1 范圍
本標準給出了工業(yè)控制系統(tǒng)信息安全檢查的范圍����、方式�、流程、方法和內容���。
本標準適用于開展工業(yè)控制系統(tǒng)的信息安全監(jiān)督檢查��、委托檢查工作���,同時也適用于各企業(yè)在本集團(系統(tǒng))范圍內開展相關系統(tǒng)的信息安全自檢查。
注:本標準適用的檢查范圍是廣泛應用于核設施���、鋼鐵����、有色����、化工��、石油石化�����、電力����、天然氣����、先進制造、水利樞紐��、環(huán)境保護�����、鋼鐵����、城市軌道交通�����、民航、城市供水供氣供熱以及其他與國計民生緊密相關領域的工業(yè)控制系統(tǒng)����。
2 規(guī)范性引用文件
下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件���,僅注日期的版本適用于本文件���。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件�����。
GB/T 25069-2010 信息安全技術 術語
GB/T 32919-2016 信息安全技術 工業(yè)控制系統(tǒng)安全控制應用指南
3 術語和定義
GB/T 25069-2010和GB/T32919-2016界定的以及下列術語和定義適用于本文件�����。
3.1
工業(yè)控制系統(tǒng) industrial control system
由各種自動化控制組件以及對實時數(shù)據(jù)進行采集�����、監(jiān)測的過程控制組件共同構成的確保工業(yè)基礎設施自動化運行����、過程控制與監(jiān)控的業(yè)務流程管控系統(tǒng)�����。
注:工業(yè)控制系統(tǒng)的核心組件包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)��、分布式控制系統(tǒng)�����、可編程邏輯控制器�、主終端單元��、遠程終端單元���、上位機����,以及確保各組件通信的接口技術���。
3.2
監(jiān)控和數(shù)據(jù)采集系統(tǒng) supervisory control and data acquisition system
在工業(yè)生產控制過程中�����,對大規(guī)模遠距離地理分布的資產和設備在廣域網環(huán)境下進行集中式數(shù)據(jù)采集與監(jiān)控管理的控制系統(tǒng)�。
注:SCADA系統(tǒng)以計算機為基礎�����,對遠程分布運行設備進行監(jiān)控調度����,其主要功能包括數(shù)據(jù)采集、參數(shù)測量和調節(jié)�、信息報警等。SCADA系統(tǒng)一般由設在控制中心的主終端單元(MTU)�、通信線路和設備、遠程終端單元(RTU)等組成�����。
3.3
分布式控制系統(tǒng) distributed control system
以計算機為基礎���,在系統(tǒng)內部(單位內部)對生產過程進行分布控制����、集中管理的系統(tǒng)���。
注:DCS一般包括現(xiàn)場控制級�����、控制管理級兩個層次���,現(xiàn)場控制級主要是對單個過程進行控制��,控制管理級主要是對多個分散的子過程進行數(shù)據(jù)采集��、統(tǒng)一調度和管理����。
3.4
工業(yè)控制設備 industrial control device
對工業(yè)生產過程及裝置進行檢測與控制的設備
3.5
可編程邏輯控制器 programmable logic controller
采用可編程存儲器��,通過數(shù)字運算操作對工業(yè)生產裝備進行控制的電子設備����。
注:PLC主要執(zhí)行各類運算、順序控制���、定時執(zhí)行等指令�,用于控制工業(yè)生產裝備的動作����,是工業(yè)控制系統(tǒng)的主要基礎單元���。
3.6
主終端單元 master terminal unit
SCADA系統(tǒng)中的服務器���,用于集中控制���,同遠程終端單元進行通信。
3.7
遠程終端單元 remote terminal unit
對較長通信距離和惡劣工業(yè)現(xiàn)場環(huán)境而設計的具有模塊化結構的���、特殊的計算機測控單元���。
3.8
上位機 supervisory computer
直接發(fā)出操控命令的計算機。
3.9
控制網 control network
控制層網絡��,主要部署工程師站��、操作員站��、工業(yè)控制設備��,為高安全等級的信任區(qū)域�。
3.10
安全檢查 security inspection
以查代促���、以查促改、以查促管�、以查促防,旨在推動提高信息安全工作能力和防護水平�����。
4 縮略語
下列縮略語適用于本文件��。
ICS 工業(yè)控制系統(tǒng)(Industrial Control System)
SCADA 監(jiān)控和數(shù)據(jù)采集(Supervisory Control And Data Acquisition)
DCS 分布式控制系統(tǒng)(Distributed Control System)
PLC 可編程邏輯控制器(Programmable Logic Controller)
MTU 主終端控制單元(Master Terminal Unit)
RTU 遠程終端單元(Remote Terminal Unit)
5 檢查方式
5.1 監(jiān)督檢查
監(jiān)督檢查是指上級管理部門組織的或國家有關職能部門依法開展的檢查�。
監(jiān)督檢查可依據(jù)本標準的要求,實施完整的信息安全檢查過程�。
監(jiān)督檢查也可在自檢查的基礎上,對關鍵環(huán)節(jié)或重點內容實施檢查����。
5.2 自檢查
自檢查是指信息系統(tǒng)所有者、運營或使用單位發(fā)起的對本單位工業(yè)控制系統(tǒng)安全狀況進行的檢查����。自檢查在本標準的指導下,結合系統(tǒng)特定的安全要求進行實施�����。
5.3 委托檢查
受檢單位或監(jiān)督檢查的組織部門不具備檢查能力的,可委托經相關主管部門認可的機構開展檢查���。
6 檢查工作流程
6.1 檢查準備
6.1.1 概述
檢查準備是開展檢查工作的前提和基礎�,是整個檢查過程有效性的保證�����。檢查準備工作是否充分直接關系到后續(xù)工作能否順利開展����。本階段的主要內容是明確檢查工作的方式���、依據(jù)�、范圍和內容����,調研被檢查單位和被檢查系統(tǒng)的情況,確定被檢查單位的聯(lián)系人和聯(lián)絡方式��,確定檢查組成員和檢查工具��,制定檢查方案和計劃并通知被檢查單位�����。
6.1.2 檢查準備過程工作內容
根據(jù)檢查工作的要求,明確安全檢查工作的方式�,包括監(jiān)管機構監(jiān)督檢查、企業(yè)信息安全自查等���。
明確安全檢查工作的依據(jù)�����,包括國家信息安全規(guī)范性文件及標準�、行業(yè)信息安全規(guī)范性文件及標準�、主管機構要求等。
明確安全檢查工作的范圍��,包括被檢查單位���、被檢查系統(tǒng)�����、涉及的人員���、被檢查單位的上級主管單位等�����,并通過調研形成“工業(yè)控制系統(tǒng)信息安全檢查工作調研表”���。
明確安全檢查工作的內容。由兩部分內容組成�,一部分為基本檢查內容,相關要求詳見本標準第8章����;另外一部分為補充檢查內容����,由檢查機構在每次檢查前,依據(jù)有關主管單位要求�����、信息安全發(fā)展態(tài)勢和企業(yè)的信息安全管理工作開展情況進行擬定��。
由檢查機構統(tǒng)一組織實施檢查工作�,確定現(xiàn)場檢查組的人員和設備,可委托第三方信息安全服務機構實施現(xiàn)場檢查工作,檢查機構安排專人陪同���。
根據(jù)檢查工作的內容��,制定“工業(yè)控制系統(tǒng)信息安全檢查方案”“工業(yè)控制系統(tǒng)信息安全檢查計劃”和“工業(yè)控制系統(tǒng)信息安全檢查工作表”��。
在現(xiàn)場檢查開始前�����,檢查組至少提前兩天將“工業(yè)控制系統(tǒng)信息安全檢查方案”和“工業(yè)控制系統(tǒng)信息安全檢查計劃”下發(fā)至被檢查單位�,明確要求被檢查單位對必要的系統(tǒng)和數(shù)據(jù)進行備份��,被檢查單位積極配合����,并提供必要的配合人員和辦公條件。
6.1.3 檢查準備過程的角色和職責
檢查機構職責:
a)向被檢查單位介紹安全檢查的意義和目的�����、檢查流程和工作方法���;
b)了解被檢查單位的工業(yè)控制系統(tǒng)建設狀況����;
c)指出被檢查單位需提供的基本資料;
d)向被檢查單位說明檢查工作自身的風險和規(guī)避方法�����;
e)準備被檢查系統(tǒng)基本情況調查表單����;
f)了解被檢查系統(tǒng)基本情況;
g)初步分析系統(tǒng)的安全情況�����;
h)準備檢查工具和文檔�。
被檢查單位職責:
a)向檢查機構介紹本單位的工業(yè)控制系統(tǒng)建設狀況與發(fā)展情況;
b)準備檢查機構需要的資料��;
c)為檢查人員的信息收集提供支持和協(xié)調����;
d)根據(jù)被檢查系統(tǒng)的具體情況����,如業(yè)務運行高峰期、網絡布置情況等,為檢查時間安排提供適宜的建議��;
以上為標準部分內容���,如需看標準全文��,請到相關授權網站購買標準正版�。
