GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南 学习笔记(一)

声明

本文是学习GB-T 32919-2016 信息安全技术 工业控制系统安全控制应用指南. 下载地址 http://github5.com/view/585而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

工业控制系统安全控制基线及其设计

为了给出工业控制系统概念层面上的一种安全解决方案，即构造工业控制系统的安全程序，本标准结合工业控制系统基本特征（参见附录A），结合以往诸多工业控制系统的安全实践，将附录B中工业控制系统的安全控制集分为三个级别，统称为安全控制基线，即基于工业控制系统安全风险的影响程度对安全控制的一个分级，可作为规划工业控制系统中选择安全控制的一个起始点。

在设计安全控制基线中，基于了以下基本假设：

1. 工业控制系统处于物理设施内；
2. 工业控制系统中的用户数据和信息是相对长久的；
3. 工业控制系统是多用户运行的；
4. 工业控制系统中的用户数据和信息必须限制已授权用户的共享；
5. 工业控制系统处于网络化环境中；
6. 工业控制系统自然具有一些特殊目的；
7. 组织具有必要的架构、资源和基础设施，来实现所选基线中的控制。

基线设计的这些基本假设，影响着工业控制系统安全控制的选择，还影响着工业控制系统安全控制的评估、监视和改进。如果一个或多个前提假设是无效的，那么附录C中所分配给该基线的一些安全控制就可能是不适用的，针对这种情况可通过应用后续章节所述的裁剪过程以及风险评估予以处理。

相应地，一些可能的情况未包含在假设内，例如：

1. 组织内存在的内部人员攻击；
2. 工业控制系统处理、存储或传输的保密数据和信息；
3. 组织内存在高级持续性攻击（APT）；
4. 基于法律、法规、规章、制度等特殊要求的特殊保护；
5. 工业控制系统需要与其他系统进行跨安全域间通讯。

如果任何以上情况出现，就可能需要在附录B中选择一些附加的安全控制和控制增强，以确保准确的保护；以上情况也可通过应用后续章节所述的裁剪过程（特别是安全控制补充）和风险评估的结果，予以有效地处理。

本标准设计的安全控制基线（具体参见附录C），可应用于以下两种情况：

第一种情况，基于工业控制系统的安全风险评估，按风险影响程度将工业控制系统划分为低影响系统、中影响系统和高影响系统。在这种情况下，低影响系统选择第一级安全控制基线；中影响系统选择第二级安全控制基线；高影响系统选择第三级安全控制基线。

第二种情况，通过定级划分准则（参见国标GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》），已将工业控制系统划分为相应的安全等级。在这种情况下，1、2级系统选择第一级安全控制基线；3级系统选择第二级安全控制基线；4、5级系统选择第三级安全控制基线。

工业控制系统安全控制选择与规约

选择与规约概述

工业控制系统安全是一项系统工程，单一的产品和技术不能有效地保护工业控制系统安全，组织应在充分挖掘工业控制系统安全需求的基础上，制定满足组织使命和业务功能需求的工业控制系统安全战略。有效的工业控制系统安全战略，应采用深度防御及层次化的安全机制，使任一安全机制失效的影响最小化。工业控制系统安全应在组织工业控制系统安全战略指导下，通过适当组合配置的安全控制予以实现。

组织在充分考虑工业控制系统的特殊性、安全需求和工业控制系统与传统信息系统间的差异性（参考本标准附录A，或参阅其它相关文献资料）的基础上，通过风险评估梳理工业控制系统及相关资产，针对工业控制系统存在的脆弱性，分析工业控制系统面临的威胁和风险，评估风险发生的可能性以及风险发生可能造成的影响和危害，制定风险处置原则和处置计划，将工业控制系统安全风险控制在可接受的水平。

本标准附录C中给出的安全控制基线，仅是为了工业控制系统的安全需求规约，作为进行安全控制选择与规约的起始点。因此，为了使组织的工业控制系统是安全的，就必须实施选择并规约安全控制和控制增强的过程，该过程包括以下三个子过程：

1. 选择初始安全控制基线；
2. 裁剪所选择的初始安全控制基线；
3. 补充经裁剪的安全控制基线。

安全控制选择与规约过程可概括为下图所示：

1. 安全控制选择与规约过程

安全控制选择

选择基线安全控制是选择并规约安全控制的第一步，组织依据工业控制系统信息安全定级或工业控制系统风险评估结果，根据安全控制基线的应用指导（参见本标准第6章），从附录C中三个安全控制基线中选择一个合适的基线控制集。选择基线安全控制集时应注意第6章所描述的前提假设。

安全控制裁剪

裁剪过程

在从附录C中选择基线安全控制的初始集后，组织开始基线安全控制的裁剪过程。裁剪过程包括以下3个活动：

1. 依据所选择的基线安全控制，应用界定范围的指导，获得初步可用的控制集；
2. 需要时选择补偿安全控制，以调整初步可用的控制集，获得更可实现的控制集；
3. 通过显式的赋值陈述和选择陈述，规约安全控制中的参数，完成所选基线的定义。

界定范围的指导

界定范围的指导，就所选安全控制基线中每个安全控制的适用性和实现，为组织提供了特定的条款和条件。

应用界定范围的指导，是基于工业控制系统所支持的业务功能和系统运行环境，从初始安全控制基线中删除一些不必要或不适用的安全控制，有助于确保组织仅选择那些可为工业控制系统提供合适程度保护所需要的控制。下面给出一些界定范围的考量，它们可潜在地影响如何应用所选的安全控制基线以及如何实现安全控制。

1. 与控制和应用范围有关的考量

工业控制系统概念是个多层次抽象概念，既包括多个系统组成的复杂系统，又包括单个板卡组成的简单系统。越来越复杂的工业控制系统需要仔细分析在风险管理不同等级（组织级、业务流程级和系统级）中的安全控制的分配和应用。初始安全控制基线中的控制适用于工业控制系统层面，但未必适用于系统组件层面。基线中的一些控制，对工业控制系统范围内的每个系统部件，给出了并非必要的一些控制。一些安全控制仅适用于工业控制系统部件，提供或支持由该控制所强调的安全能力，并缓解潜在的风险。例如，通常把审计控制作为工业控制系统的一个部件，以提供审计能力，并不适用于组织内每个用户层的工作站；或当工业控制系统的部件是单一用户的、 无网络连接或是物理隔离网络的一部分时，这些特征可为不把所选择的控制应用到那些部件中提供合适的理由。组织应评估工业控制系统部件清单，以确定安全控制是否适用于各种不同的部件，而后就如何应用控制做出明确的决策，以满足组织的安全需求。

1. 与安全目的有关的考量

基线中的一些控制仅独特地支持保密性、完整性或可用性的安全目的，对此可把它们降级为低基线中对应的控制（或如果在低基线中没有给出定义的话，予以删除或修改）。该降级、修改或删除的动作当且仅当以下情况成立才进行：

1. 安全控制所完成的安全目的可以由组织风险评估所支持；
2. 不会对工业控制系统相关安全保护水平造成不利影响。

例如，一个工业控制系统被评估为中等影响，其可用性和完整性为中等影响，其保密性为低等影响，那些仅与保密性相关的安全控制在不影响安全性目标的前提下可以降低到低级别的基线要求。以下安全控制可作为降级的候选控制：

1. 与保密性相关的安全控制包括：AC-18，MA-3c)，MP-3，MP-4，MP-5，MP-5d)，MP-6，PE-4，PE-5，SC-4，SC-9，SC-9a)等；
2. 与完整性相关的安全控制包括：CM-5，CM-5a)，CP-8a)，SC-8，SC-8a)，SI-7，SI-7a)，SI-7d)，SI-8等；
3. 与可用性相关的安全控制包括：CP-2a)，CP-2b)，CP-2c)，CP-2d)，CP-2e)，CP-2f)，CP-3a)，CP-4a)，CP-4b)，CP-6，CP-6a)，CP-6b)，CP-6c)，CP-7，CP-7a)，CP-7b)，CP-7c)，CP-8，CP-8b)，CP-8c)，CP-8d)，CP-8e)，CP-8f)，CP-9a)，CP-9b)，CP-9c)，CP-9d)，MA-6，PE-9，PE-10，PE-11， PE-12，PE-13，PE-14，PE-16等。
4. 与技术有关的考量

安全控制涉及了一些特定的技术（如：无线、加密、PKI等），这样的控制仅当在工业控制系统内使用时或需要时，它们才是适用的。一些控制可通过自动化机制予以支持，如果这样的机制不存在，或市场上或政府采购产品目录中现在没有或还不能应用时，并不要求开发这样的机制。例如，为了维护最新的、完备的、精确的、现时可用的工业控制系统基线配置，可能使用一些自动化机制。如果自动化机制不是现时可用的、合算的或技术上不是可行的，就需要使用一些补偿的安全控制，通过非自动化机制或规程予以实现的，以便满足所规约的安全控制的需求（参见补偿安全控制相关章节）。

1. 与物理基础设施有关的考量

基线中的一些控制涉及了组织物理基础设施（例如，物理控制，诸如上锁和门禁；有关温度，湿度，照明，防火以及电力等），仅适用于那些存放设施的地方，直接为工业控制系统（包括诸如场站等信息技术资产）提供保护和支持，或直接与工业控制系统有关。

1. 与策略和规章有关的考量

基线中的一些控制强调了某些法律、法规、方针、政策、标准等要求，仅当这些控制的应用环境与相关法律、法规、方针、政策、标准一致时才需要。

1. 与运行环境有关的考量

基线中的一些安全控制依赖于运行环境，仅当在环境中使用该工业控制系统时才适用。例如，一些物理安全控制不适用于那些基于空间的系统，一些温度和湿度的控制不适用于室内设施之外的远程传感器。

1. 与共用控制相关的考量

共用控制是指那些可以被组织内多个工业控制系统继承使用的安全控制。如果一个工业控制系统继承了共用控制，那么其安全性能是由另一个实体提供的，该系统就不需要显式地实现该控制。共用安全控制的标识与定义会影响组织的整体资源支出。将安全控制指定为共用安全控制的决策可能会极大地影响单个工业控制系统安全控制基线的组成。

安全控制补偿

补偿安全控制是由组织选择使用的、用于替代所选安全控制基线中一些特定的安全控制，为工业控制系统所处理、存储或传输的信息提供等价的或可比的保护。

当组织无法有效地实现初始安全控制基线中具体的安全控制时，或者当组织工业控制系统和运行环境存在特殊性时，或者当初始安全控制基线中具体的安全控制不能高效地实现风险减少或缓解时，也就是基线中的控制不是一种合算的措施或对策时，组织可以选取补偿安全控制。并为每个补偿安全控制在工业控制系统安全计划中详细描述选取的原因，以及补偿安全控制如何提供等价保护的说明。

通常，在应用界定范围的考量后，组织就可能发现有必要选择并使用补偿安全控制。组织应如此使用补偿安全控制：

首先，要从附录B中来选择补偿控制，其中如果没有合适可用的补偿控制，组织才可采用其他源中合适的补偿控制；

其次，组织为补偿控制如何为工业控制系统提供等价的安全能力以及为什么不能使用该基线安全控制，给出支持理由；

最后，组织评价并接受在工业控制系统中使用补偿安全控制所带来的相关风险。

安全控制参数赋值

安全控制基线中的部分安全控制和控制增强包含嵌入参数（例如：赋值和选择陈述），例如，审计失效响应（AU-5）：

| 审计失效响应（AU-5） **控制：** 工业控制系统： 对于审计处理失效的事件，向【赋值：组织定义的人员】报警； 采取【赋值：组织定义的动作，例如：停止系统的运行，重写原有的审计记录，停止生成新的审计记录等】。 |

|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|

安全控制参数为组织定义控制和控制增强的一定部分提供了灵活性，以便支持特定组织的需求。

在应用界定范围考量后，组织应评审带有赋值和选择陈述的安全控制和控制增强，并为所标识的参数确定组织定义的值。参数值可根据相关法律、法规、规章、制度、政策或标准予以规定。

一旦组织为安全控制和控制增强定义了参数值，那么这些定义的赋值和选择就成为安全控制和控制增强的有机部分。

通常，组织应在选择补偿控制前，规约安全控制参数值，因为安全控制参数的规约完成了安全控制的定义，可能会影响补偿控制的需求。

对于以上章节所述裁剪过程的实施，应当注意以下事项：

1. 在实施初始安全控制基线的裁剪过程前，应与组织相关领导协商裁剪活动，并得到批准。
2. 组织不能随意为运行方便而移出安全控制。安全控制的裁剪决策应基于业务需要，是可论证的，并是伴同明确的、基于风险的评估决定。
3. 裁剪决策，包括决策理由，以及裁剪出的安全控制及其理由，均要记录在组织工业控制系统安全计划中，并作为安全计划批准过程的一部分，得到负责领导的审批。

综上，有关安全控制裁剪过程的应用，对应图2中突出部分：

1. 安全控制裁剪过程

安全控制补充

裁剪后的安全控制基线，仅确定一个工业控制系统所需要的安全控制集的基础或起始点。只有在组织风险评估的指导下才能最后确定合适的安全控制集。在控制选择过程中的风险评估，为确定裁剪后的基线安全控制的充分性，提供了重要的输入。在许多情况中，为强调特定的威胁和脆弱性，为满足法律、法规、方针、政策、标准和规章制度等要求，需要补充一些附加的安全控制和控制增强。组织应最大化地使用附录B中所给出的安全控制，以支持补充和增强安全控制过程，向经裁剪的安全控制基线中增加安全控制和控制增强。

为了补充已裁剪的安全控制基线，组织可使用需求定义法或空隙分析法选择安全控制和控制增强。在需求定义法中，组织获得有关敌对方活动的特定、可靠的威胁信息（或做出一种有根据的假设），以及一定能力或攻击的潜能（例如技能水平、经验、可用的资源等）。为了有效地抵御具有所陈述能力和潜能敌对方的攻击，组织应从附录B选择一些附加的安全控制和控制增强，以获得这样的安全能力。

相对于需求定义法，空隙分析法以组织当前安全能力的评估开始，基于初始的安全能力评估，组织确定可预见的威胁类型。如果组织当前的安全能力是不充分的，那么通过空隙分析就可确定所需要的安全能力。然后，组织从附录B中选择一些所需要的安全控制和控制增强，以达到期望的安全能力。

存在一些情况，为了充分保护组织使命和业务功能，组织使用了一些超出其能力的信息技术，即组织在工业控制系统中不能应用充分的安全控制来精确地减少或缓解风险。在这些情况中，就需要一种可选的安全战略，来预防组织使命和业务功能遭受负面影响。当安全控制在技术、资源约束下不能实现时或当控制缺乏期望的有效性来抵御已标识的风险时，应限制技术应用或限制工业控制系统的使用，来减少或缓解风险。可使用的限制包括：

1. 限制工业控制系统可处理、存储或转送的信息；
2. 限制组织使命和业务功能的自动化方式；
3. 禁止移动工业控制系统或系统部件；
4. 禁止外部网络访问组织工业控制系统；
5. 禁止工业控制系统部件里中、高影响的访问。

综上，对经裁剪的安全控制基线的补充，对应图２中突出部分：

1. 安全控制补充过程

建立安全控制决策文档

由于安全控制的描述相对精炼、抽象，可能缺乏实现安全控制的足够信息。组织应在工业控制系统安全计划中详细描述安全控制的实现目的、实现细节、适用范围以及安全控制与安全需求间的切合度等安全控制实现相关的规范信息。但在描述安全控制的规范信息时，不能更改安全控制的原始意图。

在安全控制选择过程期间，组织应建立所有安全控制的决策文档，为这些决策提供有力的理由。当存在对组织使命和业务功能的潜在影响，或在检查工业控制系统整个安全考量时，或当工业控制系统进行重大变更时，或当定期审核工业控制系统安全时，该文档均是基本的支撑资料。最终选择安全控制集及其选择过程的支持理由，以及任何工业控制系统的使用限制，均应记录在该工业控制系统安全计划中。该过程对应图2中突出部分：

1. 建立安全控制决策文档

1672660899831.jpg

延伸阅读

更多内容 可以点击下载 GB-T 32919-2016 信息安全技术 工业控制系统安全控制应用指南. http://github5.com/view/585进一步学习