《信息安全技术工业控制网络监测安全技术要求及测试评价方法》征求意见稿-编制说明

合集下载

《网络安全法》相关配套法律法规和规范性文件梳理

《网络安全法》相关配套法律法规和规范性文件梳理《中华人民共和国网络安全法》（以下简称《网络安全法》）于2017年6月1日正式实施。

《网络安全法》作为我国网络空间安全管理的基本法律，框架性地构建了许多法律制度和要求，重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查、个人信息和重要数据保护制度、数据出境安全评估、网络关键设备和网络安全专用产品安全管理制度、网络安全事件应对制度等。

为保障上述制度的有效实施，一方面，以国家互联网信息办公室（以下简称“网信办”）为主的监管部门制定了多项配套法规，进一步细化和明确了各项制度的具体要求、相关主体的职责以及监管部门的监管方式；另一方面，全国信息安全标准化技术委员会（以下简称“信安标委”）同时制定并公开了一系列以信息安全技术为主的重要标准的征求意见稿，为网络运营者提供了非常具有操作性的合规指引。

具体讲：1. 在互联网信息内容管理制度方面网信办颁布了《互联网信息内容管理行政执法程序规定》，并已经针对互联网新闻信息服务、互联网论坛社区服务、公众账户信息服务、群组信息服务、跟帖评论服务等制定了专门的管理规定或规范性文件，以期全方位多层次地保障互联网信息内容的安全和可控性；2. 在网络安全等级保护制度方面信安标委在原有的信息系统安全等级保护制度的基础之上，发布了包括《网络安全等级保护实施指南》、《网络安全等级保护基本要求》等在内的多项标准文件的征求意见稿。

考虑到现行的《信息安全等级保护管理办法》已不适用《网络安全法》的要求，新的《网络安全等级保护管理办法》也正在制定中；3. 在关键信息基础设施安全保护制度方面随着《关键信息基础设施安全保护条例》、《信息安全技术关键信息基础设施安全检查评估指南》等征求意见稿的公布，关键信息基础设施运营者的安全保护义务得以进一步明确。

但是关键信息基础设施的范围依旧有待制定中的《关键信息基础设施识别指南》进行进一步地明确；4. 在个人信息和重要数据保护制度方面其核心内容主要包括个人信息收集和使用过程中的安全规范以及个人信息和重要数据出境时的安全评估制度。

信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求内容

《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿）编制说明1 工作简况1.1任务来源2015年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号：2015bzzd-WG5-001。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心（以下简称“检测中心”）负责主编。

国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》，开展实施工业控制等多个领域的信息安全专用产品扶持工作。

面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一，其中包含了隔离类设备，表明了工控隔离产品在工控领域信息安全产品中的地位，其标准的建设工作至关重要。

因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。

1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后，检测中心立即与产品生产厂商、工业控制厂商进行沟通，并得到了多家单位的积极参与和反馈。

最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。

1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合，逐步形成了管理与控制的一体化，导致生产控制系统不再是一个独立运行的系统，其接入的范围不仅扩展到了企业网甚至互联网，从而面临着来自互联网的威胁。

信息安全技术入侵检测系统技术要求和测试评价方法

ICS35.040L 80信息安全技术入侵检测系统技术要求和测试评价方法Information security technology-Techniques requirements and testing and evaluation approaches forintrusion detection system中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布GB/T 20275—2006目次前言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 缩略语 (2)5 入侵检测系统等级划分 (3)5.1 等级划分说明 (3)5.1.1 第一级 (3)5.1.2 第二级 (3)5.1.3 第三级 (3)5.2 安全等级划分 (3)5.2.1网络型入侵检测系统安全等级划分 (3)5.2.2主机型入侵检测系统安全等级划分 (6)6 入侵检测系统技术要求 (7)6.1 第一级 (7)6.1.1 产品功能要求 (7)6.1.2 产品安全要求 (9)6.1.3 产品保证要求 (10)6.2 第二级 (11)6.2.1 产品功能要求 (11)6.2.2 产品安全要求 (12)6.2.3 产品保证要求 (13)6.3 第三级 (15)6.3.1 产品功能要求 (15)6.3.2 产品安全要求 (15)6.3.3 产品保证要求 (16)7 入侵检测系统测评方法 (18)7.1 测试环境 (18)7.2 测试工具 (19)7.3 第一级 (19)7.3.1 产品功能测试 (19)7.3.2 产品安全测试 (25)7.3.3 产品保证测试 (27)7.4 第二级 (29)7.4.1 产品功能测试 (29)7.4.2 产品安全测试 (31)IGB/T ××××—200×7.4.3 产品保证测试 (33)7.5 第三级 (37)7.5.1 产品功能测试 (37)7.5.2 产品安全测试 (38)7.5.3 产品保证测试 (39)参考文献 (44)IIGB/T 20275—2006前言（略）IIIGB/T 20275—2006信息安全技术入侵检测系统技术要求和测试评价方法1 范围本标准规定了入侵检测系统的技术要求和测试评价方法，技术要求包括产品功能要求、产品安全要求、产品保证要求，并提出了入侵检测系统的分级要求。

信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求.doc

因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。

最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。

信息安全技术关键信息基础设施安全检查评价指引全国信息安全

国家标准《信息安全技术关键信息基础设施安全检查评估指南》编制说明一、工作简况1.1任务来源根据《中华人民共和国网络安全法》要求，关键信息基础设施要求在网络安全等级保护制度的基础上，实行重点保护，具体范围和安全保护办法由国务院制定。

网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。

为了落实网络安全法要求，规范关键信息基础设施检测评估相关方法、流程，全国信息安全标准化技术委员会于2016年立项《信息安全技术关键信息基础设施安全检查评估指南》国家标准，2016年7月，中央网信办网络安全协调局下达《<信息安全技术关键信息基础设施安全检查评估指南>国家标准制定》委托任务书，委托中国互联网络信息中心开展该标准的研制工作，并将本项目标识为WG7 组重点标准。

《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心、中国信息安全测评中心，工业和信息化部电子科学技术情报研究所（更名为国家工业信息安全发展研究中心）等单位共同参与起草。

1.2主要工作过程2017年1月至3月，《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心、中国信息安全测评中心，工业和信息化部电子科学技术情报研究所等单位共同参与讨论，讨论研究指南的编制，并形成标准讨论稿，向中央网信办领导汇报标准编制进展，并向全国信息安全标准化技术委员会提交项目申请。

2017年4月，标准通过全国信息安全标准化技术委员会WG7组会议讨论。

2017年4月，本标准获得由全国信息安全标准化技术委员会立项。

信息安全技术信息系统安全审计产品技术要求和测试评价方法

信息安全技术信息系统安全审计产品技术要求和测试评价方法信息安全技术在现代社会中扮演着至关重要的角色，而信息系统安全审计产品则是确保信息系统安全的关键工具。

本文将介绍信息系统安全审计产品的技术要求和测试评价方法，帮助读者了解该领域的核心知识。

一、信息系统安全审计产品的技术要求1. 完整性要求：信息系统安全审计产品应能够确保被审计系统的数据和程序的完整性，防止未经授权的篡改或修改。

产品需要能够记录系统数据和程序的变动，并及时报告任何异常情况。

2. 可扩展性要求：信息系统安全审计产品应能够适应不同规模和复杂度的系统，具备良好的可扩展性。

产品需要能够同时监测多个系统，并支持大量并发审计请求。

3. 可靠性要求：信息系统安全审计产品应具备高度的可靠性，能够保证审计数据的完整和准确。

产品需要能够自动进行周期性的备份和恢复操作，以应对意外故障或灾难恢复。

4. 实时性要求：信息系统安全审计产品应能够实时监测被审计系统的安全状态，及时发现和报告任何安全事件。

产品需要具备高效的数据采集和处理能力，能够在短时间内生成详细的审计报告。

5. 可视化要求：信息系统安全审计产品应提供直观的用户界面，能够清晰地展示被审计系统的安全状态和审计结果。

产品需要支持图表、报表等多种形式的数据展示方式，便于用户进行分析和决策。

二、信息系统安全审计产品的测试评价方法1. 功能测试：通过模拟实际场景，测试产品在实时监测、异常报告、数据采集等方面的功能是否完整和准确。

评价产品是否能够满足安全审计的基本需求。

2. 性能测试：测试产品在大规模系统和并发审计请求下的性能表现。

评估产品的扩展性和响应速度是否满足实际需求。

3. 安全测试：通过模拟恶意攻击和渗透测试，评估产品的安全性和可靠性。

确保产品能够有效地防御各类攻击，并保证审计数据的机密性和完整性。

4. 用户体验测试：通过用户调研和用户界面评估，评估产品的易用性和可视化效果。

确保产品的操作界面简洁友好，能够满足不同用户的需求。

信安标委发布《信息安全技术工业控制系统信息安全防护建设实施规范》征求意见稿

/Veivs •市场观察信安标委：发布《信息安全技术工业控制系统信息安全防护建设实施规范》征求意见稿2020年5月，由全国信息安全标准化技术委员会归口的《信系统信息安全防护建设实施，描述了工业企业新建/存量工业控息安全技术工业控制系统信息安全防护建设实施规范》已形成制系统信息安全防护建设实施流程及实施过程中需考虑的13个标准征求意见稿，面向社会公开征求意见。

标准规定了工业控制方面，制定了信息安全防护效果核验及对标方法。

工业网络安全风险评估标准获批2020年8月12日，ISA 和IEC 批准了工业网络安全风险评估标准。

该ISA / IEC 62443系列标准共同提供了一套全面的规范性要求，这些要求适用于工业网络安全解决方案生命周期的各个阶段，从规范和幵发到实施到操作和支持。

目标受众包括资产所有者、系统集成商、产品供应商、服务提供商和法规遵从性机构。

此次正式批准的IEC 62443-3-2标准定义了一组工程措施，指导组织评估特定的工业控制系统风险，识别和应用安全对策，降低安全风险到可接受的水平。

国家密码管理局发布26项密码行业标准，自2021年7月1日起实施据国家密码管理局公告，发布GM /T 0012-2020《可信计算可信密码模块接口规范》等26项密码行业标准，自2021年7月1 曰起实施，具体标准编号及名称如下：1. GM /T 0012-2020可信计算可信密码模块接口规范2. GM /T 0078-2020密码随机数生成模块设计指南3. GM /T 0079-2020可信计算平台直接匿名证明规范4. GM /T 0080-2020SM 9密码算法使用规范5. GM /T 0081-2020SM 9密码算法加密签名消息语法规范6. GM /T 0082-2020可信密码模块保护轮廓7. GM /T 0083-2020密码模块非入侵式攻击缓解技术指南8. GM /T 0084-2020密码模块物理攻击缓解技术指南9. GM /T 0085-2020基于SM 9标识密码算法的技术体系框架10. GM /T 0086-2020基于SM 9标识密码算法的密钥管理系统技术规范11. GM /T 0087-2020浏览器密码应用接口规范12. GM /T 0088-2020云服务器密码机管理接口规范13. GM /T 0089-2020简单证书注册协议规范14. GM /T 0090-2020标识密码应用标识格式规范15. GM /T 0091-2020基于口令的密钥派生规范16. GM /T 0092-2020基于SM 2算法的证书申请语法规范17. GM /T 0093-2020证书与密钥交换格式规范18. GM /T 0094-2020公钥密码应用技术体系框架规范19. GM /T 0095-2020电子招投标密码应用技术要求20. GM /T 0096-2020射频识别防伪系统密码应用指南21. GM /T 0097-2020射频识别电子标签统一名称解析服务安全技术规范22. GM /T 0098-2020基于IP 网络的加密语音通信密码技术规范23. GM /T 0099-2020开放式版式文档密码应用技术规范24. GM /T 0100-2020人工确权型数字签名密码应用技术要求25. GM /T 0101-2020近场通信密码安全协议检测规范26. GM /T 0102-2020密码设备应用接口符合性检测规范GM /T 0012-2012《可信计算可信密码模块接口规范》自2021年7月1日起予以废止。

工业控制系统信息安全标准

1 《信息安全技术工业控制系统安全控制应用指南》 2 《信息安全技术工业控制系统安全管理基本要求》 3 《信息安全技术工业控制系统测控终端安全要求》 4 《信息安全技术工业控制系统安全检查指南》 5 《信息安全技术工业控制系统安全分级指南》 6 《信息系统安全等级保护基本要求第5部分：工业控制系统》 7 《工业控制系统风险评估实施指南》 8 《信息安全技术工业控制系统安全防护技术要求和测试评价方法》 9 《信息安全技术工业控制系统网络审计产品安全技术要求》 10《工业控制系统专用防火墙技术要求》 11《信息安全技术工业控制系统网络监测安全技术要求和测试评价方法》 12《信息安全技术工业控制系统漏洞检测技术要求》 13《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》 14《工业控制系统产品信息安全评估准则第1部分简介和一般模型》 15《工业控制系统产品信息安全评估准则第2部分安全功能要求》 16《工业控制系统产品信息安全评估准则第3部分安全保障要求》
国际工控安全标准化组织：
3. 美国国家标准技术研究院（ NIST ， National Institute of Standards and Technology ） NIST是一个非监管性质的测量技术和标准国家级研究机构，其中信息技术实验室的计算机安全研究室是信息安全标准的主要制定者。2002年，美国政府在《联邦信息安全管理法案》（FISMA）以及《电子政府法案》中再次重申了NIST的职责是开发信息安全标准（联邦信息处理标准,即FIPS系列）。
国际工控安全标准化组织：
2. 国际自动化协会（ISA，the International Society of Automation）其前身是美国仪器、系统和自动化协会，是一个非盈利技术协会，服务于从事、研究、学习工业自动化及其相关领域（如现场仪表等）的工程师、技术员等人士，是世界上最重要的自动化标准订制与工业自动化人才培养专业组织之一。目前，ISA的主要任务是制定和完善标准、职业资格认证、提供教育和培训、出版书籍和论文、并且主办自动化专业领域最大型的会议和展览。ISA为它的成员提供各种渠道来获取技术信息、专业发展资源和与其他自动化专家交流的机会。除了这些之外，ISA会员还能有更多机会得到自动化领域内众多专家的认可。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

国家标准《信息安全技术工业控制网络监测安全技术要求及测试评价方法（征求意见稿）》编制说明
一、工作简况
1.1任务来源
《信息安全技术工业控制网络监测安全技术要求及测试评价方法》是全国信息安全标准化技术委员会2015年下达的信息安全国家标准制定项目，由中国电子技术标准化研究院承担，参与单位包括北京匡恩网络科技有限责任公司，北京工业大学，中国信息安全测评中心、中科院沈阳自动化所、和利时集团、公安部计算机信息系统安全产品质量监督检验中心、北京交通大学、浙江大学、解放军信息工程大学、中车株洲电力机车有限公司等单位。

1.2主要工作过程
1.2015年5月到6月，联系各个参与单位，进行任务分工和任
务组织；研究现有国内外工控安全相关标准，分析各自特点，
学习借鉴。

2.2015年7月到8月调研国内工业控制系统安全现状，学习、
研究、讨论国内外相关的标准及研究成果, 确定并编写总体
框架。

3.2015.8-2015.12 编写标准初稿，在工作组内征求意见，根据
组内意见进行修改。

4.2016年1月，向全国信息安全标准化技术委员会专家崔书昆
老师和王立福老师、石化盈科等行业用户、和利时等工业控
制设备制造商、公安3所等科研院所、长城网际等安全厂商
征求意见，根据反馈意见多次修改。

5.2016年1月，标准编制组召开第一次研讨会，根据专家在会
上提出的修改意见，对标准进行修改。

6.2016年5月，标准编制组在“工控系统信息安全标准和技术
专题研讨会”介绍了标准草案，听取了来自轨交、石化、电
力、冶金、制造业、汽车等行业专家对标准草案的意见并根
据专家在会上和会后提出的修改意见，对标准进行修改。

7.2016年6月，标准编制组召开专题研讨会介绍了标准草案，
并根据专家在会上提出的修改意见，对标准进行修改。

8.2016年10月，在信安标委举办的成都标准会议周上，项目组
就本标准研制情况在会上做了汇报，经组委会成员投票，同
意形成征求意见稿。

二、编制原则和主要内容
2.1 编制原则
本标准的研究与编制工作遵循以下原则：
（1）通用性原则
本标准在编制过程中参考了国内外诸多标准，包括：《工业过程测量与控制安全：网络与系统信息安全》系列标准（IEC 62443）、《推荐的联邦信息系统和组织的安全控制措施》（NIST SP 800-53）、《工业控制系统信息安全指南》（NIST SP 800-82）和《信息安全技术工业控制系统安全控制应用指南》，既确保标准科学性，又使得标准内容符合我国国情。

（2）可操作性和实用性原则
标准规范是对实际工作成果的总结与提升，最终还需要用于实践中，并经得起实践的检验，做到可操作、可用与实用。

为此，在本标准的制定过程中，起草组广泛征求行业用户意见。

所涉及的工业控制协议是广泛应用于各种工业控制领域的，也允许根据实际情况添加新的工业控制协议。

2.2 主要内容
本标准以工业控制网络监测系统的安全功能要求为研究目标，研究工业控制系统的技术架构特点、存在的安全漏洞和面临的安全威胁，确定需要监测分析的工业控制协议和监测系统应具备的功能。

主要内容为针对工业控制网络监测系统开展产品安全等级划分、监测技术要求、安全保证要求、测试评价环境及要求、安全保证测试等，从而规定了工业控制网络监测系统的安全技术要求和测试评价方法。

三、主要试验（或验证）的分析、综述报告，技术经济论证，预期
的经济效果
工业控制系统是国家关键基础设施的最重要组成部分，涉及一系列关系到国计民生的基础性行业，包括电力电网、轨道交通、石油化工以及核工业等。

网络攻击破坏工业网络信息系统的同时，将极大威胁关键基础设施的安全，导致国家经济、国防等遭受重大损失。

对于工控控制网络内的安全事件进行收集和分析，从中发现网络中是否有违反安全策略的行为或遭到入侵的迹象，并依据既定的策略采取一定的措施是非常必要的。

工业控制网络监测是工业网络动态安全的核心技术，其相关设备和系统是整个工业控制系统安全防护体系的重要组成部分，它能对网络环境下日新月异的入侵事件和过程做出实时响应。

工业控制系统特点决定了其安全产品需满足高可用性、不频繁升级、低时延、兼容
众多工业私有协议、适应严酷工业现场环境等特性。

因此工业控制网络监测系统设计需要兼顾工业应用场景与控制管理等多方面因素，以优先确保系统的高可用性和业务连续性。

本标准征求意见稿是在深入研究国外工业控制系统相关标准的基础上，充分调研国内工业控制系统应用，广泛听取了专家意见和建议的基础上形成的。

本标准编制期间调研和分析了国内工业控制系统应用和安全现状，研究和分析了国外工业控制系统安全体系相关文件和标准，内容包括对网络监测系统的安全功能要求和系统自身安全要求。

安全功能要求包括安全事件监测、安全事件响应、安全策略配置和安全事件审计；自身安全要求包括产品管理、产品可靠性、系统维护、访问控制和通信安全。

本标准是针对用于各行业的工业控制系统网络监测系统给出的安全技术要求和测试评价方法，可以用于工业控制网络监测系统设计、开发及测评。

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类
标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况
本标准在编写时参考了GB/T 20275-2006 信息安全技术入侵检测系统技术要求和测试评价方法，GB/T 26269-2010 网络入侵检测系统技术要求，和 GB/T 26268-2010 网络入侵检测系统测试方法等相关标准。

五、与有关的现行法律、法规和强制性国家标准的关系
本标准的编制，要与《工业控制系统安全控制应用指南》等相关工业控制系统信息安全标准协调一致，提供工业控制系统信息安全领域的实施层标准指导。

六、重大分歧意见的处理经过和依据
本标准编制过程中未出现重大分歧。

详见标准意见汇总处理表。

七、国家标准作为强制性国家标准或推荐性国家标准的建议
建议本标准作为推荐性国家标准发布实施。

八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、
过渡办法等内容）
本标准作为国家工业控制系统相关标准体系的一部分，在具体实施时建议与管理、评估类标准配合实施。

九、其他事项说明
本标准不涉及专利。

标准编制组
2016年11月。