工控安全标准解读与标准评估 科学 公正 诚信 服务 工业和信息化部电子工业标准化研究院全国信息安全标准化技术委员会秘书处 2016 年 11 月 2 日
目 录 1. 工业控制系统安全控制应用指南 解读 2. 工业控制系统关键标准评估
目 录 1. 工业控制系统安全控制应用指南 解读 2. 工业控制系统关键标准评估
一 工业控制系统安全控制应用指南 标准发布背景 2016 年 8 月 29 日, 全国信息安全标准化技术委员会归口的 信息安全技术工业控制系统安全控制应用指南 信息安全技术信息技术产品供应方行为安全准则 信息技术安全技术信息安全控制实践指南 等 24 项国家标准正式发布 该标准将于 2017 年 3 月 1 日正式实施, 可指导工业控制系统建设 运行 使用 管理等相关方开展工业控制系统安全的规划和落地, 也可供工业控制系统安全测评与安全检查工作作为参考依据 2016 年 9 月, 在北京工业控制系统信息安全峰会上, 部分解读了该标准的主要内容
目录 一 工业控制系统安全控制应用指南 1 前言与引言 目录 CONTENTS 2 3 4 5 范围 规范性引用文件 术语和定义 缩略语 安全控制概述 基线及其设计 选择与规约 选择过程应用 工业控制系统面临的安全风险 工业控制系统安全控制列表 6 工业控制系统安全控制基线
一 工业控制系统安全控制应用指南 安全控制选择与规约 针对工业控制系统存在的脆弱性, 分析面临的威胁, 评估风险发生的可能性以及风险发生可能造成的影响和危害, 制定风险处置原则和处置计划, 将工业控制系统安全风险控制在可接受的水平
一 工业控制系统安全控制应用指南 附录 B 工业控制系统安全控制 技术 包含 4 个族,58 个安全控制项涉及访问控制 系统和通讯保护 标识和鉴别 管理 包含 5 个族,42 安全控制项涉及安全评估与授权 规划 系统和服务获取等 运维 包含 9 个族,86 个安全控制项涉及人员安全 介质保护 事件响应 应急计划等
一 工业控制系统安全控制应用指南
一 工业控制系统安全控制应用指南 B.3 风险评估 需结合组织自身实际情况, 制定风险评估策略与规程,. 定期评审更新 组织应定期开展风险评估, 评审评估结果, 并在需要时对风险评估进行调整 依据相关规定, 对 ICS 进行分类, 并对结果进行审核确认 定期对系统和主机进行脆弱性扫描, 分析扫描结果, 依据风险评估, 修补脆弱性.
一 工业控制系统安全控制应用指南 B.4 系统与服务获取 相关政策 相关系统获取 相关服务获取 系统与服务获取策略和 规程资源分配 安全工程原则 生存周期支持系统文档用户安装软件软件使用限制可信赖性关键系统部件 服务获取 外部系统服务 供应链保护
一 工业控制系统安全控制应用指南 B.8 应急计划 (CP) 制定并发布正式的应急策略 制定并发布 ICS 应急计划和 ICS 灾难恢复计划 制定应急培训计划, 并对相关人员进行培训 测试和演练工业控制系统的应急计划
一 工业控制系统安全控制应用指南 B.9 配置管理 (CM) 配置管理策略和规程 配置管理计划 基线配置 配置监控 制定并发布正式的配置管理策略和规程 定时对配置管理方针策略及规程进行评审和更新 开发 ICS 的配置管理计划, 建立相应的文档并实现该计划 制定并维护 ICS 当前的配置基线 定时或在系统发生重大变更后, 对基线配置进行评审和更新 实施工业控制系统中所使用产品的配置 评估 ICS 组件与已设配置存在的偏差 监控配置设置项的变更 保留旧版本 ICS 基线配置, 以便必要时恢复配置 对配置设置进行集中管理 应用和验证 对被检测事件的追踪 监视 纠正
一 工业控制系统安全控制应用指南 B.13 事件响应 (IR) 建立并有效实施事件响应策略与规程 信息系统变更时或按照一定的频率向人员或角色提供应急响应培训 按定义时间进行测试确保应急响应计划的有效性并确定该计划潜在的弱点 对演练进行记录 提供信息帮助台 援助团体 并在需要时获得证据方面的支持服务 制定 审批事件响应计划 按一定时间间隔或系统变更更新计划 保证计划的受控性
一 工业控制系统安全控制应用指南 B.14 教育培训 (AT) 教育培训策略和规程 规定了人员的安全教育培训 安全意识培训 培训人员包括管理员 ICS 操作员 高级管理层 承包商 内容主要为信息安全方面安全事件处理技术如攻击防御 威 胁识别 安排在 ICS 授权 新用户培训和按一定时间进行 基于角色的安全培训 根据个人的安全角色和安全责任进行培训, 内容包括 ICS 特定 安全方针策略, 安全操作程序,ICS 安全趋势和安全漏洞 安全培训记录 对安全培训记录, 按规定时限保存记录
一 工业控制系统安全控制应用指南 B.16 访问控制 (AC) 权限管理 访问类型控制 访问 控制 会话控制 系统提示及信息保护
一 工业控制系统安全控制应用指南 B.18 系统及通讯保护 (SC) 系统安全性 : 应用分区 安全功能隔离 边界保护 公共访问保护 系统可用性 : 共享资源中的信息 服务拒绝防护 移动代码等 系统与通讯 保护 资源优先级 通讯安全性 : 传输机密性 密钥建立与管理 密码技术的使用 安全属性的传输 证书管理 通讯可用性 : 传输完整性 网络中断
目 录 1. 工业控制系统安全控制应用指南 解读 2. 工业控制系统关键标准评估
信息安全技术工业控制系统信息安全分级规范工控信息安全标准体系安全等级安全要求安全测评信息安全技术工业控制系统信息安全防护要求与测评方法信息安全技术工业控制系统安全检查指南工业控制系统信息安全要求基本管理要求信息安全技术工业控制系统安全管理基本要求防护技术要求信息安全技术工业控制系统终端安全要求信息安全技术工业控制系统漏洞检测技术要求信息安全技术工业控制系统网络监测安全技术要求和测试评价方法信息安全技术工业控制系统隔离与信息交换系统安全技术要求信息安全技术工业控制系统网络审计产品安全技术要求工业控制系统产品信息安全技术要求安全实施信息安全技术工业控制系统安全控制应用指南信息安全技术工业控制系统风险评估实施指南基本技术要求信息安全技术工业控制系统安全技术基本要求工业工控制系统信息安全第 1 部分评估规范工业工控制系统信息安全第 2 部分验收规范工业控制系统安全控制成熟度模型待制定标准在研标准发布 / 报批标准 1 2 3 4 工业信息安全管理, 工业信息安全检查, 安全防护体系建设可参考 二 工业控制系统关键标准评估 工业控制系统信息安全标准体系
二 工业控制系统关键标准评估 工业控制系统信息安全标准符合性评估系统 工业控制系统信息安全分级规范 工业控制系统信息安全管理基本要求 工业控制系统安全控制应用指南 (GB/T32919-2016) 建立工业信息安全保障体系 安全管理 : 包括企业制度建立及落实 人员安全管理 资产安全管理 供应链安全管理等方面 安全技术 : 包括物理环境安全防护 信息安全防护 网络设备安全防护 安全设备安全防护 重要数据安全防护等方面 安全服务 / 运维 : 包括业务连续性管理制度 信息安全事件应急预案 信息安全事件应急技术支撑 灾难备份恢复 重大信息安全事件处置等方面 共计 186 项安全控制措施 标准实施应用工作服务单位 : 台州第二发电厂 中车株洲电力机车有限公司 沈机昆明机床股份有限公司 太原钢铁集团 对企业工业信息安全保障体系开展标准符合性评估 : 评估手段 : 标准符合性在线评估, 现场证据核查 人员访谈 系统 / 设备安全检测 ; 评估内容 : 企业工业信息安全管理 安全技术防护 安全运维的标准符合性 评估效果 : 提升了企业漏洞发现 隐患防范和风险评估能力, 有效抵御 90% 以上的攻击
二 工业控制系统关键标准评估 工业控制系统信息安全标准符合性评估系统 分任务管理安全评估项目 多用户 : 以多用户方式开展评估业务, 确保不同用户之前数据和业务的独立性 多任务 : 依据用户实际需要, 针对同一用户多套工控系统开展评估任务, 并对不同任务开展持续跟踪处理 数据安全 : 系统上线前开展全面的安全防护测试, 确保用户数据安全 三种评估模式 脆弱性评估 : 依据工控系统设备信息和网络拓扑架构, 智能分析 评测工控系统的脆弱性 标准评估 : 依据工控安全分级 基本要求和控制应用指南等标准, 对工控系统进行标准符合性评估 全面评估 : 综合工控系统资产信息 网络拓扑信息, 结合工控安全相关标准和文件, 对工控系统开展全面评估
系统定级 二 工业控制系统关键标准评估 T 安全威胁等级 I Ia 第一级 S a =1 I a =1 T a =1.732 0 Ta 受侵害潜在影响程度 S a =2 I a =2 T a =2 第二级 N SL S a =3 I a =3 T a =3 安全风险影响等级 第三级 Sa S a =4 I a =4 T a =4 S 重要性程度 第四级 S a =5 I a =5 T a =5 3.464 5.196 6.928 8.66 N SL 重要性程度特征值 影响程度特征值 信息安全威胁等级 1 2 3 4 5 1 1 第一级第一级第一级第二级第三级 1 2 第一级第一级第二级第二级第三级 1 3 第一级第二级第二级第二级第三级 1 4 第二级第二级第二级第三级第三级 1 5 第三级第三级第三级第三级第四级 2 1 第一级第一级第二级第二级第三级 2 2 第一级第二级第二级第二级第三级 2 3 第二级第二级第二级第三级第三级 2 4 第二级第二级第三级第三级第三级 2 5 第三级第三级第三级第三级第四级 3 1 第一级第二级第二级第二级第三级 3 2 第二级第二级第二级第三级第三级 3 3 第二级第二级第三级第三级第三级 3 4 第二级第三级第三级第三级第四级 3 5 第三级第三级第三级第四级第四级 4 1 第二级第二级第二级第三级第三级 4 2 第二级第二级第三级第三级第三级 4 3 第二级第三级第三级第三级第四级 4 4 第三级第三级第三级第四级第四级 4 5 第三级第三级第四级第四级第四级 5 1 第三级第三级第三级第三级第四级 5 2 第三级第三级第三级第三级第四级 5 3 第三级第三级第三级第四级第四级 5 4 第三级第三级第四级第四级第四级 5 5 第四级第四级第四级第四级第四级
二 工业控制系统关键标准评估 工业控制系统信息安全标准符合性评估系统 明确目标资产, 梳理评估对象
二 工业控制系统关键标准评估 工业控制系统信息安全标准符合性评估系统 物理破坏 拒绝服务 欺骗与假冒 信息安全威胁程度 回放攻击 数据库注入 通信攻击等 受侵害的对象受侵害的程度工业生产运行安全 资产价值 业务使命 潜在影响程度 行业领域 资产重要程度 有效指导企业对工控系统资产进行快速定级, 为后续提出安全要求, 实施安全控制措施提供基础
二 工业控制系统关键标准评估 附录 B 工业控制系统安全控制 配置管理 事件响应 介质保护 教育培训 应急计划 维护 人员安全 安全评估系统与授权与服务获取 规划 物理与环境安全 系统与信息完整性 程序管理 标识与鉴别 系统与通信保护 风险评估 访问控制 审计与问责 管理 技术 运维 本标准从管理 运维 技术三个维度提出了 18 个族,186 项安全控制措施, 范围涵盖访问控制 安全评估 系统与服务获取 风险评估 运维等
二 工业控制系统关键标准评估 工业控制系统信息安全标准符合性评估系统 针对 18 个族,186 个安全控制项, 设计 1000 余个问题, 帮助企业开展安全控制措施的符合性评估
二 工业控制系统关键标准评估 工业控制系统信息安全标准符合性评估系统
下一步设想 1. 开展工控安全体系标准评估 : 根据 信息安全技术工业控制系统安全控制应用指南 (GB/T 32919-2016) 国家标准, 开展标准评估工作, 帮助企业做好工控安全管理和技术防护体系建设 2. 开展工控安全防护体系建设 : 根据工信部等行业主管部分相关政策文件, 开展针对文件的评估工作, 及时发现安全隐患, 形成工控安全有效解决方案, 指导企业提高工控安全保障水平
谢谢!