信息安全技術(shù) 工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)要求和測(cè)試評(píng)價(jià)方法-編制說(shuō)明

一、工作簡(jiǎn)況1.1任務(wù)來(lái)源本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并作為技術(shù)歸口單位,于2012年12月立項(xiàng)實(shí)施。本標(biāo)準(zhǔn)是我國(guó)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)化建設(shè)中急需制定的基礎(chǔ)性標(biāo)準(zhǔn)之一。本標(biāo)準(zhǔn)由上海三零衛(wèi)士信息安全有限公司承擔(dān)，參與單位包括：上海三零衛(wèi)士信息安全有限公司、中國(guó)信息安全測(cè)評(píng)中心、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、公安部第三研究所、北京威努特技術(shù)有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京和利時(shí)系統(tǒng)工程有限公司、上海市信息安全測(cè)評(píng)認(rèn)證中心、北京圣博潤(rùn)高新技術(shù)股份有限公司、網(wǎng)神信息技術(shù)（北京）股份有限公司、陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心、中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司、信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心、四川省信息安全測(cè)評(píng)中心、中國(guó)電子科技集團(tuán)公司電子科學(xué)研究院、中國(guó)電力科學(xué)研究院有限公司、衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、北京軟件產(chǎn)品質(zhì)量檢測(cè)檢驗(yàn)中心、中國(guó)石化上海高橋石化有限公司、江蘇敏捷科技股份有限公司、三六零科技有限公司、上?？ㄋ箍滦盘?hào)有限公司、上海申通地鐵股份有限公司、國(guó)家信息技術(shù)安全研究中心、上海工業(yè)自動(dòng)化儀表研究院有限公司、上海核工程研究設(shè)計(jì)院、上海交通大學(xué)、中國(guó)工程物理研究院、全球能源互聯(lián)網(wǎng)研究院有限公司、武漢鋼鐵（集團(tuán)）公司。1.2主要工作過(guò)程1、形成標(biāo)準(zhǔn)草案稿a）2013年3月1日，三零衛(wèi)士在上海組織召開標(biāo)準(zhǔn)項(xiàng)目啟動(dòng)會(huì)，會(huì)議合作方來(lái)自工業(yè)控制系統(tǒng)使用、系統(tǒng)及工藝設(shè)計(jì)與集成、產(chǎn)品測(cè)評(píng)及標(biāo)準(zhǔn)研究等單位，基本涵蓋了工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)各個(gè)環(huán)節(jié)。項(xiàng)目啟動(dòng)會(huì)落實(shí)了標(biāo)準(zhǔn)框架、編寫方法、工作進(jìn)度，同時(shí)確定了任務(wù)分工。b）2013年4月、9月，分別召開了兩次項(xiàng)目全體代表大會(huì)，針對(duì)標(biāo)準(zhǔn)編制過(guò)程中遇到的問(wèn)題，進(jìn)行了充分交流并達(dá)成一致，有效推動(dòng)了標(biāo)準(zhǔn)編制工作。c）2013年4月18日，在北京參加了“重點(diǎn)項(xiàng)目檢查會(huì)議”，匯報(bào)了本標(biāo)準(zhǔn)進(jìn)展工作，認(rèn)真聽取了與會(huì)專家的檢查意見，并在會(huì)后一一落實(shí)并修改。d）2013年7月23日，在北京參加了“工業(yè)控制系統(tǒng)系列標(biāo)準(zhǔn)項(xiàng)目檢查及協(xié)調(diào)工作會(huì)”，匯報(bào)了本標(biāo)準(zhǔn)進(jìn)展工作，認(rèn)真聽取了與會(huì)專家的檢查意見，并在會(huì)后一一落實(shí)并修改。e）2013年11月，經(jīng)大量走訪調(diào)研國(guó)內(nèi)工業(yè)控制系統(tǒng)的使用和生產(chǎn)單位，并對(duì)標(biāo)準(zhǔn)的適用性做了相應(yīng)調(diào)整，完成標(biāo)準(zhǔn)草案稿。f）2014年4月13日，邀請(qǐng)多位專家對(duì)標(biāo)準(zhǔn)草案進(jìn)行了匯報(bào)與討論，認(rèn)真聽取與會(huì)專家的意見，并在會(huì)后認(rèn)真修改。g）2015年至2017年，與上海工業(yè)自動(dòng)化儀表研究院、中石化上海高橋分公司、中國(guó)電力科學(xué)研究院、上海核工程研究設(shè)計(jì)院、中國(guó)國(guó)家信息安全測(cè)評(píng)中心、武漢鋼鐵(集團(tuán))公司等科研院所和工業(yè)控制系統(tǒng)的使用單位積極開展項(xiàng)目合作，在此期間也與各領(lǐng)域?qū)＜艺归_積極討論與探討，對(duì)草案進(jìn)行修改與完善。h）2018年4月4日，在北京參加TC260-WG5工作組召開的組內(nèi)標(biāo)準(zhǔn)專家審查會(huì)，匯報(bào)了本標(biāo)準(zhǔn)進(jìn)展工作，認(rèn)真聽取了與會(huì)專家的檢查意見。會(huì)后，按照此次會(huì)議專家意見，同時(shí)進(jìn)一步結(jié)合2017年TC260-WG5工作組上海工作會(huì)議上專家意見，重點(diǎn)梳理本標(biāo)準(zhǔn)間與已經(jīng)發(fā)布標(biāo)準(zhǔn)與的對(duì)應(yīng)關(guān)系，重新對(duì)本標(biāo)準(zhǔn)進(jìn)行定位，對(duì)標(biāo)準(zhǔn)文本的結(jié)構(gòu)和內(nèi)容做了較大調(diào)整，形成推進(jìn)到標(biāo)準(zhǔn)征求意見稿的標(biāo)準(zhǔn)草案。i）2018年4月17日，在全國(guó)信標(biāo)委WG5工作組2018年第一次工作組武漢會(huì)議上經(jīng)廣泛征求意見后同意進(jìn)入到標(biāo)準(zhǔn)（征求意見稿）編制階段。2、形成標(biāo)準(zhǔn)征求意見稿（第一版）a）2018年5月15日，標(biāo)準(zhǔn)編寫組在北京中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院召開討論會(huì)，進(jìn)一步統(tǒng)一認(rèn)識(shí)，本標(biāo)準(zhǔn)定位為工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位日常安全技術(shù)防護(hù)工作的指導(dǎo)性規(guī)范文件；b）2018年6月1日，上海三零衛(wèi)士信息安全有限公司組織上海申通地鐵股份有限公司、上?？ㄋ箍滦盘?hào)有限公司、上海電氣泰雷茲交通自動(dòng)化系統(tǒng)有限公司、上海大學(xué)等工控系統(tǒng)運(yùn)營(yíng)單位、生產(chǎn)廠商及相關(guān)高校專家參加的標(biāo)準(zhǔn)編制討論會(huì)，結(jié)合軌道交通行業(yè)在工業(yè)控制系統(tǒng)信息安全防護(hù)方面的實(shí)際做法、實(shí)踐經(jīng)驗(yàn)及需重點(diǎn)解決問(wèn)題等方面深入交流探討，認(rèn)真聽取對(duì)于標(biāo)準(zhǔn)編制的意見和建議。c）2018年6月26日，上海三零衛(wèi)士信息安全有限公司組織中國(guó)信息安全測(cè)評(píng)中心、上海市信息安全測(cè)評(píng)認(rèn)證中心、公安部第三研究所、陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心、信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心、四川省信息安全測(cè)評(píng)中心等參與單位就“測(cè)試評(píng)價(jià)”部分內(nèi)容編制思路進(jìn)行探討，統(tǒng)一認(rèn)識(shí)。d）2018年9月30日，根據(jù)全國(guó)信標(biāo)委WG5工作組2018年第一次工作組武漢會(huì)議周專家意見和后續(xù)歷次會(huì)議意見，標(biāo)準(zhǔn)編制組編制完成標(biāo)準(zhǔn)征求意見稿第一版。3、形成標(biāo)準(zhǔn)征求意見稿（第二版）a）2018年10月15日，全國(guó)信標(biāo)委WG5工作組在北京召開標(biāo)準(zhǔn)專家審查會(huì)議，對(duì)征求意見稿（第一版）提出了修改意見和建議。b）2018年10月23日，根據(jù)全國(guó)信標(biāo)委WG5工作組2018年10月15日北京專家審查會(huì)議意見，標(biāo)準(zhǔn)編制組對(duì)標(biāo)準(zhǔn)征求意見稿第一版進(jìn)行了修改，形成征求意見稿第二版。4、形成標(biāo)準(zhǔn)征求意見稿（第三版）a）2018年10月26日，在全國(guó)信標(biāo)委WG5工作組青島2018年第二次工作組“會(huì)議周”上，就本標(biāo)準(zhǔn)的編制情況廣泛征求與會(huì)專家意見，對(duì)征求意見稿（第二版）提出了修改意見和建議。b）2018年11月20日，根據(jù)全國(guó)信標(biāo)委WG5工作組青島2018年第二次工作組“會(huì)議周”與會(huì)專家意見，標(biāo)準(zhǔn)編制組對(duì)標(biāo)準(zhǔn)征求意見稿第二版進(jìn)行了修改，形成征求意見稿第三版。5、形成征求意見稿（第四版）a）2018年11月21日，在全國(guó)信標(biāo)委WG5工作組北京《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范（修訂）》等13項(xiàng)國(guó)家標(biāo)準(zhǔn)專家審查會(huì)議上就本標(biāo)準(zhǔn)（征求意見稿）第三版的編制情況進(jìn)行審查，專家提出了修改意見和建議。b）2018年11月28日，根據(jù)全國(guó)信標(biāo)委WG5工作組北京《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范（修訂）》等13項(xiàng)國(guó)家標(biāo)準(zhǔn)專家審查會(huì)議與會(huì)專家意見，標(biāo)準(zhǔn)編制組對(duì)標(biāo)準(zhǔn)（征求意見稿）第三版進(jìn)行了修改，形成標(biāo)準(zhǔn)（征求意見稿）第四版。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題1、編制原則a）綜合立體防護(hù)原則結(jié)合工控系統(tǒng)的業(yè)務(wù)特點(diǎn)和網(wǎng)絡(luò)結(jié)構(gòu)，技術(shù)指標(biāo)的設(shè)置應(yīng)體現(xiàn)綜合立體防護(hù)的思路，例如：根據(jù)業(yè)務(wù)功能、安全需求、物理位置等劃分不同的安全區(qū)域，在縱向、橫向邊界所在的不同安全區(qū)域之間應(yīng)采用認(rèn)證、加密、訪問(wèn)控制等不同強(qiáng)度的防護(hù)措施，工控系統(tǒng)的主機(jī)、控制器及其他設(shè)備需要通過(guò)安全配置、系統(tǒng)補(bǔ)丁或其他安全性補(bǔ)償措施提升自身防御能力等。b）動(dòng)態(tài)防護(hù)原則工業(yè)控制系統(tǒng)自系統(tǒng)規(guī)劃、設(shè)計(jì)、實(shí)施、上線、生產(chǎn)、運(yùn)維到廢棄的整個(gè)生命周期中，各個(gè)階段都面臨著不同的信息安全問(wèn)題，通過(guò)建立完善的防護(hù)技術(shù)標(biāo)準(zhǔn)體系、防護(hù)效果動(dòng)態(tài)測(cè)試評(píng)價(jià)體系和持續(xù)改進(jìn)的運(yùn)行機(jī)制，可形成適應(yīng)工控系統(tǒng)特性的全生命周期的信息安全保障體系，用以持續(xù)保障系統(tǒng)的安全可靠運(yùn)行。c）分等級(jí)防護(hù)原則國(guó)家《網(wǎng)絡(luò)安全法》規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施要在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。對(duì)工業(yè)控制系統(tǒng)的信息安全保護(hù)應(yīng)實(shí)行分級(jí)防護(hù)原則，既有利于優(yōu)化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全資源配置，也可為工業(yè)控制系統(tǒng)信息安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)。d）應(yīng)急防護(hù)原則工業(yè)控制系統(tǒng)運(yùn)行過(guò)程中，為及時(shí)應(yīng)對(duì)突發(fā)的信息安全事件，防止事態(tài)進(jìn)一步蔓延，盡可能減少事件帶來(lái)的損失，在強(qiáng)化日常監(jiān)控技術(shù)的同時(shí)，應(yīng)制定完善的應(yīng)急防護(hù)技術(shù)指標(biāo)，以保證在工控系統(tǒng)遭受網(wǎng)絡(luò)安全威脅甚至導(dǎo)致系統(tǒng)出現(xiàn)異?；蚬收蠒r(shí)，可有效發(fā)揮緊急防護(hù)措施的作用。e）通用性原則本標(biāo)準(zhǔn)在編制過(guò)程中參考了國(guó)內(nèi)外諸多標(biāo)準(zhǔn)，包括：《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》（GB/T32919-2016）、《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全管理基本要求》（GB-T36323-2018）、《工業(yè)控制系統(tǒng)信息安全-第1部分：評(píng)估規(guī)范》（GB-T30976.1-2014）、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（工信部信軟〔2016〕338號(hào)）、《工業(yè)控制系統(tǒng)信息安全指南》（NISTSP800-82）以及《工業(yè)過(guò)程測(cè)量與控制安全：網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標(biāo)準(zhǔn)（IEC62443）等已經(jīng)發(fā)布的標(biāo)準(zhǔn)和《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-XXXX）、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T27070-XXXX）、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448-XXXX）等在研標(biāo)準(zhǔn)的最新成果，既確保標(biāo)準(zhǔn)科學(xué)性，又使得標(biāo)準(zhǔn)內(nèi)容符合我國(guó)國(guó)情。f）可操作性與實(shí)用性原則本標(biāo)準(zhǔn)基于國(guó)內(nèi)外工業(yè)控制系統(tǒng)信息安全防護(hù)方面的技術(shù)實(shí)踐，參考國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)的科學(xué)設(shè)計(jì)思路、方法和內(nèi)容，遵從“綜合立體防護(hù)和分等級(jí)防護(hù)”的先進(jìn)理念，科學(xué)設(shè)計(jì)工業(yè)控制系統(tǒng)信息安全技術(shù)防護(hù)指標(biāo)和測(cè)試評(píng)價(jià)指標(biāo)，既可為工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位日常安全防護(hù)工作提供技術(shù)方法和操作規(guī)范，也可作為測(cè)評(píng)機(jī)構(gòu)開展工控系統(tǒng)等保測(cè)評(píng)、政府部門開展工控系統(tǒng)信息安全檢查以及安全服務(wù)商提供安全技術(shù)服務(wù)等提供技術(shù)參考依據(jù)，更好地發(fā)揮本標(biāo)準(zhǔn)對(duì)實(shí)際防護(hù)工作的指導(dǎo)作用。2、主要內(nèi)容本標(biāo)準(zhǔn)自2013年啟動(dòng)并開始研究編制以來(lái)，充分參考《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全管理基本要求》（GB-T36323-2018）和在編的網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)等系列標(biāo)準(zhǔn)的編制方法和思路，不斷修改完善標(biāo)準(zhǔn)框架和具體內(nèi)容；同時(shí)，根據(jù)歷次標(biāo)準(zhǔn)專家審查會(huì)議和征求意見會(huì)議所提意見和建議不斷調(diào)整完善本標(biāo)準(zhǔn)的編制思路和具體內(nèi)容。a）草案稿2018年4月4日，在北京TC260-WG5工作組召開的組內(nèi)標(biāo)準(zhǔn)專家審查會(huì)上，與會(huì)專家就本標(biāo)準(zhǔn)的定位提出了意見。會(huì)后，按照此次會(huì)議專家意見，重點(diǎn)梳理本標(biāo)準(zhǔn)間與已經(jīng)發(fā)布標(biāo)準(zhǔn)與的對(duì)應(yīng)關(guān)系，重新對(duì)本標(biāo)準(zhǔn)進(jìn)行定位，對(duì)標(biāo)準(zhǔn)文本的結(jié)構(gòu)和內(nèi)容做了較大調(diào)整。主要體現(xiàn)在以下幾個(gè)方面：1）鑒于近年來(lái)國(guó)內(nèi)對(duì)工業(yè)控制系統(tǒng)信息安全的日益重視和相關(guān)知識(shí)的日益普及，以及工業(yè)控制系統(tǒng)信息安全相關(guān)標(biāo)準(zhǔn)的陸續(xù)發(fā)布，刪除“工業(yè)控制系統(tǒng)描述”、“工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)”、“工業(yè)控制系統(tǒng)基本信息安全”等三章知識(shí)普及性的內(nèi)容。2）按照“縱深立體綜合防御”的思路優(yōu)化設(shè)計(jì)工業(yè)控制系統(tǒng)信息安全技術(shù)要求體系一是參考IEC62443工業(yè)控制系統(tǒng)功能層次模型和關(guān)于信息安全7類基本要求，分別從邊界安全、本體安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、安全集中監(jiān)管和系統(tǒng)應(yīng)急響應(yīng)等六個(gè)方面分類提出防護(hù)技術(shù)要求；二是基于工業(yè)控制系統(tǒng)信息安全、功能安全和物理安全等因素的相互影響，從物理和環(huán)境安全防護(hù)方面提出防護(hù)技術(shù)要求；三是與傳統(tǒng)IT系統(tǒng)相比，工業(yè)控制系統(tǒng)的運(yùn)營(yíng)環(huán)境更加復(fù)雜，系統(tǒng)功能實(shí)現(xiàn)可靠性隨時(shí)都有可能發(fā)生變化，一旦發(fā)生信息安全事件，隨時(shí)有可能造成重大經(jīng)濟(jì)損失和人員傷亡，工業(yè)控制系統(tǒng)的動(dòng)態(tài)、長(zhǎng)期維護(hù)工作更顯重要，因此在系統(tǒng)維護(hù)方面也專門提出技術(shù)要求。3）在“安全防護(hù)技術(shù)要求”章節(jié)，每一項(xiàng)防護(hù)指標(biāo)都包括安全目標(biāo)、方法流程與實(shí)施標(biāo)準(zhǔn)等三項(xiàng)內(nèi)容，其中，方法流程將重點(diǎn)對(duì)通用的防護(hù)方法和流程進(jìn)行提煉和歸納設(shè)計(jì)，既體現(xiàn)方法論也立足于提高標(biāo)準(zhǔn)落地實(shí)施過(guò)程中更好地發(fā)揮指導(dǎo)作用。4）按照工業(yè)控制系統(tǒng)分等級(jí)防護(hù)的要求，調(diào)整等級(jí)劃分的依據(jù)，不再采用原草稿中“工業(yè)控制系統(tǒng)信息安全分類”方法，本標(biāo)準(zhǔn)提出的防護(hù)技術(shù)標(biāo)準(zhǔn)計(jì)劃與《工業(yè)控制信息安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求（GB/T25070-XXXX）》中不同保護(hù)等級(jí)的設(shè)計(jì)技術(shù)要求實(shí)現(xiàn)良好呼應(yīng)，除了提出一般性技術(shù)要求外，還要根據(jù)工控系統(tǒng)基于不同安全防護(hù)等級(jí)對(duì)安全防護(hù)措施不同需求提出針對(duì)性的防護(hù)標(biāo)準(zhǔn)，以保持兩個(gè)標(biāo)準(zhǔn)內(nèi)容的的協(xié)調(diào)一致。此部分內(nèi)容作為最新調(diào)整的編制思路，后續(xù)還需經(jīng)過(guò)較長(zhǎng)時(shí)間的分析研究后方可提出并完善，故未完全反映在本次提交的標(biāo)準(zhǔn)文本中。5）對(duì)于“測(cè)試評(píng)價(jià)”章節(jié)，不再采用“措施合規(guī)性評(píng)價(jià)”的思路，基于“安全防護(hù)效果評(píng)價(jià)”的思路，分別對(duì)工控資產(chǎn)安全性、工控網(wǎng)絡(luò)安全性、防護(hù)產(chǎn)品自身安全性以及現(xiàn)有防護(hù)技術(shù)安全性等方面設(shè)計(jì)評(píng)價(jià)指標(biāo)，采用資產(chǎn)和流量信息采集和分析的方法，對(duì)工業(yè)控制系統(tǒng)信息安全實(shí)際狀況進(jìn)行測(cè)試評(píng)價(jià)。遵循“戴明循環(huán)”的管理思想，提出改進(jìn)措施并進(jìn)行持續(xù)性后測(cè)試評(píng)價(jià)，直到滿足要求。b）征求意見稿（第一版）根據(jù)全國(guó)信標(biāo)委WG5工作組2018年第一次工作組武漢會(huì)議周專家意見和后續(xù)歷次會(huì)議意見，標(biāo)準(zhǔn)編制組編制完成標(biāo)準(zhǔn)征求意見稿第一版。此版標(biāo)準(zhǔn)定位為基層單位開展工控系統(tǒng)信息安全防護(hù)與管理的技術(shù)依據(jù)和工作指南，內(nèi)容涵蓋工控安全等級(jí)保護(hù)、安全防護(hù)能力評(píng)估等合規(guī)性評(píng)估要求，重點(diǎn)在如下方面進(jìn)行完善：一是補(bǔ)充完善各控制指標(biāo)涉及的控制點(diǎn)，結(jié)合在編等保標(biāo)準(zhǔn)、工信部安全防護(hù)指南、工控安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)等系列規(guī)定和標(biāo)準(zhǔn)規(guī)范的規(guī)定，針對(duì)每一項(xiàng)指標(biāo)控制點(diǎn)，由目標(biāo)和技術(shù)要求組成，重點(diǎn)細(xì)化各控制點(diǎn)技術(shù)要求具體內(nèi)容。二是重點(diǎn)針對(duì)工控資產(chǎn)、工控網(wǎng)絡(luò)、防護(hù)產(chǎn)品以及運(yùn)維安全性等關(guān)鍵控制點(diǎn)提出測(cè)試評(píng)價(jià)指標(biāo)，針對(duì)每個(gè)控制點(diǎn)，分別從評(píng)價(jià)內(nèi)容、評(píng)價(jià)方法和結(jié)果判定等方面完善內(nèi)容，提高針對(duì)性與可操作性，便于基層單位加強(qiáng)過(guò)程管控；在現(xiàn)場(chǎng)測(cè)試手段方面，站在便于基層單位掌握使用的角度，提出借助專用信息采集工具采集系統(tǒng)資產(chǎn)和傳輸信息，并借助工具在線分析和人工線下分析等測(cè)試手段，發(fā)現(xiàn)資產(chǎn)漏洞，驗(yàn)證是否存在病毒、木馬入侵及各種惡意攻擊以及數(shù)據(jù)泄露或被竊取等威脅行為，避免對(duì)工業(yè)工業(yè)控制系統(tǒng)既有功能安全和物理安全措施的完整性、可靠性造成影響。三是針對(duì)邊界防護(hù)、主機(jī)防護(hù)、數(shù)據(jù)防護(hù)以及集中監(jiān)控與應(yīng)急響應(yīng)，補(bǔ)充了具體應(yīng)用場(chǎng)景或防護(hù)對(duì)象等內(nèi)容。四是在內(nèi)容方面，由于等保2.0標(biāo)準(zhǔn)還未正式發(fā)布，目前此稿中各控制點(diǎn)的要求內(nèi)容未體現(xiàn)出與不同等級(jí)安全防護(hù)強(qiáng)度的對(duì)應(yīng)與銜接。c）征求意見稿（第二版）根據(jù)全國(guó)信標(biāo)委WG5工作組2018年10月15日北京專家審查會(huì)議意見，標(biāo)準(zhǔn)編制組對(duì)標(biāo)準(zhǔn)征求意見稿第一版進(jìn)行了修改，形成征求意見稿第二版。主要修改內(nèi)容包括：一是進(jìn)一步理順本標(biāo)準(zhǔn)與《GB-T36323-2018信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全管理基本要求》、《GB-T36324-2018工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范》等兩個(gè)已經(jīng)發(fā)布的標(biāo)準(zhǔn)相輔相成，作為本標(biāo)準(zhǔn)編制的重要規(guī)范性引用文件。其中：在“5.1工業(yè)控制系統(tǒng)基本構(gòu)成”部分引用了分級(jí)規(guī)范的內(nèi)容；刪除原稿中“系統(tǒng)安全運(yùn)維、系統(tǒng)集中安全監(jiān)控、系統(tǒng)安全建設(shè)”等章節(jié)與管理要求標(biāo)準(zhǔn)重復(fù)的內(nèi)容，并對(duì)個(gè)別技術(shù)性指標(biāo)要求進(jìn)行引用。二是對(duì)征求意見稿第一稿“5安全防護(hù)體系架構(gòu)”的內(nèi)容進(jìn)行調(diào)整。在此稿中，刪除了“工業(yè)控制系統(tǒng)概述、工業(yè)控制系統(tǒng)層次模型、安全防護(hù)原則、安全防護(hù)體系架構(gòu)”等四小節(jié)內(nèi)容；把原稿中“安全防護(hù)對(duì)象”調(diào)整為"安全防護(hù)對(duì)象和內(nèi)容”，進(jìn)一步明確了工控系統(tǒng)的三個(gè)防護(hù)層次及防護(hù)對(duì)象，補(bǔ)充了根據(jù)等保2.0標(biāo)準(zhǔn)將針對(duì)不同防護(hù)級(jí)別的工業(yè)控制系統(tǒng)安全技術(shù)要求編制對(duì)應(yīng)表的要求。三是在對(duì)“術(shù)語(yǔ)和定義”章節(jié)進(jìn)行修改，補(bǔ)充定義了“控制設(shè)備、工業(yè)主機(jī)、網(wǎng)絡(luò)邊界、工控資產(chǎn)”等本標(biāo)準(zhǔn)專用術(shù)語(yǔ)和定義。d）征求意見稿（第三版）根據(jù)全國(guó)信標(biāo)委WG5工作組青島2018年第二次工作組“會(huì)議周”與會(huì)專家意見，標(biāo)準(zhǔn)編制組對(duì)標(biāo)準(zhǔn)征求意見稿第二版進(jìn)行了修改，形成征求意見稿第三版。主要修改內(nèi)容包括：一是根據(jù)在編的GB/T22239-xxxx和GB/T25070-XXXX標(biāo)準(zhǔn)，對(duì)本標(biāo)準(zhǔn)中的每項(xiàng)指標(biāo)和控制點(diǎn)提出的技術(shù)要求給出了與不同安全防護(hù)等級(jí)的對(duì)應(yīng)關(guān)系，待上述標(biāo)準(zhǔn)正式發(fā)布后再進(jìn)行相應(yīng)更新。二是對(duì)網(wǎng)絡(luò)邊界安全防護(hù)指標(biāo)中列出的電力等六個(gè)典型行業(yè)的邊界安全防護(hù)應(yīng)用場(chǎng)景拓?fù)鋱D進(jìn)行了修改完善，使其具有行業(yè)代表性。三是對(duì)第七章“測(cè)試評(píng)價(jià)指標(biāo)”部分內(nèi)容進(jìn)行修改完善：刪除了評(píng)價(jià)內(nèi)容，調(diào)整評(píng)價(jià)指標(biāo)并與第六章的內(nèi)容保持一致，結(jié)合第6章的評(píng)價(jià)指標(biāo)技術(shù)要求內(nèi)容進(jìn)一步豐富了“測(cè)評(píng)方法”內(nèi)容。四是結(jié)合與會(huì)專家的意見對(duì)邊界隔離、控制設(shè)備入侵防范、控制設(shè)備漏洞防范等控制點(diǎn)的內(nèi)容要求進(jìn)行修改完善，進(jìn)一步明確說(shuō)法，使其更加準(zhǔn)確、貼合實(shí)際。五是針對(duì)文本中部分內(nèi)容偏口語(yǔ)化、規(guī)范性引用文件、參考文獻(xiàn)等問(wèn)題進(jìn)一步修改完善。e）征求意見稿（第四版）根據(jù)2018年11月21日全國(guó)信標(biāo)委WG5工作組北京《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范（修訂）》等13項(xiàng)國(guó)家標(biāo)準(zhǔn)專家審查會(huì)議與會(huì)專家意見，標(biāo)準(zhǔn)編制組對(duì)標(biāo)準(zhǔn)（征求意見稿）第三版進(jìn)行了修改，形成標(biāo)準(zhǔn)（征求意見稿）第四版。主要修改內(nèi)容包括：一是進(jìn)一步完善第7章“測(cè)試評(píng)價(jià)方法”和第6章“安全防護(hù)技術(shù)要求”指標(biāo)和內(nèi)容要求方面的對(duì)應(yīng)關(guān)系：在第6章增加“防護(hù)產(chǎn)品安全”指標(biāo)，共包括：安全審計(jì)、標(biāo)識(shí)與鑒別、用戶數(shù)據(jù)保護(hù)、安全管理和安全功能保護(hù)等5個(gè)控制點(diǎn)，并對(duì)上述控制點(diǎn)提出具體技術(shù)要求；結(jié)合第6章安全防護(hù)技術(shù)指標(biāo)和各控制點(diǎn)技術(shù)要求，補(bǔ)充完善第7章測(cè)試評(píng)價(jià)指標(biāo)中“評(píng)價(jià)方法”和“結(jié)果判定”部分內(nèi)容。二是修改完善第6章中部分指標(biāo)的技術(shù)要求：針對(duì)專家提出“ICS與企業(yè)管理信息系統(tǒng)之間應(yīng)進(jìn)行物理隔離”要求過(guò)高的問(wèn)題，結(jié)合不同安全防護(hù)等級(jí)，提出了針對(duì)性和可操作性的防護(hù)技術(shù)要求；針對(duì)專家提出“網(wǎng)絡(luò)邊界安全防護(hù)電力典型應(yīng)用場(chǎng)景拓?fù)鋱D有錯(cuò)誤”問(wèn)題，重畫系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D，并修改完善網(wǎng)絡(luò)邊界安全防護(hù)技術(shù)要求；針對(duì)專家提出“應(yīng)針對(duì)物理和環(huán)境保護(hù)中的防雷擊提出工控系統(tǒng)特殊的要求”問(wèn)題，提出了“機(jī)房應(yīng)設(shè)計(jì)并安裝防雷擊措施，并在機(jī)房所在大樓防雷措施基礎(chǔ)上采取加強(qiáng)防護(hù)措施”的增強(qiáng)措施。3、擬解決的主要問(wèn)題已經(jīng)發(fā)布的安全防護(hù)類和測(cè)評(píng)類標(biāo)準(zhǔn)主要側(cè)重于政府部門“合規(guī)性檢查”的功能定位，工控系統(tǒng)運(yùn)營(yíng)單位缺乏對(duì)安全防護(hù)體系的系統(tǒng)認(rèn)識(shí)，在工程實(shí)踐過(guò)程不能夠很好地理解防護(hù)措施采取的理由，難以與現(xiàn)場(chǎng)生產(chǎn)經(jīng)營(yíng)過(guò)程緊密結(jié)合。隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018-2020年）》等法規(guī)政策的發(fā)布實(shí)施，明確了運(yùn)營(yíng)單位在工業(yè)控制系統(tǒng)信息安全防護(hù)工作方面的主體責(zé)任，并且要把此項(xiàng)工作納入到單位的生產(chǎn)和經(jīng)營(yíng)活動(dòng)中去。工控系統(tǒng)信息安全防護(hù)工作將會(huì)被納入到企業(yè)的安全生產(chǎn)管理體系，需要制定完善的安全技術(shù)規(guī)程、操作規(guī)程和作業(yè)指導(dǎo)書，但目前國(guó)家、行業(yè)和地方仍然缺乏系統(tǒng)化、體系化的技術(shù)指導(dǎo)標(biāo)準(zhǔn)，單位難以開展工作。本標(biāo)準(zhǔn)充分吸收《工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)安全（IEC-62443）》以及《工業(yè)控制系統(tǒng)安全控制應(yīng)用指南（GB-T32919-2016）》等標(biāo)準(zhǔn)在系統(tǒng)防護(hù)架構(gòu)設(shè)計(jì)、防護(hù)指標(biāo)選擇以及安全控制措施等方面的先進(jìn)理念和做法，設(shè)置物理與環(huán)境、工控網(wǎng)絡(luò)、工控網(wǎng)絡(luò)邊界、工業(yè)主機(jī)、控制設(shè)備、數(shù)據(jù)、系統(tǒng)集中監(jiān)控與應(yīng)急、系統(tǒng)建設(shè)以及系統(tǒng)運(yùn)維等重點(diǎn)安全防護(hù)指標(biāo)；從有利于工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位開展測(cè)試評(píng)價(jià)工作的角度，重點(diǎn)對(duì)工業(yè)控制系統(tǒng)資產(chǎn)和網(wǎng)絡(luò)的脆弱性和所面臨的威脅進(jìn)行分析和診斷，設(shè)置網(wǎng)絡(luò)安全性、工控資產(chǎn)安全性、防護(hù)產(chǎn)品安全性以及運(yùn)維安全性等關(guān)鍵技術(shù)指標(biāo)并對(duì)其涉及的控制點(diǎn)進(jìn)行測(cè)試評(píng)價(jià)，針對(duì)每個(gè)控制點(diǎn)，分別從評(píng)價(jià)內(nèi)容、評(píng)價(jià)方法和結(jié)果判定等方面完善內(nèi)容，提高針對(duì)性與可操作性，便于基層單位加強(qiáng)過(guò)程管控。通過(guò)本標(biāo)準(zhǔn)的建立，可為工業(yè)控制系統(tǒng)運(yùn)營(yíng)單位日常安全防護(hù)和效果跟蹤評(píng)價(jià)工作提供技術(shù)方法和操作規(guī)范，同時(shí)也可作為測(cè)評(píng)機(jī)構(gòu)開展工控系統(tǒng)等保測(cè)評(píng)、政府部門開展工控系統(tǒng)信息安全檢查以及安全服務(wù)商提供安全技術(shù)服務(wù)等提供技術(shù)參考依據(jù)。三、主要試驗(yàn)[或驗(yàn)證]情況分析無(wú)。四、知識(shí)產(chǎn)權(quán)情況說(shuō)明本部分不涉及專利和知識(shí)產(chǎn)權(quán)。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果目前，工業(yè)控制系統(tǒng)已廣泛運(yùn)用于核設(shè)施、石油石化、電力、水利、鐵路、城市軌道交通、航天等工業(yè)領(lǐng)域，用于控制生產(chǎn)設(shè)備的運(yùn)行。這些控制系統(tǒng)已成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，關(guān)系到國(guó)家的戰(zhàn)略安全。同時(shí)，隨著信息技術(shù)在工業(yè)控制系統(tǒng)的廣泛應(yīng)用，其信息安全問(wèn)題日益突出，通過(guò)本標(biāo)準(zhǔn)的制定，將為工控系統(tǒng)運(yùn)營(yíng)單位全面開展安全防護(hù)工作提供方法和內(nèi)容方面的指導(dǎo)，對(duì)順利推動(dòng)我國(guó)工業(yè)控制系統(tǒng)信息安全等級(jí)保護(hù)和評(píng)估工作將發(fā)揮積極支撐作用。六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的情況本標(biāo)準(zhǔn)采用國(guó)際標(biāo)準(zhǔn)《工業(yè)控制系統(tǒng)信息安全指南》（NISTSP800-82）以及《工業(yè)過(guò)程測(cè)量與控制安全：網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標(biāo)準(zhǔn)（IEC62443）相關(guān)技術(shù)指標(biāo)和方法。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性本標(biāo)準(zhǔn)立足于貫徹《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》等相關(guān)法律、法規(guī)和規(guī)章要求，充分吸收《工業(yè)控制系統(tǒng)安全控制應(yīng)用指南（GB-T32919-2016）》、《信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》（GB/T36466-2018）等相關(guān)標(biāo)準(zhǔn)的編制方法和思路，及時(shí)跟蹤并借鑒《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T222