信息安全技术 信息系统安全等级保护基本要求 第5部分 工业控制安全扩展要求-编制说明

概述项目来源本标准编写任务由公安部信息系统安全标准化技术委员会下达，公安部十一局组织，浙江大学负责具体编制工作。编制的背景和意义随着信息技术的发展，网络安全等级保护工作的时效性、易用性、可操作性要求日益增加，为了适应工业控制系统下网络安全等级保护工作的开展，我们对《GB/T22239.1—XXXX信息安全技术网络安全等级保护基本要求第1部分：安全通用要求》（以下简称“安全通用要求”）进行了扩展，形成了本部分，这对追赶世界先进水平、提升我国工业控制系统安全能力都有着深远的意义。编制的目的通过本标准的制定，规定了网络安全等级保护的工业控制系统扩展要求，能够为电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等各行业、企业的工业控制系统网络安全等级保护措施的设计、落实、测试、评估等提供清晰的指导要求。编制原则本标准在编制过程中，依据以下原则：实用性原则标准必须是可用的，才有实际意义，本标准在编制过程中严格按照流程对工控行业、工控安全产品、技术等相关领域展开系统的、全面的调研工作，注重与工控各行业单位的交流，进行工程实践验证，保证标准的可操作性。先进性原则标准是先进经验的总结，同时也是技术的发展趋势。本标准在编制过程中，充分吸收已有国内外工业控制系统信息安全相关标准，包括：IEC62443系列标准、NISTSP800-82、NISTSP800-41、IEC62264-1和集散控制系统（DCS）安全类系列标准等大量获工控行业广泛认可的标准，既确保标准科学性，又使得标准内容符合我国国情。兼容性原则本标准与我国现有的政策、法规、标准和规范相一致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。编制说明内容简介本标准在《安全通用要求》的基础上，针对监控和数据采集（SCADA）系统、集散控制系统（DCS）、可编程逻辑控制器（PLC）、远程测控单元（RTU）等各类工业控制系统（ICS），规定了网络安全等级保护的扩展要求，为电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等各行业、企业的工控系统网络安全等级保护措施的设计、落实、测试、评估等提供了清晰的指导要求。2015年7月1日，公安部在北京召开标准评审会，与会专家建议将标准名称修改为《信息安全技术网络安全等级保护基本要求第5部分：工业控制系统安全扩展要求》（原为：《信息安全技术信息系统安全等级保护基本要求第5部分：工业控制系统安全扩展要求》）。主要工作过程前期调研本标准在研究国内外相关工控标准的基础上，根据我国工控行业的实际情况，提炼出适用于批量控制、连续控制、离散控制等工业控制系统的网络安全等级保护的基本要求。主要参考的标准有：GB/T22239.1-XXXX《信息安全技术网络安全等级保护基本要求第1部分：安全通用要求》GB/T30976.1-2014《工业控制系统信息安全第1部分：评估规范》GB/T30976.2-2014《工业控制系统信息安全第2部分：验收规范》GB/T32919-2016《信息安全技术工业控制系统安全控制应用指南》NISTSP800-82-2011《GuidetoIndustrialControlSystems(ICS)Security》NISTSP800-41-2009《GuidelinesonFirewallsandFirewallPolicy》IEC62264-1《Enterprise-controlsystemintegration–Part1:Modelsandterminology》IEC/TS62443-1-1《工业通信网络网络和系统安全第1-1部分：术语、概念和模型》IEC62443-3《工业过程测量和控制安全第3部分：网络和系统信息安全》IEC62443-3-3《工业通信网络网络和系统安全第3-3部分：系统安全要求和安全等级》集散控制系统（DCS）安全防护标准集散控制系统（DCS）安全评估标准集散控制系统（DCS）风险与脆弱性检测标准编制工作简要过程2014年7月至2015年3月，在前期研究和工作积累的基础上，进行标准的编制工作，完成了标准草案。2016年4月6-7日，在广州召开专家评审会对标准草案进行讨论，与会期间，标准框架，分层次、分安全域的工业控制系统安全等级保护思路得到行业专家的认可。2016年4月23日，公安部三所在北京组织专家讨论《网络安全等级保护》的各部分标准框架，本部分的标准框架得到专家认可。2016年4月27日，公安部三所在北京组织专家，对《网络安全等级保护》的各部分标准进行协调，要求各部分标准与《安全通用要求》保持一致。2016年5月3日，公安部三所在北京组织专家对《网络安全等级保护》的各部分标准进行讨论。2016年5月17日，公安部三所在北京组织专家，再次对《网络安全等级保护》的各部分标准具体要求进行讨论。2016年5月26日，在北京召开专家评审会对标准草案进行讨论，对标准的控制点进行逐一审阅，确保本标准在工控各行业具有广泛可行性。2016年7月1日，在北京开展专家评审会，会议上以沈昌祥院士为组长的专家组专家听取了标准编制情况的汇报，并一致同意标准通过评审，行标形成征求意见稿。2016年10月17-20日，在成都召开了2016年度TC260第二次会议周，与会专家听取标准汇报情况，国标形成征求意见。2016年10月27日，在北京开展专家审查会，会议上以崔书昆为组长的专家组专家听取了标准编制情况的汇报，并一致同意标准通过审查，行标形成送审稿。2016年11月18日，在北京向公安部陆磊处长以及电子六所等单位一同进行了工控相关标准对比，并对本标准的情况进行汇报，本标准与其他工控相关标准不存在冲突。在历次的专家评审会中，与会专家来自各个工控行业单位，包括：等保安全相关部门：国家信息技术安全研究中心、中国软件测评中心；工控相关研究所：工业西南电力设计院、东方电气中央研究院、北京市轨道交通设计研究院有限公司、工业和信息化部电子第五研究所工业产品生产单位：北京国电智深控制技术有限公司、北京和利时系统工程公司工控安全产品生产单位：启明星辰、工控国企：中石化齐鲁石化公司、中国石油天然气管道工程有限公司、北京自来水集团工控外企：西门子（中国）有限公司、施耐德电气（中国）有限公司汉译英情况本标准的汉译英部分涉及标准名称、术语和定义，在汉译英的过程中，工作组做了一下工作，参考了国内外工控相关标准中的相关汉译英部分内容，如IEC62443-1、GB/T30976.1等标准中的术语和定义，在此基础上，充分吸收标准审查会专家意见，确定了最终的汉译英内容，并得到了专家的一致认可。标准主要结构和内容主要结构 本标准主要参考《安全通用要求》的框架，具体内容主要结合《安全通用要求》标准、IEC62264-1标准、IEC62443系列标准、DCS系统标准等相关标准进行起草，同时，也结合了公安部去年某大型工程网络安全验收项目进行验证与补充（第三、第四级）。 本标准参考IEC62264-1对工控系统进行层次结构划分，参考IEC62443-1-1对工控系统进行分安全域保护，在《安全通用要求》的框架下，结合相关工控标准设立不同安全等级的保护要求。在起草相关安全保护要求时，考虑工控系统本身的特点，主要是对工控系统的数据进行保护，并不要求一定设立防火墙，而是既可以由生产厂商提供安全保护措施，也可由第三方提供保护措施，不做限定。主要内容标准的主要内容由概述部分和安全等级要求两大部分构成。标准概述部分内容包含以下几点：概述典型工业系统特点。介绍了几种典型工业控制系统的特点，包括SCADA系统、DCS系统、PLC系统和RTU系统。对各个系统之间的区别与特点做了相应阐述。目的在于让读者在使用本标准时，对工业控制系统能有一定了解，能更好地理解下文阐述的工业控制系统安全等级保护相关要求的执行。建立工控系统层次化模型，并综合考虑相关因素划分安全域。在上文介绍了几种典型工业控制系统的基础上，将工业控制系统模型抽象化，参考62264-1的内容将工控系统模型抽象为层次化模型，并对各个层次的功能特点进行说明。然后，对各个层次的典型设备、组件进行映射，介绍了各个层次的具体资产。目的在于介绍工控系统各个层次的不同功能与资产，明确下文分层次的各级保护要求的应用对象。工控系统等级保护原则和要求。本标准针对工控系统的软件、硬件、网络协议等的安全性，规定了需要保护的数据、指令、协议等要素，其具体实现方式（如可信性计算等）、防护手段应根据具体的工控系统品牌、配置、工程实际等具体确定。但必须保证这些防护措施对系统的正常运行不产生危害或灾难性的生产停顿，必须保证这些防护措施经过工业现场的工程实践验证，并获得用户认可。根据《安全通用要求》的框架，提出工控系统等级保护原则，即分安全域保护原则。分安全域保护原则主要说明了工控系统在安全域划分的基础上，需要综合考虑安全域资产价值、被控对象等因素，对各个安全域采用不同安全保护措施，同时，对安全域安全等级保护要求的执行进行说明，明确了单层次安全域与跨层次安全域的等级要求如何执行。工业控制系统定级。根据工业控制系统业务对象、业务特点和业务范围等因素，综合确定工控系统等级保护对象。在对等级保护对象进行安全定级的基础上，可对定级对象进行安全域划分，各个安全域可根据工控系统实际情况，采用不同安全保护措施。安全防护技术或产品的使用必须在工业生产实践验证、用户认可的基础上进行，确保不会导致工控系统异常。定级时应综合考虑资产价值、生产对象、后果等因素，确定定级对象的安全等级。工业控制系统等级保护通用约束条件。实施本标准第5章～第8章详述的安全等级保护要求时，应遵循通用约束，确保严格的完整性和可用性的要求，不应造成保护丧失、控制丧失、观察丧失或其它基本功能丧失。标准的安全等级要求说明：根据《安全通用要求》标准的框架，对各级安全要求按照物理安全、网络和通信安全、设备和计算安全、应用和数据安全的框架进行说明。在此基础上，结合工控系统的实际情况，对系统划分层次，分别就上述框架内容进行安全等级保护说明，同时，边界防护、集中管控两点不作分层说明。参考IEC62443-3、IEC62443-3-3、集散控制系统(DCS)安全防护标准对各级安全要求的具体内容进行一定程度的修改、增强和删减。本标准内容如下：TOC\o"1-6"\h\z\u前言引言1范围2规范性引用文件3术语、定义和缩略语3.1术语和定义3.1.1工业控制系统industrialcontrolsystem3.1.2安全域securityzone3.1.3边界boundary3.1.4数据传输管道datatransmissionchannel3.1.5控制中心controlcenter3.1.6控制设备controlequipment3.1.7移动代码mobilecode3.1.8会话session3.1.9会话IDsessionID3.2缩略词和缩略语4概述4.1工业控制系统概述4.1.1总则4.1.2层次模型4.1.3安全域模型4.1.4安全域划分原则4.2工业控制系统等级保护原则和要求4.2.1总则4.2.2安全域保护原则4.2.3安全域保护措施实施说明4.2.4技术要求和管理要求4.3工业控制系统定级4.4工业控制系统等级保护通用约束条件4.4.1概述4.4.2基本功能支持4.4.3补偿措施5第一级基本要求5.1技术要求5.1.1物理安全5.1.2边界防护5.1.3集中管控5.1.4生产管理层安全要求5.1.4.1网络和通信安全5.1.4.1.1无线使用控制5.1.4.1.2访问控制5.1.4.1.3安全审计5.1.4.2设备和计算安全5.1.4.2.1身份鉴别5.1.4.2.2访问控制5.1.4.2.3安全审计5.1.4.2.4入侵防范5.1.4.2.5恶意代码防范5.1.4.2.6资源控制5.1.4.3应用和数据安全5.1.4.3.1身份鉴别5.1.4.3.2访问控制5.1.4.3.3安全审计5.1.4.3.4软件容错5.1.4.3.5数据完整性5.1.4.3.6数据保密性5.1.4.3.7数据备份和恢复5.1.5过程监控层安全要求5.1.5.1网络和通信安全5.1.5.1.1网络架构5.1.5.1.2无线使用控制5.1.5.1.3访问控制5.1.5.1.4入侵防范5.1.5.1.5安全审计5.1.5.2设备和计算安全5.1.5.2.1身份鉴别5.1.5.2.2访问控制5.1.5.2.3安全审计5.1.5.2.4入侵防范5.1.5.2.5恶意代码防范5.1.5.2.6资源控制5.1.5.3应用和数据安全5.1.5.3.1身份鉴别5.1.5.3.2访问控制5.1.5.3.3安全审计5.1.5.3.4软件容错5.1.5.3.5资源控制5.1.5.3.6数据完整性5.1.5.3.8数据备份恢复5.1.6现场控制层安全要求5.1.6.1网络和通信安全5.1.6.1.1网络架构5.1.6.1.2无线使用控制5.1.6.1.3访问控制5.1.6.1.4安全审计5.1.6.2设备和计算安全5.1.6.2.1安全审计5.1.6.3应用和数据安全5.1.6.3.1数据完整性5.1.6.3.2数据备份恢复5.1.7现场设备层安全要求5.1.7.1网络和通信安全5.1.7.1.1无线控制使用5.1.7.2应用和数据安全5.1.7.2.1数据完整性5.1.7.2.2数据备份恢复5.2管理要求6第二级基本要求6.1技术要求6.1.1物理安全6.1.2边界防护6.1.3集中管控6.1.4生产管理层安全要求6.1.4.1网络和通信安全6.1.4.1.1网络架构6.1.4.1.2通信传输6.1.4.1.3无线使用控制6.1.4.1.4访问控制6.1.4.1.5入侵防范6.1.4.1.6安全审计6.1.4.2设备和计算安全6.1.4.2.1身份鉴别6.1.4.2.2访问控制6.1.4.2.3安全审计6.1.4.2.4入侵防范6.1.4.2.5恶意代码防范6.1.4.2.6资源控制6.1.4.3应用和数据安全6.1.4.3.1身份鉴别6.1.4.3.2访问控制6.1.4.3.4软件容错6.1.4.3.5资源控制6.1.4.3.6数据完整性6.1.4.3.7数据保密性6.1.4.3.8数据备份和恢复6.1.4.3.9剩余信息保护6.1.5过程监控层安全要求6.1.5.1网络和通信安全6.1.5.1.1网络架构6.1.5.1.2通信传输6.1.5.1.3无线使用控制6.1.5.1.4访问控制6.1.5.1.5入侵防范6.1.5.1.6安全审计6.1.5.2设备和计算安全6.1.5.2.1身份鉴别6.1.5.2.2访问控制6.1.5.2.3安全审计6.1.5.2.4入侵防范6.1.5.2.5恶意代码防范6.1.5.2.6资源控制6.1.5.3应用和数据安全6.1.5.3.1身份鉴别6.1.5.3.2访问控制6.1.5.3.3安全审计6.1.5.3.4软件容错6.1.5.3.5资源控制6.1.5.3.6数据完整性6.1.5.3.7数据保密性6.1.5.3.8数据备份恢复6.1.5.3.9剩余信息保护6.1.6现场控制层安全要求6.1.6.1网络和通信安全6.1.6.1.1网络架构6.1.6.1.2通信传输6.1.6.1.3无线使用控制6.1.6.1.4访问控制6.1.6.1.5入侵防范6.1.6.1.6恶意代码防范6.1.6.1.7安全审计6.1.6.2设备和计算安全6.1.6.2.1安全审计6.1.6.2.2入侵防范6.1.6.3应用和数据安全6.1.6.3.1数据完整性6.1.6.3.2数据保密性6.1.6.3.3数据备份恢复6.1.7现场设备层安全要求6.1.7.1网络和通信安全6.1.7.1.1无线控制使用6.1.7.2应用和数据安全6.1.7.2.1数据完整性6.1.7.2.2数据备份恢复6.2管理要求7第三级基本要求7.1技术要求7.1.1物理安全7.1.2边界防护7.1.3集中管控7.1.4生产管理层安全要求7.1.4.1网络和通信安全7.1.4.1.1网络架构7.1.4.1.2通信传输7.1.4.1.3无线使用控制7.1.4.1.4访问控制7.1.4.1.5入侵防范7.1.4.1.6恶意代码防范7.1.4.1.7安全审计7.1.4.2设备和计算安全7.1.4.2.1身份鉴别7.1.4.2.2访问控制7.1.4.2.3安全审计7.1.4.2.4入侵防范7.1.4.2.5恶意代码防范7.1.4.2.6资源控制7.1.4.3应用和数据安全7.1.4.3.1身份鉴别7.1.4.3.2访问控制7.1.4.3.3安全审计7.1.4.3.4软件容错7.1.4.3.5资源控制7.1.4.3.6数据完整性7.1.4.3.7数据保密性7.1.4.3.8数据备份和恢复7.1.4.3.9剩余信息保护7.1.5过程监控层安全要求7.1.5.1网络和通信安全7.1.5.1.1网络架构7.1.5.1.2通信传输7.1.5.1.3无线使用控制7.1.5.1.4访问控制7.1.5.1.5入侵防范7.1.5.1.6安全审计7.1.5.2设备和计算安全7.1.5.2.1身份鉴别7.1.5.2.2访问控制7.1.5.2.3安全审计7.1.5.2.4入侵防范7.1.5.2.5恶意代码防范7.1.5.2.6资源控制7.1.5.3应用和数据安全7.1.5.3.1身份鉴别7.1.5.3.2访问控制7.1.5.3.3安全审计7.1.5.3.4软件容错7.1.5.3.5资源控制7.1.5.3.6数据完整性7.1.5.3.7数据保密性7.1.5.3.8数据备份恢复7.1.5.3.9剩余信息保护7.1.6现场控制层安全要求7.1.6.1网络和通信安全7.1.6.1.1网络架构7.1.6.1.2通信传输7.1.6.1.3无线使用控制7.1.6.1.4访问控制7.1.6.1.5入侵防范7.1.6.1.6恶意代码防范7.1.6.1.7安全审计7.1.6.2设备和计算安全7.1.6.2.1身份鉴别7.1.6.2.2安全审计7.1.6.2.3入侵防范7.1.6.2.4资源控制7.1.6.3应用和数据安全7.1.6.3.1数据完整性7.1.6.3.2数据保密性7.1.6.3.3数据备份恢复7.1.7现场设备层安全要求7.1.7.1网络和通信安全7.1.7.1.1无线控制使用7.1.7.2应用和数据安全7.1.7.2.1数据完整性7.1.7.2.2数据备份恢复7.2管理要求8第四级基本要求8.1技术要求8.1.1物理安全8.1.2边界防护8.1.3集中管控8.1.4生产管理层安全要求8.1.4.1网络和通信安全8.1.4.1.1网络架构8.1.4.1.2通信传输8.1.4.1.3无线使用控制8.1.4.1.4访问控制8.1.4.1.5入侵防范8.1.4.1.6恶意代码防范8.1.4.1.7安全审计8.1.4.2设备和计算安全8.1.4.2.1身份鉴别8.1.4.2.2访问控制8.1.4.2.3安全审计8.1.4.2.4入侵防范8.1.4.2.5恶意代码防范8.1.4.2.6资源控制8.1.4.3应用和数据安全8.1.4.3.1身份鉴别8.1.4.3.2访问控制8.1.4.3.3安全审计8.1.4.3.4软件容错8.1.4.3.5资源控制8.1.4.3.6数据完整性8.1.4.3.7数据保密性8.1.4.3.8数据备份和恢复8.1.4.3.9剩余信息保护8.1.5过程监控层安全要求8.1.5.1网络和通信安全8.1.5.1.1网络架构8.1.5.1.2通信传输8.1.5.1.3无线使用控制8.1.5.1.4访问控制8.1.5.1.5入侵防范8.1.5.1.6安全审计8.1.5.2设备和计算安全8.1.5.2.1身份鉴别8.1.5.2.2访问控制8.1.5.2.3安全审计8.1.5.2.4入侵防范8.1.5.2.5恶意代码防范