当前位置：文档之家› 工业控制系统信息安全标准

工业控制系统信息安全标准

主要内容
工控安全标准化组织工控安全国外标准我国工级思路
工业控制系统重要性(Sa)
工业控制系统受侵害后的潜在影响(Ia)
工业控制系统需抵御的信息安全威胁(Ta)
重要性程度特征值 1 1 1 1 1 2 2 2 2 2 3 3 3 3 3 4 4 4 4 4 5 5 5 5 5
5 第三级第三级第三级第三级第四级第三级第三级第三级第三级第四级第三级第三级第三级第四级第四级第三级第三级第四级第四级第四级第四级第四级第四级第四级第四级
工业控制系统安全控制应用指南
1 2 3 4 5 6
前言与引言
范围、规范性引用文件、术语和定义、缩略语
国际工控安全标准化组织：
2. 国际自动化协会（ISA，the International Society of Automation）其前身是美国仪器、系统和自动化协会，是一个非盈利技术协会，服务于从事、研究、学习工业自动化及其相关领域（如现场仪表等）的工程师、技术员等人士，是世界上最重要的自动化标准订制与工业自动化人才培养专业组织之一。目前，ISA的主要任务是制定和完善标准、职业资格认证、提供教育和培训、出版书籍和论文、并且主办自动化专业领域最大型的会议和展览。ISA为它的成员提供各种渠道来获取技术信息、专业发展资源和与其他自动化专家交流的机会。除了这些之外，ISA会员还能有更多机会得到自动化领域内众多专家的认可。
国际工控安全标准化组织：
4. 德国标准化学会（DIN， Deutsches Institut für Normung ）德国最大的具有广泛代表性的公益性标准化民间机构。成立于1917年。总部设在首都柏林。通过有关方面的共同协作，为了公众的利益，制定和发布德国标准及其他标准化工作成果并促进其应用，以有助于经济、技术、科学、管理和公共事务方面的合理化、质量保证、安全和相互理解。
信息安全威胁等级 3 第一级第二级第二级第二级第三级第二级第二级第二级第三级第三级第二级第二级第三级第三级第三级第二级第三级第三级第三级第四级第三级第三级第三级第四级第四级
4 第二级第二级第二级第三级第三级第二级第二级第三级第三级第三级第二级第三级第三级第三级第四级第三级第三级第三级第四级第四级第三级第三级第四级第四级第四级
信息系统工业控制系统与安全威胁与防护措施传统信息系统的对比对工控系统的影响
工业控制系统面临的威胁
工业控制系统脆弱性分析策略和规程的脆弱性网络脆弱性平台脆弱性
附录B 工业控制系统安全控制安全评估系统教育与授权与服务培训风险规划获取评估应急程序计划管理访问标识控制维护物理与鉴别审计与环境系统与问责人员安全与通信安全系统与信息保护
主要内容
工控安全标准化组织工控安全国外标准我国工控安全标准体系我国工控安全标准
我国工控安全标准体系
基于《工业控制系统信息安全防护指南》，研制如下标准体系
基本安全要求
技术产品安全要求
针对工控系统，进行安全定级、提出安全要求、落实安全防护措施、进行安全能力评估，以循环上升的方式提升工控系统安全防护能力。
1 《信息安全技术工业控制系统安全控制应用指南》 2 《信息安全技术工业控制系统安全管理基本要求》 3 《信息安全技术工业控制系统测控终端安全要求》 4 《信息安全技术工业控制系统安全检查指南》 5 《信息安全技术工业控制系统安全分级指南》 6 《信息系统安全等级保护基本要求第5部分：工业控制系统》 7 《工业控制系统风险评估实施指南》 8 《信息安全技术工业控制系统安全防护技术要求和测试评价方法》 9 《信息安全技术工业控制系统网络审计产品安全技术要求》 10《工业控制系统专用防火墙技术要求》 11《信息安全技术工业控制系统网络监测安全技术要求和测试评价方法》 12《信息安全技术工业控制系统漏洞检测技术要求》 13《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》 14《工业控制系统产品信息安全评估准则第1部分简介和一般模型》 15《工业控制系统产品信息安全评估准则第2部分安全功能要求》 16《工业控制系统产品信息安全评估准则第3部分安全保障要求》
国际工控安全标准化组织：
1. 国际电工委员会
（IEC，International Electro Technical Commission）
IEC是国际电工委员会（International ElectrotechnicalCommission）的简称，成立于1906年，它是世界上成立最早的国际性电工标准化机构，负责有关电气工程和电子工程领域中的国际标准化工作。总部设在瑞士日内瓦。IEC的宗旨是，促进电气、电子工程领域中标准化及有关问题的国际合作，增进国际间的相互了解。
国内工控安全标准化组织：
1. 全国信息安全标准化技术委员会（TC260）
Ø
《信息安全技术工业控制系统安全控制应用指南》《电力系统管理及其信息交换数据和通信安全》
2. 3.
全国电力系统管理及其信息交换标准化技术委员会（TC 82）
Ø
全国电力监管标准化技术委员会（TC296）
Ø 《电力二次系统安全防护标准》（强制） Ø 《电力信息系统安全检查规范》（强制） Ø 《电力行业信息安全水平评价指标》（推荐）
1.732
3.464
5.196
6.928
8.66
1 第一级第一级第一级第二级第三级第一级第一级第二级第二级第三级第一级第二级第二级第二级第三级第二级第二级第二级第三级第三级第三级第三级第三级第三级第四级
2 第一级第一级第二级第二级第三级第一级第二级第二级第二级第三级第二级第二级第二级第三级第三级第二级第二级第三级第三级第三级第三级第三级第三级第三级第四级
安全控制选择与规约
Ø 针对工业控制系统存在的脆弱性，分析面临的威胁，评估风险发生的可能性以及风险发生可能造成的影响和危害，制定风险处置原则和处置计划，将工业控制系统安全风险控制在可接受的水平。
附录A 工业控制系统面临的安全风险
性能需求可用性需求风险管理需求安全焦点物理交互时间确定性响应系统运行 ……. 内部攻击者黑客僵尸网络的操控者恶意软件的作者恐怖分子工业间谍犯罪组织 ……. 拒绝服务的影响加密传输密钥管理公网联接无线通信的影响
NIST SP800-82《工概述了ICS和SCADA系统及其典型的系统拓扑;描述了ICS与专门应对工控业控制系统(ICS)安全 IT系统之间的区别；标识了典型威胁和脆弱性以及安全事件系统特有的信指南》；给出了ICS安全建设中的网络体系结构；阐述了SP 800-53 息安全问题而中有关管理上、运行上以及技术上的安全控制措施如何在定； ICS和SCADA中进行应用。需配合NIST SP800-53使用。
国际工控安全标准化组织：
3. 美国国家标准技术研究院（ NIST ， National Institute of Standards and Technology ） NIST是一个非监管性质的测量技术和标准国家级研究机构，其中信息技术实验室的计算机安全研究室是信息安全标准的主要制定者。2002年，美国政府在《联邦信息安全管理法案》（FISMA）以及《电子政府法案》中再次重申了NIST的职责是开发信息安全标准（联邦信息处理标准,即FIPS系列）。
完整性
配置管理事件响应介质保护
管理技术运维
本标准从管理、运维、技术三个维度提出了18个族，186项安全控制措施，范围涵盖访问控制、安全评估、系统与服务获取、风险评估、运维等。
附录C 工业控制系统安全控制基线根据工业控制系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，结合信息安全等级保护标准划分及实施效果分析，结合工业控制系统的基本特征（参见附录A），结合以往诸多工业控制系统的安全实践，将附录B中适用于工业控制系统的安全控制分为三个级别：一级、二级和三级，每个级别对应安全控制如表C.1。安全控制基线及其设计考虑，以及基线的选择和裁剪指导见本标准正文内容。
4.
全国工业过程测量和控制标准化技术委员会（TC124）
2016年8月12日，《关于加强国家网络安全标准化工作的若干意见》（中网办发文〔2016〕5号）发布，其中明确全国信息安全标准化技术委员会在国家标准委的领导下，对网络安全国家标准进行统一技术归口。
主要内容
工控安全标准化组织工控安全国外标准我国工控安全标准体系我国工控安全标准
主要内容
工控安全标准化组织工控安全国外标准我国工控安全标准体系我国工控安全标准
国际工控安全标准化组织：
1. 2. 3. 国际电工委员会（IEC，International Electro Technical Commission）国际自动化协会（ISA，the International Society of Automation）美国国家标准技术研究院（ NIST ， National Institute of Standards and Technology ） 4. 德国标准化学会（DIN， Deutsches Institut für Normung ）
影响程度特征值 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5
第四级第三级第二级第一级
Sa=1 Ia=1 Ta=1 Sa=2 Ia=2 Ta=2 Sa=3 Ia=3 Ta=3 Sa=4 Ia=4 Ta=4 Sa=5 Ia=5 Ta=5 N

e商务文档

工业控制系统信息安全标准

相关文档推荐：