《信息安全技术工业控制系统安全控制应用指南》编制说明

国家标准《信息安全技术工业把握系统编制说明任务来源参与单位包括国家信息技术安全争论中心、国家能源局〔原电监会〕信息中心、中国电力科学争论院、无锡市同威科技等单位。20238专家评审会议上专家建议将标准修改为“工业把握系统安全把握应用指南”主要工作过程国内外工控安全相关标准，分析各自特点，学习借鉴，包括IEC62443、NISTSP、NISTSP800-53ISO/IEC27019SCADA工业把握系统的调研报告。力、供水、燃气、铁路、城市轨道交通等行业专家对标准草案的意见。420237集工作，依据需求分析整理出安全漏洞分类标准的框架构造。5202378专家意见进展了认真分析和争论，在此根底上形成了标准草案。内容进展争论，为制标做预备。720237工作，重点是把握措施局部。SCADASCADASCADA南》草稿。SCADASCADASCADA系统安全把握应用指南》草稿。TC260、TC124SCADA1.114、2023年9月-2023年4月，依据专家的意见，对国内外的工业把握系NISTSP800-82、SP800-53，美国自然气工业协会〔AGA〕AGA12，ISA99美电力可控性公司〔NERC)CIP系列标准。并屡次召开内部争论会，对标准草案SCADA1.2152023816WG5组织召开了国家标准《SCADA〔草案〕专家评审会。专家听取了编制组关于标准编制状况介绍和标准说明，批阅了相关文档，经质询争论，有关标准，屡次征求专家意见，广泛吸取了相关行业、企业的建议，进展了反复给出了工业把握系统安全把握应用指南，对工业把握系统安全建设具有指导意义；该标准整体架构清楚、合理，编写格式根本符合GB/T1.1-2023求意见稿。〔逐条分析和理解，形成标准征求意见稿及相关文件。编制原则本标准的争论与编制工作遵循以下原则：通用性原则结、归纳、简化，同时参考吸纳国外相关领域的先进成果并融入标准。可操作性和有用性原则得起实践的检验，做到可操作、可用与有用。简化原则整体构造合理且维持原意和功能不变。本标准的编制的内容制定遵循以下原则：〔A)唯一性原则：安全漏洞仅在某一类别中，其所属类别不依靠人为因素。〔B)互斥性原则：类别没有重叠，安全漏洞必属于某一分类。〔C)扩展性原则：允许依据实际状况扩展安全漏洞的类别。主要内容本标准的争论目标及内容是对工业把握系统安全把握应用的方法、步骤、工作的相关人员实施工业把握系统安全把握应用到本组织的工业把握系统。本标准主要内容名目如下：前言 错误！未定义书签。引言 错误！未定义书签。范围 错误！未定义书签。标准性引用文件 错误！未定义书签。术语和定义 错误！未定义书签。缩略语 错误！未定义书签。安全把握的应用 错误！未定义书签。安全把握的应用前提 错误！未定义书签。安全把握的选择与规约 错误！未定义书签。安全把握基线选择 错误！未定义书签。安全把握基线裁剪 错误！未定义书签。安全把握基线补充 错误！未定义书签。安全把握的应用步骤 错误！未定义书签。安全把握的应用范围 错误！未定义书签。安全把握的监控 错误！未定义书签。附录A〔资料性附录〕工业把握系统面临的安全风险 错误！未定义书签。工业把握系统面临的威逼 错误！未定义书签。ICS系统主要脆弱性分析 错误！未定义书签。策略和规程脆弱性 错误！未定义书签。网络脆弱性 错误！未定义书签。平台脆弱性 错误！未定义书签。传统信息系统信息安全威逼与防护措施对ICS系统的影响 错误！未定义书签。附录B〔标准性附录〕ICS系统安全把握措施 错误！未定义书签。物理安全〔PE〕 错误！未定义书签。物理安全策略和规程〔PE-1〕 错误！未定义书签。物理访问授权〔PE-2〕 错误！未定义书签。物理访问把握〔PE-3〕 错误！未定义书签。移动介质的访问把握〔PE-4〕 错误！未定义书签。输出设备的访问把握〔PE-5〕 错误！未定义书签。物理访问监控〔PE-6〕 错误！未定义书签。访客治理〔PE-7〕 错误！未定义书签。访问日志〔PE-8〕 错误！未定义书签。电力设备与电缆〔PE-9〕 错误！未定义书签。紧急停机〔PE-10〕 错误！未定义书签。应急电源〔PE-11〕 错误！未定义书签。应急照明〔PE-12〕 错误！未定义书签。防火〔PE-13〕 错误！未定义书签。温度和湿度把握〔PE-14〕 错误！未定义书签。防水〔PE-15〕 错误！未定义书签。组件安装和移除〔PE-16〕 错误！未定义书签。防雷〔PE-17〕 错误！未定义书签。电磁防护〔PE-18〕 错误！未定义书签。信息泄露〔PE-19〕 错误！未定义书签。人员和设备追踪〔PE-20〕 错误！未定义书签。网络安全〔NS〕 错误！未定义书签。网络安全保护策略与规程〔NS-1〕 错误！未定义书签。网络分别〔NS-2〕 错误！未定义书签。企业网络访问〔NS-3〕 错误！未定义书签。内部边界防护〔NS-4〕 错误！未定义书签。广域通信链路防护〔NS-5〕 错误！未定义书签。限制无线访问〔NS-6〕 错误！未定义书签。入侵防范〔NS-7〕 错误！未定义书签。网络冗余配置〔NS-8〕 错误！未定义书签。拒绝效劳保护〔NS-9〕 错误！未定义书签。资源优先级〔NS-10〕 错误！未定义书签。最小功能〔NS-11〕 错误！未定义书签。传输完整性〔NS-12〕 错误！未定义书签。传输机密性〔NS-13〕 错误！未定义书签。消息真实性〔NS-14〕 错误！未定义书签。网络设备防护〔NS-15〕 错误！未定义书签。身份认证〔IA〕 错误！未定义书签。身份鉴别的策略和规程〔IA-1〕 错误！未定义书签。组织内用户标识与鉴别〔IA-2〕 错误！未定义书签。设备标识与鉴别〔IA-3〕 错误！未定义书签。标识符治理〔IA-4〕 错误！未定义书签。鉴别符治理〔IA-5〕 错误！未定义书签。鉴别反响〔IA-6〕 错误！未定义书签。密码模块鉴别〔IA-7〕 错误！未定义书签。组织外用户标识与鉴别〔IA-8〕 错误！未定义书签。效劳标识与鉴别〔IA-9〕 错误！未定义书签。访问把握〔AC〕 错误！未定义书签。访问把握的策略和规程〔AC-1〕 错误！未定义书签。账户治理〔AC-2〕 错误！未定义书签。访问把握增加〔AC-3〕 错误！未定义书签。信息流增加〔AC-4〕 错误！未定义书签。职责分别〔AC-5〕 错误！未定义书签。最小权限〔AC-6〕 错误！未定义书签。失败登录把握〔AC-7〕 错误！未定义书签。系统使用提示〔AC-8〕 错误！未定义书签。以前访问通知〔AC-9〕 错误！未定义书签。当前会话把握〔AC-10〕 错误！未定义书签。会话锁〔AC-11〕 错误！未定义书签。会话终止〔AC-12〕 错误！未定义书签。敏感标记〔AC-15、16〕 错误！未定义书签。远程访问〔AC-17〕 错误！未定义书签。审计和问责〔AU〕 错误！未定义书签。安全审计的策略和规程〔AU-1〕 错误！未定义书签。审计大事〔AU-2〕 错误！未定义书签。审计记录的内容〔AU-3〕 错误！未定义书签。审计存储力气〔AU-4、11〕 错误！未定义书签。审计失败的响应〔AU-5〕 错误！未定义书签。审计信息的评审、分析和报告〔AU-6〕 错误！未定义书签。审计简化和报告生成〔AU-7〕 错误！未定义书签。时间戳〔AU-8〕 错误！未定义书签。审计信息保护〔AU-9〕 错误！未定义书签。抗抵赖〔AU-10〕 错误！未定义书签。系统与信息完整性〔SI〕 错误！未定义书签。系统与信息完整性的策略和规程〔SI-1〕 错误！未定义书签。缺陷修复〔SI-2〕 错误！未定义书签。入侵防范〔SI-3〕 错误！未定义书签。恶意代码防护〔SI-4〕 错误！未定义书签。软件和信息完整性〔SI-5〕 错误！未定义书签。剩余信息保护〔SI-6〕 错误！未定义书签。资源把握〔SI-7〕 错误！未定义书签。软件容错〔SI-8〕 错误！未定义书签。数据交换〔SI-9〕 错误！未定义书签。应急打算〔CP〕 错误！未定义书签。应急打算的策略和规程〔CP-1〕 错误！未定义书签。应急打算〔CP-2〕 错误！未定义书签。应急打算培训〔CP-3〕 错误！未定义书签。应急打算测试〔CP-4〕 错误！未定义书签。应急打算调整〔CP-5〕 错误！未定义书签。备用存储设备〔CP-6〕 错误！未定义书签。备用处理设备〔CP-7〕 错误！未定义书签。通信效劳〔CP-8〕 错误！未定义书签。系统备份〔CP-9〕 错误！未定义书签。系统恢复与重建〔CP-10〕 错误！未定义书签。系统和通讯保护〔SC〕 错误！未定义书签。系统和通讯保护策略与规程〔SC-1〕 错误！未定义书签。应用划分〔SC-2〕 错误！未定义书签。安全功能隔离〔SC-3〕 错误！未定义书签。共享资源中的信息〔SC-4〕 错误！未定义书签。效劳拒绝防护〔SC-5〕 错误！未定义书签。资源优先级〔SC-6〕 错误！未定义书签。边界保护〔SC-7〕 错误！未定义书签。传输完整性〔SC-8〕 错误！未定义书签。传输保密性〔SC-9〕 错误！未定义书签。网络中断〔SC-10〕 错误！未定义书签。可信路径〔SC-11〕 错误！未定义书签。密钥建立与治理〔SC-12〕 错误！未定义书签。密码技术的使用〔SC-13〕 错误！未定义书签。公共访问保护〔SC-14〕 错误！未定义书签。安全属性的传输〔SC-15〕 错误！未定义书签。证书治理〔SC-16〕 错误！未定义书签。移动编码〔SC-17〕 错误！未定义书签。移动代码〔SC-18〕 错误！未定义书签。状态中的失效〔SC-19〕 错误！未定义书签。剩余信息保护〔SC-20〕 错误！未定义书签。虚拟技术〔SC-21〕 错误！未定义书签。系统划分〔SC-22〕 错误！未定义书签。人员安全〔PS〕 错误！未定义书签。人员安全策略与规程〔PS-1〕 错误！未定义书签。岗位分类〔PS-2〕 错误！未定义书签。人员筛选〔PS-3〕 错误！未定义书签。人员辞退〔PS-4〕 错误！未定义书签。人员调离〔PS-5〕 错误！未定义书签。访问协议〔PS-6〕 错误！未定义书签。第三方人员安全〔PS-7〕 错误！未定义书签。人员惩罚〔PS-8〕 错误！未定义书签。配置治理〔CM〕 错误！未定义书签。配置治理策略与规程〔CM-1〕 错误！未定义书签。基线配置〔CM-2〕 错误！未定义书签。配置变更把握〔CM-3〕 错误！未定义书签。安全影响分析〔CM-4〕 错误！未定义书签。变更的评估限制〔CM-5〕 错误！未定义书签。配置设置〔CM-6〕 错误！未定义书签。最小功能〔CM-7〕 错误！未定义书签。系统部件清单〔CM-8〕 错误！未定义书签。配置治理打算〔CM-9〕 错误！未定义书签。维护〔MA〕 错误！未定义书签。维护策略与规程〔MA-1〕 错误！未定义书签。受控维护〔MA-2〕 错误！未定义书签。维护工具〔MA-3〕 错误！未定义书签。非本地维护〔MA-4〕 错误！未定义书签。维护人员〔MA-5〕 错误！未定义书签。准时维护〔MA-6〕 错误！未定义书签。教育培训〔AT〕 错误！未定义书签。教育培训的策略与规程〔AT-1〕 错误！未定义书签。安全意识培训〔AT-2〕 错误！未定义书签。基于角色的安全培训〔AT-3〕 错误！未定义书签。安全培训记录〔AT-4〕 错误！未定义书签。大事响应〔IR〕 错误！未定义书签。大事响应策略与规程〔IR-1〕 错误！未定义书签。大事响应培训〔IR-2〕 错误！未定义书签。大事响应测试与演练〔IR-3〕 错误！未定义书签。大事处理〔IR-4〕 错误！未定义书签。大事监视〔IR-5〕 错误！未定义书签。大事报告〔IR-6〕 错误！未定义书签。大事响应支持〔IR-7〕 错误！未定义书签。大事响应打算〔IR-8〕 错误！未定义书签。风险评估〔RA〕 错误！未定义书签。风险评估策略与规程〔RA-1〕 错误！未定义书签。安全分类〔RA-2〕 错误！未定义书签。风险评估〔RA-3〕 错误！未定义书签。脆弱性扫描〔RA-5〕 错误！未定义书签。规划〔PL〕 错误！未定义书签。规划策略与规程〔PL-1〕 错误！未定义书签。系统安全打算〔PL-2〕 错误！未定义书签。行为规章〔PL-4〕 错误！未定义书签。隐私影响评估〔PL-5〕 错误！未定义书签。安全活动规划〔PL-6〕 错误！未定义书签。系统和效劳猎取〔SA〕 错误！未定义书签。系统和效劳猎取策略与规程〔SA-1〕 错误！未定义书签。资源安排〔SA-2〕 错误！未定义书签。生存周期支持〔SA-3〕 错误！未定义书签。猎取〔SA-4〕 错误！未定义书签。系统文档〔SA-5〕 错误！未定义书签。软件使用限制〔SA-6〕 错误！未定义书签。用户安装软件〔SA-7〕 错误！未定义书签。安全工程原则〔SA-8〕 错误！未定义书签。外部系统效劳〔SA-9〕 错误！未定义书签。开发人员的配置治理〔SA-10〕 错误！未定义书签。开发人员的安全测试〔SA-11〕 错误！未定义书签。供给链保护〔SA-12〕 错误！未定义书签。可信任性〔SA-13〕 错误！未定义书签。关键系统部件〔SA-14〕 错误！未定义书签。安全评估与授权〔CA〕 错误！未定义书签。安全评估与授权策略与规程〔CA-1〕 错误！未定义书签。安全评估〔CA-2〕 错误！未定义书签。系统连接〔CA-3〕 错误！未定义书签。动作和里程碑打算〔CA-5〕 错误！未定义书签。安全授权〔CA-6〕 错误！未定义书签。持续监视〔CA-7〕 错误！未定义书签。介质保护〔MP〕 错误