GB/T 36324-2018 信息安全技术 工业控制系统信息安全分级规范

ICS35.040

L80

国；

中华人民共和国国家标准

GB/T36324-2018

信息安全技术

工业控制系统信息安全分级规范

Informationsecuritytechnology-

Informationsecurityclassificationspecificationsofindustrialcontrolsystems

2018-06-07发布2019-10-01实施

国家市场监督管理总局峪非

中国国家标准化管理委员会0(..'I(J

GB/T36324-2018

目次

U1

引言………………I~「

1范围…··

2规范性引用文件…………·

3术语和定义、缩略语………………………1

3.1术语和定义

3.2缩略语………………2

4下业控制系统概述………………………2

4.1T业控制系统基本构成……………2

4.2了业控制系统定级对象

5T业控制系统信息安全等级划分规则……·

5.1．丁业控制系统信息安全等级划分模型

5.2T业控制系统信息安全定级要素

5.3t业控制系统信息安全等级特征…………………10

6工业控制系统信息安全等级定级方法………．．．．．．．．．．．．．．．．．．．．．．．．．．．

6.1T业控制系统信息安全定级流程……………11

6.2确定下业控制系统定级对象………………………12

6.3确定丁，业控制系统资产重要程度…………………14

6.4确定受侵害后的潜在影响程度……………………14

6.5确定需抵御的信息安全威胁程度…………·…20

6.6确定－「业控制系统信息安全等级……··

附录A（规范性附录）有关生产安全事故和突发环境事件分级………23

参考文献……………

I

GB/T36324-2018

统控制范围内相关下业生产装置设施价值等情况，可划分为资产获取价值很高、资产获取价值一般，具

体划分条件如下：

a)资产获取价值很高的T业控制系统应符合下列条件之一：

1)T业控制系统资产的原始成本很高，或者其控制范围内相关工业生产装置设施价值很高，

或者其抽象价值很高（例如，组织名誉的价值），或者具有一定的稀缺性；

2)t业控制系统设备本身更换或再造成本很高，或者因事件导致系统可用性、完整性和保密

性的损失，导致生产过程丧失完整性或可用性，以及干扰了生产过程的准确顺序或协调性

而导致的物理资产的破坏而付州的成本很高。

b)资产获取价值一般的t业控制系统应符合下列条件之一：

1)工业控制系统资产的原始成本一般，或者其控制范围内相关了业生产装置设施价值一般，

或者其抽象价值一般；

2)t业控制系统设备本身更换班再造成本一般，或者因事件导致系统可用性、完整性和保密

性的损失，导致生产过程丧失完整性或可用性，以及干扰了生产过程的准确顺序或协调性

而导致的物理，资产的破坏而付州的戚本一般。

t业控制系统资产获取价值评价中“一般”、“很高”的具体数值，应依据t业生产各个行业的价值评

价习惯确定。

5.2.2受侵害后的潜在影晌

5.2.2.1受侵害后潜在影晌程度

受侵害后潜在影响程度是t业控制系统信息安全等级的定级要素之一，由受侵害的对象（5.2.2.2)

和受侵害的程度（5.2.2.3）确定。

当－丁业控制系统信息安全受到侵害，因其资产丧失可用性、完整性和保密性等事件会对T业控制系

统本身和其他相关受侵害的对象造成的损害或后果，可能影响到一项或多项资产和业务过程，或者资产

和

业务过程的一部分；后果可能是临时性的，也可能是永久性的（当资产被毁灭时）。

－「业控制系统信息安全受侵害程度用受侵害后潜在影响程度特征值表示，如表3所示：

表3受侵害后潜在影晌程度特征值

受侵害的程度

受侵害后潜在影响程度

一般损害严重损害特别严重损害

T_Jlt.控制系统

23

及相关生产装琶安全

丁业生产运行安全和公民、企业、23

其他组织的合法权益及重要财产安全

受侵害的对象

社会秩序、公共利益、234

环境安全和人员生命安全

罔家安全345

（特别是其巾的罔家经济安全）

工业控制系统受侵害后潜在影响程度特征值取值范围从1～5'.T.业控制系统受侵害后酒在影响程

度特征值越高表

示t业控制系统受侵害后潜在影响程度越高。

7

GB/T36324-2018

5.2.2.2受侵害的对象

在t业控制系统信息安全受侵害后潜在影响程度划分条件中的受侵害的对象是指，了业控制系统

信息安全受到破坏后，不仅会对了业控制系统本身造成损失，还会对相关下业生产运行安全以及其他相

关受侵害对象安全造成侵害。这些受侵害的对象可划分如下：

a)t业控制系统及相关生产装置安全；

b)下业生产运行安全和公民、企业、其他组织的合法权益及重要财产安全；

c)社会秩序、公共利益、环境安全和人员生命安全；

d)同家安全（特别是其中的同家经济安全1））。

5.2.2.3受侵害的程度

T业控制系统信息安全受到侵害是指了业控制系统的可用性、完整性、保密性等三个安全目标受到

侵害。通常，丁业控制系统信息安全受到侵害时，可用性、完整性、保密性的可能影响值并非总是相同

的，应以三个安全目标中受到影响最高的作为选择依据。

在丁，业控制系统受侵害后潜在影响程度划分条件中的受侵害的程度是指，T业控制系统信息安全

受到破坏后，因其资产丧失可用性、完整性和保密性等事件分别会造成不同程度的损害或后果，选择各

个受侵害对象的受侵害程度中最大的，确定其受侵害程度。受侵害的程度划分如下：

a)造成一般损害；

b)造成严重损害；

c)造成特别严重损害。

5.2.3需抵御的信息安全威胁

5.2.3.1需抵御的信息安全威胁程度

需抵御的信息安全威胁程度是T业控制系统信息安全等级的定级要素之一，由T1业控制系统面临

的信息安全威胁（5.2.3.2）和信息安全事件可能性（5.2.3.3）确定。

根据信息安全事件发生的可能性水平对初始已识别的了业控制系统面临所有信息安全威胁（即威

胁列表）进行取舍，包括：

a)当某个初始识别的信息安全威胁造成下业控制系统信息安全事件发生的可能性为“高”时，则

族信息安全威胁应保隅，即确认为需要抵御的威胁；

b)当某个初始识别的信息安全威胁造成工业控制系统信息安全事件发生的可能性为“低”时，则

该信息安全威胁可舍去，即确认为不需要抵御的威胁；

c)通过取舍后，在实际需要抵御的众多信息安全威胁中，确定该下业控制系统的最高的信息安全

威胁程度特征值。

对于信息安全威胁造成了业控制系统信息安全事件发生的可能性高低的界限，应依据各个下业生

产行业对安全事件可能性的敏感程度确定。当不能依据各个士业生产行业对安全事件可能性的敏感程

度确定t业控制系统信息安全事件可能性时，可将初始己识别的丁－业控制系统面临所有信息安全威胁，

结合以往曾发生过的信息安全事件，确定作为定级对象的丁，业控制系统实际需要抵御的信息安全威胁

程度使用。

l)罔家经济安全，在《国家安全法》第3；条小的总体国家安全观，以人民安全为宗旨，以政治安全为根本，以经t市安

全为基础，以军事、文化、社会安全为保障，以促进同际安全为依托，维护各领域同家安全，构建同家安全体系，

走巾罔特色罔家安全道路。本标准将罔家经挤；安全作为一个受侵害的对象，是强调了业控制系统信息安全受

侵害后有可能影H向剑罔家经济安全。

8

GB/T36324-2018

丁－业控制系统需要抵御威胁的程度特征值取值范围从1～5，下业控制系统需要抵御威胁的程度特

征值越高表示T业控制系统需要抵御威胁的程度越高。

5.2.3.2面临的信息安全威胁

士业控制系统面临信息安全威胁主要从威胁来椒、威胁表现形式和威胁程度等方面进行识别，并建

立定级的了业控制系统的威胁列表。对t业控制系统面临信息安全威胁的识别，主要包括：

a)威胁来源，是指威胁主体，可被捕述为单个的实体，也可以实体类或实体群体等方式来描述，通

常有：

1)意外的威胁，是指非悲意人员可能意外地损害了－业控制系统资产的所有行为和其他技术

因素，如在职员T误操作、硬件缺陷、软件开发缺陷、能源等公共服务供应失效等；

2)故意的威胁，是指恶意人员故意地损害t业控制系统资产的所有行为，如心怀不满的在职

员了、元特殊诉求的黑客、心怀不满的离职人员、经济罪犯、恐怖分子、敌对势力或敌对同

家的恶意行为等；

3)环境的威胁，是指非人为行为的损害丁－业控制系统资产的所有事件，如地震、洪水、风暴等

自然灾害。

b)威胁表现形式，是指威胁主体对资产执行的动作，这些动作会影响资产的一个或多个属性，而

资产正是通过这些属性来体现价值的。常见的威胁表现形式主要有：

1)被动信息收集：可为潜在入侵者提供有价值的信息；

2)通信攻击：可使丁－业控制系统的通信中断；

3)回放攻击：可提供对丁，业控制系统的访问或伪造T业控制系统的数据；

的恶意代码：可采取病毒、蠕虫、自开发代码或木马等形式，给工业控制系统运行带来长期WI

扰，甚至严重损坏；

5)特权升级：攻击者通过获得的问特权及特权的增加，攻击者可采取一些本来能够被防御的

攻击行动；

6)拒绝服务：可影响丁－业控制系统网络操作系统或应用资源的可用性，造成重大损失；

7)社会丁－程：企罔通过哄骗个人来获取安全信息和其他数据，用来攻击T业控制系统；

8)物理破坏：破坏或使系统物理部件失效（如硬件、软件存储设备、接线、传感器和控制器），

或使得系统执行某个行动，导致部件的物理破坏、毁灭或丧失能力。

c)根据威胁来源以及威胁表现形式，对工业控制系统面临的信息安全威胁程度进行划分，并给出

相应的信息安全威胁程度特征值：

1)Tl：是指来向占有少量资源且愿意胃少量风｜畴的对手的故意威胁（如个人），一般的环境

威胁，一般的意外威胁，以及其他相当危害程度的威胁，其威胁程度特征值为1;

2)T2：是指来向占有少量资源，日，愿意胃很大风险的对手的故意威胁（如个人、有组织的较小

团体），一般的环境威胁，严重的意外威胁，以及其他相当危害程度的威胁，其威胁程度特

征值为2;

3)T3：是指来占有中等程度资源且愿意冒少量风险的熟练对手的故意威胁（如有组织的团

体），严重的环境威胁，特别严重的意外威胁，以及其他相当危害程度的威胁，其威胁程度

特征值为3;

的T4：是指来占有中等程度资源H愿意胃较大风阶的熟练对手的故意威胁（如敌对组织），

严重的环境威胁，特别严重的意外威胁，以及其他相当危害程度的威胁，其威胁程度特征

值为4;

5)T5：是指来占有丰富程度资源的特别熟练对于的故意威胁（如敌对同家、敌对组织），特别

严重的环境威胁，特别严重的意外威胁，以及其他相当危害程度的威胁，其威胁程度特征

值为5。

9

GB/T36324-2018

对于战争威胁，包括来自罔家级别暴力手段的威胁，以及毁灭性向然灾难等意外威胁，不在本标准

考虑范围。

5.2.3.3信息安全事件可能性

，丁业控制系统需抵御的信息安全威胁等级确定条件中，信息安全事件发生的可能性是指，了业控制

系统面临特定信息安全威胁发生相应信息安全事件可能性的高低。丁：j控制系统某个信息安全事件可

能性，应通过特定威胁发生可能性以及脆弱性利用容易度组合来评价。其中：

a)根据5.2.3.2中的要求建立威胁列表，并对每个威胁逐一分析其发生频度；

b)识别定级的丁．业控制系统存在的间有脆弱性及其相关因素；

c)对威胁列表中每个威胁逐一分析定级的士业控制系统同有脆弱性被相应威胁可利用容易度；

d)根据同有脆弱性可利用容易度和威胁发生的频度，对威胁列表中每个威胁逐一分析信息安全

事件可能性；

c)对威胁列表的每个威胁逐一给向信息安全事件发生的可能性“高”或“低”的评价。

对于下业控制系统信息安全事件可能性的评价，应依据各丁，业生产行业对安全事件可能性的敏感

程度确定，得州Tj业控制系统信息安全事件可能性为“高”或“低”的结论。

5.3工业控制系统信息安全等级特征

5.3.1第一级工业控制系统

按照基于风险评估的信息安全等级划分的Tj控制系统，第一级应具有以下主要特征：

a)第一级丁，业控制系统信息安全受到破坏后，会对一般领域的了业生产运行造成损害，或者对公

民、企业和其他组织的合法权益及重要财产造成损害，但不会损害同家安全（特别是其中的同

家经济安全）、环境安全、社会秩序、公共利益和人员生命；

b)第一级丁，业控制系统的信息安全保护，应使丁，业控制系统能够抵御来自个人、拥有少量资源的

故意威胁，一般的环境威胁，一般的意外威胁，以及其他相当危害程度威胁所造成资产损失的

信息安全风险；

c)第一级了业控制系统应至少具有对系统资产、运行环境、安全风险的基本认识，采取基本的信

息安全控制措施，检测系统异常和安全事件，应急响应的执行和维护等方面的安全保护能力；

d)第一级工业控制系统信息安全应得到所属企业依据国家有关管理规范和技术标准的保护和｜

管理。

5.3.2第二级工业控制系统

按照基于风阶评估的信息安全等级划分的T丁l控制系统，第二级应具有以下主要特征：

a)第二级下业控制系统信息安全受到破坏后，会对一般领域的了业生产运行造成重大损害，或者

对重点领域的工业生产运行造成损害，或者对公民、企业和其他组织的合法权益及重要财产造

成严重损害，或者对环境安全、社会秩序、公共利益和人员生命造成损害，但不会损害国家安企

（特别是其中的国家经济安全）；

b)第二级丁，业控制系统的信息安全保护，应使丁，业控制系统能够抵御来向有组织的团体、拥有中

等资源的故意威胁，一般的环境威胁，严重的意外威胁，以及其他相当危害程度威胁所造成资

产损失的信息安全风险；

c)第二级丁，业控制系统应至少具有对系统资产、运行环境、安全风险的比较全面认识，初步建立

风险管理战略；采取比较全面的信息安全控制措施；及时检测系统异常和安全事件；应急响应

的执行和维护，防止事件扩大和减轻影响；基本恢复受安全事件影响的工业控制系统运行等方

10

GB/T36324-2018

面的安全保护能力；

d)第二级丁－业控制系统信息安全应得到所属企业依据同家有关管理规范和技术标准的保护和管

理，以及国家主管部门和信息安全监管部门的指导。

5.3.3第三级工业控制系统

按照基于风险评估的信息安全等级划分的工业控制系统，第三级应具有以下主要特征：

a)第三级丁，业控制系统信息安全受到破坏后，会对重点领域的了业生产运行造成重大损害，或者

对关键领域的工业生产运行造成损失，或者对环境安全、社会秩序、公共利益和人员生命造成

严重损害，或者会对国家安全（特别是其中的国家经济安全）造成损害；

b)第三级丁－业控制系统的信息安全保护，应使t业控制系统能够抵御来自敌对组织、有组织的团

体拥有中等程度资掘的故意威胁，严重的环境威胁，特别严重的意外威胁，以及其他相当危害

程度威胁所造成资产损失的信息安全风险；

c)第三级下业控制系统应至少具有对系统资产、运行环境、安全风附的全面认识，建立风阶管理

战略，实施信息安全治理；采取全面的信息安全控制措施，确保与组织的风险管理战略相一致；

及时和全面监测系统异常和安全事件；应急响应的执行和维护，防止事件扩大和诚轩影响；恢

复受安全事件影响的下业控制系统运行等方面的安全保护能力；

d)第三级丁－业控制系统信息安全应得到所属企业依据同家有关管理规范和技术标准的保护和管

理，以及｜司家主管部门和信息安全监管部门的监督、检查。

5.3.4第四级工业控制系统

按照基于风险评估的信息安全等级划分的下业控制系统，第四级应具有以下主要恃征：

a)第四级了业控制系统信息安全受到破坏后，会对关键领域的工业生产运行造成重大损害，或者

对环境安全、社会秩序、公共利益和人员生命造成特别严重损害，或者对同家安全（特别是其中

的同家经济安全）造成严重损害；

b)第四级丁，业控制系统的信息安全保护，应使T业控制系统能够抵御来自敌对组织、拥有丰富资

威胁，特别严重的环境威胁，特别严重的意外威胁，以及其他相当危害程度威胁所造

摞的故意

成资产损失的信息安全风险；

c)第四级丁．业控制系统应至少具有对系统资产、运行环境、安全风险的全面认识，建立全面风险

管理战略，实施信息安全治理；采取全面的信息安全控制措施，确保与组织的风阶管理战略相

一致；连续和全面监测系统异常和安全事件，采取必要的应对措施；应急响应的执行和维护，防

止事件扩大和减轻影响，采取改进措施；及时恢复受安全事件影响的T业控制系统运行等方面

的安全保护能力；

d)第四级t业控制系统信息安全应得到所属企业依据同家有关管理规范和技术标准的管理，以

及国家主管部门和信息安全监管部门强化的监督、检查。

另外，对于直接用于维护同家安全的丁，业控制系统，以及需要抵御战争威胁或毁灭性向然灾难等意

外威胁的丁丁l控制系统，不在本标准的等级范围内，可在第四级基础上另行规定增强控制措施。

6工业控制系统信息安全等级定级方法

6.1工业控制系统信息安全定级流程

本标准基于风险评估过程规定了业控制系统信息安全定级流程。

依据GB/T317222015，风｜院管理应先建立语境，再进入风阶评估、风险处置等过程。风险评估

过程由风除分析和风附评价活动组成，其中风险分析包括风险识别及风阶估算活动。这与本标准中下

11

GB/T36324-2018

业控制系统信息安全定级流程是一致的。定级流程中的确定t业控制系统定级对象，是在建j}：风除评

估的语境；定级流程中的确定下业控制系统资产重要程度、确定受侵害后的潜在影响程度、确定需抵御

的信息安全威胁程度，属于风险分析的风险识别及风险估算活动；定级流程中的确定了业控制系统信息

安全等级，属于风险评价活动。

确定作为定级对象的T业控制系统信息安全等级的一般流程如罔1所示：

确定T~~，削t豆烧定银~－

‘?-,..·’

＼、／／

确定了ilt'.l!Z制系锐债产盟章H♀『嗖

J」

\/

确定噎侵留后俯视’(ti;刷帮1建

气－••/

确定1i瓜’HJIJ＇~&i在~.d，协坷应

\\/

确定riUUI系统（.＇＂~.安兮咋槌

图1工业控制系统信息安全定级流程

6.2确定工业控制系统定级对象

6.2.1定级对象的确认条件

确认一个下，业控制系统作为定级对象，该丁，业控制系统应具备如下基本条件：

a)一个具体的完整的T..tl控制系统：

1)承载“单一”的T业控制业务应用，属于企业的一个自动化生产过程或一个生产装置（如聚

苯乙烯生产装置）的T业控制系统；

2)与其他业务应用的控制过程没有交叉或嵌套以及控制信息的交换，且独享所有信息处理

设备、控制设备和受控设备；

3)以DCS或SCADA为主构成生产过程控制的自动化系统，可由若干服务器、t程师了作

站、操作员丁，作站、数据采集接口或控制接口，以及相关网络等其他设施组成。

b)丁－业控制系统中相对独立的一部分：

1)承载“相对独立”的.T业控制过程中一部分业务应用或控制过程独立，处于一个T业生产

装置中一个相对独立的区域，与其他业务应用的控制过程有上位或下位关系或少量控制

信息交换，可能会与其他业务应用共享一些设备，如网络传输设备；

2)这个相对独立的区域一般属于比较大的或复杂的下业控制系统的一个或几个相邻的层、

12

GB/T36324-2018

安全区域、通信网络，可按地理位置或管理责任划分，但应具有共同的安全需求；

3)必要时，起传输作用的下业控制基础网络系统可作为单独的定级对象。

c)具有了业控制系统的基本要素：

1)作为定级对象的丁．业控制系统应该是由相关的自动化控制组件以及对实时数据进行采

集、监测的过程控制组件按照一定的下业控制目标、控制流程和控制规则组合而成的有形

实体，保留完整的控制过程；

2)一个丁－业控制系统可由多个厂家的设备与系统组成，所有功能协调一起为丁－业生产装置

提供整合自动化功能；

3)避免将某个单一的系统组件，如服务器、控制终端、网络设备、通信路径以及控制部件等作

为定级对象。

d)具有附一确定的安全责任单位：

1)作为定级对象的丁．业控制系统应能够唯一地确定其安全责任单位，即定级对象的责任单

位应对所定级的t业控制系统具有安全管理责任；

2)如果一个单位的某个下级单位负责了业控制系统安全建设、运行维护等过程的全部安全

责任，则这个下级单位可以成为丁．业控制系统的安全责任单位；

3)如果一个单位中的不同下级单位分别承担下业控制系统不同方面的安全责任，则该下业

控制系统的安全责任单位应是这些下级单位共同所属的单位。

6.2.2定级对象的系统描述

对定级对象进行系统描述的目的是识别该T业控制系统的任务和使命，即该T.业控制系统的任务

要求和它所要达到的能力，包括了业控制系统执行的功能、所需的接口及这些接口相关的能力、所要处

理的信息、所支持的运行结构以及需要抵御的威胁等。

对作为定级对象的t业控制系统描