1　范圍

    本部分規定了對工業(yè)控制系統的信息安全解決方案的安全性進(jìn)行驗收的流程、測試內容、方法及應達到的要求。該方案可以通過(guò)增加設備或系統提高其安全性。本部分的各項內容可作為實(shí)際工作中的指導，適用于石油、化工、電力、核設施、交通、冶金、水處理、生產(chǎn)制造等行業(yè)使用的控制系統和設備。

    2　概述

    對于在運行系統的驗收測試，應采用最小影響原則，即首要保障系統的穩定運行。對于需要進(jìn)行攻擊性測試的工作內容，需與業(yè)主和供應商溝通并進(jìn)行備份，盡量選擇非運行時(shí)間進(jìn)行。

    根據業(yè)主提出的安全性要求給出信息安全解決方案，通過(guò)增加設備或系統來(lái)降低風(fēng)險，并由業(yè)主最終決定是否通過(guò)驗收。對其驗收時(shí)如果沒(méi)有通過(guò)，則進(jìn)行整改，再重新驗收，直至最后通過(guò)。驗收過(guò)程劃分為驗收準備、風(fēng)險分析與處置、能力確認三個(gè)階段。

    不符合項的處理歸為如下幾類(lèi)：

    （1）當場(chǎng)整改，然后繼續進(jìn)行驗收測試；

    （2）在驗收過(guò)程中同時(shí)進(jìn)行整改；

    （3）需再次進(jìn)行驗收；

    （4）在驗收完成后進(jìn)行整改。

    驗收的基本工作形式包括自驗收和第三方驗收。自GB/T 30976.2-2014驗收是系統的擁有、運營(yíng)或使用單位發(fā)起的對本單位系統進(jìn)行的驗收。第三方驗收是委托第三方負責實(shí)施的驗收。

    3　驗收準備階段

    （1）確定驗收目標和范圍

    由于工業(yè)控制系統生命周期各階段中風(fēng)險的內容、驗收的對象、安全需求均不同，因此業(yè)主應首先根據當前實(shí)際情況確定在工控系統生命周期中所處的階段，并以此來(lái)明確驗收目標。

    驗收的目標、范圍和標準應得到利益相關(guān)方的認可。在實(shí)施對工控系統控制能力可能產(chǎn)生影響的任何附加安全解決方案之前，應征求控制系統原始設計方的意見(jiàn)。

    （2）文檔準備

    在開(kāi)始驗收工作之前，供應商應已完成所有的內部測試，并提供可供復查的測試報告或有關(guān)機構的評估報告，準備好相關(guān)文件以備驗收過(guò)程中使用。主要包括：業(yè)主/總承包商準備的文件、供應商準備的文件等。

    4　風(fēng)險分析與處置階段

    （1）系統風(fēng)險分析

    系統風(fēng)險分析主要是針對增加安全解決方案后可能產(chǎn)生的風(fēng)險。關(guān)鍵控制點(diǎn)主要有以下兩點(diǎn)：

    ·建立的風(fēng)險分析模型及確定的風(fēng)險計算方法，應能正確反應用戶(hù)的行業(yè)安全特點(diǎn)，核心業(yè)務(wù)系統所處的內、外部環(huán)境安全狀況；

    ·用戶(hù)確認的信息、數據及相關(guān)文檔資料應及時(shí)得到準確反饋。

    （2）風(fēng)險處置方案

    風(fēng)險處置的基本原則是根據用戶(hù)可接受的處置成本將殘余安全風(fēng)險控制在可以接受的范圍內。

    方式一般包括接受、消減、轉移、規避等。在風(fēng)險不適合轉移或規避的情況下，通常采用安全整改進(jìn)行風(fēng)險消減。風(fēng)險分析需提出安全整改建議。

    安全整改建議需根據安全風(fēng)險的嚴重程度、加固措施實(shí)施的難易程度、降低風(fēng)險的時(shí)間緊迫程度、所投入的人員力量及資金成本等因素綜合考慮。

    5　能力確認階段

    5.1　設備要求

    5.1.1　工業(yè)環(huán)境適應性要求

    用于工業(yè)現場(chǎng)的安全設備，應符合工業(yè)環(huán)境的相關(guān)要求。本標準規定的工業(yè)環(huán)境適應性要求包括：氣候、電磁兼容、電氣安全、機械適應性、外部電源和外殼防護要求。由于設備適用的行業(yè)不同，可增加行業(yè)特定的要求。

    （1）氣候環(huán)境

    設備在規定的工作溫度范圍內工作時(shí)，應符合其功能和性能規定。在規定的溫度范圍內貯存和運輸時(shí)，不應發(fā)生裂痕、老化或其他損壞；當經(jīng)受該溫度范圍后再恢復到工作溫度范圍時(shí)，設備應能正常工作。

    （2）電磁兼容

    對設備的電磁兼容性要求參見(jiàn)GB/T 18268.1-2010，包括電源電壓暫降、電源電壓短時(shí)中斷、靜電放電、射頻電磁場(chǎng)輻射、電快速瞬變脈沖群、浪涌（沖擊）、射頻場(chǎng)感應的傳導騷擾、工頻磁場(chǎng)等。

    （3）電氣安全

    針對絕緣電阻：在一般試驗大氣條件下，設備的輸入端子與外殼、輸出端子與外殼、電源端子與外殼、輸入端子與電源端子、輸出端子與電源端子之間的絕緣電阻應不小于20MΩ。

    針對絕緣強度：在一般試驗大氣條件下，設備的輸入端子與外殼、輸出端子與外殼、電源端子與外殼、輸入端子與電源端子、輸出端子與電源端子之間施加規定的試驗電壓，判定電流為5mA，保持1min, 應不出現擊穿或飛弧現象。

    （4）機械適應性

    機械適應性要求參見(jiàn)GB/T 15153.2-2000。

    （5）外部電源

    一般工業(yè)環(huán)境交流電源要求和直流電源要求參見(jiàn)GB/T 15153.1-2000，其中標稱(chēng)電壓容差應為10％～－10％。

    （6）外殼防護

    設備外殼防護等級由制造廠(chǎng)商和業(yè)主協(xié)商確定。用于控制室內或機柜內的設備至少應達到IP20等級，用于現場(chǎng)的設備至少應達到IP65等級。

    （7）防爆性能

    防爆性能應符合參見(jiàn)GB 3836.1、GB 3836.2、GB 3836.4的相關(guān)要求，并取得國家指定的防爆檢驗機構頒發(fā)的防爆合格證。

    （8）其他要求

    主要包括：外觀(guān)、連續工作性能等。

    5.1.2　信息安全功能測試要求

    （1）對于控制設備的測試

    健壯性測試包括接口界面測試和協(xié)議特定健壯性測試。本標準中，健壯性測試主要是針對基于TCP/IP的設備。如果對于非TCP/IP的設備，還需要針對其特定協(xié)議，進(jìn)行通信健壯性測試。主要包括了接口界面測試和協(xié)議特定健壯性測試。

    適用場(chǎng)合：

    ·設備入網(wǎng)：驗收將要上線(xiàn)的設備符合健壯性要求。

    ·健壯性測試不建議用于線(xiàn)上正在運行的設備。

    基線(xiàn)檢查適用原則：具體設備的安全要求（功能、配置）應包括適用設備運行的操作系統、數據庫和應用程序三個(gè)層面的最低要求，并依實(shí)際情況，選擇部分增強要求。

    適用場(chǎng)合：

    ·設備入網(wǎng)：保證新設備達到功能要求。

    ·工程驗收：保證驗收上線(xiàn)的設備符合配置要求。

    ·日常維護：保證在網(wǎng)設備持續符合配置要求。

    （2）對于邊界防護設備的安全要求

    主要包括網(wǎng)關(guān)設備、路由設備、交換設備、防火墻、隔離部件等。健壯性測試和基線(xiàn)檢查也適用于邊界防護設備。詳細內容見(jiàn)GB/T30976.2-2014。

    5.2　系統測試

    （1）測試條件

    接入工業(yè)控制系統的全部現場(chǎng)設備，包括變送器、執行器、接線(xiàn)箱以及電纜等設備均應按照有關(guān)標準進(jìn)行安裝、調試、試運行并驗收合格。

    （2）系統安全測試

    對于系統信息安全的測試主要針對系統能力。不同于信息安全評估，本標準中的系統測試側重于新增加的安全保障系統對原有系統的影響，以及對之前評估過(guò)程中提出的潛在風(fēng)險和漏洞進(jìn)行查驗?？筛鶕?shí)際情況選擇適用的條款進(jìn)行測試。

    （3）系統性能測試

    加入信息安全保障措施后，應滿(mǎn)足原有系統的實(shí)時(shí)性、可靠性、安全性的要求。

    （4）網(wǎng)絡(luò )連接要求

    工業(yè)控制系統同公共網(wǎng)絡(luò )之間的連接，應采取防火墻、單向隔離、DMZ等措施。企業(yè)內部控制網(wǎng)絡(luò )與信息管理網(wǎng)絡(luò )之間應采取必要的隔離措施。對于大型系統，宜考慮不同區域之間的隔離措施。

    （5）應急災備要求

    在發(fā)生緊急情況下，系統的信息安全應急預案，必要的備機備件等容災備份措施。

    5.3　驗收結論

    （1）驗收文檔

    工業(yè)控制系統信息安全驗收文檔除準備階段提供的文檔外，還至少應包括下列內容：

    ·信息安全風(fēng)險分析報告；

    ·測試記錄或報告；

    ·驗收結論；

    ·系統應急處理方案等。

    （2）驗收結論的編制

    編制原則為：驗收結論應依據整個(gè)驗收過(guò)程中對相關(guān)要求的符合性做出判定。

    基本要求主要包括：

    ·各階段驗收內容及結論；

    ·驗收不符合項表；

    ·不符合內容對系統信息安全能力的影響分析；

    ·是否通過(guò)驗收的建議。


作者簡(jiǎn)介

王玉敏（1971-），女，河北人，教授級高工，碩士研究生，現就職于機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所，主要研究方向是工業(yè)控制系統信息安全。