一文读懂工业控制系统宁静尺度系列(GB/T 36324-2018)

时间:2022-01-02 02:11

本文摘要:工业控制系统宁静尺度是工业控制系统宁静保障体系的重要组成部门,对于各行业企事业单元开展工业控制系统宁静防护事情具有促进、规范和指导等多重意义。由于我国工业控制系统宁静防护建设整体起步较晚,工业控制系统宁静尺度亦有显着的滞后。随着近年来以信安标委为主导的尺度化组织加速了工业控系统宁静尺度制定的历程,我国工业控制系统宁静尺度体系逐渐步入了“快车道”,大量工业控制系统宁静尺度相继公布。

亚搏手机版app下载

工业控制系统宁静尺度是工业控制系统宁静保障体系的重要组成部门,对于各行业企事业单元开展工业控制系统宁静防护事情具有促进、规范和指导等多重意义。由于我国工业控制系统宁静防护建设整体起步较晚,工业控制系统宁静尺度亦有显着的滞后。随着近年来以信安标委为主导的尺度化组织加速了工业控系统宁静尺度制定的历程,我国工业控制系统宁静尺度体系逐渐步入了“快车道”,大量工业控制系统宁静尺度相继公布。

为了能够资助各行业企事业单元更深入相识工控宁静尺度,威努特开设“一文读懂工业控制系统宁静尺度”系列连载文章,分多期对现有工业控制系统宁静尺度举行详细解读。我国现有的工业控制系统宁静尺度体系主要可分为宁静品级、宁静要求、宁静实施和宁静测评四个大类,对应工控系统宁静防护实施历程的计划、建设和测评各个阶段,并在各阶段起到相应的规范和指导作用。宁静品级类尺度在宁静计划阶段提供工控系统的定级指导,确定防护总体目的;宁静要求类尺度在宁静建设阶段强化对工控宁静防护技术、治理和产物的要求;宁静实施类尺度主要为工控宁静防护建设实施历程提供指导;宁静测评类尺度则是规范工控系统宁静评估和产物宁静检测的方法和流程。

根据工控宁静尺度体系的逻辑架构,我们的连载文章将从宁静品级类尺度GB/T 36324-2018《信息宁静技术 工业控制系统信息宁静分级规范》(以下简称“分级规范”)尺度开始,对整个体系中的工控宁静尺度举行一一解读。一、 尺度概述2011年,工信部下发了《关于增强工业控制系统信息宁静治理的通知》([2011]451号),为贯彻落实工信部通知相关精神,实现对工业控制系统信息宁静应接纳分品级治理的要求,提出工业控制系统信息宁静级别划分规则和定级方法,为工业控制系统信息宁静定级提供技术依据和事情指导,凭据信安标委的尺度专项项目任务书,2012年尺度承接单元开始着手尺度编写的事情,于2018年6月尺度正式公布。二、 尺度规模“本尺度划定了基于风险评估的工业控制系统信息宁静品级划分规则和定级方法,提出了品级划分模型和定级要素,包罗工业控制系统资产重要水平、存在的潜在风险影响水平和需抵御的信息宁静威胁水平,并提出了工业控制系统信息宁静四个品级的特征。

”——深度解读:分级规范提出了1-4级的宁静分级划分,与海内信息宁静品级掩护的品级划分基本一致(信息系统宁静掩护品级划分为5级,实际使用的是1-4级),与国际尺度IEC-62443中工业控制系统信息宁静品级划分保持一致(划分为1-4级)。分级规范中工业控制系统宁静级别与“等保”网络宁静掩护品级具有一定的兼容性,原网络宁静掩护品级的定级因素(受侵害客体及对客体的侵害水平)包罗在分级规范中工业控制系统信息宁静定级因素的一个维度(受侵害潜在影响水平)中。

当忽略工业控制系统重要性水平、工业控制系统信息宁静威胁两个维度时,获得的工业控制系统宁静级别与“等保”网络宁静掩护品级基本一致。也就是说,如果一个工业控制系统宁静级别已经根据原来“等保”方法举行定级,会存在思量问题不完整,发生一定偏差,但不会发生大的冲突和错误,仍然存在一定的兼容性。

简而言之,在开展工控系统的“等保”建设定级时可参考分级规范的模型和定级要素举行定级。“分级规范适用于工业生产企业以及相关行政治理部门,为工业控制系统信息宁静品级的划分提供指导,为工业控制系统信息宁静的计划、设计、运维以及评估和治理提供依据。

”——深度解读:对于工业生产企业而言,分级规范可以在宁静计划和设计阶段提供定级指导,明确工业控制宁静防护总体目的和主要防护措施(可基于1-4级系统的特征梳理防护总体目的);同时上级羁系部门亦可凭据下属各单元的工控系统定级情况制定指导、监视、检查和强化措施等多种差别水平的羁系机制。三、 尺度焦点要点定级工具“对工业控制系统划分信息宁静品级,其定级工具是一个详细的完整的工业控制系统,也可以是这个工业控制系统中相对独立的一部门。”——深度解读:以汽车制造企业为例,定级时可把冲压、焊装、涂装和总装车间整体工业控制系统举行定级,亦可对关键的总装车间工业控制系统举行单独定级,可是一般情况下工业控制系统中相对独立的一部门的宁静品级不应高于其整体的工业控制系统的宁静品级。

级别界说分级规范中工业控制系统信息宁静级别是依据风险影响品级来界定的,分为四级。同时对1-4级工业控制系统的特征举行了界定,主要从受破坏后的影响水平、抵御威胁水平、宁静防护能力和上级羁系四个维度举行特征的区分和界说,对工业企业的防护粒度、上级羁系力度上有显著的品级差异,为用户方和羁系单元提供参考。

定级要素工业控制系统信息宁静定级要素及其之间的关系如下图所示:工业控制系统资产重要水平:凭据工业控制系统所在工业生产行业领域重要性划分为一般领域、重点领域和关键领域(通例熟知的如钢铁、化工、电力、天然气、都会轨道交通、都会供水供气供热等均属于重点领域)。资产的作用价值一般是凭据工控资产工具在工业企业生产历程中负担的业务重要性举行评价。资产的获取价值则是指资产自身原始成本、更换或再造成本。从分级规范给出的重要水平特征值表中可以看出资产作用价值是影响资产重要性的关键指标,这一点也切合工业生产企业特别是一连型生产企业优先保障生工业务可靠性的特点。

说明:资产重要水平特征值取值规模从1到5特征值越高表现资产重要水平越高受侵害后潜在影响水平:反映了工业控制系统信息宁静受到侵害后发生的直接损失和间接损失,包罗对工业控制系统及其相关生产装置的影响,对工业生产运行宁静的影响,以及对其他受侵害工具(如公民、企业、其他组织的正当权益及重要产业宁静,情况宁静、社会秩序、公共利益和人员生命宁静,国家宁静、国家经济宁静)的影响。说明:潜在影响水平特征值取值规模从1到5,特征值越高表现受侵害后潜在影响水平越高。

亚搏手机版app下载

需抵御的信息宁静威胁水平:在工业控制系统在面临客观存在的众多威胁中,依据工业控制系统、相关生产装置以及所属企业或行业配合固有懦弱性及其可使用性,信息宁静事件发生的可能性,所确定的实际需要抵御的信息宁静威胁。需要抵御的信息宁静威胁品级规模为1-5,5为最高。定级流程分级规范主要基于风险评估历程制定工业控制系统信息宁静定级流程。

典型的信息宁静风险评估运动主要包罗:确定评估工具、风险识别、风险盘算。工业控制系统信息宁静定级流程上接纳了一致的方法和流程。

定级流程简直定工业控制系统定级工具,是在设定风险评估的工具;定级流程简直定工业控制系统资产重要水平、确定受侵害后的潜在影响水平、确定需抵御的信息宁静威胁水平,属于风险分析的风险识别历程;定级流程简直定工业控制系统信息宁静品级,属于风险盘算运动。(1) 确定定级工具分级规范要求定级的工业控制系统具备四个基本条件:Ø 定级的工业控制系统须是能够独立运行的完整工业控制系统,具备独立运行的所有服务器、工程师站、收罗接口和通信网络等组件,不必依赖其他系统或与其他系统没有控制信息的交流,如典型DCS系统包罗上位机、下位控制组件、数据收罗模块、控制网络和现场控制设备,可组成独立完整的系统。Ø 定级的工业控制系统须是相对独立的单元,能够负担整个生工业务系统中的一部门控制历程实现部门业务应用,可将一个独立的控制子系统或多个子系统组成的独立生产单元设定为定级工具,但这些子系统须具有配合的宁静需求。

Ø 定级的工业控制系统具有工业控制系统的基本要素,定级工具应包罗自动化系统全部基本要素(检测器、控制器、执行器和工具),并能独立完成工业生产中某个完整控制历程,不能为单一的某个控制组件。Ø 定级的工业控制系统具有唯一确定的宁静责任单元,要求企业在定级前对定级工业控制系统的宁静责任单元有明确的划分。(2) 确定资产重要水平通过对定级工业控制系统的资产价值、行业领域和业务使命三个要素判断资产重要水平,要求企业在定级前对自身生工业务中的工业控制系统业务重要水平举行合理划分,重要水平特征值应该是参考企业内所有系统资产的一个相对值,能够体现出各系统的重要水平差异,例如一个火力发电厂中DCS系统的资产价值和业务使命相比SIS系统高,那么在资产重要水平上DCS系统的特征值也要体现的较高。(3) 确定受侵害后的潜在影响水平分级规范对于定级工业控制系统受侵害的影响水平分析主要依据以下几个方面:Ø 确认工业控制系统是否受到侵害:主要通过定级工业控制系统信息宁静的可用性、完整性、保密性属性的部门或全部是否受到破坏判断。

Ø 确认受侵害后的方式体现,主要分为对系统服务的破坏和业务数据的破坏,两种侵害体现形式中的侵害工具和影响水平都有差别,对系统服务侵害更多影响的是系统可用性,对业务数据侵害更多影响的是系统业务运行完整性和保密性。Ø 评价受侵害的工具,一般包罗国家宁静(特别是其中的国家经济宁静),情况宁静和人民生命宁静、社会秩序稳定、公共利益、工业生产运行宁静,以及公民、企业和其他组织的正当权益及重要产业宁静,以及工业控制系统及相关生产装置,且分级规范中给出了各种工具的判断条件。Ø 评价受侵害的水平,根据一般损害、严重损害、特别损害三个品级对各种受侵害工具的受侵害水平举行界说,分级规范给出了各种工具受侵害水平的划分条件。

(4) 确定需抵御的信息宁静威胁水平分级规范主要从面临的信息宁静威胁、信息宁静事件发生可能性对宁静威胁水平特征举行界说:Ø 面临的信息宁静威胁主要从威胁泉源、威胁体现形式和威胁水平等方面举行识别,对定级工具面临威胁的分析主要包罗:常见的威胁列表、业界的统计和分析、系统自身历史宁静事件等。Ø 信息宁静事件发生可能性应该是建设在对定级工业控制系统的充实懦弱性评估基础上,充实联合业界数据对发生频度举行界说和分析,并通过懦弱性可使用水平和发生频度判断信息宁静事件发生可能性特征值。(5) 确定工业控制系统信息宁静品级最后,用已确定的工业控制系统资产重要水平特征值、受侵害潜在影响水平特征值、需抵御的信息宁静威胁水平特征值,在下表中查找对应的级别,即可确定基于工业控制系统信息宁静风险的工业控制系统信息宁静品级。

说明:表中括号内的数字是工业控制系统信息宁静品级特征值,其中工业控制系统资产重要水平特征值、受侵害后潜在影响水平特征值、需抵御的信息宁静威胁水平特征值的取值规模均为1-5。工业控制系统信息宁静品级特征值的取值规模均为1-13,与品级的对应关系为:工业控制系统信息宁静品级第一级对应特征值取值规模是1-4,第二级是5-7,第三级是8-10,第四级是11-13。四、 总结语分级规范提供了以工业控制系统风险影响为基准的工业控制系统信息宁静品级划分规则和定级方法,提出了品级模型和定级要素,明确了各个品级工业控制系统所具备的潜在风险影响、信息宁静威胁、信息宁静能力和信息宁静治理方面的特征。

适用于工业自动化生产企业以及相关行政治理部门,为工业控制系统信息宁静品级的划分提供指导,亦可为大量工业企业开展工业控制系统宁静防护建设特别是等保合规性建设历程中的系统定级提供更科学、准确定级方法和指导。


本文关键词:一文,读懂,工业,控制系统,宁静,亚搏手机版app下载,尺度,系列

本文来源:亚搏手机在线登录入口-www.mingrenfilm.com