等级保护测评扩展要求工业控制网络笔记
工业控制系统的定义
工业自动化控制系统(ICS):涵盖多种不同控制领域的综合体系,通常缩称为ICS
典型形态包括:
1.监控和数据采集系统(supervisory control and data acquisition,SCADA)
2.分布式控制系统(distributed control system,DCS)
3.可编程逻辑控制器(programmable logic controller,PLC)
4.安全仪表系统(safety interlocking system,SIS)
5.制造执行系统(manufacturing execution systems,MES)
工业控制系统层次模型:
层级4:企业资源层
层级3:生产管理层
层级2:过程监控层
层级1:现场控制层
层级0:现场设备层
工业信息安全产品:
管理平台:工业安全综合平台
边界隔离:工业安全网闸、工业防火墙
检测评估: 工业安全监控系统、全面安全审查系统●终端防护: 工业访问控制列表、关键工业设备强化防护措施
控制系统:安全可信PLC、安全可信DCS
测评对象:
物理:主控制室、就地控制室
网络:总体架构、网络设备、安全设备
主机:操作系统、历史数据库、实时数据库、控制器设备
(关键资产)
应用:上位机软件(控制软件)
安全物理环境
室外控制设备物理防护
a) 安全要求: 室外控制设备应配置于使用铁板或其他防火材料制成的箱体或装置中,并且安装紧密;该设备具备透气性以确保空气流通,并且具有良好的防盗性能以及优越的防雨性能,并且能够满足多种防火特性
要求解读
【测评方法】
- 检查箱子是否安装在由铁皮等耐火材料制成的箱体或装置上且固定安装。
- 检查箱子是否具备透风排风功能以及散热良好性状,并确保其防盗性能良好、防雨性能良好以及防火性能达标。
b) 安全要求: 室外控制设备存放应当尽量远离可能产生的强大电磁干扰以及高温区域,在实际操作中应当远离这些环境以确保设备的安全性。如若无法避免,则应立即采取应急措施进行处理并进行必要的检修工作, 以保证设备能够正常运行。
要求解读
【测评方法】
- 确认放置位置是否远离强电磁干扰区域以及高温区域等危险环境
- 在无法避免的情况下,请确认是否存在应急响应和检修维护记录
安全通信网络
网络架构
安全规范:将工业自动化系统与其周边企业系统区分为功能分明的区域,并需采取严格的分区管理措施;区域内实施技术防护措施以确保其与相邻区域之间具备完整的隔离保障
要求解读
【测评方法】
1)核查工业控制系统和企业其他系统之间是否部署单向隔离设备
2)核查是否采用了有效的单向隔离策略实施访问控制。
详细审查使用无线通信的工业控制系统边界是否遵循与企业其他系统相同的隔离强度措施
b) 安全要求: 工业控制系统内部区域应基于业务特点设置为不同的安全域,并采用技术隔离措施
要求解读
【测评方法】
- 确认工业控制系统内部是否基于业务特性和管理需求划分成了多个独立的安全区域。
- 确认各安全区域之间的访问控制设备是否实现了对不同区域的安全管理权限配置,并成功实现了相互之间的隔离管理。
c) 安全规范:包含实时控制与数据传输功能的工业控制系统应采用独立网络架构组网于底层技术层,并实现与其关联的数据网络以及外部公共信息网络之间在物理层面上的安全隔离
要求解读
要求解读
【测评方法】
审查涵盖实时控制与数据传输的工业控制系统是否存在物理层面的独立组网架构
通信传输
安全要求:广域网的使用应在工业控制系统内完成以完成对控制指令及相关数据的交换,并通过加密认证技术手段来达成身份认证、访问控制以及数据的加密传输
要求解读
【测评方法】
检查工业控制系统中使用广域网传输的控制指令或相关数据是否采用了安全传输协议来实施身份识别与权限管理以及数据的安全传输过程
安全区域边界
【访问控制】
在工业控制系统与企业其它系统之间安装访问控制设备,并制定相应的访问权限策略;明确界定各系统的权限范围和责任范围;禁止越境使用E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务
要求解读
【测评方法】
检查工业控制系统与企业其他系统的网络分界是否安装了访问控制设备,并确认相关的访问控制策略是否已设置。
2)应核查设备安全策略,是否禁止通用网络服务穿越边界
要求解读
b) 安全要求: 当工业控制系统内的安全域与安全域之间的边界防护机制出现故障或失效时, 应立即触发报警装置【要求解读
【测评方法】
1)核查设备是否可以在策略失效的时候进行告警
检查是否安装了监控预警系统及相关模块,在边界防护机制失效的情况下会立即发出警报
拨号使用控制
当工业控制系统采用拨号访问服务时,则须限定具有该权限的用户数量,并实施相应的管理措施。
要求解读
【测评方法】
检查拨号设备是否存在针对具有拨号访问权限用户的数量限制,并评估拨号服务器与客户端之间是否采用了基于账户/口令等身份鉴别机制以及是否存在通过控制账户权限等方式实施的访问控制措施
d) 安全要求:拨号服务器与客户端都应采用经过强化的安全操作系统,并实施数字证书认证、数据传输加密以及访问权限控制等相关措施。
要求解读
【测评方法】
评估拨号服务器及客户端是否采用了经过安全强化的操作系统,并实施加密技术、数字证书认证以及访问权限控制等多种安全防护措施
无线使用
要求解读
安全要求
解读
【测评方法】
1)核查无线通信的用户在登录时是否采用了身份鉴别措施
2)核查用户身份标识是否具有唯一性
b) 安全要求: 涵盖所有参与无线通信的人员、软件进程及设备,并对它们赋予授权以及实施使用范围的限定。
要求解读
要求解读
【测评方法】
确认无线网络运行过程中是否对用户进行了权限授权;确认具体的访问权限设置是否具有合理性;检查越界操作行为是否会触发及时察觉并发出警报。
c)安全要求;采用传输加密的手段;确保传输报文的机密性
要求解读
改写说明
【测评方法】
核查无线通信传输中是否采用加密措施保证传输报文的机密性
d) 安全要求: 该类工业控制系统应具备识别物理环境中未经授权的无线设备的能力,并对这些未经授权的行为进行检测和记录。
要求解读
要求解读
评估工业控制系统是否能够持续监控其场域中发送未经授权的无线信号;该系统能否及时发出警示信息,并实现对非法接入行为的有效阻止。
安全计算环境
控制设备安全
a) 安全要求:为确保设备符合相应级别的通用安全要求, 需要满足身份鉴别、访问控制以及安全审计等功能, 但受限于技术或资源限制, 部分功能无法直接实现, 此时可由上级系统或管理人员采取措施确保达到相同效果;对于无法单独完成的任务, 可通过相应的管控措施来保障其正常运行
要求解读
详细检查该控制设备是否具备身份鉴别、访问权限管理和安全审计等功能;如果该控制设备确实具备上述功能,则需按照通用要求执行相应的测试程序
如发现被管控设备不具备上述功能,则核查其上位机构是否负责该设备的管理,并确认是否存在相应能够实现与该设备相同功能的管理机构或可通过管控机制进行调控以维持正常运行状态
b) 安全要求: 应在确保系统运行正常且未发现潜在风险的前提下,在不影响系统安全稳定性的情况下完成必要的软件修复操作。
要求解读
要求解读
【测评方法】
1)核查是否有测试报告或测试评估记录
2)核查控制设备版本补丁及固件是否经过充分测试后进行了更新d
c) 安全要求:对于控制设备而言,在软盘驱动器、光驱器、USB端口、串行端口以及多余网卡等方面应当予以关闭或移除;而对于确实有必要保留的部分,则应当通过相应的技术手段实施严格监控管理。
要求解读
测评方法
测评方法
d)安全要求:应使用专用设备和专用软件对控制设备进行更新
在对控制设备进行更新时,必须采用专用硬件平台和独立软件系统来进行操作;这有助于保证各系统之间互不干扰;从而避免相互影响.
【测评方法】
核查是否使用专用设备和专用软件对控制设备进行更新
e) 安全要求: 要求确保控制设备在上线前完成安全审查,并防止固件中存在恶意代码
要求解读
要求解读
【测评方法】
审核相关部门提供的控制设备检测报告,并明确控制设备固件中是否存在恶意代码程序
安全建设管理
产品采购和使用
在工业控制系统中,所有关键设备必须经过专业机构的安全性能检验方能进行采购
要求解读
设备和网络安全专用产品目录》
【测评方法】
调查人员对涉及工业控制系统的关键设备及其网络安全专用产品的使用情况进行调查,并考察其是否符合专业机构的安全标准要求
2)核查工业控制系统是否有通过专业机构出具的安全性检测报告
b) 安全要求:应在外包开发合同时规定对开发单位和供应商提出的约束性条款,这些条款应涵盖设备及系统在整个生命周期内涉及的保密措施、技术保密禁令以及行业专用设备条款等
要求解读
【测评方法】
审查外包装发运合同中是否存在针对承包商和供应商的约束性条款设定,在设备及其系统全生命周期范围内涵盖保密性要求、不许泄露关键核心技术以及行业专用技术等内容