标准搜索结果: 'GB/T 33009.2-2016'
标准编号 | GB/T 33009.2-2016 (GB/T33009.2-2016) | 中文名称 | 工业自动化和控制系统网络安全 集散控制系统(DCS) 第2部分:管理要求 | 英文名称 | Industrial automation and control system security -- Distributed control system (DCS) -- Part 2: Management requirements | 行业 | 国家标准 (推荐) | 中标分类 | N10 | 国际标准分类 | 25.040 | 字数估计 | 25,296 | 发布日期 | 2016-10-13 | 实施日期 | 2017-05-01 | 起草单位 | 浙江中控研究院有限公司、浙江大学、机械工业仪器仪表综合技术经济研究所、重庆邮电大学、中国科学院沈阳自动化研究所、西南大学、福建工程学院、杭州科技职业技术学院、北京启明星辰信息安全技术有限公司、中国电子技术标准化研究院、国网智能电网研究院、中国核电工程有限公司、上海自动化仪表股份有限公司、东土科技股份有限公司、清华大学、西门子(中国)有限公司、施耐德电气(中国)有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克韦尔自动化(中国)有限公司、中国仪器仪表学会、工业和信息化部电子第五研究所 | 归口单位 | 全国工业过程测量、控制和自动化标准化技术委员会(SAC/TC 124)、全国信息安全标准化技术委员会(SAC/TC 260) | 标准依据 | 国家标准公告2016年第17号 | 提出机构 | 中国机械工业联合会 | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
GB/T 33009.2-2016
Industrial automation and control system security - Distributed control system(DCS) - Part 2.Management requirements
ICS 25.040
N10
中华人民共和国国家标准
工业自动化和控制系统网络安全
集散控制系统(DCS)
第2部分.管理要求
2016-10-13发布
2017-05-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语、定义、缩略语 1
3.1 术语和定义 1
3.2 缩略语 3
4 DCS安全管理概述 3
4.1 DCS系统概述 3
4.2 DCS网络安全管理体系 5
5 DCS安全管理要素 8
5.1 方针、策略与规程 8
5.2 管理机构 8
5.3 资产管理 9
5.4 人员 10
5.5 密码学 10
5.6 物理和环境 10
5.7 安全控制措施 11
5.8 通信安全 15
5.9 系统运营与维护 15
5.10 供应商关系 16
5.11 信息与文件管理 17
5.12 业务连续性规划 17
5.13 安全事件规划与响应 18
5.14 符合性 18
参考文献 20
前言
GB/T 33009《工业自动化和控制系统网络安全 集散控制系统(DCS)》和GB/T 33008《工业自动
化和控制系统网络安全 可编程序控制器(PLC)》等共同构成工业自动化和控制系统网络安全系列
标准。
GB/T 33009《工业自动化和控制系统网络安全 集散控制系统(DCS)》分为4个部分.
---第1部分.防护要求;
---第2部分.管理要求;
---第3部分.评估指南;
---第4部分.风险与脆弱性检测要求。
本部分为GB/T 33009的第2部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分由中国机械工业联合会提出。
本部分由全国工业过程测量、控制和自动化标准化技术委员会(SAC/TC124)和全国信息安全标
准化技术委员会(SAC/TC260)归口。
本部分起草单位.浙江中控研究院有限公司、浙江大学、机械工业仪器仪表综合技术经济研究所、重
庆邮电大学、中国科学院沈阳自动化研究所、西南大学、福建工程学院、杭州科技职业技术学院、北京启
明星辰信息安全技术有限公司、中国电子技术标准化研究院、国网智能电网研究院、中国核电工程有限
公司、上海自动化仪表股份有限公司、东土科技股份有限公司、清华大学、西门子(中国)有限公司、施耐
德电气(中国)有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克韦尔自
动化(中国)有限公司、中国仪器仪表学会、工业和信息化部电子第五研究所、北京海泰方圆科技有限公
司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、北京力控华康科技有限公司、
北京和利时系统工程有限公司、中国石油天然气管道有限公司、北京匡恩网络科技有限责任公司、西南
电力设计院、广东航宇卫星科技有限公司、华北电力设计院工程有限公司、华为技术有限公司、中国电子
科技集团公司第三十研究所、深圳万讯自控股份有限公司、横河电机(中国)有限公司北京研发中心。
本部分主要起草人.施一明、冯冬芹、梅恪、王玉敏、王平、王浩、高梦州、徐珊珊、徐皑冬、刘枫、许剑新、
陈平、杨悦梅、陈建飞、还约辉、黄家辉、贾驰千、梁耀、陆耿虹、刘大龙、刘文龙、王芳、孟雅辉、范科峰、梁潇、
王彦君、张建军、薛百华、许斌、陈小淙、华镕、高昆仑、王雪、周纯杰、张莉、刘杰、朱毅明、王弢、孙静、
胡伯良、刘安正、田雨聪、方亮、马欣欣、王勇、杜佳琳、陈日罡、李锐、刘利民、孔勇、黄敏、朱镜灵、张智、
张建勋、兰昆、张晋宾、成继勋、尚文利、钟诚、梁猛、陈小枫、卜志军、丁露、李琳、杨应良、杨磊。
工业自动化和控制系统网络安全
集散控制系统(DCS)
第2部分.管理要求
1 范围
GB/T 33009的本部分规定了集散控制系统网络安全管理体系及其相关安全管理要素的具体
要求。
本部分适用于集散控制系统运行、维护过程中的安全管理。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求
GB/T 30976.1-2014 工业控制系统信息安全 第1部分.评估规范
3 术语、定义、缩略语
3.1 术语和定义
GB/T 20984-2007和GB/T 30976.1-2014界定的以及下列术语和定义适用于本文件。为了便
于使用,以下重复列出了GB/T 20984-2007和GB/T 30976.1-2014中的一些术语和定义。
3.1.1
可用性 availability
数据或资源能被授权实体按要求访问和使用的特性。
[GB/T 20984-2007,定义3.3]
3.1.2
鉴别 authentication
用于验证用户所声称的身份。
3.1.3
授权用户 authorizeduser
依据安全策略可以执行某项操作的用户。
3.1.4
保密性 confidentiality
数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。
[GB/T 20984-2007,定义3.5]
3.1.5
以保护控制系统的可用性、完整性、保密性为目标,另外也包括实时性、可靠性与稳定性。
3.1.6
员工(用户)可以与特定的机器,设备,计算机程序或其他复杂工具(系统)互动的方法集。
注.在很多情况下,这些包含了视频或计算机终端、按钮、听觉反馈、闪烁的灯等。人机界面提供的方法包括输入
(允许用户控制机器)、输出(允许机器通知用户)。
3.1.7
识别 identify
对某一评估要素进行标识与辨别的过程。
[GB/T 30976.1-2014,定义3.1.2]
3.1.8
网络安全风险 securityrisk
人为或自然的威胁利用系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的
影响。
[GB/T 20984-2007,定义3.6]
3.1.9
完整性 integrity
保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。
[GB/T 20984-2007,定义3.10]
3.1.10
生产规划和跟踪系统,用于分析和报告资源可用性和状态、规划和更新订单、收集详细的执行数据,
例如材料使用、人力使用、操作参数、订单和装置状态及其他关键信息。
注1.此系统访问材料清单、工艺路线和其他来自于基础企业资源规划系统的数据,典型用于实时车间作业报告和
监视将活动数据反馈给基础系统的过程。
注2.更多的信息参见GB/T 20720.1-2006。
3.1.11
组织 organization
由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织,某个业务部门也
可以是一个组织。
[GB/T 20984-2007,定义3.11]
3.1.12
残余风险 residualrisk
采取了安全措施后,系统仍然可能存在的风险。
[GB/T 20984-2007,定义3.12]
3.1.13
安全事件 securityincident
系统、服务或网络的一种可识别状态的发生,它可能是对安全策略的违反或防护措施的失效,或未
预知的不安全状况。
[GB/T 20984-2007,定义3.14]
3.1.14
安全需求 securityrequirement
为保证组织业务战略的正常运作而在安全措施方面提出的要求。
[GB/T 20984-2007,定义3.16]
3.1.15
威胁 threat
可能导致对系统或组织危害的不希望事故潜在起因。
[GB/T 20984-2007,定义3.17]
3.1.16
脆弱性 vulnerability
系统设计、实现或操作和管理中存在的缺陷或弱点,可被利用来危害系统的完整性或安保策略。
[GB/T 30976.1-2014,定义3.1.1]
3.1.17
资产 asset
对组织有价值的任何事物。
3.2 缩略语
下列缩略语适用于本文件。
DoS.服务拒绝(DenialofService)
4 DCS安全管理概述
4.1 DCS系统概述
4.1.1 通用DCS系统应用的网络结构
通常DCS系统应用是一种纵向分层的网络结构,自上到下依次为过程监控层、现场控制层和现场
设备层。各层之间由通信网络连接,层内各装置之间由本级的通信网络进行通信联系,其典型网络结构
如图1所示。本部分主要对DCS系统中的过程监控层、现场控制层网络和现场设备层网络的安全要求
进行了要求。各层的说明如下.
---过程监控层.以操作监视为主要任务,兼有部分管理功能。这一级是面向操作员和控制系统工
程师的,因而这一级配备有技术手段齐备,功能强的计算机系统及各类外部装置,特别是显示
器和键盘,以及需要较大存储容量的硬盘或软盘支持,另外还需要功能强的软件支持,确保工
程师和操作员对系统进行组态、监视和操作,对生产过程实行高级控制策略、故障诊断、质量
评估。
---现场控制层.现场控制层的主要功能包括.采集过程数据,进行数据转换与处理;对生产过程进
行监测和控制,输出控制信号,实现模拟量和开关量的控制;对I/O卡件进行诊断;与过程监
控层等进行数据通信。
---现场设备层.现场设备层的主要功能包括.采集控制信号、执行控制命令,依照控制信号进行设
备动作。
图1 典型DCS系统应用的网络结构示意图
注.将监控层以下的现场控制层网络进行细分,其中现场控制层网络主要包括DCS控制器和控制器通信模块、I/O
模块等,现场设备层网络包括现场智能仪表、执行机构、传感器等现场设备和仪表。
4.1.2 DCS运行安全总体要求
4.1.2.1 实时性要求
DCS应具备实时响应能力,不允许存在不可接受的延迟和抖动。
4.1.2.2 可用性要求
DCS具有高可用性需求,一般不允许重启系统,所以部署前需要详尽的测试,在生产过程中的中断
操作需要提前计划。
4.1.2.3 安全性要求
DCS具有安全性要求。DCS一般部署在重要的生产领域,系统不允许出现安全事故。
4.1.2.4 完整性要求
DCS具有完整性要求,不允许未授权用户或者恶意程序对信息和数据的修改。
4.1.2.5 稳定性要求
DCS具有稳定性要求。DCS一旦工作不稳定,将存在严重的威胁,导致大批的不合格产品流出,而
且加剧设备的损耗等。
4.1.2.6 高可靠性要求
DCS具有可靠性要求。DCS能够在规定的条件下,长期正常执行其设定的控制功能,期间不允许
发生停车,且具有很好的耐久性和可维修性。
4.2 DCS网络安全管理体系
4.2.1 总要求
DCS网络安全管理的核心是网络安全管理体系的建立、维护和改进过程,宜按照GB/T 22080-2008
建立相应的组织管理体系。本部分旨在指导DCS系统相关企业理解DCS网络安全管理体系的建立和
运行过程。在第5章定义了DCS网络安全管理体系建立和运行过程中必要的管理要素和具体要求,用
户应结合具体DCS应用实际情况选择执行。
网络安全管理体系的框架或环境下,建立、实施、运行、监视、评审、保持与改进文件化的DCS网络安全
管理体系(ISMS)。DCS网络安全管理体系应综合考虑资产重要性、资产地理位置、系统功能、控制对
象和生产厂商等因素,将控制系统进行分区域管理。
本部分采用过程方法规定了文件化的ISMS的建立、实施、运行、监视、评审、保持和改进过程中的
安全要求。DCS用户和DCS设备生产企业和系统集成企业应成立相关的组织承担相应的网络安全管
理职责。
本部分提出的用于DCS网络安全管理的过程方法强调以下方面的重要性.
a) 分析理解企业或组织自身的工控网络安全需求和建立工控网络安全方针与目标;
b) 从整体业务风险的角度,实施和运行控制措施,管理DCS网络安全风险;
c) 监视和评审ISMS执行情况的有效性;
d) 基于客观测量的ISMS持续改进。
本部分采用“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)模型来建立DCS系统的
ISMS过程,如图2所示。
图2 应用于ISMS过程的PDCA模型
4.2.2 建立DCS的ISMS
建立与管理DCS安全风险和改进DCS网络安全有关的方针、目标、过程和规程,提供与组织或企
业总方针和总目标相一致的结果。应做以下几方面工作.
a) 根据DCS业务、组织机构、物理场所、价值资产和技术手段等方面的特性,确定DCS的ISMS
的范围和边界;
b) 根据DCS业务、组织机构、物理场所、价值资产和技术手段等方面的特性,确立DCS的ISMS
方针。DCS的ISMS方针应.
1) 包括设定DCS网络安全目标的框架和建立DCS网络安全工作的总方向和原则;
2) 考虑DCS业务和相关法律法规的要求,及合同中的安全义务;
3) 在组织或企业的战略性风险管理环境下,设定DCS风险管理框架,建立和保持DCS的
ISMS;
4) 建立风险评价的准则,确定可接受风险的范围;
5) 获得组织或企业管理者的批准和支持。
c) 确定DCS的风险评估方法.
1) 选择适合DCS的ISMS、已识别的业务网络安全和法律法规要求的风险评估方法,基于
DCS资产的安全威胁、脆弱性以及影响后果来识别与分级风险;
2) 建立一套指标体系,用于DCS各业务流程与子系统在风险处理上的分级排序;制定接受
风险的准则,识别可接受的风险级别。
选择的风险评估方法应确保风险评估产生可比较的、可再现的结果。
d) 识别DCS风险.
1) 创建DCS网络拓扑图,收集DCS资产信息,识别ISMS范围内的资产及其负责人;
注.负责人标识了已经获得管理者的批准,负责产生、开发、维护、使用和保证资产的安全的个人和实体,并非
资产拥有者。
2) 识别DCS资产可能面临的威胁及威胁发生的可能性;
3) 识别DCS控制功能单元和工艺环节可能被威胁利用的脆弱点;
4) 识别丧失DCS实时性、可用性、可靠性、安全性时,对企业或组织的财产、人员及环境的
影响。
e) 分析和评价DCS风险.
1) 在考虑丧失DCS的可用性、实时性、可靠性所造成的后果的情况下,评估安全失误可能对
系统造成的影响;
2) 评估由主要威胁和脆弱点导致安全失误的可能性,对财产、人员及环境的影响,以及当前
可采用的控制措施;
3) 估计风险的级别,确定风险是否可接受。
f) 识别和评价DCS风险处理的可选措施.
对于不可接受的DCS风险选择安全措施,降低风险到可接受范围。可能的措施包括.
1) 采用适当的控制措施,5.6列举了可选择的安全控制措施;
2) 在满足企业或组织方针策略、安全要求和风险接受准则的情况下,可有意识地、客观地接
受风险;
3) 调整相关风险环节,避免风险;
4) 转移相关业务风险,如保险公司、供应商等。
g) 为处理风险选择控制目标和控制措施.
选择和实施适用于DCS的控制目标和控制措施,以满足风险评估和风险处理过程中所识别的网络
安全要求。这种选择应考虑接收风险的准则以及法律法规和合同要求。控制措施的实施应以不影响
DCS正常运行为前提。
h) 获得管理者对建议的残余风险的批准;
i) 获得管理者对实施和运行ISMS的授权;
j) 准备适用性声明,适用性声明的内容包括以下几方面.
1) 当前已有的安全目标和安全控制措施;
2) 在4.2.2f)中的不可接受的风险及所选择的安全措施,以及选择的理由;
3) 其他需要增加或删减的安全措施及其增加/删减的理由。
4.2.3 实施与运行DCS的ISMS
实施和运行DCS的ISMS方针、控制措施、过程和规程,应做好以下几方面工作.
a) 为管理DCS网络安全风险,根据风险等级选择适当的管理措施、可用资源、职责分配和优先顺
序,即制定DCS风险管理规程;
b) 建立DCS分区及分区目标安全等级,配置分区内设备,实施DCS风险管理规程,使DCS各分
区达到目标安全等级和已识别的控制目标;
c) 实施5.6中所选择的控制措施,以满足控制目标风险管理与实施;
d) 确定如何测量所选择的控制措施或控制措施集的有效性,并指明如何评估控制措施的有效性
及其对DCS系统性能的影响;
e) 开展培训和安全实施意识教育,确保参与ISMS工作的人员具备企业或组织要求的执行任务
的能力;
f) 管理ISMS的运行;
g) 管理DCS的ISMS资源,包括资源的提供及人员管理;
h) 实施能够迅速检测DCS运行的安全事态的监控软件、响应安全事件的报警系统及其他控制
措施。
4.2.4 监视与评审DCS的ISMS
对照ISMS方针、目标和实践经验,评估并测量ISMS过程的执行情况,包括验证是否按照文件化
的流程执行以及所选择的控制措施是否部署,是否有效等,并将结果报告管理者以供评审,应包括.
a) 制定ISMS审计流程与方法;
b) 保持审计工作人员的独立性;对于特定DCS系统的审核,所要求的审计工作人员的能力范围
应符合企业或组织的相关规定;
c) 实行ISMS定期审计,检测过程运行结果中的错误,识别试图的和得逞的安全违规和事件,确
保所制定的网络安全策略与规程被正确执行以及DCS分区的网络安全目标得到满足;
d) 从组织机构、技术、DCS业务目标和工艺流程、已识别威胁、外部事态等方面考虑,监测DCS风
险评估、风险处置的ISMS最佳实践,并定期进行DCS风险评估、残余风险和可容忍风险的
评审;
e) 管理者应定期执行管理评审,包括对ISMS范围、ISMS控制措施状态、以往未强调的脆弱点威
胁等的评审,确保ISMS持续的适宜性、充分性和有效性;
应能以各指标项表述,以此保证DCS的安全性能和安全态势;
g) 考虑监视和评审结果,以更新安全计划;
h) 建立审计文件跟踪记录,记录影响ISMS有效性......
|