ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32919-2016 信息安全技术 工业控制 系统安全控制应用指南 Information security technology- Application guide to industrial control system security control 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T32919-2016 目 次 前言 班 引言 1范围 .1 2规范性引用文件 .1 3术语和定义 1 4缩略语 5安全控制概述 3 6安全控制基线及其设计 7安全控制选择与规约 7 7.1选择与规约概述 7 7.2安全控制选择 7 7.3安全控制裁剪 8 7.3.1裁剪过程 7.3.2界定范围的指导 8 7.3.3安全控制补偿 9 7.3.4安全控制参数赋值 9 7.4安全控制补充 10 7 5建立安全控制决策文档 11 8安全控制选择过程应用 12 附录A(资料性附录)工业控制系统面临的安全风险13 A.1工业控制系统与传统信息系统对比 13 A.2信息系统安全威胁与防护措施对工业控制系统的影响14 A.3工业控制系统面临的威胁 15 A.4工业控制系统脆弱性分析 16 A.4.1工业控制系统脆弱性概述16 A.4.2策略和规程脆弱性 16 A.4.3网络脆弱性 17 A.4.4平台脆弱性 19 附录B(资料性附录)工业控制系统安全控制列表 22 B.1规划(PL) .22 B.1.1安全规划策略和规程(PL-1)22 B.1.2系统安全规划(PL-2) 22 B.1.3行为规则(PL-3) 23 B.1.4信息安全架构(PL-4) 23 B.15安全活动规划(PL-5)24 B.2安全评估与授权(CA) 24 1 GB/T32919-2016 B.2.1安全评估与授权策略和规程(CA-1) 24 B.2.2 安全评估(CA-2) 24 B.2.3 ICS连接管理(CA-3) 26 B.2.4 实施计划(CA-4) 26 B.2.5 安全授权(CA-5) 27 B.2.6 持续监控(CA-6) 27 B.2.7 渗透测试(CA-7) 28 B.2.8 内部连接(CA-8) 28 B.3风险评估(RA) 28 B.3.1风险评估策略和规程(RA-1) 28 B.3.2安全分类(RA-2) 29 B.3.3风险评估(RA-3) 29 B.3.4脆弱性扫描(RA-4) 29 B.4系统与服务获取(SA) 30 B.4.1系统与服务获取策略和规程(SA-1) 30 B.4.2资...
GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南.pdf
