工业控制系统信息安全防护能力评估方法.PDFVIP

附件: 工业控制系统信息安全防护能力评估方法 1.适用范围 1.1本方法提出了工业控制系统信息安全防护能力评估 的基本概念、实施流程和工作形式。 1.2 本方法适用于规范对企业按照 《工业控制系统信息 安全防护指南》建立的工控安全防护能力开展的综合评价活 动。 1.3 本方法适用于评估工业控制系统的应用企业。 2.规范性文件 2.1法律法规、指导性文件 《中华人民共和国网络安全法》 《国家网络空间安全战略》 《国务院关于深化制造业与互联网融合发展的指导意 见》（国发 〔2016〕28 号） 《国务院关于印发 〈中国制造2025〉的通知》（国发 〔2015〕28 号） 《国务院关于积极推进“互联网+”行动的指导意见》（国 发 〔2015〕40 号） 《国务院关于大力推进信息化发展和切实保障信息安 全的若干意见》（国发 〔2012〕23 号） 1 《工业控制系统信息安全防护指南》（工信部信软 〔2016〕338 号） 《关于加强工业控制系统信息安全管理的通知》（工信 部协 〔2011〕451号） 2.2 标准和技术规范 GB/T32919－2016 《信息安全技术 工业控制系统安全 控制应用指南》 GB/T20984－2007 《信息安全技术 信息安全风险评估 规范》 3.术语与定义 下列术语和定义适用于本方法。 3.1工业控制系统 工业生产控制各业务环节涉及的有关人员、软硬件系统 和平台的集合。包括但不限于：可编程逻辑控制器 （PLC）、 分布式控制系统 （DCS）、数据采集与监控系统 （SCADA） 等工业生产控制系统；紧急停车系统 （ESD）、安全仪表系统 （SIS）等工业控制过程安全保护系统；制造执行系统 （MES）、企业资源计划系统 （ERP）等工业生产调度与管理 信息系统；工业云平台、工业大数据平台等工业服务应用系 统。 3.2 工业控制系统信息安全防护 通过实施管理和技术措施，避免工业控制系统遭到非授 2 权或意外的访问、篡改、破坏及损失。 3.3 工业控制系统信息安全防护能力评估 从综合评价的角度，运用科学的方法和手段，系统地分 析和诊断工业控制系统所面临的威胁及其存在的脆弱性，评 估企业工业控制系统安全防护水平，提出有针对性的抵御威 胁的防护对策和整改措施，为最大限度地保障信息安全提供 科学依据。 3.4 工业控制网络 企业管理层之下的网络，包括现场设备层、生产控制层、 制造执行层等所在的网络区域。 3.5 工业主机 工业生产控制各业务环节涉及组态、操作、监控、数据 采集与存储等功能的主机设备载体，包括工程师站、操作员 站、历史站等。 3.6 工业控制设备 工业生产过程中用于控制执行器以及采集传感器数据 的装置，包括PLC、DCS、远程测控终端 （RTU）等。 3.7 资产 工业生产过程中具有价值的信息或资源，是安全防护的 对象。 3.8信息安全风险 人为或自然的威胁利用工业控制系统及其管理体系中 3 存在的脆弱性导致安全事件的发生及其对企业造成的影响。 3.9 威胁 可能导致对工业控制系统或企业危害的不希望事故潜 在起因。 3.10 脆弱性 可能被威胁所利用的资产或若干资产的薄弱环节。 3.11工业控制系统配置清单 包含工业控制系统正常运行所需配置的硬件、软件、文 档、组件等信息的清单。 3.12 安全配置 工业控制系统为实现特定的安全防护功能而执行的配 置策略。 3.13 物理安全防护区域 为保护工控系统不受人为或自然因素危害，需采取门 禁、安防、人工值守等物理安全手段的特殊区域。 3.14 评估报告 评估机构根据评估方法的要求，在履行必要的