搜索结果: GB/T 36323-2018, GB/T36323-2018, GBT 36323-2018, GBT36323-2018
| 标准编号 | GB/T 36323-2018 (GB/T36323-2018) | | 中文名称 | 信息安全技术 工业控制系统安全管理基本要求 | | 英文名称 | Information security technology -- Security management fundamental requirements for industrial control systems | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 50,565 | | 发布日期 | 2018-06-07 | | 实施日期 | 2019-01-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 36323-2018
Information security technology--Security management fundamental requirements for industrial control systems
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术
工业控制系统安全管理基本要求
2018-06-07发布
2019-01-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 ICS安全管理基本框架及关键活动 2
5.1 ICS安全管理基本框架 2
5.2 顶层承诺 3
5.3 规划评估 4
5.4 资源支持 4
5.5 策略实施 4
5.6 绩效评价 5
5.7 持续改进 5
6 ICS安全管理基本控制措施 5
6.1 安全控制措施分类 5
6.2 安全评估和授权(CA) 6
6.3 系统和服务获取(SA) 8
6.4 人员安全(PS) 11
6.5 规划(PL) 12
6.6 风险评估(RA) 13
6.7 应急规划(CP) 14
6.8 物理和环境安全(PE) 17
6.9 配置管理(CM) 20
6.10 系统和信息完整性(SI) 22
6.11 介质保护(MP) 25
6.12 事件响应(IR) 26
6.13 意识和培训(AT) 28
6.14 访问控制(AC) 29
6.15 维护(MA) 33
6.16 审计和可核查性(AU) 34
6.17 标识和鉴别(IA) 37
附录A(资料性附录) 不同安全级别的ICS安全管理基本要求对应表 40
参考文献 45
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国电子技术标准化研究院、国家信息技术安全研究中心、公安部第三研究所、华
东师范大学、中国电子科技集团公司第三十研究所、中国信息安全研究院有限公司、上海三零卫士信息
安全有限公司、北京神州绿盟信息安全科技股份有限公司、启明星辰信息技术有限公司、烽台科技(北
京)有限公司、浙江浙能台州第二发电有限责任公司、北京工业大学、国网浙江省电力公司电力科学研究
院、华能国际电力股份有限公司长兴电厂、桂林电子科技大学、西安电子科技大学、浙江大学、中国科学
院沈阳自动化研究所、和利时集团、全球能源互联网研究院有限公司、沈机(上海)智能系统研发设计有
限公司、深圳赛西信息技术有限公司、广州数控设备有限公司、北京江南天安科技有限公司、中京天裕科
技(北京)有限公司、北京匡恩网络科技有限责任公司。
本标准主要起草人:范科峰、刘贤刚、李琳、姚相振、周睿康、李冰、顾健、上官晓丽、许东阳、龚洁中、
王惠莅、刘鸿运、何道敬、龚亮华、尚文利、杨晨、蔡磊、仵大奎、刘硕、张建军、王晓鹏、徐克超、周慎学、
尹峰、陈胜军、阮伟、杨震、高昆仑、赖英旭、沈玉龙、裴庆祺、许川佩、陈冠直、梁潇、王勇、黄云鹰、杨堂勇、
晏培。
引 言
随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制
系统,包括分布式控制系统(DCS)、监控与数据采集(SCADA)系统和可编程逻辑控制器(PLC)等产品
广泛应用于核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施
等国家重要领域。工业控制系统(ICS)由单机走向互联、从封闭走向开放、从自动化走向智能化进程的
加快,使得工业控制系统的信息安全问题日益突出,工业控制系统一旦遭受攻击,将严重威胁人民生命
财产安全和国家政权稳定。对此,全国信息安全标准化技术委员会(SAC/TC260)立项研制了工业控
制系统信息安全分级、管理要求、控制应用指南等多项标准。
本标准针对各行业工业控制系统的安全管理活动的共性特点,提出了工业控制系统安全管理基本
框架,从领导、规划、支持、运行、绩效评价和持续改进等方面为工业控制系统安全管理活动提出了规范
性要求,并给出了为实现该安全管理基本框架所需的安全管理基本控制措施和各级工业控制系统安全
管理基本控制措施对应表,以满足组织对各级工业控制系统的安全管理需求,为实现对工业控制系统适
度、有效的安全管理控制提供参考。
信息安全技术
工业控制系统安全管理基本要求
1 范围
本标准规定了工业控制系统安全管理基本框架及该框架包含的各关键活动,并提出为实现该安全
管理基本框架所需的工业控制系统安全管理基本控制措施,在此基础上,给出了各级工业控制系统安全
管理基本控制措施对应表(参见附录 A),用于对各级工业控制系统安全管理提出安全管理基本控制
要求。
本标准适用于非涉及国家秘密的工业控制系统建设、运行、使用、管理等相关方进行工业控制系统
安全管理的规划和落实,也可供工业控制系统安全测评与安全检查工作作为参考依据。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术 术语
GB/T 22080-2016 信息技术 安全技术 信息安全管理体系 要求
GB/T 22081-2016 信息技术 安全技术 信息安全控制实践指南
GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南
3 术语和定义
GB/T 22080-2016、GB/T 22081-2016、GB/T 25069-2010界定的以及下列术语和定义适用于
本文件。
3.1
工业生产中使用的控制系统,包括监控和数据采集系统(SCADA),分布式控制系统(DCS),和其他
较小的控制系统,如可编程逻辑控制器(PLC)等。
3.2
以计算机为基础,在系统内部(单位内部)对生产过程进行分布控制、集中管理的系统。
注:DCS系统一般包括现场控制级、控制管理级两个层次,现场控制级主要是对单个子过程进行控制,控制管理级
主要是对多个分散的子过程进行数据采集、集中显示、统一调度和管理。
3.3
工业生产控制过程中,对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据采
集与监控管理的控制系统。
注:它以计算机为基础,对远程分布运行设备进行监控调度,其主要功能包括数据采集、参数测量和调节、信号报警
等。SCADA系统一般由设在控制中心的主终端控制单元(MTU)、通信线路和设备、远程终端单位(RTU)等组成。
3.4
采用可编程存储器,通过数字运算操作对工业生产装备进行控制的电子设备。
注:PLC主要执行各类运算、顺序控制、定时等指令,用于控制工业生产装备的动作,是工业控制系统的基础单元。
3.5
安全控制选择过程的起始点和选择基点。
注:安全控制基线是为帮助组织选择满足安全需求的、最具成本效益的、适当的安全控制集而制定的最低安全基
准线。
4 缩略语
下列缩略语适用于本文件。
AC:访问控制(AccessControl)
IR:事件响应(IncidentResponse)
MA:维护(Maintenance)
MP:介质保护(MediaProtection)
PL:规划(Planning)
PS:人员安全(PersonnelSecurity)
5 ICS安全管理基本框架及关键活动
5.1 ICS安全管理基本框架
工业控制系统(ICS)与传统的信息技术(IT)系统存在的诸多重要差异决定了应在规划和管理ICS
信息安全过程中考虑ICS自身的特点。参考传统信息安全管理体系,结合ICS自身特点,将安全性需
求整合到ICS中,形成了ICS安全管理基本框架(如图1所示)。该框架在确定ICS安全管理具体意图,
理解需求期望并明确ICS体系范围的基础上,将ICS安全管理活动分为顶层承诺、规划评估、资源支
持、策略实施、绩效评价、持续改进六个方面。其中,顶层承诺方面需要组织获得管理层的承诺,确定
ICS安全管理的方针,明确组织各相关成员在ICS管理活动中的角色和权责;规划评估中组织应确定规
划总则,开展ICS安全风险评估和处置,明确目标和实现规划;在资源支持部分组织应保障ICS安全所
需的资源,提供能力和意识培训,确定沟通机制并建立文档化制度;策略实施方面组织应规划、实现和控
制满足ICS安全管理活动要求的具体过程,定期开展ICS安全风险评估和处置工作;在绩效评价阶段,
组织对ICS开展监视、测量、分析和评价,定期开展内部审核和管理评审;持续改进阶段组织应对ICS
的安全开展持续监控,在发生ICS安全异常等情况下,开展纠正措施并持续改进。
图1 ICS安全管理基本框架
为具体实现ICS安全管理基本框架各阶段的安全功能,本标准在第6章给出了ICS安全管理基本
框架各阶段所需的基本控制措施,并在附录A中给出了针对不同级别的工业控制系统安全管理要求对
应表,用以指导组织根据自身工业控制系统的不同安全级别选择安全管理基本控制措施,并根据工业控
制系统安全控制应用指南、安全分级等相关标准,对所选安全管理基本控制措施进行剪裁、选择等操作。
5.2 顶层承诺
5.2.1 管理层承诺
组织应依据GB/T 22080-2016的5.1作出针对ICS安全的承诺。
5.2.2 方针
组织应依据GB/T 22080-2016的5.2制定适用于ICS安全的方针,此外,还应制定相应的将ICS
安全的方针与组织信息安全整体方针保持一致,并作为其有机组成部分。
5.2.3 成立ICS安全联合管理团队
为确保ICS安全的实施落实,组织应:
a) 建立跨部门、跨职能的ICS安全联合管理团队;
b) 该管理团队应至少包括IT人员、控制工程师、控制系统操作员、网络和信息系统安全专家、管
理层代表,以及物理安全部门代表;
c) 最高管理层应确保该团队开展ICS安全管理活动的权利和责任,并提供相应承诺。
5.2.4 组织的角色、责任和权限
最高管理层应确保与ICS信息安全相关角色的责任和权限得到分配和沟通。
最高管理层应分配责任和权限,以便达到以下目标:
a) 确保ICS安全管理基本框架符合本标准的要求;
b) 向最高管理者报告ICS安全管理基本框架绩效;
c) 接受联合管理团队的定期汇报。
5.3 规划评估
5.3.1 应对风险和机会的措施
5.3.1.1 总则
组织应依据GB/T 22080-2016中6.1.1作出针对ICS总则,同时还应在总则中加入对于ICS安全
运行和维护的期望。
5.3.1.2 ICS信息安全风险评估
组织应依据GB/T 22080-2016中6.1.2定义并应用针对ICS的风险评估过程,同时还应充分论证
风险评估过程对ICS的可用性和稳定性产生的后果,以确保工业生产活动的正常开展。
5.3.1.3 ICS信息安全风险处置
组织应依据GB/T 22080-2016中6.1.3定义并应用ICS信息安全风险处置过程。
5.3.2 ICS信息安全目标及其实现规划
组织应依据GB/T 22080-2016中6.2建立针对ICS信息安全的目标及其实现规划。
5.4 资源支持
5.4.1 资源
组织应确定并提供建立、实现、维护和持续改进ICS信息安全管理体系所需的资源。
5.4.2 能力
见GB/T 22080-2016中7.2。
5.4.3 意识
应定期开展教育培训,并确保在组织控制下工作的人员了解:
a) ICS信息安全方针;
b) 其对ICS安全管理基本框架有效性的贡献,包括改进ICS信息安全绩效带来的益处;
c) 不符合ICS安全管理基本框架要求带来的影响。
5.4.4 沟通
见GB/T 22080-2016中7.4。
5.5 策略实施
5.5.1 运行规划和控制
组织应依据GB/T 22080-2016中8.1开展针对ICS信息安全的运行规划和控制工作,同时还应:
a) 在针对ICS实施安全控制措施前,详细评估该安全控制对ICS可能造成的危害;
b) 在具体实施安全控制措施前,应获得安全控制措施授权。
5.5.2 ICS信息安全风险评估
组织应依据GB/T 22080-2016中8.1开展针对ICS信息安全的风险评估工作。在风险评估过程
中,依据GB/T 32919-2016附录A中的内容,充分考虑ICS与传统信息系统的差异性。
5.5.3 ICS信息安全风险处置
见GB/T 22080-2016中8.3,并依据ICS特点开展风险处置。
5.6 绩效评价
5.6.1 监视、测量、分析和评价
见GB/T 22080-2016中9.1,同时还应持续监控已实施的安全控制措施,识别安全违规事件,检测
ICS中的安全异常事件的发生。
5.6.2 内部审核
见GB/T 22080-2016中9.2,并依据ICS特点开展内部审核。
5.6.3 管理评审
见GB/T 22080-2016中9.3,并依据ICS特点开展管理评审。
5.7 持续改进
5.7.1 不符合及纠正措施
见GB/T 22080-2016中10.1,并依据ICS特点采取纠正措施。
5.7.2 持续改进
组织应持续改进ICS安全管理基本框架的适宜性、充分性和有效性,并在ICS生产业务或系统安
全防护发生重大变更时向联合管理团队和最高管理层汇报。
6 ICS安全管理基本控制措施
6.1 安全控制措施分类
本标准从管理制度、运维管理和技术管理三方面给出安全控制,共十六个安全控制族,其对照关系
如表1所示:
表1 安全控制分类表
族标识符 安全控制族 安全控制类
PL 规划(Planning) 管理制度
RA 风险评估(RiskAssessment) 管理制度
PS 人员安全(PersonnelSecurity) 运维管理
表1(续)
族标识符 安全控制族 安全控制类
MP 介质保护(MediaProtection) 运维管理
IR 事件响应(IncidentResponse) 运维管理
MA 维护(Maintenance) 运维管理
AC 访问控制(AccessControl) 技术管理
6.2 安全评估和授权(CA)
6.2.1 安全评估和授权方针策略及规程(CA-1)
本项要求包括:
a) 应制定并发布安全评估和授权策略及规程方针策略,内容至少应包括:目的、范围、角色、责任、
管理层承诺、相关部门间的协调和合规性;
b) 应制定并发布安全评估和授权方针策略及规程,以推动安全评估和授权策略及与相关安全控
制的实施;
c) 应定期对安全评估与授权策略和规程进行评审和更新。
6.2.2 安全评估(CA-2)
本项要求包括:
a) 应制定安全评估计划,该评估计划应包括:应评估的安全控制措施;判定安全措施有效性的评
估流程;评估环境、队伍、角色及责任;
b) 应定期对ICS采取的安全措施实施的正确性、有效性进行评估,并判断是否满足相关安全
需求;
c) 应根据评估结果生成评估报告,并向相关人员报告评估结果;
d) 应授权独立且具有评审资质的机构进行评估,并确保评估不干扰ICS运行和功能;
e) 应确保评估人员充分了解信息安全相关方针策略和规程,ICS的安全方针策略和规程,以及特
定的设备和/或工艺相关的具体的安全、环境风险;
f) 对于不能直接采取在线评估的ICS,应采取离线评估或在复制系统中进行。
6.2.3 ICS连接管理(CA-3)
本项要求包括:
a) 应制定ICS互联安全规定,授权ICS与外部其他信息系统进行连接;
b) 应对ICS与外部其他工业控制系统连接的接口特征、安全要求、通信信息特性等内容进行
记录;
c) 应定期评审ICS与外部的连接情况,以验证ICS连接是否符合规定要求;
d) 应阻止把未分保密等级的国家安全系统直接连接到外部网络;
e) 应阻止把具有保密等级的国家安全系统直接连接到外部网络。
6.2.4 行动计划与时间节点(CA-4)
本项要求包括:
a) 制定行动计划和时间节点,在其中记录下拟采取的整改行动,以改正在安全控制措施评估中发
现的弱点和不足,减少或消除系统中的已知漏洞;
b) 根据安全评估、后果分析和持续监控的情况,每季度至少更新一次现有的行动计划和时间
节点;
c) 组织应使用有助于实施计划准确、适时和到时可用的自动化机制。
6.2.5 安全授权(CA-5)
本项要求包括:
a) 应指定一位高层管理人员作为ICS的授权责任人;
b) ICS未经授权责任人正式授权,不得投入运行;
c) 应对ICS定期或发生重大变更时,重新进行安全授权;
d) 应识别并定期评审反应组织机构信息保护需要的保密性或不泄露协议的要求;
e) 开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。
6.2.6 持续监控(CA-6)
本项要求包括:
a) 应制定持续的监控策略,并实施持续的监控计划,计划内容包括:被监控的目标、监控的频率、
以及对监控进行评估的频率;
b) 应使用独立评估人员或评估组织,在持续的基础上来监视工业控制系统的安全控制;
c) 组织应定期规划、安排并进行评估,公开或不公开该评估信息,以便确保符合所有脆弱性缓解
过程;
d) 应根据组织的连续监控策略,实施安全控制评估;
e) 应根据组织的连续监控战略,对组织已确定的度量指标,进行安全状态监控;
f) 应对评估和监控产生的安全相关信息进行关联和分析,并根据分析结果,采取相应的响应
措施;
g) 应定期向相关人员报告信息系统安全状态。
6.2.7 渗透测试(CA-7)
本项要求包括:
a) 应定期对ICS进行渗透测试,要明确渗透测试的频率与目标;
b) 组织应聘请专业的第三方渗透组织或团队对ICS开展渗透测试;
c) 对ICS系统渗透测试,应在ICS系统非在线状态或在复制系统中进行。
6.2.8 内部系统的连接(CA-8)
本项要求包括:
a) 应授权组织定义的ICS系统或组件连接到内部信息系统;
b) 应为每个内部连接建立文件,包括连接的接口特性,安全性要求和传输信息的性质;
c) 在建立内部连接前,在ICS系统或组件上执行安全合规性检查。
6.3 系统和服务获取(SA)
6.3.1 系统及服务获取的方针策略及规程(SA-1)
本项要求包括:
a) 应制定并发布系统服务及获取的方针策略,内容至少应包括:目的、范围、角色、责任、管理层承
诺、相关部门的协调及合规性;
b) 应制定并发布系统服务及获取的规程,以推动系统服务及获取的方针策略及与相关安全控制
的实施;
c) 应定期对系统服务及获取的方针策略及规程进行评审和更新。
6.3.2 资源配置(SA-2)
本项要求包括:
a) 应在业务过程规划中明确提出ICS或系统服务的安全需求;
b) 应明确、配置保护信息系统及相关服务所需的资源,形成相关文档并将其作为资本计划和投......
|