路径: 主页 > GB/T > 第208页 > GB/T 36466-2018 | 标准编号 | GB/T 36466-2018 (GB/T36466-2018) | | 中文名称 | 信息安全技术 工业控制系统风险评估实施指南 | | 英文名称 | Information security technology -- Implementation guide to risk assessment of industrial control systems | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 46,487 | | 发布日期 | 2018-06-07 | | 实施日期 | 2019-01-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 36466-2018
Information security technology--Implementation guide to risk assessment of industrial control systems
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术
工业控制系统风险评估实施指南
2018-06-07发布
2019-01-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语、定义和缩略语 1
3.1 术语和定义 1
3.2 缩略语 2
4 概述 2
4.1 工业控制系统层次结构模型 2
4.2 实施原则及工作形式 3
4.3 框架及流程 3
5 实施方法 5
5.1 概述 5
5.2 文档查阅 5
5.3 现场访谈 6
5.4 现场核查 6
5.5 现场测试 7
5.6 模拟仿真环境测试 7
6 实施过程 7
6.1 准备 7
6.2 资产评估 14
6.3 威胁评估 16
6.4 脆弱性评估 19
6.5 保障能力评估 28
6.6 风险分析 30
6.7 残留风险控制 31
附录A(资料性附录) 记录表 32
附录B(资料性附录) 脆弱性及保障能力核查表示例 34
参考文献 41
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准主要起草单位:国家信息技术安全研究中心、中国电子技术标准化研究院、全球能源互联网
研究院、中国电子信息产业集团有限公司第六研究所。
本标准主要起草人:李京春、李冰、刘鸿运、方进社、刘贤刚、范科峰、高昆仑、刘仁辉、葛培勤、王宏、
曾珍珍、李健、梁潇、詹雄、李霞、庞宁、姚相振、周睿康、赵婷、刘楠、徐克超、蔡磊。
引 言
随着工业控制系统和信息化技术的融合,工业控制系统广泛应用于冶金、电力、石化、水处理、铁路、
航空和食品加工等行业。工业控制系统指应用于工业控制领域的数据采集、监视与控制系统,是由计算
机设备、工业过程控制组件和网络组成的控制系统,是工业领域的神经中枢。工业中使用的控制系统包
括监视控制与采集系统、分布式控制系统、可编程逻辑控制器系统等。我国把工业控制系统信息安全作
为信息安全保障的一个相对独立的体系进行建设,其安全性将直接关系到国家重要基础工业设施生产
的正常运行和广大公众的利益。
本标准在对工业控制系统的资产进行整理分析的基础上,从其资产的安全特性出发,分析工业控制
系统的威胁来源与自身脆弱性,归纳出工业控制系统面临的信息安全风险,并给出实施工业控制系统风
险评估的指导性建议。
本标准主要为第三方安全检测评估机构在工业控制系统现场实施风险评估提供指南,也可供工业
控制系统业主单位进行自评估时参考。
信息安全技术
工业控制系统风险评估实施指南
1 范围
本标准规定了工业控制系统风险评估实施的方法和过程。
本标准适用于指导第三方安全检测评估机构对工业控制系统的风险评估实施工作,也可供工业控
制系统业主单位进行自评估时参考。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南
GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南
ISO/IEC 62264-1:2013 企业控制系统综合 第1部分:模型和术语(Enterprise-controlsystem
3 术语、定义和缩略语
3.1 术语和定义
GB/T 31509-2015和GB/T 32919-2016中界定的以及下列术语和定义适用于本文件。
3.1.1
在工业生产控制过程中,对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据
采集与监控管理的控制系统。
3.1.2
以计算机为基础,在系统内部(单位内部)对生产过程进行分布控制、集中管理的系统。
3.1.3
主终端单元masterterminalunit;MTU
用于生产过程信息收集和检测的工业控制系统总站。
注:一般部署在调度控制中心。
3.1.4
远程终端单元 remoteterminalunit;RTU
用于监测、控制远程工业生产装备的工业控制系统远程站点设备。
3.1.5
采用可编程存储器,通过数字运算操作对工业生产装备进行控制的电子设备。
3.1.6
用于生产过程的信息采集、自动测量记录和传导,通过网络与 MTU保持通信的智能化电子设备。
注:一般部署在管网站场。
3.1.7
人机界面 human-machineinterface;HMI
为操作者和控制器之间提供操作界面和数据通信的软硬件平台。
3.2 缩略语
下列缩略语适用于本文件。
RTU 远程终端设备(RemoteTerminalUnit)
ACL 访问控制列表(AccessControlList)
DoS 拒绝服务(DenialofService)
4 概述
4.1 工业控制系统层次结构模型
工业控制系统应用的技术领域、行业特点或者承载的业务类型的差异化导致实际中工业控制
系统的架构差别较大。为了就典型的工业控制系统的功能特点和部署形式达成共识,本标准依据
ISO/IEC 62264-1:2013的层次结构模型,给出了通用的工业控制系统的层次结构模型,如图1深
色部分所示:
图1 工业控制系统层次结构模型图
根据层次结构模型图中所述,企业资源层与生产管理层中用到的多为传统信息系统中通用的软件
和硬件,GB/T 31509-2015给出了相应的评估方法。过程监控层、现场控制层和现场设备层是工业控
制系统中特有的部分。本标准主要规范这3个层面的风险评估的实施工作。
4.2 实施原则及工作形式
GB/T 31509-2015规定了风险评估实施的原则,包括标准性原则、关键业务原则、可控性原则及
最小影响原则。
GB/T 20984-2007明确了风险评估的基本工作形式是自评估与检查评估。无论自评估或检查评
估均可委托第三方工业控制系统风险评估机构实施。
4.3 框架及流程
4.3.1 风险要素关系
风险评估中各要素及其关系如图2所示。
图2 工业控制系统风险要素的关系
工业控制系统风险评估的基本要素包括资产、威胁、保障能力以及脆弱性。风险评估围绕这些基本
要素展开,在对这些基本要素的评估过程中需要充分考虑与基本要素相关的各类属性。风险基本要素
与属性间存在如下的关系:
a) 工业生产运行依赖资产去实现;
b) 资产具有资产价值,体现在工业生产运行以及系统信息安全对资产的依赖程度,依赖度越高,
资产价值越大;
c) 资产面临威胁,资产价值越大则其面临的威胁越大;
d) 保障能力可保护资产安全,抵御威胁,保障能力越强,资产面临的威胁越少;
e) 风险是由威胁引发的,资产面临的威胁越多则其风险越大;
f) 脆弱性会影响资产安全,威胁可利用脆弱性来损害资产,从而形成风险;
g) 脆弱性越多,安全风险的可能性越大;
h) 保障能力可减少脆弱性,降低安全风险;
i) 需要结合资产价值综合考虑保障能力的实施成本;
j) 保障能力可抵御威胁,弥补或减少脆弱性,降低安全风险。
风险不可能降低到零,在实施了安全措施后还会有残留风险。有些残留风险来自于保障能力的不
足,需要加强控制,而有些残留风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被接受
的风险。
4.3.2 风险评估流程
工业控制系统风险评估实施分为3个阶段,包括:风险评估准备阶段、风险要素评估阶段、综合分析
阶段。根据工业控制系统风险评估的不同阶段,评估方制定相应的工作计划,保证评估工作的顺利
进行。
风险评估实施过程见第6章,风险评估实施流程如图3所示。
图3 风险评估实施流程图
5 实施方法
5.1 概述
对工业控制系统进行风险评估需要进行调查、取证、分析和测试。工业控制系统风险评估的方法主
要有5种:文档查阅、现场访谈、现场核查、现场测试和模拟仿真环境测试。
5.2 文档查阅
文档查阅用于确认被评估方的政策及技术方面是否全面且是最新的。被评估方应提供评估所需的
文件,以确保评估方对其进行全面审查。评估方查阅被评估方的工业控制系统规划设计方案、网络拓扑
图、系统安全防护计划、安全策略、架构、要求、标准作业程序、授权协议、系统互连备忘录、信息安全事件
应急响应计划等文档,评估其准确性和完整性。
文档查阅有助于评估方了解工业控制系统的基本信息,包括网络拓扑结构、主要软硬件构成等。文
档查阅可以发现可能导致丢失、不足或不正确执行的安全策略。评估方需验证被评估方的文档是否符
合标准和法规,查找被评估方政策的缺陷、过时内容或不合理。
实施指南如下:
a) 评估方在准备阶段编制一份通用的工业控制系统风险评估文档查阅所需文件目录;
b) 被评估方根据文件目录提供相对应的文档;
c) 评估方审查相关文档内容是否完整合规;
d) 当所需文件不可调阅或不存在时,评估方对其进行标注,并就相关内容与被评估方沟通。
5.3 现场访谈
现场访谈用于收集客观事实材料,补充在文档查阅中未被发现的工业控制系统细节,进一步理解和
洞察工业控制系统的开发、集成、供应、使用、管理等过程。
评估方应在评估实施之前准备好访谈问卷或调查表。访谈中,可以根据被访者的反映,对调查问题
作调整或展开。现场访谈调查表参见附录A。
实施指南如下:
a) 评估方在评估准备阶段编制一份通用工业控制系统风险评估访谈调查表;
b) 被评估方根据具体问题分配不同的人员配合评估方访谈,分配的人员应是最熟悉该评估对象
的人员;
c) 若访谈对象对某些问题无法给出确定的答复,应对该问题进行标注,并在后续评估过程中对其
进行确认;
d) 对访谈中需要验证的问题进行标注,以备后期现场核查及技术确认;
e) 访谈对象在访谈结束后对访谈记录进行核查,若无误则需进行签字确认。
5.4 现场核查
现场核查是在工业控制系统现场生产环境下进行的核查工作,能够真实地反应系统的安全问题。
以下几种情况可能需要使用现场核查:
a) 对工业控制系统现场物理环境评估;
b) 对工业控制系统配置、系统架构和系统日志等评估;
c) 对工业控制系统安全管理评估;
d) 对已采取安全措施进行确认。
实施指南如下:
a) 评估方需将需要现场核查的测试项与工业控制系统现场生产管理、操作人员进行沟通,制定现
场核查计划安排。如果工业控制系统分布区域很大,涉及多个部门,需提前做好计划安排,统
筹时间和人员等;
b) 对于部分工业控制系统所在的现场环境恶劣的情况,应严格遵守被评估方现场规章制度;必
要时,在进入工业控制系统现场前,被评估方可组织评估人员进行安全教育培训,保障人员的
安全;
c) 评估方核查工业控制系统的访问控制、审计等功能时,需工业控制系统的现场生产管理、操作
人员和相应的信息安全人员在场,最好由工业控制系统操作人员对其进行核查操作,评估人员
只负责查看并记录结果;
d) 现场核查测试时,评估方不应改动工业控制系统的任何配置;
e) 记录现场核查的结果。若发现不符合项或脆弱项,需对其进行验证。
5.5 现场测试
工业控制系统分为离散型和连续型。某些离散的工业控制系统,如数控机床等,处于非运行状态时
可以进行现场测试。现场测试是指直接在待评估工业控制系统现场环境上进行安全性测试,这种测试
方法能够更真实的反应工业控制系统存在的脆弱性。现场测试方法包括漏洞扫描、协议分析、设备漏洞
挖掘、渗透性测试等。
渗透性测试的目的是为发现和确认工业控制系统的脆弱性,可在被评估方允许的前提下对离散过
程的工业控制系统实施。测试前应与相关专家讨论具体的实施方案和评估可能产生的后果,并制定相
应的处置计划。评估方应谨慎使用渗透性测试方法。
现场测试完成后,需要对系统进行验证才能再次投入使用。
5.6 模拟仿真环境测试
连续型工业控制系统往往处于不间断运行状态,任何系统故障都可能造成巨大的损失。风险评估
过程中脆弱性识别往往需要进行攻击测试或绕过系统的安全机制,若直接在生产系统上实施会带来更
大的安全风险,甚至导致工业控制系统崩溃或进入不可控状态。因此需要搭建模拟仿真测试环境并在
此基础上进行安全测试工作。由于测试工作仅在模拟环境中进行,不会对现场工业控制系统的正常运
行造成影响。模拟仿真环境下的测试评估是最有效的测试评估方法,能够在更大的范围内发现被测试
系统内的流程、协议、实现等安全漏洞。
模拟仿真测试评估在测试过程中可能会造成被测试设备的损坏,或导致被测试系统的数据库中产
生无效数据。若使用工业控制系统的开发、测试或备用系统作为模拟仿真测试环境,在测试完成后需要
经过验证才能将其投入使用,以承担其原本的功能。
模拟仿真测试最常用的技术测试方法包括:渗透测试、固件逆向分析、专用嵌入式系统分析、源代码
审计、程序的上传下载漏洞分析、专有协议分析、硬件板卡分析等。常用的检测工具包括漏洞扫描器,渗
透性测试工具,通讯协议数据捕获工具等。
在模拟仿真环境中既可对整个系统的安全性进行测试,评估系统整体安全状况,也可针对重要设备
进行单独的组件测试,以识别工业控制系统的关键风险。
6 实施过程
6.1 准备
6.1.1 概述
风险评估的准备是整个风险评估过程有效性的保证。评估方与被评估方都应充分做好风险
评估实施前的各项准备工作。为保障风险评估工作的顺利开展,应召开风险评估工作启动会议,
GB/T 31509-2015规定了启动会议的内容及意义。图4是工业控制系统风险评估准备工作
流程。
图4 风险评估准备工作流程
6.1.2 确定目标
风险评估应贯穿于工业控制系统生命周期的各阶段中,由于工业控制系统生命周期各阶段中风险
评估实施的内容、对象、安全需求均不同,因此评估方应首先根据当前工业控制系统的实际情况来确定
在工业控制系统生命周期中所处的阶段,并以此来明确风险评估目标,如图5所示。具体实施过程见
GB/T 20984-2007以及GB/T 31509-2015。
图5 确定评估目标
实施指南如下:
a) 评估方应根据输入的文档材料及对相关人员的访谈,分析研判出工业控制系统现在所处的生
命周期;
b) 根据生命周期不同阶段的要求确定评估目标。
6.1.3 确定范围
风险评估实施范围是评估方工作的范围。评估范围可以是包括生产管理层和企业资源层在内的整
个工业控制系统,也可以是工业控制系统中特有部分或关键业务处理系统等。在确定评估范围时,应结
合评估目标以及工业控制系统的实际建设运行情况合理的确定评估范围边界。确定评估范围如图6
所示。
图6 确定评估范围
实施指南如下:
a) 评估方应了解工业控制系统所处的工业控制安全基线级别,具体见GB/T 32919-2016;
b) 评估方应了解被评估方要求评估的范围和实际工业控制系统建设情况;
c) 风险评估实施范围应包括被评估方工业控制系统相关的资产、管理机构,关键业务流程等;
d) 评估方应结合已确定的评估目标、被评估方要求评估的范围和实际工业控制系统建设情况,
合理定义评估对象和评估范围边界。
6.1.4 组建团队
风险评估实施团队可由评估方与被评估方的风险评估实施组、专家组共同组成。评估方应由工业
控制系统专业人员、信息技术评估人员等组成。一个运行的工业控制系统会涉及多个利益相关方,包括
提供工控产品的厂商、实际销售工控产品的分销商、集成并开发应用系统的集成商、为系统提供运行维
护的厂商以及工控系统的所有者等。在进行工业控制系统的风险评估之前,需要清晰界定评估所针对
的是工控系统生态的哪一部分,涉及哪些利益相关方,从而确定风险评估过程中被评估方应当邀请的参
与人员。
评估实施团队应进行风险评估技术培训和保密教育,制定风险评估过程管理相关规定。评估方与
被评估方应签署保密协议。
每个团队成员应具有明确的职位和责任。为确保风险评估实施工作的顺利有效进行,应采用合理
的项目管理机制,评估团队和被评估方主要成员的职位与职责说明分别见表1和表2。
表1 评估方成员职位与职责说明
评估方人员职位 工作职责
项目组长
是风险评估项目中实施方的管理者、责任人,具有丰富的工业控制系统风险评估经验。具体
工作职责包括:
1)GB/T 31509-2015规定的;
2)参与风险评估启动会议;
3)组织开展风险评估方案专家评审会;
4)组织开展风险评估报告等项目成果物专家评审会;
5)组织评估方成员开展保密教育及相关技术培训;
6)参与项目验收会议;
7)配合搭建模拟仿真测试环境
表1(续)
评估方人员职位 工作职责
评估人员
是负责风险评估项目中技术方面评估工作的实施人员,应熟悉工业控制系统专用的通信协议
(例如:DNP3、ModBus、PROFINET、PROFIBUS等);同时应精通编码、逆向工程、协议分析和
渗透测试等;部分工业控制系统使用非桌面操作系统,评估实施团队成员应熟悉被检测工业
控制系统使用的操作系统。具体工作职责包括:
1)GB/T 31509-2015规定的;
2)参与保密教育及相关技术培训
质量管控员
是负责风险评估项目中质量管理的人员。具体工作职责包括:
1)GB/T 31509-2015规定的;
2)参与保密教育及相关技术培训
表2 被评估方成员职位与职责说明
被评估方
人员职位
工作职责
项目组长
是风险评估项目中被评估方的管理者。具体工作职责包括:
1)GB/T 31509-2015规定的;
2)组织被评估方成员开展保密教育及相关技术培训;
3)组织召开风险评估启动会议;
4)组织开展项目验收会议;
5)组织搭建模拟仿真测试环境
项目协调人
是指风险评估项目中被评估方的工作协调人员,应被赋予一定权力。具体工作职责包括:
1)GB/T 31509-2015规定的;
2)参与保密教育及相关技术培训;
3)参与风险评估启动会议;
4)配合搭建模拟仿真测试环境
信息安全管理人员
是指被评估方的专职信息安全管理人员。在风险评估项目中的具体工作职责包括:
1)GB/T 31509-2015规定的;
2)参与保密教育及相关技术培训;
3)配合搭建模拟仿真测试环境
运维及操作人员
是指在被评估方的工业控制系统运行维护及操作人员。运维及操作人员承担工业控制系统
中的现场控制层及现场设备层的管理运维及使用。在风险评估项目中的具体工作职责包括:
1)GB/T 31509-2015规定的;
2)参与保密教育及相关技术培训;
3)配合搭建模拟仿真测试环境
表2(续)
被评估方
人员职位
工作职责
关键产品供应商人员
是指工业控制系统关键产品(包括软硬件)供应商人员代表。在风险评估项目中的具体工作
职责包括:
1)在项目组长的安排下,配合评估方的工作;
2)参与保密教育培训;
3)参与风险评估项目的验收
系统集成商人员
是指工业控制系统的集成商代表,在风险评估项目中具体的工作职责包括:
1)在项目组长的安排下,配合评估方的工作;
2)参与保密教育及相关技术培训;
3)配合搭建模拟仿真测试环境;
4)参与对风险评估项目的验收
专家组由工业控制系统相关领域专家组成,职责包括:
a) 对风险评估实施方案进行评审;
b) 对风险评估报告等项目成果物进行评审;
c) 对评估工作中出现的关键性问题提供指导;
d) 对风险评估整个过程进行监督。
......
|