《信息安全技术工业控制系统信息安全防护能力成熟度模型》国家标准解读.pdf

48Column专栏·工业信息安全 可 关注工业安全产业联盟 请扫二维码 《信息安全技术工业控制系统信息安全 防护能力成熟度模型》国家标准解读 National Standard Interpretation of Information Security Technology Industrial Control System Information Security Protection Capability Maturity Model ★中国电子技术标准化研究院姚相振，赵梓桐，周睿康，李琳 摘要：为指导我国工业企业持续开展工业控制系统信息安全（以下简 穷，传统的安全防护策略已难以有效应对日趋多元化的 称：工控安全）领域综合防护能力提升，科学评价其安全防护能力水 网络安全威胁。一是控制系统互联趋势明显，安全防护 平，中国电子技术标准化研究院联合产学研用共41家组织机构，历时多 面临新挑战。随着工业智能设备的部署和应用日趋广 年研制发布《信息安全技术工业控制系统信息安全防护能力成熟度模 型》（GB/T41400-2022，以下简称：《成熟度模型》），从技术手段、 泛，越来越多的工业控制系统和产品采用通用协议、硬 管理制度、组织建设、人员能力等方面构建5级成熟度模型，支撑国家工 件及软件，以各种方式接入互联网等公共网络。网络互 控安全保障体系建设。 联导致潜在攻击路径不断增多，漏洞、病毒等安全威 关键词：工业控制系统；信息安全；成熟度模型 Abstract: In order to guide Chinas industrial enterprises to continue 胁不断向工业控制系统扩散蔓延。二是工业漏洞居高 to carry out the comprehensive protection capability improvement in 不下，高危风险占比较大。由于传统工业环境相对封闭 the field of industrial control system information security (hereinafter 可信，大多数存量工控系统安全设计考虑不足，安全技 referred to as industrial control security) and scientifically evaluate the 术融合应用深度不够，工业软硬件本身存在大量安全漏 level of their security protection capabilities, led by the China Electronics Technology Standardization Institute, joint industry, education and 洞，易被攻击者利用。同时，据2021年美国工控系统网 research and other 41 organizations, which lasted for many years, 络应急响应小组（ICS-CERT）公布的389个工控安全漏 drawing on advanced experience at home and abroad, developed 洞分析显示，其中77%由于涉及范围广、影响程度深、 and released the nformation Security Technology Industrial Control 安全危害大被认定为高危漏洞，驱需引起高度重视。三 System Information Security Protection Capability Maturity Model