收藏
下载资源

《信息安全技术-工业控制系统安全控制应用指南》编制说明

上传人:206****923 文档编号:90114382 上传时间:2019-06-08 格式:DOC 页数:10 大小:243KB
返回 下载 相关 举报
《信息安全技术-工业控制系统安全控制应用指南》编制说明_第1页
第1页 / 共10页
《信息安全技术-工业控制系统安全控制应用指南》编制说明_第2页
第2页 / 共10页
《信息安全技术-工业控制系统安全控制应用指南》编制说明_第3页
第3页 / 共10页
《信息安全技术-工业控制系统安全控制应用指南》编制说明_第4页
第4页 / 共10页
《信息安全技术-工业控制系统安全控制应用指南》编制说明_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《《信息安全技术-工业控制系统安全控制应用指南》编制说明》由会员分享,可在线阅读,更多相关《《信息安全技术-工业控制系统安全控制应用指南》编制说明(10页珍藏版)》请在金锄头文库上搜索。

1、国家标准信息安全技术 工业控制系统安全控制应用指南(征求意见稿)编制说明一、 工作简况1.1 任务来源信息安全技术 工业控制系统安全控制应用指南是国家标准化管理委员会 2010年下达的信息安全国家标准制定项目,国标计划号为:20100384-T-469,原名称为“工控SCADA系统安全控制指南”,由国家信息技术安全研究中心承担,参与单位包括国家信息技术安全研究中心、国家能源局(原电监会)信息中心、中国电力科学研究院、无锡市同威科技有限公司等单位。2013年8月标准草案专家评审会议上专家建议将标准修改为“工业控制系统安全控制应用指南”1.2 主要工作过程1、2010年2月,联系各个参与单位,进行

2、任务分工和任务组织;研究现有国内外工控安全相关标准,分析各自特点,学习借鉴,包括IEC 62443、NIST SP 800-82、NIST SP 800-53 ISO/IEC 27019等标准。2、2010年2-6月,项目组先后到北京地区拥有SCADA系统的七个行业进行了实地调研并与各行业从事SCADA系统管理和维护的人员进行了座谈;并形成各工业控制系统的调研报告。3、2010年6月,项目组组织召开了行业专家讨论会,听取了来自石油、电力、供水、燃气、铁路、城市轨道交通等行业专家对标准草案的意见。4、2010年7月,根据任务书的要求,规范编制小组开展考察调研和资料搜集工作,按照需求分析整理出安全

3、漏洞分类规范的框架结构。5、2010年7月8日,召集了信息安全标准专家征求意见会,会上许多专家从标准中术语的定义、标准的内容格式上提出了许多宝贵意见。会后,项目组对专家意见进行了认真分析和研究,在此基础上形成了标准草案。6、2010年12月初,召集第二次行业专家征求意见会,进一步对标准制定内容进行讨论,为制标做准备。7、2011年7月,讨论确定编制思路和标准框架,按照分工开始各部分编制工作,重点是控制措施部分。8、2011年11月,项目组人员参加工控SCADA系统信息安全研讨会,听取与会专家关于工控SCADA系统信息安全方面的意见和见解,丰富项目组人员工控SCADA系统安全视野。9、2011年

4、7月-12月,项目组人员集中分析研究了国外工业控制系统相关标准的基础上,结合领域专家意见和建议,形成了工控SCADA系统安全控制指南草稿。10、2012年7月,在安标委年度标准检查会议上,向安标委专家介绍了工控SCADA系统安全控制指南标准成果,听取了专家的意见和建议。11、2012年7月,邀请安标委专家王立福教授对标准编写提供意见与建议,根据王教授的建议将标准调整为工控SCADA系统安全控制应用指南和工控SCADA系统安全控制指南。根据王教授意见课题组将确定将标准调整为SCADA系统安全控制应用指南,并进行标准内容调整。12、2012年7月-9月,根据安标委专家的意见和建议,修改完善标准草案

5、,并邀请了部分安标委专家给予项目组专门的指导,形成了工控SCADA系统安全控制应用指南草稿。13、2012年9月,项目组参加了“工业控制系统标准研讨会”,听取了TC260、TC124等不同专家关于工控系统安全标准的观点和意见,在汲取各位专家的意见和观点的基础上,进一步改进完善了工控SCADA系统安全控制应用指南草稿,并形成1.1版本。14、2012年9月-2013年4月,根据专家的意见,对国内外的工业控制系统安全标准进行研究,尤其是研究美国工业控制安全标准,包括NIST SP800-82、SP800-53,美国天然气工业协会(AGA)AGA 12系列标准,ISA 99系列标准,北美电力可控性公

6、司(NERC)CIP系列标准。并多次召开内部讨论会,对标准草案内容进行讨论,形成了工控SCADA系统安全控制应用指南草案1.2版本。15、2013年8月16日,全国信息安全标准化技术委员会WG5工作组在北京组织召开了国家标准SCADA系统安全控制指南(草案)专家评审会。专家听取了编制组关于标准编制情况介绍和标准说明,审阅了相关文档,经质询讨论,形成以下意见:编制组在广泛调研的基础上,参考了国内外工业控制系统安全的有关标准,多次征求专家意见,广泛吸取了相关行业、企业的建议,进行了反复修改、完善;该标准概述了工业控制系统一般性安全问题,存在的威胁和脆弱性,给出了工业控制系统安全控制应用指南,对工业

7、控制系统安全建设具有指导意义;该标准整体架构清晰、合理,编写格式基本符合GB/T 1.1-2009要求;专家组建议该标准名称改为信息安全技术 工业控制系统安全控制应用指南。专家组同意通过评审。建议与相关标准编制单位进行协调,修改完善后,尽快形成征求意见稿。16、2013年12月-2014年5月,标准编制小组在积极采纳专家意见的基础上,对规范内容进行修改(删除、增加),调整了标准名称为:信息安全技术 工业控制系统安全控制应用指南。17、2014年11月,信安标委WG5工作组组织成员单位对信息安全技术 工业控制系统安全控制应用指南标准草案稿进行了投票表决,通过了本标准。投票表决中相关单位和专家提出

8、了一些修改建议和意见,标准编制组对意见进行了逐条分析和理解,形成标准征求意见稿及相关文件。二、 编制原则和主要内容2.1 编制原则本标准的研究与编制工作遵循以下原则:(1)通用性原则立足于当前信息化技术水平,对国内外知名安全漏洞库的分类方法进行总结、归纳、简化,同时参考吸纳国外相关领域的先进成果并融入标准。(2)可操作性和实用性原则标准规范是对实际工作成果的总结与提升,最终还需要用于实践中,并经得起实践的检验,做到可操作、可用与实用。(3)简化原则根据规范化对象的结构、形式、规则等筛选提炼,经过剔除、替换,保持整体结构合理且维持原意和功能不变。本标准的编制的内容制定遵循以下原则:(A)唯一性原

9、则:安全漏洞仅在某一类别中,其所属类别不依赖人为因素。(B)互斥性原则:类别没有重叠,安全漏洞必属于某一分类。(C)扩展性原则:允许根据实际情况扩展安全漏洞的类别。2.2 主要内容本标准的研究目标及内容是对工业控制系统安全控制应用的方法、步骤、范围、监控等进行研究,研究工业控制系统的技术架构特点、存在的安全漏洞和面临的安全威胁,并给出解决这些安全问题的基本安全基线和安全控制措施,以指导组织中负责系统建设的组织者、负责信息安全工作的实施者和从事信息安全工作的相关人员实施工业控制系统安全控制应用到本组织的工业控制系统。本标准主要内容目录如下:前言VII引言VIII1 范围12 规范性引用文件13

10、术语和定义14 缩略语35 安全控制的应用45.1 安全控制的应用前提45.2 安全控制的选择与规约45.2.1 安全控制基线选择45.2.2 安全控制基线裁剪45.2.3 安全控制基线补充55.3 安全控制的应用步骤65.4 安全控制的应用范围65.5 安全控制的监控7附录A (资料性附录) 工业控制系统面临的安全风险8A.1 工业控制系统面临的威胁8A.2 ICS系统主要脆弱性分析9A.2.1 策略和规程脆弱性9A.2.2 网络脆弱性10A.2.3 平台脆弱性12A.3 传统信息系统信息安全威胁与防护措施对ICS系统的影响14附录B (规范性附录) ICS系统安全控制措施15B.1 物理安

11、全(PE)15B.1.1 物理安全策略和规程(PE-1)15B.1.2 物理访问授权(PE-2)15B.1.3 物理访问控制(PE-3)15B.1.4 移动介质的访问控制(PE-4)16B.1.5 输出设备的访问控制(PE-5)16B.1.6 物理访问监控(PE-6)16B.1.7 访客管理(PE-7)16B.1.8 访问日志(PE-8)16B.1.9 电力设备与电缆(PE-9)17B.1.10 紧急停机(PE-10)17B.1.11 应急电源(PE-11)17B.1.12 应急照明(PE-12)18B.1.13 防火(PE-13)18B.1.14 温度和湿度控制(PE-14)18B.1.15

12、 防水(PE-15)18B.1.16 组件安装和移除(PE-16)18B.1.17 防雷(PE-17)19B.1.18 电磁防护(PE-18)19B.1.19 信息泄露(PE-19)19B.1.20 人员和设备追踪(PE-20)19B.2 网络安全(NS)19B.2.1 网络安全保护策略与规程(NS-1)19B.2.2 网络分离(NS-2)20B.2.3 企业网络访问(NS-3)20B.2.4 内部边界防护(NS-4)20B.2.5 广域通信链路防护(NS-5)20B.2.6 限制无线访问(NS-6)21B.2.7 入侵防范(NS-7)21B.2.8 网络冗余配置(NS-8)22B.2.9 拒

13、绝服务保护(NS-9)22B.2.10 资源优先级(NS-10)22B.2.11 最小功能(NS-11)22B.2.12 传输完整性(NS-12)23B.2.13 传输机密性(NS-13)23B.2.14 消息真实性(NS-14)23B.2.15 网络设备防护(NS-15)23B.3 身份认证(IA)23B.3.1 身份鉴别的策略和规程(IA-1)24B.3.2 组织内用户标识与鉴别(IA-2)24B.3.3 设备标识与鉴别(IA-3)24B.3.4 标识符管理(IA-4)25B.3.5 鉴别符管理(IA-5)26B.3.6 鉴别反馈(IA-6)27B.3.7 密码模块鉴别(IA-7)27B.

14、3.8 组织外用户标识与鉴别(IA-8)27B.3.9 服务标识与鉴别(IA-9)28B.4 访问控制(AC)28B.4.1 访问控制的策略和规程(AC-1)28B.4.2 账户管理(AC-2)28B.4.3 访问控制增强(AC-3)29B.4.4 信息流增强(AC-4)29B.4.5 职责分离(AC-5)31B.4.6 最小权限(AC-6)31B.4.7 失败登录控制(AC-7)32B.4.8 系统使用提示(AC-8)32B.4.9 以前访问通知(AC-9)33B.4.10 当前会话控制(AC-10)33B.4.11 会话锁(AC-11)33B.4.12 会话终止(AC-12)34B.4.1

15、3 敏感标记(AC-15、16)34B.4.14 远程访问(AC-17)34B.5 审计和问责(AU)34B.5.1 安全审计的策略和规程(AU-1)34B.5.2 审计事件(AU-2)34B.5.3 审计记录的内容(AU-3)35B.5.4 审计存储能力(AU-4、11)35B.5.5 审计失败的响应(AU-5)35B.5.6 审计信息的评审、分析和报告(AU-6)35B.5.7 审计简化和报告生成(AU-7)36B.5.8 时间戳(AU-8)36B.5.9 审计信息保护(AU-9)36B.5.10 抗抵赖(AU-10)37B.6 系统与信息完整性(SI)37B.6.1 系统与信息完整性的策略和规程(SI-1)37B.6.2 缺陷修复(SI-2)37B.6.3 入侵防范(SI-3)38B.6.4 恶意代码防护(SI-4)38B.6.5 软件和信息完整性(S

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 其它中学文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号