《信息安全技术 工业控制系统安全控制应用指南》编制说明.pdfVIP

一、 工作简况 1.1任务来源 《信息安全技术 工业控制系统安全控制应用指南》是国家标准化管理委员 会 2010 年下达的信息安全国家标准制定项目，国标计划号为T-469， 原名称为“工控SCADA系统安全控制指南”，由国家信息技术安全研究中心承担， 参与单位包括国家信息技术安全研究中心、国家能源局 （原电监会）信息中心、 中国电力科学研究院、无锡市同威科技有限公司等单位。2013年8月标准草案 专家评审会议上专家建议将标准修改为 “工业控制系统安全控制应用指南” 1.2主要工作过程 1、2010年2月，联系各个参与单位，进行任务分工和任务组织；研究现有 国内外工控安全相关标准，分析各自特点，学习借鉴，包括IEC62443、NISTSP 800-82、NIST SP 800-53 ISO/IEC 27019等标准。 2、2010年2-6月，项目组先后到北京地区拥有SCADA系统的七个行业进行 了实地调研并与各行业从事SCADA系统管理和维护的人员进行了座谈；并形成各 工业控制系统的调研报告。 3、2010年6月，项目组组织召开了行业专家讨论会，听取了来自石油、电 力、供水、燃气、铁路、城市轨道交通等行业专家对标准草案的意见。 4、2010年7月，根据任务书的要求，规范编制小组开展考察调研和资料搜 集工作，按照需求分析整理出安全漏洞分类规范的框架结构。 5、2010年7月8 日，召集了信息安全标准专家征求意见会，会上许多专家 从标准中术语的定义、标准的内容格式上提出了许多宝贵意见。会后，项目组对 专家意见进行了认真分析和研究，在此基础上形成了标准草案。 6、2010年12月初，召集第二次行业专家征求意见会，进一步对标准制定 内容进行讨论，为制标做准备。 7、2011年7月，讨论确定编制思路和标准框架，按照分工开始各部分编制 工作，重点是控制措施部分。 8、2011年11月，项目组人员参加工控SCADA系统信息安全研讨会，听取 与会专家关于工控SCADA系统信息安全方面的意见和见解，丰富项目组人员工控 SCADA系统安全视野。 9、2011年7月-12月，项目组人员集中分析研究了国外工业控制系统相关 标准的基础上，结合领域专家意见和建议，形成了《工控SCADA系统安全控制指 南》草稿。 10、2012年7月，在安标委年度标准检查会议上，向安标委专家介绍了《工 控SCADA系统安全控制指南》标准成果，听取了专家的意见和建议。 11、2012年7月，邀请安标委专家王立福教授对标准编写提供意见与建议， 根据王教授的建议将标准调整为 《工控SCADA系统安全控制应用指南》和 《工控 SCADA系统安全控制指南》。根据王教授意见课题组将确定将标准调整为 《SCADA 系统安全控制应用指南》，并进行标准内容调整。 12、2012年7月-9月，根据安标委专家的意见和建议，修改完善标准草案， 并邀请了部分安标委专家给予项目组专门的指导，形成了《工控SCADA系统安全 控制应用指南》草稿。 13、2012年9月，项目组参加了“工业控制系统标准研讨会”，听取了TC260、 TC124等不同专家关于工控系统安全标准的观点和意见，在汲取各位专家的意见 和观点的基础上，进一步改进完善了《工控SCADA系统安全控制应用指南》草稿， 并形成1.1版本。 14、2012年9月-2013年4月，根据专家的意见，对国内外的工业控制系 统安全标准进行研究，尤其是研究美国工业控制安全标准，包括NISTSP800-82、 SP800-53，美国天然气工业协会 （AGA）AGA 12系列标准，ISA 99系列标准，北 美电力可控性公司 （NERC)CIP系列标准。并多次召开内部讨论会，对标准草案 内容进行讨论，形成了 《工控SCADA系统安全控制应用指南》草案1.2版本。 15、2013年8月16 日，全国信息安全标准化技术委员会WG5工作组在北京 组织召开了国家标准 《SCADA系统安全控制指南》（草案）专家评审会。专家听 取了编制组关于标准编制情况介绍和标准说明，审阅了相关文档，经质询讨论， 形成以下意见：编制组在广泛调研的基础上，参考了国内外工业控制系统安全的 有关标准，多次征求专家意见，广泛吸取了相关行业、企业的建议，进行了反复 修改、完善；该标准概述了工业控制系统一般性安全问题，存在的威胁和脆弱性， 给出了工业控制系统安全控制应用指南，对工业控制系统安全建设具有指导意 义