GB-T 33009.3-2016工业自动化和控制系统网络安全集散控制系统(DCS)第3部分评估指南

ICS 25. 040 N 10 GB 中华人民共和国国家标准 GB/T33009.3—2016 工业自动化和控制系统网络安全集散控制系统（DCS) 第3部分：评估指南 Industrial automation and control system security-- Distributed control system(DCS)-- Part 3:Assessment guidelines 2016-10-13发布 2017-05-01实施中华人民共和国国家质量监督检验检疫总局发布中国国家标准化管理委员会 GB/T33009.32016 目次前言范围 2 规范性引用文件术语、定义、缩略语 3.1术语和定义 3.2缩略语 4DCS安全风险评估概述 4.1DCS系统概述 4.2DCS安全风险评估流程框架与流程 4.3 评估结果 5评估工作准备 5.1 概述 5.2 确定DCS评估目标 5.3 确定评估范围 5.4 组建评估团队 5.5 系统调研： 5.6 确定评估依据与方法. 5.7 制定评估方案 12 5.8 获得支持 6DCS安全要素识别 6.1 DCS资产识别 6,2 DCS脆弱性 6.3 威胁识别 6.4 工艺特征识别 DCS风险分析 7.1 风险计算原理 7.2风险处理计划 8 安全风险评估文档记录... 8.1评估文档记录要求.· 8.2评估文档附录A（规范性附录） DCS生命周期各阶段的安全风险评估附录B（资料性附录）风险评估工具和集散控制系统(DCS)常见的测试内容 23 附录C（规范性附录）风险的计算方法 26 参考文献 GB/T33009.3-2016 前言 GB/T33009&工业自动化和控制系统网络安全集散控制系统（DCS）》和GB/T33008&工业自动化和控制系统网络安全可编程序控制器（PLC)"等共同构成工业自动化和控制系统网络安全系列标准。 GB/T33009%工业自动化和控制系统网络安全集散控制系统（DCS）"分为4个部分：第1部分：防护要求；一第2部分：管理要求； --—第3部分：评估指南；第4部分：风险与脆弱性检测要求。本部分为GB/T33009的第3部分。本部分按照GB/T1.12009给出的规则起草。本部分由中国机械工业联合会提出。本部分由全国工业过程测量、控制和自动化标准化技术委员会（SAC/TC124）和全国信息安全标准化技术委员会（SAC/TC260）归口。本部分起草单位：浙江中控研究院有限公司、浙江大学、机械工业仪器仪表综合技术经济研究所、重庆邮电大学、中国科学院沈阳自动化研究所、西南大学、福建工程学院、杭州科技职业技术学院、北京启明星辰信息安全技术有限公司、中国电子技术标准化研究院、国网智能电网研究院、中国核电工程有限公司、上海自动化仪表股份有限公司、东土科技股份有限公司、清华大学、西门子（中国）有限公司、施耐德电气（中国)有限公司、北京钢铁设计研究总院、华中科技大学、北京奥斯汀科技有限公司、罗克韦尔自司、青岛多芬诺信息安全技术有限公司、北京国电智深控制技术有限公司、北京力控华康科技有限公司、北京和利时系统工程有限公司、中国石油天然气管道有限公司、北京匡恩网络科技有限责任公司、西南电力设计院、广东航宇卫星科技有限公司、华北电力设计院工程有限公司、华为技术有限公司、中国电子科技集团公司第三十研究所、深圳万讯自控股份有限公司、横河电机（中国）有限公司北京研发中心本部分主要起草人：施一明、冯冬芹、梅恪、王玉敏、王平、王浩、高梦州、徐珊珊、徐冬、刘枫、许剑新、陈平、杨悦梅、陈建飞、还约辉、黄家辉、贾驰千、梁耀、刘大龙、陆耿虹、刘文龙、王芳、孟雅辉、范科峰、梁、王彦君、张建军、薛百华、许斌、陈小琮、华铬、高昆仑、王雪、周纯杰、张莉、刘杰、朱毅明、王、孙静、胡伯良、刘安正、田雨聪、方亮、马欣欣、王勇、杜佳琳、陈日是、李锐、刘利民、孔勇、黄敏、朱镜灵、张智、张建勋、兰昆、张晋宾、成继勋、尚文利、钟诚、梁猛、陈小枫、卜志军、丁露、李琳、杨应良、杨磊。啡学兔兔ww尊.bzfxw.com GB/T33009.3—2016 工业自动化和控制系统网络安全集散控制系统（DCS）第3部分：评估指南 1范围 GB/T33009的本部分规定了集散控制系统的安全风险评估等级划分、评估的对象及实施流程，以及安全措施有效性测试。本部分适用于电力、石油、化工、水利、冶金、建材等各领域针对DCS系统的进行的安全风险评估活 2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T20984-2007信息安全技术信息安全风险评估规范 GB/T30976.12014工业控制系统信息安全第1部分：评估规范 3术语、定义、缩略语 3.1术语和定义 GB/T209842007和GB/T30976.12014界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GB/T20984-2007和GB/T30976.12014中的一些术语和定义。 3.1.1 验收 acceptance 风险评估活动中用于结束项目实施的一种方法，主要由被评估方组织机构，对评估活动进行逐项检验，以是否达到评估自标为接受标准。 [GB/T30976.1-2014,定义3.1.4] 3.1.2 访问控制accesscontrol 保护系统资源防止未授权的访问；系统资源使用的过程是根据安全策略规定的，并且根据该策略只允许被授权的实体（用户、程序、过程或者其他系统）。 [IEC62443-1-1,定义3.2.2] 3.1.3 可用性availability 数据或资源能被授权实体按要求访问和使用的特性。 [GB/T20984—2007，定义3.3］学兔兔www.bzfxw.com GB/T33009.3-2016 3.1.4 鉴别authentication 验证实体所声称的身份的动作。 3.1.5 边界border 物理或者逻辑安全区域的边或者边界。［IEC62443-1-1,定义3.2.16] 3.1.6 信道channel 在通信管道内建立的特定的通信链接。 [IEC62443-1-1.定义3.2.19] 3.1.7 保密性 confidentiality 数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。［GB/T209842007.定义3.5] 3.1.8 控制系统网络安全 control system security 以保护控制系统的可用性、完整性、保密性为目标，另外也包括实时性、可靠性与稳定性、 3,1.9 服务拒绝 denial of service 阻止或者中断系统资源的授权访问或者挂起系统的操作的功能。注：在工业自动化和控制系统的情况下，服务拒绝是指过程功能的损失，而不仅仅是数据通信的损失。 [IEC62443-1-1,定义3.2.42] 3.1.10 识别identify 对某一评估要素进行标识与辨别的过程。 [GB/T30976.1-2014.定义3.1.2] 3.1.11 网络安全风险 securityrisk 人为或自然的威胁利用系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 [GB/T20984-2007,定义3.6] 3.1.12 完整性 integrity 保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。［GB/T20984---2007，定义3.10] 3.1.13 制造执行系统 manufacturing execution system 生产规划和跟踪系统，用于分析和报告资源可用性和状态、规划和更新订单、收集详细的执行数据， 2 学兔兔ww.bzfxw.com GB/T33009.3—2016 例如材料使用、人力使用、操作参数、订单和装置状态及其他关键信息注1：此系统访问材料清单、工艺路线和其他来自于基础企业资源规划系统的数据，典型用于实时车间作业报告和监视将活动数据反馈给基础系统的过程。注2：更多的信息参见IEC62264-1。 3.1.14 组织organization 由作用不同的个体为实施共同的业务目标而建立的机构。一个单位是一个组织，某个业务部门也可以是一个组织。［GB/T20984—2007，定义3.11] 3.1.15 残余风险residualrisk 采取了安全措施后，信息系统仍然可能存在的风险。［GB/T20984-2007.定义3.12] 3.1.16 风险接受riskacceptance 接受风险的决定。［GB/T30976.1-2014，定义3.1.7] 3.1.17 风险分析risk analysis 系统地使用信息来识别风险来源和估计风险。 [GB/T30976.1—2014,定义3.1.8]］ 3.1.18 风险评估riskassessment 系统地辨识重要系统资源的潜在脆弱性和威胁，基于发生的概率量化损失风险和后果，并（可选地）建议如何对各对抗措施分配资源以使总风险最小的过程。注1：资源类型包括物理资源，逻辑资源和人力资源。注2：风险评估常与脆弱性评估相结合，以辨识脆弱性并量化相关风险。周期地执行这些内容是为了反映组织机构的风险裕度、瞻弱性、规程、人员和技术上的变化。 3.1.19 风险管理riskmanagement 基于风险评估来辨识和采用与所保护的资