GB∕T 36324-2018 信息安全技术工业控制系统信息安全分级规范
- 文档部分内容预览:
GB∕T 36324-2018 信息安全技术工业控制系统信息安全分级规范
协程度也会更敏感,反之亦然。基于信息安全风险的考虑,对工业控制系统资产重要程度、受侵害后潜 在影响程度、需抵御的信息安全威胁程度进行综合评价,得出工业控制系统信息安全等级。 本标准对工业控制系统资产重要程度、受侵害后潜在影响程度、需抵御的信息安全威胁程度这三个 和工业控制系统信息安全等级均以其特征值表示,那么工业控制系统信息安全等级特征值与这三个定 级要素的特征值具有一定的函数关系,即这个工业控制系统信息安全等级特征值函数表述为式(1): N.=F((A.N).(L.N.).(T.N)) (1
NSL=F((A,NA),(I,N),(T,NT)
Nsl.一表示工业控制系统信息安全等级特征值; A 表示工业控制系统重要性; 表示工业控制系统重要程度的可接受特征值,以1~5的尺度来测量; 1 一 表示工业控制系统信息安全受侵害后潜在影响; 测量; T一一表示工业控制系统信息安全威胁; N一—表示工业控制系统信息安全威胁程度的可接受特征值,以1~5的尺度来测量。 这个工业控制系统信息安全等级特征值函数按照表1所述的计算方法解析。工业控制系统信息安 全等级特征值以1~13的尺度来测量,这种尺度被映射到工业控制系统信息安全的四个等级为:工业控 系统信息安全等级第一级对应特征值取值范围是1~4,第二级是5~7,第三级是8~10,第四级是 1~13。 根据工业控制系统资产重要程度特征值、受侵害后潜在影响程度特征值、需抵御的信息安全威胁程 度特征值暖通空调图纸、图集,可在表1中查出工业控制系统信息安全等级特征值,及其对应的工业控制系统信息安全 等级。
表1工业控制系统信息安全等级对照表
GB/T 363242018
5.2.1.2工业控制系统行业领域
在工业控制系统资产重要程度要素构成中的工业控制系统行业领域是指,工业控制系统所在的工 业生产行业领域,可分为关键领域、重点领域、一般领域,具体划分条件如下: a)关键领域的工业控制系统:是指属于国家关键基础设施中的工业控制系统,国家关键基础设施 是国家的重要战略资源; b 重点领域的工业控制系统:是指上述关键领域的工业控制系统以外,与国计民生紧密相关的工 业生产领域中的工业控制系统,如核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制 造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等; C) 一般领域的工业控制系统:是指上述关键领域和重点领域之外的其他工业生产领域中的工业 控制系统
5.2.1.3工业控制系统资产作用价值
业控制系统承担的业务使命、所处生产环节、受依颗程度等情 况,可划分为资产作用价值很高、资产作用价值中等、资产作用价值一般,具体划分条件如下: a) 资产作用价值很高的工业控制系统应符合下列条件之一: 1)工业控制系统控制对象承担企业工业生产中的关键业务便命: 2) 当工业控制系统控制对象属于工业生产系统的核心生产部位,该控制对象功能受到损害 或丧失会对主要生产流程产生中断或对主要生产流程产生严重影响; 3)工业生产系统对该工业控制系统的依赖程度高,当该工业控制系统功能受到损害或丧失 时,工业生产系统无法运行或不能正常运行,甚至会发生危险,而且无法通过手工操作使 工业生产系统正常运行; 4)工业控制系统所属的工业生产系统的生产总值很高。 b) 资产作用价值中等的工业控制系统应符合下列条件之一: 1)工业控制系统控制对象承担企业工业生产中的重要业务使命; 2) 当工业控制系统控制对象属于工业生产系统的重要生产部位,该控制对象功能受到损害 或丧失会对局部生产流程产生中断或主要生产流程产生较大影响; 3)工业生产系统对该工业控制系统的依赖程度中等,当该工业控制系统功能受到损害或丧 失时,工业生产系统部分不能正常运行但不会发生危险,而且可通过手工操作辅助工业生 产系统正常运行; 4)工业控制系统所属的工业生产系统的生产总值中等。 C) 资产作用价值一般的工业控制系统应符合下列条件之一: 1)工业控制系统控制对象承担企业工业生产中的一般业务使命; 2) 当工业控制系统控制对象属于工业生产系统的生产辅助部位,该控制对象功能受到损害 或丧失不会对主要生产流程产生影响或影响较小; 3)工业生产系统对该工业控制系统的依赖程度低,当该工业控制系统功能受到损害或丧失 时,可改为手工操作替代该工业控制系统,使工业生产系统相关过程正常运行; 4)工业控制系统所属的工业生产系统的生产总值一般。 工业控制系统所属的工业生产系统的生产总值评价中“很高”、“中等”、“一般”的具体数值,应依据 工业生产各个行业的价值评价习惯确定
5.2.1.4工业控制系统资产获取价值
工业控制系统资产获取价值是指工业控制系统资产的原始成本、更换或再造成本,以及工业控制
GB/T363242018
统控制范围内相关工业生产装置设施价值等情况,可划分为资产获取价值很高、资产获取价值一般,具 体划分条件如下: a) 资产获取价值很高的工业控制系统应符合下列条件之一: 1)工业控制系统资产的原始成本很高,或者其控制范围内相关工业生产装置设施价值很高 或者其抽象价值很高(例如,组织名誉的价值),或者具有一定的稀缺性 2)工业控制系统设备本身更换或再造成本很高,或者因事件导致系统可用性、完整性和保密 性的损失,导致生产过程丧失完整性或可用性,以及干扰了生产过程的准确顺序或协调性 而导致的物理资产的破坏而付出的成本很高。 b) 资产获取价值一般的工业控制系统应符合下列条件之一: 1)工业控制系统资产的原始成本一般,或者其控制范围内相关工业生产装置设施价值一般 或者其抽象价值一般; 2)工业控制系统设备本身更换或再造成本一般,或者因事件导致系统可用性、完整性和保密 性的损失,导致生产过程丧失完整性或可用性,以及干扰了生产过程的准确顺序或协调性 而导致的物理资产的破坏而付出的成本一般。 工业控制系统资产获取价值评价中“一般”、“很高”的具体数值,应依据工业生产各个行业的价值评 价习惯确定
5.2.2受侵害后的潜在影响
5.2.2.1受侵害后潜在影响程度
受侵害后潜在影响程度是工业控制系统信息安全等级的定级要素之一,由受侵害的对象(5.2.2.2) 和受侵害的程度(5.2.2.3)确定。 当工业控制系统信息安全受到侵害,因其资产丧失可用性、完整性和保密性等事件会对工业控制系 统本身和其他相关受侵害的对象造成的损害或后果,可能影响到一项或多项资产和业务过程,或者资产 和业务过程的一部分;后果可能是临时性的,也可能是永久性的(当资产被毁灭时)。 工业控制系统信息安全受侵害程
表3受侵害后潜在影响程度特征值
业控制系统受侵害后潜在影响 寺征值越高表示工业控制系 向程度越高
GB/T 363242018
5.2.2.2受侵害的对象
在工业控制系统信息安全受侵害后潜在影响程度划分条件中的受侵害的对象是指,工业控制系统 信息安全受到破坏后,不仅会对工业控制系统本身造成损失,还会对相关工业生产运行安全以及其他相 关受侵害对象安全造成侵害。这些受侵害的对象可划分如下: a)工业控制系统及相关生产装置安全; b)工业生产运行安全和公民、企业、其他组织的合法权益及重要财产安全; 社会秩序、公共利益、环境安全和人员生命安全; d 国家安全(特别是其中的国家经济安全)。
5.2.2.3受侵害的程度
工业控制系统信息安全受到侵害是指工业控制系统的可用性、完整性、保密性等三个安全目标受到 侵害。通常,工业控制系统信息安全受到侵害时,可用性、完整性、保密性的可能影响值并非总是相同 的,应以三个安全目标中受到影响最高的作为选择依据, 在工业控制系统受侵害后潜在影响程度划分条件中的受侵害的程度是指,工业控制系统信息安全 受到破坏后,因其资产丧失可用性、完整性和保密性等事件分别会造成不同程度的损害或后果,选择各 个受侵害对象的受侵害程度中最大的,确定其受侵害程度。受侵害的程度划分如下: a)造成一般损害; b)造成严重损害; C)造成特别严重损害
5.2.3需抵御的信息安全威胁
5.2.3.1需抵御的信息安全威胁程度
需抵御的信息安全威胁程度是工业控制系统信息安全等级的定级要系之一,由工业控制系统面临 的信息安全威胁(5.2.3.2)和信息安全事件可能性(5.2.3.3)确定。 根据信息安全事件发生的可能性水平对初始已识别的工业控制系统面临所有信息安全威胁(即威 胁列表)进行取舍,包括: a) 当某个初始识别的信息安全威胁造成工业控制系统信息安全事件发生的可能性为“高”时,则 该信息安全威胁应保留,即确认为需要抵御的威胁; b) 当某个初始识别的信息安全威胁造成工业控制系统信息安全事件发生的可能性为“低”时,则 该信息安全威胁可舍去,即确认为不需要抵御的威胁: c) 通过取舍后,在实际需要抵御的众多信息安全威胁中,确定该工业控制系统的最高的信息安全 威胁程度特征值。 对于信息安全威胁造成工业控制系统信息安全事件发生的可能性高低的界限,应依据各个工业生 产行业对安全事件可能性的敏感程度确定。当不能依据各个工业生产行业对安全事件可能性的敏感程 度确定工业控制系统信息安全事件可能性时,可将初始已识别的工业控制系统面临所有信息安全威胁, 结合以往曾发生过的信息安全事件,确定作为定级对象的工业控制系统实际需要抵御的信息安全威胁 程度使用
国家经济安全,在《国家安全法》第3条中的总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安 全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,维护各领域国家安全,构建国家安全体系, 走中国特色国家安全道路。本标准将国家经济安全作为一个受侵害的对象,是强调工业控制系统信息安全受 侵害后有可能影响到国家经济安全
GB/T363242018
工业控制系统需要抵御威胁的程 取值范围从1~5,工业控制系统需要抵御威胁的程度特 征值越高表示工业控制系统需要抵御威胁的程度越高
[2面临的信息安全威肠
工业控制系统面临信息安全威胁主要从威胁来源、威胁表现形式和威胁程度等方面进行识别,并建 级的工业控制系统的威胁列表。对工业控制系统面临信息安全威胁的识别,主要包括: )威胁来源,是指威胁主体,可被描述为单个的实体,也可以实体类或实体群体等方式来描述,通 常有: 1)意外的威胁,是指非恶意人员可能意外地损害工业控制系统资产的所有行为和其他技术 因素,如在职员工误操作、硬件缺陷、软件开发缺陷、能源等公共服务供应失效等; 2 故意的威胁,是指恶意人员故意地损害工业控制系统资产的所有行为,如心怀不满的在职 员工、无特殊诉求的黑客、心怀不满的离职人员、经济罪犯、恐怖分子、敌对势力或敌对国 家的恶意行为等; 3)环境的威胁,是指非人为行为的损害工业控制系统资产的所有事件,如地震、洪水、风暴等 自然灾害。 威胁表现形式,是指威胁主体对资产执行的动作,这些动作会影响资产的一个或多个属性,而 资产正是通过这些属性来体现价值的。常见的威胁表现形式主要有: 1)被动信息收集:可为潜在入侵者提供有价值的信息; 2)通信攻击:可使工业控制系统的通信中断; 3) 回放攻击:可提供对工业控制系统的访问或伪造工业控制系统的数据; 4) 恶意代码:可采取病毒、蠕虫、自开发代码或木马等形式,给工业控制系统运行带来长期困 扰,甚至严重损坏; 5) 特权升级:攻击者通过获得访问特权及特权的增加,攻击者可采取一些本来能够被防御的 攻击行动; 6): 拒绝服务:可影响工业控制系统网络操作系统或应用资源的可用性,造成重大损失; 7)社会工程:企图通过哄骗个人来获取安全信息和其他数据,用来攻击工业控制系统; 8)物理破坏:破坏或使系统物理部件失效(如硬件、软件存储设备、接线、传感器和控制器) 或使得系统执行某个行动,导致部件的物理破坏、毁灭或丧失能力, 根据威胁来源以及威胁表现形式,对工业控制系统面临的信息安全威胁程度进行划分,并给出 相应的信息安全威胁程度特征值: 1) T1:是指来自占有少量资源且愿意冒少量风险的对手的故意威胁(如个人),一般的环境 威胁,一般的意外威胁,以及其他相当危害程度的威胁,其威胁程度特征值为1; 2) T2:是指来自占有少量资源且愿意冒很大风险的对手的故意威胁(如个人、有组织的较小 团体),一般的环境威胁,严重的意外威胁,以及其他相当危害程度的威胁,其威胁程度特 征值为2; 3)T3:是指来占有中等程度资源且愿意冒少量风险的熟练对手的故意威胁(如有组织的团 体),严重的环境威胁,特别严重的意外威胁,以及其他相当危害程度的威胁,其威胁程度 特征值为3; 4)T4:是指来占有中等程度资源且愿意冒较大风险的熟练对手的故意威胁(如敌对组织) 严重的环境威胁,特别严重的意外威胁,以及其他相当危害程度的威胁,其威胁程度特征 值为4; 5) T5:是指来占有丰富程度资源的特别熟练对手的故意威胁(如敌对国家、敌对组织),特别 严重的环境威胁,特别严重的意外威胁,以及其他相当危害程度的威胁,其威胁程度特征 值为5。
GB/T 363242018
对于战争威胁,包括来自国家级别暴力手段的威胁,以及毁灭性自然灾难等意外威胁,不在本标准 考虑范围
L3信息安全事件可能性
业控市 系统面临特定信息安全威胁发生相应信息安全事件可能性的高低。工业控制系统某个信息安全事件可 能性,应通过特定威胁发生可能性以及脆弱性利用容易度组合来评价。其中: 根据5.2.3.2中的要求建立威胁列表,并对每个威胁逐一分析其发生频度; b) 识别定级的工业控制系统存在的固有脆弱性及其相关因素; C 对威胁列表中每个威胁逐一分析定级的工业控制系统固有脆弱性被相应威胁可利用容易度; d 根据固有脆弱性可利用容易度和威胁发生的频度,对威胁列表中每个威胁逐一分析信息安全 事件可能性: e)对威胁列表的每个威胁逐一给出信息安全事件发生的可能性“高”或“低”的评价。 对于工业控制系统信息安全事件可能性的评价,应依据各工业生产行业对安全事件可能性的敏感 程度确定,得出工业控制系统信息安全事件可能性为“高”或“低”的结论
5.3工业控制系统信息安全等级特征
5.3.1第一级工业控制系统
按照基于风险评估的信息安全等级划分的工业控制系统,第一级应具有以下主要特征: ) 第一级工业控制系统信息安全受到破坏后,会对一般领域的工业生产运行造成损害,或者对公 民、企业和其他组织的合法权益及重要财产造成损害,但不会损害国家安全(特别是其中的国 家经济安全)、环境安全、社会秩序、公共利益和人员生命; b) 第一级工业控制系统的信息安全保护,应使工业控制系统能够抵御来自个人、拥有少量资源的 故意威胁,一般的环境威胁,一般的意外威胁,以及其他相当危害程度威胁所造成资产损失的 信息安全风险; 第一级工业控制系统应至少具有对系统资产、运行环境、安全风险的基本认识,采取基本的信 息安全控制措施,检测系统异常和安全事件,应急响应的执行和维护等方面的安全保护能力; d 第一级工业控制系统信息安全应得到所属企业依据国家有关管理规范和技术标准的保护和 管理
5.3.2第二级工业控制系统
接照基于风险评估的信息安全等级划分的工业控制系统,第二级应具有以下主要特征: a) 第二级工业控制系统信息安全受到破坏后,会对一般领域的工业生产运行造成重大损害,或者 对重点领域的工业生产运行造成损害,或者对公民、企业和其他组织的合法权益及重要财产造 成严重损害,或者对环境安全、社会秩序、公共利益和人员生命造成损害,但不会损害国家安全 (特别是其中的国家经济安全); b)3 第二级工业控制系统的信息安全保护,应使工业控制系统能够抵御来自有组织的团体、拥有中 等资源的故意威胁,一般的环境威胁,严重的意外威胁,以及其他相当危害程度威胁所造成资 产损失的信息安全风险; C) 第二级工业控制系统应至少具有对系统资产、运行环境、安全风险的比较全面认识,初步建立 风险管理战略;采取比较全面的信息安全控制措施;及时检测系统异常和安全事件;应急响应 的执行和维护,防止事件扩大和减轻影响;基本恢复受安全事件影响的工业控制系统运行等方
GB/T363242018
面的安全保护能力; 第二级工业控制系统信息安全应得到所属企业依据国家有关管理规范和技术标准的保护和 理,以及国家主管部门和信息安全监管部门的指导
5.3.3第三级工业控制系统
按照基于风险评估的信息安全等级划分的工业控制系统,第三级应具有以下主要特征: 第三级工业控制系统信息安全受到破坏后,会对重点领域的工业生产运行造成重大损害,或者 对关键领域的工业生产运行造成损失,或者对环境安全、社会秩序、公共利益和人员生命造成 严重损害,或者会对国家安全(特别是其中的国家经济安全)造成损害; b) 第三级工业控制系统的信息安全保护,应使工业控制系统能够抵御来自敌对组织、有组织的团 体拥有中等程度资源的故意威胁,严重的环境威胁,特别严重的意外威胁,以及其他相当危害 程度威胁所造成资产损失的信息安全风险; c) 第三级工业控制系统应至少具有对系统资产、运行环境、安全风险的全面认识,建立风险管理 战略,实施信息安全治理;采取全面的信息安全控制措施,确保与组织的风险管理战略相一致; 及时和全面监测系统异常和安全事件;应急响应的执行和维护,防止事件扩大和减轻影响;恢 复受安全事件影响的工业控制系统运行等方面的安全保护能力; d 第三级工业控制系统信息安全应得到所属企业依据国家有关管理规范和技术标准的保护和管 理,以及国家主管部门和信息安全监管部门的监督、检查
5.3.4第四级工业控制系统
按照基于风险评估的信息安全等级划分的工业控制系统,第四级应具有以下主要特征: a)第四级工业控制系统信息安全受到破坏后,会对关键领域的工业生产运行造成重大损害,或者 对环境安全、社会秩序、公共利益和人员生命造成特别严重损害,或者对国家安全(特别是其中 的国家经济安全)造成严重损害; b 第四级工业控制系统的信息安全保护,应使工业控制系统能够抵御来自敌对组织、拥有丰富资 源的故意威胁,特别严重的环境威胁,特别严重的意外威胁,以及其他相当危害程度威胁所造 成资产损失的信息安全风险; 第四级工业控制系统应至少具有对系统资产、运行环境、安全风险的全面认识,建立全面风险 管理战略,实施信息安全治理;采取全面的信息安全控制措施,确保与组织的风险管理战略相 一致;连续和全面监测系统异常和安全事件,采取必要的应对措施;应急响应的执行和维护,防 止事件扩天和减轻影响,来取改进措施;及时恢复受安全事件影响的工业控制系统运行等方面 的安全保护能力; d)第四级工业控制系统信息安全应得到所属企业依据国家有关管理规范和技术标准的管理,以 及国家主管部门和信息安全监管部门强化的监督、检查。 另外,对于直接用于维护国家安全的工业控制系统,以及需要抵御战争威胁或毁灭性自然灾难等意 卜威胁的工业控制系统,不在本标准的等级范围内,可在第四级基础上另行规定增强控制措施
6.1工业控制系统信息安全定级流程
本标准基于风险评估过程规定工业控制系统信息安全定级流程。 依据GB/T31722一2015,风险管理应先建立语境,再进入风险评估、风险处置等过程。风险评 程由风险分析和风险评价活动组成,其中风险分析包括风险识别及风险估算活动。这与本标准中
业控制系统信息安全定级流程是一致的。定级流程中的确定工业控制系统定级对象,是在建立风险评 估的语境;定级流程中的确定工业控制系统资产重要程度、确定受侵害后的潜在影响程度、确定需抵御 的信息安全威胁程度,属于风险分析的风险识别及风险估算活动;定级流程中的确定工业控制系统信息 安全等级,属于风险评价活动。 确定作为定级对象的工业控制系统信息安全等级的一般流程如图1所示:
6.2确定工业控制系统定级对象
6.2.1定级对象的确认条件
图1工业控制系统信息安全定级流程
确认一个工业控制系统作为定级对象,该工业控制系统应具备如下基本条件: a) 一个具体的完整的工业控制系统: 1) 承载“单一”的工业控制业务应用,属于企业的一个自动化生产过程或一个生产装置(如聚 苯乙烯生产装置)的工业控制系统 2) 与其他业务应用的控制过程没有交叉或嵌套以及控制信息的交换,且独享所有信息处理 设备、控制设备和受控设备; 3) 以DCS或SCADA为主构成生产过程控制的自动化系统,可由若干服务器、工程师工作 站、操作员工作站、数据采集接口或控制接口,以及相关网络等其他设施组成。 b)工业控制系统中相对独立的一部分: 1)承载“相对独立”的工业控制过程中一部分业务应用或控制过程独立,处于一个工业生产 装置中一个相对独立的区域,与其他业务应用的控制过程有上位或下位关系或少量控制 信息交换,可能会与其他业务应用共享一些设备,如网络传输设备; 2)这个相对独立的区域一般属于比较大的或复杂的工业控制系统的一个或几个相邻的层
GB/T363242018
安全区域、通信网络,可按地理位置或管理责任划分,但应具有共同的安全需求; 3)必要时,起传输作用的工业控制基础网络系统可作为单独的定级对象。 c) 具有工业控制系统的基本要系: 1)作为定级对象的工业控制系统应该是由相关的自动化控制组件以及对实时数据进行采 集、监测的过程控制组件按照一定的工业控制目标、控制流程和控制规则组合而成的有形 实体,保留完整的控制过程; 2)一个工业控制系统可由多个厂家的设备与系统组成,所有功能协调一起为工业生产装置 提供整合自动化功能; 3): 避免将某个单一的系统组件,如服务器、控制终端、网络设备、通信路径以及控制部件等作 为定级对象。 d)具有唯一确定的安全责任单位: 1)作为定级对象的工业控制系统应能够唯一地确定其安全责任单位,即定级对象的责任单 位应对所定级的工业控制系统具有安全管理责任; 2) 如果一个单位的某个下级单位负责工业控制系统安全建设、运行维护等过程的全部安全 责任,则这个下级单位可以成为工业控制系统的安全责任单位; 3) 如果一个单位中的不同下级单位分别承担工业控制系统不同方面的安全责任,则该工业 控制系统的安全责任单位应是这些下级单位共同所属的单位
6.2.2定级对象的系统描述
对定级对象进行系统描述的目的是识别该工业控制系统的任务和使命,即该工业控制系统的任务 和它所要达到的能力,包括工业控制系统执行的功能、所需的接口及这些接口相关的能力、所要处 信息、所支持的运行结构以及需要抵御的威胁等 对作为定级对象的工业控制系统描述应包括 a)工业控制系统的基本信息: 1)工业控制系统及其归属的工业生产装置的目的、任务和使命; 2)工业控制系统的控制过程、控制范围、边界、信息流; 3)工业控制系统的业务体系、技术体系和管理体系等; 4)形成资产列表、与资产相关的业务过程及其相关性的列表。 b)工业控制系统的网络及设备部署:包括工业控制系统的物理环境、工业控制系统网络拓扑结 构、工业控制系统及受控设备的部署情况,并明确工业控制系统的边界。 c) 工业控制系统的业务种类和特性:包括工业控制系统涉及的业务种类和受控设备数量,以及工 业控制系统对可用性、实时性、可操作性、完整性、保密性需求及业务特性,如是否形成闭合控 制回路、是否为连续控制系统等。 d) 工业控制系统的系统服务:包括为完成预定的业务目标和任务,提供的操作、控制过程和其他 业务功能,以及这些服务在可用性(如及时有效)、完整性和保密性等方面的重要性 e) 工业控制系统的业务数据:包括工业控制系统涉及的主要数据及相关协议,以及这些数据在保 密性、完整性和可用性等方面的重要性, 工业控制系统与企业相关信息系统的连接:包括连接方式、接口控制、传输内容,及相关用户范 围和用户类型等。 g) 工业控制系统的管理框架:包括工业控制系统的组织管理结构、管理策略、相关部门设置和部 门在业务运行中的作用、岗位职责。 h) 比较大的或复杂的工业控制系统的安全区域和通讯网络作为定级对象,应描述与相关安全区 域和通讯网络的相互依赖关系
6.3确定工业控制系统资产重要程度
6.3.1评价工业控制系统安全领域和业务使合
评价作为定级对象的工业控制系统重要性相关内容,确认方法如下: a)按照5.2.1.4的要求,对工业控制系统资产进行分析,确定该工业控制系统的资产价值属于以 下类型之一: 1)一般资产价值; 2)很高资产价值。 b)按照5.2.1.2的要求,对工业控制系统所属工业生产行业分类进行分析,确定该工业控制系统 的行业领域属于以下类型之一: 1)一般领域; 2)重点领域; 3)关键领域, c) 按照5.2.1.3的要求,对工业控制系统在工业生产系统中所具有的业务使命进行分析,确定该 工业控制系统的业务使命属于以下类型之一: 1)一般业务使命; 2)重要业务使命; 3)关键业务使命
6.3.2评价工业控制系统资产重要程度
根据作为定级对象的工业控制系统行业领域、工业控制系统业务使命,按照5.2.1.1的要求,分析工 业控制系统资产重要性相关内容,依照表2得出工业控制系统资产重要程度特征值,取值范围是由低到 高(1~5)共5个等级
定受侵害后的潜在影响程
6.4.1确认工业控制系统信息安全受到破坏
工业控制系统信息安全主要包括保护、维持工业控制系统所采取的可用性、完整性、保密性措施,通 常是指工业控制系统的各种自动化控制组件、数据采集监测等过程控制组件及其系统中的工业控制系 统数据受到保护,且不受偶然的或者恶意的原因而遭到破坏,确保工业生产设施自动化运行、过程控制 与监控的业务流程管控系统连续可靠正常地运行 工业控制系统信息安全属性主要包括: a 可用性:是指已授权实体一旦需要就可访问和使用的数据和资源的特性,确保工业控制系统及 其所有部件能够可靠地运行,防止拒绝服务的发生,通常也包含工业控制系统的实时性(时间 响应性,如要求系统响应时间可在毫秒级以内)、可靠性、可控性、业务连续性等: b) 完整性:是指保护工业控制系统资产准确和完整的特性,确保工业控制系统能够以不受损害的 方式执行其预定功能,避免对工业控制系统故意的或意外的未授权操作,确保工业控制相关数 据没有遭受以未授权方式所作的更改或破坏,通常也包含工业控制系统的抗抵赖性、可核查 性、真实性等属性: c) 保密性:是指使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性,确保工业控制 系统中保密或敏感信息在传输和存储中受到保护,能够防止窃听和非授权访问。 工业控制系统信息安全受到破坏是指,工业控制系统信息安全的可用性、完整性、保密性属性的部 分或全部受到破坏。在确认工业控制系统信息安全受到破坏中,需要分别查看这三个方面安全属性受
GB/T363242018
到破坏的情况,并选择其中受到破坏最严重的安全属性的破坏程度,作为工业控制系统信息安全受到破 坏的程度
衣据侵害的客观方面进行
#光时 害方式表现为: a)对工业控制系统提供的系统服务的破坏,是指对工业控制系统的正常运行受到性能下降、功能 失效、运行中断等,影响系统预定的工业控制系统目标的完成,破坏工业控制系统的可用性(如 系统可控性、业务连续性)、系统完整性、保密性; b) 对工业控制系统涉及的业务数据的破坏,是指工业控制系统中的相关数据、控制指令、保密信 息等数据被窃取、篡改、伪造等,破坏工业控制系统业务数据的完整性、可用性、保密性。 由于工业控制系统服务安全和工业控制系统业务数据安全受到破坏,所侵害的对象及其受侵害程 度可能会有所不同,在确定受侵害后的潜在影响过程中,需要分别处理这两种危害方式。对受侵害对象 的侵害程度的确认应按照工业控制系统服务安全和工业控制系统业务数据安全方式分别进行分析确 认,并选用受侵害后的潜在影响程度特征值较高者
6.4.3评价受侵害的对
定级的工业控制系统信息安全受到破坏所侵害的对象包括国家安全(特别是其中的国家经济安 ,环境安全和人民生命安全、社会秩序稳定、公共利益、工业生产运行安全,以及公民、企业和其他组 的合法权益及重要财产安全,以及工业控制系统及相关生产装置, 对定级的工业控制系统信息安全受到破坏所侵害的对象的确认,应根据以下条件的优先顺序,逐 行分析和选择: a) 侵害国家安全的事项: 是指定级的工业控制系统信息安全受到侵害,及其造成工业生产系统受到侵害,并由此产生对 国家安全的影响,造成国家外部的威胁和侵害,造成内部的混乱和疾患,造成危害国家的安全、 荣誉和利益的行为,主要包括以下方面: 1) 影响国家政权稳固和国防实力; 2) 影响国家统一、民族团结和社会安定; 3) 影响国家对外活动中的政治、经济利益; 4) 影响国家重要的安全保卫工作; 5) 影响国家经济竞争力和科技实力; 6) 其他影响国家安全的事项 b) 侵害国家经济安全的事项: 是指定级的工业控制系统信息安全受到侵害,及其造成工业生产系统受到侵害,并由此产生对 国家经济安全的影响,主要包括以下方面: 1): 影响国家保持其经济存在和发展所需资源有效供给; 2) 影响经济体系独立稳定运行; 3) 影响整体经济福利; 4) 影响系统防护恶意侵害和非可抗力损害能力; 5) 影响国民经济发展和经济实力; 6) 其他影响国家经济安全的事项。 C) 侵害社会秩序稳定的事项: 是指定级的工业控制系统信息安全受到侵害,及其造成工业生产系统受到侵害,并由此产生对
GB/T 363242018
社会秩序稳定的影响,主要包括以下方面: 1)量 影响国家机关社会管理和公共服务的工作秩序; 2)影响各种类型的经济活动秩序; 3)影响各行业的科研、生产秩序; 4)影响公众在法律约束和道德规范下的正常生活秩序等; 5)其他影响社会秩序稳定的事项。 侵害公共利益的事项: 是指定级的工业控制系统信息安全受到侵害,及其造成工业生产系统受到侵害,并由此产生对 公共利益及重要公共财产安全的影响,主要包括以下方面: 1)影响社会成员使用公共设施; 2)量 影响国有财产、劳动群众集体所有的财产安全或造成损失; 3)影响社会成员获取公开信息资源; 4)影响社会成员接受公共服务等方面; 5)其他影响公共利益及重要公共财产安全的事项。 e) 侵害环境安全和人民生命安全的事项: 是指定级的工业控制系统信息安全受到侵害,及其造成工业生产系统受到侵害,并由此产生对 环境安全的影响,主要包括以下方面: 1)影响工业控制系统及工业生产系统的生产技术性环境、相关自然生态环境,造成污染或 破坏; 2) 因环境污染或破环直接导致人员死亡或中毒、造成人员疏散转移、造成直接经济损失、造 成区域生态功能丧失或国家重点保护物种灭绝、造成集中式饮用水水源地取水中断、造成 严重辐射污染后果等。 f) 侵害公民、企业和其他组织的合法权益及重要财产安全的事项: 是指定级的工业控制系统信息安全受到侵害,及其造成工业生产系统受到侵害,并由此产生对 公民、企业和其他组织的合法权益及财产安全的影响,主要包括以下方面: 1)影响由法律确认的并受法律保护的公民、企业和其他组织所享有的社会权利和利益; 2) 影响公民、企业和其他组织所有的资金和物质财产损失; 3)量 影响工业生产系统运行安全,引发的工业生产安全事故; 4)影响公民、企业和其他组织的人员生命安全,直接或间接造成的相关人员的伤害。 g)1 侵害工业生产运行安全的事项: 是指定级的工业控制系统信息安全受到侵害,直接产生对其控制范围内的以及上下游相关的 工业生产运行安全的影响,主要包括以下方面: 1) 影响工业生产运行的有关过程不能正常; 2) 影响工业生产运行的业务连续性,出现运行中断; 3) 影响工业生产运行安全,发生生产安全事故,甚至影响人员生命财产安全; 4) 影响工业生产运行安全,发生突发环境事件,甚至影响环境安全; 5)其他影响工业生产运行安全的事项。 h) 侵害工业控制系统及相关生产装置安全的事项: 是指定级的工业控制系统信息安全受到侵害,及其造成工业控制系统自功能受到损害或丧 失,并由此产生对其所控制的相关生产装置功能受到损害或丧失,以致影响工业生产运行安 全,主要包括以下方面: 1)工业控制系统自身功能不能正常; 2)工业控制系统自身功能完全丧失
3)工业控制系统自身受到毁坏; 4)工业控制系统相关生产装置功能不能正常; 5)工业控制系统相关生产装置功能受到损害或丧失; 6)工业控制系统相关生产装置受到毁坏。
6.4.4评价受侵害的程度
6.4.4.1判定对国家安全的侵害程度
GB/T363242018
a) 一般损害:当对国家的安全、荣誉和利益未造成影响或造成较小的危害,可判定对国家安全的 侵害程度为一般损害; b) 严重损害:当对国家的安全、荣誉和利益造成较严重的危害,可判定对国家安全的侵害程度为 亚重损害; c) 特别严重损害:当对国家的安全、荣誉和利益造成非常严重危害,可判定对国家安全的侵害程 度为特别严重损害
当工业控制系统信息安全受到破场 a) 一般损害:当对国民经济发展和经济实力未造成影响或造成较小的破坏时,可判定对国家经济 安全的侵害程度为一般损害; b) 严重损害:当对国民经济发展和经济实力造成较严重的破环时,可判定对国家经济安全的侵害 程度为严重损害; 特别严重损害:当对国民经济发展和经济实力造成非常严重破坏时,可判定对国家经济安全的 侵害程度为特别严重损害
6.4.4.3判定对社会秩序稳定的侵害程度
当工业控制系统信息安全受到破环时,造成对社会秩序稳定的侵害程度,判定条件如下: 一般损害:当对国家机关社会管理和公共服务的工作秩序、各类经济活动秩序、各行业科研及 生产秩序、正常生活秩序产生有限的社会不良影响,可判定对社会秩序稳定的侵害程度为一般 损害; b)严重损害:当对国家机关社会管理和公共服务的工作秩序、各类经济活动秩序、各行业科研及 生产秩序、正常生活秩序产生较大范围的社会不良影响,可判定对社会秩序稳定的侵害程度为 严重损害; 特别严重损害:当对国家机关社会管理和公共服务的工作秩序、各类经济活动秩序、各行业科 研及生产秩序、正常生活秩序产生大范围的社会不良影响,可判定对社会秩序稳定的侵害程度 为特别严重损害,
当工业控制系统信息安全受到破坏时,造成对公共利益及重要公共财产安全的侵害程度,判定条件 如下: a 一般损害:当对社会成员使用公共设施、获取公开信息资源、接受公共服务等公共利益产生有 限的社会不良影响,对重要公共财产造成较小损失,可判定对公共利益、重要公共财产的侵害 程度为一般损害;
GB/T 363242018
b)严重损害:当对社会成员使用公共设施、获取公开信息资源、接受公共服务等公共利益产生较 大范围的社会不良影响,对重要公共财产造成较高损失,可判定对公共利益、重要公共财产的 侵害程度为严重损害; C 特别严重损害:当对社会成员使用公共设施、获取公开信息资源、接受公共服务等公共利益产 生大范围的社会不良影响,对重要公共财产造成极高损失,可判定对公共利益、重要公共财产 的侵害程度为特别严重损害
6.4.4.6判定对公民、企业和其他组织的合法权益及重要财产安全的侵害程度
当工业控制系统信息安全受到破坏时,造成对公民、企业、其他组织的合法权益及重要财产安全的 侵害程度,判定条件如下: a)一般损害:当对公民、企业、其他组织的工作职能产生局部影响,业务能力有所降低但不影响主 要功能的执行,出现较轻的法律问题,以及较低的财产损失时,可判定对公民、企业、其他组织 的合法权益及重要财产安全的侵害程度为一般损害; b)严重损害:当对公民、企业、其他组织的工作职能产生严重影响,业务能力显著下降且严重影响 主要功能执行,出现较严重的法律问题,以及较高的财产损失时,可判定对公民、企业、其他组 织的合法权益及重要财产安全的侵害程度为严重损害; C 特别严重损害:当对公民、企业、其他组织的工作职能产生特别严重影响或丧失行使能力,业务 能力严重下降或功能无法执行,出现极其严重的法律问题,以及极高的财产损失时,可判定公 民、企业、其他组织的合法权益及重要财产安全的侵害程度为特别严重损害
6.4.4.7判定对工业生产运行安全的侵害程度
当工业控制系统信息安全受到破坏时,造成对其范围内相关工业生产运行安全的侵害程度,判定条 件如下: a) 一般损害:判定对工业生产系统运行安全的侵害程度为一般损害的条件为: 1 对工业生产系统的任务无影响、整体功能有所下降或一部分任务不能完成 2)出现部分系统故障或功能下降,能够通过调整消除故障或能够立即修复出现的故障; 3)可能出现较轻的过程安全、业务连续性问题;
GB/T363242018
4)对工业生产系统运行的地理区域、人群区域、生产生活领域、时间跨度影响较小; 5)不会发生生产安全事故或突发环境事件 b)j 严重损害:判定对工业生产系统运行安全的侵害程度为严重损害的条件为: 1)对工业生产系统的大部分任务不能完成或整体功能严重下降; 2) 出现部分系统的功能严重下降或产生中断,出现的故障不能立即通过检修予以修复; 3) 可能出现严重的过程安全、业务连续性问题,或者较轻的人员安全、环境安全; 4) 对工业生产系统运行的地理区域、人群区域、生产生活领域、时间跨度影响为中等: 5[ 可能会发生一般、较大的生产安全事故或突发环境事件(见附录A)。 C 特别严重损害:判定对工业生产系统运行安全的侵害程度为特别严重损害的条件为: 1 对工业生产系统的整体任务不能完成或功能部分丧失; 2 出现部分系统的功能全部丧失或完全中断,出现的故障需经彻底修理才能消除; 3) 可能出现特别严重的过程安全、业务连续性问题,或者严重的人员安全、环境安全; 4) 对工业生产系统运行的地理区域、人群区域、生产生活领域、时间跨度影响为较大; 5)可能会发生重大、特别重大的生产安全事故或突发环境事件(见附录A)。
4.8判定对工业控制系统及相关生产装置的侵害
当工业控制系统信息安全受到破坏时,造成对工业控制系统及相关装置的侵害程度,判定条件 如下: a) 一般损害:当对工业控制系统及相关装置产生局部影响或较轻影响,生产过程局部且非关键部 位丧失完整性或可用性,较轻地干扰了生产过程的准确顺序或协调性,未产生设备功能受到损 害或丧失,没有导致停工、重新加工、重新设计,对上游或下游生产过程没有产生影响,可判定 对工业控制系统及相关装置的侵害程度为一般损害; b)严重损害:当对工业控制系统及相关装置产生关键部位的影响或严重影响,生产过程关键部位 丧失完整性或可用性,严重地十扰了生产过程的准确顺序或协调性,产生了设备功能受到损害 或丧失但资产更新产生的成本不高,导致短时间的停工且在短时间内恢复工业过程控制,对上 游或下游生产过程产生较轻影响,可判定对工业控制系统及相关装置的侵害程度为严重损害; C 特别严重损害:当对工业控制系统及相关装置产生全局影响或特别严重影响,生产过程全部丧 失完整性或可用性,产生了设备功能受到损害或丧失且资产更新产生的成本很高,导致停工且 不能在短时间内恢复工业过程控制,甚至需要重新加工、重新设计,对上游或下游生产过程产 生严重影响,或泄露了知识产权丧失竞争优势(如生产过程的技术秘密),可判定对工业控制系 统及相关装置的侵害程度为严重损害
6.4.5评价受侵害后的潜在影响程度
受侵害后潜在影响程度用其特征值表示,评价工业控制系统受侵害后的潜在影响程度,包括: 确定受侵害的对象(5.2.2.2),按照6.4.3提供的方法,分析工业控制系统信息安全受到破坏后 受侵害的对象,判定为下列受侵害的对象中的一个或几个: 1)工业控制系统及相关生产装置安全; 2)工业生产运行安全和公民、企业、其他组织的合法权益及重要财产安全; 3)环境安全、社会秩序、公共利益和人员生命安全; 4)国家安全(特别是其中的国家经济安全)。 确定受侵害的程度(5.2.2.3),分析工业控制系统信息安全受到破坏后对受侵害对象的侵害 程度: 1)按照6.4.4.1提供的方法,判定对国家安全的侵害程度;按照6.4.4.2提供的方法,判定对
GB/T 363242018
国家经济安全的侵害程度;选择其中侵害程度高的作为对“国家安全(特别是其中的国家 经济安全)”的侵害程度; 2) 按照6.4.4.3提供的方法,判定对社会秩序稳定的侵害程度;按照6.4.4.4提供的方法,判 定对公共利益及重要公共财产安全的侵害程度;按照6.4.4.5提供的方法,判定对环境安 全和人员生命安全的侵害程度;选择其中侵害程度最高的作为对“环境安全、社会秩序、公 共利益和人员生命安全”的侵害程度; 3) 接照6.4.4.6提供的方法,判定对公民、企业和其他组织的合法权益及重要财产安全的侵 害程度;按照6.4.4.7提供的方法,判定对工业生产运行安全的侵害程度;选择其中侵害程 度高的作为对“工业生产运行安全和公民、企业、其他组织的合法权益及重要财产安全”的 侵害程度; 4)按照6.4.4.8提供的方法,判定对工业控制系统及相关生产装置安全”的侵害程度; 5)上述判定的对受侵害对象的侵害程度按照下列受侵害程度之一表示: 造成一般损害; 造成严重损害; 造成特别严重损害。 根据a)判定的一个或几个受侵害对象,以及根据b)判定的对相应受侵害对象的侵害程度,逐 一按照5.2.2.1的要求,分析工业控制系统受侵害后潜在影响的相关内容,分别依照表3得出 工业控制系统受侵害潜在影响程度特征值,并选择其中最高者作为工业控制系统受侵害潜在 影响程度特征值。影响程度特征值取值范围是由低到高1~5.共5个等级,
6.5.1评价面临的信息安全威助
评价工业控制系统面临的信息安全威胁,包括: a 分析定级的工业控制系统可能面临的各种威胁,如: 1)按照5.2.3.2列出的常见威胁列表; 2)查阅企业、行业或业界已有的威胁列表和统计数据; 3)查阅国际组织发布的关于定级的工业控制系统及其组件面临的威胁; 4)收集定级的工业控制系统及其组件以往安全事件报告中出现过的威胁 5)收集定级的工业控制系统有关现场检测工具以及各种日志发现的威胁; 汇集上述威胁信息被综合分析,建立定级的工业控制系统可能面临威胁的列表。 D 根据5.2.3.2c),对上述威胁列表中每个威胁评价其威胁程度并确定其特征值(取值范围为1~ 5),形成定级的工业控制系统完整的威胁列表
6.5.2评价信息安全事件可能性
GB/T363242018
表4信息安全事件可能性估算表
根据信息安全事件可能性估算表,其中特征值为1~5,一般可对特征值为1~2者定为事件可 能性低,对特征值为3~5者定为事件可能性高;但由于工业控制系统所属企业或行业通常对 待安全事件可能性的敏感程度,或对安全事件发生的可接受程度进行判断存在一定差异,甚至 可以容忍一定概率的信息安全事件发生,因此确定事件发生可能性的特征值范围可以依据行
GB/T 363242018
业具体情况适当调整,如特征值2~5为高,或特征值4~5为高,但同一行业类似的工业控制 系统应保持一致。 g) 根据以上分析,对威胁列表的每个威胁逐一给出信息安全事件发生的可能性“高”或“低”的 评价。
6.5.3评价需抵御的信息安全感胁程度
评价工业控制系统需抵御的信息安全威胁程度,包括: a 根据6.5.2形成的威胁列表,选择所有信息安全事件发生的可能性“高”的威胁作为定级的工 业控制系统需抵御的信息安全威胁; 比较定级的工业控制系统需抵御的所有信息安全威胁,选择其中威胁程度特征值(取值范围为 1~5)最高者,判定为定级的工业控制系统需抵御的信息安全威胁程度特征值
6.6确定工业控制系统信息安全等级
根据5.1的要求,用已确定的工 值、受授害潜在影性度特征值、量 低御的信息安全威胁程度特征值,在表1中查找对应的级别,即可确定基于工业控制系统信息安全风险 内工业控制系统信息安全等级
A.1生产安全事故分级
GB/T363242018
附录A (规范性附录) 有关生产安全事故和突发环境事件分级
附录A (规范性附录 全事故和突发
A.2突发环境事件分级
环境保护部令第17号中,规定了突发环境事件分级的标准。按照突发环境事件严重性和紧急程 度,突发环境事件分为特别重大(I级)、重大(Ⅱ级)、较大(Ⅲ级)和一般(IV级)四级。为便于本标准应 用,现将相关内容摘录如下
A.2.2突发环境事件分级条件摘要
机械标准A.2.2.1特别重大(I级)突发环境事件
凡符合下列情形之一的,为特别重大突发环境事件: 因环境污染直接导致10人以上死亡或100人以上中毒的; 因环境污染需疏散、转移群众5万人以上的; 因环境污染造成直接经济损失1亿元以上的 因环境污染造成区域生态功能丧失或国家重点保护物种灭绝的; e) 因环境污染造成地市级以上城市集中式饮用水水源地取水中断的; f) 1、2类放射源失控造成大范围严重辐射污染后果的:核设施发生需要进人场外应急的严重核
凡符合下列情形之一的,为特别重大突发环境事件: 因环境污染直接导致10人以上死亡或100人以上中毒的; 因环境污染需疏散、转移群众5万人以上的; ) 因环境污染造成直接经济损失1亿元以上的: 因环境污染造成区域生态能丧失或国家重点保护物种火绝的; e) 因环境污染造成地市级以上城市集中式饮用水水源地取水中断的; f) 1、2类放射源失控造成大范围严重辐射污染后果的;核设施发生需要进人场外应急的严重核
GB/T 363242018
A.2.2.2重大(ⅡI级)突发环境事件
凡符合下列情形之一的,为重大突发环境事件: 因环境污染直接导致3人以上10人以下死亡或50人以上100人以下中毒的; b) 因环境污染需疏散、转移群众1万人以上5万人以下的; c) 因环境污染造成直接经济损失2000方元以上1亿元以下的; d) 因环境污染造成区域生态功能部分丧失或国家重点保护野生动植物种群大批死亡的; e) 因环境污染造成县级城市集中式饮用水水源地取水中断的; f) 重金属污染或危险化学品生产、贮运、使用过程中发生爆炸、泄漏等事件,或因倾倒、堆放、丢 弃、遗撒危险废物等造成的突发环境事件发生在国家重点流域、国家级自然保护区、风景名胜 区或居民聚集区、医院、学校等敏感区域的 g) 1、2类放射源丢失、被盗、失控造成环境影响,或核设施和铀矿冶炼设施发生的达到进入场区 应急状态标准的,或进口货物严重辐射超标的事件; h 跨省(区、市)界突发环境事件
2.3较大(川级)突发环
凡符合下列情形之一的,为较天突发环境事件: a) 因环境污染直接导致3人以下死亡或10人以上50人以下中毒的; b) 因环境污染需疏散、转移群众5000人以上1万人以下的; c) 因环境污染造成直接经济损失500万元以上2000万元以下的; 因环境污染造成国家重点保护的动植物物种受到破坏的; e) 因环境污染造成乡镇集中式饮用水水源地取水中断的; f) 3类放射源丢失、被盗或失控,造成环境影响的; g) 跨地市界突发环境事件
装修CAD图纸A.2.2.4一般(V级)突发环境事件
....- 工业标准
- 相关专题: 信息安全技术