GB/T 33007-2016工業(yè)通信網(wǎng)絡 網(wǎng)絡和系統(tǒng)安全建立工業(yè)自動化和控制系統(tǒng)安全程序

ICS2504040

N10..

中華人民共和國國家標準

GB/T33007—2016/IEC62443-2-12010

:

工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全

建立工業(yè)自動化和控制

系統(tǒng)安全程序

Industrialcommunicationnetworks—Networkandsystemsecurity—

Establishinganindustrialautomationandcontrol

systemsecurityprogram

(IEC62443-2-1:2010,Industrialcommunicationnetworks—

Networkandsystemsecurity—

Part2-1:Establishinganindustrialautomationand

controlsystemsecurityprogram,IDT)

2016-10-13發(fā)布2017-05-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T33007—2016/IEC62443-2-12010

:

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義縮略語和約定

3、………………1

術語和定義

3.1…………………………1

縮略語和縮略詞

3.2……………………5

約定

3.3…………………7

網(wǎng)絡安全管理系統(tǒng)的元素

4………………7

概述

4.1…………………7

類別風險分析

4.2:………………………9

類別采用處理風險

4.3:CSMS………………………10

類別監(jiān)視與改進

4.4:CSMS…………24

附錄規(guī)范性附錄元素開發(fā)指導

A()CSMS……………27

概述

A.1………………27

類別風險分析

A.2:……………………28

類別用解決風險

A.3:SCSMS………………………49

分類監(jiān)視和提高

A.4:CSMS………………………100

附錄資料性附錄開發(fā)的過程

B()CSMS……………106

概述

B.1………………106

過程的描述

B.2………………………106

活動初始化項目

B.3:CSMS………………………107

活動高級風險評估

B.4:………………107

過程的描述

B.5………………………108

活動建立安全策略組織和意識

B.6:,………………109

活動措施選擇和實施

B.7:……………111

活動維護

B.8:CSMS………………111

附錄資料性附錄與要求的映射

C()ISO/IEC27001………………113

概述

C.1………………113

本標準同的映射

C.2ISO/IEC27001:2005………113

同本標準的映射

C.3ISO/IEC27001:2005…………117

參考文獻

……………………121

圖網(wǎng)絡安全管理系統(tǒng)元素的圖形化視圖

1………………8

圖風險分析類別的圖形化視圖

2…………9

圖元素組安全策略組織的圖形化視圖

3:、、……………11

Ⅰ

GB/T33007—2016/IEC62443-2-12010

:

圖元素組選擇的安全措施的圖形化視圖

4:……………15

圖元素組實現(xiàn)的圖形表示

5……………20

圖圖形視圖類監(jiān)視與改進

6:CSMS……………………24

圖網(wǎng)絡安全管理系統(tǒng)的元素的圖形視圖

A.1…………28

圖類別風險分析的圖形視圖

A.2:………………………28

圖年至年計算機系統(tǒng)遭受攻擊的數(shù)量報導來源

A.319982004(:CERT)…………31

圖數(shù)據(jù)采集樣品的邏輯單

A.4IACS……………………41

圖形象的邏輯網(wǎng)絡控制圖的例子

A.5…………………44

圖元素組的圖形視圖安全政策組織和意識

A.6:、……………………49

圖元素組的圖形視圖選定的安全措施

A.7:……………61

圖一個分段結(jié)構(gòu)的參考結(jié)構(gòu)例圖

A.8…………………67

圖參考架構(gòu)與分割結(jié)構(gòu)示例

A.9SCADA……………69

圖訪問控制賬戶管理

A.10:……………71

圖訪問控制認證

A.11:…………………74

圖訪問控制授權(quán)

A.12:…………………78

圖實施方案圖表

A.13……………………80

圖安全等級生命周期模型評估階段

A.14:……………82

圖企業(yè)安全區(qū)域模板結(jié)構(gòu)

A.15…………84

圖安全區(qū)域

A.16IACS…………………85

圖安全等級生命周期模式開發(fā)與實現(xiàn)階段

A.17:……………………87

圖安全等級生命周期維護階段

A.18:…………………90

圖分類的圖示計算機安全管理系統(tǒng)的監(jiān)控與改進

A.19:……………100

圖建立一個的頂級活動

B.1CSMS……………………106

圖活動和活動的依賴關系初始化項目

B.2:CSMS…………………107

圖活動及活動的從屬高等級風險評估

B.3:…………108

圖活動和活動相關性詳細風險評估

B.4:……………109

圖活動和活動相關性建立安全策略組織和意識

B.5:,………………109

圖培訓和組織職責分配

B.6……………110

圖活動和活動相關性措施選擇和實施

B.7:…………111

圖活動和活動相關性維護

B.8:CSMS………………112

表商業(yè)理念需求

1:………………………9

表風險識別分類和評估需求

2、:………………………10

表范圍需求

3CSMS:……………………12

表安全的組織需求

4:……………………12

表員工培訓和安全意識需求

5:…………13

表業(yè)務連續(xù)性計劃需求

6:………………13

表安全策略和規(guī)程需求

7:………………14

表人員安全需求

8:………………………16

表物理和環(huán)境安全需求

9:………………17

表網(wǎng)絡劃分需求

10………………………17

表訪問控制賬戶管理需求

11-:…………18

表訪問控制認證需求

12-:………………19

Ⅱ

GB/T33007—2016/IEC62443-2-12010

:

表訪問控制授權(quán)需求

13-:………………20

表風險管理與實現(xiàn)的需求

14……………21

表系統(tǒng)開發(fā)與維護的需求

15……………21

表信息和文件管理的需求

16……………22

表事件規(guī)劃與響應的需求

17……………23

表一致性需求

18:………………………25

表審查改進和維護的的需求

19、CSMS………………25

表典型的可能性集

A.1…………………38

表典型的后果集

A.2……………………39

表典型的風險級別矩陣

A.3……………39

表基于風險等級的應對防護措施示例

A.4IACS……………………81

表資產(chǎn)評價結(jié)果實例

A.5IACS…………83

表資產(chǎn)評價結(jié)果和風險等級實例

A.6IACS……………83

表的目標安全等級

A.7IACS……………85

表本標準的要求到的參考映射

C.1ISO/IEC27001:2005…………113

表要求與本標準的映射

C.2ISO/IEC27001…………117

Ⅲ

GB/T33007—2016/IEC62443-2-12010

:

前言

本標準按照標準化工作導則第部分標準的結(jié)構(gòu)和編寫和

GB/T1.1—2009《1:》GB/T20000.2—

標準化工作指南第部分采用國際標準給出的規(guī)則起草

2009《2:》。

本標準使用翻譯法等同采用工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全第部分

IEC62443-2-1:2010《2-1:

建立工業(yè)自動化和控制系統(tǒng)安全程序英文版其技術內(nèi)容文本結(jié)構(gòu)以及表達形式與

》()。、

完全等同

IEC62443-2-1:2010。

為了方便使用本標準作了下列編輯性修改

,:

刪除了原文中的前言

———;

將介紹部分的內(nèi)容作為本標準的引言

———;

如果不做說明文中的安全都是指網(wǎng)絡安全

———,“”“”。

本標準由中國機械工業(yè)聯(lián)合會提出

。

本標準由全國工業(yè)過程測量控制和自動化標準化技術委員會和全國信息安全標準

(SAC/TC124)

化技術委員會歸口

(SAC/TC260)。

本標準起草單位機械工業(yè)儀器儀表綜合技術經(jīng)濟研究所中國電子技術標準化研究院中國電力

:、、

科學研究院中國核電工程有限公司上海自動化儀表股份有限公司北京交通大學東土科技股份有限

、、、、

公司清華大學西門子中國有限公司浙江大學西南大學重慶郵電大學施耐德電氣中國有限公

、、()、、、、()

司北京鋼鐵設計研究總院華中科技大學北京奧斯汀科技有限公司羅克韋爾自動化中國有限公

、、、、()

司中國儀器儀表學會北京和利時系統(tǒng)工程有限公司工業(yè)和信息化部電子第五研究所中國科學院沈

、、、、

陽自動化研究所北京海泰方圓科技有限公司青島多芬諾信息安全技術有限公司北京國電智深控制

、、、

技術有限公司北京力控華康科技有限公司廣東航宇衛(wèi)星科技有限公司華北電力設計院工程有限公

、、、

司華為技術有限公司啟明星辰中國電子科技集團公司第三十研究所深圳萬訊自控股份有限公司

、、、、、

中標軟件有限公司橫河電機中國有限公司北京研發(fā)中心

、()。

本標準主要起草人王玉敏范科峰梁瀟馮冬芹王亦君華镕陳小淙張建軍薛百華許斌

:、、、、、、、、、、

高昆侖王雪劉楓王浩夏德海周純杰張莉王弢劉杰孫昕徐皚冬朱毅明孫靜胡伯良梅恪

、、、、、、、、、、、、、、、

劉安正田雨聰方亮馬欣欣王勇杜佳琳陳日罡李銳劉利民孔勇劉文龍李琳黃敏朱鏡靈

、、、、、、、、、、、、、、

張智何佳張建勛孟雅輝蘭昆成繼勛丁露陳小楓楊應良楊磊

、、、、、、、、、。

Ⅴ

GB/T33007—2016/IEC62443-2-12010

:

引言

01概述

.

網(wǎng)絡安全是一個在現(xiàn)代組織中日益重要的話題多年來許多涉及信息技術和業(yè)務的組織一直在

。,

關注網(wǎng)絡安全并且按照和標準已經(jīng)建立了行之有效的網(wǎng)絡安全管理系統(tǒng)見

,ISOIEC(CSMS)(

和這些管理系統(tǒng)為組織機構(gòu)提供了一種行之有效的方法

ISO/IEC17799[23]1ISO/IEC27001[24]),

來保護其資產(chǎn)免受網(wǎng)絡攻擊

。

工業(yè)自動化控制系統(tǒng)組織已經(jīng)開始在日常流程中使用為業(yè)務系統(tǒng)開發(fā)的商用現(xiàn)成技術

(IACS)

這使得設備受到網(wǎng)絡攻擊的可能性隨之增加由于多方面的原因在對抗網(wǎng)絡攻擊方

(COTS),IACS。,

面這些系統(tǒng)通常不如專為環(huán)境設計的系統(tǒng)那么健壯這些弱點可能導致健康安全和環(huán)境方面

IACS。、

的后果

(HSE)。

在沒有理解這些后果的情況下組織可能會試圖使用已有的信息技術和業(yè)務安全方案來解決

,

的安全問題盡管許多解決方案可以應用到但是需要采取正確的方式以消除不良后果

IACS。IACS,。

02IACS的網(wǎng)絡安全管理系統(tǒng)

.

管理系統(tǒng)通常提供管理系統(tǒng)中應包括什么的指導但不提供關于如何去開發(fā)管理體系的指導本

,。

標準為闡述的包含的元素同時也提供如何為開發(fā)的指導

IACSCSMS,IACSCSMS。

面對一個具有挑戰(zhàn)性的問題時一個非常常見的工程方法是將問題分解成更小的子問題按照分治

,,

方式解決每個子問題這是解決網(wǎng)絡安全風險的合理途徑然而在解決網(wǎng)絡安全方面常犯的

。IACS。,

錯誤是試圖用一套系統(tǒng)一次解決所有的網(wǎng)絡安全問題網(wǎng)絡安全是一個更大的挑戰(zhàn)需要考慮整個

,。,

以及環(huán)繞和利用的政策規(guī)程實踐和人員實施這樣大范圍的管理系統(tǒng)可能需要組織內(nèi)

IACSIACS、、。

部的文化變革

。

在整個組織范圍的基礎上解決網(wǎng)絡安全是一項艱巨的任務但是對于安全來說沒有現(xiàn)成的解決

。,

方案這很容易理解因為沒有適合所有情況的安全實踐理論上絕對的安全也許能實現(xiàn)但是這很可

。,。,

能是不可取的因為要達到這樣近乎完美的狀態(tài)必然要損失實用性安全實際上是一個風險和成本的

,。

平衡所有的情況有所不同在某些情況下風險可能與因素有關而不是單純的經(jīng)濟影響風

。。,HSE。

險可能帶來不可恢復的后果而不是暫時性的財務挫折因此一個強制性安全實踐的解決方案集要么過

。

于嚴格費用昂貴無法遵循要么不足以應對風險

,,。

03本標準與ISO/IEC17799和ISO/IEC27001的關系

.

和是描述業(yè)務信息技術系統(tǒng)的網(wǎng)絡安全管理系統(tǒng)的優(yōu)秀

ISO/IEC17799[23]ISO/IEC27001[24]/

標準這些標準中的內(nèi)容大部分也適用于該標準強調(diào)網(wǎng)絡安全實踐的管理與業(yè)務信息

。IACS。IACS/

技術系統(tǒng)網(wǎng)絡安全的管理之間需保持一致這些程序的一致性可以節(jié)約開銷該標準鼓勵用戶閱讀

。。

和獲得額外的支持信息本標準基于這些標準制定強調(diào)

ISO/IEC17799ISO/IEC27001。ISO/IEC,

和一般業(yè)務信息技術系統(tǒng)的重要差異本標準引入一個重要的概念的網(wǎng)絡安全風險可

IACS/。,IACS

能帶來影響應與其他現(xiàn)有風險管理實踐結(jié)合來應對這些風險

HSE,。

Ⅵ

GB/T33007—2016/IEC62443-2-12010

:

工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全

建立工業(yè)自動化和控制

系統(tǒng)安全程序

1范圍

本標準規(guī)定了如何在工業(yè)自動化和控制系統(tǒng)中建立網(wǎng)絡安全管理系統(tǒng)并且提供了如何開

(IACS),

發(fā)這些元素的指南本標準與中描述的相比其定義和范圍更廣泛

。IEC62443-1-1IACS,。

本標準中描述的中的元素主要是政策過程規(guī)程以及與人員相關的內(nèi)容描述了在組織范

CSMS、、,

圍內(nèi)最終的將要包括或應當包括哪些內(nèi)容

CSMS。

注1系列標準和參考文獻中的其他文檔討論了有關安全的更細致的具體的技術和方案

:IEC62443