GB/T 40211-2021 标准规范下载简介
GB/T 40211-2021 工业通信网络 网络和系统安全 术语、概念和模型.pdfJ 确定每个库存点的原材料、能源、备件和在制品的最优库存等级。该功能也包括物料需求计划 (MRP)和备件采购。 k) 无论何时当大批量生产被中断时,则有必要变更基本工厂生产计划。 1) 基于上述所有活动的能力计划。
6.2.2.3第3层运营管理
第3层包括管理生产所要求的最终产品的工作流程的功能。包括:生产调度、详细生产计划、可靠 生保证和生产全现场控制优化。 第3层包括下列活动: a 报告包括可变制造成本的区域生产; 收集和维护与生产、库存、人力资源、原材料、备件和能源使用相关的区域数据; 执行工程功能所要求的数据采集和离线分析。它可能包括统计质量分析和相关控制功能; d 执行所需的人员功能,如:工作周期统计(例如:时间、任务)、休假计划、劳动力计划、发展计划 内部培训和人员资质; e 为自身区域建立当前的详细生产计划,包括:维护、运输和其他生产相关需求; f 在执行第4层建立的生产计划时,本地优化自身生产区域的成本; 8 当自身责任区域发生工厂生产中断时,变更生产计划以进行补偿
6.2.2.4 第 2 层监视控制
第2层包括监视和控制物理过程的功能。典型地DL/T 5751-2017 水电水利工程压力钢管波纹管伸缩节制造安装及验收规范,工厂中存在多个生产区域,如:精炼厂的蒸馏、转 换、配比,或者发电厂汽轮机平台和煤处理设施。 第2层包括下列功能: a 操作员人机界面; 操作员报警和警报; C 监视控制功能; 过程历史采集
6.2.2.5第1层本地或基本控制
第1层包括感知和操作物理过程的功能。 过程监视设备从传感器读取数据,必要时执行算法,并维护过程历史记录。过程监视系统的例子包 括油罐测量系统、连续排放监视、旋转设备监视系统和温度指示系统。过程控制设备与此类似。它从传 感器读取数据,执行控制算法,将输出发送到最终元件(例如:控制阀或挡板驱动装置)。第1层控制器 直接连接到过程中的传感器和执行器。 第1层包括连续控制、顺序控制、批控制和离散控制。许多现代控制器在单个设备内包含了全部控 制类型。 第1层也包括安全和保护系统1,它监视过程,并在超出安全限值时将过程自动返回安全状态。它 也包括了监视过程,并把即将可能发生的非安全状态向操作员告警的系统。 传统上,安全和保护系统由物理上独立的控制器执行,但是近年来在一个共同架构内使用逻辑独立 的方法执行已成为可能。为确保安全功能的完整性,参考模型中的描述强调了这种独立(逻辑的或物理 的)的必要性。第1层的设备包括,但不限于下列设备:
L)这些系统指如IEC61511系列标准中定义的安全仪表系统
a) DCS控制器; b)PLC; cRTU。 安全和保护系统经常包括可能与网络安全要求不一致或不相关的附加功能安全需求。这些系统包 括IEC61511中给出的用在化工和右化工厂的安全系统、IEC61513中给出的核电厂安全或安全相关 系统、IEEE电力工程协会标准中给出的保护功能
6.2.2.6第0层过利
第0层是实际物理过程。该过程包括各领域大量不同类型的生产装置,这些领域包括但不限于:离 散制造、烃加工、产品配送、制药、纸浆和造纸、电力。 第0层包括直接连接到过程和过程设备的传感器和执行机构
图14过程制造资产模型示例(地理场所)
由于网络在安全中起到了重要的作用,资产模型明确地包含 了层次结构上位于每个层次的网络元 素。在每一层,设备(或设施)由适当类型的网络连接起来。尽管各个网络之间可以互相连接,但该模型 没有描述这种连接。 与参考模型一样,SCADA应用的图示稍有不同。 个典型的SCADA资产模型如图15所示
图15SCADA系统资产模型示例
这个资产模型描述了可能出现在各个层次的辅助信息系统。这些系统虽然不直接控制过程,但是 它们通过收集数据、发送配方和过程指令来与控制设备交互。工段、区域和站信息系统也可以作为资料 库在整个企业范围内为用户提供生产信息,并且可以与运行在企业数据中心的企业资源计划应用交互。 可以根据需要,对这个模型进行裁剪或扩展以反映被审视中的实体,假定它与其他模型和视图是一 致的。比如,一个工厂只有一个区域,那么就可以忽略参考体系结构提供的区域分类,后续的区域反映 裁剪后的资产模型
以支持信息处理要求。IT资产支持的业务过程的安全性超出了本标准的范围
场所是企业资产物理、地理或逻辑分组的子集。它可能包含区域、制造生产线、过程工位、过程工 段、控制中心和车辆等。场所之间可以通过广域网连接起来。场所可能包括信息系统,比如协调生产活 动的制造执行系统
6.3.3.2控制中心
个或多个控制中心来监督或协调其操 果企业有多个控制中心(如一个独立的场所中的备份中心),它们通常通过广域网连接起来。一 中心包含SCADA的主机、相关的操作显示设备,以及辅助信息系统(如历史数据库)
远程站包含的设备有PLC、远程 和智能电子设备(IED)。这些设备负责本地到 监视和控制操作。远程站通过通信网络( 时指遥测网络)连接到控制中心。远程站也可以相互连 了实现某种功能,例如在输电网中变电站间的继电保护)
区域是场所资产的物理、地理、或逻辑分组的子集。它可能包含制造生产线、过程工位、过程工 或之间可以通过场所中的LAN连接起来,并可能包含区域内执行操作相关的信息系统。
6.3.5流水线、工段、工位、车辆
区域由底层设备构成,它们执行 车辆管理等功能。这一层的实体可通过区 网络连接起来,并可能包含与实体操作相关的信息系统
6.3.6监督控制设备
监督控制设备包括计算机服务器、HMI、局域网和通信设备,它们允许操作者远程管理和控制分 大范围内的设施。
6.3.8现场1/0网络
易1/O网络是连接现场设备与控制设备的通信链
6.3.9传感器和执行器
传感器和执行器是连接过程设备的终端元件
传感器和执行器是连接过程设备的终端元件
6.3.10 受控设备
控制系统底层资产是构成受控设备的资产。这个层也被称作物理或运行过程
参考体系结构由资产模型中定义的实体组成。用于审查和分析的每种具体情景都有特定的参考体 系结构。根据所执行的业务功能和被审视的功能,每个组织可以创建一个或多个参考体系结构。一个 组织拥有覆盖所有操作设施的单一企业参考体系结构是很常见的。每种设施或每类设施可以拥有更具 体的参考网络体系结构图,可以在企业模型上扩展。制造功能的简单参考体系结构的例子如图16 所示。
图16参考体系结构示例
组。资产可以分组为实体(如业务、设施、场所或IACS),该实体可以用于分析安全策略和需求。这个 模型可以帮助评估常见的威胁、脆弱性和用来保护分组资产所要达到所需安全等级的相应对抗措施, 通过这种形式的资产编组,可以为区域成员的所有资产定义一种安全策略。然而,这种分析可以用于决 定基于区域内执行的活动所需的恰当保护。 注:本标准中无限制的术语“区”都假设为安全区
构建安全程序时,区是促使程序成功的最重要工具之一,且区的恰当定义是过程的最重要方面。 区时,组织应该利用参考体系结构和资产模型来制定合适的安全区和安全等级来满足工业自动化
控制系统安全策略所要求的安全目标。 当在一个物理设备内部执行不同级别的活动时,一个组织既可以把物理设备映射到更严格安全要 求上,也可以创建一个具有独立区域安全策略的独立区,这个策略是这两个区之间的协调策略。这种情 况的一个典型示例出现在过程历史数据服务器中。为了提高效率,服务器需要访问关键控制设备,这些 没备是收集数据的数据源。但是,为了满足向监督者和过程优化提供数据的业务需求,需要一种比典型 控制系统安全要求所允许的对设备更自由的访问。 如果包含不同安全等级活动的多个应用运行在单一的物理设备上,那么可以创建一个逻辑区域边 界。这种情况下,对特定应用的访问被限制为拥有访问相应应用特权的人。一个例子是运行在OPC服 务器上的单个机器和OPC基于客户分析的工具。对OPC服务器的访问被限制为拥有更高优先权的 人,而使用OPC客户端插件对电子表格进行访问则对每个员工都是可以的
区可以是独立资产的编组、子区的编组、或独立资产与主区内编组成子区的资产的组合。区具有继 承特性,即一个子区(或分区)需要满足父亲区所有的要求。简化的多工厂区模型如图17所示。这里 企业区是父区,每个工厂是一个拥有包含在工厂子区内的控制子区的子区或分区。
相同的企业体系结构可以被分组成独立的区,如图18所示。这种模型中,区策略是相互 个区可以有完全不同的安全策略
的企业体系结构可以被分组成独立的区,如图18所示。这种模型中,区策略是相互独立的 以有完全不同的安全策略
SCADA应用可以构建类似的模型,如图19和图
图19SCADA区例子
图20SCADA分离区例子
每一个区域有一个特征集和其属性的安全要求。可以表现为以下几种形式的属性: a) 安全策略; b) 资产清单; C) 访问要求和控制; d) 威胁和脆弱性; e 安全违规的后果; f) 经授权的技术; g) 变更管理的过程。 下面条款详细描述了这些属性
6.5.4.2 安全策略
每一个区有一个控制文件,用以描述整体的安全目标及如何确保到达安全等级目标。这包括以
几部分: a) 区范围; b) 区安全等级; ) 组织结构和职责,用以执行安全策略; d) 区相关的风险; e) 满足要求目标的安全策略 f) 实施的安全措施; g) 区域内所允许的活动类型; h) 允许访问区的通信类型; i) 区属性的文件, 上述几点都被文档化,并且融入区的安全策略,用于指导和测量区内所包含资产的构建和维护。
6.5.4.3资产清单
为了维护区内的安全,一个组织需要维护一张所有资产(物理的和逻辑的)的列表。该列表用于评 险和脆弱性,并决定和维护满足安全策略目标的恰当的安全措施。清单的准确性是满足安全策略 定的安全目标的关键因素。当区域内的资产有变化、电子连接改变、为保证满足安全目标将新资产 区域时,应更新清单。 物理资产和组件是区域内包含的物理设备。一些例子包括以下设备: a)计算机硬件(如:工作站、服务器、仪表、控制器、电源、磁盘驱动器和备份磁带); 网络设备(如:路由器、交换机、集线器、防火墙或物理电缆); 通信链路(如:总线、链路、调制解调器和其他网络接口、天线); d 访问鉴别和授权设备(如:域控制器、认证服务器、读卡器和扫描仪); e) 开发系统硬件; f) 仿真和培训系统的硬件; 外部系统硬件; h) 备件库存; i) 监视和控制设备(如:传感器、开关和控制器); 参考手册和资料。 逻辑资产包括区域内使用的所有软件和数据。例子如下: k)计算机系统软件(如:应用程序、操作系统、通信接口、配置表、开发工具、分析工具和实用程 序); ) 操作系统和应用程序工具集的补丁和升级; m)数据库; 数据档案; 0 设备配置文件; 为备份和恢复而维护的软件和数据副本; 设计基础文件(如:功能要求,包括信息和资产、安全分类和保护等级、物理和软件设计、脆弱性 评估、安全边界、基线测试、装配和安装文件): 供应商资源(如:产品更新、补丁、服务包、实用程序和验证测试)
6.5.4.4访问要求和控制
根据其自身的性质,区域意味着访问被限制在所有可访问实体的一小部分中。区域的安全策略
区域所需的访问,以满足业务目标和如何控制访间
6.5.4.5威胁和脆弱性评估
宁起区 域内资产不能满足其业务目标的风险。对威胁和脆弱性文档化的过程发生在威胁和脆弱性评估中,威 胁和脆弱性评估是区域安全策略的一部分 存在许多可能的对抗措施用以减少利用区域内给定的脆弱性造成威胁的风险。安全策略需要列出 合适对抗措施的类型用以满足区域内安全等级的要求, 并在成本与风险间进行权衡
6.5.4.6经授权的技术
随着工业自动化和控制系统不断演化以满足不断改变的业务需求,进行改变所利用的技术需要 空制。这些系统中使用的每一种技术都带来 系列的脆弱性和相应的风险。为了最小化给定区 的风险,区域安全策略需要一张区域中允许的和不允许的动态技术列表
6.5.4.7改变管理过程
需要一个正式和准确的过程来维护给定区域内资产清单的准确性以及区域安全策略变化的方式。 个正式的过程可以确保区域内的改变和添加不会损害安全目标。另外,需要一种方法来适应安全威 协和目标的改变。威胁和脆弱性以及与它们相关的风险,将随时间变化的
管道是用于特定通信过程的安全区。作为安全区,管道是一个资产逻辑编组(这种情况下是通信资 产)。一个安全管道用于保护通道的安全,这与物理管道保护电缆免受物理损害的方式一样。管道可以 现为被用来连接各个区或在一个区内通信的物理管道。内部(区内)外部(区外)管道包住或保护提供资 产连接的通信通道(概念上的电缆)。通常,在IACS环境中,管道与网络一样。也就是说,管道由导线 路由器、交换机,以及补充未来通信的网络管理设备。管道可以是不同网络技术的编组,也可以是单个 计算机中出现的通信通道。管道可以用于分析区内或区间通信存在的威胁和脆弱性。 管道可以认为是包含数据和/或为区域间的通信提供物理连接的物理通道。管道可以包含多个子 管道,以便提供一对一或一对多的区域通信。可以通过实现恰当的区域安全策略为管道提供保密通信
从物理上讲,管道可以是连接区间通信的电缆。 管道是一类不含有子区的区域。也就是说,管道不是由子管道组成的。管道是通过共享给定通信 言道的所有区列表定义的。使用管道中通道的物理设备和应用程序定义了管道的端点。图21中突出 显示了企业管道。
用中可以构建类似的视图。图22给出了一个例
图22SCADA管道例子
与区域相似,每个管道有一个特征集和其属性的安全要求。可以表现为以下几种形式的属性: 安全策略; b) 资产清单; C 访问要求和控制; d 威胁和脆弱性; e 安全违规的后果; f) 授权的技术; 变更管理的过程; h 连通的区。
与区域相似,每个管道有一个特征集和其属性的安全要求。可以表现为以下几种形式的属性
6.5.6.2安全策略
每一个管道有一个控制文件,用以描述整体的安全目标及如何确保到达安全等级目标。这包括以 下几部分: a)管道范围; b)管道安全等级:
组织结构和职责,用以执行管道安全策略; d) 管道相关的风险; e) 满足要求目标的安全策略; f) 实施的安全措施; g 管道内所允许的通道类别; h) 管道属性的文件。 上述几点都被文档化,并且融人管道的安全策略,用于指导和测量管道内所包含资产的构建和 护。
6.5.6.3资产清单
与区清单一样,需要一份通信资产精确列表
6.5.6.4访问要求和控制
根据其自身的性质,管道意味着访问被限制在所有可访问实体的一小部分中。管道的安全策略需 要阐明对管道所需的访问,以满足业务目标和如何控制访问
6.5.6.5威胁与脆弱性评估
一个给定的管道存在威胁和相应的脆弱性。组织需要识别和评估这些威胁和脆弱性T/CECS 10071-2019 绿色建材评价 中水处理设备.pdf,引起管道内 资产不能满足它们业务目标的风险。对威胁和脆弱性文档化的过程发生在威胁和脆弱性评估中,威胁 和脆弱性评估是区域安全策略的一部分, 存在许多可能的对抗措施用以减少利用管道内给定的脆弱性造成威胁的风险。在成本与风险间进 行权衡的基础上,安全策略宜列出合适对抗措施类型
6.5.6.6授权的技术
随着工业自动化和控制系统不断演化以满足不断改变的业务需求,进行改变所利用的技术需要得 到控制。这些系统中使用的每一种技术都带来了一系列的脆弱性和相应的风险。为了最小化给定管道 内的风险,管道安全策略需要一张管道中允许的技术动态列表
6.5.6.7 变更管理的过和
需要一个正式和准确的过程来维护给定管道策略的准确性以及变化方式。一个正式的过程可以确 保管道内的改变和添加不会损害安全目标。另外,需要一种方法来适应安全威胁和目标的变更。威胁 和脆弱性以及与它们相关的风险,将随时间变化的
6.5.6.8连通的区
也可以根据连通的区描述一个管道
前面所描述的模型相互关联GBT 35727-2017标准下载,并且与组成安全程序的策略、规程和导则相关。它们之间的关系如图 3所示。
图23模型之间的关系