工业控制系统广泛应用于能源、水利、石油化工、装备制造等工业生产领域,堪称是国家关键生产设施和基础设施运行的“神经中枢”,一旦遭到破坏,可能造成人员伤亡、环境污染、停产停工等严重后果,将严重威胁国家经济安全、政治安全、社会稳定和国家安全。当下,互联网与工业融合创新带来的安全问题日益严峻,新兴需求也使工业安全领域备受关注。近三年来,国家针对工业安全领域出台多项政策、标准及白皮书,在这些政策、标准、白皮书的密集鼓励和推进下,工业安全行业迎来爆发式的发展。
为此,工业控制系统信息安全产业联盟(简称工业安全产业联盟)特梳理、推出近三年(2017~2019)工控信息安全、信息安全领域的政策篇、标准篇、白皮书篇三大系列专题, 以飨读者。
1 关于征求《信息安全技术 信息系统密码应用基本要求》等8项国家标准意见的通知
发布单位:
全国信息安全标准化技术委员会秘书处
发布时间:
2019年6月25日
节选内容:
关于征求《信息安全技术 信息系统密码应用基本要求》等8项国家标准意见的通知
各有关单位:
根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,秘书处组织对《信息安全技术 信息系统密码应用基本要求》等8项国家标准征求意见稿征求有关单位意见,标准清单附后。现将标准相关材料发布在信安标委网站,请于2019年8月8日24:00前将意见反馈给秘书处。
(联系人:王姣 13661025214 wangjiao@cesi.cn)
全国信息安全标准化技术委员会秘书处
2019年6月25日
附件:
1.信息安全技术 信息系统密码应用基本要求
2.信息安全技术 可信计算规范 可信平台控制模块
3.信息技术 安全技术 生物特征识别信息的保护要求
4.信息安全技术 安全处理器技术规范
5.信息安全技术 智能家居安全通用技术要求
6.信息安全技术 个人信息安全工程指南
7.信息安全技术 工业互联网平台安全要求及评估规范
8.信息安全技术 个人信息安全规范
2 网络安全等级保护制度2.0标准
发布单位:
公安部网络安全等级保护中心
发布时间:
2019年5月13日
节选内容:
新标准的三大特点:
第一,2.0标准覆盖了新技术、新应用的场景,现在比较流行的云计算、物联网等等都被纳入到标准范围。
第二,三个核心标准,基本要求、设计要求和测评要求。形成了完全统一的架构:安全通讯网络、安全区域边界、安全计算环境、安全管理中心,一个中心三重防御技术架构。
第三,把可信计算使用写入了标准范围,从一级开始到四级全部提出了可信验证空间。
3 《信息安全技术 网络安全等级保护测评过程指南》
发布单位:
国家市场监督管理总局、中国国家标准化管理委员会
发布时间:
2018年12月28日
节选内容:
本标准中的等级测评是测评机构依据GB/T 22239以及GB/T 28448等技术标准,检测评估定级对象安全等级保护状况是否符合相应等级基本要求的过程.是落实网络安全等级保护制度的重要环节。
在定级对象建设 、整改时,定级对象运营 、使用单位通过等级测评进行现状分析,确定系统的安全保 护现状和存在的安全问题,并在此基础上确定系统的整改安全需求。
在定级对象运维过程中 ,定级对象运营 、使用单位定期对定级对象安全等级保护状况进行自查或委托测评机构开展等级测评,对信息安全管控能力进行考察和评价,从而判定定级对象是否具备 GB/T 22239中相应等级要求的安全保护能力。因此 ,等级测评活动所形成的等级测评报告是定级对象开展整改加固的重耍依据,也是第三级以上定级对象备案的重要附件材料 。等级测评结论为不符合或基本符合的定级对象,其运营使用单位需根据等级测评报告,制定方案进行整改。
4 《网络安全等级保护测试评估技术指南》
发布单位:
国家质量监督检验检疫总局、国家标准化管理委员会
发布时间:
2018年9月17日
节选内容:
标准给出了网络安全等级保护测评中的相关测评技术的分类和定义,提出了技术性测试评估的要素、原则,并对测评结果的分析和应用提出了建议。该标准适用于测评机构开展等级测评工作,以及主管部门及运营使用单位开展安全评估。
我们知道,网络安全等级保护测评过程包括测评准备活动、方案编制活动、现场测评活动、报告编制活动四个基本测评活动。《GB/T 36627-2018 网络安全等级保护测试评估技术指南》为方案编制活动、现场测评活动中涉及的测评技术选择与实施过程提供指导。
网络安全等级保护相关的测评标准主要有GB/T22239、GB/T28448和GB/T281149等。其中:GB/T 22239是网络安全等级保护测评的基础性标准;GB/T28448针对GB/T22239中的要求.提出了不同网络安全等级的测评要求;GB/T 28449主要规定了网络安全等级保护测评工作的测评过程;
本标准与GB/T28448和GB/T28449的区别在于:GB/T 28448主要描述了针对各级等级保护对象单元测评的具体测评要求和测评流程,GB/T28449则主要对网络安 全等级保护测评的活动、工作任务以及每项任务的输入/输出产品等提出指导性建议,不涉及测评中具体的测试方法和技术。本标准对网络安全等级保护测评中的相关测评技术进行明确的分类和定义,系统地归纳并阐述测评的技术方法,概述技术性安全测试和评估的要求,重点关注具体技术的实现功能、原则等,并提出建议供使用。因此本标准在应用网络安全等级保护测评时作为对GB/T 28448和GB/T 28449的补充。
5 《网络关键设备和网络安全专用产品安全认证实施规则》
发布单位:
国家认证认可监督管理委员会
发布时间:
2018年6月27日
节选内容:
根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》《关于网络关键设备和网络安全专用产品安全认证实施要求的公告》(认监委、国家互联网信息办公室2018年第24号公告)有关要求,国家认监委编制完成了《网络关键设备和网络安全专用产品安全认证实施规则》,并于6月27日正式发布实施。
该规则规定了开展网络关键设备和网络安全专用产品安全认证的基本原则和要求。规则适用的网络关键设备和网络安全专用产品,应符合《国家互联网信息办公室、工业和信息化部、公安部、国家认监委关于发布<网络关键设备和网络安全专用产品目录(第一批)>的公告》(联合公告2017年第1号)中相应的范围要求描述。安全认证用标准依据有关主管部门的要求执行。
6 信息安全技术 工业控制系统信息安全分级规范
发布单位:
国家市场监督管理总局、中国国家标准化管理委员会
发布时间:
2018年6月7日
节选内容:
工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,为加强工业控制系统信息安全管理,对工业控制系统信息安全采取等级化管理。本标准规定了基于风险评估的工业控制系统信息安全等级划分规则和定级方法,提出了等级划分模型和定级要素,包括工业控制系统资产重要程度、存在的潜在风险影响程度和需抵御的信息安全威胁程度,并提出了对工业控制系统信息安全划分四个等级的特征。
本标准第4章工业控制系统概述,描述了工业控制系统基本构成,工业控制系统定级对象;第5章工业控制系统信息安全等级划分规则,规定了工业控制系统信息安全等级划分模型,工业控制系统信息安全定级要素,工业控制系统信息安全等级特征;第6章工业控制系统信息安全定级方法,提出了工业控制系统信息安全定級流程,陈述了确定工业控制系统定级对象、确定工业控制系统资产重要程度、确定受侵害后的潜在影响程度、确定需抵御的信息安全威胁程度、确定工业控制系统信息安全等级。
7 信息安全技术 工业控制系统安全管理基本要求
发布单位:
国家市场监督管理总局、中国国家标准化管理委员会
发布时间:
2018年6月7日
节选内容:
随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统,包括分布式控制系统(DCS)、监控与数据采集( SCADA)系统和可编程逻辑控制器(PLC)等产品广泛应用于核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢组、城市设施等国家重要领域。工业控制系统(ICS)由单机走向互联、从封闭走向开放、从自动化走向智能化进程的加快,使得工业控制系统的信息安全问题日益突出,工业控制系统一且受攻击,将严重威胁人民生命财产安全和国家政权稳定。对此,全国信息安全标准化技术委员会(SAC/TC260)立项研制了工业控制系统信息安全分级、管理要求、控制应用指南等多项标准。
本标准针对各行业工业控制系统的安全管理活动的共性特点,提出了工业控制系统安全管理基本框架,从领导、规划、支持、运行、绩效评价和持续改进等方面为工业控制系统安全管理活动提出了规范性要求,并给出了为实现该安全管理基本框架所需的安全管理基本控制措施和各级工业控制系统安全管理基本控制措施对应表,以满足组织对各级工业控制系统的安全管理需求,为实现对工业控制系统适度、有效的安全管理控制提供参考。
8 信息安全技术 工业控制系统现场测控设备通用安全功能要求
发布单位:
国家市场监督管理总局、中国国家标准化管理委员会
发布时间:
2018年6月7日
节选内容:
现场测控设备是工业控制系统的基本功能执行设备,直接对工业生产过程进行监视与控制,对于生产的安全稳定运行至关重要。
随着信息通信技术在工业控制系统中的应用,现场设备的智能化程度逐渐增加,网络化和处理能力的增加使得这些设备所面临的信息安全风险较传统现场设备面临的风险种类更多,范围更大,层次更为深入,一旦遭受攻击,将直接导致设备所辖区域内甚至连锁性的生产事故,因此其信息安全不仅与生产安全和经济安全密不可分,而且电力、化工、天然气等重要基础设施的现场安全水平直接关系到国计民生、社会稳定与公众利益。
为提高现场设备的信息安全能力,本标准提出针对现场测控设备的通用安全功能要求,用于设备的安全设计、开发、测试与评估。使用者应根据实际或计划使用环境的安全风险分析结果,选择设备应满足的安全功能要求。
9 信息安全技术 工业控制系统风险评估实施指南
发布单位:
国家市场监督管理总局、中国国家标准化管理委员会
发布时间:
2018年6月7日
节选内容:
随着工业控制系统和信息化技术的融合,工业控制系统广泛应用于治金、电力、石化、水处理、铁路、航空和食品加工等行业。工业控制系统指应用于工业控制领域的数据采集、监视与控制系统,是由计算机设备、工业过程控制组件和网络组成的控制系统,是工业领域的神经中枢,工业中使用的控制系统包括监视控制与采集系统、分布式控制系统、可编程逻控制器系统等。我国把工业控制系统信息安全作为信息安全保障的一个相对独立的体系进行建设,其安全性将直接关系到国家重要基磁工业设施生产的正常运行和广大公众的利益。
本标准在对工业控制系统的资产进行整理分析的基础上,从其资产的安全特性出发,分析工业控制系统的威胁来源与自身脆弱性,归纳出工业控制系统面临的信息安全风险,并给出实施工业控制系统风险评估的指导性建议。
本标准主要为第三方安全检测评估机构在工业控制系统现场实施风险评估提供指南,也可供工业控制系统业主单位进行自评估时参考。
10 《电力信息系统安全检查规范》
发布单位:
国家质量监督检验检疫总局、国家标准化管理委员会
发布时间:
2018年3月15日
节选内容:
《电力信息系统安全检查规范》标准于2018年3月15日发布,该规范就信息系统的十五个层面提出了要求,包括:组织体系、规章制度、资金保障、人员安全管理、关键信息资产管控、信息系统建设安全管理、信息系统运行安全管理、应急管理、安全分区防御体系、网络安全防护、主机和设备安全防护、应用系统和数据安全防护、物理环境安全防护、业务连续性保护。
这个规范的发布为电力行业和安全服务机构提供了指导方向,并于2018年10月1日起开始实施。
11 《信息安全技术 个人信息安全规范》
发布单位:
全国信息安全标准化技术委员会
发布时间:
2017年12月29日
节选内容:
9.1 安全事件应急处置和报告
对个人信息控制者的要求包括:
a) 应制定个人信息安全事件应急预案;
b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;
c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;GB/T 35273—2017 12 3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。
d) 根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。
