Standard

GB

工业控制网络安全风险评估规范(GB/T 26333-2010)                下载PDF

工业控制系统信息安全第1部分:评估规范(GB/T 30976.1-2014)

工业控制系统信息安全第2部分:验收规范(GB/T 30976.2-2014)

电力

电力二次系统安全防护规定                              查看详情

通知

关于加强工业控制系统信息安全管理的通知(工信部协[2011]451号)

关于开展电力工控PLC设备信息安全隐患排查及漏洞整改工作的通知(国能综安全[2013]387号)

我国已发布的工控安全标准

国家标准

  • GB/T 26333-2010《工业控制网络安全风险评估规范》

作为我国工控安全第一个国家标准,解决了我国工控安全标准空白的问题,实现了工控安全标准零的突破。此标准2011年发布实施,从发布时间上可以看出,我国关注工控安全的前辈们的高瞻远瞩。但是此标准并未推行起来,成为了事实上可有可无的标准,成为了工控安全标准界的先烈。究其原因,还是此标准无核心内容(核心内容都是直接引用其它标准),标准过于简单,可操作性低,导致此标准落地困难。建议相关单位对此标准进行修订。

  • GB/T 30976.1-2014《工业控制系统信息安全 第1部分:评估规范》

作为我国工控安全第一个有内容的国家标准,解决了我国工控安全无标准可依的窘境。《评估规范》分为管理评估和系统能力(技术)评估。管理评估宜对照风险接受准则和组织机构相关目标,识别、量化并区分风险的优先次序。风险评估的结果宜指导并确定适当的管理措施及其优先级,评估风险和选择控制措施的过程需要执行多次,以覆盖组织机构的不同部门或各个工业控制系统。管理评估分三个级别、系统能力(技术)评估分为四个级别。信息安全等级由系统能力等级和管理等级二维确定。

此评估标准实施过程中,还没有一套有效的方法论来指导用户单位确定自己需要的信息安全等级,或者政府未有一套信息安全等级评定的依据。目前阶段只能根据用户单位自己的自发需求来确定信息安全等级,然后根据用户单位确认的等级开展评估活动。

  • GB/T 30976.2-2014《工业控制系统信息安全 第2部分:验收规范》

此标准解决了我国工业控制系统信息安全验收上的空白,解决了验收有标准可依的困境。此标准的使用方是工业控制系统用户方,《验收规范》涉及到专业的安全测试,除电力和石油石化等大部分用户方在能力上不足以完成验收阶段的安全测试。因此需要借助第三方的测评力量来验收,就涉及到项目预算增加的问题。因此在做标准宣贯时,需要在立项阶段就考虑验收标准和费用的问题。

行业标准

在工控安全领用,电力行业2005年颁布的电监会5号令《电力二次系统安全防护规定》,“安全分区、网络专用、横向隔离、纵向认证”十六字深入人心。其次是石化、核电及烟草行业也有相应标准。

  • 电力行业:《电力二次系统安全防护规定》(电监会5号令)

我国工控安全的安全意识及优秀实践,起初都是参考电力行业的,电力行业的控制系统安全经验,对我国工控安全经验积累功不可没。《电力二次系统安全防护规定》(电监会5号令)于2014年9月1日废除,同时颁布了《电力监控系统安全防护规定》(发改委14号令)。

  • 石化行业:GB/T 50609-2010 《石油化工工厂信息系统设计规范》

此设计规范中要求网络之间需要采用安全隔离,2010年颁布的行业标准,算比较早重视工控信息安全的行业。

  • 核电行业:GB/T 13284.1-2008 《核电厂安全系统 第1部分 设计准则》
  • 核电行业:GB/T 13629-2008 《核电厂安全系统中数字计算机的适用准则》

《设计准则》提供了有关核电厂安全设计应遵循的准则。标准中规定了核电厂安全系统动力源、仪表和控制部分最低限度的功能和设计要求,标准适用于为防止或减轻设计基准事件后果、保护公众健康和安全所需要的那些系统。《适用准则》主要针对核电厂安全系统中数字计算机适用性制定的准则。

  • 烟草行业:YC/T 494-2014 《烟草工业企业生产网与管理网网络互联安全规范》

此标准主要规范烟草工业企业生产网与管理网之间的联网安全问题。

我国在研的工控安全标准

我国工业控制系统有如下在研标准:

标准类型 标准名字 归口单位
ICS安全管理标准 《信息安全技术 工业控制系统安全管理基本要求》 TC260
《信息安全技术 工业控制系统安全检查指南》 TC260
《信息安全技术 工业控制系统安全分级指南》 TC260
《信息安全技术 工业控制系统安全控制应用指南》 TC260
ICS产品及系统信息安全标准 《集散控制系统(DCS)安全防护要求》 TC124
《集散控制系统(DCS)安全管理要求》 TC124
《集散控制系统(DCS)安全评估指南》 TC124
《集散控制系统(DCS)风险与脆弱性检测要求》 TC124
《可编程逻辑控制器(PLC)系统信息安全要求》 TC124
《信息安全技术 工业控制系统测控终端安全要求》 TC260
《工控控制系统产品信息安全通用评估准则》 TC260
工控安全等级保护标准系列 TC260
《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》 TC260
ICS评估标准 《工业控制系统风险评估实施指南》 TC260
防护技术要求与测评标准 《信息安全技术 工业控制系统网络监测安全技术要求和测试评价方法》 TC260
《信息安全技术 工业控制系统漏洞检测技术要求》 TC260
《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》 TC260
《信息安全技术 工业控制系统网络审计产品安全技术要求》 TC260
《工业控制系统专用防火墙技术要求》 TC260

NIST

Industrial Control Systems (ICS) Security(SP 800-82)                下载PDF

IEC

IEC 62443

IEC 62351

NERC

NERC CIP

Leave a Reply

Your email address will not be published. Required fields are marked *