ICS25.040 N10 中华人民共和国国家标准 GB/T30976.1—2014 工 工业控制系统信息安全 第1部分:评估规范 Industrialcontrolsystemsecurity—Part1:Assessmentspecification 2014-07-24发布 2015-02-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语、定义和缩略语 1 ……………………………………………………………………………………… 3.1 术语和定义 1 ………………………………………………………………………………………… 3.2 缩略语 3 ……………………………………………………………………………………………… 4 工业控制系统信息安全概述 3 …………………………………………………………………………… 4.1 总则 3 ………………………………………………………………………………………………… 4.2 危险引入点 3 ………………………………………………………………………………………… 4.3 传播途径 4 …………………………………………………………………………………………… 4.4 危险后果的受体及其影响 4 ………………………………………………………………………… 4.5 工业控制系统信息安全评估的内容概述 5 ………………………………………………………… 4.6 评估结果 6 …………………………………………………………………………………………… 5 组织机构管理评估 7 ……………………………………………………………………………………… 5.1 安全方针 7 …………………………………………………………………………………………… 5.2 信息安全组织机构 8 ………………………………………………………………………………… 5.3 资产管理 14 …………………………………………………………………………………………… 5.4 人力资源安全 17 ……………………………………………………………………………………… 5.5 物理和环境安全 21 …………………………………………………………………………………… 5.6 通信和操作管理 26 …………………………………………………………………………………… 5.7 访问控制 40 …………………………………………………………………………………………… 5.8 信息系统获取、开发和维护 52 ……………………………………………………………………… 5.9 信息安全事件管理 60 ………………………………………………………………………………… 5.10 业务连续性管理 63 ………………………………………………………………………………… 5.11 符合性 66 …………………………………………………………………………………………… 6 系统能力(技术)评估 71 …………………………………………………………………………………… 6.1 基本要求(FR)、系统要求(SR)和系统能力等级(CL)的说明 71 ………………………………… 6.2 FR1:标识和认证控制 71 …………………………………………………………………………… 6.3 FR2:使用控制 77 …………………………………………………………………………………… 6.4 FR3:系统完整性 83 ………………………………………………………………………………… 6.5 FR4:数据保密性 87 ………………………………………………………………………………… 6.6 FR5:限制的数据流 88 ……………………………………………………………………………… 6.7 FR6:对事件的及时响应 91 ………………………………………………………………………… 6.8 FR7:资源可用性 91 ………………………………………………………………………………… 7 评估程序 95 ………………………………………………………………………………………………… 7.1 评估工作过程 95 ……………………………………………………………………………………… 7.2 评估方法的确定 96 …………………………………………………………………………………… ⅠGB/T30976.1—2014 8 工业控制系统生命周期各阶段的风险评估 98 …………………………………………………………… 8.1 生命周期概述 98 ……………………………………………………………………………………… 8.2 规划阶段的风险评估 98 ……………………………………………………………………………… 8.3 设计阶段的风险评估 98 ……………………………………………………………………………… 8.4 实施阶段的风险评估 99 ……………………………………………………………………………… 8.5 运行维护阶段的风险评估 99 ………………………………………………………………………… 8.6 废弃阶段的风险评估 100 …………………………………………………………………………… 9 评估报告的格式要求 100 ………………………………………………………………………………… 附录A(规范性附录) 管理评估列表 102 ………………………………………………………………… 附录B(规范性附录) 系统能力(技术)评估列表 109 …………………………………………………… 附录C(资料性附录) 风险评估工具和工业控制系统常见的测试内容 113 …………………………… 参考文献 117 …………………………………………………………………………………………………… 图1 风险可接受的程度 6 …………………………………………………………………………………… 表1 后果造成的侵害等级 4 ………………………………………………………………………………… 表2 工业控制系统的评估结果 7 …………………………………………………………………………… 表3 评估的主要流程 95 …………………………………………………………………………………… 表A.1 信息安全管理评估列表 102 ………………………………………………………………………… 表B.1 系统要求和增强要求与安全等级的映射 109 ……………………………………………………… ⅡGB/T30976.1—2014 前 言 GB/T30976《工业控制系统信息安全》分为两个部分: ———第1部分:评估规范; ———第2部分:验收规范。 本部分为GB/T30976的第1部分。 本部分按照GB/T1.1—2009给出的规则起草。 本部分由中国机械工业联合会提出。 本部分由全国工业过程测量和控制标准化技术委员会(SAC/TC124)和全国信息安全标准化技术 委员会(SAC/TC260)归口。 本部分起草单位:机械工业仪器仪表综合技术经济研究所、中国电子技术标准化研究院、北京和利 时系统工程有限公司、中国核电工程有限公司、上海自动化仪表股份有限公司、东土科技股份有限公司、 中国电力科学研究院、清华大学、西门子(中国)有限公司、浙江大学、西南大学、重庆邮电大学、施耐德电 气(中国)有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克韦尔自动化 (中国)有限公司、中国仪器仪表学会、中国科学院沈阳自动化研究所、无线网络安全技术国家工程实验 室、西安西电捷通无线网络通信股份有限公司、中央办公厅电子科技学院、北京海泰方圆科技有限公司、 青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、北京力控华康科技有限公司、广 东航宇卫星科技有限公司、华北电力设计院工程有限公司、华为技术有限公司、三菱电机自动化(中国) 有限公司、中标软件有限公司、横河电机(中国)有限公司北京研发中心。 本部分主要起草人:王玉敏、唐一鸿、隋爱芬、罗安、吕冬宝、张建军、薛百华、陈小淙、高昆仑、王雪、 冯冬芹、刘枫、王浩、周纯杰、陈小枫、华镕、张莉、宋岩、李琴、夏德海、胡亚楠、王雄、胡伯良、梅恪、 刘安正、田雨聪、方亮、马欣欣、张建勋、杨应良、丁露、王勇、杜佳琳、王亦君、陈日罡、张涛、王玉裴、 刘利民、丁青芝、刘文龙、钱晓斌、朱镜灵、张智、龚明、何佳、杨磊。 ⅢGB/T30976.1—2014 工业控制系统信息安全 第1部分:评估规范 1 范围 GB/T30976的本部分规定了工业控制系统(SCADA,DCS,PLC,PCS等)信息安全评估的目标、评 估的内容、实施过程等。 本部分适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人以及评估认证机 构等对工业控制系统的信息安全进行评估时使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T22081—2008 信息技术 安全技术 信息安全管理实用规则(ISO/IEC27002:200