信息安全技術(shù) 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南-編制說(shuō)明

PAGE6PAGE工作簡(jiǎn)況1.標(biāo)準(zhǔn)制定背景隨著信息化技術(shù)的發(fā)展，國(guó)內(nèi)冶金、電力、石化、水處理、鐵路、航空和食品加工等行業(yè)的工業(yè)控制自動(dòng)化系統(tǒng)得到了廣泛的應(yīng)用，在工業(yè)中使用的控制系統(tǒng)包括SCADA系統(tǒng)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)系統(tǒng)等，這些我們統(tǒng)稱為工控系統(tǒng)(ICS)。工業(yè)控制系統(tǒng)指應(yīng)用于工業(yè)控制領(lǐng)域的數(shù)據(jù)采集、監(jiān)視與控制系統(tǒng)，是由計(jì)算機(jī)設(shè)備、工業(yè)過(guò)程控制組件和網(wǎng)絡(luò)組成的控制系統(tǒng)，工業(yè)控制系統(tǒng)是工業(yè)領(lǐng)域的神經(jīng)中樞。在發(fā)達(dá)國(guó)家或地區(qū)，都把工業(yè)控制系統(tǒng)安全作為信息安全保障的一個(gè)相對(duì)獨(dú)立的體系進(jìn)行建設(shè)，其安全性將直接關(guān)系到國(guó)家重要基礎(chǔ)工業(yè)設(shè)施生產(chǎn)的正常運(yùn)行和廣大公眾的利益。鑒于工業(yè)控制在我國(guó)工業(yè)領(lǐng)域中的重要地位，國(guó)家標(biāo)準(zhǔn)化委員會(huì)信息安全標(biāo)準(zhǔn)化分會(huì)，決定制定一套適用于我國(guó)國(guó)情的工業(yè)控制系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)體系。本標(biāo)準(zhǔn)在對(duì)工業(yè)控制系統(tǒng)的資產(chǎn)進(jìn)行整理分析的基礎(chǔ)上，從其資產(chǎn)的安全特性出發(fā)，分析工業(yè)控制系統(tǒng)的威脅來(lái)源與自身脆弱性，歸納出工業(yè)控制系統(tǒng)面臨的信息安全風(fēng)險(xiǎn)，并給出實(shí)施工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的指導(dǎo)性建議。隨著工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)的發(fā)展，標(biāo)準(zhǔn)編制組將不斷補(bǔ)充和完善工業(yè)控制系統(tǒng)安全防護(hù)體系的相關(guān)標(biāo)準(zhǔn)文件。擁有工業(yè)控制系統(tǒng)的各大工業(yè)行業(yè)可依據(jù)上述國(guó)家標(biāo)準(zhǔn)指引，研究制定本行業(yè)工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)。2.任務(wù)來(lái)源根據(jù)國(guó)家標(biāo)準(zhǔn)化委員會(huì)2014年12月下達(dá)的標(biāo)準(zhǔn)制修訂計(jì)劃，國(guó)家標(biāo)準(zhǔn)《工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》由國(guó)家信息技術(shù)安全研究中心、中國(guó)電力科學(xué)研究院、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院和無(wú)錫市同威科技有限公司等單位負(fù)責(zé)起草。項(xiàng)目編號(hào)為2014bzzd-WG5-002。3.主要起草人序號(hào)姓名證件類型證件號(hào)碼工作單位劉鴻運(yùn)身份家信息技術(shù)安全研究中心葛培勤身份家信息技術(shù)安全研究中心方進(jìn)社身份家信息技術(shù)安全研究中心龐寧身份家信息技術(shù)安全研究中心詹雄身份國(guó)電力科學(xué)研究院趙婷身份國(guó)電力科學(xué)研究院梁瀟身份國(guó)電力科學(xué)研究院徐克超身份國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院周睿康身份國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院蔡磊身份國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院王永忠身份錫市同威科技有限公司標(biāo)準(zhǔn)草案編制過(guò)程1、2014年12月-2015年6月：聯(lián)系各個(gè)參與單位成立標(biāo)準(zhǔn)工作組，工作組研究了已有相關(guān)法律法規(guī)、政策、文件、標(biāo)準(zhǔn)等，形成標(biāo)準(zhǔn)草案。標(biāo)準(zhǔn)工作組骨干技術(shù)力量，對(duì)現(xiàn)有國(guó)內(nèi)外工控安全相關(guān)文件進(jìn)行了深入研究分析，包括：1）IEC62443系列標(biāo)準(zhǔn)IEC62443是專門針對(duì)工業(yè)自動(dòng)化和工業(yè)安全的系列標(biāo)準(zhǔn)。該系列標(biāo)準(zhǔn)，旨在使系統(tǒng)集成商、產(chǎn)品供應(yīng)商和服務(wù)提供商，可以通過(guò)使用該標(biāo)準(zhǔn)來(lái)評(píng)估他們的產(chǎn)品和服務(wù)，并依據(jù)評(píng)估結(jié)果判斷其產(chǎn)品或服務(wù)是否能夠?yàn)楣た叵到y(tǒng)使用者提供有效的安全防護(hù)。該標(biāo)準(zhǔn)目前分為通用技術(shù)、信息安全程序、系統(tǒng)技術(shù)和部件技術(shù)4個(gè)部分，共包含了12個(gè)文檔，每個(gè)文檔詳細(xì)描述了工控系統(tǒng)信息安全的不同方面。NISTSP800-82標(biāo)準(zhǔn)NISTSP800-82為保障監(jiān)控與數(shù)據(jù)采集系統(tǒng)(SupervisoryControlAndDataAcquisition,SCADA)、分布式控制系統(tǒng)(DistributedControlSystem,DCS)等工控系統(tǒng)信息安全提供指南。它概述了工控系統(tǒng)的系統(tǒng)拓?fù)浣Y(jié)構(gòu)，指出了對(duì)于這些系統(tǒng)的典型威脅和脆弱點(diǎn)所在，為消減相關(guān)風(fēng)險(xiǎn)提供了建議性的安全對(duì)策。同時(shí)，根據(jù)工控系統(tǒng)的潛在安全隱患，以及安全隱患影響水平的不同，指出了保障工控系統(tǒng)信息安全的不同方法和技術(shù)手段。該指南適用于電力、水利、石化、交通、化工、制藥等行業(yè)的工控系統(tǒng)。其他文件美國(guó)《聯(lián)邦信息系統(tǒng)安全與隱私控制措施》（NISTSP800-53）、《聯(lián)邦信息安全管理法》（2002年）、美國(guó)國(guó)土安全總統(tǒng)令HSPD-7（2003年）、《美國(guó)國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》（2006年）等。標(biāo)準(zhǔn)工作組對(duì)國(guó)內(nèi)外相關(guān)文件的研究，在此基礎(chǔ)上起草了《工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》初稿。標(biāo)準(zhǔn)編制組召開內(nèi)部專家評(píng)審標(biāo)準(zhǔn)草案。2、2015年6月-2016年6月，參加安標(biāo)委年度標(biāo)準(zhǔn)檢查會(huì)議。2015年6月，在安標(biāo)委年度標(biāo)準(zhǔn)檢查會(huì)議上，標(biāo)準(zhǔn)工作組向安標(biāo)委專家匯報(bào)了《信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》標(biāo)準(zhǔn)研制進(jìn)展和研制成果，聽取了專家的意見和建議。2015年7月-2016年5月，根據(jù)安標(biāo)委專家的意見和建議，修改完善標(biāo)準(zhǔn)草案，形成了較為成熟的《信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》草稿。3、2016年6月，參加安標(biāo)委2016年第一次會(huì)議周的標(biāo)準(zhǔn)推進(jìn)會(huì)。2016年6月，在安標(biāo)委2016年第一次會(huì)議周的標(biāo)準(zhǔn)推進(jìn)會(huì)會(huì)議上，標(biāo)準(zhǔn)工作組向安標(biāo)委專家匯報(bào)了《信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》標(biāo)準(zhǔn)研制進(jìn)展和研制成果，聽取了專家的意見和建議。2015年6月-2016年7月，根據(jù)安標(biāo)委專家的意見和建議，修改完善標(biāo)準(zhǔn)草案，形成了《信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》征求意見稿。標(biāo)準(zhǔn)編制原則本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則：充分吸收已有國(guó)內(nèi)外工控信息安全相關(guān)標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)在編制過(guò)程中充分參考、吸收了國(guó)際國(guó)外標(biāo)準(zhǔn)化組織提出的工控安全先進(jìn)標(biāo)準(zhǔn)，包括：IEC62443、NISTSP800-53、NISTSP800-82等系列標(biāo)準(zhǔn)，以及我國(guó)國(guó)內(nèi)法律法規(guī)、政策、文件和相關(guān)標(biāo)準(zhǔn)等資料，確定該標(biāo)準(zhǔn)符合國(guó)家有關(guān)主管部門開展工控系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估，工控用戶企業(yè)開展風(fēng)險(xiǎn)評(píng)估的工作需要。標(biāo)準(zhǔn)編制具備通用性、可操作性、實(shí)用性等原則。本標(biāo)準(zhǔn)立足于當(dāng)前工業(yè)信息化技術(shù)水平，參考國(guó)外先進(jìn)標(biāo)準(zhǔn)，對(duì)國(guó)內(nèi)外工控系統(tǒng)分類方法進(jìn)行總結(jié)、歸納、簡(jiǎn)化，同時(shí)針對(duì)工控系統(tǒng)特點(diǎn)，開展風(fēng)險(xiǎn)評(píng)估，具備較強(qiáng)的通用性以及良好的可操作性和實(shí)用性。為工控系統(tǒng)信息安全管理、檢查以及工控信息安全保障能力建設(shè)工作提供了堅(jiān)實(shí)基礎(chǔ)。有關(guān)技術(shù)說(shuō)明本標(biāo)準(zhǔn)根據(jù)風(fēng)險(xiǎn)評(píng)估過(guò)程中要充分考慮工業(yè)控制系統(tǒng)的特殊性和不同等級(jí)的安全要求，認(rèn)真梳理工業(yè)控制系統(tǒng)的資產(chǎn)，從環(huán)境和人為因素分析工業(yè)控制系統(tǒng)面臨的威脅，從技術(shù)和管理方面分析工業(yè)控制系統(tǒng)存在的脆弱性，結(jié)合現(xiàn)有安全措施，分析工業(yè)控制系統(tǒng)現(xiàn)存風(fēng)險(xiǎn)，平衡效益與成本，制定風(fēng)險(xiǎn)處置計(jì)劃，將工業(yè)控制系統(tǒng)的殘余風(fēng)險(xiǎn)控制在可接受的水平。標(biāo)準(zhǔn)中第4章提出工業(yè)控制系統(tǒng)的示意圖、標(biāo)準(zhǔn)目的、目標(biāo)和風(fēng)險(xiǎn)評(píng)估實(shí)施框架流程。風(fēng)險(xiǎn)評(píng)估實(shí)施流程主要介紹風(fēng)險(xiǎn)要素關(guān)系，風(fēng)險(xiǎn)分析原理，及工作形式。第5章風(fēng)險(xiǎn)評(píng)估實(shí)施主要介紹了風(fēng)險(xiǎn)評(píng)估實(shí)施工作從的實(shí)施準(zhǔn)備工作、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、威脅利用脆弱性的關(guān)聯(lián)關(guān)系、風(fēng)險(xiǎn)分析等方面進(jìn)行。第6章風(fēng)險(xiǎn)評(píng)估實(shí)施在工業(yè)控制系統(tǒng)及相關(guān)系統(tǒng)生命周期中的不同要求，將工業(yè)控制系統(tǒng)生命周期分為規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄等階段。根據(jù)不同的階段的特點(diǎn)有所側(cè)重地進(jìn)行風(fēng)險(xiǎn)評(píng)估實(shí)施。第7章主要介紹風(fēng)險(xiǎn)評(píng)估實(shí)施使用具體方法。對(duì)工業(yè)控制系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的測(cè)試和其他領(lǐng)域的測(cè)試一樣包括驗(yàn)證測(cè)試和確認(rèn)測(cè)試。具體的測(cè)試將基于工業(yè)控制系統(tǒng)存在的脆弱性進(jìn)行。工業(yè)控制系統(tǒng)該標(biāo)準(zhǔn)用到的風(fēng)險(xiǎn)評(píng)估的測(cè)試方法主要有四種，包括：文檔審查、現(xiàn)場(chǎng)訪談、實(shí)驗(yàn)室測(cè)試評(píng)估和現(xiàn)場(chǎng)核查。將比較四種評(píng)估方法，并總結(jié)具體評(píng)估中方法選取的建議。附錄A中中提供了“工業(yè)控制系統(tǒng)基本情況記錄表”“資產(chǎn)記錄表”等記錄表格，附錄B中提供了部分現(xiàn)場(chǎng)訪談?dòng)涗浐瞬楸?。與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)是貫徹落實(shí)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)〔2011〕451號(hào))、《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》(國(guó)發(fā)〔2012〕23號(hào))和國(guó)家網(wǎng)絡(luò)安全法的重要基礎(chǔ)。同時(shí)，本標(biāo)準(zhǔn)與制定中的《工業(yè)控制系統(tǒng)安全程序開發(fā)指南》、《工業(yè)控制系統(tǒng)安全管理基本要求》、《工業(yè)控制系統(tǒng)信息安全檢查指南》、《工業(yè)控制系統(tǒng)安全分級(jí)指南》、《工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》等相關(guān)工控系統(tǒng)信息安全標(biāo)準(zhǔn)協(xié)調(diào)一致，提供了工控系統(tǒng)信息安全領(lǐng)域的實(shí)施層標(biāo)準(zhǔn)指導(dǎo)。本標(biāo)準(zhǔn)符合我國(guó)現(xiàn)行的法律、法規(guī)以及國(guó)家政策，可以與現(xiàn)有國(guó)家標(biāo)準(zhǔn)配合使用。重大分歧意見的處理經(jīng)過(guò)和依據(jù)本標(biāo)準(zhǔn)編制過(guò)程中未出現(xiàn)重大分歧，其他詳見標(biāo)準(zhǔn)意見匯總處理表。國(guó)家標(biāo)準(zhǔn)作為強(qiáng)制性國(guó)家標(biāo)準(zhǔn)或推薦性國(guó)家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。貫徹國(guó)家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過(guò)渡辦法等內(nèi)容）本標(biāo)準(zhǔn)提供了可用于工控系統(tǒng)的風(fēng)險(xiǎn)評(píng)估實(shí)施指導(dǎo)，指導(dǎo)相關(guān)機(jī)構(gòu)對(duì)工控系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作。同時(shí)，作為國(guó)家工控系統(tǒng)信息安全相關(guān)標(biāo)準(zhǔn)的一部分，可以配合實(shí)施。其他事項(xiàng)說(shuō)明本標(biāo)準(zhǔn)可以配合工