工業(yè)控制系統(tǒng)信息安全標準
《工業(yè)控制系統(tǒng)信息安全標準》由會員分享,可在線閱讀,更多相關(guān)《工業(yè)控制系統(tǒng)信息安全標準(44頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、 中華人民共和國工業(yè)和信息化部 Ministry of Industry and Information Technoogy of the Peopled Republk of 6ia 工業(yè)控制系統(tǒng)信息安全標準 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 1 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the
2、Peoples Republic of Giine 1 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 1 主要內(nèi)容 工控安全標準化組織 , 工控安全國夕卜標準 V我國工控安全標準體系 ) 我國工控安全標準 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Gii
3、ne 1 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 1 國際工控安全標準化組織: 1. 際電工委員會 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 1 中華人民共和國工業(yè)和信息化部 Ministry of
4、 Industfy and Information Technology of the Peoples Republic of Giine 1 (IEC z Internatio nal Electro Tech nical Commissi on ) 2.國際自動化協(xié)會 (ISA z the Inter national Society of Automati on ) 3. 美國國 家標準技術(shù)硏究院 (NIST z Nati onal In stitute of Sta ndards a nd Tech no logy ) 4.德國標準化學會 (DIN , De
5、utsches Institut fur Normung ) 國際工控安全標準化組織: 1. 際電工委員會 (IEC , International Electro Technical Commission ) IEC是國際電工委員會(International ElectrotechnicalCommission ) 的簡稱,成立于1906年,它是世界上成立最早的國際性電工標準化機構(gòu),負 責有關(guān)電氣工程和電子工程領(lǐng)域中的國際標準化工作??偛吭O(shè)在瑞士日內(nèi)瓦 。IEC的宗旨是,促進電氣 電子工程領(lǐng)域中標準化及有關(guān)問題的國際合作 ,增進國際間的相互了解。 中華人民共和國工
6、業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 國際工控安全標準化組織: 2.國際自動化協(xié)會 (ISA , the International Society of Automation ) 其前身是美國儀器、系統(tǒng)和自動化協(xié)會,是一個非盈利技術(shù)協(xié)會,服務(wù)于 從事、研究、學習工業(yè)自動化及其相關(guān)領(lǐng)域(如現(xiàn)場儀表等)的工程師、技 術(shù)員等人士,是世界上最重要的自動化標準訂制與工業(yè)自動化人才培養(yǎng)專業(yè) 組織之一。目前,ISA的主要任務(wù)是制定和完善標準、職業(yè)資
7、格認證、提供 教育和培訓、出版書籍和論文、并且主辦自動化專業(yè)領(lǐng)域最大型的會議和展 覽。ISA為它的成員提供各種渠道來獲取技術(shù)信息、專業(yè)發(fā)展資源和與其他 自動化專家交流的機會。除了這些之夕卜,ISA會員還能有更多機會得到自動 化領(lǐng)域內(nèi)眾多專家的認可。 國際工控安全標準化組織: 3. 美國國 家標準技術(shù)硏究院 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國工業(yè)和信息化部 Ministry of
8、Industfy and Information Technology of the Peoples Republic of Giine (NIST , Nati onal In stitute of Sta ndards a nd Tech no logy ) 2002年,美國 NIST是一個非監(jiān)管性質(zhì)的測量技術(shù)和標準國家級硏究機構(gòu),其中信息技 術(shù)實驗室的計算機安全硏究室是信息安全標準的主要制定者。 政府在《聯(lián)邦信息安全管理法案》(FISMA)以及《電子政府法案》中再次 重申了NIST的職責是開發(fā)信息安全標準(聯(lián)邦信息處理標準,即FIPS系列) 國際工控安全標準化組織
9、: 4.德國標準化學會 (DIN , Deutsches Institut fur Normung ) 德國最大的具有廣泛代表性的公益性標準化民間機構(gòu)。成立于1917年。 總部設(shè)在首都柏林。通過有關(guān)方面的共同協(xié)作,為了公眾的利益,制定和發(fā) 布德國標準及其他標準化工作成果并促進其應(yīng)用,以有助于經(jīng)濟、技木科 學、管理和公共事務(wù)方面的合理化、質(zhì)量保證、安全和相互理解。 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 國內(nèi)工控安全標準
10、化組織: 1.全國信息安全標準化技術(shù)委員會(TC260 ) 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》 中華人民共和國工業(yè)和信息化部 Ministry
11、 of Industfy and Information Technology of the Peoples Republic of Giine 2. 《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全》 3. 全國電力監(jiān)管標準化技術(shù)委員會(TC296 ) 全國電力系統(tǒng)管理及其信息交換標準化技術(shù)委員會(TC 82 ) 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國工業(yè)和信息化部 Ministr
12、y of Industfy and Information Technology of the Peoples Republic of Giine >《電力二次系統(tǒng)安全防護標準》(強制) 《電力信息系統(tǒng)安全檢查規(guī)范》(強制) >《電力行業(yè)信息安全水平評價指標》(推薦) 4.全國工業(yè)過程測量和控制標準化技術(shù)委員會(TC124 ) 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華
13、人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 2016年8月12日z《關(guān)于加強國家網(wǎng)絡(luò)安 全標準化工作的若干意見》(中網(wǎng)辦發(fā)文 公室 ? .厶 一 ■ ft —■ v * i 〔2016〕5號)發(fā)布,其中明確全國信息 安全標準化技術(shù)委員會在國家標準委的領(lǐng) 導下,對網(wǎng)絡(luò)安全國家標準進行統(tǒng)一技術(shù) 歸口。 國家標準化管理委員會 ■ 中網(wǎng)辦發(fā)文〔2016) 5號 關(guān)加強國家網(wǎng)絡(luò)安全標準化匸作的若干意見 各省■自治區(qū)、直轄市、新輕
14、生產(chǎn)建設(shè)兵團黨委網(wǎng)終安全知 信息化領(lǐng)導小組?中央和國家機關(guān)各部委: 網(wǎng)絡(luò)安全標準化是網(wǎng)絡(luò)安全保肆怎系吳設(shè)仗車妾怒應(yīng) 部分?在構(gòu)建安全的網(wǎng)絡(luò)空閭、推動網(wǎng)給治理體系變革方面 發(fā)揮*基礎(chǔ)性.規(guī)范性?引領(lǐng)性作用。近年來M網(wǎng)絡(luò)信 息技術(shù)快速發(fā)屢應(yīng)用?網(wǎng)絡(luò)安全形勢日趨復雜嚴境?對標準 化工作提出了更髙要求?為落實網(wǎng)絡(luò)程國戰(zhàn)駕?深化標準 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peo
15、ples Republic of Giine 主要內(nèi)容 ■: 一 工控安全標準化組織 ■ i二】 工控安全國外標準 ■ 1三】 我國工控安全標準體系 ■ I四】 我國工控安全標準 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples R
16、epublic of Giine 國外工控安全標準:IEC/TC65 cs評估 全標準 ICS程序安 全標準 lue」6o>d AUJnoas tC/TS624 心仆 ■術(shù)語、概 J述與模型 PE ISA-99.02.01 2007 e建立ICS ; ■安全程序. ISA-TR99.01.02 術(shù)語與縮 略語 ISA-99.02.02 運行ICS I l安全程序丿 ISA-99.01.03 系統(tǒng)安全 一致性矩 陣 .ICS中的in l批管理 ICS系統(tǒng)安 全標準 IUSSAS ? -eoElpal 貶5R 624 433 一、 I
17、CS安全技 ISA-TR99.03.01 IEC <62443-3-3 fEC €2443-3-4 ISA-99.03.02 ISA-99.03.03 ISA-99.0X04 .安全保 ?障水平 系統(tǒng)安全 要求與水 「產(chǎn)品開發(fā)J ICS組件安 全標準 一uouodEoo ■ -E2U-SI2 )07 In Progress Published Comment/Vote 中華人民共和國工業(yè)和信息化部 ? py Ministry
18、 of Industfy and Information Technology of the Peoples Republic of Oiina 標準名稱 內(nèi)容概要 特點分析 IEC 62443系列《工 業(yè)過程測量、控制和 自動化網(wǎng)絡(luò)與系統(tǒng)信 息安全》 定義Y通用的、最膜求集以達到各級SALS安全保障需求 o可指導工控系統(tǒng)集成商、產(chǎn)品提供商和服務(wù)提供商對他們 的產(chǎn)品和服務(wù)進行安全性評估。 基礎(chǔ)標準、策 略和規(guī)程標準 ISO/IEC TR 27019 《基于I SO/I EC 27002的用于能源行 業(yè)過程控制系統(tǒng)的信 息安全管型旨南》 ISO/IEC TR 27019遵循了國際
19、標準ISO/IEC 27002《信息安 全控制實用規(guī)則》的框架。概括了信息安全方針、信息安全 組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通 信和操作管理、訪問控制、信息系統(tǒng)獲取開發(fā)與維護、信息 安全事件管理、業(yè)務(wù)連續(xù)性管理以及符合性等11個方面的安 全需求和控制實施建議。對于傳統(tǒng)的信息安全問題,標準直 接引用ISO/IEC 27002的內(nèi)容;對于過程控制系統(tǒng)特有的信 息安全問題,標準則給出了專用的安全控制實施指南 采用了 27002 的框架,內(nèi)容 全面;無分級 思想,且僅對 過程控制系統(tǒng) (PCS ) o NIST SP800-82《工 業(yè)控制系統(tǒng)(ICS)安全 指南》 概述了
20、 ICS和SCADA系統(tǒng)及其典型的系統(tǒng)拓撲;描述了 ICS與 IT系統(tǒng)之間的區(qū)別;標識了典型威脅和脆弱性以及安全事件 ;給出了ICS安全建設(shè)中的網(wǎng)絡(luò)體系結(jié)構(gòu);闡述了SP 800-53 中有關(guān)管理上、運行上以及技術(shù)上的安全控制措施如何在 ICSWSCADA中進行應(yīng)用。 專門應(yīng)對工控 系統(tǒng)特有的信 息安全問題而 定; 需配合NIST SP800-53使 用。 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine
21、 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 主要內(nèi)容 一 工控安全標準化組織 二) 工控安全國外標準 ■:三 我國工控安全標準體系 ■:四 我國工控安全標準 我國工控安全標準體系 基于《工業(yè)控制系統(tǒng)信息安全防護指南》,硏制如下標準體系 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品安全技術(shù)要求 工業(yè)控制系統(tǒng)現(xiàn)場測控設(shè)備通用安全功能要求 業(yè)控制網(wǎng)絡(luò)監(jiān)測安全技術(shù)要求 及測試評價方法 工控系統(tǒng)產(chǎn)品信息安全
22、第3部分安全保障要求 工控系統(tǒng)產(chǎn)品信息安全第2部分安全功能要求 工業(yè)控制系統(tǒng)漏洞檢測技術(shù)要求 工業(yè)控制系統(tǒng)信息安全要求 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品安全技術(shù)要求 信息安全技術(shù)工業(yè) 控制系統(tǒng)安全技術(shù)基 本要求 信息安全技術(shù)工業(yè) 控制系統(tǒng)安全管理基 本要求 基技財 防護技術(shù)產(chǎn)品要求 信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全分級規(guī)范 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南 工控信息安全 標準體系 技術(shù)產(chǎn)品安全要求 基本雄要求 發(fā)布/有計劃號標準 在研標準 待制定標準 安全實施 測 信息安全技術(shù)工業(yè)控制系統(tǒng)安全檢查指南 信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護要求 與
23、測評方法 工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評估準則 工業(yè)工控制系統(tǒng)信息安全第一部分評估規(guī)范 工業(yè)控制系統(tǒng)安全防護成熟度模型 信息安全技術(shù) 工業(yè)控制系統(tǒng)風險評估實施指南 工業(yè)信息安全管理,工業(yè)信息 安全檢查,安全防護體系建設(shè) 可參考。 針對工控系統(tǒng),進行安全定級、提出安全要求、落實安全防護措施、進行安全能力評估, 以循環(huán)上升的方式提升工控系統(tǒng)安全防護能力。 ( 中華人民共和國工業(yè)和信息化部 Ministry of Industry and Infomidtion Technology of the Peoples Republk of Oiine 序
24、號 標準名稱 所處狀態(tài) 立項時間 1 《信息安全技術(shù)工雌制系統(tǒng)安全控制應(yīng)用指南》 已發(fā)布 2009 2 《信息安今支術(shù)工雌制系統(tǒng)安全管理基本要求》 報扌憔 2012 3 《信息安今支術(shù)工雌制系統(tǒng)測薛端安全要求》 報扌懶 2012 4 《信息安今支術(shù)工雌制系統(tǒng)安全檢查}旨南》 征求意見稿 2012 5 《信息安全技術(shù)工雌制系統(tǒng)安全分級扌旨南》 報扌懶 2012 6 《信息系統(tǒng)安全等級保護基本要求第5部分:工業(yè)控制系統(tǒng)》 征求意見稿 2013 7 《工雌制系統(tǒng)風險評估實施指南》 報扌慷 2014 8 《佶息安今支術(shù)工雌制系統(tǒng)安全
25、防護技術(shù)要求和測試評價方法》 征求意見稿 2012 9 《信息安全技術(shù)工雌制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品安今支術(shù)要求》 征求意見稿 2014 10 《工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》 征求意見稿 2014 11 《佶息安全技術(shù)工雌制系統(tǒng)網(wǎng)絡(luò)監(jiān)測安全技術(shù)要求和測試評價方法》 征求意見稿 2015 12 《佶息安今支術(shù)工業(yè)控制系統(tǒng)漏洞檢測技術(shù)要求》 征求意見稿 2015 13 《佶息安全技術(shù)工雌制網(wǎng)絡(luò)安全隔罔與佶息父換系統(tǒng)安今支術(shù)要求》 征求意見稿 2015 14 《工雌制系統(tǒng)產(chǎn)品信息安全評估準則第1部分簡介和一般模型》 草案 2015 15 《工雌制系
26、統(tǒng)產(chǎn)品信息安全評估準則第2部分安全功能要求》 2015 16 《工雌制系統(tǒng)產(chǎn)品信息安全評估準則第3部分安全保障要求》 2015 主要內(nèi)容 ■ I -] 工控安全標準化組織 ■ | 二 i 工控安全國外標準 ■ =三】 ;我國工控安全標準體系 ■:四 我國工控安全標準 中華人民共和國工業(yè)和信息化部 ■ py Ministry of Industvy and Information Technology of the Peoples Republic of 6ine >分級思路 工業(yè)B制M統(tǒng) T安全威脅等級 Ta 0
27、 受侵害潛在影響程度 I Nsl/ I 安全風險I ;影響等級| / Sa S 重要性程度 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 重要性程度 特征值 影響程度特= 征值 牯息安全威脅等級 1 2 3 4 5 1 : 第一級 第一級 第一級 第二級 第三級 1 2 第一級
28、 第一級 第二級 第二級 第三級 1 3 第一級 第二級 第二級 第二級 第三級 1 4 第二級 第二級 第二級 第三級 第三級 1 5 第三級 第三級 第三級 第三級 第四級 2 1 第一級 第一級 第二級 第二級 第三級 2 2 第一級 第二級 第二級 第二級 第三級 2 3 第二級 第二級 第二級 第三級 第三級 2 4 第二級 第二級 第三級 第三級 第三級 2 5 第三級 第三級 第三級 第三級 第四級 3 1 第一級 第二級 第二級 第二級 第三級
29、 3 2 第二級 第二級 第二級 第三級 第三級 3 3 第二級 第二級 第三級 第三級 第三級 3 4 第二級 第三級 第三級 第三級 第四級 3 5 第三級 第三級 第三級 第四級 第四級 4 1 第二級 第二級 第二級 第三級 第三級 4 2 第二級 第二級 第三級 第三級 第三級 4 3 第二級 第三級 第三級 第三級 第四級 4 4 第三級 第三級 第三級 第四級 第四級 4 5 第三級 第三級 第四級 第四級 第四級 5 1 第三級 第三級 第三級
30、 第三級 第四級 5 2 第三級 第三級 第三級 第三級 第四級 5 3 第三級 第三級 第三級 第四級 第四級 5 4 第三級 第三級 第四級 第四級 第四級 5 5 第四級 第四級 第四級 第四級 第四級 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Repu
31、blic of Giine 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南 前言與引言 范圍.規(guī)范性引用文件. 術(shù)語和定義.縮略語 安全控制概述.基線及其設(shè)計. 選擇與規(guī)約.選擇過程應(yīng)用 工業(yè)控制系統(tǒng)面臨的安全風險 工業(yè)控制系統(tǒng)安全控制列表 工業(yè)控制系統(tǒng)安全控制基線 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Repu
32、blic of Giine 安全控制 安全控制是應(yīng)用于組織工M空制系統(tǒng)中管理、運行和技術(shù)上的保護措施和對策, 以保護工附空制系統(tǒng)及其信息的保密性、完整性和可用性等。應(yīng)用這些控制的目 的是減少脆弱性或影響,抵御工M空制系統(tǒng)所面臨的安全威脅,從而緩解工業(yè)控 制系統(tǒng)的安全風險,以滿足利益相關(guān)者的安全需要。 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 1 安全控制選擇與規(guī)約 工業(yè)控制系統(tǒng) 加固后 初始的安全
33、 已裁剪的安 工業(yè)控制糸統(tǒng) 協(xié)調(diào)一致 補充控制: 控制裁剪: [全控制基線〔 (高、中、 控制基線 (高、中、 系統(tǒng)安全定級 裁剪前 ?界定范ffl ?補償控制 ?參數(shù)化 裁剪后 ?風險評估 ?補充已裁 剪基線控 制 的安全控 制集 (高、中、 低) 風險評估后 實施安全控制 建立安全控制決定的文檔 理由:工業(yè)控制系統(tǒng)協(xié)調(diào)一致的安全控制集為組織運行、資 產(chǎn)、個體、其它組織和國家提供準確的保護 >針對工業(yè)控制系統(tǒng)存在的脆弱性 < 分析面臨的威脅 < 評估風險發(fā)生的可 能性以及風險發(fā)生可能造成的影響和危害,制定風險處置原則和處置計 劃,將工
34、業(yè)控制系統(tǒng)安全風險控制在可接受的水平。 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 附錄A工業(yè)控制系統(tǒng)面臨的安全風險 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Informat
35、ion Technology of the Peoples Republic of Giine 工業(yè)控制系纟 傳統(tǒng)信息系統(tǒng)的 性能需求 可用性需求 風險管理需求 安全焦點 物理交互 時間確定性響應(yīng) 系統(tǒng)運行 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples
36、Republic of Giine 工業(yè)控制系統(tǒng) 面臨的威脅 內(nèi)部攻擊者 虐尸網(wǎng)絡(luò)的操控者 惡意軟件的作者 恐怖分子 工業(yè)間諜 犯罪組織 拒絕服務(wù)的影響 加密傳輸 密鑰管理 信息系統(tǒng) 安全威脅與防護措施 對工控系統(tǒng)的影響 公網(wǎng)聯(lián)接 無線通信的影響 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine
37、 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 系統(tǒng)、 與服務(wù) 、 ―<維護 介質(zhì) 保護 nr x f評估 風險 評估 訪問 控制 程序 與鑒另! /人員 k安全/系統(tǒng) 與通信 Sir 與問責 管理1 I I 技術(shù)I I 運維I 中華人民共和國工業(yè)和信息化部 Min
38、istry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 本標準從管理、運維、技術(shù)三個維度提出了 18個族,186項安全控制措施,范 圍涵蓋訪問控制、安全評估、系統(tǒng)與服務(wù)獲取、風險評估、運維等。 附錄c工業(yè)控制系統(tǒng)安全控制基線 表C. 1安全控制基線 編號 控制
39、名 . 級別 一級 \ 二級 三級 訪問揑翎(AC) AC-1 訪問控材第賂和規(guī)程 AC-1 AC-1 AC-1 AC-2 帙尸管理 AC-2 AC-2 a)b)c)d) AC-2 a)b)c)d) AC-3 暹舸訪問揑的 AC-3 AC-3 b) AC-3 b) AC-4 信J6流強創(chuàng)訪問輕啊 一一 AC-4 AC-4 AC-5 職貢分離 一一 AC-5 AO5 AC-6 最巾授權(quán) 一一 AC-6 a)b)c)e)f) AC-6 a)b)c)d)e)f) AC
40、-7 失敗登錄輕創(chuàng) AC-7 AC-7 AC-7 AC-8 系銃使用提示 一一 AC-8 AC-8 AC-9 以前訪問提示 — ― AC-9 AC-10 并發(fā)會話矩制 一一 ― AC-10 AC-11 會話鎖定 一一 AC-11 a) AC-11 a) AC-12 金話絡(luò)止 一一 AC-12 AC-12 AC-13 未標識鑒別的評可行為 一一 AC-13 AC-13 AC-14 述程訪何 AC-14 AC-14 a)b)c)d) AC-14 a)b)c)
41、d) AC-15 無線訪問 AC-15 AC-15 a) AC-15 a) b)c)d)e) AC-16 移動設(shè)各的訪問揑勻 AC-16 AC-16d:ie)f) AC-16 a)b)c)d)e)f)g) ACJ7 外部系銃的使用 AC-17 AC-17 a)b) AC?仃 a)b) AC-18 信J6共宇 ― AC-18 AC-18 根據(jù)工M空制系統(tǒng)在國家安全、 經(jīng)濟建設(shè)、社會生活中的重要 程度,遭到破壞后對國家安全、 社會秩序、公共利益以及公民、 法人和其他組織的合法權(quán)益的 危害程度等,結(jié)合信息安全等 級保護標準
42、劃分及實施效果分 析,結(jié)合工業(yè)扌空制系統(tǒng)的基本 特征(參見附錄A ),結(jié)合以 往諸多工業(yè)扌空制系統(tǒng)的安全實 踐,將附錄B中適用于工業(yè)控 制系統(tǒng)的安全扌空制分為三個級 別:一級、二級和三級,每個 級別對應(yīng)安全扌空制如表C.1。 安全扌空制基線及其設(shè)計考慮, 以及基線的選擇和裁剪指導見 本標準正文內(nèi)容。 工業(yè)控制系統(tǒng)風險評估流程 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 中華人民共和國工業(yè)和信息化部 Mini
43、stry of Industfy and Information Technology of the Peoples Republic of Giine 工業(yè)控制系統(tǒng)安全檢查指南 中華人民共和國工業(yè)和信息化部 Ministry of Industfy and Information Technology of the Peoples Republic of Giine 工業(yè)控制系統(tǒng)信息安全防護妾求與測評方法 本標準針對基于現(xiàn)代數(shù)字
44、技術(shù)、計算機技術(shù)、網(wǎng)絡(luò)技術(shù)的工業(yè)控制系統(tǒng)信息安 全提出了防護技術(shù)要求及測試評價辦法,適用于工業(yè)控制系統(tǒng)信息安全的重點領(lǐng)域 包括(核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞 紐、環(huán)境保護、民航、鐵路、城市軌道交通、城市供水供氣供熱)以及其他與國計 民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統(tǒng)信息安全工作。 工控安全防護技術(shù)要求 工控安全防護測評方法 用戶、設(shè)備鑒1」 測試評價流程分為四個基本測評活動: A遠程通信保護 ?準備活動 A通彳言網(wǎng)絡(luò)分隔與互聯(lián) ?方案編制活動 A訪問控制 ?實施活動 A職責分割 ?分析及報告編制活動 A審計和問責 A系統(tǒng)和信息完
45、整性 測評方法: A資源可用性 ?基未方法 物理和環(huán)境保護 ?數(shù)據(jù)采集范圍要求 》安傘監(jiān)悴 ?采集方式要求 ?分析方式 工業(yè)控制系統(tǒng)信息安全技術(shù)產(chǎn)品要求 序號 標準名稱 所處狀態(tài) 立項時間 1 《信息安全技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品安全技術(shù)要求》 征求意 2014 2 《工業(yè)控制系統(tǒng)專用防火埴技術(shù)要求》 征求意見稿 2014 3 《信息安全技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)監(jiān)測安全技術(shù)要求和測試評價 方法》 征求意 2015 4 《信息安全技術(shù)工業(yè)控制系統(tǒng)漏洞檢測技術(shù)要求》 征求意見稿 2015 5 《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù) 要求》 征求意 2015 6 《工業(yè)控制系統(tǒng)產(chǎn)品信息安全評估準則第1部分簡介和F模型》 草案 2015 7 《工業(yè)控制系統(tǒng)產(chǎn)品信息安全評估準則第2部分安全功能要求》 草案 2015 8 《工業(yè)控制系統(tǒng)產(chǎn)品信息安全評估準則第3部分安全保障要求》 草案 2015
- 溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。