国家标准信息安全技术工业控制系统漏洞检测技术要求及测试评价.pdf

国家标准《信息安全技术 工业控制系统漏洞检测技术要求及测 试评价方法》（征求意见稿）编制说明 一、 工作简况 1.1 任务来源 《信息安全技术 工业控制系统漏洞检测技术要求及测试评价方法》是全国 信息安全标准化技术委员会 2015 年下达的信息安全国家标准制定项目，由北京 匡恩网络科技有限责任公司中国电子技术标准化研究院承担， 参与单位包括中国 信息安全测评中心、 中国电子技术标准化研究院、 北京工业大学、 中国科学院沈 阳自动化研究所、 北京和利时系统工程有限公司、 公安部计算机信息系统安全产 品质量监督检验中心、北京交通大学、浙江大学、解放军信息工程大学、中车株 洲电力机车有限公司等单位。 1.2 主要工作过程 1. 2015 年 5 月到 6 月，联系各个参与单位，进行任务分工和任务组织；研 究现有国内外工控安全相关标准，分析各自特点，学习借鉴。 2. 2015 年 7 月到 8 月 调研国内工业控制系统安全现状，学习、研究、讨 论国内外相关的标准及研究成果 , 确定并编写总体框架。 3. 2015.8-2015.12 编写标准初稿，在工作组内征求意见，根据组内意 见进行修改。 4. 2016 年 1 月， 向全国信息安全标准化技术委员会专家崔书昆老师和王立 福老师、石化盈科等行业用户、和利时等工业控制设备制造商、公安 3 所等科研院所、长城网际等安全厂商征求意见， 根据反馈意见多次修改。 5. 2016 年 1 月，标准编制组召开研讨会，根据专家在会上提出的修改意见 对标准进行修改。 6. 2016 年 5 月，标准编制组在“工控系统信息安全标准和技术专题研讨 会”介绍了标准草案，听取了来自轨交、石化、电力、冶金、制造业、 汽车等行业专家对标准草案的意见并根据专家在会上和会后提出的修 改意见对标准进行修改。 7. 2016 年 6 月，标准编制组召开专题研讨会介绍了标准草案，并根据专家 在会上提出的修改意见对标准进行修改。 8. 2016 年 10 月，标准编制组在信安标委第 2 次会议周上介绍了标准草案， 并根据专家在会前会上提出的修改意见对标准进行修改。 二、 编制原则和主要内容 2.1 编制原则 本标准的研究与编制工作遵循以下原则： （1）通用性原则 本标准在编制过程中参考了国内外诸多标准，包括： 《工业过程测量与控制安全：网络 与系统信息安全》系列标准（ IEC 62443 ）、《推荐的联邦信息系统和组织的安全控制措施》 （NIST SP 800-53 ）、《工业控制系统信息安全指南》 （NIST SP 800-82 ）和《信息安全技术 工业控制系统安全控制应用指南》 ，既确保标准科学性，又使得标准内容符合我国国情。 （2 ）可操作性和实用性原则 标准规范是对实际工作成果的总结与提升， 最终还需要用于实践中， 并经得起实践的检 验，做到可操作、可用与实用。为此，在本标准的制定过程中，起草组广泛征求行业用户意 见。所涉及的工业控制协议是广泛应用于各种工业控制领域的， 也允许根据实际情况添加新 的工业控制协议。 2.2 主要内容 本标准的研究目标及内容是对工业控制系统漏洞检测的功能要求等进行研 究，研究工业控制系统的技术架构特点、