中华人民共和国国家标准
GB/T26333-2010
工业控制网络安全风险评估规范
Evaluation specification for security in industrial control network
中国国家标准化管理委员会 中华人民共和国国家质量监督检验检疫总局 发布
目 次
前言1范围 引言 TV2规范性引用文件3术语和定义4符号和缩略语5风险评估要点6特性7确定评估目的8评估设计和规划9制定评估计划 II10评定技术 1111评估的实施 1212编写评估报告 12附录A(规范性附录) 附录B(规范性附录) 工业控制网络现场设备层安全风险评估 工业控制网络安全网关的安全风险评估 1315
前言
本标准按照GB/T1.1-2009给出的规则起草.
本标准中的一些内容可能涉及某些专利,本标准对任何这样的专利权均不负有鉴别责任.
本标准由中国机械工业联合会提出.
本标准由全国工业过程测量和控制标准化技术委员会归口.
本标准起草单位:重庆邮电大学、浙江大学、浙江中控技术股份有限公司、机械工业仪器仪表综合技术经济研究所、中国科学院沈阳自动化研究所、大连理工大学、上海工业自动化仪表研究所、上海自动化 仪表股份有限公司、中国四联仪器仪表集团有限公司、西南大学、天津天仪集团仪表有限公司、北京华控技术有限公司.
本标准起草人:王浩、王平、金建祥、冯冬芹、欧阳劲松、梅恪、徐冬、仲崇权、缪学勤、包伟华、刘进、张庆军、秘明睿、刘杰、刘枫、杨彬、周勇.
引言
随着各种通信技术在工业控制网络中的广泛应用,在实现更多功能的同时,工业控制网络的安全问题日益凸显.
本评估标准是一种针对工业控制网络的安全风险评估方法.通过对工业控制网络的安全风险评估可以发现网络的安全隐患,通过采用相应的安全措施弥补安全漏润,从而增强工业控制网络的安全.
本标准规定了工业控制网络安全风险评估的一般方法和准则,描述了工业控制网络安全风险评估的一般步骤,侧重于评估对象的分析和评估计划的设计.
工业控制网络安全风险评估规范
1范围
本标准规定了评估的步骤,对评估方法给出了建议.本标准适用于工业控制网络的安全风险评估,定义了评估的要点.本标准讨论工业控制网络的通信安全,它主要取决于系统所采用的防护措施.
2规范性引用文件
下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文件.凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
GB/T9361-1988计算机场地安全要求GB/T9387.2-1995信息处理系统开放系统互连基本参考模型第2部分:安全体系结构 GB17859-1999计算机信息系统安全保护等级划分准则GB/T17903.1-2008信息技术安全技术抗抵赖第1部分:概述GB/T17965-2000信息技术开放系统互连高层安全模型(idtISO/1EC10745:1995)法学 GB/T18272.2-2000工业过程测量和控制系统评估中系统特性的评定第2部分:评估方法学GB/T18272.3一2000工业过程测量和控制系统评估中系统特性的评定第3部分:系统功能性评估 GB/T18272.7-2006工业过程测量和控制系统评估中系统特性的评定第7部分:系统安全性评估模型(ISO/IEC15408-1:2005 IDT)求(ISO/IEC 15408-2 2005 IDT)GB/T18336.3一2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求(ISO/IEC 15408-3 2005 IDT)GB/T19715.1一2005信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型GB/T20000.4-2003标准化工作指南第4部分:标准中涉及安全的内容 GB/T20269-2006信息安全技术信息系统安全管理要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271一2006信息安全技术信息系统通用安全技术要求GB/T20278一2006信息安全技术网络脆弱性扫描产品技术要求 GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法
