GB/T 32919-2016信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T32919—2016

信息安全技術(shù)工業(yè)控制

系統(tǒng)安全控制應(yīng)用指南

Informationsecuritytechnology—

Applicationguidetoindustrialcontrolsystemsecuritycontrol

2016-08-29發(fā)布2017-03-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T32919—2016

目次

前言

…………………………Ⅶ

引言

…………………………Ⅷ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………2

安全控制概述

5……………3

安全控制基線及其設(shè)計(jì)

6…………………6

安全控制選擇與規(guī)約

7……………………7

選擇與規(guī)約概述

7.1……………………7

安全控制選擇

7.2………………………7

安全控制裁剪

7.3………………………8

裁剪過程

7.3.1………………………8

界定范圍的指導(dǎo)

7.3.2………………8

安全控制補(bǔ)償

7.3.3…………………9

安全控制參數(shù)賦值

7.3.4……………9

安全控制補(bǔ)充

7.4………………………10

建立安全控制決策文檔

7.5……………11

安全控制選擇過程應(yīng)用

8…………………12

附錄資料性附錄工業(yè)控制系統(tǒng)面臨的安全風(fēng)險(xiǎn)

A()…………………13

工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)對(duì)比

A.1……………13

信息系統(tǒng)安全威脅與防護(hù)措施對(duì)工業(yè)控制系統(tǒng)的影響

A.2………14

工業(yè)控制系統(tǒng)面臨的威脅

A.3………………………15

工業(yè)控制系統(tǒng)脆弱性分析

A.4………………………16

工業(yè)控制系統(tǒng)脆弱性概述

A.4.1……………………16

策略和規(guī)程脆弱性

A.4.2……………16

網(wǎng)絡(luò)脆弱性

A.4.3……………………17

平臺(tái)脆弱性

A.4.4……………………19

附錄資料性附錄工業(yè)控制系統(tǒng)安全控制列表

B()……………………22

規(guī)劃

B.1(PL)…………………………22

安全規(guī)劃策略和規(guī)程

B.1.1(PL-1)…………………22

系統(tǒng)安全規(guī)劃

B.1.2(PL-2)…………22

行為規(guī)則

B.1.3(PL-3)………………23

信息安全架構(gòu)

B.1.4(PL-4)…………23

安全活動(dòng)規(guī)劃

B.1.5(PL-5)…………24

安全評(píng)估與授權(quán)

B.2(CA)……………24

Ⅰ

GB/T32919—2016

安全評(píng)估與授權(quán)策略和規(guī)程

B.2.1(CA-1)…………24

安全評(píng)估

B.2.2(CA-2)………………24

連接管理

B.2.3ICS(CA-3)…………26

實(shí)施計(jì)劃

B.2.4(CA-4)………………26

安全授權(quán)

B.2.5(CA-5)………………27

持續(xù)監(jiān)控

B.2.6(CA-6)………………27

滲透測(cè)試

B.2.7(CA-7)………………28

內(nèi)部連接

B.2.8(CA-8)………………28

風(fēng)險(xiǎn)評(píng)估

B.3(RA)……………………28

風(fēng)險(xiǎn)評(píng)估策略和規(guī)程

B.3.1(RA-1)………………28

安全分類

B.3.2(RA-2)……………29

風(fēng)險(xiǎn)評(píng)估

B.3.3(RA-3)……………29

脆弱性掃描

B.3.4(RA-4)…………29

系統(tǒng)與服務(wù)獲取

B.4(SA)……………30

系統(tǒng)與服務(wù)獲取策略和規(guī)程

B.4.1(SA-1)…………30

資源分配

B.4.2(SA-2)………………31

生存周期支持

B.4.3(SA-3)…………31

服務(wù)獲取

B.4.4(SA-4)………………31

系統(tǒng)文檔

B.4.5(SA-5)………………32

軟件使用限制

B.4.6(SA-6)…………33

用戶安裝軟件

B.4.7(SA-7)…………33

安全工程原則

B.4.8(SA-8)…………33

外部系統(tǒng)服務(wù)

B.4.9(SA-9)…………34

開發(fā)人員的配置管理

B.4.10(SA-10)………………34

開發(fā)人員的安全測(cè)試

B.4.11(SA-11)………………35

供應(yīng)鏈保護(hù)

B.4.12(SA-12)…………35

可信賴性

B.4.13(SA-13)……………36

關(guān)鍵系統(tǒng)部件

B.4.14(SA-14)………………………36

程序管理

B.5(PM)……………………36

程序管理計(jì)劃

B.5.1(PM-1)………………………36

信息安全高管

B.5.2(PM-2)………………………37

信息安全資源

B.5.3(PM-3)………………………37

行動(dòng)和里程碑計(jì)劃

B.5.4(PM-4)…………………37

安全資產(chǎn)清單

B.5.5(PM-5)………………………37

安全性能度量

B.5.6(PM-6)………………………37

組織架構(gòu)

B.5.7(PM-7)……………37

關(guān)鍵基礎(chǔ)設(shè)施計(jì)劃

B.5.8(PM-8)…………………38

風(fēng)險(xiǎn)管理策略

B.5.9(PM-9)………………………38

安全授權(quán)過程

B.5.10(PM-10)……………………38

業(yè)務(wù)流程定義

B.5.11(PM-11)……………………39

人員安全

B.6(PS)……………………39

人員安全策略和規(guī)程

B.6.1(PS-1)…………………39

崗位分類

B.6.2(PS-2)………………39

Ⅱ

GB/T32919—2016

人員審查

B.6.3(PS-3)………………40

人員離職

B.6.4(PS-4)………………40

人員調(diào)離

B.6.5(PS-5)………………40

訪問協(xié)議

B.6.6(PS-6)………………41

第三方人員安全

B.6.7(PS-7)………………………41

人員處罰

B.6.8(PS-8)………………42

物理與環(huán)境安全

B.7(PE)……………42

物理與環(huán)境安全策略和規(guī)程

B.7.1(PE-1)…………42

物理訪問授權(quán)

B.7.2(PE-2)…………42

物理訪問控制

B.7.3(PE-3)…………42

傳輸介質(zhì)的訪問控制

B.7.4(PE-4)…………………43

輸出設(shè)備的訪問控制

B.7.5(PE-5)…………………43

物理訪問監(jiān)控

B.7.6(PE-6)…………43

訪問日志

B.7.7(PE-7)………………44

電力設(shè)備與電纜

B.7.8(PE-8)………………………44

緊急停機(jī)

B.7.9(PE-9)………………44

應(yīng)急電源

B.7.10(PE-10)……………45

應(yīng)急照明

B.7.11(PE-11)……………45

消防

B.7.12(PE-12)…………………45

溫濕度控制

B.7.13(PE-13)…………45

防水

B.7.14(PE-14)…………………46

交付和移除

B.7.15(PE-15)…………46

備用工作場(chǎng)所

B.7.16(PE-16)………………………46

防雷

B.7.17(PE-17)…………………46

電磁防護(hù)

B.7.18(PE-18)……………46

信息泄露

B.7.19(PE-19)……………47

人員和設(shè)備追蹤

B.7.20(PE-20)……………………47

應(yīng)急計(jì)劃

B.8(CP)……………………47

應(yīng)急計(jì)劃策略和規(guī)程

B.8.1(CP-1)…………………47

應(yīng)急計(jì)劃

B.8.2(CP-2)………………47

應(yīng)急計(jì)劃培訓(xùn)

B.8.3(CP-3)…………48

應(yīng)急計(jì)劃測(cè)試和演練

B.8.4(CP-4)…………………48

備用存儲(chǔ)設(shè)備

B.8.5(CP-5)…………49

備用處理設(shè)備

B.8.6(CP-6)…………49

通信服務(wù)

B.8.7(CP-7)………………50

系統(tǒng)備份

B.8.8(CP-8)………………50

系統(tǒng)恢復(fù)與重建

B.8.9(CP-9)………………………50

配置管理

B.9(CM)……………………51

配置管理策略和規(guī)程

B.9.1(CM-1)………………51

基線配置

B.9.2(CM-2)……………51

配置變更

B.9.3(CM-3)……………52

安全影響分析

B.9.4(CM-4)………………………53

變更的訪問限制

B.9.5(CM-5)……………………53

Ⅲ

GB/T32919—2016

配置設(shè)置

B.9.6(CM-6)……………54

最小功能

B.9.7(CM-7)……………54

系統(tǒng)組件清單

B.9.8(CM-8)………………………55

配置管理計(jì)劃

B.9.9(CM-9)………………………55

維護(hù)

B.10(MA)………………………56

維護(hù)策略和規(guī)程

B.10.1(MA-1)……………………56

受控維護(hù)

B.10.2(MA-2)……………56

維護(hù)工具

B.10.3(MA-3)……………57

遠(yuǎn)程維護(hù)

B.10.4(MA-4)……………57

維護(hù)人員

B.10.5(MA-5)……………58

及時(shí)維護(hù)

B.10.6(MA-6)……………58

系統(tǒng)與信息完整性

B.11(SI)…………58

系統(tǒng)與信息完整性策略和規(guī)程

B.11.1(SI-1)………58

缺陷修復(fù)

B.11.2(SI-2)………………59

惡意代碼防護(hù)

B.11.3(SI-3)…………59

系統(tǒng)監(jiān)控

B.11.4(SI-4)………………60

安全報(bào)警

B.11.5(SI-5)………………61

安全功能驗(yàn)證

B.11.6(SI-6)…………61

軟件和信息完整性

B.11.7(SI-7)……………………62

輸入驗(yàn)證

B.11.8(SI-8)………………62

錯(cuò)誤處理

B.11.9(SI-9)………………62

信息處理和留存

B.11.10(SI-10)……………………63

可預(yù)見失效預(yù)防

B.11.11(SI-11)……………………63

輸出信息過濾

B.11.12(SI-12)………………………63

內(nèi)存防護(hù)

B.11.13(SI-13)……………64

故障安全程序

B.11.14(SI-14)………………………64

入侵檢測(cè)和防護(hù)

B.11.15(SI-15)……………………64

介質(zhì)保護(hù)

B.12(MP)……………………64

介質(zhì)保護(hù)策略和規(guī)程

B.12.1(MP-1)………………64

介質(zhì)訪問

B.12.2(MP-2)……………65

介質(zhì)標(biāo)記

B.12.3(MP-3)……………65

介質(zhì)存儲(chǔ)

B.12.4(MP-4)……………65

介質(zhì)傳輸

B.12.5(MP-5)……………65

介質(zhì)銷毀

B.12.6(MP-6)……………66

介質(zhì)使用

B.12.7(MP-7)……………66

事件響應(yīng)

B.13(IR)……………………67

事件響應(yīng)策略和規(guī)程

B.13.1(IR-1)………………67

事件響應(yīng)培訓(xùn)

B.13.2(IR-2)………………………67

事件響應(yīng)測(cè)試與演練

B.13.3(IR-3)………………67

事件處理

B.13.4(IR-4)……………68

事件監(jiān)控

B.13.5(IR-5)……………68

事件報(bào)告

B.13.6(IR-6)……………69

事件響應(yīng)支持

B.13.7(IR-7)………………………69

Ⅳ

GB/T32919—2016

事件響應(yīng)計(jì)劃

B.13.8(IR-8)………………………69

教育培訓(xùn)

B.14(AT)……………………70

教育培訓(xùn)策略和規(guī)程

B.14.1(AT-1)………………70

安全意識(shí)培訓(xùn)

B.14.2(AT-2)………………………70

基于角色的安全培訓(xùn)

B.14.3(AT-3)………………70

安全培訓(xùn)記錄

B.14.4(AT-4)………………………71

標(biāo)識(shí)與鑒別

B.15(IA)…………………71

標(biāo)識(shí)與鑒別策略和規(guī)程

B.15.1(IA-1)……………71

組織內(nèi)用戶的標(biāo)識(shí)與鑒別

B.15.2(IA-2)…………71

設(shè)備標(biāo)識(shí)與鑒別

B.15.3(IA-3)……………………72

標(biāo)識(shí)符管理

B.15.4(IA-4)…………73

鑒別符管理

B.15.5(IA-5)…………73

鑒別反饋

B.15.6(IA-6)……………74

密碼模塊鑒別

B.15.7(IA-7)………………………74

組織外用戶的標(biāo)識(shí)與鑒別

B.15.8(IA-8)…………75

訪問控制

B.16(AC)……………………75

訪問控制策略和規(guī)程

B.16.1(AC-1)………………75

賬戶管理

B.16.2(AC-2)……………75

強(qiáng)制訪問控制

B.16.3(AC-3)………………………76

信息流強(qiáng)制訪問控制

B.16.4(AC-4)………………77

職責(zé)分離

B.16.5(AC-5)……………78

最小授權(quán)

B.16.6(AC-6)……………78

失敗登錄控制

B.16.7(AC-7)………………………79

系統(tǒng)使用提示

B.16.8(AC-8)………………………80

以前訪問提示

B.16.9(AC-9)………………………80

并發(fā)會(huì)話控制

B.16.10(AC-10)……………………80

會(huì)話鎖定

B.16.11(AC-11)…………80

會(huì)話終止

B.16.12(AC-12)…………81

未標(biāo)識(shí)鑒別的許可行為

B.16.13(AC-13)…………81

遠(yuǎn)程訪問

B.16.14(AC-14)…………82

無線訪問

B.16.15(AC-15)…………83

移動(dòng)設(shè)備的訪問控制

B.16.16(AC-16)……………83

外部系統(tǒng)的使用

B.16.17(AC-17)…………………84

信息共享

B.16.18(AC-18)…………84

審計(jì)與問責(zé)

B.17(AU)…………………85

審計(jì)與問責(zé)策略和規(guī)程

B.17.1(AU-1)……………85

審計(jì)事件

B.17.2(AU-2)……………85

審計(jì)記錄的內(nèi)容

B.17.3(AU-3)……………………85

審計(jì)存儲(chǔ)能力

B.17.4(AU-4)………………………86

審計(jì)失效響應(yīng)

B.17.5(AU-5)………………………86

審計(jì)信息的監(jiān)控分析和報(bào)告

B.17.6、(AU-6)……………………87

審計(jì)簡(jiǎn)化和報(bào)告生成

B.17.7(AU-7)………………87

時(shí)間戳

B.17.8(AU-8)………………87

Ⅴ

GB/T32919—2016

審計(jì)信息保護(hù)

B.17.9(AU-9)………………………87

抗抵賴

B.17.10(AU-10)……………88

審計(jì)信息保留

B.17.11(AU-11)……………………88

審計(jì)生成

B.17.12(AU-12)…………88

系統(tǒng)與通信保護(hù)

B.18(SC)……………89

系統(tǒng)與通信保護(hù)策略和規(guī)程

B.18.1(SC-1)………89

應(yīng)用分區(qū)

B.18.2(SC-2)……………89

安全功能隔離

B.18.3(SC-3)………………………90

共享資源中的信息

B.18.4(SC-4)…………………90

拒絕服務(wù)防護(hù)

B.18.5(SC-5)………………………90

資源優(yōu)先級(jí)

B.18.6(SC-6)…………91

邊界保護(hù)

B.18.7(SC-7)……………91

傳輸完整性

B.18.8(SC-8)…………93

傳輸機(jī)密性

B.18.9(SC-9)…………93

網(wǎng)絡(luò)中斷

B.18.10(SC-10)…………94

密鑰建立與管理

B.18.11(SC-11)…………………94

密碼技術(shù)的使用

B.18.12(SC-12)…………………