編制說明《信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全分級規(guī)范》

信息安全戰(zhàn)略研究與標準制定工作專項項目任務書，國家標準《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范》由北京江南天安科技有限公司負責主工信部協(xié)[2011]451號《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》、國發(fā)(2012)23號制系統(tǒng)信息安全受到破壞后對工業(yè)生產(chǎn)運行造成的損失程度，以及對國家安(一)標準制定的主要工作過程如下：1)2012年8月成立了以公司資深咨詢顧問陳冠直為負責人和主筆的《信息安全技術(shù)2)2012年9月4日，參加安標委秘書處在北京應用物理會議中心召開的工業(yè)控制系統(tǒng)信息安全標準會，參加會議的有崔書昆、蔡野(協(xié)調(diào)司處長)、楊建軍、馮冬芹(浙大)、彭勇、宮亞鋒、高昆侖、陳冠直等，討論了包括本標準在內(nèi)的5個工控標準的分工及立項問3)2012年12月，提交了《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范》標準草案(第一稿);2012年12月27日，安標委秘書處在北京應用物理會議中心組織了專家討論會，參加會議的有楊建軍、梅恪(TC124秘閔京華、唐一鴻、許東陽、陳冠直等，提出了修改意見(見意見匯總表)。4)2013年5月，提交了《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范》標準草案(第二稿);5)2013年5月7日，安標委秘書處在電子4院亦莊園區(qū)組織了初步討論會，參加會議的有唐一鴻、許東陽、程鵬、陳冠直等，決定先提交楊建軍、蔡野(協(xié)調(diào)司處長)等有關6)2013年6月6日，收到安標委秘書根據(jù)意見對標準進行了修改(見意見匯總表)。上官曉麗也參加了評審，并提出了修改意見(見意見匯總表)。8)2013年8月1日-8月2日，安標委秘書處組織的有關工控標準編制單位開會，協(xié)9)2013年8月，提交了《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范》標準草案(第三稿),準備進行相應的評審。10)2014年6月，經(jīng)安標委秘書處同意，由公安部11局陸磊處長召集在公安部第一研11)2015年8月，電子4院信息安全中心范科峰主任召集開會，討論有關工控信息安12)2015年11月，電子4院信息安全中心范科峰主任召集開會，討論有關工控信息安13)2015年12月，應中國信息安全測評中心張腫斌處長要求，討論討論有關工控信14)2016年3月3日，秘書處組織《工業(yè)控制系統(tǒng)安全管理基本要求》評審，本標準15)2016年3月18日，電子4院信息安全中心組織開會，討論《工業(yè)控制系統(tǒng)安全16)2016年3月29日，全國信息安全標準化技術(shù)委員會WG5工作組在北京組織召開2016年3月29日，全國信息安全標準化技術(shù)委員會WG5工作組在北京組織召開了《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級規(guī)范》標準草案審查會。專家組聽取了編制組的工作匯報，審閱了標準文本、編制說明、意見匯總處理表等材型和定級要素，包括工業(yè)控制系統(tǒng)重要性程度、存在的潛在風險影響程度、需抵17)2016年4月，根據(jù)全國信息安全標準化技術(shù)委員會WG5工作組在北京組織召開18)信安標委WG5工作組于2016年4月18日至2016年4月25日面向各成員單位《標準草案稿》共匯集反饋意見51條，其中未采納的意見1條已作說明，部分采納的意見2條已作說明，其余意見為采納，具體參見意見匯總處理表。(一)本標準中工業(yè)控制系統(tǒng)信息安全定級的技術(shù)思路 這三個安全級別對于一個工業(yè)控制系統(tǒng)應該看作是工業(yè)控制系統(tǒng)信息安全等級實現(xiàn)的個自動化生產(chǎn)全過程或一個工業(yè)自動化生產(chǎn)裝置(如聚苯乙烯生產(chǎn)裝置)的工業(yè)控制系統(tǒng)。屬于企業(yè)的一個自動化生產(chǎn)全過程或一個工業(yè)自動化生產(chǎn)裝置的工業(yè)控制系統(tǒng)中的相對獨第一級工業(yè)控制系統(tǒng)信息安全應得到所屬企業(yè)依據(jù)國家有關管理規(guī)范和技術(shù)標準的管第二級工業(yè)控制系統(tǒng)信息安全應得到所屬企業(yè)依據(jù)國家有關管理規(guī)范和技術(shù)標準的管第三級工業(yè)控制系統(tǒng)信息安全應得到所屬企業(yè)依據(jù)國家有關管理規(guī)范和技術(shù)標準的管第四級工業(yè)控制系統(tǒng)信息安全應得到所屬企業(yè)依據(jù)國家有關管理規(guī)范和技術(shù)標準的管對于直接用于維護國家安全的工業(yè)控制系統(tǒng)，以及需要抵御戰(zhàn)爭威別的網(wǎng)絡戰(zhàn)或暴力手段的威脅)或毀滅性自然災難等意外威脅的受侵害的對象受侵害的程度生產(chǎn)總值等資產(chǎn)綜合價值；工業(yè)控制系統(tǒng)重要性程度特征值范圍為1-5,5最高。如標準中表2所示。123234234345的影響，以及對其他受侵害對象(如公民、企業(yè)、其他組織的合法權(quán)益及重要財產(chǎn)安全，環(huán)境安全、社會秩序、公共利益和人員生命安全，國家安全、國家經(jīng)濟后的潛在影響程度特征值范圍為1-5,5最高。如標準中表3所示。受侵害)的對象123工業(yè)生產(chǎn)運行安全和公民、企業(yè)、123環(huán)境安全、社會秩序、234國家安全、345本標準規(guī)定的工業(yè)控制系統(tǒng)信息安全等級是基于工業(yè)控制系統(tǒng)存在信息安全風險劃分征值、需抵御的信息安全威脅程度特征值，可在表1中查出工業(yè)資產(chǎn)重要程度受侵害后潛在值需抵御的信息安全威脅程度特征值1234511第一級(1)第一級(2)第一級(3)第一級(4)第二級(5)21第一級(2)第一級(3)第一級(4)31第一級(3)第一級(4)第二級(5)第二級(6)第二級(7)41第一級(4)第二級(5)第二級(7)第三級(8)51第二級(5)第二級(6)第二級(7)第三級(8)第三級(9)12第一級(2)第一級(3)第一級(4)第二級(5)第二級(6)22第一級(3)第一級(4)第二級(5)第二級(6)第二級(7)32第一級(4)第二級(6)第二級(7)第三級(8)42第二級(5)第二級(6)第二級(7)第三級(8)第三級(9)52第二級(6)第二級(7)第三級(8)第三級(9)第三級(10)13第一級(3)第一級(4)第二級(5)第二級(6)第二級(7)23第一級(4)第二級(5)第二級(6)第二級(7)第三級(8)33第二級(5)第二級(6)第二級(7)第三級(8)第三級(9)43第二級(6)第二級(7)第三級(8)第三級(9)第三級(10)53第二級(7)第三級(10)第四級(1)14第一級(4)第二級(5)第二級(6)第二級(7)第三級(8)24第二級(5)第二級(6)第二級(7)第三級(8)第三級(9)34第二級(6)第二級(7)第三級(8)第三級(9)第三級(10)44第二級(7)第三級(8)第三級(9)第三級(10)第四級(11)54第三級(8)第三級(9)第三級(10)第四級(1第四級(12)15第二級(5)第二級(6)第二級(7)第三級(8)第三級(9)25第二級(6)第二級(7)第三級(8)第三級(9)第三級(10)35第二級(7)第三級(8)第三級(9)第三級(10)第四級(11)45第三級(8)第三級(9)第三級(10)第四級(11)55第三級(9)第三級(10)第四級(1)第四級(12)安全威脅程度特征值的取值范圍均為1-5。工業(yè)控制系統(tǒng)信息安全等級特征值的取值范圍均關于工業(yè)控制系統(tǒng)信息安全分為3級、4級還是5級的問題，在評審和討論時專家們有安全劃分為4級。為了減少與上述情況發(fā)生的沖突，本標準需要抵御戰(zhàn)爭威脅(包括來自國家級別的網(wǎng)絡戰(zhàn)或暴力手段的威脅)或毀滅性自然災難等意護等級的定級因素(受侵害客體及對客體的侵害程度)包含在本標準中工業(yè)控制系統(tǒng)信息安全定級因素的一個維度(受侵害潛在影響程度)中。當忽略工業(yè)控制系統(tǒng)重要性程度、工業(yè)GB/T22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》是在GB17859SAL2:抵御簡單的故意性威脅攻擊，該威脅攻擊具有通用方法，使用低資源并具有低SAL3:抵御復雜的故意性威脅攻擊，該威脅攻擊采用系統(tǒng)性特定的方法，使用中等資SAL4:抵御復雜的故意性威脅攻擊，該威脅攻擊采用系統(tǒng)性特定的方法，使用擴展性系統(tǒng)信息安全定級因素的一個維度(工業(yè)控制系統(tǒng)信息安全威脅)中。當忽略工業(yè)控制系統(tǒng)重要性程度、受侵害潛在影響程度兩個維度時，得到的工業(yè)控制系統(tǒng)信息安全級別與IEC本標準中工業(yè)控制系統(tǒng)信息安全級別完全符合工信部451號文件要求，工信部451號安全定級因素的一個維度(工業(yè)控制系統(tǒng)重要性程度)中。本標準第4章工業(yè)控制系統(tǒng)概述，描述了工業(yè)控制系統(tǒng)基本構(gòu)象；第5章工業(yè)控制系統(tǒng)信息安全等級劃分規(guī)則，規(guī)型，工業(yè)控制系統(tǒng)信息安全定級要素，工業(yè)控制系統(tǒng)信息安全等級特征；第6章工業(yè)控制系本標準規(guī)定了以工業(yè)控制系統(tǒng)風險影響為基準對工業(yè)控制系統(tǒng)信息安等級全劃規(guī)則和前言、引言、1范圍、2規(guī)范性引用文件、3術(shù)語和定義5.2工業(yè)控制系統(tǒng)信息安全定級要素5.2.1工業(yè)控制系統(tǒng)資產(chǎn)重要性5.2.2受侵害后的潛在影響5.2.3需抵御的信息安全威脅6工業(yè)控制系統(tǒng)信息安全等級定級方法6.3.2評價工業(yè)控制系統(tǒng)資產(chǎn)重要程度2011年9月工信部協(xié)[2011]451號《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》要到4級，根據(jù)工業(yè)控制系統(tǒng)實際情況，本標準劃分4級；護國家安全的工業(yè)控制系統(tǒng)，以及需要抵御戰(zhàn)