信息安全技术 工业控制系统安全防护技术要求和测试评价方法-编制说明

一、工作简况1.1任务来源本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并作为技术归口单位,于2012年12月立项实施。本标准是我国工业控制系统信息安全标准化建设中急需制定的基础性标准之一。本标准由上海三零卫士信息安全有限公司承担，参与单位包括：上海三零卫士信息安全有限公司、中国信息安全测评中心、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、公安部第三研究所、北京威努特技术有限公司、北京天融信网络安全技术有限公司、北京和利时系统工程有限公司、上海市信息安全测评认证中心、北京圣博润高新技术股份有限公司、网神信息技术（北京）股份有限公司、陕西省网络与信息安全测评中心、中国电子科技网络信息安全有限公司、信息产业信息安全测评中心、四川省信息安全测评中心、中国电子科技集团公司电子科学研究院、中国电力科学研究院有限公司、卫士通信息产业股份有限公司、北京软件产品质量检测检验中心、中国石化上海高桥石化有限公司、江苏敏捷科技股份有限公司、三六零科技有限公司、上海卡斯柯信号有限公司、上海申通地铁股份有限公司、国家信息技术安全研究中心、上海工业自动化仪表研究院有限公司、上海核工程研究设计院、上海交通大学、中国工程物理研究院、全球能源互联网研究院有限公司、武汉钢铁（集团）公司。1.2主要工作过程1、形成标准草案稿a）2013年3月1日，三零卫士在上海组织召开标准项目启动会，会议合作方来自工业控制系统使用、系统及工艺设计与集成、产品测评及标准研究等单位，基本涵盖了工业控制系统信息安全产业各个环节。项目启动会落实了标准框架、编写方法、工作进度，同时确定了任务分工。b）2013年4月、9月，分别召开了两次项目全体代表大会，针对标准编制过程中遇到的问题，进行了充分交流并达成一致，有效推动了标准编制工作。c）2013年4月18日，在北京参加了“重点项目检查会议”，汇报了本标准进展工作，认真听取了与会专家的检查意见，并在会后一一落实并修改。d）2013年7月23日，在北京参加了“工业控制系统系列标准项目检查及协调工作会”，汇报了本标准进展工作，认真听取了与会专家的检查意见，并在会后一一落实并修改。e）2013年11月，经大量走访调研国内工业控制系统的使用和生产单位，并对标准的适用性做了相应调整，完成标准草案稿。f）2014年4月13日，邀请多位专家对标准草案进行了汇报与讨论，认真听取与会专家的意见，并在会后认真修改。g）2015年至2017年，与上海工业自动化仪表研究院、中石化上海高桥分公司、中国电力科学研究院、上海核工程研究设计院、中国国家信息安全测评中心、武汉钢铁(集团)公司等科研院所和工业控制系统的使用单位积极开展项目合作，在此期间也与各领域专家展开积极讨论与探讨，对草案进行修改与完善。h）2018年4月4日，在北京参加TC260-WG5工作组召开的组内标准专家审查会，汇报了本标准进展工作，认真听取了与会专家的检查意见。会后，按照此次会议专家意见，同时进一步结合2017年TC260-WG5工作组上海工作会议上专家意见，重点梳理本标准间与已经发布标准与的对应关系，重新对本标准进行定位，对标准文本的结构和内容做了较大调整，形成推进到标准征求意见稿的标准草案。i）2018年4月17日，在全国信标委WG5工作组2018年第一次工作组武汉会议上经广泛征求意见后同意进入到标准（征求意见稿）编制阶段。2、形成标准征求意见稿（第一版）a）2018年5月15日，标准编写组在北京中国电子技术标准化研究院召开讨论会，进一步统一认识，本标准定位为工业控制系统运营单位日常安全技术防护工作的指导性规范文件；b）2018年6月1日，上海三零卫士信息安全有限公司组织上海申通地铁股份有限公司、上海卡斯柯信号有限公司、上海电气泰雷兹交通自动化系统有限公司、上海大学等工控系统运营单位、生产厂商及相关高校专家参加的标准编制讨论会，结合轨道交通行业在工业控制系统信息安全防护方面的实际做法、实践经验及需重点解决问题等方面深入交流探讨，认真听取对于标准编制的意见和建议。c）2018年6月26日，上海三零卫士信息安全有限公司组织中国信息安全测评中心、上海市信息安全测评认证中心、公安部第三研究所、陕西省网络与信息安全测评中心、信息产业信息安全测评中心、四川省信息安全测评中心等参与单位就“测试评价”部分内容编制思路进行探讨，统一认识。d）2018年9月30日，根据全国信标委WG5工作组2018年第一次工作组武汉会议周专家意见和后续历次会议意见，标准编制组编制完成标准征求意见稿第一版。3、形成标准征求意见稿（第二版）a）2018年10月15日，全国信标委WG5工作组在北京召开标准专家审查会议，对征求意见稿（第一版）提出了修改意见和建议。b）2018年10月23日，根据全国信标委WG5工作组2018年10月15日北京专家审查会议意见，标准编制组对标准征求意见稿第一版进行了修改，形成征求意见稿第二版。4、形成标准征求意见稿（第三版）a）2018年10月26日，在全国信标委WG5工作组青岛2018年第二次工作组“会议周”上，就本标准的编制情况广泛征求与会专家意见，对征求意见稿（第二版）提出了修改意见和建议。b）2018年11月20日，根据全国信标委WG5工作组青岛2018年第二次工作组“会议周”与会专家意见，标准编制组对标准征求意见稿第二版进行了修改，形成征求意见稿第三版。5、形成征求意见稿（第四版）a）2018年11月21日，在全国信标委WG5工作组北京《信息安全技术网络安全漏洞管理规范（修订）》等13项国家标准专家审查会议上就本标准（征求意见稿）第三版的编制情况进行审查，专家提出了修改意见和建议。b）2018年11月28日，根据全国信标委WG5工作组北京《信息安全技术网络安全漏洞管理规范（修订）》等13项国家标准专家审查会议与会专家意见，标准编制组对标准（征求意见稿）第三版进行了修改，形成标准（征求意见稿）第四版。二、标准编制原则和确定主要内容的论据及解决的主要问题1、编制原则a）综合立体防护原则结合工控系统的业务特点和网络结构，技术指标的设置应体现综合立体防护的思路，例如：根据业务功能、安全需求、物理位置等划分不同的安全区域，在纵向、横向边界所在的不同安全区域之间应采用认证、加密、访问控制等不同强度的防护措施，工控系统的主机、控制器及其他设备需要通过安全配置、系统补丁或其他安全性补偿措施提升自身防御能力等。b）动态防护原则工业控制系统自系统规划、设计、实施、上线、生产、运维到废弃的整个生命周期中，各个阶段都面临着不同的信息安全问题，通过建立完善的防护技术标准体系、防护效果动态测试评价体系和持续改进的运行机制，可形成适应工控系统特性的全生命周期的信息安全保障体系，用以持续保障系统的安全可靠运行。c）分等级防护原则国家《网络安全法》规定：关键信息基础设施要在网络安全等级保护的基础上，实行重点保护。对工业控制系统的信息安全保护应实行分级防护原则，既有利于优化工业控制系统网络安全资源配置，也可为工业控制系统信息安全建设和管理提供系统性、针对性、可行性的指导和服务。d）应急防护原则工业控制系统运行过程中，为及时应对突发的信息安全事件，防止事态进一步蔓延，尽可能减少事件带来的损失，在强化日常监控技术的同时，应制定完善的应急防护技术指标，以保证在工控系统遭受网络安全威胁甚至导致系统出现异常或故障时，可有效发挥紧急防护措施的作用。e）通用性原则本标准在编制过程中参考了国内外诸多标准，包括：《信息安全技术工业控制系统安全控制应用指南》（GB/T32919-2016）、《信息安全技术工业控制系统信息安全管理基本要求》（GB-T36323-2018）、《工业控制系统信息安全-第1部分：评估规范》（GB-T30976.1-2014）、《工业控制系统信息安全防护指南》（工信部信软〔2016〕338号）、《工业控制系统信息安全指南》（NISTSP800-82）以及《工业过程测量与控制安全：网络与系统信息安全》系列标准（IEC62443）等已经发布的标准和《信息安全技术网络安全等级保护基本要求》（GB/T22239-XXXX）、《信息安全技术网络安全等级保护安全设计技术要求》（GB/T27070-XXXX）、《信息安全技术网络安全等级保护测评要求》（GB/T28448-XXXX）等在研标准的最新成果，既确保标准科学性，又使得标准内容符合我国国情。f）可操作性与实用性原则本标准基于国内外工业控制系统信息安全防护方面的技术实践，参考国内外相关标准的科学设计思路、方法和内容，遵从“综合立体防护和分等级防护”的先进理念，科学设计工业控制系统信息安全技术防护指标和测试评价指标，既可为工业控制系统运营单位日常安全防护工作提供技术方法和操作规范，也可作为测评机构开展工控系统等保测评、政府部门开展工控系统信息安全检查以及安全服务商提供安全技术服务等提供技术参考依据，更好地发挥本标准对实际防护工作的指导作用。2、主要内容本标准自2013年启动并开始研究编制以来，充分参考《信息安全技术工业控制系统信息安全管理基本要求》（GB-T36323-2018）和在编的网络安全等级保护2.0标准等系列标准的编制方法和思路，不断修改完善标准框架和具体内容；同时，根据历次标准专家审查会议和征求意见会议所提意见和建议不断调整完善本标准的编制思路和具体内容。a）草案稿2018年4月4日，在北京TC260-WG5工作组召开的组内标准专家审查会上，与会专家就本标准的定位提出了意见。会后，按照此次会议专家意见，重点梳理本标准间与已经发布标准与的对应关系，重新对本标准进行定位，对标准文本的结构和内容做了较大调整。主要体现在以下几个方面：1）鉴于近年来国内对工业控制系统信息安全的日益重视和相关知识的日益普及，以及工业控制系统信息安全相关标准的陆续发布，删除“工业控制系统描述”、“工业控制系统信息安全风险”、“工业控制系统基本信息安全”等三章知识普及性的内容。2）按照“纵深立体综合防御”的思路优化设计工业控制系统信息安全技术要求体系一是参考IEC62443工业控制系统功能层次模型和关于信息安全7类基本要求，分别从边界安全、本体安全、网络安全、数据安全、安全集中监管和系统应急响应等六个方面分类提出防护技术要求；二是基于工业控制系统信息安全、功能安全和物理安全等因素的相互影响，从物理和环境安全防护方面提出防护技术要求；三是与传统IT系统相比，工业控制系统的运营环境更加复杂，系统功能实现可靠性随时都有可能发生变化，一旦发生信息安全事件，随时有可能造成重大经济损失和人员伤亡，工业控制系统的动态、长期维护工作更显重要，因此在系统维护方面也专门提出技术要求。3）在“安全防护技术要求”章节，每一项防护指标都包括安全目标、方法流程与实施标准等三项内容，其中，方法流程将重点对通用的防护方法和流程进行提炼和归纳设计，既体现方法论也立足于提高标准落地实施过程中更好地发挥指导作用。4）按照工业控制系统分等级防护的要求，调整等级划分的依据，不再采用原草稿中“工业控制系统信息安全分类”方法，本标准提出的防护技术标准计划与《工业控制信息安全等级保护安全设计技术要求（GB/T25070-XXXX）》中不同保护等级的设计技术要求实现良好呼应，除了提出一般性技术要求外，还要根据工控系统基于不同安全防护等级对安全防护措施不同需求提出针对性的防护标准，以保持两个标准内容的的协调一致。此部分内容作为最新调整的编制思路，后续还需经过较长时间的分析研究后方可提出并完善，故未完全反映在本次提交的标准文本中。5）对于“测试评价”章节，不再采用“措施合规性评价”的思路，基于“安全防护效果评价”的思路，分别对工控资产安全性、工控网络安全性、防护产品自身安全性以及现有防护技术安全性等方面设计评价指标，采用资产和流量信息采集和分析的方法，对工业控制系统信息安全实际状况进行测试评价。遵循“戴明循环”的管理思想，提出改进措施并进行持续性后测试评价，直到满足要求。b）征求意见稿（第一版）根据全国信标委WG5工作组2018年第一次工作组武汉会议周专家意见和后续历次会议意见，标准编制组编制完成标准征求意见稿第一版。此版标准定位为基层单位开展工控系统信息安全防护与管理的技术依据和工作指南，内容涵盖工控安全等级保护、安全防护能力评估等合规性评估要求，重点在如下方面进行完善：一是补充完善各控制指标涉及的控制点，结合在编等保标准、工信部安全防护指南、工控安全风险评估标准等系列规定和标准规范的规定，针对每一项指标控制点，由目标和技术要求组成，重点细化各控制点技术要求具体内容。二是重点针对工控资产、工控网络、防护产品以及运维安全性等关键控制点提出测试评价指标，针对每个控制点，分别从评价内容、评价方法和结果判定等方面完善内容，提高针对性与可操作性，便于基层单位加强过程管控；在现场测试手段方面，站在便于基层单位掌握使用的角度，提出借助专用信息采集工具采集系统资产和传输信息，并借助工具在线分析和人工线下分析等测试手段，发现资产漏洞，验证是否存在病毒、木马入侵及各种恶意攻击以及数据泄露或被窃取等威胁行为，避免对工业工业控制系统既有功能安全和物理安全措施的完整性、可靠性造成影响。三是针对边界防护、主机防护、数据防护以及集中监控与应急响应，补充了具体应用场景或防护对象等内容。四是在内容方面，由于等保2.0标准还未正式发布，目前此稿中各控制点的要求内容未体现出与不同等级安全防护强度的对应与衔接。c）征求意见稿（第二版）根据全国信标委WG5工作组2018年10月15日北京专家审查会议意见，标准编制组对标准征求意见稿第一版进行了修改，形成征求意见稿第二版。主要修改内容包括：一是进一步理顺本标准与《GB-T36323-2018信息安全技术工业控制系统信息安全管理基本要求》、《GB-T36324-2018工业控制系统信息安全分级规范》等两个已经发布的标准相辅相成，作为本标准编制的重要规范性引用文件。其中：在“5.1工业控制系统基本构成”部分引用了分级规范的内容；删除原稿中“系统安全运维、系统集中安全监控、系统安全建设”等章节与管理要求标准重复的内容，并对个别技术性指标要求进行引用。二是对征求意见稿第一稿“5安全防护体系架构”的内容进行调整。在此稿中，删除了“工业控制系统概述、工业控制系统层次模型、安全防护原则、安全防护体系架构”等四小节内容；把原稿中“安全防护对象”调整为"安全防护对象和内容”，进一步明确了工控系统的三个防护层次及防护对象，补充了根据等保2.0标准将针对不同防护级别的工业控制系统安全技术要求编制对应表的要求。三是在对“术语和定义”章节进行修改，补充定义了“控制设备、工业主机、网络边界、工控资产”等本标准专用术语和定义。d）征求意见稿（第三版）根据全国信标委WG5工作组青岛2018年第二次工作组“会议周”与会专家意见，标准编制组对标准征求意见稿第二版进行了修改，形成征求意见稿第三版。主要修改内容包括：一是根据在编的GB/T22239-xxxx和GB/T25070-XXXX标准，对本标准中的每项指标和控制点提出的技术要求给出了与不同安全防护等级的对应关系，待上述标准正式发布后再进行相应更新。二是对网络边界安全防护指标中列出的电力等六个典型行业的边界安全防护应用场景拓扑图进行了修改完善，使其具有行业代表性。三是对第七章“测试评价指标”部分内容进行修改完善：删除了评价内容，调整评价指标并与第六章的内容保持一致，结合第6章的评价指标技术要求内容进一步丰富了“测评方法”内容。四是结合与会专家的意见对边界隔离、控制设备入侵防范、控制设备漏洞防范等控制点的内容要求进行修改完善，进一步明确说法，使其更加准确、贴合实际。五是针对文本中部分内容偏口语化、规范性引用文件、参考文献等问题进一步修改完善。e）征求意见稿（第四版）根据2018年11月21日全国信标委WG5工作组北京《信息安全技术网络安全漏洞管理规范（修订）》等13项国家标准专家审查会议与会专家意见，标准编制组对标准（征求意见稿）第三版进行了修改，形成标准（征求意见稿）第四版。主要修改内容包括：一是进一步完善第7章“测试评价方法”和第6章“安全防护技术要求”指标和内容要求方面的对应关系：在第6章增加“防护产品安全”指标，共包括：安全审计、标识与鉴别、用户数据保护、安全管理和安全功能保护等5个控制点，并对上述控制点提出具体技术要求；结合第6章安全防护技术指标和各控制点技术要求，补充完善第7章测试评价指标中“评价方法”和“结果判定”部分内容。二是修改完善第6章中部分指标的技术要求：针对专家提出“ICS与企业管理信息系统之间应进行物理隔离”要求过高的问题，结合不同安全防护等级，提出了针对性和可操作性的防护技术要求；针对专家提出“网络边界安全防护电力典型应用场景拓扑图有错误”问题，重画系统网络拓扑图，并修改完善网络边界安全防护技术要求；针对专家提出“应针对物理和环境保护中的防雷击提出工控系统特殊的要求”问题，提出了“机房应设计并安装防雷击措施，并在机房所在大楼防雷措施基础上采取加强防护措施”的增强措施。3、拟解决的主要问题已经发布的安全防护类和测评类标准主要侧重于政府部门“合规性检查”的功能定位，工控系统运营单位缺乏对安全防护体系的系统认识，在工程实践过程不能够很好地理解防护措施采取的理由，难以与现场生产经营过程紧密结合。随着《中华人民共和国网络安全法》、《工业控制系统信息安全行动计划（2018-2020年）》等法规政策的发布实施，明确了运营单位在工业控制系统信息安全防护工作方面的主体责任，并且要把此项工作纳入到单位的生产和经营活动中去。工控系统信息安全防护工作将会被纳入到企业的安全生产管理体系，需要制定完善的安全技术规程、操作规程和作业指导书，但目前国家、行业和地方仍然缺乏系统化、体系化的技术指导标准，单位难以开展工作。本标准充分吸收《工业过程测量、控制和自动化网络与系统安全（IEC-62443）》以及《工业控制系统安全控制应用指南（GB-T32919-2016）》等标准在系统防护架构设计、防护指标选择以及安全控制措施等方面的先进理念和做法，设置物理与环境、工控网络、工控网络边界、工业主机、控制设备、数据、系统集中监控与应急、系统建设以及系统运维等重点安全防护指标；从有利于工业控制系统运营单位开展测试评价工作的角度，重点对工业控制系统资产和网络的脆弱性和所面临的威胁进行分析和诊断，设置网络安全性、工控资产安全性、防护产品安全性以及运维安全性等关键技术指标并对其涉及的控制点进行测试评价，针对每个控制点，分别从评价内容、评价方法和结果判定等方面完善内容，提高针对性与可操作性，便于基层单位加强过程管控。通过本标准的建立，可为工业控制系统运营单位日常安全防护和效果跟踪评价工作提供技术方法和操作规范，同时也可作为测评机构开展工控系统等保测评、政府部门开展工控系统信息安全检查以及安全服务商提供安全技术服务等提供技术参考依据。三、主要试验[或验证]情况分析无。四、知识产权情况说明本部分不涉及专利和知识产权。五、产业化情况、推广应用论证和预期达到的经济效果目前，工业控制系统已广泛运用于核设施、石油石化、电力、水利、铁路、城市轨道交通、航天等工业领域，用于控制生产设备的运行。这些控制系统已成为国家关键基础设施的重要组成部分，关系到国家的战略安全。同时，随着信息技术在工业控制系统的广泛应用，其信息安全问题日益突出，通过本标准的制定，将为工控系统运营单位全面开展安全防护工作提供方法和内容方面的指导，对顺利推动我国工业控制系统信息安全等级保护和评估工作将发挥积极支撑作用。六、采用国际标准和国外先进标准的情况本标准采用国际标准《工业控制系统信息安全指南》（NISTSP800-82）以及《工业过程测量与控制安全：网络与系统信息安全》系列标准（IEC62443）相关技术指标和方法。七、与现行相关法律、法规、规章及相关标准的协调性本标准立足于贯彻《中华人民共和国网络安全法》、《工业控制系统信息安全防护能力评估工作管理办法》等相关法律、法规和规章要求，充分吸收《工业控制系统安全控制应用指南（GB-T32919-2016）》、《信息安全技术工业控制系统风险评估实施指南》（GB/T36466-2018）等相关标准的编制方法和思路，及时跟踪并借鉴《信息安全技术网络安全等级保护基本要求》（GB/T222