1、TCS 35. 030CCS L 80昌中华人民共和国国家标准GB/T 414002022信息安全技术工业控制系统信息安全 防护能力成熟度模型Information security technologyInformation security protection capability maturity model of industrial control systems2022-04-15 发布2022-11-01 实施国家市场监督管理总局 国家标准化管理委员会GB/T 414002022目 次前言.V1 范围 . 12规范性引用文件 .13术语和定义.14缩略语.25工业控制系统信息安
2、全防护能力成熟度模型 .35. 1 能力成熟度模型架构.35. 2 能力要素维度 .4521 能力构成.45. 2. 2 机构建设.45. 2. 3 制度流程.45. 2. 4 技术工具.45. 2. 5 人员能力.45. 3 能力成熟度等级维度.45. 4 能力建设过程维度.55. 4. 1 PA 体系.55. 4. 2 编码规则 .65. 4. 3 关系描述.66 核心保护对象安全 .76. 1 工业设备安全.76. 1. 1 PAO1控制设备安全.76. 1. 2 PAO2现场测控设备安全. 86. L3 PAO3设备资产管理.96. 1. 4 PAO4存储媒体保护.96. 2 工业主机
3、安全. 116. 2. 1 PA05专用安全软件.116. 2. 2 PAO6漏洞和补丁管理.126. 2. 3 PAO7外设接口管理 .126,3 工业网络边界安全.136. 3. 1 PAO8安全区域划分. 136. 3. 2 PA09网络边界防护.146. 3. 3 PA1O远程访问安全.156. 3. 4 PA11身份认证 . 166. 4 工业控制软件安全.176. 4. 1 PA12安全配置.176. 4. 2 PA13配置变更.186. 4. 3 PA14 账户管理. 19IGB/T 4140020226. 4. 4 PA15 口令保护.196. 4. 5 PA16安全审计.20
4、6. 5 工业数据安全.216. 5. 1 PA17数据分类分级管理. 216. 5. 2 PA18差异化防护.236. 5. 3 PA19数据备份与恢复.236. 5. 4 PA20测试数据保护.247 通用安全. 257. 1 安全规划与架构.257. 1. 1 PA21安全策略与规程.257. 1. 2 PA22安全机构设置. 267. 1. 3 PA23安全职责划分.277. 2 人员管理与培训.277. 2. 1 PA24人员安全管理.277. 2. 2 PA25安全教育培训.287. 3 物理与环境安全.297,3. 1 PA26物理安全防护.297. 3. 2 PA27应急电源.
5、307. 3. 3 PA28物理防灾.317,3. 4 PA29 环境分离. 327. 4 监测预警与应急响应.337. 4. 1 PA3O工业资产感知.337. 4. 2 PA31风险监测.347. 4. 3 PA32威胁预警.357. 4. 4 PA33应急预案.367,4. 5 PA34应急演练.377. 5 供应链安全保障.377. 5. 1 PA35 产品选型. 377. 5. 2 PA36供应商选择.387. 5. 3 PA37采购交付.397. 5. 4 PA38合同协议控制.407. 5. 5 PA39源代码审计.41756 PA40升级安全保障.428能力成熟度等级核验方法.
6、438. 1 工业设备安全.438. 1. 1 PA01控制设备安全.438. 1. 2 PA02现场测控设备安全.438. 1. 3 PAO3设备资产管理.448. 1. 4 PAO4存储媒体保护.458. 2 工业主机安全.458. 2. 1 PA05专用安全软件.458. 2. 2 PAO6漏洞和补丁管理.46GB/T 4140020228. 2. 3 PAO7外设接口管理 .478. 3 工业网络边界安全.478. 3. 1 PA08安全区域划分.478. 3. 2 PA09网络边界防护.488. 3. 3 PA10远程访问安全.488. 3. 4 PA11身份认证.498. 4 工业
7、控制软件安全.508. 44 PA12安全配置.508. 4. 2 PA13配置变更 . 518. 4. 3 PA14账户管理.518. 4. 4 PA15 口令保护.528. 4. 5 PA16安全审计.538. 5 工业数据安全. 54851 PA17数据分类分级管理.548. 5. 2 PA18差异化防护.558. 5. 3 PA19数据备份与恢复.56854 PA20测试数据保护.568. 6 安全规划与架构.578. 6. 1 PA21安全策略与规程.57862 PA22安全机构设置.578. 6. 3 PA23安全职责划分.588. 7 人员管理与培训.588. 7. 1 PA24
8、人员安全管理.588. 7. 2 PA25安全教育培训.598. 8 物理与环境安全.608. 8. 1 PA26物理安全防护.608. 8. 2 PA27应急电源.618. 8. 3 PA28物理防灾.618. 8. 4 PA29环境分离.638. 9 监测预警与应急响应.638. 9. 1 PA30工业资产感知.638. 9. 2 PA31风险监测.648. 9. 3 PA32威胁预警.658. 9. 4 PA33应急预案.658. 9. 5 PA34应急演练.668. 10 供应链安全保障.668,10. 1 PA35 产品选型.668. 10. 2 PA36供应商选择.678,10.
9、3 PA37 采购交付. 688. 10. 4 PA38合同协议控制. 688. 10. 5 PA39源代码审计.698. 10. 6 PA40升级安全保障.70附录A (资料性)能力成熟度等级描述与GP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71EDGB/T 4140
10、02022附录B (资料性)能力成熟度模型使用方法.74附录C (资料性)能力成熟度等级核验流程.75参考文献.78IVGB/T 414002022刖 百本文件按照GB/T LI2020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定 起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。本文件起草单位;中国电子技术标准化研究院、太极计算机股份有限公司、江苏赛西科技发展有限 公司、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、广州赛宝认证中心服务有限 公司、中国石油天然气
11、股份有限公司西北销售分公司、中国石油天然气股份有限公司长庆石化分公司、 宁波和利时信息安全研究院有限公司、国家工业信息安全发展研究中心、国家信息技术安全研究中心、 中国信息安全测评中心、浙江省能源集团有限公司、浙江浙能乐清发电有限责任公司、上海三零卫士信 息安全有限公司、陕西省网络与信息安全测评中心、西门子(中国)有限公司、上海工业控制安全创新科 技有限公司、华东师范大学、杭州安恒信息技术股份有限公司、中国网络安全审查技术与认证中心、昆仑 数智科技有限责任公司、西安电子科技大学、国网新疆电力有限公司电力科学研究院、中电长城网际系 统应用有限公司、中国石油天然气股份有限公司新疆油田分公司数据公司
12、、杭州立思辰安科科技有限公 司、东莞市擎洲光电科技有限公司、柳州源创电喷技术有限公司、江苏省电子信息产品质量监督检验研 究院(江苏省信息安全测评中心)、北京六方云信息技术有限公司、中国科学院软件研究所、烽台科技(北 京)有限公司、上海化工宝数字科技有限公司、北京和仲宁信息技术有限公司、杭州木链物联网科技有限 公司、陕西科技大学、中石油华东设计院有限公司、中国能源建设集团浙江省电力设计院有限公司、陕西 延长石油富县发电有限公司、上海大学、海澜智云科技有限公司、成都航天通信设备有限责任公司.本文件主要起草人:姚相振、李琳、甘俊杰、周睿康、龚洁中、周峰、李尧、刘贤刚、赵振学、赵金元、 郝志强、赵梓桐
13、、方进社、李俊、郭娴、夏冀、锦玉娜、闵京华、邸丽清、孙彦、胡影、王惠莅、李弘彦、马强、 程宇、陈柯宇、张宏伟、陈曦、牟文彪、张坚群、件大奎、刘盈、杨帆、高瑞、闫涛、蒲戈光、刘虹、费敏锐、 彭晨、杜大军、布宁,申永波、焦程鹏、刘鸿运、张芝军、王飞、索涛、戴赞、张建新、强剑、石永杰、于慧超、 王小宏、赵朋、沈玉龙、李峰、王斌、周燕华、孙军、于盟、肖威、林昕、姜亚光、刘丕群、孙军军、刘志乐、 吴兰、杨晨、龚亮华、段沛鑫、陈艳、刘克松、高智伟、张浏骅、刘冬、李敏、张晓菲、曹禹、郝鑫、马孝磊、 杨立军、林洪俊、陈若春、纪璐、晏敏、方静、莫韬、何双羽、赵峰、张俊峰、刘志刚、赵学全、程薇宸、王一蔚、 赵建宏
14、。VGB/T 414002022信息安全技术 工业控制系统信息安全 防护能力成熟度模型1范围本文件给出了工业控制系统信息安全防护能力成熟度模型,规定了核心保护对象安全和通用安全 的成熟度等级要求,提出了能力成熟度等级核验方法。本文件适用于工业控制系统设计、建设、运维等相关方进行工业控制系统信息安全防护能力建设, 以及对组织工业控制系统信息安全防护能力成熟度等级进行核验。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款,其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。GB/T 25069信息
15、安全技术术语GB/T 329192016信息安全技术工业控制系统安全控制应用指南3术语和定义GB/T 25069,GB/T 32919-2016界定的以及下列术语和定义适用于本文件。3. 1工业控制系统 industrial control system由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的确保工业基础 设施自动化运行、过程控制与监控的业务流程管控系统。注:工业控制系统包括监控和数据采集(SCADA)系统、分布式控制系统(DC5)和其他较小的控制系统,如可编程逻 辑控制器(PLC)等.来源来B/T 363232018,3. 1,有修改二3. 2工业控制系统信息
16、安全防护能力 information security protection capability of industrial control system组织为避免工业控制系统遭到非授权或意外的访问、篡改、破坏及损失,在机构建设、制度流程、技 术工具和人员能力等方面对工业控制系统的安全保障。3. 3能力成熟度 capability maturity对一个组织有条理的持续改进能力以及实现特定过程的连续性可持续性、有效性和可信度的 水平。来源:GB/T 379882019,3,6 3. 4能力成熟度模型 capability maturity model对一个组织的能力成熟度进行度量的模型,包括
17、一系列代表能力和进展的特征、属性、指示或者 GB/T 414002022模式。注;能力成熟度模型为组织衡量其当前的实践、流程、方法的能力水平提供参考基准,并设置明确的提升目标.来源:GB/T 379882019,3. 73. 5过程域 process area实现同一安全目标的相关工业控制系统信息安全防护基础实践的集合。3. 6基础实践 base practice实现某一安全目标的工业控制系统信息安全防护相关活动。3. 7通用实践 generic practice在等级核验中用于确定任何安全过程域或基础实践的实施能力的评定准则。3. 8核心保护对象 core protected object组
18、织在工业控制系统信息安全防护能力建设过程中具有价值的信息或资源。注;核心保护对象包括工业设备、工业主机、工业网络边界、工业控制软件和工业数据等.3. 9工业设备 industrial equipment工业生产过程中用于控制执行器以及采集传感器数据的装置。注:工业设备包括控制设备、现场测控设备等。3. 10工业主机 industrial host工业生产控制各业务环节涉及组态、工作流程和工艺管理、状态监控、运行数据采集以及重要信息 存储等工作的设备。注:工业主机包括工程师站、操作员站、服务器等.4缩略语下列缩略语适用于本文件.APP:应用程序(Application)BP:基础实践(Base
19、Practice)CF:公共特征(Common Feature)DCS:分布式控制系统(Distributed Control System)DPU:分散处理单元(Distributed Processing Unit)FTP:文件传输协议(File Transfer Protocol)GP:通用实践(Generic Practice)GPS:全球定位系统(Global Positioning System)HTTP:超文本传输协议(Hyper Text Transfer Protocol)IED:智能电子设备(Intelligent Electric Device)OLE:对象连接与嵌入(O
20、bject Linking and Embedding)OPC;用于过程控制的 OLE(OLE for Process Control)PA:过程域(Process Area)PLC:可编程逻辑控制器(Programmable Logic Controller)2GB/T 414002022PKI:公钥基础设施(Public Key Infrastructure)RFID:射频识别(Radio Frequency Identification)RTU:远程终端单元(Remote Terminal Unit)SCADA:监控和数据采集(Supervisory Control And Data A
21、cquisition)SQL:结构化查询语言(Structured Query Language)SSH:安全外壳(Secure Shell)UPS:不间断电源(Uninterruptible Power Supply)USB:通用串行总线(Universal Serial Bus)VPN:虚拟专用网络(Virtual Private Network)5工业控制系统信息安全防护能力成熟度模型5. 1 能力成熟度模型架构工业控制系统信息安全防护能力成熟度模型的架构(见图1)由以下三个维度构成。a)安全能力要素组织工业控制系统信息安全防护能力要素包括机构建设、制度流程、技术工具和人员能力。b)能力
22、成熟度等级组织工业控制系统信息安全防护能力成熟度等级划分为五级,具体包括:1级是基础建设级, 2级是规范防护级,3级是集成管控级,4级是综合协同级,5级是智能优化级。c)能力建设过程组织工业控制系统信息安全防护能力建设过程包括核心保护对象安全和通用安全:】)核心保护对象安全包括:工业设备安全、工业主机安全、工业网络边界安全、工业控制软件 安全、工业数据安全5个过程类;2)通用安全包括:安全规划与架构、人员管理与培训I、物理与环境安全、监测预警与应急响 应、供应链安全保障5个过程类.安全能力要素工业主机安全工业设备安全能力成熟度等级工业网络边界安全工业控制软件安全工业数据安全图1工业控制系统信息
23、安全防护能力成熟度模型架构图3GB/T 4140020225. 2 能力要素维度5. 2. 1 能力构成通过对组织工业控制系统信息安全防护过程应具备安全能力的量化,进而核验每项安全过程的实 现能力.组织工业控制系统信息安全防护能力要素包括:a)机构建设:工业控制系统信息安全机构的设立、职责分配和沟通协作:b)制度流程:组织在工业控制系统信息安全领域的制度和流程执行;c)技术工具:通过技术手段和产品工具落实安全要求或自动化实现安全工作;d)人员能力:执行工业控制系统信息安全防护工作的人员的安全意识及相关专业能力。5. 2. 2 机构建设从承担工业控制系统信息安全防护工作的组织应具备的机构建设能力
24、角度,根据以下方面进行能 力等级区分:a)工业控制系统信息安全架构对组织业务的适用性;b)工业控制系统信息安全机构承担的工作职责的明确性;c)工业控制系统信息安全机构运作、沟通协调的有效性。5. 2. 3 制度流程从组织工业控制系统信息安全防护制度流程的建设以及执行情况角度,根据以下方面进行能力等 级区分:a)工业控制系统核心保护对象关键控制节点授权审批流程的明确性;b)相关制度流程的制定、发布、修订的规范性;c)制度流程实施的一致性和有效性。5. 2. 4 技术工具从组织用于开展工业控制系统信息安全防护工作的安全技术、应用系统和工具角度,根据以下方面 进行能力等级区分:a)工业控制系统信息安
25、全防护技术在系统核心保护对象中的利用情况,针对系统安全风险的应 对能力;b)利用技术工具对工业控制系统信息安全防护工作的自动化支持能力,对工业控制系统信息安 全防护制度流程固化执行的实现能力。5. 2. 5 人员能力从组织承担工业控制系统信息安全防护工作的人员应具备的能力角度,根据以下方面进行能力等 级区分:a)工业控制系统信息安全人员所具备的安全技能是否能够满足复合型能力要求(对工业控制系 统相关业务的理解程度以及工业控制系统信息安全专业能力);b)工业控制系统信息安全人员的信息安全意识以及对关键工业控制系统信息安全岗位员工信息 安全能力的培养。5. 3 能力成熟度等级维度组织工业控制系统信
26、息安全防护能力成熟度等级共分为5级,见图2。4GB/T 414002022图2工业控制系统信息安全防护能力成熟度等级根据组织开展安全防护的能力分为5个能力成熟度等级,自低向高分别是基础建设级、规范防护 级、集成管控级、综合协同级、智能优化级。各能力成熟度等级的CF如下:a)基础建设级:组织能够依据工业控制系统信息安全防护的技术基础和条件开展基本保护工作, 安全防护能力建设主要基于特定业务场景,尚未形成规范化、流程化的工作方式,相关工作多 依赖信息安全人员主观经验,建设过程未要求以文档形式记录,无法形成可复制;b)规范防护级:组织建立并记录工业控制系统信息安全防护能力建设工作,能够针对工业控制设
27、 备、工业主机、工业网络、工业数据等方面,制定规范化安全防护制度、规章,使得组织能够以重 复的方式执行,采用数字化装备、信息技术手段等,有针对性地开展安全防护,面向各方面形成 独立、可复制的安全防护能力:c)集成管控级:组织能够对工业控制系统设备、主机、系统、网络、数据等方面,在规范防护已有工 作基础上,通过集成化工具、系统等,对相对独立的单点防护设备进行集中统一管控,同时整合 相关防护规章制度文件,形成体系化制度,实现组织内部工业控制系统信息安全的集中管理、 统一控制的安全防护能力;d)综合协同级:组织能够面向不同产线、厂区、工厂及产业链上下游相关单位,统筹考虑信息安全 风险需求,开展安全防
28、护建设,建立多级协同的安全管理体系,并通过态势感知、统一管控等技 术手段实现综合决策、协调防护的安全能力;e)智能优化级:组织能够采用人工智能、主动防御、内生安全等先进技术,与已有安全防护设备、 系统、制度体系深度融合,使得可通过知识学习、智能建模分析等技术,构建可智能化演进的安 全防护系统,形成具有自决策、自进化能力的安全防护体系。5.4 能力建设过程维度5. 4. 1 PA 体系PA体系分为核心保护对象安全和通用安全两部分,共包含40个PA,见图3。.5GB/T 414002022地设翁安全 PA01控制设备安全 PA02现场测控设备安全 PAQ3设善资产管理 PAO4存懂媒体保护 PA0
29、5专用安全软件 PA06漏洞和补丁管理PAO7外设接口管理技心保护对象安全 PA08安全区域划分 PA09网络边界防护 PA10远程访问安金* PA11身份认证 PA12安全配置 PA13配置变更 PA14账户管理 PA15 口令保护 PA16安全审计PA17数据分类分级管理 PA18差异化防护 PA19数据备份与恢复 PA2O测试数据保护:业主机女女通用安全PA21安全策略与规程 PA22安全机构设胃PA23安全职责划分 PA24人员安全管理PA2S安全教育培训脾与环境安全可 PA26物理安全防护 PA27应急电源 PA28物理防灾 PA29环境分离跄利莎警后应急响应 PA3O工业资产密知
30、PA31风峻监测 PA32威胁3(警PA33应急案 PA34应急演练PA35产品选型PA36供应商垃择 PA37采的交付PA38合同林议控制 PA39源代码审计PA4D升级安全保障图3工业控制系统信息安全防护PA体系核心保护对象安全包括以下5个过程类:a)工业设备安全的PA(PA01PA04)包括:控制设备安全、现场测控设备安全、设备资产管理、 存储媒体保护;b)工业主机安全的PA(PAO5PA07)包括:专用安全软件、漏洞和补丁管理、外设接口管理;c)工业网络边界安全的PA(PAO8PAID包括:安全区域划分、网络边界防护、远程访问安全、 身份认证;d)工业控制软件安全的PA(PA12PA1
31、6)包恬:安全配置、配置变更、账户管理、口令保护、安全 审计;e)工业数据安全的PA(PA17PA20)包括:数据分类分级管理、差异化防护、数据备份与恢复、 测试数据保护。通用安全包括以下5个过程类:a)安全规划与架构的PA(PA21PA23)包括:安全策略与规程、安全机构设置、安全职责划分;b)人员管理与培训的PA(PA24和PA25)包括:人员安全管理、安全教育培训;c)物理与环境安全的PA(PA26PA29)包括:物理安全防护、应急电源、物理防灾、环境分离;d)监测预警与应急响应的PA(PA30PA34)包括工业资产感知、风险监测、威胁预警、应急预 案、应急演练;e)供应链安全保障的PA
32、(PA35PA40)包括:产品选型、供应商选择、采购交付、合同协议控制、 源代码审计、升级安全保障。5. 4. 2 编码规则工业控制系统信息安全防护PA编码规则如下:a)每个PA有对应的编号,分别采用递增的数值01,02,,表示;b)每个PA由若干BP组成,BP用BP. XX. XX进行编号,第一组编码表示所在PA的序号,第二 组编码表示具体BP的序号,具体BP的序号采用递增的数值。1,02,,表示;c)对于每个PA的每个级别,组织需同时实现该级别和所有低于该级别的BP,才能达到该级别 的能力水平.5. 4. 3 关系描述能力成熟度等级与PA、BP、能力要素的关系如下:6GB/T 414002
33、022a)组织在每个PA的能力成熟度划分为5级,对每个等级下组织应具备的能力要求,从4个能力 要素提出具体的BP;b)并非每个PA的能力成熟度等级都包含完整的4个能力要素;c)对于每个PA,高等级的能力要求不低于所有低等级能力要求,可依据GB/T 32919-2016提 供的方法对某一等级能力要求进行裁剪。注:针对某一具体PA,如5级的能力要求中未涉及某一能力要素的内容,则默认应实现在4级的能力要求中该能 力要素的内容,以此类推。能力成熟度等级的描述与GP,见附录A.能力成熟度模型使用方法,见附录Bo能力成熟度等级核验流程,见附录C.6核心保护对象安全6. 1 工业设备安全6. 1. 1 PA
34、01控制设备安全6. 1. 1. 1 PA 描述保护工业控制设备,阻止非授权访问,避免控制设备受到恶意人侵、攻击或非法控制。6J. 1. 2等级描述6. 1. 1. 2. 1等级1:基础建设该等级的安全防护能力描述如下:人员能力:组织仅根据特定需求或基于组织经验对工业控制设备进行安全管理(BP. 01. 01)。6. 1. 1. 2. 2 等级2:规范防护该等级的安全防护能力描述如下:a)制度流程:组织建立工业控制设备安全保障制度,制定安全管理文档(BPQ1. 02);b)技术工具:组织采用具有身份鉴别、访问控制和安全审计等安全功能的工业控制设备,如受条 件限制工业控制设备无法实现上述要求,部
35、署上位控制或管理设备实现同等功能,或通过管理 手段控制(BP. 01. 03);c)人员能力:组织在经过测试评估后,在不影响系统安全稳定运行的情况下对工业控制设备进行 补丁更新、固件更新等工作(BP. 01. 04)。6. L1. 2. 3 等级3:集成管控该等级的安全防护能力描述如下;a)技术工具:组织使用专用设备和专用软件对工业控制设备进行更新(BP. O1,05):b)人员能力:组织在工业控制设备上线前对其进行安全性检测,工业控制设备固件中不存在恶意 代码程序(BP. 01. 06)。6. 1. 124等级4:综合协同该等级的安全防护能力描述如下:技术工具:可在PLC、DCS等核心控制设
36、备前端部署具备工业控制协议深度包检测功能的防护设 7GB/T 414002022备,能对OPC、Profinet等主流工业控制协议数据进行深度包分析和检测过滤,具备检测或阻断不符合 协议标准结构的数据包、不符合正常生产业务范围的数据内容等功能(BP. 01. 07)。6. 1. 1. 2. 5等级5:智能优化该等级的安全防护能力描述如下:技术工具:组织部署内嵌安全功能的控制设备,构建工业控制系统安全可信环境(BP. 01. 08)。6. 1. 2 PA02现场测控设备安全6. 121 PA 描述根据实际或计划使用环境的安全风险分析结果,保护现场测控设备免受攻击、侵入、干扰和破坏。6. 1,2.
37、 2等级描述6. L2. 2. 1等级1:基础建设该等级的安全防护能力描述如下:人员能力:组织仅根据特定需求或基于组织经验对现场测控设备进行安全管理(BP. 02. 01)。6.1.2.2.2等级2:规范防护该等级的安全防护能力描述如下。a)制度流程:建立工业控制系统现场测控设备安全保障制度,制定安全管理文档(BP. 02. 02), b)技术工具:1)组织选择现场测控设备,优先考虑具有对访问行为主体(人员、进程和设备)进行标识与鉴 别的功能(BP. 02. 03);2)组织选择现场测控设备,优先考虑具有访问控制与审计功能,支持基于角色的访问控制策 略,并对重要的安全性事件和重要生产活动进行审
38、计(BP. 02. 04)*3)组织选择现场测控设备,优先考虑具有数据完整性校验功能,具备防止对静态数据进行非 授权写操作的保护机制(硬件或软件),并具备抵御数据包插入、丢失、重放、篡改的机制 (BP. O2. O5);4)组织采用的现场测控设备具备机制保护存储和传输数据的保密性(BP. 02. 06)。6J. 2. 2. 3等级3;集成管控该等级的安全防护能力描述如下:技术工具:a)组织部署统一配置管理平台对RTU、IED、DPU等现场测控设备进行集中管理(BP. 02. 07); b)如现场测控设备直接或依靠其他工具提供备份功能,组织进行应用级和系统级信息(包括系统安全状态信息)的备份(B
39、P. 02. 08).6.1.2.2.4 等级4:综合协同该等级的安全防护能力描述如下:机构建设:组织建立现场测控设备提供者和运营者的协同运维机制,明确设备检修阶段的各方责任 戈份(BP. 02. 09)。6.1.2.2.5 等级5:智能优化该等级的安全防护能力描述如下:8GB/T 414002022技术工具:在现场测控设备的远程管理过程中,组织可采用基于公钥密码理论的PK1安全体系 (BP. 02. 10)。6. 1. 3 PA03设备资产管理6. 1. 3. 1 PA 描述建立组织工业控制系统资产管理机制,从资产的类型、管理模式等方面实现统一的管理要求。6.1.3.2等级描述6. 1. 3
40、. 2J 等级1:基础建设该等级的安全防护能力描述如下:人员能力:组织仅根据特定需求或基于组织经验开展设备资产管理(BP. O3. O1)。6. 1. 3. 2. 2等级2:规范防护该等级的安全防护能力描述如下:制度流程:a)组织制定设备资产管理制度(BP. 03. 02);b)组织建立工业控制系统资产清单(包括软件资产、硬件资产、固件资产等3确保工业控制系统 资产信息可核查、可追溯(BP. 03. 03)。6J. 3. 2. 3等级3:集成管控该等级的安全防护能力描述如下:a)制度流程:围绕组织工业控制系统承载的关键业务,制定涵盖关键工业主机、网络设备、控制组 件等的重要资产清单(BP. 0
41、3. 04),b)技术工具:组织对关键工业主机、网络设备、控制组件等进行冗余配置(如双机冷/热备 等MBP. 03. 05)。6. 1. 324等级4:综合协同该等级的安全防护能力描述如下:a)机构建设:组织建立资产多级管理及使用处置规则并明确资产责任人,在资产生命周期内对其 进行适当管理(BP. 03. 06);b)技术工具:组织将工业控制系统设备资产清单及相关信息上传至云服务(可为私有云),对设备 资产进行综合管控(BP. 03. 07)。6.1.3.2.5等级5:智能优化该等级的安全防护能力描述如下:技术工具:组织采用自动化扫描等技术,智能发现新增或变更的网络设备、工业主机、控制设备等,
42、 并自动更新资产清单(BP. 03. 08)。6. 1. 4 PA04存储媒体保护6J. 4. 1 PA 描述为数据存储媒体的访问和使用提供有效的技术和管理手段,防止对媒体的不当使用可能引发的数 9GB/T 414002022据泄露风险,6.1,4,2等级描述6.1.4.2.1等级1:基础建设该等级的安全防护能力描述如下:机构建设:组织仅根据特定需求或基于组织经验开展存储媒体保护工作(BP. 04. 01)。6. L4. 2. 2等级2:规范防护成等级的安全防护能力描述如下。a)制度流程:1)组织建立存储媒体保护制度,包括存储媒体登记、存储媒体使用、存储媒体销毁等,并定期 对存储媒体保护制度进
43、行评审、更新(BP. 04. 02);2)组织对存储媒体进行分类保护,将存储媒体分为数字存储媒体和非数字存储媒体。其中, 数字存储媒体包括:硬盘、光盘、软盘、U盘等,非数字存储媒体包括文档、缩微胶片等 (BP. 04. 03);3)存储媒体销毁前进行审阅、批准、跟踪等步骤,经组织审查和批准后进行存储媒体销毁,并 确认该销毁过程的合规性(BP. 04. 04)。b)技术工具:受控区域外传递各类存储媒体时,组织采取安全防护措施进行保护和控制(BP. 04. 05)。c)人员能力:受控区域内,组织采取物理控制措施并安全存放各类存储媒体,实行专人管理,并根 据存储媒体登记的清单定期盘点(BP. 04.
44、 06)。6.1.4.2.3等级3:集成管控该等级的安全防护能力描述如下。a)制度流程:存储媒体由组织集中管控,依据确定的范围登记存储媒体的名称/种类、序号、分发 范围、访问耍求、处理要求、销毁要求等(BP. 04. 07)。b)技术工具:1)组织采用管理系统对存储媒体传递相关活动进行记录,确保存储媒体在受控区域外传递 过程的可核查性(BP. 04. 08);2)在存储媒体报废、回收前,组织对存储媒体进行销毁,采用销毁机制的强度、覆盖范围与存 储媒体中存储信息的安全类别或级别相匹配(BP. 04. 09)。c)人员能力:组织对存储媒体在物理传输过程中的人员选择、打包、交付等情况进行控制,并对存
45、 储媒体的归档和查询等进行记录(BP. 04. 10)。6. 1. 4. 2,4等级4:综合协同该等级的安全防护能力描述如下:技术工具:销毁前组织采用技术手段确认存储媒体内的信息不能恢复或重建(BP. 04. ll)。6,1. 42. 5等级5:智能优化该等级的安全防护能力描述如下:技术工具:组织采用自动化技术手段,识别并禁止未标识的存储媒体在工业控制系统中使用(BP. 04.12)。10GB/T 4140020226. 2 工业主机安全6. 2. 1 PA05专用安全软件6. 2J. 1 PA 描述在操作员站、工程师站等工业主机匕安装专用安全软件,对可执行程序进行管理,防止病毒、木马等 恶意
46、程序感染。6. 2. 1. 2等级描述6. 2. 1 . 2. 1等级1:基础建设该等级的安全防护能力描述如下:人员能力:组织仅根据特定需求或基于组织经验对工业主机可执行程序进行管理(BP. 05. 01)。6.2.1 .2.2等级2:规范防护该等级的安全防护能力描述如下。a)制度流程:建立工业主机防病毒和恶意软件入侵管理制度,制定安全管理文档(BP. O5,O2)。b)技术工具:1)组织在工业主机中安装安全软件,防范病毒、木马等恶意程序,防止未授权应用程序和服 务运行(BP. O5. 03);2)组织在离线环境中对安全软件进行测试,验证安全软件不会对工业控制系统的正常运行 造成影响(BP.
47、O5. O4)。c)人员能力:组织依据采购合同、软件协议等规定的方式使用安全软件,明确业主方的责任(BP. 05.05)。6. 2. 1 . 2. 3等级3:集成管控该等级的安全防护能力描述如下:a)制度流程:组织在工业控制系统上线前或检修阶段对其进行安全扫描,适用时定期对工业控制 系统进行安全扫描,记录安全扫描结果并处理存在的漏洞(BP. 05. 06);b)技术工具:对临时接人的设备进行安全扫描,并留存安全扫描记录(BP. 05. 07)。6. 2. 124 等级4:综合协同该等级的安全防护能力描述如下。a)技术工具:1)组织部署工业控制系统安全软件统一管理系统,对厂区内工业主机专用的安全
48、防护软件 进行统一管理(BP. 05. 08);2)组织在工业主机上安装安全软件,能够识别网络入侵和恶意软件并告警(BP. O5. O9)。b)人员能力:组织选择定制化安全软件时,要求供应方提供开发安全文档,并在可控范围内为源 代码核查提供技术支持(BP. 05. 10)。621. 2. 5 等级5:智能优化该等级的安全防护能力描述如下:技术工具:组织部署工业控制系统安全软件统一管理系统,集成自适应分析学习功能,通过控制行 11GB/T 414002022为逻辑安全性判断、分布式逻辑行为的综合分析等,实现异常控制程序、指令等实时分析反馈(BP. O5. 11)06. 2. 2 PA06漏洞和补
49、丁管理6.2.2.1 PA 描述基于组织工业控制系统风险评估结果,对工业信息安全漏洞和补丁进行管理,防止高级持续性威胁 利用漏洞入侵工业主机。6.2.2.2等级 描述6.2.2.2.1等级 1:基础建设该等级的安全防护能力描述如下:人员能力:组织仅根据特定需求或基于组织经验对工业信息安全漏洞和补丁进行管理(BP. 06. 01)。62222等级2:规范防护该等级的安全防护能力描述如下:a)制度流程:组织建立工业信息安全漏洞和补丁管理制度,跟踪重大工业信息安全漏洞信息,并 进行分析研判(BP. 06. 02);b)机构建设:出现重大工业信息安全漏洞后,组织及时跟踪补丁发布,在适当时间进行补丁升级
50、 或开展消减措施(BP. 06. 03)。6. 2. 223等级3:集成管控该等级的安全防护能力描述如下:制度流程:a)补丁安装前,组织对补丁进行安全测试,验证其有效性并评估可能的后果,必要时在离线环境 中进行,补丁安装不影响工业控制系统的正常运行(BP. 06. 043b)组织制定详细的回退计划,确保工业控制系统能够回到稳定的运行状态(BP. O6. O5)。6. 2N. 2. 4等级4:综合协同该等级的安全防护能力描述如下:制度流程:组织建立补丁升级标准化流程,对不同厂区的补丁升级进行集中统一管理,由专业人员 进行补丁升级(BP. O6. O6)。62225等级5:智能优化该等级的安全防护
浙ICP备2021020529号-1 | 浙B2-20240490 
