今日头条
官方微信
官方抖音
资讯频道1 范围
GB30976.1-2014规定了工业控制系统(SCADA、DCS、PLC、PCS等)信息安全评估的目标、评估的内容、实施过程等。适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人以及评估认证机构等对工业控制系统的信息安全进行评估时使用。
2 工业控制系统信息安全概述
工业控制系统的信息安全特性取决于其设计、管理、健壮性和环境条件等各种因素。系统信息安全的评估应包括在系统生命周期内的设计开发、安装、运行维护、退出使用等各阶段与系统相关的所有活动。危险引入点是工业控制系统与非安全设备、系统和网络的接入点。危险源可能来自于工业控制系统系统外部,也可能来自于工业控制系统系统内部。安全威胁通过危险引入点并利用传播途径可能对受体造成伤害。危险后果的受体是指受到破坏时所侵害的客体,包括人员、环境和资产。
评估分为管理评估和系统能力(技术)评估。管理评估分为三个级别,分别为管理等级(management level)的ML1,ML2,ML3,由低到高分别对应低级、中级和高级。具体的评估内容见GB30976.1-2014第5章,和附录A.1。系统能力(技术)评估分为四个级别,由小到大分别对应系统能力等级(capability level)的CL1,CL2,CL3和CL4,具体的评估内容见GB30976.1-2014第6章,和附录B.1。综合管理评估和系统能力评估的结果,得到工业控制系统的评估结果,亦即信息安全等级(SL1,SL2,SL3,SL4),见表1。
表1 工业控制系统的评估结果
3 组织机构管理评估
3.1 安全方针
目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。
(1)信息安全方针文件
信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。
(2)信息安全方针的评审
应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保持续的适宜性、充分性和有效性。
3.2 信息安全组织机构
3.2.1 内部组织机构
目标:管理组织机构范围内信息安全。
(1)信息安全的管理承诺
管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织机构内的安全。
(2)信息安全协调
信息安全活动应由来自组织机构不同部门并具备相关角色和工作职责的代表进行协调。
(3)信息安全职责的分配
所有的信息安全职责应予以清晰定义。
(4)信息处理设施的授权过程
应为新的信息处理设施定义和实施一个管理授权过程。
(5)保密性协议
应识别并定期评审反映组织机构信息保护需要的保密性或不泄露协议的要求。
(6)与政府部门的联系
应保持与政府相关部门的适当联系。
(7)信息安全的独立评审
组织机构管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和规程)应按计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审。
3.2.2 外部方
目标:保持组织机构被外部方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。
(1)与外部方相关风险的识别
应识别涉及外部方业务过程中工业控制系统的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。
(2)处理与顾客有关的安全问题
应在允许顾客访问组织机构信息或资产之前处理所有确定的安全要求。
(3)处理第三方协议中的安全问题
涉及访问、处理或管理组织机构的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或服务的第三方协议,应涵盖所有相关的安全要求。
3.3 资产管理
3.3.1 对资产负责目标:实现和保持对组织机构资产的适当保护。
(1)资产清单
应清晰地识别所有资产,编制并维护所有重要资产的清单。
(2)资产责任人
与信息处理设施有关的所有信息和资产应由组织机构的指定部门或人员承担责任。
(3)资产的可接受使用
与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施。
3.3.2 信息分类
目标:确保信息受到适当级别的保护。
(1)分类指南
信息应按照其对组织机构的价值、法律要求、敏感性和关键性予以分类。
(2)信息的标记和处理
应按照组织机构所采纳的分类机制建立和实施一组合适的信息标记和处理规程。
3.4 人力资源安全
3.4.1 任用之前
目标:应确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。
(1)角色和职责
雇员、承包方人员和第三方人员的安全角色和职责应按组织机构的信息安全方针定义并形成文件。
(2)审查
关于所有任用的候选者、承包方人员和第三方人员的背景验证核查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。
(3)任用条款和条件
作为他们合同义务的一部分,雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件,这些条款和条件声明他们在组织机构中的信息安全职责。
3.4.2 任用中
确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务,并准备好在其正常工作过程中支持组织机构的安全方针,以减少人为出错的风险。
(1)管理职责
管理者应要求雇员、承包方人员和第三方人员按照组织机构已建立的方针策略和规程对安全尽心尽力。
(2)信息安全意识、教育和培训
组织机构的所有雇员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关的适当的意识培训和组织机构方针策略及规程的定期更新培训。
(3)违规处理过程
对于安全违规的雇员,应有一个正式的纪律处理过程。
3.4.3 任用的终止或变更
目标:确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织机构或改变其任用关系。
(1)终止职责任用终止或任用变更的职责应清晰地定义和分配。
(2)资产的归还
所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时应归还他们使用的所有组织机构资产。
(3)撤销访问权
所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除,或在变化时调整。
3.5 物理和环境安全
3.5.1 安全区域
目标:防止对组织机构场所和信息的未授权物理访问、损坏和干扰。
(1)物理安全周边
应使用安全周边的入口或有人管理的接待台等屏障来保护包含工业控制系统设施的区域。
(2)物理入口控制
安全区域应由适合的人员控制所保护,以确保只有授权的人员才允许访问。
(3)办公室、房间和设施的安全保护应为办公室、房间和设施设计并采取物理安全措施。
(4)外部和环境威胁的安全防护
为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏,应设计和采取物理保护措施。
(5)在安全区域工作应设计和应用用于安全区域工作的物理保护和指南。
(6)公共访问、交接区安全
访问点(例如交接区)和未授权人员可进入办公场所的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问。
3.5.2 设备安全
目标:防止设备资产的丢失、损坏、失窃或危及资产安全以及相关组织机构活动的中断。
(1)设备安置和保护
应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。
(2)支持性设施应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。
(3)布缆安全
应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。
(4)设备维护
设备应予以正确地维护,以确保其持续的可用性和完整性。
(5)组织机构场所外的设备安全
应对组织机构场所外的设备采取安全措施,要考虑工作在组织机构场所以外的不同风险。
(6)设备的安全处置或再利用
包含储存介质的设备的所有项目应进行核查,以确保在处置之前,任何敏感信息和注册软件已被删除或安全地写覆盖。
(7)资产的移动
设备、信息或软件在授权之前不应带出组织机构场所。
3.6 通信和操作管理
3.6.1 操作规程和职责目标:确保对信息处理设施进行正确、安全的操作。
(1)文件化操作规程
操作规程应形成文件,保持并对所有需要的用户可用。
(2)变更管理对信息处理设施和系统的变更应加以控制。
(3)责任划分
各类责任及职责范围应加以划分,以降低未授权或无意识的修改或不当使用组织机构资产的机会。
(4)开发、测试和运行设施分离
开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。
3.6.2 第三方服务交付管理
目标:实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。
(1)服务交付
应确保第三方实施、运行和保持包含在第三方服务协议中的安全控制措施、服务定义和交付水准。
(2)第三方服务的监视和评审
应定期监视和评审由第三方提供的服务、报告和记录,审核也应定期执行。
(3)第三方服务的变更管理应管理服务提供的变更,包括保持和改进现有的信息安全策略、规程和控制措施,并考虑到业务系统和涉及过程的关键程度及风险的再评估。
3.6.3 系统规划和验收
目标:将系统失效的风险降至最小。
(1)容量管理
资源的使用应加以监视、调整,并作出对于未来容量要求的预测,以确保拥有所需的系统性能。
(2)系统验收
应建立对新信息系统、升级及新版本的验收准则,并且在开发中和验收前对系统进行适当的测试。
3.6.4 防范恶意和移动代码
目标:保护软件和信息的完整性。
(1)控制恶意代码
应实施恶意代码的检测、预防和恢复的控制措施,以及适当地提高用户安全意识的规程。
(2)控制移动代码
当授权使用移动代码时,其配置应确保授权的移动代码按照清晰定义的安全策略运行,阻止执行未授权的移动代码。
3.6.5 备份目标:保持信息和信息处理设施的完整性及可用性。
(1)信息备份应按照已设的备份策略,定期备份和测试信息和软件。
3.6.6 网络安全管理
目标:确保网络中信息的安全性并保护支持性的基础设施。
(1)网络控制
应充分管理和控制网络,以防止威胁的发生,维护使用网络的系统和应用程序的安全,包括传输中的信息。
(2)网络服务安全
安全特性、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中。无论这些服务是由内部提供的还是外包的。
3.6.7 介质处置
目标:防止资产遭受未授权泄露、修改、移动、或销毁以及业务活动的中断。
(1)可移动介质的管理
应有适当的可移动介质的管理规程。
(2)介质的处置
不再需要的介质,应使用正式的规程可靠并安全地处置。
(3)信息处理规程
应建立信息的处理及存储规程,以防止信息的未授权的泄漏或不当使用。
(4)系统文件安全
应保护系统文件以防止未授权的访问。
3.6.8 信息的交换
目标:保持组织机构内以及与组织机构外信息和软件交换的安全。
(1)信息交换策略和规程
应有正式的交换策略、规程和控制措施,以保护通过使用各种类型通信设施的信息交换。
(2)交换协议应建立组织机构与外部方交换信息和软件的协议。
(3)运输中的物理介质
包含信息的介质在组织机构的物理边界以外运送时,应防止未授权的访问、不当使用或毁坏。
(4)电子消息发送包含在电子消息发送中的信息应给予适当的保护。
(5)业务信息系统
应建立并实施策略和规程,以保护与业务信息系统互联相关的信息。
3.6.9 监视
目标:检测未经授权的信息处理活动。
(1)审计记录
应产生记录用户活动、异常情况和信息安全事态的审计日志,并保持一个已设的周期以支持将来的调查和访问控制监视。
(2)监视系统的使用
应建立信息处理设施的监视使用规程,并经常评审监视活动的结果。
(3)日志信息的保护
记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问。
(4)管理员和操作员日志系统管理员和系统操作员的活动应记入日志。
(5)故障日志故障应被记录、分析,并采取适当的措施。
(6)时钟同步
一个组织机构或安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。
3.7 访问控制
3.7.1 访问控制的业务要求
目标:控制对信息的访问。
(1)访问控制策略
访问控制策略应建立、形成文件,并基于业务和访问的安全要求进行评审。
3.7.2 用户访问管理
目标:确保授权用户访问信息系统,并防止未授权的访问。
(1)用户注册
应有正式的用户注册及注销规程,来授权和撤销对所有信息系统及服务的访问。
(2)特殊权限管理
应限制和控制特殊权限的分配及使用。
(3)用户口令管理
应通过正式的管理过程控制口令的分配。
(4)用户访问权的复查
管理者应定期使用正式过程对用户的访问权进行复查。
3.7.3 用户职责
目标:防止未授权用户对信息和信息处理设施的访问、损害或窃取。
(1)口令使用
应要求用户在选择及使用口令时,遵循良好的安全习惯。
(2)无人值守的用户设备用户应确保无人值守的用户设备有适当的保护。
(3)清空桌面和屏幕策略
应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略。
3.7.4 网络访问控制
目标:防止对网络服务的未授权访问。
(1)网络服务的策略用户应仅能访问已获专门授权使用的服务。
(2)外部连接的用户鉴别应使用适当的鉴别方法以控制远程用户的访问。
(3)网络上的设备标识
应考虑自动设备标识,将其作为鉴别特定位置和设备连接的方法。
(4)远程诊断和配置端口的保护对于诊断和配置端口的物理和逻辑访问应加以控制。
(5)网络隔离应在网络中隔离信息服务、用户及信息系统。
(6)网络连接控制对于共享的网络,特别是越过组织机构边界的网络,用户的联网能力应按照访问控制策略和业务应用要求加以限制。
(7)网络路由控制
应在网络中实施路由控制,以确保计算机连接和信息流不违反业务应用的访问控制策略。
3.7.5 操作系统访问控制
目标:防止对操作系统的未授权访问。
(1)安全登录规程访问操作系统应通过安全登录规程加以控制。
(2)用户标识和鉴别
所有用户应有唯一的,专供其个人使用的标识符(用户ID),选择一种适当的鉴别技术证实用户所宣称的身份。
(3)口令管理系统口令管理系统宜是交互式的,并应确保优质的口令。
(4)系统实用工具的使用
对于可能超越系统和应用程序控制措施的实用工具的使用应加以限制并严格控制。
(5)会话超时不活动会话应在一个设定的休止期后关闭。
(6)联机时间的限定
应使用联机时间的限制,为高风险应用程序提供额外的安全。
3.7.6 应用和信息访问控制目标:防止对应用系统中信息的未授权访问。
(1)信息访问限制
用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制。
(2)敏感系统隔离敏感系统应有专用的(隔离的)运算环境。
3.7.7 移动计算和远程工作
目标:确保使用移动计算和远程工作设施时的信息安全。
(1)移动计算和通信
应有正式策略并且采用适当的安全措施,以防范使用移动计算和通信设施时所造成的风险。
(2)远程工作
应为远程工作活动开发和实施策略、操作计划和规程。
3.8 信息系统获取、开发和维护
3.8.1 信息系统的安全要求目标:确保安全是信息系统的一个有机组成部分。
(1)安全要求分析和说明
在新的信息系统或增强已有信息系统的业务要求陈述中,应规定对安全控制措施的要求。
3.8.2 应用中的正确处理
目标:防止应用系统中的信息的差错、遗失、未授权的修改或误用。
(1)输入数据确认
应对输入应用系统的数据加以确认,以确保数据是正确且恰当的。
(2)内部处理的控制
确认核查应整合到应用中,以检验由于处理的差错或故意的行为造成的信息的任何讹误。
(3)消息完整性
应用中确保真实性和保护消息完整性的要求应得到识别,适当的控制措施也应得到识别并实施。
(4)输出数据确认
从应用系统输出的数据应加以确认,以确保对所存储信息的处理是正确的且适于环境的。
3.8.3 密码控制
目标:通过密码方法保护信息的保密性、真实性或完整性。
(1)使用密码控制的策略应开发和实施使用密码控制措施来保护信息的策略。
(2)密钥管理应有密钥管理以支持组织机构使用密码技术。
3.8.4 系统文件的安全
目标:确保系统文件的安全。
(1)运行软件的控制
应有规程来控制在运行系统上安装软件。
(2)系统测试数据的保护测试数据应认真地加以选择、保护和控制。
(3)对程序源代码的访问控制
应限制访问程序源代码。
3.8.5 开发和支持过程中的安全
目标:维护应用软件和信息的安全。
(1)变更控制规程应使用正式的变更控制规程来控制变更的实施。
(2)操作系统变更后应用的技术评审
当操作系统发生变更时,应对业务的关键应用进行评审和测试,以确保对组织机构的运行和安全没有负面影响。
(3)软件包变更的限制应对软件包的修改进行劝阻,只限于必要的变更,且对所有的变更加以严格控制。
(4)信息泄露
应防止信息泄露的可能性。
(5)外包软件开发
组织机构应管理和监视外包软件的开发。
3.8.6 技术脆弱性管理目标:降低利用公布的技术脆弱性导致的风险。
(1)技术脆弱性的控制
应及时得到现用信息系统技术脆弱性的信息,评价组织机构对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险。
3.9 信息安全事件管理
3.9.1 报告信息安全事态和弱点
目标:确保与信息系统有关的信息安全事态和弱点能够以某种方式传达,以便及时采取纠正措施。
(1)报告信息安全事态
信息安全事态应尽可能快地通过适当的管理渠道进行报告。
(2)报告安全弱点
应要求信息系统和服务的所有雇员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。
3.9.2 信息安全事件和改进的管理
目标:确保采用一致和有效的方法对信息安全事件进行管理。
(1)职责和规程
应建立管理职责和规程,以确保快速、有效和有序地响应信息安全事件。
(2)对信息安全事件的总结
应有一套机制量化和监视信息安全事件的类型、数量和代价。
(3)证据的收集
当一个信息安全事件涉及诉讼(民事的或刑事的),需要进一步对个人或组织机构进行起诉时,应收集、保留和呈递证据,以使其符合相关管辖区域对证据的要求。
3.10 业务连续性管理
3.10.1 业务连续性管理的信息安全方面
目标:防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保他们的及时恢复。
(1)在业务连续性管理过程中包含信息安全应为贯穿于组织机构的业务连续性开发和保持一个管理过程,以解决组织机构的业务连续性所需的信息安全要求。
(2)业务连续性和风险评估
应识别能引起业务过程中断的事态,连同这种中断发生的概率和影响,以及他们对信息安全所造成的后果。
(3)制定和实施包含信息安全的连续性计划
应制定和实施计划来保持或恢复运行,以在关键业务过程中断或失败后能够在要求的水平和时间内确保信息的可用性。
(4)业务连续性计划框架
应保持一个唯一的业务连续性计划框架,以确保所有计划是一致的,能够协调地解决信息安全要求,并为测试和维护确定优先级。
(5)测试、维护和再评估业务连续性计划
业务连续性计划应定期测试和更新,以确保其及时性和有效性。
3.11 符合性
3.11.1 符合法律要求
目标:避免违反任何法律、法令、法规或合同义务以及任何安全要求。
(1)可用法律的识别
对每一个信息系统和组织机构而言,所有相关的法令、法规和合同要求,以及为满足这些要求组织机构所采用的方法,应加以明确地定义、形成文件并保持更新。
(2)知识产权(IPR)
应实施适当的规程,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同的要求。
(3)保护组织机构的记录
应防止重要的记录的遗失、毁坏和伪造,以满足法令、法规、合同和业务的要求。
(4)数据保护和个人信息的隐私
应依照相关的法律、法规和合同条款的要求,确保数据保护和隐私。
(5)防止滥用信息处理设施应禁止用户使用信息处理设施用于未授权的目的。
(6)密码控制措施的规则使用密码控制措施应遵从相关的协议、法律和法规。
3.11.2 符合安全策略和标准以及技术符合性目标:确保系统符合组织机构的安全策略及标准
(1)符合安全策略和标准管理人员应确保在其职责范围内的所有安全规程被正确地执行,以确保符合安全策略及标准。
(2)技术符合性核查信息系统应被定期核查是否符合安全实施标准。
3.11.3 信息系统审计考虑
目标:将信息系统审计过程中的有效性最大化,干扰最小化。
(1)信息系统审计控制措施
涉及对运行系统核查的审计要求活动,应谨慎地加以规划并取得批准,以便最小化造成业务过程中断的风险。
(2)信息系统审计工具的保护
对于信息系统审计工具的访问应加以保护,以防止任何可能的滥用或损害。
4 系统能力(技术)评估
4.1 计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审
(1)基本要求(FR)和系统要求(SR)的说明
系统能力的评估基于基本要求FR(Foundational requirement),每一项基本要求又分为若干个系统要求SR(System requirement),其中有些系统要求还包含了增强要求RE(Requirement enhancement)。其与能力等级CL(Capabilitylevel)的映射见标准的附录B。
FR1:标识和认证。是所有用户(人、软件进程和设备)在被允许访问控制系统之前,对他们进行标识和认证。
FR2:使用控制,是指为已认证用户(人、软件进程或设备)分配特权以执行所请求的操作,并对这些特权的使用进行监视。
FR3:系统完整性,是指确保工业控制系统完整性,以防止未经授权的操纵。
FR4:数据保密性,是指确保通信信道和数据仓库的信息的保密性,防止未授权泄露。
FR5:限制的数据流,是指利用区域和管道对控制系统分区,来限制不必要的数据流。
FR6:对事件的及时响应,是指当事故发生时,通过以下方式对安全违背进行响应:通知适当的权威、报告所需证据、采取及时的纠正行动。
FR7:资源可用性,是指确保控制系统的可用性,防止拒绝基本服务。
(2)系统能力等级(CL)的说明
·能力等级CL1 :提供机制保护控制系统防范偶然的、轻度的攻击。
·能力等级CL2 :提供机制保护控制系统防范有意的、利用较少资源和一般技术的简单手段可能达到较小破坏后果的攻击。
·能力等级CL3 :提供机制保护控制系统防范恶意的、利用中等资源、ICS特殊技术的复杂手段的可能达到较大破坏后果的攻击。
·能力等级CL4:提供机制保护控制系统防范恶意的、使用扩展资源、ICS特殊技术的复杂手段与工具可能达到重大破坏后果的攻击。
4.2 FR 1:标识和认证控制
4.2.1 SR 1.1 用户(人)的标识和认证提供标识和认证所有用户(人)的能力。还包括:
(1)SR 1.1 RE(1):唯一标识和认证;
(2)SR 1.1 RE(2):非可信网络的多因子认证;
(3)SR 1.1 RE(3):对所有网络的多因子认证。
4.2.2 SR 1.2 软件进程和设备的标识和认证
提供标识和认证所有用户(软件进程和设备)的能力。还包括:
(1)SR 1.2 RE(1):唯一标识和认证。
4.2.3 SR 1.3:账号管理
提供对所有账号的管理,包括创建、激活、修改、禁用和移除账号的能力。还包括:
(1)SR 1.3 RE(1):统一的账号管理。
4.2.4 SR 1.4:标识符管理
提供按照用户、组、角色和/或控制系统接口管理标识符(例如用户ID)的能力。
4.2.5 SR 1.5:认证码管理
提供:定义初始的认证码内容;控制系统安装后改变默认认证码等能力。还包括:
(1)SR 1.5 RE(1):软件进程标识凭证的硬件安全。
4.2.6 SR 1.6:无线访问管理
对参与无线通信的所有的用户(人、软件进程或设备),控制系统应提供标识和认证的能力。还包括:
(1)SR 1.6 RE(1):唯一标识和认证。
4.2.7 SR 1.7:口令认证的加强
对于使用口令认证的控制系统,控制系统应提供能力,实施可配置的基于最小长度和不同字符类型的口令强度。还包括:
(1)SR 1.7 RE(1):对用户(人)的口令生成和口令有效期的限制;
(2)SR 1.7 RE(2):对所有用户的口令有效期的限制。
4.2.8 SR 1.8:公钥基础设施证书
当使用公钥基础设施PKI时,控制系统应提供能力按照普遍接受的最佳实践运行PKI或从现有PKI中获取公钥证书。
4.2.9 SR 1.9:公钥认证的加强
对于使用公钥认证的控制系统,控制系统应提供:通过检查给定证书的签名的有效性来证实证书;通过建立证书路径到可接受的证书认证机构(CA)证实证书等能力。还包括:
(1)SR 1.9 RE(1):公钥认证的硬件安全。
4.2.10 SR 1.10:认证反馈
在认证过程中,控制系统应提供将认证信息的反馈模糊化的能力。
4.2.11 SR 1.11:失败的登录尝试
提供能力,对任何用户(人、软件进程和设备)在可配置的时间周期内连续无效访问尝试的次数限制为一个可配置的数目。
4.2.12 SR 1.12:系统使用通知
有能力在认证之前,显示可配置的系统使用通知消息。
4.2.13 SR 1.13:经由非可信网络的访问
还包括:
(1)SR 1.13 RE(1)明确的对访问请求的批准。
4.3 FR 2:使用控制
4.3.1 SR 2.1:授权的执行
在所有接口上,控制系统应提供能力执行分配给所有用户(人)的授权,按照职责分离和最小特权来控制对控制系统的使用。
4.3.2 SR 2.2:无线使用控制
提供能力,对控制系统的无线连接应依据普遍接受的安全工业实践进行授权、监视和限制使用。还包括:
(1)SR 2.2 RE(1):对未授权的无线设备进行识别和报告。
4.3.3 SR 2.3:对便携和移动设备的使用控制
对于便携和移动设备,提供自动实施可配置的使用限制的能力。还包括:
(1)SR 2.3 RE(1):便携和移动设备的安全状态的实施。
4.3.4 SR 2.4:移动代码
提供移动代码技术的使用进行限制包括对移动代码的使用进行监视。还包括:
(1)SR 2.4 RE(1):移动代码的完整性检查。
4.3.5 SR 2.5:会话锁
启用会话锁防止其进一步的访问,会话锁应保持有效直到用户(人)或被授权的主管人员使用适当的标识和认证规程重新建立访问。
4.3.6 SR 2.6:远程会话终止
提供在可配置的不活跃时间周期后自动终止远程会话或由发起会话的用户手动终止远程会话的能力。
4.3.7 SR 2.7:并发会话控制
对任意给定用户(人、软件进程或设备),控制系统应提供将每个接口的并发会话的数目限制为一个可配置的数目的能力。
4.3.8 SR 2.8:可审计的事件
提供访问控制、请求错误、系统事件、备份和存储事件等能力。还包括:
(1)SR 2.8 RE(1) :中央管理的、系统范围的审计跟踪。
4.3.9 SR 2.9:审计存储容量
根据日志管理和系统配置普遍认可的推荐值来分配足够的审计记录存储容量。还包括:
(1)SR 2.9 RE(1):达到审计记录存储容量上限时发出警告。
4.3.10 SR 2.10:对审计流程失败时的响应验证控制系统能对审计流程失败提供适当的响应。
4.3.11 SR 2.11:时间戳
提供时间戳用于生成审计记录。还包括:
(1)SR 2.11 RE(1):内部时间同步;
(2)SR 2.11 RE(2):时间源的完整性的保护。
4.3.12 SR 2.12:不可否认性
提供对给定用户(人)是否实施了某个特定行为进行判定的能力。还包括:
(1)SR 2.12 RE(1):所有用户的不可否认性。
4.4 FR 3:系统完整性
4.4.1 SR 3.1:通信完整性
保护传输的信息的完整性。还包括:
(1)SR 3.1 RE(1):基于密码技术的完整性保护。
4.4.2 SR 3.2:恶意代码的防护
应提供能力,采用防护机制来防止、检测、报告和消减恶意代码或非授权软件的影响。还包括:
(1)SR 3.2 RE(1):在入口和出口点防护恶意代码;
(2)SR 3.2 RE(2): 恶意代码防护的中央管理和报告。
4.4.3 SR 3.3:安全功能验证
应提供能力,验证安全功能的预期操作,并在工厂验收测试FAT、现场验收测试SAT和预定维护中发现异常时进行报告。还包括:
(1)SR 3.3 RE(1):安全功能验证的自动化机制;
(2)SR 3.3 RE(2):正常运行中的安全功能验证。
4.4.4 SR 3.4:软件和信息完整性
应提供能力检测、记录和保护软件和信息不受未经授权的变更。还包括:
(1)SR 3.4 RE(1):对破坏完整性进行自动通知。
4.4.5 SR 3.5:输入验证
应验证任何输入的语法和内容,这些输入是作为工业过程控制输入或直接影响控制系统行为的输入。
4.4.6 SR 3.6:确定性的输出
提供能力,在遭受攻击无法保持正常运行时能够将输出设为预先定义的状态。
4.4.7 SR 3.7:错误处理
识别和处理错误条件的方式应能够实施有效的补救,这一方式不能提供可能被敌人利用来攻击工业控制系统ICS的信息,除非泄露这一信息对于及时发现并修理问题是必须的。
4.4.8 SR 3.8:会话完整性提供保护通信会话完整性的机制。还包括:
(1)SR 3.8 RE(1):会话终止后会话ID的失效;
(2)SR 3.8 RE(2):唯一会话ID的产生和承认;
(3)SR 3.8 RE(3):会话ID的随机性。
4.4.9 SR 3.9:审计信息的保护
保护审计信息和审计工具不被未授权的访问、修改和删除。还包括:
(1)SR 3.9 RE(1):一次性写入介质上的审计记录。
4.5 FR 4:数据保密性
4.5.1 SR 4.1:信息保密性
提供能力,对有读授权的信息在静态和传输中进行保密性保护。还包括:
(1)SR 4.1 RE(1):静态和经由不可信网络传输的数据的保密性保护;
(2)SR 4.1 RE(2):区域边界的机密性保护。
4.5.2 SR 4.2:信息存留
提供退役能力,清除被在用服务所释放的元器件中所有与安全相关的资料。还包括:
(1)SR 4.2 RE (1):共享内存资源的清除
4.5.3 SR 4.3:密码的使用
如果需要密码,控制系统应根据普遍接受的工业实践和推荐来使用密码算法、密钥长度以及密钥创建和管理机制。
4.6 FR 5:限制的数据流
4.6.1 SR 5.1:网络分区
提供能力将控制系统网络与非控制系统网络进行逻辑分区。还包括:
(1)SR 5.1 RE(1):物理网络分区;
(2)SR 5.1 RE(2):与非控制系统网络的独立性;
(3)SR 5.1 RE(3):关键网络的逻辑和物理隔离。
4.6.2 SR 5.2:区域边界防护提供监视和控制区域边界通信的能力。还包括:
(1)SR 5.2 RE(1):默认拒绝,例外允许;
(2)SR 5.2 RE(2):孤岛模型;
(3)SR 5.2 RE(3):故障关闭。
4.6.3 SR 5.3:一般目的的个人间通信的限制
提供能力防止一般目的的个人间通信消息被控制系统外部的用户或系统接收到。还包括:
(1)SR 5.3 RE(1):禁止一般目的的个人间通信。
4.6.4 SR 5.4:应用分离
基于实现分区模型的关键程度提供对数据、应用和服务进行分离的能力。
4.7 FR 6:对事件的及时响应
4.7.1 SR 6.1:审计日志的可访问性
为已授权的人和/或工具提供访问审计日志的能力。还包括:
(1)SR 6.1 RE(1):对审计日志的编程式访问。
4.7.2 SR 6.2:持续监视
使用普遍接受的安全工业实践和推荐来提供持续监视所有安全机制的性能的能力。
4.8 FR 7:资源可用性
4.8.1 SR 7.1:拒绝服务的防护
在拒绝服务攻击事件发生期间,控制系统应提供以降级模式运行的能力。还包括:
(1)SR 7.1 RE(1):管理通信负荷;
(2)SR 7.1 RE(2): 限制拒绝服务攻击对其他系统和网络的影响。
4.8.2 SR 7.2:资源管理提供能力安全功能对资源的使用,防止资源耗尽。
4.8.3 SR 7.3:控制系统备份在不影响正常工厂运行情况下,支持识别和定位关键文件,并有能力执行用户级和系统级备份(包含系统状态信息)。还包括:
(1)SR 7.3 RE(1):备份验证;
(2)SR 7.3 RE(2):备份自动化。
4.8.4 SR 7.4:控制系统恢复和重构
当中断或故障后,控制系统应提供恢复和重构到已知的安全状态的能力。
4.8.5 SR 7.5:紧急电源
在不影响现有安全状态条件下提供与紧急电源之间进行切换的能力。
4.8.6 SR 7.6:网络和安全配置设置
按照控制系统提供商规定的指南中描述的推荐网络和安全配置进行配置。控制系统应提供与现有部署网络和安全配置设置之间的一个接口。还包括:
(1)SR 7.6 RE(1):对当前安全设置的机器可读的报告。
4.8.7 SR 7.7:最小功能化
提供必要的能力,明确禁止和/或限制对非必要的功能、端口、协议和/或服务的使用。
4.8.8 SR 7.8:控制系统元器件清单
提供报告当前已安装的元器件及其关联属性的列表的能力。
5 评估程序和评估报告
评估工作过程包括确定评估目标、制定评估计划、评估的实施以及编写评估报告等内容。
评估的方法主要包括:(1)基于场景和基于资产的风险评估;(2)高层次风险评估;(3)详细风险评估;(4)定性和定量风险评估等。
工业控制系统生命周期包括了:规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段等。
评估报告至少应包含负责评估或评定的机构和/或人员的资质;如果是为了系统的特定应用而进行评估,则过程的类型,输入输出的类型和数量要求的扫描速率,系统的使命任务和功能等应用特征都应包括在内等。
更详细内容见GB/T30976.1-2014。
作者简介
王玉敏(1971-),女,河北人,教授级高工,硕士研究生,现就职于机械工业仪器仪表综合技术经济研究所,主要研究方向是工业控制系统信息安全。
摘自《工业控制系统信息安全专刊(第二辑)》
北京市公安局海淀分局备案号:11010802023656号