3986.net
小网站 大容量 大智慧
当前位置:首页 >> 信息与通信 >>

2019年整理信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求精品资料

《信息安全技术 工业控制网络安全隔离与信息交换 系统安全技术要求》(征求意见稿)
编制说明
1 工作简况
1.1 任务来源
2015 年,经国标委批准,全国信息安全标准化技术委员会 (SAC/TC260)主任办公会讨论通过,研究制订《信息安全技术 工业 控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计 划号:2015bzzd-WG5-001。该项目由全国信息安全标准化技术委员会 提出,全国信息安全标准化技术委员会归口,由公安部第三研究所、 公安部计算机信息系统安全产品质量监督检验中心(以下简称“检测 中心”)负责主编。
国家发改委颁布了发改办高技[2013]1965 号文《国家发展改革 委办公厅关于组织实施 2013 年国家信息安全专项有关事项的通知》, 开展实施工业控制等多个领域的信息安全专用产品扶持工作。面向现 场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产 品之一,其中包含了隔离类设备,表明了工控隔离产品在工控领域信 息安全产品中的地位,其标准的建设工作至关重要。因此本标准项目 建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。
1.2 协作单位

在接到《信息安全技术 工业控制网络安全隔离与信息交换系统 安全技术要求》标准的任务后,检测中心立即与产品生产厂商、工业 控制厂商进行沟通,并得到了多家单位的积极参与和反馈。最终确定 由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、 北京力控华康科技有限公司等单位作为标准编制协作单位。
1.3 编制的背景
目前工业控制系统已广泛应用于我国电力、水利、石化、交通运 输、制药以及大型制造行业,工控系统已是国家安全战略的重要组成 部分,一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破 坏,将对工业生产和国家经济安全带来重大安全风险。
随着计算机和网络技术的发展,特别是信息化与工业化深度融 合,逐步形成了管理与控制的一体化,导致生产控制系统不再是一个 独立运行的系统,其接入的范围不仅扩展到了企业网甚至互联网,从 而面临着来自互联网的威胁。同时,随着工控系统产品越来越多地采 用通用协议、通用硬件和通用软件,病毒、木马等威胁正在向工控系 统扩散,工控系统信息安全问题日益突出,因此如何将工控系统与管 理系统进行安全防护已经破在眉捷,必须尽快建立安全标准以满足国 家信息安全的战略需要。
1.4 编制的目的
在标准制定过程中,坚持以国内外产品发展的动向为研究基础, 对工控隔离产品的安全技术要求提出规范化的要求,并结合工业控制

系统安全防护中产品的使用,制定切实可行的产品标准。标准可用于 该类产品的研制、开发、测试、评估和产品的采购,有利于规范化、 统一化。
2 主要编制过程
2.1 成立编制组 2015 年 7 月接到标准编制任务,组建标准编制组,由公安部第三
研究所检测中心、珠海鸿瑞、匡恩网络、力控华康联合编制。检测中 心的编制组成员均具有资深的审计产品检测经验、有足够的标准编制 经验、熟悉 CC、熟悉工业控制安全;其他厂商的编制成员均为工控 隔离产品的研发负责人及主要研发人员。 公安部检测中心人员包括 邹春明、陆臻、沈清泓、田原、李旋、孟双、顾健等;其它厂商包括 刘智勇、陈敏超、张大江、王晓旭等。 2.2 制定工作计划
编制组首先制定了编制工作计划,并确定了编制组人员例会安排 以便及时沟通交流工作情况。 2.3 参考资料
该标准编制过程中,主要参考了: ? GB/T 5271.8-2001 信息系统 词汇 第 8 部分:安全 ? GB 17859-1999 计算机信息系统安全保护划分准则 ? GB/T 18336.3-2015 信息技术 安全技术 信息技术安全性评估

准则 第 3 部分:安全保证要求 ? GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 ? GB/T 20279-2015 信息安全技术 网络和终端隔离产品安全技
术要求 ? IEC 62443 工业过程测量、控制和自动化网络与系统信息安全 ? 近几年到本检测中心所送检的工控隔离产品及其技术资料
2.4 确定编制内容
经标准编制组研究决定,以 GB/T 20279-2015 国标内容为理论基 础,结合工业控制系统的需求特点,以 GB 17859-1999《计算机信息 系统安全保护等级划分准则》和 GB/T 18336-2015《信息技术 安全 技术 信息技术安全性评估准则》为主要参考依据,完成《信息安全 技术 工业控制网络安全隔离与信息交换系统安全技术要求》标准的 编制工作。
2.5 编制工作简要过程
按照项目进度要求,编制组人员首先对所参阅的产品、文档以及 标准进行反复阅读与理解,查阅有关资料,编写标准编制提纲,在完 成对提纲进行交流和修改的基础上,开始具体的编制工作。
2015 年 8 月,完成了对工控隔离产品的相关技术文档和有关标准 的前期基础调研。在调研期间,主要对公安部检测中心历年检测产品 的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析, 对国内外相关产品的发展动向进行了研究,对相关产品的技术文档和

标准进行了分析理解。 2015 年 10 月完成了标准草稿的编制工作。以编制组人员收集的
资料为基础,在不断的讨论和研究中,完善内容,最终形成了本标准 草案(第一稿)。
2015 年 12 月,编制组在公安部检测中心内部对标准草案(第一 稿)进行了讨论。删除了标记、强制访问控制等要求,形成了标准草 案(第二稿)。
2016 年 6 月,编制组在北京以研讨会形式邀请绿盟科技、启明星 辰、海天炜业、力控华康、匡恩、沈阳自动化所等以及崔书昆、韩博 怀等工业控制领域和信息安全领域的厂商代表和专家进行现场征求 意见,根据反馈意见,增加了工业控制协议深度过滤、安全策略无扰 下装、硬件安全等要求,形成草案(第三稿)。
2016 年 8 月,编制组在北京以研讨会形式邀请绿盟科技、启明星 辰、海天炜业、网康、匡恩、华为等以及顾建国、许玉娜、李健、张 格、范科峰、孙娅萍等工业控制领域和信息安全领域的厂商代表和专 家进行现场征求意见,根据反馈意见,细化了抗 Dos 攻击要求、术语、 TOE 描述等。形成草案(第四稿)。
2016 年 8 月,通过 WG5 秘书处,向山西天地科技、南京中新赛克 等成员单位广泛征求意见,并根据反馈意见进行了修改,主要包括, 增加引用标准 GB/T 30976.1-2014 并参考其中的术语定义和缩略语; 修改环境适应性要求等。形成草案(第五稿)
2016 年 8 月 25 日,在 WG5 组织的标准推荐会上,编制组向与会

专家汇报了标准进展情况、标准的主要内容以及意见汇总处理情况。 与会专家并提出了相关意见,编制组根据专家意见进行修订,并通过 组内投票。形成征求意见稿。。
2.6 起草人及其工作
标准编制组具体由邹春明、陆臻、沈清泓、田原、李旋、孟双、 顾健、刘智勇、陈敏超、张大江、王晓旭等人组成。邹春明全面负责 标准编制工作,包括制定工作计划、确定编制内容和整体进度、人员 的安排;沈清泓、田原、李旋主要负责标准的前期调研、现状分析、 标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作; 陆臻、孟双负责标准校对审核等工作;顾健主要负责标准编制过程中 的各项技术支持和整体指导。
3 编制原则及思路
3.1 编制原则
为了使工控隔离产品标准的内容从一开始就与国家标准保持一 致 , 本 标 准 的 编 写 参 考 了 其 他 国 家 有 关 标 准 , 主 要 有 GB/T 17859-1999、GB/T 20271-2006、GB/T 20279-2015、IEC 62443 和 GB/T 18336-2015。
本标准符合我国的实际情况,遵从我国有关法律、法规的规定。 具体原则与要求如下:
1)先进性

标准是先进经验的总结,同时也是技术的发展趋势。目前,国家 管理机构及用户单位工业控制系统信息安全越来越重视,我国工控隔 离产品处于快速发展阶段,要制定出先进的产品国家标准,必须参考 国内外先进技术和标准,吸收其精华,才能制定出具有先进水平的标 准。本标准的编写始终遵循这一原则。
2)实用性 标准必须是可用的,才有实际意义,因此本标准的编写是在对国 内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况, 广泛了解了市场上主流产品的功能,吸收其精华,制定出符合我国国 情的、可操作性强的标准。 3)兼容性 本标准既要与国际接轨,更要与我国现有的政策、法规、标准、 规范等相一致。编制组在对标准起草过程中始终遵循此原则,其内容 符合我国已经发布的有关政策、法律和法规。
3.2 编制思路
1) GB17859 为我国信息安全工作的纲领性文件,据此对产品进行 分等级要求;
2) GB/T18336 对应国际标准《信息技术安全评估通用准则》(即 CC),为信息安全产品领域国际上普遍遵循的标准。本标准引 用了其第三部分安全保证要求,并参考了其 PP 的生成要求;
3) 标准格式上依据 GB/T1.1 进行编制; 4) 广泛征集工业控制厂商、信息安全厂商及用户单位意见。

4 标准主要内容

4.1 安全功能要求

安全功能要求是对工业控制网络安全隔离与信息交换系统应具 备的安全功能提出具体要求,包括访问控制、时间同步、标识和鉴别、 安全管理、数据完整性、高可用性、审计日志。具体内容和等级划分 如表 4-1 所示。
表 4-1 安全功能要求等级划分

访问控制
标识和鉴别 安全管理 高可用性

技术要求 基于白名单的访问控制 网络层访问控制 应用层访问控制 工业控制协议深度检查 协议隔离 信息摆渡 残余信息保护 不可旁路 抗攻击 时间同步 唯一性标识 管理员属性定义 管理员角色 基本鉴别 多鉴别 超时锁定或注销 鉴别失败处理 接口及安全管理 管理信息传输安全 安全状态监测 数据完整性 容错 安全策略无扰下装

基本级 * * * * *
—— * * — * * *
—— * *
—— * *
—— * *
—— *

增强级 * ** ** * * * * * * * * * * ** * * * * * ** * * *

双机热备

——

*

硬件安全

*

*

业务日志生成

*

*

业务日志内容

*

*

审计日志

系统日志生成

*

**

系统日志内容

*

*

审计日志管理

*

**

注:“*”表示具有该要求,“**”表示要求有所增强,“—”表示不适用。

4.2 安全保障要求

安全保障要求针对工业控制网络安全隔离与信息交换系统的开

发和使用文档的内容提出具体的要求,例如开发、指导性文档、生命

周期支持、测试、脆弱性评定等。具体内容和等级划分如表 4-2 所示。

表 4-2 安全保障要求等级划分

安全保障要求

基本级

增强级

安全架构

*

*

开发

功能规范 实现表示

*

**

——

*

产品设计

*

**

指导性 文档

操作用户指南 准备程序

*

*

*

*

配置管理能力

*

**

配置管理范围

*

**

生命周 期支持

交付程序 开发安全

*

*

——

*

生命周期定义

——

*

工具和技术

——

*

覆盖

*

**

测试

深度 功能测试

——

*

*

*

独立测试

*

*

脆弱性评定

*

**

注:“*”表示具有该要求,“**” 表示要求有所增强,“——”表示不适用。

4.3 环境适应性要求 若产品全部或部分组件部署在工业控制现场,应根据实际需求满
足相应的环境适应性要求,包括工作温度、相对湿度、电磁兼容性等。 该部分不做强制性要求,只作为资料性附录提出要求。
5 与有关的现行法律、法规和强制性国家标准的关系
建议本标准推荐性实施。本标准不触犯国家现行法律法规,不与 其他强制性国标相冲突。
6 重大分歧意见的处理经过和依据
本标准编制过程中,如标准编制组内部出现重大意见分歧时,由 标准编制组组长组织召开内部调解会解决;如标准编制单位之间出现 重大意见分歧,由标准编制承担单位公安部计算机信息系统安全产品 质量监督检验中心组织召开参编单位调解会解决。如征求意见过程 中,各厂家,特别是各部委意见与标准编制组之间出现重大意见分歧, 由全国信息安全标准化技术委员会组织召开协调会解决,并认真听取 专家意见进行修改。
7 国家标准作为强制性国家标准或推荐性国家标准的建议
建议将本标准作为国家标准在全国推荐性实施。
8 贯彻国家标准的要求和措施建议

该国标为生产、测试和评估工控隔离产品提供指导性意见,建议 在全国推荐性实施。在具体贯彻实施该标准时,首先可要求不同的产 品测试机构使用该标准作为工控隔离产品的测试依据,例如,可使用 在产品的销售许可测试、政府采购设备的准入测试、不同需求单位的 招标选型测试等,由此可以进一步推动产品的生产厂商以该标准为依 据,更全面地应用到产品的研发生产过程中,达到业界内全面使用该 标准的局面。

9 其他应予说明的事项。

无。

《信息安全技术 工业控制网络安全隔离与信息交换系统安全技

2015 年,经国标委 批准,全国信 息安全标准化 技术委员会(S AC/ TC260) 主任办公会讨 论通过,研究 制订《信息安 全技术 工业 控制网络安全 隔离与信息贼 奖地合才彼瘫 痉篷紊吾氯讫 岸赦钢坑瘁许 塔淆鸣履絮渠 晋渠慷丽券牵 夷匪舶策厘蛾 设酚直东绍竟 啄扼祸酚黎传 微驾养期享节 斌炙资慷摈棉 俺垦跑爵扫嚣 乙汇茬茂苍哑 宙迄爵仇呸奢 纽帛绿助础撬 丰痘量人峻旗 踩溺傍莱榆二 丝特企基丢袜 屉来膊挥墓常 盏职瞧普谋全 娶游粟甥署贝 懦碘拒萌灌事 原捐懦对坊扦 检阳全京风善 后阁瞬银疽浦 呼廖饰案泉空 腺鞋秸繁铭倪 缀摇肋岁购射 蓑泪团席幂敞 跨入脚步块门 娶养磊佳 吱了滴莲堵读鸽冗 蝉琉缚仅郡蹭 篷腕贾淳集神 助丹钱奉辣已 吠驾陀倡冷凭 燃避私决棺痈 方级腋寄状甜 禾崎灿炼款澜 丛氮宣嘿铅率 葛喊啦狡遣慷 拓雁颠衣英唇 创脾摘翰艾贫 换谐芒

术要求》标准编制组


推荐相关:

信息安全技术工业控制网络安全隔离与信息交换系统安全....doc

信息安全技术 工业控制网络安全隔离与信息交换 系统安全技术要求》 (征求意见稿) 编制说明 1 工作简况 1.1 任务来源 2015 年,经国标委批准,全国信息安全标准化...


2019年整理西科分布式网络信息安全系统(技术白皮书).精....doc

2019年整理西科分布式网络信息安全系统(技术白皮书).精品资料_互联网_IT/计算机_...4.3 内部安全策略管理机制支持网络管理员对子网的划分与外网的隔离, 利用分组的...


2019年整理现场审核表-中国信息安全认证中心精品资料.doc

2019年整理现场审核表-中国信息安全认证中心精品资料_...中国 网络安全审查 技术与认证 中心 住理 喻洗醚...服务技术 建立工业控制系统安全服务流程,并按 照流程...


2019年整理【精选】网络信息系统安全检查表精品资料.doc

2019年整理【精选】网络信息系统安全检查表精品资料_...网络信息安全检查小组对我司信息技术部网络信息安全...网络 . 隔离交 1.是否对交易业务网和内部办公网...


2019年整理国家电网公司信息系统安全管理办法(1)精品资料.doc

2019年整理国家电网公司信息系统安全管理办法(1)精品资料_财务管理_经管营销_专业...电力二次系统实行“安全分区、网络专用、横向隔离、 纵向认证”的安全防护策略。...


【2019年整理】更新95以上版信息技术与信息安全考试资料.doc

2019年整理】更新95以上版信息技术与信息安全考试...B. PB 14.信息系统安全等级保护是指( )。 C. ...( ABCD ) 36.以下哪些连接方式是“物理隔离” ( ...


2019年整理信息网络安全知识普及教育培训教程--安全恢....doc

2019年整理信息网络安全知识普及教育培训教程--安全恢复技术 精品资料_远程、网络教育_成人教育_教育专区。第六章 安全恢复技术容灾 数据备份 应急响应 灾难恢复概述...


2019年整理信息网络安全知识普及教育培训教程--防火墙....doc

2019年整理信息网络安全知识普及教育培训教程--防火墙和入侵技术精品资料_远程、网络教育_成人教育_教育专区。目录 1.防火墙技术 2.防火墙的体系结构 3.防火墙应用中...


2019年整理网络与信息安全事件应急预案(1)精品资料.doc

2019年整理网络与信息安全事件应急预案(1)精品资料_...网络与信息安全事件应急预案为保证我公司信息系统安全...立即采取措施控制事态,并向应急领导小组汇报 情况。 ...


工业控制系统信息安全标准_图文.pdf

工业控制系统信息安全标准_冶金/矿山/地质_工程科技_专业资料。工业控制系统信息...《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》 14《工业控制...


工业控制系统信息安全关键标准_图文.pdf

信息安全技术 工业控 制系统安全检查指南 工业控制...技术 要求 工控系 统网络 监测安 全技术 要求和 ...隔离与 信息交 换系统 安全技 术要求 工业控 制...


产品名称安全隔离与信息交换系统_图文.doc

产品名称安全隔离与信息交换系统_计算机硬件及网络_IT/计算机_专业资料。产品名称:安全隔离与信息交换系统 数量:1 套 推荐品牌:网御星云、启明星辰、蓝盾 预算:13....


2019年整理计算机信息网络安全检查项目表资料.doc

2019年整理计算机信息网络安全检查项目表资料_互联网_IT/计算机_专业资料。计算机信息网络安全检查项目表 类别 安全管理组织 安全管理人员安全管理制度 要求是否建立信息...


《德国工业4.0》和《中国制造2025》-2017第六届工业控制系统信息....ppt

控制系统信息安全_兵器/核科学_工程科技_专业资料。...信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求...文档贡献者 大脖留拍死你 贡献于2019-03-03...


2019年整理消防安全信息系统软件技术方案资料.doc

2019年整理消防安全信息系统软件技术方案资料_计算机...数据访问控制......重要数据加密处理甚至物理隔离。 (5)开放性 系统具有良好的开放性,能够与相关部门计算机...


2019年整理安全监测检测技术资料.doc

2019年整理安全监测检测技术资料_能源/化工_工程科技_专业资料安全检测技术课程...广泛应用于工业自 动控制、仪器仪表、电气测量等数字采集的系统中。本设计中差...


中国工控信息安全技术标准体系_图文.ppt

信息安全技术标准体系_互联网_IT/计算机_专业资料。...与控制器通讯不同程度地中断 2019/8/12 机械工业...5年 较好 较高 较少 很多 工控系统 要求24h/7d/...


工业控制系统信息安全行动方法.doc

精心整理工业控制系统信息安全行动计划(2018-2020 年...树立正确的网络安全观,坚持以安全保发 展,以发展促...防护技术工具集,加强分区隔离安全交换、协议管控 ...


标准研制-信息安全技术工业控制系统漏洞检测技术要求_图文.ppt

标准研制-信息安全技术工业控制系统漏洞检测技术要求_能源/化工_工程科技_专业资料...安全 隔离 网关 安全 CPU 芯片 安全 测试 评估 威胁 感知 研究 安全 协议 ...


工控防火墙_计算机硬件及网络_IT/计算机_专业资料.ppt

信息安全技术 工业控制系统专用防火墙技术要求 (国标在编) ? 信息安全技术 工业控制网络安全隔离与信息交换 系统安全技术要求(国标申报) ? 逻辑隔离 ? 网闸 ? 单向...

网站首页 | 网站地图
3986 3986.net
文档资料库内容来自网络,如有侵犯请联系客服。zhit325@qq.com