今日頭條
官方微信
官方抖音
資訊頻道★中國電子技術(shù)標(biāo)準(zhǔn)化研究院姚相振,趙梓桐,周睿康,李琳
1 引言
1.1 當(dāng)前我國工業(yè)控制系統(tǒng)信息安全形勢依然嚴峻
隨著兩化融合進程的不斷深化和工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)聯(lián)網(wǎng)數(shù)量持續(xù)增長,工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)的安全風(fēng)險相互交織,新型安全問題層出不窮,傳統(tǒng)的安全防護策略已難以有效應(yīng)對日趨多元化的網(wǎng)絡(luò)安全威脅。一是控制系統(tǒng)互聯(lián)趨勢明顯,安全防護面臨新挑戰(zhàn)。隨著工業(yè)智能設(shè)備的部署和應(yīng)用日趨廣泛,越來越多的工業(yè)控制系統(tǒng)和產(chǎn)品采用通用協(xié)議、硬件及軟件,以各種方式接入互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)。網(wǎng)絡(luò)互聯(lián)導(dǎo)致潛在攻擊路徑不斷增多,漏洞、病毒等安全威脅不斷向工業(yè)控制系統(tǒng)擴散蔓延。二是工業(yè)漏洞居高不下,高危風(fēng)險占比較大。由于傳統(tǒng)工業(yè)環(huán)境相對封閉可信,大多數(shù)存量工控系統(tǒng)安全設(shè)計考慮不足,安全技術(shù)融合應(yīng)用深度不夠,工業(yè)軟硬件本身存在大量安全漏洞,易被攻擊者利用。同時,據(jù)2021年美國工控系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)公布的389個工控安全漏洞分析顯示,其中77%由于涉及范圍廣、影響程度深、安全危害大被認定為高危漏洞,亟需引起高度重視。三是網(wǎng)絡(luò)攻擊手段多樣,安全影響持續(xù)升級。工業(yè)控制系統(tǒng)作為網(wǎng)絡(luò)空間對抗的重點攻擊目標(biāo)之一,工業(yè)領(lǐng)域勒索病毒、“工業(yè)毀壞者”惡意軟件、“熔斷”漏洞、“幽靈”漏洞等安全威脅影響廣泛,工控安全事件頻繁發(fā)生,導(dǎo)致多家企業(yè)關(guān)鍵業(yè)務(wù)系統(tǒng)嚴重受損、生產(chǎn)停滯,其安全攻擊經(jīng)過精心策劃,具有鮮明的目的性[1]。
1.2 國外開展成熟度模型研究,提前布局新型安全防護體系
面對工控安全的嚴峻形勢,為科學(xué)衡量企業(yè)工控安全防護能力水平,美國已率先啟動網(wǎng)絡(luò)安全成熟度評價工作,從政策文件、標(biāo)準(zhǔn)規(guī)范、技術(shù)工具等方面形成先發(fā)優(yōu)勢,提早布局新型網(wǎng)絡(luò)安全綜合防護體系。一是積極開展網(wǎng)絡(luò)安全成熟度模型評估框架(CMCC Framework)研究。為科學(xué)衡量企業(yè)網(wǎng)絡(luò)安全防護能力水平,提升國防工業(yè)基地相關(guān)部門及國防部供應(yīng)鏈企業(yè)的網(wǎng)絡(luò)安全防護能力,美國防部(DoD)于2020年3月18日研制發(fā)布CMMC框架(V1.02)要求。該框架將企業(yè)網(wǎng)絡(luò)安全成熟度由低向高分為5等級(經(jīng)驗執(zhí)行級、文檔記錄級、制度規(guī)范級、量化評估級、持續(xù)優(yōu)化級),通過綜合考慮被保護對象的類型和敏感度,以及相關(guān)威脅范圍,形成多個網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、框架和參考文件的成熟流程及最佳實踐。CMMC框架通過引入評估元素,采用第三方合規(guī)評估代替供應(yīng)商網(wǎng)絡(luò)安全自我證明,更加客觀、準(zhǔn)確地驗證企業(yè)網(wǎng)絡(luò)安全成熟度等級相關(guān)的流程與實踐的實現(xiàn)程度。
二是推動NIST系列基礎(chǔ)標(biāo)準(zhǔn)規(guī)范研制及持續(xù)修訂。圍繞落實關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全政策,美國NIST制定發(fā)布了《聯(lián)邦信息系統(tǒng)的安全控制措施》(SP 800-53)、《工業(yè)控制系統(tǒng)信息安全指南》(SP 800-82)、《非聯(lián)邦機構(gòu)的受控非密信息保護》(SP 800-171)等系列標(biāo)準(zhǔn),為CMMC框架落地實施提供標(biāo)準(zhǔn)化基礎(chǔ)[2]。三是研制發(fā)布網(wǎng)絡(luò)安全成熟度配套評估工具(CSET)。ICS-CERT依托控制系統(tǒng)安全計劃,研制發(fā)布新版網(wǎng)絡(luò)安全評估工具CSET(v11.0.1.0),為提升網(wǎng)絡(luò)安全成熟度評估框架實施效果提供了一種系統(tǒng)、規(guī)范且可重復(fù)的方式方法,可用于指導(dǎo)資產(chǎn)所有者、運營商逐步評估工業(yè)控制系統(tǒng)及傳統(tǒng)信息系統(tǒng)的網(wǎng)絡(luò)安全實踐[3]。
1.3 我國高度重視工控安全,初步建立工控安全防護能力成熟度模型
黨中央國務(wù)院高度重視我國網(wǎng)絡(luò)安全工作,習(xí)近平總書記強調(diào)網(wǎng)絡(luò)安全博弈歸根到底爭的是標(biāo)準(zhǔn)制定權(quán)、規(guī)則主導(dǎo)權(quán),要積極利用法律法規(guī)和標(biāo)準(zhǔn)規(guī)范引導(dǎo)新技術(shù)應(yīng)用。工業(yè)和信息化部作為工業(yè)領(lǐng)域網(wǎng)絡(luò)安全主管部門,出臺了《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》《工業(yè)控制系統(tǒng)信息安全防護指南》等政策文件。為落實相關(guān)政策要求,中國電子技術(shù)標(biāo)準(zhǔn)化研究院以標(biāo)準(zhǔn)為切入點,以服務(wù)平臺為落腳點,初步建立了工控安全成熟度模型,進一步推動工控安全防護能力建設(shè)向可量化、可評價方向轉(zhuǎn)變。一方面研制國家標(biāo)準(zhǔn)《成熟度模型》,將《工業(yè)控制系統(tǒng)信息安全防護指南》11項防護要求具體細化為10個過程類、40個過程域、365個基本實踐,規(guī)定了針對核心保護對象安全和通用安全的成熟度等級要求,提出了能力成熟度等級核驗方法,并深入江蘇國電、宇通客車、中天鋼鐵等重點行業(yè)企業(yè)開展貫標(biāo)試驗,赴江蘇、浙江、四川等6省市開展貫標(biāo)深度行,加強國家標(biāo)準(zhǔn)宣貫與培訓(xùn)工作。另一方面,依托我院“工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)與測評工業(yè)和信息化部重點實驗室”已有技術(shù)積累,依據(jù)《成熟度模型》國家標(biāo)準(zhǔn),研發(fā)工控安全貫標(biāo)公共服務(wù)平臺,面向工控安全防護貫標(biāo)全生命周期,為工業(yè)企業(yè)、咨詢機構(gòu)、核驗機構(gòu)提供企業(yè)自評、貫標(biāo)審核、資產(chǎn)管理、數(shù)據(jù)統(tǒng)計等功能,形成了一站式公共服務(wù)能力,通過持續(xù)積累工業(yè)企業(yè)貫標(biāo)數(shù)據(jù)信息,量化展示工控安全防護能力成熟度等級,為主管部門、行業(yè)組織和重點企業(yè)開展工控安全管理工作提供技術(shù)手段。
2 研制思路
我國工業(yè)信息安全國家標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(以下簡稱:信安標(biāo)委)歸口管理。截至目前,信安標(biāo)委共立項研制工控安全國家標(biāo)準(zhǔn)27項,范圍涵蓋工業(yè)控制系統(tǒng)安全分級、安全管理、安全實施、安全測評,以及典型工業(yè)控制系統(tǒng)、設(shè)備安全等領(lǐng)域,初步建立了工控安全標(biāo)準(zhǔn)體系。與已有標(biāo)準(zhǔn)相比,《成熟度模型》在標(biāo)準(zhǔn)化對象、安全防護能力、標(biāo)準(zhǔn)配套使用、相關(guān)政策落實等方面實現(xiàn)了進一步完善。
一是標(biāo)準(zhǔn)化對象由工控系統(tǒng)變?yōu)榻M織。當(dāng)前已發(fā)布工控安全國家標(biāo)準(zhǔn),多將工業(yè)控制系統(tǒng)或設(shè)備作為標(biāo)準(zhǔn)化對象,針對其安全需求,提出安全防護控制措施。《成熟度模型》重點面向運維工業(yè)控制系統(tǒng)的組織機構(gòu),針對其安全防護綜合整體能力,提出過程域及基本實踐,指導(dǎo)開展安全防護工作。
二是聚焦組織工控安全防護能力提升。《成熟度模型》標(biāo)準(zhǔn),重點針對工業(yè)企業(yè)的機構(gòu)建設(shè)、制度流程、技術(shù)工具、人員能力4個方面,綜合指導(dǎo)其動態(tài)提升安全防護能力,并不局限于某一具體時間點的靜態(tài)安全狀態(tài)。
三是可與已有工控安全國家標(biāo)準(zhǔn)配套使用。《成熟度模型》基于風(fēng)險評估、安全控制措施裁剪等思路,指導(dǎo)工業(yè)企業(yè)合理篩選適合自身實際安全需求的控制措施,可與《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》《信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險評估實施指南》和《信息安全技術(shù)工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備通用安全功能要求》等標(biāo)準(zhǔn)配套使用。
四是可為相關(guān)政策落地實施提供技術(shù)支撐。《成熟度模型》依據(jù)《工業(yè)控制系統(tǒng)信息安全防護指南》《工業(yè)控制系統(tǒng)信息安全防護能力評估方法》等政策文件,結(jié)合當(dāng)前工控安全防護發(fā)展現(xiàn)狀,總結(jié)提煉形成過程域及基本實踐,可指導(dǎo)工業(yè)企業(yè)依標(biāo)落實相關(guān)政策文件。
3 標(biāo)準(zhǔn)內(nèi)容解讀
3.1 標(biāo)準(zhǔn)適用范圍
該標(biāo)準(zhǔn)給出了工控安全防護能力成熟度模型,規(guī)定了核心保護對象安全和通用安全的成熟度等級要求,提出了能力成熟度等級核驗方法,適用于工業(yè)控制系統(tǒng)設(shè)計、建設(shè)、運維等相關(guān)方進行工控安全防護能力建設(shè),以及對組織工控安全防護能力成熟度等級進行核驗。
3.2 能力成熟度模型
工控安全防護能力成熟度模型由安全能力要素、能力成熟度等級和能力建設(shè)過程等3個維度構(gòu)成,如圖1所示。安全能力要素包括工業(yè)企業(yè)開展工控安全防護能力提升,所需涉及的機構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力等4方面能力。能力成熟度等級根據(jù)安全能力要素所處能力水平,自低向高將企業(yè)工控安全防護能力定義為5個不同級別(1級基礎(chǔ)建設(shè)級,2級規(guī)范防護級,3級集成管控級,4級綜合協(xié)同級,5級智能優(yōu)化級)。能力建設(shè)過程,依據(jù)IEC62443關(guān)于工業(yè)控制系統(tǒng)層次模型定義[4],針對工業(yè)設(shè)備安全、工業(yè)主機安全、工業(yè)網(wǎng)絡(luò)安全、工業(yè)軟件安全、工業(yè)數(shù)據(jù)安全等5個方面,提出核心保護對象的過程域及配套基本實踐,同時面向運維工業(yè)控制系統(tǒng)的組織,提出安全規(guī)劃與架構(gòu)、人員管理與培訓(xùn)、物理與環(huán)境安全、監(jiān)測預(yù)警與應(yīng)急響應(yīng)、供應(yīng)鏈安全保障等5方面的通用安全過程域及配套基本實踐。
圖1 工控安全防護能力成熟度模型
3.3 安全能力要素維度
工控安全防護能力要素是客觀評價工業(yè)企業(yè)工控安全防護能力的主要要素指標(biāo),明確工控安全防護能力要素的組成部分,具體包括機構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力4個方面。機構(gòu)建設(shè)主要從工控安全防護架構(gòu)對工業(yè)企業(yè)的適用性,工控安全工作責(zé)任的明確性,以及工控安全機構(gòu)運作、溝通協(xié)調(diào)的有效性等方面對工控安全防護能力進行考核。制度流程圍繞工控系統(tǒng)關(guān)鍵控制節(jié)點授權(quán)審批流程的明確性,相關(guān)制度流程制修訂的規(guī)范性,以及制度流程實施的一致性和有效性等方面對工業(yè)企業(yè)安全防護制度流程建設(shè)和執(zhí)行情況進行約束。技術(shù)工具重點圍繞工控安全防護技術(shù)應(yīng)用情況和安全風(fēng)險應(yīng)對能力,以及利用技術(shù)工具實現(xiàn)制度流程固化執(zhí)行的實現(xiàn)能力進行了明確要求。人員能力對工業(yè)企業(yè)工控安全從業(yè)人員業(yè)務(wù)能力、安全意識及業(yè)務(wù)工藝與安全防護融合應(yīng)用等方面,對工業(yè)企業(yè)提出了相應(yīng)的能力約束要求。
3.4 能力成熟度等級維度
工業(yè)企業(yè)依據(jù)標(biāo)準(zhǔn)逐級開展安全防護的能力建設(shè),自低向高分別是基礎(chǔ)建設(shè)級、規(guī)范防護級、集成管控級、綜合協(xié)同級和智能優(yōu)化級。一是基礎(chǔ)建設(shè)級,該級別要求企業(yè)能夠依據(jù)工控安全防護的技術(shù)基礎(chǔ)和條件開展基本保護工作,安全防護能力建設(shè)主要基于特定業(yè)務(wù)場景,尚未形成規(guī)范化、流程化的工作方式,相關(guān)工作多依賴信息安全人員主觀經(jīng)驗,建設(shè)過程未要求以文檔形式記錄,無法形成可復(fù)制。二是規(guī)范防護級,該級別要求企業(yè)建立并記錄工控安全防護能力建設(shè)工作,能夠針對工業(yè)控制設(shè)備、工業(yè)主機、工業(yè)網(wǎng)絡(luò)、工業(yè)數(shù)據(jù)等方面制定規(guī)范化安全防護制度、規(guī)章,使得企業(yè)能夠以重復(fù)的方式執(zhí)行,采用數(shù)字化裝備、信息技術(shù)手段等,有針對性地開展安全防護,面向各方面形成獨立、可復(fù)制的安全防護能力。三是集成管控級,要求企業(yè)能夠?qū)I(yè)控制系統(tǒng)設(shè)備、主機、系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)等方面,在規(guī)范防護已有工作基礎(chǔ)上,通過集成化工具、系統(tǒng)等,對相對獨立的單點防護設(shè)備進行集中統(tǒng)一管控,同時整合相關(guān)防護規(guī)章制度文件,形成體系化制度,提升企業(yè)內(nèi)部工控安全的集中管理、統(tǒng)一控制的安全防護能力。四是綜合協(xié)同級,要求企業(yè)能夠面向不同產(chǎn)線、廠區(qū)、工廠及產(chǎn)業(yè)鏈上下游相關(guān)單位,統(tǒng)籌考慮安全風(fēng)險需求,開展安全防護建設(shè),建立多級協(xié)同的安全管理體系,并通過態(tài)勢感知、統(tǒng)一管控等技術(shù)手段實現(xiàn)綜合決策、協(xié)調(diào)防護的安全能力。五是智能優(yōu)化級,要求企業(yè)能夠采用人工智能、主動防御、內(nèi)生安全等先進技術(shù),與已有安全防護設(shè)備、系統(tǒng)、制度體系深度融合,使得可通過知識學(xué)習(xí)、智能建模分析等技術(shù),構(gòu)建可智能化演進的安全防護系統(tǒng),形成具有自決策、自進化能力的安全防護體系。設(shè)計相應(yīng)的能力成熟度檢驗流程如圖2所示,相關(guān)的能力成熟度模型使用步驟如圖3所示。
圖2 能力成熟度等級核驗流程
圖3 推薦的能力成熟度模型使用步驟
3.5 能力建設(shè)過程維度
能力建設(shè)過程維度,重點面向工業(yè)企業(yè)開展工控安全防護能力建設(shè)過程中需關(guān)注的對象,提出相應(yīng)的過程域及配套基本實踐,以指導(dǎo)工業(yè)企業(yè)安全防護能力提升。工業(yè)企業(yè)作為工控安全防護能力建設(shè)提升的主體,在能力建設(shè)過程中,需重點關(guān)注被保護對象的安全及企業(yè)自身安全組織機構(gòu)及配套管理制度的運行效果,并據(jù)此構(gòu)建工控安全成熟度的過程域體系。該過程域體系包含核心保護對象安全、通用安全2部分,如圖4所示。
圖4 能力建設(shè)過程域
其中核心保護對象安全依據(jù)IEC62443關(guān)于工業(yè)控制系統(tǒng)層次模型定義,涉及工業(yè)設(shè)備安全、工業(yè)主機安全、工業(yè)網(wǎng)絡(luò)安全、工業(yè)軟件安全、工業(yè)數(shù)據(jù)安全等5個過程域的集合,重點提出控制設(shè)備、現(xiàn)場測控設(shè)備、工業(yè)上位機、工業(yè)網(wǎng)絡(luò)、控制軟件及工業(yè)數(shù)據(jù)等對象的安全基本實踐。針對運維工業(yè)控制系統(tǒng)的組織機構(gòu),面向其安全運維的實際需求,提出安全規(guī)劃與架構(gòu)、人員管理與培訓(xùn)、物理與環(huán)境安全、監(jiān)測預(yù)警與應(yīng)急響應(yīng)、供應(yīng)鏈安全保障等安全5個過程域的集合,支撐應(yīng)急響應(yīng)、數(shù)據(jù)安全、供應(yīng)鏈安全等政策文件的落地實施。能力建設(shè)過程維度共包含10個過程類,40個過程域,共計365個基本實踐。經(jīng)過前期標(biāo)準(zhǔn)試點驗證和應(yīng)用研究分析,工業(yè)企業(yè)達到二級(規(guī)范防護級)要求,即可基本滿足《工業(yè)控制系統(tǒng)信息安全防護指南》提出的11項安全防護要點。
3.6 標(biāo)準(zhǔn)實施意義
該標(biāo)準(zhǔn)圍繞落實《工業(yè)控制系統(tǒng)信息安全防護指南》等相關(guān)政策文件要求,根據(jù)新形勢下工控安全防護重點,從工控安全防護設(shè)計、建設(shè)、運維全生命周期提出工控安全防護要求。標(biāo)準(zhǔn)的實施與應(yīng)用有助于指導(dǎo)企業(yè)落實政策標(biāo)準(zhǔn)的有關(guān)要求,進一步引導(dǎo)工業(yè)企業(yè)統(tǒng)籌發(fā)展和安全,指導(dǎo)企業(yè)逐級提升工控安全防護能力,以較低成本建立有效的工控安全管理和技術(shù)防護體系,量化評價企業(yè)安全防護水平,著力防范化解重大安全風(fēng)險。同時,該標(biāo)準(zhǔn)的實施推廣,可支撐工控安全行業(yè)主管部門,全面了解當(dāng)前我國工業(yè)企業(yè)工控安全防護能力水平,摸清本行業(yè)、本轄區(qū)工控安全底數(shù),為工控安全管理工作開展,提供標(biāo)準(zhǔn)化基礎(chǔ)。
4 總結(jié)與展望
目前,我國已初步開展工控安全成熟度相關(guān)標(biāo)準(zhǔn)研制及服務(wù)平臺開發(fā)工作,但尚未形成法律、政策、標(biāo)準(zhǔn)相互銜接、互為補充的管理制度,后續(xù)在主管部門指導(dǎo)下,建議產(chǎn)學(xué)研用各方力量進一步聚焦管理體系構(gòu)建、貫標(biāo)工作推廣、遴選試點示范、服務(wù)能力建設(shè)等方面持續(xù)開展相關(guān)工作,促進工業(yè)企業(yè)工控安全防護能力躍升。
一是深入推進工控安全政策標(biāo)準(zhǔn)的宣貫實施。結(jié)合前期網(wǎng)絡(luò)安全相關(guān)貫標(biāo)工作經(jīng)驗,在全國范圍內(nèi)開展工控安全防護能力成熟度模型國家標(biāo)準(zhǔn)及指南的宣貫工作,面向工業(yè)基礎(chǔ)好、安全需求強、技術(shù)儲備足的重點地區(qū)和行業(yè),組織開展貫標(biāo)試點工作,厘清全國工業(yè)企業(yè)工控安全防護能力底數(shù),繪制重點地區(qū)和行業(yè)工控安全防護能力指數(shù)地圖。
二是啟動地區(qū)/行業(yè)工控安全防護能力示范工作。結(jié)合貫標(biāo)試點工作基礎(chǔ),遴選一批工控安全防護貫標(biāo)示范案例,逐步形成可復(fù)制、可推廣的示范工程,引導(dǎo)企業(yè)將指南和工控安全防護能力成熟度模型有關(guān)要求,納入企業(yè)信息化發(fā)展戰(zhàn)略,形成典型示范效應(yīng),帶動更多工業(yè)企業(yè)參與并實施貫標(biāo)工作,引導(dǎo)地方和社會資源加大配套投入。
三是注重工控安全貫標(biāo)公共服務(wù)能力建設(shè)。進一步完善工控安全貫標(biāo)公共服務(wù)平臺,組織研發(fā)標(biāo)準(zhǔn)符合性數(shù)據(jù)智能采集、內(nèi)容合規(guī)性智能診斷等配套工具,為工業(yè)企業(yè)開展自對標(biāo)、自診斷、自評價等工作提供技術(shù)支撐,降低企業(yè)實施工控安全貫標(biāo)的資源消耗,提升貫標(biāo)結(jié)果的客觀性、準(zhǔn)確性和科學(xué)性。
作者簡介:
姚相振 (1984-),男,山東德州人,高級工程師,博士,現(xiàn)就職于中國電子技術(shù)標(biāo)準(zhǔn)化研究院,研究方向為網(wǎng)絡(luò)安全。
趙梓桐 (1992-),男,遼寧錦州人,工程師,碩士,現(xiàn)就職于中國電子技術(shù)標(biāo)準(zhǔn)化研究院,研究方向為網(wǎng)絡(luò)安全。
周睿康 (1990-),男,浙江東陽人,工程師,碩士,現(xiàn)就職于中國電子技術(shù)標(biāo)準(zhǔn)化研究院,研究方向為網(wǎng)絡(luò)安全、密碼學(xué)。
李琳 (1983-),男,山東濟南人,高級工程師,博士,現(xiàn)就職于中國電子技術(shù)標(biāo)準(zhǔn)化研究院,研究方向為網(wǎng)絡(luò)安全。
參考文獻:
[1]楊楠.網(wǎng)絡(luò)空間軍事化及其國際政治影響[J].外交評論(外交學(xué)院學(xué)報),2020,37(03):69–93,6-7.
[2]NIST.SP800-53Rev.5.SecurityandPrivacyControlsforInformationSystemsandOrganizations[EB/OL].[2021-08-01].
[3]NIST.SP800-82Rev.2.GuidetoIndustrialControlSystems(ICS)Security[EB/OL].[2021-08-15].[4]GB/T32919-2016,信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南[S].
摘自《自動化博覽》2022年7月刊
北京市公安局海淀分局備案號:11010802023656號