《信息安全技术 工业控制网络监测安全技术要求及测试评价方法》征求意见稿-编制说明

《网络安全法》相关配套法律法规和规范性文件梳理《中华人民共和国网络安全法》（以下简称《网络安全法》）于2017年6月1日正式实施。

《网络安全法》作为我国网络空间安全管理的基本法律，框架性地构建了许多法律制度和要求，重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查、个人信息和重要数据保护制度、数据出境安全评估、网络关键设备和网络安全专用产品安全管理制度、网络安全事件应对制度等。

为保障上述制度的有效实施，一方面，以国家互联网信息办公室（以下简称“网信办”）为主的监管部门制定了多项配套法规，进一步细化和明确了各项制度的具体要求、相关主体的职责以及监管部门的监管方式；另一方面，全国信息安全标准化技术委员会（以下简称“信安标委”）同时制定并公开了一系列以信息安全技术为主的重要标准的征求意见稿，为网络运营者提供了非常具有操作性的合规指引。

具体讲：1. 在互联网信息内容管理制度方面网信办颁布了《互联网信息内容管理行政执法程序规定》，并已经针对互联网新闻信息服务、互联网论坛社区服务、公众账户信息服务、群组信息服务、跟帖评论服务等制定了专门的管理规定或规范性文件，以期全方位多层次地保障互联网信息内容的安全和可控性；2. 在网络安全等级保护制度方面信安标委在原有的信息系统安全等级保护制度的基础之上，发布了包括《网络安全等级保护实施指南》、《网络安全等级保护基本要求》等在内的多项标准文件的征求意见稿。

考虑到现行的《信息安全等级保护管理办法》已不适用《网络安全法》的要求，新的《网络安全等级保护管理办法》也正在制定中；3. 在关键信息基础设施安全保护制度方面随着《关键信息基础设施安全保护条例》、《信息安全技术关键信息基础设施安全检查评估指南》等征求意见稿的公布，关键信息基础设施运营者的安全保护义务得以进一步明确。

但是关键信息基础设施的范围依旧有待制定中的《关键信息基础设施识别指南》进行进一步地明确；4. 在个人信息和重要数据保护制度方面其核心内容主要包括个人信息收集和使用过程中的安全规范以及个人信息和重要数据出境时的安全评估制度。

《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿）编制说明1 工作简况1.1任务来源2015年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号：2015bzzd-WG5-001。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心（以下简称“检测中心”）负责主编。

国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》，开展实施工业控制等多个领域的信息安全专用产品扶持工作。

面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一，其中包含了隔离类设备，表明了工控隔离产品在工控领域信息安全产品中的地位，其标准的建设工作至关重要。

因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。

1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后，检测中心立即与产品生产厂商、工业控制厂商进行沟通，并得到了多家单位的积极参与和反馈。

最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。

1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合，逐步形成了管理与控制的一体化，导致生产控制系统不再是一个独立运行的系统，其接入的范围不仅扩展到了企业网甚至互联网，从而面临着来自互联网的威胁。

ICS35.040L 80信息安全技术入侵检测系统技术要求和测试评价方法Information security technology-Techniques requirements and testing and evaluation approaches forintrusion detection system中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布GB/T 20275—2006目次前言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 缩略语 (2)5 入侵检测系统等级划分 (3)5.1 等级划分说明 (3)5.1.1 第一级 (3)5.1.2 第二级 (3)5.1.3 第三级 (3)5.2 安全等级划分 (3)5.2.1网络型入侵检测系统安全等级划分 (3)5.2.2主机型入侵检测系统安全等级划分 (6)6 入侵检测系统技术要求 (7)6.1 第一级 (7)6.1.1 产品功能要求 (7)6.1.2 产品安全要求 (9)6.1.3 产品保证要求 (10)6.2 第二级 (11)6.2.1 产品功能要求 (11)6.2.2 产品安全要求 (12)6.2.3 产品保证要求 (13)6.3 第三级 (15)6.3.1 产品功能要求 (15)6.3.2 产品安全要求 (15)6.3.3 产品保证要求 (16)7 入侵检测系统测评方法 (18)7.1 测试环境 (18)7.2 测试工具 (19)7.3 第一级 (19)7.3.1 产品功能测试 (19)7.3.2 产品安全测试 (25)7.3.3 产品保证测试 (27)7.4 第二级 (29)7.4.1 产品功能测试 (29)7.4.2 产品安全测试 (31)IGB/T ××××—200×7.4.3 产品保证测试 (33)7.5 第三级 (37)7.5.1 产品功能测试 (37)7.5.2 产品安全测试 (38)7.5.3 产品保证测试 (39)参考文献 (44)IIGB/T 20275—2006前言（略）IIIGB/T 20275—2006信息安全技术入侵检测系统技术要求和测试评价方法1 范围本标准规定了入侵检测系统的技术要求和测试评价方法，技术要求包括产品功能要求、产品安全要求、产品保证要求，并提出了入侵检测系统的分级要求。

《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿）编制说明1 工作简况1.1任务来源2015年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号：2015bzzd-WG5-001。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心（以下简称“检测中心”）负责主编。

国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》，开展实施工业控制等多个领域的信息安全专用产品扶持工作。

面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一，其中包含了隔离类设备，表明了工控隔离产品在工控领域信息安全产品中的地位，其标准的建设工作至关重要。

因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。

1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后，检测中心立即与产品生产厂商、工业控制厂商进行沟通，并得到了多家单位的积极参与和反馈。

最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。

1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合，逐步形成了管理与控制的一体化，导致生产控制系统不再是一个独立运行的系统，其接入的范围不仅扩展到了企业网甚至互联网，从而面临着来自互联网的威胁。

国家标准《信息安全技术关键信息基础设施安全检查评估指南》编制说明一、工作简况1.1任务来源根据《中华人民共和国网络安全法》要求，关键信息基础设施要求在网络安全等级保护制度的基础上，实行重点保护，具体范围和安全保护办法由国务院制定。

网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。

为了落实网络安全法要求，规范关键信息基础设施检测评估相关方法、流程，全国信息安全标准化技术委员会于2016年立项《信息安全技术关键信息基础设施安全检查评估指南》国家标准，2016年7月，中央网信办网络安全协调局下达《<信息安全技术关键信息基础设施安全检查评估指南>国家标准制定》委托任务书，委托中国互联网络信息中心开展该标准的研制工作，并将本项目标识为WG7 组重点标准。

《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心、中国信息安全测评中心，工业和信息化部电子科学技术情报研究所（更名为国家工业信息安全发展研究中心）等单位共同参与起草。

1.2主要工作过程2017年1月至3月，《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心、中国信息安全测评中心，工业和信息化部电子科学技术情报研究所等单位共同参与讨论，讨论研究指南的编制，并形成标准讨论稿，向中央网信办领导汇报标准编制进展，并向全国信息安全标准化技术委员会提交项目申请。

2017年4月，标准通过全国信息安全标准化技术委员会WG7组会议讨论。

2017年4月，本标准获得由全国信息安全标准化技术委员会立项。

信息安全技术信息系统安全审计产品技术要求和测试评价方法信息安全技术在现代社会中扮演着至关重要的角色，而信息系统安全审计产品则是确保信息系统安全的关键工具。

本文将介绍信息系统安全审计产品的技术要求和测试评价方法，帮助读者了解该领域的核心知识。

一、信息系统安全审计产品的技术要求1. 完整性要求：信息系统安全审计产品应能够确保被审计系统的数据和程序的完整性，防止未经授权的篡改或修改。

产品需要能够记录系统数据和程序的变动，并及时报告任何异常情况。

2. 可扩展性要求：信息系统安全审计产品应能够适应不同规模和复杂度的系统，具备良好的可扩展性。

产品需要能够同时监测多个系统，并支持大量并发审计请求。

3. 可靠性要求：信息系统安全审计产品应具备高度的可靠性，能够保证审计数据的完整和准确。

产品需要能够自动进行周期性的备份和恢复操作，以应对意外故障或灾难恢复。

4. 实时性要求：信息系统安全审计产品应能够实时监测被审计系统的安全状态，及时发现和报告任何安全事件。

产品需要具备高效的数据采集和处理能力，能够在短时间内生成详细的审计报告。

5. 可视化要求：信息系统安全审计产品应提供直观的用户界面，能够清晰地展示被审计系统的安全状态和审计结果。

产品需要支持图表、报表等多种形式的数据展示方式，便于用户进行分析和决策。

二、信息系统安全审计产品的测试评价方法1. 功能测试：通过模拟实际场景，测试产品在实时监测、异常报告、数据采集等方面的功能是否完整和准确。

评价产品是否能够满足安全审计的基本需求。

2. 性能测试：测试产品在大规模系统和并发审计请求下的性能表现。

评估产品的扩展性和响应速度是否满足实际需求。

3. 安全测试：通过模拟恶意攻击和渗透测试，评估产品的安全性和可靠性。

确保产品能够有效地防御各类攻击，并保证审计数据的机密性和完整性。

4. 用户体验测试：通过用户调研和用户界面评估，评估产品的易用性和可视化效果。

确保产品的操作界面简洁友好，能够满足不同用户的需求。

/Veivs •市场观察信安标委：发布《信息安全技术工业控制系统信息安全防护建设实施规 范》征求意见稿2020年5月，由全国信息安全标准化技术委员会归口的《信系统信息安全防护建设实施，描述了工业企业新建/存量工业控 息安全技术工业控制系统信息安全防护建设实施规范》已形成制系统信息安全防护建设实施流程及实施过程中需考虑的13个 标准征求意见稿，面向社会公开征求意见。

标准规定了工业控制方面，制定了信息安全防护效果核验及对标方法。

工业网络安全风险评估标准获批2020年8月12日，ISA 和IEC 批准了工业网络安全风险评估 标准。

该ISA / IEC 62443系列标准共同提供了一套全面的规范 性要求，这些要求适用于工业网络安全解决方案生命周期的各个 阶段，从规范和幵发到实施到操作和支持。

目标受众包括资产所有者、系统集成商、产品供应商、服务提供商和法规遵从性机 构。

此次正式批准的IEC 62443-3-2标准定义了一组工程措施， 指导组织评估特定的工业控制系统风险，识别和应用安全对策， 降低安全风险到可接受的水平。

国家密码管理局发布26项密码行业标准，自2021年7月1日起实施据国家密码管理局公告，发布GM /T 0012-2020《可信计算 可信密码模块接口规范》等26项密码行业标准，自2021年7月1 曰起实施，具体标准编号及名称如下：1. GM /T 0012-2020可信计算可信密码模块接口规范2. GM /T 0078-2020密码随机数生成模块设计指南3. GM /T 0079-2020可信计算平台直接匿名证明规范4. GM /T 0080-2020SM 9密码算法使用规范5. GM /T 0081-2020SM 9密码算法加密签名消息语法规范6. GM /T 0082-2020可信密码模块保护轮廓7. GM /T 0083-2020密码模块非入侵式攻击缓解技术指南8. GM /T 0084-2020密码模块物理攻击缓解技术指南9. GM /T 0085-2020基于SM 9标识密码算法的技术体系框架10. GM /T 0086-2020基于SM 9标识密码算法的密钥管理系统技术规范11. GM /T 0087-2020浏览器密码应用接口规范12. GM /T 0088-2020云服务器密码机管理接口规范13. GM /T 0089-2020简单证书注册协议规范14. GM /T 0090-2020标识密码应用标识格式规范15. GM /T 0091-2020基于口令的密钥派生规范16. GM /T 0092-2020基于SM 2算法的证书申请语法规范17. GM /T 0093-2020证书与密钥交换格式规范18. GM /T 0094-2020公钥密码应用技术体系框架规范19. GM /T 0095-2020电子招投标密码应用技术要求20. GM /T 0096-2020射频识别防伪系统密码应用指南21. GM /T 0097-2020射频识别电子标签统一名称解析服务安全技术规范22. GM /T 0098-2020基于IP 网络的加密语音通信密码技术规范23. GM /T 0099-2020开放式版式文档密码应用技术规范24. GM /T 0100-2020人工确权型数字签名密码应用技术要求25. GM /T 0101-2020近场通信密码安全协议检测规范26. GM /T 0102-2020密码设备应用接口符合性检测规范GM /T 0012-2012《可信计算可信密码模块接口规范》自2021年7月1日起予以废止。

工业控制系统的网络安全评估与防护建议随着信息技术的迅猛发展，工业控制系统（Industrial Control System，ICS）的网络化程度越来越高。

然而，工业控制系统的网络安全性受到了严重的挑战，其脆弱性和容易受到攻击的特点引起了广泛的关注。

为了解决这些问题，进行工业控制系统的网络安全评估并采取相应的防护建议至关重要。

一、工业控制系统网络安全评估方法1.系统脆弱性评估：通过对工业控制系统的网络拓扑、系统配置和组件漏洞等方面进行综合分析，确定系统的脆弱性。

这包括对网络设备、服务器、终端设备和通信链路的漏洞扫描和弱口令检测，以及对网络流量的监控和异常行为检测。

2.网络访问控制评估：评估工业控制系统的网络访问控制策略和措施是否合理有效，是否存在未授权的访问和攻击入口。

对系统中的网络设备和终端设备进行端口扫描和访问权限验证，检查是否存在弱口令、未关闭的服务以及其他不安全配置。

3.数据保护评估：评估工业控制系统中的敏感数据和重要信息的保护措施，包括数据加密、数据备份和灾难恢复等。

通过检查系统中是否存在数据泄露的风险、访问控制的缺陷以及数据备份和恢复的能力来评估系统的数据保护能力。

4.安全管理评估：评估工业控制系统的安全管理措施是否有效，包括安全策略的制定与实施、人员培训与意识、事件响应与漏洞管理等。

通过对系统中安全管理制度的完善程度、监控与审计系统的有效性、事件响应能力等进行评估，确定安全管理的薄弱环节。

二、工业控制系统网络安全防护建议1.建立网络安全意识：加强工业控制系统网络安全意识的培训，培养员工的安全意识和技能，使其能够主动防范网络安全威胁。

定期组织网络安全培训，加强员工对于安全策略和实施的理解，并提醒员工警惕社工攻击等常见安全威胁。

2.加强访问控制：采用多层次、多因素的访问控制策略，设置强密码和周期性的密码更改要求。

限制外部网络与工业控制系统的直接访问，使用虚拟专用网络（VPN）或防火墙等技术实现远程访问的安全控制。

《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿）编制说明1 工作简况1.1任务来源2015年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号：2015bzzd-WG5-001。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心（以下简称“检测中心”）负责主编。

国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》，开展实施工业控制等多个领域的信息安全专用产品扶持工作。

面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一，其中包含了隔离类设备，表明了工控隔离产品在工控领域信息安全产品中的地位，其标准的建设工作至关重要。

因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。

1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后，检测中心立即与产品生产厂商、工业控制厂商进行沟通，并得到了多家单位的积极参与和反馈。

最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。

1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合，逐步形成了管理与控制的一体化，导致生产控制系统不再是一个独立运行的系统，其接入的范围不仅扩展到了企业网甚至互联网，从而面临着来自互联网的威胁。

《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿）编制说明1 工作简况1.1任务来源2015年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号：2015bzzd-WG5-001。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心（以下简称“检测中心”）负责主编。

国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》，开展实施工业控制等多个领域的信息安全专用产品扶持工作。

面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一，其中包含了隔离类设备，表明了工控隔离产品在工控领域信息安全产品中的地位，其标准的建设工作至关重要。

因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。

1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后，检测中心立即与产品生产厂商、工业控制厂商进行沟通，并得到了多家单位的积极参与和反馈。

最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。

1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合，逐步形成了管理与控制的一体化，导致生产控制系统不再是一个独立运行的系统，其接入的范围不仅扩展到了企业网甚至互联网，从而面临着来自互联网的威胁。

国家标准《信息安全技术互联网信息服务安全通用要求》（草案）编制说明一、工作简况1.1任务来源《信息安全技术互联网信息服务安全通用要求》是全国信息安全技术标准化委员会2019年立项的信息安全国家标准制定项目，由中国科学院信息工程研究所主要牵头承担。

该标准参照国家针对网络安全与互联网信息服务出台的一系列法律法规政策，包括《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网新闻信息服务新技术新应用安全评估管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等。

该标准由全国信息安全标准化技术委员会归口管理。

1.2主要起草单位和工作组成员中国科学院信息工程研究所（以下简称“中科院信工所”）主要负责起草，公安部第三研究所、中国电子技术标准化研究院、中国信息通信研究院、中国电子科技集团公司第十五研究所、北京理工大学等单位共同参与该标准的起草工作。

工作组成员包括：孟丹、郭涛、张潇丹、顾健、周熙、胡静远、韩冀中、赵云霞、贺滢睿、姚相振、魏巍、霍珊珊、锁延锋、张媛媛、马庆栋、周薇、王宇航、张华平等。

1.3 主要工作过程1、2017年4月——2018年5月，中科院信工所作为《信息安全技术互联网新闻信息服务新技术新应用安全评估实施规范》研究项目参与单位之一，顺利项目完成结题验收。

2、2018年7月——2018年12月，与参与单位共同开展标准体系架构研讨，组织召开3次内部技术研讨会，修改10余次。

3、2018年12月——2019年2月，与参与单位共同完成标准草案，并组织召开专家研讨会，并根据专家意见对标准内容进行3轮次修改。

4、2019年2月——2019年4月，对标准内容进行修改和调整，并组织召开专家研讨会，根据专家意见对标准内容进行2轮次修改，形成标准草案。

5、2019年4月，在全国信息安全标准化技术委员会2019年第一次工作组“会议周”上进行立项申请。

6、2019年5月——2019年9月，对标准草案进行讨论和完善。

国家标准《信息安全技术工业控制系统安全控制应用指南》（征求意见稿）编制说明一、工作简况1.1任务来源《信息安全技术工业控制系统安全控制应用指南》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目，国标计划号为：20100384-T-469，原名称为“工控SCADA系统安全控制指南”，由国家信息技术安全研究中心承担，参与单位包括国家信息技术安全研究中心、国家能源局（原电监会）信息中心、中国电力科学研究院、无锡市同威科技有限公司等单位。

2013年8月标准草案专家评审会议上专家建议将标准修改为“工业控制系统安全控制应用指南”1.2主要工作过程1、2010年2月，联系各个参与单位，进行任务分工和任务组织；研究现有国内外工控安全相关标准，分析各自特点，学习借鉴，包括IEC 62443、NIST SP 800-82、NIST SP 800-53 ISO/IEC 27019等标准。

2、2010年2-6月，项目组先后到北京地区拥有SCADA系统的七个行业进行了实地调研并与各行业从事SCADA系统管理和维护的人员进行了座谈；并形成各工业控制系统的调研报告。

3、2010年6月，项目组组织召开了行业专家讨论会，听取了来自石油、电力、供水、燃气、铁路、城市轨道交通等行业专家对标准草案的意见。

4、2010年7月，根据任务书的要求，规范编制小组开展考察调研和资料搜集工作，按照需求分析整理出安全漏洞分类规范的框架结构。

5、2010年7月8日，召集了信息安全标准专家征求意见会，会上许多专家从标准中术语的定义、标准的内容格式上提出了许多宝贵意见。

会后，项目组对专家意见进行了认真分析和研究，在此基础上形成了标准草案。

6、2010年12月初，召集第二次行业专家征求意见会，进一步对标准制定内容进行讨论，为制标做准备。

7、2011年7月，讨论确定编制思路和标准框架，按照分工开始各部分编制工作，重点是控制措施部分。

8、2011年11月，项目组人员参加工控SCADA系统信息安全研讨会，听取与会专家关于工控SCADA系统信息安全方面的意见和见解，丰富项目组人员工控SCADA系统安全视野。

信息安全技术工业控制系统安全防护技术要求和测
试评价方法
信息安全技术工业控制系统安全防护技术要求和测试
评价方法主要涉及以下几个方面：
一、防护技术要求：
1．物理安全防护：确保工业控制系统的物理环境安全，包括设备、网络和系统的物理访问控制，防止未经授权的物理访问。

2．网络防护：对工业控制系统的网络进行安全防护，包括防火墙、入侵检测系统等，以防止网络攻击和数据泄露。

3．应用安全防护：对工业控制系统中的应用程序进行安全防护，包括身份验证、访问控制、数据加密等，以防止应用程序漏洞被利用。

4．数据安全防护：对工业控制系统中的数据进行安全防护，包括数据加密、数据备份、数据恢复等，以防止数据泄露和损坏。

二、测试评价方法：
1．漏洞扫描：通过漏洞扫描工具对工业控制系统进行扫描，发现潜在的安全漏洞和弱点。

2．渗透测试：模拟攻击者对工业控制系统进行攻击，以测试系统的安全性和防御能力。

3．安全审计：对工业控制系统的安全策略、配置、日志等进行审计，以发现潜在的安全风险和问题。

4．应急响应测试：模拟安全事件发生时的应急响应过程，以测试工业控制系统的应急响应能力和恢复能力。

在测试评价过程中，需要综合考虑多个方面，包括系统的安全性、稳定性、可靠性等，以得出全面的评价结果。

同时，还需要根据实际情况制定相应的改进措施，以提高工业控制系统的安全防护能力。

信息安全技术工业控制系统安全防护技术要求和测试评价方法-回复信息安全技术是保护信息系统免受未经授权访问、使用、泄漏、破坏、干扰、中断和不可用等威胁的技术。

工业控制系统是现代工业生产中的核心组成部分，而其安全防护尤为重要。

本文将回答关于工业控制系统安全防护技术要求和测试评价方法的问题。

1. 工业控制系统的安全防护技术要求是什么？工业控制系统的安全防护技术要求通常包括以下方面：机密性：要求系统中的敏感信息只能被授权的人员访问和使用，防止信息泄露。

完整性：要求系统中的信息在传输和存储过程中不被篡改，如防止未经授权的数据修改，确保数据的完整性。

可用性：要求系统能够按照预期的方式运行，防止攻击导致系统瘫痪或无法正常使用。

鉴别性：要求系统能够确定用户或实体的身份，防止未经授权的访问。

授权和权限管理：要求系统能够根据用户或实体的身份授予适当的访问权限，并对权限进行精确的管理。

审计和监控：要求系统能够记录和监控关键事件，以便进行安全审计和威胁检测。

安全培训和意识：要求系统使用者具备相关的信息安全意识和技能，并且能够及时响应安全事件。

2. 工业控制系统安全防护的技术要求如何进行测试评价？对于工业控制系统的安全防护技术要求，可以通过以下测试评价方法进行检验：漏洞扫描和渗透测试：通过对系统进行漏洞扫描和渗透测试，评估其存在的安全弱点和潜在的攻击路径，发现系统中可能存在的漏洞并给出补救建议。

安全配置审计：审查系统的安全配置是否符合最佳实践和安全标准，如密码强度、访问控制策略等，确定是否存在可操作的改进方法，并进行安全配置的持续监控。

协议分析和数据流量监测：通过对工业控制系统的通信协议进行分析和数据流量监测，确定是否存在异常或未经授权的通信活动，以便及时检测和防范潜在的威胁。

恶意软件扫描和防护：使用恶意软件扫描工具对系统进行检查，以便发现潜在的恶意软件和病毒，并采取相应的防护措施进行清除和防范。

安全日志分析和事件响应：分析系统的安全日志，检测异常事件并进行响应，及时处置安全事件，防止安全威胁进一步扩大。

《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》编制说明1.编制背景1.1 项目背景随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，越来越多的政府、企业组织建立了依赖于网络的业务信息系统，比如电子政务、电子商务、网上银行、网络办公等；互联网企业提供给用户各类WEB应用服务，如提供信息发布、信息搜索、电子购物、网上游戏等业务，提供了极大的便利。

与此同时，信息安全的重要性也在不断提升。

近年来，政府、企业各类组织所面临的WEB应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、WEB应用安全漏洞利用等，给组织的信息网络和核心业务造成严重的破坏。

能否及时发现并成功阻止网络黑客的入侵和攻击、保证WEB应用系统的安全和正常运行成为政府、企业所面临的一个重要问题。

传统的网络安全设备如安全网关、入侵检测、防病毒、抗DoS攻击设备、各种VPN设备等等，由于针对不同的网络安全问题，很难形成完善的防护网，且这些产品的很多功能又存在着冗余，往往造成处理性能和响应速度的下降。

以上这些都为WEB应用防火墙类产品带来了广泛的应用需求，同时也对WEB应用防火墙类产品的提供者提出了更高的要求。

近年来WEB应用防火墙类产品的数量增长迅速，市场不断扩大。

为了规范WEB应用防火墙的研发和应用，《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》，对国内的WEB应用防火墙提出统一的安全技术要求以及相应的测试评价方法，使得国内的检测机构根据该标准，能够对WEB应用防火墙进行标准化的测试和评价，从而保证测试评价结果的完整性和一致性；同时也可对WEB应用防火墙的开发者提供指导作用。

为此，上海天泰网络技术有限公司、公安部第三研究所、北京神州绿盟科技有限公司、北京中软华泰信息技术有限责任公司向全国信息安全标准化技术委员会（以下简称：安标委）提交了《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》的制订申请。