《信息安全技术工业控制系统安全控制应用指南》编制说明.docx

1、信息安全技术工业控制系统安全控制应用指南编制说明国家标准信息安全技术 工业控制系统安全控制应用指南(征求意见稿）编制说明一、工作简况1.1任务来源信息安全技术 工业控制系统安全控制应用指南是国家标准化管理委员会 2010年下达的信息安全国家标准制定项目,国标计划号为：20100384-T-469，原名称为“工控SCADA系统安全控制指南”，由国家信息技术安全研究中心承担，参与单位包括国家信息技术安全研究中心、国家能源局（原电监会）信息中心、中国电力科学研究院、无锡市同威科技有限公司等单位。2013年8月标准草案专家评审会议上专家建议将标准修改为“工业控制系统安全控制应用指南1.2主要工作过程1

2、、2010年2月，联系各个参与单位,进行任务分工和任务组织；研究现有国内外工控安全相关标准，分析各自特点，学习借鉴，包括IEC 62443、NIST SP 800-82、NIST SP 80053 ISO/IEC 27019等标准.2、2010年26月，项目组先后到北京地区拥有SCADA系统的七个行业进行了实地调研并与各行业从事SCADA系统管理和维护的人员进行了座谈;并形成各工业控制系统的调研报告。3、2010年6月，项目组组织召开了行业专家讨论会，听取了来自石油、电力、供水、燃气、铁路、城市轨道交通等行业专家对标准草案的意见.4、2010年7月,根据任务书的要求，规范编制小组开展考察调研和

3、资料搜集工作，按照需求分析整理出安全漏洞分类规范的框架结构。5、2010年7月8日，召集了信息安全标准专家征求意见会，会上许多专家从标准中术语的定义、标准的内容格式上提出了许多宝贵意见。会后，项目组对专家意见进行了认真分析和研究，在此基础上形成了标准草案.6、2010年12月初，召集第二次行业专家征求意见会，进一步对标准制定内容进行讨论，为制标做准备.7、2011年7月，讨论确定编制思路和标准框架，按照分工开始各部分编制工作,重点是控制措施部分。8、2011年11月，项目组人员参加工控SCADA系统信息安全研讨会,听取与会专家关于工控SCADA系统信息安全方面的意见和见解，丰富项目组人员工控S

4、CADA系统安全视野。9、2011年7月12月,项目组人员集中分析研究了国外工业控制系统相关标准的基础上，结合领域专家意见和建议,形成了工控SCADA系统安全控制指南草稿。10、2012年7月，在安标委年度标准检查会议上,向安标委专家介绍了工控SCADA系统安全控制指南标准成果，听取了专家的意见和建议.11、2012年7月，邀请安标委专家王立福教授对标准编写提供意见与建议，根据王教授的建议将标准调整为工控SCADA系统安全控制应用指南和工控SCADA系统安全控制指南。根据王教授意见课题组将确定将标准调整为SCADA系统安全控制应用指南，并进行标准内容调整.12、2012年7月9月,根据安标委专

5、家的意见和建议,修改完善标准草案，并邀请了部分安标委专家给予项目组专门的指导，形成了工控SCADA系统安全控制应用指南草稿。13、2012年9月，项目组参加了“工业控制系统标准研讨会”,听取了TC260、TC124等不同专家关于工控系统安全标准的观点和意见，在汲取各位专家的意见和观点的基础上，进一步改进完善了工控SCADA系统安全控制应用指南草稿，并形成1。1版本。14、2012年9月2013年4月，根据专家的意见,对国内外的工业控制系统安全标准进行研究，尤其是研究美国工业控制安全标准,包括NIST SP80082、SP800-53，美国天然气工业协会（AGA）AGA 12系列标准，ISA 9

6、9系列标准,北美电力可控性公司（NERC）CIP系列标准。并多次召开内部讨论会，对标准草案内容进行讨论，形成了工控SCADA系统安全控制应用指南草案1。2版本.15、2013年8月16日,全国信息安全标准化技术委员会WG5工作组在北京组织召开了国家标准SCADA系统安全控制指南(草案）专家评审会。专家听取了编制组关于标准编制情况介绍和标准说明,审阅了相关文档，经质询讨论，形成以下意见：编制组在广泛调研的基础上，参考了国内外工业控制系统安全的有关标准，多次征求专家意见，广泛吸取了相关行业、企业的建议,进行了反复修改、完善；该标准概述了工业控制系统一般性安全问题，存在的威胁和脆弱性，给出了工业控制

7、系统安全控制应用指南,对工业控制系统安全建设具有指导意义；该标准整体架构清晰、合理,编写格式基本符合GB/T 1。12009要求;专家组建议该标准名称改为信息安全技术 工业控制系统安全控制应用指南。专家组同意通过评审。建议与相关标准编制单位进行协调，修改完善后,尽快形成征求意见稿。16、2013年12月2014年5月，标准编制小组在积极采纳专家意见的基础上，对规范内容进行修改（删除、增加），调整了标准名称为:信息安全技术 工业控制系统安全控制应用指南。17、2014年11月,信安标委WG5工作组组织成员单位对信息安全技术 工业控制系统安全控制应用指南标准草案稿进行了投票表决，通过了本标准。投票

8、表决中相关单位和专家提出了一些修改建议和意见,标准编制组对意见进行了逐条分析和理解，形成标准征求意见稿及相关文件。二、编制原则和主要内容2.1 编制原则本标准的研究与编制工作遵循以下原则：(1）通用性原则立足于当前信息化技术水平，对国内外知名安全漏洞库的分类方法进行总结、归纳、简化，同时参考吸纳国外相关领域的先进成果并融入标准.(2）可操作性和实用性原则标准规范是对实际工作成果的总结与提升,最终还需要用于实践中,并经得起实践的检验，做到可操作、可用与实用。(3）简化原则根据规范化对象的结构、形式、规则等筛选提炼，经过剔除、替换,保持整体结构合理且维持原意和功能不变.本标准的编制的内容制定遵循以

9、下原则：（A) 唯一性原则：安全漏洞仅在某一类别中,其所属类别不依赖人为因素。（B) 互斥性原则:类别没有重叠，安全漏洞必属于某一分类.（C） 扩展性原则：允许根据实际情况扩展安全漏洞的类别。2。2 主要内容本标准的研究目标及内容是对工业控制系统安全控制应用的方法、步骤、范围、监控等进行研究，研究工业控制系统的技术架构特点、存在的安全漏洞和面临的安全威胁，并给出解决这些安全问题的基本安全基线和安全控制措施，以指导组织中负责系统建设的组织者、负责信息安全工作的实施者和从事信息安全工作的相关人员实施工业控制系统安全控制应用到本组织的工业控制系统。本标准主要内容目录如下:三、主要试验（或验证)的分析

10、、综述报告,技术经济论证,预期的经济效果随着信息化技术的发展，以自动化技术为代表的自动控制系统在工业控制领域得到了广泛的应用。在现代工业中使用的控制系统包括SCADA系统、分布式控制系统（DCS）、可编程逻辑控制器（PLC)、远程终端（RTU）、智能电子设备(IED）等，这些我们统称为工业控制系统(ICS），其中依靠网络,以数据采集为基础，对生产过程进行集中控制的SCADA系统是现代电力、石油、天然气、铁路、供水、化工等基础产业生产系统的神经中枢。本标准征求意见稿是在深入研究国外工业控制系统相关标准的基础上，充分调研国内工业控制系统应用，广泛听取了专家意见和建议的基础上形成的。本标准编制期间调

11、研和分析了国内工业控制系统应用和安全现状，研究和分析了国外工业控制系统安全体系相关文件和标准,吸收国外先进的体系建设思路，针对国内工业控制系统应用和安全现状,形成的工业控制系统安全控制应用指南，内容包括安全控制应用前提,安全控制的选择与规约，安全控制的应用步骤，安全控制的应用范围和安全控制的监控等。本标准是针对各行业使用的工业控制系统给出的安全控制应用基本方法，是指导组织选择、裁剪、补偿和补充工业控制系统安全控制，获取适合组织需要的应允的安全控制基线，以满足组织对工业控制系统安全需求，帮助组织实现对工业控制系统进行有效的风险控制管理.四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标

12、准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况本标准在编写时参考了NIST SP80082和SP80053等相关标准。五、与有关的现行法律、法规和强制性国家标准的关系本标准的编制，要与工业控制系统安全程序开发指南、工业控制系统安全管理指南、工业控制系统信息安全检查指南、工业控制系统信息安全分级指南、工业控制系统风险评估实施指南等相关工业控制系统信息安全标准协调一致，提供工业控制系统信息安全领域的实施层标准指导。六、重大分歧意见的处理经过和依据详见标准意见汇总处理表。七、国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准作为推荐性国家标准发布实施。八、贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等内容）本标准作为国家工业控制系统相关标准体系的一部分，配合实施。九、其他事项说明本标准不涉及专利。标准编制组2015年2月