編制說明《信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全分級規(guī)范》

信息安全戰(zhàn)略研究與標(biāo)準(zhǔn)制定工作專項(xiàng)項(xiàng)目任務(wù)書，國家標(biāo)準(zhǔn)《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范》由北京江南天安科技有限公司負(fù)責(zé)主工信部協(xié)[2011]451號《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》、國發(fā)(2012)23號制系統(tǒng)信息安全受到破壞后對工業(yè)生產(chǎn)運(yùn)行造成的損失程度，以及對國家安(一)標(biāo)準(zhǔn)制定的主要工作過程如下：1)2012年8月成立了以公司資深咨詢顧問陳冠直為負(fù)責(zé)人和主筆的《信息安全技術(shù)2)2012年9月4日，參加安標(biāo)委秘書處在北京應(yīng)用物理會議中心召開的工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)會，參加會議的有崔書昆、蔡野(協(xié)調(diào)司處長)、楊建軍、馮冬芹(浙大)、彭勇、宮亞鋒、高昆侖、陳冠直等，討論了包括本標(biāo)準(zhǔn)在內(nèi)的5個(gè)工控標(biāo)準(zhǔn)的分工及立項(xiàng)問3)2012年12月，提交了《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范》標(biāo)準(zhǔn)草案(第一稿);2012年12月27日，安標(biāo)委秘書處在北京應(yīng)用物理會議中心組織了專家討論會，參加會議的有楊建軍、梅恪(TC124秘閔京華、唐一鴻、許東陽、陳冠直等，提出了修改意見(見意見匯總表)。4)2013年5月，提交了《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范》標(biāo)準(zhǔn)草案(第二稿);5)2013年5月7日，安標(biāo)委秘書處在電子4院亦莊園區(qū)組織了初步討論會，參加會議的有唐一鴻、許東陽、程鵬、陳冠直等，決定先提交楊建軍、蔡野(協(xié)調(diào)司處長)等有關(guān)6)2013年6月6日，收到安標(biāo)委秘書根據(jù)意見對標(biāo)準(zhǔn)進(jìn)行了修改(見意見匯總表)。上官曉麗也參加了評審，并提出了修改意見(見意見匯總表)。8)2013年8月1日-8月2日，安標(biāo)委秘書處組織的有關(guān)工控標(biāo)準(zhǔn)編制單位開會，協(xié)9)2013年8月，提交了《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范》標(biāo)準(zhǔn)草案(第三稿),準(zhǔn)備進(jìn)行相應(yīng)的評審。10)2014年6月，經(jīng)安標(biāo)委秘書處同意，由公安部11局陸磊處長召集在公安部第一研11)2015年8月，電子4院信息安全中心范科峰主任召集開會，討論有關(guān)工控信息安12)2015年11月，電子4院信息安全中心范科峰主任召集開會，討論有關(guān)工控信息安13)2015年12月，應(yīng)中國信息安全測評中心張腫斌處長要求，討論討論有關(guān)工控信14)2016年3月3日，秘書處組織《工業(yè)控制系統(tǒng)安全管理基本要求》評審，本標(biāo)準(zhǔn)15)2016年3月18日，電子4院信息安全中心組織開會，討論《工業(yè)控制系統(tǒng)安全16)2016年3月29日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會WG5工作組在北京組織召開2016年3月29日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會WG5工作組在北京組織召開了《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范》標(biāo)準(zhǔn)草案審查會。專家組聽取了編制組的工作匯報(bào)，審閱了標(biāo)準(zhǔn)文本、編制說明、意見匯總處理表等材型和定級要素，包括工業(yè)控制系統(tǒng)重要性程度、存在的潛在風(fēng)險(xiǎn)影響程度、需抵17)2016年4月，根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會WG5工作組在北京組織召開18)信安標(biāo)委WG5工作組于2016年4月18日至2016年4月25日面向各成員單位《標(biāo)準(zhǔn)草案稿》共匯集反饋意見51條，其中未采納的意見1條已作說明，部分采納的意見2條已作說明，其余意見為采納，具體參見意見匯總處理表。(一)本標(biāo)準(zhǔn)中工業(yè)控制系統(tǒng)信息安全定級的技術(shù)思路 這三個(gè)安全級別對于一個(gè)工業(yè)控制系統(tǒng)應(yīng)該看作是工業(yè)控制系統(tǒng)信息安全等級實(shí)現(xiàn)的個(gè)自動化生產(chǎn)全過程或一個(gè)工業(yè)自動化生產(chǎn)裝置(如聚苯乙烯生產(chǎn)裝置)的工業(yè)控制系統(tǒng)。屬于企業(yè)的一個(gè)自動化生產(chǎn)全過程或一個(gè)工業(yè)自動化生產(chǎn)裝置的工業(yè)控制系統(tǒng)中的相對獨(dú)第一級工業(yè)控制系統(tǒng)信息安全應(yīng)得到所屬企業(yè)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的管第二級工業(yè)控制系統(tǒng)信息安全應(yīng)得到所屬企業(yè)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的管第三級工業(yè)控制系統(tǒng)信息安全應(yīng)得到所屬企業(yè)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的管第四級工業(yè)控制系統(tǒng)信息安全應(yīng)得到所屬企業(yè)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的管對于直接用于維護(hù)國家安全的工業(yè)控制系統(tǒng)，以及需要抵御戰(zhàn)爭威別的網(wǎng)絡(luò)戰(zhàn)或暴力手段的威脅)或毀滅性自然災(zāi)難等意外威脅的受侵害的對象受侵害的程度生產(chǎn)總值等資產(chǎn)綜合價(jià)值；工業(yè)控制系統(tǒng)重要性程度特征值范圍為1-5,5最高。如標(biāo)準(zhǔn)中表2所示。123234234345的影響，以及對其他受侵害對象(如公民、企業(yè)、其他組織的合法權(quán)益及重要財(cái)產(chǎn)安全，環(huán)境安全、社會秩序、公共利益和人員生命安全，國家安全、國家經(jīng)濟(jì)后的潛在影響程度特征值范圍為1-5,5最高。如標(biāo)準(zhǔn)中表3所示。受侵害)的對象123工業(yè)生產(chǎn)運(yùn)行安全和公民、企業(yè)、123環(huán)境安全、社會秩序、234國家安全、345本標(biāo)準(zhǔn)規(guī)定的工業(yè)控制系統(tǒng)信息安全等級是基于工業(yè)控制系統(tǒng)存在信息安全風(fēng)險(xiǎn)劃分征值、需抵御的信息安全威脅程度特征值，可在表1中查出工業(yè)資產(chǎn)重要程度受侵害后潛在值需抵御的信息安全威脅程度特征值1234511第一級(1)第一級(2)第一級(3)第一級(4)第二級(5)21第一級(2)第一級(3)第一級(4)31第一級(3)第一級(4)第二級(5)第二級(6)第二級(7)41第一級(4)第二級(5)第二級(7)第三級(8)51第二級(5)第二級(6)第二級(7)第三級(8)第三級(9)12第一級(2)第一級(3)第一級(4)第二級(5)第二級(6)22第一級(3)第一級(4)第二級(5)第二級(6)第二級(7)32第一級(4)第二級(6)第二級(7)第三級(8)42第二級(5)第二級(6)第二級(7)第三級(8)第三級(9)52第二級(6)第二級(7)第三級(8)第三級(9)第三級(10)13第一級(3)第一級(4)第二級(5)第二級(6)第二級(7)23第一級(4)第二級(5)第二級(6)第二級(7)第三級(8)33第二級(5)第二級(6)第二級(7)第三級(8)第三級(9)43第二級(6)第二級(7)第三級(8)第三級(9)第三級(10)53第二級(7)第三級(10)第四級(1)14第一級(4)第二級(5)第二級(6)第二級(7)第三級(8)24第二級(5)第二級(6)第二級(7)第三級(8)第三級(9)34第二級(6)第二級(7)第三級(8)第三級(9)第三級(10)44第二級(7)第三級(8)第三級(9)第三級(10)第四級(11)54第三級(8)第三級(9)第三級(10)第四級(1第四級(12)15第二級(5)第二級(6)第二級(7)第三級(8)第三級(9)25第二級(6)第二級(7)第三級(8)第三級(9)第三級(10)35第二級(7)第三級(8)第三級(9)第三級(10)第四級(11)45第三級(8)第三級(9)第三級(10)第四級(11)55第三級(9)第三級(10)第四級(1)第四級(12)安全威脅程度特征值的取值范圍均為1-5。工業(yè)控制系統(tǒng)信息安全等級特征值的取值范圍均關(guān)于工業(yè)控制系統(tǒng)信息安全分為3級、4級還是5級的問題，在評審和討論時(shí)專家們有安全劃分為4級。為了減少與上述情況發(fā)生的沖突，本標(biāo)準(zhǔn)需要抵御戰(zhàn)爭威脅(包括來自國家級別的網(wǎng)絡(luò)戰(zhàn)或暴力手段的威脅)或毀滅性自然災(zāi)難等意護(hù)等級的定級因素(受侵害客體及對客體的侵害程度)包含在本標(biāo)準(zhǔn)中工業(yè)控制系統(tǒng)信息安全定級因素的一個(gè)維度(受侵害潛在影響程度)中。當(dāng)忽略工業(yè)控制系統(tǒng)重要性程度、工業(yè)GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》是在GB17859SAL2:抵御簡單的故意性威脅攻擊，該威脅攻擊具有通用方法，使用低資源并具有低SAL3:抵御復(fù)雜的故意性威脅攻擊，該威脅攻擊采用系統(tǒng)性特定的方法，使用中等資SAL4:抵御復(fù)雜的故意性威脅攻擊，該威脅攻擊采用系統(tǒng)性特定的方法，使用擴(kuò)展性系統(tǒng)信息安全定級因素的一個(gè)維度(工業(yè)控制系統(tǒng)信息安全威脅)中。當(dāng)忽略工業(yè)控制系統(tǒng)重要性程度、受侵害潛在影響程度兩個(gè)維度時(shí)，得到的工業(yè)控制系統(tǒng)信息安全級別與IEC本標(biāo)準(zhǔn)中工業(yè)控制系統(tǒng)信息安全級別完全符合工信部451號文件要求，工信部451號安全定級因素的一個(gè)維度(工業(yè)控制系統(tǒng)重要性程度)中。本標(biāo)準(zhǔn)第4章工業(yè)控制系統(tǒng)概述，描述了工業(yè)控制系統(tǒng)基本構(gòu)象；第5章工業(yè)控制系統(tǒng)信息安全等級劃分規(guī)則，規(guī)型，工業(yè)控制系統(tǒng)信息安全定級要素，工業(yè)控制系統(tǒng)信息安全等級特征；第6章工業(yè)控制系本標(biāo)準(zhǔn)規(guī)定了以工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)影響為基準(zhǔn)對工業(yè)控制系統(tǒng)信息安等級全劃規(guī)則和前言、引言、1范圍、2規(guī)范性引用文件、3術(shù)語和定義5.2工業(yè)控制系統(tǒng)信息安全定級要素5.2.1工業(yè)控制系統(tǒng)資產(chǎn)重要性5.2.2受侵害后的潛在影響5.2.3需抵御的信息安全威脅6工業(yè)控制系統(tǒng)信息安全等級定級方法6.3.2評價(jià)工業(yè)控制系統(tǒng)資產(chǎn)重要程度2011年9月工信部協(xié)[2011]451號《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》要到4級，根據(jù)工業(yè)控制系統(tǒng)實(shí)際情況，本標(biāo)準(zhǔn)劃分4級；護(hù)國家安全的工業(yè)控制系統(tǒng)，以及需要抵御戰(zhàn)