工业控制系统信息安全关键标准
【推荐下载】工业控制系统信息安全推荐性国家标准发布
张小只智能机械工业网
张小只机械知识库工业控制系统信息安全推荐性国家标准发布
2014年12月2日,全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)秘书处在我国职工之家组织召开了推荐性国家标准GB/T30976.1~.2-2014《工业控制系统信息安全》(2个部分)发布暨报告会。
国家标准化管理委员会工业二部戴红主任、张成宇同志;科技部高新司先进制造与自动化处孙权副处长;工信部装备司机械处辛晨华处长;工信部协调司蔡野处长;SAC/TC124秘书长王春喜主任等领导出席了会议。
机械工业仪器仪表综合技术经济研究所欧阳劲松所长主持了会议。
戴红主任根据中华人民共和国国家标准公告2014年第19号批复,宣布《工业控制系统信息安全》(2个部分)已被国家质量监督检验检疫总局、国家标准化管理委员会批准为推荐性国家标准,标准编号和名称为:
GB/T30976.1-2014工业控制系统信息安全第1部分:评估规范;
GB/T30976.2-2014工业控制系统信息安全第2部分:验收规范。
孙权副处长结合当前科技工作,做了工控信息安全的技术研究思路主题发言,并希望全国工业过程测量控制和自动化标准化委员会能够再接再厉,与国家科技攻关项目密切配合,开展重点领域工业控制系统及其关键设施的信息安全标准研制工作,逐步完善我国工业控制领域的信息安全标准体系。
标准起草工作组王玉敏高工代表工作组对该标准的制定、审查和工作过程做了说明;机械工业仪器仪表综合技术经济研究所的梅恪副所长作了《我国工控系统信息安全技术标准体系》报告,介绍了秘书处在工控系统安全标准体系建设方面的设想。
我国核电工程有限公司的张玉锋主任工程师介绍了《核电厂网络安全实施现状》,北京。
IEC 62443标准_工控安全
IEC 62443标准综述一、工业安全分为三类:功能安全(Functional Satety),物理安全(Physical Satety),信息安全(Security)二、ISO/IEC27002对信息安全的定义是:保持信息的保密性、完整性、可用性。
IEC62443针对工控系统信息安全的定义是:A、保护系统所采取的措施;B、由建立和维护保护系统的措施所得到的系统状态;C、能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失。
D、基于计算机系统的能力,能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能,却保证授权人员和系统不被阻止;E、防止对工控系统的非法或有害入侵,或者干扰其正确和计划的操作。
三、工控系统实时性要求响应时间大多在1ms以内;IT系统通常在1s或数秒之内。
四、2011年5月,IEC 62443由最初的《工业通信网络与系统信息安全》改为《工业过程测量、控制和自动化网络与系统信息安全》五、IEC 62443标准分为四个部分,12个文档。
第一部分描述了信息安全的通用方面,如术语、概念、模型、缩略语、符合性度量。
第二部分主要针对用户的信息安全程序。
主要包括整改信息安全系统的管理、人员和程序设计方面,是用户建立其信息安全程序是需要考虑的。
第三部分主要针对系统集成商保护系统所需的技术性信息安全要求。
它主要是系统集成商在把系统组装到一起是需要处理的内容。
包括将整体工业自动化控制系统设计分配到各个区域和通道的方法,以及信息安全保障等级的定义和要求。
第四部分:主要针对制造商提供的单个部件的技术性信息安全要求。
包括系统的硬件、软件和信息部分,以及当开发或获取这些类型的部件时需要考虑的特定技术性信息安全要求。
总之,IEC62443标准通过四个部分,对资产所有者、系统集成商、组件供应商进行了相关信息安全的要求。
IEC 62443-3-3工业过程测量、控制和自动化网络与系统信息安全》(IEC 62443)是针对工业自动化和工业安全的系列标准,指导系统集成商、产品提供商和服务提供商对他们的产品和服务进行安全性评估。
《工业控制系统信息安全防护指南》
4)保留工业控制系统的相关访问日志,并对操作过程进行安全审计。
工业企业应保留工业控制系统设备、应用等访问日志,并定期进行备份,通过审计人员账户、访问时间、操作内容等日志信息,追踪定位非授权访问行为。
安全监测和应急预案演练
1)在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。
2)合理分类设置账户权限,以最小特权原则分配账户权限。
工业企业应以满足工作要求的最小特权原则来进行系统账户权限分配,确保因事故、错误、篡改等原因造成的损失最小化。工业企业需定期审计分配的账户权限是否超出工作需要。
3)强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认口令或弱口令,定期更新口令。
主机外设统一管理设备、隔离存放有外设接口的工业主机等安全管理技术手段。
身份认证
1)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。
用户在登录工业主机、访问应用服务资源及工业云平台等过程中,应使用口令密码、USB-key、智能卡、生物指纹、虹膜等身份认证管理手段,必要时可采用多种认证手段。
边界安全防护
1)分离工业控制系统的开发、测试和生产环境。
工业控制系统的开发、测试和生产环境需执行不同的安全控制措施、工业企业可采用物理隔离、网络逻辑隔离等方式进行隔离。
2)通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。
工业控制网络边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。工业企业应根据实际情况,在不同网络边界之间部署边界安全防护设备,实现安全访问控制,阻断非法网络访问,严格禁止没有防护的工业控制网络与互联网连接。
工控信息安全标准
工控信息安全标准
工控信息安全标准是指对工控系统进行信息安全保护的规范和要求。
其主要内容包括以下方面:
1. 安全管理体系:建立完善的信息安全管理制度,包括安全策略、安全规定、安全组织、安全培训、应急预案等。
2. 安全技术措施:采用多种技术手段进行信息安全保护,包括访问控制、身份验证、数据加密、漏洞管理、安全监控等。
3. 安全评估测试:进行定期的安全评估和测试,识别潜在的安全风险和漏洞,及时采取措施进行修复。
4. 安全事件应急处理:建立完善的应急预案和响应机制,对安全事件进行及时有效的处理,缩小安全事故的影响。
5. 安全培训和宣传:开展相关的安全培训和宣传,提高信息安全意识和保护能力,促进人员的安全行为和责任意识。
当前国内针对工控系统信息安全的标准主要包括GB/T 28448《工控系统信息安全技术规范》、GB/T 31120《信息技术工业过程测控设备网络安全能力要求》、GA/T 184-2018《工控系统网络安全指南》等。
isa s106标准
isa s106标准ISA S106是国际自动化协会(ISA)发布的一项关于工业控制系统信息安全的标准。
该标准主要针对工业控制系统(ICS)的信息安全进行了详细的规定和指导,旨在提高ICS的安全性能,防止由于信息泄露、篡改或破坏导致的严重经济损失和环境破坏。
一、ISA S106标准的主要内容ISA S106标准主要包括以下内容:1.ICS的定义和范围:ICS是指由多个互联的设备和软件组成的系统,用于实现一个或多个特定的工业过程或操作。
2.ICS的安全生命周期:包括安全策划、安全设计、安全实施、安全运行和维护等阶段。
3.ICS的安全要求:包括物理安全、网络安全、系统安全、数据安全和应用安全等方面。
4.ICS的安全评估:包括风险评估、威胁建模、漏洞扫描和渗透测试等方法。
5.ICS的安全运营:包括安全培训、安全意识和文化、事件响应和恢复等措施。
二、ISA S106标准的主要特点1.全面性:ISA S106标准涵盖了ICS的所有阶段和方面,从策划到设计,从实施到运行,从维护到更新,都有详细的规定和指导。
2.实用性:ISA S106标准不仅提供了理论知识,还提供了大量的实践方法和工具,帮助组织有效地实施ICS的安全控制。
3.灵活性:ISA S106标准允许组织根据自身的业务需求和风险状况,灵活选择和组合不同的安全控制措施。
4.一致性:ISA S106标准与国际上其他相关的信息安全标准和最佳实践保持一致,有助于组织实现ICS的国际化和标准化。
三、ISA S106标准的实施步骤1. 制定ICS的安全策略:根据组织的业务需求和风险状况,制定ICS的安全策略,明确ICS的安全目标和安全要求。
2. 进行ICS的安全评估:通过风险评估、威胁建模、漏洞扫描和渗透测试等方法,评估ICS的安全状况,识别ICS的安全风险和弱点。
3. 设计和实施ICS的安全控制:根据ICS的安全评估结果,设计和实施IC S的安全控制,包括物理安全、网络安全、系统安全、数据安全和应用安全等方面。
工业控制信息安全标准
工业控制信息安全标准首先,工业控制信息安全标准需要包括对网络安全的规定。
工业控制系统通常由多个网络组成,这些网络之间可能存在连接,因此网络安全是保障工业控制系统信息安全的基础。
在网络安全标准中,需要规定网络拓扑结构、网络访问控制、网络隔离等内容,以确保工业控制系统的网络安全。
其次,工业控制信息安全标准还需要规定对设备和数据的安全要求。
工业控制系统中包括大量的设备和数据,这些设备和数据的安全直接关系到整个系统的安全。
因此,需要规定设备的安全防护要求、设备的访问控制、数据的加密传输等内容,以确保设备和数据的安全。
此外,工业控制信息安全标准还需要规定对人员的安全管理要求。
工业控制系统的安全不仅仅依赖于技术手段,人员的安全意识和行为也至关重要。
因此,需要规定人员的安全培训要求、人员的权限管理、人员的安全行为规范等内容,以提高人员的安全意识和行为规范,从而提升整个系统的安全性。
另外,工业控制信息安全标准还需要规定对安全事件的监测和应急响应要求。
安全事件的监测和应急响应是保障工业控制系统信息安全的重要手段。
因此,需要规定安全事件的监测要求、安全事件的报告要求、安全事件的应急响应流程等内容,以及时发现和应对安全事件,减小安全事件对系统造成的影响。
最后,工业控制信息安全标准还需要规定对安全管理的要求。
安全管理是保障工业控制系统信息安全的基础,需要规定安全管理的组织架构、安全管理的责任分工、安全管理的审核评估等内容,以建立健全的安全管理体系,保障工业控制系统的信息安全。
综上所述,工业控制信息安全标准是保障工业控制系统信息安全的重要手段,需要包括网络安全、设备和数据安全、人员安全管理、安全事件监测和应急响应、安全管理等内容。
只有建立和完善工业控制信息安全标准,才能有效保障工业控制系统的信息安全,确保生产系统的稳定运行。
工业控制系统信息安全标准化
工业控制系统信息安全标准化是为了确保工业控制系统的安全
性和可靠性而制定的一系列标准。
这些标准涉及到工业控制系统的各个方面,包括系统安全、网络安全、数据安全等。
通过制定和实施这些标准,可以规范工业控制系统在设计、开发、部署、运行和维护过程中的安全行为,提高系统的安全性、可靠性和可控性。
同时,标准化也有助于促进工业控制系统之间的互操作性和兼容性,降低安全风险和成本。
工业控制系统信息安全标准化的主要内容包括:
系统安全:制定系统安全标准和规范,确保工业控制系统的物理安全、逻辑安全和网络安全。
网络安全:制定网络安全标准和规范,确保工业控制系统的网络通信安全、网络设备安全和网络管理安全。
数据安全:制定数据安全标准和规范,确保工业控制系统的数据完整性、数据保密性和数据可用性。
应用安全:制定应用安全标准和规范,确保工业控制系统中的应用程序的安全性和可靠性。
安全管理:制定安全管理标准和规范,确保工业控制系统在安全管理方面的规范化和标准化。
工业控制系统信息安全标准化的实施需要政府、企业和社会各界的共同努力。
政府应加强标准化工作的引导和支持,企业应加强自身的标准化建设和管理,社会各界应加强标准化的宣传和推广。
总之,工业控制系统信息安全标准化是保障工业控制系统安全的重要手段,对于促进工业控制系统的发展和应用具有重要意义。
工业控制系统等级保护主要标准
工业控制系统等级保护主要标准
工业控制系统等级保护主要标准包括以下几个方面:
1.ISA/IEC62443:ISA/IEC62443是一系列工业控制系统安全标准,包括关键基础设施保护、网络和系统安全等。
2. NIST Cybersecurity Framework:NIST Cybersecurity Framework是美国国家标准与技术研究院发布的一个标准框架,用于指导组织的信息安全战略与规划。
3.ISO/IEC27001/27002:ISO/IEC27001/27002是信息安全管理系统的国际标准,其中ISO/IEC27001主要定义了信息安全管理体系的要求和规范,ISO/IEC27002则提供了信息安全管理实践指南和控制目录。
4.DHSCSET:DHSCSET是美国国土安全部开发的一个安全评估工具,用于帮助组织评估工业控制系统的安全性,发现潜在的安全漏洞和风险。
5.IEC62433:IEC62433是国际电工委员会发布的工业控制系统安全标准,覆盖了工业控制系统的安全评估、风险评估、安全管理等方面。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2 第一级 第一级 第二级 第二级 第三级 第一级 第二级 第二级 第二级 第三级 第二级 第二级 第二级 第三级 第三级 第二级 第二级 第三级 第三级 第三级 第三级 第三级 第三级 第三级 第四级
信息安全威胁等级 3 第一级 第二级 第二级 第二级 第三级 第二级 第二级 第二级 第三级 第三级 第二级 第二级 第三级 第三级 第三级 第二级 第三级 第三级 第三级 第四级 第三级 第三级 第三级 第四级 第四级
三、工业控制系统安全管理要求
安全控制结构
三、工业控制系统安全管理要求
安全控制基线 为便于对不同安全级别的工业控制系统进行适于其级别的安全管理,标准附录A 结合第6 章中的ICS安全管理基本控制措施,给出了各级ICS安全管理基本要求 对应表,具体分级依据参见ICS安全分级相关标准。针对ICS安全管理基本控制 措施的裁剪方式参见相关ICS控制应用指南。
二、工业控制系统信息安全分级规范
分级方法
T
安全威胁等级
Ta NSL
安全风险 影响等级
重要性程度 特征值 1 1 1 1 1 2 2 2 2 2 3 3 3 3 3 4 4 4 4 4 5 5 5 5 5
影响程度特 征值 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5
工控安全 防护能力指标
供应链 安全
五、工控信息安全防护能力评价方法
形成现场评价报告、定期整改、完成最终评价报告
与信息 完整性
管理 技术 运维
配置 管理 事件 响应 介质 保护
本标准从管理、运行、技术三个维度提出了18个族,186 项安全控制措施,范 围涵盖访问控制、安全评估、系统与服务获取、风险评估、运维等。
三、工业控制系统安全管理要求
安全控制
价值 利益相关方 希望最小化
利用
安全控制 可被减少 可控制 脆弱性 利用
4 第二级 第二级 第二级 第三级 第三级 第二级 第二级 第三级 第三级 第三级 第二级 第三级 第三级 第三级 第四级 第三级 第三级 第三级 第四级 第四级 第三级 第三级 第四级 第四级 第四级
5 第三级 第三级 第三级 第三级 第四级 第三级 第三级 第三级 第三级 第四级 第三级 第三级 第三级 第四级 第四级 第三级 第三级 第四级 第四级 第四级 第四级 第四级 第四级 第四级 第四级
工业 互联 网安 全接 入基 本要 求
工业 互联 网数 据安 全防 护要 求
……
注 释
待制定标准 在研标准 发布/报批标准
工业信息安全管理,工业信息安全检查, 安全防护体系建据可参考。
目 录
1. 标准体系介绍 2. 工业控制系统信息安全分级规范 3. 工业控制系统安全管理基本要求
4. 工业控制系统安全控制应用指南 5. 工业控制系统信息安全防护能力评价方法
对ICS的运行制定规划和 控制计划,并定期或在系 统发生重大变更时开展风 险评估; 开展风险处置工作,并保 留其结果的文件化信息。
三、工业控制系统安全管理要求
工业控制系统安全控制 安全 评估 系统 教育 与授权 与服务 培训 获取 风险 规划 评估 应急 程序 计划 管理 访问 控制 标识 维护 物理 与鉴别 审计 与环境 系统 与问责 人员 安全 与通信 安全 系统 保护
……
系 统 安 D2 全 评 估
安全实施
C
信息安全技术 工业控制系统安全控制应用指南 信息安全技术 工业控制系统风险评估实施指南 ……
信息安 全技术 工业控 制系统 测控终 端安全 要求
集散 控制 系统 (DCS) 安全 要求
可编程 逻辑控 制器产 品(PLC) 安全技 术要求
数据采 集与监 控系统 (SCADA) 安全防 护规范
目 录
1. 标准体系介绍 2. 工业控制系统信息安全分级规范
3. 工业控制系统安全管理基本要求 4. 工业控制系统安全控制应用指南 5. 工业控制系统信息安全防护能力评价方法
五、工控信息安全防护能力评价方法
部级评价专项工作 受理评价申请 受理对象 地方评价工作委托 工业企业评价申请
标准内容
针对各行业工业控制系统安全防护工 作的特点,提出了工业控制系统安全 防护评价流程,从工作流程、评价队 伍组建、制定评价工作计划、安全防 护能力评价指标、现场报告形成、整 改复评、形成结论等方面对工业控制 系统安全防护评价工作提出了规范性 指导,以满足不同组织对其工业控制 系统的安全管理需求,为实现对工业
目 录
1. 标准体系介绍 2. 工业控制系统信息安全分级规范
3. 工业控制系统安全管理基本要求 4. 工业控制系统安全控制应用指南 5. 工业控制系统信息安全防护能力评价方法
四、工业控制系统安全控制应用指南
概述
四、工业控制系统安全控制应用指南
安全控制应用流程
针对工业控制系统存在的脆弱性,分析面临的威胁,评估风险发生的 可能性以及风险发生可能造成的影响和危害,制定风险处置原则和处 置计划,将工业控制系统安全风险控制在可接受的水平。
规划
确定规划总则,开展ICS安 全风险评估和处置,明确目 标和实现规划
组织应提供建立、实现、 维护和持续改进ICS安全所 需资源; 确保提供ICS安全培训, 使得相关人员具有能力和 意识; 明确本框架相关的内外部 的沟通需求。
支持
保障ICS安全所需的资源, 提供能力和意识培训,确定 沟通和文档化制度
定期整改和复评估 形成现场评价报告 内容 开展现场评价工作 对象 制定评价工作计划 内容 依据 组织评价工作队伍
工作任务量、地理位置等因 素,且原则上专职评估人员 不少于5名。
计划名称、编号与评估范围 评价任务与方案 评价工作组组长、成员 日程安排 风险控制预案 依据评价工作计划对被评价 工业企业现场实施工控安全 防护能力评价 评估工作组编写评价报告 评估机构审核人签字确认 报告需准确评价当前工业企 业的工控安全现状和防护能 力,并描述存在的安全问题 及整改意见。 工业企业开展防护整改 申请现场复评估
规划
确定规划总则,开展ICS安 全风险评估和处置,明确目 标和实现规划
领导
获得管理层承诺,确定方 针,明确角色和权责
支持
保障ICS安全所需的资源, 提供能力和意识培训,确定 沟通和文档化制度
持续改进
发生ICS安全异常等情况 下,开展纠正措施并持续改 进
绩效评价
对ICS开展监视、测量、分 析和评价,定期开展内部审 核和管理评审
目 录
1. 标准体系介绍 2. 工业控制系统信息安全分级规范 3. 工业控制系统安全管理基本要求
4. 工业控制系统安全控制应用指南 5. 工业控制系统信息安全防护能力评价方法
一、工业控制系统信息安全标准体系
工业控制系统信息安全标准体系
信息安全技术 工业控制系统信息安全分级规范 可编程逻辑控制器 (PLC) 安全检测规范 工业控制系统测控终 端安全检测规范 集散控制系统 (DCS) 安全评估指南 数据采集与监控 (SCADA) 系统安全测 评规范 工业互联网安全评估 实施指南 …… 信息安全技术 工业控 制系统信息安全防护 能力评价方法 信息安全技术 工业控 制系统安全检查指南 工业控制系统信息安 全 第 1部分 评估规范 工业控制系统信息安 全 第 2部分 验收规范 …… 产 品 安 全 D1 检 测 安 全 基本 信息安全技术 B1 管理 工业控制系统安 防 护 要求 全管理基本要求 B4 产 品 要 基本 信息安全技术 求 技术 工业控制系统安 B2 要求 全技术基本要求 工控 产品 基本 信息安全技术 B5安全 B3 性能 工控产品功能性 及性 能要 要求 能评价指标 求
减少
导致 增加 威胁 到
风险
威胁主体
发起
资产
希望滥用或被破坏
安全控制是应用于组织工业控制系统中管理、运行和技术上的保护措施和对策, 以保护工业控制系统及其信息的保密性、完整性和可用性等。应用这些控制的目 的是,减少脆弱性或影响,抵御工业控制系统所面临的安全威胁,从而缓解工业 控制系统的安全风险,以满足利益相关者的安全需要。
二、工业控制系统信息安全分级规范
标准概述
二、工业控制系统信息安全分级规范
分级思路
工业控制系统重要性(Sa)
T
安全威胁等级
Ta NSL
工业控制系统受侵害后的 潜在影响(Ia)
0
安全风险 影响等级
Sa
工业控制系统需抵御 的信息安全威胁(Ta)
Ia
重要性程度
S
I
受侵害潜在影响程度
2 2 2 NSL = (Sa) + (I a) + (Ta)
A
安全等级 安 全 测 D 评 安 B 全 要 求
工控信息安全 标准体系
工业 控制 系统 漏洞 检测 技术 要求
工控系 统网络 监测安 全技术 要求和 测试评 价方法
工业控 制系统 隔离与 信息交 换系统 安全技 术要求
工业控 制系统 网络审 计产品 安全技 术要求
工业控 制系统 专用防 火墙技 术要求
领导
获得管理层承诺,确定方 针,明确角色和权责
持续改进
发生ICS安全异常等情况 下,开展纠正措施并持续改 进
绩效评价
对ICS开展监视、测量、分 析和评价,定期开展内部审 核和管理评审
运行
制定运行规划并控制其实 现,定期开展ICS安全风险 评估和处置工作
三、工业控制系统安全管理要求
工业控制系统信息安全管理流程框架
价任务 与方案
五、工控信息安全防护能力评价方法
现场评估项目
依据评价计划,针对如下指标,开展工业控制系统信息安全防护评价工作。共11个大项, 30个小项,128个安全问题。 安全软件选择与管 理 配置和补丁管理 身份 验证 主机安全 网络安全 应急 计划 演练 物理 环境 安全 数据安全 资产安全 工控网络边界防护 远程访问安全