验证用户、用户设备或者其他实体的身份、数据存储、传输的完整性、暴露信息系统内未经授权的修 改：建立传输的有效性。

验证用户、用户设备或者其他实体的身份、数据存储、传输的完整性、暴露信息系统内未经授权的修 改：建立传输的有效性。

鉴别authentication

旨在建立传输、信息或发起方有效性的安全方法，核实接收特定信息类别的个人授权的方法的有 效性。 3.2.14 授权authorization 授予系统实体访问系统资源的权力或权限10]。 3.2.15 自动车辆automatedvehicle 包括控制系统以能够自主或者远程操作的移动设备。 3.2.16 可用性（性能）availability（performance） 假定提供了其所需的外部资源招标投标，在给定的时刻或者给定的时间内，在给定的条件下执行必要功能时 的能力。 注1：性能来源于可靠性，可维护性和维护支持。 注2：所需的外部资源，除了维护资源，不影响项目的可用性能力。 3.2.17 边线border 物理或者逻辑安全区域的边或者边界

通信系统中实现和保证安全服务的措施，特指提供数据保密性和数据完整性，以及通信实体 证的措施； b）应用安全服务所达到的状态，特指数据保密性、完整性和通信实体认证成功的状态[11] 注：通常理解为包括密码算法和密钥管理方法，以及实现这些的过程、设备、密钥材料和设备生命周期管理。但 密码算法、密钥管理方法和过程可能不适用于某些控制系统的应用

保密性confidentiality

控制设备controlequipmen

激据保密性data confid

信息对未授权的系统实体（未授权的个人、实体或者过程)不可用或者不能被披露的属性。

数据完整性dataintegrity 数据在未授权或者意外情况下，不被修改，破坏，或者丢失的属性[10]。 注：该术语描述的是数据值的持续性和保密性，不涉及数据值代表的信息或者值的来源的可靠性。 3.2.39 解密decryption 使用密码算法和密钥，把密文转换成明文的过程（见3.2.47）10]。 3.2.40 纵深防御defenseindepth 提供多重安全保护，特别是在层次上，如果不能阻止攻击就采取延缓策略。 注：纵深防御意指在各层的安全和检测，即便在一个单独的系统，具有以下特征： 一攻击者在不被发现的情况下突破或者绕过每一层； 一某层上的缺陷可以通过其他层的能力来缓解； 一系统安全在全部网络安全范围内由各个安全层组成。 3.2.41 非军事化区demilitarizedzone 逻辑上介于内部和外部的网络段9。 注1：非军事化区的目的是为外部信息交换提供内部网络策略，实现外部非信任源的受限访间，同时屏蔽内部网络 免于外部攻击 注2：工业自动化和控制系统的上下文中，术语“内部网络”典型地应用于主要重点保护的网络或网段。例如，当其 连接到“外部的”商业网络时，控制网络就指“内部的"网络。 3.2.42 拒绝服务denialofservice 对授权访系统资源的阻止或者中断，或者系统操作和功能的延缓10。 注：工业自动化和控制系统的环境中，拒绝服务是指过程功能的损失，而不仅仅是数据通信的损失。 3.2.43 数字签名digital signature 数据密码变换的结果，正确完成时，提供数据源认证，数据完整性和签名者非抵赖服务[11]。 3.2.44 分布式控制系统distributedcontrol system 系统单元被分离但是以耦合方式运行的一种控制系统类型。 注1：分布式控制系统有比那些典型的SCADA系统更短的耦合时间常数。 注2：分布式控制系统通常用于连续过程处理，例如发电、石油和天然气提炼、化工、制药和造纸，也用于离散过程处 理，例如汽车、其他食品生产、包装和仓储。 3.2.45 域domain 由安全策略，安全模型或者安全体系结构定义的环境或者上下文，其中包括系统资源和能够访问这 些资源的系统实体集10。

纵深防御defenseindepth

窗取eavesdropping

加密encryption

地理场所geographic site

接入到通信子网或网间的计算机，并且该计算机可以使用网络提供的服务与其他附属系统进行数 据交换1

影响或改变工业过程的功能安全、安全和可靠操作的人员、硬件和软件的集合。 注：系统包括，但不限于： ·工业控制系统包括分布式控制系统（DCS）、可编程序逻辑控制器（PLC）、远程终端单元（RTU）、智能电子设 备、监督控制和数据采集（SCADA）、网络电子传感和控制、监视和诊断系统。（在本文件中，不论物理上是 分开的还是集成的，过程控制系统包括基本过程控制系统和安全仪表系统（SIS)功能）。 ·相关的信息系统，例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、 制造执行系统和工厂信息管理系统。 · 相关的内部、人员、网络或机器接口，为连续的、批处理、离散的和其他过程提供控制、安全和制造操作功能。 3.2.58 初始风险initialrisk 实施控制或对策风险（见3.2.87）。 3.2.59 内部人员insider 受信任的人、雇员、承包商或者供应商，通常他们知道公众不知道的信息（见3.2.74）。 3.2.60 完整性integrity 系统质量反映了操作系统的逻辑正确性和可靠性，实现保护机械装置的软件和硬件的逻辑完备性 数据结构和存储数据表现的一致性。 注：正常信息安全模式下，完整性常被狭义地理解为保护信息免遭非授权修改或破坏。 3.2.61 侦听interception;sniffing 捕获和揭露报文内容，或者基于报文目的地或来源地、传输的频率或时长以及其他通信属性，使用 通信量分析破坏通信系统的保密性。 3.2.62 接口interface 为逻辑信息流提供访问模块的逻辑人口点或出口点。 3.2.63 入侵intrusion 危害系统的非授权行为（见3.2.9）。 3.2.64 入侵检测 intrusiondetectior 监视和分析系统事件的安全服务，以便找出在非授权方式下试图访同系统资源的行为，并提供实时 或接近实时的警告。

IP 地址IP addres

国际标准化组织。 注：ISO不是缩写，它起源于希腊字iso（意为平等）

密钥管理keymanagement

制造运行manufacturingoperatior

生产、维护和质量保证操作以及它们与生产设施其他活动的关系的组合。 注：制造运行包括 ·在原材料或部件转换成产品的过程中，协调人员、设备和材料的制造和处理活动； ·通过物理设备、人员工作和信息系统所执行的功能 ·制造企业内与生产进度表、使用、能力、定义、历史记录和所有资源状态（人员、设备和材料）相关的智 信息

网络钓鱼phishing 通过伪造邮件引诱接收者浏览貌似合法的网站，使受害者透露信息的一类安全攻击。 3.2.77 明文plaintext 输入给加密过程的、可被用作加密转换的未加密数据，或通过解密过程输出的数据10]。 3.2.78 特权privilege 执行特定功能的授权或一系列授权，尤其是在计算机操作系统环境中[10]。 注：使用特权控制的功能包括：确认报警、改变设定点、修改控制算法。 3.2.79 过程process 产品或材料的制造、处理或运输时执行的系列操作。 注：本标准中为描述工业自动化和控制系统的控制设备，大量使用了“过程"这一术语。 3.2.80 协议protocol 两个系统间执行和控制某些关联类型（例如通信)的规则集（例如格式和规程）10)。 3.2.81 参考模型 referencemodel 用一致的方式描述模块和系统接口的结构。 3.2.82 可靠性reliability 在规定的时间周期内，在规定的条件下系统执行所要求功能的能力。 3.2.83 远程访问 remoteaccess 在安全区域的范围内，在不同地理位置赋予与本地相同的系统使用权。 注：“远程”的定义随着情况的变化而变化。例如，访问可以来自距离指定区域很远的位置，但是仍然在么 织的区域内。与从公司区域外部并且很远的位置来的访问相比，访问风险可能比较低

抵赖repudiation

安全security a） 保护系统所采取的措施； b） 由建立和维护保护系统的措施而产生的系统状态； 能够免于非授权访问和非授权或意外的变更、破坏或者损失的系统资源的状态10； 基于计算机系统的能力，能够提供充分的把握使非授权人员和系统既无法修改软件及其数据 也无法访问系统功能，却保证授权人员和系统不被阻止[13]； e 防止对工业自动化和控制系统的非法或有害的人侵，或者干扰其正确和计划的操作。 注：措施可以是与物理安全（控制物理访同计算机的资产)或者逻辑安全（登录给定系统和应用的能力)相关的控制 手

安全体系结构securityarchitecture

安全事故securityinciden

安全等级securitylevel

安全等级securitylevel 基于该区域或者管道的风险评估，与区域或管道的设备和系统所需要的对抗措施有效性及固有安 全属性相对应的等级【12]。 3.2.109 安全目标securityobjective 安全目标通过使用一定的减轻措施实现。例如，保密性、完整性、可用性、用户真实性、访问授权、问 责制等。 3.2.110 安全边界securityperimeter 应用了安全策略和安全体系结构的区域分界线（逻辑的或物理的），即系统资源得到安全服务保护 的区域分界线10]。 3.2.111 安全性能 securityperformance 程序的符合性和措施的完整性，确保了安全措施的持续有效性和适用性。包括特定威胁的保护、泄 密后分析、业务需求变更、新威胁、脆弱性信息的审核，以及控制系统的周期审计。 注：要求用测试、审计、工具、措施或者其他方法来评定实际的安全性能。 3.2.112 安全策略 securitypolicy 规范或限定系统或组织如何为保护其资产提供安全服务的规则集合10]。 3.2.113 安全规程 securityprocedure 精确描述了安全实践是如何实现和执行的 注：安全规程是通过人员培训、使用当前可用的技术来实现。 3.2.114 安全程序securityprogram 从策略的定义和通信到最佳行业实践的实现，以及目前执行的操作和审计等管理安全所有概念的 统称。 3.2.115 安全服务securityservices 用于提供保密性、数据完整性、认证或信息防抵赖的机制10]。 3.2.116 安全违规 securityviolation 来自外部入侵或内部无意违反安全策略的行为或事件。 3.2.117 安全区securityzone 共享通用安全需求的逻辑资产或物理资产的集合。 注1：本标准中所用的“区”都是指安全区。 注2：一个区和其他区要有明显的边界。一个安全区的安全策略在其内部和边缘都要强制执行。一个安全区可以 包括多个不同等级的子区

02112021/IEC/TS624

连接到过程装置和控制系统的测量和执行元件。 3.2.119 服务器server 给客户端设备和应用提供信息或服务的设备或者应用[10]。 3.2.120 侦听sniffing 见3.2.61。 3.2.121 欺骗spoof 伪装成授权用户执行未授权的行为10]。 3.2.122 监督控制和数据采集系统 supervisory control and data acquisition system;SCADA system 一种松散的耦合分布监视和控制系统，常用于输配电系统、油气管道、给水和污水处理系统。 注：监督控制系统也用于批量的、连续的、离散的制造工厂，以集中监视和控制生产场所的活动。 3.2.123 系统system 由相互作用、相互关联、相互依赖的多个要素构成的一个复杂的整体。 3.2.124 系统软件systemsoftware 为特定的计算机系统或者计算机系统家族设计的特定软件，用于辅助操作和维护计算机系统以及 相关程序和数据【11]。 3.2.125 威胁threat 当有违反安全而引起伤害的环境、能力、行动或事件时，出现安全违规的可能性。 3.2.126 威胁行为threataction 对系统安全的攻击[10]。 3.2.127 威胁代理threatagent 发生威胁行为的代理。 3.2.128 流量分析trafficanalysis 即使数据被加密或者不可以直接使用，根据数据流的显著特征（包括身份、来源和目的地以及位置、 数量、频率、持续发生的时间）而做出的信息推论。 3.2.129 木马Trojanhorse 该计算机程序貌似为有用的功能，但是具有隐蔽和潜在的逃避安全机制的恶意功能，通常通过激发 且有合注授权的系统实体来对甘进得调用

系统软件svstemsoftware

木马Trojanhorse

算机程序貌似为有用的功能，但是具有隐蔽和潜在的逃避安全机制的恶意功能，通常通过激发 授权的系统实体来对其进行调用

下列缩略语适用于本文件。 ANSI：AmericanNationalStandardsInstitute（美国国家标准研究所） CIA：Confidentiality，Integrity，andAvailability（保密性、完整性和可用性）

工业自动化和控制系统在复杂的环境下运行。组织越来越需要信息在工业自动化和业务之间共 享，在一个项目中的合作伙伴可能是另外一个项目中的竞争对手。然而，由于工业自动化和控制系统的 没备是直接和工艺过程相连的，安全遭到破坏的后果不仅仅是丧失了商业保密或在信息传送中发生中 断，还可能带来潜在的对人员或生产造成损失、破坏环境、违反法律法规和危及运行安全等更严重的后 果。这可能会衍生出组织所不期望的结果，甚至可能对所在地区或国家的基础设施造成破坏。 威胁不仅仅来自外部，内部具有一定技术能力的人员意或无意的行为也可能导致严重安全风险 另外，工业自动化和控制系统还经常和其他业务系统相连。对运行系统的修改和测试还会对系统的运 行产生没有意识到的影响。控制系统区域之外的人对系统所进行的安全测试，更加剧了这些影响的数 量和程度。综合上述因素，显而易见，潜在的对工业过程获得未授权或破环性访问的风险并不是微不足 道的。 虽然技术变化和合作伙伴关系可能对业务行为是有益的，但也增加了破坏安全的潜在风险。正因 为对于业务的威胁增加了，所以对于安全的需要也随之增加

工业自动化和控制系统是从单个的、独立的、专用操作系统和网络向互联的系统和使用商用技术 （即，操作系统和协议）的应用逐渐演化的。工业自动化和控制系统正在通过各种通信网络与企业管理 系统和其他业务应用集成。随着这种集成度的增加，带来了包括以下在内的巨大商业价值： a） 增加了工业控制系统各项活动的可见性（工作进程、设备状态、生产进度），从业务层面集成工 业过程系统，可以提高分析的能力，从而降低成本，提高生产力； b） 集成制造和生产系统，可以更直接获得商业信息，有利于形成具有快速响应能力的企业； ） 通用的接口降低了总体维护成本，并允许对生产过程的远程支持； d）对过程控制系统的远程监视可以降低成本并有利于更快速地解决问题。 通过定义模型、术语和信息交换的标准，使得工业自动化和控制系统行业以一致的方式分享信息是 可能的。然而，这种交换信息的能力增加了有恶意企图的个人进行攻击或误操作的脆弱性，从而给使用 工业自动化和控制系统的企业带来潜在的风险。 在物理硬件、编程和通信方面，工业自动化和控制系统的配置非常复杂。这种复杂性使得下列问题 难以确定： 授权谁可以访问电子信息； 一用户何时能访问信息； 用户访问何种数据或功能； 访问请求源的位置； 如何请求访问，

了解开放式操作系统和网络特性的人，具有潜在的人侵控制台设备、远程设备、数据库、在某些情

下是控制平台的可能性。人侵工业自动化和控制系统可能出现的后果包括： a） 未授权访问、窃取或滥用保密信息； b) 向未经授权的目的地发布信息； C) 丧失过程数据和生产信息的完整性或可靠性； d 丧失系统的可用性； e) 扰乱过程，导致过程的功能出错，降低产品质量，丧失生产能力，危及过程安全，或造成向环境 的排放； f) 设备损坏； g) 人员伤害； h) 违反法律法规； i) 带来公共健康和信任的风险； 对国家安全造成威胁

本章描述儿个基本概念，这些概念构成了后面章节以及IEC62443其他标准的基础。特别是解决 了下列问题： a）哪些是用于描述安全的主要概念； b）哪些重要概念构成了完整的安全程序的基础

IACS和通用IT系统

根据应用场景的不同，系统的完整性也可具有最高优先级。某些运行要求各个部件或系统具有不 同的优先级目标（即完整性或可用性可优先于保密性，或反之），从而使得组织采取不同的应对措施达到 这些安全目标

图1所示简单的CIA模型还不足以使人们完全理解工业自动化和控制系统安全的要求。虽然 EC62443系列的其他部分会给出详尽的清单，但一些工业自动化安全的最基本要求还是在这里列出， 这些要求包括： 访问控制（AC）：控制对被选设备、信息或二者的访问，防止未经授权查询设备或信息。 使用控制（UC）：控制对被选设备、信息或二者的使用，防止未经授权操作设备或使用信息。 数据完整性（DI）：保证被选通信通道上数据的完整性，防止未经授权的修改。 数据保密性（DC）：保证被选通信通道上数据的保密性，防止被窃听。 e） 限制数据流（RDF）：限制通信通道上的数据流，防止向未经授权的信息源发布信息。 事件及时响应（TRE）：对于任务关键型或安全关键型的情况，通过通知合适的主管机构、报告 所必需的破坏的法律证据、自动采取及时的纠正行动以对破坏安全的事件作出响应。 8 资源可用性（RA）：保证网络资源的可用性，防止拒绝服务攻击。 上述的所有要求都在本标准范围内，只是有些更详细的内容见IEC62443系列的其他部分。例如

般通过单一措施或技术很难达到安全的目标 法是使用纵深防御的概念，即通过 分层或步进的方式采用多重措施。例如，人侵检测系终 统可以用来通知防火墙已被突破

安全上下文构成了解释术语和概念的基础，并给出了安全各要素之间的相互关系。这里所说安全 20

图2上下文要素相互关系

图3的上下文模型给出了与安全保证和威胁一风险评估两个相互关联的过程有 今售

图3的上下文模型给出了与安全保证和威胁一风险评估两个相互关联的过程有关的一套扩展

5.6.2.2资产估值

界定一个对象是否能称为物理资产或逻辑资产，其首先应被一个组织所拥有或保管，并且对组织有 介值。价值的评估可以是定性的或定量的。一些组织认为定性评估是合适的，因为它们在风险分析过 中也是用定性的方法表述资产损失。 a） 资产定量估值：给出定量的评估值，与之相关的是精确的资金损失。可能依据更换成本、失销 成本，以及其他资金方面的度量。定量分析需要严格的成本分析以获得精确的数值，但不能为 组织提供关于损失的潜在影响的清晰描绘 D 资产定性估值：定性损失通常用更为抽象的方式来表述损失，例如百分比或类似于低影响、高 影响、无影响这样的相对值。很多资产仅能用定性损失来分析。风险评估过程可以从定性评 活开始，来证实高风险，并论证为降低风险而在补救措施上的资金投入行为的有效性，然后再

用定量分析作为支持，给出详细的风险情况描绘。 价值可以按照产生损失的类型来进行分类： 直接损失：直接损失代表的是更新资产的成本。对物理资产而言，包括设备本身更新的成本。 逻辑资产与其实用价值比较，直接损失相对较低，因为存储资产的媒体一般成本比较低。 1 间接损失：间接损失代表了由于丧失资产组织将会面对的任何损失。这可以包括生产过程的 停工期、返工或其他由于资产丧失导致的生产成本。物理资产的间接损失一般包括由于部件 损坏对下游产生的影响。逻辑资产的间接损失一般更大，包括丧失公共信任，由于违规丧失生 产许可，由于泄露了知识产权丧失竞争优势（如保密过程的技术）

公差标准5.6.2.3损失分类

产类型和价值评估的信息，可以列出各种资产的

简单来讲，脆弱性是系统、部件或组织固有的弱点。 脆弱性可能是来自有意的设计选择，也可能源于错误理解运行环境的偶然情况。脆弱性还有可能 在设备老化直至最终被淘汰的过程中显现。与正常运行或受控的设备相比，这种情况通常发生在较短 的时间内。脆弱性不仅仅限于电子或网络系统。了解物理（包括人员）和电子脆弱性之间的相互作用，

对于建立有效的工业自动化和控制系统安全是至关重要的。 一个最初只包含有限脆弱性的工业自动化和控制系统，随着环境变化、技术变化、系统部件的故障， 替换部件的不可用、人员流动以及更高级的威胁的出现，可能会变得更加易受攻击，

的后果的几率。风险是威胁、脆弱性和后果的函数，由于特定威胁或脆弱性对组织的资产造成特定损 害，因而后果对组织造成负面影响。威胁和脆弱性可以用可能性来表示，可能性是特定行为发生的 率。 资产拥有者在估计风险时应归类并包括缓解或修补的成本。它们还应当采取适当的对抗措施来缓 解最严重的安全题，以达到最低的经济损失。 任何合理的风险评估方法都应采用层次化的方法对所有涉及的系统进行分析，从最靠近威胁的系 统开始，逐渐深人。基本的风险评估过程包括三步： a）风险初始评估； b） 实施风险缓解对抗措施； c）评估残余风险。 第2步和第3步可以根据需要重复进行，以将该残余风险降低到可接受的水平。特别的，第2步还 包括评估现有控制和实施计划，增加补救措施或其他对抗措施。更具体的确定风险过程的描述将在 IEC62443以后部分给出。 需要考虑的典型风险通常包括： 人员安全的风险，例如死亡或受伤； b 过程安全风险，例如设备损坏或业务中断； 安全风险，例如成本、违法或损害品牌形象； 环境风险，例如违规，违法或有重大影响； 业务连续性的风险，例如业务中断

上海标准规范范本5.6.4.2风险容忍等级