系统安全防护的整体设计； 现场设备、网络、主机到应用等各个组件的安全配置； 防火墙和入侵检测系统等安全防护设备的使用等。
安全功能要求与能力安全级对应关系
要求类（6） 要求族（18） FIA_IAM族：标识 与认证方式 要求项（58） FIA_IAM.1 标识及方式 FIA_IAM.2 认证及方式 CSL1 FIA_IAM.1 FIA_IAM.2 FIA_IDM.1 — — — — — — — — — — — — CSL2 能力安全级 CSL3 FIA_IAM.1a) FIA_IAM.2a) FIA_IDM.1a) FIA_ARM.1a) FIA_ARM.2 FIA_ARM.3 FIA_ARM.4 FIA_ARM.5a) FIA_ARM.6a) FIA_ARM.7 FIA_LGM.1 FIA_LGM.2 FIA_LGM.3 FIA_LGM.4 FIA_LGM.5 CSL4 FIA_IAM.1b) FIA_IAM.2b) FIA_IDM.1a)b) FIA_ARM.1a) FIA_ARM.2a) FIA_ARM.3a) FIA_ARM.4 FIA_ARM.5a)b) FIA_ARM.6a)b) FIA_ARM.7 FIA_LGM.1 FIA_LGM.2 FIA_LGM.3 FIA_LGM.4a) FIA_LGM.5 FIA_IAM.1 FIA_IAM.2 FIA_IDM.1 FIA_ARM.1 — — — FIA_ARM.5 FIA_ARM.6 FIA_ARM.7 — — — — FIA_LGM.5
复杂的手段需要对信息安全、对应工控领域和目标系统深入的了解和知识积累。 攻击者攻击SL 3系统时，可能会使用为特定目标系统设计的攻击方案。攻击者可能 会利用较新的操作系统漏洞、工业协议的缺陷，特定目标的具体信息来发起攻击， 或通过其他比SL 1或SL 2需要更大的动机以及需要更多知识的方式来发起攻击。
SL1：作员通过工程师站对BPCS区域中的一个定值进行
修改，并超出工程师能够设定的范围，这就构成了 一个偶然或巧合的信息安全违规行为。造成这一情 况的原因是系统没有对操作员的变更行为进行适当 的身份验证和使用控制。 口令以明文在连接BPCS区和DMZ区管道中传输， 网络工程师在对系统进行诊断故障时就可以看到 明文的口令，系统没有实施适当的数据保密来保 护口令。
氯气槽车装车使用案例
设置阶段
ISA99正试图用一个单一的用例在整个 系列以显示如何的标准的每个部分配合 到过程 而氯气卡车装载的例子是关系到化工行 业，提出的概念可能涉及到任何行业 这个例子可以让风险在某种程度上更现 实的讨论比IT为中心，国土安全部为重 点，或纯粹是假设的例子
氯气槽车装车使用案例：陈述
力破解口令就是一个利用扩展资源和复杂手段的攻 击的例子。其他典型攻击还包括同时使用多种攻击 手段形成僵尸网络来攻击一个特定系统、拥有大量 资源和攻击动机的犯罪组织长期对目标系统进行分 析并开发自定义的“0day”漏洞攻击工具。 图1、氯卡车装载站控制系统示例
图2、制造厂控制系统示例
SL4：使用超级计算机或计算机集群，采用大的哈
示例2：系统安全等级（SL1-SL4）说明
SL1：一个工程师试图访问工业网络1中的PLC，但
实际上访问工业网络2中的PLC，系统没有 执行适当的数据流限制来阻止工程师访问错 误的系统。
SL2：攻击者使用从Internet上下载的攻击工具，
利用通用操作系统的已知公开漏洞，破坏了 企业网络中的web服务器。攻击者可以利用 web服务器作为跳板对企业网络和工业网络 中其它系统发起攻击。 操作员使用工业网络1中的HMI浏览一个网站， 结果下载了木马，导致Internet上的攻击者 可以直接访问工业网络1。
SL 4:防护使用扩展资源、IACS特殊技术和较高动机的复杂手段的攻击
SL 4和SL 3非常相似，它们都涉及到使用复杂的手段入侵系统。SL 4与SL 3的差异 在于攻击者动机更强，而且可以支配的资源更多，比如高性能的计算资源、大量 的计算机或长时期的专职攻击时间。
示例1：系统安全等级（SL1-SL4）说明
这张图的完整的用例将在ISA-TR62443-1-4 （TR99.01.04）讨论。
示例2：系统分解为管道连接的不同区域
五个区域组成（现场设备以上部分）： 1. 企业信息网。 2. 控制区DMZ
连接控制中心、BPCS、覆盖各种组件和系统、维 护工作站
四个区域：
企业网络、工 业/企业DMZ 工业网络1 工业网络2
系统需要的 保护等级
风险评估
IEC 62443-2-1 IACS信息安全 管理系统 系统架构：区域和管道 和 IEC 62443-3-2 区域和管道
解决方案
目标SL
达到的SL
控制系统 独立于工厂环境
能力SL 控制系统功能
IEC 62443-3-3 系统信息安全 要求
示例统的组件之一，其所具备的信息安全能 力会对系统整体的信息安全水平产生影响。 可用于用户对不同产品进行比较，也可用于测评机构对不同产品进行 安全能力水平评价。
山西省《工业控制系统信息安全》国家标 准宣贯培训
2
工业控制系统信息安全 GB/T 30976-2014
15.8.6
XYZCORP认为他们的选择
在早期开发阶段的想法用例
将需要相当长的时间才能完成整个用例 用例不同的部分可能会出现在不同的时 间
希表强力破解口令就是一个利用扩展资源和 复杂手段的攻击的例子。其他典型攻击还包 括同时使用多种攻击手段形成僵尸网络来攻 击一个特定系统、拥有大量资源和攻击动机 的犯罪组织长期对目标系统进行分析并开发 自定义的“0day”漏洞攻击工具。
设备的能力安全等级
设备能力安全级与工控系统安全级的关系
工业控制系统安全级通过描述抵御不同强度攻击的信心水平来表示系 统的安全保障水平。 系统整体的安全保障水平的实现是通过下列系统信息安全多方面防护 技术协同工作的结果：
在系统设计过程中，需要评估不 如果系统不满足ISA-62443-3- 3 同的组件和子系统的安全能力。 中的系统要求，则可能有多种原 产品供应商应提供组件或系统的 因，如缺少对程序的维护或重新 CSL数据，这是通过与ISA设计部分系统。 62443系列中定义的不同CSL的 本质上，控制系统安全能力的确 要求进行比较得出的。 定与使用场景无关，但用在给定 产品的CSL可以用来确定一个特 场景中以达到系统架构、区域和 定的组件或系统是否能够满足系 （/或）连接管道的TSL。 统的TSL。
工业控制系统信息安全 GB/T 30976-2014
15.8.6
安全等级
SL：安全级（Security level）
工控系统信息安全
ISA/IEC 62443
系统能力（技术能力） ——为了帮助更好的理解工业控制系统信息安全系统能 力等级的概念，这里部分（关于设备能力）内容参考了 未公布的标准讨论稿，具体规定以发布后的标准为准。
图1、氯卡车装载站控制系统示例
图2、制造厂控制系统示例
山西省《工业控制系统信息安全》国家标 准宣贯培训
1
工业控制系统信息安全 GB/T 30976-2014
15.8.6
设计过程
在确定TSL后，系统可被设计或 重新设计以达到TSL。
提供为满足声明的SL的组件或系 统的配置指南。 设计过程通常要迭代多次，因为 一旦系统设计被批准和实施，系 系统设计要与目标进行多次比较 统需要被评估以防止或减轻系统 检查。 安全级的降低。 ISA-62443-2-1提供在设计过程 评估应该发生系统变更期间或变 程序方面的指导 更后并定期进行。 ISA-62443-3-3和ISA-62443-4 ISA-62443-2-1（99.02.01）提供 2中定义了系统级和组件级的技 了运行安全程序的必要步骤和如 术安全要求及CSL。 何评估其有效性的指南。
3. 4. 5.
控制中心
多个工作站、
安全仪表系统（SIS）
PLC（FS-PLC）、IMAS、工程师站
基本的过程控制系统（BPCS）
PLC、IMAS、工程师站
每个工业网络用 他们自己的PLC、 现场设备和HMI， 彼此之间独立运 行。
图中所示的多个域控制器和边界防护设备用 来表示一些可能适用于改善安全的措施。
简单手段不需要攻击者有太多知识储备。攻击者不需要知道信息安全、被攻击的 区域或具体系统的详细指示。攻击方法往往是众所周知的，可能还有辅助性的自 动化攻击工具。这些攻击一般是为了对大量系统进行攻击而设计，并不是针对一 个特定的系统，所以攻击者不需要具备很强的动机或很多资源。
SL 3:防护利用中等资源、IACS特殊技术和中等动机的复杂手段的攻击
SL提供了一个定性的方法来定义一个区域的安全。 CSL：能力安全级（Capability Security Level） • 正确的进行安全配置后组件或系统能够达到的安全级。CSL阐 述了一个具体的组件或系统在不使用额外的补偿性的措施的情 况下，仅仅通过正确配置和集成能够满足TSL的水平。 TSL：目标安全级（Target Security Level） • TSL是一个具体的工业控制系统需要达到的安全级。目标安全 级是根据具体系统的风险评估结果来判定保证系统的正常运行 需要达到的安全水平。 ASL：达到的安全级（Achieved Security Level） • ASL是一个具体的工业控制系统实际达到的安全级。具体的系 统设计完成或上线后进行达到的安全级的测量，达到的安全级 用于表明系统满足目标安全级要求的内容。
FIA_IDM族：标识 FIA_IDM.1 用户ID管理 符管理 FIA_ARM.1 口令修改 FIA_ARM.2 口令更换周期 FIA_ARM.3 口令强度控制 FIA_ARM 族 ： 认 FIA_ARM.4 口令失效机制 证码管理 FIA类：标识 与认证 FIA_ARM.5 证书及公私钥管理 FIA_ARM.6 对称密钥管理 FIA_ARM.7 密码学服务失效 FIA_LGM.1 登录失败管理 FIA_LGM.2 登录成功记录 FIA_LGM 族 ： 登 FIA_LGM.3 展示登录历史 录管理 FIA_LGM.4 多次登录失败行为 FIA_LGM.5 认证反馈