GB/T 33007-2016工业通信网络 网络和系统安全建立工业自动化和控制系统安全程序

ICS2504040

N10..

中华人民共和国国家标准

GB/T33007—2016/IEC62443-2-12010

:

工业通信网络网络和系统安全

建立工业自动化和控制

系统安全程序

Industrialcommunicationnetworks—Networkandsystemsecurity—

Establishinganindustrialautomationandcontrol

systemsecurityprogram

(IEC62443-2-1:2010,Industrialcommunicationnetworks—

Networkandsystemsecurity—

Part2-1:Establishinganindustrialautomationand

controlsystemsecurityprogram,IDT)

2016-10-13发布2017-05-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T33007—2016/IEC62443-2-12010

:

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义缩略语和约定

3、………………1

术语和定义

3.1…………………………1

缩略语和缩略词

3.2……………………5

约定

3.3…………………7

网络安全管理系统的元素

4………………7

概述

4.1…………………7

类别风险分析

4.2:………………………9

类别采用处理风险

4.3:CSMS………………………10

类别监视与改进

4.4:CSMS…………24

附录规范性附录元素开发指导

A()CSMS……………27

概述

A.1………………27

类别风险分析

A.2:……………………28

类别用解决风险

A.3:SCSMS………………………49

分类监视和提高

A.4:CSMS………………………100

附录资料性附录开发的过程

B()CSMS……………106

概述

B.1………………106

过程的描述

B.2………………………106

活动初始化项目

B.3:CSMS………………………107

活动高级风险评估

B.4:………………107

过程的描述

B.5………………………108

活动建立安全策略组织和意识

B.6:,………………109

活动措施选择和实施

B.7:……………111

活动维护

B.8:CSMS………………111

附录资料性附录与要求的映射

C()ISO/IEC27001………………113

概述

C.1………………113

本标准同的映射

C.2ISO/IEC27001:2005………113

同本标准的映射

C.3ISO/IEC27001:2005…………117

参考文献

……………………121

图网络安全管理系统元素的图形化视图

1………………8

图风险分析类别的图形化视图

2…………9

图元素组安全策略组织的图形化视图

3:、、……………11

Ⅰ

GB/T33007—2016/IEC62443-2-12010

:

图元素组选择的安全措施的图形化视图

4:……………15

图元素组实现的图形表示

5……………20

图图形视图类监视与改进

6:CSMS……………………24

图网络安全管理系统的元素的图形视图

A.1…………28

图类别风险分析的图形视图

A.2:………………………28

图年至年计算机系统遭受攻击的数量报导来源

A.319982004(:CERT)…………31

图数据采集样品的逻辑单

A.4IACS……………………41

图形象的逻辑网络控制图的例子

A.5…………………44

图元素组的图形视图安全政策组织和意识

A.6:、……………………49

图元素组的图形视图选定的安全措施

A.7:……………61

图一个分段结构的参考结构例图

A.8…………………67

图参考架构与分割结构示例

A.9SCADA……………69

图访问控制账户管理

A.10:……………71

图访问控制认证

A.11:…………………74

图访问控制授权

A.12:…………………78

图实施方案图表

A.13……………………80

图安全等级生命周期模型评估阶段

A.14:……………82

图企业安全区域模板结构

A.15…………84

图安全区域

A.16IACS…………………85

图安全等级生命周期模式开发与实现阶段

A.17:……………………87

图安全等级生命周期维护阶段

A.18:…………………90

图分类的图示计算机安全管理系统的监控与改进

A.19:……………100

图建立一个的顶级活动

B.1CSMS……………………106

图活动和活动的依赖关系初始化项目

B.2:CSMS…………………107

图活动及活动的从属高等级风险评估

B.3:…………108

图活动和活动相关性详细风险评估

B.4:……………109

图活动和活动相关性建立安全策略组织和意识

B.5:,………………109

图培训和组织职责分配

B.6……………110

图活动和活动相关性措施选择和实施

B.7:…………111

图活动和活动相关性维护

B.8:CSMS………………112

表商业理念需求

1:………………………9

表风险识别分类和评估需求

2、:………………………10

表范围需求

3CSMS:……………………12

表安全的组织需求

4:……………………12

表员工培训和安全意识需求

5:…………13

表业务连续性计划需求

6:………………13

表安全策略和规程需求

7:………………14

表人员安全需求

8:………………………16

表物理和环境安全需求

9:………………17

表网络划分需求

10………………………17

表访问控制账户管理需求

11-:…………18

表访问控制认证需求

12-:………………19

Ⅱ

GB/T33007—2016/IEC62443-2-12010

:

表访问控制授权需求

13-:………………20

表风险管理与实现的需求

14……………21

表系统开发与维护的需求

15……………21

表信息和文件管理的需求

16……………22

表事件规划与响应的需求

17……………23

表一致性需求

18:………………………25

表审查改进和维护的的需求

19、CSMS………………25

表典型的可能性集

A.1…………………38

表典型的后果集

A.2……………………39

表典型的风险级别矩阵

A.3……………39

表基于风险等级的应对防护措施示例

A.4IACS……………………81

表资产评价结果实例

A.5IACS…………83

表资产评价结果和风险等级实例

A.6IACS……………83

表的目标安全等级

A.7IACS……………85

表本标准的要求到的参考映射

C.1ISO/IEC27001:2005…………113

表要求与本标准的映射

C.2ISO/IEC27001…………117

Ⅲ

GB/T33007—2016/IEC62443-2-12010

:

前言

本标准按照标准化工作导则第部分标准的结构和编写和

GB/T1.1—2009《1:》GB/T20000.2—

标准化工作指南第部分采用国际标准给出的规则起草

2009《2:》。

本标准使用翻译法等同采用工业通信网络网络和系统安全第部分

IEC62443-2-1:2010《2-1:

建立工业自动化和控制系统安全程序英文版其技术内容文本结构以及表达形式与

》()。、

完全等同

IEC62443-2-1:2010。

为了方便使用本标准作了下列编辑性修改

,:

删除了原文中的前言

———;

将介绍部分的内容作为本标准的引言

———;

如果不做说明文中的安全都是指网络安全

———,“”“”。

本标准由中国机械工业联合会提出

。

本标准由全国工业过程测量控制和自动化标准化技术委员会和全国信息安全标准

(SAC/TC124)

化技术委员会归口

(SAC/TC260)。

本标准起草单位机械工业仪器仪表综合技术经济研究所中国电子技术标准化研究院中国电力

:、、

科学研究院中国核电工程有限公司上海自动化仪表股份有限公司北京交通大学东土科技股份有限

、、、、

公司清华大学西门子中国有限公司浙江大学西南大学重庆邮电大学施耐德电气中国有限公

、、()、、、、()

司北京钢铁设计研究总院华中科技大学北京奥斯汀科技有限公司罗克韦尔自动化中国有限公

、、、、()

司中国仪器仪表学会北京和利时系统工程有限公司工业和信息化部电子第五研究所中国科学院沈

、、、、

阳自动化研究所北京海泰方圆科技有限公司青岛多芬诺信息安全技术有限公司北京国电智深控制

、、、

技术有限公司北京力控华康科技有限公司广东航宇卫星科技有限公司华北电力设计院工程有限公

、、、

司华为技术有限公司启明星辰中国电子科技集团公司第三十研究所深圳万讯自控股份有限公司

、、、、、

中标软件有限公司横河电机中国有限公司北京研发中心

、()。

本标准主要起草人王玉敏范科峰梁潇冯冬芹王亦君华镕陈小淙张建军薛百华许斌

:、、、、、、、、、、

高昆仑王雪刘枫王浩夏德海周纯杰张莉王弢刘杰孙昕徐皑冬朱毅明孙静胡伯良梅恪

、、、、、、、、、、、、、、、

刘安正田雨聪方亮马欣欣王勇杜佳琳陈日罡李锐刘利民孔勇刘文龙李琳黄敏朱镜灵

、、、、、、、、、、、、、、

张智何佳张建勋孟雅辉兰昆成继勋丁露陈小枫杨应良杨磊

、、、、、、、、、。

Ⅴ

GB/T33007—2016/IEC62443-2-12010

:

引言

01概述

.

网络安全是一个在现代组织中日益重要的话题多年来许多涉及信息技术和业务的组织一直在

。,

关注网络安全并且按照和标准已经建立了行之有效的网络安全管理系统见

,ISOIEC(CSMS)(

和这些管理系统为组织机构提供了一种行之有效的方法

ISO/IEC17799[23]1ISO/IEC27001[24]),

来保护其资产免受网络攻击

。

工业自动化控制系统组织已经开始在日常流程中使用为业务系统开发的商用现成技术

(IACS)

这使得设备受到网络攻击的可能性随之增加由于多方面的原因在对抗网络攻击方

(COTS),IACS。,

面这些系统通常不如专为环境设计的系统那么健壮这些弱点可能导致健康安全和环境方面

IACS。、

的后果

(HSE)。

在没有理解这些后果的情况下组织可能会试图使用已有的信息技术和业务安全方案来解决

,

的安全问题尽管许多解决方案可以应用到但是需要采取正确的方式以消除不良后果

IACS。IACS,。

02IACS的网络安全管理系统

.

管理系统通常提供管理系统中应包括什么的指导但不提供关于如何去开发管理体系的指导本

,。

标准为阐述的包含的元素同时也提供如何为开发的指导

IACSCSMS,IACSCSMS。

面对一个具有挑战性的问题时一个非常常见的工程方法是将问题分解成更小的子问题按照分治

,,

方式解决每个子问题这是解决网络安全风险的合理途径然而在解决网络安全方面常犯的

。IACS。,

错误是试图用一套系统一次解决所有的网络安全问题网络安全是一个更大的挑战需要考虑整个

,。,

以及环绕和利用的政策规程实践和人员实施这样大范围的管理系统可能需要组织内

IACSIACS、、。

部的文化变革

。

在整个组织范围的基础上解决网络安全是一项艰巨的任务但是对于安全来说没有现成的解决

。,

方案这很容易理解因为没有适合所有情况的安全实践理论上绝对的安全也许能实现但是这很可

。,。,

能是不可取的因为要达到这样近乎完美的状态必然要损失实用性安全实际上是一个风险和成本的

,。

平衡所有的情况有所不同在某些情况下风险可能与因素有关而不是单纯的经济影响风

。。,HSE。

险可能带来不可恢复的后果而不是暂时性的财务挫折因此一个强制性安全实践的解决方案集要么过

。

于严格费用昂贵无法遵循要么不足以应对风险

,,。

03本标准与ISO/IEC17799和ISO/IEC27001的关系

.

和是描述业务信息技术系统的网络安全管理系统的优秀

ISO/IEC17799[23]ISO/IEC27001[24]/

标准这些标准中的内容大部分也适用于该标准强调网络安全实践的管理与业务信息

。IACS。IACS/

技术系统网络安全的管理之间需保持一致这些程序的一致性可以节约开销该标准鼓励用户阅读

。。

和获得额外的支持信息本标准基于这些标准制定强调

ISO/IEC17799ISO/IEC27001。ISO/IEC,

和一般业务信息技术系统的重要差异本标准引入一个重要的概念的网络安全风险可

IACS/。,IACS

能带来影响应与其他现有风险管理实践结合来应对这些风险

HSE,。

Ⅵ

GB/T33007—2016/IEC62443-2-12010

:

工业通信网络网络和系统安全

建立工业自动化和控制

系统安全程序

1范围

本标准规定了如何在工业自动化和控制系统中建立网络安全管理系统并且提供了如何开

(IACS),

发这些元素的指南本标准与中描述的相比其定义和范围更广泛

。IEC62443-1-1IACS,。

本标准中描述的中的元素主要是政策过程规程以及与人员相关的内容描述了在组织范

CSMS、、,

围内最终的将要包括或应当包括哪些内容

CSMS。

注1系列标准和参考文献中的其他文档讨论了有关安全的更细致的具体的技术和方案

:IEC62443