久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★中國電子技術(shù)標(biāo)準(zhǔn)化研究院姚相振，趙梓桐，周?？担盍?/p>

1 引言

1.1 當(dāng)前我國工業(yè)控制系統(tǒng)信息安全形勢依然嚴(yán)峻

隨著兩化融合進(jìn)程的不斷深化和工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)聯(lián)網(wǎng)數(shù)量持續(xù)增長，工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)的安全風(fēng)險相互交織，新型安全問題層出不窮，傳統(tǒng)的安全防護(hù)策略已難以有效應(yīng)對日趨多元化的網(wǎng)絡(luò)安全威脅。一是控制系統(tǒng)互聯(lián)趨勢明顯，安全防護(hù)面臨新挑戰(zhàn)。隨著工業(yè)智能設(shè)備的部署和應(yīng)用日趨廣泛，越來越多的工業(yè)控制系統(tǒng)和產(chǎn)品采用通用協(xié)議、硬件及軟件，以各種方式接入互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)。網(wǎng)絡(luò)互聯(lián)導(dǎo)致潛在攻擊路徑不斷增多，漏洞、病毒等安全威脅不斷向工業(yè)控制系統(tǒng)擴(kuò)散蔓延。二是工業(yè)漏洞居高不下，高危風(fēng)險占比較大。由于傳統(tǒng)工業(yè)環(huán)境相對封閉可信，大多數(shù)存量工控系統(tǒng)安全設(shè)計考慮不足，安全技術(shù)融合應(yīng)用深度不夠，工業(yè)軟硬件本身存在大量安全漏洞，易被攻擊者利用。同時，據(jù)2021年美國工控系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（ICS-CERT）公布的389個工控安全漏洞分析顯示，其中77%由于涉及范圍廣、影響程度深、安全危害大被認(rèn)定為高危漏洞，亟需引起高度重視。三是網(wǎng)絡(luò)攻擊手段多樣，安全影響持續(xù)升級。工業(yè)控制系統(tǒng)作為網(wǎng)絡(luò)空間對抗的重點攻擊目標(biāo)之一，工業(yè)領(lǐng)域勒索病毒、“工業(yè)毀壞者”惡意軟件、“熔斷”漏洞、“幽靈”漏洞等安全威脅影響廣泛，工控安全事件頻繁發(fā)生，導(dǎo)致多家企業(yè)關(guān)鍵業(yè)務(wù)系統(tǒng)嚴(yán)重受損、生產(chǎn)停滯，其安全攻擊經(jīng)過精心策劃，具有鮮明的目的性^[1]。

1.2 國外開展成熟度模型研究，提前布局新型安全防護(hù)體系

面對工控安全的嚴(yán)峻形勢，為科學(xué)衡量企業(yè)工控安全防護(hù)能力水平，美國已率先啟動網(wǎng)絡(luò)安全成熟度評價工作，從政策文件、標(biāo)準(zhǔn)規(guī)范、技術(shù)工具等方面形成先發(fā)優(yōu)勢，提早布局新型網(wǎng)絡(luò)安全綜合防護(hù)體系。一是積極開展網(wǎng)絡(luò)安全成熟度模型評估框架（CMCC Framework）研究。為科學(xué)衡量企業(yè)網(wǎng)絡(luò)安全防護(hù)能力水平，提升國防工業(yè)基地相關(guān)部門及國防部供應(yīng)鏈企業(yè)的網(wǎng)絡(luò)安全防護(hù)能力，美國防部（DoD）于2020年3月18日研制發(fā)布CMMC框架（V1.02）要求。該框架將企業(yè)網(wǎng)絡(luò)安全成熟度由低向高分為5等級（經(jīng)驗執(zhí)行級、文檔記錄級、制度規(guī)范級、量化評估級、持續(xù)優(yōu)化級），通過綜合考慮被保護(hù)對象的類型和敏感度，以及相關(guān)威脅范圍，形成多個網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、框架和參考文件的成熟流程及最佳實踐。CMMC框架通過引入評估元素，采用第三方合規(guī)評估代替供應(yīng)商網(wǎng)絡(luò)安全自我證明，更加客觀、準(zhǔn)確地驗證企業(yè)網(wǎng)絡(luò)安全成熟度等級相關(guān)的流程與實踐的實現(xiàn)程度。

二是推動NIST系列基礎(chǔ)標(biāo)準(zhǔn)規(guī)范研制及持續(xù)修訂。圍繞落實關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全政策，美國NIST制定發(fā)布了《聯(lián)邦信息系統(tǒng)的安全控制措施》（SP 800-53）、《工業(yè)控制系統(tǒng)信息安全指南》（SP 800-82）、《非聯(lián)邦機(jī)構(gòu)的受控非密信息保護(hù)》（SP 800-171）等系列標(biāo)準(zhǔn)，為CMMC框架落地實施提供標(biāo)準(zhǔn)化基礎(chǔ)^[2]。三是研制發(fā)布網(wǎng)絡(luò)安全成熟度配套評估工具（CSET）。ICS-CERT依托控制系統(tǒng)安全計劃，研制發(fā)布新版網(wǎng)絡(luò)安全評估工具CSET（v11.0.1.0），為提升網(wǎng)絡(luò)安全成熟度評估框架實施效果提供了一種系統(tǒng)、規(guī)范且可重復(fù)的方式方法，可用于指導(dǎo)資產(chǎn)所有者、運營商逐步評估工業(yè)控制系統(tǒng)及傳統(tǒng)信息系統(tǒng)的網(wǎng)絡(luò)安全實踐^[3]。

1.3 我國高度重視工控安全，初步建立工控安全防護(hù)能力成熟度模型

黨中央國務(wù)院高度重視我國網(wǎng)絡(luò)安全工作，習(xí)近平總書記強調(diào)網(wǎng)絡(luò)安全博弈歸根到底爭的是標(biāo)準(zhǔn)制定權(quán)、規(guī)則主導(dǎo)權(quán)，要積極利用法律法規(guī)和標(biāo)準(zhǔn)規(guī)范引導(dǎo)新技術(shù)應(yīng)用。工業(yè)和信息化部作為工業(yè)領(lǐng)域網(wǎng)絡(luò)安全主管部門，出臺了《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等政策文件。為落實相關(guān)政策要求，中國電子技術(shù)標(biāo)準(zhǔn)化研究院以標(biāo)準(zhǔn)為切入點，以服務(wù)平臺為落腳點，初步建立了工控安全成熟度模型，進(jìn)一步推動工控安全防護(hù)能力建設(shè)向可量化、可評價方向轉(zhuǎn)變。一方面研制國家標(biāo)準(zhǔn)《成熟度模型》，將《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》11項防護(hù)要求具體細(xì)化為10個過程類、40個過程域、365個基本實踐，規(guī)定了針對核心保護(hù)對象安全和通用安全的成熟度等級要求，提出了能力成熟度等級核驗方法，并深入江蘇國電、宇通客車、中天鋼鐵等重點行業(yè)企業(yè)開展貫標(biāo)試驗，赴江蘇、浙江、四川等6省市開展貫標(biāo)深度行，加強國家標(biāo)準(zhǔn)宣貫與培訓(xùn)工作。另一方面，依托我院“工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)與測評工業(yè)和信息化部重點實驗室”已有技術(shù)積累，依據(jù)《成熟度模型》國家標(biāo)準(zhǔn)，研發(fā)工控安全貫標(biāo)公共服務(wù)平臺，面向工控安全防護(hù)貫標(biāo)全生命周期，為工業(yè)企業(yè)、咨詢機(jī)構(gòu)、核驗機(jī)構(gòu)提供企業(yè)自評、貫標(biāo)審核、資產(chǎn)管理、數(shù)據(jù)統(tǒng)計等功能，形成了一站式公共服務(wù)能力，通過持續(xù)積累工業(yè)企業(yè)貫標(biāo)數(shù)據(jù)信息，量化展示工控安全防護(hù)能力成熟度等級，為主管部門、行業(yè)組織和重點企業(yè)開展工控安全管理工作提供技術(shù)手段。

2 研制思路

我國工業(yè)信息安全國家標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（以下簡稱：信安標(biāo)委）歸口管理。截至目前，信安標(biāo)委共立項研制工控安全國家標(biāo)準(zhǔn)27項，范圍涵蓋工業(yè)控制系統(tǒng)安全分級、安全管理、安全實施、安全測評，以及典型工業(yè)控制系統(tǒng)、設(shè)備安全等領(lǐng)域，初步建立了工控安全標(biāo)準(zhǔn)體系。與已有標(biāo)準(zhǔn)相比，《成熟度模型》在標(biāo)準(zhǔn)化對象、安全防護(hù)能力、標(biāo)準(zhǔn)配套使用、相關(guān)政策落實等方面實現(xiàn)了進(jìn)一步完善。

一是標(biāo)準(zhǔn)化對象由工控系統(tǒng)變?yōu)榻M織。當(dāng)前已發(fā)布工控安全國家標(biāo)準(zhǔn)，多將工業(yè)控制系統(tǒng)或設(shè)備作為標(biāo)準(zhǔn)化對象，針對其安全需求，提出安全防護(hù)控制措施。《成熟度模型》重點面向運維工業(yè)控制系統(tǒng)的組織機(jī)構(gòu)，針對其安全防護(hù)綜合整體能力，提出過程域及基本實踐，指導(dǎo)開展安全防護(hù)工作。

二是聚焦組織工控安全防護(hù)能力提升。《成熟度模型》標(biāo)準(zhǔn)，重點針對工業(yè)企業(yè)的機(jī)構(gòu)建設(shè)、制度流程、技術(shù)工具、人員能力4個方面，綜合指導(dǎo)其動態(tài)提升安全防護(hù)能力，并不局限于某一具體時間點的靜態(tài)安全狀態(tài)。

三是可與已有工控安全國家標(biāo)準(zhǔn)配套使用?！冻墒於饶Ｐ汀坊陲L(fēng)險評估、安全控制措施裁剪等思路，指導(dǎo)工業(yè)企業(yè)合理篩選適合自身實際安全需求的控制措施，可與《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》《信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險評估實施指南》和《信息安全技術(shù)工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備通用安全功能要求》等標(biāo)準(zhǔn)配套使用。

四是可為相關(guān)政策落地實施提供技術(shù)支撐?！冻墒於饶Ｐ汀芬罁?jù)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估方法》等政策文件，結(jié)合當(dāng)前工控安全防護(hù)發(fā)展現(xiàn)狀，總結(jié)提煉形成過程域及基本實踐，可指導(dǎo)工業(yè)企業(yè)依標(biāo)落實相關(guān)政策文件。

3 標(biāo)準(zhǔn)內(nèi)容解讀

3.1 標(biāo)準(zhǔn)適用范圍

該標(biāo)準(zhǔn)給出了工控安全防護(hù)能力成熟度模型，規(guī)定了核心保護(hù)對象安全和通用安全的成熟度等級要求，提出了能力成熟度等級核驗方法，適用于工業(yè)控制系統(tǒng)設(shè)計、建設(shè)、運維等相關(guān)方進(jìn)行工控安全防護(hù)能力建設(shè)，以及對組織工控安全防護(hù)能力成熟度等級進(jìn)行核驗。

3.2 能力成熟度模型

工控安全防護(hù)能力成熟度模型由安全能力要素、能力成熟度等級和能力建設(shè)過程等3個維度構(gòu)成，如圖1所示。安全能力要素包括工業(yè)企業(yè)開展工控安全防護(hù)能力提升，所需涉及的機(jī)構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力等4方面能力。能力成熟度等級根據(jù)安全能力要素所處能力水平，自低向高將企業(yè)工控安全防護(hù)能力定義為5個不同級別（1級基礎(chǔ)建設(shè)級，2級規(guī)范防護(hù)級，3級集成管控級，4級綜合協(xié)同級，5級智能優(yōu)化級）。能力建設(shè)過程，依據(jù)IEC62443關(guān)于工業(yè)控制系統(tǒng)層次模型定義[4]，針對工業(yè)設(shè)備安全、工業(yè)主機(jī)安全、工業(yè)網(wǎng)絡(luò)安全、工業(yè)軟件安全、工業(yè)數(shù)據(jù)安全等5個方面，提出核心保護(hù)對象的過程域及配套基本實踐，同時面向運維工業(yè)控制系統(tǒng)的組織，提出安全規(guī)劃與架構(gòu)、人員管理與培訓(xùn)、物理與環(huán)境安全、監(jiān)測預(yù)警與應(yīng)急響應(yīng)、供應(yīng)鏈安全保障等5方面的通用安全過程域及配套基本實踐。

圖1 工控安全防護(hù)能力成熟度模型

3.3 安全能力要素維度

工控安全防護(hù)能力要素是客觀評價工業(yè)企業(yè)工控安全防護(hù)能力的主要要素指標(biāo)，明確工控安全防護(hù)能力要素的組成部分，具體包括機(jī)構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力4個方面。機(jī)構(gòu)建設(shè)主要從工控安全防護(hù)架構(gòu)對工業(yè)企業(yè)的適用性，工控安全工作責(zé)任的明確性，以及工控安全機(jī)構(gòu)運作、溝通協(xié)調(diào)的有效性等方面對工控安全防護(hù)能力進(jìn)行考核。制度流程圍繞工控系統(tǒng)關(guān)鍵控制節(jié)點授權(quán)審批流程的明確性，相關(guān)制度流程制修訂的規(guī)范性，以及制度流程實施的一致性和有效性等方面對工業(yè)企業(yè)安全防護(hù)制度流程建設(shè)和執(zhí)行情況進(jìn)行約束。技術(shù)工具重點圍繞工控安全防護(hù)技術(shù)應(yīng)用情況和安全風(fēng)險應(yīng)對能力，以及利用技術(shù)工具實現(xiàn)制度流程固化執(zhí)行的實現(xiàn)能力進(jìn)行了明確要求。人員能力對工業(yè)企業(yè)工控安全從業(yè)人員業(yè)務(wù)能力、安全意識及業(yè)務(wù)工藝與安全防護(hù)融合應(yīng)用等方面，對工業(yè)企業(yè)提出了相應(yīng)的能力約束要求。

3.4 能力成熟度等級維度

工業(yè)企業(yè)依據(jù)標(biāo)準(zhǔn)逐級開展安全防護(hù)的能力建設(shè)，自低向高分別是基礎(chǔ)建設(shè)級、規(guī)范防護(hù)級、集成管控級、綜合協(xié)同級和智能優(yōu)化級。一是基礎(chǔ)建設(shè)級，該級別要求企業(yè)能夠依據(jù)工控安全防護(hù)的技術(shù)基礎(chǔ)和條件開展基本保護(hù)工作，安全防護(hù)能力建設(shè)主要基于特定業(yè)務(wù)場景，尚未形成規(guī)范化、流程化的工作方式，相關(guān)工作多依賴信息安全人員主觀經(jīng)驗，建設(shè)過程未要求以文檔形式記錄，無法形成可復(fù)制。二是規(guī)范防護(hù)級，該級別要求企業(yè)建立并記錄工控安全防護(hù)能力建設(shè)工作，能夠針對工業(yè)控制設(shè)備、工業(yè)主機(jī)、工業(yè)網(wǎng)絡(luò)、工業(yè)數(shù)據(jù)等方面制定規(guī)范化安全防護(hù)制度、規(guī)章，使得企業(yè)能夠以重復(fù)的方式執(zhí)行，采用數(shù)字化裝備、信息技術(shù)手段等，有針對性地開展安全防護(hù)，面向各方面形成獨立、可復(fù)制的安全防護(hù)能力。三是集成管控級，要求企業(yè)能夠?qū)I(yè)控制系統(tǒng)設(shè)備、主機(jī)、系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)等方面，在規(guī)范防護(hù)已有工作基礎(chǔ)上，通過集成化工具、系統(tǒng)等，對相對獨立的單點防護(hù)設(shè)備進(jìn)行集中統(tǒng)一管控，同時整合相關(guān)防護(hù)規(guī)章制度文件，形成體系化制度，提升企業(yè)內(nèi)部工控安全的集中管理、統(tǒng)一控制的安全防護(hù)能力。四是綜合協(xié)同級，要求企業(yè)能夠面向不同產(chǎn)線、廠區(qū)、工廠及產(chǎn)業(yè)鏈上下游相關(guān)單位，統(tǒng)籌考慮安全風(fēng)險需求，開展安全防護(hù)建設(shè)，建立多級協(xié)同的安全管理體系，并通過態(tài)勢感知、統(tǒng)一管控等技術(shù)手段實現(xiàn)綜合決策、協(xié)調(diào)防護(hù)的安全能力。五是智能優(yōu)化級，要求企業(yè)能夠采用人工智能、主動防御、內(nèi)生安全等先進(jìn)技術(shù)，與已有安全防護(hù)設(shè)備、系統(tǒng)、制度體系深度融合，使得可通過知識學(xué)習(xí)、智能建模分析等技術(shù)，構(gòu)建可智能化演進(jìn)的安全防護(hù)系統(tǒng)，形成具有自決策、自進(jìn)化能力的安全防護(hù)體系。設(shè)計相應(yīng)的能力成熟度檢驗流程如圖2所示，相關(guān)的能力成熟度模型使用步驟如圖3所示。

圖2 能力成熟度等級核驗流程

圖3 推薦的能力成熟度模型使用步驟

3.5 能力建設(shè)過程維度

能力建設(shè)過程維度，重點面向工業(yè)企業(yè)開展工控安全防護(hù)能力建設(shè)過程中需關(guān)注的對象，提出相應(yīng)的過程域及配套基本實踐，以指導(dǎo)工業(yè)企業(yè)安全防護(hù)能力提升。工業(yè)企業(yè)作為工控安全防護(hù)能力建設(shè)提升的主體，在能力建設(shè)過程中，需重點關(guān)注被保護(hù)對象的安全及企業(yè)自身安全組織機(jī)構(gòu)及配套管理制度的運行效果，并據(jù)此構(gòu)建工控安全成熟度的過程域體系。該過程域體系包含核心保護(hù)對象安全、通用安全2部分，如圖4所示。

圖4 能力建設(shè)過程域

其中核心保護(hù)對象安全依據(jù)IEC62443關(guān)于工業(yè)控制系統(tǒng)層次模型定義，涉及工業(yè)設(shè)備安全、工業(yè)主機(jī)安全、工業(yè)網(wǎng)絡(luò)安全、工業(yè)軟件安全、工業(yè)數(shù)據(jù)安全等5個過程域的集合，重點提出控制設(shè)備、現(xiàn)場測控設(shè)備、工業(yè)上位機(jī)、工業(yè)網(wǎng)絡(luò)、控制軟件及工業(yè)數(shù)據(jù)等對象的安全基本實踐。針對運維工業(yè)控制系統(tǒng)的組織機(jī)構(gòu)，面向其安全運維的實際需求，提出安全規(guī)劃與架構(gòu)、人員管理與培訓(xùn)、物理與環(huán)境安全、監(jiān)測預(yù)警與應(yīng)急響應(yīng)、供應(yīng)鏈安全保障等安全5個過程域的集合，支撐應(yīng)急響應(yīng)、數(shù)據(jù)安全、供應(yīng)鏈安全等政策文件的落地實施。能力建設(shè)過程維度共包含10個過程類，40個過程域，共計365個基本實踐。經(jīng)過前期標(biāo)準(zhǔn)試點驗證和應(yīng)用研究分析，工業(yè)企業(yè)達(dá)到二級（規(guī)范防護(hù)級）要求，即可基本滿足《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》提出的11項安全防護(hù)要點。

3.6 標(biāo)準(zhǔn)實施意義

該標(biāo)準(zhǔn)圍繞落實《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等相關(guān)政策文件要求，根據(jù)新形勢下工控安全防護(hù)重點，從工控安全防護(hù)設(shè)計、建設(shè)、運維全生命周期提出工控安全防護(hù)要求。標(biāo)準(zhǔn)的實施與應(yīng)用有助于指導(dǎo)企業(yè)落實政策標(biāo)準(zhǔn)的有關(guān)要求，進(jìn)一步引導(dǎo)工業(yè)企業(yè)統(tǒng)籌發(fā)展和安全，指導(dǎo)企業(yè)逐級提升工控安全防護(hù)能力，以較低成本建立有效的工控安全管理和技術(shù)防護(hù)體系，量化評價企業(yè)安全防護(hù)水平，著力防范化解重大安全風(fēng)險。同時，該標(biāo)準(zhǔn)的實施推廣，可支撐工控安全行業(yè)主管部門，全面了解當(dāng)前我國工業(yè)企業(yè)工控安全防護(hù)能力水平，摸清本行業(yè)、本轄區(qū)工控安全底數(shù)，為工控安全管理工作開展，提供標(biāo)準(zhǔn)化基礎(chǔ)。

4 總結(jié)與展望

目前，我國已初步開展工控安全成熟度相關(guān)標(biāo)準(zhǔn)研制及服務(wù)平臺開發(fā)工作，但尚未形成法律、政策、標(biāo)準(zhǔn)相互銜接、互為補充的管理制度，后續(xù)在主管部門指導(dǎo)下，建議產(chǎn)學(xué)研用各方力量進(jìn)一步聚焦管理體系構(gòu)建、貫標(biāo)工作推廣、遴選試點示范、服務(wù)能力建設(shè)等方面持續(xù)開展相關(guān)工作，促進(jìn)工業(yè)企業(yè)工控安全防護(hù)能力躍升。

一是深入推進(jìn)工控安全政策標(biāo)準(zhǔn)的宣貫實施。結(jié)合前期網(wǎng)絡(luò)安全相關(guān)貫標(biāo)工作經(jīng)驗，在全國范圍內(nèi)開展工控安全防護(hù)能力成熟度模型國家標(biāo)準(zhǔn)及指南的宣貫工作，面向工業(yè)基礎(chǔ)好、安全需求強、技術(shù)儲備足的重點地區(qū)和行業(yè)，組織開展貫標(biāo)試點工作，厘清全國工業(yè)企業(yè)工控安全防護(hù)能力底數(shù)，繪制重點地區(qū)和行業(yè)工控安全防護(hù)能力指數(shù)地圖。

二是啟動地區(qū)/行業(yè)工控安全防護(hù)能力示范工作。結(jié)合貫標(biāo)試點工作基礎(chǔ)，遴選一批工控安全防護(hù)貫標(biāo)示范案例，逐步形成可復(fù)制、可推廣的示范工程，引導(dǎo)企業(yè)將指南和工控安全防護(hù)能力成熟度模型有關(guān)要求，納入企業(yè)信息化發(fā)展戰(zhàn)略，形成典型示范效應(yīng)，帶動更多工業(yè)企業(yè)參與并實施貫標(biāo)工作，引導(dǎo)地方和社會資源加大配套投入。

三是注重工控安全貫標(biāo)公共服務(wù)能力建設(shè)。進(jìn)一步完善工控安全貫標(biāo)公共服務(wù)平臺，組織研發(fā)標(biāo)準(zhǔn)符合性數(shù)據(jù)智能采集、內(nèi)容合規(guī)性智能診斷等配套工具，為工業(yè)企業(yè)開展自對標(biāo)、自診斷、自評價等工作提供技術(shù)支撐，降低企業(yè)實施工控安全貫標(biāo)的資源消耗，提升貫標(biāo)結(jié)果的客觀性、準(zhǔn)確性和科學(xué)性。

作者簡介：

姚相振 （1984-），男，山東德州人，高級工程師，博士，現(xiàn)就職于中國電子技術(shù)標(biāo)準(zhǔn)化研究院，研究方向為網(wǎng)絡(luò)安全。

趙梓桐 （1992-），男，遼寧錦州人，工程師，碩士，現(xiàn)就職于中國電子技術(shù)標(biāo)準(zhǔn)化研究院，研究方向為網(wǎng)絡(luò)安全。

周?？?nbsp;（1990-），男，浙江東陽人，工程師，碩士，現(xiàn)就職于中國電子技術(shù)標(biāo)準(zhǔn)化研究院，研究方向為網(wǎng)絡(luò)安全、密碼學(xué)。

李琳 （1983-），男，山東濟(jì)南人，高級工程師，博士，現(xiàn)就職于中國電子技術(shù)標(biāo)準(zhǔn)化研究院，研究方向為網(wǎng)絡(luò)安全。

參考文獻(xiàn)：

[1]楊楠.網(wǎng)絡(luò)空間軍事化及其國際政治影響[J].外交評論(外交學(xué)院學(xué)報),2020,37(03):69–93,6-7.

[2]NIST.SP800-53Rev.5.SecurityandPrivacyControlsforInformationSystemsandOrganizations[EB/OL].[2021-08-01].

[3]NIST.SP800-82Rev.2.GuidetoIndustrialControlSystems(ICS)Security[EB/OL].[2021-08-15].[4]GB/T32919-2016,信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南[S].

摘自《自動化博覽》2022年7月刊