工控安全政策系列导读:信息安全技术 工业控制系统安全控制应用指南

简介:

2016年8月29日,国家质量监督检验检疫总局、国家标准化管理委员会正式发布《GB/T 32919 信息安全技术 工业控制系统安全控制应用指南》。(http://www.bz.bzko.com/bzxx/48889.html

该标准由全国信息安全标准化委员会(SAC/TC260)提出,全国信息安全标准化技术委员会归口管理。适用于工业控制系统拥有者、使用者、设计实现者以及信息安全管理部门,为工业控制系统信息安全设计、实现、整改工作提供指导,也为工业控制系统信息安全运行、风险评估和安全检查工作提供参考。方便规约工业控制系统的安全功能需求,为安全设计(包括安全体系结构设计)和安全实现奠定基础。

一、核心内容

  1. 安全控制概述

工业控制系统的安全与其它领域的安全是一样的,应用管理、运行和技术上的保护措施和对策,以保护工业控制系统及其信息的保密性、完整性和可用性等。应用这些控制的目的是,减少脆弱性或影响,抵御工业控制系统所面临的安全威胁,从而缓解工业控制系统的安全风险,以满足利益相关者的安全需要。

标准附录B中给出了可用于工业控制系统的安全控制列表。为了更方便地使用控制选择和规约过程,把控制概括为管理类、运行类和技术类,十八个族,每个族包含一些与该族的安全功能相关的安全控制。对于每项安全控制,有三方面的内容:

此项安全能力的简洁陈述,描述了要由组织或工业控制系统进行的与安全相关的活动或动作;提供了一些与此项安全控制相关的信息,指导组织在定义、开发和实现安全控制时适当地采用;对于需要更大保护的工业控制系统,提出控制增强措施。

  1. 安全控制基线及其设计

本标准结合工业控制系统基本特征(参见附录A),结合以往诸多工业控制系统的安全实践,将附录B中工业控制系统的安全控制集分为三个级别,统称为安全控制基线,即基于工业控制系统安全风险的影响程度对安全控制的一个分级,可作为规划工业控制系统中选择安全控制的一个起始点。附录C为三个级别的安全控制基线。

安全控制基线应用于以下两种情况:

第一种情况,基于工业控制系统的安全风险评估,按风险影响程度将工业控制系统划分为低影响系统、中影响系统和高影响系统。在这种情况下,低影响系统选择第一级安全控制基线;中影响系统选择第二级安全控制基线;高影响系统选择第三级安全控制基线。

第二种情况,通过定级划分准则(参见国标GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》),将工业控制系统划分为相应的安全等级。在这种情况下,1、2级系统选择第一级安全控制基线;3级系统选择第二级安全控制基线;4、5级系统选择第三级安全控制基线。

  1. 安全控制选择与规约

为了使组织的工业控制系统是安全的,就必须实施选择并规约安全控制和控制增强的过程,该过程包括以下三个子过程:

a) 选择初始安全控制基线;
b) 裁剪所选择的初始安全控制基线;
c) 补充经裁剪的安全控制基线。

安全控制选择过程应用。安全控制选择过程可从两个不同的角度,应用于组织的工业控制系统。一个角度是新系统的开发,另一个角度是在运行系统。

对于新开发系统,由于系统并不存在,并且组织没有进行初始的安全定级, 因此要从需求定义的视角来应用安全控制选择过程。包含在工业控制系统安全计划中的安全控制,作为组织的安全规格说明,应用在设计、开发、实现、运行等系统生命周期各阶段。

对于在运行系统,当系统本身或所面临的风险发生重大变更时,基于当前系统处理、存储和传输的不同业务类型,重新评估、确认系统安全级别,重新评审现有安全计划,分析当前使用的、相关联的安全控制与安全需求间的切合程度,调整的或重新制定安全计划中的安全控制。

  1. 工业控制系统基本特征及安全风险分析

附录A将工业控制系统与传统信息系统进行了对比,分析了信息系统安全威胁与防护措施对工业控制系统的影响,介绍了工业控制系统面临的威胁,从策略和规程、网络硬件、网络结构、网络边界、通信和无线连接、网络设备配置、工业控制系统平台硬件、工业控制系统平台软件、工业控制系统平台配置、工业控制系统平台病毒防护十个方面分析了工业控制系统脆弱性。

二、阅读体会

标准是ISO 27002在工控领域的具体应用,有较强的操作性。同时,标准较好地实现了工控安全与等级保护的衔接,提出了分级别的安全基线,并根据等级保护定级指南与基本要求,将安全基线的级别与等级保护的级别建立了对应关系。对于在工控领域落实等级保护政策有非常重要的意义。

让笔者觉得比较遗憾的,是本标准讨论工业控制系统安全的时候,将工业控制系统(ICS)当作一个通用术语,对相关术语、概念和模型在本标准未进行更系统深入的解释,也没有引用相关标准,使本标准的适用范围缺少直观生动的场景假设。

本标准的内容与GB/T 33007建立工业自动化和控制系统安全程序比较接近,发布时间相差不到两个月。两个标准的发展历程不同,引用与参考文档不同,使各自具有不同的特色。下面是两个标准的主要引用与参考文件说明。

GB/T 33007的引用与参考文件:

本标准(GB/T 32919)的引用文件:

本标准是由全国信息安全标准化委员会(SAC/TC260)提出的第一个工控安全标准,全国信息安全标准化委员会正在制订的工控安全标准还有工业控制系统信息安全分级规范、工业控制系统风险评估实施指南、工业控制系统安全管理基本要求等。全国信息安全标准化委员会在信息安全领域有很强的号照力、权威性和专业基础,而机械机械工业联合会在工业控制领域有很强的号照力、权威性和专业基础。

机械工业联合会多年以来一直关注工控系统安全,已经提出并被采纳为国家标准的包括:《GB/T 26333——2010工业控制网络安全风险评估规范》、《GB/T 30976-2014 工业控制系统信息安全》(该标准包括评估规范、验收规范两个部分)、《GBT 33009-2016 工业自动化和控制系统网络安全 集散控制系统(DCS) 》(该标准包括防护要求、管理要求、评估指南、风险与脆弱性检测要求四个部分),《GBT 33008.1-2016 工业自动化和控制系统网络安全 可编程序控制器(PLC) 第1部分:系统要求 》、《GBT 33007-2016 工业通信网络 网络和系统安全 建立工业自动化和控制系统安全程序》。

笔者认为,相关机构和职能部门进行更紧密的沟通协调,对工控安全有非常重要的意义。同时,有必要加强国家工控安全标准体系规划,做好各标准的定位和相互之间的衔接,做好与信息安全标准体系及相关国际标准的衔接。

三、阅读建议

对工控系统安全问题感兴趣,想有所了解的朋友,标准的附录A是当前能找到的最好的学习资料之一。

关注工控系统等级保护的朋友,一定要了解本标准。

本文转自d1net(转载)

目录
相关文章
|
6天前
|
存储 安全 物联网
网络防线之盾:洞悉网络安全与信息安全的关键要素
【5月更文挑战第7天】 在数字化时代,数据成为了新的黄金。然而,随之而来的是对网络安全和信息保障的严峻挑战。本文深入剖析了网络安全漏洞的本质、加密技术的最新进展以及提升安全意识的重要性,旨在为读者提供一个全面的视角,以理解和应对日益复杂的网络安全威胁。通过分析当前网络攻防战中的关键要素,我们将探索如何构建更为坚固的数据保护屏障,并保持信息资产的安全与完整。
|
6天前
|
安全 算法 网络安全
网络安全与信息安全:保护数据,共筑防线
【4月更文挑战第29天】 在数字化时代,网络安全与信息安全已成为维护社会稳定、保障个人隐私和商业秘密的关键。本文将深入探讨网络安全漏洞的概念、加密技术的进展以及提升安全意识的重要性,旨在为读者提供一个关于如何保护自身和组织不受网络威胁的全面视角。通过分析当前的挑战和解决方案,本文意在增强公众对网络空间脆弱性的认识,并推动更有效的安全措施的实施。
|
6天前
|
安全 算法 网络安全
保护数据、保障安全:网络安全与信息安全探析
在当今数字化时代,网络安全和信息安全的重要性愈发凸显。本文将探讨网络安全漏洞、加密技术以及安全意识等方面的知识,并提出一些应对措施,以加强个人和组织在网络空间的安全保障。
23 0
|
6天前
|
存储 人工智能 安全
网络安全与信息安全:防御前线的构筑与维护
【4月更文挑战第14天】在数字化时代,网络安全与信息安全已成为个人和企业不可忽视的重要议题。本文将深入探讨网络安全漏洞的概念、加密技术的进展以及提升安全意识的必要性。通过对网络攻击手段的分析,我们揭示了安全漏洞的本质及其对信息系统的潜在威胁。继而,文中细述了从古典到现代的加密技术,强调了它们在保护数据传输和存储中的核心地位。此外,文章还讨论了培养安全意识的有效途径,包括教育培训、模拟演练和安全政策的制定。通过全方位的分析和建议,旨在为读者提供一个关于如何构筑和维护网络安全防线的清晰蓝图。
|
6天前
|
存储 安全 网络安全
网络防线之盾:洞悉网络安全与信息安全的关键策略
在数字时代的浪潮中,网络安全和信息安全已成为维护数据完整性、确保信息传输可靠性的重要议题。本文将深入探讨网络安全漏洞的成因、加密技术的应用及提升安全意识的重要性,旨在为读者提供一套全面的策略以应对日益复杂的网络威胁,保障个人和企业的数字资产安全。
|
6天前
|
SQL 监控 安全
构筑网络堡垒:网络安全与信息安全的现代策略
随着数字时代的深入发展,网络安全和信息安全已成为维护社会稳定、保障个人隐私和商业秘密的核心议题。本文将探讨当前网络安全领域面临的挑战,包括不断涌现的安全漏洞、加密技术的最新进展以及提升公众安全意识的重要性。通过对这些方面的深入分析,旨在为读者提供一系列策略,以增强他们在数字环境中的防御能力。
19 1
|
6天前
|
机器学习/深度学习 人工智能 安全
网络堡垒的构筑者:洞悉网络安全与信息安全
【2月更文挑战第31天】 在数字化时代,网络安全与信息安全已成为维护信息完整性、确保数据流通安全的关键。本文深入探讨网络安全漏洞的概念、加密技术的进展以及提升安全意识的重要性,旨在为读者构建一个全面的网络与信息安全知识框架。通过对常见安全威胁的分析与防范策略的讨论,文章强调了个人与组织在维护数字空间安全中扮演的角色,并提出了未来网络安全发展趋势的预测。
|
6天前
|
存储 监控 安全
网络堡垒的构筑者:洞悉网络安全与信息安全的关键要素
【2月更文挑战第30天】在数字化时代,数据成为新的石油。然而,随着技术的飞速发展,网络安全威胁同样以惊人的速度增长。本文将深入探讨网络安全漏洞的本质、加密技术的重要性以及提升个人和企业安全意识的必要性。通过对这些关键元素的分析,旨在为读者提供一套加强信息资产防护的策略和思路。
|
8月前
|
监控 安全 容灾
网络信息安全之安全风险管理
在信息时代,信息已经成为第一战略资源,信息对组织使命的完成、组织目标的实现起着至关重要的作用,因此信息资产的安全是关系到该组织能否完成其使命的重大因素。资产与风险是对矛盾共同体,资产价值越高,面临的风险就越大。而对于目前的组织机构而言,由于组织的业务运营越来越依赖于信息资产,信息安全相关风险在组织整体风险中所占的比例也越来越高。信息安全风险管理的目的就是将风险控制到可接受的程度,保护信息及其相关资产,最终保障组织能够完成其使命,实现其目标。
123 0
|
云安全 安全 网络安全