6 安全控制基線及其設計

為了給出工業控制系統概念層面上的一種安全解決方案，即構造工業控制系統的安全程序，本標準結合工業控制系統基本特征（參見附錄A），結合以往諸多工業控制系統的安全實踐，將附錄B中工業控制系統的安全控制集分為三個級別，統稱為安全控制基線，即基于工業控制系統安全風險的影響程度對安全控制的一個分級，可作為規劃工業控制系統中選擇安全控制的一個起始點。

在設計安全控制基線中，基于了以下基本假設：

a) 工業控制系統處于物理設施內；

b) 工業控制系統中的用戶數據和信息是相對長久的；

c) 工業控制系統是多用戶運行的；

d) 工業控制系統中的用戶數據和信息必須限制已授權用戶的共享；

e) 工業控制系統處于網絡化環境中；

f) 工業控制系統自然具有一些特殊目的；

g) 組織具有必要的架構、資源和基礎設施，來實現所選基線中的控制。

基線設計的這些基本假設，影響著工業控制系統安全控制的選擇，還影響著工業控制系統安全控制的評估、監視和改進。如果一個或多個前提假設是無效的，那么附錄C中所分配給該基線的一些安全控制就可能是不適用的，針對這種情況可通過應用后續章節所述的裁剪過程以及風險評估予以處理。

相應地，一些可能的情況未包含在假設內，例如：

a) 組織內存在的內部人員攻擊；

b) 工業控制系統處理、存儲或傳輸的保密數據和信息；

c) 組織內存在高級持續性攻擊（APT）；

d) 基于法律、法規、規章、制度等特殊要求的特殊保護；

e) 工業控制系統需要與其他系統進行跨安全域間通訊。

如果任何以上情況出現，就可能需要在附錄B中選擇一些附加的安全控制和控制增強，以確保準確的保護；以上情況也可通過應用后續章節所述的裁剪過程（特別是安全控制補充）和風險評估的結果，予以有效地處理。

本標準設計的安全控制基線（具體參見附錄C），可應用于以下兩種情況：

第一種情況，基于工業控制系統的安全風險評估，按風險影響程度將工業控制系統劃分為低影響系統、中影響系統和高影響系統。在這種情況下，低影響系統選擇第一級安全控制基線；中影響系統選擇第二級安全控制基線；高影響系統選擇第三級安全控制基線。

第二種情況，通過定級劃分準則（參見國標GB/T 22240-2008《信息安全技術 信息系統安全等級保護定級指南》），已將工業控制系統劃分為相應的安全等級。在這種情況下，1、2級系統選擇第一級安全控制基線；3級系統選擇第二級安全控制基線；4、5級系統選擇第三級安全控制基線。