1　范围

本部分规定了对工业控制系统的信息安全解决方案的安全性进行验收的流程、测试内容、方法及应达到的要求。该方案可以通过增加设备或系统提高其安全性。本部分的各项内容可作为实际工作中的指导，适用于石油、化工、电力、核设施、交通、冶金、水处理、生产制造等行业使用的控制系统和设备。

2　概述

对于在运行系统的验收测试，应采用最小影响原则，即首要保障系统的稳定运行。对于需要进行攻击性测试的工作内容，需与业主和供应商沟通并进行备份，尽量选择非运行时间进行。

根据业主提出的安全性要求给出信息安全解决方案，通过增加设备或系统来降低风险，并由业主最终决定是否通过验收。对其验收时如果没有通过，则进行整改，再重新验收，直至最后通过。验收过程划分为验收准备、风险分析与处置、能力确认三个阶段。

不符合项的处理归为如下几类：

（1）当场整改，然后继续进行验收测试；

（2）在验收过程中同时进行整改；

（3）需再次进行验收；

（4）在验收完成后进行整改。

验收的基本工作形式包括自验收和第三方验收。自验收是系统的拥有、运营或使用单位发起的对本单位系统进行的验收。第三方验收是委托第三方负责实施的验收。

3　验收准备阶段

（1）确定验收目标和范围

由于工业控制系统生命周期各阶段中风险的内容、验收的对象、安全需求均不同，因此业主应首先根据当前实际情况确定在工控系统生命周期中所处的阶段，并以此来明确验收目标。

验收的目标、范围和标准应得到利益相关方的认可。在实施对工控系统控制能力可能产生影响的任何附加安全解决方案之前，应征求控制系统原始设计方的意见。

（2）文档准备

在开始验收工作之前，供应商应已完成所有的内部测试，并提供可供复查的测试报告或有关机构的评估报告，准备好相关文件以备验收过程中使用。主要包括：业主/总承包商准备的文件、供应商准备的文件等。

 4　风险分析与处置阶段

（1）系统风险分析

系统风险分析主要是针对增加安全解决方案后可能产生的风险。关键控制点主要有以下两点：

·建立的风险分析模型及确定的风险计算方法，应能正确反应用户的行业安全特点，核心业务系统所处的内、外部环境安全状况；

·用户确认的信息、数据及相关文档资料应及时得到准确反馈。

（2）风险处置方案风险处置的基本原则是根据用户可接受的处置成本将残余安全风险控制在可以接受的范围内。

方式一般包括接受、消减、转移、规避等。在风险不适合转移或规避的情况下，通常采用安全整改进行风险消减。风险分析需提出安全整改建议。

安全整改建议需根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度、所投入的人员力量及资金成本等因素综合考虑。

5　能力确认阶段

5.1　设备要求

5.1.1　工业环境适应性要求

用于工业现场的安全设备，应符合工业环境的相关要求。本标准规定的工业环境适应性要求包括：气候、电磁兼容、电气安全、机械适应性、外部电源和外壳防护要求。由于设备适用的行业不同，可增加行业特定的要求。

（1）气候环境

设备在规定的工作温度范围内工作时，应符合其功能和性能规定。在规定的温度范围内贮存和运输时，不应发生裂痕、老化或其他损坏；当经受该温度范围后再恢复到工作温度范围时，设备应能正常工作。

（2）电磁兼容

对设备的电磁兼容性要求参见GB/T 18268.1-2010，包括电源电压暂降、电源电压短时中断、静电放电、射频电磁场辐射、电快速瞬变脉冲群、浪涌（冲击）、射频场感应的传导骚扰、工频磁场等。

（3）电气安全

针对绝缘电阻：在一般试验大气条件下，设备的输入端子与外壳、输出端子与外壳、电源端子与外壳、输入端子与电源端子、输出端子与电源端子之间的绝缘电阻应不小于20MΩ。

针对绝缘强度：在一般试验大气条件下，设备的输入端子与外壳、输出端子与外壳、电源端子与外壳、输入端子与电源端子、输出端子与电源端子之间施加规定的试验电压，判定电流为5mA，保持1min, 应不出现击穿或飞弧现象。

（4）机械适应性机械适应性要求参见GB/T 15153.2-2000。

（5）外部电源

一般工业环境交流电源要求和直流电源要求参见GB/T 15153.1-2000，其中标称电压容差应为10％～-10％。

（6）外壳防护

设备外壳防护等级由制造厂商和业主协商确定。用于控制室内或机柜内的设备至少应达到IP20等级，用于现场的设备至少应达到IP65等级。

（7）防爆性能

防爆性能应符合参见GB 3836.1、GB 3836.2、GB 3836.4的相关要求，并取得国家指定的防爆检验机构颁发的防爆合格证。

（8）其他要求

主要包括：外观、连续工作性能等。

5.1.2　信息安全功能测试要求

（1）对于控制设备的测试

健壮性测试包括接口界面测试和协议特定健壮性测试。本标准中，健壮性测试主要是针对基于TCP/IP的设备。如果对于非TCP/IP的设备，还需要针对其特定协议，进行通信健壮性测试。主要包括了接口界面测试和协议特定健壮性测试。

适用场合：

·设备入网：验收将要上线的设备符合健壮性要求。

·健壮性测试不建议用于线上正在运行的设备。

基线检查适用原则：具体设备的安全要求（功能、配置）应包括适用设备运行的操作系统、数据库和应用程序三个层面的最低要求，并依实际情况，选择部分增强要求。

适用场合：

·设备入网：保证新设备达到功能要求。

·工程验收：保证验收上线的设备符合配置要求。

·日常维护：保证在网设备持续符合配置要求。

（2）对于边界防护设备的安全要求

主要包括网关设备、路由设备、交换设备、防火墙、隔离部件等。健壮性测试和基线检查也适用于边界防护设备。详细内容见GB/T30976.2-2014。

5.2　系统测试

（1）测试条件

接入工业控制系统的全部现场设备，包括变送器、执行器、接线箱以及电缆等设备均应按照有关标准进行安装、调试、试运行并验收合格。

（2）系统安全测试

对于系统信息安全的测试主要针对系统能力。不同于信息安全评估，本标准中的系统测试侧重于新增加的安全保障系统对原有系统的影响，以及对之前评估过程中提出的潜在风险和漏洞进行查验。可根据实际情况选择适用的条款进行测试。

（3）系统性能测试

加入信息安全保障措施后，应满足原有系统的实时性、可靠性、安全性的要求。

（4）网络连接要求

工业控制系统同公共网络之间的连接，应采取防火墙、单向隔离、DMZ等措施。企业内部控制网络与信息管理网络之间应采取必要的隔离措施。对于大型系统，宜考虑不同区域之间的隔离措施。

（5）应急灾备要求

在发生紧急情况下，系统的信息安全应急预案，必要的备机备件等容灾备份措施。

5.3　验收结论

（1）验收文档

工业控制系统信息安全验收文档除准备阶段提供的文档外，还至少应包括下列内容：

·信息安全风险分析报告；

·测试记录或报告；

·验收结论；

·系统应急处理方案等。

（2）验收结论的编制编制原则为：验收结论应依据整个验收过程中对相关要求的符合性做出判定。基本要求主要包括：

·各阶段验收内容及结论；

·验收不符合项表；

·不符合内容对系统信息安全能力的影响分析；

·是否通过验收的建议。

作者简介

王玉敏（1971-），女，河北人，教授级高工，硕士研究生，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向是工业控制系统信息安全。

摘自《工业控制系统信息安全专刊（第二辑）》