• 关键字:

GB_T 41400-2022 信息安全技术 工业控制系统信息安全防护能力成熟度模型.pdf

  • GB_T 41400-2022 信息安全技术 工业控制系统信息安全防护能力成熟度模型.pdf为pdf格式
  • 文件大小:12.8 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2022-10-17
  • 发 布 人: CHIMU007
  • 文档部分内容预览:

  • 新规范

    从组织用于并展工业控制系统信息安全防护工作的安全技术、应用系统和工具角度,根据以下方面 进行能力等级区分: a 工业控制系统信息安全防护技术在系统核心保护对象中的利用情况,针对系统安全风险的应 对能力; b) 利用技术工具对工业控制系统信息安全防护工作的自动化支持能力,对工业控制系统信息安 全防护制度流程固化执行的实现能力

    从组织承担工业控制系统信息安全防护工作的人员应具备的能力角度,根据以下方面进行能力等 级区分: a) 工业控制系统信息安全人员所具备的安全技能是否能够满足复合型能力要求(对工业控制系 统相关业务的理解程度以及工业控制系统信息安全专业能力); b) 工业控制系统信息安全人员的信息安全意识以及对关键工业控制系统信息安全岗位员工信息 安全能力的培养

    5.3能力成熟度等级维

    测绘标准业控制系统信息安全防护能力成熟度等级共分为

    组织工业控制系统信息安全防护能力成熟度等级共分为5级,见图2

    GB/T414002022

    根据组织开展安全防护的能力分为5个能力成熟度等级,自低向高分别是基础建设级、规范防护 、集成管控级、综合协同级、智能优化级。各能力成熟度等级的CF如下: a 基础建设级:组织能够依据工业控制系统信息安全防护的技术基础和条件开展基本保护工作, 安全防护能力建设主要基于特定业务场景,尚未形成规范化、流程化的工作方式,相关工作多 依赖信息安全人员主观经验,建设过程未要求以文档形式记录,无法形成可复制; ) 规范防护级:组织建立并记录工业控制系统信息安全防护能力建设工作,能够针对工业控制设 备、工业主机、工业网络、工业数据等方面,制定规范化安全防护制度、规章,使得组织能够以重 复的方式执行,采用数字化装备、信息技术手段等,有针对性地开展安全防护,面向各方面形成 独立、可复制的安全防护能力; ) 集成管控级:组织能够对工业控制系统设备、主机、系统、网络、数据等方面,在规范防护已有工 作基础上,通过集成化工具、系统等,对相对独立的单点防护设备进行集中统一管控,同时整合 相关防护规章制度文件,形成体系化制度,实现组织内部工业控制系统信息安全的集中管理, 统一控制的安全防护能力; d 综合协同级:组织能够面向不同产线、厂区、工厂及产业链上下游相关单位,统筹考虑信息安全 风险需求,开展安全防护建设,建立多级协同的安全管理体系,并通过态势感知、统一管控等技 术手段实现综合决策、协调防护的安全能力; e 智能优化级:组织能够采用人工智能、主动防御、内生安全等先进技术,与已有安全防护设备 系统、制度体系深度融合,使得可通过知识学习、智能建模分析等技术,构建可智能化演进的安 全防护系统,形成具有自决策、自进化能力的安全防护体系。

    5.4能力建设过程维度

    分为核心保护对象安全和通用安全两部分,共包合

    GB/T 414002022

    图3工业控制系统信息安全防护PA体系

    核心保护对象安全包括以下5个过程类: a)工业设备安全的PA(PA01~PA04)包括:控制设备安全、现场测控设备安全、设备资产管理、 存储媒体保护; b)工业主机安全的PA(PA05PA07)包括:专用安全软件、漏洞和补丁管理、外设接口管理; c)工业网络边界安全的PA(PA08~PA11)包括:安全区域划分、网络边界防护、远程访问安全、 身份认证; d)工业控制软件安全的PA(PA12~PA16)包括:安全配置、配置变更、账户管理、口令保护、安全 计; 工业数据安全的PA(PA17~PA20)包括:数据分类分级管理、差异化防护、数据备份与恢复、 测试数据保护。 通用安全包括以下5个过程类: a)安全规划与架构的PA(PA21~PA23)包括:安全策略与规程、安全机构设置、安全职责划分; b)人员管理与培训的PA(PA24和PA25)包括:人员安全管理、安全教育培训: ) 物理与环境安全的PA(PA26~PA29)包括:物理安全防护、应急电源、物理防灾、环境分离; d) 监测预警与应急响应的PA(PA30~PA34)包括:工业资产感知、风险监测、威胁预警、应急预 案、应急演练; 供应链安全保障的PA(PA35PA40)包括:产品选型、供应商选择、采购交付、合同协议控制、 源代码审计、升级安全保障

    工业控制系统信息安全防护PA编码规则如下: a)每个PA有对应的编号,分别采用递增的数值01,02,,表示; b 每个PA由若干BP组成,BP用BP.XX.XX进行编号,第一组编码表示所在PA的序号,第二 组编码表示具体BP的序号,具体BP的序号采用递增的数值01,02,",表示; 对于每个PA的每个级别,组织需同时实现该级别和所有低于该级别的BP,才能达到该级别 的能力水平

    工业控制系统信息安全防护PA编码规则如下: a)每个PA有对应的编号,分别采用递增的数值01,02,,表示; b 每个PA由若干BP组成,BP用BP.XX.XX进行编号,第一组编码表示所在PA的序号,第二 组编码表示具体BP的序号,具体BP的序号采用递增的数值01,02,",表示; 对于每个PA的每个级别,组织需同时实现该级别和所有低于该级别的BP,才能达到该级别 的能力水平

    能力成熟度等级与PA、BP、能力要素的关系如下

    能力成熟度等级与PA、BP、能力要素的关系如下:

    GB/T414002022

    a)组织在每个PA的能力成熟度划分为5级,对每个等级下组织应具备的能力要求,从4个能 要素提出具体的BP; b) 并非每个PA的能力成熟度等级都包含完整的4个能力要素; 对于每个PA,高等级的能力要求不低于所有低等级能力要求,可依据GB/T32919一2016提 供的方法对某一等级能力要求进行裁剪 注:针对某一具体PA,如5级的能力要求中未涉及某一能力要素的内容,则默认应实现在4级的能力要求中该 力要素的内容,以此类推。 能力成熟度等级的描述与GP,见附录A。 能力成熟度模型使用方法,见附录B。 能力成熟度等级核验流程,见附录C。

    a)组织在每个PA的能力成熟度划分为5级,对每个等级下组织应具备的能力要求,从4个能力 要素提出具体的BP; b) 并非每个PA的能力成熟度等级都包含完整的4个能力要素; 对于每个PA,高等级的能力要求不低于所有低等级能力要求,可依据GB/T32919一2016提 供的方法对某一等级能力要求进行裁剪 注:针对某一具体PA,如5级的能力要求中未涉及某一能力要素的内容,则默认应实现在4级的能力要求中该能 力要素的内容,以此类推。 能力成熟度等级的描述与GP,见附录A。 能力成熟度模型使用方法,见附录B。 能力成熟度等级核验流程.见附录C

    6.1.1PA01控制设备安全

    6.1.1.1PA描述

    6.1.1.2等级描迷

    6.1.1.2.1等级1基础建设

    该等级的安全防护能力描述如下: 人员能力:组织仅根据特定需求或基于组织经验对工业控制设备进行安全管理(BP.01.01)

    6.1.1.2.2等级2:规范防护

    该等级的安全防护能力描述如下: a)制度流程:组织建立工业控制设备安全保障制度,制定安全管理文档(BP.01.02); b 技术工具:组织采用具有身份鉴别、访问控制和安全审计等安全功能的工业控制设备,如受条 件限制工业控制设备无法实现上述要求,部署上位控制或管理设备实现同等功能,或通过管理 手段控制(BP.01.03); 人员能力:组织在经过测试评估后,在不影响系统安全稳定运行的情况下对工业控制设备进行 补丁更新、固件更新等工作(BP.01.04)

    6.1.1.2.3等级3.集成管控

    该等级的安全防护能力描述如下: 8 技术工具:组织使用专用设备和专用软件对工业控制设备进行更新(BP.01.05); b)人员能力:组织在工业控制设备上线前对其进行安全性检测,工业控制设备固件中不存在恶意 代码程序(BP.01.06)

    6.1.1.2.4等级4.综合协同

    该等级的安全防护能力描述如下: 技术工具:可在PLC、DCS等核心控制设备前端部署具备工业控制协议深度包检测功能的防

    GB/T 414002022

    则过滤,具备检测或阻断不符合 协议标准结构的数据包、不符合正常生 文据内容等功能(BP.01.07)

    6.1.1.2.5等级5:智能优化

    PA02现场测控设备安

    6.1.2.1PA 描述

    根据实际或计划使用环境的安全风险分析结果,保护现场测控设备免受攻击、侵人、干扰利 22等级描述

    6.1.2.2等级描述

    6.1.2.2.1等级1:基础建设

    该等级的安全防护能力描述如下: 人员能力:组织仅根据特定需求或基于组织经验对现场测控设备进行安全管理(BP.02.01)

    6.1.2.2.2等级2.规范防护

    该等级的安全防护能力描述如下。 a 制度流程:建立工业控制系统现场测控设备安全保障制度,制定安全管理文档(BP.02.02)。 b)技术工具: 1) 组织选择现场测控设备,优先考虑具有对访间行为主体(人员、进程和设备)进行标识与鉴 别的功能(BP.02.03); 2) 组织选择现场测控设备,优先考虑具有访问控制与审计功能,支持基于角色的访问控制策 略,并对重要的安全性事件和重要生产活动进行审计(BP.02.04); 3) 组织选择现场测控设备,优先考虑具有数据完整性校验功能,具备防止对静态数据进行非 授权写操作的保护机制(硬件或软件),并具备抵御数据包插入、丢失、重放、套改的机制 (BP.02.05); 4)组织采用的现场测控设备具备机制保护存储和传输数据的保密性(BP.02.06)

    制度流程:建立工业控制系统现场测控设备安全保障制度,制定安全管理文档(BP.02.02) b)技术工具: 1 组织选择现场测控设备,优先考虑具有对访间行为主体(人员、进程和设备)进行标识与鉴 别的功能(BP.02.03); 组织选择现场测控设备,优先考虑具有访问控制与审计功能,支持基于角色的访问控制策 略,并对重要的安全性事件和重要生产活动进行审计(BP.02.04); 3 组织选择现场测控设备,优先考虑具有数据完整性校验功能,具备防止对静态数据进行非 授权写操作的保护机制(硬件或软件),并具备抵御数据包插入、丢失、重放、算改的机制 (BP.02.05);

    6.1.2.2.3等级3.集成管控

    6.1.2.2.4等级4.综合协同

    1.2.2.5等级5.智能优化

    该等级的安全防护能力描述如下

    GB/T414002022

    技不上具:在现场测控设备的远程 组织可采用基于公钥密码理论的PK1安全体系 BP.02.10)

    6.1.3PA03设备资产管理

    6.1.3.1PA描迷

    6.1.3.2等级描述

    6.1.3.2等级描述

    6.1.3.2.1等级1:基础建设

    6.1.3.2.2等级2.规范防护

    该等级的安全防护能力描述如下: 制度流程: a 组织制定设备资产管理制度(BP.03.02); b) 组织建立工业控制系统资产清单(包括软件资产、硬件资产、固件资产等),确保工业控制系统 资产信息可核查、可追溯(BP.03.03)

    6.1.3.2.3等级3:集成管控

    该等级的安全防护能力描述如下: 制度流程:围绕组织工业控制系统承载的关键业务,制定涵盖关键工业主机、网络设备、控制组 件等的重要资产清单(BP.03.04); b) 技术工具:组织对关键工业主机、网络设备、控制组件等进行余配置(如双机冷/热备 等)(BP.03.05)

    6.1.3.2.4等级4.综合协同

    该等级的安全防护能力描述如下: a 机构建设:组织建立资产多级管理及使用处置规则并明确资产责任人,在资产生命周期内对其 进行适当管理(BP.03.06); b 技术工具:组织将工业控制系统设备资产清单及相关信息上传至云服务(可为私有云),对设备 资产进行综合管控(BP.03.07)

    1.3.2.5 等级5.智能优

    该等级的安全防护能力描述如下: 技术工具:组织采用自动化扫描等技术,智能发现新增或变更的网络设备、工业主机、控制设备 自动更新资产清单(BP.03.08)

    6.1.4PA04存储媒体保护

    6.1.4.1PA 描述

    GB/T 414002022

    6.1.4.2等级描述

    6.1.4.2等级描迷

    6.1.4.2.1等级1.基础建设

    多等级的安全防护能力描还如 机构建设:组织仅根据特定需求或基于组织经验开展存储媒体保护工作(BP.04.01)

    6.1.4.2.2等级2.规范防护

    该等级的安全防护能力描述如下。 a) 制度流程: 1)组织建立存储媒体保护制度,包括存储媒体登记、存储媒体使用、存储媒体销毁等,并定期 对存储媒体保护制度进行评审、更新(BP.04.02); 2 组织对存储媒体进行分类保护,将存储媒体分为数字存储媒体和非数字存储媒体。其中 数字存储媒体包括:硬盘、光盘、软盘、U盘等,非数字存储媒体包括文档、缩微胶片等 (BP.04.03) ; 3) 存储媒体销毁前进行审阅、批准、跟踪等步骤,经组织审查和批准后进行存储媒体销毁,并 确认该销毁过程的合规性(BP.04.04)。 b)技术工具:受控区域外传递各类存储媒体时,组织采取安全防护措施进行保护和控制(BP.04。 05)。 c)人员能力:受控区域内,组织采取物理控制措施并安全存放各类存储媒体,实行专人管理,并根 据存储媒体登记的清单定期盘点(BP.04.06)。

    6.1.4.2.3等级3.集成管控

    该等级的安全防护能力描述如下。 制度流程:存储媒体由组织集中管控,依据确定的范围登记存储媒体的名称/种类、序号、分发 范围、访间要求、处理要求、销毁要求等(BP.04.07)。 b 技术工具: 1)组织采用管理系统对存储媒体传递相关活动进行记录,确保存储媒体在受控区域外传递 过程的可核查性(BP.04.08); 2) 在存储媒体报废、回收前,组织对存储媒体进行销毁,采用销毁机制的强度、覆盖范围与存 储媒体中存储信息的安全类别或级别相匹配(BP.04.09)。 c)人员能力:组织对存储媒体在物理传输过程中的人员选择、打包、交付等情况进行控制,并对存 储媒体的归档和查询等进行记录(BP.04.10)。

    6.1.4.2.4等级4.综合协同

    该等级的安全防护能力描述如下 技术工具:销毁前组织采用技术手段确认存储媒体内的信息不能恢复或重建(BP.04.11)

    6.1.4.2.5等级5.智能优化

    该等级的安全防护能力描述如下: 技术工具:组织采用自动化技术手段,识别并禁止未标识的存储媒体在工业控制系统中使用(B 2)。

    6.2.1PA05专用安全软件

    GB/T414002022

    在操作员站、工程师站等工业主机上安装专用安全软件,对可执行程序进行管理, 恶意程序感染。

    作员站、工程师站等工业主机上安装专用安全软件,对可执行程序进行管理,防止病毒、木马等 感染

    6.2.1.2等级描述

    6.2.1.2.1等级1基础建设

    该等级的安全防护能力描述如下: 行管理(BP.05

    级的安全防护能力描述如下: 业主机可执行程序进行管理(BP.05.01)

    6.2.1.2.2等级2:规范防护

    该等级的安全防护能力描述如下。 a)制度流程:建立工业主机防病毒和恶意软件人侵管理制度,制定安全管理文档(BP.05.02)。 b)技术工具: 1)组织在工业主机中安装安全软件,防范病毒、木马等恶意程序,防止未授权应用程序和服 务运行(BP.05.03); 对工业按制系统的正贵运备

    GB/T 414002022

    为逻辑安全性判断、分布式逻辑行为的综合分析 1)

    6.2.2PA06 漏洞和补丁管理

    6.2.2.1PA描述

    6.2.2.2等级描述

    6.2.2.2.1等级1.基础建设

    亥等级的安全防护能力描述如下 人员能力:组织仅根据特定需求或基于组织经验对工业信息安全漏洞和补丁进行管理(BP.06.01

    6.2.2.2.2等级2:规范防护

    该等级的安全防护能力描述如下: 制度流程:组织建立工业信息安全漏洞和补丁管理制度,跟踪重大工业信息安全漏洞信息,并 进行分析研判(BP.06.02); b) 机构建设:出现重大工业信息安全漏洞后,组织及时跟踪补丁发布,在适当时间进行补丁升级 或开展消减措施(BP.06.03)。

    6.2.2.2.3等级3:集成管控

    6.2.3.2等级描述

    .3.2.1等级1:基础建设

    GB/T414002022

    该等级的安全防护能力描述如下: 人员能力:组织仪根据特定需求或基手组织经 业主机外设接口进行管理(BP.07.01)。

    2.3.2.2等级2.规范防

    3.2.2等级2:规范防护

    该等级的安全防护能力描述如下: 制度流程:建立工业主机外设接口管理制度,严格管控工业主机外设接口的使用(BP.07.02)

    6.2.3.2.3等级3.集成管控

    该等级的安全防护能力描述如下: 技术工具: a 组织拆除或封闭工业主机上不必要的USB、光驱、无线等接口,防止病毒、木马、端虫等恶意代 码人侵,并避免数据泄露(BP.07.03); b) 组织确需使用工业主机外设接口时,通过主机外设安全管理技术手段实施访问控制,不准许未 授权的外设终端接人(BP.07.04)

    6.2.3.2.4等级4.综合协同

    该等级的安全防护能力描述如下: 技术工具:组织采用统一审批的工业主机外接设备,工业主机拒绝访问未经审批的外接设备(BP 07.05)

    6.2.3.2.5等级5.智能优化

    6.3工业网络边界安全

    8.1PA08安全区域划分

    6.3.1.1PA描述

    对工业控制网络安全区域之间进行逻辑隔离安全防护,防止由于单点网络攻击造成全局网络问 12等级描述

    6.3.1.2等级描述

    6.3.1.2.1等级1:基础建设

    该等级的安全防护能力描述如下 制度流程:组织仅根据特定需求或基于组织经验建立安全区域划分策略(BP.08.01)

    6.3.1.2.2等级2:规范防护

    该等级的安全防护能力描述如下: a)制度流程:组织根据区域重要性和业务需求对工业控制系统进行安全区域划分,确保安全 的区域隔离(BP.08.02); b)技术工具:组织根据业务方向,采用工业防火墙、网闸、数采隔离网关等防护设备,对工业

    GB/T 414002022

    网络安全区域实施隔离防护(BP.08.03)

    6.3.1.2.3等级3:集成管控

    该等级的安全防护能力描如下: 技术工具:组织将具有相同功能和安全要求的控制设备划分到同一区域,区域之间执行管道通信, 并对控制区域间管道中的通信内容进行统一管理(BP.08.04)

    6.3.1.2.4等级4.综合协同

    该等级的安全防护能力不低于3级BP

    6.3.1.2.5等级5.智能优化

    该等级的安全防护能力描述如下: 技术工具:组织可采用自动化机制,基于深度防御的思想,智能生成区域访问控制策略并自适应演 进,以针对不同安全区域的边界实现不同程度的安全隔离强度(BP.08.05)

    3.2PA09网络边界防折

    6.3.2.1PA描速

    通过网络边界防护设备对工业控制网络与办公网或互联网之间的边界进行安全防护,防 场外部的安全风险引入工业控制网络

    6.3.2.2等级描述

    6.3.2.2.1等级 1:基础建设

    该等级的安全防护能力描述如下: 制度流程:组织禁止未加防护的工业控制网络与互联网直接连接,确保互联网的安全风险不被引入 工业控制网络(BP.09.01)

    6.3.2.2.2等级2:规范防护

    6.3.2.2.3等级3.集成管控

    6.3.2.2.4等级4.综合协同

    GB/T414002022

    6.3.2.2.5等级5.智能优化

    该等级的安全防护能力描述如下: 技术工具:组织采用可信验证机制对接入到网络中的设备进行可信验证,保证接人网络自 可信(BP.09.09)

    6.3.3PA10远程访问安全

    6.3.3.1PA描述

    根据组织远程访回工业控制系统的而 的加密保护措施玩具标准,保证传输通道和节点的安全 防止远程访问过程中的数据泄露

    6.3.3.2等级描述

    6.3.3.2.1等级1.基础建设

    镀铬标准该等级的安全防护能力描述如下: 人员能力:组织仅根据特定需求或基于组织经验对工业控制系统远程访问进行管理(BP.10.01)

    6.3.3.2.2等级2.规范防护

    6.3.3.2.3等级3:集成管控

    ....
  • 相关专题:

相关下载

相关推荐

快速入口  

下载排行

常用软件