《信息安全技术 工业控制系统安全控制应用指南》编制说明
(完整版)解读《工业控制系统信息安全防护指南》
解读《工业控制系统信息安全防护指南》制定《指南》的背景通知中明确“为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),保障工业企业工业控制系统信息安全,工业和信息化部制定《工业控制系统信息安全防护指南》。
”可以看出,《工业控制系统信息安全防护指南》是根据《意见》制定的。
《意见》中相关要求《意见》“七大任务"中专门有一条“提高工业信息系统安全水平"。
工信部根据《十三五规划纲要》、《中国制造2025》和《意见》等要求编制的《工业和信息化部关于印发信息化和工业化融合发展规划(2016-2020年)》中进一步明确,在十三五期间,我国两化融合面临的机遇和挑战第四条就是“工业领域信息安全形势日益严峻,对两化融合发展提出新要求”,其“七大任务”中也提到要“逐步完善工业信息安全保障体系”,“六大重点工程”中之一就是“工业信息安全保障工程”。
以上这些,就是政策层面的指导思想和要求。
《指南》条款详细解读《指南》整体思路借鉴了等级保护的思想,具体提出了十一条三十款要求,贴近实际工业企业真实情况,务实可落地.我们从《指南》要求的主体、客体和方法将十一条分为三大类:a、针对主体目标(法人或人)的要求,包含第十条供应链管理、第十一条人员责任: 1。
10 供应链管理(一)在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务.解读:工业控制系统的全生产周期的安全管理过程中,采用适合于工业控制环境的管理和服务方式,要求服务商具有丰富的安全服务经验、熟悉工业控制系统工作流程和特点,且对安全防护体系和工业控制系统安全防护的相关法律法规要有深入的理解和解读,保证相应法律法规的有效落实,并以合同的方式约定服务商在服务过程中应当承担的责任和义务。
(二)以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。
工业和信息化部关于印发《工业控制系统信息安全行动计划(2018-2020年)》的通知
工业和信息化部关于印发《工业控制系统信息安全行动计划(2018-2020年)》的通知文章属性•【制定机关】工业和信息化部•【公布日期】2017.12.12•【文号】工信部信软〔2017〕316号•【施行日期】2017.12.12•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】电子信息正文工业和信息化部关于印发《工业控制系统信息安全行动计划(2018-2020年)》的通知工信部信软〔2017〕316号各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门,有关中央企业:为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》等文件精神,加快我国工业控制系统信息安全保障体系建设,提升工业企业工业控制系统信息安全防护能力,促进工业信息安全产业发展,制定《工业控制系统信息安全行动计划(2018-2020年)》。
现印发你们,请结合实际,抓好贯彻落实。
附件:工业信息安全行动计划(2018-2020年)工业和信息化部2017年12月12日附件工业控制系统信息安全行动计划(2018-2020年)工业控制系统信息安全(以下简称工控安全)是实施制造强国和网络强国战略的重要保障。
近年来,随着中国制造全面推进,工业数字化、网络化、智能化加快发展,我国工控安全面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等新挑战。
为全面落实国家安全战略,提升工业企业工控安全防护能力,促进工业信息安全产业发展,加快我国工控安全保障体系建设,制定本行动计划。
一、总体要求(一)指导思想全面贯彻落实党的十九大精神,以习近平新时代中国特色社会主义思想为指引,坚持总体国家安全观,以落实企业主体责任为关键,紧紧围绕新时期两化深度融合发展需求,重点提升工控安全态势感知、安全防护和应急处置能力,促进产业创新发展,建立多级联防联动工作机制,为制造强国和网络强国战略建设奠定坚实基础。
解读工业控制系统信息安全防护的指南
《工业控制系统信息安全防护指南》解读发布时间:2016-11-08 来源:信息化和软件服务业司工业控制系统信息安全(以下简称“工控安全”)是国家网络和信息安全的重要组成部分,是推动中国制造2025、制造业与互联网融合发展的基础保障。
2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》(以下简称《指南》),指导工业企业开展工控安全防护工作。
一、背景情况工控安全事关经济发展、社会稳定和国家安全。
近年来,随着信息化和工业化融合的不断深入,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化。
在生产力显著提高的同时,工业控制系统面临着日益严峻的信息安全威胁。
为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)文件精神,应对新时期工控安全形势,提升工业企业工控安全防护水平,编制本《指南》。
二、总体考虑《指南》坚持“安全是发展的前提,发展是安全的保障”,以当前我国工业控制系统面临的安全问题为出发点,注重防护要求的可执行性,从管理、技术两方面明确工业企业工控安全防护要求。
编制思路如下:(一)落实《国家网络安全法》要求《指南》所列11项要求充分体现了《国家网络安全法》中网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置等法规在工控安全领域的要求,是《国家网络安全法》在工业领域的具体应用。
(二)突出工业企业主体责任《指南》根据我国工控安全管理工作实践经验,面向工业企业提出工控安全防护要求,确立企业作为工控安全责任主体,要求企业明确工控安全管理责任人,落实工控安全责任制。
(三)考虑我国工控安全现状《指南》编制以近五年我部工控安全检查工作掌握的有关情况为基础,充分考虑当前工控安全防护意识不到位、管理责任不明晰、访问控制策略不完善等问题,明确了《指南》的各项要求。
(四)借鉴发达国家工控安全防护经验《指南》参考了美国、欧盟、日本等发达国家工控安全相关政策、标准和最佳实践做法,对安全软件选择与管理、配置与补丁管理、边界安全防护等措施进行了论证,提高了《指南》的科学性、合理性和可操作性。
工业控制系统信息安全防护指南
工业掌握系统信息安全防护指南工信部2022 年 10 月公布工业掌握系统信息安全事关经济进展、社会稳定和国家安全。
为提升工业企业工业掌握系统信息安全〔以下简称工控安全〕防护水平,保障工业掌握系统安全,制定本指南。
工业掌握系统应用企业以及从事工业掌握系统规划、设计、建设、运维、评估的企事业单位适用本指南。
工业掌握系统应用企业应从以下十一个方面做好工控安全防护工作。
一、安全软件选择与治理〔一〕在工业主机上承受经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
〔二〕建立防病毒和恶意软件入侵治理机制,对工业掌握系统及临时接入的设备实行病毒查杀等安全预防措施。
二、配置和补丁治理〔一〕做好工业掌握网络、工业主机和工业掌握设备的安全配置,建立工业掌握系统配置清单,定期进展配置审计。
〔二〕对重大配置变更制定变更打算并进展影响分析,配置变更实施前进展严格安全测试。
〔三〕亲热关留意大工控安全漏洞及其补丁公布,准时实行补丁升级措施。
在补丁安装前,需对补丁进展严格的安全评估和测试验证。
三、边界安全防护〔一〕分别工业掌握系统的开发、测试和生产环境。
〔二〕通过工业掌握网络边界防护设备对工业掌握网络与企业网或互联网之间的边界进展安全防护,制止没有防护的工业控制网络与互联网连接。
〔三〕通过工业防火墙、网闸等防护设备对工业掌握网络安全区域之间进展规律隔离安全防护。
四、物理和环境安全防护〔一〕对重要工程师站、数据库、效劳器等核心工业掌握软硬件所在区域实行访问掌握、视频监控、专人值守等物理安全防护措施。
〔二〕撤除或封闭工业主机上不必要的 USB、光驱、无线等接口。
假设确需使用,通过主机外设安全治理技术手段实施严格访问掌握。
五、身份认证〔一〕在工业主机登录、应用效劳资源访问、工业云平台访问等过程中使用身份认证治理。
对于关键设备、系统和平台的访问承受多因素认证。
〔二〕合理分类设置账户权限,以最小特权原则安排账户权限。
信息安全技术工业控制系统安全控制应用指南
信息安全技术工业控制系统安全控制应用指南信息安全技术在工业控制系统中的应用日益重要,保障工业控制系统的安全性已经成为了当务之急。
本文将从信息安全技术在工业控制系统中的应用角度,探讨如何进行安全控制,以保护工业控制系统免受各种威胁的侵害。
一、工业控制系统的安全威胁工业控制系统是指用于监控和控制工业过程的系统,如电力系统、水处理系统、交通信号系统等。
然而,随着互联网的普及,工业控制系统也面临着越来越多的安全威胁。
黑客攻击、恶意软件、物理攻击等威胁可能导致工业控制系统发生故障、停工甚至事故。
因此,保障工业控制系统的安全性至关重要。
二、信息安全技术在工业控制系统中的应用1. 认识威胁:了解工业控制系统可能面临的各种安全威胁,包括网络攻击、恶意软件、物理攻击等,并进行风险评估,以制定相应的安全措施。
2. 访问控制:采用身份认证、访问控制列表、权限管理等技术,限制未经授权的人员或设备对工业控制系统的访问和操作,防止非法入侵和误操作。
3. 数据加密:对工业控制系统中的敏感数据进行加密,确保数据在传输和存储过程中不被窃取或篡改,提高数据的保密性和完整性。
4. 安全监测:利用入侵检测系统(IDS)、入侵防御系统(IPS)等技术,对工业控制系统进行实时监测和检测,及时发现和阻止安全事件的发生。
5. 安全培训:对工业控制系统的管理员和操作人员进行安全培训,提高其安全意识和技能,减少人为失误导致的安全事故。
6. 安全更新:及时安装工业控制系统的安全补丁和更新,修复已知的漏洞,提高系统的安全性。
7. 应急响应:建立应急响应机制,制定应急预案,提前应对可能发生的安全事件,减少损失和影响。
8. 物理安全:确保工业控制系统的物理环境安全,如安装监控摄像头、闸机等设备,防止未经授权的人员进入控制区域。
9. 网络隔离:将工业控制系统与企业内部网络和互联网隔离,减少攻击面,防止安全事件扩散和蔓延。
10. 安全审计:定期对工业控制系统进行安全审计,发现和解决安全隐患,提高系统的安全性和稳定性。
信安标委发布《信息安全技术 工业控制系统信息安全防护建设实施规范》征求意见稿
/Veivs •市场观察信安标委:发布《信息安全技术工业控制系统信息安全防护建设实施规 范》征求意见稿2020年5月,由全国信息安全标准化技术委员会归口的《信系统信息安全防护建设实施,描述了工业企业新建/存量工业控 息安全技术工业控制系统信息安全防护建设实施规范》已形成制系统信息安全防护建设实施流程及实施过程中需考虑的13个 标准征求意见稿,面向社会公开征求意见。
标准规定了工业控制方面,制定了信息安全防护效果核验及对标方法。
工业网络安全风险评估标准获批2020年8月12日,ISA 和IEC 批准了工业网络安全风险评估 标准。
该ISA / IEC 62443系列标准共同提供了一套全面的规范 性要求,这些要求适用于工业网络安全解决方案生命周期的各个 阶段,从规范和幵发到实施到操作和支持。
目标受众包括资产所有者、系统集成商、产品供应商、服务提供商和法规遵从性机 构。
此次正式批准的IEC 62443-3-2标准定义了一组工程措施, 指导组织评估特定的工业控制系统风险,识别和应用安全对策, 降低安全风险到可接受的水平。
国家密码管理局发布26项密码行业标准,自2021年7月1日起实施据国家密码管理局公告,发布GM /T 0012-2020《可信计算 可信密码模块接口规范》等26项密码行业标准,自2021年7月1 曰起实施,具体标准编号及名称如下:1. GM /T 0012-2020可信计算可信密码模块接口规范2. GM /T 0078-2020密码随机数生成模块设计指南3. GM /T 0079-2020可信计算平台直接匿名证明规范4. GM /T 0080-2020SM 9密码算法使用规范5. GM /T 0081-2020SM 9密码算法加密签名消息语法规范6. GM /T 0082-2020可信密码模块保护轮廓7. GM /T 0083-2020密码模块非入侵式攻击缓解技术指南8. GM /T 0084-2020密码模块物理攻击缓解技术指南9. GM /T 0085-2020基于SM 9标识密码算法的技术体系框架10. GM /T 0086-2020基于SM 9标识密码算法的密钥管理系统技术规范11. GM /T 0087-2020浏览器密码应用接口规范12. GM /T 0088-2020云服务器密码机管理接口规范13. GM /T 0089-2020简单证书注册协议规范14. GM /T 0090-2020标识密码应用标识格式规范15. GM /T 0091-2020基于口令的密钥派生规范16. GM /T 0092-2020基于SM 2算法的证书申请语法规范17. GM /T 0093-2020证书与密钥交换格式规范18. GM /T 0094-2020公钥密码应用技术体系框架规范19. GM /T 0095-2020电子招投标密码应用技术要求20. GM /T 0096-2020射频识别防伪系统密码应用指南21. GM /T 0097-2020射频识别电子标签统一名称解析服务安全技术规范22. GM /T 0098-2020基于IP 网络的加密语音通信密码技术规范23. GM /T 0099-2020开放式版式文档密码应用技术规范24. GM /T 0100-2020人工确权型数字签名密码应用技术要求25. GM /T 0101-2020近场通信密码安全协议检测规范26. GM /T 0102-2020密码设备应用接口符合性检测规范GM /T 0012-2012《可信计算可信密码模块接口规范》自2021年7月1日起予以废止。
工业和信息化部关于印发工业控制系统网络安全防护指南的通知
工业和信息化部关于印发工业控制系统网络安全防护指南的通知文章属性•【制定机关】工业和信息化部•【公布日期】2024.01.19•【文号】工信部网安〔2024〕14号•【施行日期】2024.01.19•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】工业和信息化管理综合规定正文工业和信息化部关于印发工业控制系统网络安全防护指南的通知工信部网安〔2024〕14号各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门,有关企事业单位:现将《工业控制系统网络安全防护指南》印发给你们,请认真抓好落实。
工业和信息化部2024年1月19日工业控制系统网络安全防护指南工业控制系统是工业生产运行的基础核心。
为适应新时期工业控制系统网络安全(以下简称工控安全)形势,进一步指导企业提升工控安全防护水平,夯实新型工业化发展安全根基,制定本指南。
使用、运营工业控制系统的企业适用本指南,防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。
一、安全管理(一)资产管理1.全面梳理可编程逻辑控制器(PLC)、分布式控制系统(DCS)、数据采集与监视控制系统(SCADA)等典型工业控制系统以及相关设备、软件、数据等资产,明确资产管理责任部门和责任人,建立工业控制系统资产清单,并根据资产状态变化及时更新。
定期开展工业控制系统资产核查,内容包括但不限于系统配置、权限分配、日志审计、病毒查杀、数据备份、设备运行状态等情况。
2.根据承载业务的重要性、规模,以及发生网络安全事件的危害程度等因素,建立重要工业控制系统清单并定期更新,实施重点保护。
重要工业控制系统相关的关键工业主机、网络设备、控制设备等,应实施冗余备份。
(二)配置管理3.强化账户及口令管理,避免使用默认口令或弱口令,定期更新口令。
遵循最小授权原则,合理设置账户权限,禁用不必要的系统默认账户和管理员账户,及时清理过期账户。
工业和信息化部关于《工业控制系统网络安全防护指南》的解读
工业和信息化部关于《工业控制系统网络安全防护指南》的解读文章属性•【公布机关】工业和信息化部,工业和信息化部,工业和信息化部•【公布日期】2024.01.30•【分类】法规、规章解读正文《工业控制系统网络安全防护指南》解读近日,工业和信息化部印发了《工业控制系统网络安全防护指南》(以下简称《防护指南》)。
现将有关内容解读如下:一、《防护指南》出台的背景和意义是什么?工业控制系统作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。
2016年,工业和信息化部出台《工业控制系统信息安全防护指南》,对有效指导工业企业开展工控安全防护工作发挥了积极作用。
2017年以来,我国相继颁布了《网络安全法》《数据安全法》《密码法》等法律法规及行业应用方面的部门规章,现有政策文件未能充分衔接相关法律法规要求。
与此同时,工业企业数字化转型步伐加快,工业控制系统开放互联趋势明显,工业企业面临的网络安全风险与日俱增,工业企业加强网络安全防护需求迫切。
为做好《防护指南》编制工作,工业和信息化部结合新形势新要求,系统全面调研,深入分析新时期工控安全风险和企业安全防护需求,广泛征集地方工信主管部门、行业协会、部属单位、工控厂商、工业企业、安全企业、专家学者等各方意见。
《防护指南》将有效满足当前和未来一个时期工控系统安全防护需求,指导工业企业切实提升工业控制系统网络安全基线防护水平,推动企业数字化转型发展。
二、《防护指南》适用对象有哪些?《防护指南》适用于使用、运营工业控制系统的企业。
防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。
三、《防护指南》的定位和总体考虑是什么?《防护指南》定位于面向工业企业做好网络安全防护的指导性文件,坚持统筹发展和安全,围绕安全管理、技术防护、安全运营、责任落实四方面,提出三十三项指导性安全防护基线要求,推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家标准《信息安全技术工业控制系统安全控制应用指南》(征求意见稿)编制说明一、工作简况1.1任务来源《信息安全技术工业控制系统安全控制应用指南》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目,国标计划号为:20100384-T-469,原名称为“工控SCADA系统安全控制指南”,由国家信息技术安全研究中心承担,参与单位包括国家信息技术安全研究中心、国家能源局(原电监会)信息中心、中国电力科学研究院、无锡市同威科技有限公司等单位。
2013年8月标准草案专家评审会议上专家建议将标准修改为“工业控制系统安全控制应用指南”1.2主要工作过程1、2010年2月,联系各个参与单位,进行任务分工和任务组织;研究现有国内外工控安全相关标准,分析各自特点,学习借鉴,包括IEC 62443、NIST SP 800-82、NIST SP 800-53 ISO/IEC 27019等标准。
2、2010年2-6月,项目组先后到北京地区拥有SCADA系统的七个行业进行了实地调研并与各行业从事SCADA系统管理和维护的人员进行了座谈;并形成各工业控制系统的调研报告。
3、2010年6月,项目组组织召开了行业专家讨论会,听取了来自石油、电力、供水、燃气、铁路、城市轨道交通等行业专家对标准草案的意见。
4、2010年7月,根据任务书的要求,规范编制小组开展考察调研和资料搜集工作,按照需求分析整理出安全漏洞分类规范的框架结构。
5、2010年7月8日,召集了信息安全标准专家征求意见会,会上许多专家从标准中术语的定义、标准的内容格式上提出了许多宝贵意见。
会后,项目组对专家意见进行了认真分析和研究,在此基础上形成了标准草案。
6、2010年12月初,召集第二次行业专家征求意见会,进一步对标准制定内容进行讨论,为制标做准备。
7、2011年7月,讨论确定编制思路和标准框架,按照分工开始各部分编制工作,重点是控制措施部分。
8、2011年11月,项目组人员参加工控SCADA系统信息安全研讨会,听取与会专家关于工控SCADA系统信息安全方面的意见和见解,丰富项目组人员工控SCADA系统安全视野。
9、2011年7月-12月,项目组人员集中分析研究了国外工业控制系统相关标准的基础上,结合领域专家意见和建议,形成了《工控SCADA系统安全控制指南》草稿。
10、2012年7月,在安标委年度标准检查会议上,向安标委专家介绍了《工控SCADA系统安全控制指南》标准成果,听取了专家的意见和建议。
11、2012年7月,邀请安标委专家王立福教授对标准编写提供意见与建议,根据王教授的建议将标准调整为《工控SCADA系统安全控制应用指南》和《工控SCADA系统安全控制指南》。
根据王教授意见课题组将确定将标准调整为《SCADA 系统安全控制应用指南》,并进行标准内容调整。
12、2012年7月-9月,根据安标委专家的意见和建议,修改完善标准草案,并邀请了部分安标委专家给予项目组专门的指导,形成了《工控SCADA系统安全控制应用指南》草稿。
13、2012年9月,项目组参加了“工业控制系统标准研讨会”,听取了TC260、TC124等不同专家关于工控系统安全标准的观点和意见,在汲取各位专家的意见和观点的基础上,进一步改进完善了《工控SCADA系统安全控制应用指南》草稿,并形成1.1版本。
14、2012年9月-2013年4月,根据专家的意见,对国内外的工业控制系统安全标准进行研究,尤其是研究美国工业控制安全标准,包括NIST SP800-82、SP800-53,美国天然气工业协会(AGA)AGA 12系列标准,ISA 99系列标准,北美电力可控性公司(NERC)CIP系列标准。
并多次召开内部讨论会,对标准草案内容进行讨论,形成了《工控SCADA系统安全控制应用指南》草案1.2版本。
15、2013年8月16日,全国信息安全标准化技术委员会WG5工作组在北京组织召开了国家标准《SCADA系统安全控制指南》(草案)专家评审会。
专家听取了编制组关于标准编制情况介绍和标准说明,审阅了相关文档,经质询讨论,形成以下意见:编制组在广泛调研的基础上,参考了国内外工业控制系统安全的有关标准,多次征求专家意见,广泛吸取了相关行业、企业的建议,进行了反复修改、完善;该标准概述了工业控制系统一般性安全问题,存在的威胁和脆弱性,给出了工业控制系统安全控制应用指南,对工业控制系统安全建设具有指导意义;该标准整体架构清晰、合理,编写格式基本符合GB/T 1.1-2009要求;专家组建议该标准名称改为《信息安全技术工业控制系统安全控制应用指南》。
专家组同意通过评审。
建议与相关标准编制单位进行协调,修改完善后,尽快形成征求意见稿。
16、2013年12月-2014年5月,标准编制小组在积极采纳专家意见的基础上,对规范内容进行修改(删除、增加),调整了标准名称为:《信息安全技术工业控制系统安全控制应用指南》。
17、2014年11月,信安标委WG5工作组组织成员单位对《信息安全技术工业控制系统安全控制应用指南》标准草案稿进行了投票表决,通过了本标准。
投票表决中相关单位和专家提出了一些修改建议和意见,标准编制组对意见进行了逐条分析和理解,形成标准征求意见稿及相关文件。
二、编制原则和主要内容2.1 编制原则本标准的研究与编制工作遵循以下原则:(1)通用性原则立足于当前信息化技术水平,对国内外知名安全漏洞库的分类方法进行总结、归纳、简化,同时参考吸纳国外相关领域的先进成果并融入标准。
(2)可操作性和实用性原则标准规范是对实际工作成果的总结与提升,最终还需要用于实践中,并经得起实践的检验,做到可操作、可用与实用。
(3)简化原则根据规范化对象的结构、形式、规则等筛选提炼,经过剔除、替换,保持整体结构合理且维持原意和功能不变。
本标准的编制的内容制定遵循以下原则:(A) 唯一性原则:安全漏洞仅在某一类别中,其所属类别不依赖人为因素。
(B) 互斥性原则:类别没有重叠,安全漏洞必属于某一分类。
(C) 扩展性原则:允许根据实际情况扩展安全漏洞的类别。
2.2 主要内容本标准的研究目标及内容是对工业控制系统安全控制应用的方法、步骤、范围、监控等进行研究,研究工业控制系统的技术架构特点、存在的安全漏洞和面临的安全威胁,并给出解决这些安全问题的基本安全基线和安全控制措施,以指导组织中负责系统建设的组织者、负责信息安全工作的实施者和从事信息安全工作的相关人员实施工业控制系统安全控制应用到本组织的工业控制系统。
本标准主要内容目录如下:前言 ................................................................ 错误!未定义书签。
引言 ................................................................ 错误!未定义书签。
1 范围........................................................... 错误!未定义书签。
2 规范性引用文件................................................. 错误!未定义书签。
3 术语和定义..................................................... 错误!未定义书签。
4 缩略语......................................................... 错误!未定义书签。
5 安全控制的应用................................................. 错误!未定义书签。
5.1 安全控制的应用前提....................................... 错误!未定义书签。
5.2 安全控制的选择与规约..................................... 错误!未定义书签。
5.2.1 安全控制基线选择................................... 错误!未定义书签。
5.2.2 安全控制基线裁剪................................... 错误!未定义书签。
5.2.3 安全控制基线补充................................... 错误!未定义书签。
5.3 安全控制的应用步骤....................................... 错误!未定义书签。
5.4 安全控制的应用范围....................................... 错误!未定义书签。
5.5 安全控制的监控........................................... 错误!未定义书签。
附录 A (资料性附录)工业控制系统面临的安全风险.................. 错误!未定义书签。
A.1 工业控制系统面临的威胁..................................... 错误!未定义书签。
A.2 ICS系统主要脆弱性分析..................................... 错误!未定义书签。
A.2.1 策略和规程脆弱性..................................... 错误!未定义书签。
A.2.2 网络脆弱性........................................... 错误!未定义书签。
A.2.3 平台脆弱性........................................... 错误!未定义书签。
A.3 传统信息系统信息安全威胁与防护措施对ICS系统的影响......... 错误!未定义书签。
附录 B (规范性附录) ICS系统安全控制措施........................ 错误!未定义书签。
B.1 物理安全(PE)............................................. 错误!未定义书签。
B.1.1 物理安全策略和规程(PE-1)........................... 错误!未定义书签。
B.1.2 物理访问授权(PE-2)................................. 错误!未定义书签。
B.1.3 物理访问控制(PE-3)................................. 错误!未定义书签。