工控系统等保测评必读(对于即将出台的等保标准,听听主笔人怎么说系列之九)
——《网络安全等级保护测评要求
第5部分:工业控制系统安全扩展要求》解读
《中华人民共和国网络安全法》第三十一条规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”工业控制系统作为国家关键信息基础设施是等级保护工作的核心保护对象。为了适应国家法律、政策的最新要求,工业控制系统等级保护相关标准需要扩展和完善,其中如何评价系统的安全状况将是开展后续工作的基础,下面请标准编制组为大家详细介绍工控系统测评要求的主要内容。
一、工业控制系统等级保护标准的编制意义
随着信息化和工业化的发展,工业控制系统在能源、交通、水利、公共服务等重要行业和领域广泛应用,现代工业生产、输送、供应等自动控制环节均依赖于工业控制系统。2010年“震网”病毒事件发生后,工业控制系统安全越来越引起各国政府与民众的高度关注,美国等发达国家陆续发布了针对工业控制系统保护的系列标准和框架等。2013年,“棱镜门”事件表明,某些西方大国为维持其全球霸权,一直在利用其技术的原发优势,不断加强对其他国家网络空间的渗透、控制和破坏,对这些国家的社会秩序和国家安全构成了严重威胁。2015年,乌克兰电网公司遭受恶意代码攻击,导致7个110KV变电站和23个35KV变电站故障,造成8000个用户断电。
乌克兰电网公司受网络攻击事件被认为是有史以上规模最大的电力系统攻击事件,其警示作用犹如棒喝,深刻揭示了工业控制系统安全防护形式之严峻和黑客攻击实力之强悍。而对于我国来说,自改革开放以来,我国逐步从农业大国向工业国家发展,两化融合改变了现代工业生产方式,解放了社会生产力,但随之带来的安全现状不容忽视,由于核心技术落后于人,在较长一段时间内,关键设备大多从国外进口,国产水平较低,网络安全基础薄弱,维护网络空间安全,实现工业控制系统的“可控、能控、在控”的任务非常艰巨。
1994年,国务院印发《中华人民共和国计算机工业控制系统安全保护条例》,明确规定“计算机工业控制系统实行安全等级保护”。2003年,中央办公厅、国务院办公厅印发了《国家信息化领导小组关于加强信息安全保障工作的意见》,明确要求重点保护国家基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统安全,抓紧建立信息安全等级保护制度。
2007年以后,公安部会同有关部门陆续出台了《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》、《关于开展信息系统等级保护安全建设整改工作的指导意见》等一系列政策文件。与此同时,全国信息安全标准化技术委员会和公安部工业控制系统安全标准化技术委员会组织制定了信息安全等级保护工作基础类、应用类、产品类和其他类急需的一系列标准。其中《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》等标准在国家信息安全监管部门、信息系统运维单位、测评机构等相关单位广泛使用,标准内容得到了广泛验证。总体来说,我国信息安全等级保护工作已取得很大的进展,重点行业已落实了等级保护制度。
但是在标准的使用过程中,也出现了部分条款无法适用或适用性不强的现象,特别是针对工业控制系统,升级、打补丁、防病毒、入侵检测等通用系统保护措施,在线扫描渗透等测评手段不适用于已投运工控系统,亟需根据工业控制系统特点制定工业控制系统的等级保护系列标准。此外,2017年6月1日正式实施的国家《网络安全法》第三十一条规定,关键信息基础设施要在网络安全等级保护的基础上,实行重点保护。大量工业控制系统用于重要行业和领域,其一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益,应纳入关键信息基础设施保护目录。《网络安全法》的出台表明,“网络”和“网络安全”在新形势下已有了新的定义,工业控制系统等级保护相关标准需要适应国家法律、政策的最新要求,结合等级保护已有标准的修订,制定出台。
电力是最早开展等级保护工作和等级测评体系建设的行业之一,其在工业控制系统安全防护工作上积累了丰富经验。2012年以来,在已有工作的基础上,国家能源局对已有行业政策进行了梳理、修订、制定。2014年,以国家发改委令的形式印发了《电力监控系统安全防护规定》。2015年,以国家能源局文的形式印发了《电力行业网络与信息安全管理办法》,《电力行业信息安全等级保护管理办法》、《电力监控系统安全防护总体方案等安全防护方案和评估规范》等,这些文件对于监督指导行业网络与信息安全工作起了重要作用。为提升工业控制系统安全防护能力,规范工控系统安全防护建设,促进我国信息安全产业发展,在国家有关部门指导下,国家能源局信息中心组织测评机构、工控安全厂商、能源企业等,对工业控制系统测评方法进行专题研究,编制了《工业控制系统安全等级保护测评要求第5部分 工业控制安全扩展测评要求》(以下简称工控测评要求)。
工控测评要求是以《信息安全技术 信息系统安全等级保护测评要求》(GB/T
28448-2012)修订稿为基础,针对工业控制系统的特点进行了适度调整,更适用于工业控制系统测评的现状。
二、工控测评要求标准范围
工控测评要求规定了对工业控制系统安全等级保护状况进行安全测试评估的要求,包括对第一级工业控制系统、第二级工业控制系统、第三级工业控制系统和第四级工业控制系统进行安全测试评估的单元测评要求和工业控制系统整体测评要求。略去对第五级工业控制系统进行单元测评的具体内容要求。
工控测评要求适用于信息安全测评服务机构、工业控制系统的主管部门及运营使用单位对工业控制系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使用。
三、工控测评要求主要内容
工控测评要求按照GB/T1.1-2009的规则起草。包含范围、规范性引用文件、术语和定义、概述、总体要求、第一级到第四级工业控制系统单元测评等。
概述包括两个方面:
1.测评描述框架;
2.测评使用方法。
总体要求测评包括两个方面:
1.总体要求技术单项测评;
2.总体要求管理单项测评。
第一、二、三、四级工业控制系统单元测评包括两个方面:
1.安全技术单项测评;
2.安全管理单项测评。
四、与网络安全等级保护标准系列标准的衔接体现在
1
沿袭在国标等级保护标准体系中的定位
在现有国标等级保护系列标准中,定级指南是基础,实施指南和设计要求是方法指引,基本要求是基线要求,测评要求是状况分析,标准关系图如图1所示。《网络安全等级保护测评要求》是对已定级的等级保护对象的状况分析,等级保护对象可能为信息系统、物联网、大数据、移动互联系统、工业控制系统等,而工业控制系统测评要求是在保持与《网络安全等级保护测评要求》编制框架结构一致的基础上,以测评单元的形式对工业控制系统的对应扩展安全控制措施进行测试评价。测评单元由测评指标、测评对象、测评实施、单元判定组成。
2
与通用测评要求测评构架思路保持一致
网络安全等级保护测评的概念性描述框架由两部分构成:单项测评和整体测评,其等级测评框架如图2所示。
工控系统等级保护测评的概念性描述框架与等级测评框架保持基本一致,区别之处有2处:一是工控系统测评指标包括GB/T 22239.1-20XX和参考GB/T 22239.5-20XX提出的要求项;二是工控系统测评单元含“一票否决”测评单元,工控系统部分测评单元为“一票否决”测评单元,“一票否决”测评单元中的任何单个单元判定结果为不符合,不需要再开展其他单元测评,整体测评结论为不符合。“一票否决”测评单元的设定取决于是否有国家或行业政策强制的禁止条款的支持。
3
与等级保护系列标准文档结构保持一致
在国标等级保护系列标准中,基本要求、测评要求、设计要求标准间文档结构有紧密的内在联系,基本要求文档结构如图4所示,工控测评要求文档结构如图5所示,工控测评要求单项测评分两大类,安全管理类测评和安全技术类测评,安全管理类测评细分为安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理四大安全层面测评,安全技术类测评可细分为物理和环境、网络和通信、设备和计算、应用和数据四大安全层面测评。安全层面测评可再细分为要求项测评,测评单元是针对每个要求项提出的。整体测评分安全控制点测评、安全控制点间测评和安全层面间测评。
4
基于基本要求描述模型的基础上设计控制与测评措施
2017年6月1日开始实施的国家《网络安全法》中对网络的定义为:“网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”等级保护从1.0进行2.0时代,等级保护对象形态大致分为3种:信息系统形态,网络基础设施形态,云计算、物联网、大数据、移动互联等新应用形态。划为等级保护对象的工业控制系统是信息系统的一种特殊子类,它有信息和计算,有网络也有设备,要使工业控制系统达到网络安全的目标,同样是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。哪些是基线措施,如何测评这些基线措施是否有效,是工控测评要求需要考虑的内容。而要确定基线措施,就需考虑工控系统面临的主要威胁。那么,工业控制系统主要面临哪些威胁呢?表1列出了工控系统面临的主要威胁。
从基本要求来说,需要考虑各级系统需具备的管理和技术方面的基线能力。各级信息系统需具备的安全防护能力技术、管理特点及覆盖范围可用图6、图7、图8说明。
工业控制系统测评要求所对应的测评要求特点和信息系统略有区别,区别表现在一是,管理采取“就高”原则。即一个工控责任单位有多个等级的工控系统,在管理措施上需要对所有工控系统采取最高等级的安全管理措施。二是,在技术特点上各等级的工业控制系统均需在满足总体策略的前提下执行各级系统的安全防护。工业控制系统测评要求的技术要求特点如图9所示。
五、扩展测评指标要点
扩展测评指标编制思路为:以数据流向分析各级工业控制系统对应的主要威胁,参考基本要求描述模型选择安全控制措施。
对于测评指标的文档结构图,我们比较了图10和图11,经过充分研究讨论,最终选择了图11。一是因为图11保持了与基本要求文档结构的一致性;二是因为采用图11可以更加清晰地从安全层面架构角度描述安全控制措施提升各级工控系统对应等级的安全保护能力(如4级是策略/防护/检测/恢复/响应);三是从操作性角度来看,对于存量工控系统,运行单位、测评机构、检查机构很难无歧义清晰判断对象(如测评对象)属于哪一层,如励磁装置,继电保护装置,笔者都难以描述属于哪一层;如PLC,其既具有现场组件,也具有控制组件。而对于用户所能采取的控制措施,只能对设备整体进行保护。对于测评机构来说,所能采取的测评实施,也只能设备整体进行测评。
测评指标示例如下:
“
总体要求-技术测评指标示例:(L0-OS5-01)工业控制系统与企业管理系统之间原则上应划分为两个区域,区域间应采用有效的隔离技术手段;禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。
总体要求-管理测评指标示例:(L0-OS5-07)工控系统所属单位中出现多等级工控系统时,通用管理要求统一采用定级最高的工控系统执行。
分级要求-技术测评指标示例:(L3-MMS5-03)在更新恶意代码库、木马库以及规则库前,应首先在测试环境中测试通过,对隔离区域恶意代码更新应有专人负责,更新操作应离线进行,并保存更新记录。
分级要求-管理测评指标示例:(L3-CMS5-02)工业控制系统重要软硬件系统、设备及专用信息安全产品应采用安全可信的产品及服务进行建设。
”