1、犐 犆犛 犆犆犛犑 中 华 人 民 共 和 国 国 家 标 准犌犅犜 工控系统动态重构主动防御体系架构规范犐 狀 犱 狌 狊 狋 狉 犻 犪 犾犮 狅 狀 狋 狉 狅 犾狊 狔 狊 狋 犲犿犱 狔 狀 犪犿 犻 犮狉 犲 犮 狅 狀 犳 犻 犵 狌 狉 犪 狋 犻 狅 狀犪 犮 狋 犻 狏 犲犱 犲 犳 犲 狀 狊 犲狋 犲 犮 犺 狀 犻 犮 犪 犾犪 狉 犮 犺 犻 狋 犲 犮 狋 狌 狉 犲狊 狆 犲 犮 犻 犳 犻 犮 犪 狋 犻 狅 狀 发布 实施国 家 市 场 监 督 管 理 总 局国 家 标 准 化 管 理 委 员 会发 布目次前言范围规范性引用文件术语和定义符号和缩略语工控系统
2、动态重构主动防御体系架构 概述 过程监控层异构编译环境多态部署 工控网络信息安全传输机制 现场控制层异构运行逻辑及智能判决机制 工程文件安全存储验证机制 信息安全评价指标参数规定 参考文献 犌犅犜 前言本文件按照 标准化工作导则第部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国机械工业联合会提出。本文件由全国自动化系统与集成标准化技术委员会()归口。本文件起草单位:中国人民解放军信息工程大学、北京机械工业自动化研究所有限公司、北京四方继保自动化股份有限公司、北京众享比特科技有限公司、中国工程物理研究院计算机应用研
3、究所。本文件主要起草人:魏强、宋涛、王红敏、陈鸿刚、员天佑、张雪嫣、周立东、王凯、陈红、黄辉辉、麻荣宽、杨永辉。犌犅犜 工控系统动态重构主动防御体系架构规范范围本文件规定了工控网络的信息安全体系架构,描述了过程监控层异构编译环境多态部署、工控网络信息安全传输模式、现场控制层异构运行逻辑及智能判决和工程文件安全存储验证机制,规定了信息安全体系评价指标参数。本文件适用于旨在构建具有内生安全防护能力的所有工业控制系统参与者,为相关参与者设计动态重构主动防御的工控网络提供指导要求。规范性引用文件本文件没有规范性引用文件。术语和定义下列术语和定义适用于本文件。工业控制系统犻 狀 犱 狌 狊 狋 狉 犻
4、犪 犾犮 狅 狀 狋 狉 狅 犾狊 狔 狊 狋 犲犿;犐 犆犛由计算机和工业过程控制部件构成的自动化控制系统。注:工业控制系统简称“工控系统”。该系统通过工业通信线路,根据专用的工业通信协议将控制器、传感器、执行器和输入输出接口等部分连接起来,构建一个具有自动控制能力的工业制造系统。注:是一个通用术语,它包括多种工业生产中使用的控制系统,包括、和其他较小的控制系统,如,现已广泛应用在工业部门和关键基础设施中。对这一概念更多的讨论见 。工业控制网络犻 狀 犱 狌 狊 狋 狉 犻 犪 犾犮 狅 狀 狋 狉 狅 犾狀 犲 狋 狑狅 狉 犽一种利用各种通信设备将所有工业生产设备和自动化控制系统连接起来
5、的通信网络。注:工业控制网络是 中的网络部分,简称“工控网络”。可编程逻辑控制器狆 狉 狅 犵 狉 犪犿犿犪 犫 犾 犲犾 狅 犵 犻 犮犮 狅 狀 狋 狉 狅 犾 犾 犲 狉;犘犔犆一种用于工业环境的数字式操作的电子系统。注:这种系统用可编程的存储器作面向用户指令的内部寄存器,完成规定的功能,如逻辑、顺序、定时、计数、运算等,通过数字或模拟的输入输出,控制各种类型的机械或过程。及其相关外围设备的设计,使它能够非常方便地集成到 中,并能很容易地达到所期望的所有功能。注:对这一概念更多的讨论见 。分散控制系统犱 犻 狊 狋 狉 犻 犫 狌 狋 犲 犱犮 狅 狀 狋 狉 狅 犾狊 狔 狊 狋 犲犿
6、;犇犆犛采用计算机、通信和屏幕显示技术,实现对生产过程的数据采集、控制和保护功能,利用通信技术实现数据共享的多计算机监控系统。注:分散控制系统的主要特点是功能分散、操作显示集中、数据共享。根据具体情况也可以是硬件布置上的分散。犌犅犜 注:对这一概念更多的讨论见 。监测控制和数据采集狊 狌 狆 犲 狉 狏 犻 狊 狅 狉 狔犮 狅 狀 狋 狉 狅 犾犪 狀 犱犱 犪 狋 犪犪 犮 狇 狌 犻 狊 犻 狋 犻 狅 狀;犛犆犃犇犃一系列计算机硬件及软件的组合,可用于发布命令及采集数据从而实现监视与控制。注:系统是工控网络调度自动化系统的基础和核心,负责采集和处理工控系统运行中的各类实时和非实时数据,是工控网络调度中心各种应用软件的主要数据来源。注:系统通常由一个主站和多个子站组成,包括实时数据采集、数据通信、系统支撑平台、前置子系统及后置子系统等。信息安全犻 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔保护信息的机密性、完整性和可用性及其他属性。注:如防抵赖性、可靠性等。对这一概念更多的讨论见 。威胁狋 犺 狉 犲 犪 狋可能对资产或组织造成损害的潜在原因。注:威胁可以通
安全达人 