《信息安全技术-工业控制系统安全控制应用指南》编制说明.doc

国家标准信息安全技术 工业控制系统安全控制应用指南（征求意见稿）编制说明一、 工作简况1.1 任务来源信息安全技术 工业控制系统安全控制应用指南是国家标准化管理委员会 2010年下达的信息安全国家标准制定项目，国标计划号为：20100384-T-469，原名称为“工控SCADA系统安全控制指南”，由国家信息技术安全研究中心承担，参与单位包括国家信息技术安全研究中心、国家能源局（原电监会）信息中心、中国电力科学研究院、无锡市同威科技有限公司等单位。2013年8月标准草案专家评审会议上专家建议将标准修改为“工业控制系统安全控制应用指南”1.2 主要工作过程1、2010年2月，联系各个参与单位，进行任务分工和任务组织；研究现有国内外工控安全相关标准，分析各自特点，学习借鉴，包括IEC 62443、NIST SP 800-82、NIST SP 800-53 ISO/IEC 27019等标准。2、2010年2-6月，项目组先后到北京地区拥有SCADA系统的七个行业进行了实地调研并与各行业从事SCADA系统管理和维护的人员进行了座谈；并形成各工业控制系统的调研报告。3、2010年6月，项目组组织召开了行业专家讨论会，听取了来自石油、电力、供水、燃气、铁路、城市轨道交通等行业专家对标准草案的意见。4、2010年7月，根据任务书的要求，规范编制小组开展考察调研和资料搜集工作，按照需求分析整理出安全漏洞分类规范的框架结构。5、2010年7月8日，召集了信息安全标准专家征求意见会，会上许多专家从标准中术语的定义、标准的内容格式上提出了许多宝贵意见。会后，项目组对专家意见进行了认真分析和研究，在此基础上形成了标准草案。6、2010年12月初，召集第二次行业专家征求意见会，进一步对标准制定内容进行讨论，为制标做准备。7、2011年7月，讨论确定编制思路和标准框架，按照分工开始各部分编制工作，重点是控制措施部分。8、2011年11月，项目组人员参加工控SCADA系统信息安全研讨会，听取与会专家关于工控SCADA系统信息安全方面的意见和见解，丰富项目组人员工控SCADA系统安全视野。9、2011年7月-12月，项目组人员集中分析研究了国外工业控制系统相关标准的基础上，结合领域专家意见和建议，形成了工控SCADA系统安全控制指南草稿。10、2012年7月，在安标委年度标准检查会议上，向安标委专家介绍了工控SCADA系统安全控制指南标准成果，听取了专家的意见和建议。11、2012年7月，邀请安标委专家王立福教授对标准编写提供意见与建议，根据王教授的建议将标准调整为工控SCADA系统安全控制应用指南和工控SCADA系统安全控制指南。根据王教授意见课题组将确定将标准调整为SCADA系统安全控制应用指南，并进行标准内容调整。12、2012年7月-9月，根据安标委专家的意见和建议，修改完善标准草案，并邀请了部分安标委专家给予项目组专门的指导，形成了工控SCADA系统安全控制应用指南草稿。13、2012年9月，项目组参加了“工业控制系统标准研讨会”，听取了TC260、TC124等不同专家关于工控系统安全标准的观点和意见，在汲取各位专家的意见和观点的基础上，进一步改进完善了工控SCADA系统安全控制应用指南草稿，并形成1.1版本。14、2012年9月-2013年4月，根据专家的意见，对国内外的工业控制系统安全标准进行研究，尤其是研究美国工业控制安全标准，包括NIST SP800-82、SP800-53，美国天然气工业协会（AGA）AGA 12系列标准，ISA 99系列标准，北美电力可控性公司（NERC)CIP系列标准。并多次召开内部讨论会，对标准草案内容进行讨论，形成了工控SCADA系统安全控制应用指南草案1.2版本。15、2013年8月16日，全国信息安全标准化技术委员会WG5工作组在北京组织召开了国家标准SCADA系统安全控制指南（草案）专家评审会。专家听取了编制组关于标准编制情况介绍和标准说明，审阅了相关文档，经质询讨论，形成以下意见：编制组在广泛调研的基础上，参考了国内外工业控制系统安全的有关标准，多次征求专家意见，广泛吸取了相关行业、企业的建议，进行了反复修改、完善；该标准概述了工业控制系统一般性安全问题，存在的威胁和脆弱性，给出了工业控制系统安全控制应用指南，对工业控制系统安全建设具有指导意义；该标准整体架构清晰、合理，编写格式基本符合GB/T 1.1-2009要求；专家组建议该标准名称改为信息安全技术 工业控制系统安全控制应用指南。专家组同意通过评审。建议与相关标准编制单位进行协调，修改完善后，尽快形成征求意见稿。16、2013年12月-2014年5月，标准编制小组在积极采纳专家意见的基础上，对规范内容进行修改（删除、增加），调整了标准名称为：信息安全技术 工业控制系统安全控制应用指南。17、2014年11月，信安标委WG5工作组组织成员单位对信息安全技术 工业控制系统安全控制应用指南标准草案稿进行了投票表决，通过了本标准。投票表决中相关单位和专家提出了一些修改建议和意见，标准编制组对意见进行了逐条分析和理解，形成标准征求意见稿及相关文件。二、 编制原则和主要内容2.1 编制原则本标准的研究与编制工作遵循以下原则：（1）通用性原则立足于当前信息化技术水平，对国内外知名安全漏洞库的分类方法进行总结、归纳、简化，同时参考吸纳国外相关领域的先进成果并融入标准。（2）可操作性和实用性原则标准规范是对实际工作成果的总结与提升，最终还需要用于实践中，并经得起实践的检验，做到可操作、可用与实用。（3）简化原则根据规范化对象的结构、形式、规则等筛选提炼，经过剔除、替换，保持整体结构合理且维持原意和功能不变。本标准的编制的内容制定遵循以下原则：（A)唯一性原则：安全漏洞仅在某一类别中，其所属类别不依赖人为因素。（B)互斥性原则：类别没有重叠，安全漏洞必属于某一分类。（C)扩展性原则：允许根据实际情况扩展安全漏洞的类别。2.2 主要内容本标准的研究目标及内容是对工业控制系统安全控制应用的方法、步骤、范围、监控等进行研究，研究工业控制系统的技术架构特点、存在的安全漏洞和面临的安全威胁，并给出解决这些安全问题的基本安全基线和安全控制措施，以指导组织中负责系统建设的组织者、负责信息安全工作的实施者和从事信息安全工作的相关人员实施工业控制系统安全控制应用到本组织的工业控制系统。本标准主要内容目录如下：前言VII引言VIII1 范围12 规范性引用文件13 术语和定义14 缩略语35 安全控制的应用45.1 安全控制的应用前提45.2 安全控制的选择与规约45.2.1 安全控制基线选择45.2.2 安全控制基线裁剪45.2.3 安全控制基线补充55.3 安全控制的应用步骤65.4 安全控制的应用范围65.5 安全控制的监控7附录A （资料性附录） 工业控制系统面临的安全风险8A.1 工业控制系统面临的威胁8A.2 ICS系统主要脆弱性分析9A.2.1 策略和规程脆弱性9A.2.2 网络脆弱性10A.2.3 平台脆弱性12A.3 传统信息系统信息安全威胁与防护措施对ICS系统的影响14附录B （规范性附录） ICS系统安全控制措施15B.1 物理安全（PE）15B.1.1 物理安全策略和规程（PE-1）15B.1.2 物理访问授权（PE-2）15B.1.3 物理访问控制（PE-3）15B.1.4 移动介质的访问控制（PE-4）16B.1.5 输出设备的访问控制（PE-5）16B.1.6 物理访问监控（PE-6）16B.1.7 访客管理（PE-7）16B.1.8 访问日志（PE-8）16B.1.9 电力设备与电缆（PE-9）17B.1.10 紧急停机（PE-10）17B.1.11 应急电源（PE-11）17B.1.12 应急照明（PE-12）18B.1.13 防火（PE-13）18B.1.14 温度和湿度控制（PE-14）18B.1.15 防水（PE-15）18B.1.16 组件安装和移除（PE-16）18B.1.17 防雷（PE-17）19B.1.18 电磁防护（PE-18）19B.1.19 信息泄露（PE-19）19B.1.20 人员和设备追踪（PE-20）19B.2 网络安全（NS）19B.2.1 网络安全保护策略与规程（NS-1）19B.2.2 网络分离（NS-2）20B.2.3 企业网络访问（NS-3）20B.2.4 内部边界防护（NS-4）20B.2.5 广域通信链路防护（NS-5）20B.2.6 限制无线访问（NS-6）21B.2.7 入侵防范（NS-7）21B.2.8 网络冗余配置（NS-8）22B.2.9 拒绝服务保护（NS-9）22B.2.10 资源优先级（NS-10）22B.2.11 最小功能（NS-11）22B.2.12 传输完整性（NS-12）23B.2.13 传输机密性（NS-13）23B.2.14 消息真实性（NS-14）23B.2.15 网络设备防护（NS-15）23B.3 身份认证（IA）23B.3.1 身份鉴别的策略和规程（IA-1）24B.3.2 组织内用户标识与鉴别（IA-2）24B.3.3 设备标识与鉴别（IA-3）24B.3.4 标识符管理（IA-4）25B.3.5 鉴别符管理（IA-5）26B.3.6 鉴别反馈（IA-6）27B.3.7 密码模块鉴别（IA-7）27B.3.8 组织外用户标识与鉴别（IA-8）27B.3.9 服务标识与鉴别（IA-9）28B.4 访问控制（AC）28B.4.1 访问控制的策略和规程（AC-1）28B.4.2 账户管理（AC-2）28B.4.3 访问控制增强（AC-3）29B.4.4 信息流增强（AC-4）29B.4.5 职责分离（AC-5）31B.4.6 最小权限（AC-6）31B.4.7 失败登录控制（AC-7）32B.4.8 系统使用提示（AC-8）32B.4.9 以前访问通知（AC-9）33B.4.10 当前会话控制（AC-10）33B.4.11 会话锁（AC-11）33B.4.12 会话终止（AC-12）34B.4.13 敏感标记（AC-15、16）34B.4.14 远程访问（AC-17）34B.5 审计和问责（AU）34B.5.1 安全审计的策略和规程（AU-1）34B.5.2 审计事件（AU-2）34B.5.3 审计记录的内容（AU-3）35B.5.4 审计存储能力（AU-4、11）35B.5.5 审计失败的响应（AU-5）35B.5.6 审计信息的评审、分析和报告（AU-6）35B.5.7 审计简化和报告生成（AU-7）36B.5.8 时间戳（AU-8）36B.5.9 审计信息保护（AU-9）36B.5.10 抗抵赖（AU-10）37B.6 系统与信息完整性（SI）37B.6.1 系统与信息完整性的策略和规程（SI-1）37B.6.2 缺陷修复（SI-2）37B.6.3 入侵防范（SI-3）38B.6.4 恶意代码防护（SI-4）38B.6.5 软件和信息完整性（SI-5）38B.6.6 剩余信息保护（SI-6）39B.6.7 资源控制（SI-7）39B.6.8 软件容错 （SI-8）39B.6.9 数据交换（SI-9）40B.7 应急计划（CP）40B.7.1 应急计划的策略和规程（CP-1）40B.7.2 应急计划（CP-2）40B.7.3 应急计划培训（CP-3）40B.7.4 应急计划测试（CP-4）41B.7.5 应急计划调整（CP-5）41B.7.6 备用存储设备（CP-6）41B.7.7 备用处理设备（CP-7）41B.7.8 通信服务（CP-8）41B.7.9 系统备份（CP-9）42B.7.10 系统恢复与重建（CP-10）42B.8 系统和通讯保护（SC）42B.8.1 系统和通讯保护策略与规程（SC-1）42B.8.2 应用划分（SC-2）43B.8.3 安全功能隔离（SC-3）43B.8.4 共享资源中的信息（SC-4）44B.8.5 服务拒绝防护（SC-5）44B.8.6 资源优先级（SC-6）44B.8.7 边界保护（SC-7）45B.8.8 传输完整性（SC-8）46B.8.9 传输保密性（SC-9）47B.8.10 网络中断（SC-10）47B.8.11 可信路径（SC-11）48B.8.12 密钥建立与管理（SC-12）48B.8.13 密码技术的使用（SC-13）48B.8.14 公共访问保护（SC-14）48B.8.15 安全属性的传输（SC-15）48B.8.16 证书管理（SC-16）49B.8.17 移动编码（SC-17）49B.8.18 移动代码（SC-18）50B.8.19 已知状态中的失效（SC-19）50B.8.20 剩余信息保护（SC-20）50B.8.21 虚拟技术（SC-21）51B.8.22 系统划分（SC-22）51B.9 人员安全（PS）51B.9.1 人员安全策略与规程（PS-1）51B.9.2 岗位分类（PS-2）52B.9.3 人员筛选（PS-3）52B.9.4 人员解雇（PS-4）52B.9.5 人员调离（PS-5）53B.9.6 访问协议（PS-6）53B.9.7 第三方人员安全（PS-7）54B.9.8 人员处罚（PS-8）54B.10 配置管理（CM）54B.10.1 配置管理策略与规程（CM-1）54B.10.2 基线配置（CM-2）54B.10.3 配置变更控制（CM-3）55B.10.4 安全影响分析（CM-4）55B.10.5 变更的评估限制（CM-5）56B.10.6 配置设置（CM-6）57B.10.7 最小功能（CM-7）57B.10.8 系统部件清单（CM-8）57B.10.9 配置管理计划（CM-9）58B.11 维护（MA）58B.11.1 维护策略与规程（MA-1）58B.11.2 受控维护（MA-2）59B.11.3 维护工具（MA-3）59B.11.4 非本地维护（MA-4）59B.11.5 维护人员（MA-5）59B.11.6 及时维护（MA-6）59B.12 教育培训（AT）59B.12.1 教育培训的策略与规程（AT-1）59B.12.2 安全意识培训（AT-2）60B.12.3 基于角色的安全培训（AT-3）60B.12.4 安全培训记录（AT-4）60B.13 事件响应（IR）60B.13.1 事件响应策略与规程（IR-1）61B.13.2 事件响应培训（IR-2）61B.13.3 事件响应测试与演练（IR-3）61B.13.4 事件处理（IR-4）61B.13.5 事件监视（IR-5）62B.13.6 事件报告（IR-6）62B.13.7 事件响应支持（IR-7）62B.13.8 事件响应计划（IR-8）63B.14 风险评估（RA）63B.14.1 风险评估策略与规程（RA-1）63B.14.2 安全分类（RA-2）64B.14.3 风险评估（RA-3）64B.14.4 脆弱性扫描（RA-5）65B.15 规划（PL）66B.15.1 规划策略与规程（PL-1）66B.15.2 系统安全计划（PL-2）66B.15.3 行为规则（PL-4）67B.15.4 隐私影响评估（PL-5）67B.15.5 安全活动规划（PL-6）67B.16 系统和服务获取（SA）68B.16.1 系统和服务获取策略与规程（SA-1）68B.16.2 资源分配（SA-2）68B.16.3 生存周期支持（SA-3）68B.16.4 获取（SA-4）69B.16.5 系统文档（SA-5）70B.16.6 软件使用限制（SA-6）71B.16.7 用户安装软件（SA-7）71B.16.8 安全工程原则（SA-8）71B.16.9 外部系统服务（SA-9）72B.16.10 开发人员的配置管理（SA-10）72B.16.11 开发人员的安全测试（SA-11）72B.16.12 供应链保护（SA-12）73B.16.13 可信赖性（SA-13）74B.16.14 关键系统部件（SA-14）74B.17 安全评估与授权（CA）74B.17.1 安全评估与授权策略与规程（CA-1）74B.17.2 安全评估（CA-2）75B.17.3 系统连接（CA-3）76B.17.4 动作和里程碑计划（CA-5）77B.17.5 安全授权（CA-6）77B.17.6 持续监视（CA-7）77B.18 介质保护（MP）78B.18.1 介质保护策略与规程（MP-1）78B.18.2 介质访问（MP-2）78B.18.3 介质标记（MP-3）79B.18.4 介质存储（MP-4）79B.18.5 介质传输（MP-5）79B.18.6 介质销毁（MP-6）79附录C （规范性附录） 工业控制系统安全控制基线81三、 主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果随着信息化技术的发展，以自动化技术为代表的自动控制系统在工业控制领域得到了广泛的应用。在现代工业中使用的控制系统包括SCADA系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端（RTU）、智能电子设备（IED）等，这些我们统称为工业控制系统（ICS），其中依靠网络，以数据采集为基础，对生产过程进行集中控制的SCADA系统是现