ICS35.040 L80 中华人民共和国国家标准 GB/T32919—2016 信息安全技术 工业控制 系统安全控制应用指南 Informationsecuritytechnology— Applicationguidetoindustrialcontrolsystemsecuritycontrol 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅶ ………………………………………………………………………………………………………… 引言 Ⅷ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 安全控制概述 3 …………………………………………………………………………………………… 6 安全控制基线及其设计 6 ………………………………………………………………………………… 7 安全控制选择与规约 7 …………………………………………………………………………………… 7.1 选择与规约概述 7 …………………………………………………………………………………… 7.2 安全控制选择 7 ……………………………………………………………………………………… 7.3 安全控制裁剪 8 ……………………………………………………………………………………… 7.3.1 裁剪过程 8 ……………………………………………………………………………………… 7.3.2 界定范围的指导 8 ……………………………………………………………………………… 7.3.3 安全控制补偿 9 ………………………………………………………………………………… 7.3.4 安全控制参数赋值 9 …………………………………………………………………………… 7.4 安全控制补充 10 ……………………………………………………………………………………… 7.5 建立安全控制决策文档 11 …………………………………………………………………………… 8 安全控制选择过程应用 12 ………………………………………………………………………………… 附录A(资料性附录) 工业控制系统面临的安全风险 13 ………………………………………………… A.1 工业控制系统与传统信息系统对比 13 …………………………………………………………… A.2 信息系统安全威胁与防护措施对工业控制系统的影响 14 ……………………………………… A.3 工业控制系统面临的威胁 15 ……………………………………………………………………… A.4 工业控制系统脆弱性分析 16 ……………………………………………………………………… A.4.1 工业控制系统脆弱性概述 16 …………………………………………………………………… A.4.2 策略和规程脆弱性 16 …………………………………………………………………………… A.4.3 网络脆弱性 17 …………………………………………………………………………………… A.4.4 平台脆弱性 19 …………………………………………………………………………………… 附录B(资料性附录) 工业控制系统安全控制列表 22 …………………………………………………… B.1 规划(PL) 22 ………………………………………………………………………………………… B.1.1 安全规划策略和规程(PL-1) 22 ………………………………………………………………… B.1.2 系统安全规划(PL-2) 22 ………………………………………………………………………… B.1.3 行为规则(PL-3) 23 ……………………………………………………………………………… B.1.4 信息安全架构(PL-4) 23 ………………………………………………………………………… B.1.5 安全活动规划(PL-5) 24 ………………………………………………………………………… B.2 安全评估与授权(CA) 24 …………………………………………………………………………… ⅠGB/T32919—2016 B.2.1 安全评估与授权策略和规程(CA-1) 24 ………………………………………………………… B.2.2 安全评估(CA-2) 24 ……………………………………………………………………………… B.2.3 ICS连接管理(CA-3) 26 ………………………………………………………………………… B.2.4 实施计划(CA-4) 26 ……………………………………………………………………………… B.2.5 安全授权(CA-5) 27 ……………………………………………………………………………… B.2.6 持续监控(CA-6) 27 ……………………………………………………………………………… B.2.7 渗透测试(CA-7) 28 ……………………………………………………………………………… B.2.8 内部连接(CA-8) 28 ……………………………………………………………………………… B.3 风险评估(RA) 28 …………………………………………………………………………………… B.3.1 风险评估策略和规程(RA-1) 28 ……………………………………………………………… B.3.2 安全分类(RA-2) 29 …………………………………………………………………………… B.3.3 风险评估(RA-3) 29 …………………………………………………………………………… B.3.4 脆弱性扫描(RA-4) 29 ………………………………………………………………………… B.4 系统与服务获取(SA) 30 …………………………………………………………………………… B.4.1 系统与服务获取策略和规程(SA-1) 30 ………………………………………………………… B.4.2 资源分配(SA-2) 31 ……………………………………………………………………………… B.4.3 生存周期支持(SA-3) 31 ………………………………………………………………………… B.4.4 服务获取(SA-4) 31 ……………………………………………………………………………… B.4.5 系统文档(SA-5) 32 ……………………………………………………………………………… B.4.6 软件使用限制(SA-6) 33 ………………………………………………………………………… B.4.7 用户安装软件(SA-7) 33 ………………………………………………………………………… B.4.8 安全工程原则(SA-8) 33 ………………………………………………………………………… B.4.9 外部系统服务(SA-9) 34 ………………………………………………………………………… B.4.10 开发人员的配置管理(SA-10) 34 ……………………………………………………………… B.4.11 开发人员的安全测试(SA-11) 35 ……………………………………………………………… B.4.12 供应链保护(SA-12) 35 ………………………………………………………………………… B.4.13 可信赖性(SA-13) 36 …………………………………………………………………………… B.4.14 关键系统部件(SA-14) 36 ……………………………………………………………………… B.5 程序管理(PM) 36 …………………………………………………………………………………… B.5.1 程序管理计划(PM-1) 36 ……………………………………………………………………… B.5.2 信息安全高管(PM-2) 37 ……………………………………………………………………… B.5.3 信息安全资源(PM-3) 37 ……………………………………………………………………… B.5.4 行动和里程碑计划(PM-4) 37 ………………………………………………………………… B.5.5 安全资产清单(PM-5) 37 ……………………………………………………………………… B.5.6 安全性能度量(PM-6) 37 ……………………………………………………………………… B.5.7 组织架构(PM-7) 37 …………………………………………………………………………… B.5.8 关键基础设施计划(PM-8) 38 ………………………………………………………………… B.5.9 风险管理策略(PM-9) 38 ……………………………………………………………………… B.5.10