工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)

《工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)》由會(huì)員分享，可在線閱讀，更多相關(guān)《工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)（44頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industry and Information Technoogy of the Peopled Republk of 6ia 工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn) 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 1 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the

2、Peoples Republic of Giine 1 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 1 主要內(nèi)容 工控安全標(biāo)準(zhǔn)化組織 , 工控安全國(guó)夕卜標(biāo)準(zhǔn) V我國(guó)工控安全標(biāo)準(zhǔn)體系 ) 我國(guó)工控安全標(biāo)準(zhǔn) 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Gii

3、ne 1 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 1 國(guó)際工控安全標(biāo)準(zhǔn)化組織: 1. 際電工委員會(huì) 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 1 中華人民共和國(guó)工業(yè)和信息化部 Ministry of

4、 Industfy and Information Technology of the Peoples Republic of Giine 1 (IEC z Internatio nal Electro Tech nical Commissi on ) 2.國(guó)際自動(dòng)化協(xié)會(huì) (ISA z the Inter national Society of Automati on ) 3. 美國(guó)國(guó) 家標(biāo)準(zhǔn)技術(shù)硏究院 (NIST z Nati onal In stitute of Sta ndards a nd Tech no logy ) 4.德國(guó)標(biāo)準(zhǔn)化學(xué)會(huì) (DIN , De

5、utsches Institut fur Normung ) 國(guó)際工控安全標(biāo)準(zhǔn)化組織: 1. 際電工委員會(huì) (IEC , International Electro Technical Commission ) IEC是國(guó)際電工委員會(huì)(International ElectrotechnicalCommission ) 的簡(jiǎn)稱，成立于1906年，它是世界上成立最早的國(guó)際性電工標(biāo)準(zhǔn)化機(jī)構(gòu),負(fù) 責(zé)有關(guān)電氣工程和電子工程領(lǐng)域中的國(guó)際標(biāo)準(zhǔn)化工作?？偛吭O(shè)在瑞士日內(nèi)瓦 。IEC的宗旨是，促進(jìn)電氣 電子工程領(lǐng)域中標(biāo)準(zhǔn)化及有關(guān)問(wèn)題的國(guó)際合作 ,增進(jìn)國(guó)際間的相互了解。 中華人民共和國(guó)工

6、業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 國(guó)際工控安全標(biāo)準(zhǔn)化組織: 2.國(guó)際自動(dòng)化協(xié)會(huì) (ISA , the International Society of Automation ) 其前身是美國(guó)儀器、系統(tǒng)和自動(dòng)化協(xié)會(huì),是一個(gè)非盈利技術(shù)協(xié)會(huì),服務(wù)于 從事、研究、學(xué)習(xí)工業(yè)自動(dòng)化及其相關(guān)領(lǐng)域(如現(xiàn)場(chǎng)儀表等)的工程師、技 術(shù)員等人士，是世界上最重要的自動(dòng)化標(biāo)準(zhǔn)訂制與工業(yè)自動(dòng)化人才培養(yǎng)專業(yè) 組織之一。目前，ISA的主要任務(wù)是制定和完善標(biāo)準(zhǔn)、職業(yè)資

7、格認(rèn)證、提供 教育和培訓(xùn)、出版書(shū)籍和論文、并且主辦自動(dòng)化專業(yè)領(lǐng)域最大型的會(huì)議和展 覽。ISA為它的成員提供各種渠道來(lái)獲取技術(shù)信息、專業(yè)發(fā)展資源和與其他 自動(dòng)化專家交流的機(jī)會(huì)。除了這些之夕卜，ISA會(huì)員還能有更多機(jī)會(huì)得到自動(dòng) 化領(lǐng)域內(nèi)眾多專家的認(rèn)可。 國(guó)際工控安全標(biāo)準(zhǔn)化組織: 3. 美國(guó)國(guó) 家標(biāo)準(zhǔn)技術(shù)硏究院 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國(guó)工業(yè)和信息化部 Ministry of

8、Industfy and Information Technology of the Peoples Republic of Giine （NIST , Nati onal In stitute of Sta ndards a nd Tech no logy ） 2002年,美國(guó) NIST是一個(gè)非監(jiān)管性質(zhì)的測(cè)量技術(shù)和標(biāo)準(zhǔn)國(guó)家級(jí)硏究機(jī)構(gòu),其中信息技 術(shù)實(shí)驗(yàn)室的計(jì)算機(jī)安全硏究室是信息安全標(biāo)準(zhǔn)的主要制定者。 政府在《聯(lián)邦信息安全管理法案》（FISMA）以及《電子政府法案》中再次 重申了NIST的職責(zé)是開(kāi)發(fā)信息安全標(biāo)準(zhǔn)（聯(lián)邦信息處理標(biāo)準(zhǔn),即FIPS系列） 國(guó)際工控安全標(biāo)準(zhǔn)化組織

9、: 4.德國(guó)標(biāo)準(zhǔn)化學(xué)會(huì) (DIN , Deutsches Institut fur Normung ) 德國(guó)最大的具有廣泛代表性的公益性標(biāo)準(zhǔn)化民間機(jī)構(gòu)。成立于1917年。 總部設(shè)在首都柏林。通過(guò)有關(guān)方面的共同協(xié)作,為了公眾的利益,制定和發(fā) 布德國(guó)標(biāo)準(zhǔn)及其他標(biāo)準(zhǔn)化工作成果并促進(jìn)其應(yīng)用,以有助于經(jīng)濟(jì)、技木科 學(xué)、管理和公共事務(wù)方面的合理化、質(zhì)量保證、安全和相互理解。 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 國(guó)內(nèi)工控安全標(biāo)準(zhǔn)

10、化組織: 1.全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260 ） 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》 中華人民共和國(guó)工業(yè)和信息化部 Ministry

11、 of Industfy and Information Technology of the Peoples Republic of Giine 2. 《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全》 3. 全國(guó)電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC296 ） 全國(guó)電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC 82 ） 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國(guó)工業(yè)和信息化部 Ministr

12、y of Industfy and Information Technology of the Peoples Republic of Giine ＞《電力二次系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)》（強(qiáng)制） 《電力信息系統(tǒng)安全檢查規(guī)范》（強(qiáng)制） ＞《電力行業(yè)信息安全水平評(píng)價(jià)指標(biāo)》（推薦） 4.全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC124 ） 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華

13、人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 2016年8月12日z《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安 全標(biāo)準(zhǔn)化工作的若干意見(jiàn)》（中網(wǎng)辦發(fā)文 公室 ? .厶 一 ■ ft —■ v * i 〔2016〕5號(hào)）發(fā)布，其中明確全國(guó)信息 安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在國(guó)家標(biāo)準(zhǔn)委的領(lǐng) 導(dǎo)下，對(duì)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)進(jìn)行統(tǒng)一技術(shù) 歸口。 國(guó)家標(biāo)準(zhǔn)化管理委員會(huì) ■ 中網(wǎng)辦發(fā)文〔2016） 5號(hào) 關(guān)加強(qiáng)國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化匸作的若干意見(jiàn) 各省■自治區(qū)、直轄市、新輕

14、生產(chǎn)建設(shè)兵團(tuán)黨委網(wǎng)終安全知 信息化領(lǐng)導(dǎo)小組?中央和國(guó)家機(jī)關(guān)各部委： 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化是網(wǎng)絡(luò)安全保肆怎系吳設(shè)仗車妾怒應(yīng) 部分?在構(gòu)建安全的網(wǎng)絡(luò)空閭、推動(dòng)網(wǎng)給治理體系變革方面 發(fā)揮*基礎(chǔ)性.規(guī)范性?引領(lǐng)性作用。近年來(lái)M網(wǎng)絡(luò)信 息技術(shù)快速發(fā)屢應(yīng)用?網(wǎng)絡(luò)安全形勢(shì)日趨復(fù)雜嚴(yán)境?對(duì)標(biāo)準(zhǔn) 化工作提出了更髙要求?為落實(shí)網(wǎng)絡(luò)程國(guó)戰(zhàn)駕?深化標(biāo)準(zhǔn) 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peo

15、ples Republic of Giine 主要內(nèi)容 ■: 一 工控安全標(biāo)準(zhǔn)化組織 ■ i二】 工控安全國(guó)外標(biāo)準(zhǔn) ■ 1三】 我國(guó)工控安全標(biāo)準(zhǔn)體系 ■ I四】 我國(guó)工控安全標(biāo)準(zhǔn) 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples R

16、epublic of Giine 國(guó)外工控安全標(biāo)準(zhǔn):IEC/TC65 cs評(píng)估 全標(biāo)準(zhǔn) ICS程序安 全標(biāo)準(zhǔn) lue」6o>d AUJnoas tC/TS624 心仆 ■術(shù)語(yǔ)、概 J述與模型 PE ISA-99.02.01 2007 e建立ICS ； ■安全程序. ISA-TR99.01.02 術(shù)語(yǔ)與縮 略語(yǔ) ISA-99.02.02 運(yùn)行ICS I l安全程序丿 ISA-99.01.03 系統(tǒng)安全 一致性矩 陣 .ICS中的in l批管理 ICS系統(tǒng)安 全標(biāo)準(zhǔn) IUSSAS ? -eoElpal 貶5R 624 433 一、 I

17、CS安全技 ISA-TR99.03.01 IEC <62443-3-3 fEC €2443-3-4 ISA-99.03.02 ISA-99.03.03 ISA-99.0X04 .安全保 ?障水平 系統(tǒng)安全 要求與水 「產(chǎn)品開(kāi)發(fā)J ICS組件安 全標(biāo)準(zhǔn) 一uouodEoo ■ -E2U-SI2 )07 In Progress Published Comment/Vote 中華人民共和國(guó)工業(yè)和信息化部 ? py Ministry

18、 of Industfy and Information Technology of the Peoples Republic of Oiina 標(biāo)準(zhǔn)名稱 內(nèi)容概要 特點(diǎn)分析 IEC 62443系列《工 業(yè)過(guò)程測(cè)量、控制和 自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信 息安全》 定義Y通用的、最膜求集以達(dá)到各級(jí)SALS安全保障需求 o可指導(dǎo)工控系統(tǒng)集成商、產(chǎn)品提供商和服務(wù)提供商對(duì)他們 的產(chǎn)品和服務(wù)進(jìn)行安全性評(píng)估。 基礎(chǔ)標(biāo)準(zhǔn)、策 略和規(guī)程標(biāo)準(zhǔn) ISO/IEC TR 27019 《基于I SO/I EC 27002的用于能源行 業(yè)過(guò)程控制系統(tǒng)的信 息安全管型旨南》 ISO/IEC TR 27019遵循了國(guó)際

19、標(biāo)準(zhǔn)ISO/IEC 27002《信息安 全控制實(shí)用規(guī)則》的框架。概括了信息安全方針、信息安全 組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通 信和操作管理、訪問(wèn)控制、信息系統(tǒng)獲取開(kāi)發(fā)與維護(hù)、信息 安全事件管理、業(yè)務(wù)連續(xù)性管理以及符合性等11個(gè)方面的安 全需求和控制實(shí)施建議。對(duì)于傳統(tǒng)的信息安全問(wèn)題，標(biāo)準(zhǔn)直 接引用ISO/IEC 27002的內(nèi)容；對(duì)于過(guò)程控制系統(tǒng)特有的信 息安全問(wèn)題,標(biāo)準(zhǔn)則給出了專用的安全控制實(shí)施指南 采用了 27002 的框架,內(nèi)容 全面；無(wú)分級(jí) 思想,且僅對(duì) 過(guò)程控制系統(tǒng) (PCS ) o NIST SP800-82《工 業(yè)控制系統(tǒng)(ICS)安全 指南》 概述了

20、 ICS和SCADA系統(tǒng)及其典型的系統(tǒng)拓?fù)?描述了 ICS與 IT系統(tǒng)之間的區(qū)別;標(biāo)識(shí)了典型威脅和脆弱性以及安全事件 ；給出了ICS安全建設(shè)中的網(wǎng)絡(luò)體系結(jié)構(gòu)；闡述了SP 800-53 中有關(guān)管理上、運(yùn)行上以及技術(shù)上的安全控制措施如何在 ICSWSCADA中進(jìn)行應(yīng)用。 專門應(yīng)對(duì)工控 系統(tǒng)特有的信 息安全問(wèn)題而 定； 需配合NIST SP800-53使 用。 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine

21、 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 主要內(nèi)容 一 工控安全標(biāo)準(zhǔn)化組織 二） 工控安全國(guó)外標(biāo)準(zhǔn) ■:三 我國(guó)工控安全標(biāo)準(zhǔn)體系 ■:四 我國(guó)工控安全標(biāo)準(zhǔn) 我國(guó)工控安全標(biāo)準(zhǔn)體系 基于《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，硏制如下標(biāo)準(zhǔn)體系 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求 工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)測(cè)控設(shè)備通用安全功能要求 業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)安全技術(shù)要求 及測(cè)試評(píng)價(jià)方法 工控系統(tǒng)產(chǎn)品信息安全

22、第3部分安全保障要求 工控系統(tǒng)產(chǎn)品信息安全第2部分安全功能要求 工業(yè)控制系統(tǒng)漏洞檢測(cè)技術(shù)要求 工業(yè)控制系統(tǒng)信息安全要求 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求 信息安全技術(shù)工業(yè) 控制系統(tǒng)安全技術(shù)基 本要求 信息安全技術(shù)工業(yè) 控制系統(tǒng)安全管理基 本要求 基技財(cái) 防護(hù)技術(shù)產(chǎn)品要求 信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南 工控信息安全 標(biāo)準(zhǔn)體系 技術(shù)產(chǎn)品安全要求 基本雄要求 發(fā)布/有計(jì)劃號(hào)標(biāo)準(zhǔn) 在研標(biāo)準(zhǔn) 待制定標(biāo)準(zhǔn) 安全實(shí)施 測(cè) 信息安全技術(shù)工業(yè)控制系統(tǒng)安全檢查指南 信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)要求 與

23、測(cè)評(píng)方法 工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評(píng)估準(zhǔn)則 工業(yè)工控制系統(tǒng)信息安全第一部分評(píng)估規(guī)范 工業(yè)控制系統(tǒng)安全防護(hù)成熟度模型 信息安全技術(shù) 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南 工業(yè)信息安全管理，工業(yè)信息 安全檢查，安全防護(hù)體系建設(shè) 可參考。 針對(duì)工控系統(tǒng),進(jìn)行安全定級(jí)、提出安全要求、落實(shí)安全防護(hù)措施、進(jìn)行安全能力評(píng)估, 以循環(huán)上升的方式提升工控系統(tǒng)安全防護(hù)能力。 ( 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industry and Infomidtion Technology of the Peoples Republk of Oiine 序

24、號(hào) 標(biāo)準(zhǔn)名稱 所處狀態(tài) 立項(xiàng)時(shí)間 1 《信息安全技術(shù)工雌制系統(tǒng)安全控制應(yīng)用指南》 已發(fā)布 2009 2 《信息安今支術(shù)工雌制系統(tǒng)安全管理基本要求》 報(bào)扌憔 2012 3 《信息安今支術(shù)工雌制系統(tǒng)測(cè)薛端安全要求》 報(bào)扌懶 2012 4 《信息安今支術(shù)工雌制系統(tǒng)安全檢查｝旨南》 征求意見(jiàn)稿 2012 5 《信息安全技術(shù)工雌制系統(tǒng)安全分級(jí)扌旨南》 報(bào)扌懶 2012 6 《信息系統(tǒng)安全等級(jí)保護(hù)基本要求第5部分：工業(yè)控制系統(tǒng)》 征求意見(jiàn)稿 2013 7 《工雌制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》 報(bào)扌慷 2014 8 《佶息安今支術(shù)工雌制系統(tǒng)安全

25、防護(hù)技術(shù)要求和測(cè)試評(píng)價(jià)方法》 征求意見(jiàn)稿 2012 9 《信息安全技術(shù)工雌制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安今支術(shù)要求》 征求意見(jiàn)稿 2014 10 《工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》 征求意見(jiàn)稿 2014 11 《佶息安全技術(shù)工雌制系統(tǒng)網(wǎng)絡(luò)監(jiān)測(cè)安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》 征求意見(jiàn)稿 2015 12 《佶息安今支術(shù)工業(yè)控制系統(tǒng)漏洞檢測(cè)技術(shù)要求》 征求意見(jiàn)稿 2015 13 《佶息安全技術(shù)工雌制網(wǎng)絡(luò)安全隔罔與佶息父換系統(tǒng)安今支術(shù)要求》 征求意見(jiàn)稿 2015 14 《工雌制系統(tǒng)產(chǎn)品信息安全評(píng)估準(zhǔn)則第1部分簡(jiǎn)介和一般模型》 草案 2015 15 《工雌制系

26、統(tǒng)產(chǎn)品信息安全評(píng)估準(zhǔn)則第2部分安全功能要求》 2015 16 《工雌制系統(tǒng)產(chǎn)品信息安全評(píng)估準(zhǔn)則第3部分安全保障要求》 2015 主要內(nèi)容 ■ I -] 工控安全標(biāo)準(zhǔn)化組織 ■ | 二 i 工控安全國(guó)外標(biāo)準(zhǔn) ■ =三】 ;我國(guó)工控安全標(biāo)準(zhǔn)體系 ■:四 我國(guó)工控安全標(biāo)準(zhǔn) 中華人民共和國(guó)工業(yè)和信息化部 ■ py Ministry of Industvy and Information Technology of the Peoples Republic of 6ine ＞分級(jí)思路 工業(yè)B制M統(tǒng) T安全威脅等級(jí) Ta 0

27、 受侵害潛在影響程度 I Nsl/ I 安全風(fēng)險(xiǎn)I ；影響等級(jí)| / Sa S 重要性程度 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 重要性程度 特征值 影響程度特= 征值 牯息安全威脅等級(jí) 1 2 3 4 5 1 : 第一級(jí) 第一級(jí) 第一級(jí) 第二級(jí) 第三級(jí) 1 2 第一級(jí)

28、 第一級(jí) 第二級(jí) 第二級(jí) 第三級(jí) 1 3 第一級(jí) 第二級(jí) 第二級(jí) 第二級(jí) 第三級(jí) 1 4 第二級(jí) 第二級(jí) 第二級(jí) 第三級(jí) 第三級(jí) 1 5 第三級(jí) 第三級(jí) 第三級(jí) 第三級(jí) 第四級(jí) 2 1 第一級(jí) 第一級(jí) 第二級(jí) 第二級(jí) 第三級(jí) 2 2 第一級(jí) 第二級(jí) 第二級(jí) 第二級(jí) 第三級(jí) 2 3 第二級(jí) 第二級(jí) 第二級(jí) 第三級(jí) 第三級(jí) 2 4 第二級(jí) 第二級(jí) 第三級(jí) 第三級(jí) 第三級(jí) 2 5 第三級(jí) 第三級(jí) 第三級(jí) 第三級(jí) 第四級(jí) 3 1 第一級(jí) 第二級(jí) 第二級(jí) 第二級(jí) 第三級(jí)

29、 3 2 第二級(jí) 第二級(jí) 第二級(jí) 第三級(jí) 第三級(jí) 3 3 第二級(jí) 第二級(jí) 第三級(jí) 第三級(jí) 第三級(jí) 3 4 第二級(jí) 第三級(jí) 第三級(jí) 第三級(jí) 第四級(jí) 3 5 第三級(jí) 第三級(jí) 第三級(jí) 第四級(jí) 第四級(jí) 4 1 第二級(jí) 第二級(jí) 第二級(jí) 第三級(jí) 第三級(jí) 4 2 第二級(jí) 第二級(jí) 第三級(jí) 第三級(jí) 第三級(jí) 4 3 第二級(jí) 第三級(jí) 第三級(jí) 第三級(jí) 第四級(jí) 4 4 第三級(jí) 第三級(jí) 第三級(jí) 第四級(jí) 第四級(jí) 4 5 第三級(jí) 第三級(jí) 第四級(jí) 第四級(jí) 第四級(jí) 5 1 第三級(jí) 第三級(jí) 第三級(jí)

30、 第三級(jí) 第四級(jí) 5 2 第三級(jí) 第三級(jí) 第三級(jí) 第三級(jí) 第四級(jí) 5 3 第三級(jí) 第三級(jí) 第三級(jí) 第四級(jí) 第四級(jí) 5 4 第三級(jí) 第三級(jí) 第四級(jí) 第四級(jí) 第四級(jí) 5 5 第四級(jí) 第四級(jí) 第四級(jí) 第四級(jí) 第四級(jí) 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Repu

31、blic of Giine 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南 前言與引言 范圍.規(guī)范性引用文件. 術(shù)語(yǔ)和定義.縮略語(yǔ) 安全控制概述.基線及其設(shè)計(jì). 選擇與規(guī)約.選擇過(guò)程應(yīng)用 工業(yè)控制系統(tǒng)面臨的安全風(fēng)險(xiǎn) 工業(yè)控制系統(tǒng)安全控制列表 工業(yè)控制系統(tǒng)安全控制基線 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Repu

32、blic of Giine 安全控制 安全控制是應(yīng)用于組織工M空制系統(tǒng)中管理、運(yùn)行和技術(shù)上的保護(hù)措施和對(duì)策, 以保護(hù)工附空制系統(tǒng)及其信息的保密性、完整性和可用性等。應(yīng)用這些控制的目 的是減少脆弱性或影響，抵御工M空制系統(tǒng)所面臨的安全威脅,從而緩解工業(yè)控 制系統(tǒng)的安全風(fēng)險(xiǎn),以滿足利益相關(guān)者的安全需要。 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 1 安全控制選擇與規(guī)約 工業(yè)控制系統(tǒng) 加固后 初始的安全

33、 已裁剪的安 工業(yè)控制糸統(tǒng) 協(xié)調(diào)一致 補(bǔ)充控制: 控制裁剪: ［全控制基線〔 （高、中、 控制基線 （高、中、 系統(tǒng)安全定級(jí) 裁剪前 ?界定范ffl ?補(bǔ)償控制 ?參數(shù)化 裁剪后 ?風(fēng)險(xiǎn)評(píng)估 ?補(bǔ)充已裁 剪基線控 制 的安全控 制集 （高、中、 低） 風(fēng)險(xiǎn)評(píng)估后 實(shí)施安全控制 建立安全控制決定的文檔 理由：工業(yè)控制系統(tǒng)協(xié)調(diào)一致的安全控制集為組織運(yùn)行、資 產(chǎn)、個(gè)體、其它組織和國(guó)家提供準(zhǔn)確的保護(hù) >針對(duì)工業(yè)控制系統(tǒng)存在的脆弱性 < 分析面臨的威脅 < 評(píng)估風(fēng)險(xiǎn)發(fā)生的可 能性以及風(fēng)險(xiǎn)發(fā)生可能造成的影響和危害,制定風(fēng)險(xiǎn)處置原則和處置計(jì) 劃,將工

34、業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)控制在可接受的水平。 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 附錄A工業(yè)控制系統(tǒng)面臨的安全風(fēng)險(xiǎn) 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Informat

35、ion Technology of the Peoples Republic of Giine 工業(yè)控制系纟 傳統(tǒng)信息系統(tǒng)的 性能需求 可用性需求 風(fēng)險(xiǎn)管理需求 安全焦點(diǎn) 物理交互 時(shí)間確定性響應(yīng) 系統(tǒng)運(yùn)行 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples

36、Republic of Giine 工業(yè)控制系統(tǒng) 面臨的威脅 內(nèi)部攻擊者 虐尸網(wǎng)絡(luò)的操控者 惡意軟件的作者 恐怖分子 工業(yè)間諜 犯罪組織 拒絕服務(wù)的影響 加密傳輸 密鑰管理 信息系統(tǒng) 安全威脅與防護(hù)措施 對(duì)工控系統(tǒng)的影響 公網(wǎng)聯(lián)接 無(wú)線通信的影響 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine

37、 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 系統(tǒng)、 與服務(wù) 、 ―＜維護(hù) 介質(zhì) 保護(hù) nr x f評(píng)估 風(fēng)險(xiǎn) 評(píng)估 訪問(wèn) 控制 程序 與鑒另! /人員 k安全/系統(tǒng) 與通信 Sir 與問(wèn)責(zé) 管理1 I I 技術(shù)I I 運(yùn)維I 中華人民共和國(guó)工業(yè)和信息化部 Min

38、istry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 本標(biāo)準(zhǔn)從管理、運(yùn)維、技術(shù)三個(gè)維度提出了 18個(gè)族,186項(xiàng)安全控制措施,范 圍涵蓋訪問(wèn)控制、安全評(píng)估、系統(tǒng)與服務(wù)獲取、風(fēng)險(xiǎn)評(píng)估、運(yùn)維等。 附錄c工業(yè)控制系統(tǒng)安全控制基線 表C. 1安全控制基線 編號(hào) 控制

39、名 . 級(jí)別 一級(jí) \ 二級(jí) 三級(jí) 訪問(wèn)揑翎(AC) AC-1 訪問(wèn)控材第賂和規(guī)程 AC-1 AC-1 AC-1 AC-2 帙尸管理 AC-2 AC-2 a)b)c)d) AC-2 a)b)c)d) AC-3 暹舸訪問(wèn)揑的 AC-3 AC-3 b) AC-3 b) AC-4 信J6流強(qiáng)創(chuàng)訪問(wèn)輕啊 一一 AC-4 AC-4 AC-5 職貢分離 一一 AC-5 AO5 AC-6 最巾授權(quán) 一一 AC-6 a)b)c)e)f) AC-6 a)b)c)d)e)f) AC

40、-7 失敗登錄輕創(chuàng) AC-7 AC-7 AC-7 AC-8 系銃使用提示 一一 AC-8 AC-8 AC-9 以前訪問(wèn)提示 — ― AC-9 AC-10 并發(fā)會(huì)話矩制 一一 ― AC-10 AC-11 會(huì)話鎖定 一一 AC-11 a) AC-11 a) AC-12 金話絡(luò)止 一一 AC-12 AC-12 AC-13 未標(biāo)識(shí)鑒別的評(píng)可行為 一一 AC-13 AC-13 AC-14 述程訪何 AC-14 AC-14 a)b)c)d) AC-14 a)b)c)

41、d) AC-15 無(wú)線訪問(wèn) AC-15 AC-15 a) AC-15 a) b)c)d)e) AC-16 移動(dòng)設(shè)各的訪問(wèn)揑勻 AC-16 AC-16d：ie)f) AC-16 a)b)c)d)e)f)g) ACJ7 外部系銃的使用 AC-17 AC-17 a)b) AC?仃 a)b) AC-18 信J6共宇 ― AC-18 AC-18 根據(jù)工M空制系統(tǒng)在國(guó)家安全、 經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要 程度，遭到破壞后對(duì)國(guó)家安全、 社會(huì)秩序、公共利益以及公民、 法人和其他組織的合法權(quán)益的 危害程度等,結(jié)合信息安全等 級(jí)保護(hù)標(biāo)準(zhǔn)

42、劃分及實(shí)施效果分 析，結(jié)合工業(yè)扌空制系統(tǒng)的基本 特征(參見(jiàn)附錄A )，結(jié)合以 往諸多工業(yè)扌空制系統(tǒng)的安全實(shí) 踐，將附錄B中適用于工業(yè)控 制系統(tǒng)的安全扌空制分為三個(gè)級(jí) 別：一級(jí)、二級(jí)和三級(jí)，每個(gè) 級(jí)別對(duì)應(yīng)安全扌空制如表C.1。 安全扌空制基線及其設(shè)計(jì)考慮， 以及基線的選擇和裁剪指導(dǎo)見(jiàn) 本標(biāo)準(zhǔn)正文內(nèi)容。 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估流程 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國(guó)工業(yè)和信息化部 Mini

43、stry of Industfy and Information Technology of the Peoples Republic of Giine 工業(yè)控制系統(tǒng)安全檢查指南 中華人民共和國(guó)工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 工業(yè)控制系統(tǒng)信息安全防護(hù)妾求與測(cè)評(píng)方法 本標(biāo)準(zhǔn)針對(duì)基于現(xiàn)代數(shù)字

44、技術(shù)、計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的工業(yè)控制系統(tǒng)信息安 全提出了防護(hù)技術(shù)要求及測(cè)試評(píng)價(jià)辦法，適用于工業(yè)控制系統(tǒng)信息安全的重點(diǎn)領(lǐng)域 包括（核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞 紐、環(huán)境保護(hù)、民航、鐵路、城市軌道交通、城市供水供氣供熱）以及其他與國(guó)計(jì) 民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統(tǒng)信息安全工作。 工控安全防護(hù)技術(shù)要求 工控安全防護(hù)測(cè)評(píng)方法 用戶、設(shè)備鑒1」 測(cè)試評(píng)價(jià)流程分為四個(gè)基本測(cè)評(píng)活動(dòng)： A遠(yuǎn)程通信保護(hù) ?準(zhǔn)備活動(dòng) A通彳言網(wǎng)絡(luò)分隔與互聯(lián) ?方案編制活動(dòng) A訪問(wèn)控制 ?實(shí)施活動(dòng) A職責(zé)分割 ?分析及報(bào)告編制活動(dòng) A審計(jì)和問(wèn)責(zé) A系統(tǒng)和信息完

45、整性 測(cè)評(píng)方法： A資源可用性 ?基未方法 物理和環(huán)境保護(hù) ?數(shù)據(jù)采集范圍要求 》安傘監(jiān)悴 ?采集方式要求 ?分析方式  工業(yè)控制系統(tǒng)信息安全技術(shù)產(chǎn)品要求 序號(hào) 標(biāo)準(zhǔn)名稱 所處狀態(tài) 立項(xiàng)時(shí)間 1 《信息安全技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求》 征求意 2014 2 《工業(yè)控制系統(tǒng)專用防火埴技術(shù)要求》 征求意見(jiàn)稿 2014 3 《信息安全技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)監(jiān)測(cè)安全技術(shù)要求和測(cè)試評(píng)價(jià) 方法》 征求意 2015 4 《信息安全技術(shù)工業(yè)控制系統(tǒng)漏洞檢測(cè)技術(shù)要求》 征求意見(jiàn)稿 2015 5 《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù) 要求》 征求意 2015 6 《工業(yè)控制系統(tǒng)產(chǎn)品信息安全評(píng)估準(zhǔn)則第1部分簡(jiǎn)介和F模型》 草案 2015 7 《工業(yè)控制系統(tǒng)產(chǎn)品信息安全評(píng)估準(zhǔn)則第2部分安全功能要求》 草案 2015 8 《工業(yè)控制系統(tǒng)產(chǎn)品信息安全評(píng)估準(zhǔn)則第3部分安全保障要求》 草案 2015