GB/T 33007-2016工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動化和控制系統(tǒng)安全程序

ICS2504040

N10..

中華人民共和國國家標(biāo)準(zhǔn)

GB/T33007—2016/IEC62443-2-12010

:

工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全

建立工業(yè)自動化和控制

系統(tǒng)安全程序

Industrialcommunicationnetworks—Networkandsystemsecurity—

Establishinganindustrialautomationandcontrol

systemsecurityprogram

(IEC62443-2-1:2010,Industrialcommunicationnetworks—

Networkandsystemsecurity—

Part2-1:Establishinganindustrialautomationand

controlsystemsecurityprogram,IDT)

2016-10-13發(fā)布2017-05-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T33007—2016/IEC62443-2-12010

:

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義縮略語和約定

3、………………1

術(shù)語和定義

3.1…………………………1

縮略語和縮略詞

3.2……………………5

約定

3.3…………………7

網(wǎng)絡(luò)安全管理系統(tǒng)的元素

4………………7

概述

4.1…………………7

類別風(fēng)險分析

4.2:………………………9

類別采用處理風(fēng)險

4.3:CSMS………………………10

類別監(jiān)視與改進(jìn)

4.4:CSMS…………24

附錄規(guī)范性附錄元素開發(fā)指導(dǎo)

A()CSMS……………27

概述

A.1………………27

類別風(fēng)險分析

A.2:……………………28

類別用解決風(fēng)險

A.3:SCSMS………………………49

分類監(jiān)視和提高

A.4:CSMS………………………100

附錄資料性附錄開發(fā)的過程

B()CSMS……………106

概述

B.1………………106

過程的描述

B.2………………………106

活動初始化項目

B.3:CSMS………………………107

活動高級風(fēng)險評估

B.4:………………107

過程的描述

B.5………………………108

活動建立安全策略組織和意識

B.6:,………………109

活動措施選擇和實施

B.7:……………111

活動維護(hù)

B.8:CSMS………………111

附錄資料性附錄與要求的映射

C()ISO/IEC27001………………113

概述

C.1………………113

本標(biāo)準(zhǔn)同的映射

C.2ISO/IEC27001:2005………113

同本標(biāo)準(zhǔn)的映射

C.3ISO/IEC27001:2005…………117

參考文獻(xiàn)

……………………121

圖網(wǎng)絡(luò)安全管理系統(tǒng)元素的圖形化視圖

1………………8

圖風(fēng)險分析類別的圖形化視圖

2…………9

圖元素組安全策略組織的圖形化視圖

3:、、……………11

Ⅰ

GB/T33007—2016/IEC62443-2-12010

:

圖元素組選擇的安全措施的圖形化視圖

4:……………15

圖元素組實現(xiàn)的圖形表示

5……………20

圖圖形視圖類監(jiān)視與改進(jìn)

6:CSMS……………………24

圖網(wǎng)絡(luò)安全管理系統(tǒng)的元素的圖形視圖

A.1…………28

圖類別風(fēng)險分析的圖形視圖

A.2:………………………28

圖年至年計算機(jī)系統(tǒng)遭受攻擊的數(shù)量報導(dǎo)來源

A.319982004(:CERT)…………31

圖數(shù)據(jù)采集樣品的邏輯單

A.4IACS……………………41

圖形象的邏輯網(wǎng)絡(luò)控制圖的例子

A.5…………………44

圖元素組的圖形視圖安全政策組織和意識

A.6:、……………………49

圖元素組的圖形視圖選定的安全措施

A.7:……………61

圖一個分段結(jié)構(gòu)的參考結(jié)構(gòu)例圖

A.8…………………67

圖參考架構(gòu)與分割結(jié)構(gòu)示例

A.9SCADA……………69

圖訪問控制賬戶管理

A.10:……………71

圖訪問控制認(rèn)證

A.11:…………………74

圖訪問控制授權(quán)

A.12:…………………78

圖實施方案圖表

A.13……………………80

圖安全等級生命周期模型評估階段

A.14:……………82

圖企業(yè)安全區(qū)域模板結(jié)構(gòu)

A.15…………84

圖安全區(qū)域

A.16IACS…………………85

圖安全等級生命周期模式開發(fā)與實現(xiàn)階段

A.17:……………………87

圖安全等級生命周期維護(hù)階段

A.18:…………………90

圖分類的圖示計算機(jī)安全管理系統(tǒng)的監(jiān)控與改進(jìn)

A.19:……………100

圖建立一個的頂級活動

B.1CSMS……………………106

圖活動和活動的依賴關(guān)系初始化項目

B.2:CSMS…………………107

圖活動及活動的從屬高等級風(fēng)險評估

B.3:…………108

圖活動和活動相關(guān)性詳細(xì)風(fēng)險評估

B.4:……………109

圖活動和活動相關(guān)性建立安全策略組織和意識

B.5:,………………109

圖培訓(xùn)和組織職責(zé)分配

B.6……………110

圖活動和活動相關(guān)性措施選擇和實施

B.7:…………111

圖活動和活動相關(guān)性維護(hù)

B.8:CSMS………………112

表商業(yè)理念需求

1:………………………9

表風(fēng)險識別分類和評估需求

2、:………………………10

表范圍需求

3CSMS:……………………12

表安全的組織需求

4:……………………12

表員工培訓(xùn)和安全意識需求

5:…………13

表業(yè)務(wù)連續(xù)性計劃需求

6:………………13

表安全策略和規(guī)程需求

7:………………14

表人員安全需求

8:………………………16

表物理和環(huán)境安全需求

9:………………17

表網(wǎng)絡(luò)劃分需求

10………………………17

表訪問控制賬戶管理需求

11-:…………18

表訪問控制認(rèn)證需求

12-:………………19

Ⅱ

GB/T33007—2016/IEC62443-2-12010

:

表訪問控制授權(quán)需求

13-:………………20

表風(fēng)險管理與實現(xiàn)的需求

14……………21

表系統(tǒng)開發(fā)與維護(hù)的需求

15……………21

表信息和文件管理的需求

16……………22

表事件規(guī)劃與響應(yīng)的需求

17……………23

表一致性需求

18:………………………25

表審查改進(jìn)和維護(hù)的的需求

19、CSMS………………25

表典型的可能性集

A.1…………………38

表典型的后果集

A.2……………………39

表典型的風(fēng)險級別矩陣

A.3……………39

表基于風(fēng)險等級的應(yīng)對防護(hù)措施示例

A.4IACS……………………81

表資產(chǎn)評價結(jié)果實例

A.5IACS…………83

表資產(chǎn)評價結(jié)果和風(fēng)險等級實例

A.6IACS……………83

表的目標(biāo)安全等級

A.7IACS……………85

表本標(biāo)準(zhǔn)的要求到的參考映射

C.1ISO/IEC27001:2005…………113

表要求與本標(biāo)準(zhǔn)的映射

C.2ISO/IEC27001…………117

Ⅲ

GB/T33007—2016/IEC62443-2-12010

:

前言

本標(biāo)準(zhǔn)按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫和

GB/T1.1—2009《1:》GB/T20000.2—

標(biāo)準(zhǔn)化工作指南第部分采用國際標(biāo)準(zhǔn)給出的規(guī)則起草

2009《2:》。

本標(biāo)準(zhǔn)使用翻譯法等同采用工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第部分

IEC62443-2-1:2010《2-1:

建立工業(yè)自動化和控制系統(tǒng)安全程序英文版其技術(shù)內(nèi)容文本結(jié)構(gòu)以及表達(dá)形式與

》()。、

完全等同

IEC62443-2-1:2010。

為了方便使用本標(biāo)準(zhǔn)作了下列編輯性修改

,:

刪除了原文中的前言

———;

將介紹部分的內(nèi)容作為本標(biāo)準(zhǔn)的引言

———;

如果不做說明文中的安全都是指網(wǎng)絡(luò)安全

———,“”“”。

本標(biāo)準(zhǔn)由中國機(jī)械工業(yè)聯(lián)合會提出

。

本標(biāo)準(zhǔn)由全國工業(yè)過程測量控制和自動化標(biāo)準(zhǔn)化技術(shù)委員會和全國信息安全標(biāo)準(zhǔn)

(SAC/TC124)

化技術(shù)委員會歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所中國電子技術(shù)標(biāo)準(zhǔn)化研究院中國電力

:、、

科學(xué)研究院中國核電工程有限公司上海自動化儀表股份有限公司北京交通大學(xué)東土科技股份有限

、、、、

公司清華大學(xué)西門子中國有限公司浙江大學(xué)西南大學(xué)重慶郵電大學(xué)施耐德電氣中國有限公

、、()、、、、()

司北京鋼鐵設(shè)計研究總院華中科技大學(xué)北京奧斯汀科技有限公司羅克韋爾自動化中國有限公

、、、、()

司中國儀器儀表學(xué)會北京和利時系統(tǒng)工程有限公司工業(yè)和信息化部電子第五研究所中國科學(xué)院沈

、、、、

陽自動化研究所北京海泰方圓科技有限公司青島多芬諾信息安全技術(shù)有限公司北京國電智深控制

、、、

技術(shù)有限公司北京力控華康科技有限公司廣東航宇衛(wèi)星科技有限公司華北電力設(shè)計院工程有限公

、、、

司華為技術(shù)有限公司啟明星辰中國電子科技集團(tuán)公司第三十研究所深圳萬訊自控股份有限公司

、、、、、

中標(biāo)軟件有限公司橫河電機(jī)中國有限公司北京研發(fā)中心

、()。

本標(biāo)準(zhǔn)主要起草人王玉敏范科峰梁瀟馮冬芹王亦君華镕陳小淙張建軍薛百華許斌

:、、、、、、、、、、

高昆侖王雪劉楓王浩夏德海周純杰張莉王弢劉杰孫昕徐皚冬朱毅明孫靜胡伯良梅恪

、、、、、、、、、、、、、、、

劉安正田雨聰方亮馬欣欣王勇杜佳琳陳日罡李銳劉利民孔勇劉文龍李琳黃敏朱鏡靈

、、、、、、、、、、、、、、

張智何佳張建勛孟雅輝蘭昆成繼勛丁露陳小楓楊應(yīng)良楊磊

、、、、、、、、、。

Ⅴ

GB/T33007—2016/IEC62443-2-12010

:

引言

01概述

.

網(wǎng)絡(luò)安全是一個在現(xiàn)代組織中日益重要的話題多年來許多涉及信息技術(shù)和業(yè)務(wù)的組織一直在

。,

關(guān)注網(wǎng)絡(luò)安全并且按照和標(biāo)準(zhǔn)已經(jīng)建立了行之有效的網(wǎng)絡(luò)安全管理系統(tǒng)見

,ISOIEC(CSMS)(

和這些管理系統(tǒng)為組織機(jī)構(gòu)提供了一種行之有效的方法

ISO/IEC17799[23]1ISO/IEC27001[24]),

來保護(hù)其資產(chǎn)免受網(wǎng)絡(luò)攻擊

。

工業(yè)自動化控制系統(tǒng)組織已經(jīng)開始在日常流程中使用為業(yè)務(wù)系統(tǒng)開發(fā)的商用現(xiàn)成技術(shù)

(IACS)

這使得設(shè)備受到網(wǎng)絡(luò)攻擊的可能性隨之增加由于多方面的原因在對抗網(wǎng)絡(luò)攻擊方

(COTS),IACS。,

面這些系統(tǒng)通常不如專為環(huán)境設(shè)計的系統(tǒng)那么健壯這些弱點可能導(dǎo)致健康安全和環(huán)境方面

IACS。、

的后果

(HSE)。

在沒有理解這些后果的情況下組織可能會試圖使用已有的信息技術(shù)和業(yè)務(wù)安全方案來解決

,

的安全問題盡管許多解決方案可以應(yīng)用到但是需要采取正確的方式以消除不良后果

IACS。IACS,。

02IACS的網(wǎng)絡(luò)安全管理系統(tǒng)

.

管理系統(tǒng)通常提供管理系統(tǒng)中應(yīng)包括什么的指導(dǎo)但不提供關(guān)于如何去開發(fā)管理體系的指導(dǎo)本

,。

標(biāo)準(zhǔn)為闡述的包含的元素同時也提供如何為開發(fā)的指導(dǎo)

IACSCSMS,IACSCSMS。

面對一個具有挑戰(zhàn)性的問題時一個非常常見的工程方法是將問題分解成更小的子問題按照分治

,,

方式解決每個子問題這是解決網(wǎng)絡(luò)安全風(fēng)險的合理途徑然而在解決網(wǎng)絡(luò)安全方面常犯的

。IACS。,

錯誤是試圖用一套系統(tǒng)一次解決所有的網(wǎng)絡(luò)安全問題網(wǎng)絡(luò)安全是一個更大的挑戰(zhàn)需要考慮整個

,。,

以及環(huán)繞和利用的政策規(guī)程實踐和人員實施這樣大范圍的管理系統(tǒng)可能需要組織內(nèi)

IACSIACS、、。

部的文化變革

。

在整個組織范圍的基礎(chǔ)上解決網(wǎng)絡(luò)安全是一項艱巨的任務(wù)但是對于安全來說沒有現(xiàn)成的解決

。,

方案這很容易理解因為沒有適合所有情況的安全實踐理論上絕對的安全也許能實現(xiàn)但是這很可

。,。,

能是不可取的因為要達(dá)到這樣近乎完美的狀態(tài)必然要損失實用性安全實際上是一個風(fēng)險和成本的

,。

平衡所有的情況有所不同在某些情況下風(fēng)險可能與因素有關(guān)而不是單純的經(jīng)濟(jì)影響風(fēng)

。。,HSE。

險可能帶來不可恢復(fù)的后果而不是暫時性的財務(wù)挫折因此一個強(qiáng)制性安全實踐的解決方案集要么過

。

于嚴(yán)格費用昂貴無法遵循要么不足以應(yīng)對風(fēng)險

,,。

03本標(biāo)準(zhǔn)與ISO/IEC17799和ISO/IEC27001的關(guān)系

.

和是描述業(yè)務(wù)信息技術(shù)系統(tǒng)的網(wǎng)絡(luò)安全管理系統(tǒng)的優(yōu)秀

ISO/IEC17799[23]ISO/IEC27001[24]/

標(biāo)準(zhǔn)這些標(biāo)準(zhǔn)中的內(nèi)容大部分也適用于該標(biāo)準(zhǔn)強(qiáng)調(diào)網(wǎng)絡(luò)安全實踐的管理與業(yè)務(wù)信息

。IACS。IACS/

技術(shù)系統(tǒng)網(wǎng)絡(luò)安全的管理之間需保持一致這些程序的一致性可以節(jié)約開銷該標(biāo)準(zhǔn)鼓勵用戶閱讀

。。

和獲得額外的支持信息本標(biāo)準(zhǔn)基于這些標(biāo)準(zhǔn)制定強(qiáng)調(diào)

ISO/IEC17799ISO/IEC27001。ISO/IEC,

和一般業(yè)務(wù)信息技術(shù)系統(tǒng)的重要差異本標(biāo)準(zhǔn)引入一個重要的概念的網(wǎng)絡(luò)安全風(fēng)險可

IACS/。,IACS

能帶來影響應(yīng)與其他現(xiàn)有風(fēng)險管理實踐結(jié)合來應(yīng)對這些風(fēng)險

HSE,。

Ⅵ

GB/T33007—2016/IEC62443-2-12010

:

工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全

建立工業(yè)自動化和控制

系統(tǒng)安全程序

1范圍

本標(biāo)準(zhǔn)規(guī)定了如何在工業(yè)自動化和控制系統(tǒng)中建立網(wǎng)絡(luò)安全管理系統(tǒng)并且提供了如何開

(IACS),

發(fā)這些元素的指南本標(biāo)準(zhǔn)與中描述的相比其定義和范圍更廣泛

。IEC62443-1-1IACS,。

本標(biāo)準(zhǔn)中描述的中的元素主要是政策過程規(guī)程以及與人員相關(guān)的內(nèi)容描述了在組織范

CSMS、、,

圍內(nèi)最終的將要包括或應(yīng)當(dāng)包括哪些內(nèi)容

CSMS。

注1系列標(biāo)準(zhǔn)和參考文獻(xiàn)中的其他文檔討論了有關(guān)安全的更細(xì)致的具體的技術(shù)和方案

:IEC62443