《GB_T 42445-2023 工业自动化和控制系统安全 IACS环境下的补丁管理.docx》由会员分享,可在线阅读,更多相关《GB_T 42445-2023 工业自动化和控制系统安全 IACS环境下的补丁管理.docx(32页珍藏版)》请在优知文库上搜索。
1、本文件按照GB,T1.1-20204标准化工作导则第1部分:标准化文件的结构和起草规则?的规定起草,木文件等同采用IECTR62VI3-2-3:2015工业自动化和控制系统安全第2-3部分:IRCS环境下的补丁管Fo。文件类型由IEC的技术报告调整为我国的国家标准.本文件做了下列岐小限位的编辑性改动:一一为与现有标准协调,将标准名称改为工业自动化和控制系统安全IACS环境下的补丁管m。本文件由中国机械工业联合会提出.本文件由由全国工业过程测质控制和自动化标准化技术委员会(SACC124)归I.本文件起草单位:东方电气集团科学技术研究院有限公司、机械工业仪器仪表绘合技术经济研究所、电力规划总院行
2、限公E、施耐德电气(中国)有限公司、西门子(中国)有限公F、北京四方继保自动化股份有限公司、北京国能智深控制技术有限公司、华北电力大学、取庆信安网络安全等级测评有限公司、国电投芜湖发电有限责任公司、中国石油天然气股份有限公司塔里木油田分公司、重庆邮电大学、西南大学、中国科学院沈阳自动化研究所、华中科技大学、中国电子科技巢团公司第三十研究所、上海工业自动化仪表研究院有限公司、工业和信息化部电子第五研究所、国家工业信息安全发展研究中心、岁克韦尔(上海)有限公司、上海电器科学研究所(集团)有限公司、和利时科技集团有限公司、工业和信息化部计灯机与微电子发展研究中心(中国软件测评中心)、西安空向无线电技
3、术研究所,本文件主要起隼人;捌思f、31.Ktft,尚羽佳、张晋宾、王勇、闫韬、杜振华、朱镜灵、龚钢军、冏彦眸、程家荣、杨其展、魏旻、刘枫、赵剑明、周纯杰、兰昆、刘薮芳、刘杰、赵冉、高翎机任悦、刘盈、郭永振、王娴、期、王英、蹈觎、例、倩、张练窗生王佳、MIMk砌,IEC62443是应用于工业自动化和控制系统安全的系列国际标准.目前我国已采用该系列标准发布了GBfT33007-2016工业通信网络网络和系统安全建立工业自动化和控制系统安全程序9(IEC62443-2-1:201.0.IDT),GBT3567320174J1.业通信网络网络和系统安全系统安全要求和安全等级B(1EC62443-3-
4、3:2013JDT)、GBT402112021工业通信网络网络和系统安全术语、概述和模型3UEC62443-1-k2009,IDT)xGB,T40218202IE工业通信网络网络和系统安全工业自动化和控制系统信息安全技术MaECTR62443-3-1:2009.21)、GBT4()6822021工业自动化和捽制系统刈络安全第27部分;IACS限务提供商的安全程序要求(1EC6244324:2015JDT)和本文件,这些标准共同构成应用于工业白动化和控制系统安全的系列国家标准.网络安全晁现代组织中的一个H益型要的话遨.许多信息技术(IT)和商业组织多年来一直持续关注网络安全,并按国际标准化殂织(
5、ISo)和国际电工委员会(IEQ的ISOIEC27001和ISO1IEC27002米建立信息安全管理系统(ISMS).这些管理系统为组织提供/一个保护其资产免受网络攻击的方法.目前,工业自动化和控制系统(IACS)供应商和所有者在其日常活动中使用为商业系统开发的商用现成(COTS)技术,由于COTS系统被更广泛地了解和使用,它在IACS中的应用也提高了IACS设备受到网络攻击的扒会。对于IACS安全新的研究也发现了许多设备的脆弱点.时工业系统的成功攻击可能导致健康、安全和环境(HSE)后果.组织可能在不了解后果的情况卜,宏试使用商业网络安全策略来解决IACS的安全,虽然其中的许多解决方案可以应
6、用于IACS.但它们需要以正确的方式应用以消除意外的后果.本文件解决了IACS网络安全的补丁管理问时.补丁管理是一个网络安全整体策略的部分.它通过安装补丁来增加惮络安全性,其中补丁也被称为软件更新、软件升级、固件升级、服务包修补程序.域本输入输出系统(BIOS)更新以及其他可解决缺陷、可操作性、可他性和网络安全脆弱性的数字电子程序更新,本文件介绍了资产所有者和IACS产品供应商对于IACS补J,管理方面的许多问题和行业关注点,以及不良的补丁管理对IACS的可拳性和/或可操作性的影响。工业自动化和控制系统安全IACS环境下的补丁管理19本文件描述/对已经建立并正在维护工业自动化和控制系统(IAC
7、5补丁管理计划的资产所在者和【ACS产品供附商的要求.木文件推荐了一种定义好的格式,涉及资产所有者和IMS产品供应商分发安全补丁信息,并定义了IACS产品供应商对于补丁信息的开发和资产所有苕对于补丁的部部和安装等一些相关活动.所定义的交换格式和活动主要用于安全相关的补丁,交换格式和活动被定义用于安全相关的补丁,但也可能应用于与安全无关的补丁或更新。本文件不区分为操作系统(OS)、应用程序或设备补丁,也不区分提供基础架构祖件域IACS应用程序的产品供应商,而是为适用于IACS的所有补丁提供指导.此外,补丁类型可以是用于解决法陷、可弗性问题、可操作性问鹿或安全脆弱性。注1:发螂陶影响IAcS的安全
8、脆就版本文件范I眨外的一例响题,本文件不IS供这面的道斜傩和处理方法的指导,如果1布特殊说明,本文科中的“安全”碗指“信息安全”.注2沐文件幽j提佻从发现腌弱性到创建弼tfc补丁期间如何接娜溺性的指*战轻安包侬的多种补留含施是1.AcS安全管理体系(IAe/MS的部分,若需要这方面内容的指导.请参阅本文件附录B的B.45、B.4j6和B.8.5以及IEC62443系列标准的其他剖分.2粕范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文f1.仅该日期时应的板本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于木文件。IECTS6
9、2443.1-1工业通信网络网络和系统安全笫IT部分;术语、概会和模型(IndUSUmunicationnetworksNetworkandsystemsecurityPart1-1:Tcrmino1.ogy.conceptsandmci-c1.s)注:GBT4O21120211:业通信网络网络和系统安全术语、概念和模型(IECTS6244,1.I:3WJDT)IEC62143-2-1工业通信网络网络和系统安全第2-1部分:建立工业白动化和控制系统安全ft(ImunicationnetworksNctworiiandsystemsecurity-Pan2-1:ESuIbIishinganind
10、ustria1.automationandcontro1.systemsecurityprogram)注:GB.T33007工业通信网络网络和系统安企建立工业白动化和控制系统安全程序”EC6%4321.:2010JDT)3和秋、3.1 #f1.w11xIECTS62443-1-1和IEC62443-2-1界定的以及下列术语和定义适用于本文件.ICS-CHRT:美国工业控制系统网络应急响应小组U1.SMISIndustria1.Contro1.SystemsCyberEmergencyResponseTeam)IACS:工业自动化与控制系统(Industria1.autmtionandContr
11、OIsystem(三)ICS-SMSJCS安全管理系统(IACSsecuritymanagementsystem)IDS:入侵检测系统(IrnrUSiOndetectionSySIen)IEC:国际电工委员会(IrHCrnadOna1.E1.cccro-technica1.Commission)IP:因特网协议(Intern&protoco1.)IPS:入侵防护系统(In1.rUSionpreventionsystem)ISA:国际自动化学会(IntCrnationa1.SocietyofAutomation)ISMS:信息安全管理系统(加forma1.icnsecuritynuinageme
12、ntSySten1.)ISC):国际标准化组织(Intcnia1.ionMOrganizationforStandardization)IT:信息技术(Info11na1.iontechno1.ogy)KPI:关键绩效指标(Keyerfo11nanceindicator)M1.)5:消息摘要息决5(MCSSagCdigest5)MES:制造执行系统(ManUIaCUIringexecutionsystem)MESA:国际制造企业解决方案协会(MamIfMUIringEn1.crpriscSo1.utionsAssociationInternationa1.)MSMUG:微软制造用户组(MiCr
13、oSOfiManufacturingUsersGroup)NERC:北美电力可靠性委员会(NorIhAmericanE1.ectricRe1.iabi1.ityCoiponition)NISCC:美国国家基础设fife安全协调中心(USNaiiona1.InfrastruciureSecurityCo-ordinationCentre)NSA:美国国家安全局(USNtiOna1.SecurityAgency)OAGIS:开放应用组处成规范(OPenApp1.icationsGroupIntegrationSpecification)OEM:原始设备制造商(Origina1.eqipncn1.m
14、anufacturer)3:操作系统(OPeratingsystem)P1.C:可编程麓轿控制器(PreRranInab1.e1.ogiccontro1.1.er)RACI:负责的、批准的、咨询的、知情的(ReSPOnSib1.JUXQuntab1.uconsuhcdjnfonncd)R.ID:独、碳盘冗余阵列(RedUndan1.arrayofindependentdisks)RASC1.:负货的、批准的、支持的、咨询的、知情的(ReSponSib1.e然COUmab1.e.supportive,consu1.tedandinformed)RTU:远程终端单元(Rcmo1.ctermina1
15、.unit)SAT:现场验收测试(Si1.eacceptancetesting)SHA:安全哈希算法(SaUIrhasha1.gorithm)SIS:安全仪表系统(SaretyinStrUn)PrHedsystem)SMTP:简单怖件传输协议(SimPI。Mii1TransferProtoco1.)SPX:)t序包交换(SeqUenCOdpacketexchtinge)SQ1.:结内化ff询语言(SIrUcIUrCdquery1.anguage)SuC:考虑中的系统(SySIemunderconsideration)TC:技术委员会(TeChniCmittee)UN:联合国(UnitedNations)UN/CEFACT:联合国贸易便利和电f商务统资源标识符中心(UniICdNationsCentreforTradeFaci1.itationandEIeCIroniCBusinessUnifomtresourceidentifier)USB:通川串行总践(UniYerSaIseria1.bus)IS-CERT:美国计算机应急准备小组(UnitedStatesCQBPuterEmergencyReadinessTeam)VPC:供应商补丁兼容性(VendOrpatchCCXrPatibiIity)WAN:广域网(WidCareanc(wo
免费区 