信息安全技術(shù)

國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)工業(yè)控制系統(tǒng)

安全控制應(yīng)用指南》（征求意見(jiàn)稿）編制說(shuō)明一、 工作簡(jiǎn)況1.1任務(wù)來(lái)源《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》是國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2010年下達(dá)的信息安全國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目，國(guó)標(biāo)計(jì)劃號(hào)為:20100384-T—469,原名稱為“工控SCADA系統(tǒng)安全控制指南”，由國(guó)家信息技術(shù)安全研究中心承擔(dān)，參與單位包括國(guó)家信息技術(shù)安全研究中心、國(guó)家能源局（原電監(jiān)會(huì)）信息中心、中國(guó)電力科學(xué)研究院、無(wú)錫市同威科技有限公司等單位。2013年8月標(biāo)準(zhǔn)草案專家評(píng)審會(huì)議上專家建議將標(biāo)準(zhǔn)修改為“工業(yè)控制系統(tǒng)安全控制應(yīng)用指南”1.2主要工作過(guò)程1、 2010年2月，聯(lián)系各個(gè)參與單位，進(jìn)行任務(wù)分工和任務(wù)組織；研究現(xiàn)有國(guó)內(nèi)外工控安全相關(guān)標(biāo)準(zhǔn)，分析各自特點(diǎn)，學(xué)習(xí)借鑒，包括IEC62443、NISTSP800—82、NISTSP800-53ISO/IEC27019等標(biāo)準(zhǔn)。2、 2010年2-6月，項(xiàng)目組先后到北京地區(qū)擁有SCADA系統(tǒng)的七個(gè)行業(yè)進(jìn)行了實(shí)地調(diào)研并與各行業(yè)從事SCADA系統(tǒng)管理和維護(hù)的人員進(jìn)行了座談；并形成各工業(yè)控制系統(tǒng)的調(diào)研報(bào)告。3、 2010年6月，項(xiàng)目組組織召開(kāi)了行業(yè)專家討論會(huì)，聽(tīng)取了來(lái)自石油、電力、供水、燃?xì)狻㈣F路、城市軌道交通等行業(yè)專家對(duì)標(biāo)準(zhǔn)草案的意見(jiàn)。4、 2010年7月，根據(jù)任務(wù)書(shū)的要求，規(guī)范編制小組開(kāi)展考察調(diào)研和資料搜集工作，按照需求分析整理出安全漏洞分類規(guī)范的框架結(jié)構(gòu)。5、 2010年7月8日，召集了信息安全標(biāo)準(zhǔn)專家征求意見(jiàn)會(huì)，會(huì)上許多專家從標(biāo)準(zhǔn)中術(shù)語(yǔ)的定義、標(biāo)準(zhǔn)的內(nèi)容格式上提出了許多寶貴意見(jiàn)。會(huì)后，項(xiàng)目組對(duì)專家意見(jiàn)進(jìn)行了認(rèn)真分析和研究，在此基礎(chǔ)上形成了標(biāo)準(zhǔn)草案。6、 2010年12月初，召集第二次行業(yè)專家征求意見(jiàn)會(huì)，進(jìn)一步對(duì)標(biāo)準(zhǔn)制定內(nèi)容進(jìn)行討論，為制標(biāo)做準(zhǔn)備。7、 2011年7月，討論確定編制思路和標(biāo)準(zhǔn)框架，按照分工開(kāi)始各部分編制工作，重點(diǎn)是控制措施部分.8、 2011年11月，項(xiàng)目組人員參加工控SCADA系統(tǒng)信息安全研討會(huì)，聽(tīng)取與會(huì)專家關(guān)于工控SCADA系統(tǒng)信息安全方面的意見(jiàn)和見(jiàn)解，豐富項(xiàng)目組人員工控SCADA系統(tǒng)安全視野。9、2011年7月—12月，項(xiàng)目組人員集中分析研究了國(guó)外工業(yè)控制系統(tǒng)相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，結(jié)合領(lǐng)域?qū)＜乙庖?jiàn)和建議，形成了《工控SCADA系統(tǒng)安全控制指南》草稿。10、2012年7月,在安標(biāo)委年度標(biāo)準(zhǔn)檢查會(huì)議上，向安標(biāo)委專家介紹了《工控SCADA系統(tǒng)安全控制指南》標(biāo)準(zhǔn)成果,聽(tīng)取了專家的意見(jiàn)和建議。11、2012年7月，邀請(qǐng)安標(biāo)委專家王立福教授對(duì)標(biāo)準(zhǔn)編寫(xiě)提供意見(jiàn)與建議，根據(jù)王教授的建議將標(biāo)準(zhǔn)調(diào)整為《工控SCADA系統(tǒng)安全控制應(yīng)用指南》和《工控SCADA系統(tǒng)安全控制指南》。根據(jù)王教授意見(jiàn)課題組將確定將標(biāo)準(zhǔn)調(diào)整為《SCADA系統(tǒng)安全控制應(yīng)用指南》，并進(jìn)行標(biāo)準(zhǔn)內(nèi)容調(diào)整.12、 2012年7月-9月，根據(jù)安標(biāo)委專家的意見(jiàn)和建議，修改完善標(biāo)準(zhǔn)草案，并邀請(qǐng)了部分安標(biāo)委專家給予項(xiàng)目組專門(mén)的指導(dǎo)，形成了《工控SCADA系統(tǒng)安全控制應(yīng)用指南》草稿。13、 2012年9月，項(xiàng)目組參加了“工業(yè)控制系統(tǒng)標(biāo)準(zhǔn)研討會(huì)”，聽(tīng)取了TC260、TC124等不同專家關(guān)于工控系統(tǒng)安全標(biāo)準(zhǔn)的觀點(diǎn)和意見(jiàn)，在汲取各位專家的意見(jiàn)和觀點(diǎn)的基礎(chǔ)上，進(jìn)一步改進(jìn)完善了《工控SCADA系統(tǒng)安全控制應(yīng)用指南》草稿，并形成1。1版本。14、 2012年9月-2013年4月，根據(jù)專家的意見(jiàn)，對(duì)國(guó)內(nèi)外的工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)進(jìn)行研究，尤其是研究美國(guó)工業(yè)控制安全標(biāo)準(zhǔn)，包括NISTSP800—82、SP800—53，美國(guó)天然氣工業(yè)協(xié)會(huì)（AGA）AGA12系列標(biāo)準(zhǔn)，ISA99系列標(biāo)準(zhǔn)，北美電力可控性公司（NERC）CIP系列標(biāo)準(zhǔn)。并多次召開(kāi)內(nèi)部討論會(huì)，對(duì)標(biāo)準(zhǔn)草案內(nèi)容進(jìn)行討論，形成了《工控SCADA系統(tǒng)安全控制應(yīng)用指南》草案1。2版本。15、 2013年8月16日,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG5工作組在北京組織召開(kāi)了國(guó)家標(biāo)準(zhǔn)《SCADA系統(tǒng)安全控制指南》（草案）專家評(píng)審會(huì)。專家聽(tīng)取了編制組關(guān)于標(biāo)準(zhǔn)編制情況介紹和標(biāo)準(zhǔn)說(shuō)明，審閱了相關(guān)文檔，經(jīng)質(zhì)詢討論，形成以下意見(jiàn):編制組在廣泛調(diào)研的基礎(chǔ)上，參考了國(guó)內(nèi)外工業(yè)控制系統(tǒng)安全的有關(guān)標(biāo)準(zhǔn)，多次征求專家意見(jiàn)，廣泛吸取了相關(guān)行業(yè)、企業(yè)的建議，進(jìn)行了反復(fù)修改、完善；該標(biāo)準(zhǔn)概述了工業(yè)控制系統(tǒng)一般性安全問(wèn)題，存在的威脅和脆弱性，給出了工業(yè)控制系統(tǒng)安全控制應(yīng)用指南，對(duì)工業(yè)控制系統(tǒng)安全建設(shè)具有指導(dǎo)意義；該標(biāo)準(zhǔn)整體架構(gòu)清晰、合理，編寫(xiě)格式基本符合GB/T1O1-2009要求；專家組建議該標(biāo)準(zhǔn)名稱改為《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》。專家組同意通過(guò)評(píng)審。建議與相關(guān)標(biāo)準(zhǔn)編制單位進(jìn)行協(xié)調(diào)，修改完善后，盡快形成征求意見(jiàn)稿。16、 2013年12月—2014年5月,標(biāo)準(zhǔn)編制小組在積極采納專家意見(jiàn)的基礎(chǔ)上,對(duì)規(guī)范內(nèi)容進(jìn)行修改（刪除、增加），調(diào)整了標(biāo)準(zhǔn)名稱為：《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》。17、 2014年11月，信安標(biāo)委WG5工作組組織成員單位對(duì)《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》標(biāo)準(zhǔn)草案稿進(jìn)行了投票表決，通過(guò)了本標(biāo)準(zhǔn)。投票表決中相關(guān)單位和專家提出了一些修改建議和意見(jiàn)，標(biāo)準(zhǔn)編制組對(duì)意見(jiàn)進(jìn)行了逐條分析和理解,形成標(biāo)準(zhǔn)征求意見(jiàn)稿及相關(guān)文件。二、 編制原則和主要內(nèi)容2。1編制原則本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則：（1）通用性原則立足于當(dāng)前信息化技術(shù)水平，對(duì)國(guó)內(nèi)外知名安全漏洞庫(kù)的分類方法進(jìn)行總結(jié)、歸納、簡(jiǎn)化，同時(shí)參考吸納國(guó)外相關(guān)領(lǐng)域的先進(jìn)成果并融入標(biāo)準(zhǔn)。（2） 可操作性和實(shí)用性原則標(biāo)準(zhǔn)規(guī)范是對(duì)實(shí)際工作成果的總結(jié)與提升，最終還需要用于實(shí)踐中,并經(jīng)得起實(shí)踐的檢驗(yàn)，做到可操作、可用與實(shí)用.（3） 簡(jiǎn)化原則根據(jù)規(guī)范化對(duì)象的結(jié)構(gòu)、形式、規(guī)則等篩選提煉，經(jīng)過(guò)剔除、替換，保持整體結(jié)構(gòu)合理且維持原意和功能不變.本標(biāo)準(zhǔn)的編制的內(nèi)容制定遵循以下原則：（A） 唯一性原則:安全漏洞僅在某一類別中，其所屬類別不依賴人為因素。（B） 互斥性原則：類別沒(méi)有重疊，安全漏洞必屬于某一分類。（C） 擴(kuò)展性原則:允許根據(jù)實(shí)際情況擴(kuò)展安全漏洞的類別.2。2主要內(nèi)容本標(biāo)準(zhǔn)的研究目標(biāo)及內(nèi)容是對(duì)工業(yè)控制系統(tǒng)安全控制應(yīng)用的方法、步驟、范圍、監(jiān)控等進(jìn)行研究，研究工業(yè)控制系統(tǒng)的技術(shù)架構(gòu)特點(diǎn)、存在的安全漏洞和面臨的安全威脅，并給出解決這些安全問(wèn)題的基本安全基線和安全控制措施，以指導(dǎo)組織中負(fù)責(zé)系統(tǒng)建設(shè)的組織者、負(fù)責(zé)信息安全工作的實(shí)施者和從事信息安全工作的相關(guān)人員實(shí)施工業(yè)控制系統(tǒng)安全控制應(yīng)用到本組織的工業(yè)控制系統(tǒng)。本標(biāo)準(zhǔn)主要內(nèi)容目錄如下:前言 錯(cuò)誤!未定義書(shū)簽引言 錯(cuò)誤!未定義書(shū)簽1范圍 錯(cuò)誤!未定義書(shū)簽2規(guī)范性引用文件 錯(cuò)誤!未定義書(shū)簽3術(shù)語(yǔ)和定義 錯(cuò)誤!未定義書(shū)簽4縮略語(yǔ) 錯(cuò)誤!未定義書(shū)簽5安全控制的應(yīng)用 錯(cuò)誤!未定義書(shū)簽5.1安全控制的應(yīng)用前提 錯(cuò)誤!未定義書(shū)簽5。2安全控制的選擇與規(guī)約 錯(cuò)誤!未定義書(shū)簽5.2.1安全控制基線選擇 錯(cuò)誤!未定義書(shū)簽5.2.2安全控制基線裁剪 錯(cuò)誤!未定義書(shū)簽5.2。3安全控制基線補(bǔ)充 錯(cuò)誤!未定義書(shū)簽5.3安全控制的應(yīng)用步驟 錯(cuò)誤!未定義書(shū)簽5.4安全控制的應(yīng)用范圍 錯(cuò)誤!未定義書(shū)簽5.5安全控制的監(jiān)控 錯(cuò)誤!未定義書(shū)簽附錄 A（資料性附錄）工業(yè)控制系統(tǒng)面臨的安全風(fēng)險(xiǎn) 錯(cuò)誤!未定義書(shū)簽Ao1工業(yè)控制系統(tǒng)面臨的威脅 錯(cuò)誤!未定義書(shū)簽。A。2ICS系統(tǒng)主要脆弱性分析 錯(cuò)誤!未定義書(shū)簽。2°l策略和規(guī)程脆弱性 錯(cuò)誤!未定義書(shū)簽。Ao2o2網(wǎng)絡(luò)脆弱性 錯(cuò)誤!未定義書(shū)簽Ao2.3平臺(tái)脆弱性 錯(cuò)誤!未定義書(shū)簽。A.3傳統(tǒng)信息系統(tǒng)信息安全威脅與防護(hù)措施對(duì)ICS系統(tǒng)的影響 錯(cuò)誤!未定義書(shū)簽。附錄B（規(guī)范性附錄）ICS系統(tǒng)安全控制措施 錯(cuò)誤!未定義書(shū)簽。Bo1物理安全（PE） 錯(cuò)誤!未定義書(shū)簽。l°l物理安全策略和規(guī)程（PE—1） 錯(cuò)誤!未定義書(shū)簽。B.1.2物理訪問(wèn)授權(quán)（PE-2） 錯(cuò)誤!未定義書(shū)簽。Bo1.3物理訪問(wèn)控制（PE—3） 錯(cuò)誤!未定義書(shū)簽。B.1o4移動(dòng)介質(zhì)的訪問(wèn)控制（PE—4） 錯(cuò)誤!未定義書(shū)簽。B.1o5輸出設(shè)備的訪問(wèn)控制（PE—5） 錯(cuò)誤!未定義書(shū)簽。B.1.6物理訪問(wèn)監(jiān)控（PE-6） 錯(cuò)誤!未定義書(shū)簽。Bo1.7訪客管理（PE—7） 錯(cuò)誤!未定義書(shū)簽。B.1.8訪問(wèn)日志（PE-8） 錯(cuò)誤!未定義書(shū)簽。B.1o9電力設(shè)備與電纜（PE-9） 錯(cuò)誤!未定義書(shū)簽。B.l°10緊急停機(jī)（PE—10） 錯(cuò)誤!未定義書(shū)簽。Bo1o11應(yīng)急電源（PE—11） 錯(cuò)誤!未定義書(shū)簽。B.1o12應(yīng)急照明（PE-12） 錯(cuò)誤!未定義書(shū)簽。Bo1.13防火（PE—13） 錯(cuò)誤!未定義書(shū)簽。Bo1o14溫度和濕度控制（PE—14） 錯(cuò)誤!未定義書(shū)簽。B。1。15防水(PE—15) 錯(cuò)誤!未定義書(shū)簽。B°l°16組件安裝和移除(PE—16) 錯(cuò)誤!未定義書(shū)簽。B.1.17防雷(PE-17) 錯(cuò)誤!未定義書(shū)簽。Bo1.18電磁防護(hù)(PE-18) 錯(cuò)誤!未定義書(shū)簽。B.1O19信息泄露(PE-19) 錯(cuò)誤!未定義書(shū)簽。Bo1o20人員和設(shè)備追蹤(PE—20) 錯(cuò)誤!未定義書(shū)簽。Bo2網(wǎng)絡(luò)安全(NS) 錯(cuò)誤!未定義書(shū)簽。B.2.1網(wǎng)絡(luò)安全保護(hù)策略與規(guī)程(NS—1) 錯(cuò)誤!未定義書(shū)簽。B.2o2網(wǎng)絡(luò)分離(NS-2) 錯(cuò)誤!未定義書(shū)簽。Bo2o3企業(yè)網(wǎng)絡(luò)訪問(wèn)(NS—3) 錯(cuò)誤!未定義書(shū)簽。B.2.4內(nèi)部邊界防護(hù)(NS-4) 錯(cuò)誤!未定義書(shū)簽。B.2.5廣域通信鏈路防護(hù)(NS—5) 錯(cuò)誤!未定義書(shū)簽。Bo2.6限制無(wú)線訪問(wèn)(NS-6) 錯(cuò)誤!未定義書(shū)簽。Bo2.7入侵防范(NS-7) 錯(cuò)誤!未定義書(shū)簽。Bo2o8網(wǎng)絡(luò)冗余配置(NS—8) 錯(cuò)誤!未定義書(shū)簽。B.2.9拒絕服務(wù)保護(hù)(NS-9) 錯(cuò)誤!未定義書(shū)簽。Bo2o10資源優(yōu)先級(jí)(NS—10) 錯(cuò)誤!未定義書(shū)簽。Bo2.11最小功能(NS-11) 錯(cuò)誤!未定義書(shū)簽。B.2.12傳輸完整性(NS—12) 錯(cuò)誤!未定義書(shū)簽。Bo2o13傳輸機(jī)密性(NS—13) 錯(cuò)誤!未定義書(shū)簽。B.2o14消息真實(shí)性(NS—14) 錯(cuò)誤!未定義書(shū)簽。Bo2.15網(wǎng)絡(luò)設(shè)備防護(hù)(NS—15) 錯(cuò)誤!未定義書(shū)簽。B.3身份認(rèn)證(IA) 錯(cuò)誤!未定義書(shū)簽。B.3.1身份鑒別的策略和規(guī)程(IA-1) 錯(cuò)誤!未定義書(shū)簽。Bo3.2組織內(nèi)用戶標(biāo)識(shí)與鑒別(IA—2) 錯(cuò)誤!未定義書(shū)簽。B.3.3設(shè)備標(biāo)識(shí)與鑒別(IA—3) 錯(cuò)誤!未定義書(shū)簽。Bo3.4標(biāo)識(shí)符管理(IA—4) 錯(cuò)誤!未定義書(shū)簽。Bo3.5鑒別符管理(IA-5) 錯(cuò)誤!未定義書(shū)簽。B.3.6鑒別反饋(IA-6) 錯(cuò)誤!未定義書(shū)簽。B.3.7密碼模塊鑒別(IA-7) 錯(cuò)誤!未定義書(shū)簽。B.3o8組織外用戶標(biāo)識(shí)與鑒別(IA-8) 錯(cuò)誤!未定義書(shū)簽。B.3.9服務(wù)標(biāo)識(shí)與鑒別(IA-9) 錯(cuò)誤!未定義書(shū)簽。B.4訪問(wèn)控制(AC) 錯(cuò)誤!未定義書(shū)簽。Bo4o1訪問(wèn)控制的策略和規(guī)程(AC-1) 錯(cuò)誤!未定義書(shū)簽。Bo4o2賬戶管理(AC—2) 錯(cuò)誤!未定義書(shū)簽。Bo4o3訪問(wèn)控制增強(qiáng)(AC—3) 錯(cuò)誤!未定義書(shū)簽。B.4o4信息流增強(qiáng)(AC—4) 錯(cuò)誤!未定義書(shū)簽。Bo4.5職責(zé)分離(AC—5) 錯(cuò)誤!未定義書(shū)簽。B.4o6最小權(quán)限(AC—6) 錯(cuò)誤!未定義書(shū)簽。Bo4.7失敗登錄控制(AC—7) 錯(cuò)誤!未定義書(shū)簽。Bo4.8系統(tǒng)使用提示(AC—8) 錯(cuò)誤!未定義書(shū)簽。Bo4o9以前訪問(wèn)通知(AC-9) 錯(cuò)誤!未定義書(shū)簽。B.4o10當(dāng)前會(huì)話控制(AC—10) 錯(cuò)誤!未定義書(shū)簽。B.4.11會(huì)話鎖(AC—11) 錯(cuò)誤!未定義書(shū)簽。B.4.12會(huì)話終止（AC—12） 錯(cuò)誤!未定義書(shū)簽。B.4.13敏感標(biāo)記（AC—15、16） 錯(cuò)誤!未定義書(shū)簽。B.4O14遠(yuǎn)程訪問(wèn)（AC-17） 錯(cuò)誤!未定義書(shū)簽。B.5審計(jì)和問(wèn)責(zé)（AU） 錯(cuò)誤!未定義書(shū)簽。B.5o1安全審計(jì)的策略和規(guī)程（AU—1） 錯(cuò)誤!未定義書(shū)簽。Bo5.2審計(jì)事件（AU—2） 錯(cuò)誤!未定義書(shū)簽。Bo5.3審計(jì)記錄的內(nèi)容（AU-3） 錯(cuò)誤!未定義書(shū)簽。B.5o4審計(jì)存儲(chǔ)能力（AU-4、11） 錯(cuò)誤!未定義書(shū)簽。Bo5.5審計(jì)失敗的響應(yīng)（AU—5） 錯(cuò)誤!未定義書(shū)簽。B.5.6審計(jì)信息的評(píng)審、分析和報(bào)告（AU-6） 錯(cuò)誤!未定義書(shū)簽。B.5o7審計(jì)簡(jiǎn)化和報(bào)告生成（AU—7） 錯(cuò)誤!未定義書(shū)簽。Bo5o8時(shí)間戳（AU—8） 錯(cuò)誤!未定義書(shū)簽。B.5.9審計(jì)信息保護(hù)（AU-9） 錯(cuò)誤!未定義書(shū)簽。B.5.10抗抵賴（AU-10） 錯(cuò)誤!未定義書(shū)簽。Bo6系統(tǒng)與信息完整性（SI） 錯(cuò)誤!未定義書(shū)簽。Bo6.1系統(tǒng)與信息完整性的策略和規(guī)程（SI—1） 錯(cuò)誤!未定義書(shū)簽。B.6o2缺陷修復(fù)（SI—2） 錯(cuò)誤!未定義書(shū)簽。Bo6o3入侵防范（SI-3） 錯(cuò)誤!未定義書(shū)簽。Bo6o4惡意代碼防護(hù)（SI-4） 錯(cuò)誤!未定義書(shū)簽。Bo6o5軟件和信息完整性（SI-5） 錯(cuò)誤!未定義書(shū)簽。B.6.6剩余信息保護(hù)（SI-6） 錯(cuò)誤!未定義書(shū)簽。B.6o7資源控制（SI—7） 錯(cuò)誤!未定義書(shū)簽。B.6o8軟件容錯(cuò)（SI—8） 錯(cuò)誤!未定義書(shū)簽B.6o9數(shù)據(jù)交換（SI—9） 錯(cuò)誤!未定義書(shū)簽。Bo7應(yīng)急計(jì)劃（CP） 錯(cuò)誤!未定義書(shū)簽。Bo7o1應(yīng)急計(jì)劃的策略和規(guī)程（CP—1） 錯(cuò)誤!未定義書(shū)簽。B.7.2應(yīng)急計(jì)劃（CP—2） 錯(cuò)誤!未定義書(shū)簽。B.7o3應(yīng)急計(jì)劃培訓(xùn)（CP-3） 錯(cuò)誤!未定義書(shū)簽。Bo7.4應(yīng)急計(jì)劃測(cè)試（CP-4） 錯(cuò)誤!未定義書(shū)簽。B.7o5應(yīng)急計(jì)劃調(diào)整（CP—5） 錯(cuò)誤!未定義書(shū)簽。B.7.6備用存儲(chǔ)設(shè)備（CP—6） 錯(cuò)誤!未定義書(shū)簽。B.7o7備用處理設(shè)備（CP—7） 錯(cuò)誤!未定義書(shū)簽。Bo7.8通信服務(wù)（CP—8） 錯(cuò)誤!未定義書(shū)簽。B.7.9系統(tǒng)備份（CP-9） 錯(cuò)誤!未定義書(shū)簽。B.7.10系統(tǒng)恢復(fù)與重建（CP—10） 錯(cuò)誤!未定義書(shū)簽。Bo8系統(tǒng)和通訊保護(hù)（SC） 錯(cuò)誤!未定義書(shū)簽。B.8.1系統(tǒng)和通訊保護(hù)策略與規(guī)程（SC—1） 錯(cuò)誤!未定義書(shū)簽。Bo&2應(yīng)用劃分（SC-2） 錯(cuò)誤!未定義書(shū)簽。B.8.3安全功能隔離（SC-3） 錯(cuò)誤!未定義書(shū)簽。Bo8o4共享資源中的信息（SC—4） 錯(cuò)誤!未定義書(shū)簽。Bo&5服務(wù)拒絕防護(hù)（SC—5） 錯(cuò)誤!未定義書(shū)簽。Bo8o6資源優(yōu)先級(jí)（SC-6） 錯(cuò)誤!未定義書(shū)簽。B.8.7邊界保護(hù)（SC—7） 錯(cuò)誤!未定義書(shū)簽。B.8o8傳輸完整性（SC—8） 錯(cuò)誤!未定義書(shū)簽。B.8.9傳輸保密性（SC-9） 錯(cuò)誤!未定義書(shū)簽。Bo&10網(wǎng)絡(luò)中斷（SC—10） 錯(cuò)誤!未定義書(shū)簽。B.8.11可信路徑（SC-11） 錯(cuò)誤!未定義書(shū)簽。Bo8o12密鑰建立與管理（SC—12） 錯(cuò)誤!未定義書(shū)簽。Bo&13密碼技術(shù)的使用（SC-13） 錯(cuò)誤!未定義書(shū)簽。Bo&14公共訪問(wèn)保護(hù)（SC-14） 錯(cuò)誤!未定義書(shū)簽。Bo8o15安全屬性的傳輸（SC-15） 錯(cuò)誤!未定義書(shū)簽。Bo&16證書(shū)管理（SC—16） 錯(cuò)誤!未定義書(shū)簽。Bo&17移動(dòng)編碼（SC-17） 錯(cuò)誤!未定義書(shū)簽。Bo8o18移動(dòng)代碼（SC-18） 錯(cuò)誤!未定義書(shū)簽。Bo8o19已知狀態(tài)中的失效（SC-19） 錯(cuò)誤!未定義書(shū)簽。B.8.20剩余信息保護(hù)（SC—20） 錯(cuò)誤!未定義書(shū)簽。Bo8o21虛擬技術(shù)（SC-21） 錯(cuò)誤!未定義書(shū)簽。B.8o22系統(tǒng)劃分（SC-22） 錯(cuò)誤!未定義書(shū)簽。Bo9人員安全（PS） 錯(cuò)誤!未定義書(shū)簽。B.9.1人員安全策略與規(guī)程（PS—1） 錯(cuò)誤!未定義書(shū)簽。Bo9.2崗位分類（PS-2） 錯(cuò)誤!未定義書(shū)簽。B.9o3人員篩選（PS-3） 錯(cuò)誤!未定義書(shū)簽。B.9o4人員解雇（PS-4） 錯(cuò)誤!未定義書(shū)簽。Bo9.5人員調(diào)離（PS-5） 錯(cuò)誤!未定義書(shū)簽。Bo9.6訪問(wèn)協(xié)議（PS-6） 錯(cuò)誤!未定義書(shū)簽。Bo9.7第三方人員安全（PS-7） 錯(cuò)誤!未定義書(shū)簽。B.9o8人員處罰（PS—8） 錯(cuò)誤!未定義書(shū)簽。Bo10配置管理（CM） 錯(cuò)誤!未定義書(shū)簽。B.10o1配置管理策略與規(guī)程（CM—1） 錯(cuò)誤!未定義書(shū)簽。B.10.2基線配置（CM-2） 錯(cuò)誤!未定義書(shū)簽。Bo10.3配置變更控制（CM—3） 錯(cuò)誤!未定義書(shū)簽。Bo10o4安全影響分析（CM—4） 錯(cuò)誤!未定義書(shū)簽。B.10o5變更的評(píng)估限制（CM-5） 錯(cuò)誤!未定義書(shū)簽。B.10.6配置設(shè)置（CM-6） 錯(cuò)誤!未定義書(shū)簽。Bo10o7最小功能（CM-7） 錯(cuò)誤!未定義書(shū)簽。Bo10o8系統(tǒng)部件清單（CM—8） 錯(cuò)誤!未定義書(shū)簽。B.10o9配置管理計(jì)劃（CM-9） 錯(cuò)誤!未定義書(shū)簽。B.11維護(hù)（MA） 錯(cuò)誤!未定義書(shū)簽。B.11o1維護(hù)策略與規(guī)程（MA—1） 錯(cuò)誤!未定義書(shū)簽。B.11o2受控維護(hù)（MA—2） 錯(cuò)誤!未定義書(shū)簽。B.11.3維護(hù)工具（MA-3） 錯(cuò)誤!未定義書(shū)簽。Bo11.4非本地維護(hù)（MA—4） 錯(cuò)誤!未定義書(shū)簽。Bo11.5維護(hù)人員（MA-5） 錯(cuò)誤!未定義書(shū)簽。Bo11.6及時(shí)維護(hù)（MA—6） 錯(cuò)誤!未定義書(shū)簽。Bo12教育培訓(xùn)（AT） 錯(cuò)誤!未定義書(shū)簽。B.12o1教育培訓(xùn)的策略與規(guī)程（AT-1） 錯(cuò)誤!未定義書(shū)簽。B.12.2安全意識(shí)培訓(xùn)（AT-2） 錯(cuò)誤!未定義書(shū)簽。Bo12.3基于角色的安全培訓(xùn)（AT—3） 錯(cuò)誤!未定義書(shū)簽。B。12.4安全培訓(xùn)記錄（AT—4） 錯(cuò)誤!未定義書(shū)簽。Bo13事件響應(yīng)（IR） 錯(cuò)誤!未定義書(shū)簽。Bo13.1事件響應(yīng)策略與規(guī)程（IR—1） 錯(cuò)誤!未定義書(shū)簽。B.13o2事件響應(yīng)培訓(xùn)（IR-2） 錯(cuò)誤!未定義書(shū)簽。B.13.3事件響應(yīng)測(cè)試與演練（IR-3） 錯(cuò)誤!未定義書(shū)簽。Bo13.4事件處理（IR—4） 錯(cuò)誤!未定義書(shū)簽。Bo13o5事件監(jiān)視（IR—5） 錯(cuò)誤!未定義書(shū)簽。Bo13o6事件報(bào)告（IR-6） 錯(cuò)誤!未定義書(shū)簽。Bo13o7事件響應(yīng)支持（IR-7） 錯(cuò)誤!未定義書(shū)簽。B.13o8事件響應(yīng)計(jì)劃（IR-8） 錯(cuò)誤!未定義書(shū)簽。B.14風(fēng)險(xiǎn)評(píng)估（RA） 錯(cuò)誤!未定義書(shū)簽。B.14.1風(fēng)險(xiǎn)評(píng)估策略與規(guī)程（RA-1） 錯(cuò)誤!未定義書(shū)簽。B.14o2安全分類（RA—2） 錯(cuò)誤!未定義書(shū)簽。Bo14o3風(fēng)險(xiǎn)評(píng)估（RA-3） 錯(cuò)誤!未定義書(shū)簽。B.14o4脆弱性掃描（RA—5） 錯(cuò)誤!未定義書(shū)簽。B.15規(guī)劃（PL） 錯(cuò)誤!未定義書(shū)簽。B.15.1規(guī)劃策略與規(guī)程（PL-1） 錯(cuò)誤!未定義書(shū)簽。Bo15.2系統(tǒng)安全計(jì)劃（PL—2） 錯(cuò)誤!未定義書(shū)簽。B.15o3行為規(guī)則（PL—4） 錯(cuò)誤!未定義書(shū)簽。Bo15o4隱私影響評(píng)估（PL—5） 錯(cuò)誤!未定義書(shū)簽。B.15o5安全活動(dòng)規(guī)劃（PL-6） 錯(cuò)誤!未定義書(shū)簽。Bo16系統(tǒng)和服務(wù)獲?。⊿A） 錯(cuò)誤!未定義書(shū)簽。Bo16.1系統(tǒng)和服務(wù)獲取策略與規(guī)程（SA-1） 錯(cuò)誤!未定義書(shū)簽。Bo16.2資源分配（SA—2） 錯(cuò)誤!未定義書(shū)簽。Bo16o3生存周期支持（SA-3） 錯(cuò)誤!未定義書(shū)簽。B.16o4獲?。⊿A-4） 錯(cuò)誤!未定義書(shū)簽。Bo16.5系統(tǒng)文檔（SA—5） 錯(cuò)誤!未定義書(shū)簽。Bo16.6軟件使用限制（SA-6） 錯(cuò)誤!未定義書(shū)簽。B.16o7用戶安裝軟件（SA—7） 錯(cuò)誤!未定義書(shū)簽。Bo16.8安全工程原則（SA-8） 錯(cuò)誤!未定義書(shū)簽。B.16.9外部系統(tǒng)服務(wù)（SA—9） 錯(cuò)誤!未定義書(shū)簽。B.16.10開(kāi)發(fā)人員的配置管理（SA-10） 錯(cuò)誤!未定義書(shū)簽。B.16.11開(kāi)發(fā)人員的安全測(cè)試（SA-11） 錯(cuò)誤!未定義書(shū)簽。B.16.12供應(yīng)鏈保護(hù)（SA-12） 錯(cuò)誤!未定義書(shū)簽。B.16o13可信賴性（SA-13） 錯(cuò)誤!未定義書(shū)簽。B.16.14關(guān)鍵系統(tǒng)部件（SA—14） 錯(cuò)誤!未定義書(shū)簽。Bo17安全評(píng)估與授權(quán)（CA） 錯(cuò)誤!未定義書(shū)簽。B.17.1安全評(píng)估與授權(quán)策略與規(guī)程（CA-1） 錯(cuò)誤!未定義書(shū)簽。B.17o2安全評(píng)估（CA—2） 錯(cuò)誤!未定義書(shū)簽。B.17.3系統(tǒng)連接（CA—3） 錯(cuò)誤!未定義書(shū)簽。Bo17o4動(dòng)作和里程碑計(jì)劃（CA-5） 錯(cuò)誤!未定義書(shū)簽。Bo17o5安全授權(quán)（CA—6） 錯(cuò)誤!未定義書(shū)簽。B.17.6持續(xù)監(jiān)視（CA—7） 錯(cuò)誤!未定義書(shū)簽。B.18介質(zhì)保護(hù)（MP） 錯(cuò)誤!未定義書(shū)簽。B.18.6介質(zhì)銷毀（MP—6） 錯(cuò)誤!未定義書(shū)簽。附錄C（規(guī)范性附錄）工業(yè)控制系統(tǒng)安全控制基線 錯(cuò)誤!未定義書(shū)簽。三、 主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果隨著信息化技術(shù)的發(fā)展，以自動(dòng)化技術(shù)為代表的自動(dòng)控制系統(tǒng)在工