1　范围

    GB30976.1-2014规定了工业控制系统（SCADA、DCS、PLC、PCS等）信息安全评估的目标、评估的内容、实施过程等。适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人以及评估认证机构等对工业控制系统的信息安全进行评估时使用。

    2　工业控制系统信息安全概述

    工业控制系统的信息安全特性取决于其设计、管理、健壮性和环境条件等各种因素。系统信息安全的评估应包括在系统生命周期内的设计开发、安装、运行维护、退出使用等各阶段与系统相关的所有活动。危险引入点是工业控制系统与非安全设备、系统和网络的接入点。危险源可能来自于工业控制系统系统外部，也可能来自于工业控制系统系统内部。安全威胁通过危险引入点并利用传播途径可能对受体造成伤害。危险后果的受体是指受到破坏时所侵害的客体,包括人员、环境和资产。评估分为管理评估和系统能力（技术）评估。管理评估分为三个级别，分别为管理等级（management level）的ML1，ML2，ML3，由低到高分别对应低级、中级和高级。具体的评估内容见GB30976.1-2014第5章，和附录A.1。系统能力（技术）评估分为四个级别，由小到大分别对应系统能力等级（capability level）的CL1，CL2，CL3和CL4，具体的评估内容见GB30976.1-2014第6章，和附录B.1。综合管理评估和GB/T 30976.1-2014系统能力评估的结果，得到工业控制系统的评估结果，亦即信息安全等级SL1，SL2，SL3，SL4），见表1。

    3　组织机构管理评估

    3.1　安全方针

    目标：依据业务要求和相关法律法规提供管理指导并支持信息安全。

    （1）信息安全方针文件

    信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。

    （2）信息安全方针的评审

    应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保持续的适宜性、充分性和有效性。

    3.2　信息安全组织机构

    3.2.1　内部组织机构

    目标：管理组织机构范围内信息安全。

    （1）信息安全的管理承诺

    管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认，来积极支持组织机构内的安全。

    （2）信息安全协调

    信息安全活动应由来自组织机构不同部门并具备相关角色和工作职责的代表进行协调。

    （3）信息安全职责的分配

    所有的信息安全职责应予以清晰定义。

    （4）信息处理设施的授权过程

    应为新的信息处理设施定义和实施一个管理授权过程。

    （5）保密性协议

    应识别并定期评审反映组织机构信息保护需要的保密性或不泄露协议的要求。

    （6）与政府部门的联系

    应保持与政府相关部门的适当联系。

    （7）信息安全的独立评审

    组织机构管理信息安全的方法及其实施（例如信息安全的控制目标、控制措施、策略、过程和规程）应按计划的时间间隔进行独立评审，当安全实施发生重大变化时，也要进行独立评审。

    3.2.2　外部方

    目标：保持组织机构被外部方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。

    （1）与外部方相关风险的识别

    应识别涉及外部方业务过程中工业控制系统的信息和信息处理设施的风险，并在允许访问前实施适当的控制措施。

    （2）处理与顾客有关的安全问题

    应在允许顾客访问组织机构信息或资产之前处理所有确定的安全要求。

    （3）处理第三方协议中的安全问题

    涉及访问、处理或管理组织机构的信息或信息处理设施以及与之通信的第三方协议，或在信息处理设施中增加产品或服务的第三方协议，应涵盖所有相关的安全要求。

    3.3　资产管理

    3.3.1　对资产负责

    目标：实现和保持对组织机构资产的适当保护。

    （1）资产清单

    应清晰地识别所有资产，编制并维护所有重要资产的清单。

    （2）资产责任人

    与信息处理设施有关的所有信息和资产应由组织机构的指定部门或人员承担责任。

    （3）资产的可接受使用

    与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施。

    3.3.2　信息分类

    目标：确保信息受到适当级别的保护。

    （1）分类指南

    信息应按照其对组织机构的价值、法律要求、敏感性和关键性予以分类。

    （2）信息的标记和处理

    应按照组织机构所采纳的分类机制建立和实施一组合适的信息标记和处理规程。

    3.4　人力资源安全

    3.4.1　任用之前

    目标：应确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险。

    （1）角色和职责

    雇员、承包方人员和第三方人员的安全角色和职责应按组织机构的信息安全方针定义并形成文件。

    （2）审查

    关于所有任用的候选者、承包方人员和第三方人员的背景验证核查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。

    （3）任用条款和条件

    作为他们合同义务的一部分，雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件，这些条款和条件声明他们在组织机构中的信息安全职责。

    3.4.2　任用中

    确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务，并准备好在其正常工作过程中支持组织机构的安全方针，以减少人为出错的风险。

    （1）管理职责

    管理者应要求雇员、承包方人员和第三方人员按照组织机构已建立的方针策略和规程对安全尽心尽力。

    （2）信息安全意识、教育和培训

    组织机构的所有雇员，适当时，包括承包方人员和第三方人员，应受到与其工作职能相关的适当的意识培训和组织机构方针策略及规程的定期更新培训。

    （3）违规处理过程

    对于安全违规的雇员，应有一个正式的纪律处理过程。

    3.4.3　任用的终止或变更

    目标：确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织机构或改变其任用关系。

    （1）终止职责

    任用终止或任用变更的职责应清晰地定义和分配。

    （2）资产的归还

    所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时应归还他们使用的所有组织机构资产。

    （3）撤销访问权

    所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除，或在变化时调整。

    3.5　物理和环境安全

    3.5.1　安全区域

    目标：防止对组织机构场所和信息的未授权物理访问、损坏和干扰。

    （1）物理安全周边

    应使用安全周边的入口或有人管理的接待台等屏障来保护包含工业控制系统设施的区域。

    （2）物理入口控制

    安全区域应由适合的人员控制所保护，以确保只有授权的人员才允许访问。

    （3）办公室、房间和设施的安全保护

    应为办公室、房间和设施设计并采取物理安全措施。

    （4）外部和环境威胁的安全防护

    为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏，应设计和采取物理保护措施。

    （5）在安全区域工作

    应设计和应用用于安全区域工作的物理保护和指南。

    （6）公共访问、交接区安全

    访问点（例如交接区）和未授权人员可进入办公场所的其他点应加以控制，如果可能，应与信息处理设施隔离，以避免未授权访问。

    3.5.2　设备安全

    目标：防止设备资产的丢失、损坏、失窃或危及资产安全以及相关组织机构活动的中断。

    （1）设备安置和保护

    应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。

    （2）支持性设施

    应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。

    （3）布缆安全

    应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。

    （4）设备维护

    设备应予以正确地维护，以确保其持续的可用性和完整性。

    （5）组织机构场所外的设备安全

    应对组织机构场所外的设备采取安全措施，要考虑工作在组织机构场所以外的不同风险。

    （6）设备的安全处置或再利用

    包含储存介质的设备的所有项目应进行核查，以确保在处置之前，任何敏感信息和注册软件已被删除或安全地写覆盖。

    （7）资产的移动

    设备、信息或软件在授权之前不应带出组织机构场所。

    3.6　通信和操作管理

    3.6.1　操作规程和职责

    目标：确保对信息处理设施进行正确、安全的操作。

    （1）文件化操作规程

    操作规程应形成文件，保持并对所有需要的用户可用。

    （2）变更管理

    对信息处理设施和系统的变更应加以控制。

    （3）责任划分

    各类责任及职责范围应加以划分，以降低未授权或无意识的修改或不当使用组织机构资产的机会。

    （4）开发、测试和运行设施分离

    开发、测试和运行设施应分离，以减少未授权访问或改变运行系统的风险。

    3.6.2　第三方服务交付管理

    目标：实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。

    （1）服务交付

    应确保第三方实施、运行和保持包含在第三方服务协议中的安全控制措施、服务定义和交付水准。

    （2）第三方服务的监视和评审

    应定期监视和评审由第三方提供的服务、报告和记录，审核也应定期执行。

    （3）第三方服务的变更管理

    应管理服务提供的变更，包括保持和改进现有的信息安全策略、规程和控制措施，并考虑到业务系统和涉
及过程的关键程度及风险的再评估。

    3.6.3　系统规划和验收

    目标：将系统失效的风险降至最小。

    （1）容量管理

    资源的使用应加以监视、调整，并作出对于未来容量要求的预测，以确保拥有所需的系统性能。

    （2）系统验收

    应建立对新信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适当的测试。

    3.6.4　防范恶意和移动代码

    目标：保护软件和信息的完整性。

    （1）控制恶意代码

    应实施恶意代码的检测、预防和恢复的控制措施，以及适当地提高用户安全意识的规程。

    （2）控制移动代码

    当授权使用移动代码时，其配置应确保授权的移动代码按照清晰定义的安全策略运行，阻止执行未授权的移动代码。

    3.6.5　备份

    目标：保持信息和信息处理设施的完整性及可用性。

    （1）信息备份

    应按照已设的备份策略，定期备份和测试信息和软件。

    3.6.6　网络安全管理

    目标：确保网络中信息的安全性并保护支持性的基础设施。

    （1）网络控制

    应充分管理和控制网络，以防止威胁的发生，维护使用网络的系统和应用程序的安全，包括传输中的信息。

    （2）网络服务安全

    安全特性、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中。无论这些服务是由内部提供的还是外包的。

    3.6.7　介质处置

    目标：防止资产遭受未授权泄露、修改、移动、或销毁以及业务活动的中断。

   （1）可移动介质的管理

    应有适当的可移动介质的管理规程。

   （2）介质的处置

    不再需要的介质，应使用正式的规程可靠并安全地处置。

   （3）信息处理规程

    应建立信息的处理及存储规程，以防止信息的未授权的泄漏或不当使用。

   （4）系统文件安全

    应保护系统文件以防止未授权的访问。

    3.6.8　信息的交换

    目标：保持组织机构内以及与组织机构外信息和软件交换的安全。

    （1）信息交换策略和规程

    应有正式的交换策略、规程和控制措施，以保护通过使用各种类型通信设施的信息交换。

    （2）交换协议

    应建立组织机构与外部方交换信息和软件的协议。

    （3）运输中的物理介质

    包含信息的介质在组织机构的物理边界以外运送时，应防止未授权的访问、不当使用或毁坏。

    （4）电子消息发送

    包含在电子消息发送中的信息应给予适当的保护。

    （5）业务信息系统

    应建立并实施策略和规程，以保护与业务信息系统互联相关的信息。

    3.6.9　监视

    目标：检测未经授权的信息处理活动。

    （1）审计记录

    应产生记录用户活动、异常情况和信息安全事态的审计日志，并保持一个已设的周期以支持将来的调查和访问控制监视。

    （2）监视系统的使用

    应建立信息处理设施的监视使用规程，并经常评审监视活动的结果。

    （3）日志信息的保护

    记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访问。

    （4）管理员和操作员日志

    系统管理员和系统操作员的活动应记入日志。

    （5）故障日志

    故障应被记录、分析，并采取适当的措施。

    （6）时钟同步

    一个组织机构或安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。

    3.7　访问控制

    3.7.1　访问控制的业务要求

    目标：控制对信息的访问。

    （1）访问控制策略

    访问控制策略应建立、形成文件，并基于业务和访问的安全要求进行评审。

    3.7.2　用户访问管理

    目标：确保授权用户访问信息系统，并防止未授权的访问。

    （1）用户注册

    应有正式的用户注册及注销规程，来授权和撤销对所有信息系统及服务的访问。

    （2）特殊权限管理

    应限制和控制特殊权限的分配及使用。

    （3）用户口令管理

    应通过正式的管理过程控制口令的分配。

    （4）用户访问权的复查

    管理者应定期使用正式过程对用户的访问权进行复查。

    3.7.3　用户职责

    目标：防止未授权用户对信息和信息处理设施的访问、损害或窃取。

    （1）口令使用

    应要求用户在选择及使用口令时，遵循良好的安全习惯。

    （2）无人值守的用户设备

    用户应确保无人值守的用户设备有适当的保护。

    （3）清空桌面和屏幕策略

    应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略。

    3.7.4　网络访问控制

    目标：防止对网络服务的未授权访问。

    （1）网络服务的策略

    用户应仅能访问已获专门授权使用的服务。

    （2）外部连接的用户鉴别

    应使用适当的鉴别方法以控制远程用户的访问。

    （3）网络上的设备标识

    应考虑自动设备标识，将其作为鉴别特定位置和设备连接的方法。

    （4）远程诊断和配置端口的保护

    对于诊断和配置端口的物理和逻辑访问应加以控制。

    （5）网络隔离

    应在网络中隔离信息服务、用户及信息系统。

    （6）网络连接控制

    对于共享的网络，特别是越过组织机构边界的网络，用户的联网能力应按照访问控制策略和业务应用要求加以限制。

    （7）网络路由控制

    应在网络中实施路由控制，以确保计算机连接和信息流不违反业务应用的访问控制策略。

    3.7.5　操作系统访问控制

    目标：防止对操作系统的未授权访问。

    （1）安全登录规程

    访问操作系统应通过安全登录规程加以控制。

    （2）用户标识和鉴别

    所有用户应有唯一的，专供其个人使用的标识符（用户ID），选择一种适当的鉴别技术证实用户所宣称的身份。

    （3）口令管理系统

    口令管理系统宜是交互式的，并应确保优质的口令。

    （4）系统实用工具的使用

    对于可能超越系统和应用程序控制措施的实用工具的使用应加以限制并严格控制。

    （5）会话超时

    不活动会话应在一个设定的休止期后关闭。

    （6）联机时间的限定

    应使用联机时间的限制，为高风险应用程序提供额外的安全。

    3.7.6　应用和信息访问控制

    目标：防止对应用系统中信息的未授权访问。

    （1）信息访问限制

    用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制。

    （2）敏感系统隔离

    敏感系统应有专用的（隔离的）运算环境。

    3.7.7　移动计算和远程工作

    目标：确保使用移动计算和远程工作设施时的信息安全。

    （1）移动计算和通信

    应有正式策略并且采用适当的安全措施，以防范使用移动计算和通信设施时所造成的风险。

    （2）远程工作

    应为远程工作活动开发和实施策略、操作计划和规程。

    3.8　信息系统获取、开发和维护

    3.8.1　信息系统的安全要求

    目标：确保安全是信息系统的一个有机组成部分。

    （1）安全要求分析和说明

    在新的信息系统或增强已有信息系统的业务要求陈述中，应规定对安全控制措施的要求。

    3.8.2　应用中的正确处理

    目标：防止应用系统中的信息的差错、遗失、未授权的修改或误用。

    （1）输入数据确认

    应对输入应用系统的数据加以确认，以确保数据是正确且恰当的。

    （2）内部处理的控制

    确认核查应整合到应用中，以检验由于处理的差错或故意的行为造成的信息的任何讹误。

    （3）消息完整性

    应用中确保真实性和保护消息完整性的要求应得到识别，适当的控制措施也应得到识别并实施。

    （4）输出数据确认

    从应用系统输出的数据应加以确认，以确保对所存储信息的处理是正确的且适于环境的。

    3.8.3　密码控制

    目标：通过密码方法保护信息的保密性、真实性或完整性。

    （1）使用密码控制的策略

    应开发和实施使用密码控制措施来保护信息的策略。

    （2）密钥管理

    应有密钥管理以支持组织机构使用密码技术。

    3.8.4　系统文件的安全

    目标：确保系统文件的安全。

    （1）运行软件的控制

    应有规程来控制在运行系统上安装软件。

    （2）系统测试数据的保护

    测试数据应认真地加以选择、保护和控制。

    （3）对程序源代码的访问控制

    应限制访问程序源代码。

    3.8.5　开发和支持过程中的安全

    目标：维护应用软件和信息的安全。

    （1）变更控制规程

    应使用正式的变更控制规程来控制变更的实施。

    （2）操作系统变更后应用的技术评审

    当操作系统发生变更时，应对业务的关键应用进行评审和测试，以确保对组织机构的运行和安全没有负面影响。

    （3）软件包变更的限制

    应对软件包的修改进行劝阻，只限于必要的变更，且对所有的变更加以严格控制。

    （4）信息泄露

    应防止信息泄露的可能性。

    （5）外包软件开发

    组织机构应管理和监视外包软件的开发。

    3.8.6　技术脆弱性管理

    目标：降低利用公布的技术脆弱性导致的风险。

    （1）技术脆弱性的控制

    应及时得到现用信息系统技术脆弱性的信息，评价组织机构对这些脆弱性的暴露程度，并采取适当的措施来处理相关的风险。

    3.9　信息安全事件管理

    3.9.1　报告信息安全事态和弱点

    目标：确保与信息系统有关的信息安全事态和弱点能够以某种方式传达，以便及时采取纠正措施。

    （1）报告信息安全事态

    信息安全事态应尽可能快地通过适当的管理渠道进行报告。

    （2）报告安全弱点

    应要求信息系统和服务的所有雇员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。

    3.9.2　信息安全事件和改进的管理

    目标：确保采用一致和有效的方法对信息安全事件进行管理。

    （1）职责和规程

    应建立管理职责和规程，以确保快速、有效和有序地响应信息安全事件。

    （2）对信息安全事件的总结

    应有一套机制量化和监视信息安全事件的类型、数量和代价。

    （3）证据的收集

    当一个信息安全事件涉及诉讼（民事的或刑事的），需要进一步对个人或组织机构进行起诉时，应收集、保留和呈递证据，以使其符合相关管辖区域对证据的要求。

    3.10　业务连续性管理

    3.10.1　业务连续性管理的信息安全方面

    目标：防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保他们的及时恢复。

    （1）在业务连续性管理过程中包含信息安全

    应为贯穿于组织机构的业务连续性开发和保持一个管理过程，以解决组织机构的业务连续性所需的信息安全要求。

    （2）业务连续性和风险评估

    应识别能引起业务过程中断的事态，连同这种中断发生的概率和影响，以及他们对信息安全所造成的后果。

    （3）制定和实施包含信息安全的连续性计划

    应制定和实施计划来保持或恢复运行，以在关键业务过程中断或失败后能够在要求的水平和时间内确保信息的可用性。

    （4）业务连续性计划框架

    应保持一个唯一的业务连续性计划框架，以确保所有计划是一致的，能够协调地解决信息安全要求，并为测试和维护确定优先级。

    （5）测试、维护和再评估业务连续性计划

    业务连续性计划应定期测试和更新，以确保其及时性和有效性。

    3.11　符合性

    3.11.1　符合法律要求

    目标：避免违反任何法律、法令、法规或合同义务以及任何安全要求。

    （1）可用法律的识别

    对每一个信息系统和组织机构而言，所有相关的法令、法规和合同要求，以及为满足这些要求组织机构所采
用的方法，应加以明确地定义、形成文件并保持更新。

    （2）知识产权（IPR）

    应实施适当的规程，以确保在使用具有知识产权的材料和具有所有权的软件产品时，符合法律、法规和合同的要求。

    （3）保护组织机构的记录

    应防止重要的记录的遗失、毁坏和伪造，以满足法令、法规、合同和业务的要求。

    （4）数据保护和个人信息的隐私

    应依照相关的法律、法规和合同条款的要求，确保数据保护和隐私。

    （5）防止滥用信息处理设施

    应禁止用户使用信息处理设施用于未授权的目的。

    （6）密码控制措施的规则

    使用密码控制措施应遵从相关的协议、法律和法规。

    3.11.2　符合安全策略和标准以及技术符合性

    目标：确保系统符合组织机构的安全策略及标准

    （1）符合安全策略和标准

    管理人员应确保在其职责范围内的所有安全规程被正确地执行，以确保符合安全策略及标准。

    （2）技术符合性核查

    信息系统应被定期核查是否符合安全实施标准。

    3.11.3　信息系统审计考虑

    目标：将信息系统审计过程中的有效性最大化，干扰最小化。

    （1）信息系统审计控制措施

    涉及对运行系统核查的审计要求活动，应谨慎地加以规划并取得批准，以便最小化造成业务过程中断的风险。

    （2）信息系统审计工具的保护

    对于信息系统审计工具的访问应加以保护，以防止任何可能的滥用或损害。