《信息安全技术工业控制系统安全控制应用指南(GB-T 32919-2016).pdf》由会员分享,可在线阅读,更多相关《信息安全技术工业控制系统安全控制应用指南(GB-T 32919-2016).pdf(115页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX信息安全技术工业控制系统安全控制应用指南Information security technology-Application Guide to industrial control System Security Control点击此处添加与国际标准一致性程度的标识(报批稿)2015 年 11 月XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.VII引言.VIII1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.25
2、安全控制概述.46 安全控制基线及其设计.67 安全控制选择与规约.77.1 选择与规约概述.77.2 安全控制选择.87.3 安全控制裁剪.87.3.1 裁剪过程.87.3.2 界定范围的指导.87.3.3 安全控制补偿.107.3.4 安全控制参数赋值.107.4 安全控制补充.117.5 建立安全控制决策文档.128 安全控制选择过程应用.13附录A(资料性附录)工业控制系统面临的安全风险.14A.1 工业控制系统与传统信息系统对比.14A.2 信息系统安全威胁与防护措施对工业控制系统的影响.15A.3 工业控制系统面临的威胁.16A.4 工业控制系统脆弱性分析.17A.4.1 策略和规
3、程脆弱性.17A.4.2 网络脆弱性.18A.4.3 平台脆弱性.19附录B(资料性附录)工业控制系统安全控制列表.22B.1 规划(PL).22B.1.1 安全规划策略和规程(PL-1).22B.1.2 系统安全规划(PL-2).22B.1.3 行为规则(PL-3).23B.1.4 信息安全架构(PL-4).23B.1.5 安全活动规划(PL-5).24B.2 安全评估与授权(CA).24B.2.1 安全评估与授权策略和规程(CA-1).24B.2.2 安全评估(CA-2).24GB/T XXXXXXXXXIIB.2.3 ICS 连接管理(CA-3).26B.2.4 实施计划(CA-4).2
4、6B.2.5 安全授权(CA-5).27B.2.6 持续监控(CA-6).27B.2.7 渗透测试(CA-7).28B.2.8 内部连接(CA-8).28B.3 风险评估(RA).28B.3.1 风险评估策略和规程(RA-1).28B.3.2 安全分类(RA-2).29B.3.3 风险评估(RA-3).29B.3.4 脆弱性扫描(RA-4).30B.4 系统与服务获取(SA).31B.4.1 系统与服务获取策略和规程(SA-1).31B.4.2 资源分配(SA-2).31B.4.3 生存周期支持(SA-3).31B.4.4 服务获取(SA-4).32B.4.5 系统文档(SA-5).32B.4
5、.6 软件使用限制(SA-6).33B.4.7 用户安装软件(SA-7).33B.4.8 安全工程原则(SA-8).34B.4.9 外部系统服务(SA-9).34B.4.10 开发人员的配置管理(SA-10).34B.4.11 开发人员的安全测试(SA-11).35B.4.12 供应链保护(SA-12).35B.4.13 可信赖性(SA-13).36B.4.14 关键系统部件(SA-14).36B.5 程序管理(PM).36B.5.1 程序管理计划(PM-1).36B.5.2 信息安全高管(PM-2).37B.5.3 信息安全资源(PM-3).37B.5.4 行动和里程碑计划(PM-4).37
6、B.5.5 安全资产清单(PM-5).37B.5.6 安全性能度量(PM-6).38B.5.7 组织架构(PM-7).38B.5.8 关键基础设施计划(PM-8).38B.5.9 风险管理策略(PM-9).38B.5.10 安全授权过程(PM-10).39B.5.11 业务流程定义(PM-11).39B.6 人员安全(PS).39B.6.1 人员安全策略和规程(PS-1).39B.6.2 岗位分类(PS-2).40B.6.3 人员审查(PS-3).40B.6.4 人员离职(PS-4).40GB/T XXXXXXXXXIIIB.6.5 人员调离(PS-5).41B.6.6 访问协议(PS-6).
7、41B.6.7 第三方人员安全(PS-7).42B.6.8 人员处罚(PS-8).42B.7 物理与环境安全(PE).42B.7.1 物理与环境安全策略和规程(PE-1).42B.7.2 物理访问授权(PE-2).43B.7.3 物理访问控制(PE-3).43B.7.4 传输介质的访问控制(PE-4).43B.7.5 输出设备的访问控制(PE-5).44B.7.6 物理访问监控(PE-6).44B.7.7 访问日志(PE-7).44B.7.8 电力设备与电缆(PE-8).44B.7.9 紧急停机(PE-9).45B.7.10 应急电源(PE-10).45B.7.11 应急照明(PE-11).4
8、5B.7.12 消防(PE-12).45B.7.13 温湿度控制(PE-13).46B.7.14 防水(PE-14).46B.7.15 交付和移除(PE-15).46B.7.16 备用工作场所(PE-16).47B.7.17 防雷(PE-17).47B.7.18 电磁防护(PE-18).47B.7.19 信息泄露(PE-19).47B.7.20 人员和设备追踪(PE-20).47B.8 应急计划(CP).47B.8.1 应急计划策略和规程(CP-1).47B.8.2 应急计划(CP-2).48B.8.3 应急计划培训(CP-3).48B.8.4 应急计划测试和演练(CP-4).49B.8.5
9、备用存储设备(CP-5).49B.8.6 备用处理设备(CP-6).50B.8.7 通信服务(CP-7).50B.8.8 系统备份(CP-8).50B.8.9 系统恢复与重建(CP-9).51B.9 配置管理(CM).51B.9.1 配置管理策略和规程(CM-1).51B.9.2 基线配置(CM-2).52B.9.3 配置变更(CM-3).52B.9.4 安全影响分析(CM-4).53B.9.5 变更的访问限制(CM-5).53B.9.6 配置设置(CM-6).54B.9.7 最小功能(CM-7).55GB/T XXXXXXXXXIVB.9.8 系统组件清单(CM-8).55B.9.9 配置管
10、理计划(CM-9).56B.10 维护(MA).56B.10.1 维护策略和规程(MA-1).56B.10.2 受控维护(MA-2).57B.10.3 维护工具(MA-3).57B.10.4 远程维护(MA-4).57B.10.5 维护人员(MA-5).58B.10.6 及时维护(MA-6).59B.11 系统与信息完整性(SI).59B.11.1 系统与信息完整性策略和规程(SI-1).59B.11.2 缺陷修复(SI-2).59B.11.3 恶意代码防护(SI-3).60B.11.4 系统监控(SI-4).61B.11.5 安全报警(SI-5).62B.11.6 安全功能验证(SI-6).
11、62B.11.7 软件和信息完整性(SI-7).62B.11.8 输入验证(SI-8).63B.11.9 错误处理(SI-9).63B.11.10 信息处理和留存(SI-10).63B.11.11 可预见失效预防(SI-11).64B.11.12 输出信息过滤(SI-12).64B.11.13 内存防护(SI-13).64B.11.14 故障安全程序(SI-14).64B.11.15 入侵检测和防护(SI-15).65B.12 介质保护(MP).65B.12.1 介质保护策略和规程(MP-1).65B.12.2 介质访问(MP-2).65B.12.3 介质标记(MP-3).65B.12.4 介
12、质存储(MP-4).66B.12.5 介质传输(MP-5).66B.12.6 介质销毁(MP-6).66B.12.7 介质使用(MP-7).67B.13 事件响应(IR).67B.13.1 事件响应策略和规程(IR-1).67B.13.2 事件响应培训(IR-2).68B.13.3 事件响应测试与演练(IR-3).68B.13.4 事件处理(IR-4).68B.13.5 事件监控(IR-5).69B.13.6 事件报告(IR-6).69B.13.7 事件响应支持(IR-7).70B.13.8 事件响应计划(IR-8).70B.14 教育培训(AT).70GB/T XXXXXXXXXVB.14.
13、1 教育培训策略和规程(AT-1).70B.14.2 安全意识培训(AT-2).71B.14.3 基于角色的安全培训(AT-3).71B.14.4 安全培训记录(AT-4).72B.15 标识与鉴别(IA).72B.15.1 标识与鉴别策略和规程(IA-1).72B.15.2 组织内用户的标识与鉴别(IA-2).72B.15.3 设备标识与鉴别(IA-3).73B.15.4 标识符管理(IA-4).73B.15.5 鉴别符管理(IA-5).74B.15.6 鉴别反馈(IA-6).75B.15.7 密码模块鉴别(IA-7).75B.15.8 组织外用户的标识与鉴别(IA-8).76B.16 访问
14、控制(AC).76B.16.1 访问控制策略和规程(AC-1).76B.16.2 账户管理(AC-2).76B.16.3 强制访问控制(AC-3).77B.16.4 信息流强制访问控制(AC-4).77B.16.5 职责分离(AC-5).79B.16.6 最小授权(AC-6).79B.16.7 失败登录控制(AC-7).80B.16.8 系统使用提示(AC-8).80B.16.9 以前访问提示(AC-9).81B.16.10 并发会话控制(AC-10).81B.16.11 会话锁定(AC-11).81B.16.12 会话终止(AC-12).82B.16.13 未标识鉴别的许可行为(AC-13)
15、.82B.16.14 远程访问(AC-14).82B.16.15 无线访问(AC-15).83B.16.16 移动设备的访问控制(AC-16).84B.16.17 外部系统的使用(AC-17).84B.16.18 信息共享(AC-18).85B.17 审计与问责(AU).85B.17.1 审计与问责策略和规程(AU-1).85B.17.2 审计事件(AU-2).86B.17.3 审计记录的内容(AU-3).86B.17.4 审计存储能力(AU-4).86B.17.5 审计失效响应(AU-5).87B.17.6 审计信息的监控、分析和报告(AU-6).87B.17.7 审计简化和报告生成(AU-
16、7).88B.17.8 时间戳(AU-8).88B.17.9 审计信息保护(AU-9).88B.17.10 抗抵赖(AU-10).88GB/T XXXXXXXXXVIB.17.11 审计信息保留(AU-11).89B.17.12 审计生成(AU-12).89B.18 系统与通讯保护(SC).89B.18.1 系统与通讯保护策略和规程(SC-1).89B.18.2 应用分区(SC-2).90B.18.3 安全功能隔离(SC-3).90B.18.4 共享资源中的信息(SC-4).91B.18.5 服务拒绝防护(SC-5).91B.18.6 资源优先级(SC-6).91B.18.7 边界保护(SC-
17、7).92B.18.8 传输完整性(SC-8).93B.18.9 传输机密性(SC-9).94B.18.10 网络中断(SC-10).94B.18.11 密钥建立与管理(SC-12).95B.18.12 密码技术的使用(SC-13).95B.18.13 公共访问保护(SC-14).95B.18.14 安全属性的传输(SC-15).96B.18.15 证书管理(SC-16).96B.18.16 移动代码(SC-17).96B.18.17 会话鉴别(SC-18).96B.18.18 已知状态中的失效(SC-19).97B.18.19 剩余信息保护(SC-20).97B.18.20 执行程序隔离(S
18、C-21).98附录C(规范性附录)工业控制系统安全控制基线.99GB/T XXXXXXXXXVII前言本标准按照GB/T 1.1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会提出并归口。本标准主要起草单位:国家信息技术安全研究中心、中国电子技术标准化研究院、中国电监会信息中心、中国电力科学研究院、无锡市同威科技有限公司、深圳赛西信息技术有限公司。本标准主要起草人:李京春、范科峰、李冰、王永忠、宫亚峰、刘贤刚、方进社、姚相振、周睿康、唐一鸿、徐金伟、魏方方、王宏、胡红升、温红子、高昆仑、赵 婷、陈雪鸿、詹 雄、梁 潇、宋斌、庞宁、彭恒斌。GB/T XXXXXXXXXVIII引言
19、工业控制系统(ICS)(包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)等产品)在核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域得到了广泛的应用。随着信息技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,传统信息系统所面临的病毒、木马等威胁正在向工业控制系统领域不断扩散,工业控制系统的信息安全问题日益突出。工业控制系统安全控制应用指南是针对各行业使用的工业控制系统给出的安全控制应用基本方法,是指导选
20、择、裁剪、补偿和补充工业控制系统安全控制,形成适合组织需要的安全控制基线,以满足组织对工业控制系统安全需求,实现对工业控制系统进行适度、有效的风险控制管理。本标准适用于工业控制系统拥有者、使用者、设计实现者以及信息安全管理部门,为工业控制系统信息安全设计、实现、整改工作提供指导,也为工业控制系统信息安全运行、风险评估和安全检查工作提供参考。GB/T XXXXXXXXX1信息安全技术 工业控制系统安全控制应用指南1范围本标准提供了可用于工业控制系统的安全控制列表,规约了工业控制系统的安全控制选择过程,以便构造工业控制系统的安全程序-一种概念层面上的安全解决方案。本标准适用于:1)方便规约工业控制
21、系统的安全功能需求,为安全设计(包括安全体系结构设计)和安全实现奠定有力的基础。2)指导工业控制系统安全整改中安全能力的调整和提高,以便能使工业控制系统保持持续安全性。本标准的适用对象是组织中负责工业控制系统建设的组织者、负责信息安全工作的实施者和其他从事信息安全工作的相关人员。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069-2010 信息安全技术 术语GB/T 20984-2007 信息安全技术 信息安全风险评估规范GB/T 22239-2008
22、信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南GB/T 22081-2008 信息安全技术 信息安全管理实用规范3术语和定义GB/T 25069-2010界定的以及下列术语和定义适用于本标准。3.1工业控制系统(ICS)industrial control system工业控制系统(ICS)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(SCADA),分布式控制系统(DCS),和其他较小的控制系统,如可编程逻辑控制器(PLC),现已广泛应用在工业部门和关键基础设施中。3.2监控和数据采集系统(SC
23、ADA)supervisory control and data acquisition system在工业生产控制过程中,对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据采集与监控管理的控制系统。它以计算机为基础、对远程分布运行设备进行监控调度,其主要功能包括数据采集、参数测量和调节、信号报警等。SCADA系统一般由设在控制中心的主终端控制单元(MTU)、通信线路和设备、远程终端单元(RTU)等组成。GB/T XXXXXXXXX23.3分布式控制系统(DCS)distribution control system以计算机为基础,在系统内部(组织内部)对生产过程进行分布控制、集中
24、管理的系统。DCS系统一般包括现场控制级、控制管理级两个层次,现场控制级主要是对单个子过程进行控制,控制管理级主要是对多个分散的子过程进行调度管理、数据采集和集中显示。3.4可编程逻辑控制器(PLC)programmable logic controller采用可编程存储器,通过数字运算操作对工业生产装备进行控制的电子设备。PLC主要执行各类运算、顺序控制、定时执行等指令,用于控制工业生产装备的动作,是工业控制系统的主要基础单元。3.5安全控制 security control应用于工业控制系统的管理、运行和技术上的防护措施和对策,以保护工业控制系统及其信息的保密性、完整性和可用性等。3.6安
25、全程序 security program在工业控制系统的安全建设中,为满足组织安全需求和安全目的,适当采选的一组有序的安全控制集。3.7安全控制族 security control family本标准将相关主题的安全控制作为一个安全控制族,所有的安全控制分成18个安全控制族,即:规划(PL)、安全评估与授权(CA)、风险评估(RA)、系统与服务获取(SA)、程序管理(PM)、人员安全(PS)、物理与环境安全(PE)、应急计划(CP)、配置管理(CM)、维护(MA)、系统与信息完整性(SI)、介质保护(MP)、事件响应(IR)、教育培训(AT)、标识与鉴别(IA)、访问控制(AC)、审计与问责(
26、AU)、系统与通信保护(SC)。3.8安全控制基线 security control baseline安全控制基线是安全控制选择过程的起始点,是为帮助组织选择满足安全需求的、最具成本效益的、适当的安全控制集而制定的最低安全基准线。4缩略语ICS 工业控制系统(Industrial Control System)SCADA 监控与数据采集系统(Supervisory Control And Data Acquisition)DCS 分布式控制系统(Distributed Control System)PCS 过程控制系统(Process Control System)PLC 可编程逻辑控制器(P
27、rogrammable Logic Controller)RTU 远程终端单元(Remote Terminal Unit)GB/T XXXXXXXXX3IED 智能电子设备(Intelligent Electronic Device)DRP 灾难恢复计划(Disaster Recovery Planning)ACL 访问控制列表(Access Control List)DNS 域名系统(Domain Name System)DHCP 动态主机配置协议(Dynamic Host Configuration Protocol)DNP 分布式网络协议(Distributed Network Prot
28、ocol)RPC 远程过程调用协议(Remote Procedure Call Protocol)DCOM 分布式组件对象模式(Microsoft Distributed Component Object Model)OPC 用于过程控制的对象连接与嵌入(Object Linking and Embedding for Process Control)PAD 个人数字助手,又称掌上电脑(Personal Digital Assistant)DoS 拒绝服务(Denial of Service)CVE 通用漏洞列表(Common Vulnerabilities and Exposures)OVA
29、L 脆弱性评估语言(Open Vulnerability Assessment Language)EAL 评估保证级(Evaluation Assurance Level)PKI 公钥基础设施(Public Key Infrastructure)AC 访问控制(Access Control)AT 教育培训(Awareness and Training)AU 审计与问责(Audit and Accountability)CA 安全评估与授权(Security Assessment and Authorization)CM 配置管理(Configuration Management)CP 应急计划
30、(Contingency Planning)IA 标识与鉴别(Identification and Authentication)IR 事件响应(Incident Response)MP 介质保护(Media Protection)PE 物理与环境安全(Physical and Environmental Protection)PL 规划(Planning)PM 程序管理(program management)PS 人员安全(Personnel Security)RA 风险评估(Risk Assessment)SA 系统与服务获取(System and Services Acquisition
31、)SC 系统与通信保护(System and Communications Protection)SI 系统与信息完整性(System and Information Integrity)GB/T XXXXXXXXX45安全控制概述从概念上来说,工业控制系统的安全与其它领域的安全是一样的,如下图所示:图 1安全(SECURITY)及其相关概念该图表明了安全(security)及其相关概念间的关系。其中的控制是指:应用于工业控制系统中管理、运行和技术上的保护措施和对策,以保护工业控制系统及其信息的保密性、完整性和可用性等。应用这些控制的目的是,减少脆弱性或影响,抵御工业控制系统所面临的安全威胁,
32、从而缓解工业控制系统的安全风险,以满足利益相关者的安全需要。本标准附录B中给出了可用于工业控制系统的安全控制列表。为了有效地表达工业控制系统中管理、运行和技术上的措施和对策,应给出该措施对应的动作、输入/输出及其对应的前置条件和后置条件,特别是给出该控制的效果。例如:关于审计处理失效响应的控制:控制:控制:工业控制系统:a)对于审计处理失效的事件,向【赋值:组织定义的人员】报警;b)采取【选择:组织定义的动作,例如:停止系统的运行,重写原有的审计记录,停止生成新的审计记录等】。其中的“报警”和“采取组织定义的动作”,就是该控制对应的动作;而“审计处理失效的事件”就是该控制的一个输入;“向组织定
33、义的人员(报警)”就是该控制的一个后置条件。并且,通过补充指导,强调了该措施和对策的其它要素,例如:GB/T XXXXXXXXX5补充指导:补充指导:a)审计处理失效包括软硬件错误、审计获取机制失败、审计存储空间达到或超出极限等;b)组织可针对不同审计处理失效(例如,由于类型、位置、严重程度或这些因素的组合),选择定义附加的措施;c)该控制应用于每个审计数据存储库(即存储审计记录的 ICS 部件),应用于组织的整个审计存储能力(即组合了所有审计数据存储库);d)在 ICS 不支持审计的情况下,包括对审计失效的响应,组织应按裁剪指导,使用合适的补偿控制(例如,在隔离的信息系统上提供审计能力)。e
34、)相关安全控制:AU-4、SI-12。如果有必要强调一个控制在深度上的能力,以支持更可靠的保护,可通过控制增强来表达,例如:就上述的控制而言,其控制增强可表达为:控制增强:控制增强:a)对审计处理失效|审计存储能力的响应在【赋值:组织定义的时间段】内,当分配给审计记录的存储量达到【赋值:组织定义的最大审计记录存储容量】的某一百分比时,ICS 向【赋值:组织定义的人员、角色或岗位】提供一个警示。b)对审计处理失效|实时报警的响应当【赋值:组织定义的、要求实时报警的审计失效事件】发生时,ICS 在【赋值:组织定义的实时报警时间段】内,向【赋值:组织定义的人员,角色和岗位】发出报警。c)对审计处理失
35、效|可配置的流量阈值的响应ICS 执行可配置的流量阈值,反映对审计能力的限制,并【选择:拒绝、延迟】网络流量超出这些阈值。d)对审计处理失效|失效宕机的响应当发生【赋值:组织定义的审计事件】发生时,ICS 调用【选择:完全宕掉系统,部分宕掉系统;降低运行模式,仅具有有限可用的业务处理能力】,除非存在一种可选的审计能力。因此,为了更方便地使用控制选择和规约过程,把控制概括为十八个族。每个族包含一些与该族的安全功能相关的安全控制。为每个控制族赋予了唯一的由两个字符组成的标识符,并对族中的每个安全控制,采用了如下基本的描述结构:族标识符族标识符-编号(编号(XX-NNXX-NN):):控制节:控制节
36、:补充指导节补充指导节控制增强节控制增强节其中:控制节为保护组织或工业控制系统的某个特殊方面,提供了所需要的特定安全能力的简洁陈述,描述了要由组织或工业控制系统进行的与安全相关的活动或动作。对于某些控制,通过允许组织选择性地定义与该控制相关参数的输入值,如使用控制中的“赋值”和“选择”操作,实现一定程度的灵活性。补充指导节提供了一些与特定安全控制相关的信息,指导组织在定义、开发和实现安全控制时适当地使用。在一些情况中,补充指导提供了在组织运行环境、特定业务需求或风险评估中关切的安全需求,或一些重要的注意事项,以及实现安全控制所需要的灵活性等细节。控制增强节为:a)对基本的控制构造附加的、相关的
37、安全能力;b)增强基本控制的安全能力。提供了相应的陈述。控制增强用于需要更大保护的工业控制系统。GB/T XXXXXXXXX6通过控制节、补充指导节和控制增强节所描述的控制,使给出的每一控制可有效地表达工业控制系统的安全需求。本标准给出的三大安全控制类(管理类、运行类和技术类),十八个安全控制族和族标识符的对照关系如下表所示:表 1安全控制族族标识符族标识符安全控制族安全控制族安全控制类安全控制类AC访问控制(Access Control)技术AT教育培训(Awareness and Training)运行AU审计与问责(Audit and Accountability)技术CA安全评估与授权
38、(Security Assessment and Authorization)管理CM配置管理(Configuration Management)运行CP应急计划(Contingency Planning)运行IA标识与鉴别(Identification and Authentication)技术IR事件响应(Incident Response)运行MP介质保护(Media Protection)运行PE物理与环境安全(Physical and Environmental Protection)运行PL规划(Planning)管理PM程序管理(program management)管理PS人员
39、安全(Personnel Security)运行RA风险评估(Risk Assessment)管理SA系统与服务获取(System and Services Acquisition)管理SC系统与通信保护(System and Communications Protection)技术SI系统与信息完整性(System and Information Integrity)运行6安全控制基线及其设计为了给出工业控制系统概念层面上的一种安全解决方案,即构造工业控制系统的安全程序,本标准结合工业控制系统基本特征(参见附录A),结合以往诸多工业控制系统的安全实践,将附录B中工业控制系统的安全控制集分为三
40、个级别,统称为安全控制基线,即基于工业控制系统安全风险的影响程度对安全控制的一个分级,可作为规划工业控制系统中选择安全控制的一个起始点。在设计安全控制基线中,基于了以下基本假设:a)工业控制系统处于物理设施内;b)工业控制系统中的用户数据和信息是相对长久的;c)工业控制系统是多用户运行的;d)工业控制系统中的用户数据和信息必须限制已授权用户的共享;e)工业控制系统处于网络化环境中;f)工业控制系统自然具有一些特殊目的;g)组织具有必要的架构、资源和基础设施,来实现所选基线中的控制。基线设计的这些基本假设,影响着工业控制系统安全控制的选择,还影响着工业控制系统安全控制的评估、监视和改进。如果一个
41、或多个前提假设是无效的,那么附录C中所分配给该基线的一些安全控制就可能是不适用的,针对这种情况可通过应用后续章节所述的裁剪过程以及风险评估予以处理。GB/T XXXXXXXXX7相应地,一些可能的情况未包含在假设内,例如:a)组织内存在的内部人员攻击;b)工业控制系统处理、存储或传输的保密数据和信息;c)组织内存在高级持续性攻击(APT);d)基于法律、法规、规章、制度等特殊要求的特殊保护;e)工业控制系统需要与其他系统进行跨安全域间通讯。如果任何以上情况出现,就可能需要在附录B中选择一些附加的安全控制和控制增强,以确保准确的保护;以上情况也可通过应用后续章节所述的裁剪过程(特别是安全控制补充
42、)和风险评估的结果,予以有效地处理。本标准设计的安全控制基线(具体参见附录C),可应用于以下两种情况:第一种情况,基于工业控制系统的安全风险评估,按风险影响程度将工业控制系统划分为低影响系统、中影响系统和高影响系统。在这种情况下,低影响系统选择第一级安全控制基线;中影响系统选择第二级安全控制基线;高影响系统选择第三级安全控制基线。第二种情况,通过定级划分准则(参见国标GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南),已将工业控制系统划分为相应的安全等级。在这种情况下,1、2级系统选择第一级安全控制基线;3级系统选择第二级安全控制基线;4、5级系统选择第三级安全控制基线
43、。7安全控制选择与规约7.1选择与规约概述工业控制系统安全是一项系统工程,单一的产品和技术不能有效地保护工业控制系统安全,组织应在充分挖掘工业控制系统安全需求的基础上,制定满足组织使命和业务功能需求的工业控制系统安全战略。有效的工业控制系统安全战略,应采用深度防御及层次化的安全机制,使任一安全机制失效的影响最小化。工业控制系统安全应在组织工业控制系统安全战略指导下,通过适当组合配置的安全控制予以实现。组织在充分考虑工业控制系统的特殊性、安全需求和工业控制系统与传统信息系统间的差异性(参考本标准附录A,或参阅其它相关文献资料)的基础上,通过风险评估梳理工业控制系统及相关资产,针对工业控制系统存在
44、的脆弱性,分析工业控制系统面临的威胁和风险,评估风险发生的可能性以及风险发生可能造成的影响和危害,制定风险处置原则和处置计划,将工业控制系统安全风险控制在可接受的水平。本标准附录C中给出的安全控制基线,仅是为了工业控制系统的安全需求规约,作为进行安全控制选择与规约的起始点。因此,为了使组织的工业控制系统是安全的,就必须实施选择并规约安全控制和控制增强的过程,该过程包括以下三个子过程:a)选择初始安全控制基线;b)裁剪所选择的初始安全控制基线;c)补充经裁剪的安全控制基线。安全控制选择与规约过程可概括为下图所示:GB/T XXXXXXXXX8图 2安全控制选择与规约过程7.2安全控制选择选择基线
45、安全控制是选择并规约安全控制的第一步,组织依据工业控制系统信息安全定级或工业控制系统风险评估结果,根据安全控制基线的应用指导(参见本标准第6章),从附录C中三个安全控制基线中选择一个合适的基线控制集。选择基线安全控制集时应注意第6章所描述的前提假设。7.3安全控制裁剪7.3.1裁剪过程在从附录C中选择基线安全控制的初始集后,组织开始基线安全控制的裁剪过程。裁剪过程包括以下3个活动:a)依据所选择的基线安全控制,应用界定范围的指导,获得初步可用的控制集;b)需要时选择补偿安全控制,以调整初步可用的控制集,获得更可实现的控制集;c)通过显式的赋值陈述和选择陈述,规约安全控制中的参数,完成所选基线的
46、定义。7.3.2界定范围的指导界定范围的指导,就所选安全控制基线中每个安全控制的适用性和实现,为组织提供了特定的条款和条件。应用界定范围的指导,是基于工业控制系统所支持的业务功能和系统运行环境,从初始安全控制基线中删除一些不必要或不适用的安全控制,有助于确保组织仅选择那些可为工业控制系统提供合适程度保护所需要的控制。下面给出一些界定范围的考量,它们可潜在地影响如何应用所选的安全控制基线以及如何实现安全控制。a)与控制和应用范围有关的考量工业控制系统概念是个多层次抽象概念,既包括多个系统组成的复杂系统,又包括单个板卡组成的简单系统。越来越复杂的工业控制系统需要仔细分析在风险管理不同等级(组织级、
47、业务流程级和系统级)中的安全控制的分配和应用。初始安全控制基线中的控制适用于工业控制系统层面,但未必适用于GB/T XXXXXXXXX9系统组件层面。基线中的一些控制,对工业控制系统范围内的每个系统部件,给出了并非必要的一些控制。一些安全控制仅适用于工业控制系统部件,提供或支持由该控制所强调的安全能力,并缓解潜在的风险。例如,通常把审计控制作为工业控制系统的一个部件,以提供审计能力,并不适用于组织内每个用户层的工作站;或当工业控制系统的部件是单一用户的、无网络连接或是物理隔离网络的一部分时,这些特征可为不把所选择的控制应用到那些部件中提供合适的理由。组织应评估工业控制系统部件清单,以确定安全控
48、制是否适用于各种不同的部件,而后就如何应用控制做出明确的决策,以满足组织的安全需求。b)与安全目的有关的考量基线中的一些控制仅独特地支持保密性、完整性或可用性的安全目的,对此可把它们降级为低基线中对应的控制(或如果在低基线中没有给出定义的话,予以删除或修改)。该降级、修改或删除的动作当且仅当以下情况成立才进行:1)安全控制所完成的安全目的可以由组织风险评估所支持;2)不会对工业控制系统相关安全保护水平造成不利影响。例如,一个工业控制系统被评估为中等影响,其可用性和完整性为中等影响,其保密性为低等影响,那些仅与保密性相关的安全控制在不影响安全性目标的前提下可以降低到低级别的基线要求。以下安全控制
49、可作为降级的候选控制:1)与保密性相关的安全控制包括:AC-18,MA-3c),MP-3,MP-4,MP-5,MP-5d),MP-6,PE-4,PE-5,SC-4,SC-9,SC-9a)等;2)与完整性相关的安全控制包括:CM-5,CM-5a),CP-8a),SC-8,SC-8a),SI-7,SI-7a),SI-7d),SI-8等;3)与可用性相关的安全控制包括:CP-2a),CP-2b),CP-2c),CP-2d),CP-2e),CP-2f),CP-3a),CP-4a),CP-4b),CP-6,CP-6a),CP-6b),CP-6c),CP-7,CP-7a),CP-7b),CP-7c),CP
50、-8,CP-8b),CP-8c),CP-8d),CP-8e),CP-8f),CP-9a),CP-9b),CP-9c),CP-9d),MA-6,PE-9,PE-10,PE-11,PE-12,PE-13,PE-14,PE-16等。c)与技术有关的考量安全控制涉及了一些特定的技术(如:无线、加密、PKI等),这样的控制仅当在工业控制系统内使用时或需要时,它们才是适用的。一些控制可通过自动化机制予以支持,如果这样的机制不存在,或市场上或政府采购产品目录中现在没有或还不能应用时,并不要求开发这样的机制。例如,为了维护最新的、完备的、精确的、现时可用的工业控制系统基线配置,可能使用一些自动化机制。如果自动