附录C工业控制系统安全控制基线-2017工业控制系统信息.PPT

* 科学、公正、诚信、服务 工业和信息化部电子工业标准化研究院 全国信息安全标准化技术委员会秘书处 2016年9月16日 《工业控制系统安全控制应用指南》标准解读 工业控制系统安全控制应用指南 2. 目 录 标准背景及工控安全标准体系 1. 一、标准背景及工控安全标准体系 标准发布背景 2016年8月29日，全国信息安全标准化技术委员会归口的《信息安全技术 工业控制系统安全控制应用指南》、《信息安全技术 信息技术产品供应方行为安全准则》、《信息技术 安全技术 信息安全控制实践指南》等24项国家标准正式发布。 《信息安全技术 工业控制系统安全控制应用指南》（GB/T 32919-2016）是在中央网信办、国标委、工信部指导下，由我院等单位编制的一项基础性、通用性的国家标准。 该标准将于2017年3月1日正式实施，可指导工业控制系统建设、运行、使用、管理等相关方开展工业控制系统安全的规划和落地，也可供工业控制系统安全测评与安全检查工作作为参考依据 一、标准背景及工控安全标准体系 工业控制系统信息安全标准体系 工业控制系统安全控制应用指南 2. 目 录 标准背景及工控安全标准体系 1. CONTENTS 目录 目录 二、工业控制系统安全控制应用指南 前言与引言 1 2 3 4 5 范围、规范性引用文件、 术语和定义、缩略语 安全控制概述、基线及其设计、 选择与规约、选择过程应用 工业控制系统面临的安全风险 工业控制系统安全控制列表 6 工业控制系统安全控制基线 概述 二、工业控制系统安全控制应用指南 安全控制 二、工业控制系统安全控制应用指南 安全控制是应用于组织工业控制系统中管理、运行和技术上的保护措施和对策，以保护工业控制系统及其信息的保密性、完整性和可用性等。应用这些控制的目的是减少脆弱性或影响，抵御工业控制系统所面临的安全威胁，从而缓解工业控制系统的安全风险，以满足利益相关者的安全需要。 安全控制结构 二、工业控制系统安全控制应用指南 安全控制选择与规约 针对工业控制系统存在的脆弱性，分析面临的威胁，评估风险发生的可能性以及风险发生可能造成的影响和危害，制定风险处置原则和处置计划，将工业控制系统安全风险控制在可接受的水平。 二、工业控制系统安全控制应用指南 附录A 工业控制系统面临的安全风险 二、工业控制系统安全控制应用指南 工业控制系统与 传统信息系统的对比 信息系统 安全威胁与防护措施 对工控系统的影响 工业控制系统 面临的威胁 工业控制系统 脆弱性分析 性能需求 可用性需求 风险管理需求 安全焦点 物理交互 时间确定性响应 系统运行 ……. 拒绝服务的影响 加密传输 密钥管理 公网联接 无线通信的影响 内部攻击者 黑客 僵尸网络的操控者 恶意软件的作者 恐怖分子 工业间谍 犯罪组织 ……. 策略和规程的脆弱性 网络脆弱性 平台脆弱性 教育 培训 配置 管理 应急 计划 事件 响应 维护 介质 保护 安全 评估 与授权 规划 人员 安全 物理 与环境 安全 标识 与鉴别 程序 管理 系统 与信息 完整性 系统 与通信 保护 审计 与问责 访问 控制 风险 评估 系统 与服务 获取 附录B 工业控制系统安全控制 三、工业控制系统安全控制应用指南 本标准从管理、运维、技术三个维度提出了18个族，186项安全控制措施，范围涵盖访问控制、安全评估、系统与服务获取、风险评估、运维等。 管理 技术 运维 B.2 安全评估与授权(AC) 二、工业控制系统安全控制应用指南 管理措施 策略和规划 ICS连接管理 内部连接 渗透测试 技术措施 安全评估 安全授权 实施计划 持续监控 应包括：目的、范围、角色、责任、管理层承诺等 定期评审并根据需求更新 B.4系统与服务获取 二、工业控制系统安全控制应用指南 二、工业控制系统安全控制应用指南 B.6 人员安全(PS) 人员 安全 第三方人员 安全 策略和 规程 岗位分类 人员 审查 人员 离职 访问协议 人员 处罚 人员 调离 制定并发布正式的人员安全策略和规程 定时对人员安全策略和规程进行评审和更新 建立ICS岗位分类机制 评估ICS所有岗位的风险 建立人员审查制度 定时对岗位风险进行评审和更新 二、工业控制系统安全控制应用指南 B.6 人员安全(PS) 人员 安全 第三方人员 安全 策略和 规程 岗位分类 人员 审查 人员 离职 访问协议 人员 处罚 人员 调离 在授权访问ICS及相关信息前进行人员审查 在人员离职或岗位调整时对其进行审查 终止离职人员对ICS的访问 删除与离职人员相关的任何身份鉴别信息 与离职人员签订安全保密协议 收回离职人员说有安全相关系统的所有权 二、工业控制系统安全控制应用指南 B.6 人员安全(PS) 人员 安全 第三方人员 安全