Standard

GB

工业控制网络安全风险评估规范(GB/T 26333-2010)                下载PDF

工业控制系统信息安全第1部分:评估规范(GB/T 30976.1-2014)

工业控制系统信息安全第2部分:验收规范(GB/T 30976.2-2014)

电力

电力二次系统安全防护规定                              查看详情

通知

关于加强工业控制系统信息安全管理的通知(工信部协[2011]451号)

关于开展电力工控PLC设备信息安全隐患排查及漏洞整改工作的通知(国能综安全[2013]387号)

我国已发布的工控安全标准

国家标准

  • GB/T 26333-2010《工业控制网络安全风险评估规范》

作为我国工控安全第一个国家标准,解决了我国工控安全标准空白的问题,实现了工控安全标准零的突破。此标准2011年发布实施,从发布时间上可以看出,我国关注工控安全的前辈们的高瞻远瞩。但是此标准并未推行起来,成为了事实上可有可无的标准,成为了工控安全标准界的先烈。究其原因,还是此标准无核心内容(核心内容都是直接引用其它标准),标准过于简单,可操作性低,导致此标准落地困难。建议相关单位对此标准进行修订。

  • GB/T 30976.1-2014《工业控制系统信息安全 第1部分:评估规范》

作为我国工控安全第一个有内容的国家标准,解决了我国工控安全无标准可依的窘境。《评估规范》分为管理评估和系统能力(技术)评估。管理评估宜对照风险接受准则和组织机构相关目标,识别、量化并区分风险的优先次序。风险评估的结果宜指导并确定适当的管理措施及其优先级,评估风险和选择控制措施的过程需要执行多次,以覆盖组织机构的不同部门或各个工业控制系统。管理评估分三个级别、系统能力(技术)评估分为四个级别。信息安全等级由系统能力等级和管理等级二维确定。

此评估标准实施过程中,还没有一套有效的方法论来指导用户单位确定自己需要的信息安全等级,或者政府未有一套信息安全等级评定的依据。目前阶段只能根据用户单位自己的自发需求来确定信息安全等级,然后根据用户单位确认的等级开展评估活动。

  • GB/T 30976.2-2014《工业控制系统信息安全 第2部分:验收规范》

此标准解决了我国工业控制系统信息安全验收上的空白,解决了验收有标准可依的困境。此标准的使用方是工业控制系统用户方,《验收规范》涉及到专业的安全测试,除电力和石油石化等大部分用户方在能力上不足以完成验收阶段的安全测试。因此需要借助第三方的测评力量来验收,就涉及到项目预算增加的问题。因此在做标准宣贯时,需要在立项阶段就考虑验收标准和费用的问题。

行业标准

在工控安全领用,电力行业2005年颁布的电监会5号令《电力二次系统安全防护规定》,“安全分区、网络专用、横向隔离、纵向认证”十六字深入人心。其次是石化、核电及烟草行业也有相应标准。

  • 电力行业:《电力二次系统安全防护规定》(电监会5号令)

我国工控安全的安全意识及优秀实践,起初都是参考电力行业的,电力行业的控制系统安全经验,对我国工控安全经验积累功不可没。《电力二次系统安全防护规定》(电监会5号令)于2014年9月1日废除,同时颁布了《电力监控系统安全防护规定》(发改委14号令)。

  • 石化行业:GB/T 50609-2010 《石油化工工厂信息系统设计规范》

此设计规范中要求网络之间需要采用安全隔离,2010年颁布的行业标准,算比较早重视工控信息安全的行业。

  • 核电行业:GB/T 13284.1-2008 《核电厂安全系统 第1部分 设计准则》
  • 核电行业:GB/T 13629-2008 《核电厂安全系统中数字计算机的适用准则》

《设计准则》提供了有关核电厂安全设计应遵循的准则。标准中规定了核电厂安全系统动力源、仪表和控制部分最低限度的功能和设计要求,标准适用于为防止或减轻设计基准事件后果、保护公众健康和安全所需要的那些系统。《适用准则》主要针对核电厂安全系统中数字计算机适用性制定的准则。

  • 烟草行业:YC/T 494-2014 《烟草工业企业生产网与管理网网络互联安全规范》

此标准主要规范烟草工业企业生产网与管理网之间的联网安全问题。

我国在研的工控安全标准

我国工业控制系统有如下在研标准:

标准类型 标准名字 归口单位
ICS安全管理标准 《信息安全技术 工业控制系统安全管理基本要求》 TC260
《信息安全技术 工业控制系统安全检查指南》 TC260
《信息安全技术 工业控制系统安全分级指南》 TC260
《信息安全技术 工业控制系统安全控制应用指南》 TC260
ICS产品及系统信息安全标准 《集散控制系统(DCS)安全防护要求》 TC124
《集散控制系统(DCS)安全管理要求》 TC124
《集散控制系统(DCS)安全评估指南》 TC124
《集散控制系统(DCS)风险与脆弱性检测要求》 TC124
《可编程逻辑控制器(PLC)系统信息安全要求》 TC124
《信息安全技术 工业控制系统测控终端安全要求》 TC260
《工控控制系统产品信息安全通用评估准则》 TC260
工控安全等级保护标准系列 TC260
《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》 TC260
ICS评估标准 《工业控制系统风险评估实施指南》 TC260
防护技术要求与测评标准 《信息安全技术 工业控制系统网络监测安全技术要求和测试评价方法》 TC260
《信息安全技术 工业控制系统漏洞检测技术要求》 TC260
《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》 TC260
《信息安全技术 工业控制系统网络审计产品安全技术要求》 TC260
《工业控制系统专用防火墙技术要求》 TC260

NIST

Industrial Control Systems (ICS) Security(SP 800-82)                下载PDF

IEC

IEC 62443

IEC 62351

NERC

NERC CIP

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

最新工业控制系统漏洞

ICS-CERT Advisory Feed
Philips PageWriter TC10, TC20, TC30, TC50, and TC70 Cardiographs

This medical device advisory includes mitigation recommendations for improper input validation and use of hard-coded credentials vulnerabilities in Ph. . . read more Thu, 16 Aug 2018 10:10:15 EDT

Emerson DeltaV DCS Workstations

This advisory includes mitigation recommendations for uncontrolled search path element, relative path traversal, improper privilege management, and st. . . read more Thu, 16 Aug 2018 10:05:11 EDT

Tridium Niagara

This advisory was originally posted to the HSIN ICS-CERT library on July 10, 2018, and is being released to the NCCIC/ICS-CERT website. This advisory. . . read more Thu, 16 Aug 2018 10:00:55 EDT

Philips IntelliSpace Cardiovascular Vulnerabilities

This medical advisory includes mitigation recommendations for improper privilege management and unquoted search path vulnerabilities in Philips'. . . read more Tue, 14 Aug 2018 10:15:11 EDT

Siemens SIMATIC STEP 7 and SIMATIC WinCC

This advisory includes mitigation recommendations for incorrect default permissions vulnerabilities in Siemens' STEP 7 and SIMATIC WinCC TIA Port. . . read more Tue, 14 Aug 2018 10:10:11 EDT

Siemens OpenSSL Vulnerability in Industrial Products

This advisory includes mitigations for OpenSSL vulnerabilities reported in various Siemens industrial products.. . . read more Tue, 14 Aug 2018 10:05:47 EDT

Siemens Automation License Manager

This advisory includes mitigation recommendations for relative path traversal and improper input validation vulnerabilities in Siemens' Automatio. . . read more Tue, 14 Aug 2018 10:00:11 EDT

Crestron TSW-X60 and MC3

This advisory includes mitigation recommendations for OS command injection, improper access control, and insufficiently protected credentials vulnerab. . . read more Thu, 09 Aug 2018 10:05:01 EDT

NetComm Wireless 4G LTE Light Industrial M2M Router

This advisory includes mitigation recommendations for information exposure, cross-site forgery, cross-site scripting, and information exposure through. . . read more Thu, 09 Aug 2018 10:00:01 EDT

Medtronic MyCareLink 24950 Patient Monitor

This medical device advisory includes mitigation recommendations for insufficient verification of data authenticity and storing passwords in a recover. . . read more Tue, 07 Aug 2018 10:10:31 EDT

Medtronic MiniMed 508 Insulin Pump

This medical device advisory includes mitigation recommendations for cleartext transmission of sensitive information and authentication bypass by capt. . . read more Tue, 07 Aug 2018 10:05:37 EDT

Delta Electronics CNCSoft and ScreenEditor

This advisory includes mitigation recommendations for stack-based buffer overflow and out-of-bounds read vulnerabilities in Delta Electronics' CN. . . read more Tue, 07 Aug 2018 10:00:01 EDT

Davolink DVW-3200N

This advisory includes mitigation recommendations for a use of password hash with insufficient computational effort vulnerability in the Davolink DVW-. . . read more Tue, 31 Jul 2018 10:20:41 EDT

Johnson Controls Metasys and BCPro

This advisory includes mitigation recommendations for an information exposure through an error message vulnerability in Johnson Controls' Metasys. . . read more Tue, 31 Jul 2018 10:15:01 EDT

WECON LeviStudioU

This advisory includes mitigation recommendations for stack-based buffer overflow and heap-based buffer overflow vulnerabilities in WECON's LeviS. . . read more Tue, 31 Jul 2018 10:10:01 EDT

AVEVA InTouch Access Anywhere

This advisory includes mitigation recommendations for a cross-site scripting vulnerability in the outdated and insecure third-party jQuery library use. . . read more Tue, 31 Jul 2018 10:05:20 EDT

AVEVA Wonderware License Server

This advisory includes mitigation recommendations for an improper restriction of operations within the bounds of a memory buffer vulnerability in the. . . read more Tue, 31 Jul 2018 10:00:30 EDT

AVEVA InduSoft Web Studio and InTouch Machine Edition

This advisory includes mitigation recommendations for a stack-based buffer overflow vulnerability in AVEVA's InduSoft Web Studio and InTouch Mach. . . read more Thu, 19 Jul 2018 10:15:17 EDT

AVEVA InTouch

This advisory includes mitigation recommendations for a stack-based buffer overflow vulnerability in AVEVA's InTouch HMI software.. . . read more Thu, 19 Jul 2018 10:10:01 EDT

Echelon SmartServer 1, SmartServer 2, SmartServer 3, i.LON 100, i.LON 600

This advisory includes mitigation recommendations for information exposure, authentication bypass using an alternate path or channel, unprotected stor. . . read more Thu, 19 Jul 2018 10:05:16 EDT