GB/T 33007-2016工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動(dòng)化和控制系統(tǒng)安全程序

ICS2504040

N10..

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T33007—2016/IEC62443-2-12010

:

工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全

建立工業(yè)自動(dòng)化和控制

系統(tǒng)安全程序

Industrialcommunicationnetworks—Networkandsystemsecurity—

Establishinganindustrialautomationandcontrol

systemsecurityprogram

(IEC62443-2-1:2010,Industrialcommunicationnetworks—

Networkandsystemsecurity—

Part2-1:Establishinganindustrialautomationand

controlsystemsecurityprogram,IDT)

2016-10-13發(fā)布2017-05-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T33007—2016/IEC62443-2-12010

:

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義縮略語(yǔ)和約定

3、………………1

術(shù)語(yǔ)和定義

3.1…………………………1

縮略語(yǔ)和縮略詞

3.2……………………5

約定

3.3…………………7

網(wǎng)絡(luò)安全管理系統(tǒng)的元素

4………………7

概述

4.1…………………7

類別風(fēng)險(xiǎn)分析

4.2:………………………9

類別采用處理風(fēng)險(xiǎn)

4.3:CSMS………………………10

類別監(jiān)視與改進(jìn)

4.4:CSMS…………24

附錄規(guī)范性附錄元素開發(fā)指導(dǎo)

A()CSMS……………27

概述

A.1………………27

類別風(fēng)險(xiǎn)分析

A.2:……………………28

類別用解決風(fēng)險(xiǎn)

A.3:SCSMS………………………49

分類監(jiān)視和提高

A.4:CSMS………………………100

附錄資料性附錄開發(fā)的過(guò)程

B()CSMS……………106

概述

B.1………………106

過(guò)程的描述

B.2………………………106

活動(dòng)初始化項(xiàng)目

B.3:CSMS………………………107

活動(dòng)高級(jí)風(fēng)險(xiǎn)評(píng)估

B.4:………………107

過(guò)程的描述

B.5………………………108

活動(dòng)建立安全策略組織和意識(shí)

B.6:,………………109

活動(dòng)措施選擇和實(shí)施

B.7:……………111

活動(dòng)維護(hù)

B.8:CSMS………………111

附錄資料性附錄與要求的映射

C()ISO/IEC27001………………113

概述

C.1………………113

本標(biāo)準(zhǔn)同的映射

C.2ISO/IEC27001:2005………113

同本標(biāo)準(zhǔn)的映射

C.3ISO/IEC27001:2005…………117

參考文獻(xiàn)

……………………121

圖網(wǎng)絡(luò)安全管理系統(tǒng)元素的圖形化視圖

1………………8

圖風(fēng)險(xiǎn)分析類別的圖形化視圖

2…………9

圖元素組安全策略組織的圖形化視圖

3:、、……………11

Ⅰ

GB/T33007—2016/IEC62443-2-12010

:

圖元素組選擇的安全措施的圖形化視圖

4:……………15

圖元素組實(shí)現(xiàn)的圖形表示

5……………20

圖圖形視圖類監(jiān)視與改進(jìn)

6:CSMS……………………24

圖網(wǎng)絡(luò)安全管理系統(tǒng)的元素的圖形視圖

A.1…………28

圖類別風(fēng)險(xiǎn)分析的圖形視圖

A.2:………………………28

圖年至年計(jì)算機(jī)系統(tǒng)遭受攻擊的數(shù)量報(bào)導(dǎo)來(lái)源

A.319982004(:CERT)…………31

圖數(shù)據(jù)采集樣品的邏輯單

A.4IACS……………………41

圖形象的邏輯網(wǎng)絡(luò)控制圖的例子

A.5…………………44

圖元素組的圖形視圖安全政策組織和意識(shí)

A.6:、……………………49

圖元素組的圖形視圖選定的安全措施

A.7:……………61

圖一個(gè)分段結(jié)構(gòu)的參考結(jié)構(gòu)例圖

A.8…………………67

圖參考架構(gòu)與分割結(jié)構(gòu)示例

A.9SCADA……………69

圖訪問(wèn)控制賬戶管理

A.10:……………71

圖訪問(wèn)控制認(rèn)證

A.11:…………………74

圖訪問(wèn)控制授權(quán)

A.12:…………………78

圖實(shí)施方案圖表

A.13……………………80

圖安全等級(jí)生命周期模型評(píng)估階段

A.14:……………82

圖企業(yè)安全區(qū)域模板結(jié)構(gòu)

A.15…………84

圖安全區(qū)域

A.16IACS…………………85

圖安全等級(jí)生命周期模式開發(fā)與實(shí)現(xiàn)階段

A.17:……………………87

圖安全等級(jí)生命周期維護(hù)階段

A.18:…………………90

圖分類的圖示計(jì)算機(jī)安全管理系統(tǒng)的監(jiān)控與改進(jìn)

A.19:……………100

圖建立一個(gè)的頂級(jí)活動(dòng)

B.1CSMS……………………106

圖活動(dòng)和活動(dòng)的依賴關(guān)系初始化項(xiàng)目

B.2:CSMS…………………107

圖活動(dòng)及活動(dòng)的從屬高等級(jí)風(fēng)險(xiǎn)評(píng)估

B.3:…………108

圖活動(dòng)和活動(dòng)相關(guān)性詳細(xì)風(fēng)險(xiǎn)評(píng)估

B.4:……………109

圖活動(dòng)和活動(dòng)相關(guān)性建立安全策略組織和意識(shí)

B.5:,………………109

圖培訓(xùn)和組織職責(zé)分配

B.6……………110

圖活動(dòng)和活動(dòng)相關(guān)性措施選擇和實(shí)施

B.7:…………111

圖活動(dòng)和活動(dòng)相關(guān)性維護(hù)

B.8:CSMS………………112

表商業(yè)理念需求

1:………………………9

表風(fēng)險(xiǎn)識(shí)別分類和評(píng)估需求

2、:………………………10

表范圍需求

3CSMS:……………………12

表安全的組織需求

4:……………………12

表員工培訓(xùn)和安全意識(shí)需求

5:…………13

表業(yè)務(wù)連續(xù)性計(jì)劃需求

6:………………13

表安全策略和規(guī)程需求

7:………………14

表人員安全需求

8:………………………16

表物理和環(huán)境安全需求

9:………………17

表網(wǎng)絡(luò)劃分需求

10………………………17

表訪問(wèn)控制賬戶管理需求

11-:…………18

表訪問(wèn)控制認(rèn)證需求

12-:………………19

Ⅱ

GB/T33007—2016/IEC62443-2-12010

:

表訪問(wèn)控制授權(quán)需求

13-:………………20

表風(fēng)險(xiǎn)管理與實(shí)現(xiàn)的需求

14……………21

表系統(tǒng)開發(fā)與維護(hù)的需求

15……………21

表信息和文件管理的需求

16……………22

表事件規(guī)劃與響應(yīng)的需求

17……………23

表一致性需求

18:………………………25

表審查改進(jìn)和維護(hù)的的需求

19、CSMS………………25

表典型的可能性集

A.1…………………38

表典型的后果集

A.2……………………39

表典型的風(fēng)險(xiǎn)級(jí)別矩陣

A.3……………39

表基于風(fēng)險(xiǎn)等級(jí)的應(yīng)對(duì)防護(hù)措施示例

A.4IACS……………………81

表資產(chǎn)評(píng)價(jià)結(jié)果實(shí)例

A.5IACS…………83

表資產(chǎn)評(píng)價(jià)結(jié)果和風(fēng)險(xiǎn)等級(jí)實(shí)例

A.6IACS……………83

表的目標(biāo)安全等級(jí)

A.7IACS……………85

表本標(biāo)準(zhǔn)的要求到的參考映射

C.1ISO/IEC27001:2005…………113

表要求與本標(biāo)準(zhǔn)的映射

C.2ISO/IEC27001…………117

Ⅲ

GB/T33007—2016/IEC62443-2-12010

:

前言

本標(biāo)準(zhǔn)按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫和

GB/T1.1—2009《1:》GB/T20000.2—

標(biāo)準(zhǔn)化工作指南第部分采用國(guó)際標(biāo)準(zhǔn)給出的規(guī)則起草

2009《2:》。

本標(biāo)準(zhǔn)使用翻譯法等同采用工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第部分

IEC62443-2-1:2010《2-1:

建立工業(yè)自動(dòng)化和控制系統(tǒng)安全程序英文版其技術(shù)內(nèi)容文本結(jié)構(gòu)以及表達(dá)形式與

》()。、

完全等同

IEC62443-2-1:2010。

為了方便使用本標(biāo)準(zhǔn)作了下列編輯性修改

,:

刪除了原文中的前言

———;

將介紹部分的內(nèi)容作為本標(biāo)準(zhǔn)的引言

———;

如果不做說(shuō)明文中的安全都是指網(wǎng)絡(luò)安全

———,“”“”。

本標(biāo)準(zhǔn)由中國(guó)機(jī)械工業(yè)聯(lián)合會(huì)提出

。

本標(biāo)準(zhǔn)由全國(guó)工業(yè)過(guò)程測(cè)量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)和全國(guó)信息安全標(biāo)準(zhǔn)

(SAC/TC124)

化技術(shù)委員會(huì)歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院中國(guó)電力

:、、

科學(xué)研究院中國(guó)核電工程有限公司上海自動(dòng)化儀表股份有限公司北京交通大學(xué)東土科技股份有限

、、、、

公司清華大學(xué)西門子中國(guó)有限公司浙江大學(xué)西南大學(xué)重慶郵電大學(xué)施耐德電氣中國(guó)有限公

、、()、、、、()

司北京鋼鐵設(shè)計(jì)研究總院華中科技大學(xué)北京奧斯汀科技有限公司羅克韋爾自動(dòng)化中國(guó)有限公

、、、、()

司中國(guó)儀器儀表學(xué)會(huì)北京和利時(shí)系統(tǒng)工程有限公司工業(yè)和信息化部電子第五研究所中國(guó)科學(xué)院沈

、、、、

陽(yáng)自動(dòng)化研究所北京海泰方圓科技有限公司青島多芬諾信息安全技術(shù)有限公司北京國(guó)電智深控制

、、、

技術(shù)有限公司北京力控華康科技有限公司廣東航宇衛(wèi)星科技有限公司華北電力設(shè)計(jì)院工程有限公

、、、

司華為技術(shù)有限公司啟明星辰中國(guó)電子科技集團(tuán)公司第三十研究所深圳萬(wàn)訊自控股份有限公司

、、、、、

中標(biāo)軟件有限公司橫河電機(jī)中國(guó)有限公司北京研發(fā)中心

、()。

本標(biāo)準(zhǔn)主要起草人王玉敏范科峰梁瀟馮冬芹王亦君華镕陳小淙張建軍薛百華許斌

:、、、、、、、、、、

高昆侖王雪劉楓王浩夏德海周純杰張莉王弢劉杰孫昕徐皚冬朱毅明孫靜胡伯良梅恪

、、、、、、、、、、、、、、、

劉安正田雨聰方亮馬欣欣王勇杜佳琳陳日罡李銳劉利民孔勇劉文龍李琳黃敏朱鏡靈

、、、、、、、、、、、、、、

張智何佳張建勛孟雅輝蘭昆成繼勛丁露陳小楓楊應(yīng)良楊磊

、、、、、、、、、。

Ⅴ

GB/T33007—2016/IEC62443-2-12010

:

引言

01概述

.

網(wǎng)絡(luò)安全是一個(gè)在現(xiàn)代組織中日益重要的話題多年來(lái)許多涉及信息技術(shù)和業(yè)務(wù)的組織一直在

。,

關(guān)注網(wǎng)絡(luò)安全并且按照和標(biāo)準(zhǔn)已經(jīng)建立了行之有效的網(wǎng)絡(luò)安全管理系統(tǒng)見(jiàn)

,ISOIEC(CSMS)(

和這些管理系統(tǒng)為組織機(jī)構(gòu)提供了一種行之有效的方法

ISO/IEC17799[23]1ISO/IEC27001[24]),

來(lái)保護(hù)其資產(chǎn)免受網(wǎng)絡(luò)攻擊

。

工業(yè)自動(dòng)化控制系統(tǒng)組織已經(jīng)開始在日常流程中使用為業(yè)務(wù)系統(tǒng)開發(fā)的商用現(xiàn)成技術(shù)

(IACS)

這使得設(shè)備受到網(wǎng)絡(luò)攻擊的可能性隨之增加由于多方面的原因在對(duì)抗網(wǎng)絡(luò)攻擊方

(COTS),IACS。,

面這些系統(tǒng)通常不如專為環(huán)境設(shè)計(jì)的系統(tǒng)那么健壯這些弱點(diǎn)可能導(dǎo)致健康安全和環(huán)境方面

IACS。、

的后果

(HSE)。

在沒(méi)有理解這些后果的情況下組織可能會(huì)試圖使用已有的信息技術(shù)和業(yè)務(wù)安全方案來(lái)解決

,

的安全問(wèn)題盡管許多解決方案可以應(yīng)用到但是需要采取正確的方式以消除不良后果

IACS。IACS,。

02IACS的網(wǎng)絡(luò)安全管理系統(tǒng)

.

管理系統(tǒng)通常提供管理系統(tǒng)中應(yīng)包括什么的指導(dǎo)但不提供關(guān)于如何去開發(fā)管理體系的指導(dǎo)本

,。

標(biāo)準(zhǔn)為闡述的包含的元素同時(shí)也提供如何為開發(fā)的指導(dǎo)

IACSCSMS,IACSCSMS。

面對(duì)一個(gè)具有挑戰(zhàn)性的問(wèn)題時(shí)一個(gè)非常常見(jiàn)的工程方法是將問(wèn)題分解成更小的子問(wèn)題按照分治

,,

方式解決每個(gè)子問(wèn)題這是解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的合理途徑然而在解決網(wǎng)絡(luò)安全方面常犯的

。IACS。,

錯(cuò)誤是試圖用一套系統(tǒng)一次解決所有的網(wǎng)絡(luò)安全問(wèn)題網(wǎng)絡(luò)安全是一個(gè)更大的挑戰(zhàn)需要考慮整個(gè)

,。,

以及環(huán)繞和利用的政策規(guī)程實(shí)踐和人員實(shí)施這樣大范圍的管理系統(tǒng)可能需要組織內(nèi)

IACSIACS、、。

部的文化變革

。

在整個(gè)組織范圍的基礎(chǔ)上解決網(wǎng)絡(luò)安全是一項(xiàng)艱巨的任務(wù)但是對(duì)于安全來(lái)說(shuō)沒(méi)有現(xiàn)成的解決

。,

方案這很容易理解因?yàn)闆](méi)有適合所有情況的安全實(shí)踐理論上絕對(duì)的安全也許能實(shí)現(xiàn)但是這很可

。,。,

能是不可取的因?yàn)橐_(dá)到這樣近乎完美的狀態(tài)必然要損失實(shí)用性安全實(shí)際上是一個(gè)風(fēng)險(xiǎn)和成本的

,。

平衡所有的情況有所不同在某些情況下風(fēng)險(xiǎn)可能與因素有關(guān)而不是單純的經(jīng)濟(jì)影響風(fēng)

。。,HSE。

險(xiǎn)可能帶來(lái)不可恢復(fù)的后果而不是暫時(shí)性的財(cái)務(wù)挫折因此一個(gè)強(qiáng)制性安全實(shí)踐的解決方案集要么過(guò)

。

于嚴(yán)格費(fèi)用昂貴無(wú)法遵循要么不足以應(yīng)對(duì)風(fēng)險(xiǎn)

,,。

03本標(biāo)準(zhǔn)與ISO/IEC17799和ISO/IEC27001的關(guān)系

.

和是描述業(yè)務(wù)信息技術(shù)系統(tǒng)的網(wǎng)絡(luò)安全管理系統(tǒng)的優(yōu)秀

ISO/IEC17799[23]ISO/IEC27001[24]/

標(biāo)準(zhǔn)這些標(biāo)準(zhǔn)中的內(nèi)容大部分也適用于該標(biāo)準(zhǔn)強(qiáng)調(diào)網(wǎng)絡(luò)安全實(shí)踐的管理與業(yè)務(wù)信息

。IACS。IACS/

技術(shù)系統(tǒng)網(wǎng)絡(luò)安全的管理之間需保持一致這些程序的一致性可以節(jié)約開銷該標(biāo)準(zhǔn)鼓勵(lì)用戶閱讀

。。

和獲得額外的支持信息本標(biāo)準(zhǔn)基于這些標(biāo)準(zhǔn)制定強(qiáng)調(diào)

ISO/IEC17799ISO/IEC27001。ISO/IEC,

和一般業(yè)務(wù)信息技術(shù)系統(tǒng)的重要差異本標(biāo)準(zhǔn)引入一個(gè)重要的概念的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可

IACS/。,IACS

能帶來(lái)影響應(yīng)與其他現(xiàn)有風(fēng)險(xiǎn)管理實(shí)踐結(jié)合來(lái)應(yīng)對(duì)這些風(fēng)險(xiǎn)

HSE,。

Ⅵ

GB/T33007—2016/IEC62443-2-12010

:

工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全

建立工業(yè)自動(dòng)化和控制

系統(tǒng)安全程序

1范圍

本標(biāo)準(zhǔn)規(guī)定了如何在工業(yè)自動(dòng)化和控制系統(tǒng)中建立網(wǎng)絡(luò)安全管理系統(tǒng)并且提供了如何開

(IACS),

發(fā)這些元素的指南本標(biāo)準(zhǔn)與中描述的相比其定義和范圍更廣泛

。IEC62443-1-1IACS,。

本標(biāo)準(zhǔn)中描述的中的元素主要是政策過(guò)程規(guī)程以及與人員相關(guān)的內(nèi)容描述了在組織范

CSMS、、,

圍內(nèi)最終的將要包括或應(yīng)當(dāng)包括哪些內(nèi)容

CSMS。

注1系列標(biāo)準(zhǔn)和參考文獻(xiàn)中的其他文檔討論了有關(guān)安全的更細(xì)致的具體的技術(shù)和方案

:IEC62443