GA_T 1390.5-2017信息安全技术 网络安全等级保护基本要求 第5部分：工业控制系统安全扩展要求.pdf

ICS _35.040L 80GA中华人民共和国公共安全行业标准GA/T 1390.5—2017信息安全技术网络安全等级保护基本要求第5部分：工业控制系统安全扩展要求Information security technology—General requirements for classifiedprotection of cyber security—Part 5 :Special security requirements forindustrial control system2017-05-08发布2017-05-08实施中华人民共和国公安部发布 GA/T 1390.5—2017各服改其体保护资产16甘加排产系统6.0集中式放控思器序/季排台8工程用0PC服务BPLC:9DCS格(单RTU无氧记录收保护R图3工业企业资产组件映射模型其中各个层次具体应保护的资产有：a.)企业资源层应保护与企业资源相关的财务管理、资产管理、人力管理等系统的软件和数据资产不被恶意商取，硬件设施不道到恶意破坏；b)生产管理层应保护与生产制造相关的仓储管理、先进控制、工艺管理等系统的软件和数据资产不被恶意窃取，硬件设施不遭到恶意破坏；c)过程监控层应保护各个操作员站、工程师站、OPC服务器等物理资产不被恶意破坏，同时应保护运行在这些设备上的软件和数据资产，如组态信息、监控软件、控制程序/工艺配方等不被恶意复改或窃取：dl)现场控制层应保护各类控制器、控制单元、记录装置等不被恶意破坏或操控，同时应保护控制单元内的控制程序或组态信息不被恶意算改；c)现场设备层应保护各类变送器、执行机构、保护装置等不被恶意敲坏。4.2.3区域模型区域是一些具备公有属性的驶立资产构成的组群，或一些子区域构成的组群，或一些独立资产与子区域中具备公有属性的资产构成的组群。区域模型是符合区域定义要求，辅助分析工业控制系统安全性的框架。它用于定义保护区域内资产所需的不同安全等级，分析安全政策和安全要求，评估通用风险、脆弱性及相应对策等，如图4所示,根据生产过程的不同，工控企业在各自的工厂或站点可以构建不同的区域模型。 GA/T 1390.5—2017业业高放过是包含ADADCSX城1, 区城区城1,区2,区城1区2，注：批过程包括制药（工业、电酒工业、造工业、乳器工业等连燃过程包热能源工业、石油化工、化工、治金、电力、天然气等：离放过程世括机械制造工业业、仪器仅表工业家电工业、机床等。图4工业企业区域模型4.2.4安全域划分在一个工业大复杂系统中，对所有组件采取相同等级的安全措施是不实际或不必要的，在不同的实际情况下的安全等级不同，因此提出使用受保护的区域）的低念。划分安全域时 IEC 62443-1-1域的则分方式，综考资产价值、资产重要性、资产地理位置、系统功能控营对象、生产厂商及资产被破坏时所造遗成的损失、社会影明响程度等因素，将控制系统进行安全域划务S熙附录B中给出自DCS系统和SCADA系统安全域划分的者考模型。4.3工业控制系统等护原则和要求4.3.1总则定义有息体原测、技术要求和管理要求并类说明。其中，总体原则是针对工业控制系统监体提出变全成保护原则：技术要求和管理委求是针对不同安全保护等级工业控制系统应该具有的基本安全保更相习提出的安全要针对工业控制系统的软件、更件，网络协议等的安全性，规定了需要保护的数据、指令、协议等要索，其具体实现方式（如可信性计算等）、防持手段应根据具体的工业控制系统品牌、配置、工程实际等确定。但应保证这些防护措施对系统的正常运行不产生危害或火难性的生产停锁，应保证达些防护措施经过工业现场的工程实段验证，并获得用户认可。附录C中给出了基于可信计算技术的工业控制系统安全等防护的要求与说明，企业用户应结合自身行业特点和企业特点依照GB/T22239和本部分的各级技术要求和管理要求部署实现各安全要点，4.3.2安全域保护原则根据工业控制系统安全域模型的则分原则.将工业控制系统划分为若干安全域.再根据系统实际情况，对不同的安全域采取不同的安全保护措施，a)安全域划分：依据4.2.4提出的安全域划分原则，对系统进行安全域划分；6 GA/T 1390.5—2017b)安全域边界防护；在不影响各安全域工作的前提下，于各安全域边界处设置不同的安全隔离装置，确保各个安全域之间有清楚明晰的边界设定：各安全域保护措施：依据定级对象安全等级，结合各安全域实际情况，按照本部分中第一级至第四级基本要求（第5～8章内容），对照各层级要求，采取不同安全保护措施，安全域保护措施实施说明为了方便说明，图5仅作为一个示例，并不表示真实工业控制系统的安全域划分模型，当读者使用本部分时，需要根据特定的系统、安全和业务求进行安全域划分，然后参考以下两点说明来实施安全等