信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求.doc
信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求内容
《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》(征求意见稿)编制说明1 工作简况1.1任务来源2015年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号:2015bzzd-WG5-001。
该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心(以下简称“检测中心”)负责主编。
国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》,开展实施工业控制等多个领域的信息安全专用产品扶持工作。
面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一,其中包含了隔离类设备,表明了工控隔离产品在工控领域信息安全产品中的地位,其标准的建设工作至关重要。
因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。
1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后,检测中心立即与产品生产厂商、工业控制厂商进行沟通,并得到了多家单位的积极参与和反馈。
最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。
1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业,工控系统已是国家安全战略的重要组成部分,一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏,将对工业生产和国家经济安全带来重大安全风险。
随着计算机和网络技术的发展,特别是信息化与工业化深度融合,逐步形成了管理与控制的一体化,导致生产控制系统不再是一个独立运行的系统,其接入的范围不仅扩展到了企业网甚至互联网,从而面临着来自互联网的威胁。
工业控制系统(ICS)的网络安全保护
工业控制系统(ICS)的网络安全保护随着工业自动化程度的不断提高,工业控制系统(Industrial Control Systems,ICS)在工业生产中发挥着越来越重要的作用。
然而,随之而来的是ICS面临着越来越多的网络安全威胁。
本文将介绍工业控制系统的特点和网络安全保护策略,以帮助人们更好地了解和保护ICS 网络安全。
一、工业控制系统的特点工业控制系统是用于监控和控制工业过程的计算机系统,通常包括可编程控制器(PLC)、远距离终端单元(RTU)、人机界面(HMI)和数据采集器等设备。
与传统IT系统相比,工业控制系统有其独特的特点。
首先,ICS系统往往使用专用的通信协议,例如Modbus、DNP3和OPC等。
这些协议通常没有加密和身份验证机制,容易受到攻击者的窃听和篡改。
其次,ICS系统通常具有长期稳定运行的特点。
为了保证工业生产的连续性,许多ICS系统往往需要长时间运行,并且不容易进行系统更新和升级,这增加了ICS系统的脆弱性。
再次,ICS系统往往关乎重要的工业基础设施,如能源、交通、水利等,一旦遭到攻击,可能造成严重的经济和社会影响。
二、ICS网络安全的威胁由于工业控制系统的特殊性,ICS网络面临着多种威胁和攻击手段。
首先,ICS网络可能遭受到未经授权的物理访问。
攻击者可能通过非法手段进入工业控制系统现场,操纵设备或者更改系统参数,从而破坏工业生产和安全。
其次,ICS网络还可能受到远程攻击的威胁。
黑客可以利用互联网或内部网络的漏洞,远程入侵工业控制系统,例如通过发送恶意代码到工业控制设备,导致系统瘫痪或功能失效。
另外,ICS网络也常常受到恶意软件和病毒的威胁。
攻击者可能通过针对工业控制系统的特定恶意软件,例如工控木马和勒索病毒,对ICS网络进行攻击和勒索。
三、ICS网络安全保护策略针对ICS网络的网络安全保护具有重要的意义。
下面是一些常见的ICS网络安全保护策略:1. 网络隔离:将工业控制系统与企业内部网络和互联网隔离开来,通过适当的网络拓扑设计,减少ICS网络受到攻击的可能性。
信息安全技术工业控制系统安全控制应用指南
信息安全技术工业控制系统安全控制应用指南信息安全技术在工业控制系统中的应用日益重要,保障工业控制系统的安全性已经成为了当务之急。
本文将从信息安全技术在工业控制系统中的应用角度,探讨如何进行安全控制,以保护工业控制系统免受各种威胁的侵害。
一、工业控制系统的安全威胁工业控制系统是指用于监控和控制工业过程的系统,如电力系统、水处理系统、交通信号系统等。
然而,随着互联网的普及,工业控制系统也面临着越来越多的安全威胁。
黑客攻击、恶意软件、物理攻击等威胁可能导致工业控制系统发生故障、停工甚至事故。
因此,保障工业控制系统的安全性至关重要。
二、信息安全技术在工业控制系统中的应用1. 认识威胁:了解工业控制系统可能面临的各种安全威胁,包括网络攻击、恶意软件、物理攻击等,并进行风险评估,以制定相应的安全措施。
2. 访问控制:采用身份认证、访问控制列表、权限管理等技术,限制未经授权的人员或设备对工业控制系统的访问和操作,防止非法入侵和误操作。
3. 数据加密:对工业控制系统中的敏感数据进行加密,确保数据在传输和存储过程中不被窃取或篡改,提高数据的保密性和完整性。
4. 安全监测:利用入侵检测系统(IDS)、入侵防御系统(IPS)等技术,对工业控制系统进行实时监测和检测,及时发现和阻止安全事件的发生。
5. 安全培训:对工业控制系统的管理员和操作人员进行安全培训,提高其安全意识和技能,减少人为失误导致的安全事故。
6. 安全更新:及时安装工业控制系统的安全补丁和更新,修复已知的漏洞,提高系统的安全性。
7. 应急响应:建立应急响应机制,制定应急预案,提前应对可能发生的安全事件,减少损失和影响。
8. 物理安全:确保工业控制系统的物理环境安全,如安装监控摄像头、闸机等设备,防止未经授权的人员进入控制区域。
9. 网络隔离:将工业控制系统与企业内部网络和互联网隔离,减少攻击面,防止安全事件扩散和蔓延。
10. 安全审计:定期对工业控制系统进行安全审计,发现和解决安全隐患,提高系统的安全性和稳定性。
工业控制系统的网络安全保护
工业控制系统的网络安全保护工业控制系统的网络安全保护近年来备受关注。
随着信息化和工业物联网的快速发展,各行业的生产设备和工控系统网络日益增多,但也带来了网络安全问题的不断涌现。
本文将探讨工业控制系统的网络安全保护的重要性,并介绍一些常见的网络安全保护措施及建议。
一、工业控制系统的网络安全威胁工业控制系统(Industrial Control System,简称ICS)是用于监控、控制和操作各种工业进程的系统,包括供能、生产、传输和分配过程。
工业控制系统涉及的领域广泛,如能源、制造、交通、医疗等,其安全问题直接关系到国家安全和经济发展。
1. 恶意软件攻击:工业控制系统常常使用特定的操作系统和应用程序,这些系统和应用程序存在特定的安全漏洞,容易受到恶意软件攻击。
恶意软件可以通过网络攻击,入侵工控系统,篡改或破坏生产过程,甚至造成设备损失、人员伤亡。
2. 网络入侵:工业控制系统通常与其他系统相连,以实现数据共享和远程操作,这给系统带来了额外的网络风险。
黑客可以通过网络入侵的方式进入工控系统,非法获取敏感数据,甚至控制生产设备,造成重大损失。
3. 内部威胁:工业控制系统的安全威胁不仅来自外部,还可能来自内部。
员工、供应商或合作伙伴等内部人员可能存在不当操作、数据泄露或恶意破坏行为,导致工控系统遭受安全威胁。
二、工业控制系统网络安全保护的重要性保护工业控制系统的网络安全至关重要,关系到国家和企业的安全和稳定。
以下是几个方面展示其重要性的原因:1. 生产安全:工业控制系统的安全受到威胁,可能导致设备故障、生产线中断甚至事故发生,对企业的生产活动造成严重影响。
加强网络安全保护可以防止设备被恶意篡改,减少潜在的生产事故风险。
2. 数据安全:工业控制系统中存储和传输的数据往往具有重要的商业价值和战略意义。
泄露或篡改这些数据可能导致企业的商业机密被窃取、技术创新被抄袭,甚至带来财务损失。
通过加强网络安全保护,可以有效保护工业控制系统中的数据安全。
《工业控制系统网络安全防护导则》
工业控制系统网络安全防护导则1. 简介工业控制系统(Industrial Control System,简称ICS)是一种用于监控和控制工业过程的计算机系统。
随着信息技术的不断发展,工业控制系统越来越多地依赖于网络进行通讯和数据交换。
然而,网络连接也使得工业控制系统面临着越来越严峻的网络安全威胁。
为了保障工业控制系统的安全性,本文将介绍工业控制系统网络安全的防护导则。
2. 网络安全威胁与风险在谈论网络安全防护导则之前,我们首先需要了解工业控制系统面临的网络安全威胁和风险。
常见的网络安全威胁包括恶意软件、网络攻击、数据泄露等。
而工业控制系统的特殊性使得它们面临更加特定和严重的风险,如拒绝服务攻击可能导致生产停滞、数据篡改可能带来安全事故等。
3. 工业控制系统网络安全防护导则为了提升工业控制系统的网络安全性,以下是一些针对工业控制系统的网络安全防护导则:3.1 网络分段与隔离将工业控制系统网络划分为不同的子网,并根据不同的安全级别对这些子网进行隔离,以防止网络攻击和数据泄露的扩散。
同时,还需通过网络访问控制列表(ACL)和防火墙等手段限制不同子网之间的通信,提高网络安全性。
3.2 强化身份认证部署双因素身份认证机制,确保只有经过授权的用户才能够访问工业控制系统。
同时,及时更换默认密码,并定期更新密码,以防止密码泄露导致系统遭受攻击。
3.3 安全审计与监控通过安全审计和监控系统,实时监测和记录工业控制系统的网络流量和安全事件。
及时发现异常行为,并进行相应的应对措施,以确保系统的安全性。
3.4 定期漏洞扫描与更新定期进行漏洞扫描,及时发现和修复系统中存在的漏洞。
同时,及时安装厂商发布的安全更新和补丁,以防止已知漏洞被利用。
3.5 员工培训与意识提升加强员工网络安全意识的培训与提升,教育员工如何正确使用工业控制系统,并主动报告可能存在的安全风险和威胁。
4. 结论工业控制系统的网络安全防护是当下亟待解决的问题。
工业控制网络安全和工业控制网安全解决方案
工业控制网络安全解决方案数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。
一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。
随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。
2010年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。
2011年工信部发布了《关于加强工业控制系统信息安全管理的通知》,通知要求,各地区、各部门、各单位务必高度重视工业控制系统信息安全管理,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。
加强数据采集与监控安全(SCADA安全)、分布式控制系统安全(DCS安全)、过程控制系统安全(PCS安全)、可编程逻辑控制器安全(PLC安全)等工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。
通知特别要求:“1.断开工业控制系统同公共网络之间的所有不必要连接。
2.对确实需要的连接,系统运营单位要逐一进行登记,采取设置防火墙、单向隔离等措施加以防护,并定期进行风险评估,不断完善防范措施。
”要实现高安全的工控网安全防护保障,还是必须采用网络安全隔离,也就是使用隔离网闸,这也是为什么国家电网强制要求使用安全隔离网闸的原因。
凭借雄厚的技术实力,北京数码星辰为了解决工业控制网和公共网络之间的物理隔离,控制网和管理网(MIS网),以及控制网与企业内部网之间的隔离,专门研制针对控制网和MIS连接保护的宇宙盾网络安全隔离产品,并以此提出了数码星辰的控制网安全防护解决方案。
信息安全技术 工业控制系统专用防火墙技术要求
信息安全技术工业控制系统专用防火墙技术要求随着工业自动化和网络技术的不断发展,工业控制系统(ICS)的网络安全问题也逐渐成为人们关注的焦点。
为了保护工业控制系统的稳定和安全,工业控制系统专用防火墙技术应运而生。
下面我们就来详细了解一下工业控制系统专用防火墙技术的要求。
首先,工业控制系统专用防火墙技术需要具备高度的稳定性和可靠性。
由于工业控制系统的稳定性和安全性关系到生产的连续性和机密性,因此防火墙的可靠性和稳定性必须得到保证。
一旦防火墙出现故障或漏洞,可能会导致工业自动化生产系统遭受攻击、瘫痪或甚至引起事故。
其次,工业控制系统专用防火墙技术需要提供全面的安全保护措施。
防火墙应该可以检查所有的数据包,包括源地址、目的地址、协议类型等,以确保数据的安全性。
此外,防火墙还应该可以支持多种安全协议和加密算法,以保证数据的机密性。
再次,工业控制系统专用防火墙技术需要具备高度的灵活性和可配置性。
不同的工业控制系统具有不同的安全需求和操作特点,防火墙应该可以根据不同的需求和操作特点进行灵活配置,并且支持远程管理和监控。
最后,工业控制系统专用防火墙技术需要具备良好的兼容性和扩展性。
防火墙应该可以兼容不同的工业控制系统和不同的网络结构,并且支持多种扩展模块和功能,以适应不断变化的安全需求和发展趋势。
综上所述,工业控制系统专用防火墙技术对于保障工业自动化系统的稳定和安全具有重要的作用。
在选择和部署工业控制系统专用防火墙技术时,应该根据实际需求和操作特点,选择具备高可靠性、全面安全保护、灵活可配置和良好的兼容性扩展性的防火墙产品。
同时,还应该加强防火墙的管理和维护,定期更新漏洞补丁和升级版本,提高工业自动化系统的安全性和稳定性。
网络信息安全之工业控制系统信息安全技术
关键技术及难点
工业控制系统信息安全防护和测评体系
对信息系统安全实行等级保护是国家信息安全政 策,并颁布了系列国家标准,包括定级、设计、 实施、测评等环节的基本要求和指南 工业控制系统信息安全也应实行等级保护政策, 基于行业/系统重要性不同来分级 现行的等级保护标准并不适合,需要制定针对工 业控制系统信息安全的等级保护标准 通过实施等级保护政策和标准,建立规范化的工 业控制系统信息安全防护和测评体系
网络信息安全之工业控制系统信息安 全技术
安全风险分析
工业控制系统中的管理终端一般没有采取措施对
移动U盘和光盘使用进行有效的管理,导致移动介
质的滥用而引发的安全事件时有发生
在工业控制系统维护时,通常需要接入笔记本电
脑。由于对接入的笔记本电脑缺乏有效的安全监
管,给工业控制系统带来很大的安全风险
由于对工业控制系统的操作行为缺乏有效的安全
网络信息安全之工业控制系统信息安 全技术
国内外技术现状
总体上,我国工业控制系统信息安全工作起 步晚,普遍存在安全意识薄弱、管理制定不 健全、标准规范不完善、技术储备不足、安 全产品缺乏、防护措施不到位等问题 由于工业控制系统的特殊性,现有的信息安 全技术及产品并不能直接用于工业控制系统 中,必须针对工业控制系统的特点,研制适 用的信息安全技术及产品
网络信息安全之工业控制系统信息安 全技术
震网病毒警示
震网病毒给工业控制系统信息安全敲响了 警钟,网络攻击正在从开放的互联网向封 闭的工业控制网蔓延 据权威工业安全事件信息库(RISI)统计,截 止到2011年10月,全球已发生了200余起针 对工业控制系统的攻击事件 2001年后,随着通用开发标准与互联网技 术的广泛使用,针对工业控制系统的攻击 行为也出现大幅度增长
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》(征求意见稿)编制说明1 工作简况1.1任务来源2015年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号:2015bzzd-WG5-001。
该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心(以下简称“检测中心”)负责主编。
国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》,开展实施工业控制等多个领域的信息安全专用产品扶持工作。
面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一,其中包含了隔离类设备,表明了工控隔离产品在工控领域信息安全产品中的地位,其标准的建设工作至关重要。
因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。
1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后,检测中心立即与产品生产厂商、工业控制厂商进行沟通,并得到了多家单位的积极参与和反馈。
最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。
1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业,工控系统已是国家安全战略的重要组成部分,一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏,将对工业生产和国家经济安全带来重大安全风险。
随着计算机和网络技术的发展,特别是信息化与工业化深度融合,逐步形成了管理与控制的一体化,导致生产控制系统不再是一个独立运行的系统,其接入的范围不仅扩展到了企业网甚至互联网,从而面临着来自互联网的威胁。
同时,随着工控系统产品越来越多地采用通用协议、通用硬件和通用软件,病毒、木马等威胁正在向工控系统扩散,工控系统信息安全问题日益突出,因此如何将工控系统与管理系统进行安全防护已经破在眉捷,必须尽快建立安全标准以满足国家信息安全的战略需要。
1.4编制的目的在标准制定过程中,坚持以国内外产品发展的动向为研究基础,对工控隔离产品的安全技术要求提出规范化的要求,并结合工业控制系统安全防护中产品的使用,制定切实可行的产品标准。
标准可用于该类产品的研制、开发、测试、评估和产品的采购,有利于规范化、统一化。
2 主要编制过程2.1成立编制组2015年7月接到标准编制任务,组建标准编制组,由公安部第三研究所检测中心、珠海鸿瑞、匡恩网络、力控华康联合编制。
检测中心的编制组成员均具有资深的审计产品检测经验、有足够的标准编制经验、熟悉CC、熟悉工业控制安全;其他厂商的编制成员均为工控隔离产品的研发负责人及主要研发人员。
公安部检测中心人员包括邹春明、陆臻、沈清泓、田原、李旋、孟双、顾健等;其它厂商包括刘智勇、陈敏超、张大江、王晓旭等。
2.2制定工作计划编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。
2.3参考资料该标准编制过程中,主要参考了:•GB/T 5271.8-2001信息系统词汇第8部分:安全•GB 17859-1999 计算机信息系统安全保护划分准则•GB/T 18336.3-2015 信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求•GB/T 20271-2006 信息安全技术信息系统通用安全技术要求•GB/T 20279-2015 信息安全技术网络和终端隔离产品安全技术要求•IEC 62443 工业过程测量、控制和自动化网络与系统信息安全•近几年到本检测中心所送检的工控隔离产品及其技术资料2.4确定编制内容经标准编制组研究决定,以GB/T 20279-2015国标内容为理论基础,结合工业控制系统的需求特点,以GB 17859-1999《计算机信息系统安全保护等级划分准则》和GB/T 18336-2015《信息技术安全技术信息技术安全性评估准则》为主要参考依据,完成《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的编制工作。
2.5编制工作简要过程按照项目进度要求,编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解,查阅有关资料,编写标准编制提纲,在完成对提纲进行交流和修改的基础上,开始具体的编制工作。
2015年8月,完成了对工控隔离产品的相关技术文档和有关标准的前期基础调研。
在调研期间,主要对公安部检测中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析,对国内外相关产品的发展动向进行了研究,对相关产品的技术文档和标准进行了分析理解。
2015年10月完成了标准草稿的编制工作。
以编制组人员收集的资料为基础,在不断的讨论和研究中,完善内容,最终形成了本标准草案(第一稿)。
2015年12月,编制组在公安部检测中心内部对标准草案(第一稿)进行了讨论。
删除了标记、强制访问控制等要求,形成了标准草案(第二稿)。
2016年6月,编制组在北京以研讨会形式邀请绿盟科技、启明星辰、海天炜业、力控华康、匡恩、沈阳自动化所等以及崔书昆、韩博怀等工业控制领域和信息安全领域的厂商代表和专家进行现场征求意见,根据反馈意见,增加了工业控制协议深度过滤、安全策略无扰下装、硬件安全等要求,形成草案(第三稿)。
2016年8月,编制组在北京以研讨会形式邀请绿盟科技、启明星辰、海天炜业、网康、匡恩、华为等以及顾建国、许玉娜、李健、张格、范科峰、孙娅萍等工业控制领域和信息安全领域的厂商代表和专家进行现场征求意见,根据反馈意见,细化了抗Dos攻击要求、术语、TOE描述等。
形成草案(第四稿)。
2016年8月,通过WG5秘书处,向山西天地科技、南京中新赛克等成员单位广泛征求意见,并根据反馈意见进行了修改,主要包括,增加引用标准GB/T 30976.1-2014并参考其中的术语定义和缩略语;修改环境适应性要求等。
形成草案(第五稿)2016年8月25日,在WG5组织的标准推荐会上,编制组向与会专家汇报了标准进展情况、标准的主要内容以及意见汇总处理情况。
与会专家并提出了相关意见,编制组根据专家意见进行修订,并通过组内投票。
形成征求意见稿。
2.6起草人及其工作标准编制组具体由邹春明、陆臻、沈清泓、田原、李旋、孟双、顾健、刘智勇、陈敏超、张大江、王晓旭等人组成。
邹春明全面负责标准编制工作,包括制定工作计划、确定编制内容和整体进度、人员的安排;沈清泓、田原、李旋主要负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作;陆臻、孟双负责标准校对审核等工作;顾健主要负责标准编制过程中的各项技术支持和整体指导。
3 编制原则及思路3.1编制原则为了使工控隔离产品标准的内容从一开始就与国家标准保持一致,本标准的编写参考了其他国家有关标准,主要有GB/T 17859-1999、GB/T 20271-2006、GB/T 20279-2015、IEC 62443和GB/T 18336-2015。
本标准符合我国的实际情况,遵从我国有关法律、法规的规定。
具体原则与要求如下:1)先进性标准是先进经验的总结,同时也是技术的发展趋势。
目前,国家管理机构及用户单位工业控制系统信息安全越来越重视,我国工控隔离产品处于快速发展阶段,要制定出先进的产品国家标准,必须参考国内外先进技术和标准,吸收其精华,才能制定出具有先进水平的标准。
本标准的编写始终遵循这一原则。
2)实用性标准必须是可用的,才有实际意义,因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况,广泛了解了市场上主流产品的功能,吸收其精华,制定出符合我国国情的、可操作性强的标准。
3)兼容性本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致。
编制组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规。
3.2编制思路1)GB17859为我国信息安全工作的纲领性文件,据此对产品进行分等级要求;2)GB/T18336对应国际标准《信息技术安全评估通用准则》(即CC),为信息安全产品领域国际上普遍遵循的标准。
本标准引用了其第三部分安全保证要求,并参考了其PP的生成要求;3)标准格式上依据GB/T1.1进行编制;4)广泛征集工业控制厂商、信息安全厂商及用户单位意见。
4 标准主要内容4.1安全功能要求安全功能要求是对工业控制网络安全隔离与信息交换系统应具备的安全功能提出具体要求,包括访问控制、时间同步、标识和鉴别、安全管理、数据完整性、高可用性、审计日志。
具体内容和等级划分如表4-1所示。
表4-1 安全功能要求等级划分4.2安全保障要求安全保障要求针对工业控制网络安全隔离与信息交换系统的开发和使用文档的内容提出具体的要求,例如开发、指导性文档、生命周期支持、测试、脆弱性评定等。
具体内容和等级划分如表4-2所示。
表4-2 安全保障要求等级划分4.3环境适应性要求若产品全部或部分组件部署在工业控制现场,应根据实际需求满足相应的环境适应性要求,包括工作温度、相对湿度、电磁兼容性等。
该部分不做强制性要求,只作为资料性附录提出要求。
5 与有关的现行法律、法规和强制性国家标准的关系建议本标准推荐性实施。
本标准不触犯国家现行法律法规,不与其他强制性国标相冲突。
6 重大分歧意见的处理经过和依据本标准编制过程中,如标准编制组内部出现重大意见分歧时,由标准编制组组长组织召开内部调解会解决;如标准编制单位之间出现重大意见分歧,由标准编制承担单位公安部计算机信息系统安全产品质量监督检验中心组织召开参编单位调解会解决。
如征求意见过程中,各厂家,特别是各部委意见与标准编制组之间出现重大意见分歧,由全国信息安全标准化技术委员会组织召开协调会解决,并认真听取专家意见进行修改。
7 国家标准作为强制性国家标准或推荐性国家标准的建议建议将本标准作为国家标准在全国推荐性实施。
8 贯彻国家标准的要求和措施建议该国标为生产、测试和评估工控隔离产品提供指导性意见,建议在全国推荐性实施。
在具体贯彻实施该标准时,首先可要求不同的产品测试机构使用该标准作为工控隔离产品的测试依据,例如,可使用在产品的销售许可测试、政府采购设备的准入测试、不同需求单位的招标选型测试等,由此可以进一步推动产品的生产厂商以该标准为依据,更全面地应用到产品的研发生产过程中,达到业界内全面使用该标准的局面。
9 其他应予说明的事项。
无。
《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准编制组2016年9月。