国家标准信息安全技术工业控制系统漏洞检测技术要求及测试评价.docx

国家标准《信息安全技术工业控制系统漏洞检测技术要求及测试评价方法》(征求意见稿)编制说明一、《信息安全技术工业控制系统漏洞检测技术要求及测试评价方法》是全国信息安全标准化技术委员会2015年下达的信息安全国家标准制定项目,由北京匡恩网络科技有限责任公司中国电子技术标准化研究院承担,参与单位包括中国信息安全测评中心、中国电子技术标准化研究院、北京工业大学、中国科学院沈阳自动化研究所、北京和利时系统工程有限公司、公安部计算机信息系统安全产品质量监督检验中心、北京交通大学、浙江大学、解放军信息工程大学、中车株洲电力机车有限公司等单位。,联系各个参与单位,进行任务分工和任务组织;研究现有国内外工控安全相关标准,分析各自特点,学****借鉴。2015年7月到8月调研国内工业控制系统安全现状,学****研究、讨论国内外相关的标准及研究成果,确定并编写总体框架。-。编写标准初稿,在工作组内征求意见,根据组内意2016年1月,向全国信息安全标准化技术委员会专家崔书昆老师和王立福老师、石化盈科等行业用户、和利时等工业控制设备制造商、公安3所等科研院所、长城网际等安全厂商征求意见,根据反馈意见多次修改。2016年1月,标准编制组召开研讨会,根据专家在会上提出的修改意见对标准进行修改。2016年5月,标准编制组在“工控系统信息安全标准和技术专题研讨会”介绍了标准草案,听取了来自轨交、石化、电力、冶金、制造业、汽车等行业专家对标准草案的意见并根据专家在会上和会后提出的修改意见对标准进行修改。2016年6月,标准编制组召开专题研讨会介绍了标准草案,并根据专家在会上提出的修改意见对标准进行修改。,标准编制组在信安标委第2次会议周上介绍了标准草案,并根据专家在会前会上提出的修改意见对标准进行修改。二、:(1)通用性原则本标准在编制过程中参考了国内外诸多标准,包括:《工业过程测量与控制安全:网络与系统信息安全》系列标准(IEC62443)、《推荐的联邦信息系统和组织的安全控制措施》(NISTSP800-53)、《工业控制系统信息安全指南》(NISTSP800-82)和《信息安全技术工业控制系统安全控制应用指南》,既确保标准科学性,又使得标准内容符合我国国情。(2)可操作性和实用性原则标准规范是对实际工作成果的总结与提升,最终还需要用于实践中,并经得起实践的检验,做到可操作、可用与实用。为此,在本标准的制定过程中,起草组广泛征求行业用户意见。所涉及的工业控制协议是广泛应用于各种工业控制领域的,也允许根据实际情况添加新的工业控制协议。,研究工业控制系统的技术架构特点、存在的安全漏洞和面临的安全威胁,确定需要检测分析的工业控制协议和漏洞检测产品应具备的功能。本标准主要内容如下:前言.................................................................................III 范围..........................................