GB／T 41400-2022  信息安全技术 工业控制系统信息安全防护能力成熟度模型

PKI：公钥基础设施（PublicKeyInfrastructure) RFID：射频识别(RadioFrequencyIdentification) RTU：远程终端单元（RemoteTerminalUnit) SCADA：监控和数据采集（SupervisoryControlAndDataAcquisition） SQL：结构化查询语言（StructuredQueryLanguage） SSH：安全外壳(SecureShell) UPS：不间断电源（UninterruptiblePowerSupply） USB：通用串行总线（UniversalSerialBus) VPN：虚拟专用网络（VirtualPrivateNetwork）

5工业控制系统信息安全防护能力成熟度模型

5.1能力成熟度模型架构

GB/T414002022

工业控制系统信息安全防护能力成熟度模型的架构（见图1)由以下三个维度构成。 a）安全能力要素 组织工业控制系统信息安全防护能力要素包括机构建设、制度流程、技术工具和人员能力。 b 能力成熟度等级 组织工业控制系统信息安全防护能力成熟度等级划分为五级，具体包括：1级是基础建设级， 2级是规范防护级，3级是集成管控级水利管理，4级是综合协同级，5级是智能优化级。 C 能力建设过程 组织工业控制系统信息安全防护能力建设过程包括核心保护对象安全和通用安全： 1）核心保护对象安全包括：工业设备安全、工业主机安全、工业网络边界安全、工业控制软件 安全、工业数据安全5个过程类； 2 通用安全包括：安全规划与架构、人员管理与培训、物理与环境安全、监测预警与应急响 应、供应链安全保障5个过程类

GB/T 414002022

通过对组织工业控制系统信息安全防护过程应具备安全能力的量化，进而核验每项安全过程的实 现能力。组织工业控制系统信息安全防护能力要素包括： a）机构建设：工业控制系统信息安全机构的设立、职责分配和沟通协作； b）制度流程：组织在工业控制系统信息安全领域的制度和流程执行； 技术工具：通过技术手段和产品工具落实安全要求或自动化实现安全工作； d）人员能力：执行工业控制系统信息安全防护工作的人员的安全意识及相关专业能力

从承担工业控制系统信息安全防护工作的组织 下方面进行前 力等级区分： a）工业控制系统信息安全架构对组织业务的适用性； b）工业控制系统信息安全机构承担的工作职责的明确性

从组织工业控制系统信息安全防护制度流程的 级区分： a）工业控制系统核心保护对象关键控制节点授权审批流程的明确性； b）相关制度流程的制定、发布、修订的规范性； c）制度流程实施的一致性和有效性

从组织用于开展工业控制系统信息安全防护工作的安全技术、应用系统和工具角度，根据以下方面 进行能力等级区分： a）工业控制系统信息安全防护技术在系统核心保护对象中的利用情况，针对系统安全风险的应 对能力； b） 利用技术工具对工业控制系统信息安全防护工作的自动化支持能力，对工业控制系统信息安 全防护制度流程固化执行的实现能力。

从组织承担工业控制系统信息安全防护工作的人员应具备的能力角度，根据以下方面进行能力等 级区分： a 工业控制系统信息安全人员所具备的安全技能是否能够满足复合型能力要求（对工业控制系 统相关业务的理解程度以及工业控制系统信息安全专业能力）； b）工业控制系统信息安全人员的信息安全意识以及对关键工业控制系统信息安全岗位员工信息 安全能力的培养。

从组织承担工业控制系统信息安全防护工作的人员应 区分： a 工业控制系统信息安全人员所具备的安全技能是否能够满足复合型能力要求（对工业控制系 统相关业务的理解程度以及工业控制系统信息安全专业能力）； b）工业控制系统信息安全人员的信息安全意识以及对关键工业控制系统信息安全岗位员工信息 安全能力的培养。

5.3能力成熟度等级维

业控制系统信息安全防护能力成熟度等级共分为

组织工业控制系统信息安全防护能力成熟度等级共分为5级，见图2

工业控制系统信息安全防护能力成熟度等级

根据组织开展安全防护的能力分为5个能力成熟度等级，自低向高分别是基础建设级、规范防护 级、集成管控级、综合协同级、智能优化级。各能力成熟度等级的CF如下： a）基础建设级：组织能够依据工业控制系统信息安全防护的技术基础和条件开展基本保护工作 安全防护能力建设主要基于特定业务场景，尚未形成规范化、流程化的工作方式，相关工作多 依赖信息安全人员主观经验，建设过程未要求以文档形式记录，无法形成可复制； b） 规范防护级：组织建立并记录工业控制系统信息安全防护能力建设工作，能够针对工业控制设 备、工业主机、工业网络、工业数据等方面，制定规范化安全防护制度、规章，使得组织能够以重 复的方式执行，采用数字化装备、信息技术手段等，有针对性地开展安全防护，面向各方面形成 独立、可复制的安全防护能力； c）集成管控级：组织能够对工业控制系统设备、主机、系统、网络、数据等方面，在规范防护已有工 作基础上，通过集成化工具、系统等，对相对独立的单点防护设备进行集中统一管控，同时整合 相关防护规章制度文件，形成体系化制度，实现组织内部工业控制系统信息安全的集中管理、 统一控制的安全防护能力； 综合协同级：组织能够面向不同产线、厂区、工厂及产业链上下游相关单位，统筹考虑信息安全 风险需求，开展安全防护建设，建立多级协同的安全管理体系，并通过态势感知、统一管控等技 术手段实现综合决策、协调防护的安全能力； e） 智能优化级：组织能够采用人工智能、主动防御、内生安全等先进技术，与已有安全防护设备 系统、制度体系深度融合，使得可通过知识学习、智能建模分析等技术，构建可智能化演进的安 全防护系统，形成具有自决策、自进化能力的安全防护体系。

5.4能力建设过程维度

PA体系分为核心保护对象安全和通用安全两部分，共包含40个PA，见图3

GB/T 414002022

图3工业控制系统信息安全防护PA体系

核心保护对象安全包括以下5个过程类： a）工业设备安全的PA(PA01～PA04)包括：控制设备安全、现场测控设备安全、设备资产管理、 存储媒体保护； b）工业主机安全的PA（PA05～PA07)包括：专用安全软件、漏洞和补丁管理、外设接口管理； c）工业网络边界安全的PA(PA08～PA11)包括：安全区域划分、网络边界防护、远程访问安全、 身份认证； d）工业控制软件安全的PA(PA12PA16)包括：安全配置、配置变更、账户管理、口令保护、安全 审计； e）工业数据安全的PA(PA17～PA20)包括：数据分类分级管理、差异化防护、数据备份与恢复 测试数据保护。 通用安全包括以下5个过程类： a）安全规划与架构的PA（PA21～PA23)包括：安全策略与规程、安全机构设置、安全职责划分； b）人员管理与培训的PA（PA24和PA25)包括：人员安全管理、安全教育培训； c）物理与环境安全的PA（PA26PA29)包括：物理安全防护、应急电源、物理防灾、环境分离； d）监测预警与应急响应的PA(PA30～PA34)包括：工业资产感知、风险监测、威胁预警、应急预 案、应急演练； e）1 供应链安全保障的PA(PA35～PA40)包括：产品选型、供应商选择、采购交付、合同协议控制、 源代码审计、升级安全保障。

核心保护对象安全包括以下5个过程类： a）工业设备安全的PA(PA01～PA04)包括：控制设备安全、现场测控设备安全、设备资产管理、 存储媒体保护； b）工业主机安全的PA（PA05～PA07)包括：专用安全软件、漏洞和补丁管理、外设接口管理； c）工业网络边界安全的PA(PA08～PA11)包括：安全区域划分、网络边界防护、远程访问安全、 身份认证； d）工业控制软件安全的PA(PA12PA16)包括：安全配置、配置变更、账户管理、口令保护、安全 审计； e）工业数据安全的PA(PA17～PA20)包括：数据分类分级管理、差异化防护、数据备份与恢复 测试数据保护。 通用安全包括以下5个过程类： a）安全规划与架构的PA（PA21～PA23)包括：安全策略与规程、安全机构设置、安全职责划分； b）人员管理与培训的PA（PA24和PA25)包括：人员安全管理、安全教育培训； c）物理与环境安全的PA（PA26PA29)包括：物理安全防护、应急电源、物理防灾、环境分离； d）监测预警与应急响应的PA(PA30～PA34)包括：工业资产感知、风险监测、威胁预警、应急预 案、应急演练； e）1 供应链安全保障的PA(PA35～PA40)包括：产品选型、供应商选择、采购交付、合同协议控制、 源代码审计、升级安全保障。

工业控制系统信息安全防护PA编码规则如下： a）每个PA有对应的编号，分别采用递增的数值01，02，，表示； b）每个PA由若干BP组成，BP用BP.XX.XX进行编号，第一组编码表示所在PA的序号，第二 组编码表示具体BP的序号，具体BP的序号采用递增的数值01，02，，表示； c 对于每个PA的每个级别，组织需同时实现该级别和所有低于该级别的BP，才能达到该级别 的能力水平。

工业控制系统信息安全防护PA编码规则如下： a）每个PA有对应的编号，分别采用递增的数值01，02，，表示； b）每个PA由若干BP组成，BP用BP.XX.XX进行编号，第一组编码表示所在PA的序号，第二 组编码表示具体BP的序号，具体BP的序号采用递增的数值01，02，，表示； c）对于每个PA的每个级别，组织需同时实现该级别和所有低于该级别的BP，才能达到该级别 的能力水平。

能力成熟度等级与PA、BP、能力要素的关系如下：

力成熟度等级与PA,BP、能力要素的关系如下：

GB/T 414002022

a）组织在每个PA的能力成熟度划分为5级，对每个等级下组织应具备的能力要求，从4个能大 要素提出具体的BP； b）并非每个PA的能力成熟度等级都包含完整的4个能力要素； c）对于每个PA，高等级的能力要求不低于所有低等级能力要求，可依据GB/T32919一2016扶 供的方法对某一等级能力要求进行裁剪。 主：针对某一具体PA，如5级的能力要求中未涉及某一能力要素的内容，则默认应实现在4级的能力要求中该售 力要素的内容，以此类推。 能力成熟度等级的描述与GP，见附录A。 能力成熟度模型使用方法，见附录B。 能力成熟度等级核验流程，见附录C。

6.1.1PA01控制设备安全

6.1.1.1PA描述

6.1.1.2等级描述

6.1.1.2.1等级1:基础建设

该等级的安全防护能力描述如下： 人员能力：组织仅根据特定需求或基于组织经验对工业控制设备进行安全管理(BP.01.01)

6.1.1.2.2等级2.规范防护

该等级的安全防护能力描述如下： a 制度流程：组织建立工业控制设备安全保障制度，制定安全管理文档（BP.01.02）； 6） 技术工具：组织采用具有身份鉴别、访问控制和安全审计等安全功能的工业控制设备，如受条 件限制工业控制设备无法实现上述要求，部署上位控制或管理设备实现同等功能，或通过管理 手段控制（BP.01.03）； c 人员能力：组织在经过测试评估后，在不影响系统安全稳定运行的情况下对工业控制设备进行 补丁更新、固件更新等工作（BP.01.04）。

该等级的安全防护能力描述如下： a） 制度流程：组织建立工业控制设备安全保障制度，制定安全管理文档（BP.01.02）； b） 技术工具：组织采用具有身份鉴别、访问控制和安全审计等安全功能的工业控制设备，如受条 件限制工业控制设备无法实现上述要求，部署上位控制或管理设备实现同等功能，或通过管理 手段控制(BP.01.03）； c 人员能力：组织在经过测试评估后，在不影响系统安全稳定运行的情况下对工业控制设备进行 补丁更新、固件更新等工作（BP.01.04）。

6.1.1.2.3等级3:集成管控

该等级的安全防护能力描述如下： 技术工具：组织使用专用设备和专用软件对工业控制设备进行更新（BP.01.05）； b）人员能力：组织在工业控制设备上线前对其进行安全性检测，工业控制设备固件中不存在恶意 代码程序（BP.01.06）

6.1.1.2.4等级4.综合协同

等级的安全防护能力描述如下： 术工具：可在PLC、DCS等核心控制设备前端部署具备工业控制协议深度包检测功能的防护设

6.1.1.2.5等级5.智能优

6.1.2PA02现场测控设备安全

1.2PA02现场测控设备

6.1.2.1PA 描述

根据实际或计划使用环境的安全风险分析结果，保护现场测控设备免受攻击、侵入、干扰和 122第尔热送

6.1.2.2 等级描迷

6.1.2.2.1等级1.基础建设

等级的安全防护能力描还如 人员能力：组织仅根据特定需求或基于组织经验对现场测控设备进行安全管理(BP.02.01)

6.1.2.2.2等级2:规范防护

该等级的安全防护能力描述如下。 a）制度流程：建立工业控制系统现场测控设备安全保障制度，制定安全管理文档（BP.02.02）。 b）技术工具： 1 组织选择现场测控设备，优先考虑具有对访问行为主体（人员、进程和设备）进行标识与鉴 别的功能（BP.02.03)； 2） 组织选择现场测控设备，优先考虑具有访问控制与审计功能，支持基于角色的访问控制策 略，并对重要的安全性事件和重要生产活动进行审计（BP.02.04）； 3） 组织选择现场测控设备，优先考虑具有数据完整性校验功能，具备防止对静态数据进行非 授权写操作的保护机制（硬件或软件），并具备抵御数据包插入、丢失、重放、篡改的机制 (BP.02.05); 4） 组织采用的现场测控设备具备机制保护存储和传输数据的保密性（BP.02.06)

该等级的安全防护能力描述如下。 a）制度流程：建立工业控制系统现场测控设备安全保障制度，制定安全管理文档（BP.02.02）。 b）技术工具： 1 组织选择现场测控设备，优先考虑具有对访问行为主体（人员、进程和设备）进行标识与鉴 别的功能（BP.02.03)； 2） 组织选择现场测控设备，优先考虑具有访问控制与审计功能，支持基于角色的访问控制策 略，并对重要的安全性事件和重要生产活动进行审计（BP.02.04）； 3） 组织选择现场测控设备，优先考虑具有数据完整性校验功能，具备防止对静态数据进行非 授权写操作的保护机制（硬件或软件），并具备抵御数据包插入、丢失、重放、篡改的机制 (BP.02.05); 4）组织采用的现场测控设备具备机制保护存储和传输数据的保密性（BP.02.06）

6.1.2.2.3等级3.集成管控

6.1.2.2.4等级4.综合协同

该等级的安全防护能力描述如下： 机构建设：组织建立现场测控设备提供者和运营者的协同运维机制，明确设备检修阶段的各方责任 划分（BP.02.09），

.1.2.2.5等级5.智能优

该等级的安全防护能力描述如下：

技术工具：在现场测控设备的远程管理过程中，组织可采用基于公钥密码理论的PKI安全体系 (BP.02.10)

6.1.3PA03设备资产管理

6.1.3.1PA 描述

6.1.3.2等级描述

6.1.3.2等级描述

5.1.3.2.2等级2.规范防折

该等级的安全防护能力描述如下： 制度流程：

该等级的安全防护能力描述如下： 制度流程： a）组织制定设备资产管理制度（BP.03.02）； 组织建立工业控制系统资产清单（包括软件资产、硬件资产、固件资产等），确保工业控制 资产信息可核查、可追溯（BP.03.03）

制度流程： a）组织制定设备资产管理制度（BP.03.02）； 组织建立工业控制系统资产清单（包括软件资产、硬件资产、固件资产等），确保工业控制系统 资产信息可核查、可追溯（BP.03.03）

6.1.3.2.3等级3:集成管控

该等级的安全防护能力描述如下： a） 制度流程：围绕组织工业控制系统承载的关键业务，制定涵盖关键工业主机、网络设备、控制组 件等的重要资产清单（BP.03.04）； b 技术工具：组织对关键工业主机、网络设备、控制组件等进行穴余配置（如双机冷/热备 等）(BP.03.05)。

a 制度流程：围绕组织工业控制系统承载的关键业务，制定涵盖关键工业主机、网络设备、控制组 件等的重要资产清单（BP.03.04）； 6） 技术工具：组织对关键工业主机、网络设备、控制组件等进行余配置（如双机冷/热备 等）(BP.03.05)。

6.1.3.2.4等级4.综合协同

该等级的安全防护能力描述如下： a） 机构建设：组织建立资产多级管理及使用处置规则并明确资产责任人，在资产生命周期内对其 进行适当管理（BP.03.06）； b 技术工具：组织将工业控制系统设备资产清单及相关信息上传至云服务（可为私有云），对设备 资产进行综合管控（BP.03.07）

5.1.3.2.5等级5.智能优化

该等级的安全防护能力描述如下： 技术工具：组织采用自动化扫描等技术，智能发现新增或变更的网络设备、工业主机、控制设 年自动更新资产清单(BP.03.08)

级的安全防护能力描述如下： 术工具：组织采用自动化扫描等技术，智能发现新增或变更的网络设备、工业主机、控制设备等， 重新资产清单（BP.03.08）

6.1.4PA04存储媒体保护

6.1.4.1PA描述

为数据存储媒体的访问和使用提供有效的技术和管理手段，防止对媒体的不当使用可能引发的类

GB/T41400—2022

GB/T 414002022

6.1.4.2等级描述

6.1.4.2等级描述

6.1.4.2.1等级 1:基础建设

该等级的安全防护能力描迷如下： 机构建设：组织仅根据特定需求或 验开展存储媒体保护工作（BP.04.01）。

6.1.4.2.2等级2.规范防护

该等级的安全防护能力描述如下。 a）制度流程： 1）组织建立存储媒体保护制度，包括存储媒体登记、存储媒体使用、存储媒体销毁等，并定期 对存储媒体保护制度进行评审、更新（BP.04.02）； 2） 组织对存储媒体进行分类保护，将存储媒体分为数字存储媒体和非数字存储媒体。其中， 数字存储媒体包括：硬盘、光盘、软盘、U盘等，非数字存储媒体包括文档、缩微胶片等 (BP.04.03); 3） 存储媒体销毁前进行审阅、批准、跟踪等步骤，经组织审查和批准后进行存储媒体销毁，并 确认该销毁过程的合规性（BP.04.04）。 b）技术工具：受控区域外传递各类存储媒体时，组织采取安全防护措施进行保护和控制（BP.04 05）。 c）人员能力：受控区域内，组织采取物理控制措施并安全存放各类存储媒体，实行专人管理，并根 据存储媒体登记的清单定期盘点（BP.04.06）

6.1.4.2.3等级3.集成管控

该等级的安全防护能力描述如下。 a）制度流程：存储媒体由组织集中管控，依据确定的范围登记存储媒体的名称/种类、序号、分发 范围、访问要求、处理要求、销毁要求等（BP.04.07）。 b）技术工具： 1）组织采用管理系统对存储媒体传递相关活动进行记录，确保存储媒体在受控区域外传递 过程的可核查性（BP.04.08）； 2） 在存储媒体报废、回收前，组织对存储媒体进行销毁，采用销毁机制的强度、覆盖范围与存 储媒体中存储信息的安全类别或级别相匹配（BP.04.09）。 c）人员能力：组织对存储媒体在物理传输过程中的人员选择、打包、交付等情况进行控制，并对存 储诸媒体的归档和查询等进行记录（BP.04.10）

6.1.4.2.4等级4.综合协同

该等级的安全防护能力描述如下 技术工具：销毁前组织采用技术手段确认存储媒体内的信息不能恢复或重建（BP.04.11)

6.1.4.2.5等级5.智能优化

该等级的安全防护能力描还如下： 技术工具：组织采用自动化技术手段，识别并禁止未标识的存储媒体在工业控制系统中使 04.12)。

6.2.1PA05专用安全软件

1PA05专用安全软件

6.2.1.1PA 描述

GB/T 414002022

在操作员站、工程师站等工业主机上安装专用安全软件，对可执行程序进行管理，防止病毒、木 系意程序感染。

6.2.1.2等级描述

6.2.1.2.1等级1:基础建设

该等级的安全防护能力描述如下： 人员能力：组织仅根据特定需求或基于组织经验对工业主机可执行程序进行管理（BP.05.01）。

6.2.1.2.2等级2.规范防护

该等级的安全防护能力描述如下。 a）制度流程：建立工业主机防病毒和恶意软件人侵管理制度，制定安全管理文档（BP.05.02）。 b）技术工具： 1）组织在工业主机中安装安全软件，防范病毒、木马等恶意程序，防止未授权应用程序和服 务运行（BP.05.03）； 2 组织在离线环境中对安全软件进行测试，验证安全软件不会对工业控制系统的正常运行 造成影响（BP.05.04）。 人员能力：组织依据采购合同、软件协议等规定的方式使用安全软件，明确业主方的责任（BP 05.05)。

6.2.1.2.3等级3：集成管控

该等级的安全防护能力描述如下： a）制度流程：组织在工业控制系统上线前或检修阶段对其进行安全扫描，适用时定期对工业 系统进行安全扫描，记录安全扫描结果并处理存在的漏洞（BP.05.06）； b）技术工具：对临时接入的设备进行安全扫描，并留存安全扫描记录（BP.05.07）

6.2.1.2.4等级4.综合协同

6.2.1.2.5等级5.智能优化

GB/T41400—2022

为逻辑安全性判断、分布式逻辑行为的综合分析等，实现异常控制程序、指令等实时分析反馈（BP.05 11）

为逻辑安全性判断、分布式逻辑行为的综合分析等，实现异常控制程序、指令等实时分析反馈 11）

6.2.2PA06漏洞和补丁管理

6.2.2.1PA 描述

基于组织工业控制系统风险评估结果，对工业信息安全漏洞和补丁进行管理，防止高级持 利用漏洞人侵工业主机

6.2.2.2等级描迷

6.2.2.2.1等级1.基础建设

吸等级的安全防护能力描还如下 人员能力：组织仅根据特定需求或基于组织经验对工业信息安全漏洞和补工进行管理(BP.06.01)

6.2.2.2.2等级2.规范防护

该等级的安全防护能力描述如下： 制度流程：组织建立工业信息安全漏洞和补丁管理制度，跟踪重大工业信息安全漏洞信息，并 进行分析研判(BP.06.02)； b）机构建设：出现重大工业信息安全漏洞后，组织及时跟踪补丁发布，在适当时间进行补丁升级 或开展消减措施（BP.06.03）

该等级的安全防护能力描述如下： 制度流程：组织建立工业信息安全漏洞和补丁管理制度，跟踪重大工业信息安全漏洞信息，并 进行分析研判（BP.06.02）； 机构建设：出现重大工业信息安全漏洞后，组织及时跟踪补丁发布，在适当时间进行补丁升织 或开展消减措施（BP.06.03）

6.2.2.2.3等级3.集成管控

该等级的安全防护能力描述如下： 制度流程： a）补丁安装前，组织对补丁进行安全测试，验证其有效性并评估可能的后果，必要时在离线环境 中进行，补丁安装不影响工业控制系统的正常运行（BP.06.04）； b）组织制定详细的回退计划，确保工业控制系统能够回到稳定的运行状态（BP.06.05）

该等级的安全防护能力描述如下： 制度流程： a）补丁安装前，组织对补丁进行安全测试，验证其有效性并评估可能的后果，必要时在离线环境 中进行，补丁安装不影响工业控制系统的正常运行（BP.06.04）； b）组织制定详细的回退计划，确保工业控制系统能够回到稳定的运行状态（BP.06.05）

6.2.2.2.4等级4.综合协同

该等级的安全防护能力描述如下： 制度流程：组织建立补丁升级标准化流程，对不同厂区的补丁升级进行集中统一管理，由专业人员 进行补工升级（BP.06.06）

该等级的安全防护能力描述如下： 制度流程：组织建立补丁升级标准化流程，对不同厂区的补丁升级进行集中统一管理医疗器械标准，由专业人员 进行补工升级（BP06.06)

6.2.2.2.5等级5.智能优化

6.2.3PA07外设接口管理

6.2.3.1PA描述

对工业主机的外设接口进行访问控制管理，降低被病毒、木马、螨虫等恶意代码感染的风险。

6.2.3.2等级描述

X3.2.1等级 1:基础建议

GB/T 41400—2022

园林标准规范范本该等级的安全防护能力描述如下： 人员能力：组织仅根据特定需求或基于组织终 业主机外设接口进行管理（BP.07.01)。