GB/T 36466-2018信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T36466—2018

信息安全技術(shù)

工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南

Informationsecuritytechnology—

Implementationguidetoriskassessmentofindustrialcontrolsystems

2018-06-07發(fā)布2019-01-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T36466—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)定義和縮略語(yǔ)

3、………………………1

術(shù)語(yǔ)和定義

3.1…………………………1

縮略語(yǔ)

3.2………………2

概述

4………………………2

工業(yè)控制系統(tǒng)層次結(jié)構(gòu)模型

4.1………………………2

實(shí)施原則及工作形式

4.2………………3

框架及流程

4.3…………………………3

實(shí)施方法

5…………………5

概述

5.1…………………5

文檔查閱

5.2……………5

現(xiàn)場(chǎng)訪談

5.3……………6

現(xiàn)場(chǎng)核查

5.4……………6

現(xiàn)場(chǎng)測(cè)試

5.5……………7

模擬仿真環(huán)境測(cè)試

5.6…………………7

實(shí)施過(guò)程

6…………………7

準(zhǔn)備

6.1…………………7

資產(chǎn)評(píng)估

6.2……………14

威脅評(píng)估

6.3……………16

脆弱性評(píng)估

6.4…………………………19

保障能力評(píng)估

6.5………………………28

風(fēng)險(xiǎn)分析

6.6……………30

殘留風(fēng)險(xiǎn)控制

6.7………………………31

附錄資料性附錄記錄表

A()……………32

附錄資料性附錄脆弱性及保障能力核查表示例

B()…………………34

參考文獻(xiàn)

……………………41

Ⅰ

GB/T36466—2018

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)主要起草單位國(guó)家信息技術(shù)安全研究中心中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院全球能源互聯(lián)網(wǎng)

:、、

研究院中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所

、。

本標(biāo)準(zhǔn)主要起草人李京春李冰劉鴻運(yùn)方進(jìn)社劉賢剛范科峰高昆侖劉仁輝葛培勤王宏

:、、、、、、、、、、

曾珍珍李健梁瀟詹雄李霞龐寧姚相振周?？第w婷劉楠徐克超蔡磊

、、、、、、、、、、、。

Ⅲ

GB/T36466—2018

引言

隨著工業(yè)控制系統(tǒng)和信息化技術(shù)的融合工業(yè)控制系統(tǒng)廣泛應(yīng)用于冶金電力石化水處理鐵路

,、、、、、

航空和食品加工等行業(yè)工業(yè)控制系統(tǒng)指應(yīng)用于工業(yè)控制領(lǐng)域的數(shù)據(jù)采集監(jiān)視與控制系統(tǒng)是由計(jì)算

。、,

機(jī)設(shè)備工業(yè)過(guò)程控制組件和網(wǎng)絡(luò)組成的控制系統(tǒng)是工業(yè)領(lǐng)域的神經(jīng)中樞工業(yè)中使用的控制系統(tǒng)包

、,。

括監(jiān)視控制與采集系統(tǒng)分布式控制系統(tǒng)可編程邏輯控制器系統(tǒng)等我國(guó)把工業(yè)控制系統(tǒng)信息安全作

、、。

為信息安全保障的一個(gè)相對(duì)獨(dú)立的體系進(jìn)行建設(shè)其安全性將直接關(guān)系到國(guó)家重要基礎(chǔ)工業(yè)設(shè)施生產(chǎn)

,

的正常運(yùn)行和廣大公眾的利益

。

本標(biāo)準(zhǔn)在對(duì)工業(yè)控制系統(tǒng)的資產(chǎn)進(jìn)行整理分析的基礎(chǔ)上從其資產(chǎn)的安全特性出發(fā)分析工業(yè)控制

,,

系統(tǒng)的威脅來(lái)源與自身脆弱性歸納出工業(yè)控制系統(tǒng)面臨的信息安全風(fēng)險(xiǎn)并給出實(shí)施工業(yè)控制系統(tǒng)風(fēng)

,,

險(xiǎn)評(píng)估的指導(dǎo)性建議

。

本標(biāo)準(zhǔn)主要為第三方安全檢測(cè)評(píng)估機(jī)構(gòu)在工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)實(shí)施風(fēng)險(xiǎn)評(píng)估提供指南也可供工業(yè)

,

控制系統(tǒng)業(yè)主單位進(jìn)行自評(píng)估時(shí)參考

。

Ⅳ

GB/T36466—2018

信息安全技術(shù)

工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施的方法和過(guò)程

。

本標(biāo)準(zhǔn)適用于指導(dǎo)第三方安全檢測(cè)評(píng)估機(jī)構(gòu)對(duì)工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)評(píng)估實(shí)施工作也可供工業(yè)控

,

制系統(tǒng)業(yè)主單位進(jìn)行自評(píng)估時(shí)參考

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/T20984—2007

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南

GB/T31509—2015

信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

GB/T32919—2016

企業(yè)控制系統(tǒng)綜合第部分模型和術(shù)語(yǔ)

ISO/IEC62264-1:20131:(Enterprise-controlsystem

integration—Part1:Modelsandterminology)

3術(shù)語(yǔ)定義和縮略語(yǔ)

、

31術(shù)語(yǔ)和定義

.

和中界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T31509—2015GB/T32919—2016。

311

..

監(jiān)視控制數(shù)據(jù)采集系統(tǒng)supervisorycontrolanddataacquisitionsystemSCADA

;

在工業(yè)生產(chǎn)控制過(guò)程中對(duì)大規(guī)模遠(yuǎn)距離地理分布的資產(chǎn)和設(shè)備在廣域網(wǎng)環(huán)境下進(jìn)行集中式數(shù)據(jù)

,

采集與監(jiān)控管理的控制系統(tǒng)

。

312

..

分布式控制系統(tǒng)distributedcontrolsystemDCS