4.3 信息安全等级

根据前面几节的内容分析可知，一个区域或管道的信息安全要求是相同的，而不同区域或管道的信息安全要求又各不相同，由此引入信息安全等级（Security Level，SL）的概念。

根据IEC 62443中的定义，信息安全等级是对应于基于区域或管道的风险评估所需设备和系统的对策及固有特性的有效性等级。

目前，国际上针对工业控制系统的信息安全等级定义还处于起步阶段，尚无统一的标准。信息安全等级与系统能力等级和管理等级有一定的关联性。

4.3.1 安全保障等级

IEC 62443中引入了信息安全保障等级（Security Assurance Level，SAL）的概念，尝试用一种定量的方法来处理一个区域的信息安全事务，它既适用于终端用户公司，也适用于工业控制系统和信息安全产品供应商。通过定义并比较用于信息安全扫描周期的不同阶段的目标安全保障等级（SAL-T）、达到安全保障等级（SAL-A）和能力安全保障等级（SAL-C），实现预期设计结果的安全性。

目标安全保障等级（SAL-T）是指为特定系统设定的SAL，通常用于系统信息安全的风险评估阶段，目标SAL是为了保证系统正常运行，系统的信息安全要达到规定的等级。

达到安全保障等级（SAL-A）是指特定系统信息安全实际的SAL等级。在系统信息安全实现并运行后，虽然最初设计系统信息安全时设定了目标SAL，但是对实际运行的系统评估后会得到SAL。

能力安全保障等级（SAL-C）是指系统或组件正确配置时的信息安全等级。能力SAL表示特定的系统或组件在其系统信息安全正确配置和集成时，能够满足目标SAL而不用增加额外的措施。

根据IEC 62443系列标准，信息安全生命周期的不同阶段使用了不同的SAL。例如，对于具体的工业控制系统要实现其信息安全程序，开始先设定目标SAL，然后组织需要设定的目标SAL，完成设计和实现过程。换言之，设计小组首先根据设计的目标SAL进入特定系统的开发阶段，然后设计系统实现设计的目标SAL。在设计过程中，设计人员会根据设计的目标SAL确定所选的系统和组件，根据系统和组件的能力SAL进行评估和验证，以确定其能力SAL是否满足设计的目标SAL的要求。在系统进行运行阶段，通过评估和验证，以确认达到SAL是否满足系统能够使用的实际SAL，并将达到SAL与目标SAL进行比较，最终确定系统的达到SAL。

由目标SAL开始，根据能力SAL到最终达到SAL，是一个反复评估验证并曲折变化的实现过程。首先，在设计过程中，系统中的构件或设备可能不能满足系统能力要求，要不断进行调整，要么调整新的设备，要么在原来设备的基础上增加额外的保护措施。新增加设计的抗风险能力及系统的漏洞是否被正确识别，需要对系统不断评估，而原来在用的工业控制系统的不完善加上新的风险也在不断变化中，因此，对于控制系统来说，实现系统信息安全防范绝对是非常严峻的挑战。

IEC 62443 3-3是该系列标准第三类的第三部分，描述了7个基本（安全）需求：标识与鉴别控制（IAC）；用户控制（UC）；数据完整性（DI）；数据保密性（DC）；受限制的数据流（RDF）；事件实时响应（TRE）；资源可用性（RA）。该部分还描述了系统的4个安全保障等级，具体如下所述。

SAL1：抵御某些具有偶然性或巧合性的威胁攻击。

对系统或组件偶然或巧合性的威胁攻击，其产生的主要原因是，不像内部其他规章制度（如安全生产等）制定得那么详细周全，组织内部缺少信息安全规程的制定，因而执行起来比较松散。这就使得外部入侵者能够像企业内部员工那样轻易地进入系统实施威胁。这类入侵事件能够通过制定信息安全规程和程序来防范。

SAL2：抵御简单的故意性威胁攻击。该威胁攻击具有通用方法，使用低资源并具有低动因特点。

简单的方法是指对攻击者来说，他们并不需要太多的知识就能够达到目的。攻击者在实施攻击时，并不需要太专业的知识。例如，信息安全、区域或被攻击系统等也能执行攻击行为。网上有很多免费攻击软件，甚至有很多自动攻击工具能够自动攻击大范围的系统而不仅仅针对某一特定系统。

SAL3：抵御复杂的故意性威胁攻击。该威胁攻击采用系统性特定的方法，使用中等资源并具有中动因的特点。

复杂方法需要更多的信息安全知识、工业控制系统的专业知识，以及非常了解要攻击的系统。对于这类方法比较典型的例子是基于哈希表的密码或密钥破解工具。这类工具可以在网上免费获得，但是使用这些工具需要系统知识（如哈希密码破解）。例如，攻击者通过以太网控制器的漏洞，访问控制PLC，然后通过Modbus管道就可以访问安全仪表系统（SIS）。

SAL4：抵御复杂的故意性威胁攻击。该威胁攻击采用系统性特定的方法，使用扩展性资源并具有高动因的特点。

使用复杂的方法去违反系统的信息安全要求，攻击者要使用更多资源才能达到目的。这可能包括高性能的计算资源、大型计算机或更长的时间周期，甚至有些情况下要制造相关的系统模型。

使用复杂的方法还要借助更多资源，比较常见的方法是使用巨型计算机或计算机群、超大哈希表，通过强力攻击破解密码；还有僵尸网络，即同时使用多个攻击软件来攻击系统。这类攻击者往往是有目的的犯罪组织，通过花费大量时间分析攻击目标，并且开发自制软件，借助高技术工具来达到目的。

4.3.2 安全保障等级与安全完整性等级的区别

IEC 62443中引入了信息安全保障等级（Security Assurance Level，SAL）的概念，尝试用一种定量的方法处理一个区域的信息安全事务。通过定义并比较用于信息安全生命周期不同阶段的目标SAL、完成SAL和能力SAL，实现预期设计结果的安全性。它从身份和授权控制、使用控制、数据完整性、数据保密性、受限数据流、事件适时响应、资源可用性7个基本要求入手，将信息安全保障等级分为4级。

功能安全系统使用安全完整性等级（Safety Integrity Level，SIL）的概念已有近20年，它允许一个部件或系统的安全表示为单个数字，而这个数字是为了保障人员健康、生产安全和环境安全而提出的基于该部件或系统失效率的保护因子。工业控制系统信息安全的评估方法与功能安全的评估有所不同。虽然都是保障人员健康、生产安全或环境安全，但是功能安全使用安全完整性等级（SIL）是基于随机硬件失效的一个部件或系统失效的可能性计算得出的，而信息安全系统有着更广泛的应用，以及更多可能的诱因和后果。影响信息安全的因素非常复杂，很难用一个简单的数字描述出来。然而，功能安全的全生命周期安全理念同样适用于信息安全，信息安全的管理和维护也必须是周而复始不断进行的。

4.3.3 基本要求

SAL等级的确定基于工业控制系统在系统能力方面需要满足的7个基本要求。这7个基本要求（FR）包括如下方面。

1.FR1：标识和认证控制

识别和鉴别所有用户（人员、过程和设备），并且允许他们访问系统或资产，其目的是保护对设备和/或其信息查询的未授权访问。SAL的描述如下。

SAL1—通过机制识别和鉴别所有用户（人员、过程和设备），以防止入侵者未经授权偶然或碰巧对系统或资产进行访问。

SAL2—通过机制识别和鉴别所有用户（人员、过程和设备），以防止入侵者使用简单的方法故意未经授权对系统或资产进行访问。

SAL3—通过机制识别和鉴别所有用户（人员、过程和设备），以防止入侵者使用复杂的方法故意未经授权偶然或碰巧对系统或资产进行访问。

2.FR2：使用控制

授权用户（人员、过程和设备）根据分配的优先级执行对系统或资产的访问，其目的是保护对设备的未授权操作。SAL的描述如下。

SAL1—根据规定的级别限制使用系统或资产，以防止偶然或碰巧误用。

SAL2—根据规定的级别限制使用系统或资产，以避免实体使用简单的方法对系统或资产进行访问。

SAL3—根据规定的级别限制使用系统或资产，以避免实体使用复杂的方法对系统或资产进行访问。

SAL4—根据规定的级别限制使用系统或资产，以避免实体使用复杂的方法且利用更多的资源对系统或资产进行访问。

3.FR3：系统完整性

确保信道和数据库的信息完整性，其目的是防止篡改数据。SAL的描述如下。

SAL1—保护系统的信息完整性，以防止偶然或碰巧篡改。

SAL2—保护系统的信息完整性，以防止入侵者使用简单的方法篡改。

SAL3—保护系统的信息完整性，以防止入侵者使用复杂的方法篡改。

SAL4—保护系统的信息完整性，以防止入侵者使用复杂的方法且利用很多资源篡改。

4.FR4：数据保密性

确保信息和数据库数据的保密性，其目的是防止数据泄露。SAL的描述如下。

SAL1—通过窃听或偶然披露散布信息。

SAL2—入侵者主动通过简单的方法散布信息。

SAL3—入侵者主动通过复杂的方法散布信息。

SAL4—入侵者主动通过复杂的方法且利用更多资源散布信息。

5.FR5：限制的数据流

利用区域和管道将系统分段，以限制不必要的数据流在区域间传输，其目的是保护信息。SAL的描述如下。

SAL1—防止对区域和管道分段系统的偶然或碰巧绕行。

SAL2—防止入侵者使用简单的方法对区域和管道分段系统故意绕行。

SAL3—防止入侵者使用复杂的方法对区域和管道分段系统故意绕行。

SAL4—防止入侵者使用复杂的方法且利用更多资源对区域和管道分段系统故意绕行。

6.FR6：对事件的及时响应

直接向权威机构响应发生的信息安全事件，提供确凿证据，并且在原因确定后能够及时采取正确行为，其目的是将信息安全的侵害通知权威部门，并报告相关证据。SAL的描述如下。

SAL1—监控系统的运行，并且需要及时提供确凿证据对发现的事件做出响应。

SAL2—监控系统的运行，并且系统能够主动搜集确凿证据对发现的事件做出响应。

SAL3—监控系统的运行，并且将搜集到的证据提交到权威部门对发现的事件做出响应。

SAL4—监控系统的运行，并且将搜集到的证据实时地提交到权威部门响应发现的事件。

7.FR7：资源可用性

确保系统或资产的可用性，其目的是保护整个网络资源以免遭受拒绝服务（DoS）攻击。SAL的描述如下。

SAL1—确保生产过程中系统正常运行，并且防止入侵者因偶然或碰巧行为造成服务拒绝。

SAL2—确保生产过程中系统正常运行，并且防止入侵者通过简单方式造成服务拒绝。

SAL3—确保生产过程中系统正常运行，并且防止入侵者通过复杂方式造成服务拒绝。

SAL4—确保生产过程中系统正常运行，并且防止入侵者通过复杂方式且使用更多资源造成服务拒绝。

4.3.4 系统要求

4.3.3节介绍的7项基本要求（FR）可以扩展为一系列的系统要求（SR）。每个系统要求（SR）都有一个基准要求且没有或有多个要求增强项，以加强信息安全。每个基准要求和要求增强项均对应系统能力等级（SL-C），详细内容可查阅相关规范。下面简单列出7项基本要求（FR）及其系统要求（SR）。

1.FR1：标识和认证控制系统要求

SR1.1：用户标识和认证。

SR1.2：软件过程和设备标识及认证。

SR1.3：账户管理。

SR1.4：标识符管理。

SR1.5：认证符管理。

SR1.6：无线访问管理。

SR1.7：基于密码认证长处。

SR1.8：公钥基础结构证书。

SR1.9：公钥认证长处。

SR1.10：认证符反馈。

SR1.11：不成功登录企图。

SR1.12：系统使用通知。

SR1.13：不受信任的网络访问。

2.FR2：使用控制系统要求

SR2.1：授权的执行。

SR2.2：无线使用控制。

SR2.3：对便携和移动设备的使用控制。

SR2.4：移动代码。

SR2.5：会话锁。

SR2.6：远程会话终止。

SR2.7：并发会话控制。

SR2.8：可审计的事件。

SR2.9：审计存储容量。

SR2.10：审计处理失败的响应。

SR2.11：时间戳。

SR2.12：不可否认性。

3.FR3：系统完整性系统要求

SR3.1：通信完整性。

SR3.2：恶意代码保护。

SR3.3：安全功能验证。

SR3.4：软件和信息完整性。

SR3.5：输入验证。

SR3.6：确定性的输出。

SR3.7：错误处理。

SR3.8：会话完整性。

SR3.9：审计信息的保护。

4.FR4：数据保密性系统要求

SR4.1：信息机密性。

SR4.2：信息存留。

SR4.3：密码的使用。

5.FR5：限制的数据流系统要求

SR5.1：网络分区。

SR5.2：区域边界防护。

SR5.3：一般目的的个人通信限制。

SR5.4：应用分离。

6.FR6：对事件的及时响应系统要求

SR6.1：审计日志的可访问性。

SR6.2：持续监视。

7.FR7：资源可用性系统要求

SR7.1：拒绝服务的防护。

SR7.2：资源管理。

SR7.3：控制系统备份。

SR7.4：控制系统恢复和重构。

SR7.5：紧急电源。

SR7.6：网络和安全配置设置。

SR7.7：最小功能化。

SR7.8：控制系统元器件清单。

4.3.5 系统能力等级

国际上针对工业控制系统的信息安全评估和认证还处于起步阶段，尚无统一的评估规范。IEC 62443第2-4部分涉及信息安全的认证问题，但由于IEC国际标准组织规定，其实现的标准文件中不能有认证类词汇，因此，工作组决定将该部分标准名称改为“工业控制系统制造商信息安全基本实践”。然而，真正可用于工业控制系统信息安全评估的规范仍然空白。

由全国工业过程测量、控制标准化技术委员会（SAC/TC124）和全国信息安全标准化技术委员会（SAC/TC260）牵头，参考IEC 62443制定的我国工业控制系统信息安全评估规范标准《GB/T 30976.1—2014：工控系统信息安全》中的“第1部分：评估规范”于2015年2月1日起实施。该标准规定了工业控制系统（SCADA、DCS、SLC、PCS等）信息安全评估的目标、内容、实施过程等，适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人，以及评估认证机构等对工业控制系统的信息安全进行评估。

在该标准中将评估分为管理评估和51项系统能力（技术）评估。其中，系统能力（技术）评估分为4个级别，由小到大分别对应系统能力等级（Capability Level，CL）的CL1、CL2、CL3和CL4，该方案实现的主要技术指标将以系统能力（技术）评估结果展现。

系统能力等级的说明如下。

能力等级CL1：提供机制保护控制系统防范偶然、轻度攻击。

能力等级CL2：提供机制保护控制系统防范有意、利用较少资源和一般技术的简单手段可能达到较小破坏后果的攻击。

能力等级CL3：提供机制保护控制系统防范恶意、利用中等资源、ICS特殊技术的复杂手段可能达到较大破坏后果的攻击。

能力等级CL4：提供机制保护控制系统防范恶意、使用扩展资源、ICS特殊技术的复杂手段与工具可能达到重大破坏后果的攻击。

4.3.6 信息安全等级

1.管理等级划分

根据信息安全控制实用规则（ISO 27002）的管理要求和过程自动化用户协会（WIB）的推荐要求，通过管理评估，将管理等级划分为3级，分别为ML1、ML2和ML3，由低到高分别对应低级、中级和高级。

2.系统能力等级划分

根据4.3.5节的内容，基于IEC 62443-3-3技术要求，通过系统能力（技术）评估，将系统能力等级分为4级，由低到高分别对应系统能力等级的CL1、CL2、CL3和CL4。

3.信息安全等级（SL）的划分

根据管理评估和系统能力评估的结果，可以得到工业控制系统的评估结果，即信息安全等级，划分为4级，由低到高分别对应SL1、SL2、SL3和SL4，如表4-1所示。