1 范圍
本標準給出了工業控制系統信息安全檢查的范圍����、方式���、流程����、方法和內容。
本標準適用于開展工業控制系統的信息安全監督檢查�、委托檢查工作��,同時也適用于各企業在本集團(系統)范圍內開展相關系統的信息安全自檢查。
注:本標準適用的檢查范圍是廣泛應用于核設施����、鋼鐵��、有色、化工���、石油石化、電力���、天然氣、先進制造����、水利樞紐、環境保護��、鋼鐵�、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關領域的工業控制系統�����。
2 規范性引用文件
下列文件對于本文件的應用是必不可少的����。凡是注日期的引用文件,僅注日期的版本適用于本文件���。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件�����。
GB/T 25069-2010 信息安全技術 術語
GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南
3 術語和定義
GB/T 25069-2010和GB/T32919-2016界定的以及下列術語和定義適用于本文件���。
3.1
工業控制系統 industrial control system
由各種自動化控制組件以及對實時數據進行采集��、監測的過程控制組件共同構成的確保工業基礎設施自動化運行��、過程控制與監控的業務流程管控系統。
注:工業控制系統的核心組件包括監控和數據采集系統��、分布式控制系統����、可編程邏輯控制器��、主終端單元、遠程終端單元����、上位機,以及確保各組件通信的接口技術。
3.2
監控和數據采集系統 supervisory control and data acquisition system
在工業生產控制過程中,對大規模遠距離地理分布的資產和設備在廣域網環境下進行集中式數據采集與監控管理的控制系統��。
注:SCADA系統以計算機為基礎����,對遠程分布運行設備進行監控調度,其主要功能包括數據采集�、參數測量和調節��、信息報警等。SCADA系統一般由設在控制中心的主終端單元(MTU)��、通信線路和設備�、遠程終端單元(RTU)等組成。
3.3
分布式控制系統 distributed control system
以計算機為基礎�,在系統內部(單位內部)對生產過程進行分布控制����、集中管理的系統。
注:DCS一般包括現場控制級��、控制管理級兩個層次�����,現場控制級主要是對單個過程進行控制����,控制管理級主要是對多個分散的子過程進行數據采集��、統一調度和管理���。
3.4
工業控制設備 industrial control device
對工業生產過程及裝置進行檢測與控制的設備
3.5
可編程邏輯控制器 programmable logic controller
采用可編程存儲器����,通過數字運算操作對工業生產裝備進行控制的電子設備��。
注:PLC主要執行各類運算、順序控制、定時執行等指令,用于控制工業生產裝備的動作,是工業控制系統的主要基礎單元�����。
3.6
主終端單元 master terminal unit
SCADA系統中的服務器�,用于集中控制,同遠程終端單元進行通信。
3.7
遠程終端單元 remote terminal unit
對較長通信距離和惡劣工業現場環境而設計的具有模塊化結構的、特殊的計算機測控單元�����。
3.8
上位機 supervisory computer
直接發出操控命令的計算機���。
3.9
控制網 control network
控制層網絡�����,主要部署工程師站���、操作員站��、工業控制設備�,為高安全等級的信任區域�����。
3.10
安全檢查 security inspection
以查代促�、以查促改�、以查促管��、以查促防,旨在推動提高信息安全工作能力和防護水平���。
4 縮略語
下列縮略語適用于本文件����。
ICS 工業控制系統(Industrial Control System)
SCADA 監控和數據采集(Supervisory Control And Data Acquisition)
DCS 分布式控制系統(Distributed Control System)
PLC 可編程邏輯控制器(Programmable Logic Controller)
MTU 主終端控制單元(Master Terminal Unit)
RTU 遠程終端單元(Remote Terminal Unit)
5 檢查方式
5.1 監督檢查
監督檢查是指上級管理部門組織的或國家有關職能部門依法開展的檢查。
監督檢查可依據本標準的要求���,實施完整的信息安全檢查過程����。
監督檢查也可在自檢查的基礎上�����,對關鍵環節或重點內容實施檢查��。
5.2 自檢查
自檢查是指信息系統所有者�����、運營或使用單位發起的對本單位工業控制系統安全狀況進行的檢查。自檢查在本標準的指導下���,結合系統特定的安全要求進行實施。
5.3 委托檢查
受檢單位或監督檢查的組織部門不具備檢查能力的���,可委托經相關主管部門認可的機構開展檢查。
6 檢查工作流程
6.1 檢查準備
6.1.1 概述
檢查準備是開展檢查工作的前提和基礎�,是整個檢查過程有效性的保證�。檢查準備工作是否充分直接關系到后續工作能否順利開展����。本階段的主要內容是明確檢查工作的方式��、依據���、范圍和內容���,調研被檢查單位和被檢查系統的情況����,確定被檢查單位的聯系人和聯絡方式�����,確定檢查組成員和檢查工具����,制定檢查方案和計劃并通知被檢查單位�����。
6.1.2 檢查準備過程工作內容
根據檢查工作的要求����,明確安全檢查工作的方式,包括監管機構監督檢查�、企業信息安全自查等����。
明確安全檢查工作的依據��,包括國家信息安全規范性文件及標準、行業信息安全規范性文件及標準、主管機構要求等。
明確安全檢查工作的范圍�����,包括被檢查單位��、被檢查系統�����、涉及的人員�����、被檢查單位的上級主管單位等,并通過調研形成“工業控制系統信息安全檢查工作調研表”。
明確安全檢查工作的內容。由兩部分內容組成,一部分為基本檢查內容����,相關要求詳見本標準第8章���;另外一部分為補充檢查內容����,由檢查機構在每次檢查前�����,依據有關主管單位要求����、信息安全發展態勢和企業的信息安全管理工作開展情況進行擬定�����。
由檢查機構統一組織實施檢查工作,確定現場檢查組的人員和設備����,可委托第三方信息安全服務機構實施現場檢查工作�,檢查機構安排專人陪同�����。
根據檢查工作的內容���,制定“工業控制系統信息安全檢查方案”“工業控制系統信息安全檢查計劃”和“工業控制系統信息安全檢查工作表”�。
在現場檢查開始前����,檢查組至少提前兩天將“工業控制系統信息安全檢查方案”和“工業控制系統信息安全檢查計劃”下發至被檢查單位,明確要求被檢查單位對必要的系統和數據進行備份�,被檢查單位積極配合��,并提供必要的配合人員和辦公條件。
6.1.3 檢查準備過程的角色和職責
檢查機構職責:
a)向被檢查單位介紹安全檢查的意義和目的��、檢查流程和工作方法�;
b)了解被檢查單位的工業控制系統建設狀況;
c)指出被檢查單位需提供的基本資料���;
d)向被檢查單位說明檢查工作自身的風險和規避方法;
e)準備被檢查系統基本情況調查表單���;
f)了解被檢查系統基本情況;
g)初步分析系統的安全情況��;
h)準備檢查工具和文檔���。
被檢查單位職責:
a)向檢查機構介紹本單位的工業控制系統建設狀況與發展情況���;
b)準備檢查機構需要的資料�;
c)為檢查人員的信息收集提供支持和協調���;
d)根據被檢查系統的具體情況����,如業務運行高峰期、網絡布置情況等�,為檢查時間安排提供適宜的建議���;
以上為標準部分內容���,如需看標準全文�����,請到相關授權網站購買標準正版�����。
