信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求
信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求内容
《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》(征求意见稿)编制说明1 工作简况1.1任务来源2015年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号:2015bzzd-WG5-001。
该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心(以下简称“检测中心”)负责主编。
国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》,开展实施工业控制等多个领域的信息安全专用产品扶持工作。
面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一,其中包含了隔离类设备,表明了工控隔离产品在工控领域信息安全产品中的地位,其标准的建设工作至关重要。
因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。
1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后,检测中心立即与产品生产厂商、工业控制厂商进行沟通,并得到了多家单位的积极参与和反馈。
最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。
1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业,工控系统已是国家安全战略的重要组成部分,一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏,将对工业生产和国家经济安全带来重大安全风险。
随着计算机和网络技术的发展,特别是信息化与工业化深度融合,逐步形成了管理与控制的一体化,导致生产控制系统不再是一个独立运行的系统,其接入的范围不仅扩展到了企业网甚至互联网,从而面临着来自互联网的威胁。
信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求.doc
《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》(征求意见稿)编制说明1 工作简况1.1任务来源2015年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号:2015bzzd-WG5-001。
该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心(以下简称“检测中心”)负责主编。
国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》,开展实施工业控制等多个领域的信息安全专用产品扶持工作。
面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一,其中包含了隔离类设备,表明了工控隔离产品在工控领域信息安全产品中的地位,其标准的建设工作至关重要。
因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。
1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后,检测中心立即与产品生产厂商、工业控制厂商进行沟通,并得到了多家单位的积极参与和反馈。
最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。
1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业,工控系统已是国家安全战略的重要组成部分,一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏,将对工业生产和国家经济安全带来重大安全风险。
随着计算机和网络技术的发展,特别是信息化与工业化深度融合,逐步形成了管理与控制的一体化,导致生产控制系统不再是一个独立运行的系统,其接入的范围不仅扩展到了企业网甚至互联网,从而面临着来自互联网的威胁。
工信部印发《电信和互联网行业数据安全标准体系建设指南》
工信部印发《电信和互联网行业数据安全标准体系建设指南》2020年12月17日,工业和信息化部印发《电信和互联网 行业数据安全标准体系建设指南》,指南强调,在基础共性标 准、关键技术标准、安全管理标准的基础上,结合新一代信息 通信技术发展情况,主要在5G、移动互联网、车联网、物联 网、工业互联网、云计算、大数据、人工智能、区块链等重点领域进行布局,结合重点领域自身发展情况和数据安全保护需求,制定相关数据安全标准。
其中,工业互联网安全重点关注控制系统、设备、网络、数据、平台、应用程序安全和安全管理等。
工业互联网领域的数据安全标准主要包括工业互联网数据安全保护、工业互联网数据分级技术等。
四部门发文:加快构建全国一体化大数据中心协同创新体系强化大数据安全防护2020年12月23日,为进一步促进新型基础设施高质量发展,深化大数据协同创新,国家发展改革委、中央网信办、工 业和信息化部、国家能源局联合印发《关于加快构建全国一体 化大数据中心协同创新体系的指导意见》,意见提出要推动核心技术突破及应用,加快科技创新突破和安全可靠产品应用,强化大数据安全保障,加快构建贯穿基础网络、数据中心、云 平台、数据、应用等一体化协同安全保障体系,提高大数据安全可靠水平。
《工业互联网创新发展行动计划(2021-2023年)》印发2021年1月13日,工业和信息化部印发《工业互联网创新发展行动计划(2021-2023年)》,行动计划提出要制定分类分级系列安全标准规范,明确企业设备、控制、网络、平台、应用、数据等的安全防护基本要求,开展PLC等重点设备、SCADA等重要系统、工业互联网平台、工业A pp动态 安全检测评估。
强化企业自身防护,鼓励支持重点企业建设集中化安全态势感知和综合防护系统,提升网络和数据安全技术能力。
公安部:发布公共安全行业标准(2019年度),17个安全标准在列2020年4月,公安部发布242项公共安全行业标准,其中包含信息安全技术工业控制系统软件脆弱性扫描产品安全技术要序号标准缠号标准名称实旃日期代替标准号216G A/T 1542-2019息安全技术*丨-IP V6的高性络入«防_系统产品安全技术要求2019/01/09217G A H" 1543-2019倍息安全技术M烙设备倍息探测产品安全技术罾求2019/01/13218G A^T913-2019<•1息安全技术a*串安全审计产品安全技术麥求2019^)1/13G A/T913-20I0 219G V T 1544-2019饴息安全技术M格及安全设备K H检奔产t t安全技术要求2019/03/04220G A H" 1545-2019位息安全技术杆能密码玥匙安全技术要求2019/03/04221G A/T 1546-2019位息安全技术t«W I F丨信号f i*产品安令技术罾承2019«3/08222C iA/T IS47-20I9饴患安令技术移动W能终端用户a*存銪安全技术赛求和《试评价方法2019«3/08223G A^ 1550-2019估f i安全技术W站安全》测产品安全技术饗求2019/03/13224G A^-1549-2019安全技术t t幘U S期卡安全技术赛求2019«3/19求、信息安全技术工业控制系统主机安全防护与审计监控产品安全技术要求等17项安全标准。
工业控制系统信息安全防护措施
工业控制系统信息安全防护措施工业控制系统(Industrial Control System,简称ICS)是用于监控和控制工业过程的集成自动化系统,包括计算机控制系统、可编程逻辑控制器(PLC)、传感器、执行机构等。
信息安全是工业控制系统的重要组成部分,它的重要性不容忽视。
本文将介绍几种常见的工业控制系统信息安全防护措施。
一、网络隔离网络隔离是将工业控制系统与其他网络分开,避免攻击者通过其他网络入侵工业控制系统。
可以通过物理隔离、虚拟隔离等方法来实现网络隔离。
1.物理隔离物理隔离是将工业控制系统与其他网络通过物理隔离设备分隔开来,例如用防火墙、路由器等设备实现物理隔离。
二、访问控制访问控制是通过控制谁能够访问工业控制系统来保护系统的安全性。
可以通过以下几种方式实施访问控制:1.身份验证对于工业控制系统的用户,需要进行身份验证,确保只有授权的用户才能够访问系统。
可以通过用户名和密码、指纹识别、智能卡等方式进行身份验证。
2.权限管理对于不同的用户,可以设置不同的权限,仅授予其必要的权限,以减少潜在的攻击风险。
例如将操作人员与管理员的权限分开,避免操作人员误操作引发安全问题。
三、数据加密数据加密是将工业控制系统中的数据进行加密处理,保障数据在传输和存储过程中的安全性。
可以通过以下几种方式实施数据加密:1.传输加密对工业控制系统中的数据进行传输加密,确保数据在传输过程中不被窃取或篡改。
可以使用安全传输协议(如SSL/TLS)等方式进行传输加密。
四、漏洞修复及时修复工业控制系统中存在的漏洞,是保护系统安全的重要手段。
可以通过以下几种方式进行漏洞修复:1.更新补丁及时安装系统和应用程序的更新补丁,修复已知漏洞,更新系统和应用程序的安全性。
2.安全审计定期对工业控制系统进行安全审计,发现和修复潜在的漏洞和安全隐患。
五、入侵检测和防护入侵检测和防护是及时发现和阻止工业控制系统中的入侵行为,保护系统的安全性。
可以通过以下几种方式进行入侵检测和防护:1.入侵检测系统(IDS)部署入侵检测系统,对工业控制系统的流量进行实时监测,及时发现潜在的入侵行为。
《工业控制系统网络安全防护导则》
工业控制系统网络安全防护导则1. 简介工业控制系统(Industrial Control System,简称ICS)是一种用于监控和控制工业过程的计算机系统。
随着信息技术的不断发展,工业控制系统越来越多地依赖于网络进行通讯和数据交换。
然而,网络连接也使得工业控制系统面临着越来越严峻的网络安全威胁。
为了保障工业控制系统的安全性,本文将介绍工业控制系统网络安全的防护导则。
2. 网络安全威胁与风险在谈论网络安全防护导则之前,我们首先需要了解工业控制系统面临的网络安全威胁和风险。
常见的网络安全威胁包括恶意软件、网络攻击、数据泄露等。
而工业控制系统的特殊性使得它们面临更加特定和严重的风险,如拒绝服务攻击可能导致生产停滞、数据篡改可能带来安全事故等。
3. 工业控制系统网络安全防护导则为了提升工业控制系统的网络安全性,以下是一些针对工业控制系统的网络安全防护导则:3.1 网络分段与隔离将工业控制系统网络划分为不同的子网,并根据不同的安全级别对这些子网进行隔离,以防止网络攻击和数据泄露的扩散。
同时,还需通过网络访问控制列表(ACL)和防火墙等手段限制不同子网之间的通信,提高网络安全性。
3.2 强化身份认证部署双因素身份认证机制,确保只有经过授权的用户才能够访问工业控制系统。
同时,及时更换默认密码,并定期更新密码,以防止密码泄露导致系统遭受攻击。
3.3 安全审计与监控通过安全审计和监控系统,实时监测和记录工业控制系统的网络流量和安全事件。
及时发现异常行为,并进行相应的应对措施,以确保系统的安全性。
3.4 定期漏洞扫描与更新定期进行漏洞扫描,及时发现和修复系统中存在的漏洞。
同时,及时安装厂商发布的安全更新和补丁,以防止已知漏洞被利用。
3.5 员工培训与意识提升加强员工网络安全意识的培训与提升,教育员工如何正确使用工业控制系统,并主动报告可能存在的安全风险和威胁。
4. 结论工业控制系统的网络安全防护是当下亟待解决的问题。
工业控制系统信息安全标准
1 《信息安全技术 工业控制系统安全控制应用指南》 2 《信息安全技术 工业控制系统安全管理基本要求》 3 《信息安全技术 工业控制系统测控终端安全要求》 4 《信息安全技术 工业控制系统安全检查指南》 5 《信息安全技术 工业控制系统安全分级指南》 6 《信息系统安全等级保护基本要求 第5部分:工业控制系统》 7 《工业控制系统风险评估实施指南》 8 《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》 9 《信息安全技术 工业控制系统网络审计产品安全技术要求》 10《工业控制系统专用防火墙技术要求》 11《信息安全技术 工业控制系统网络监测安全技术要求和测试评价方法》 12《信息安全技术 工业控制系统漏洞检测技术要求》 13《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》 14《工业控制系统产品信息安全评估准则 第1部分 简介和一般模型》 15《工业控制系统产品信息安全评估准则 第2部分 安全功能要求》 16《工业控制系统产品信息安全评估准则 第3部分 安全保障要求》
国际工控安全标准化组织:
3. 美国国家标准技术研究院 ( NIST , National Institute of Standards and Technology ) NIST是一个非监管性质的测量技术和标准国家级研究机构,其中信息技 术实验室的计算机安全研究室是信息安全标准的主要制定者。2002年,美国 政府在《联邦信息安全管理法案》(FISMA)以及《电子政府法案》中再次 重申了NIST的职责是开发信息安全标准(联邦信息处理标准,即FIPS系列) 。
国际工控安全标准化组织:
2. 国际自动化协会 (ISA,the International Society of Automation) 其前身是美国仪器、系统和自动化协会,是一个非盈利技术协会,服务于 从事、研究、学习工业自动化及其相关领域(如现场仪表等)的工程师、技 术员等人士,是世界上最重要的自动化标准订制与工业自动化人才培养专业 组织之一。目前,ISA的主要任务是制定和完善标准、职业资格认证、提供 教育和培训、出版书籍和论文、并且主办自动化专业领域最大型的会议和展 览。ISA为它的成员提供各种渠道来获取技术信息、专业发展资源和与其他 自动化专家交流的机会。除了这些之外,ISA会员还能有更多机会得到自动 化领域内众多专家的认可。
工业控制系统信息安全标准
工业控制系统信息安全标准工业控制系统信息安全是指通过技术手段保护工业控制系统中的信息资源,确保系统的可靠性、稳定性和安全性。
随着工业控制系统的智能化和网络化发展,信息安全问题日益突出,因此制定和实施信息安全标准显得尤为重要。
首先,工业控制系统信息安全标准应包括系统安全管理、网络安全、数据安全、应用软件安全等方面。
在系统安全管理方面,应建立完善的安全管理制度和流程,包括安全培训、安全意识教育、安全事件响应等,以保证系统的正常运行和安全性。
在网络安全方面,应采取网络隔离、访问控制、流量监测等措施,防范网络攻击和恶意入侵。
在数据安全方面,应加强数据加密、备份和恢复机制,保护系统中的重要数据不被篡改或丢失。
在应用软件安全方面,应对系统中的应用软件进行安全审计和漏洞修复,确保系统不受恶意软件的侵害。
其次,工业控制系统信息安全标准应符合国际标准和行业规范,如ISA/IEC 62443系列标准、国家信息安全等级保护标准等。
这些标准和规范对工业控制系统信息安全提出了具体要求和指导,有助于企业建立科学的信息安全管理体系,提高系统的安全性和稳定性。
另外,工业控制系统信息安全标准的制定和实施需要全员参与,包括技术人员、管理人员、安全人员等。
技术人员应了解系统的安全特性和安全漏洞,及时修复系统中存在的安全隐患;管理人员应制定和执行安全管理制度,确保安全政策得到贯彻执行;安全人员应负责安全事件的监测和响应,及时处置安全事件,保障系统的安全运行。
最后,工业控制系统信息安全标准的落实需要定期进行安全漏洞扫描、安全漏洞修复、安全事件监测等工作,保证系统的安全性和稳定性。
同时,应建立健全的安全管理体系和应急响应机制,确保在安全事件发生时能够及时有效地应对和处置,最大程度地减小安全事件对系统造成的损失。
综上所述,工业控制系统信息安全标准的制定和实施对于保障系统的安全运行和稳定性具有重要意义。
只有加强信息安全意识教育,建立完善的安全管理制度,全面提升系统的安全性和稳定性,才能更好地应对日益复杂的信息安全威胁,确保工业控制系统的正常运行。
工业控制协议过滤
其他常见问题:
产品自身安全不够:
产品自身存在安全漏洞,包括支撑系统、管理 界面;身份鉴别措施、配置信息保护、安全审计方 面不足。
安全保障措施不足: • 开发安全方面:研发的物理环境没有明确隔离、 开发主机及服务器缺乏足够的安全保护措施、研 发网络与互联网未采取严格的隔离措施等。 • 交付方面:主要缺少交付过程的安全措施。 • 配置管理方面:主要表现为:配置库权限控制不 够严格;配置管理计划与实际管理不符等。
1. 工控系统安全现状 2. 工控信息安全产品标准 3. 工控信息安全产品测评及主要问题
工控系统现状:
工控设备、工控协议缺少信息安全方面设计 系统建设之初较少考虑信息安全 随着互联网的发展,“两化融合”、“互联网+”、
“工业4.0”的推进,引入新的风险 工控系统信息安全形势严峻:根据监测数据,我国
工控防火墙:
OPC动态端口开放: 实现方式: 分析端口协商数据包获取端口信息,后台增加 策略 连接建立时,全开放,建立后获取源目的端口, 在后台增加相应允许策略 通过OPC特征进行检查,除规则明确允许的, 阻断非OPC连接
工控防火墙:
OPC动态端口开放: 测评方法: 采用真实OPC服务器和客户端、或者模拟软件, 首先确认其是采用动态端口建立连接方式 防火墙配置至少两条允许策略:一条其他TCP 连接、一条OPC连接,默认拒绝 OPC客户端与OPC服务器建立连接的同时,从客 户端向服务端发送大量数据包(如高频度的端 口扫描),在服务端抓取数据包
TC260?TC124? 行业需求差别大 工控协议种类繁多 当前产品种类与数量有限
1. 工控系统安全现状 2. 工控信息安全产品标准 3. 工控信息安全产品测评及主要问题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》(征求意见稿)编制说明1 工作简况1.1任务来源2015年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号:2015bzzd-WG5-001。
该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心(以下简称“检测中心”)负责主编。
国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》,开展实施工业控制等多个领域的信息安全专用产品扶持工作。
面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一,其中包含了隔离类设备,表明了工控隔离产品在工控领域信息安全产品中的地位,其标准的建设工作至关重要。
因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。
1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后,检测中心立即与产品生产厂商、工业控制厂商进行沟通,并得到了多家单位的积极参与和反馈。
最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。
1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业,工控系统已是国家安全战略的重要组成部分,一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏,将对工业生产和国家经济安全带来重大安全风险。
随着计算机和网络技术的发展,特别是信息化与工业化深度融合,逐步形成了管理与控制的一体化,导致生产控制系统不再是一个独立运行的系统,其接入的范围不仅扩展到了企业网甚至互联网,从而面临着来自互联网的威胁。
同时,随着工控系统产品越来越多地采用通用协议、通用硬件和通用软件,病毒、木马等威胁正在向工控系统扩散,工控系统信息安全问题日益突出,因此如何将工控系统与管理系统进行安全防护已经破在眉捷,必须尽快建立安全标准以满足国家信息安全的战略需要。
1.4编制的目的在标准制定过程中,坚持以国内外产品发展的动向为研究基础,对工控隔离产品的安全技术要求提出规范化的要求,并结合工业控制系统安全防护中产品的使用,制定切实可行的产品标准。
标准可用于该类产品的研制、开发、测试、评估和产品的采购,有利于规范化、统一化。
2 主要编制过程2.1成立编制组2015年7月接到标准编制任务,组建标准编制组,由公安部第三研究所检测中心、珠海鸿瑞、匡恩网络、力控华康联合编制。
检测中心的编制组成员均具有资深的审计产品检测经验、有足够的标准编制经验、熟悉CC、熟悉工业控制安全;其他厂商的编制成员均为工控隔离产品的研发负责人及主要研发人员。
公安部检测中心人员包括邹春明、陆臻、沈清泓、田原、李旋、孟双、顾健等;其它厂商包括刘智勇、陈敏超、张大江、王晓旭等。
2.2制定工作计划编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。
2.3参考资料该标准编制过程中,主要参考了:•GB/T 5271.8-2001信息系统词汇第8部分:安全•GB 17859-1999 计算机信息系统安全保护划分准则•GB/T 18336.3-2015 信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求•GB/T 20271-2006 信息安全技术信息系统通用安全技术要求•GB/T 20279-2015 信息安全技术网络和终端隔离产品安全技术要求•IEC 62443 工业过程测量、控制和自动化网络与系统信息安全•近几年到本检测中心所送检的工控隔离产品及其技术资料2.4确定编制内容经标准编制组研究决定,以GB/T 20279-2015国标内容为理论基础,结合工业控制系统的需求特点,以GB 17859-1999《计算机信息系统安全保护等级划分准则》和GB/T 18336-2015《信息技术安全技术信息技术安全性评估准则》为主要参考依据,完成《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的编制工作。
2.5编制工作简要过程按照项目进度要求,编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解,查阅有关资料,编写标准编制提纲,在完成对提纲进行交流和修改的基础上,开始具体的编制工作。
2015年8月,完成了对工控隔离产品的相关技术文档和有关标准的前期基础调研。
在调研期间,主要对公安部检测中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析,对国内外相关产品的发展动向进行了研究,对相关产品的技术文档和标准进行了分析理解。
2015年10月完成了标准草稿的编制工作。
以编制组人员收集的资料为基础,在不断的讨论和研究中,完善内容,最终形成了本标准草案(第一稿)。
2015年12月,编制组在公安部检测中心内部对标准草案(第一稿)进行了讨论。
删除了标记、强制访问控制等要求,形成了标准草案(第二稿)。
2016年6月,编制组在北京以研讨会形式邀请绿盟科技、启明星辰、海天炜业、力控华康、匡恩、沈阳自动化所等以及崔书昆、韩博怀等工业控制领域和信息安全领域的厂商代表和专家进行现场征求意见,根据反馈意见,增加了工业控制协议深度过滤、安全策略无扰下装、硬件安全等要求,形成草案(第三稿)。
2016年8月,编制组在北京以研讨会形式邀请绿盟科技、启明星辰、海天炜业、网康、匡恩、华为等以及顾建国、许玉娜、李健、张格、范科峰、孙娅萍等工业控制领域和信息安全领域的厂商代表和专家进行现场征求意见,根据反馈意见,细化了抗Dos攻击要求、术语、TOE描述等。
形成草案(第四稿)。
2016年8月,通过WG5秘书处,向山西天地科技、南京中新赛克等成员单位广泛征求意见,并根据反馈意见进行了修改,主要包括,增加引用标准GB/T 30976.1-2014并参考其中的术语定义和缩略语;修改环境适应性要求等。
形成草案(第五稿)2016年8月25日,在WG5组织的标准推荐会上,编制组向与会专家汇报了标准进展情况、标准的主要内容以及意见汇总处理情况。
与会专家并提出了相关意见,编制组根据专家意见进行修订,并通过组内投票。
形成征求意见稿。
2.6起草人及其工作标准编制组具体由邹春明、陆臻、沈清泓、田原、李旋、孟双、顾健、刘智勇、陈敏超、张大江、王晓旭等人组成。
邹春明全面负责标准编制工作,包括制定工作计划、确定编制内容和整体进度、人员的安排;沈清泓、田原、李旋主要负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作;陆臻、孟双负责标准校对审核等工作;顾健主要负责标准编制过程中的各项技术支持和整体指导。
3 编制原则及思路3.1编制原则为了使工控隔离产品标准的内容从一开始就与国家标准保持一致,本标准的编写参考了其他国家有关标准,主要有GB/T 17859-1999、GB/T 20271-2006、GB/T 20279-2015、IEC 62443和GB/T 18336-2015。
本标准符合我国的实际情况,遵从我国有关法律、法规的规定。
具体原则与要求如下:1)先进性标准是先进经验的总结,同时也是技术的发展趋势。
目前,国家管理机构及用户单位工业控制系统信息安全越来越重视,我国工控隔离产品处于快速发展阶段,要制定出先进的产品国家标准,必须参考国内外先进技术和标准,吸收其精华,才能制定出具有先进水平的标准。
本标准的编写始终遵循这一原则。
2)实用性标准必须是可用的,才有实际意义,因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况,广泛了解了市场上主流产品的功能,吸收其精华,制定出符合我国国情的、可操作性强的标准。
3)兼容性本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致。
编制组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规。
3.2编制思路1)GB17859为我国信息安全工作的纲领性文件,据此对产品进行分等级要求;2)GB/T18336对应国际标准《信息技术安全评估通用准则》(即CC),为信息安全产品领域国际上普遍遵循的标准。
本标准引用了其第三部分安全保证要求,并参考了其PP的生成要求;3)标准格式上依据GB/T1.1进行编制;4)广泛征集工业控制厂商、信息安全厂商及用户单位意见。
4 标准主要内容4.1安全功能要求安全功能要求是对工业控制网络安全隔离与信息交换系统应具备的安全功能提出具体要求,包括访问控制、时间同步、标识和鉴别、安全管理、数据完整性、高可用性、审计日志。
具体内容和等级划分如表4-1所示。
表4-1 安全功能要求等级划分4.2安全保障要求安全保障要求针对工业控制网络安全隔离与信息交换系统的开发和使用文档的内容提出具体的要求,例如开发、指导性文档、生命周期支持、测试、脆弱性评定等。
具体内容和等级划分如表4-2所示。
表4-2 安全保障要求等级划分4.3环境适应性要求若产品全部或部分组件部署在工业控制现场,应根据实际需求满足相应的环境适应性要求,包括工作温度、相对湿度、电磁兼容性等。
该部分不做强制性要求,只作为资料性附录提出要求。
5 与有关的现行法律、法规和强制性国家标准的关系建议本标准推荐性实施。
本标准不触犯国家现行法律法规,不与其他强制性国标相冲突。
6 重大分歧意见的处理经过和依据本标准编制过程中,如标准编制组内部出现重大意见分歧时,由标准编制组组长组织召开内部调解会解决;如标准编制单位之间出现重大意见分歧,由标准编制承担单位公安部计算机信息系统安全产品质量监督检验中心组织召开参编单位调解会解决。
如征求意见过程中,各厂家,特别是各部委意见与标准编制组之间出现重大意见分歧,由全国信息安全标准化技术委员会组织召开协调会解决,并认真听取专家意见进行修改。
7 国家标准作为强制性国家标准或推荐性国家标准的建议建议将本标准作为国家标准在全国推荐性实施。
8 贯彻国家标准的要求和措施建议该国标为生产、测试和评估工控隔离产品提供指导性意见,建议在全国推荐性实施。
在具体贯彻实施该标准时,首先可要求不同的产品测试机构使用该标准作为工控隔离产品的测试依据,例如,可使用在产品的销售许可测试、政府采购设备的准入测试、不同需求单位的招标选型测试等,由此可以进一步推动产品的生产厂商以该标准为依据,更全面地应用到产品的研发生产过程中,达到业界内全面使用该标准的局面。
9 其他应予说明的事项。
无。
《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准编制组2016年9月。