jìn)行攻擊性測(cè)試的工作內(nèi)容，需與業(yè)主和供應(yīng)商溝通并進(jìn)行備份，盡量選擇非運(yùn)行時(shí)間進(jìn)行。

    根據(jù)業(yè)主提出的安全性要求給出信息安全解決方案，通過增加設(shè)備或系統(tǒng)來降低風(fēng)險(xiǎn)，并由業(yè)主最終決定是否通過驗(yàn)收。對(duì)其驗(yàn)收時(shí)如果沒有通過，則進(jìn)行整改，再重新驗(yàn)收，直至最后通過。驗(yàn)收過程劃分為驗(yàn)收準(zhǔn)備、風(fēng)險(xiǎn)分析與處置、能力確認(rèn)三個(gè)階段。

    不符合項(xiàng)的處理歸為如下幾類：

    （1）當(dāng)場(chǎng)整改，然后繼續(xù)進(jìn)行驗(yàn)收測(cè)試；

    （2）在驗(yàn)收過程中同時(shí)進(jìn)行整改；

    （3）需再次進(jìn)行驗(yàn)收；

    （4）在驗(yàn)收完成后進(jìn)行整改。

    驗(yàn)收的基本工作形式包括自驗(yàn)收和第三方驗(yàn)收。自GB/T 30976.2-2014驗(yàn)收是系統(tǒng)的擁有、運(yùn)營或使用單位發(fā)起的對(duì)本單位系統(tǒng)進(jìn)行的驗(yàn)收。第三方驗(yàn)收是委托第三方負(fù)責(zé)實(shí)施的驗(yàn)收。

    3　驗(yàn)收準(zhǔn)備階段

    （1）確定驗(yàn)收目標(biāo)和范圍

    由于工業(yè)控制系統(tǒng)生命周期各階段中風(fēng)險(xiǎn)的內(nèi)容、驗(yàn)收的對(duì)象、安全需求均不同，因此業(yè)主應(yīng)首先根據(jù)當(dāng)前實(shí)際情況確定在工控系統(tǒng)生命周期中所處的階段，并以此來明確驗(yàn)收目標(biāo)。

    驗(yàn)收的目標(biāo)、范圍和標(biāo)準(zhǔn)應(yīng)得到利益相關(guān)方的認(rèn)可。在實(shí)施對(duì)工控系統(tǒng)控制能力可能產(chǎn)生影響的任何附加安全解決方案之前，應(yīng)征求控制系統(tǒng)原始設(shè)計(jì)方的意見。

    （2）文檔準(zhǔn)備

    在開始驗(yàn)收工作之前，供應(yīng)商應(yīng)已完成所有的內(nèi)部測(cè)試，并提供可供復(fù)查的測(cè)試報(bào)告或有關(guān)機(jī)構(gòu)的評(píng)估報(bào)告，準(zhǔn)備好相關(guān)文件以備驗(yàn)收過程中使用。主要包括：業(yè)主/總承包商準(zhǔn)備的文件、供應(yīng)商準(zhǔn)備的文件等。

    4　風(fēng)險(xiǎn)分析與處置階段

    （1）系統(tǒng)風(fēng)險(xiǎn)分析

    系統(tǒng)風(fēng)險(xiǎn)分析主要是針對(duì)增加安全解決方案后可能產(chǎn)生的風(fēng)險(xiǎn)。關(guān)鍵控制點(diǎn)主要有以下兩點(diǎn)：

    ·建立的風(fēng)險(xiǎn)分析模型及確定的風(fēng)險(xiǎn)計(jì)算方法，應(yīng)能正確反應(yīng)用戶的行業(yè)安全特點(diǎn)，核心業(yè)務(wù)系統(tǒng)所處的內(nèi)、外部環(huán)境安全狀況；

    ·用戶確認(rèn)的信息、數(shù)據(jù)及相關(guān)文檔資料應(yīng)及時(shí)得到準(zhǔn)確反饋。

    （2）風(fēng)險(xiǎn)處置方案

    風(fēng)險(xiǎn)處置的基本原則是根據(jù)用戶可接受的處置成本將殘余安全風(fēng)險(xiǎn)控制在可以接受的范圍內(nèi)。

    方式一般包括接受、消減、轉(zhuǎn)移、規(guī)避等。在風(fēng)險(xiǎn)不適合轉(zhuǎn)移或規(guī)避的情況下，通常采用安全整改進(jìn)行風(fēng)險(xiǎn)消減。風(fēng)險(xiǎn)分析需提出安全整改建議。

    安全整改建議需根據(jù)安全風(fēng)險(xiǎn)的嚴(yán)重程度、加固措施實(shí)施的難易程度、降低風(fēng)險(xiǎn)的時(shí)間緊迫程度、所投入的人員力量及資金成本等因素綜合考慮。

    5　能力確認(rèn)階段

    5.1　設(shè)備要求

    5.1.1　工業(yè)環(huán)境適應(yīng)性要求

    用于工業(yè)現(xiàn)場(chǎng)的安全設(shè)備，應(yīng)符合工業(yè)環(huán)境的相關(guān)要求。本標(biāo)準(zhǔn)規(guī)定的工業(yè)環(huán)境適應(yīng)性要求包括：氣候、電磁兼容、電氣安全、機(jī)械適應(yīng)性、外部電源和外殼防護(hù)要求。由于設(shè)備適用的行業(yè)不同，可增加行業(yè)特定的要求。

    （1）氣候環(huán)境

    設(shè)備在規(guī)定的工作溫度范圍內(nèi)工作時(shí)，應(yīng)符合其功能和性能規(guī)定。在規(guī)定的溫度范圍內(nèi)貯存和運(yùn)輸時(shí)，不應(yīng)發(fā)生裂痕、老化或其他損壞；當(dāng)經(jīng)受該溫度范圍后再恢復(fù)到工作溫度范圍時(shí)，設(shè)備應(yīng)能正常工作。

    （2）電磁兼容

    對(duì)設(shè)備的電磁兼容性要求參見GB/T 18268.1-2010，包括電源電壓暫降、電源電壓短時(shí)中斷、靜電放電、射頻電磁場(chǎng)輻射、電快速瞬變脈沖群、浪涌（沖擊）、射頻場(chǎng)感應(yīng)的傳導(dǎo)騷擾、工頻磁場(chǎng)等。

    （3）電氣安全

    針對(duì)絕緣電阻：在一般試驗(yàn)大氣條件下，設(shè)備的輸入端子與外殼、輸出端子與外殼、電源端子與外殼、輸入端子與電源端子、輸出端子與電源端子之間的絕緣電阻應(yīng)不小于20MΩ。

    針對(duì)絕緣強(qiáng)度：在一般試驗(yàn)大氣條件下，設(shè)備的輸入端子與外殼、輸出端子與外殼、電源端子與外殼、輸入端子與電源端子、輸出端子與電源端子之間施加規(guī)定的試驗(yàn)電壓，判定電流為5mA，保持1min, 應(yīng)不出現(xiàn)擊穿或飛弧現(xiàn)象。

    （4）機(jī)械適應(yīng)性

    機(jī)械適應(yīng)性要求參見GB/T 15153.2-2000。

    （5）外部電源

    一般工業(yè)環(huán)境交流電源要求和直流電源要求參見GB/T 15153.1-2000，其中標(biāo)稱電壓容差應(yīng)為10％～－10％。

    （6）外殼防護(hù)

    設(shè)備外殼防護(hù)等級(jí)由制造廠商和業(yè)主協(xié)商確定。用于控制室內(nèi)或機(jī)柜內(nèi)的設(shè)備至少應(yīng)達(dá)到IP20等級(jí)，用于現(xiàn)場(chǎng)的設(shè)備至少應(yīng)達(dá)到IP65等級(jí)。

    （7）防爆性能

    防爆性能應(yīng)符合參見GB 3836.1、GB 3836.2、GB 3836.4的相關(guān)要求，并取得國家指定的防爆檢驗(yàn)機(jī)構(gòu)頒發(fā)的防爆合格證。

    （8）其他要求

    主要包括：外觀、連續(xù)工作性能等。

    5.1.2　信息安全功能測(cè)試要求

    （1）對(duì)于控制設(shè)備的測(cè)試

    健壯性測(cè)試包括接口界面測(cè)試和協(xié)議特定健壯性測(cè)試。本標(biāo)準(zhǔn)中，健壯性測(cè)試主要是針對(duì)基于TCP/IP的設(shè)備。如果對(duì)于非TCP/IP的設(shè)備，還需要針對(duì)其特定協(xié)議，進(jìn)行通信健壯性測(cè)試。主要包括了接口界面測(cè)試和協(xié)議特定健壯性測(cè)試。

    適用場(chǎng)合：

    ·設(shè)備入網(wǎng)：驗(yàn)收將要上線的設(shè)備符合健壯性要求。

    ·健壯性測(cè)試不建議用于線上正在運(yùn)行的設(shè)備。

    基線檢查適用原則：具體設(shè)備的安全要求（功能、配置）應(yīng)包括適用設(shè)備運(yùn)行的操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序三個(gè)層面的最低要求，并依實(shí)際情況，選擇部分增強(qiáng)要求。

    適用場(chǎng)合：

    ·設(shè)備入網(wǎng)：保證新設(shè)備達(dá)到功能要求。

    ·工程驗(yàn)收：保證驗(yàn)收上線的設(shè)備符合配置要求。

    ·日常維護(hù)：保證在網(wǎng)設(shè)備持續(xù)符合配置要求。

    （2）對(duì)于邊界防護(hù)設(shè)備的安全要求

    主要包括網(wǎng)關(guān)設(shè)備、路由設(shè)備、交換設(shè)備、防火墻、隔離部件等。健壯性測(cè)試和基線檢查也適用于邊界防護(hù)設(shè)備。詳細(xì)內(nèi)容見GB/T30976.2-2014。

    5.2　系統(tǒng)測(cè)試

    （1）測(cè)試條件

    接入工業(yè)控制系統(tǒng)的全部現(xiàn)場(chǎng)設(shè)備，包括變送器、執(zhí)行器、接線箱以及電纜等設(shè)備均應(yīng)按照有關(guān)標(biāo)準(zhǔn)進(jìn)行安裝、調(diào)試、試運(yùn)行并驗(yàn)收合格。

    （2）系統(tǒng)安全測(cè)試

    對(duì)于系統(tǒng)信息安全的測(cè)試主要針對(duì)系統(tǒng)能力。不同于信息安全評(píng)估，本標(biāo)準(zhǔn)中的系統(tǒng)測(cè)試側(cè)重于新增加的安全保障系統(tǒng)對(duì)原有系統(tǒng)的影響，以及對(duì)之前評(píng)估過程中提出的潛在風(fēng)險(xiǎn)和漏洞進(jìn)行查驗(yàn)。可根據(jù)實(shí)際情況選擇適用的條款進(jìn)行測(cè)試。

    （3）系統(tǒng)性能測(cè)試

    加入信息安全保障措施后，應(yīng)滿足原有系統(tǒng)的實(shí)時(shí)性、可靠性、安全性的要求。

    （4）網(wǎng)絡(luò)連接要求

    工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的連接，應(yīng)采取防火墻、單向隔離、DMZ等措施。企業(yè)內(nèi)部控制網(wǎng)絡(luò)與信息管理網(wǎng)絡(luò)之間應(yīng)采取必要的隔離措施。對(duì)于大型系統(tǒng)，宜考慮不同區(qū)域之間的隔離措施。

    （5）應(yīng)急災(zāi)備要求

    在發(fā)生緊急情況下，系統(tǒng)的信息安全應(yīng)急預(yù)案，必要的備機(jī)備件等容災(zāi)備份措施。

    5.3　驗(yàn)收結(jié)論

    （1）驗(yàn)收文檔

    工業(yè)控制系統(tǒng)信息安全驗(yàn)收文檔除準(zhǔn)備階段提供的文檔外，還至少應(yīng)包括下列內(nèi)容：

    ·信息安全風(fēng)險(xiǎn)分析報(bào)告；

    ·測(cè)試記錄或報(bào)告；

    ·驗(yàn)收結(jié)論；

    ·系統(tǒng)應(yīng)急處理方案等。

    （2）驗(yàn)收結(jié)論的編制

    編制原則為：驗(yàn)收結(jié)論應(yīng)依據(jù)整個(gè)驗(yàn)收過程中對(duì)相關(guān)要求的符合性做出判定。

    基本要求主要包括：

    ·各階段驗(yàn)收內(nèi)容及結(jié)論；

    ·驗(yàn)收不符合項(xiàng)表；

    ·不符合內(nèi)容對(duì)系統(tǒng)信息安全能力的影響分析；

    ·是否通過驗(yàn)收的建議。


作者簡(jiǎn)介

王玉敏（1971-），女，河北人，教授級(jí)高工，碩士研究生，現(xiàn)就職于機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所，主要研究方向是工業(yè)控制系統(tǒng)信息安全。