GB/T32919-2016
信息安全技术工业控制系统安全控制应用指南
Informationsecuritytechnology—Applicationguidetoindustrialcontrolsystemsecuritycontrol
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2017-03-01
- 文件格式PDF
- 文本页数114页
- 文件大小3.47M
以图片形式预览信息安全技术工业控制系统安全控制应用指南
信息安全技术工业控制系统安全控制应用指南
国家标准 GB/T3291g一2016 信息安全技术工业控制 系统安全控制应用指南 nformationseeuritytechnology一 Applicationguidetoindustrialcontrolsystemseeuritycontrol 2016-08-29发布 2017-03-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T32919一2016 24 B.2.1安全评估与授权策略和规程(CA-1) B.2.2安全评估(CA-2) 214 26 B.2.3ICS连接管理(CA-3) 26 B.2.4实施计划(CA-4) 21 B.2.5安全授权(CA-5) 21 B.2.6持续监控(CA-6) 28 B.2.7渗透测试(CA-7) 28 B.2.8内部连接(CA-8) B.3风险评估(RA 28 28 B.3.1风险评估策略和规程(RA-1 B.3.2安全分类(RA-2) 2: B.3.3风险评估RA-3 2s 2: B.3.4脆弱性扫描RA-4 36 B.4系统与服务获取(SA 系统与服务获取策略和规程(SA-1 B.4.l 30 B.4.2资源分配(sA-2) 31 31 B.4.3生存周期支持(SA-3 B.t.4服务获取(SA4) 31 B.4.5系统文档(SA57 32 B.4.软件使用眼制(SA6) 33 B.1.7用户安装软件(SA7 33 B.4.8安全工程原则(SA8) 33 B.4.9外部系统服务(SA-9) 34 B.4.10开发人员的配置管理(sA-10) 34 B.4.11开发人员的安全测试(SA-11) 35 B.4.12供应链保护(SA-12) 5 B.4.13可信赖性(sA-13) 36 B,4.14关键系统部件(SA-14) 6 B.5程序管理(PM 36 B.5.1程序管理计划(PM-1 36 B.5.2信息安全高管(PM-2) 3 B5.3信息安全资源(PM- 33 3 B5.4行动和里程碑计划(PM-4 3 B.5.5安全资产清单(PM-5 3 B5.6安全性能度量(PM6 3 37 B.5.7组织架构(PM-7) B,.5.8关键基础设施计划(PM-8) 38 B.5.9风险管理策略(PM-9 38 B,5.10安全授权过程(PM-10) 38 39 B.5.11业务流程定义(PM-11) B.6 39 人员安全(PS) 39 B.6.1人员安全策略和规程(PS-1 39 B.6.2岗位分类(PS-2
GB/T32919一2016 40 B.6.3人员审查(PS-3 B.6.4人员离职(PS-4) 40 B.6.5人员调离(PS-5 40 B.6.6访问协议(Ps6 B.6.7第三方人员安全(PS-7 B.6.8人员处罚(PS-8) B.7物理与环境安全(PE) B.7.1物理与环境安全策略和规程(PE-1 42 B.7.2物理访问授权(PE-2) B.7.3 42 物理访问控制PE-3 43 B.7.4 43 B.7.5输出设备的访问控制(PE-5 43 B.7.6物理访问监控(PE-6) B.7.7访问日志(PE-7 B.7.8电力设备与电缆(PE-8 B,.7.9紧急停机(PE9) 45 B.7.10应急电源(PE10 B.7.11应急照明(PE-11) 45 B.7.12消防(PE-12) 45 B.7.13温湿度控制(PE-13) 45 防水(PE-14) B.7.14 46 B.7.15交付和移除(PE-15 46 B.7.16备用工作场所(PE-16) 46 B.7.17防雷(PE-17) 46 B.7.18电磁防护(PE-18) 46 B,7.19信息泄露(PE-19) 4l7 B.7.20人员和设备追踪(PE-20 4l7 B.8应急计划(CP) 47 B.8.1应急计划策略和规程(CP1 4l7 B.8.2应急计划(CP2) 4 B.8.3应急计划培训(CP3) 48 B.8.4应急计划测试和演练(G 48 CP-4 B.8.5备用存储设备(CP5) 49 B.8.6备用处理设备(CP6) 49 B.8.7通信服务(CP-7) 50 50 B.8.8系统备份(CP8) B.8.9系统恢复与重建(CP9) 50 B.9配置管理(CM) 5 B.9.1配置管理策略和规程(CM-1) 5 51 B.9.2基线配置(CM-2) 52 B.9.3配置变更(CM-3) 53 B.9.4安全影响分析(CM-4 53 B.9.5变更的访问限制(CM-5)
GB/T32919一2016 54 B.9.6配置设置(CM-6) B.9.7最小功能(CM-7) 54 55 B.9.8系统组件清单(CM-8) 55 B.9.9配置管理计划(CM-9 56 B.10维护(MA 56 B.10.1维护策略和规程(MA-1 56 B.10.2受控维护(MA-2 5 B.10.3维护工具(MA-3) 57 B.10.4远程维护(MA-4 B.10.5 维护人员(MA-5) 58 B.10.6及时维护(MA-6 58 58 B.11系统与信息完整性(SI 58 B.l1.l系统与信息完整性策略和规程(S-1) B.l1.2缺陷修复(s12) 5 5 B.ll.3恶意代码防护(SI3) B.11.4系统监控(SI4 66 6 B.11.5安全报警(SI-5) 61 B.11.6安全功能验证(S-6) 软件和信息完整性(SI-7 62 输人验证(sI-8) 62 B.11.9错误处理(sI-9) 62 信息处理和留存(s1-1o) 63 可预见失效预防(s1-1l1) 63 B.11.12输出信息过滤(s-12) 63 B.11.13内存防护(s-13) 64 B.11.14故障安全程序(s1-14) 64 B.11.15人侵检测和防护(sI-15) 64 B.12介质保护(MP) 64 B.12.1介质保护策略和规程(MP-1) 64 B,12.2介质访问(MP2) 65 B.12.3介质标记(MP3) 65 B,12.4介质存储(MP 65 -4 B,12.5介质传输MP5》 65 B,12.6介质销毁(MP6 66 B,12.7介质使用(MP-7 66 B,13事件响应(IR 6 67 B.13.1事件响应策略和规程(IR-1 67 B.13.2事件响应培训(IR- -2 67 B.13.3事件响应测试与演练(IR-3 68 B13.4事件处理(IR-4) 68 B.13.5事件监控(IR-5) 69 B.13.6事件报告(IR-6) 69 B.13.7事件响应支持(IR-7
GB/T32919一2016 69 B13.8事件响应计划(IR-8 7o B.14教育培训AT) 70 B.14.1教育培训策略和规程(AT-1) B.14.2安全意识培训(AT-2) B.14.3基于角色的安全培训AT-3) B.l4.4安全培训记录(AT-4 B.15标识与鉴别(IA B.15.1标识与鉴别策略和规程(IA-1 B.15.2组织内用户的标识与鉴别(IA-2) B.15.3设备标识与鉴别IA-3) B.15.4标识符管理(IA-4) B.15.5鉴别符管理(1A-5 73 B.15.6鉴别反馈(IA-6 B.15.7密码模块鉴别(IA-7) 75 B.15.8组织外用户的标识与鉴别IA-8) B.16访问控制(AC) 75 访问控制策略和规程(AC-1 75 B.16.l B.16.2账户管理(AC-2)y 75 B.16.3强制访问控制(AC-3 76 B.16.4信息流强制访问控制(A B.16.5职责分离(AC-5) 78 B.16.6最小授权(AC-6) 78 B.16.7失败登录控制(AC-7) 76 B.16.8系统使用提示(AC-8) 80 B.16.9以前访问提示(AC-9) 80 B,16.10并发会话控制(AC-10) 80 B.16.l1会话锁定(AC-11 80 B,16.12会话终止(AC-12) 81 B.16.13未标识鉴别的许可行为(AC -l3 81 B,16.14远程访问(AC-14) 82 B.16.15无线访问(AC-15) 83 B,16.16移动设备的访问控制(AC-16) 83 B16.17外部系统的使用(AC-17) 84 B,16.18信息共享(AC-18) 84 B.17审计与问责(AU) 85 B.17.I审计与问责策略和规程(AU-1 85 B.17.2审计事件(AU-2) 85 B.17.3审计记录的内容(AU-3) 85 B.17.4审计存储能力(AU-4) 86 86 B.17.5审计失效响应(AU-5 87 B.17.6审计信息的监控,分析和报告(AU-6 87 B17.7审计简化和报告生成(AU-7 87 B.17.8时间戳(AU-8
GB/T32919一2016 87 B17.9审计信息保护(AU-9 88 B.17.10抗抵赖(AU-10) 88 B,17.11审计信息保留(AU-11) 88 B.17.12审计生成(AU-12) 89 B.18系统与通信保护(SC) 89 B.18.1系统与通信保护策略和规程(SC-1 8 B.18.2应用分区(sC-2) 90 B.18.3安全功能隔离(SC-3) 90 B.18.4共享资源中的信息(sC-4 90 B.18.5拒绝服务防护(sC-5) B.18.6资源优先级(sC-6 91 B.18.7边界保护(SC-7 91 93 B.18.
传输完整性(sC8》 B.18.9传输机密性(SC-9 93 9 B.18.10网络中断(SC-10 B.18.11密钥建立与管理(SC-11 94 B.18.12密码技术的使用(SC-12) 94 B.18.13公共访问保护(SC-13 95 B.18.14安全属性的传输(sC-14) 95 B.18.15证书管理(sC-15) 95 B.18.16移动代码(sC-16) 95 B.18.17会话鉴别(sC-17) 96 B.18.18已知状态中的失效(sC-18) 96 B.18.19剩余信息保护(sC-19) 97 B.18.20执行程序隔离(SC-20) 9 附录c规范性附录工业控制系统安全控制基线 98 参考文献 105
GB/T32919一2016 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口 本标准起草单位;国家信息技术安全研究中心、电子技术标准化研究院、电监会信息中心、 电力科学研究院、无锡市同威科技有限公司、深圳赛西信息技术有限公司
本标准主要起草人;李京春、范科峰、李冰、王永忠、宫亚蜂、刘贤刚、方进社、姚相振、周睿康、 唐一鸿,徐金伟,魏方方、,王宏、葛培勤、刘鸿运、胡红升,温红子,高昆仑、赵婷,除雪鸿、詹雄,梁谦,宋斌 庞宁、彭恒斌
GB/T32919一2016 引 言 工业控制系统(ICS)[包括监控和数据采集系统(SC'ADA,分布式控制系统(DCS),可编程逻辑控 制器(PLC)等产品]在核设施、航空航天,先进制造、石油石化、油气管网、电力系统、交通运输、水利枢 纽、城市设施等重要领域得到了广泛的应用
随着信息技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品 越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,传统信息系统 所面临的病毒,木马等威胁正在向工业控制系统领域不断扩散,工业控制系统的信息安全问题日益 突出
工业控制系统安全控制应用指南是针对各行业使用的工业控制系统给出的安全控制应用基本方 法,是指导选择、裁剪、补偿和补充工业控制系统安全控制,形成适合组织需要的安全控制基线,以满足 组织对工业控制系统安全需求,实现对工业控制系统进行适度、有效的风险控制管理 本标准适用于工业控制系统拥有者,使用者,设计实现者以及信息安全管理部门,为工业控制系统 信息安全设计、实现、整改工作提供指导,也为工业控制系统信息安全运行、风险评估甜安全检查工作提 供参考
GB/T32919一2016 信息安全技术工业控制 系统安全控制应用指南 范围 本标准提供了可用于工业控制系统的安全控制列表,规约了工业控制系统的安全控制选择过程,以 -种概念层面上的安全解决方案
便构造工业控制系统的安全程序 本标准适用于 a 方便规约工业控制系统的安全功能需求,为安全设计包括安全体系结构设计)和安全实现奠 定有力的基础
b)指导工业控制系统安全整改中安全能力的调整和提高,以便能使工业控制系统保持持续安 全性 本标准的适用对象是组织中负责工业控制系统建设的组织者、负责信息安全工作的实施者和其他 从事信息安全工作的相关人员
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T22240-2008信息安全技术信息系统安全等级保护定级指南 GB/T250692010信息安全技术术语 术语和定义 GB/T25069一2010界定的以及下列术语和定义适用于本文件
3.1 工业控制系统industrialcontrolsyste;cs 工业控制系统(ICS)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采 集系统(SsCADA),分布式控制系统(DCs)和其他较小的控制系统,如可编程逻辑控制器(PLC),现已广 泛应用在工业部门和关键基础设施中
3.2 监控和数据采集系统spervisoryeontrolanddataaequisitionsystem;sCADA 在工业生产控制过程中,对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据 采集与监控管理的控制系统
它以计算机为基础、对远程分布运行设备进行监控调度,其主要功能包括 数据采集、参数测量和调节、信号报警等
SCADA系统一般由设在控制中心的主终端控制单元 MTU),通信线路和设备,远程终端单元(RTU)等组成 3.3 分布式控制系统distributioncontrolsystem;DCS 以计算机为基础,在系统内部(组织内部)对生产过程进行分布控制,集中管理的系统
DCS系统 -般包括现场控制级、控制管理级两个层次,现场控制级主要是对单个子过程进行控制,控制管理级主
GB/T32919一2016 要是对多个分散的子过程进行调度管理、数据采集和集中显示
3.4 mahle 可编程逻辑控制器programma ogiccontroller;PLC 采用可编程存储器,通过数字运算操作对工业生产装备进行控制的电子设备
PLC主要执行各类 运算、顺序控制、定时执行等指令,用于控制工业生产装备的动作,是工业控制系统的主要基础单元
3.5 安全控制securitycontrot 应用于工业控制系统的管理、运行和技术上的防护措施和对策,以保护工业控制系统及其信息的保 密性、完整性和可用性等
3.6 安全程序seeurityprgram 在工业控制系统的安全建设中,为满足组织安全需求和安全目的,适当采选的- 一组有序的安全控 制集 3.7 安全控制族seewritycmtrltamly 本标准将相关主题的安全控制作为一个安全控制族,所有的安全控制分成18个安全控制族,即,规 划(PL)安全评估与授权(CA),风险评估(RA)、系统与服务获取(sA),程序管理(PM),人员安全 (Ps),物理与环境安全(PE),应急计划(CP)、,配置管理(CM)、维护(MA,系统与信息完整性(sI),介质 保护(MP)、事件响应(IR)、教育培训(AT)、标识与鉴别(IA),访问控制(Ac),审计与问责(AU、系统 与通信保护(sC).
3.8 安全控制基线securitycontrolbaseline 安全控制基线是安全控制选择过程的起始点,是为帮助组织选择满足安全需求的、最具成本效益 的、适当的安全控制集而制定的最低安全基准线 缩略语 下列缩略语适用于本文件
cs工业控制系统(IndustrialControlSystem) SCADA监控和数据采集系统(SupervisoryControlandDataAcquisition) DCS分布式控制系统(DistributedControlSysterm) PCS过程控制系统(ProcessControlSystemm) PLC可编程逻辑控制器(ProgrammableL.ogieControler) RTU远程终端单元(RemoteTerminalUnit) IED智能电子设备(IntelligentEleetronicDevice DRP灾难恢复计划(Dis sasterRecoveryPlanning ACL访问控制列表(l AccessControlList DNS域名系统(Do1 omainNameSvstem DynamicHostCo Protocol DHCP动态主机配置协议(D onfiguration istributedNetworkProtocol DNP分布式网络协议(Dis emoteProcedureCallProtocol RPC远程过程调用协议(Re DCOM分布式组件对象模式(MierosoftDistributedCo omponentObjectModeD forProcessControl orc用于过程控制的对象连接与嵌人(obyetLnkinxandEmbedine"
GB/T32919一2016 PAD个人数字助手,又称掌上电脑(Per nalDigital" ersona ASsistant Dos拒绝服务(DenialofServiee) CVE通用漏洞列表(CommonVulnerabilitiesandExposures) OVAL脆弱性评估语言(OpenVulnerabilityAssessmentLanguage) EAL评估保证级(EvaluationAssuranceelLevelD) PKI公钥基础设施(PublicKeyInfrastructure) Ac访问控制(AccessControl AT教育培训AwarenessandTraining AU审计与问责(AuditandAccountability andAuthorization CA安全评估与授权(Se becur1tyAssessment CM配置管理(Conf figurationManagement CP应急计划(ContingeneyPlanning IA标识与鉴别(Identi fficationandAuthentication IR事件响应(IneidentResponse MP介质保护(MediaProtection) PE物理与环境安全(PhysicalandEnvironmentalProtection) PL规划(Planning PM程序管理(ProgramManagement PS人员安全(PersonnelSecurity RA风险评估(RiskAssessment SA系统与服务获取(SystemandServicesAcquisition) SC系统与通信保护(SystemandCommunieationsProteetion) S系统与信息完整性(Ssystemandlnformationlntegrity) 安全控制概述 从概念上来说,工业控制系统的安全与其他领域的安全是一样的,如图1所示: 价值 利益有关方 -希望最小化 利用 安全控制 缓解 可控制 可被减少 脆弱性 -导致 风险 增加 利用 -到 威胁主体 -发起 威胁 资产 希望滥用或破坏 图1安全(SECURIrY)及其相关概念
GB/T32919一2016 图1表明了安全(seeurity)及其相关概念间的关系
其中的控制是指:应用于工业控制系统中管 理,运行和技术上的保护措施和对策,以保护工业控制系统及其信息的保密性,完整性和可用性等
应 用这些控制的目的是,减少脆弱性或影响,抵御工业控制系统所面临的安全威胁,从而缓解工业控制系 统的安全风险,以满足利益相关者的安全需要
本标准附录B中给出了可用于工业控制系统的安全控制列表
为了有效地表达工业控制系统中管理、运行和技术上的措施和对策,应给出该措施对应的动作、输 人/输出及其对应的前置条件和后置条件,特别是给出该控制的效果
例如;关于审计处理失效响应的 控制 控制 工业控制系统: 对于审计处理失效的事件,向【赋值:组织定义的人员】报警; a 采取【选择;组织定义的动作,例如;停止系统的运行,重写原有的审计记录,停止生成新的 b 审计记录邻】 其中的“报警”和“采取组织定义的动作”,就是该控制对应的动作;而“审计处理失效的事件”就是该 控制的一个输人;“向组织定义的人员(报警)”就是该控制的一个后置条件
并且,通过补充指导,强调 了该措施和对策的其他要素,例如 补充指导 a)审计处理失效包括软硬件错误,审计获取机制失败、审计存储空间达到或超出极限等; b)组织可针对不同审计处理失效(例如,由于类型、位置、严重程度或这些因素的组合),选择 定义附加的措施; 该控制应用于每个审计数据存储库(即存储审计记录的ICcS部件),应用于组织的整个审计 存储能力即组合了所有审计数据存储库) 在ICs不支持审计的情况下,包括对审计失效的响应,组织应按裁剪指导,使用合适的补偿 控制(例如,在隔离的信息系统上提供审计能力)
相关安全控制:AU-4,SI-12
如果有必要强调一个控制在深度上的能力,以支持更可靠的保护,可通过控制增强来表达,例如;就 上述的控制而言,其控制增强可表达为: 控制增强 a)对审计处理失效|审计存储能力的响应 在【赋值;组织定义的时间段】内,当分配给审计记录的存储量达到【赋值;组织定义的最大审计记 录存储容量】的某一百分比时,ICS向【赋值;组织定义的人员,角色或岗位】提供一个警示
D 对审计处理失效|实时报警的响应 当【赋值;组织定义的,要求实时报警的审计失效事件】发生时,ICS在【赋值;组织定义的实时报 警时间段】内,向【赋值;组织定义的人员,角色和岗位】发出报警
对审计处理失效|可配置的流量值的响应 ICS执行可配置的流量阔值,反映对审计能力的限制,并【选择;拒绝、延迟】网络流量超出这些 阂值
d)对审计处理失效|失效宕机的响应 当【赋值;组织定义的审计事件】发生时,ICS调用【选择;完全宕掉系统,部分宕掉系统;降低运行 模式,仅具有有限可用的业务处理能力】,除非存在一种可选的审计能力
GB/T32919一2016 因此,为了更方便地使用控制选择和规约过程,把控制概括为十八个族
每个族包含一些与该族的 安全功能相关的安全控制
为每个控制族赋予了唯一的由两个字符组成的标识符,并对族中的每个安 全控制,采用了如下基本的描述结构 族标识符-编号(XX-NN) 控制节 补充指导节 控制增强节 其中 控制节为保护组织或工业控制系统的某个特殊方面,提供了所需要的特定安全能力的简洁陈述,描 述了要由组织或工业控制系统进行的与安全相关的活动或动作
对于某些控制,通过允许组织选择性 地定义与该控制相关参数的输人值,如使用控制中的“赋值”和“选择”操作,实现一定程度的灵活性
补充指导节提供了一些与特定安全控制相关的信息,指导组织在定义、开发和实现安全控制时适当 地使用
在一些情况中,补充指导提供了在组织运行环境、特定业务需求或风险评估中关切的安全需 求,或一些重要的注意事项,以及实现安全控制所需要的灵活性等细节
控制增强节为 a)对基本的控制构造附加的,相关的安全能力 b增强基本控制的安全能力
提供了相应的陈述
控制增强用于需要更大保护的工业控制系统
通过控制节、补充指导节和控制增强节所描述的控制,使给出的每一控制可有效地表达工业控制系 统的安全需求
本标准给出的三大安全控制类(管理类,运行类和技术类),十八个安全控制族和族标识符的对照关 系如表1所示 表1安全控制族 族标识符 安全控制族 安全控制类 AC 访问控制AccessControl 技术 教育培训AwarenessandTraining A! 运行 技术 AU 审计与问责(AuditandAccountability 管理 CA 安全评估与授权(SecurityAssessmentandAuthorization) CM 配置管理(ConfigurationManagement 运行 MA 维护(Maintenance' 运行 应急计划(ContingeneyPlanning CP 运行 IA 标识与鉴别(IdentificationandAuthentication) 技术 IR 事件响应(IncidentResponse) 运行 运行 MP 介质保护(MediaProteetion PE 物理与环境安全(PhysicalandEnvironmentalProtetion) 运行 规划(Planning PL 管理 PM 程序管理(ProgramManagement) 管理 PS 人员安全(PersonnelSecurity) 运行
GB/T32919一2016 表1(续 族标识符 安全控制族 安全控制类 风险评估(RiskAsesment) RA 管理 管理 SA 系统与服务获取(SystemandServicesAequisition) sC 系统与通信保护(SystemandcommunicationsProtetion) 技术 s 运行 系统与信息完整性(Systemand dlnformationlntegrity 安全控制基线及其设计 为了给出工业控制系统概念层面上的一种安全解决方案,即构造工业控制系统的安全程序,本标准 结合工业控制系统基本特征(参见附录A,结合以往诸多工业控制系统的安全实践,将附录B中工业 控制系统的安全控制集分为三个级别,统称为安全控制基线,即基于工业控制系统安全风险的影响程度 对安全控制的一个分级,可作为规划工业控制系统中选择安全控制的一个起始点
在设计安全控制基线中,基于了以下基本假设 工业控制系统处于物理设施内 a b) 业控制系统中的用户数据和信息是相对长久的; 工 工业控制系统是多用户运行的 工业控制系统中的用户数据和信息必须限制已授权用户的共享 工 业控制系统处于网络化环境中 e 工业控制系统自然具有一些特殊目的 组织具有必要的架构、资源和基础设施,来实现所选基线中的控制
g 基线设计的这些基本假设,影响着工业控制系统安全控制的选择,还影响着工业控制系统安全控制 的评估、监视和改进
如果 个或多个前提假设是无效的,那么附录C中所分配给该基线的一些安全 控制就可能是不适用的,针对这种情况可通过应用后续章节所述的裁勇过程以及风险评估予以处理
相应地,一些可能的情况未包含在假设内,例如 a)组织内存在的内部人员攻击; 工业控制系统处理、存储或传输的保密数据和信息; b 组织内存在高级持续性攻击(APT); c 基于法律、法规、规章,制度等特殊要求的特殊保护; dD 工业控制系统需要与其他系统进行跨安全域间通信
e 如果任何以上情况出现,就可能需要在附录B中选择一些附加的安全控制和控制增强,以确保准 确的保护;以上情况也可通过应用后续章节所述的裁剪过程特别是安全控制补充)和风险评估的结果 予以有效地处理
本标准设计的安全控制基线(具体见附录C),可应用于以下两种情况 -种情况,基于工业控制系统的安全风险评估,按风险影响程度将工业控制系统划分为低影响系 第 统、中影响系统和高影响系统
在这种情况下,低影响系统选择第一级安全控制基线;中影响系统选择 第二级安全控制基线;高影响系统选择第三级安全控制基线
第二种情况,通过定级划分准则,见GB/T222402008,已将工业控制系统划分为相应的安全等 在这种情况下,1级、2级系统选择第一级安全控制基线;3级系统选择第二级安全控制基线4级、5 级
级系统选择第三级安全控制基线
GB/T32919一2016 安全控制选择与规约 7.1 选择与规约概述 工业控制系统安全是一项系统工程,单一的产品和技术不能有效地保护工业控制系统安全,组织应 在充分挖掘工业控制系统安全需求的基础上,制定满足组织使命和业务功能需求的工业控制系统安全 战略
有效的工业控制系统安全战略,应采用深度防御及层次化的安全机制,使任一安全机制失效的影 响最小化
工业控制系统安全应在组织工业控制系统安全战略指导下,通过适当组合配置的安全控制 予以实现 组织在充分考虑工业控制系统的特殊性、安全需求和工业控制系统与传统信息系统间的差异性(参 考附录A,或参阅其他相关文献资料)的基础上,通过风险评估梳理工业控制系统及相关资产,针对工业 控制系统存在的脆弱性,分析工业控制系统面临的威胁和风险,评估风险发生的可能性以及风险发生可 能造成的影响和危害,副定风险处置原则和处置计划,将工业控制系统安全风险控制在可接受的水平 本标准附录c中给出的安全控制基线,仅是为了工业控制系统的安全需求规约作为进行安全控 制选择与规约的起始点
因此,为了使组织的工业控制系统是安全的,就必须实施选择并规约安全控制 和控制增强的过程,该过程包括以下三个子过程 选择初始安全控制基线; a 裁剪所选择的初始安全控制基线 b 补充经裁剪的安全控制基线
安全控制选择与规约过程可概括为图2所示 初的的客全控 应用 组织的风险 已裁剪的安全 协调一致的安 制基线 控制基线 全控制集 裁剪指导 评估 低、中、 低、中、 低、中、 高 高 高 补杰已戴到 界定范围指导 基线控制, 补偿控制 裁剪后 裁剪前 风险评估后 以缓解不可 参数化 接受的风险 建立安全控制决定的文档 理由:工业控制系统协调一致的安全控制集为组织运行、资产、个体、其他 组织和国家提供准确的保护 图2安全控制选择与规约过程 7.2安全控制选择 选择基线安全控制是选择并规约安全控制的第一步,组织依据工业控制系统信息安全定级或工业 控制系统风险评估结果,根据安全控制基线的应用指导(参见第6章),从附录C中三个安全控制基线 中选择一个合适的基线控制集
选择基线安全控制集时应注意第6章所描述的前提假设
GB/T32919一2016 7.3安全控制裁剪 7.3.1裁剪过程 在从附录C中选择基线安全控制的初始集后,组织开始基线安全控制的裁剪过程
裁剪过程包括 以下3个活动 依据所选择的基线安全控制,应用界定范围的指导,获得初步可用的控制集; a 需要时选择补偿安全控制,以调整初步可用的控制集,获得更可实现的控制集 D 通过显式的赋值陈述和选择陈述,规约安全控制中的参数,完成所选基线的定义
c 7.3.2界定范围的指导 界定范围的指导,就所选安全控制基线中每个安全控制的适用性和实现,为组织提供了特定的条款 和条件
应用界定范围的指导,是基于工业控制系统所支持的业务功能和系统运行环境,从初始安全控制基 线中删除一些不必要或不适用的安全控制,有助于确保组织仅选择那些可为工业控制系统提供合适程 度保护所需要的控制
下面给出一些界定范围的考量,它们可潜在地影响如何应用所选的安全控制基 线以及如何实现安全控制
与控制和应用范围有关的考量 a 工业控制系统概念是个多层次抽象概念,既包括多个系统组成的复杂系统,又包括单个板卡组成的 简单系统
越来越复杂的工业控制系统需要仔细分析在风险管理不同等级(组织级、业务流程级和系统 级)中的安全控制的分配和应用
初始安全控制基线中的控制适用于工业控制系统层面,但未必适用于 系统组件层面
基线中的一些控制,对工业控制系统范围内的每个系统部件,给出了并非必要的一些控 制
一些安全控制仅适用于工业控制系统部件,提供或支持由该控制所强调的安全能力,并缓解潜在的 风险
例如,通常把审计控制作为工业控制系统的一个部件,以提供审计能力,并不适用于组织内每个 用户层的工作站;或当工业控制系统的部件是单一用户的、无网络连接或是物理隔离网络的一部分时 这些特征可为不把所选择的控制应用到那些部件中提供合适的理由
组织应评估工业控制系统部件清 单,以确定安全控制是否适用于各种不同的部件,而后就如何应用控制做出明确的决策,以满足组织的 安全需求
b与安全目的有关的考量 基线中的一些控制仅独特地支持保密性、完整性或可用性的安全目的,对此可把它们降级为低基线 中对应的控制(或如果在低基线中没有给出定义的话,予以删除或修改)
该降级、修改或删除的动作当 且仅当以下情况成立才进行 安全控制所完成的安全目的可以由组织风险评估所支持 不会对工业控制系统相关安全保护水平造成不利影响
2 例如,一个工业控制系统被评估为中等影响,其可用性和完整性为中等影响,其保密性为低等影响
那些仅与保密性相关的安全控制在不影响安全性目标的前提下可以降低到低级别的基线要求
以下安 全控制可作为降级的候选控制 与保密性相关的安全控制包括;AC18,MA-3e)、MP3、MP4、.MP5,MP-5d),MP6、PE-4、 PE-5,sC-4,sC-9,sC9a)等; 与完整性相关的安全控制包括;CM-5,CM-5a),CP8a)、SC-8,SC8a),S1-7、S1-7a),S1-7d),SI 8等; 与可用性相关的安全控制包括:CP2a),CP2b),CP2e),CP-2d),CP2e),CP2f),CP3a),CP a),CP4b),CP6,CP6a),CP6b),CP6e),CP7,CP7a),CP7D),CP-7e),CP8,CP8b),CP
GB/T32919一2016 8c),CP8d)、CP8e)CP8f)、CP9a)CP9b)CP-9e).CP9d)、MA-6、PE-9、PE-10、PE-11 PE-12,PE-13,PE-14,PE-16等
与技术有关的考量 安全控制涉及了一些特定的技术(如;无线,加密,PKI等),这样的控制仅当在工业控制系统内使用 时或需要时,它们才是适用的
一些控制可通过自动化机制予以支持,如果这样的机制不存在,或市场 上或政府采购产品目录中现在没有或还不能应用时,并不要求开发这样的机制
例如,为了维护最新 的,完备的、精确的,现时可用的工业控制系统基线配置,可能使用一些自动化机制
如果自动化机制不 是现时可用的,合算的或技术上不是可行的,就需要使用一些补偿的安全控制,通过非自动化机制或规 程予以实现的,以便满足所规约的安全控制的需求(参见补偿安全控制相关章节)
d与物理基础设施有关的考量 基线中的一些控制涉及了组织物理基础设施(例如,物理控制,诸如上锁和门禁;有关温度、湿度、照 明,防火以及电力等),仅适用于那些存放设施的地方,直接为工业控制系统(包括诸如场站等信息技术 资产)提供保护和支持,或直接与工业控制系统有关
与策略和规章有关的考量 e 基线中的一些控制强调了某些法律、法规、方针,政策、标准等要求,仅当这些控制的应用环境与相 关法律、法规、方针,政策、标准一致时才需要
f与运行环境有关的考量 基线中的一些安全控制依赖于运行环境,仅当在环境中使用该工业控制系统时才适用
例如,一些 物理安全控制不适用于那些基于空间的系统,一些温度和湿度的控制不适用于室内设施之外的远程传 感器
与共用控制相关的考量 g 共用控制是指那些可以被组织内多个工业控制系统继承使用的安全控制
如果一个工业控制系统 继承了共用控制,那么其安全性能是由另一个实体提供的,该系统就不需要显式地实现该控制
共用安 全控制的标识与定义会影响组织的整体资源支出
将安全控制指定为共用安全控制的决策可能会极大 地影响单个工业控制系统安全控制基线的组成
7.3.3安全控制补偿 补偿安全控制是由组织选择使用的、用于替代所选安全控制基线中一些特定的安全控制,为工业控 制系统所处理、存储或传输的信息提供等价的或可比的保护 当组织无法有效地实现初始安全控制基线中具体的安全控制时,或者当组织工业控制系统和运行 环境存在特殊性时,或者当初始安全控制基线中具体的安全控制不能高效地实现风险减少或缓解时,也 就是基线中的控制不是一种合算的措施或对策时,组织可以选取补偿安全控制
并为每个补偿安全控 制在工业控制系统安全计划中详细描述选取的原因,以及补偿安全控制如何提供等价保护的说明
通常,在应用界定范围的考量后,组织就可能发现有必要选择并使用补偿安全控制
组织应如此使 用补偿安全控制 首先,要从附录B中来选择补偿控制,其中如果没有合适可用的补偿控制,组织才可采用其他源中 合适的补偿控制; 其次,组织为补偿控制如何为工业控制系统提供等价的安全能力以及为什么不能使用该基线安全 控制,给出支持理由 最后,组织评价并接受在工业控制系统中使用补偿安全控制所带来的相关风险
7.3.4安全控制参数赋值 安全控制基线中的部分安全控制和控制增强包含嵌人参数(例如:赋值和选择陈述),例如,审计失
GB/T32919一2016 效响应(AU-5) 审计失效响应(AU-5) 控制 工业控制系统: 对于审计处理失效的事件,向【赋值:组织定义的人员】报警; a b 采取《狱值;组织定义的动作,倒如,停止系统的运行,重写原有的审计记录,停止生成新的 审计记录等】 安全控制参数为组织定义控制和控制增强的一定部分提供了灵活性,以便支持特定组织的需求 在应用界定范围考量后,组织应评审带有赋值和选择陈述的安全控制和控制增强,并为所标识的参 数确定组织定义的值
参数值可根据相关法律、法规,规章、制度,政策或标准予以规定
-旦组织为安全控制和控制增强定义了参数值,那么这些定义的赋值和选择就成为安全控制和控 制增强的有机部分
通常,组织应在选择补偿控制前,规约安全控制参数值,因为安全控制参数的规约完成了安全控制 的定义,可能会影响补偿控制的需求
对于以上章节所述裁剪过程的实施,应当注意以下事项: 在实施初始安全控制基线的裁剪过程前,应与组织相关领导协商裁剪活动,并得到批准 a b)组织不能随意为运行方便而移出安全控制
安全控制的裁剪决策应基于业务需要,是可论证 的,并是伴同明确的,基于风险的评估决定 裁剪决策,包括决策理由,以及裁剪出的安全控制及其理由,均要记录在组织工业控制系统安 全计划中,并作为安全计划批雅过程的一部分,得到负责领导的审批
综上,有关安全控制裁剪过程的应用,如图3中突出部分 初始的安全控 已裁剪的安全 协调一致的安 应用 组织的风险 制基线 控制基线 全控伟制集 裁剪指导 评估 低、中 低、中、 (低、中、 高 高 高 补已裁剪 界定范围指导 基线控制, 补偿控制 裁剪前 裁剪后 风险评估后 以纲解不 不可 参数化 接受的风险 建立安全控制决定的文档 理由:工业控制系统协调一致的安全控制集为组织运行、资产、个体、其他 组织和国家提供准确的保 图3安全控制裁剪过程 7.4安全控制补充 裁剪后的安全控制基线,仅确定一个工业控制系统所需要的安全控制集的基础或起始点
只有在 组织风险评估的指导下才能最后确定合适的安全控制集
在控制选择过程中的风险评估,为确定裁剪 后的基线安全控制的充分性,提供了重要的输人
在许多情况中,为强调特定的威胁和脆弱性,为满足 法律、法规、方针、政策、标准和规章制度等要求,需要补充一些附加的安全控制和控制增强
组织应最 1o
GB/T32919一2016 大化地使用附录B中所给出的安全控制,以支持补充和增强安全控制过程,向经裁剪的安全控制基线 中增加安全控制和控制增强
为了补充已裁剪的安全控制基线,组织可使用需求定义法或空隙分析法选择安全控制和控制增强
在需求定义法中,组织获得有关敌对方活动的特定、可靠的威胁信息(或做出一种有根据的假设),以及 -定能力或攻击的潜能(例如技能水平、经验、可用的资源等)
为了有效地抵御具有所陈述能力和潜能 敌对方的攻击,组织应从附录B选择一些附加的安全控制和控制增强,以获得这样的安全能力
相对于需求定义法,空隙分析法以组织当前安全能力的评估开始,基于初始的安全能力评估,组织 确定可预见的威胁类型
如果组织当前的安全能力是不充分的,那么通过空隙分析就可确定所需要的 安全能力
然后,组织从附录B中选择一些所需要的安全控制和控制增强,以达到期望的安全能力
存在一些情况,为了充分保护组织使命和业务功能组织使用了一些超出其能力的信息技术,即组 在这些情况中,就需要一种 织在工业控制系统中不能应用充分的安全控制来精确地减少或缓解风险
可选的安全战略,来预防组织使命和业务功能遭受负面影响
当安全控制在技术,资源约束下不能实现 时或当控制缺乏期望的有效性来抵御已标识的风险时,应限制技术应用或限制工业控制系统的使用,来 减少或缓解风险
可使用的限制包括 限制工业控制系统可处理、存储或转送的信息; a b)限制组织使命和业务功能的自动化方式 c)禁止移动工业控制系统或系统部件; d)禁止外部网络访问组织工业控制系统 e)禁止工业控制系统部件里中,高影响的访问
综上,对经裁剪的安全控制基线的补充,如图4中突出部分 初始的安全控 已裁莉的安全 应用 组织的风险 协调一致的安 制基线 控制线 全控制集 裁剪指导 评估 中、 低、中、 低、中、 补充已裁剪 界定范围指导 基线控制 裁剪前 裁剪后 风险评估后 补偿空制 以缓解不可 参数化 接受的风险 建立安全控制决定的文档 理由;工业控制系统协调一致的安全控制集为组织运行、资产、个体、其他 组织和面家提供准确的保护 图4安全控制补充过程 7.5建立安全控制决策文档 由于安全控制的描述相对精炼、抽象,可能缺乏实现安全控制的足够信息
组织应在工业控制系统 安全计划中详细描述安全控制的实现目的、实现细节、适用范围以及安全控制与安全需求间的切合度等 安全控制实现相关的规范信息
但在描述安全控制的规范信息时,不能更改安全控制的原始意图
在安全控制选择过程期间,组织应建立所有安全控制的决策文档,为这些决策提供有力的理由 当 存在对组织使命和业务功能的潜在影响,或在检查工业控制系统整个安全考量时,或当工业控制系统进 行重大变更时,或当定期审核工业控制系统安全时,该文档均是基本的支撑资料
最终选择安全控制集 1l
GB/T32919一2016 及其选择过程的支持理由,以及任何工业控制系统的使用限制,均应记录在该工业控制系统安全计划 中
该过程如图5中突出部分 初始的安全控 已裁剪的安全 协调一致的安 组织的风险 应用 制线 裁剪指导 评估 控制基线 全控制集 低、中 低、中 中 高 高 补充已裁剪 界定范围指导 基线控制 裁剪前 补偿控制 裁剪后 风险评估后 以缓解不可 参数化 接受的风险 建立安全控制决定的文档 理由,工业控制系统协退一致的客全制集为组织运行、资产、个体、其他 组织和面家提供准确的保护 图5建立安全控制决策文档 安全控制选择过程应用 安全控制选择过程可从两个不同的角度,应用于组织的工业控制系统
一个角度是新系统的开发, 另一个角度是在运行系统
对于新开发系统,由于系统并不存在,并且组织没有进行初始的安全定级, 因此要从需求定义的视角来应用安全控制选择过程
包含在工业控制系统安全计划中的安全控制,作 为组织的安全规格说明,应用在设计、开发,实现运行等系统生命周期各阶段 对于在运行系统.
要用空隙分析达来应用安全控制选择过程
由于系统已 ,当系统发生重大变更时, 经存在,组织已完成了安全定级和安全控制选择过程,其结果已在系统安全计划中,并在系统中予以实 现
因此,可以用以下方式应用空隙分析 首先,基于当前系统处理,存储和传输的不同业务类型,重新评估、确认系统安全级别,必要时调整 系统安全级别
其次,重新评审现有安全计划.以确保系统风险保持在可接受的水平,分析当前使用的、相关联的安 全控制与安全需求间的切合程度,记录需增加的安全控制,整理并调整到安全计划中
必要时重新实施 风险评估,重新制定安全计划
最后,实现经调整的或重新制定的安全计划中的安全控制,在措施和里程碑计划中记录任何没有实 现的安全控制,并与新开发系统相同的方式继续其余步骤
12
GB/T32919一2016 附 录A 资料性附录 工业控制系统面临的安全风险 A.1工业控制系统与传统信息系统对比 大多数的工业控制系统均在网络、个人计算机和互联网普及以前开发并使用,设计之初主要用于解 决高效、稳定,可靠,安全等需求
通常情况下,它们与外部网络物理隔离,并且运行在专有的、具有基本 错误检测和处理能力的软、硬件平台和通信协议上,缺乏面对当前互联网时代所需要的安全通信能力
虽然这些系统设计时关注了可靠性、可用性和可维护性,但没有预料到在解决性能和故障统计等需求时 需要面对的信息安全问题
在当时,工业控制系统安全仅意味着物理上专有网络访问和系统控制台 功能 工业控制系统在20世纪80年代和90年代与微处理器、个人计算机和网络技术同步发展,在90年 代后期,互联网技术开始融人到工业控制系统的设计中
这些新技术带来的变化使工业控制系统面临 的新威胁,并增加了工业控制系统受到损害的可能性
最初,工业控制系统使用专门的硬件和软件系统,类似于独立运行的专用控制协议
随着低成本的 互联网协议设备正在取代专有设备的解决方案产生,网络安全漏洞和安全事件发生的可能性不断增加
随着工业控制系统开始采用Ir解决方案来促进企业连接和远程访问等功能,设计并使用标准计算机 操作系统和网络协议,工业控制系统越来越像IT系统
这些支持新的IT功能技术的集成,工业控制 系统与之前相比减少了封闭性,也产生了新的安全需求
虽然传统IT系统已具备解决这些安全问题 的解决方案,但在工业控制系统中引人这些解决方案必须考虑工业控制系统的特殊性
在某些情况下 需要针对工业控制系统的特殊性裁剪这些安全解决方案
工业控制系统与传统IT系统相比存在许多特殊性,包括不同的风险和优先级,不同的性能和可靠 性要求等
下面列出了解决工业控制系统安全需要考虑的特殊性 性能需求 a 工业控制系统通常是严格按照时序要求的,可接受的延时和抖动标准与具体系统相关,系统需要确 定的响应,高处理能力通常不是必须的
而传统IT系统需要高处理能力,而能够接受一定的延时和 抖动
可用性需求 b 很多工业控制系统具有工作连续性,意外的中断往往是不可接受的
中断是按计划进行的,并提前 数日或数周完成规划安排
详尽的部署测试是必不可少的,以确保高工业控制系统的高可用性
在某 些情况下,工业控制系统所生产的产品或所使用的设备比系统处理或传递的信息更重要
因此,工业控 制系统对高可用性、可靠性和可维护性要求,使用典型的IT策略,如重新启动组件,通常是不可接受的 解决方案
部分工业控制系统采用冗余组件,并保持并联运行,以保证在主组件异常或不可用时保证系 统运行的连续性
风险管理需求 c 在典型的IT系统中,数据机密性和完整性通常是首要关注问题
而工业控制系统首要关注问题 是防止危害生命、公众健康或信心,监管合规,防止设备、产品或知识产权的损失等
d)安全焦点 在典型的IT系统中,安全焦点是保障IT资产的正常运行,并保护这些资产中处理、存储或传输的 信息
在某些体系架构中,存储和处理的信息更为关键,并得到更多的保护
对于工业控制系统,边缘 13
GB/T32919一2016 设备(如PLC操作员站,DCS等)直接负责控制过程而需要仔细保护
由于可能对每个边缘设备产生 不利影响,对工业控制系统中央服务器的保护也非常重要
物理交互 典型的IT系统往往与环境没有物理上的相互作用
而工业控制系统可能与物理环境间有非常复 杂的相互作用
因此,集成到工业控制系统中任何安全功能必须进行严格测试,以确保安全功能不会影 响工业控制系统的正常功能
f时间确定性响应 在典型的IT系统中,实现访问控制时不必过多关心数据流的情况
而在工业控制系统中,系统自动 响应时间或者系统对人类交互的响应是非常关键的,如;在HMI中的身份验证和授权不得妨碍或干扰工 业控制系统的紧急措施,信息流不能中断
因此,工业控制系统安全控制的运用应受到严格的的限制
系统运行 工业控制系统的操作系统和应用程序可能无法容忍典型IT系统的安全实践
控制网络往往比较 复杂,需要不同的专业知识(例如,控制网络通常由控制工程师管理,而非Ir人员 在运行的控制网 络中,软件和硬件的升级更困难
许多系统可能不具有必要的功能,包括加密功能、错误日志记录和 码保护等IT系统中最基本的功能
h)资源约束 工业控制系统和它们的实时操作系统往往是资源受限的系统,通常不包括典型IT系统的安全能 力
在工业控制系统组件上可能没有可用的计算资源来改造现有的安全功能
此外,在某些情况下,因 为工业控制系统供应商许可证和服务协议,第三方安全解决方案是不允许的
通信 i 用于工业控制系统现场控制和处理器间通信的通信协议是专有的,与典型的IT系统通信协议完 全不同
变更管理 无论是IT系统还是工业控制系统,变更管理都是保证完整性的重要措施
未安装补丁的软件是 一个巨大的安全漏洞
通常采用适当的安全策略和程序及时进行IT系统软件的更新,包括安全补丁 更新
此外,这些更新通常使用基于服务器的工具来自动实现
因为更新需要进行全面的测试和计划, 工业控制系统的更新往往不及时
另外,由于工业控制系统通常使用旧版的操作系统,供应商已停止技 术支持,因此,更新程序往往不适用于工业控制系统
因此,工业控制系统的变更(包括硬件、固件和软 件的变更)过程需要经过工业控制系统专家、信息安全专家和信息系统专家的仔细评估
k)服务支持 典型的IT系统允许多样化的支持方式
而对于工业控制系统,服务支持通常来自于单一供应商
可能不存在多样化的支持方式
) 组件生命周期 由于技术的快速演变,典型的1T组件只有3年~5年的生命周期
而工业控制系统组件的生命周 期往往有15年20年,甚至更长
m)组件访问 典型的IT系统组件通常是本地的和易于访问的,而工业控制系统组件可能是分离的,远程的,对 它们的访问需要大量的外部尝试
A.2信息系统安全威胁与防护措施对工业控制系统的影响 工业控制系统运行引发出许多与大多数IT系统不同的安全挑战
例如大多数安全措施是为对付 因特网上黑客制定的
因特网环境与工业控制系统运行环境是极其不同的
所以在安全行业中对安全 14
GB/T32919一2016 需求以及安全措施可能影响工业控制系统运行的特殊要求,通常是缺乏认识的
拒绝服务的影响 a 已经制定的安全服务和技术主要是为了并不具有许多严格性能和可靠性要求的行业,而这些恰恰 是工业控制系统运行所需要的
例如;与授权客户不能访问其银行账户相比,使授权调度员无法访问工 业控制系统远端站场控制有可能造成更为严重的后果
所以拒绝服务的威胁远比许多典型因特网交易 更为巨大
加密传输 b 使用工业控制系统的行业中使用的许多通信信道是窄带的而且端设备经常受到内存和计算机能力 的限制,从而由于某些安全措施所需的开销而不允许采用,如加密和密钥交换
密钥管理 c 大多数系统和设备是位于地域广大而分散、无人的远方场所,且根本没接人到因特网
这使得密钥 管理,证书撒消和其他一些安全措施难于实现
d)公网联接 许多系统都由公共线路通信通道连接(条件所限无专网),由于协议不兼容,所以工业通用的网络安 全揩施(协议)不能工作
无线通信的影响 e 虽然无线通信正广泛为许多应用所使用,但工业控制系统使用这些无线技术的场所和所实现的功 能,有较多限制;部分是因为远端站场恶劣的电磁环境对可用性的潜在影响(如变电站的高电噪声环 境);部分是因为一些应用要求非常快速且极其可靠的响应(吞吐量,即使许多无线技术具有相应的安 全措施,也可能因为增加系统开销而未实现
A.3工业控制系统面临的威胁 随着工业控制系统网络化、系统化、自动化、集成化的不断提高,其面临的安全威胁日益增长
从发 生的典型事件看,针对工业控制系统的安全威胁主要来自五个方面 自然环境因素; b 人 为错误或疏忽大意; e)设备故障; d)病毒等恶意软件; 敌对威胁,如黑客、僵尸网络的操控者,犯罪组织,国外情报机构、恶意软件的作者、,恐怖分子、 e) 工业间谍、内部攻击者等
表A.1详细列出了工业控制系统可能面临的威胁
表A.1工业控制系统可能面临的威胁 威胁源 描述 具有攻击性的内部员工是计算机犯罪的主要来源之一
内部攻击者了解目标系统,往往被允 许不受限制的访问系统,所以并不需要掌握太多关于计算机人侵的知识,就可以破坏系统或 内部攻击者 窃取系统数据
内部人员威胁也包括外购产品的供应商 黑客人侵往往是为了获得刺激和成就感
大多数这类攻击者本来不具备专业攻击技术,现在 却可以从互联网上下载攻击脚本和程序,向目标发起攻击;而且攻击工具越来越高级和更容 黑客 易使用
并且黑客的数量庞大,分布在全球即使是独立或短暂的攻击破坏,也会导致严重的 后果,总体上形成了相对较高的安全威胁 15
GB/T32919一2016 表A.1(续 威胁源 描述 僵尸网络的操控者通过操纵大量系统进行协同攻击、散布钓鱼网、垃圾邮件和恶意软件
有 僵尸网络的操控者 时候他们利用这些受控制的系统和网络,在黑市上将拒绝服务攻击,垃圾邮件攻击或者网络 钓鱼攻击等进行买卖交易 居心不良的个人或组织通过制造并传播恶意软件对用户实施攻击
一些破坏性的恶意软件 恶意软件的作者 会损害系统文件或硬件驱动器控制关健过程、开启执行程序以及控制系统所控制的设备等 恐怖分子试图破坏,、致瘫或利用关键基础设施来威胁国家安全,引起大规模人员伤亡,削弱国 恐怖分子 家经济,降低民众的士 与信心
恐怖分子可能利用钓鱼网站和恶意软件来获取资金或搜集 目标以转移对其他目标的关注程度和保护力度 也可能会伴佯攻 工业间谍 工业间谍通过暗中活动的方式企图获取有情报价值的资产和技术秘密 犯罪组织一般为了获取钱财攻击系统, ,他们往往利用垃圾邮件,网络钓鱼,恶意软件来实施身 份盗窃和网上欺诈行为
国际间谍组织和犯罪组织也会进行工业间谍活动,大规模的盗窃金 犯罪组织 钱,雇用或培养黑客人才,从而对国家安全造成威胁 国外情报机构等国家力量利用计算机作为信息收集和间谍活动的一部分,个别国家致力于发展 境外国家力量 信息战,通过破坏供给,通信和经济基础设施,对目标国人民的日常生活造成非常重大的影响 A.4工业控制系统脆弱性分析 工业控制系统脆弱性概述 A.4.1 本章列出的脆弱性是典型工业控制系统可能存在的,这些脆弱性的列出顺序不反映脆弱性发生的 优先性以及脆弱性发生后造成影响的严重性
本章主要从策略和规程、网络和系统平台三方面陈述工 业控制系统中可能存在的脆弱性
实际应用的工业控制系统都会遇到所述脆弱性中的一部分,但也可 能包含下文没有提到的系统独有的脆弱性
A.4.2策略和规程脆弱性 表A.2描述了工业控制系统策略和规程存在的脆弱性
表A.2工业控制系统策略和规程脆弱性 脆弱性 描述 不精确的工业控制系统安全 不精确的策略经常会把脆弱性引人到工业控制系统中 策略 没有依据工业控制系统的安全 建立有效安全程序的一个根本措施是;编制明确、具体的安全规程文档,并据此对 策略,编制明确、具体、书面的安 有关人员进行培训 全规程文档 设计一种文档化的正式安全培训和学习程序,可以使有关人员掌握当时组织上的 没有对工业控制系统进行正式安全策略和规程,掌握工业上信息安全标准和建议的实践
如果没有针对特定工 的安全培训 业控制系统策略和规程进行培训,就不能期望有关人员来维护一个安全的工业控 制系统环境 16
GB/T32919一2016 表A.2(续 脆弱性 描述 控制工程人员缺乏安全方面的基本培训,设备和系统供应商的产品中没有必要的 不合理的安全体系架构设计 安全特性 没有工业控制系统设备安装使 设备安装使用指导文件应及时更新、随时备用
这些指导文件是解决工业控制系 用指导文件或工业控制系统设 统故障的恢复程序中所必不可少的 备安装使用指导文件有缺陷 缺少安全实施的管理机制 安全方面的实施负责人员应对文档化安全策略和规程承担相应责任 没有工业控制系统特定的持续编制,测试DRP,确保在主要硬件、软件失效中或在服务设施毁坏中是可用的
如 运行或灾难恢复计划(DRP 果工业控制系统缺少DRRP,就可能导致宕机次数增加,导致生产力的丧失 独立的安全审计应评审和检查系统的记录和活动,确定系统控制的准确性,并确 未对工业控制系统进行审计 保符合已建立的工业控制系统安全策略和规程
审计人员还应当经常检查工业 控制系统安全服务是否缺失,并提出改进建议,这样能够使安全控制措施更有效 应当制定并严格执行工业控制系统硬件、固件,软件的变更控制程序和相关程序 没有明确具体的配置变更管理 文件,以保证工业控制系统得到实时保护,配置变更管理程序的缺失将导致安全 程序 监管疏忽,信息暴露和安全风险 A.4.3网络脆弱性 表A.3,表A.4、表A.5、表A.6,表A.7分别描述了工业控制系统网络硬件、网络结构、网络边界、通 信和无线连接及网络设备配置五个方面的脆弱性
表A.3工业控制系统网络硬件脆弱性 胞弱性 描述 网络设备物理保护 应该对网络设备的物理访问进行控制,以防止破坏网络设备 不足 缺少环境控制会导致处理器失常
例如,一些处理器在过热情况下会自动关闭实现自我保 缺少环境控制 -些处理器则会烧毁 护, 不安全的物理端口 不安全的通用接口如UsB.,Ps/2等外部接口可能会导致未授权的设备接人 无关人员可以物理不合适的对网络设备的物理访问会导致;数据和硬件窃取、数据和硬件的物理损伤破坏,对安 访问网络设备 全环境的篡改、未授权的阻止或控制网络行为以及关闭物理数据链路等 表A.4工业控制系统网络结构脆弱性 脆弱性 描述 薄弱的网络安全因业务和操作需要对工业控制系统网络架构的开发和修改,可能在不经意间将安全漏洞引人 网络架构的某一部分中 架构 控制数据与非控制数据有着不同的要求,比如可靠性程度不同
因此,在同一个网络中传输 在控制网中传输非 两种流量会存在难以对网络进行配置的问题
例如,非控制流量可能会大量损耗控制流量传 控制数据 输所需要的资源,导致工业控制系统功能中断 17
GB/T32919一2016 表A.4(续 脆弱性 描述 IT网络服务应用在IT网络中实施的服务,如DNS,DHCP等,在控制网络中被使用时,可能引人额外的严重安全 控制网络中 漏洞 重要网络链路或设 在重要的网络中没有链路或设备冗余备份可能遭退单点故障 备设有冗余配置 表A.5工业控制系统网络边界脆弱性 脆弱性 描述 安全边界定义不控制网络边界定义不清晰,将难以保证必要的安全措施被合适的实施或配置,会导致对系统 和数据的未授权的访问和其他问题 清晰 缺少或未配置合适的边界访问控制措施会导致无用数据在网络间传递
这会引起多种问题 网络边界访问控制 如攻击和病毒在网络中扩散,可以在其他网络中对控制网中敏感数据进行监控和窃听及对系 措施不当 统进行非法访问等 表A.6通信和无线连接脆弱性 脆弱性 描述 使用标准的,有文档攻击者可以使用协议分析器或者其他设备解码ProfBus,DNP,Mobu等协议传输的数据,实 记载的明文通信现对工业控制系统的网络监控
使用这些协议也可以使攻击者更容易攻击工业控制系统或 协议 控制工业控制系统网络行为 缺少用户、数据或设 许多工业控制系统协议不具备认证机制
没有认证,就会存在重放或算改数据的可能性 备的认证 缺少通信完整性 大部分的工业协议不具备完整性检查机制
攻击者可以操纵这种没有完整性检查的通信 保护 无线连接客户端与无线客户端与接人点之间需要完整的相互认证,保证客户端访问的不是攻击者伪造的接人 接人点间认证不足 点 .同时也保证非法人侵者无法访问工业控制系统无线网络 无线连接客户端与 接人点间数据保护 无线客户端与接人点间传递的敏感数据未采用加密保护,攻击者监听明文信息造成信息泄露 不力 表A.7工业控制系统网络设备配置脆弱性 脆弱性 描述 没有使用数据流 未采用数据流控制机制,如利用访问控制列表(ACL),限制系统或人对网络设备的直接访问 控制 IT安全设备配置使用缺省配置往往导致主机上运行了不必要的开放端口和可能被威胁所利用的网络服务 不当 不当的防火墙配置规则和路由器访问控制列表将允许不必要的流量通过 没有备份网络设备没有制定和实施网络设备配置备份和恢复规程,对网络设备的配置偶然或者恶意的修改可能 配置 造成系统通信中断并无法及时恢复 18
GB/T32919一2016 表A.7(续 脆弱性 描述 传输中没有对口令以明文传输的口令很容易被攻击者窃听,攻击者会利用这些口令对网络设备进行非法访问
进行加密 通过这种访问,攻击者可以破坏工业控制系统操作或者监视工业控制系统网络行为 密码应定期更换,这样,即使未授权用户获得密码,也只有很短的时间段内可以访间网络设 网络设备口令未及 备
未定期更换密码可能使黑客破坏工业控制系统的操作或监视器工业控制系统的网络 时更新 活动 采用的访问控制 通过非法访间网络设备,攻击者可以破坏工业控制系统操作或者监视工业控制系统网络行为 不足 A.4.4平台脆弱性 表A.8,表A.9,表A.10,表A.l1分别描述了工业控制系统平台硬件、平台软件、平台配置及平台病 毒防护四个方面的脆弱性
表A.8工业控制系统平台硬件脆弱性 脆弱性 描述 重要系统安全保护 许多远程设备没有配备专门的运行维护工作人员,也没有物理监视技术手段 不足 缺少适当的环境控制措施会导致处理器不能正常工作
例如温度过高时,一些处理器会自动 缺少环境控制 关闭,一些会烧熔 考虑到有紧急关闭或重启之类的安全要求,应保证只有必要的人员可以物理访问工业控制系 未授权人员对设备统设备
对工业控制系统设备访问不肖会导致;数据和硬件窃取.数据和硬件的物理损伤郁 的物理访问 破坏、对功能环境例如;数据连接,可移动介质的未授权使用,增加/移除设备)的非法篡改、 物理数据链路关闭、检测不到的数据拦截或窃听(键盘输人或其他录人方式) 无线频率和电磁 无线电磁波会损害控制系统中的硬件
造成的影响轻则扰乱命令和控制,重则对电路板造成 脉冲 永久损坏 缺少备份电源 重要资产缺少备份电源,一旦停电工业控制系统就会关闭,导致不安全事件发生 重要组件没有冗余配置重要的组件没有备份会导致单点故障 表A.9工业控制系统平台软件脆弱性 描述 脆弱性 缓冲溢出 工业控制系统软件可能存在缓存溢出的问题
攻击者可以利用这一点实施攻击 缺省配置为关闭的 如果关闭或者不使用产品自带的安全功能,那么这样的安全功能将不能起到作用 安全功能 工业控制系统软件可能遭受Ds攻击,导致系统不能被合法用户访问,或者系统操作和功能 拒绝服务攻击 延迟 对未定义、定义不明 或“非法”情况的错 些工业控制系统实施可能遭受格式错误或者包含非法域值的包的攻击 误处理 19
GB/T32919一2016 表A.9(续 脆弱性 描述 依赖RPc和DcOM 不升级系统补丁,RPC/COM的脆弱性可能被利用来攻击OPC 的OPC DN.0.Mlus.IBcs70手1.Ec870子1和其他一些协议在工业中被普遍使用,而 使用不安全的工 N 控制系统协议 且协议的相关信息随处可得
这些协议只有很少或根本不包含安全功能 使用明文 许多工业控制系统协议以明文方式传递信息,导致消息很容易被攻击者窃听 配置和程序软件的 认证和访问控制攻击者可以通过非法访问配置和程序软件破坏设备或系统 不足 没有安装人侵检测 人侵行为会导致系统不可用,数据被截获、修改和删除,控制命令的错误执行 和防御软件 工业控制系统安全 不法供应商为了各种目的,给系统设置的后门,这些后门的危害特别大 后门 工业控制系统采用的部分通信协议,由于设计原因存在安全脆弱性,这些协议脆弱性可能被 通信协议脆弱性 攻击者利用,造成系统的不可用,数据被截获、修改和删除,控制系统执行错误的动作等等 表A.10工业控制系统平台配置脆弱性 脆弱性 描述 没有及时安装操作系 未及时补丁的操作系统和应用可能包含新发现的脆弱性,这些脆弱性可能会被攻击所利用 统和应用安全补丁 没有经过彻底的测 试就安装了操作系操作系统和应用的安全补丁不经测试就安装可能会对工业控制系统的正常操作产生影响 统和应用安全补丁 使用缺省配置 缺省配置中往往会开放不安全或者不必要的端口,服务和应用 重要的配置没有被没有制定和实施工业控制系统软硬件配置备份和恢复规程,对系统参数意外或者恶意的修改 存储或备份 可能造成系统故障或数据丢失 便携设备上数据未假如敏感数据(密码,拨号号码)以明文方式存储在了移动设备上,比如笔记本,PDA,那么 受保护 旦这些设备丢失了或者被偷了,系统安全就会遭受极大威胁 没有口令策略,系统就没有了合适的口令控制,使得对系统的非法访问更容易
口令策略是 令 缺少恰当的口 整个工业控制系统安全策略的一部分,口令策略的制定应考虑到工业控制系统处理复杂口令 策略 的能力 应该在工业控制系统组件上使用口令以阻止非法访问
口令相关的脆弱性包括;系统登录无 未使用口令 口令(如果系统有用户账户);系统启动无口令如果系统没有用户账户);系统待机无口令如 果工业控制系统组件一段时间内没被使用 应该保证口令的安全,防止非法访问
包括:以明文方式将口令记录在本地系统;和同事的个 口令使用不当 人账户使用同一的口令;在收受贿赂后,将口令交给潜在攻击者;在未受保护的通信中以明文 方式传输口令 访问控制方法不当,可能使工业控制系统用户具有过多或过少的权限
如采用缺省的访问控 访问控制不当 制设置使得操作员具备了管理员特权 20
GB/T32919一2016 表A.10(续) 描述 脆弱性 设有安装人侵检测 人侵行为会导致系统不可用,数据被截获、修改和删除,控制命令的错误执行 和防御软件 不安全的工业控制系统工程师或厂商在无安全控制措施的情况下,实施对工业控制系统的远程访问,可能致工 系统组件远程访问 业控制系统访问权限被非法用户获取 表A.11工业控制系统平台病毒防护脆弱性 脆弱性 描述 没有安装病毒防护恶意软件会导致系统性能低下、系统不可用和数据被截获、修改和删除
因此需要安装病毒 软件 防护软件,比如杀毒软件,防止系统感染病毒 病毒防护软件病毒 病毒防护软件病毒库过期导致系统容易被新的病毒攻击 库过期 没经过仔细的测试 就安装病毒防护软 未经测试就安装病毒防护软件及其病毒库升级包可能会影响工业控制系统的正常运行 件及其病毒库升 级包 21
工业控制系统安全控制指南
在当今数字化时代,工业控制系统已经成为许多企业生产和运营中不可或缺的一部分。然而,随着互联网技术的普及,工业控制系统面临着越来越多的安全威胁,这些威胁可能导致系统失效、停产以及其他不可挽回的损失。
为了解决这些安全问题,GB/T32919-2016标准提出了一系列的安全控制指南。其中,最重要的是确保工业控制系统的核心组件,如PLC(可编程逻辑控制器)、HMI(人机界面)和SCADA(监控与数据采集系统)等能够有效地实现安全保护。
除此之外,GB/T32919-2016还强调了对策略、安全文档管理、安全事件管理、网络安全和物理安全等方面的重视。其中,策略管理包括了安全风险评估、安全等级划定和安全措施的确定等内容;而安全文档管理则要求在实现系统安全保护的同时保证操作规范化和信息可追溯性。
对于工业控制系统的安全事件管理,GB/T32919-2016建议企业应该建立完整的安全事件处理流程,并且能够快速反应和响应各种安全威胁。此外,网络安全和物理安全也是该标准中非常重要的两个方面。为了确保工业控制系统的网络安全,企业需要采取一系列的措施,如网络隔离、访问控制、加密传输以及安全审计等;而在物理安全方面,则需要加强对关键设备和场所的监控和保护。
总之,GB/T32919-2016为企业提供了非常实用的工业控制系统安全控制指南。如果企业想要确保其生产和运营的顺利进行,那么就有必要认真遵循该标准中提出的各项安全控制措施。
