精选版
-15-
15
4.3.6 信息安全等级（SL）
1. 管理等级划分
根据信息安全控制实用规则（ISO27002） 的管理要求和过程自动化用户协会（WIB）的 推荐要求，通过管理评估，将管理等级划分为 三级，分别为ML1，ML2和ML3，由低到高分别 对应低级、中级和高级。
2. 系统能力等级划分
根据前面一节的内容，基于IEC62443-3-3 技术要求，通过系统能力（技术）评估，将系 统能力等级分为四级，由小到大分别对应系统 能力等级的CL1，CL2、CL3和CL4。
精选版
-10-
10
4.3.1 安全保障等级（SAL）
在IEC62443中引入了信息安全保障等级（Security Assurance Level，SAL）的概念， 尝试用一种定量的方法来处理一个区域的信息安全。它既适用于终端用户公司，也适用于工 业控制系统和信息安全产品供应商。通过定义并比较用于信息安全扫描周期的不同阶段的目 标安全保障等级（SAL-T）、达到安全保障等级（SAL-A）和能力安全保障等级（SAL-C）， 实现预期设计结果的安全性。
3. 信息安全等级（SL）划分
根据管理评估和系统能力评估的结果，可 以得到工业控制系统的评估结果，即信息安全 等级，其等级划分为四级，由低到高分别对应 为SL1，SL2、SL3和SL4，如表4-1 所示。
表4-1 信息安全等级表
Байду номын сангаас精选版
-16-
16
第4章 工业控制系统信息安全风险评估
-3-
精选版
3
第4章 工业控制系统信息安全风险评估
4.1 系统识别 4.2 区域与管道定义 4.3 信息安全等级（SL） 4.4 风险评估过程 4.5 风险评估方法
-4-
精选版
4
4.2.1 区域定义
1．区域定义
按照IEC 62443定义，“区域”是 由逻辑的或物理的资产组成的，并且 共享通用的信息安全要求。区域是代 表需考虑系统分区的实体集合，基于 功能、逻辑和物理关系。
《工业控制系统信息安全》
第4章 工业控制系统信息安全风险评估
-1-
精选版
1
第4章 工业控制系统信息安全风险评估
4.1 系统识别 4.2 区域与管道定义 4.3 信息安全等级（SL） 4.4 风险评估过程 4.5 风险评估方法
-2-
精选版
2
4.1 系统识别
需考虑的系统---是指公 司工业控制系统与信息 安全相关的部分，并非 指整个工业控制系统， 是与信息安全相关的设 备和网络的总称。
精选版
-14-
14
4.3.5 系统能力等级（CL）
系统能力等级（CL）： 能力等级 CL1：提供机制保护控制系统防范偶然的、轻度的攻击。 能力等级CL2：提供机制保护控制系统防范有意的、利用较少资源和一般 技术的简单手段可能达到较小破坏后果的攻击。 能力等级CL3：提供机制保护控制系统防范恶意的、利用中等资源、ICS特 殊技术的复杂手段的可能达到较大破坏后果的攻击。 能力等级CL4：提供机制保护控制系统防范恶意的、使用扩展资源、ICS特 殊技术的复杂手段与工具可能达到重大破坏后果的攻击。
功能安全系统使用安全完整性等级（Safety Integrity Level，SIL）的概念已有近20年。 它允许一个部件或系统的安全表示为单个数字，而这个数字是为了保障人员健康、生产安全和环 境安全而提出的基于该部件或系统失效率的保护因子。工业控制系统信息安全的评估方法与功能 安全的评估有所不同。虽然都是保障人员健康、生产安全或环境安全，但是功能安全使用安全完 整性等级（SIL）是基于随机硬件失效的一个部件或系统失效的可能性计算得出的，而信息安全 系统有着更为广泛的应用，以及更多可能的诱因和后果。影响信息安全的因数非常复杂，很难用 一个简单的数字描述出来。然而，功能安全的全生命周期安全理念同样适用于信息安全，信息安 全的管理和维护也必须是周而复始不断进行的。
精选版
-12-
12
4.3.3 基本要求（FR）
1．FR1：标识和认证控制 2．FR2：使用控制 3．FR3：系统完整性 4．FR4：数据保密性 5．FR5：限制的数据流 6．FR6：对事件的及时响应 7．FR7：资源可用性
精选版
-13-
13
4.3.4 系统要求（SR）
1．FR1：标识和认证控制系统要求 2．FR2：使用控制系统要求 3．FR3：系统完整性系统要求 4．FR4：数据保密性系统要求 5．FR5：限制的数据流系统要求 6．FR6：对事件的及时响应系统要求 7．FR7：资源可用性系统要求
图4-2 多装置区域模型图
-5-
精选版
5
4.2.1 区域定义
2．信息安全区域定义
在工业控制系统中定义和设计区域、管道的目的是将具有相同的功能性 和信息安全要求的设备分成组进行标识和分析，这也有利于设备和操作的管 理。这样需要保护的就不是单个的设备而是整个区域。
-6-
精选版
6
4.2.2 管道定义
1．管道定义
按照IEC 62443定义，“管道”是 连接两个或多个共享安全要求区域通信 渠道的逻辑组。
-7-
精选版
7
4.2.2 管道定义
2．信息安全管道定义
-8-
精选版
8
4.2.3 区域定义模板
-9-
精选版
9
第4章 工业控制系统信息安全风险评估
4.1 系统识别 4.2 区域与管道定义 4.3 信息安全等级（SL） 4.4 风险评估过程 4.5 风险评估方法
目标安全保障等级（SAL-T）是为特定系统设定的SAL。
达到安全保障等级（SAL-A）是特定系统信息安全实际的SAL等级。
能力安全保障等级（SAL-C）是指系统或组件正确配置时的信息安全等级。
精选版
-11-
11
4.3.2 安全保障等级（SAL）与 安全完整性等级（SIL）的区别
IEC 62443中引入了信息安全保障等级（Security Assurance Level，SAL）的概念，尝试用 一种定量的方法来处理一个区域的信息安全。通过定义并比较用于信息安全生命周期的不同阶段 的目标SAL、设计SAL、完成SAL和能力SAL，实现预期设计结果的安全性。它从身份和授权控制、 使用控制、数据完整性、数据保密性、受限数据流、事件适时响应、资源可用性7个基本要求入 手，将信息安全保障等级分为4个等级。