《工业控制系统测控终端安全要求(征求意
见稿)》编制说明
2014年6月
一、编制背景
针对目前工控现场测控设备存在的信息安全功能脆弱性和实现漏洞,亟需针对这些具有处理能力的现场测控设备制定信息安全要求标准,规范设备的安全功能和安全设计与实现,标准化有关部门、测评认证机构对设备的安全性评价、评估、认证基准。
2012年12月,中国电力科学研究院(以下简称中国电科院)与全国信息安全标准化技术委员会签订国家信息安全战略研究与标准制定工作专项项目任务书,开展《信息安全技术 工业控制系统测控终端安全要求》标准的研究与编写工作。
二、编制依据
1、《电力监管条例》(中华人民共和国国务院令第432号)、《电力行业网络与信息安全监督管理暂行规定》(电监信息[2007]50号)、《电力二次系统安全防护规定》(电监会5号令)等电监会规范性文件。
- 1 -
2、《信息安全技术 信息系统安全等级保护基本要求》(GB/T22239-2008)、《信息技术 安全技术 信息技术安全性评估准则 第2部分:安全功能要求》(GB/T 18336.2-2008/IEC 15408-2:2005)、NIST Special Publication 800-53 Revision 3 Recommended Security Controls for Federal Information Systems and Organizations、ISA-99.04.02 Security for industrial automation and control systems-Technical Security Requirements for IACS Components Draft 1 Edit 1等国家和国际标准。
三、标准范围
本标准规定了工业控制系统现场测控终端设备的安全技术要求,适用于指导设备的安全设计、开发、测试与评估。典型设备包括远程传输单元(RTU)、智能电子装置(IED)、可编程逻辑控制器(PLC)等。
某些内容因涉及设备功能实现原理、工业控制系统整体管理和运行或仅仅是信息技术安全的外围技术,因此不在本标准范围之内。
四、编制过程
2013年2月,成立了由8家单位共同组成的标准编写组。 2013年3月28日,召开了《工业控制系统测控终端安全要求》标准编制工作启动会,确定了标准编制的技术思路、主要内容、标准框架及工作计划。
2013年5月,编写组采用研究与编制相结合的原则,采
- 2 -
用分散研究和集中讨论的形式,形成标准草案的结构、范围和对象描述。
2013年7月,初步完成标准草案中安全技术要求的编写,并在协调会上对标准的内容和工作进展进行了汇报。
2013年8月-9月,根据协调会意见对标准进行了修改,并编制完成安全分级与安全要求的对应关系。
2013年10月,同包括施奈德、西门子、上海自动化仪表公司、罗克韦尔登多个工控系统厂商对PLC设备的功能和安全需求进行了讨论,会后并对安全要求进行了调整。
2013年12月,在安标委的组织下,召开了标准初审会,编写组根据会上意见对初稿进行了调整,形成初稿中间稿。
2014年5月,在对初稿进行修改后,再一次召开了标准初审会,专家通过了标准初稿,并提出了修改意见。工作组对根据专家意见对标准进行修改。
2014年6月,在安标委的组织下,进行了标准初稿的投标,工作组根据投票过程中专家提出的意见对标准进行了修改形成了标准征求意见稿。
五、主要内容
本标准参照GB/T1.1—2009《标准化工作导则第1部分:标准的结构和编写规则》进行编制。标准的主要结构和内容如下:
目次 前言
- 3 -
电力行业信息系统安全等级保护基本要求管理信息类分册-全国信息安全
