劉凱俊，張曉梅，錢秀檳

(北京信息安全測評中心，北京，100101)

基于等級保護(hù)的工業(yè)控制系統(tǒng)分類分級方法

劉凱俊，張曉梅，錢秀檳

(北京信息安全測評中心，北京，100101)

近年來，工業(yè)控制系統(tǒng)信息安全日益受到重視，但在信息安全防護(hù)工作中出現(xiàn)了分類分級方法不明確等問題，影響了信息安全等級保護(hù)相關(guān)工作的開展。本文在充分分析現(xiàn)代工業(yè)控制系統(tǒng)特點的基礎(chǔ)上，首先提出了工業(yè)控制系統(tǒng)信息流模型，并提出了工業(yè)控制系統(tǒng)基于信息流的分類方法及基于受損影響嚴(yán)重程度的分級方法，為今后在工業(yè)控制系統(tǒng)領(lǐng)域開展信息安全等級保護(hù)工作提供了思路。

工業(yè)控制系統(tǒng)；等級保護(hù)；分類分級

0 引言

隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散，工業(yè)控制系統(tǒng)信息安全問題日益突出。數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等工業(yè)控制系統(tǒng)廣泛運用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域，用于控制生產(chǎn)設(shè)備的運行。

近年來，國內(nèi)外發(fā)生了多起由于信息安全問題引發(fā)的工業(yè)控制系統(tǒng)安全事件:2008年，攻擊者入侵波蘭某城市地鐵系統(tǒng)，致四節(jié)車廂脫軌；2010年，Stuxnet病毒(震網(wǎng)病毒)致使伊朗核反應(yīng)堆安全運營受到嚴(yán)重威脅[1]；2011年，黑客入侵致美國伊利諾伊州城市供水系統(tǒng)，致供水泵遭到破壞；2010年齊魯石化、2011年大慶石化煉油廠，都由于病毒入侵致使生產(chǎn)運營受到了不同程度的影響。

早在2010年“震網(wǎng)病毒”事件之前，國外尤其是美國對于工控信息安全已經(jīng)進(jìn)行了大量的研究。“震網(wǎng)病毒”事件發(fā)生后引起全球范圍內(nèi)對工控系統(tǒng)信息安全的高度關(guān)注，國內(nèi)外在工控信息安全方面的研究投入了大量的精力[2]。

1 工業(yè)控制系統(tǒng)開展等級保護(hù)的意義

工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運行、人民生命財產(chǎn)安全、國家經(jīng)濟安全，甚至國家安全。一旦工業(yè)控制系統(tǒng)信息安全方面出現(xiàn)問題，將對工業(yè)生產(chǎn)運行和國家經(jīng)濟安全造成重大隱患。為切實加強工業(yè)控制系統(tǒng)信息安全保護(hù)工作，工信部先后發(fā)布了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)【2011】451號)、《關(guān)于開展重要工業(yè)控制系統(tǒng)基本情況調(diào)查的通知》(工信廳協(xié)函【2011】1003號)等通知，國家質(zhì)檢總局也頒布了《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》(GB/T 26333－2010)等相關(guān)標(biāo)準(zhǔn)規(guī)范。

為此，借鑒傳統(tǒng)信息安全領(lǐng)域開展等級保護(hù)工作的經(jīng)驗，在工業(yè)控制系統(tǒng)中實施等級保護(hù)，從管理和技術(shù)兩大方面提高工業(yè)控制系統(tǒng)信息安全防護(hù)能力，做到可信、可控、可管[3]，有效降低工業(yè)控制系統(tǒng)的安全風(fēng)險，將對工業(yè)控制系統(tǒng)的正常、穩(wěn)定和可靠運行，乃至國民經(jīng)濟的平穩(wěn)運行產(chǎn)生重大意義。而工業(yè)控制系統(tǒng)分類分級方法的研究正是落實工業(yè)控制系統(tǒng)信息安全等級保護(hù)工作的重要步驟。

現(xiàn)代工業(yè)控制系統(tǒng)由于其具有信息物理融合系統(tǒng)(CPS)的特質(zhì)，當(dāng)我們采用傳統(tǒng)的信息安全等級保護(hù)的方法對其進(jìn)行信息安全防護(hù)時:對于工業(yè)控制系統(tǒng)上層的信息網(wǎng)絡(luò)部分，可以借鑒信息安全等級保護(hù)的方法和經(jīng)驗；但對于底層的控制網(wǎng)絡(luò)部分，由于同各具體的工業(yè)控制行業(yè)直接相關(guān)，將難以實際落實各項等級保護(hù)的條款。因此，本文在充分分析現(xiàn)代工業(yè)控制系統(tǒng)特點的基礎(chǔ)上，首先提出了工業(yè)控制系統(tǒng)信息流模型，然后提出了一種基于等級保護(hù)的工業(yè)控制系統(tǒng)分類分級方法，該方法將控制系統(tǒng)功能安全與傳統(tǒng)IT系統(tǒng)信息安全相結(jié)合，并借鑒了等級保護(hù)中依據(jù)系統(tǒng)受損后影響的嚴(yán)重程度對系統(tǒng)進(jìn)行分等級保護(hù)的思路。

2 工業(yè)控制系統(tǒng)分類分級方法研究現(xiàn)狀

為保障工業(yè)控制系統(tǒng)的信息安全，有必要對工業(yè)控制系統(tǒng)進(jìn)行分類分級，并針對不同種類、不同級別的工業(yè)控制系統(tǒng)采取不同方式、不同程度的防護(hù)措施?，F(xiàn)有工業(yè)控制系統(tǒng)分類分級方法較多，但往往僅考慮系統(tǒng)的控制功能或行業(yè)特色，而忽略了與系統(tǒng)相關(guān)聯(lián)的信息及IT設(shè)備，不便于開展信息安全等級保護(hù)工作。

2.1 工業(yè)控制系統(tǒng)參考模型

工業(yè)控制系統(tǒng)參考模型如圖1所示，該模型根據(jù)工業(yè)控制系統(tǒng)領(lǐng)域普遍接受的《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》(IEC 62443)系列標(biāo)準(zhǔn)提出[4]。

圖1 工業(yè)控制系統(tǒng)參考模型

工業(yè)控制系統(tǒng)并非簡單、孤立的系統(tǒng)，而是與生產(chǎn)任務(wù)緊密關(guān)聯(lián)的，分為集中監(jiān)控、現(xiàn)場監(jiān)控、現(xiàn)場設(shè)備和生產(chǎn)過程四個邏輯層(Level0－Level3)[5]。對外，工業(yè)控制系統(tǒng)與企業(yè)系統(tǒng)層(Level4)進(jìn)行交互，包括組織機構(gòu)管理工業(yè)生產(chǎn)所需業(yè)務(wù)相關(guān)活動的功能。企業(yè)系統(tǒng)屬于傳統(tǒng)IT管理系統(tǒng)的范疇，系統(tǒng)中使用的都是傳統(tǒng)的IT技術(shù)、設(shè)備等，不屬于工業(yè)控制系統(tǒng)。

在參考模型中，Level 0和Level 1兩層為工業(yè)控制系統(tǒng)的控制網(wǎng)絡(luò)部分，其中Level 0用來實現(xiàn)實際的物理生產(chǎn)過程，主要包括各類傳感器和執(zhí)行器等設(shè)備；Level 1主要提供基本的現(xiàn)場控制和工藝保護(hù)功能，該層的典型設(shè)備主要包括分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠(yuǎn)程終端控制系統(tǒng)(RTU)等[6]。Level2和Level3兩層為工業(yè)控制系統(tǒng)的信息網(wǎng)絡(luò)部分，主要功能是實現(xiàn)生產(chǎn)控制信息的傳輸和共享，其中Level 2主要實現(xiàn)對物理過程的監(jiān)測和控制功能，Level 3實現(xiàn)對系統(tǒng)運行和生產(chǎn)調(diào)度的管理[7]。而各層面之間的通信也采用了基于不同通信協(xié)議的網(wǎng)絡(luò)。正是由于控制網(wǎng)絡(luò)部分的控制過程對實時性、完整性的要求，以及它同信息網(wǎng)絡(luò)的融合才產(chǎn)生了現(xiàn)代工業(yè)控制系統(tǒng)特有的信息安全需求[8]。

2.2 工業(yè)控制系統(tǒng)典型分類方法

工業(yè)控制系統(tǒng)根據(jù)生產(chǎn)過程分類可以分為離散控制、過程控制等；根據(jù)使用領(lǐng)域分類也可以分為鋼鐵、有色、化工等。這些分類方法體現(xiàn)了工業(yè)控制系統(tǒng)應(yīng)用在各行各業(yè)，進(jìn)行生產(chǎn)控制的特點，但現(xiàn)代工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、通信協(xié)議、數(shù)據(jù)信息等，這些與信息安全關(guān)系緊密的元素，卻沒有很好的在這些分類方法中得以體現(xiàn)，不利于開展有針對性的信息安全保護(hù)工作。

目前工業(yè)控制系統(tǒng)比較典型的一種分類方式是按照工業(yè)控制系統(tǒng)設(shè)備類型和應(yīng)用場景分為PLC、DCS、SCADA等[9]。PLC系統(tǒng)即可編程控制器，適用于工業(yè)現(xiàn)場的測量控制，現(xiàn)場測控功能強但無組網(wǎng)通信能力；DCS系統(tǒng)即集散工業(yè)控制系統(tǒng)，特點是分散控制和集中監(jiān)視，具有組網(wǎng)通訊能力；SCADA系統(tǒng)即分布式數(shù)據(jù)采集和監(jiān)控系統(tǒng)，屬中小規(guī)模的測控系統(tǒng)。它集中了PLC系統(tǒng)的現(xiàn)場測控功能強和DCS系統(tǒng)的組網(wǎng)通訊能力的兩大優(yōu)點，性能價格比高[10]。

理論上，DCS主要用于過程自動化，PLC主要用于工廠自動化(生產(chǎn)線)，SCADA主要針對油田、管線等廣域需求[11]。如果從計算機和網(wǎng)絡(luò)的角度來說，它們是統(tǒng)一的，之所以有區(qū)別，主要在應(yīng)用的需求，DCS常常要求高級的控制算法，如在煉油行業(yè)，PLC對處理速度要求高，因為經(jīng)常用在聯(lián)鎖上，甚至是故障安全系統(tǒng)，SCADA也有一些特殊要求，如振動監(jiān)測，流量計算，峰值調(diào)節(jié)等[12]。

但在實際的生產(chǎn)環(huán)境中，PLC、DCS、SCADA等類型的工業(yè)控制設(shè)備互相滲透，在一些生產(chǎn)企業(yè)中會包含3種系統(tǒng)，SCADA作為生產(chǎn)管理級上位監(jiān)控，DCS實現(xiàn)復(fù)雜控制，而PLC實現(xiàn)單機及簡單控制。并且隨著技術(shù)的發(fā)展有一些廠家的PLC也可以實現(xiàn)很復(fù)雜精確的控制，具備了常規(guī)DCS所具備的一些功能[13]。在這樣的實際應(yīng)用情況與發(fā)展趨勢下，如果仍然按照具體的工業(yè)控制系統(tǒng)設(shè)備類型來分類，則無法有效的針對工業(yè)控制系統(tǒng)進(jìn)行具體有效的信息安全防護(hù)。

2.3 工業(yè)控制系統(tǒng)典型分級方法

工業(yè)控制系統(tǒng)根據(jù)系統(tǒng)規(guī)模分級可以分為小型、中型、大型等；根據(jù)系統(tǒng)抵御威脅的能力可以分為SAL1－SAL4四個等級。這些分級方法雖然都有一定的依據(jù)和可操作性，但卻與現(xiàn)有的信息安全等級保護(hù)制度不能很好的銜接。具體而言，等級保護(hù)制度將系統(tǒng)依據(jù)受破壞后影響的嚴(yán)重程度分為五個等級，并據(jù)此制定五個不同程度的安全防護(hù)要求，這樣的一種分級方法已經(jīng)在信息安全保護(hù)領(lǐng)域取得了良好的效果。上述的各種分級方法，卻無法將信息安全等級保護(hù)制度中的五級防護(hù)標(biāo)準(zhǔn)在工業(yè)控制系統(tǒng)領(lǐng)域逐級對應(yīng)地進(jìn)行落實。

目前工業(yè)控制系統(tǒng)比較典型的一種分級方式是基于《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》(IEC 61508)等功能安全標(biāo)準(zhǔn)，根據(jù)系統(tǒng)安全完整性等級(Safety Integrity Level，SIL)來劃分等級。

傳統(tǒng)工業(yè)控制系統(tǒng)所關(guān)注的安全主要是其功能安全。功能安全是依賴于系統(tǒng)或設(shè)備對輸入的正確操作，它是全部安全的一部分。當(dāng)每一個特定的安全功能獲得實現(xiàn)，并且每一個安全功能必需的性能等級被滿足的時候，功能安全目標(biāo)就達(dá)到了。目前，功能安全基礎(chǔ)性標(biāo)準(zhǔn)IEC61508(電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全)及其在各個特定領(lǐng)域的相關(guān)標(biāo)準(zhǔn)，已經(jīng)成為國內(nèi)外涉及工業(yè)控制系統(tǒng)的諸多行業(yè)進(jìn)行安全建設(shè)與運維的重要參考依據(jù)。

安全完整性，即在規(guī)定的條件下、規(guī)定的時間內(nèi)，安全相關(guān)系統(tǒng)成功地實現(xiàn)所要求的安全功能的概率。安全完整性用4個離散的等級予以劃分，即SIL4、SIL3、SIL2、SIL1，每一個安全完整性等級對應(yīng)著一定數(shù)值范圍的目標(biāo)失效概率和目標(biāo)風(fēng)險降低因子。安全完整性等級越高的系統(tǒng)，其執(zhí)行所要求的安全功能的概率也越高[14]。

基于功能安全對工業(yè)控制系統(tǒng)分級，雖然也是為了便于保障人員健康、設(shè)備安全或環(huán)境安全，但是功能安全所依據(jù)的安全完整性等級(Safety Integrity Level，SIL)是基于隨機硬件失效的一個部件或系統(tǒng)失效的可能性計算得出的，而工業(yè)控制系統(tǒng)信息安全有著更為廣闊的應(yīng)用，以及更多可能的誘因和后果。影響系統(tǒng)安全的因素非常復(fù)雜，很難用一個簡單的數(shù)字描述出來，并且這種分級方法也無法與信息安全等級保護(hù)制度中的五級防護(hù)標(biāo)準(zhǔn)相對應(yīng)，使現(xiàn)有的信息系統(tǒng)防護(hù)標(biāo)準(zhǔn)與規(guī)范無法有效落實。

為了解決工業(yè)控制系統(tǒng)現(xiàn)有的典型分類分級方法不便于落實信息安全防護(hù)工作的問題，本文提出了一種基于等級保護(hù)的工業(yè)控制系統(tǒng)分類分級方法。

3 基于等級保護(hù)的工業(yè)控制系統(tǒng)分類分級方法

3.1 工業(yè)控制系統(tǒng)信息流模型

工業(yè)控制系統(tǒng)建模是研究其分類分級方法的基礎(chǔ)。模型和參考體系結(jié)構(gòu)等為描述和理解工業(yè)控制系統(tǒng)提供了公共的框架和術(shù)語，是工業(yè)控制系統(tǒng)安全保障工作的重要基礎(chǔ)。圖1所示的工業(yè)控制系統(tǒng)參考模型，主要是基于具體設(shè)備的種類及功能不同來進(jìn)行劃分層次的。而在現(xiàn)代工業(yè)控制系統(tǒng)中，不同層級設(shè)備間的功能區(qū)分已經(jīng)很模糊，基于該模型進(jìn)行分類分級方法研究已無法滿足安全防護(hù)工作的需要[15]。

現(xiàn)代工業(yè)控制系統(tǒng)結(jié)合了網(wǎng)絡(luò)技術(shù)與計算機技術(shù)，使物理空間與信息空間深度融合，信息流在整個系統(tǒng)中傳輸和分享，促進(jìn)整個系統(tǒng)的良好運行，實現(xiàn)系統(tǒng)的可信、可控、可管?；谛畔⒘髟谡麄€工業(yè)控制系統(tǒng)中的重要地位，結(jié)合典型工業(yè)控制系統(tǒng)的參考模型和整個系統(tǒng)中的數(shù)據(jù)流向，本文提出如圖2所示的工業(yè)控制系統(tǒng)模型?，F(xiàn)場設(shè)備通過現(xiàn)場網(wǎng)絡(luò)或硬接線接收來自傳感器、工業(yè)儀表和開關(guān)的采集數(shù)據(jù)和開關(guān)量，進(jìn)行本地的邏輯計算和操作的同時，將數(shù)據(jù)通過遠(yuǎn)程/本地的監(jiān)控網(wǎng)絡(luò)送至監(jiān)控主站進(jìn)行集中展現(xiàn)、分析和處理。操作員在監(jiān)控主站的工作站上對現(xiàn)場的生產(chǎn)過程進(jìn)行監(jiān)視和控制，控制指令通過監(jiān)控網(wǎng)絡(luò)發(fā)送至現(xiàn)場設(shè)備，現(xiàn)場設(shè)備向開關(guān)控制器或調(diào)節(jié)器發(fā)送執(zhí)行命令[16]。

圖2 工業(yè)控制系統(tǒng)信息流模型

該模型體現(xiàn)了信息傳輸與共享在現(xiàn)代工業(yè)控制系統(tǒng)中的重要地位，將物理空間的生產(chǎn)控制與信息空間的數(shù)據(jù)傳輸相結(jié)合，將數(shù)據(jù)與相應(yīng)的設(shè)備關(guān)聯(lián)起來，是3.2節(jié)進(jìn)行工業(yè)控制系統(tǒng)分類的基礎(chǔ)。

3.2 基于信息流的工業(yè)控制系統(tǒng)分類方法

根據(jù)3.1節(jié)的工業(yè)控制系統(tǒng)信息流模型，工業(yè)控制系統(tǒng)及其相關(guān)組件根據(jù)數(shù)據(jù)類型及獲取方式不同可分為四類，分類標(biāo)準(zhǔn)如下:

表1 工業(yè)控制系統(tǒng)分類原則與典型設(shè)備

與2.2節(jié)所列分類方法相比，基于信息流的分類方法不僅關(guān)注工業(yè)控制系統(tǒng)本身，并且關(guān)注與工業(yè)控制系統(tǒng)相關(guān)聯(lián)的信息及IT設(shè)備。按照此分類方法，不同類別的工業(yè)控制系統(tǒng)可以采用不同的安全防護(hù)標(biāo)準(zhǔn)，可以直接指導(dǎo)安全防護(hù)工作。

如圖2所示，包括現(xiàn)場監(jiān)控類、集中監(jiān)控類在內(nèi)的諸多系統(tǒng)之間，乃至于和更上層的企業(yè)系統(tǒng)層之間，很大程度上是通過基于傳統(tǒng)信息技術(shù)的網(wǎng)絡(luò)進(jìn)行連接和通信的，這兩類系統(tǒng)進(jìn)行信息安全防護(hù)時，可以參照《信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T 22239)等一系列信息安全等級保護(hù)標(biāo)準(zhǔn)[17]，結(jié)合本文3.3節(jié)的分級方法分層面進(jìn)行保護(hù)。而最接近實際物理現(xiàn)場的生產(chǎn)過程類、現(xiàn)場設(shè)備類這兩類工業(yè)控制設(shè)備，其數(shù)據(jù)類型及控制方式與電力、化工等各工業(yè)控制行業(yè)的發(fā)電配電、泵控制等操作直接相關(guān)，且這兩類系統(tǒng)進(jìn)行過程控制時對實時性、完整性要求較高，需要有針對性的制定具有工業(yè)控制系統(tǒng)特色的信息安全防護(hù)規(guī)范[18]，可以參照《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》(IEC 61508)等一系列功能安全標(biāo)準(zhǔn)進(jìn)行安全防護(hù)。

3.3 基于受損影響嚴(yán)重程度的工業(yè)控制系統(tǒng)分級方法

工業(yè)生產(chǎn)過程中所使用的控制系統(tǒng)主要完成3方面的功能，即:安全保護(hù)、測量/計量、生產(chǎn)控制。不同功能的工業(yè)控制系統(tǒng)由于信息安全事件受損而導(dǎo)致功能喪失時，產(chǎn)生后果的影響嚴(yán)重程度也不同，據(jù)此可將工業(yè)控制系統(tǒng)分為表2所示五個級別:

表2 工業(yè)控制系統(tǒng)分級原則與典型設(shè)備

從上述分級標(biāo)準(zhǔn)可以看出不同級別的工業(yè)控制系統(tǒng)若發(fā)生信息安全事件，其產(chǎn)生的后果具有不同的影響，而影響的嚴(yán)重程度決定了工業(yè)控制系統(tǒng)的信息安全防護(hù)能力要求也有所不同。工業(yè)控制系統(tǒng)發(fā)生信息安全事件的后果越嚴(yán)重，則該系統(tǒng)越重要，其應(yīng)具有的信息安全防護(hù)能力要求就越高[19]。

依據(jù)該分級標(biāo)準(zhǔn)對工業(yè)控制系統(tǒng)分級后，可根據(jù)各級系統(tǒng)的不同特點，區(qū)分對待，采取相應(yīng)的防護(hù)措施，合理利用資源，避免過度保護(hù)以及保護(hù)力度不夠，有利于在工業(yè)控制系統(tǒng)領(lǐng)域落實國家等級保護(hù)基本制度[20]。對工業(yè)控制系統(tǒng)進(jìn)行分級防護(hù)有利于突出重點，加強對涉及國家安全、經(jīng)濟命脈、社會穩(wěn)定的基礎(chǔ)工業(yè)控制系統(tǒng)的信息安全保護(hù)和管理監(jiān)督；有利于采取系統(tǒng)、規(guī)范、科學(xué)的管理和技術(shù)保障措施，提高工業(yè)控制系統(tǒng)信息安全整體防護(hù)水平，保障系統(tǒng)安全正常運行，進(jìn)而保障國家安全，促進(jìn)社會穩(wěn)定與經(jīng)濟發(fā)展。

4 結(jié)語

對工業(yè)控制系統(tǒng)進(jìn)行合理的分類分級，是切實有效對其進(jìn)行信息安全防護(hù)的重要前提。為了解決工業(yè)控制系統(tǒng)現(xiàn)有的典型分類分級方法不便于落實信息安全防護(hù)工作的問題，本文提出了一種基于等級保護(hù)的工業(yè)控制系統(tǒng)分類分級方法，該方法基于信息流及受損影響確定工業(yè)控制系統(tǒng)的類型及等級，有利于信息安全防護(hù)措施的選擇和落實。這種分類分級方法還需要在工業(yè)控制系統(tǒng)安全防護(hù)的實踐中進(jìn)一步檢驗和改進(jìn)。期望本文的研究能為今后在工業(yè)控制系統(tǒng)領(lǐng)域開展信息安全等級保護(hù)工作，提供一些可以借鑒的思路和方法。

[1] 張帥.工業(yè)控制系統(tǒng)安全風(fēng)險分析[J].信息安全與通信保密，2012，3(3):15－19.

[2] 隆萍.工控系統(tǒng)信息安全保障[J].自動化與儀器儀表，2014，1(5):152－157.

[3] 仝培杰.建立工業(yè)控制系統(tǒng)信息安全等級保護(hù)制度[J].中國計算機報，2013，3(5):12.

[4] 王玉敏.IEC62443系列標(biāo)準(zhǔn)概述和SAL介紹[J].儀器儀表標(biāo)準(zhǔn)化與計量，2012，23(1):26－30.

[5] 沈清泓.工業(yè)控制系統(tǒng)三層網(wǎng)絡(luò)的信息安全檢測與認(rèn)證[J].自動化博覽，2014，1(7):68－71.

[6] 凌從禮.工業(yè)控制系統(tǒng)脆弱性分析與建模研究[D].浙江:浙江大學(xué)，2013.

[7] TingWANG.Design and Implementation of Fuzzing Technology for Opc Protocol[C]//Ninth International Conference on Intelligent Information Hiding and Multimedia Signal Processing. Beijing，China:IEEE Computer Society，2013:424－428

[8] 彭勇，江常青，謝豐等.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報(自然科學(xué)版)，2012，52(10):1396－1408

[9] 李志勇，潘相敏，馬建新.Consequence Modeling Tool Report [J].同濟大學(xué)學(xué)報(自然科學(xué)版)，2012，1(2):286－291.

[10] 張帥.工業(yè)控制系統(tǒng)安全現(xiàn)狀與風(fēng)險分析[J].計算機安全，2012，1(1):15－19.

[11] 付紹文.FCS、DCS、PLC系統(tǒng)的比較及其發(fā)展[J].自動化控制，2014，1(1):249.

[12] 繆學(xué)勤.采用縱深防御體系架構(gòu)確保核電可靠安全[J].自動化儀表，2011，1(2):1－5.

[13] Chee－Wooi TEN，Chen－Ching LIU，Manimaran GOVINDARASU.Vulnerability Assessment of Cybersecurity for SCADA Systems Using Attack Trees[J].IEEE Transactions on Power Systems，2012，4(23):155－164.

[14] M.T.O.Amanullah，A.KALAM，A.ZAYEGH.Network Security Vulnerabilities in SCADA and EMS[C]//IEEE/PES Transmission and Distribution Conference＆Exhibition.Dalian，China:IEEE/PES，2005:3－6.

[15] 張明天，王惠蒞，楊晨等.《聯(lián)邦信息和信息系統(tǒng)安全分類》標(biāo)準(zhǔn)解讀[J].信息技術(shù)與標(biāo)準(zhǔn)化，2011，4(7): 54－57.

[16] Abdullah KHALILI，Mahsa KEIKHA，Ashkan SAMI.Recovery Scheme for Industrial Control Systems[C]//5th Conference on Information and Knowledge Technology.Shiraz，Iran: IEEE，2013:279－283.

[17] 朱建平，李明.信息安全等級保護(hù)標(biāo)準(zhǔn)體系研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2005，1(5):21－24.

[18] 王鵬.美國聯(lián)邦政府信息系統(tǒng)分類分級初探[J].保密科學(xué)技術(shù)，2012，1(12):34－36.

[19] 閔京華，王連強.信息安全事件分類分級的研究過程及國際標(biāo)準(zhǔn)提案進(jìn)展[J].信息技術(shù)與標(biāo)準(zhǔn)化，2009，1(3):29－32.

[20] 王升保.信息安全等級保護(hù)體系研究及應(yīng)用[D].合肥:合肥工業(yè)大學(xué)，2009.

Classification and Grading Method for Industrial Control System based on Hierarchical Protection

LIU Kai－jun，ZHANG Xiao－mei，QIAN Xiu－bin
(Beijing Information Security Test and Evaluation Center，Beijing 100101，China)

In recent years，information security is increasingly concerned in ICS(Industrial Control System)，while some problems such as improper classification and gradingmethod of information security protection，directly affect the implementation of infosec hierarchical protection in ICS.Based on intensive analysis ofmodern ICS features，the paper firstly proposes an information flow model for ICS，and then presents a classificationmethod based on information flow model and a gradingmethod based on the severity of damage to ICS.This paper provides a train of thought for the implementation of infosec hierarchical protection in ICS.

ICS；hierarchical protection；classification and grading

TP309.2

A

1009－8054(2015)05－0112－05

劉凱俊(1987—)，男，碩士，工程師，主要研究方向為工控系統(tǒng)信息安全；

2014－10－10

張曉梅(1978—)，女，碩士，工程師，主要研究方向為新技術(shù)信息安全、信息安全風(fēng)險評估；

錢秀檳(1977—)，男，碩士，副主任，主要研究方向為信息安全形勢、新技術(shù)信息安全。■