欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

工控安全从入门到实战——概述(二)

来源:本站整理 作者:佚名 时间:2019-05-15 TAG: 我要投稿

本篇文章为《工控安全从入门到实战——概述》的第2部分内容,主要介绍工控目前的相关标准、几个行业标准、等保2.0在工控安全方面的一些要求、电力燃气石油等行业的工控特点等。
 
工控安全参考标准
我们搜集了下文所提到的标准法规和其他部分工控标准,关注文章最下面的公众号,回复“工控标准”,可获取相关资料。
国际标准

国家标准
《工业控制系统信息安全防护指南》
《工业控制系统信息安全防护指南》是国家网络和信息安全的重要组成部分,是推动中国制造2025、制造业与互联网融合发展的基础保障。2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》,为工业企业制定工控安全防护实施方案提供指导方向。该指南的制订,是在国内深化制造业与互联网融合发展的大背景下,国内工业控制系统信息安全问题突出的情况下,国内工控安全多个标准发布,工控安全技术蓬勃发展的环境下,基于管理、深入技术、结合业务,以新高度为工业企业提供全面的工控安全建设指导。
《工业控制系统信息安全行动计划 (2018-2020年)》
工业控制系统信息安全行动计划的主要目标:到2020年,一是建成工控安全管理工作体系,企业主体责任明确,各级政府部门监督管理职责清楚,工作管理机制基本完善。二是全系统、全行业工控安全意识普遍增强,对工控安全危害认识明显提高,将工控安全作为生产安全的重要组成部分。三是态势感知、安全防护、应急处置能力显著提升,全面加强技术支撑体系建设,建成全国在线监测网络,应急资源库,仿真测试、信息共享、信息通报平台(一网一库三平台)。四是促进工业信息安全产业发展,提升产业供给能力,培育一批龙头骨干企业,创建3-5个国家新型工业化产业化产业示范基地(工业信息安全)。
《信息安全技术工业控制系统安全控制应用指南》(GB/T 32919-2016)
该标准由全国信息安全标准化委员会(SAC/TC260)提出,全国信息安全标准化技术委员会归口管理。适用于工业控制系统拥有者、使用者、设计实现者以及信息安全管理部门,为工业控制系统信息安全设计、实现、整改工作提供指导,也为工业控制系统信息安全运行、风险评估和安全检查工作提供参考。方便规约工业控制系统的安全功能需求,为安全设计(包括安全体系结构设计)和安全实现奠定基础。
《信息安全技术 网络安全等级保护基本要求 第5部分 工业控制系统安全扩展要求》
也就是等保2.0了,将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》,等级保护制度已被打造成新时期国家网络安全的基本国策和基本制度。对重要基础设施重要系统以及“云、物、移、大、工”纳入等保监管,将互联网企业纳入等级保护管理,并在《网络安全等级保护基本要求 第5部分 工业控制系统安全扩展要求》中针对工控安全进行详细描述,并专门对工控分层模型等内容进行了描述。
GB/T 26333-2010《工业控制网络安全风险评估规范》
作为我国工控安全第一个国家标准,解决了我国工控安全标准空白的问题,实现了工控安全标准零的突破。此标准2011年发布实施,从发布时间上可以看出,我国关注工控安全的前辈们的高瞻远瞩。但是此标准并未推行起来,成为了事实上可有可无的标准,成为了工控安全标准界的先烈。究其原因,还是此标准无核心内容(核心内容都是直接引用其它标准),标准过于简单,可操作性低,导致此标准落地困难。建议相关单位对此标准进行修订。
GB/T 30976.1-2014《工业控制系统信息安全 第1部分:评估规范》
作为我国工控安全第一个有内容的国家标准,解决了我国工控安全无标准可依的窘境。《评估规范》分为管理评估和系统能力(技术)评估。管理评估宜对照风险接受准则和组织机构相关目标,识别、量化并区分风险的优先次序。风险评估的结果宜指导并确定适当的管理措施及其优先级,评估风险和选择控制措施的过程需要执行多次,以覆盖组织机构的不同部门或各个工业控制系统。管理评估分三个级别、系统能力(技术)评估分为四个级别。信息安全等级由系统能力等级和管理等级二维确定。
此评估标准实施过程中,还没有一套有效的方法论来指导用户单位确定自己需要的信息安全等级,或者政府未有一套信息安全等级评定的依据。目前阶段只能根据用户单位自己的自发需求来确定信息安全等级,然后根据用户单位确认的等级开展评估活动。
GB/T 30976.2-2014《工业控制系统信息安全 第2部分:验收规范》
此标准解决了我国工业控制系统信息安全验收上的空白,解决了验收有标准可依的困境。此标准的使用方是工业控制系统用户方,《验收规范》涉及到专业的安全测试,除电力和石油石化等大部分用户方在能力上不足以完成验收阶段的安全测试。因此需要借助第三方的测评力量来验收,就涉及到项目预算增加的问题。因此在做标准宣贯时,需要在立项阶段就考虑验收标准和费用的问题。
行业标准
电力行业
在工控安全领用,电力行业2005年颁布的电监会5号令《电力二次系统安全防护规定》,“安全分区、网络专用、横向隔离、纵向认证”十六字深入人心。其次是石化、核电及烟草行业也有相应标准。

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载