GB-T 32919-2016 信息安全技术 工业控制系统安全控制应用指南.pdf

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T3 2 9 1 92 0 1 6信息安全技术 工业控制系统安全控制应用指南I n f o r m a t i o ns e c u r i t y t e c h n o l o g yA p p l i c a t i o ng u i d e t o i n d u s t r i a l c o n t r o l s y s t e ms e c u r i t yc o n t r o l2 0 1 6-0 8-2 9发布2 0 1 7-0 3-0 1实施中华人民共和国国家质量监督检验检疫总局中

2、国 国 家 标 准 化 管 理 委 员 会发 布目 次前言引言1 范围12 规范性引用文件13 术语和定义14 缩略语25 安全控制概述36 安全控制基线及其设计67 安全控制选择与规约7 7.1 选择与规约概述7 7.2 安全控制选择7 7.3 安全控制裁剪8 7.3.1 裁剪过程8 7.3.2 界定范围的指导8 7.3.3 安全控制补偿9 7.3.4 安全控制参数赋值9 7.4 安全控制补充1 0 7.5 建立安全控制决策文档1 18 安全控制选择过程应用1 2附录A(资料性附录)工业控制系统面临的安全风险1 3 A.1 工业控制系统与传统信息系统对比1 3 A.2 信息系统安全威胁与防护

3、措施对工业控制系统的影响1 4 A.3 工业控制系统面临的威胁1 5 A.4 工业控制系统脆弱性分析1 6 A.4.1 工业控制系统脆弱性概述1 6 A.4.2 策略和规程脆弱性1 6 A.4.3 网络脆弱性1 7 A.4.4 平台脆弱性1 9附录B(资料性附录)工业控制系统安全控制列表2 2 B.1 规划(P L)2 2 B.1.1 安全规划策略和规程(P L-1)2 2 B.1.2 系统安全规划(P L-2)2 2 B.1.3 行为规则(P L-3)2 3 B.1.4 信息安全架构(P L-4)2 3 B.1.5 安全活动规划(P L-5)2 4 B.2 安全评估与授权(C A)2 4G

4、B/T3 2 9 1 92 0 1 6 B.2.1 安全评估与授权策略和规程(C A-1)2 4 B.2.2 安全评估(C A-2)2 4 B.2.3 I C S连接管理(C A-3)2 6 B.2.4 实施计划(C A-4)2 6 B.2.5 安全授权(C A-5)2 7 B.2.6 持续监控(C A-6)2 7 B.2.7 渗透测试(C A-7)2 8 B.2.8 内部连接(C A-8)2 8 B.3 风险评估(R A)2 8 B.3.1 风险评估策略和规程(R A-1)2 8 B.3.2 安全分类(R A-2)2 9 B.3.3 风险评估(R A-3)2 9 B.3.4 脆弱性扫描(R

5、A-4)2 9 B.4 系统与服务获取(S A)3 0 B.4.1 系统与服务获取策略和规程(S A-1)3 0 B.4.2 资源分配(S A-2)3 1 B.4.3 生存周期支持(S A-3)3 1 B.4.4 服务获取(S A-4)3 1 B.4.5 系统文档(S A-5)3 2 B.4.6 软件使用限制(S A-6)3 3 B.4.7 用户安装软件(S A-7)3 3 B.4.8 安全工程原则(S A-8)3 3 B.4.9 外部系统服务(S A-9)3 4 B.4.1 0 开发人员的配置管理(S A-1 0)3 4 B.4.1 1 开发人员的安全测试(S A-1 1)3 5 B.4.1

6、 2 供应链保护(S A-1 2)3 5 B.4.1 3 可信赖性(S A-1 3)3 6 B.4.1 4 关键系统部件(S A-1 4)3 6 B.5 程序管理(PM)3 6 B.5.1 程序管理计划(PM-1)3 6 B.5.2 信息安全高管(PM-2)3 7 B.5.3 信息安全资源(PM-3)3 7 B.5.4 行动和里程碑计划(PM-4)3 7 B.5.5 安全资产清单(PM-5)3 7 B.5.6 安全性能度量(PM-6)3 7 B.5.7 组织架构(PM-7)3 7 B.5.8 关键基础设施计划(PM-8)3 8 B.5.9 风险管理策略(PM-9)3 8 B.5.1 0 安全授

7、权过程(PM-1 0)3 8 B.5.1 1 业务流程定义(PM-1 1)3 9 B.6 人员安全(P S)3 9 B.6.1 人员安全策略和规程(P S-1)3 9 B.6.2 岗位分类(P S-2)3 9G B/T3 2 9 1 92 0 1 6 B.6.3 人员审查(P S-3)4 0 B.6.4 人员离职(P S-4)4 0 B.6.5 人员调离(P S-5)4 0 B.6.6 访问协议(P S-6)4 1 B.6.7 第三方人员安全(P S-7)4 1 B.6.8 人员处罚(P S-8)4 2 B.7 物理与环境安全(P E)4 2 B.7.1 物理与环境安全策略和规程(P E-1)

8、4 2 B.7.2 物理访问授权(P E-2)4 2 B.7.3 物理访问控制(P E-3)4 2 B.7.4 传输介质的访问控制(P E-4)4 3 B.7.5 输出设备的访问控制(P E-5)4 3 B.7.6 物理访问监控(P E-6)4 3 B.7.7 访问日志(P E-7)4 4 B.7.8 电力设备与电缆(P E-8)4 4 B.7.9 紧急停机(P E-9)4 4 B.7.1 0 应急电源(P E-1 0)4 5 B.7.1 1 应急照明(P E-1 1)4 5 B.7.1 2 消防(P E-1 2)4 5 B.7.1 3 温湿度控制(P E-1 3)4 5 B.7.1 4 防水

9、(P E-1 4)4 6 B.7.1 5 交付和移除(P E-1 5)4 6 B.7.1 6 备用工作场所(P E-1 6)4 6 B.7.1 7 防雷(P E-1 7)4 6 B.7.1 8 电磁防护(P E-1 8)4 6 B.7.1 9 信息泄露(P E-1 9)4 7 B.7.2 0 人员和设备追踪(P E-2 0)4 7 B.8 应急计划(C P)4 7 B.8.1 应急计划策略和规程(C P-1)4 7 B.8.2 应急计划(C P-2)4 7 B.8.3 应急计划培训(C P-3)4 8 B.8.4 应急计划测试和演练(C P-4)4 8 B.8.5 备用存储设备(C P-5)4

10、 9 B.8.6 备用处理设备(C P-6)4 9 B.8.7 通信服务(C P-7)5 0 B.8.8 系统备份(C P-8)5 0 B.8.9 系统恢复与重建(C P-9)5 0 B.9 配置管理(CM)5 1 B.9.1 配置管理策略和规程(CM-1)5 1 B.9.2 基线配置(CM-2)5 1 B.9.3 配置变更(CM-3)5 2 B.9.4 安全影响分析(CM-4)5 3 B.9.5 变更的访问限制(CM-5)5 3G B/T3 2 9 1 92 0 1 6 B.9.6 配置设置(CM-6)5 4 B.9.7 最小功能(CM-7)5 4 B.9.8 系统组件清单(CM-8)5 5

11、 B.9.9 配置管理计划(CM-9)5 5 B.1 0 维护(MA)5 6 B.1 0.1 维护策略和规程(MA-1)5 6 B.1 0.2 受控维护(MA-2)5 6 B.1 0.3 维护工具(MA-3)5 7 B.1 0.4 远程维护(MA-4)5 7 B.1 0.5 维护人员(MA-5)5 8 B.1 0.6 及时维护(MA-6)5 8 B.1 1 系统与信息完整性(S I)5 8 B.1 1.1 系统与信息完整性策略和规程(S I-1)5 8 B.1 1.2 缺陷修复(S I-2)5 9 B.1 1.3 恶意代码防护(S I-3)5 9 B.1 1.4 系统监控(S I-4)6 0

12、B.1 1.5 安全报警(S I-5)6 1 B.1 1.6 安全功能验证(S I-6)6 1 B.1 1.7 软件和信息完整性(S I-7)6 2 B.1 1.8 输入验证(S I-8)6 2 B.1 1.9 错误处理(S I-9)6 2 B.1 1.1 0 信息处理和留存(S I-1 0)6 3 B.1 1.1 1 可预见失效预防(S I-1 1)6 3 B.1 1.1 2 输出信息过滤(S I-1 2)6 3 B.1 1.1 3 内存防护(S I-1 3)6 4 B.1 1.1 4 故障安全程序(S I-1 4)6 4 B.1 1.1 5 入侵检测和防护(S I-1 5)6 4 B.1

13、2 介质保护(MP)6 4 B.1 2.1 介质保护策略和规程(MP-1)6 4 B.1 2.2 介质访问(MP-2)6 5 B.1 2.3 介质标记(MP-3)6 5 B.1 2.4 介质存储(MP-4)6 5 B.1 2.5 介质传输(MP-5)6 5 B.1 2.6 介质销毁(MP-6)6 6 B.1 2.7 介质使用(MP-7)6 6 B.1 3 事件响应(I R)6 7 B.1 3.1 事件响应策略和规程(I R-1)6 7 B.1 3.2 事件响应培训(I R-2)6 7 B.1 3.3 事件响应测试与演练(I R-3)6 7 B.1 3.4 事件处理(I R-4)6 8 B.1

14、3.5 事件监控(I R-5)6 8 B.1 3.6 事件报告(I R-6)6 9 B.1 3.7 事件响应支持(I R-7)6 9G B/T3 2 9 1 92 0 1 6 B.1 3.8 事件响应计划(I R-8)6 9 B.1 4 教育培训(AT)7 0 B.1 4.1 教育培训策略和规程(AT-1)7 0 B.1 4.2 安全意识培训(AT-2)7 0 B.1 4.3 基于角色的安全培训(AT-3)7 0 B.1 4.4 安全培训记录(AT-4)7 1 B.1 5 标识与鉴别(I A)7 1 B.1 5.1 标识与鉴别策略和规程(I A-1)7 1 B.1 5.2 组织内用户的标识与鉴

15、别(I A-2)7 1 B.1 5.3 设备标识与鉴别(I A-3)7 2 B.1 5.4 标识符管理(I A-4)7 3 B.1 5.5 鉴别符管理(I A-5)7 3 B.1 5.6 鉴别反馈(I A-6)7 4 B.1 5.7 密码模块鉴别(I A-7)7 4 B.1 5.8 组织外用户的标识与鉴别(I A-8)7 5 B.1 6 访问控制(A C)7 5 B.1 6.1 访问控制策略和规程(A C-1)7 5 B.1 6.2 账户管理(A C-2)7 5 B.1 6.3 强制访问控制(A C-3)7 6 B.1 6.4 信息流强制访问控制(A C-4)7 7 B.1 6.5 职责分离(

16、A C-5)7 8 B.1 6.6 最小授权(A C-6)7 8 B.1 6.7 失败登录控制(A C-7)7 9 B.1 6.8 系统使用提示(A C-8)8 0 B.1 6.9 以前访问提示(A C-9)8 0 B.1 6.1 0 并发会话控制(A C-1 0)8 0 B.1 6.1 1 会话锁定(A C-1 1)8 0 B.1 6.1 2 会话终止(A C-1 2)8 1 B.1 6.1 3 未标识鉴别的许可行为(A C-1 3)8 1 B.1 6.1 4 远程访问(A C-1 4)8 2 B.1 6.1 5 无线访问(A C-1 5)8 3 B.1 6.1 6 移动设备的访问控制(A

17、C-1 6)8 3 B.1 6.1 7 外部系统的使用(A C-1 7)8 4 B.1 6.1 8 信息共享(A C-1 8)8 4 B.1 7 审计与问责(AU)8 5 B.1 7.1 审计与问责策略和规程(AU-1)8 5 B.1 7.2 审计事件(AU-2)8 5 B.1 7.3 审计记录的内容(AU-3)8 5 B.1 7.4 审计存储能力(AU-4)8 6 B.1 7.5 审计失效响应(AU-5)8 6 B.1 7.6 审计信息的监控、分析和报告(AU-6)8 7 B.1 7.7 审计简化和报告生成(AU-7)8 7 B.1 7.8 时间戳(AU-8)8 7G B/T3 2 9 1

18、92 0 1 6 B.1 7.9 审计信息保护(AU-9)8 7 B.1 7.1 0 抗抵赖(AU-1 0)8 8 B.1 7.1 1 审计信息保留(AU-1 1)8 8 B.1 7.1 2 审计生成(AU-1 2)8 8 B.1 8 系统与通信保护(S C)8 9 B.1 8.1 系统与通信保护策略和规程(S C-1)8 9 B.1 8.2 应用分区(S C-2)8 9 B.1 8.3 安全功能隔离(S C-3)9 0 B.1 8.4 共享资源中的信息(S C-4)9 0 B.1 8.5 拒绝服务防护(S C-5)9 0 B.1 8.6 资源优先级(S C-6)9 1 B.1 8.7 边界保

19、护(S C-7)9 1 B.1 8.8 传输完整性(S C-8)9 3 B.1 8.9 传输机密性(S C-9)9 3 B.1 8.1 0 网络中断(S C-1 0)9 4 B.1 8.1 1 密钥建立与管理(S C-1 1)9 4 B.1 8.1 2 密码技术的使用(S C-1 2)9 4 B.1 8.1 3 公共访问保护(S C-1 3)9 5 B.1 8.1 4 安全属性的传输(S C-1 4)9 5 B.1 8.1 5 证书管理(S C-1 5)9 5 B.1 8.1 6 移动代码(S C-1 6)9 5 B.1 8.1 7 会话鉴别(S C-1 7)9 6 B.1 8.1 8 已知状

20、态中的失效(S C-1 8)9 6 B.1 8.1 9 剩余信息保护(S C-1 9)9 7 B.1 8.2 0 执行程序隔离(S C-2 0)9 7附录C(规范性附录)工业控制系统安全控制基线9 8参考文献1 0 5G B/T3 2 9 1 92 0 1 6前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。本标准起草单位:国家信息技术安全研究中心、中国电子技术标准化研究院、中国电监会信息中心、中国电力科学研究院、无锡市同威科技有限公司、深圳赛西信息技术有限公司。本标准主要起草人:李京春、范科峰、李冰

21、、王永忠、宫亚峰、刘贤刚、方进社、姚相振、周睿康、唐一鸿、徐金伟、魏方方、王宏、葛培勤、刘鸿运、胡红升、温红子、高昆仑、赵婷、陈雪鸿、詹雄、梁潇、宋斌、庞宁、彭恒斌。G B/T3 2 9 1 92 0 1 6引 言 工业控制系统(I C S)包括监控和数据采集系统(S C A D A)、分布式控制系统(D C S)、可编程逻辑控制器(P L C)等产品 在核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域得到了广泛的应用。随着信息技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件

22、,以各种方式与互联网等公共网络连接,传统信息系统所面临的病毒、木马等威胁正在向工业控制系统领域不断扩散,工业控制系统的信息安全问题日益突出。工业控制系统安全控制应用指南是针对各行业使用的工业控制系统给出的安全控制应用基本方法,是指导选择、裁剪、补偿和补充工业控制系统安全控制,形成适合组织需要的安全控制基线,以满足组织对工业控制系统安全需求,实现对工业控制系统进行适度、有效的风险控制管理。本标准适用于工业控制系统拥有者、使用者、设计实现者以及信息安全管理部门,为工业控制系统信息安全设计、实现、整改工作提供指导,也为工业控制系统信息安全运行、风险评估和安全检查工作提供参考。G B/T3 2 9 1

23、 92 0 1 6信息安全技术 工业控制系统安全控制应用指南1 范围本标准提供了可用于工业控制系统的安全控制列表,规约了工业控制系统的安全控制选择过程,以便构造工业控制系统的安全程序 一种概念层面上的安全解决方案。本标准适用于:a)方便规约工业控制系统的安全功能需求,为安全设计(包括安全体系结构设计)和安全实现奠定有力的基础。b)指导工业控制系统安全整改中安全能力的调整和提高,以便能使工业控制系统保持持续安全性。本标准的适用对象是组织中负责工业控制系统建设的组织者、负责信息安全工作的实施者和其他从事信息安全工作的相关人员。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用

24、文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。G B/T2 2 2 4 02 0 0 8 信息安全技术 信息系统安全等级保护定级指南G B/T2 5 0 6 92 0 1 0 信息安全技术 术语3 术语和定义G B/T2 5 0 6 92 0 1 0界定的以及下列术语和定义适用于本文件。3.1 工业控制系统 i n d u s t r i a l c o n t r o l s y s t e m;I C S工业控制系统(I C S)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(S C A D A)、分布式控

25、制系统(D C S)和其他较小的控制系统,如可编程逻辑控制器(P L C),现已广泛应用在工业部门和关键基础设施中。3.2 监控和数据采集系统 s u p e r v i s o r yc o n t r o l a n dd a t aa c q u i s i t i o ns y s t e m;S C A D A在工业生产控制过程中,对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据采集与监控管理的控制系统。它以计算机为基础、对远程分布运行设备进行监控调度,其主要功能包括数据采集、参数测量和调节、信号报警等。S C A D A系统一般由设在控制中心的 主终端控制 单元(MT

26、U)、通信线路和设备、远程终端单元(R TU)等组成。3.3 分布式控制系统 d i s t r i b u t i o nc o n t r o l s y s t e m;D C S以计算机为基础,在系统内部(组织内部)对生产过程进行分布控制、集中管理的系统。D C S系统一般包括现场控制级、控制管理级两个层次,现场控制级主要是对单个子过程进行控制,控制管理级主1G B/T3 2 9 1 92 0 1 6要是对多个分散的子过程进行调度管理、数据采集和集中显示。3.4 可编程逻辑控制器 p r o g r a mm a b l e l o g i cc o n t r o l l e r;P

27、 L C采用可编程存储器,通过数字运算操作对工业生产装备进行控制的电子设备。P L C主要执行各类运算、顺序控制、定时执行等指令,用于控制工业生产装备的动作,是工业控制系统的主要基础单元。3.5 安全控制 s e c u r i t yc o n t r o l应用于工业控制系统的管理、运行和技术上的防护措施和对策,以保护工业控制系统及其信息的保密性、完整性和可用性等。3.6 安全程序 s e c u r i t yp r o g r a m在工业控制系统的安全建设中,为满足组织安全需求和安全目的,适当采选的一组有序的安全控制集。3.7 安全控制族 s e c u r i t yc o n t

28、 r o l f a m i l y本标准将相关主题的安全控制作为一个安全控制族,所有的安全控制分成1 8个安全控制族,即:规划(P L)、安全评估与授权(C A)、风险评估(R A)、系统与服务获取(S A)、程序管理(PM)、人员安全(P S)、物理与环境安全(P E)、应急计划(C P)、配置管理(CM)、维护(MA)、系统与信息完整性(S I)、介质保护(MP)、事件响应(I R)、教育培训(AT)、标识与鉴别(I A)、访问控制(A C)、审计与问责(AU)、系统与通信保护(S C)。3.8 安全控制基线 s e c u r i t yc o n t r o l b a s e l

29、i n e安全控制基线是安全控制选择过程的起始点,是为帮助组织选择满足安全需求的、最具成本效益的、适当的安全控制集而制定的最低安全基准线。4 缩略语下列缩略语适用于本文件。I C S工业控制系统(I n d u s t r i a lC o n t r o lS y s t e m)S C A D A监控和数据采集系统(S u p e r v i s o r yC o n t r o l a n dD a t aA c q u i s i t i o n)D C S分布式控制系统(D i s t r i b u t e dC o n t r o lS y s t e m)P C S过程控制系统

30、(P r o c e s sC o n t r o lS y s t e m)P L C可编程逻辑控制器(P r o g r a mm a b l eL o g i cC o n t r o l l e r)R TU远程终端单元(R e m o t eT e r m i n a lU n i t)I E D智能电子设备(I n t e l l i g e n tE l e c t r o n i cD e v i c e)D R P灾难恢复计划(D i s a s t e rR e c o v e r yP l a n n i n g)A C L访问控制列表(A c c e s sC o n

31、t r o lL i s t)D N S域名系统(D o m a i nN a m eS y s t e m)DHC P动态主机配置协议(D y n a m i cH o s tC o n f i g u r a t i o nP r o t o c o l)D N P分布式网络协议(D i s t r i b u t e dN e t w o r kP r o t o c o l)R P C远程过程调用协议(R e m o t eP r o c e d u r eC a l lP r o t o c o l)D C OM分布式组件对象模式(M i c r o s o f tD i s t r

32、 i b u t e dC o m p o n e n tO b j e c tM o d e l)O P C用于过程控制的对象连接与嵌入(O b j e c tL i n k i n ga n dEm b e d d i n gf o rP r o c e s sC o n t r o l)2G B/T3 2 9 1 92 0 1 6P A D个人数字助手,又称掌上电脑(P e r s o n a lD i g i t a lA s s i s t a n t)D o S拒绝服务(D e n i a l o fS e r v i c e)C V E通用漏洞列表(C o mm o nV u l

33、 n e r a b i l i t i e sa n dE x p o s u r e s)OVA L脆弱性评估语言(O p e nV u l n e r a b i l i t yA s s e s s m e n tL a n g u a g e)E A L评估保证级(E v a l u a t i o nA s s u r a n c eL e v e l)P K I公钥基础设施(P u b l i cK e yI n f r a s t r u c t u r e)A C访问控制(A c c e s sC o n t r o l)AT教育培训(Aw a r e n e s sa n dT r a i n i n g)AU审计与问责(A u d i t a n dA c c o u n t a b i l i t y)C A安全评估与授权(S e c u r i t yA s s