GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南

ICS35.040

L80

中华人民共和国国家标准

/—

GBT329192016

信息安全技术工业控制

系统安全控制应用指南

Informationsecurittechnolo—

ygy

Alicationuidetoindustrialcontrolsstemsecuritcontrol

ppgyy

2016-08-29发布2017-03-01实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

/—

GBT329192016

目次

前言…………………………Ⅶ

引言…………………………Ⅷ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………2

5安全控制概述……………3

6安全控制基线及其设计…………………6

7安全控制选择与规约……………………7

7.1选择与规约概述……………………7

7.2安全控制选择………………………7

7.3安全控制裁剪………………………8

7.3.1裁剪过程………………………8

7.3.2界定范围的指导………………8

7.3.3安全控制补偿…………………9

7.3.4安全控制参数赋值……………9

7.4安全控制补充………………………10

7.5建立安全控制决策文档……………11

8安全控制选择过程应用…………………12

()…………………

附录资料性附录工业控制系统面临的安全风险

A13

A.1工业控制系统与传统信息系统对比……………13

A.2信息系统安全威胁与防护措施对工业控制系统的影响………14

A.3工业控制系统面临的威胁………………………15

A.4工业控制系统脆弱性分析………………………16

A.4.1工业控制系统脆弱性概述……………………16

A.4.2策略和规程脆弱性……………16

A.4.3网络脆弱性……………………17

A.4.4平台脆弱性……………………19

()……………………

附录资料性附录工业控制系统安全控制列表

B22

规划()…………………………

B.1PL22

安全规划策略和规程()…………………

B.1.1PL-122

系统安全规划()…………

B.1.2PL-222

行为规则()………………

B.1.3PL-323

信息安全架构()…………

B.1.4PL-423

安全活动规划()…………

B.1.5PL-524

安全评估与授权()……………

B.2CA24

Ⅰ

/—

GBT329192016

安全评估与授权策略和规程()…………

B.2.1CA-124

安全评估()………………

B.2.2CA-224

连接管理()…………

B.2.3ICSCA-326

实施计划()………………

B.2.4CA-426

安全授权()………………

B.2.5CA-527

持续监控()………………

B.2.6CA-627

渗透测试()………………

B.2.7CA-728

内部连接()………………

B.2.8CA-828

风险评估()……………………

B.3RA28

风险评估策略和规程()………………

B.3.1RA-128

安全分类()……………

B.3.2RA-229

风险评估()……………

B.3.3RA-329

脆弱性扫描()…………

B.3.4RA-429

系统与服务获取()……………

B.4SA30

系统与服务获取策略和规程()…………

B.4.1SA-130

资源分配()………………

B.4.2SA-231

生存周期支持()…………

B.4.3SA-331

服务获取()………………

B.4.4SA-431

系统文档()………………

B.4.5SA-532

软件使用限制()…………

B.4.6SA-633

用户安装软件()…………

B.4.7SA-733

安全工程原则()…………

B.4.8SA-833

外部系统服务()…………

B.4.9SA-934

开发人员的配置管理()………………

B.4.10SA-1034

开发人员的安全测试()………………

B.4.11SA-1135

供应链保护()…………

B.4.12SA-1235

可信赖性()……………

B.4.13SA-1336

关键系统部件()………………………

B.4.14SA-1436

程序管理()……………………

B.5PM36

程序管理计划()………………………

B.5.1PM-136

信息安全高管()………………………

B.5.2PM-237

信息安全资源()………………………

B.5.3PM-337

行动和里程碑计划()…………………

B.5.4PM-437

安全资产清单()………………………

B.5.5PM-537

安全性能度量()………………………

B.5.6PM-637

组织架构()……………

B.5.7PM-737

关键基础设施计划()…………………

B.5.8PM-838

风险管理策略()………………………

B.5.9PM-938

安全授权过程()……………………

B.5.10PM-1038

业务流程定义()……………………

B.5.11PM-1139

人员安全()……………………

B.6PS39

人员安全策略和规程()…………………

B.6.1PS-139

岗位分类()………………

B.6.2PS-239

Ⅱ

/—

GBT329192016

人员审查()………………

B.6.3PS-340

人员离职()………………

B.6.4PS-440

人员调离()………………

B.6.5PS-540

访问协议()………………

B.6.6PS-641

第三方人员安全()………………………

B.6.7PS-741

人员处罚()………………

B.6.8PS-842

物理与环境安全()……………

B.7PE42

物理与环境安全策略和规程()…………

B.7.1PE-142

物理访问授权()…………

B.7