安全区域边界
控制点
1.
访问控制为了防止跨越工业控制系统安全域造成的网络安全风险,在工业控制系统和企业其他系统之间应采取访问控制措施,对通用网络服务穿越区域边界的行为进行限制及告警,保证工业控制系统的安全性不受通用网络服务的影响,同时,对安全域之间的策略失效进行告警,避免边界防护机制失效。
a)
安全要求:应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mai1、Web、Telnet、Rlogin、FTP等通用网络服务。
要求解读:工业控制系统通常使用工业专有协议和专有应用系统,而E-Mai1、Web、Telnet、Rlogin、FTP等通用应用和协议是网络攻击的常用载体,因此,应在工业控制系统区域边界、工业控制系统与企业其他系统之间部署访问控制设备,在保证业务正常通信的情况下采用最小化原则,即只允许工业控制系统使用的专有协议通过,拒绝E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务穿越区域边界进入工业控制系统网络。
检查方法
1.核查工业控制系统与企业其他系统之间是否部署了访问控制设备,以及是否配置了访问控制策略。
2.核查设备安全策略是否已禁止E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务穿越边界。
期望结果
工业控制系统与企业其他系统之间部署了访问控制设备,配置了访问控制策略,禁止E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务穿越边界。
b)
安全要求:应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。
要求解读:当工业控制系统内安全域和安全域之间发生边界防护安全管控故障,或者边界防护机制失效时,应通过相应的检测机制及时进行报警,以便安全管理员及时处理,避免边界防护机制失效,防止存在大范围防护盲区。
检查方法
1.核查设备是否能在边界防护机制失效时进行报警。
2.核查是否部署了监控预警系统或相关模块在边界防护机制失效时及时进行报警。
期望结果
1.当工业控制系统内安全域和安全域之间的边界防护机制失效时能进行报警。
2.已部署或存在监控预警系统或模块,当边界防护机制失效时可及时进行报警。
控制点
2.
拨号使用控制为防止拨号访问服务被窃听、被篡改及通信被假冒,工业控制系统使用拨号访问服务的,拨号服务器和客户端操作系统需进行安全加固,限制用户数量,并采取身份认证、传输加密和访问控制等安全措施,保证工业控制系统拨号访问服务的安全使用,同时对工业控制系统的正常安全运行的影响降到最低。
a)
安全要求:工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施。
要求解读:对使用拨号方式进行网络访问的工业控制系统,在网络访问过程中应对用户数量、用户的连接数量及会话数量进行限制,同时对网络访问者进行身份鉴别验证(通过后才能建立连接),并对使用拨号方式的用户进行访问控制,限制用户的访问权限。
检查方法
1.核查拨号设备是否对有拨号访问权限的用户的数量进行了限制。
2.核查拨号服务器和客户端是否使用了账户/口令等身份鉴别方式。
3.核查拨号服务器和客户端是否使用了控制账户权限等访问控制措施。
期望结果
1.拨号设备对有拨号访问权限的用户的数量进行了限制。
2.拨号服务器和客户端使用了账户/口令等身份鉴别方式。
3.拨号服务器和客户端使用了控制账户权限等访问控制措施。
b)
安全要求:拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施。
要求解读:拨号服务器和客户端使用的操作系统可能存在安全漏洞。例如,安装、配置不符合安全需求,参数配置错误,使用、维护不符合安全需求,没有及时修补安全漏洞,滥用应用服务和应用程序,开放非必要的端口和服务等。一旦这些漏洞被有意或无意利用,就会给系统运行造成不利影响。因此,需要对拨号服务器和客户端使用的操作系统进行安全加固,包括拨号服务器和客户端所使用的操作系统的账户管理和认证授权、日志、安全配置、文件权限、服务安全、安全选项等方面。同时,在拨号服务器与客户端进行通信时,应采取数字证书认证方式对通信内容进行加密(以保证通信内容的保密性),并对客户端进行访问控制。
检查方法
核查拨号服务器和客户端使用的是否为经安全加固的操作系统,是否采取了加密、数字证书认证和访问控制等安全防护措施。
期望结果
拨号服务器和客户端使用的是经安全加固的操作系统,采取了数字证书认证、传输加密和访问控制等安全防护措施。
控制点
3.
无线使用控制为防止无线通信内容被窃听、被篡改及无线通信被假冒,需要对无线通信进行加密处理。应对参与无线通信的用户进行标识和鉴别、授权和使用限制,识别未授权无线设备接入行为并进行告警,保证工业控制系统的无线使用安全。
a)
安全要求:应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别。
要求解读:无线通信网络是一个开放的网络,它使无线通信用户不像有线通信用户受通信电缆的限制(可以在移动中通信)。无线通信网络在赋予用户通信自由的同时,给无线通信网络带来了一些不安全因素,例如通信内容容易被窃听、通信内容可以被更改、通信双方可能被假冒。因此,需要对无线通信用户进行身份鉴别:在借助运营商(无线)网络的组网中,需要为通信端(通信应用设备或通信网络设备)建立基于用户的标识(用户名、证书等),标识应具有唯一性且支持对该属性进行鉴别;在工业现场自建无线(Wi-Fi、WirelessHART、ISA100.11a、WIA-PA)网络的组网中,通信网络设备应具备唯一标识,且支持对设备属性进行鉴别。
检查方法
1.核查无线通信用户在登录时是否已通过身份鉴别措施的验证。
2.核查无线通信用户身份标识是否具有唯一性。
期望结果
1.无线通信用户在登录时已通过身份鉴别措施的验证。
2.无线通信用户身份标识具有唯一性。
b)
安全要求:应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制。
要求解读:无线通信应用设备或网络设备需支持对无线通讯策略进行授权,非授权设备或非授权应用不能接入无线网络。非授权功能不能在无线通信网络中执行响应动作。应对授权用户执行使用权限的行为进行策略控制。
检查方法
核查是否已在无线通信过程中对用户进行授权,具体权限是否合理,以及未授权的使用是否可以被发现及告警。
期望结果
在无线通信过程中对用户进行了授权,用户权限合理,未授权的使用能被发现并告警。
c)
安全要求:应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护。
要求解读:由于无线通信内容容易被窃听,所以,在无线通信过程中,应对传输报文进行加密处理(加密方式包括对称加密/非对称加密、脱敏加密、私有加密等),以保证无线通信过程的机密性。
检查方法
核查无线通信过程中是否采用了加密措施保证传输报文的机密性。
期望结果
无线通信过程中采用了加密措施保证传输报文的机密性。
d)
安全要求:对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统的行为。
要求解读:使用无线通信技术的工业生产环境应具备识别、检测工业环境中未经授权的无线设备发出的射频信号的能力,并能对未经授权的无线接入行为和应用进行审计、报警及联动管控,从而避免无线信号干扰生产、非授权用户通过无线接入控制系统对生产环境造成破坏。
检查方法
1.核查工业控制系统是否可以实时检测其物理环境中未经授权的无线设备。
2.核查当检测到未经授权的无线设备时是否能及时告警并对试图接入的无线设备进行屏蔽。
期望结果
1.工业控制系统可以实时检测其物理环境中未经授权的无线设备。
2.检测设备能发现未经授权的无线设备试图接入或干扰控制系统的行为并及时进行告警。