发布日期:2023-03-22 19:26 浏览次数:
本标准给出了工业控制系统信息安全检查的范围、方式、流程、方法和内容。
本标准适用于开展工业控制系统的信息安全监督检查、委托检查工作,同时也适用于各企业在本集团(系统)范围内开展相关系统的信息安全自检查。
注:本标准适用的检查范围是广泛应用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、钢铁、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术 术语
GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南
GB/T 25069-2010和GB/T32919-2016界定的以及下列术语和定义适用于本文件。
3.1
工业控制系统 industrial control system
由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。
注:工业控制系统的核心组件包括监控和数据采集系统、分布式控制系统、可编程逻辑控制器、主终端单元、远程终端单元、上位机,以及确保各组件通信的接口技术。
3.2
监控和数据采集系统 supervisory control and data acquisition system
在工业生产控制过程中,对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据采集与监控管理的控制系统。
注:SCADA系统以计算机为基础,对远程分布运行设备进行监控调度,其主要功能包括数据采集、参数测量和调节、信息报警等。SCADA系统一般由设在控制中心的主终端单元(MTU)、通信线路和设备、远程终端单元(RTU)等组成。
3.3
分布式控制系统 distributed control system
以计算机为基础,在系统内部(单位内部)对生产过程进行分布控制、集中管理的系统。
注:DCS一般包括现场控制级、控制管理级两个层次,现场控制级主要是对单个过程进行控制,控制管理级主要是对多个分散的子过程进行数据采集、统一调度和管理。
3.4
工业控制设备 industrial control device
对工业生产过程及装置进行检测与控制的设备
3.5
可编程逻辑控制器 programmable logic controller
采用可编程存储器,通过数字运算操作对工业生产装备进行控制的电子设备。
注:PLC主要执行各类运算、顺序控制、定时执行等指令,用于控制工业生产装备的动作,是工业控制系统的主要基础单元。
3.6
主终端单元 master terminal unit
SCADA系统中的服务器,用于集中控制,同远程终端单元进行通信。
3.7
远程终端单元 remote terminal unit
对较长通信距离和恶劣工业现场环境而设计的具有模块化结构的、特殊的计算机测控单元。
3.8
上位机 supervisory computer
直接发出操控命令的计算机。
3.9
控制网 control network
控制层网络,主要部署工程师站、操作员站、工业控制设备,为高安全等级的信任区域。
3.10
安全检查 security inspection
以查代促、以查促改、以查促管、以查促防,旨在推动提高信息安全工作能力和防护水平。
下列缩略语适用于本文件。
ICS 工业控制系统(Industrial Control System)
SCADA 监控和数据采集(Supervisory Control And Data Acquisition)
DCS 分布式控制系统(Distributed Control System)
PLC 可编程逻辑控制器(Programmable Logic Controller)
MTU 主终端控制单元(Master Terminal Unit)
RTU 远程终端单元(Remote Terminal Unit)
5.1 监督检查
监督检查是指上级管理部门组织的或国家有关职能部门依法开展的检查。
监督检查可依据本标准的要求,实施完整的信息安全检查过程。
监督检查也可在自检查的基础上,对关键环节或重点内容实施检查。
5.2 自检查
自检查是指信息系统所有者、运营或使用单位发起的对本单位工业控制系统安全状况进行的检查。自检查在本标准的指导下,结合系统特定的安全要求进行实施。
5.3 委托检查
受检单位或监督检查的组织部门不具备检查能力的,可委托经相关主管部门认可的机构开展检查。
6.1 检查准备
6.1.1 概述
检查准备是开展检查工作的前提和基础,是整个检查过程有效性的保证。检查准备工作是否充分直接关系到后续工作能否顺利开展。本阶段的主要内容是明确检查工作的方式、依据、范围和内容,调研被检查单位和被检查系统的情况,确定被检查单位的联系人和联络方式,确定检查组成员和检查工具,制定检查方案和计划并通知被检查单位。
6.1.2 检查准备过程工作内容
根据检查工作的要求,明确安全检查工作的方式,包括监管机构监督检查、企业信息安全自查等。
明确安全检查工作的依据,包括国家信息安全规范性文件及标准、行业信息安全规范性文件及标准、主管机构要求等。
明确安全检查工作的范围,包括被检查单位、被检查系统、涉及的人员、被检查单位的上级主管单位等,并通过调研形成“工业控制系统信息安全检查工作调研表”。
明确安全检查工作的内容。由两部分内容组成,一部分为基本检查内容,相关要求详见本标准第8章;另外一部分为补充检查内容,由检查机构在每次检查前,依据有关主管单位要求、信息安全发展态势和企业的信息安全管理工作开展情况进行拟定。
由检查机构统一组织实施检查工作,确定现场检查组的人员和设备,可委托第三方信息安全服务机构实施现场检查工作,检查机构安排专人陪同。
根据检查工作的内容,制定“工业控制系统信息安全检查方案”“工业控制系统信息安全检查计划”和“工业控制系统信息安全检查工作表”。
在现场检查开始前,检查组至少提前两天将“工业控制系统信息安全检查方案”和“工业控制系统信息安全检查计划”下发至被检查单位,明确要求被检查单位对必要的系统和数据进行备份,被检查单位积极配合,并提供必要的配合人员和办公条件。
6.1.3 检查准备过程的角色和职责
检查机构职责:
a)向被检查单位介绍安全检查的意义和目的、检查流程和工作方法;
b)了解被检查单位的工业控制系统建设状况;
c)指出被检查单位需提供的基本资料;
d)向被检查单位说明检查工作自身的风险和规避方法;
e)准备被检查系统基本情况调查表单;
f)了解被检查系统基本情况;
g)初步分析系统的安全情况;
h)准备检查工具和文档。
被检查单位职责:
a)向检查机构介绍本单位的工业控制系统建设状况与发展情况;
b)准备检查机构需要的资料;
c)为检查人员的信息收集提供支持和协调;
d)根据被检查系统的具体情况,如业务运行高峰期、网络布置情况等,为检查时间安排提供适宜的建议;
以上为标准部分内容,如需看标准全文,请到相关授权网站购买标准正版。
