工業控制系統廣泛應用于能源、水利、石油化工、裝備制造等工業生產領域,堪稱是國家關鍵生產設施和基礎設施運行的“神經中樞”,一旦遭到破壞,可能造成人員傷亡、環境污染、停產停工等嚴重后果,將嚴重威脅國家經濟安全、政治安全、社會穩定和國家安全。當下,互聯網與工業融合創新帶來的安全問題日益嚴峻,新興需求也使工業安全領域備受關注。近三年來,國家針對工業安全領域出臺多項政策、標準及白皮書,在這些政策、標準、白皮書的密集鼓勵和推進下,工業安全行業迎來爆發式的發展。
為此,工業控制系統信息安全產業聯盟(簡稱工業安全產業聯盟)特梳理、推出近三年(2017~2019)工控信息安全、信息安全領域的政策篇、標準篇、白皮書篇三大系列專題, 以饗讀者。
1 關于征求《信息安全技術 信息系統密碼應用基本要求》等8項國家標準意見的通知
發布單位:
全國信息安全標準化技術委員會秘書處
發布時間:
2019年6月25日
節選內容:
關于征求《信息安全技術 信息系統密碼應用基本要求》等8項國家標準意見的通知
各有關單位:
根據《全國信息安全標準化技術委員會標準制修訂工作程序》要求,秘書處組織對《信息安全技術 信息系統密碼應用基本要求》等8項國家標準征求意見稿征求有關單位意見,標準清單附后。現將標準相關材料發布在信安標委網站,請于2019年8月8日24:00前將意見反饋給秘書處。
(聯系人:王姣 13661025214 wangjiao@cesi.cn)
全國信息安全標準化技術委員會秘書處
2019年6月25日
附件:
1.信息安全技術 信息系統密碼應用基本要求
2.信息安全技術 可信計算規范 可信平臺控制模塊
3.信息技術 安全技術 生物特征識別信息的保護要求
4.信息安全技術 安全處理器技術規范
5.信息安全技術 智能家居安全通用技術要求
6.信息安全技術 個人信息安全工程指南
7.信息安全技術 工業互聯網平臺安全要求及評估規范
8.信息安全技術 個人信息安全規范
2 網絡安全等級保護制度2.0標準
發布單位:
公安部網絡安全等級保護中心
發布時間:
2019年5月13日
節選內容:
新標準的三大特點:
第一,2.0標準覆蓋了新技術、新應用的場景,現在比較流行的云計算、物聯網等等都被納入到標準范圍。
第二,三個核心標準,基本要求、設計要求和測評要求。形成了完全統一的架構:安全通訊網絡、安全區域邊界、安全計算環境、安全管理中心,一個中心三重防御技術架構。
第三,把可信計算使用寫入了標準范圍,從一級開始到四級全部提出了可信驗證空間。
3 《信息安全技術 網絡安全等級保護測評過程指南》
發布單位:
國家市場監督管理總局、中國國家標準化管理委員會
發布時間:
2018年12月28日
節選內容:
本標準中的等級測評是測評機構依據GB/T 22239以及GB/T 28448等技術標準,檢測評估定級對象安全等級保護狀況是否符合相應等級基本要求的過程.是落實網絡安全等級保護制度的重要環節。
在定級對象建設 、整改時,定級對象運營 、使用單位通過等級測評進行現狀分析,確定系統的安全保 護現狀和存在的安全問題,并在此基礎上確定系統的整改安全需求。
在定級對象運維過程中 ,定級對象運營 、使用單位定期對定級對象安全等級保護狀況進行自查或委托測評機構開展等級測評,對信息安全管控能力進行考察和評價,從而判定定級對象是否具備 GB/T 22239中相應等級要求的安全保護能力。因此 ,等級測評活動所形成的等級測評報告是定級對象開展整改加固的重耍依據,也是第三級以上定級對象備案的重要附件材料 。等級測評結論為不符合或基本符合的定級對象,其運營使用單位需根據等級測評報告,制定方案進行整改。
4 《網絡安全等級保護測試評估技術指南》
發布單位:
國家質量監督檢驗檢疫總局、國家標準化管理委員會
發布時間:
2018年9月17日
節選內容:
標準給出了網絡安全等級保護測評中的相關測評技術的分類和定義,提出了技術性測試評估的要素、原則,并對測評結果的分析和應用提出了建議。該標準適用于測評機構開展等級測評工作,以及主管部門及運營使用單位開展安全評估。
我們知道,網絡安全等級保護測評過程包括測評準備活動、方案編制活動、現場測評活動、報告編制活動四個基本測評活動。《GB/T 36627-2018 網絡安全等級保護測試評估技術指南》為方案編制活動、現場測評活動中涉及的測評技術選擇與實施過程提供指導。
網絡安全等級保護相關的測評標準主要有GB/T22239、GB/T28448和GB/T281149等。其中:GB/T 22239是網絡安全等級保護測評的基礎性標準;GB/T28448針對GB/T22239中的要求.提出了不同網絡安全等級的測評要求;GB/T 28449主要規定了網絡安全等級保護測評工作的測評過程;
本標準與GB/T28448和GB/T28449的區別在于:GB/T 28448主要描述了針對各級等級保護對象單元測評的具體測評要求和測評流程,GB/T28449則主要對網絡安 全等級保護測評的活動、工作任務以及每項任務的輸入/輸出產品等提出指導性建議,不涉及測評中具體的測試方法和技術。本標準對網絡安全等級保護測評中的相關測評技術進行明確的分類和定義,系統地歸納并闡述測評的技術方法,概述技術性安全測試和評估的要求,重點關注具體技術的實現功能、原則等,并提出建議供使用。因此本標準在應用網絡安全等級保護測評時作為對GB/T 28448和GB/T 28449的補充。
5 《網絡關鍵設備和網絡安全專用產品安全認證實施規則》
發布單位:
國家認證認可監督管理委員會
發布時間:
2018年6月27日
節選內容:
根據《中華人民共和國網絡安全法》《中華人民共和國認證認可條例》《關于網絡關鍵設備和網絡安全專用產品安全認證實施要求的公告》(認監委、國家互聯網信息辦公室2018年第24號公告)有關要求,國家認監委編制完成了《網絡關鍵設備和網絡安全專用產品安全認證實施規則》,并于6月27日正式發布實施。
該規則規定了開展網絡關鍵設備和網絡安全專用產品安全認證的基本原則和要求。規則適用的網絡關鍵設備和網絡安全專用產品,應符合《國家互聯網信息辦公室、工業和信息化部、公安部、國家認監委關于發布<網絡關鍵設備和網絡安全專用產品目錄(第一批)>的公告》(聯合公告2017年第1號)中相應的范圍要求描述。安全認證用標準依據有關主管部門的要求執行。
6 信息安全技術 工業控制系統信息安全分級規范
發布單位:
國家市場監督管理總局、中國國家標準化管理委員會
發布時間:
2018年6月7日
節選內容:
工業控制系統信息安全事關工業生產運行、國家經濟安全和人民生命財產安全,為加強工業控制系統信息安全管理,對工業控制系統信息安全采取等級化管理。本標準規定了基于風險評估的工業控制系統信息安全等級劃分規則和定級方法,提出了等級劃分模型和定級要素,包括工業控制系統資產重要程度、存在的潛在風險影響程度和需抵御的信息安全威脅程度,并提出了對工業控制系統信息安全劃分四個等級的特征。
本標準第4章工業控制系統概述,描述了工業控制系統基本構成,工業控制系統定級對象;第5章工業控制系統信息安全等級劃分規則,規定了工業控制系統信息安全等級劃分模型,工業控制系統信息安全定級要素,工業控制系統信息安全等級特征;第6章工業控制系統信息安全定級方法,提出了工業控制系統信息安全定級流程,陳述了確定工業控制系統定級對象、確定工業控制系統資產重要程度、確定受侵害后的潛在影響程度、確定需抵御的信息安全威脅程度、確定工業控制系統信息安全等級。
7 信息安全技術 工業控制系統安全管理基本要求
發布單位:
國家市場監督管理總局、中國國家標準化管理委員會
發布時間:
2018年6月7日
節選內容:
隨著計算機和網絡技術的發展,特別是信息化與工業化深度融合以及物聯網的快速發展,工業控制系統,包括分布式控制系統(DCS)、監控與數據采集( SCADA)系統和可編程邏輯控制器(PLC)等產品廣泛應用于核設施、航空航天、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞組、城市設施等國家重要領域。工業控制系統(ICS)由單機走向互聯、從封閉走向開放、從自動化走向智能化進程的加快,使得工業控制系統的信息安全問題日益突出,工業控制系統一且受攻擊,將嚴重威脅人民生命財產安全和國家政權穩定。對此,全國信息安全標準化技術委員會(SAC/TC260)立項研制了工業控制系統信息安全分級、管理要求、控制應用指南等多項標準。
本標準針對各行業工業控制系統的安全管理活動的共性特點,提出了工業控制系統安全管理基本框架,從領導、規劃、支持、運行、績效評價和持續改進等方面為工業控制系統安全管理活動提出了規范性要求,并給出了為實現該安全管理基本框架所需的安全管理基本控制措施和各級工業控制系統安全管理基本控制措施對應表,以滿足組織對各級工業控制系統的安全管理需求,為實現對工業控制系統適度、有效的安全管理控制提供參考。
8 信息安全技術 工業控制系統現場測控設備通用安全功能要求
發布單位:
國家市場監督管理總局、中國國家標準化管理委員會
發布時間:
2018年6月7日
節選內容:
現場測控設備是工業控制系統的基本功能執行設備,直接對工業生產過程進行監視與控制,對于生產的安全穩定運行至關重要。
隨著信息通信技術在工業控制系統中的應用,現場設備的智能化程度逐漸增加,網絡化和處理能力的增加使得這些設備所面臨的信息安全風險較傳統現場設備面臨的風險種類更多,范圍更大,層次更為深入,一旦遭受攻擊,將直接導致設備所轄區域內甚至連鎖性的生產事故,因此其信息安全不僅與生產安全和經濟安全密不可分,而且電力、化工、天然氣等重要基礎設施的現場安全水平直接關系到國計民生、社會穩定與公眾利益。
為提高現場設備的信息安全能力,本標準提出針對現場測控設備的通用安全功能要求,用于設備的安全設計、開發、測試與評估。使用者應根據實際或計劃使用環境的安全風險分析結果,選擇設備應滿足的安全功能要求。
9 信息安全技術 工業控制系統風險評估實施指南
發布單位:
國家市場監督管理總局、中國國家標準化管理委員會
發布時間:
2018年6月7日
節選內容:
隨著工業控制系統和信息化技術的融合,工業控制系統廣泛應用于治金、電力、石化、水處理、鐵路、航空和食品加工等行業。工業控制系統指應用于工業控制領域的數據采集、監視與控制系統,是由計算機設備、工業過程控制組件和網絡組成的控制系統,是工業領域的神經中樞,工業中使用的控制系統包括監視控制與采集系統、分布式控制系統、可編程邏控制器系統等。我國把工業控制系統信息安全作為信息安全保障的一個相對獨立的體系進行建設,其安全性將直接關系到國家重要基磁工業設施生產的正常運行和廣大公眾的利益。
本標準在對工業控制系統的資產進行整理分析的基礎上,從其資產的安全特性出發,分析工業控制系統的威脅來源與自身脆弱性,歸納出工業控制系統面臨的信息安全風險,并給出實施工業控制系統風險評估的指導性建議。
本標準主要為第三方安全檢測評估機構在工業控制系統現場實施風險評估提供指南,也可供工業控制系統業主單位進行自評估時參考。
10 《電力信息系統安全檢查規范》
發布單位:
國家質量監督檢驗檢疫總局、國家標準化管理委員會
發布時間:
2018年3月15日
節選內容:
《電力信息系統安全檢查規范》標準于2018年3月15日發布,該規范就信息系統的十五個層面提出了要求,包括:組織體系、規章制度、資金保障、人員安全管理、關鍵信息資產管控、信息系統建設安全管理、信息系統運行安全管理、應急管理、安全分區防御體系、網絡安全防護、主機和設備安全防護、應用系統和數據安全防護、物理環境安全防護、業務連續性保護。
這個規范的發布為電力行業和安全服務機構提供了指導方向,并于2018年10月1日起開始實施。
11 《信息安全技術 個人信息安全規范》
發布單位:
全國信息安全標準化技術委員會
發布時間:
2017年12月29日
節選內容:
9.1 安全事件應急處置和報告
對個人信息控制者的要求包括:
a) 應制定個人信息安全事件應急預案;
b) 應定期(至少每年一次)組織內部相關人員進行應急響應培訓和應急演練,使其掌握崗位職責和應急處置策略和規程;
c) 發生個人信息安全事件后,個人信息控制者應根據應急響應預案進行以下處置:1) 記錄事件內容,包括但不限于:發現事件的人員、時間、地點,涉及的個人信息及人數,發生事件的系統名稱,對其他互聯系統的影響,是否已聯系執法機關或有關部門;2) 評估事件可能造成的影響,并采取必要措施控制事態,消除隱患;GB/T 35273—2017 12 3) 按《國家網絡安全事件應急預案》的有關規定及時上報,報告內容包括但不限于:涉及個人信息主體的類型、數量、內容、性質等總體情況,事件可能造成的影響,已采取或將要采取的處置措施,事件處置相關人員的聯系方式;4) 按照本標準9.2的要求實施安全事件的告知。
d) 根據相關法律法規變化情況,以及事件處置情況,及時更新應急預案。
