信息安全技术工业控制系统安全检查指南(GB-T 37980-2019).pdf

《信息安全技术工业控制系统安全检查指南(GB-T 37980-2019).pdf》由会员分享，可在线阅读，更多相关《信息安全技术工业控制系统安全检查指南(GB-T 37980-2019).pdf（30页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、ICS点击此处添加中国标准文献分类号中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX信息安全技术 工业控制系统安全检查指南Information Security Technology-Guide for Security Inspection of IndustrialControl Systems点击此处添加与国际标准一致性程度的标识（送审讨论稿）（本稿完成日期：2017 年 11 月 13 日）XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.V引言.VI1范围.12规范性引用文件.13术语和定义.14

2、缩略语.25检查目的.25.1检查目的.26检查范围.36.1检查范围.37检查方式.37.1监督检查.37.2自检查.37.3委托检查.38检查工作流程.38.1检查准备.38.2检查实施.48.3检查结果分析.59检查内容的选择方法.69.1全覆盖法.69.2重点项抽取法.69.3增项检查法.610检查内容.610.1组织体系.610.2规章制度.710.3资金保障.810.4人员安全管理.810.5服务外包管控.910.6关键信息资产管控.1010.7工业控制系统建设安全管理.1110.8网络安全防护.1110.9上位机主机和设备安全防护.1310.10物理环境安全防护.15GB/T X

3、XXXXXXXXII10.11运行安全管理.1510.12应急管理.16附录 A（资料性附录）检查内容索引.18附录 B（资料性附录）风险分析方法.20B.1定性分析.20B.2定量分析.21参考文献.25GB/T XXXXXXXXXIII前言本标准按照GB/T 1.1-2009标准化工作导则 第1部分：标准的结构和编写给出的规则起草。本标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。本标准起草单位：中国信息安全测评中心、中国电子技术标准化研究院、中国石油天然气集团公司、北京三零卫士信息安全技术有限公司，北京匡恩网络科技有限责任公司、青岛海天炜业过程控制技术股份有限公司、

4、网神信息技术（北京）股份有限公司、浙江浙能台州第二发电有限责任公司、华能国际电力股份有限公司。本标准主要起草人：戴忠华、彭勇、赵伟、韩雪峰、向憧、熊琦、邸丽清、高洋、范科锋、姚相振、李琳、周睿康、靖小伟、腾征岑、张建军、张大江、宿凤芹、彭亮、李航、夏克晁、李辉。GB/T XXXXXXXXXIV引言随着工业化和信息化的深度融合，工业控制系统广泛应用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。工业控制系统指应用于工业领域的数据采集、监视与控制系统，是由计算机设备、工业过程控制组件和网络

5、组成的控制系统，是工业领域的神经中枢。工业领域使用的控制系统包括监控与数据采集系统（SCADA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）系统等。近年来针对工业控制系统的攻击事件导出不穷，工业控制系统的安全性将直接关系到国家重要基础工业设施生产的正常运行和广大公众的利益。本标准制定的目标是指导我国国家关键基础设施中相关工业控制系统行业用户开展工业控制系统信息安全自评工作，及时有效发现工业控制系统存在的问题，为国家对重点行业工业控制系统信息安全检查等工作提供支撑，为实现更安全的工业控制系统并在其内部进行有效的风险管理提供帮助。本标准适用于开展工业控制系统的信息安全监督检查、委托检查工

6、作，同时也适用于相关企业在本集团（系统）范围内开展工业控制系统的信息安全自检查。GB/T XXXXXXXXX1信息安全技术 工业控制系统安全检查指南1范围本标准规定了工业控制系统信息安全检查的目的、范围、方式、流程、方法和内容。本标准适用于开展工业控制系统的信息安全监督检查、委托检查工作，同时也适用于各企业在本集团（系统）范围内开展相关系统的信息安全自检查。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 25069-2010 信息安全技术 术语GB/T 329

7、19-2016 信息安全技术 工业控制系统安全控制应用指南GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 25070-2010 信息安全技术 信息系统安全等级保护安全设计技术要求GB/T 20269-2006 信息安全技术 信息系统安全管理要求GB/T 20984-2007 信息安全技术 信息安全风险评估规范3术语和定义GB/T 25069-2010和GB/T 32919-2016标准界定的术语和定义适用于本标准。3.1工业控制系统 industrial control system：ICS工业控制系统（ICS）是一个通用术语，它包括多种工业生产中使用的控制

8、系统，包括监控和数据采集系统（SCADA），分布式控制系统（DCS），和其它较小的控制系统，如可编程逻辑控制器（PLC），现已广泛应用在工业部门和关键基础设施中。3.2监控和数据采集系统 supervisory control and data acquisition system：SCADA在工业生产控制过程中，对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据采集与监控管理的控制系统。它以计算机为基础，对远程分布运行设备进行监控调度，其主要功能包括数据采集、参数测量和调节、信息报警等。SCADA系统一般由设在控制中心的主终端单元（MTU）、通信线路和设备、远程终端单元（RTU）

9、等 组成。3.3分布式控制系统 distribution control system：DCSGB/T XXXXXXXXX2以计算机为基础，在系统内部（单位内部）对生产过程进行分布控制、集中管理的系统。DCS系统一般包括现场控制级、控制管理级两个层次，现场控制级主要是对单个过程进行控制，控制管理级主要是对多个分散的子过程进行数据采集、统一调度和管理。3.4工业控制设备 industrial control device对工业生产过程及装置进行检测与控制的设备。3.5可编程逻辑控制器 programmable logic controller:PLC采用可编程存储器，通过数字运算操作对工业生产装

10、备进行控制的电子设备。PLC主要执行各类运算、顺序控制、定时执行等指令，用于控制工业生产装备的动作，是工业控制系统的主要基础单元。3.6主终端单元 master terminal unit:MTU通常指SCADA系统中的服务器，用于集中控制，同远程终端单元进行通信。3.7远程终端单元 remote terminal unit:RTU一种针对通信距离较长和工业现场环境恶劣而设计的具有模块化结构的、特殊的计算机测控单元。3.8上位机 supervisory computer可以直接发出操控命令的计算机。3.9信息网 information network管理层网络，主要部署生产管理、调度管理等服务

11、器，通常与外部网络互联，为非信任区域。3.10控制网 control network控制层网络，主要部署工程师站、操作员站、工业控制设备，为高安全等级的信任区域。3.11安全检查 security inspection安全检查是一种手段，是一种方法，是信息安全工作的一个重要环节，是以查代促、以查促改、以查促管、以查促防，旨在推动提高信息安全工作能力和防护水平。4缩略语GB/T XXXXXXXXX3下列缩略语适用于本文件。ICS工业控制系统（Industrial Control Systems）SCADA监控与数据采集系统（Supervisory Control And Data Acquisi

12、tion）DCS分布式控制系统（Distributed Control Systems）PLC可编程逻辑控制器(Programmable Logic Controller)MTU主终端控制单元(Master Terminal Unit)RTU远程终端单元(Remote Terminal Unit)5检查目的5.1检查目的工业控制系统安全检查是为了指导我国国家关键基础设施中相关工业控制系统行业用户开展工业控制系统信息安全自评工作，掌握工业控制系统信息安全总体状况，及时有效发现工业控制系统存在的问题和薄弱环节，进一步健全工业控制系统信息安全管理制度，完善工业控制系统信息安全技术措施，提高工业控制系

13、统信息安全防护能力，为国家对重点行业工业控制系统信息安全检查等工作提供支撑，为实现更安全的工业控制系统并在其内部进行有效的风险管理提供帮助。6检查范围6.1检查范围工业控制系统信息安全检查范围是广泛应用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、钢铁、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统。7检查方式7.1监督检查监督检查是指上级管理部门组织的或国家有关职能部门依法开展的检查。监督检查可依据本标准的要求，实施完整的信息安全检查过程。监督检查也可在自检查的基础上，对关键环节或重点内容实施检查。7.2自检查自检查是指信

14、息系统所有者、运营或使用单位发起的对本单位工业控制系统安全状况进行的检查。自检查在本标准的指导下，结合系统特定的安全要求进行实施。7.3委托检查受检单位或监督检查的组织部门不具备检查能力的，可委托经相关主管部门认可的机构开展检查。8检查工作流程8.1检查准备GB/T XXXXXXXXX4本阶段是开展检查工作的前提和基础，是整个检查过程有效性的保证。检查准备工作是否充分直接关系到后续工作能否顺利开展。本阶段的主要内容是明确检查工作的方式、依据、范围和内容，调研被检查单位和被检查系统的情况，确定被检查单位的联系人和联络方式，确定检查组成员和检查工具，制定检查方案和计划并通知被检查单位。8.1.1检

15、查准备过程工作内容根据检查工作的要求，明确安全检查工作的方式，包括监管机构监督检查、企业信息安全自查等。明确安全检查工作的依据，包括国家信息安全规范性文件及标准、行业信息安全规范性文件及标准、主管机构要求等。明确安全检查工作的范围，包括被检查单位、被检查系统、涉及的人员、被检查单位的上级主管单位等，并通过调研形成工业控制系统信息安全检查工作调研表。明确安全检查工作的内容。由两部分内容组成，一部分为基本检查内容，相关要求见本规范第十章；另外一部分为补充检查内容，由检查机构在每次检查前，依据有关主管单位要求、信息安全发展态势和企业的信息安全管理工作开展情况进行拟定。由检查机构统一组织实施检查工作，

16、确定现场检查组的人员和设备，可委托第三方信息安全服务机构实施现场检查工作，但检查机构应安排专人陪同。根据检查工作的内容，制定 工业控制系统信息安全检查方案、工业控制系统信息安全检查计划和工业控制系统信息安全检查工作表。在现场检查开始前，检查组应至少提前两天将工业控制系统信息安全检查方案和工业控制系统信息安全检查计划下发至被检查单位，明确要求被检查单位对必要的系统和数据进行备份，被检查单位应积极配合，并提供必要的配合人员和办公条件。8.1.2检查准备过程的角色和责任检查机构职责：a)向被检查单位介绍安全检查的意义和目的、检查流程和工作方法；b)了解被检查单位的工业控制系统建设状况；c)指出被检查

17、单位应提供的基本资料；d)向被检查单位说明检查工作自身的风险和规避方法；e)准备被检查系统基本情况调查表单；f)了解被检查系统基本情况；g)初步分析系统的安全情况；h)准备检查工具和文档。被检查单位职责a)向检查机构介绍本单位的工业控制系统建设状况与发展情况；b)准备检查机构需要的资料；c)为检查人员的信息收集提供支持和协调；d)根据被检查系统的具体情况，如业务运行高峰期、网络布置情况等，为检查时间安排提供适宜的建议；GB/T XXXXXXXXX5e)备份数据和系统，制定应急预案。8.2检查实施本阶段是检查工作的核心，主要依据检查方案的总体要求将本检查规范的要求落实到实际检查工作中，通过对被检

18、查单位的人员访谈、文档审查、配置核查和安全测试，并调阅自查或上次检查报告（如果有），对被检查单位工业控制系统的安全保护现状进行取证，取得分析与总结活动所需的、足够的证据和资料。8.2.1检查实施过程工作内容检查人员现场填写 工业控制系统信息安全检查工作表，检查完成后需要由被检查单位签字确认。现场检查完成后，需要由被检查单位对被检查的运行情况进行确认，并在工业控制系统运行情况验证记录 上签字确认，对于因检查工作导致系统运行异常的情况，应如实记录，并及时上报主管部门。1、现场检查采用的方法主要包括：a)人员访谈检查人员通过与工业控制系统有关人员（个人/群体）进行交流、讨论等活动，获取证据以证明信息

19、系统安全保护措施是否有效的一种方法。b)文档审查检查人员通过对被检查单位支撑工业控制系统安全建设与运维的安全管理制度、记录等文档的核查，获取证据以证明工业控制系统的安全保护要求是否全面，安全保护规定是否得到执行。c)配置核查检查人员通过对被检查系统进行观察、查验、分析等活动，获取证据以证明被检查系统安全保护措施是否有效的一种方法。d)安全测试检查人员使用预定的方法/工具使被检查系统产生特定的行为，通过查看、分析这些行为的结果，获取证据以证明工业控制系统安全保护措施是否有效的一种方法。在检查中也可不重新实施安全测试而利用已有的安全测试结果。2、该阶段主要可能的风险包括：a)验证测试影响工业控制系

20、统正常运行。在现场检查时，需要对设备和系统的安全策略配置和安全功能进行必要的验证测试，部分测试内容涉及到对设备的操作，可能对系统的运行造成一定的影响，甚至存在误操作的可能；b)工具测试影响工业控制系统正常运行。在现场检查时，有时会使用一些技术测试工具进行漏洞测试、性能测试甚至抗渗透能力测试等。工具测试可能会对系统的负载造成一定的影响，其中漏洞测试和渗透测试可能对系统数据造成一定破坏；c)原则上检查方不接触被检查系统，应避免执行系统数据变更操作，由配合人员根据操作规程和检查项需求对被检查系统进行核查操作。8.2.2现场检查过程的角色和责任检查机构职责：GB/T XXXXXXXXX6a)利用人员访

21、谈、文档审查、配置核查和安全测试的方法检查系统的保护措施与本规范要求的符合情况，以及正确性和有效性。被检查单位职责：a)协调被检查系统内部相关人员的关系，配合检查工作的开展；b)回答检查人员的问询，对某些需要验证的内容上机进行操作；c)协助检查人员实施工具测试并提供有效建议，降低安全检查对系统运行的影响；d)协助检查人员完成业务相关内容的问询、验证和测试；e)相关人员对检查结果进行确认。8.3检查结果分析本阶段是总结被检查系统整体安全保护能力的综合评价活动，根据现场检查结果和本规范的相关要求，定位系统的安全保护现状与本规范安全要求之间的差距，并分析这些差距导致被检查系统面临的风险，从而给出检查

22、结论，形成检查报告和整改通知书。8.3.1检查结果分析过程工作内容现场检查工作完成后，由检查组对检查结果进行整理，采用定量或定性的风险分析方法，编制工业控制系统安全检查报告。8.3.2检查结果分析过程的角色和责任检查机构职责：a)分析检查结果，形成检查结论；b)编制整改通知书，说明被检查系统存在的安全隐患和缺陷，并给出改进建议；将生成的过程文档归档保存，并将检查过程中生成的电子文档清除。9检查内容的选择方法9.1全覆盖法选取检查内容的所有检查项。9.2重点项抽取法根据国家职能部门、上级主管部门或企业对工业控制系统进行安全检查工作的实际预期目标需求，从检查内容中确定重点检查项，只检查重点项。9.

23、3增项检查法根据国家职能部门、上级主管部门要求和工业控制系统信息安全发展态势等情况，设计检查内容中未包含的检查项作为新增检查项。（注：对于检查内容的选择，不局限于采取单一方式进行选择，也可根据检查目的，采用多种选择方式相结合，如同时采用重点项抽取法和增项检查法确定检查内容）10检查内容GB/T XXXXXXXXX710.1组织体系10.1.1第一责任人确立本检查项包括：a)检查企业主要负责人是否是信息安全第一责任人。检查要素：b)信息安全第一责任人。检查方法：a)文档审查，查看信息安全文件。10.1.2信息安全责任落实本检查项包括：a)检查是否设立工业控制系统信息安全管理工作的职能部门，是否设

24、立安全主管、系统管理员、网络管理员、安全管理员等岗位；b)是否以文件的形式明确责任部门、责任人员的职责。检查要素：a)信息安全责任部门、责任人员。日常安全生产管理体系。检查方法：a)文档审查，查看信息安全责任部门、责任人员职责文件。日常安全生产管理体系职责文件。10.1.3专职机构及岗位设置本检查项包括：a)检查组织的信息安全管理部门及岗位设置是否符合以下要求：1)企业集团公司总部设置工业控制系统信息安全专职管理机构；2)企业集团公司二级单位设置工业控制系统信息安全管理和技术岗位；3)工业控制系统基层单位设置信息安全岗位。检查要素：a)企业级别、信息安全管理部门及岗位设置。检查方法：a)人员访

25、谈，访问企业所属级别和信息安全管理部门及岗位设置；b)文档审查，根据企业级别查看信息安全管理部门及岗位设置说明文件。10.1.4安全人员配置本检查项包括：a)检查企业是否配备一定数量的专职信息安全工作人员，能否满足企业信息安全岗位需求。检查要素：a)专职信息安全工作人员数量、信息安全岗位数量。检查方法：a)文档审查，查阅企业网络职责说明及人员岗位职责分配说明。10.2规章制度10.2.1整体策略及总体方案制定GB/T XXXXXXXXX8本检查项包括：a)检查企业是否制定符合国家及行业政策要求的工业控制系统信息安全工作整体策略和总体方案，是否说明了信息安全工作总体目标、范围、防护框架和防护措施

26、。检查要素：a)信息安全工作整体策略、总体方案、信息安全工作总体目标、范围、防护框架和防护措施。检查方法：a)文档审查，查阅信息安全整体策略和总体方案文档。10.2.2制度制定及体系完整性本检查项包括：a)检查企业是否针对工业控制系统的信息安全工作制定基本安全管理制度，并以此为基础形成涵盖人员管理、资产管理、介质管理、建设安全管理、运行维护管理、外包服务管理、培训教育等方面的制度体系。检查要素：a)基本安全管理制度。检查方法：a)文档审查，查阅组织是否制订了基本管理制度，内容是否涵盖人员管理、资产管理、介质管理、建设安全管理、运行维护管理、外包服务管理、培训教育等方面。10.2.3操作规程制定

27、本检查项包括：a)检查企业是否对信息安全运行维护人员执行的日常操作制定运维流程和操作规程。检查要素：a)运维流程、操作规程。检查方法：a)文档审查，查阅组织制订的运维流程和操作规程文档。10.2.4制度发布本检查项包括：a)检查企业是否通过正式、有效的方式发布工业控制系统信息安全管理制度。检查要素：a)制度发布方式。检查方法：a)文档审查，查阅安。全管理制度发布方式和相关记录。10.3资金保障10.3.1经费预算本检查项包括：a)检查企业是否将信息安全建设费用（安全软硬件购置、系统安全功能开发、安全验收测试、安全咨询与培训、安全专项研究等）和运行维护费用（日常安全运维、监测分析、应急演练、应急

28、保障、信息安全监督检查、测试评估等）纳入年度预算。检查要素：GB/T XXXXXXXXX9a)信息安全建设费用、运行维护费用。检查方法：a)文档审查，查看年度预算计划。10.4人员安全管理10.4.1安全培训与考核本检查项包括：a)检查企业信息安全从业，工业控制信息系统设计、建设、运维等相关各类人员是否经培训合格后上岗，是否定期接受相应的政策规划和专业技能培训。检查要素：a)人员安全培训及考核。检查方法：a)文档审查，查阅参加安全培训的人员名单及成绩单。10.4.2保密协议签订本检查项包括：a)检查企业是否与安全管理员、系统管理员、网络管理员等关键岗位的人员，工业控制生产系统相关设备及系统的开

29、发单位和供应商签署保密协议。检查要素：a)保密协议签订。检查方法：a)文档审查，查阅签署保密协议的人员名单及其岗位或单位。10.4.3人员审查本检查项包括：a)检查企业是否对信息安全岗位人员和其他敏感岗位人员实施身份、背景和资质审查。检查要素：a)人员的身份、背景和资质审查制度和审查结果记录。检查方法：a)文档审查，查阅信息安全岗位人员和其他敏感岗位人员的身份、背景和资质审查记录。10.4.4岗位调整管控本检查项包括：a)检查企业是否在信息安全岗位人员及其他敏感岗位人员离岗时执行权限回收和离岗承诺书签署。检查要素：a)人员的权限回收记录、离岗承诺书。检查方法：a)文档审查，查阅信息安全岗位人员

30、及其他敏感岗位人员的回收记录和离岗承诺书。10.5服务外包管控10.5.1外包服务协议GB/T XXXXXXXXX10本检查项包括：a)检查企业与合约方签订的外包服务协议中是否具有信息安全管控和保密条款。检查要素：a)外包服务协议。检查方法：a)文档审查，查阅外包服务协议中的信息安全管控和保密条款。10.5.2外部人员访问管理本检查项包括：a)检查企业是否对外部人员访问机房等受控区域采取书面审批、人员陪同、进出记录等管控措施。检查要素：a)受控区域访问控制措施和记录。检查方法：a)文档审查，查阅第三方人员访问管理制度和记录。10.5.3远程服务管控本检查项包括：a)检查企业是否采取远程服务，如

31、采取远程服务，针对远程服务访问采取书面审批、访问控制、在线监测、日志审计等管控措施。检查要素：a)远程服务管控措施和记录。检查方法：a)人员访谈，询问对远程服务访问采取的控制措施；b)文档审查，查阅远程服务管控措施制度和记录；c)配置核查，如采取远程服务，查阅远程服务管控相关审计日志。10.5.4现场开发管控本检查项包括：a)检查企业是否采取技术措施实现开发测试环境与实际生产运行环境物理分离，并对开发人员的活动范围和行为实施管控。检查要素：a)现场开发的管控措施和记录。检查方法：a)人员访谈，询问是否将开发测试环境与实际生产环境物理分离；b)文档审查，查阅开发人员的活动范围和行为管控制度。10

32、.6关键信息资产管控10.6.1资产管理本检查项包括：a)检查企业是否识别所有与工业控制系统相关的资产并编制了准确的资产清单，是否对每项资产明确管理责任人及其职责。检查要素：GB/T XXXXXXXXX11a)资产清单。检查方法：a)文档审查，查阅资产清单，检查是否识别所有与信息系统相关的资产，是否对每项资产明确管理责任人及其职责。10.6.2资产维修报废管理本检查项包括：a)检查企业是否在系统、设备维修或报废时，选取了可信服务机构并对数据采取了备份、清除等有效保护措施。检查要素：a)可信服务机构选择、数据保护措施和记录。检查方法：a)文档审查，查阅系统、设备维修或报废管理制度和记录。10.7

33、工业控制系统建设安全管理10.7.1上线安全测评本检查项包括：a)检查企业工业控制信息系统在上线前是否通过信息安全测评。检查要素：a)上线前通过安全测评的系统清单、信息系统清单。检查方法：a)文档审查，查阅全部信息系统列表，查阅并统计已通过信息安全测评的系统测评报告。10.7.2产品采购和使用本检查项包括：a)检查企业安全产品和密码产品的采购及使用是否符合国家有关规定。检查要素：a)安全产品和密码产品。检查方法：a)人员访谈，访谈相关人员是否了解相关制度，是否存在不执行相关制度的特殊情况；b)文档审查，查阅企业相关管理制度和资产清单等，检查其采购及使用是否符合国家有关规定。c)配置核查，核查已

34、被通报存在隐患的在线运行的系统和设备是否已经整改及相关运行管理和安全防护措施。10.7.3核心产品采购测试本检查项包括：a)企业应用的信息安全产品、系统基础软硬件、系统应用软件、工业控制装置等在采购前是否通过了安全性测试。检查要素：a)安全性测试报告。检查方法：GB/T XXXXXXXXX12a)文档审查，查阅企业应用的信息安全产品、系统基础软硬件、系统应用软件、工业控制装置等的安全性测试报告。10.8网络安全防护10.8.1网络架构安全本检查包括a)检查企业是否根据业务特点对网络进行了分区分域管控,并对不同域之间采取了边界防护措施。检查要素a)网络拓扑结构图。检查方法a)人员访谈，访谈企业对

35、网络的分区分域管控情况,了解每个分区边界的防护情况。b)文档审查，查看网络拓扑结构图与访谈情况的一致性。c)安全测试，利用相关命令语句等测试各分区的连通情况。10.8.2控制网边界防护本检查项包括：a)检查企业是否设置控制网边界防护的技术措施，检查网络边界连接情况和安全设备部署情况。检查要素：a)控制网边界防护技术措施；b)网络边界连接情况；c)网络边界安全设备部署情况。检查方法：a)人员访谈，询问采取的控制网边界防护的技术措施；b)配置核查，检查网络边界连接情况和安全设备部署情况c)安全测试，验证系统是否能够对非授权设备私自联到内部网络的行为进行有效阻断，验证系统是否能够对内部网络用户私自联

36、到外部网络的行为进行有效阻断。10.8.3网络安全审计本检查项包括：a)检查企业是否建立控制服务器等工业控制系统关键设备安全配置和审计制度；b)检查企业是否设置网络安全审计的技术措施和审计记录保护措施。检查要素：a)网络安全审计记录；b)网络安全审计记录保护措施。检查方法：a)人员访谈，询问采取的网络安全审计的技术措施和审计记录保护措施。b)文档审查，查阅控制服务器等工业控制系统关键设备安全配置和审计制度；c)配置核查，检查网络安全审计记录，应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；10.8.4网络冗余和容差策略GB/T XXXXXXXXX13本检查项包括：a)检查企

37、业是否设置网络冗余和容差策略检查要素：a)网络冗余和容差策略。检查方法：a)人员访谈，询问采取网络冗余和容差策略。b)配置核查，检查关键节点的网络设备、安全设备的冗余，应采用冗余技术设计网络拓扑结构，避免存在网络单点故障；检查控制网内网络设备、安全设备、重要服务器的备件情况。10.8.5远程访问本检查项包括：a)检查企业是否按照远程访问方式的使用限制和操作指南进行远程访问，是否设置远程访问监控机制，是否设置远程接入授权机制，是否设置远程接入过程安全性保护措施。检查要素：a)远程访问使用限制和操作指南、远程访问监控机制、远程接入授权机制、远程接入过程安全性保护措施。检查方法：a)文档审查，查阅远

38、程访问方式的使用限制和操作指南，应对每一个允许远程访问系统的方法建立使用限制和操作指南。b)配置核查，检查远程访问监控机制，应监控未经授权的远程访问；检查远程接入授权机制，在建立远程连接之前应用授权过程；检查远程接入过程安全性保护措施，应采取无线组网采取严格的身份认证、安全监测等防护措施，防止经无线网络进行恶意入侵，尤其要防止通过侵入远程终端单元（RTU）进而控制部分或整个工业控制系统，应能对非授权的远程访问进行阻断。10.8.6移动终端安全接入本检查包括：a)检查企业是否针对移动终端接入采取了安全性检测、书面审批、统一接入管理、访问控制、在线监测、日志审计等必要管控措施。检查要素：a)移动终

39、端安全管控措施和记录。检查方式：a)人员访谈，询问对移动终端接入采取的控制措施。b)文档审查，查阅管理制度是否要求移动终端接入前采取安全性检测、书面审批、统一接入管控、访问控制、在线监测、日志审计等管控措施。10.9上位机主机和设备安全防护10.9.1补丁更新本检查项包括：a)检查企业是否按照补丁管理制度要求进行可更新补丁的更新。检查要素：a)补丁更新管理制度、补丁更新情况。检查方法：GB/T XXXXXXXXX14a)文档审查，查阅补丁更新管理制度和补丁更新频率；b)配置核查，检查主机操作系统和网络设备的补丁更新情况；c)安全测试，在确保应用系统的安全前提下，通过漏洞扫描工具验证主机操作系统

40、和网络设备的补丁更新情况。10.9.2恶意代码防护本检查项包括：a)检查企业是否按照恶意代码管理制度要求进行恶意代码检测和可更新恶意代码库的更新。检查要素：a)恶意代码防范管理制度、恶意代码库更新情况。检查方法：a)文档审查，查阅恶意代码防范管理制度和更新频率；b)配置核查，检查恶意代码检测程序和可更新恶意代码库的更新情况。10.9.3系统安全整改加固本检查项包括：a)检查企业生产控制主机和设备中对等级保护测评、风险评估、信息安全检查等工作中发现的问题是否完成安全整改加固。检查要素：a)安全问题报告、安全整改加固实施工作报告。检查方法：a)文档审查，查阅安全问题报告，查阅安全整改加固实施工作报

41、告；b)配置核查，检查与验证安全整改加固工作实施情况。10.9.4移动存储介质管理本检查项包括：a)检查企业是否设置限制和管理移动存储介质使用的管理和技术措施，是否对移动存储介质的分发、注册、使用、存放、销毁实施管理。检查要素：a)移动存储介质管理措施。检查方法：a)文档审查，查阅移动存储介质安全管理制度；b)安全测试，验证系统中是否具备移动存储介质管理技术措施。10.9.5上位机终端管控本检查项包括：a)检查生产控制网上位机终端是否实施了安全管控（安全管理、接入管理等）并统一安装防病毒软件。检查要素：a)终端安全管理措施、实施了安全管控措施的终端。检查方法：a)人员访谈，询问采取了何种终端安

42、全管理措施；b)文档审查，查阅终端安全管理制度；GB/T XXXXXXXXX15c)配置核查，检查并统计终端安全管理措施部署情况。10.9.6主机和设备账号口令管理本检查项包括：a)检查上位机主机和设备中口令设置是否符合口令管理制度要求。检查要素：a)符合口令管理制度要求的主机和设备。检查方法：a)文档审查，查阅主机和设备安全检测报告；b)配置核查，检查并统计符合口令管理制度要求的主机和设备数量。10.10物理环境安全防护10.10.1机房安全建设本检查项包括：a)检查企业生产控制网机房是否按照等级保护要求落实物理安全防护。检查要素：a)按照等级保护要求落实物理安全防护的机房清单。检查方法：a

43、)文档审查，查阅等级测评报告等并统计按照等级保护要求落实物理安全防护的机房。10.11运行安全管理10.11.1日常维护本检查项包括：a)检查企业是否按照制定的规章制度、运维流程、操作规程等执行生产控制系统日常维护并有详尽记录。检查要素：a)日常运维制度、运维流程、操作规程和记录。检查方法：a)文档审查，查阅是否按照制定的规章制度、运维流程、操作规程等执行信息系统日常维护并有详尽记录。10.11.2安全审计本检查项包括：a)检查是否对网络运行日志、操作系统日志、数据库访问日志、业务应用系统运行日志、安全设备和系统运行日志等进行集中收集、定期分析。检查要素：a)日志集中收集措施、日志定期分析报告

44、。检查方法：a)文档审查，查阅是否具备集中日志定期分析报告；b)配置核查，检查是否对网络运行日志、操作系统日志、数据库访问日志、业务应用系统运行日志、安全设备和系统运行日志等进行集中收集。GB/T XXXXXXXXX1610.11.3补丁管理本检查项包括：a)检查企业是否按照补丁管理制度制定补丁升级策略，是否针对关键业务系统建立补丁升级测试环境或建立了获取已测试补丁的有效渠道。检查要素：a)补丁管理制度和记录、补丁升级策略、补丁升级测试环境或渠道。检查方法：a)文档审查，查阅是否具备补丁管理制度，是否明确补丁升级策略，查阅是否具备补丁升级记录；b)配置核查，检查是否对关键业务系统建立补丁升级测

45、试环境或建立了获取已测试补丁的有效渠道。10.11.4安全监测本检查项包括：a)检查企业是否建立安全监测系统对控制网网络流量、重要网络设备、工控系统终端、病毒木马情况、安全防护情况等进行实时监测。检查要素：a)安全监测系统、安全监测报告。检查方法：a)文档审查，查阅是否描述了安全监测系统的监测对象范围和监测内容，查阅是否具备安全监测报告；b)配置核查，检查安全监测系统的监测对象范围和监测内容。10.12应急管理10.12.1信息通报本检查项包括：a)检查企业是否建立网络与信息安全信息通报机制，按要求向监管机构通报网络和信息系统安全状况。检查要素：a)网络与信息安全信息通报机制。检查方法：a)文

46、档审查，查阅是否通过制度建立网络与信息安全信息通报机制，是否明确需要通报的内容和范围，是否落实负责人员。10.12.2应急预案制定本检查项包括：a)检查企业是否按照网络与信息安全应急预案，制定本组织网络与信息安全及专项应急预案。检查要素：a)网络与信息安全应急预案。检查方法：a)人员访谈，询问是否制定不同事件的应急预案；GB/T XXXXXXXXX17b)文档审查，查阅是否按照信息安全应急预案，制定本组织网络与信息安全应急预案，是否明确启动应急预案的条件、应急处理流程、系统恢复流程、事后教育培训和定期审核更新等方面的内容。10.12.3应急演练本检查项包括：a)检查企业是否实施年度应急演练，是

47、否有演练脚本和演练实施记录文档。检查要素：a)应急演练制度和记录。检查方法：a)文档审查，查阅是否制定应急演练制度，是否实施年度应急演练，是否有演练脚本和演练实施记录文档。10.12.4应急资源配备本检查项包括：a)检查企业是否根据信息安全工作需求，配置应急支援技术队伍并储备备机备件。检查要素：a)应急支援技术队伍与物资。检查方法：a)人员访谈，询问是否具备应急支援技术队伍，是否具备应急备机备件并能正常工作；b)文档审查，查阅应急支援技术队伍人员名单，查阅应急备机备件清单。10.12.5事故调查本检查项包括：a)检查企业是否按照行业及本单位应急预案要求，配合或组织开展事故调查。检查要素：a)事

48、故调查制度、事故调查记录或报告。检查方法：a)人员访谈，询问是否曾配合或组织开展事故调查；b)文档审查，查阅信息安全事故调查制度，查阅信息安全事故调查记录或报告是否记录引发安全事故的原因，是否记录事故调查过程。GB/T XXXXXXXXX18AA附录A（资料性附录）检查内容索引序号序号检查类检查类检查项检查项1组织体系第一责任人确立信息安全责任落实专职机构及岗位设置安全人员配置2规章制度整体策略及总体方案制定制度制定及体系完整性操作规程制定制度发布3资金保障经费预算4人员安全管理安全培训与考核保密协议签订人员审查岗位调整管控5服务外包管控外包服务协议外部人员访问管理远程服务管控现场开发管控6关

49、键信息资产管控资产管理资产维修报废管理7工业控制系统建设安全管理上线安全测评产品采购和使用核心产品采购测试8网络安全防护网络架构安全控制网边界防护网络安全审计网络冗余和容差策略远程访问移动终端安全接入9上位机主机和设备安全防护补丁更新恶意代码防护系统安全整改加固移动存储介质管理上位机终端管控主机和设备账号口令管理GB/T XXXXXXXXX19序号序号检查类检查类检查项检查项10物理环境安全防护机房安全建设11运行安全管理日常维护安全审计补丁管理安全监测12应急管理信息通报应急预案制定应急演练应急资源配备事故调查GB/T XXXXXXXXX20BB附录B（资料性附录）风险分析方法B.1定性分析

50、1）判断安全问题发生的可能性，可能性的取值范围为高、中和低；标识标识定义定义高安全问题出现的频率较高（或1 次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过；或其实现条件较容易被攻击者获得。中安全问题出现的频率中等（或1 次/半年）；或在某种情况下可能会发生；或被证实曾经发生过；或其实现条件难以被攻击者获得。低安全问题出现的频率较小；或一般不太可能发生；或没有被证实发生过；或其实现条件很难被攻击者获得。2）判断安全问题被威胁利用后，对信息系统安全造成的影响程度，影响程度取值范围为高、中和低；标识标识定义定义高如果安全问题出现，将对信息系统造成重大损害。中如果安全问题出现，将对信息