工业控制系统信息安全标准规定.pdf

《工业控制系统信息安全标准规定.pdf》由会员分享，可在线阅读，更多相关《工业控制系统信息安全标准规定.pdf（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 主要内容 工控安全标准化组织 工控安全国外标准 我国工控安全标准体系 我国工控安全标准 国际工控安全标准化组织： 1. 国际电工委员会 （IEC，International Electro Technical Commission） 2. 国际自动化协会 （ISA，the International Society of Automation） 3. 美国国家标准技术研究院 （ NIST ， National Institute of Standards and Technology ） 4.德国标准化学会 （DIN， Deutsches Institut fr Normung ） 国际工控

2、安全标准化组织： 1. 国际电工委员会 （IEC，International Electro Technical Commission） IEC是国际电工委员会（International ElectrotechnicalCommission） 的简称，成立于1906年，它是世界上成立最早的国际性电工标准化机构，负 责有关电气工程和电子工程领域中的国际标准化工作。总部设在瑞士日内瓦 。IEC的宗旨是，促进电气、电子工程领域中标准化及有关问题的国际合作 ，增进国际间的相互了解。 国际工控安全标准化组织： 2. 国际自动化协会 （ISA，the International Society of A

3、utomation） 其前身是美国仪器、系统和自动化协会，是一个非盈利技术协会，服务于 从事、研究、学习工业自动化及其相关领域（如现场仪表等）的工程师、技 术员等人士，是世界上最重要的自动化标准订制与工业自动化人才培养专业 组织之一。目前，ISA的主要任务是制定和完善标准、职业资格认证、提供 教育和培训、出版书籍和论文、并且主办自动化专业领域最大型的会议和展 览。ISA为它的成员提供各种渠道来获取技术信息、专业发展资源和与其他 自动化专家交流的机会。除了这些之外，ISA会员还能有更多机会得到自动 化领域内众多专家的认可。 国际工控安全标准化组织： 3. 美国国家标准技术研究院 （ NIST ，

4、 National Institute of Standards and Technology ） NIST是一个非监管性质的测量技术和标准国家级研究机构，其中信息技 术实验室的计算机安全研究室是信息安全标准的主要制定者。2002年，美国 政府在联邦信息安全管理法案（FISMA）以及电子政府法案中再次 重申了NIST的职责是开发信息安全标准（联邦信息处理标准,即FIPS系列） 。 国际工控安全标准化组织： 4.德国标准化学会 （DIN， Deutsches Institut fr Normung ） 德国最大的具有广泛代表性的公益性标准化民间机构。成立于1917年。 总部设在首都柏林。通过有关

5、方面的共同协作，为了公众的利益，制定和发 布德国标准及其他标准化工作成果并促进其应用，以有助于经济、技术、科 学、管理和公共事务方面的合理化、质量保证、安全和相互理解。 国内工控安全标准化组织： 1.全国信息安全标准化技术委员会（TC260） 信息安全技术 工业控制系统安全控制应用指南 2. 全国电力系统管理及其信息交换标准化技术委员会（TC 82） 电力系统管理及其信息交换数据和通信安全 3. 全国电力监管标准化技术委员会（TC296） 电力二次系统安全防护标准（强制） 电力信息系统安全检查规范（强制） 电力行业信息安全水平评价指标（推荐） 4.全国工业过程测量和控制标准化技术委员会（TC1

6、24） 2016年8月12日，关于加强国家网络安 全标准化工作的若干意见（中网办发文 20165号）发布，其中明确全国信息 安全标准化技术委员会在国家标准委的领 导下，对网络安全国家标准进行统一技术 归口。 主要内容 工控安全国外标准 工控安全标准化组织 我国工控安全标准体系 我国工控安全标准 国外工控安全标准：国外工控安全标准：IEC/TC65 ICS组件安 全标准 ICS系统安 全标准 ICS程序安 全标准 ICS评估安 全标准 嵌入式设备 主设 备 网络设 备 应用数 据与功 能 ICS安全技 术 安全保 障水平 系统安全 要求与水 平 产品开发 要求 建立ICS 安全程序 运行ICS

7、安全程序 ICS中的 批管理 术语、概 述与模型 术语与缩 略语 系统安全 一致性矩 阵 标准名称内容概要特点分析 IEC 62443系列工 业过程测量、控制和 自动化 网络与系统信 息安全 定义一个通用的、最小要求集以达到各级SALS安全保障需求 。可指导工控系统集成商、产品提供商和服务提供商对他们 的产品和服务进行安全性评估。 基础标准、策 略和规程标准 ISO/IEC TR 27019 基 于 I S O / I E C 27002的用于能源行 业过程控制系统的信 息安全管理指南 ISO/IEC TR 27019遵循了国际标准ISO/IEC 27002信息安 全控制实用规则的框架。概括了

8、信息安全方针、信息安全 组织结构、资产管理、人力资源安全、物理和环境安全、通 信和操作管理、访问控制、信息系统获取开发与维护、信息 安全事件管理、业务连续性管理以及符合性等11个方面的安 全需求和控制实施建议。对于传统的信息安全问题，标准直 接引用ISO/IEC 27002的 内容；对于过程控制系统特有的信 息安全问题，标准则给出了专用的安全控制实施指南 采用了27002 的框架，内容 全面；无分级 思想，且仅对 过程控制系统 （PCS）。 NIST SP800-82工 业控制系统(ICS)安全 指南 概述了ICS和SCADA系统及其典型的系统拓扑;描述了ICS与 IT系统之间的区别；标识了典

9、型威胁和脆弱性以及安全事件 ；给出了ICS安全建设中的网络体系结构；阐述了SP 800-53 中有关管理上、运行上以及技术上的安全控制措施如何在 ICS和SCADA中进行应用。 专门应对工控 系统特有的信 息安全问题而 定； 需 配 合 N I S T SP800-53使 用。 主要内容 我国工控安全标准体系 工控安全标准化组织 工控安全国外标准 我国工控安全标准 我国工控安全标准体系 基于工业控制系统信息安全防护指南，研制如下标准体系 针对工控系统，进行安全定级、提出安全要求、落实安全防护措施、进行安全能力评估， 以循环上升的方式提升工控系统安全防护能力。 基本安全要求技术产品安全要求 序号

10、标准名称所处状态立项时间 1 信息安全技术 工业控制系统安全控制应用指南已发布2009 2 信息安全技术 工业控制系统安全管理基本要求报批稿2012 3 信息安全技术 工业控制系统测控终端安全要求报批稿2012 4 信息安全技术 工业控制系统安全检查指南征求意见稿2012 5 信息安全技术 工业控制系统安全分级指南报批稿2012 6 信息系统安全等级保护基本要求 第5部分：工业控制系统征求意见稿2013 7 工业控制系统风险评估实施指南报批稿2014 8 信息安全技术 工业控制系统安全防护技术要求和测试评价方法征求意见稿2012 9 信息安全技术 工业控制系统网络审计产品安全技术要求征求意见稿

11、2014 10工业控制系统专用防火墙技术要求征求意见稿2014 11信息安全技术 工业控制系统网络监测安全技术要求和测试评价方法征求意见稿2015 12信息安全技术 工业控制系统漏洞检测技术要求征求意见稿2015 13信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求征求意见稿2015 14工业控制系统产品信息安全评估准则 第1部分 简介和一般模型草案2015 15工业控制系统产品信息安全评估准则 第2部分 安全功能要求草案2015 16工业控制系统产品信息安全评估准则 第3部分 安全保障要求草案2015 主要内容 我国工控安全标准 工控安全标准化组织 工控安全国外标准 我国工控安全

12、标准体系 分级思路 工业控制系统受侵害后的工业控制系统受侵害后的 潜在影响潜在影响(Ia) 工业控制系统重要性工业控制系统重要性(Sa) 工业控制系统需抵御工业控制系统需抵御 的信息安全威胁的信息安全威胁(Ta) 第一级第一级 第二级第二级 第三级第三级 第四级第四级 1 1. .732732 N NSL SL 3.4643.4645.1965.1966.9286.9288.668.66 重要性程度 特征值 影响程度特 征值 信息安全威胁等级 12345 11第一级第一级第一级第二级第三级 12第一级第一级第二级第二级第三级 13第一级第二级第二级第二级第三级 14第二级第二级第二级第三级第三

13、级 15第三级第三级第三级第三级第四级 21第一级第一级第二级第二级第三级 22第一级第二级第二级第二级第三级 23第二级第二级第二级第三级第三级 24第二级第二级第三级第三级第三级 25第三级第三级第三级第三级第四级 31第一级第二级第二级第二级第三级 32第二级第二级第二级第三级第三级 33第二级第二级第三级第三级第三级 34第二级第三级第三级第三级第四级 35第三级第三级第三级第四级第四级 41第二级第二级第二级第三级第三级 42第二级第二级第三级第三级第三级 43第二级第三级第三级第三级第四级 44第三级第三级第三级第四级第四级 45第三级第三级第四级第四级第四级 51第三级第三级第三

14、级第三级第四级 52第三级第三级第三级第三级第四级 53第三级第三级第三级第四级第四级 54第三级第三级第四级第四级第四级 55第四级第四级第四级第四级第四级 Sa=1 Ia=1 Ta=1 Sa=2 Ia=2 Ta=2 Sa=3 Ia=3 Ta=3 Sa=4 Ia=4 Ta=4 Sa=5 Ia=5 Ta=5 CONTENTS 目录 前言与引言 1 2 3 4 5 范围、规范性引用文件、 术语和定义、缩略语 安全控制概述、基线及其设计、 选择与规约、选择过程应用 工业控制系统面临的安全风险 工业控制系统安全控制列表 6 工业控制系统安全控制基线 工业控制系统安全控制应用指南 安全控制 安全控制是

15、应用于组织工业控制系统中管理、运行和技术上的保护措施和对策， 以保护工业控制系统及其信息的保密性、完整性和可用性等。应用这些控制的目 的是减少脆弱性或影响，抵御工业控制系统所面临的安全威胁，从而缓解工业控 制系统的安全风险，以满足利益相关者的安全需要。 安全控制选择与规约 针对工业控制系统存在的脆弱性，分析面临的威胁，评估风险发生的可 能性以及风险发生可能造成的影响和危害，制定风险处置原则和处置计 划，将工业控制系统安全风险控制在可接受的水平。 附录A 工业控制系统面临的安全风险 工业控制系统与 传统信息系统的对比 信息系统 安全威胁与防护措施 对工控系统的影响 工业控制系统 面临的威胁 工业

16、控制系统 脆弱性分析 性能需求 可用性需求 风险管理需求 安全焦点 物理交互 时间确定性响应 系统运行 . 拒绝服务的影响 加密传输 密钥管理 公网联接 无线通信的影响 内部攻击者 黑客 僵尸网络的操控者 恶意软件的作者 恐怖分子 工业间谍 犯罪组织 . 策略和规程的脆弱性 网络脆弱性 平台脆弱性 教育 培训 配置 管理 应急 计划 事件 响应 维护 介质 保护 安全 评估 与授权 规划 人员 安全 物理 与环境 安全 标识 与鉴别 程序 管理 系统 与信息 完整性 系统 与通信 保护 审计 与问责 访问 控制 风险 评估 系统 与服务 获取 附录B 工业控制系统安全控制 本标准从管理、运维、

17、技术三个维度提出了18个族，186项安全控制措施，范 围涵盖访问控制、安全评估、系统与服务获取、风险评估、运维等。 管理 技术 运维 附录附录C 工业控制系统安全控制基线工业控制系统安全控制基线 根据工业控制系统在国家安全、 经济建设、社会生活中的重要 程度，遭到破坏后对国家安全、 社会秩序、公共利益以及公民、 法人和其他组织的合法权益的 危害程度等，结合信息安全等 级保护标准划分及实施效果分 析，结合工业控制系统的基本 特征（参见附录A），结合以 往诸多工业控制系统的安全实 践，将附录B中适用于工业控 制系统的安全控制分为三个级 别：一级、二级和三级，每个 级别对应安全控制如表C.1。 安全

18、控制基线及其设计考虑， 以及基线的选择和裁剪指导见 本标准正文内容。 工业控制系统风险评估实施指南 工业控制系统风险评估流程 工业控制系统风险评估实施分为3 个阶段，包括：风险评估准备阶段、 风险要素评估阶段、综合分析阶段。 根据工业控制系统风险评估的不同 阶段，评估方制定相应的工作计划， 保证评估工作的顺利进行。 本标准规定了工业控制系统风险评估 实施的过程和方法。 本标准适用于指导第三方安全检测评 估机构对工业控制系统的风险评估实 施工作，也可供工业控制系统业主单 位进行自评估时参考。 工业控制系统安全检查指南 工业控制系统信息安全检查指南研究框架 工业控制系统信息安全防护要求与测评方法

19、本标准针对基于现代数字技术、计算机技术、网络技术的工业控制系统信息安 全提出了防护技术要求及测试评价办法，适用于工业控制系统信息安全的重点领域 包括（核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢 纽、环境保护、民航、铁路、城市轨道交通、城市供水供气供热）以及其他与国计 民生紧密相关领域的工业控制系统信息安全工作。 工控安全防护技术要求工控安全防护测评方法 用户、设备鉴别 远程通信保护 通信网络分隔与互联 访问控制 职责分割 审计和问责 系统和信息完整性 资源可用性 物理和环境保护 安全监控 维护 测试评价流程分为四个基本测评活动： l准备活动 l方案编制活动 l实施活动

20、l分析及报告编制活动 测评方法： l基本方法 l数据采集范围要求 l采集方式要求 l分析方式 工业控制系统信息安全技术产品要求 序号标准名称所处状态立项时间 1 信息安全技术 工业控制系统网络审计产品安全技术要求征求意见稿2014 2 工业控制系统专用防火墙技术要求征求意见稿2014 3 信息安全技术 工业控制系统网络监测安全技术要求和测试评价 方法 征求意见稿2015 4 信息安全技术 工业控制系统漏洞检测技术要求征求意见稿2015 5 信息安全技术 工业控制网络安全隔离与信息交换系统安全技术 要求 征求意见稿2015 6 工业控制系统产品信息安全评估准则 第1部分 简介和一般模型草案2015 7 工业控制系统产品信息安全评估准则 第2部分 安全功能要求草案2015 8 工业控制系统产品信息安全评估准则 第3部分 安全保障要求草案2015