工业控制系统安全标准是工业控制系统安全保障体系的重要组成部分,对于各行业企事业单位开展工业控制系统安全防护工作具有促进、规范和指导等多重意义。由于我国工业控制系统安全防护建设整体起步较晚,工业控制系统安全标准亦有明显的滞后。随着近年来以信安标委为主导的标准化组织加快了工业控系统安全标准制定的进程,我国工业控制系统安全标准体系逐渐步入了“快车道”,大量工业控制系统安全标准相继发布。为了能够帮助各行业企事业单位更深入了解工控安全标准,威努特开设“一文读懂工业控制系统安全标准”系列连载文章,分多期对现有工业控制系统安全标准进行详细解读。
我国现有的工业控制系统安全标准体系主要可分为安全等级、安全要求、安全实施和安全测评四个大类,对应工控系统安全防护实施过程的规划、建设和测评各个阶段,并在各阶段起到相应的规范和指导作用。安全等级类标准在安全规划阶段提供工控系统的定级指导,确定防护总体目标;安全要求类标准在安全建设阶段强化对工控安全防护技术、管理和产品的要求;安全实施类标准主要为工控安全防护建设实施过程提供指导;安全测评类标准则是规范工控系统安全评估和产品安全检测的方法和流程。
按照工控安全标准体系的逻辑架构,我们的连载文章将从安全等级类标准GB/T 36324-2018《信息安全技术 工业控制系统信息安全分级规范》(以下简称“分级规范”)标准开始,对整个体系中的工控安全标准进行一一解读。
一、 标准概述
2011年,工信部下发了《关于加强工业控制系统信息安全管理的通知》([2011]451号),为贯彻落实工信部通知相关精神,实现对工业控制系统信息安全应采取分等级管理的要求,提出工业控制系统信息安全级别划分规则和定级方法,为工业控制系统信息安全定级提供技术依据和工作指导,根据信安标委的标准专项项目任务书,2012年标准承接单位开始着手标准编写的工作,于2018年6月标准正式发布。
二、 标准范围
“本标准规定了基于风险评估的工业控制系统信息安全等级划分规则和定级方法,提出了等级划分模型和定级要素,包括工业控制系统资产重要程度、存在的潜在风险影响程度和需抵御的信息安全威胁程度,并提出了工业控制系统信息安全四个等级的特征。”
——深度解读:分级规范提出了1-4级的安全分级划分,与国内信息安全等级保护的等级划分基本一致(信息系统安全保护等级划分为5级,实际使用的是1-4级),与国际标准IEC-62443中工业控制系统信息安全等级划分保持一致(划分为1-4级)。分级规范中工业控制系统安全级别与“等保”网络安全保护等级具有一定的兼容性,原网络安全保护等级的定级因素(受侵害客体及对客体的侵害程度)包含在分级规范中工业控制系统信息安全定级因素的一个维度(受侵害潜在影响程度)中。当忽略工业控制系统重要性程度、工业控制系统信息安全威胁两个维度时,得到的工业控制系统安全级别与“等保”网络安全保护等级基本一致。也就是说,如果一个工业控制系统安全级别已经按照原来“等保”方法进行定级,会存在考虑问题不完整,产生一定偏差,但不会产生大的冲突和错误,仍然存在一定的兼容性。简而言之,在开展工控系统的“等保”建设定级时可参考分级规范的模型和定级要素进行定级。
“分级规范适用于工业生产企业以及相关行政管理部门,为工业控制系统信息安全等级的划分提供指导,为工业控制系统信息安全的规划、设计、运维以及评估和管理提供依据。”
——深度解读:对于工业生产企业而言,分级规范可以在安全规划和设计阶段提供定级指导,明确工业控制安全防护总体目标和主要防护措施(可基于1-4级系统的特征梳理防护总体目标);同时上级监管部门亦可根据下属各单位的工控系统定级情况制定指导、监督、检查和强化措施等多种不同程度的监管机制。
三、 标准核心要点
定级对象
“对工业控制系统划分信息安全等级,其定级对象是一个具体的完整的工业控制系统,也可以是这个工业控制系统中相对独立的一部分。”
——深度解读:以汽车制造企业为例,定级时可把冲压、焊装、涂装和总装车间整体工业控制系统进行定级,亦可对关键的总装车间工业控制系统进行单独定级,但是一般情况下工业控制系统中相对独立的一部分的安全等级不应高于其整体的工业控制系统的安全等级。
级别定义
分级规范中工业控制系统信息安全级别是依据风险影响等级来界定的,分为四级。同时对1-4级工业控制系统的特征进行了界定,主要从受破坏后的影响程度、抵御威胁程度、安全防护能力和上级监管四个维度进行特征的区分和定义,对工业企业的防护粒度、上级监管力度上有显著的等级差异,为用户方和监管单位提供参考。