GB/T 30976.1-2014
基本信息
标准号: GB/T 30976.1-2014
中文名称:工业控制系统信息安全 第1部分:评估规范
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:10403KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 30976.1-2014 工业控制系统信息安全 第1部分:评估规范
GB/T30976.1-2014
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS25.040
中华人民共和国国家标准
GB/T30976.1—2014
工业控制系统信息安全
第1部分:评估规范
Industrial control system security-Part 1:Assessment specification2014-07-24发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2015-02-01实施
规范性引用文件
术语、定义和缩略语
术语和定义
缩略语
工业控制系统信息安全概述
危险引人点
传播途径
危险后果的受体及其影响
工业控制系统信息安全评估的内容概述评估结果
5组织机构管理评估
安全方针
信息安全组织机构
资产管理
人力资源安全
物理和环境安全·
通信和操作管理
访问控制
信息系统获取、开发和维护
信息安全事件管理·
业务连续性管理
符合性
系统能力(技术)证
基本要求(FR)、系统要求(SR)FRI:标识和认证控制
FR2:使用控制
FR3.系统完整性
FR4.数据保密性
FR5:限制的数据流
FR6,对事件的及时响应
FR7:资源可用性
评估程序
评估工作过程
评估方法的确定
GB/T30976.1—2014
GB/T30976.1—2014
工业控制系统生命周期各阶段的风险评估生命周期概述
规划阶段的风险评估
设计阶段的风险评估
实施阶段的风险评估
运行维护阶段的风险评估
废弃阶段的风险评估
9评估报告的格式要求
附录A(规范性附录)管理评估列表附录B《规范性附录)
系统能力(技术)评估列表
风险评估工具和工业控制系统常见的测试内容附录C(资料性附录)
参考文献
风险可接受的程度
表工后果造成的侵害等级
表2工业控制系统的评估结果,
表3评估的主要流程
表A.1信息安全管理评估列表
系统要求和增强要求与安全等级的映射表B.1
GB/T30976%工业控制系统信息安全》分为两个部分:第1部分:评估规范:
第2部分:验收规范。
本部分为GB/T30976的第1部分。本部分按照GB/T1.1—2009给出的规则起草本部分由中国机械工业联合会提出GB/T 30976.1--2014
本部分由全国工业过程测量和控制标准化技术委员会(SAC/TC124)和全国信息安全标准化技术委员会(SAC/TC260)归口。
本部分起草单位:机械工业仪器仪表综合技术经济研究所、中国电子技术标准化研究院、北京和利时系统工程有限公司、中国核电工程有限公司中国电力科学研究院、清华天学西门子(气(中国)有限公司、北京钢铁设计研究总院、自动化仪表股份有限公司、东土科技股份有限公司、浙江大学、西南大学、重庆邮电大学、施德电出京奥斯汀科技有限公司、罗克韦尔自动化完沈阳自动化研究所无线网络安全技术国家工程实验(中国)有限公司中国仪器仪表学会、中国科学院中央办公厅电子科技学院、北京海泰方圆科技有限公司、室,西安西电捷通无线网络通信股份有限公司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、北京力控华康科技有限公司,广东航宇卫星科技有限公司、华北电力设计院工程有限公司、华为技术有限公司、三菱电机自动化(中国)有限公司、中标软件有限公司、横河电机(中国)有限公司北京研发中心。本部分主要起草人:王玉徽、唐一鸿、陷爱芬、罗安、吕冬宝、张建军、薛百华、陈小综、高昆仑、王雪、冯冬芹、刘枫、王浩、周纯杰、陈小枫、华熔、张莉、宋岩、李琴、夏德海、胡亚楠、王雄、胡伯良、梅恪、刘安正、田雨聪、方亮、马欣欣、张建勋、杨应良、丁露、王勇、杜佳琳、王亦君、陈日罡、张涛、王玉装、刘利民、丁青芝、刘文龙、钱晓斌、朱镜灵、张智、龚明、何佳、杨磊。iiKacaQiaiKAca
1范围
工业控制系统信息安全
第1部分:评估规范
GB/T30976.1—2014
GB/T30976的本部分规定了工业控制系统(SCADA.DCS.PLC,PCS等)信息安全评估的目标,评估的内容,实施过程等。
本部分适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人以及评估认证机构等对工业控制系统的信息安全进行评估时使用2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T220812008信息技术安全技术信息安全管理实用规则ISO/IEC27002:2005.IDT)IEC62443-3-3--2013工业过程测量和控制安全-网络和系统安全第3-3系统安全要求和安全等级(SL)
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件
脆弱性
yulnerability
系统设计,实现或操作和管理中存在的缺陷或弱点,可被利用来危害系统的完整性或安保策略。3.1.2
识别identify
对某一评估要素进行标识与辨别的过程。3.1.3
评估目标
assessmenttarget
评估活动所要达到的最终目的。3.1.4
acceptance
风险评估活动中用于结束项目实施的一种方法,主要由被评估方组织机构,对评估活动进行逐项检验,以是否达到评估目标为接受标准。3.1.5
风险处置risktreatment
选择并且执行措施来更改风险的过程。GB/T30976.1—2014
残余风险
residual risk
经过风险处置后遗留的风险。
riskacceptance
风险接受
接受风险的决定。
风险分析
risk analysis
系统地使用信息来识别风险来源和估计风险。3.1.9
riskassessment
风险评估
风险分析和风险评价的整个过程。3.1.10
risk management
风险管理
指导和控制一个组织机构相关风险的协调活动。3.1.11
风险处置
risktreatment
选择并且执行措施来更改风险的过程。3.1.12
industrialeontrolsystem;ICs
工业控制系统
对工业生产过程安全(safety)、信息安全(seeurity)和可靠运行产生作用和影响的人员,硬件和软件的集合。
注:系统包括.俱不限手:
1)业控制系统他括分布式控制系统(DCS)、可缩程逻辑控制器(PLC),智能电子设备(IED)、监现控制与效据票集(SCADA)系统运动控制(MC)系统,网络电子传感和控制.监视和诊断系统L在本标准中不论物理上是分开的还是集成的,过程控制系统(PCS)包括基本过程控制系统和安全仪表系统(SIS)]。2
相美的信息系统·例如先进控制或者多变量控制、在线优化器,专用设备监税器图形界面过程历史记录、制造执行系统(MES)和企业资源计划(ERP)管理系统3)
相关的部门、人员,网络或机器按口,为连续的,批处理、离散的和其他过程提供控制,安全和制造操作功能。
安全safety
免于不可接受的风险。
信息安全
security
保护系统所采取的措施:
由建立和维护保护系统的措施而产生的系统状态:能够免于非授权访问和非投权或意外的变更、破坏或者损失的系统资源的状态:基于计算机系统的能力·能够提供充分的把握使非授权人员和系统既无法修改软件及其数据d
也无法访间系统功能,却保证授权人员和系统不被阻止:防止对工业自动化和控制系统的非法或有害的人侵·或者干扰其正确和计划的操作。注,措施可以是与物理信息安全(控制物理访问计算机的资产3或者逻辑信息安全(登录给定系统和应用的能力)相关的控制于段
rKacadiaiKAca
3.2缩略语
下列缩略语适用于本文件。
能力等级
分布式控制系统
企业资源计划
基本要求
健康、环境和安全
工业控制系统
智能电子设备
制造执行系统
管理等级
过程控制系统
增强要求
可编程序控制器
监视控制与数据采集系统
安全仪表系统
信息安全等级
系统要求
虚拟专用网
4工业控制系统信息安全概述
4.1总则
(Capability level)
(Distributed Control System)(EnterpriseResourcePlanning)(Foundational requirement)
(Health,enviroment and security)(Industrial control system)
(Intelligent Electronie Device)(ManufacturingExecutionSystem)(Management level)
(Process Control System)
(Requirement enhancement)
(Programmalbe LogieController)GB/T30976.1-2014
(Supervisory Control And Data Acquisition)(Safety Instrumented System)(Security level)
(System requirement)
(Virtual private network)
工业控制系统的信息安全特性取决于其设计、管理、健壮性和环境条件等各种因素。系统信息安全的评估应包括在系统生命周期内的设计开发、安装、运行维护,退出使用等各阶段与系统相关的所有活动。必须认识到系统面临的风险在整个生命周期内会发生变化。评估系统信息安全特性时,应考虑以下各方面:危险引人点:
危险后果的受体及其影响:
传播途径:
降低风险的措施;
环境条件:
组织机构管理
注:在系统生命周期的不同阶段,由于某些新危险条件的出现,系统的安全等级会发生变化,4.2危险引入点
危险引人点是工业控制系统与非安全设备、系统和网络的接入点。危险源可能来自干工业控制系统的系统外部,也可能来自于工业控制系统的系统内部。安全威胁通过危险引人点并利用传播途径可能对受体造成伤害。危险引人点归结为以下几类,但不限于:网络和通信的连接点:例如,远程技术支持和访问点,无线接人点、调制解调器网络连接、因特a
网或物联网连接、遥测网络连接、开放的工业控制系统网络连接,与工业控制系统专网互联的其他网络连接、配置不当的防火墙等:3
GB/T30976.1—2014
b)移动媒体:例如,USB设备、光盘、移动硬盘等:)不当操作:例如,恶意攻击、无意误操作等:受感染的现场设备等
4.3传播途径
危险源可能通过传插途径对受体造成伤害。通常,可识别单一的传播途径,但在多数情况下,一个完整的传播途径是由若干单一类型的传播途径组合而成。传播途径一般分为以下几类,但不限于:外部公共网络,如因特网:
b)内部信息网络:
工控专网(点对点、无线):
移动存储装置。
危险后果的受体及其影响
危险后果的受体是指受到破坏时所侵害的客体,包括以下三个方面:人员:
环境:免费标准bzxz.net
资产。
对客体造成的侵害的程度归结为三种。分别对应于:a)造成特别严重的损害.A级;
b)造成严重损害.B级;
c)造成一般损害C级。
注:表|给出了后果造成侵害的级别,表1后果造成的侵害等级
风险区域
业务连续
A(高)
B(中)
C(低)
一个站点
生产中断
多个站点
生产中断
直接经济
损失(亿元
人民币)
信息安全
刑事责征
重罪型
事罪行
轻置型
事罪行
社会影响
品牌形
象损失
失去客户
的信任
工业操作安全
非现场
现场人员
损失工作
日或重
大伤害
死亡或
重大社
会事件
投诉或当
地社区的
无投诉
iKacadiaiKAca-
环境安全
大面积长
期过度的
重大损害
受地方
机构通报
可释放
的极限
国家经济影响
基础设施
和服务
影响多个业
务部门或扰
乱社区服务
在超越一个
公司的水平可
能影响到业
务部门,
社区服务
九乎无影响
4.5工业控制系统信息安全评估的内容概述4.5.1组织机构管理评估
GB/T30976.1-2014
组织机构管理通常对构成管理体系的基本要素提出相应的要求和为满足这些要求需要实现或解决哪些方面的内容,而不提供如何去开发管理体系。工业控制系统管理机构(资产所有者)面对具有挑战性的新问题时,应当把信息安全作为一个关键内容融合到整个安全运行体系中。那么常见的工程方法是将问题分解成更小的子间题,按照分治方式解决每个子问题。这是解决ICS信息安全风险的合理途径。然而,在解决信息安全方面常犯的错误是,试图用一套系统一次解决所有的ICS信息安全问题。ICS信息安全是一个更大的挑战,需要考虑整个ICS以及环绕和利用ICS的政策、规程,实践和人员等各个方面。实施这样大范围的管理可能需要组织机构内部的文化变革在整个组织机构管理范围的基础上解决ICS信息安全管理是一项艰巨的任务。因为没有适合所有情况的工业控制系统信息安全实践。信息安全实际上是一个风险和成本的平衡。行业不同面对的情况有所不同。在某些情况下,风险可能与健康、安全,环境(HSE)因素有关而不是单纯的经济影响。风险可能带来不可恢复的后果而不仅仅是暂时性的财务损失。组织机构管理评估基于GB/T22081一2008第5章~第15章标准制定,但是引人一个重要的概念,工业控制系统的信息安全风险对HSE影响,应与现有风险管理实践结合来应对这些风险,具体的评估内容见第5章和附录A。
4.5.2工业控制系统能力(技术)评估系统能力(技术)评估目的是保证系统能够在技术上免受攻击。对于一个运行很好的系统,他应该满足操作和安全两个要求。要提前决定的是什么时候开发项目测试以及供应商和集成商对于网络安全设备或系统的要求保证什么级别。对特殊设备或系统的保证的级别将决定系统能力实现的要求。供应商可能推荐测试方法对于特殊的设备和系统,但是用户将需要确定这些技术是否满足安全要求理想情况下,将系统所有状态都进行能力评估,以保证每个安全措施能够满足或可以知道其剩余的风险。尽管完整的系统评估理论上是可能的,但是由于财务和人为约束而不能获得大多数的认证。因此,现在面临的问题是决定可接受的风险等级,执行可接受风险的评估。本部分的内容主要见IEC62443-3-3:2013的第4章~第10章,分别对应于本部分的第6章和附录B。4.5.3与其他安全措施的关联
在工业控制系统环境下,评估人员应该完全理解企业计算机安全政策、规程、与特定设施和/或工业操作相关的健康、安全环境风险。应小心确保评估不会干扰由工业控制系统设备提供的控制功能,在评估实施前,可能需要使系统离线。信息安全、物理安全和功能安全可能是密切相关的。在某些情况下,其他安全措施有可能为信息安全提供独立保护层,而附加的信息安全措施也有可能破坏其他安全措施的完整性。因此·在其体的风险评估活动中,应考虑三者潜在的相互作用及其影响后果。4.5.4过程环境制约因素
在评估工业控制系统信息安全特性时,应考虑过程环境条件的制约因素,特别是针对在用工业自化控制系统,应考虑现场测试和引人安全技术措施对正常生产过程的影响。在实施现场测试和引入安全技术措施之前,必须分析下列过程环境条件,以确保行动不会影响正常生产过程。a)工业控制系统或其子系统承担的任务:b)操作人员的能力;
GB/T30976.1-2014
主业控制系统所连接的工业过程的特性:d)
附加工具或系统对工业控制正常逻辑的影响:e)
与工业控制系统连接的公用设施(气、电等)4.6评估结果
4.6.1风险可接受程度
信息安全采取的管理和技术措施建议采取最小影响的原则。根据工业控制系统的组织机构管理以及系统(技术)能力评估系统的风险,针对风险产生的结果采用信息安全等级(seeuritylevel,Sl.)来表示风险管理过程中的不同风险,这样的结果比较直观,根据SL来确定组织机构的整体安全策略和相应的技术防御措施,同时,组织机构应当综合考虑风险控制成本与风险造成的影响-提出一个可接受的风险范用,对某些资产的风险,如果风险计算值在可接受的范围内,则该风险是可接受的,即残余风险在系统允许风险之内说明系统是健壮的,应保持已经有的安全措施:如果风险评估值在可接受的范围外.但可接受范围的下限值,则该风险需要采取安全措施降低,并控制风险到可接受的程度,如果评估的风险从经济,健康,安全和环境方面进行评估后发现风险是不可以接受的,那么就要对现有的系统重新设计信息安全程序。见图1。其中的风险评估的工具和方法参见附录C
不可接受风险/新的IACS
安全系统
采取措施
降低风险
可接受风险
图1风险可接受的程度
注1:「业控制系统是利用可供选用的各种配置的功能和元件执行要求的任务,系统的该特征难以仅通过评定每个单独功能和元件的特征来综合评值一个系统的信息安全能力:注2:工业控制系统信息安全评估的深度在很大程度上取决于系统的复录程度和边界影响条件以及详估的目的:注3:评估的范间可以采用汇总统计表的形式,在一个轴线上列旧系统的特性另一轴线上列出需考患的安全影响条件。统计表的方格可用于记录对于每一种系统特性册一种安全影响条件需要加以考您。4.6.2评估结果等级的划分
评估分为管理评估和系统能力(技术)评估。管理评估宜对照风险接受准则和组织机构相关目标,识别、量化并区分风险的优先次序。风险评估的结果宜指导并确定适当的管理措施及其优先级,评估风险和选择控制措施的过程需要执行多次以覆盖组织机构的不同部门或各个工业控制系统。管理评估分为三个级别.分别为管理等级(managementlevel的ML.1、ML2、ML3,由低到高分别对应低级、中级和高级,具体的评估内容见第5章,表格参见表A.1。系统能力(技术》评估分为四个级别.由小到大分别对应系统能力等级(capabilityleveb)的CLTCL2、CL3和CL4,具体的评估内容见第6-rKacadiaiKAca
GB/T30976.1-2014
章,表格见表B,1。综合管理评估和系统能力评估的结果,得到工业控制系统的评估结果,亦即信息安全等级(SL1SL2.SL3SL4),见表2。表2工业控制系统的评估结果
信息安全等级
管理等级
组织机构管理评估
5.1安全方针
信息安全方针
系统能力等级
目标:依据业务要求和相关法律法规提供管理指导并支特信息安全。要求:管理者应根据业务目标制定清晰的方针指导,并通过在整个组织机构中硕布和维护信息安全方针来表明对信息安全的支持和承诺。5.1.1.1信息安全方针文件
控制措施:
信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。评估指南:
信息安全方针文件应说明管理承诺。并提出组织机构的管理信息安全的方法。方针文件建议包括以下声明:
信息安全、整体目标和范围的定义,以及在允许信息共享机制下安全的重要性:a
管理者意图的声明,以支持符合业务策略和目标的信息安全目标和原则:b)
设置控制目标和控制措施的框架·包括风险评估和风险管理的结构:对组织机构特别重要的安全方针策略、原则、标准和符合性要求的简要说明,包括:1)
符合法律法规和合同要求;
安全教育、培训和意识要求:
业务连续性管理;
违反信息安全方针的后果。
信息安全管理(包括报告信息安全事件)的一般和特定职责的定义:对支持方针的文件的引用-例如,特定信息系统的更详细的安全策略和规程,或用户要遵守安全规则。
5.1.1.2信息安全方针的评审
控制措施:
应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保持续的适宜性、充分性和GB/T30976.1—2014
有效性。
评估指南:
信息安全方针应有专人负责他负有安全方针制定,评审和评价的管理职责,评审要包括评估组织机构信息安全方针改进的机会和管理信息安全适应组织机构环境、业务状况法律条件或技术环境变化的方法。
信息安全方针评审应考虑管理评审的结果。定义管理评审规程·包括时间表或评审周期管理评审的输人建议包括以下信息:相关方的反馈:
b)独立评审的结果(见5.2.1.7);e)
预防和纠正措施的状态(见5.2.1,7和5.11.2.1):以往管理评审的结果:
过程执行情况和信息安全方针符合性:可能影响组织机构管理信息安全的方法的变更,包括组织机构环境,业务状况、资源可用性、合同,规章和法律条件或技术环境的变更;威胁和脆弱性的趋势:
h)已报告的信息安全事件(见5.9.1)相关政府部门的建议(见5.2.16)管理评审的输出建议包括与以下方面有关的任何决定和措施:组织机构管理信息安全的方法及其过程的改进:a
控制目标和控制措施的改进;
资源和/或职责分配的改进
维护管理评审的记录并获得管理者对修订的方针的批准,d)
5.2信息安全组织机构
5.2.1内部组织机构
日标:管理组织机构范围内信息安全应建立管理框架,以启动和控制组织机构范用内的信息安全的实施。管理者应批准信息安全方针、指派安全角色以及协调和评审整个组织机构安全的实施。若必要,在组织机构范围内建立专家信息安全建议库,并在组织机构内可用。发展与外部安全专家或组织机构(包括相关权威人士)的联系,以便跟上行业趋势、跟踪标准和评估方法,并且当处理信息安全事件时,提供合适的联络点。5.2.1.1信息安全的管理承诺
控制措施:
管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织机构内的安全。
评估指南:
建议管理者:
a)确保信息安全目标得以识别,满足组织机构要求,并已被整合到相关过程中:制定、评审、批准信息安全方针:b)
评审信息安全方针实施的有效性:d)
为安全启动提供明确的方向和支持:8
iiKacaQiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T30976.1—2014
工业控制系统信息安全
第1部分:评估规范
Industrial control system security-Part 1:Assessment specification2014-07-24发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2015-02-01实施
规范性引用文件
术语、定义和缩略语
术语和定义
缩略语
工业控制系统信息安全概述
危险引人点
传播途径
危险后果的受体及其影响
工业控制系统信息安全评估的内容概述评估结果
5组织机构管理评估
安全方针
信息安全组织机构
资产管理
人力资源安全
物理和环境安全·
通信和操作管理
访问控制
信息系统获取、开发和维护
信息安全事件管理·
业务连续性管理
符合性
系统能力(技术)证
基本要求(FR)、系统要求(SR)FRI:标识和认证控制
FR2:使用控制
FR3.系统完整性
FR4.数据保密性
FR5:限制的数据流
FR6,对事件的及时响应
FR7:资源可用性
评估程序
评估工作过程
评估方法的确定
GB/T30976.1—2014
GB/T30976.1—2014
工业控制系统生命周期各阶段的风险评估生命周期概述
规划阶段的风险评估
设计阶段的风险评估
实施阶段的风险评估
运行维护阶段的风险评估
废弃阶段的风险评估
9评估报告的格式要求
附录A(规范性附录)管理评估列表附录B《规范性附录)
系统能力(技术)评估列表
风险评估工具和工业控制系统常见的测试内容附录C(资料性附录)
参考文献
风险可接受的程度
表工后果造成的侵害等级
表2工业控制系统的评估结果,
表3评估的主要流程
表A.1信息安全管理评估列表
系统要求和增强要求与安全等级的映射表B.1
GB/T30976%工业控制系统信息安全》分为两个部分:第1部分:评估规范:
第2部分:验收规范。
本部分为GB/T30976的第1部分。本部分按照GB/T1.1—2009给出的规则起草本部分由中国机械工业联合会提出GB/T 30976.1--2014
本部分由全国工业过程测量和控制标准化技术委员会(SAC/TC124)和全国信息安全标准化技术委员会(SAC/TC260)归口。
本部分起草单位:机械工业仪器仪表综合技术经济研究所、中国电子技术标准化研究院、北京和利时系统工程有限公司、中国核电工程有限公司中国电力科学研究院、清华天学西门子(气(中国)有限公司、北京钢铁设计研究总院、自动化仪表股份有限公司、东土科技股份有限公司、浙江大学、西南大学、重庆邮电大学、施德电出京奥斯汀科技有限公司、罗克韦尔自动化完沈阳自动化研究所无线网络安全技术国家工程实验(中国)有限公司中国仪器仪表学会、中国科学院中央办公厅电子科技学院、北京海泰方圆科技有限公司、室,西安西电捷通无线网络通信股份有限公司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、北京力控华康科技有限公司,广东航宇卫星科技有限公司、华北电力设计院工程有限公司、华为技术有限公司、三菱电机自动化(中国)有限公司、中标软件有限公司、横河电机(中国)有限公司北京研发中心。本部分主要起草人:王玉徽、唐一鸿、陷爱芬、罗安、吕冬宝、张建军、薛百华、陈小综、高昆仑、王雪、冯冬芹、刘枫、王浩、周纯杰、陈小枫、华熔、张莉、宋岩、李琴、夏德海、胡亚楠、王雄、胡伯良、梅恪、刘安正、田雨聪、方亮、马欣欣、张建勋、杨应良、丁露、王勇、杜佳琳、王亦君、陈日罡、张涛、王玉装、刘利民、丁青芝、刘文龙、钱晓斌、朱镜灵、张智、龚明、何佳、杨磊。iiKacaQiaiKAca
1范围
工业控制系统信息安全
第1部分:评估规范
GB/T30976.1—2014
GB/T30976的本部分规定了工业控制系统(SCADA.DCS.PLC,PCS等)信息安全评估的目标,评估的内容,实施过程等。
本部分适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人以及评估认证机构等对工业控制系统的信息安全进行评估时使用2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T220812008信息技术安全技术信息安全管理实用规则ISO/IEC27002:2005.IDT)IEC62443-3-3--2013工业过程测量和控制安全-网络和系统安全第3-3系统安全要求和安全等级(SL)
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件
脆弱性
yulnerability
系统设计,实现或操作和管理中存在的缺陷或弱点,可被利用来危害系统的完整性或安保策略。3.1.2
识别identify
对某一评估要素进行标识与辨别的过程。3.1.3
评估目标
assessmenttarget
评估活动所要达到的最终目的。3.1.4
acceptance
风险评估活动中用于结束项目实施的一种方法,主要由被评估方组织机构,对评估活动进行逐项检验,以是否达到评估目标为接受标准。3.1.5
风险处置risktreatment
选择并且执行措施来更改风险的过程。GB/T30976.1—2014
残余风险
residual risk
经过风险处置后遗留的风险。
riskacceptance
风险接受
接受风险的决定。
风险分析
risk analysis
系统地使用信息来识别风险来源和估计风险。3.1.9
riskassessment
风险评估
风险分析和风险评价的整个过程。3.1.10
risk management
风险管理
指导和控制一个组织机构相关风险的协调活动。3.1.11
风险处置
risktreatment
选择并且执行措施来更改风险的过程。3.1.12
industrialeontrolsystem;ICs
工业控制系统
对工业生产过程安全(safety)、信息安全(seeurity)和可靠运行产生作用和影响的人员,硬件和软件的集合。
注:系统包括.俱不限手:
1)业控制系统他括分布式控制系统(DCS)、可缩程逻辑控制器(PLC),智能电子设备(IED)、监现控制与效据票集(SCADA)系统运动控制(MC)系统,网络电子传感和控制.监视和诊断系统L在本标准中不论物理上是分开的还是集成的,过程控制系统(PCS)包括基本过程控制系统和安全仪表系统(SIS)]。2
相美的信息系统·例如先进控制或者多变量控制、在线优化器,专用设备监税器图形界面过程历史记录、制造执行系统(MES)和企业资源计划(ERP)管理系统3)
相关的部门、人员,网络或机器按口,为连续的,批处理、离散的和其他过程提供控制,安全和制造操作功能。
安全safety
免于不可接受的风险。
信息安全
security
保护系统所采取的措施:
由建立和维护保护系统的措施而产生的系统状态:能够免于非授权访问和非投权或意外的变更、破坏或者损失的系统资源的状态:基于计算机系统的能力·能够提供充分的把握使非授权人员和系统既无法修改软件及其数据d
也无法访间系统功能,却保证授权人员和系统不被阻止:防止对工业自动化和控制系统的非法或有害的人侵·或者干扰其正确和计划的操作。注,措施可以是与物理信息安全(控制物理访问计算机的资产3或者逻辑信息安全(登录给定系统和应用的能力)相关的控制于段
rKacadiaiKAca
3.2缩略语
下列缩略语适用于本文件。
能力等级
分布式控制系统
企业资源计划
基本要求
健康、环境和安全
工业控制系统
智能电子设备
制造执行系统
管理等级
过程控制系统
增强要求
可编程序控制器
监视控制与数据采集系统
安全仪表系统
信息安全等级
系统要求
虚拟专用网
4工业控制系统信息安全概述
4.1总则
(Capability level)
(Distributed Control System)(EnterpriseResourcePlanning)(Foundational requirement)
(Health,enviroment and security)(Industrial control system)
(Intelligent Electronie Device)(ManufacturingExecutionSystem)(Management level)
(Process Control System)
(Requirement enhancement)
(Programmalbe LogieController)GB/T30976.1-2014
(Supervisory Control And Data Acquisition)(Safety Instrumented System)(Security level)
(System requirement)
(Virtual private network)
工业控制系统的信息安全特性取决于其设计、管理、健壮性和环境条件等各种因素。系统信息安全的评估应包括在系统生命周期内的设计开发、安装、运行维护,退出使用等各阶段与系统相关的所有活动。必须认识到系统面临的风险在整个生命周期内会发生变化。评估系统信息安全特性时,应考虑以下各方面:危险引人点:
危险后果的受体及其影响:
传播途径:
降低风险的措施;
环境条件:
组织机构管理
注:在系统生命周期的不同阶段,由于某些新危险条件的出现,系统的安全等级会发生变化,4.2危险引入点
危险引人点是工业控制系统与非安全设备、系统和网络的接入点。危险源可能来自干工业控制系统的系统外部,也可能来自于工业控制系统的系统内部。安全威胁通过危险引人点并利用传播途径可能对受体造成伤害。危险引人点归结为以下几类,但不限于:网络和通信的连接点:例如,远程技术支持和访问点,无线接人点、调制解调器网络连接、因特a
网或物联网连接、遥测网络连接、开放的工业控制系统网络连接,与工业控制系统专网互联的其他网络连接、配置不当的防火墙等:3
GB/T30976.1—2014
b)移动媒体:例如,USB设备、光盘、移动硬盘等:)不当操作:例如,恶意攻击、无意误操作等:受感染的现场设备等
4.3传播途径
危险源可能通过传插途径对受体造成伤害。通常,可识别单一的传播途径,但在多数情况下,一个完整的传播途径是由若干单一类型的传播途径组合而成。传播途径一般分为以下几类,但不限于:外部公共网络,如因特网:
b)内部信息网络:
工控专网(点对点、无线):
移动存储装置。
危险后果的受体及其影响
危险后果的受体是指受到破坏时所侵害的客体,包括以下三个方面:人员:
环境:免费标准bzxz.net
资产。
对客体造成的侵害的程度归结为三种。分别对应于:a)造成特别严重的损害.A级;
b)造成严重损害.B级;
c)造成一般损害C级。
注:表|给出了后果造成侵害的级别,表1后果造成的侵害等级
风险区域
业务连续
A(高)
B(中)
C(低)
一个站点
生产中断
多个站点
生产中断
直接经济
损失(亿元
人民币)
信息安全
刑事责征
重罪型
事罪行
轻置型
事罪行
社会影响
品牌形
象损失
失去客户
的信任
工业操作安全
非现场
现场人员
损失工作
日或重
大伤害
死亡或
重大社
会事件
投诉或当
地社区的
无投诉
iKacadiaiKAca-
环境安全
大面积长
期过度的
重大损害
受地方
机构通报
可释放
的极限
国家经济影响
基础设施
和服务
影响多个业
务部门或扰
乱社区服务
在超越一个
公司的水平可
能影响到业
务部门,
社区服务
九乎无影响
4.5工业控制系统信息安全评估的内容概述4.5.1组织机构管理评估
GB/T30976.1-2014
组织机构管理通常对构成管理体系的基本要素提出相应的要求和为满足这些要求需要实现或解决哪些方面的内容,而不提供如何去开发管理体系。工业控制系统管理机构(资产所有者)面对具有挑战性的新问题时,应当把信息安全作为一个关键内容融合到整个安全运行体系中。那么常见的工程方法是将问题分解成更小的子间题,按照分治方式解决每个子问题。这是解决ICS信息安全风险的合理途径。然而,在解决信息安全方面常犯的错误是,试图用一套系统一次解决所有的ICS信息安全问题。ICS信息安全是一个更大的挑战,需要考虑整个ICS以及环绕和利用ICS的政策、规程,实践和人员等各个方面。实施这样大范围的管理可能需要组织机构内部的文化变革在整个组织机构管理范围的基础上解决ICS信息安全管理是一项艰巨的任务。因为没有适合所有情况的工业控制系统信息安全实践。信息安全实际上是一个风险和成本的平衡。行业不同面对的情况有所不同。在某些情况下,风险可能与健康、安全,环境(HSE)因素有关而不是单纯的经济影响。风险可能带来不可恢复的后果而不仅仅是暂时性的财务损失。组织机构管理评估基于GB/T22081一2008第5章~第15章标准制定,但是引人一个重要的概念,工业控制系统的信息安全风险对HSE影响,应与现有风险管理实践结合来应对这些风险,具体的评估内容见第5章和附录A。
4.5.2工业控制系统能力(技术)评估系统能力(技术)评估目的是保证系统能够在技术上免受攻击。对于一个运行很好的系统,他应该满足操作和安全两个要求。要提前决定的是什么时候开发项目测试以及供应商和集成商对于网络安全设备或系统的要求保证什么级别。对特殊设备或系统的保证的级别将决定系统能力实现的要求。供应商可能推荐测试方法对于特殊的设备和系统,但是用户将需要确定这些技术是否满足安全要求理想情况下,将系统所有状态都进行能力评估,以保证每个安全措施能够满足或可以知道其剩余的风险。尽管完整的系统评估理论上是可能的,但是由于财务和人为约束而不能获得大多数的认证。因此,现在面临的问题是决定可接受的风险等级,执行可接受风险的评估。本部分的内容主要见IEC62443-3-3:2013的第4章~第10章,分别对应于本部分的第6章和附录B。4.5.3与其他安全措施的关联
在工业控制系统环境下,评估人员应该完全理解企业计算机安全政策、规程、与特定设施和/或工业操作相关的健康、安全环境风险。应小心确保评估不会干扰由工业控制系统设备提供的控制功能,在评估实施前,可能需要使系统离线。信息安全、物理安全和功能安全可能是密切相关的。在某些情况下,其他安全措施有可能为信息安全提供独立保护层,而附加的信息安全措施也有可能破坏其他安全措施的完整性。因此·在其体的风险评估活动中,应考虑三者潜在的相互作用及其影响后果。4.5.4过程环境制约因素
在评估工业控制系统信息安全特性时,应考虑过程环境条件的制约因素,特别是针对在用工业自化控制系统,应考虑现场测试和引人安全技术措施对正常生产过程的影响。在实施现场测试和引入安全技术措施之前,必须分析下列过程环境条件,以确保行动不会影响正常生产过程。a)工业控制系统或其子系统承担的任务:b)操作人员的能力;
GB/T30976.1-2014
主业控制系统所连接的工业过程的特性:d)
附加工具或系统对工业控制正常逻辑的影响:e)
与工业控制系统连接的公用设施(气、电等)4.6评估结果
4.6.1风险可接受程度
信息安全采取的管理和技术措施建议采取最小影响的原则。根据工业控制系统的组织机构管理以及系统(技术)能力评估系统的风险,针对风险产生的结果采用信息安全等级(seeuritylevel,Sl.)来表示风险管理过程中的不同风险,这样的结果比较直观,根据SL来确定组织机构的整体安全策略和相应的技术防御措施,同时,组织机构应当综合考虑风险控制成本与风险造成的影响-提出一个可接受的风险范用,对某些资产的风险,如果风险计算值在可接受的范围内,则该风险是可接受的,即残余风险在系统允许风险之内说明系统是健壮的,应保持已经有的安全措施:如果风险评估值在可接受的范围外.但可接受范围的下限值,则该风险需要采取安全措施降低,并控制风险到可接受的程度,如果评估的风险从经济,健康,安全和环境方面进行评估后发现风险是不可以接受的,那么就要对现有的系统重新设计信息安全程序。见图1。其中的风险评估的工具和方法参见附录C
不可接受风险/新的IACS
安全系统
采取措施
降低风险
可接受风险
图1风险可接受的程度
注1:「业控制系统是利用可供选用的各种配置的功能和元件执行要求的任务,系统的该特征难以仅通过评定每个单独功能和元件的特征来综合评值一个系统的信息安全能力:注2:工业控制系统信息安全评估的深度在很大程度上取决于系统的复录程度和边界影响条件以及详估的目的:注3:评估的范间可以采用汇总统计表的形式,在一个轴线上列旧系统的特性另一轴线上列出需考患的安全影响条件。统计表的方格可用于记录对于每一种系统特性册一种安全影响条件需要加以考您。4.6.2评估结果等级的划分
评估分为管理评估和系统能力(技术)评估。管理评估宜对照风险接受准则和组织机构相关目标,识别、量化并区分风险的优先次序。风险评估的结果宜指导并确定适当的管理措施及其优先级,评估风险和选择控制措施的过程需要执行多次以覆盖组织机构的不同部门或各个工业控制系统。管理评估分为三个级别.分别为管理等级(managementlevel的ML.1、ML2、ML3,由低到高分别对应低级、中级和高级,具体的评估内容见第5章,表格参见表A.1。系统能力(技术》评估分为四个级别.由小到大分别对应系统能力等级(capabilityleveb)的CLTCL2、CL3和CL4,具体的评估内容见第6-rKacadiaiKAca
GB/T30976.1-2014
章,表格见表B,1。综合管理评估和系统能力评估的结果,得到工业控制系统的评估结果,亦即信息安全等级(SL1SL2.SL3SL4),见表2。表2工业控制系统的评估结果
信息安全等级
管理等级
组织机构管理评估
5.1安全方针
信息安全方针
系统能力等级
目标:依据业务要求和相关法律法规提供管理指导并支特信息安全。要求:管理者应根据业务目标制定清晰的方针指导,并通过在整个组织机构中硕布和维护信息安全方针来表明对信息安全的支持和承诺。5.1.1.1信息安全方针文件
控制措施:
信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。评估指南:
信息安全方针文件应说明管理承诺。并提出组织机构的管理信息安全的方法。方针文件建议包括以下声明:
信息安全、整体目标和范围的定义,以及在允许信息共享机制下安全的重要性:a
管理者意图的声明,以支持符合业务策略和目标的信息安全目标和原则:b)
设置控制目标和控制措施的框架·包括风险评估和风险管理的结构:对组织机构特别重要的安全方针策略、原则、标准和符合性要求的简要说明,包括:1)
符合法律法规和合同要求;
安全教育、培训和意识要求:
业务连续性管理;
违反信息安全方针的后果。
信息安全管理(包括报告信息安全事件)的一般和特定职责的定义:对支持方针的文件的引用-例如,特定信息系统的更详细的安全策略和规程,或用户要遵守安全规则。
5.1.1.2信息安全方针的评审
控制措施:
应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保持续的适宜性、充分性和GB/T30976.1—2014
有效性。
评估指南:
信息安全方针应有专人负责他负有安全方针制定,评审和评价的管理职责,评审要包括评估组织机构信息安全方针改进的机会和管理信息安全适应组织机构环境、业务状况法律条件或技术环境变化的方法。
信息安全方针评审应考虑管理评审的结果。定义管理评审规程·包括时间表或评审周期管理评审的输人建议包括以下信息:相关方的反馈:
b)独立评审的结果(见5.2.1.7);e)
预防和纠正措施的状态(见5.2.1,7和5.11.2.1):以往管理评审的结果:
过程执行情况和信息安全方针符合性:可能影响组织机构管理信息安全的方法的变更,包括组织机构环境,业务状况、资源可用性、合同,规章和法律条件或技术环境的变更;威胁和脆弱性的趋势:
h)已报告的信息安全事件(见5.9.1)相关政府部门的建议(见5.2.16)管理评审的输出建议包括与以下方面有关的任何决定和措施:组织机构管理信息安全的方法及其过程的改进:a
控制目标和控制措施的改进;
资源和/或职责分配的改进
维护管理评审的记录并获得管理者对修订的方针的批准,d)
5.2信息安全组织机构
5.2.1内部组织机构
日标:管理组织机构范围内信息安全应建立管理框架,以启动和控制组织机构范用内的信息安全的实施。管理者应批准信息安全方针、指派安全角色以及协调和评审整个组织机构安全的实施。若必要,在组织机构范围内建立专家信息安全建议库,并在组织机构内可用。发展与外部安全专家或组织机构(包括相关权威人士)的联系,以便跟上行业趋势、跟踪标准和评估方法,并且当处理信息安全事件时,提供合适的联络点。5.2.1.1信息安全的管理承诺
控制措施:
管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织机构内的安全。
评估指南:
建议管理者:
a)确保信息安全目标得以识别,满足组织机构要求,并已被整合到相关过程中:制定、评审、批准信息安全方针:b)
评审信息安全方针实施的有效性:d)
为安全启动提供明确的方向和支持:8
iiKacaQiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。