工业控制系统信息安全标准.pdf-道客多多

资源描述

1、主要内容工控安全标准化组织工控安全国外标准我国工控安全标准体系我国工控安全标准国际工控安全标准化组织： 1. 国际电工委员会（IEC，International Electro Technical Commission）2. 国际自动化协会（ISA，the International Society of Automation）3. 美国国家标准技术研究院（ NIST ， National Institute of Standards and Technology ）4. 德国标准化学会（DIN， Deutsches Institut fr Normung ）国际工控安全标准化组织：

2、1. 国际电工委员会（IEC，International Electro Technical Commission） IEC是国际电工委员会（International ElectrotechnicalCommission）的简称，成立于1906年，它是世界上成立最早的国际性电工标准化机构，负责有关电气工程和电子工程领域中的国际标准化工作。总部设在瑞士日内瓦。IEC的宗旨是，促进电气、电子工程领域中标准化及有关问题的国际合作，增进国际间的相互了解。国际工控安全标准化组织： 2. 国际自动化协会（ISA，the International Society of Automation）其前身

3、是美国仪器、系统和自动化协会，是一个非盈利技术协会，服务于从事、研究、学习工业自动化及其相关领域（如现场仪表等）的工程师、技术员等人士，是世界上最重要的自动化标准订制与工业自动化人才培养专业组织之一。目前，ISA的主要任务是制定和完善标准、职业资格认证、提供教育和培训、出版书籍和论文、并且主办自动化专业领域最大型的会议和展览。ISA为它的成员提供各种渠道来获取技术信息、专业发展资源和与其他自动化专家交流的机会。除了这些之外，ISA会员还能有更多机会得到自动化领域内众多专家的认可。国际工控安全标准化组织： 3. 美国国家标准技术研究院（ NIST ， National Institute of

4、 Standards and Technology ） NIST是一个非监管性质的测量技术和标准国家级研究机构，其中信息技术实验室的计算机安全研究室是信息安全标准的主要制定者。2002年，美国政府在联邦信息安全管理法案（FISMA）以及电子政府法案中再次重申了NIST的职责是开发信息安全标准（联邦信息处理标准,即FIPS系列）。国际工控安全标准化组织： 4. 德国标准化学会（DIN， Deutsches Institut fr Normung ）德国最大的具有广泛代表性的公益性标准化民间机构。成立于1917年。总部设在首都柏林。通过有关方面的共同协作，为了公众的利益，制定和发布德国标准及其

5、他标准化工作成果并促进其应用，以有助于经济、技术、科学、管理和公共事务方面的合理化、质量保证、安全和相互理解。国内工控安全标准化组织：1. 全国信息安全标准化技术委员会（TC260）信息安全技术工业控制系统安全控制应用指南2. 全国电力系统管理及其信息交换标准化技术委员会（TC 82）电力系统管理及其信息交换数据和通信安全 3. 全国电力监管标准化技术委员会（TC296）电力二次系统安全防护标准（强制）电力信息系统安全检查规范（强制）电力行业信息安全水平评价指标（推荐）4. 全国工业过程测量和控制标准化技术委员会（TC124） 2016年8月12日，关于加强国家网络安全标准化工作的

6、若干意见（中网办发文20165号）发布，其中明确全国信息安全标准化技术委员会在国家标准委的领导下，对网络安全国家标准进行统一技术归口。主要内容工控安全国外标准工控安全标准化组织我国工控安全标准体系我国工控安全标准国外工控安全标准： IEC/TC65 ICS组件安全标准ICS系统安全标准ICS程序安全标准ICS评估安全标准嵌入式设备主设备网络设备应用数据与功能ICS安全技术安全保障水平系统安全要求与水平产品开发要求建立 ICS安全程序运行 ICS安全程序 ICS中

7、的批管理术语、概述与模型术语与缩略语系统安全一致性矩阵标准名称内容概要特点分析IEC 62443系列工业过程测量、控制和自动化网络与系统信息安全定义一个通用的、最小要求集以达到各级SALS安全保障需求。可指导工控系统集成商、产品提供商和服务提供商对他们的产品和服务进行安全性评估。基础标准、策略和规程标准ISO/IEC TR 27019 基于 I S O / I E C 27002的用于能源行业过程控制系统的信息安全管理指南 ISO/IEC TR 27019遵循了国际标准ISO/IEC 27002信息安全控制实用规则的框架。概括了信息安全方针

8、、信息安全组织结构、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发与维护、信息安全事件管理、业务连续性管理以及符合性等11个方面的安全需求和控制实施建议。对于传统的信息安全问题，标准直接引用ISO/IEC 27002的内容；对于过程控制系统特有的信息安全问题，标准则给出了专用的安全控制实施指南采用了27002的框架，内容全面；无分级思想，且仅对过程控制系统（PCS）。NIST SP800-82工业控制系统(ICS)安全指南概述了ICS和SCADA系统及其典型的系统拓扑;描述了ICS与IT系统之间的区别；标识了典型威胁和脆弱性以及安全事件；给出了ICS安

9、全建设中的网络体系结构；阐述了SP 800-53中有关管理上、运行上以及技术上的安全控制措施如何在ICS和SCADA中进行应用。专门应对工控系统特有的信息安全问题而定；需配合NIST SP800-53使用。主要内容我国工控安全标准体系工控安全标准化组织工控安全国外标准我国工控安全标准我国工控安全标准体系基于工业控制系统信息安全防护指南，研制如下标准体系针对工控系统，进行安全定级、提出安全要求、落实安全防护措施、进行安全能力评估，以循环上升的方式提升工控系统安全防护能力。基本安全要求技术产品安全要求序号标准名称所处状态立项时间1 信息安全技术工业控制系统安全控制应用指南已发布 2

10、0092 信息安全技术工业控制系统安全管理基本要求报批稿 20123 信息安全技术工业控制系统测控终端安全要求报批稿 20124 信息安全技术工业控制系统安全检查指南征求意见稿 20125 信息安全技术工业控制系统安全分级指南报批稿 20126 信息系统安全等级保护基本要求第5部分：工业控制系统征求意见稿 20137 工业控制系统风险评估实施指南报批稿 20148 信息安全技术工业控制系统安全防护技术要求和测试评价方法征求意见稿 20129 信息安全技术工业控制系统网络审计产品安全技术要求征求意见稿 201410工业控制系统专用防火墙技术要求征求意见稿 2014

11、 11信息安全技术工业控制系统网络监测安全技术要求和测试评价方法征求意见稿 201512信息安全技术工业控制系统漏洞检测技术要求征求意见稿 201513信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求征求意见稿 201514工业控制系统产品信息安全评估准则第1部分简介和一般模型草案 201515工业控制系统产品信息安全评估准则第2部分安全功能要求草案 201516工业控制系统产品信息安全评估准则第3部分安全保障要求草案 2015主要内容我国工控安全标准工控安全标准化组织工控安全国外标准我国工控安全标准体系分级思路工业控制系统受侵害后

12、的潜在影响 (Ia)工业控制系统重要性 (Sa)工业控制系统需抵御的信息安全威胁 (Ta)第一级第二级第三级第四级1.732 NSL 3.464 5.196 6.928 8.66重要性程度特征值影响程度特征值信息安全威胁等级1 2 3 4 51 1 第一级第一级第一级第二级第三级1 2 第一级第一级第二级第二级第三级1 3 第一级第二级第二级第二级第三级1 4 第二级第二级第二级第

13、三级第三级1 5 第三级第三级第三级第三级第四级2 1 第一级第一级第二级第二级第三级2 2 第一级第二级第二级第二级第三级2 3 第二级第二级第二级第三级第三级2 4 第二级第二级第三级第三级第三级2 5 第三级第三级第三级第三级第四级3 1 第一级第二级第二级第二级第三级3 2 第二级第二级第二级第三级第三级3 3 第二级第二级第三级第三级

14、第三级3 4 第二级第三级第三级第三级第四级3 5 第三级第三级第三级第四级第四级4 1 第二级第二级第二级第三级第三级4 2 第二级第二级第三级第三级第三级4 3 第二级第三级第三级第三级第四级4 4 第三级第三级第三级第四级第四级4 5 第三级第三级第四级第四级第四级5 1 第三级第三级第三级第三级第四级5 2 第三级第三级第三级第三级第

15、四级5 3 第三级第三级第三级第四级第四级5 4 第三级第三级第四级第四级第四级5 5 第四级第四级第四级第四级第四级Sa=1 Ia=1Ta=1 Sa=2 Ia=2Ta=2 Sa=3 Ia=3Ta=3 Sa=4 Ia=4Ta=4 Sa=5 Ia=5Ta=5CONTENTS目录前言与引言12345 范围、规范性引用文件、术语和定义、缩略语安全控制概述、基线及其设计、选择与规约、选择过程应用工业控制系统面临的安全风险工业控制系统安全控制列表6 工业控制系统安全控制基线工业控制系统安全控制应用指南安全控制安全控制

16、是应用于组织工业控制系统中管理、运行和技术上的保护措施和对策，以保护工业控制系统及其信息的保密性、完整性和可用性等。应用这些控制的目的是减少脆弱性或影响，抵御工业控制系统所面临的安全威胁，从而缓解工业控制系统的安全风险，以满足利益相关者的安全需要。安全控制选择与规约针对工业控制系统存在的脆弱性，分析面临的威胁，评估风险发生的可能性以及风险发生可能造成的影响和危害，制定风险处置原则和处置计划，将工业控制系统安全风险控制在可接受的水平。附录A 工业控制系统面临的安全风险工业控制系统与传统信息系统的对比信息系统安全威胁与防护措施对工控系统的影响工业控制系统面临的威胁工业控制系统脆弱性分析性能需

17、求可用性需求风险管理需求安全焦点物理交互时间确定性响应系统运行. 拒绝服务的影响加密传输密钥管理公网联接无线通信的影响内部攻击者黑客僵尸网络的操控者恶意软件的作者恐怖分子工业间谍犯罪组织. 策略和规程的脆弱性网络脆弱性平台脆弱性教育培训配置管理应急计划事件响应维护介质保护安全评估与授权规划人员安全物理与环境安全标识与鉴别程序管理系统与信息完整性系统与通信保护审计与问责访问控制风险评估系统与服务获取附录B 工业控制系统安全控制本标准从管理、运维、技术三个维度提出了18个族，186项安全控制措施，范围涵盖访问控制、安全评估、系统与服务获取、风险评估、运维等。管理技术运维附录 C 工

18、业控制系统安全控制基线根据工业控制系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，结合信息安全等级保护标准划分及实施效果分析，结合工业控制系统的基本特征（参见附录A），结合以往诸多工业控制系统的安全实践，将附录B中适用于工业控制系统的安全控制分为三个级别：一级、二级和三级，每个级别对应安全控制如表C.1。安全控制基线及其设计考虑，以及基线的选择和裁剪指导见本标准正文内容。工业控制系统风险评估实施指南工业控制系统风险评估流程工业控制系统风险评估实施分为3个阶段，包括：风险评估准备阶段、风

19、险要素评估阶段、综合分析阶段。根据工业控制系统风险评估的不同阶段，评估方制定相应的工作计划，保证评估工作的顺利进行。本标准规定了工业控制系统风险评估实施的过程和方法。本标准适用于指导第三方安全检测评估机构对工业控制系统的风险评估实施工作，也可供工业控制系统业主单位进行自评估时参考。工业控制系统安全检查指南工业控制系统信息安全检查指南研究框架工业控制系统信息安全防护要求与测评方法本标准针对基于现代数字技术、计算机技术、网络技术的工业控制系统信息安全提出了防护技术要求及测试评价办法，适用于工业控制系统信息安全的重点领域包括（核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环

20、境保护、民航、铁路、城市轨道交通、城市供水供气供热）以及其他与国计民生紧密相关领域的工业控制系统信息安全工作。工控安全防护技术要求工控安全防护测评方法用户、设备鉴别远程通信保护通信网络分隔与互联访问控制职责分割审计和问责系统和信息完整性资源可用性物理和环境保护安全监控维护测试评价流程分为四个基本测评活动：l准备活动l方案编制活动l实施活动l分析及报告编制活动测评方法：l基本方法l数据采集范围要求l采集方式要求l分析方式工业控制系统信息安全技术产品要求序号标准名称所处状态立项时间1 信息安全技术工业控制系统网络审计产品安全技术要求征求意见稿 20142 工业控制系统专用防火墙技术要求征求意见稿 2014 3 信息安全技术工业控制系统网络监测安全技术要求和测试评价方法征求意见稿 20154 信息安全技术工业控制系统漏洞检测技术要求征求意见稿 20155 信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求征求意见稿 20156 工业控制系统产品信息安全评估准则第1部分简介和一般模型草案 20157 工业控制系统产品信息安全评估准则第2部分安全功能要求草案 20158 工业控制系统产品信息安全评估准则第3部分安全保障要求草案 2015

展开阅读全文