信息安全技术工业控制系统安全控制应用全国信息安全标准化.docx
《信息安全技术工业控制系统安全控制应用全国信息安全标准化.docx》由会员分享,可在线阅读,更多相关《信息安全技术工业控制系统安全控制应用全国信息安全标准化.docx(6页珍藏版)》请在冰点文库上搜索。
信息安全技术工业控制系统安全控制应用全国信息安全标准化
国家标准《信息安全技术工业控制系统
安全控制应用指南》(征求意见稿)编制说明
一、工作简况
1.1任务来源
《信息安全技术工业控制系统安全控制应用指南》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目,国标计划号为:
20100384-T-469,原名称为“工控SCADA系统安全控制指南”,由国家信息技术安全研究中心承担,参与单位包括国家信息技术安全研究中心、国家能源局(原电监会)信息中心、中国电力科学研究院、无锡市同威科技有限公司等单位。
2013年8月标准草案专家评审会议上专家建议将标准修改为“工业控制系统安全控制应用指南”
1.2主要工作过程
1、2010年2月,联系各个参与单位,进行任务分工和任务组织;研究现有国内外工控安全相关标准,分析各自特点,学习借鉴,包括IEC62443、NISTSP800-82、NISTSP800-53ISO/IEC27019等标准。
2、2010年2-6月,项目组先后到北京地区拥有SCADA系统的七个行业进行了实地调研并与各行业从事SCADA系统管理和维护的人员进行了座谈;并形成各工业控制系统的调研报告。
3、2010年6月,项目组组织召开了行业专家讨论会,听取了来自石油、电力、供水、燃气、铁路、城市轨道交通等行业专家对标准草案的意见。
4、2010年7月,根据任务书的要求,规范编制小组开展考察调研和资料搜集工作,按照需求分析整理出安全漏洞分类规范的框架结构。
5、2010年7月8日,召集了信息安全标准专家征求意见会,会上许多专家从标准中术语的定义、标准的内容格式上提出了许多宝贵意见。
会后,项目组对专家意见进行了认真分析和研究,在此基础上形成了标准草案。
6、2010年12月初,召集第二次行业专家征求意见会,进一步对标准制定内容进行讨论,为制标做准备。
7、2011年7月,讨论确定编制思路和标准框架,按照分工开始各部分编制工作,重点是控制措施部分。
8、2011年11月,项目组人员参加工控SCADA系统信息安全研讨会,听取与会专家关于工控SCADA系统信息安全方面的意见和见解,丰富项目组人员工控SCADA系统安全视野。
9、2011年7月-12月,项目组人员集中分析研究了国外工业控制系统相关标准的基础上,结合领域专家意见和建议,形成了《工控SCADA系统安全控制指南》草稿。
10、2012年7月,在安标委年度标准检查会议上,向安标委专家介绍了《工控SCADA系统安全控制指南》标准成果,听取了专家的意见和建议。
11、2012年7月,邀请安标委专家王立福教授对标准编写提供意见与建议,根据王教授的建议将标准调整为《工控SCADA系统安全控制应用指南》和《工控SCADA系统安全控制指南》。
根据王教授意见课题组将确定将标准调整为《SCADA系统安全控制应用指南》,并进行标准内容调整。
12、2012年7月-9月,根据安标委专家的意见和建议,修改完善标准草案,并邀请了部分安标委专家给予项目组专门的指导,形成了《工控SCADA系统安全控制应用指南》草稿。
13、2012年9月,项目组参加了“工业控制系统标准研讨会”,听取了TC260、TC124等不同专家关于工控系统安全标准的观点和意见,在汲取各位专家的意见和观点的基础上,进一步改进完善了《工控SCADA系统安全控制应用指南》草稿,并形成1.1版本。
14、2012年9月-2013年4月,根据专家的意见,对国内外的工业控制系统安全标准进行研究,尤其是研究美国工业控制安全标准,包括NISTSP800-82、SP800-53,美国天然气工业协会(AGA)AGA12系列标准,ISA99系列标准,北美电力可控性公司(NERC)CIP系列标准。
并多次召开内部讨论会,对标准草案内容进行讨论,形成了《工控SCADA系统安全控制应用指南》草案1.2版本。
15、2013年8月16日,全国信息安全标准化技术委员会WG5工作组在北京组织召开了国家标准《SCADA系统安全控制指南》(草案)专家评审会。
专家听取了编制组关于标准编制情况介绍和标准说明,审阅了相关文档,经质询讨论,形成以下意见:
编制组在广泛调研的基础上,参考了国内外工业控制系统安全的有关标准,多次征求专家意见,广泛吸取了相关行业、企业的建议,进行了反复修改、完善;该标准概述了工业控制系统一般性安全问题,存在的威胁和脆弱性,给出了工业控制系统安全控制应用指南,对工业控制系统安全建设具有指导意义;该标准整体架构清晰、合理,编写格式基本符合GB/T1.1-2009要求;专家组建议该标准名称改为《信息安全技术工业控制系统安全控制应用指南》。
专家组同意通过评审。
建议与相关标准编制单位进行协调,修改完善后,尽快形成征求意见稿。
16、2013年12月-2014年5月,标准编制小组在积极采纳专家意见的基础上,对规范内容进行修改(删除、增加),调整了标准名称为:
《信息安全技术工业控制系统安全控制应用指南》。
17、2014年11月,信安标委WG5工作组组织成员单位对《信息安全技术工业控制系统安全控制应用指南》标准草案稿进行了投票表决,通过了本标准。
投票表决中相关单位和专家提出了一些修改建议和意见,标准编制组对意见进行了逐条分析和理解,形成标准征求意见稿及相关文件。
二、编制原则和主要内容
2.1编制原则
本标准的研究与编制工作遵循以下原则:
(1)通用性原则
立足于当前信息化技术水平,对国内外知名安全漏洞库的分类方法进行总结、归纳、简化,同时参考吸纳国外相关领域的先进成果并融入标准。
(2)可操作性和实用性原则
标准规范是对实际工作成果的总结与提升,最终还需要用于实践中,并经得起实践的检验,做到可操作、可用与实用。
(3)简化原则
根据规范化对象的结构、形式、规则等筛选提炼,经过剔除、替换,保持整体结构合理且维持原意和功能不变。
本标准的编制的内容制定遵循以下原则:
(A)唯一性原则:
安全漏洞仅在某一类别中,其所属类别不依赖人为因素。
(B)互斥性原则:
类别没有重叠,安全漏洞必属于某一分类。
(C)扩展性原则:
允许根据实际情况扩展安全漏洞的类别。
2.2主要内容
本标准的研究目标及内容是对工业控制系统安全控制应用的方法、步骤、范围、监控等进行研究,研究工业控制系统的技术架构特点、存在的安全漏洞和面临的安全威胁,并给出解决这些安全问题的基本安全基线和安全控制措施,以指导组织中负责系统建设的组织者、负责信息安全工作的实施者和从事信息安全工作的相关人员实施工业控制系统安全控制应用到本组织的工业控制系统。
本标准主要内容目录如下:
三、主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果
随着信息化技术的发展,以自动化技术为代表的自动控制系统在工业控制领域得到了广泛的应用。
在现代工业中使用的控制系统包括SCADA系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)等,这些我们统称为工业控制系统(ICS),其中依靠网络,以数据采集为基础,对生产过程进行集中控制的SCADA系统是现代电力、石油、天然气、铁路、供水、化工等基础产业生产系统的神经中枢。
本标准征求意见稿是在深入研究国外工业控制系统相关标准的基础上,充分调研国内工业控制系统应用,广泛听取了专家意见和建议的基础上形成的。
本标准编制期间调研和分析了国内工业控制系统应用和安全现状,研究和分析了国外工业控制系统安全体系相关文件和标准,吸收国外先进的体系建设思路,针对国内工业控制系统应用和安全现状,形成的《工业控制系统安全控制应用指南》,内容包括安全控制应用前提,安全控制的选择与规约,安全控制的应用步骤,安全控制的应用范围和安全控制的监控等。
本标准是针对各行业使用的工业控制系统给出的安全控制应用基本方法,是指导组织选择、裁剪、补偿和补充工业控制系统安全控制,获取适合组织需要的应允的安全控制基线,以满足组织对工业控制系统安全需求,帮助组织实现对工业控制系统进行有效的风险控制管理。
四、采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的对比情况,或与测试的国外样品、样机的有关数据对比情况
本标准在编写时参考了NISTSP800-82和SP800-53等相关标准。
五、与有关的现行法律、法规和强制性国家标准的关系
本标准的编制,要与《工业控制系统安全程序开发指南》、《工业控制系统安全管理指南》、《工业控制系统信息安全检查指南》、《工业控制系统信息安全分级指南》、《工业控制系统风险评估实施指南》等相关工业控制系统信息安全标准协调一致,提供工业控制系统信息安全领域的实施层标准指导。
六、重大分歧意见的处理经过和依据
详见标准意见汇总处理表。
七、国家标准作为强制性国家标准或推荐性国家标准的建议
建议本标准作为推荐性国家标准发布实施。
八、贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等内容)
本标准作为国家工业控制系统相关标准体系的一部分,配合实施。
九、其他事项说明
本标准不涉及专利。
标准编制组
2015年2月
升级会员 