I C S25.040.40
N10
迎新春舞曲
G B/T33007 2016/I E C62443-2-1:2010
工业通信网络网络和系统安全
建立工业自动化和控制
海床
系统安全程序
I n d u s t r i a l c o m m u n i c a t i o nn e t w o r k s N e t w o r ka n d s y s t e ms e c u r i t y
E s t a b l i s h i n g a n i n d u s t r i a l a u t o m a t i o na n d c o n t r o l
海安县紫石中学
s y s t e ms e c u r i t yp r o g r a m
bsa(I E C62443-2-1:2010,I n d u s t r i a l c o mm u n i c a t i o nn e t w o r k s
N e t w o r ka n d s y s t e ms e c u r i t y
P a r t2-1:E s t a b l i s h i n g a n i n d u s t r i a l a u t o m a t i o na n d
c o n t r o l s y s t e ms e c u r i t yp r o g r a m,I D T)
2016-10-13发布2017-05-01实施中华人民共和国国家质量监督检验检疫总局
目 次
前言Ⅴ 引言Ⅵ 1 范围1 2 规范性引用文件1 3 术语和定义㊁
缩略语和约定1 3.1 术语和定义1 3.2 缩略语和缩略词5 3.3 约定7
4 网络安全管理系统的元素7
4.1 概述7 4.2 类别:
风险分析9 4.3 类别:采用C S M S 处理风险10 4.4 类别:C S M S 监视与改进24 附录A (规范性附录) C S M S 元素开发指导27 A.1 概述27 A.2 类别:风险分析28 A.3 类别:用S C S M S 解决风险49 A.4 分类:监视和提高C S M S 100 附录B (资料性附录) 开发C S M S 的过程106 B .1 概述106 B .2 过程的描述106 B .3 活动:初始化C S M S 项目107 B .4 活动:高级风险评估107 B .5 过程的描述108 B .6 活动:建立安全策略,组织和意识109 B .7 活动:措施选择和实施111 B .8 活动:维护C S M S 111 附录C (资料性附录) 与I S O /I E C27001要求的映射113 C .1 概述113 C .2 本标准同I S O /I E C27001:2005的映射113 C .3 I S O /I E C27001:2005同本标准的映射117 参考文献121
图1 网络安全管理系统元素的图形化视图8 图2 风险分析类别的图形化视图9 图3 元素组:安全㊁策略㊁组织的图形化视图11 G B /T 33007 2016/I E C 62443-2-1:2010
图4 元素组:选择的安全措施的图形化视图15 图5 元素组实现的图形表示20 图6 图形视图类:监视与改进C S M S 24 图A.1 网络安全管理系统的元素的图形视图28 图A.2 类别:风险分析的图形视图28 图A.3 1998年至2004年计算机系统遭受攻击的数量报导(来源:C E R T )31 图A.4 I A C S 数据采集样品的逻辑单41 图A.5 形象的逻辑网络控制图的例子44 图A.6 元素组的图形视图:安全政策㊁组织和意识49 图A.7 元素组的图形视图:选定的安全措施61 图A.8 一个分段结构的参考结构例图67 图A.9 S C A D A 参考架构与分割结构示例69 图A.10 访问控制:账户管理71 图A.11 访问控制:认证74 图A.12 访问控制:授权78 图A.13 实施方案图表80 图A.14 安全等级生命周期模型:评估阶段82 图A.15 企业安全区域模板结构84 图A.16 I A C S 安全区域85 图A.17 安全等级生命周期模式:开发与实现阶段87 图A.18 安全等级生命周期:维护阶段90 图A.19 分类的图示:计算机安全管理系统的监控与改进100 图B .1 建立一个C S M S 的顶级活动106 图B .2 活动和活动的依
赖关系:初始化C S M S 项目107 图B .3 活动及活动的从属:高等级风险评估108 图B .4 活动和活动相关性:详细风险评估109 图B .5 活动和活动相关性:建立安全策略,组织和意识109 图B .6 培训和组织职责分配110 图B .7 活动和活动相关性:措施选择和实施111 图B .8 活动和活动相关性:C S M S 维护112 表1 商业理念:需求9 表2 风险识别㊁分类和评估:需求10 表3 C S M S 范围:需求12 表4 安全的组织:需求12 表5 员工培训和安全意识:需求13 表6 业务连续性计划:需求13 表7 安全策略和规程:需求14 表8 人员安全:需求16 表9 物理和环境安全:需求17 表10 网络划分需求17 表11 访问控制-账户管理:需求18 表12 访问控制-认证:需求19 G B /T 33007 2016/I E C 62443-2-1:2010 表13 访问控制-授权:需求20 表14 风险管理与实现的需求21 表15 系统开发与维护的需求21 表16 信息和文件管理的需求22 表17 事件规划与响应的需求23 表18 一致性:需求25 表19 审查㊁改进和维护的C S M S 的需求25 表A.1 典型的可能性集38 表A.2 典型的后果集39 表A.3 典型的风险级别矩阵39 表A.4 基于I A C S 风
险等级的应对防护措施示例81 表A.5 I A C S 资产评价结果实例83 表A.6 I A C S 资产评价结果和风险等级实例83 表A.7 I A C S 的目标安全等级85 表C .1 本标准的要求到I S O /I E C27001:2005的参考映射113 表C .2 I S O /I E C27001要求与本标准的映射117
前言
本标准按照G B/T1.1 2009‘标准化工作导则第1部分:标准的结构和编写“和G B/T20000.2 2009‘标准化工作指南第2部分:采用国际标准“给出的规则起草㊂
本标准使用翻译法等同采用I E C62443-2-1:2010‘工业通信网络网络和系统安全第2-1部分:建立工业自动化和控制系统安全程序“(英文版)㊂其技术内容㊁文本结构以及表达形式与I E C62443-2-1:2010完全等同㊂
为了方便使用,本标准作了下列编辑性修改:
删除了原文中的前言;
将介绍部分的内容作为本标准的引言;
如果不做说明,文中的 安全 都是指 网络安全 ㊂
n二甲基亚硝胺本标准由全国工业过程测量控制和自动化标准化技术委员会(S A C/T C124)和全国信息安全标准化技术委员会(S A C/T C260)归口㊂
本标准起草单位:机械工业仪器仪表综合技术经济研究所㊁中国电子技术标准化研究院㊁中国电力科学研究院㊁中国核电工程有限公司㊁上海自动化仪表股份有限公司㊁北京交通大学㊁东土科技股份有限公司㊁清华大学㊁西门子(中国)有限公司㊁浙江大学㊁西南大学㊁重庆邮电大学㊁施耐德电气(中国)有限公司㊁北京钢铁设计研究总院㊁华中科技大学㊁北京奥斯汀科技有限公司㊁罗克韦尔自动化(中国)有限公司㊁中国仪器仪表学会㊁北京和利时系统工程有限公司㊁工业和信息化部电子第五研究所㊁中国科学院沈阳自动化研究所㊁北京海泰方圆科技有限公司㊁青岛多芬诺信息安全技术有限公司㊁北京国电智深控制技术有限公司㊁北京力控华康科技有限公司㊁广东航宇卫星科技有限公司㊁华北电力设计院工程有限公司㊁华为技术有限公司㊁启明星辰㊁中国电子科技集团公司第三十研究所㊁深圳万讯自控股份有限公司㊁中标软件有限公司㊁横河电机(中国)有限公司北京研发中心㊂ 本标准主要起草人:王玉敏㊁范科峰㊁梁潇㊁冯冬芹㊁王亦君㊁华镕㊁陈小淙㊁张建军㊁薛百华㊁许斌㊁高昆仑㊁王雪㊁刘枫㊁王浩㊁夏德海㊁周纯杰㊁张莉㊁王弢㊁刘杰㊁孙昕㊁徐皑冬㊁朱毅明㊁孙静㊁胡伯良㊁梅恪㊁刘安正㊁田雨聪㊁方亮㊁马欣欣㊁王勇㊁杜佳琳㊁陈日罡㊁李锐㊁刘利民㊁孔勇
sonymt27i
㊁刘文龙㊁李琳㊁黄敏㊁朱镜灵㊁张智㊁何佳㊁张建勋㊁孟雅辉㊁兰昆㊁成继勋㊁丁露㊁陈小枫㊁杨应良㊁杨磊㊂