声明
本文是学习GB-T 32919-2016 信息安全技术 工业控制系统安全控制应用指南. 下载地址 http://github5.com/view/585而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
工业控制系统安全控制列表
规划(PL)
安全规划策略和规程(PL-1)
控制要求:
组织应:
- 制定并发布安全规划的策略,内容至少应包括:目的、范围、角色、责任、管理层承诺、相关部门间的协调和合规性;
- 制定并发布安全规划规程,以推动安全规划的策略及与相关安全控制的实施;
- 按【赋值:组织定义的时间间隔】,对安全规划的策略及规程进行评审和更新。
补充指导:
- 通过该控制来产生一些能有效实现安全规划族中安全控制和控制增强的策略与规程;
- 该策略和规程应与相关法律、法规、规章、制度、政策、标准和指南是一致的;
- 安全规划策略可作为组织信息安全策略的一部分。
- 安全规划规程可针对一般性的安全程序予以开发,当需要时,可针对特殊ICS予以开发。
控制增强: 无
系统安全规划(PL-2)
控制:
组织应:
- 开发与组织使命和业务功能相一致的ICS安全计划,该计划应包括:
- 显式地定义了系统的授权边界;
- 通过组织使命和业务过程,描述了ICS的运行环境;
- 提供了ICS的安全定级及定级理由;
- 描述了与其他ICS的关系或连接;
- 提供了该系统的安全需求概要;
- 描述了满足安全需求的已有的或规划的安全控制,以及剪裁和补充决策的理由;
- 在计划实现前,是否得到评审和批准。
- 按【赋值:组织定义的时间间隔】,评审ICS安全计划;
- 为了强调ICS和运行环境的变更,根据安全计划实现期间或安全控制评估期间所标识的问题,对该计划进行调整。
补充指导:
- 关于“控制”实例化要求
安全计划内含一些有意义的信息,包括对安全控制中 “赋值”和 “选择”陈述的参数规约,包括通过参考文献有关参数的规约,以便能无歧义地实现安全控制,符合该安全计划的意图,并能使以后作出如下判断:如果该计划按预期实现,还存在哪些对组织运行和资产以及对个体、其它组织和国家的风险。
- 关于计划实现基本要求
安全计划实现前,应得到授权官员或其代表的评审和批准,并作为组织风险管理战略的一部分。
- 相关安全控制:AC-2、AC-6、AC-14、AC-17、AC-20、CA-2、CA-3、CA-7、CM-9、CP-2、IR-8、MA-4、MA-5、MP-2、MP-4、MP-5、PL-7、PM-1、PM-7、PM-8、PM-9、SA-5、SA-17。
控制增强:
- 组织为ICS开发安全操作概念,至少包括:系统意图、系统体系架构描述、安全授权安排、安全定级以及定级决策中所考虑的相关因素;
- 按【赋值:组织定义的时间间隔】,评审并调整安全操作概念;
增强补充指导:
- 安全操作概念可以包含在ICS安全计划中。
- 组织为ICS开发功能体系结构,该结构标识并维护所有外部接口,通过接口交换的信息以及与每一接口相关联的保护机制;
- 应定义用户角色,以及为每一角色所赋予的访问权限;
- 唯一独特的安全需求,例如,对暂时闲置的关键数据元素进行加密;
- 按可用相关法律、法规、方针、政策、法规、标准和指南,ICS的安全定级,以及任意特殊的保护要求;
- 信息恢复优先级或ICS服务的优先级。
行为规则(PL-3)
控制:
组织应:
- 针对ICS的用法,建立并制定所有ICS用户的行为规则,描述他们的责任和期望的行为;
- 在授权访问ICS前,接受来自用户签署的有关他们已经阅读的、理解的和同意遵守该行为规则方面的意见。
补充指导:
- 组织应基于用户的角色和责任,考虑一些不同的规则集,例如,适用于特权用户的规则和适用于一般角色的规则之间的区分;
- 可使用电子签名,作为认可的行为规则。
- 相关安全控制:AC-2、AC-6,AC-8、AC-9、AC-17、AC-18、AC-19、AC-20、AT-2、AT-3、CM-11、IA-2、IA-4、IA-5、MP-7、PS-6、PS-8、SA-5。
控制增强:
- 在行为规则中,组织应显式地限制对外部网站的使用,限制共享系统的帐户信息。
信息安全架构(PL-4)
控制:
组织应:
- 基于纵深防御的思想制订工业控制系统的信息安全架构,描述信息安全保护的需求、方法及有关外部服务的安全假设或依赖关系;
- 按【赋值:组织定义的时间间隔】审核并更新信息安全架构;
- 考虑信息安全体系的变更对安全规划、系统采购过程的影响。
补充指导:
- 该控制专注于组织设计开发ICS需关注的行为;
- 信息安全结构包括架构描述、安全功能配置和分配、外部接口的安全相关信息、信息交换的接口以及与每个接口相关联的保护机制等;
- 信息安全架构可以包括其他重要的安全相关信息,如:用户角色和访问权限分配、独特的安全要求、信息处理类型、存储和传输的系统、系统服务恢复优先级以及任何其他特定的保护需求。
- 相关安全控制:CM-2、CM-6、PL-2、PM-7、SA-5。
控制增强:
- 应基于纵深防御的思想设计信息安全架构;
- 应在预定义的位置和架构层部署特定的安全防护以获得全面的安全保障。
安全活动规划(PL-5)
控制:
- 在可影响ICS的安全活动进行前,组织应规划并协调,以便减少对组织运行、组织资产和个体的影响。
补充指导:
- 与安全有关的活动,例如包括:安全评估、安全审计、硬件和软件的维护以及持续性计划的测试和演练;
- 组织事先所进行的规划和协调,包括两个方面:应急情况和非应急情况。
- 相关安全控制:PL-2。
控制增强: 无
安全评估与授权(CA)
安全评估与授权策略和规程(CA-1)
控制:
组织应:
a) 制定并发布安全评估与授权策略及规程方针策略,内容至少应包括:目的、范围、角色、责任、管理层承诺、相关部门间的协调和合规性;
b) 制定并发布安全评估与授权方针策略及规程,以推动安全评估与授权策略及与相关安全控制的实现;
c) 按【赋值:组织定义的时间间隔】,对安全评估与授权策略和规程进行评审和更新。
补充指导:
- 通过该控制来有效实现安全评估与授权族中安全控制和安全增强的策略和规程;
- 这些策略和规程要与相关法律、法规、政策和标准保持一致;
- 安全评估与授权策略可作为组织信息安全策略的一部分;
- 安全评估与授权规程一般可针对安全程序予以开发,当需要时也可针对特殊的ICS予以开发;
- 在开发安全评估与授权策略中,组织风险管理战略是一个重要的因素。
控制增强: 无
安全评估(CA-2)
控制:
组织应:
- 按【赋值:组织定义的时间间隔】评估ICS安全控制,以确定这些控制正确实现程度,按预期运行的程度,产生期望结果的程度,是否满足系统的安全需求;
- 产生评估报告,记录评估结果。
补充指导:
- 组织应评估ICS安全控制,作为满足安全需求年度评估的一部分,作为持续监视的一部分,作为ICS开发生存周期中系统测试和评估的一部分;
- 评估报告按【赋值:组织要求的详细程度】来记录评估结果,以便确定该报告的准确性和完备性;
- 按安全需求,在【赋值:组织定义的时间间隔】内进行一次安全评估,最少一年进行一次安全评估;
- 为了满足年度评估要求,组织可持续监视或作为系统开发生存周期过程一部分的ICS测试和评估,勾画出信息安全评估结果;
- 现有的安全评估结果,只要仍然有效,可在一定程度上予以复用,并在需要时与附加的评估互补;
- 安全评估活动绝对不能影响ICS正常运行;
- 如果必须离线评估ICS,应将评估活动安排在计划好的ICS停机阶段;
- 某些情况下,组织认为ICS在线测试不可取或不适用或可能产生负面影响,应按裁剪指导,使用合适的补偿控制(例如,提供一个替代的系统进行评估),并在安全计划中记录原因。
- 相关安全控制:CA-4、CA-6、CA-7。
控制增强:
- 组织应使用独立的评估人员和评估组织,进行ICS中的安全评估;
- 作为安全评估的一部分,组织应【赋值:组织定义的时间间隔】开展【选择:深度监视、恶意用户测试、渗透测试或组织定义的其它形式的安全测试】。
增强补充指导:
- 渗透测试演练物理方面和技术方面的安全控制。渗透测试的标准方法包括:测试前分析,基于目标系统的整个了解;测试前潜在脆弱性的标识,基于测试前分析;对于所标识脆弱性,确定其可利用性所设计的测试。
- 在任一渗透测试场景开始前,各方应就详细的测试规则达成一致意见;这些规则与实施攻击中的威胁源所使用的工具、技术和规程是相互联系的。
- 进行渗透测试的渗透代理或渗透小组,其独立程度可由组织的风险评估予以指导,做出相应的决策。
- 进行红色小组演练,作为模拟的敌对方,尝试破坏组织使命和业务过程,以便提供一个综合详细的ICS和组织的安全能力评估。
- 渗透测试可以是以实验室为基础的测试,但一般期望是更综合性的,并反映实际条件的测试。
- 进行ICS监视、恶意用户测试、渗透测试、红色小组演练以及其它形式的安全测试,其目的是为了通过演练,来改善组织的实际现状,作为关注组织改进系统和组织安全状态的行为的一种手段。
- 依据相关法律、法规、政策、制度和标准的要求进行测试。
- 测试方法要得到授权官员的批准,其中应与组织风险管治功能部门协调。
- 在红色小组演练期间,覆盖的脆弱性应编入到脆弱性修补过程中。
- 组织应开发并使用安全评估计划,描述ICS要予评估的可用的安全控制和控制增强,描述评估环境,评估范围,评估组以及评估角色和责任;
- 组织应开发并使用评估规程文档,其中包含实现的安全控制和控制增强的详细描述,以及该实现如何在评估期间得以验证;
- 组织应向相关主管部门汇报书面形式的安全评估结果。
ICS连接管理(CA-3)
控制:
组织应:
- 制定ICS与其它ICS互联安全规定,授权ICS与外部其它系统进行连接;
- 对ICS与外部其他工业控制系统连接的接口特征、安全要求、通信信息特性等内容进行记录;
- 在【赋值:组织定义的时间间隔】评审ICS与外部的连接情况,以验证ICS连接是否符合规定要求。
补充指导:
- 组织应评估ICS中的安全控制,作为满足安全需求年度评估的一部分,作为持续监视的一部分,作为ICS开发生存周期过程中系统测试与评估一部分;
- 评估报告应按组织要求的详细程度来记录评估结果,以便确定该报告的准确性和完备性;
- 按安全需求,按【赋值:组织定义的时间间隔】进行安全控制评估;
- 为了满足年度评估需求,组织可持续监视或作为系统开发生存周期过程一部分的ICS测试和评估,勾画出信息安全评估结果;
- 现有的安全评估结果,只要仍然有效,可在一定程度上予以复用,并当需要时与附加的评估互补。
- 相关安全控制:AC-2、AC-4
控制增强:
- 组织应阻止把未分保密等级的国家安全系统直接连接到外部网络。
增强补充指导:
- 不直接连接,意指在没有使用得到批准的边界保护设备(例如防火墙)的情况下,不能连接到外部网络。
- 组织应阻止把具有保密等级的国家安全系统直接连接到外部网络。
增强补充指导:
- 不直接连接,意指在没有使用得到批准的边界保护设备(例如防火墙)的情况下,不能连接到外部网络;
- 得到批准的边界保护设备(一般是予以管理的接口/跨域系统),提供从该工业控制系统到外部与AC-4一致的网络之信息流执行。
实施计划(CA-4)
控制:
组织应:
- 制定行动计划,在其中记录下拟采取的整改行动,以改正在安全控制评估中发现的弱点和不足,减少或消除系统中的已知漏洞;
- 根据安全评估、后果分析和持续监控的情况,按【赋值:组织定义的时间间隔】更新现有的行动计划。
补充指导:
- 该计划记录了组织为纠正在安全评估期间所发现的弱点或不足所规划的修补动作,目的是减少或消除系统中已知的脆弱性;
- 行动计划是安全授权包中的一个关键文档;
- 该计划的调整是基于安全评估中、安全影响中的发现,并继续进行监视活动。
- 相关安全控制:CA-2、CA-7、CM-4。
控制增强:
- 组织应使用有助于实施计划准确、适时和到时可用的自动化机制。
安全授权(CA-5)
控制:
组织应:
- 指定【赋值:高层管理人员】作为ICS的授权责任人;
- 未经授权责任人正式授权,ICS不得投入运行;
- 在【赋值:组织定义的时间间隔】或发生重大变更时,对ICS重新进行安全授权。
补充指导:
- 授权责任人应具有ICS的预算能力,或负责系统所支持的组织使命或业务运行;
- 通过安全授权过程,授权责任人应考虑与ICS运行相关联的安全风险,相对应的,授权责任人应在与理解和接受ICS相关安全风险相称的管理岗位;
- 通过使用综合持续的监视过程,持续地调整授权(如包含风险评估的安全计划)中所包含的关键信息、安全评估报告以及行动计划,向授权责任人和ICS拥有者提供及时的ICS安全状态;
- 为了减少管理安全再授权的成本,授权责任人应使用持续监视过程的结果,尽可能按那个基础,做出再授权的决定。
- 相关安全控制:CA-2、CA-7、PM-9。
控制增强: 无
持续监控(CA-6)
控制:
- 组织应持续监视ICS中的安全控制。
补充指导:
- 持续监视程序允许组织依据变化的威胁、脆弱性、技术、使命和业务过程,在高动态运行环境中及时维护ICS的安全授权;
- 使用自动化支持工具来持续监视安全控制,进行实时的ICS风险管理;
- 有效的持续监视程序包括:ICS构件的配置管理和控制、系统变更或其运行环境的变更的安全影响分析、持续评估安全控制和ICS状态报告;
- 该控制与监视配置变更中所需要的活动紧密相关并相互支持。有效的持续监视程序,导致不断地调整安全计划、安全评估报告、动作和里程碑计划;
- 严格和良好地执行持续监视程序,可充分地减少重新授权ICS所需要的工作量;
- 组织应确保评估不干扰ICS的功能。
- 相关安全控制:CA-2、CA-4、CA-5、CM-3、CM-4。
控制增强:
- 组织应使用独立评估人员或评估组织,在持续的基础上来监视工业控制系统的安全控制。
增强补充指导:
- 组织在持续监视期间,通过要求独立评估人员或小组评估工业控制系统授权周期期间所有安全控制,可以扩大并最大化安全控制持续评估的价值。
- 组织应【赋值:组织定义的时间间隔】规划、安排并进行评估,宣布或不宣布【选择:深度监视、恶意用户测试、渗透测试、红色小组演练或组织定义的其它形式的安全评估】,以便确保符合所有脆弱性缓解过程。
增强补充指导:
- 脆弱性缓解规程的例子包含在信息保障脆弱性警告中,期望通过测试来确保工业控制系统的安全能力,持续提供准确的保障,以免不断演化威胁和脆弱性。
- 符合性测试还提供了独立的确认。
- 参见CA-2的补充指导,增强b)给出了恶意用户测试、渗透测试、红色小组演练以及其它形式的安全测试的进一步信息。
渗透测试(CA-7)
控制:
- 组织应按【赋值:组织定义的时间间隔】对ICS及组件执行渗透测试,以保障ICS能够抵抗一定强度的攻击。
补充指导:
- 渗透测试通过模仿攻击者攻击的方式,来分析ICS系统或组件可能存在的脆弱性和漏洞;
- 渗透测试是一种特殊的ICS系统或组件进行评估方式,以发现可能被攻击者利用的漏洞;
- 渗透测试用来验证的漏洞被利用程度,以及可能遭受的损坏;
- 渗透测试可以针对ICS硬件、软件或固件组件进行。
- 相关安全控制:CA-2。
控制增强:
- 组织应聘请专业的第三方渗透组织或团队对ICS开展渗透测试。
内部连接(CA-8)
控制:
- 组织应对连接ICS及组件的内部系统进行授权;
- 应对每个内部连接的系统特性、安全性要求、通信方式、交互内容等进行归档登记。
补充指导:
- 该控制适用于组织内与ICS连接的所有系统,包括移动设备、笔记本/台式电脑、打印机、复印机、传真机、扫描仪、传感器和服务器等。
- 相关安全控制:CA-3、CA-4。
控制增强:
- 在建立内部连接前,在ICS系统或组件上执行安全合规性检查。
风险评估(RA)
风险评估策略和规程(RA-1)
控制:
组织应:
- 制定并发布正式的风险评估策略,其中应包含目的、范围、角色、责任、管理承诺、组织各部门间的协调以及合规性;
- 制定并发布正式的风险评估规程,以推动风险评估策略及与相关安全控制的实施;
- 按【赋值:组织定义的时间间隔】,对风险评估策略和规程进行评审和更新。
补充指导:
- 期望通过该控制来有效实现风险评估族中安全控制以及安全增强的策略和规程;
- 该策略和规程应与相关法律、法规、政策、规章、制度、标准和指南保持一致;
- 风险评估策略可作为组织信息安全策略的一部分;
- 风险评估规程可针对一般性的安全程序予以开发,也可针对特殊ICS予以开发;
- 在开发配置管理策略中,组织的风险管理战略是一个重要的因素。
控制增强: 无
安全分类(RA-2)
控制:
组织应:
- 按国家法律、法规、政策和标准,对ICS进行分类;
- 在该ICS的安全计划中,记录安全分类结果(包括这样分类的理由);
- 确保对该安全分类决定进行了评审,并得到授权官员的批准。
补充指导:
- 安全分类描述了信息和ICS受到破坏后,丧失保密性、完整性或可用性对组织运行、组织资产和人员潜在的负面影响;
- 组织进行安全分类过程,作为大量组织的一项活动,涉及到首席信息官、高层信息安全官、ICS拥有者、关键使命拥有者等;
- 组织还要考虑对其它组织的负面影响;
- 安全分类过程支持信息资产目录的创建,与PM-8(配置管理族:ICS构件目录)一起, 把目录中信息资产映射到处理、存储和传输信息的系统部件。
- 相关安全控制: CM-8、MP-4、RA-3、SC-7。
控制增强: 无
风险评估(RA-3)
控制:
组织应:
- 进行风险评估,包括对支持组织运行的信息和ICS的未授权访问、使用、泄露、破坏、修改、毁坏,所造成损害的可能性和严重程度;
- 按【赋值:组织定义的时间间隔】,评审风险评估的结果;
- 按【赋值:组织定义的时间间隔】,或当标识了新的威胁和脆弱性,或出现了可能影响系统安全状态的其它条件时,或当ICS或运行环境进行重大改变时,调整风险评估。
补充指导:
- 风险评估中应主要考虑:脆弱性、威胁源,以及所规划的或已有的安全控制,目的是为了确定在该ICS运行中,组织运行和资产、个体、其它组织和国家所具有的残余风险程度;
- 风险评估中还要考虑组织运行和资产或来自外部组织的个体(例如:服务提供者,评估组织ICS的个体,外部实体)所带来的风险;
- 风险评估中应遵循相关法律、法规和政策要求。
- 相关安全控制:RA-2、PM-9。
控制增强: 无
脆弱性扫描(RA-4)
控制:
组织应:
- 按【赋值:组织定义的时间间隔】或按【赋值:组织定义的过程】,或当标识并报告了新的可能影响系统的脆弱性时,对系统和主机应用进行扫描;
- 依据采用的标准,使用脆弱性扫描工具和技术来:
- 列举平台、软件缺陷和不合适的配置;
- 格式化和使之透明,并产生检测列表以及相应的测试规程;
- 度量脆弱性影响
- 分析由安全控制评估所产生的脆弱性扫描报告和结果;
- 依据组织的风险评估,按【赋值:组织定义的响应时间】,修补脆弱性;
- 与【赋值:指定的组织内人员】,共享脆弱性扫描过程和安全控制评估中的信息,以助于消除在其它ICS中类似的脆弱性。
补充指导:
- 关于该控制的输入
ICS的安全分类,可指导脆弱性扫描频率和详细程度。
- 关于实施该控制的方法
对于定制软件和应用的脆弱性分析,可能需要一些附加的、更详细的特殊技术和途径(例如:源代码评审,源代码分析等)。
- 关于扫描对象
脆弱性扫描包括对用户或设备是不可访问的特定功能、端口、协议和服务,以及对不合适的配置或不正确操纵信息流的机制。
- 关于实施该控制所使用的工具
组织可考虑使用兼容国家漏洞数据库命名规则中脆弱性并使用开放的脆弱性评估语言的工具,来测试存在的脆弱性。
- 在ICS网络上进行脆弱性扫描和渗透测试要确保ICS功能不受到扫描过程的负面影响;
- 在非ICS网络上使用脆弱性扫描工具,也应特别小心,以确保它们没有扫描ICS网络;
- 在组织基于其特定的理由不在生产的ICS上进行脆弱性扫描的情况下,组织应按裁剪指导,使用补偿控制。
- 相关安全控制:CA-2、CA-7、CM-4、CM-6、RA-2、RA-3、SA-11、SI-2。
控制增强:
- 组织使用的脆弱性扫描工具,应具有容易调整扫描配置能力;
- 组织按【赋值:组织定义的时间间隔】,或当标识和报告新的脆弱性时,调整已扫描的ICS脆弱性;
- 组织使用可证实具有一定深度和广度覆盖的脆弱性扫描系统;
- 组织应明确ICS中的什么信息不应被泄露;
- 为支持更全面的扫描活动,对组织标识的ICS组件,应被赋予特定的访问授权;
- 组织应使用自动化机制及时比较脆弱性扫描结果,以便确定ICS脆弱性的趋势;
- 按【赋值:组织定义的时间间隔】,组织使用自动化机制来发现当前ICS中存在的未授权软件;
- 组织评审历史审计日志,确定所标识的脆弱性是否以前得以利用;
- 组织应进行ICS的脆弱性分析,基于脆弱性分析,执行ICS上的渗透测试,以便确定所标识的脆弱性的可利用性。
增强补充指导:
渗透测试的标准方法包括:
- 基于对该ICS的完整了解,所进行的测试前分析;
- 基于测试前分析,标识测试前潜在的脆弱性;
- 进行设计的测试,确定所标识脆弱性的可利用性。
系统与服务获取(SA)
系统与服务获取策略和规程(SA-1)
控制:
组织应:
- 制定并发布正式的系统和服务获取策略,其中应包含目的、范围、角色、责任、管理承诺、组织各部门之间的协调以及合规性;
- 制定并发布正式的系统和服务获取规程,以推动风险评估策略及与相关安全控制的实施;
- 应按【赋值:组织定义的时间间隔】,对系统和服务获取策略和规程进行评审和更新。
补充指导:
- 期望通过该控制来有效实现系统和服务获取族中安全控制和安全增强的策略和规程;
- 这些策略和规程要与相关法律、法规、政策以及相关的标准保持一致;
- 系统和服务获取策略可作为组织信息安全策略的一部分。
- 系统和服务获取规程一般可针对安全程序予以开发,当需要时也可针对特殊的ICS予以开发;
- 在开发系统和服务获取策略中,组织的风险管理战略是一个重要的因素。
控制增强: 无
资源分配(SA-2)
控制:
组织应:
- 在组织使命和业务过程规划中,确定ICS的信息安全需求;
- 确定并分配保护ICS所需要的资源,作为ICS主规划一部分,作为投资控制过程的一部分;
- 在组织的活动程序和预算文档中,建立信息安全的相应条目。
补充指导:
相关安全控制:PM-3,PM-11。
控制增强: 无
生存周期支持(SA-3)
控制:
组织应:
- 采用系统生存周期管理方法来管理ICS;
- 在整个系统生存周期中,定义ICS安全角色和责任,并建立相应的文档;
- 标识具有ICS安全角色和责任的个体。
补充指导:
相关安全控制和:AT-3、PM-7、SA-8。
控制增强: 无
服务获取(SA-4)
控制:
- 在ICS获取合同中,组织应基于风险评估,按相关法律、法规、政策、标准和指南的要求,显式地给出如下需求和规约:安全功能需求和规约、与安全有关的文档需求、与开发和演化有关的保障需求。
补充指导:
- 应制定ICS及其部件和服务的获取文档,包括描述以下内容的需求:安全需要、需要的设计和开发过程、需要的测试和评估规程、需要的文档;
- 对于获取文档中的需求,当标识了新的威胁和脆弱性时,或当采用新的实现技术时,允许调整其中的安全控制;
- 获取文档还包括有关ICS文档方面的需求;这些文档强调用户和系统管理员的指南,以及有关安全控制实现方面的信息;文档的详细程度将基于该ICS的安全分类;
- 所需要的文档包括安全配置设置和安全实现指南。
- 相关安全控制:CM-6、PL-2、PS-7、SA-3、SA-5、SA-8。
控制增强:
- 组织应要求供应商或合同方在文档中提供描述该ICS及其部件和服务所使用的安全控制的详细功能特性信息,可对安全控制进行分析和测试;
- 组织应要求供应商或合同方在文档中提供描述该ICS及其部件和服务所使用的安全控制的设计和实现的详细信息,可对安全控制进行分析和测试;
- 组织应限制获取市场上具有安全能力的信息技术产品,在使用前应进行评估和确认;
增强补充指导:
- 健壮性需求,组织使命和业务过程,以及整个客户需要,能使有经验的ICS安全工程人员,针对正提交评估的产品,提出使用什么样保障等级 (EAL)的信息技术产品的建议。
- 组织应要求软件供应商或制造方证实他们的软件开发过程使用了安全的工程方法、质量控制过程和确认技术,使软件弱点和恶意最小化;
- 组织应确保所获取的每一个部件显式地分配给ICS,并且系统拥有者承认该分配;
- 组织应限制在市场上获取的现成信息技术产品,是那些已通过国家安全相关部门评估的产品,具有信息保障和能使达到保障管治的现成信息技术;
- 为了保护公共发布的信息,免遭恶意的干扰或破坏,并确保它的可用性,组织应确保使用了市场上具有基本的信息保障能力的信息技术产品。
- 当信息对那些未被授权访问ICS中所有信息的个体访问的时候,为了保护受控的非机密信息, 组织应确保使用市场上基本信息保障能力的信息技术产品;
- 为了保护国家机密的安全信息,仅使用市场上高信息安全保障能力的信息技术产品,确保信息技术产品已通过国家安全相关部门的评估和确认;
- 组织应要求获取文档中的ICS部件,以安全和规定的配置方式予以交付,并且该安全配置对任何软件重新安装或调整均是默认的配置。
系统文档(SA-5)
控制:
- 组织应编制可用于授权人员和管理员的ICS文档。该文档应描述如下内容:
- ICS的安全配置、安装和运行;
- 安全特征和功能的有效使用和维护;
- 有关配置和行政管理功能用中已知的脆弱性;
- 并按要求对这样的文档予以保护。
- 组织应编制可用于授权用户的ICS文档。该文档应描述如下内容:
- 用户可访问的安全特征和功能,以及如何有效使用这些安全特征和功能;
- 用户与系统交互的方法,以便使个体能以安全的模式来使用系统;
- 在维护信息安全和ICS安全中的用户责任;
- 并按要求对这样的文档予以保护。
- 当文档或是不可用时或不存在时,记录要编制的ICS文档。
补充指导:
相关安全控制:CM-6、CM-8、PL-2、PL-4、PS-2、SA-3、SA-4。
控制增强:
- 需要时,获取并保护描述ICS中所使用的安全控制的功能特性的具有充分的详细的文档,允许对其中功能特性进行分析和测试,从而使文档对授权人员、供应商、制造者是可用的;
- 需要时,获取并保护描述了ICS与安全有关的外部接口的具有充分的详细程度的文档,允许对其中外部接口进行分析和测试,从而使文档对授权人员、供应商、制造者是可用的;
- 需要时,获取并保护以子系统以及安全控制的实现细节来描述ICS高层设计的具有充分的详细程度的文档,允许对其中的子系统和实现细节进行分析和测试,从而使文档对授权人员、供应商、制造者是可用的;
- 需要时,获取并保护描述了ICS与安全有关外部接口的具有充分的详细程度的文档,允许对其中外部接口进行分析和测试,从而使文档对授权人员、供应商、制造者是可用的;
- 需要时,获取和保护ICS的源码,并对授权人员是可用的,允许进行分析和测试。
软件使用限制(SA-6)
控制:
组织应:
- 按照采购合同、协议等合法手段来使用软件及其相关文档;
- 对于由授权许可所保护的软件及相关文档,控制其拷贝和分布;
- 控制并记录文件共享技术的使用,确保共享技术未被用于未授权发布、执行或拷贝等。
补充指导:
- 依赖于组织的需要,跟踪系统可以涉及简单的复印或完全自动化的特定应用。
- 相关安全控制:CM-6、CM-8、PL-2、PL-4、PS-2、SA-3、SA-4。
控制增强:
- 防止在ICS中使用来自开源、受限制的或无认证源代码源的可执行代码;
- 仅当没有可选的解决方案时,才允许使用那样的源代码,但要提出相应的期望,并得到授权责任人的授权同意。
用户安装软件(SA-7)
控制:
- 组织应实施显式的规则,管制用户安装的软件。
补充指导:
- 如果提供了必要的特权,用户才可以安装软件;
- 组织应【赋值:标识允许安装什么类型的软件(例如对现有软件的调整和打补丁),阻止什么类型软件的安装】。
- 相关安全控制:PM-7、SA-3、SA-4、SC-2、SC-3。
控制增强: 无
安全工程原则(SA-8)
控制:
- 组织应将ICS安全工程原则应用于ICS的需求规约、设计、开发、实现和变更中。
补充指导:
- 应用安全工程原则主要是针对新开发的ICS或针对正在进行升级的系统,并把这样的工程原则集成到该系统的开发生存周期中;
- 对于在运行系统,组织把安全工程原则应用于系统的调整和修改,使之能够灵活性地给出系统中硬件、软件和固件的当前状态;
- ICS的安全工程原则,包括但不限于:
- 开发层次化的保护;
- 建立有效的安全策略、体系结构、控制,作为设计的基础;
- 把安全编入到该系统的生存周期中;
- 描绘物理和逻辑边界;
- 确保开发人员和集成人员得到有关如何开发ICS安全软件的适当培训;
- 剪裁安全控制,以便满足组织和运行需要,减少或缓解风险到可接受程度。
- 相关安全控制:PM-7、SA-3、SA-4、SA-17、SC-2、SC-3。
控制增强: 无
外部系统服务(SA-9)
控制:
组织应:
- 要求ICS服务的外部提供者遵从组织的信息安全需求,并按相关法律、法规、方针、政策、规章、制度、标准和指南的要求,使用合适的安全控制;
- 针对外部ICS服务,定义用户角色、责任,并建立相应的文档;
- 监视外部服务提供者是否符合安全控制。
补充指导: 无
相关安全控制:CA-3, IR-7, PS-7。
控制增强:
- 在获取指定的ICS安全服务前,进行组织层面上的风险评估;
- 确保获取的指定ICS安全服务,得到【赋值:组织定义的高层领导批准】。
增强补充指导:
- 指定的ICS安全服务,包括:不良事件监视、分析和响应,与信息安全相关设备的运行。
开发人员的配置管理(SA-10)
控制:
组织应要求ICS开发人员和集成人员:
- 在ICS设计、开发、实现和运行期间执行配置管理;
- 管理并控制对ICS的变更;
- 仅实现那些得到组织批准的变更;
- 建立得到批准的ICS变更文档;
- 跟踪安全缺陷和缺陷解决方案。
补充指导:
相关安全控制:CM-3,CM-4,CM-9。
控制增强:
- 组织要求ICS开发人员和集成人员提供软件的完整性检测,以便在软件交付后,支持组织进行软件完整性验证;
- 在开发人员和集成人员指定的配置管理项缺少的情况下,组织为相关人员提供可选的配置管理过程。
增强补充指导:
- 配置管理过程涉及关键的组织人员,该人员负责评审并批准对ICS提出的变更建议,还涉及在实现任一变更之前进行影响分析的组织人员。
开发人员的安全测试(SA-11)
控制:
组织应要求ICS开发人员、集成人员与相关的安全人员商讨:
- 建立并实现安全测试和评估计划;
- 实现可验证缺陷修补的过程,纠正安全测试和评估期间发现的弱点和不足;
- 建立安全测试和评估的文档和缺陷修补过程文档。
补充指导:
- 开发的安全测试结果,在得到验证后,应最大灵活性地使用,并了解这些结果所受到的影响;
- 测试结果可用于支持交付的ICS的安全授权过程。
- 相关安全控制:CA-2, CM-4, SA-3, SA-4, SA-5, SI-2。
控制增强:
- 组织应要求ICS开发人员和集成人员使用代码分析工具检查软件中的公共缺陷,并建立分析结果文档;
- 组织应要求ICS开发人员和集成人员执行脆弱性分析,建立脆弱性、利用可能性以及风险缓解文档;
- 组织应要求ICS开发人员和集成人员依据独立验证和确认代理的证据,创建并实现一个安全测试和评估计划。
供应链保护(SA-12)
控制:
- 组织应使用【赋值:组织定义的防止供应链威胁的度量列表】,防止供应链威胁,作为ICS综合防御安全战略的一部分。
补充指导:
- 防御途径有助于ICS整个生命周期内的保护,即设计、开发、安装、系统集成、运行、维护和退役期间的保护;
- 这样的保护是通过标识、管理、消除生存周期每一阶段上的脆弱性,并使用互补的缓解风险的支持战略而实现的。
- 相关安全控制:AT-3, CM-8, IR-4, PE-16, PL-8, SA-3, SA-4, SA-8, SA-10, SA-14, SA-15。
控制增强:
- 组织应使用匿名的获取过程;
- 组织应购置初始获取中所有ICS部件以及相关附件;
增强补充指导:
- 购买ICS所有系统和组件,可避免在未来几年中使用不大可信赖的次级产品或重新在市场上购买产品。
- 对要获取的硬件、软件、固件或服务,在编入合同协议前,组织应对供应方进行认真的评审;
增强补充指导:
- 组织评审供应者链,看他们在ICS部件或产品的开发和制造中是否使用合适的安全过程。
- 有关ICS、ICS部件以及信息技术产品,组织应使用可信的运输途径;
- 组织应使用多种多样的ICS、ICS部件、信息技术产品和ICS服务的供应方;
- 组织应使用标准配置的ICS、ICS部件、信息技术产品;
- 组织应使ICS、ICS部件、信息技术产品的购置决策和交付之间的时间最短;
- 组织对交付的ICS、ICS构件、信息技术产品进行独立分析和渗透测试。
可信赖性(SA-13)
控制:
- 组织应要求ICS满足【赋值:组织定义的可信等级】。
补充指导:
- 该控制的目的是确保组织了解可信赖性的重要,并在ICS设计、开发和实现时,做出显式的可信赖性决策;
- 可信赖性是ICS的一个特性,表达了系统防护信息在被系统处理、存储和传输中保密性、完整性和可用性所期望的程度。
- 相关安全控制:RA-2, SA-4, SA-8, SA-14, SC-3。
控制增强: 无
关键系统部件(SA-14)
控制:
组织应:
- 确定【赋值:需要重新实现的关键工业控制系统部件列表】;
- 重新实现或定制开发这样的ICS部件。
补充指导:
- 基本假定是,由于来自供应链的威胁,【赋值:组织定义的信息技术产品】不是可信的;
- 组织应重新实现或定制开发这样的ICS部件,以满足高保障需求。
控制增强:
- 标识还没有见到可选源的ICS部件;
- 使用【赋值:组织定义的保障策略】,确保ICS部件的关键安全控制没有受到破坏。
增强补充指导:
- 组织考虑实施的措施,包括:增强审计、限制源代码和系统功能的访问等。
程序管理(PM)
程序管理计划(PM-1)
控制:
- 组织应开发并宣贯一套组织层面的ICS信息安全程序管理计划,包括:
- 提供安全程序要求概述,以及满足这些要求的安全程序管理控制的说明;
- 提供有关程序管理控制的充分信息,以便能够实现该计划的意图,并确定该计划是否能够按计划实施;
- 应包括角色、责任、管理承诺、组织机构之间的协调和合规性;
- 获得组织内【赋值:相关责任人】的批准。
- 应按【赋值:组织定义的时间间隔】,修订完善该信息安全程序管理计划;
- 应修改计划来满足组织变更的需求,或满足计划实施和安全评估过程中发现问题的需求。
补充指导:
- 信息安全程序管理计划可作为独立文件,或大型文件的一部分;
- 信息安全程序管理计划控制是组织范围内的通用控制;
- 程序管理策略可作为组织信息安全策略的一部分。
控制增强: 无
信息安全高管(PM-2)
控制:
组织应任命高级信息安全官,负责资源协调、开发、实现和维护组织范围的ICS信息安全。
补充指导: 无
控制增强: 无
信息安全资源(PM-3)
控制:
组织应:
- 确保实现信息安全程序和文档所有例外要求所需的资源;
- 雇佣一个能够实现ICS信息安全需求所需资源的合作伙伴;
- 确保信息安全资源可按照计划提供。
补充指导:
- 组织可指定并授权投资审查委员会来管理和监督的信息安全相关资本规划和投资支出过程。
控制增强: 无
行动和里程碑计划(PM-4)
控制:
组织应实现一个确保ICS信息安全行动计划,以减轻风险发生时对组织使命、业务运行和资产造成的影响。
补充指导:
- 该计划是信息安全程序的重要关键文档;
- 该计划的更新是基于安全控制的结果评估、安全影响分析,是持续的监控活动;
- 相关的控制:CA-5。
控制增强: 无
安全资产清单(PM-5)
控制:
- 组织应开发并维护一套ICS的安全资产清单。
补充指导:
- 该控制应满足相关标准对资产清单的要求。
控制增强: 无
安全性能度量(PM-6)
控制:
- 组织应开发、监控并报告ICS信息安全性能度量结果。
补充指导:
- 安全性能度量是组织ICS信息安全程序和安全控制设施效果的基础指标。
控制增强: 无
组织架构(PM-7)
控制:
- 设计组织架构时应充分考虑ICS信息安全风险对组织使命、业务运行、资产、个人、国家等的影响。
补充指导:
- 组织架构设计应考虑国家对组织架构的相关要求;
- 将安全需求和安全控制整合到组织架构中,有助于确保早期ICS生命周期中的安全考虑得以满足,并符合组织业务流程需要;
- 完整的安全体系与组织风险管理应和安全策略相一致;
- 通过实施风险管理、安全标准和指南,能有效地实现了安全要求和安全控制的集成。
- 相关控制:PM-11、RA-2。
控制增强: 无
关键基础设施计划(PM-8)
控制:
- 组织应开发、发布并按【赋值:组织定义的时间间隔】更新一套满足相关要求的关键基础设施和关键资源保护计划。
补充指导:
- 定义关键基础设施和关键资源保护计划应满足相关法律、法规、规章、制定、标准和指南的要求;
- 相关控制:PM-1、PM-9、PM-11、RA-3。
控制增强: 无
风险管理策略(PM-9)
控制:
组织应:
- 开发一套全面的风险管理策略来保护组织业务和资产;
- 风险管理策略应与组织战略相一致。
补充指导:
- 组织层面的风险管理策略应包括:明确表达组织风险承受能力、可接受的风险评估方法、风险缓解策略、随着时间的推移持续的评估和监控风险的方法;
- 风险执行功能可促进组织范围内风险管理策略的一致性;
- 组织范围内的风险管理策略应是广泛和全面的;
- 相关控制:RA-3。
控制增强: 无
安全授权过程(PM-10)
控制:
组织应:
- 通过安全授权过程管理组织信息安全状态;
- 指定专人负责风险管理过程中安全授权的角色和职责;
- 将安全授权过程集成到组织范围内的风险管理流程中。
补充指导:
- 安全授权过程是实施风险管理和满足相关标准规范的必要组成部分;
- 为每个ICS指定安全授权负责人。
- 相关控制:CA-6。
控制增强: 无
业务流程定义(PM-11)
控制:
组织应:
- 在考虑信息安全及安全风险对组织运营、组织资产、个人、其他组织和国家等影响的基础上定义业务流程;
- 根据信息安全需要定义业务流程和修改业务流程,直到满足信息安全保护需要。
补充指导:
- 信息安全保护需求是技术无关的,须对抗来自组织、个人或国家等层面对机密性、完整性和可用性的威胁;
- 信息安全保护需求来自于组织业务需求,选择符合【赋值:组织定义的业务流程和风险管理策略】;
- 信息安全保护需求确定组织所需的安全控制和支撑业务流程的ICS;
- 固有的组织信息安全保护需求定义存在明显不足,可能无法有效保护ICS信息安全;
- 业务流程定义和关联信息安全保护需求应按组织政策和程序进行归档。
- 相关控制:PM-7、PM-8、RA-2。
控制增强: 无
人员安全(PS)
人员安全策略和规程(PS-1)
控制:
组织应:
- 制定并发布正式的人员安全策略,内容至少应包含:目的、范围、角色、责任、管理承诺、相关部门间的协调以及合规性。
- 制定并发布正式的人员安全规程,以推动人员安全策略和相关人员安全控制的实施;
- 按【赋值:组织定义的时间间隔】,对人员安全策略和规程进行评审和更新。
补充指导:
- 该控制有效实现该族中的安全控制和控制增强,编制所需要的策略和规程。
- 该策略和规程应与国家相关法律、法规、政策、标准和指南保持一致。
- 人员安全策略可作为组织信息安全策略的一部分。
- 人员安全规程可针对一般性的安全程序予以开发;需要时,可针对特殊ICS予以开发。
- 在开发人员安全策略时,组织风险管理策略是重要因素。
控制增强: 无
岗位分类(PS-2)
控制:
组织应:
- 建立ICS岗位分类机制;
- 评估ICS所有岗位的风险;
- 建立人员审查制度,尤其对控制和管理ICS关键岗位的人员进行审查;
- 按【赋值:组织定义的时间间隔】对岗位风险进行评审和更新。
补充指导:
- 岗位风险命名与实施的人员管理策略和指导是一致的;
- 筛选准则涉及显式的信息安全角色委派需求(例如:培训,安全清理)。
- 相关安全控制:AT-3、PL-2、PS-3。
控制增强: 无
人员审查(PS-3)
控制:
组织应:
- 在授权访问ICS及相关信息前进行人员审查;
- 在人员离职或岗位调整时对其进行审查。
补充指导:
- 人员审查应符合国家相关法律、法规、政策、标准和指南;
- 组织可基于ICS的安全定级,为访问ICS的人员【赋值:定义不同的审查条件和审查频率】。
- 相关安全控制:AC-2、IA-4、PE-2、PS-5、PS-6。
控制增强:
- 组织应确保每个访问涉及国家秘密信息处理、存储或传输ICS的用户,按该ICS最高信息秘密等级进行人员审查,并对访问人员进行了相应的保密教育;
- 组织确保每个访问涉及敏感信息处理、存储或传输ICS的用户,按该系统敏感信息的最高秘密等级进行人员审查,并对访问人员进行了相应的保密教育。
人员离职(PS-4)
控制:
组织应:
- 终止离职人员对ICS的访问权限;
- 删除与离职人员相关的任何身份鉴别信息;
- 与离职人员签订安全保密协议;
- 收回离职人员所有与安全相关系统的所有权;
- 确保离职人员移交与ICS相关资产和工具。
补充指导:
- 与ICS相关资产和工具,包括:系统管理技术手册,密钥,身份标识卡;
- 离职谈话,确保个体理解由前任雇佣人员所强加的任意安全约束,并对所有与ICS有关的特性,实现合理的可核查性;
- 在一些情况中,例如:在任务遗弃的情况,某些有病情况,以及没有可用的监管人员情况,对人员的离职谈话有可能是不能进行的;
- 离职谈话对个体的安全清理是重要的,特别对由于某种原因所终止的雇员或合同方,该控制的及时执行是基本的控制。
- 相关安全控制:AC-2、IA-4、PE-2、PS-5、PS-6。
控制增强: 无
人员调离(PS-5)
控制:
- 当人员调离到组织内其它工作岗位时,组织应【赋值:在规定的时间】内,评审其对ICS的逻辑和物理访问,并根据评审结果调整其访问权限。
补充指导:
人员调离到组织内其它工作岗位,无论是永久还是临时的,均应:
- 收回老的,并换发新的钥匙、通行证等相关证件;
- 关闭ICS原账户,并根据新职位的需要开新帐号;
- 改变ICS的访问权限;
- 提供个人以前的工作地点和ICS帐户访问官方记录。
- 相关安全控制:AC-2、IA-4、PE-2、PE-2、PS-4。
控制增强: 无
访问协议(PS-6)
控制:
组织应:
- 制定ICS的访问协议并形成文件;
- 按【赋值:组织定义的时间间隔】评审并更新访问协议;
- 确保在授权人员访问ICS前与其签订访问协议,并在访问协议更新或到期后重新签订。
补充指导:
- 访问协议,包括:保密协议、可接受的使用协议、行为规则等相关协议;
- 所签订的访问协议包括承诺,即个人已阅读、理解对ICS有关的授权访问约束,并同意遵循;
- 在承诺的访问协议中,可使用电子签名,除非组织策略明文规定不能使用。
- 相关安全控制: PL-4、PS-2、PS-3、PS-4、PS-8。
控制增强:
- 组织应确保特殊保护措施ICS的访问,仅授权给:
- 具有有效访问授权的人;
- 满足相关人员安全准则的人。
- 组织应确保特殊保护措施的秘密信息的访问,仅授权给:
- 具有有效访问授权的人;
- 满足相关的、符合可用的法律的人员安全准则的人;
- 已阅读、理解已签署保密协议的人。
第三方人员安全(PS-7)
控制:
组织应:
- 为第三方供应商建立包含安全角色和责任的人员安全要求,并形成文件;
- 要求第三方供应商遵守已制定的人员安全策略和规程;
- 第三方供应商在人员调动或离职时予以告知;
- 监视第三方供应商的合规性。
补充指导:
- 第三方供应商包括:服务单位,合同方以及提供ICS开发、ICS技术服务、 外源应用以及网络安全管理等;
- 在与获取有关的文档中,组织一般会明确人员安全需求。
- 相关安全控制:PS-2、PS-3、PS-4、PS-5、PS-6、SA-9。
控制增强: 无
人员处罚(PS-8)
控制:
- 组织应对违反安全策略和规程的人员建立违规处罚制度。
补充指导:
- 该制度应与相关法律、法规、制度相一致;
- 该制度应在访问协议中描述,并可包含在一般性的人员策略和规程中;
- 相关安全控制:PL-4,PS-6。
控制增强: 无
物理与环境安全(PE)
物理与环境安全策略和规程(PE-1)
控制:
组织应:
- 制定并发布正式的物理和环境安全策略,内容至少应包含:目的、范围、角色、责任、管理承诺、相关部门间的协调和合规性;
- 制定并发布正式的物理和环境安全章程,以推动物理和环境保护策略和相关安全控制的实施;
- 按【赋值:组织定义的时间间隔】,对物理和环境保护策略及规程进行评审和更新。
补充指导:
- 物理和环境保护策略和章程应与适用的法律、法规、政策及标准等相一致。物理和环境保护策略可以包含在组织的通用信息安全策略中,需要时,可针对特殊ICS予以开发。
控制增强: 无
物理访问授权(PE-2)
控制:
组织应:
- 制定并维护对ICS具有访问权限的人员名单;
- 按【赋值:组织定义的时间间隔】对授权人员进行评审和批准;
- 根据职位、角色对ICS实施进行物理访问授权。
补充指导:
- 授权证书包括标记卡和智能卡等;
- 组织应及时从访问列表中清除那些不再访问ICS的人员。
控制增强 :无
物理访问控制(PE-3)
控制:
组织应:
- 加强对ICS实施所在出入口的物理访问控制;
- 在指定出入口采用围墙、门禁、门卫等物理访问控制措施,具有物理访问授权不代表对该区域ICS组件有逻辑访问权;
- 在访问ICS设施前对人员的访问权限进行验证;
- 维护物理访问记录;
- 制定公共访问区访问控制策略;
- 在需要对访客进行陪同和监视的环境下对访问者的行为进行陪同和监视。
补充指导:
- 组织应使用物理访问设备(如,密码锁、读卡机)或配备门卫等方式控制人员访问ICS设施;
- 组织应使用规则保护密码锁和其它访问控制设施;
- 组织应按【赋值:组织定义的时间间隔】更换访问控制设备的口令,在密码泄露和人员调动或离职时更换访问控制设备的口令;
- 置于公共区域内的ICS外围设备应控制该区域的访问。
- 相关安全控制:PE-2、PE-4、PS-3。
控制增强 :
- 组织应控制对ICS的物理访问,这些控制应独立于对设施的物理访问控制;
- 应对较容易进入且拥有可移动介质驱动器的计算机采取带锁、卸载或禁用等手段提高安全性;
- 应将服务器放置在带锁的区域并采用认证保护机制;
- 应将ICS网络设备放置在只能由授权人员访问的符合环境要求的安全区域中。
传输介质的访问控制(PE-4)
控制:
- 组织应采用安全防护措施对ICS设施内的传输线路进行物理访问控制。
补充指导:
- 对ICS实施传输线路的保护有助于防止对意外损坏、中断和物理篡改;
- 物理安全措施有助于防止未加密的传输信息的窃听和篡改。
- 相关安全控制:MP-2、MP-4、PE-2、PE-3。
控制增强: 无
输出设备的访问控制(PE-5)
控制:
- 组织应控制对ICS输出设备的物理访问,防止未授权人员获取输出信息。
补充指导:
- ICS输出设备,包括:监视器、打印机以及其他视听设备等;
- 输出设备的访问控制包括,放置在锁定的房间内、放置在安全领域,对输出设备进行授权访问,监控人员使用。
- 相关安全控制: PE-2、PE-3、PE-4。
控制增强 :
- 控制对输出设备的物理访问;
- 确保只有授权人员收到来自设备的输出;
- 组织应对输出设备进行标记,标明哪些信息可以标记的输出设备输出。
物理访问监控(PE-6)
控制:
- 组织应监控对ICS的物理访问,以监测并响应物理安全事件。
补充指导:
- 组织应按【赋值:组织定义的时间间隔】审查物理访问日志,调查明显的安全侵害或可疑的物理访问行为;
- 组织应对检测出的物理安全事件做出响应。
- 相关安全控制:CA-7、IR-4。
控制增强 :
- 组织应设置防盗报警系统,识别潜在入侵、实时入侵报警并发起适当的响应行为;
- 组织应采用自动化设备识别入侵,并实施自动响应动作;
- 组织应采用视频监控,并保留视频记录。
访问日志(PE-7)
控制:
- 组织应保存ICS访问日志;
- 组织应指派人员按【赋值:组织定义的时间间隔】期审查访问日志。
补充指导:
- 访问日志应包括:来访人员的名字、所属组织、访客签名、访问目的、鉴别形式、访问的ICS及部件、进入和离开的时间、陪同监视人名字;
- 公共区域的访问不记录在ICS访问日志内。
控制增强 :
- 组织使用自动化的机制促进访问日志的维护和回顾;
- 组织维护所有物理访问的记录,包括访客和授权用户。
电力设备与电缆(PE-8)
控制:
- 组织应保护ICS的电力设备和电缆,免遭破坏和损坏;
- 组织应依据安全需求和风险,采用禁用或对电源进行物理保护的手段来防止系统的非授权的使用。
补充指导: 无
- 组织应确定在不同地点的电力设备和电缆的保护需求。
- 相关安全控制:PE-4。
控制增强 :
- 组织使用冗余的电力设备和电缆;
- 组织应对【赋值:组织定义的关键工业控制系统部件列表】,使用自动化灾难备份等安全控制措施。
紧急停机(PE-9)
控制:
组织应:
- 确保在紧急情况下能够切断ICS电源或个别组件电源;
- 在【赋值:组织定义的工业控制系统或系统部件位置】设置安全易用的紧急断电开关或设备;
- 保护紧急断电能力以防止非授权操作。
补充指导: 无
控制增强 :无
应急电源(PE-10)
控制:
组织应:
a) 为ICS配备应急UPS电源,并计算其续航时间;
b) 提供短期不间断电源,以便在主电源失效的情况下正常关闭ICS;
c) 提供长期备份电源,以便主电源失效时在规定时间内保持ICS功能。
补充指导:
- 相关安全控制:AT-3、CP-2。
控制增强 :
- 组织应为ICS提供备用电力供应系统,ICS能够在主电源长期丧失的事故中有能力维持ICS所必须的最小的运行能力。
- 组织应提供ICS长期的备用电力供应系统,该系统是独立运行而不依赖外部电源的。
应急照明(PE-11)
控制:
组织应:
a) 为ICS部署应急照明并进行维护,并确保其在断电情况下的可用性;
b) 在急照明设施中包含紧急通道和疏散通道指示牌。
补充指导: 无
- 相关安全控制:CP-2、CP-7。
控制增强: 无
消防(PE-12)
控制:
组织应:
a) 为ICS部署火灾检测和消防系统或设备,并维护该设备;
b) 为消防系统或设备配备独立电源。
补充指导:
- 防火灭火设备或系统包括但不限于洒水系统、手动灭火器、固定灭火水龙带和冒烟检测设备。
控制增强:
- 使用防火设备或系统,该设备或系统在火灾事故中会自动激活并通知组织和紧急事件处理人员;
- 使用灭火设备或系统,该设备或系统为组织和紧急事件处理人员提供任何激活操作的自动通知;
- 使用自动灭火系统;
- ICS组件集中部署的区域,如主机房、通信设备机房等应采用具有耐火等级的建筑材料,采取区域隔离防火措施,将重要设备与其他设备隔离。
温湿度控制(PE-13)
控制:
组织应:
a) 维护ICS所在设施的温湿度,使其处于可接受的范围;
b) 按【赋值:组织定义的时间间隔】监视温湿度。
补充指导: 无
控制增强:
a) ICS组件集中部署的区域,如主机房、通信设备机房等应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
防水(PE-14)
控制:
a) 组织应提供易用、工作正常的、关键人员知晓的总阀门或隔离阀门以保护ICS免受漏水事故的损害。
b) ICS组件集中部署的区域,如主机房、通信设备机房等水管安装不得穿过机房屋顶和活动地板下,防止雨水通过机房窗户、屋顶和墙壁渗透。
补充指导: 无
控制增强:
- 组织应使用自动化机制,在重大漏水事故时能保护ICS免受水灾。
交付和移除(PE-15)
控制:
a) 组织应对【赋值:组织定义的工业控制系统部件类型】进行授权、监视、控制,并维护相关记录。
补充指导:
- 组织应控制交付和移除区域,如果可能,设置独立区域,以防止未授权访问。
- 相关安全控制:CM-3、MA-2。
控制增强 :无
备用工作场所(PE-16)
控制 :
组织应:
a) 在备用工作场所,使用【赋值:组织定义的管理、运行和技术上的工业控制系统安全控制】;
b) 评估备用工作场所安全控制措施的可行性和有效性;
c) 提供安全事件发生时与信息安全人员沟通的渠道。
补充指导: 无
控制增强: 无
防雷(PE-17)
控制:
a) 组织应在放置ICS的设施内应设置避雷装置,系统和组件集中部署区域,如主机房、通信设备机房等应满足机房相关安全标准。
补充指导: 无
控制增强: 无
电磁防护(PE-18)
控制:
a) ICS应满足电磁防护要求,防止外界电磁干扰和设备寄生耦合干扰;电源线和通信线缆应隔离,避免互相干扰。
补充指导: 无
控制增强: 无
信息泄露(PE-19)
控制:
a) 组织应保护ICS使其免遭电磁信号辐射造成的信息泄露。
补充指导: 无
控制增强: 无
人员和设备追踪(PE-20)
控制:
a) 组织应采用资产定位技术来追踪并监视控制区域内的人员活动和设备位置,以确保它们处于被允许的区域,识别需要辅助的人员,并支持应急响应。
补充指导: 无
控制增强 :
a) 当有违授权的访问或紧急事件发生时,电子监控机制告警。
应急计划(CP)
应急计划策略和规程(CP-1)
控制:
组织应:
- 制定并发布正式的应急计划策略,内容包括目的、范围、角色、责任、管理承诺、组织实体之间的协调关系以及依从关系等。
- 制定并发布正式的应急计划章程,以推进应急计划策略及相关安全控制的实施;
- 按【赋值:组织定义的时间间隔】,对应急计划策略及规程进行评审和更新。
补充指导:
- 应急计划策略和章程应与相关的法律、法规、政策、制度及标准相一致。
- 应急计划策略可以包含在组织的通用信息安全策略中,需要时,可以为一般的安全程序或特殊ICS制定应急计划章程。
控制增强: 无
应急计划(CP-2)
控制:
组织应:
- 制定ICS应急计划并获得管理层批准。计划中应识别ICS业务应急需求、规定系统恢复优先级与目标、明确责任人;
- 制定ICS灾难恢复计划并获得管理层批准。灾难恢复计划应包含:启动灾难恢复计划的事件;由自动运行变更手动运行规程;由远程控制变更为就地控制规程;响应者的角色和职责;备份及存储的规程;逻辑网络图;授权对ICS进行物理和逻辑访问的人员清单;联系信息(包括ICS厂商、网络管理员、ICS支持人员等);当前配置信息;部件更换要求;
- 把计划发布到【赋值:组织定义的、由名字和角色所标识的关键持续性人员和组织单位】;
- 按【赋值:组织定义的时间间隔】,组织评审计划。
补充指导:
- 在系统内部或与操作设备通信过程中发生处理失败时,应执行某些预置措施,如:
- 向操作者发出失败警告,不采取措施;
- 向操作者发出失败警告,并安全关闭处理进程;
- 保留失败前最后的操作设置。
- 组织应为各类系统或设施,定义连续性计划,在ICS内或运行设施的通讯内丧失处理的事件中,ICS执行预先确定的规程(例如,警示设施的操作员,然后空运行;警示设施的操作员,然后安全地停止工业过程;警示设施的操作员,然后在失效之前维护最后的运行设置);
- 考虑恢复系统状态变量,作为恢复的一部分(例如,在破坏之前,把机阀恢复到它们原始的设置)。
- 相关安全控制:CP-6、CP-7、CP-8、CP-9。
控制增强:
- 组织应协调应急计划与其他计划间的一致性;
- 组织应规划应急处理时的信息处理、通信和环境等支撑能力;
- 组织应维护应急计划,保障基本业务功能在规定的时间内保持正常运行;
- 组织应维护应急计划,保障全部业务功能在规定的时间内保持正常运行;
- 组织应维护硬件计划,保障基本业务功能不受影响或很少影响地异地运行;
- 组织应维护硬件计划,保障全部业务功能不受影响或很少影响地异地运行。
应急计划培训(CP-3)
控制:
组织应:
- 制定应急培训计划,并向具有相应角色和职责的工业控制系统用户提供应急培训;
- 按【赋值:组织定义的时间间隔】或在工业控制系统变更时,对相应人员进行应急培训。
补充指导:
- 相关安全控制:AT-2、AT-3、CP-2.
控制增强:
- 模拟事件以配合应急培训,使得人员在危难时刻具备高效的应对能力。
- 使用自动化机制提供更加全面、真实的培训环境。
应急计划测试和演练(CP-4)
控制:
组织应:
- 测试和演练工业控制系统的应急计划;有备用处理场所的应在备用处理场所进行测试和演练;尽量采用自动机制进行。
- 测试和演练时,应与负责相关计划的组织内各部门之间协调。
- 测试和演练后,应将工业控制系统完整恢复和重建到已知状态。
- 评审应急计划的测试结果;如有不合格项应启动纠正措施。
- 按【赋值:组织定义的时间间隔】或应急计划变更时,进行【赋值:组织定义的测试和演练】。
补充指导:
- 以多种方式测试、演练应急计划并确定潜在的不足;
- 应急计划测试、演练的深度和精细度随着ICS影响等级的增加而提高;
- 应急计划测试、演练中应对按照计划所执行的紧急操作对系统运行、财产和人员的影响程度作出判断;
- 由于对性能、安全(safety)或可靠性具有重大影响而没有在ICS上测试或演练该连续性计划的情况下,组织应按裁减指导,使用合适的补偿控制(例如,使用安排的或非安排的系统维护活动,包括对ICS部件和系统设施的响应,作为测试或演练连续性计划的机会)。
- 相关安全控制:CP-2, CP-3, IR-3。
控制增强:
- 组织协调应急计划与其它相关计划相一致的测试和演练;
- 组织可在备用系统上测试、演练应急计划,并评估备用系统的应急处理能力;
- 组织应采用自动化机制,更彻底、有效地测试和演练应急计划;
- 组织应设计一套完整的工业控制系统的恢复和再构造,以便了解持续性计划测试部分的【选择:安全(secure)/可靠(safe)】状态。
增强补充指导:
- 重新设立该ICS,涉及系统状态变量的恢复(例如,恢复阀门应具有合适的设置)。
备用存储设备(CP-5)
控制:
组织应:
- 建立备用存储设备,包括可存储和恢复ICS备份信息的必要协议;
- 确保备用存储设备的信息安全防护措施与主存储场所相同。
补充指导:
- 备份的频率和将备份数据传输至备用存储设备的速率要与恢复时间目标和恢复点目标相一致。
控制增强:
- 备用存储设备与主存储设备实施物理隔离,以防止受到同样灾难的破坏;
- 对备用存储设备进行配置,保证其进行及时有效的恢复操作;
- 明确当发生区域性破坏或灾难时,备用存储设备潜在的问题,并明确补救措施。
备用处理设备(CP-6)
控制:
组织应:
- 建立备用处理设备,并规定ICS迁移至备用处理设备并重启运行的时间要求;
- 确保迁移和恢复运行所需要的设备和供给在备用设备可用;
- 确保备用处理设备的信息安全防护措施与主处理设备相同。
补充指导:
- 在规定的时间内恢复操作所需的设备和供给在备用设备上可用,或者可以通过规定途径传输到备用设备上;
- 恢复ICS操作的时间表要与系统建立的恢复时间目标相一致。
控制增强:
- 备用处理设备应与主处理设备实施物理隔离,以防止受到同样灾难的破坏;
- 组织应明确灾难发生时的迁移行动,并保障灾难发生时备用处理设备可用;
- 组织应按业务可用性需求,开发备用设备的替代服务优先级;
- 组织应配置备用设备为就绪状态,准备支持基本的业务功能;
- 组织应确认备用设备提供的安全功能与主设备一致。
通信服务(CP-7)
控制:
- 组织应建立备用通信服务,当主通信服务中断时,在【赋值:组织定义时间】内恢复组织基本业务运行。
补充指导:
相关控制:CP-2、CP-3、CP-6。
控制增强:
- 组织应根据本组织的可用性要求,开发包含优先服务条款的主、备用电信服务协议;
- 组织在选择备用电信服务时,应考虑降低单点故障,尽可能选择不同的服务商;
- 组织应要求主、备电信服务商均提供应急响应计划。
系统备份(CP-8)
控制:
组织应:
- 制定ICS备份策略,备份策略应当包括:备份方式,备份频率,备份内容,备份介质等;
- 按照已制定的备份策略对用户信息、系统信息及系统文档进行备份;
- 采取安全防护措施,保护备份信息的保密性、完整性和可用性。
补充指导:
- 备份的频率和将备份数据传输至备用存储设备的速率要与恢复时间目标和恢复点目标相一致。
- 完整性和可用性是系统备份信息主要关注的特性,保护备份信息以免非法泄露也非常重要。应根据存储在备份介质上的信息的类型和重要程度,确定在完整性、可用性、机密性方面需要采取的安全保护措施。
- 系统关键数据如业务数据、设备配置数据、性能数据、告警数据等应有本地数据备份,按【赋值:组织定义的周期】进行全备。
- 相关安全控制:CP-2、CP-6、MP-4、SC-13。
控制增强:
- 采用合适的机制(如数字签名、加密散列)对ICS备份信息进行完整性保护;
- 按预定的频率对备份信息进行测试以确保介质的可靠性和信息的完整性,保证备份信息的可用性;
- 作为应急计划测试和演练的一部分,在恢复ICS功能时有选择的使用备份信息;
- 将操作系统和其他重要ICS软件的备份副本存储在隔离设备上或者没有配置操作软件的存储器中。
- 建立异地灾备中心,利用通信网络将信息实时备份到异地灾备中心;
- 建设备份系统,实现ICS数据的自动备份。
系统恢复与重建(CP-9)
控制:
组织应:
- 支持ICS的恢复与重建,在破坏或故障后能够恢复到系统原有状态;
- 按【赋值:组织定义的、与恢复时间和恢复点的目标一致的时间间隔】,进行ICS中用户层信息的恢复;
- 按【赋值:组织定义的、与恢复时间和恢复点的目标一致的时间间隔】,进行ICS中系统层信息的恢复。
补充指导:
- 安全地将ICS恢复与重建到原有的状态意味着所有系统参数(包括默认值或自定义值)都将被重新设置为安全值,补丁要重新安装,安全相关的配置要重新设置,应用软件和系统软件要重装,加载最近一次安全备份上的信息,系统需要进行全面测试。
- 在某些情况下,ICS可能不合适或不适用该控制,组织应在安全计划中记录不采用该控制的原因,必要时选取合适的补偿控制。
- 重建ICS,涉及系统状态变量的恢复(例如,恢复阀门应具有合适的设置)。
- 相关安全控制:CA-2、CA-6、CA-7、CP-2、CP-6。
控制增强:
- 应按【赋值:组织定义的时间间隔】,测试恢复信息,以验证可靠性和信息完整性;
- 组织提供一套补偿的安全控制,在【赋值:组织定义的时间间隔】内,将系统恢复到确定的状态;
- 组织提供一套在【赋值:组织定义的时间间隔】内,将ICS组件恢复到安全和运行状态;
- 按【赋值:组织定义实时度】,配置实时或准实时的失败恢复能力;
- 组织应对备份/恢复所用的硬件、软件和固件实施保护。
配置管理(CM)
配置管理策略和规程(CM-1)
控制:
组织应:
- 制定并发布正式的配置管理策略,其中应包含目的、范围、角色、责任、管理承诺、部门间的协调以及合规性。
- 制定并发布正式的配置管理规程,以推动配置管理策略及与相关安全控制的实施;
- 按【赋值:组织定义的时间间隔】,对配置管理方针策略及规程进行评审和更新。
补充指导:
- 通过该控制,为有效实现该族中的安全控制和控制增强,编制所需要的策略和规程;
- 该策略和规程应与相关法律、制度、政策、规章、标准和指南保持一致;
- 配置管理策略可作为组织信息安全策略的一部分;
- 配置管理规程可针对一般性的安全程序予以开发,当需要时,可针对特殊ICS予以开发;
- 在开发配置管理策略中,组织的风险管理战略是一个重要的因素。
控制增强: 无
基线配置(CM-2)
控制:
组织应:
- 制定并维护ICS当前的配置基线;
- 按【赋值:组织定义的时间间隔】或在系统发生重大变更后,对基线配置进行评审和更新;
- 保留旧版本ICS基线配置,以便必要时恢复配置。
补充指导:
- 组织应为ICS及与ICS通讯和连接的部件,建立了一个基线配置;
- 该基线配置提供了有关ICS的信息,如:为工作台、服务器、网络部件或移动设备所装载的标准软件;提供了有关网络拓扑以及系统体系结构中的逻辑地点等信息;
- 该基线配置是对所构造ICS的最近的规格说明;
- 维护该基线配置,涉及当该ICS改变时,及时创建新的基线;
- ICS的基线配置与组织的业务体系结构是一致的。
- 相关安全控制:CM-3、CM-6、CM-8。
控制增强:
- 组织应按【赋值:组织定义的时间间隔】、【赋值:组织定义的情况】所要求,在系统部件整体安装和升级等情况下评审并调整ICS的基线配置;
- 组织应使用自动化机制,及时维护ICS配置,确保保持完整、准确、就绪可用的基线;
- 组织应为开发和测试环境,维护一个基线配置;
- 组织应开发并维护已授权可在组织ICS予以执行的【赋值:组织定义的软件程序列表】,使用拒绝授权、除此之外的允许授权策略,标识在组织ICS上所有被允许执行的软件;
- 组织应开发并维护没有被授权可在组织ICS上执行的【赋值:组织定义的软件程序列表】,使用显式的拒绝授权策略,标识在组织ICS上所有被允许执行的软件;
- 组织应保留被认为可支持回滚的、老的基线配置版本。
配置变更(CM-3)
控制:
组织应:
- 批准对ICS的变更,并显式给出有关对安全影响的考虑;
- 建立得到批准的、对系统的受控配置变更;
- 保留并评审对系统的受控配置变更记录;
- 审计与受控配置变更相关联的活动;
- 通过【赋值:组织定义的配置变更控制元素】,按【赋值:组织定义的时间间隔】,召开会议,协调配置变更控制活动。
补充指导:
- 组织应确定ICS配置变更类型;
- 配置变更涉及到系统性的建议、理由、实施、测试、评估、审查和配置;
- 更改配置包括组件改变、技术产品的配置修改、紧急修改和缺陷修复等;
- 变更审计是指变更前后实施变更所需的活动。
- 相关安全控制:CM-2、CM-4、CM-5、CM-6。
控制增强:
- 组织应使用自动化机制,来建立对ICS所提议的变更之文档,通知指定的批准机构,强调【赋值:组织定义的时间周期】没有接受到的批准,禁止变更,直到接受到指定的批准,建立对ICS完成变更的文档;
增强补充指导:
- 在ICS不支持使用自动化机制来实现配置变更控制的情况下,组织应按裁剪指导,使用非自动化的机制或规程作为一个补偿控制。
- 在实现ICS变更前,组织应测试、确认这些对ICS的变更,并建立相应的文档;
- 组织使用自动化机制,实现对当前ICS基线的变更,并通过所安装的配置库,开发调整的基线;
- 组织要求信息安全代表,成为【赋值:组织定义的配置变更控制元素】的成员。
安全影响分析(CM-4)
控制:
- 组织包括【赋值:组织定义的人员列表以及信息安全代表】应在实施变更前,应对ICS配置变更进行分析,并判断该变更可能带来的潜在安全影响。
补充指导:
- 组织人员以及信息安全代表,如ICS安全官员;
- 为了分析对ICS的变更和相关的安全细节,安全影响分析的人员应具有合适的技能和专业技术;
- 安全影响分析还可以包括风险评估,以便确定变更的影响,确定是否需要附加的安全控制;
- 安全影响分析是继续监视ICS中安全控制的一项重要活动;
- 组织应考虑ICS的安全(safety)和信息安全的相互依赖性。
- 相关安全控制:CA-2、CA-7、CM-3、CM-9。
控制增强:
- 在新组件被安装到运行环境前,在不同的测试环境中进行测试、分析,寻找由于弱点、不足、不相容或恶意所产生的安全影响;
- 在实施ICS变更后,应检测安全功能,以验证变更已被正确地实现,且满足相应系统的安全需求。
变更的访问限制(CM-5)
控制:
组织应:
- 定义、记录、批准和实施与ICS变更相关的物理和逻辑访问限制。
- 限制工业控制系统开发方和集成方对生产环境中的ICS及其硬件、软件和固件的直接变更。
补充指导:
- 对系统硬件、软件和固件的任何变更,均可能潜在地对系统的整体安全产生重大影响;
- 只有以启动变更为目的的、被授权的个体才允许获得对ICS组件的访问;
- 为确保变更的顺利实现,应保存并维护访问记录;
- 变更的访问限制还应包括软件库、物理和逻辑访问控制、自动化工作流、媒介库,抽象层等;
- 在其它控制中包含了对实现该安全控制所必要的机制和过程。
- 相关安全控制:AC-3、AC-6、CM-3、CM-6、PE-3。
控制增强:
- 组织应使用自动化机制执行访问限制,支持执行动作的审计;
增强补充指导:
- 在ICS不支持使用自动化机制来执行变更的访问限制的情况下,组织应按裁剪指导,使用非自动化的机制或规程作为补偿控制。
- 组织应按【赋值:组织定义的时间间隔】,进行ICS变更的审计,分析未经授权的变更;
- ICS应禁止安装没有得到组织认可和批准的软件程序;
增强补充指导:
- 在ICS不支持预防没有通过组织认可和批准的证书而安装软件程序的情况下,组织应按裁剪指导,使用可替代的机制或规程作为一个补偿控制(例如,审计软件安装)。
- 对【赋值:组织定义的ICS部件和系统层信息】的变动,执行双人规则;
- 组织应限制系统开发人员和集成人员,在生产环境中只有授权才能更改硬件、软件和固件以及系统配置信息; 按【赋值:组织定义的时间周期】,评审并重新评估ICS开发人员/集成人员的权利;
- 组织应保护软件库,以免引入未授权的代码或恶意代码;
- ICS实现自动功能或机制,以发现不恰当的系统变更。
配置设置(CM-6)
控制:
组织应:
- 依据安全配置检查清单,实施工业控制系统中所使用产品的配置,并实现与运行需求一致的模式;
- 基于ICS的运行需求,评估ICS组件与已设配置存在的偏差,并对其进行标识和记录;
- 根据相关策略和规程,监控配置设置项的变更;
- 使用自动机制,对配置设置进行集中管理、应用和验证。不支持自动化机制的ICS,采用其他方式进行集中管理,应用,并验证配置设置;
- 将检测到的未授权的、与安全相关的配置变更纳入到事件响应中,以确保对被检测事件的追踪、监视、纠正,并形成可用的历史记录。
补充指导:
- 配置设置是ICS中与安全相关的可配置参数;
- 安全相关参数是那些可能影响ICS安全状态,或支撑其他安全控制需求的参数;
- 组织可从ICS中导出组织层面的强制性配置参数;
- 安全配置列表是一系列指令、过程或参数,用于配置ICS以满足组织业务需求。
- 相关安全控制:CM-2、CM-3。
控制增强:
- 组织应使用自动化机制,集中管理、应用并验证配置设置;
增强补充指导:
- 在ICS不支持使用自动化机制来集中管理、应用和验证配置设置的情况下,组织应按裁剪指导,使用非自动化的机制或规程作为补偿控制。
- 组织应使用自动化机制,对未授权改变【赋值:组织定义的配置设置】做出响应;
- 组织应将发现的未授权、与安全有关的配置改变,结合到组织的安全事件响应能力,以确保每一个所发现的事件予以跟踪、纠正;
- ICS在引入到生产环境前,应证实其符合安全配置指南。
最小功能(CM-7)
控制:
组织应:
- 对ICS按照仅提供最小功能进行配置,并按照【赋值:组织定义的列表】,对非必要功能、端口、协议和服务]的使用进行禁止或限制;
- 按【赋值:组织定义的时间间隔】对ICS进行评审,以标识和排除不必要的功能、端口、协议和服务。
补充指导:
- ICS往往提供额外的功能和服务;
- 默认提供的部分功能和服务可能不是组织需要的;
- 有时个别组件提供多个功能和服务,限制某个功能和服务可能会影响其它功能的正常运行,限制某个功能时应仔细审查;
- 组织应禁止无用的、未使用的物理和逻辑端口和协议,以防止未授权的连接或访问;
- 组织可以利用网络扫描工具、IDS/IPS、防火墙等系统或工具来识别和阻止禁用功能、端口、协议和服务。
- 相关安全控制:AC-6、CM-2、RA-5。
控制增强:
- 为标识并消除不必要的功能、端口、协议和服务,应按【赋值:组织定义的时间间隔】对ICS进行风险评估;
- 组织应使用自动化机制,应对授权软件程序、未授权软件程序的执行;
增强补充指导:
- 在该ICS不使用自动化机制来预防程序执行的情况下,组织按一般的裁剪指导,使用补偿控制(例如,外部的自动化机制,规程)。
- 组织应确保提供了满足组织需求的功能、端口、协议和服务。
系统组件清单(CM-8)
控制:
组织应开发并维护ICS组件清单,并建立相应的文档。该清单应:
- 准确地反映当前ICS;
- 与ICS的授权边界是一致的;
- 其粒度应满足跟踪和报告需要;
- 包含【赋值:组织定义的、达到有效性的和可核查性信息】;
- 对指定的组织官员的评审和审计是可用的。
补充指导:
- 对达到有效特性的可核查性被认为是必要的信息,例如:硬件清单规格说明(制造方,类型,系列号,物理位置),软件许可信息,ICS和部件拥有者以及网络化部件或设备,机器名和网络地址。
- 相关安全控制:CM-2、CM-6、PM-5。
控制增强:
- 当新组件安装、组件拆除或ICS调整时,调整ICS组件清单;
- 组织应使用自动化机制,帮助及时、完整和准确地维护ICS组件清单;
- 组织应使用自动化机制,按【赋值:组织定义的时间间隔】,检测ICS增加的未授权组件或设备;
- 组织应通过名字、位置和角色等标识ICS组件的可核查性;
- 组织应验证ICS物理边界内的所有组件或已被列入清单,作为系统的一部分,或被其它系统所知道,作为那个系统中的一部分;
- 组织应关注在ICS组件清单中所有配置。
配置管理计划(CM-9)
控制:
组织应开发ICS的配置管理计划,建立相应的文档并实现该计划。该计划包括:
- 强调角色、责任和配置管理过程和规程;
- 应按【赋值:组织定义ICS配置项】,并在系统开发生存周期内,把这些配置项放入配置管理中;
- 为标识和管理系统生存周期中的配置项,建立相应的手段。
补充指导:
- 配置项是ICS中可被配置管理的项,包括硬件、软件、固件和文档;
- 配置管理计划应满足组织配置管理策略需要,可经裁剪用于特定的ICS;
- 配置管理计划定义了ICS生命周期中配置管理的详细过程和程序;
- 配置管理审批过程包括指派对配置变更审批负责人、配置变更影响分析者和配置变更执行者。
- 相关安全控制:CM-2、CM-3、CM-4、CM-5、CM-8。
控制增强:
- 组织把开发配置管理过程的责任,赋予不直接参与系统开发的组织人员。
维护(MA)
维护策略和规程(MA-1)
控制:
组织应:
- 制定并发布正式的ICS维护策略,其中应包含目的、范围、角色、责任、管理承诺、各部门间的协调以及合规性;
- 制定并发布正式的ICS维护规程,以推动系统维护策略及相关安全控制的实施;
- 按【赋值:组织定义的时间间隔】,对维护策略和规程进行评审和调整。
补充指导:
- 期望通过该控制,为有效实现该族中的安全控制和控制增强,编制所需要的策略和规程;
- 该策略和规程应与相关法律、法规、制度、政策、标准和指南保持一致;
- 维护策略可作为组织信息安全策略的一部分;
- 维护规程可针对一般性的安全程序予以开发,当需要时,可针对特殊ICS予以开发;
- 在开发配置管理策略中,组织的风险管理战略是一个重要的因素。
控制增强: 无
受控维护(MA-2)
控制:
组织应:
- 根据产品供应商的规格说明以及组织的要求,对ICS系统组件的维护和修理进行规划、实施、记录,并对维护和修理记录进行评审;
- 审批和监督所有的运维活动,无论是现场还是远程维护,无论设备是工作状态还是非工作状态;
- 按照【赋值:组织定义的角色或人员要求】,明确批准对ICS或组件等设施的异地维护或维修;
- 按照组织要求,删除异地维护或维修设施的存储资料;
- 检查确认所有的安全控制在ICS或组件维护维修期间能够正常工作;
- 产品供应方或维护方应承诺未经用户同意不得采集用户相关信息、不得远程控制用户产品;
- 如果采用远程维护的方式,组织应根据产品的运维需求,为远程控制端口设置控制权限和控制时间窗;
- 按【赋值:组织定义的要求】登记记录维护维修。
补充指导:
- 创建有效的维护记录所必要的信息,包括:维护日期和时间、维护人员或组织信息、维护描述、涉及的ICS或组件的拆除或替换。
- 相关安全控制:CM-3、CM-4、MA-4、SI-2。
控制增强:
- 采用自动化的机制按【赋值:组织定义的时间间隔】来组织、规划、实施和记录维护或维修;
- 准确、完整地记录所有的维护或维修的行动计划、要求、过程和完成;
- 在远程维护完成后,组织应安排专人立即关闭为远程维护需求开放的权限设置。
维护工具(MA-3)
控制:
- 组织应批准、控制、监测ICS维护工具及其使用。
补充指导:
- 维护工具通常包含硬件、软件形式的诊断测试设备或固件程序;
- 维护工具是恶意代码的潜在传播工具。
- 相关安全控制:MA-2、MA-5。
控制增强:
- 组织应检查、监督维护人员可能的对ICS设备维护工具的不当使用或擅自修改;
- 组织应检查用于ICS设备维护的工具、诊断测试程序是否包含恶意代码;
- 组织应防止含组织信息的ICS设备或组件在维护或维修时的擅自拆除,确保替换下的设备或组件包含的信息被消除,从ICS拆除设备或组件应获得【赋值:组织定义的个人或角色】的授权;
- 维护工具应限制在授权人员内部使用;
- ICS维护工具不能收集用户信息。
远程维护(MA-4)
控制:
组织应:
- 批准、监督ICS的远程维护或诊断行为;
- 仅允许与组织安全策略和安全计划一致的远程维护诊断工具;
- 在建立远程维护诊断会话时应采用强认证方式;
- 维护远程维护诊断行为的记录;
- 远程维护诊断行为结束时应关闭会话和网络连接。
补充指导:
- 远程维护通常是通过外部网络或内部网络进行的维护诊断行为;
- 为远程维护诊断行为开放的会话,往往会影响安全设置。
- 相关安全控制:AC-2、AC-3、MA-2、MA-5、PL-2、SC-7。
控制增强:
- 组织应根据【赋值:组织定义的审计策略】对远程维护诊断行为进行审计,并审查远程维护诊断期间所有的行为;
- 组织应在安全策略或安全计划等文件中规范远程维护诊断行为;
- 组织应仅在远程维护诊断期间开放ICS或设备的远程维护服务功能;产品或系统供应商应在交付时告知组织如何关闭/开放远程维护服务功能;
增强补充指导:
- 在危机或紧急情况下,组织可能需要即可访问非本地维护和诊断服务,以便恢复基本的ICS运行或服务;
- 在组织不必访问所需安全层上非本地维护和诊断服务的情况下,组织应按裁剪指导,使用合适的补偿控制(例如,把该维护和诊断服务的范围限制到最小的基本活动,认真监视并审计非本地维护和诊断服务)。
- 组织应采用【赋值:组织定义的强认证机制】保护远程维护会话,并将该类会话与系统其它会话通过物理或逻辑的方式进行隔离;
- 组织应根据【赋值:组织定义的人员或角色】对每个远程维护会话进行授权和确认;
- 组织应采用一定的安全机制实现远程维护会话的机密性和完整性保护;
- 在远程维护会话终止时,ICS应进行终止确认。
维护人员(MA-5)
控制:
组织应:
- 建立了维修人员授权过程,并维护授权人员或组织列表;
- 确信维护人员具有访问授权;
- 指派具有访问权限和技术能力的组织内部人员监督管理不具有访问权限的维护人员。
补充指导:
- 监督人员应具有访问所维护的ICS的权限;
- 监督人员应具有一定的专业技术能力,以保障对维护人员的监督需要;
- 以前没有授权的维修人员,如制造商、供应商、系统集成商、顾问,在进行维护诊断时,可能需要访问ICS的授权,基于组织的风险评估策略,可以发放临时授权凭据。
- 相关安全控制:AC-2、IA-8、MP-2、PE-2。
控制增强:
- 对维护人员实施必要的管理,包括组织内部人员的全程陪同;
- 开发并实现必要的安全防护措施,确保对ICS的维护不会对正常运行造成影响;
- 确保维护人员进行维护诊断活动对ICS处理、存储和传输的信息不造成破坏性影响;
- 确保维护人员进行维护诊断活动不会对ICS处理、存储和传输的机密信息造成泄露。
及时维护(MA-6)
控制:
- 组织应确保获得维护支持,并保障在【赋值:组织定义的ICS组件失效时间】内获得配件支持。
补充指导:
- 组织评估确定那些在其不能正常工作会给组织业务、人员和财产等造成重大影响的ICS组件;
- 组织行为的获得维护支持通常是指适当的合同保障。
- 相关安全控制:CM-8、CP-2。
控制增强:
- 组织应【赋值:按定义的时间间隔】对ICS及组件进行预防性的维护诊断;
- 组织应启用一定的机制将预防性维护诊断数据导入管理系统。
系统与信息完整性(SI)
系统与信息完整性策略和规程(SI-1)
控制:
组织应:
- 制定并发布正式的系统与信息完整性策略,内容包括目的、范围、角色、责任、管理承诺、组织实体之间的协调关系以及依从关系等。
- 制定并发布正式的系统与信息完整性规程,以推动该策略及相关安全控制的实施;
- 按【赋值:组织定义的时间间隔】,对系统与信息完整性策略及规程进行评审和更新。
补充指导:
- 系统与信息完整性策略和章程应与相关法律、法规、规章、制度及标准相一致。
- 系统与信息完整性策略可以包含在组织的通用信息安全策略中,需要时,可以为一般的安全程序或特殊ICS制定系统与信息完整性策略和规程。
控制增强: 无
缺陷修复(SI-2)
控制:
组织应:
- 对系统中存在的缺陷进行标识、报告并进行纠正;
- 在缺陷相关的软件和固件升级包在安装前,验证其有效性并评估可能带来的后果;
- 在软件和固件升级包发布后,在适当的时间进行升级并明确升级和维护频率;
- 将缺陷修复并入组织的配置管理过程之中。
补充指导:
- 识别软件缺陷对ICS的影响,及时安装最新发布的安全相关补丁和服务包;
- 安装补丁应该格外小心,一方面补丁可修补系统脆弱性,但同时也可能引入更大的风险;另一方面,许多ICS使用供应商已不再支持旧版本的操作系统,因此提供的修补程序可能不适用。在更新补丁之前一定要在测试系统中经过仔细的测试,明确可能导致的副作用,并制定详细的回退计划。
- 补丁机制通常都是自动的,在ICS中,如有必要,应将补丁安装安排在停机的时候进行。
- 相关安全控制:CA-2, CA-7, CM-3,CM-5, CM-8, MA-2, IR-4, RA-5, SA-10, SA-11, SI-11。
控制增强:
- 统一管理缺陷修补程序和自动化升级程序;
增强补充指导:
- 在组织不集中管理弱点修补和自动化更新的情况下,组织按一般的裁剪指导,使用非自动化机制或规程作为补偿控制。
- 根据【赋值:组织定义的频度】采用自动化机制,根据ICS及组件的状态实施缺陷修复;
增强补充指导:
- 在ICS不支持使用自动化机制进行并报告有关弱点修补状态的情况下,组织应按裁剪指导,使用非自动化机制或规程作为补偿控制。
- 根据【赋值:组织定义的基准】来度量缺陷识别与缺陷修复间的关系;
- 组织采用自动化的补丁管理工具,以方便缺陷修复。
恶意代码防护(SI-3)
控制:
组织应:
- 在ICS网络中建立恶意代码防护机制,以检测和清除恶意代码;
- 按照【赋值:组织定义的管理政策和程序】,更新恶意代码防护机制;
- 按照【赋值:组织定义的安全策略】,按【赋值:组织定义的时间间隔】扫描和实时检测恶意代码;
- 关注恶意检测和清除过程中的误操作,以及可能对ICS运行造成的影响。
补充指导:
- 恶意代码防护软件版本和恶意代码库要及时更新;
- 恶意代码防护软件和恶意代码库在安装前应经过测试;
- 恶意代码通常由以下几种方式传播:通过电子邮件、电子邮件附件、网络访问、可移动介质,或者通过利用系统的脆弱性;
- 在恶意代码检测和清除过程中,对系统的可用性可能会产生潜在的影响,应考虑接受误诊误测。
- 相关安全控制:CM-3, MP-2, SA-4, SA-8, SA-12, SA-13,SC-7, SC-26, SC-44, SI-2, SI-4, SI-7。
控制增强:
- 集中管理恶意代码防护机制;
增强补充指导:
- 在认真考虑并验证恶意代码防范机制对ICS运行性能没有负面影响后,才确定使用。
- 自动升级恶意代码防护机制;
增强补充指导:
- 在该ICS不支持使用自动化机制来更新恶意代码防范机制的情况下,组织应按裁剪指导,使用非自动化机制或规程作为补偿控制。
- 防止非特权用户绕过恶意代码保护功能;
- 组织应限制便携式设备在ICS中的使用;
- 组织应根据【赋值:组织定义的周期】检测恶意代码防护机制的有效性。
系统监控(SI-4)
控制:
组织应:
- 监控ICS运行,及时发现可能受到的攻击;
- 标识对ICS的非授权访问;
- 部署监控设备,收集【赋值:组织定义的必要信息】,跟踪组织感兴趣的行为;
- 根据风险提示,方便提高监控级别;
- 根据法律、法规和政策要求调整系统监控。
补充指导:
- 系统监控包括外部和内部监控,外部监控是指对系统边界发生事件的监控,内部监控是指对系统内部发生事件的监控;
- 系统监测能力是通过各种工具和系统来实现,包括IDS/IPS、恶意代码监控软件、审计软件和网络监控软件等;
- 监控工具和系统通常部署在系统边界或靠近核心系统;
- 监控系统收集信息的粒度由组织监控目标和系统能力来决定的;
- 组织应确保使用不对ICS运行产生负面影响的监视工具和技术。
- 相关安全控制:AC-3, AC-4, AC-8, AC-17, AU-2, AU-6, AU-7, AU-9,AU-12, CA-7, IR-4, PE-3, RA-5, SC-7。
控制增强:
- 组织应将独立的入侵检测工具通过通用协议整合到组织层面的IDS中;
- 组织应采用自动化工具来支持事件的实时分析;
增强补充指导:
- 在ICS不支持使用自动化机制来支持实时事件分析的情况下,组织应按裁剪指导,使用非自动化机制或规程作为补偿控制。
- 组织应将入侵检测工具与访问控制、流量控制等机制整合,以快速响应攻击;
- 系统应监控进出的非正常和未授权通信;
- 系统应根据【赋值:组织定义的显式或潜在的威胁】进行实时报警;
- 系统应具有防止非授权用户绕开入侵检测/防御系统的能力;
增强补充指导:
- 在ICS不具备非特权用户规避入侵检测和预防能力的情况下,组织应按裁剪指导,使用合适的补偿控制(例如,强审计)。
- 当【赋值:组织定义的可疑事件】发生时,系统应能够实时通知设置的干系人;
- 组织应保护对入侵监测工具所获得的信息的未授权访问、修改和删除;
- 组织应根据定义的周期测试和演练入侵检测工具和系统;
- 组织应规定:加密流量是系统监控工具可见的;
- 组织应分析边界通信流量,必要时,分析内部特定点的通信流量,以发现可能存在的异常;
- 组织应采用自动化机制,在发生定义的不正常的活动与安全影响时,提醒安全人员;
- 组织应分析通信流量与事件间的关系,并根据分析结果调整监控设备,以降低误报和漏报率;
- 组织应采用无线入侵检测系统,以识别流氓的无线设备,并检测无线通信流量、无线攻击尝试和潜在违反组织无线使用策略的行为。
安全报警(SI-5)
控制:
组织应:
- 接收外部组织持续的信息安全报警、警告和安全指令;
- 必要时发布内部信息安全报警、警告和安全指令;
- 向【赋值:组织定义的干系人】推送信息安全报警、警告和安全指令;
- 按照既定的时间框架实现安全指令。
补充指导:
- 安全报警和安全指令由国家互联网应急响应中心(CNCERT/CC)等机构发布;
- 由于这些安全报警和安全指令可能对组织ICS产生一定的影响,遵守这些报警和指令,实施相应的防护是必须的。
- 相关安全控制:SI-2。
控制增强:
- 组织采用自动化机制及时获取组织所需的这些安全报警和安全指令。
安全功能验证(SI-6)
控制:
组织应:
- 验证在异常发生时,ICS按照定义的动作实现了准确的安全功能;
- 在系统启动或重启时实施安全验证或者按【赋值:组织定义的时间间隔】实施安全验证;
- 将失败的测试情况通知相关人员。
补充指导:
- 安全功能验证适应于所有的安全功能;
- 对于那些不能够执行自动化测试的安全功能,组织可以实现补偿安全控制,或显式地接受不需要执行验证的风险;
- 一般地,不建议依据标识的异常就宕机或重启动ICS。
- 相关安全控制:CA-7, CM-6。
控制增强:
- 系统应提供自动安全验证失败通知功能;
- 系统应提供自动安全验证支持功能;
- 应向组织相关负责人报告安全功能验证结果。
软件和信息完整性(SI-7)
控制:
- 组织应检测与保护软件和信息,以防止对软件和信息未经授权的更改。
补充指导:
- 对ICS采用完整性校验应用软件,以查找信息篡改、错误和删除的迹象;
- 采用软件工程实践中现成的通用完整性机制,如奇偶检验、循环冗余检验、散列加密等;
- 采用工具自动监控完整性信息;
- 在检测到完整性受到破坏后具有恢复的措施;
- 组织应确保使用的完整性验证应用没有负面影响ICS的运行性能。
- 相关安全控制:SA-12, SC-8, SC-13, SI-3。
控制增强:
- 组织应按【赋值:组织定义的频度】重新评估软件和信息的完整性;
- 组织应提供自动化机制,在软件和信息完整性异常时通知相关负责人;
增强补充指导:
- 在组织不使用自动化工具来通告完整性不适用的情况下,组织应按裁剪指导,使用非自动化机制或规程作为补偿控制。
- 组织应集中管理完整性验证工具;
- 在传输和使用过程中,组织应提供明显的防篡改包。
输入验证(SI-8)
控制:
- 组织应验证授权人员输入信息的有效性。
补充指导:
- 对输入信息进行语法和语义检查,包括字符集、长度、数值范围和可接受的值等;
- 通过检查防止非法命令被有意/无意地输入到系统,造成系统运行异常。
- 相关安全控制:CM-3、CM-5。
控制增强:
- 提供手动重写机制用于输入验证,确保该功能仅用于授权人员,并对该功能进行审计;
- 确保按【赋值:组织定义的时间间隔】对输入验证错误的审查;
- 在收到无效输入时,确保ICS按照预定的方式运行;
- 对无效输入的响应不应该影响正常运行时序;
- 按组织预定义的格式和内容限制系统输入。
错误处理(SI-9)
控制:
ICS应:
- 确定潜在的安全相关错误条件;
- 在错误日志中产生足以用于纠错的错误信息;
- 仅向授权人员显示错误信息。
补充指导:
- 组织应仔细考虑错误信息的结构和内容;
- 在组织策略和运行需求的指导下,错误信息的内容可被系统标识和处理;
- 敏感信息,如帐号、密码等不应出现在错误日志中。
- 相关安全控制:AU-2, AU-3。
控制增强: 无
信息处理和留存(SI-10)
控制:
- 组织应根据可相关法律、法规、规章、制度、标准以及运行要求,对ICS统的输出信息进行处理和留存。
补充指导:
- 信息处理和留存应涵盖信息的全生命周期。
- 相关安全控制:AC-16, AU-5, AU-11, MP-2, MP-4。
控制增强: 无
可预见失效预防(SI-11)
控制:
组织应:
- 确定在特定运行环境中信息组件的平均故障时间;
- 提供可替代的工业控制系统组件、对组件进行激活和建立主备切换的机制。
补充指导:
- 虽然平均故障时间是可靠性问题,本控制关注提供安全功能的特定系统组件;
- 主备切换应不影响系统的可靠性、稳定性和安全性;
- 除切换期间或维护原因,备用系统应一直可用。
- 相关安全控制:CP-2, CP-10, MA-6。
控制增强:
- 组织应在不迟于平均故障时间内,或【赋值:组织定义的时间间隔】内,实现主备组件的切换;
- 组织应禁止在无监督的情况下实施切换;
- 组织应在定义的时间间隔内手动完成主备组件的切换;
- 如果检测到系统组件故障,组织应确保备用系统组件成功并透明地在定义的时间段内发挥作用。
输出信息过滤(SI-12)
控制:
a)组织应确认软件和应用输出的信息与期望的内容相吻合。
补充指导:
- 重点是检测无关的内容,防止多余的内容被显示。
- 相关安全控制:SI-3, SI-4。
控制增强: 无
内存防护(SI-13)
控制:
- ICS应执行安全保护措施,以防代码在内存中进行未授权的执行。
补充指导:
- 部分攻击行为专注于非执行区域内存攻击;内存防护的安全保障措施包括,数据执行预防和地址空间布局随机化处理。
- 相关安全控制:SC-3。
控制增强: 无
故障安全程序(SI-14)
控制:
a)组织应定义ICS发生故障时的安全处理程序。
补充指导:
- 故障条件包括,关键系统组件之间的通信损失,系统组件和操作设备之间的通信故障等。
- 故障安全程序包括,提醒操作人员,并提供后续步骤的具体指令(什么也不做,恢复系统设置,关闭程序,重新启动系统,或与指定的人员联系等)。
- 相关安全控制:CP-12, CP-13, SC-24, SI-13。
控制增强: 无
入侵检测和防护(SI-15)
控制:
a)组织应在ICS安全建设方案中考虑部署入侵检测和防护系统(IDS/IPS)。
补充指导:
- 部署IDS/IPS产品应不影响ICS正常运行。
- 相关安全控制:PL-2。
控制增强: 无
介质保护(MP)
介质保护策略和规程(MP-1)
控制:
组织应:
- 制定并发布正式的介质保护策略,其中应包含目的、范围、角色、责任、管理承诺、各部门间的协调以及合规性;
- 制定并发布正式的介质保护规程,以推动介质保护策略以及相关安全控制的实施;
- 按【赋值:组织定义的时间间隔】,对介质保护策略和规程进行评审和更新。
补充指导:
- 通过该控制来有效实现介质保护族中安全控制和安全增强的策略和规程;
- 应与相关的法律、法规、制度、政策和标准保持一致;
- 介质保护策略可作为组织信息安全策略的一部分;
- 介质保护规程一般可针对安全程序予以开发,也可针对特殊的ICS予以开发;
- 在开发系统和服务获取策略中,组织的风险管理战略是一个重要的因素。
控制增强: 无
介质访问(MP-2)
控制:
- 组织应规定介质的访问策略,严格控制对组织介质的访问。
补充指导:
- 介质包括数字介质和非数字介质,其中,数字介质包括:硬盘、光盘、软盘、U盘等,非数字介质包括文档、缩微胶片等;
- 相关安全控制:AC-3, IA-2, MP-4, PE-2, PE-3, PL-2。
控制增强:
- 默认禁止访问;
- 加密保护。
介质标记(MP-3)
控制:
- 组织应按照【赋值:组织定义的规范】标记介质的分发范围、访问要求、处理要求、销毁要求等。
补充指导: 无
控制增强: 无
介质存储(MP-4)
控制:
组织应:
- 在受控区域中,采取物理控制措施并安全地存储磁带、外置/可移动硬盘、U盘或其它Flash存储介质、软盘、CD、DVD等介质。
- 定义设施内用来存储信息和存放工业控制系统的受控区域。
- 为这些介质提供持续保护,直到利用经批准的设备、技术和规程对其进行破坏或净化。
补充指导:
- 介质包括数字介质和非数字介质。
- 相关安全控制:CP-6、MP-2。
控制增强:
- 加密存储,物理安全保护;
- 严格访问控制。
介质传输(MP-5)
控制:
组织应:
- 在受控区域之外传递磁带、外置/可移动硬盘、U盘或其它Flash存储介质、软盘、CD和DVD时,采用适当的安全防护措施进行保护和控制。
- 维护介质在受控区域之外传递过程的可核查性。
- 对介质传递相关活动进行记录。
- 只允许授权人员参与介质传递有关的活动。
补充指导: 无
- 介质包括数字介质和非数字介质。
- 相关安全控制:CP-6、MP-2、MP-3、MP-4。
控制增强:
- 组织控制区域外加强介质保护;
- 文档化介质传输相关活动;
- 加强介质传输过程中对委托人管理;
- 在介质传输过程中进行加密处理。
增强补充指导:
- 在ICS不支持密码机制的情况下,组织应按裁剪指导,使用补偿控制(例如,实现物理安全措施)。
介质销毁(MP-6)
控制:
组织应:
- 根据介质销毁有关规定和标准,在介质报废、组织控制外使用、回收使用前,采用销毁技术和规程对介质进行销毁。
- 所采用的销毁机制的强度、覆盖范围应与介质中信息的安全类别或级别相匹配。
补充指导:
- 该控制适用于组织所有的介质;
- 销毁前应确保介质内的信息不能恢复或重建;
- 销毁技术,包括清除、密码清除、物理破坏,以防止信息泄露;
- 组织确定合适的销毁方法是必要的,其他的方法不能应用于介质销毁;
- 组织应使用批准的销毁技术和程序。
- 相关安全控制:MA-2、MA-4、RA-3。
控制增强:
- 介质销毁前的审阅、批准、跟踪、文件与验证机制;组织审查和批准的介质销毁,以确保符合组织政策,跟踪、文件销毁行动,并验证该销毁过程的合规性。
- 组织测试销毁设备和销毁程序,以验证预期的处理结果。
- 组织按定义的方式销毁便携式存储设备。
- 组织应按国家相关法律、法规规定销毁涉密和受控设备。
介质使用(MP-7)
控制:
- 组织应采取安全防护措施限制或禁止在ICS系统和组件中介质(包含数字介质和非数字介质)的使用。
补充指导:
- ICS中介质包括数字介质和非数字介质;
- 数字介质包括磁带、外置/可移动硬盘、U盘或其它Flash存储介质、软盘、CD和DVD等;
- 非数字介质包括文件、文档或胶片;
- 该控制应包括具有拍照、存储功能的智能手机、平板电脑、阅读器、相机等;
- 组织应采用技术和非技术手段(如:政策、流程和行为规范等)来规范介质的使用。
- 相关安全控制:PL-4。
控制增强:
- 组织应禁止未标识的便携式设备在ICS使用;
- 组织应禁止使用不方便实施销毁和净化处理的介质。
事件响应(IR)
事件响应策略和规程(IR-1)
控制:
组织应:
- 制定并发布正式的的事件响应策略,其中应包含目的、范围、角色、责任、管理承诺、各部门间的协调以及合规性;
- 制定并发布正式的事件响应规程,以推动事件响应方针策略及与相关安全控制的实施;
- 按【赋值:组织定义的时间间隔】,对事件响应策略和规程进行评审和调整。
补充指导:
- 有效实现该族中的安全控制和控制增强,编制所需要的策略和规程。
- 该策略和规程应与应用的法律、法规、政策、规章、制度、标准和指南是一致的。
- 事件响应策略可作为组织信息安全策略的一部分。
- 事件响应规程可针对一般性的安全程序予以开发;也可针对特殊ICS予以开发。
- 在开发配置管理策略中,组织的风险管理战略是一个重要的因素。
控制增强: 无
事件响应培训(IR-2)
控制:
组织应:
- 制定事件响应培训计划,并按【赋值:组织定义的时间间隔】对ICS用户进行符合其角色和责任的事件响应培训;
- 按【赋值:组织定义的时间间隔】或在ICS发生变更时向ICS用户提供符合其角色和责任的事件响应培训。
补充指导:
- 事件响应培训包括用户培训-标识和报告来自内外源的嫌疑活动。
- 相关安全控制:AT-3、CP-4、IR-8。
控制增强:
- 组织把模拟事件和事件响应结合起来进行培训,以便支持人员在危机情况下的有效响应;
- 组织使用自动化机制,提供更全面、更真实的培训环境。
事件响应测试与演练(IR-3)
控制:
组织应:
- 按【赋值:组织定义的时间间隔】以【【赋值:组织定义的测试和演练方法】测试ICS的响应能力,以判断事件响应的有效性,并记录测试结果。
- 评审事件响应测试和演练的结果;如有不合格项应启动纠正措施。
补充指导:
- 事件响应培训包括用户培训-标识和报告来自内外源的嫌疑活动。
- 相关安全控制:CP-4、IR-8。
控制增强:
- 组织使用自动化机制,更全面、更有效地测试或演练事件响应能力。
增强补充指导:
- 自动化机制可以提供更全面、更有效的测试或演练事件响应能力,因为自动化机制可以提供更完整的覆盖事件响应问题,选择更真实的测试或演练场景和环境,以及更有效地强调响应能力。
事件处理(IR-4)
控制:
组织应:
- 具有应对安全事件的事件处理能力,包括准备、检测和分析、控制、消除和恢复。
- 协调事件处理活动与应急规划活动。
- 将当前事件处理活动的经验,纳入事件响应规程、培训及测试/演练,并相应地实施变更。
补充指导:
- 与事件有关的信息可以从一些不同的源中获取,包括但不限于:审计监视,网络监视,物理访问监视和用户报告。
- 相关安全控制:CP-2、CP-4、IR-2、IR-3。
控制增强:
- 组织使用自动化机制,例如在线的事件管理系统,支持事件处理过程;
- 组织关注ICS的动态重新配置,作为事件响应能力的一部分。
增强补充指导:
- 动态重新配置,例如:路由规则的改变,访问控制列表的改变,入侵检测系统参数的改变,以及防火墙和网关过滤规则的改变。
- 组织标识事件类别(例如:有目标的有意攻击,无目标的有意攻击,由于设计或实现中的错误和忽略),并定义响应中所采取的合适动作,确保使命/业务运行的继续;
- 组织建立事件信息和单个事件响应的联系,以实现组织范围内有关事件认的知和响应之观点;
- ICS一旦出现【赋值:组织定义的安全损坏列表】中的损坏,组织为此实现可配置的能力,使其停止运行。
事件监控(IR-5)
控制:
- 组织应跟踪和记录ICS安全事件,并建立相应的文档。
补充指导:
- 与事件有关的信息可以从不同的源中获得,包括但不限于:审计监视、网络监视、物理访问监视和用户或管理人员的报告。
- 应当引起重视或进行重点监控的事件包括:网络流量突然增大、磁盘空间溢出或空闲磁盘空间明显减少、异常高的CPU使用率、新用户账号创建、试图或实际使用超级管理员级的账号、 账户锁定、用户不工作时,账号仍在使用、清除日志文件、以不常用的大量事件塞满日志文件、防病毒或IDS警报、不可用的防病毒软件和其它安全控制措施、不期望的补丁变更、非法外联、请求系统信息、配置设置的非期望更改、非期望的系统关闭或重启等。
- 相关安全控制:AU-6、IR-6、IR-7、SC-5。
控制增强:
- 组织使用自动化机制,支持安全事件的跟踪,支持事件信息的收集和分析。
事件报告(IR-6)
控制:
组织应:
- 在规定时间内,向组织的事件响应部门报告可疑的安全事件。
- 向相关主管部门报告安全事件信息。
补充指导:
- 通过该控制来强调组织内特定的事件报告需求以及正式的事件报告需求;
- 报告的安全事件类型,报告的内容和时间,以及指定的报告机构,应与可用的国家法律、法规、制度、标准和指南是一致的。
- 相关安全控制:IR-4、IR-5。
控制增强:
- 应使用自动化机制,支持安全事件的报告;
- 向合适的组织官员,报告ICS中与所报告的安全事件相关的弱点、不足和脆弱性。
事件响应支持(IR-7)
控制:
- 组织应提供事件响应支持资源,集成组织事件响应能力,即为ICS用户提供设备和支持,以便处理和报告安全事件。
补充指导:
- 在组织中,事件响应支持资源的实现可能涉及一个支持小组。
- 相关安全控制:AT-2、IR-4。
控制增强:
- 组织使用自动化机制,增加与事件响应有关信息和支持的可用性;
- 组织在其事件响应能力和外部提供方之间,建立一种直接协作的关系;向外部提供方,标识组织的事件响应小组成员。
事件响应计划(IR-8)
控制:
组织应:
- 制定事件响应计划,该计划应包括:实施路线图;事件响应的结构和组织;满足组织的有关使命、规模、结构和功能的特殊要求;定义可报告事件;定义必要的资源和管理支持,以维护和增强事件响应能力;
- 评审和批准事件响应计划,并向组织内事件响应人员发布;
- 按【赋值:组织定义的时间间隔】评审该事件响应计划;
- 针对系统/组织的变更或事件响应计划在实施、执行或测试中遇到的问题,更新计划;
- 将事件响应计划的变更通报组织内相关部门和人员;
- 使事件响应计划处于受控状态。
补充指导:
- 组织应有一个正式的、集中的、协调一致的途径来响应事件;
- 组织有关事件响应的使命、战略和目标,帮助确定其事件响应能力的结构。
- 相关安全控制:AT-2、IR-4、SA-9。
控制增强: 无
教育培训(AT)
教育培训策略和规程(AT-1)
控制:
组织应:
- 制定并发布正式的教育培训策略,其中应包含目的、范围、角色、责任、管理承诺、部门间的协调以及合规性。
- 制定并发布正式的教育培训规程,以推动教育培训策略及相关安全控制的实施;
- 按【赋值:组织定义的时间间隔】,对教育培训策略和规程进行评审和调整。
补充指导:
- 为有效实现该族中的安全控制和控制增强,编制所需要的策略和规程。
- 该策略和规程应与应用的法律、制度、政策、规章、标准和指南是一致的。
- 学习与培训策略可作为组织信息安全策略的一部分。
- 学习与培训规程可针对一般性的安全程序予以开发;当需要时,可针对特殊ICS予以开发。
- 在开发配置管理策略中,组织的风险管理战略是一个重要的因素。
控制增强: 无
安全意识培训(AT-2)
控制:
组织应:
a) 为包括管理员、高级管理层、承包商在内的ICS用户提供安全意识培训;
b) 在新用户的培训中纳入安全意识培训;
c) 按【赋值:组织定义的时间间隔】或系统变更需要培训时,进行安全意识培训,安全意识培训内容应包括ICS特定安全方针策略,安全操作程序,ICS安全趋势和安全漏洞等。
补充指导:
- 组织应根据安全策略的需要以及ICS安全需求,以确定适当的安全意识培训内容,内容包括信息安全、用户操作维护安全和应对可能的安全事件处理技术等;
- ICS安全意识培训包括ICS特定策略、标准的操作规程、安全趋势以及脆弱性的评审以及它们的定期评审;
- ICS的意识培训大纲应与组织所建立的有关安全意识和培训策略的需求相一致;
- 培训时机包括:新用户培训、ICS调整或【赋值:组织定义的培训周期】。
- 相关安全控制:AT-3、AT-4、Pl-4。
控制增强:
- 组织开展包括实际练习的安全意识培训以模拟实际的安全攻击;
- 组织开展包括识别和报告内部潜威胁的安全意识培训。
基于角色的安全培训(AT-3)
控制:
组织应:
a) 为ICS中的安全角色和具有安全职责的人员提供安全培训;
b) 在新用户的培训中纳入安全培训;
c) 按【赋值:组织定义的时间间隔】或系统变更需要培训时,进行安全培训,安全培训内容应包括ICS特定安全方针策略,安全操作程序,ICS安全趋势和安全漏洞等。
补充指导:
- 组织在分配个人的角色和责任,进行ICS授权访问或满足组织的特定安全要求时,进行基于角色的安全培训,并确定的适当的安全培训内容;
- 安全培训包括初始的ICS特定策略、标准的操作规程、安全趋势以及脆弱性的评审以及它们的定期评审;
- ICS的培训大纲应与组织所建立的有关安全培训策略的需求相一致;
- 培训时机包括:在对ICS进行授权访问或执行人员任务分配时、在ICS调整后或者根据【赋值:组织定义的培训周期】。
- 相关安全控制:AT-2、AT-4、PL-4。
控制增强:
- 组织根据初始或定义的频度的人员和角色培训;
- 组织开展包括实际操作的安全培训,以增强安全培训的目标;
- 组织应向内部人员提供安全培训,使能够识别ICS存在的异常行为。
安全培训记录(AT-4)
控制:
组织应:
- 记录并监视ICS安全培训活动,包括基本的安全意识培训和具体的ICS安全培训;
- 在【赋值:规定的时间】内保留培训记录。
补充指导:
- 应维护安全培训记录。
- 相关安全控制:AT-2、AT-4。
控制增强: 无
标识与鉴别(IA)
标识与鉴别策略和规程(IA-1)
控制:
组织应:
- 制定并发布正式的标识与鉴别策略,内容包括目的、范围、角色、责任、管理承诺、组织实体间的关系等;
- 制定并发布正式的标识与鉴别规程,以推动标识与鉴别方针策略及与相关安全控制的实施;
- 按【赋值:组织定义的时间间隔]】,对标识与鉴别策略及规程进行评审和更新。
补充指导:
- 标识与鉴别策略和规程应与相关的法律、法规、政策、策略及标准相一致;
- 标识与鉴别策略可以包含在组织的通用信息安全策略中,也以为一般的安全程序或特殊ICS制定标识与鉴别规程。
控制增强: 无
组织内用户的标识与鉴别(IA-2)
控制:
- 组织应唯一标识和鉴别组织用户(员工、供应商人员及访客等)或代表该用户的进程。
补充指导:
- 用户的所有访问都要被唯一的标识和鉴别,确保用户名具有唯一性,且专供用户个人使用;
- 当用户功能可以归为同一类(比如控制室操作员)时,用户身份鉴别与认证可以基于角色、组或者设备;
- 对于一些ICS,操作员及时响应很重要,身份识别与认证要求绝不能影响系统的本地紧急响应,对这些系统的访问可以通过合适的物理安全措施来限制;
- 对于一定的ICS,操作员的即刻交互能力是至关重要的;
- ICS的本地紧急措施并非受到标识与鉴别需求的束缚,对这些系统的访问可受到合适的物理安全控制的限制;
- 在某些情况下,组织认为不适用该控制,可以在安全计划中记录原因,并选取必要的补偿控制。例如,为了建立远程访问,可能需要远程人员的人工语音鉴别,需要一些人工的动作。
- 相关安全控制:AC-2、AC-3、IA-4、IA-5。
控制增强:
- 对已授权帐户的网络访问,使用多因子鉴别;
- 对未授权帐户的网络访问,使用多因子鉴别;
- 对已授权帐户的本地访问,使用多因子鉴别;
- 对未授权帐户的本地访问,使用多因子鉴别;
增强补充指导:
- 在该ICS不支持多因子鉴别的情况下,组织应按裁剪指导,使用合适的补偿控制(例如,实现物理安全措施)。
- 对未授权帐户的本地和网络访问,使用口令或个人标识码;
- ICS对本地访问,使用口令或个人标识码;
- 组织应仅当与个体或特定鉴别员一起使用时,才使用组鉴别;要求在使用组鉴别机制前,要用个体鉴别机制对个体进行鉴别。
- 对未授权帐户的远程访问,使用多因子鉴别,其中一个因子要由与该ICS分离的设备提供。
设备标识与鉴别(IA-3)
控制:
- 在建立一个或多个本地、远程、网络连接前,组织应【赋值:定义的特定设备和设备类型列表】。
补充指导:
- 要求逐一予以标识与鉴别的设备,可以按类型或按特定设备予以定义,或按组织认为合适的组合类型和设备予以定义;
- 针对标识和组织鉴别解决方案(例如,国家标准 GB/T 28455-2012 《信息安全技术 引入可信第三方的实体鉴别及接入架构规范》等),ICS一般使用强制访问控制(MAC)或传输控制协议来标识和鉴别本地网和广域网上的设备;
- 设备鉴别机制所要求的强度,是由ICS的安全分类来确定的;
- 在ICS不支持设备标识与鉴别的情况下,组织应按裁剪指导,使用合适的补偿控制(例如,实现物理安全措施)。
- 相关安全控制:IA-4、IA-5。
控制增强:
- 在建立远程网络连接前,ICS应以密码技术为基础,使用设备之间的双向鉴别来鉴别设备;
- 在建立网络连接前,ICS以密码技术为基础,使用设备之间的双向鉴别来鉴别设备;
- 组织针对动态地址分配,标准化动态主机控制协议(DHCP)的专用信息以及赋予设备的时间;并当把这些信息赋予一个设备时,对专用信息进行审计。
标识符管理(IA-4)
控制:
组织应:
- 按照授权策略分配个人、组、角色或设备标识符;
- 选择用于识别个人、组、角色或设备的标识符;
- 将标识符分配给指定的个人、组、角色或设备;
- 在【赋值:组织定义的时间间隔】内防止对标识符的重用;
- 在【赋值:组织定义的时间间隔】内清除不活动的标识符。
补充指导:
- 通用设备标识符,包括强制访问控制(MAC)或互联网协议(TCP/IP)的地址,或设备独特的令牌标识符;
- 管理用户标识符,不可用于共享的ICS帐户(例如:贵宾帐户和匿名帐户);
- 用户标识符是ICS的一个与个体相关联的帐户的名字,在这样实例中,帐户管理活动(AC-2)更强调标识符管理;
- 在用户职能作为单一小组(例如,控制屋操作员)的情况下,用户标识可以是基于角色的、基于小组的、或是基于设备的。
- 相关安全控制:AC-2I、A-2、IA-3。
控制增强:
- 应禁止使用ICS帐户标识符作为用户电子邮件帐户的公共标识符;
- 应要求接受用户ID和口令的登记,应具有监督人员的授权,并在指定登记授权前由人来完成;
- 应要求多种形式个体身份的认证,如对该登记授权给出有文件的证据,或给出文件以及生物特征的组合;
- 应按【赋值:组织定义的方式】标识用户状态的特征,唯一地标识用户,以此来管理用户标识符;
- ICS动态地管理标识符、属性以及相关联的访问授权。
鉴别符管理(IA-5)
控制:
组织应:
- 在初始鉴别分发时验证鉴别接收对象(个人、组、角色或设备)的身份;
- 确定【赋值:组织定义的初始鉴别的内容】;
- 确保鉴别对于其预期使用具有足够强的机制;
- 建立和实现管理规程,覆盖鉴别的初始分发、丢失或受损处置以及收回过程;
- 在工业控制系统安装之前变更鉴别的默认内容;
- 建立鉴别的最小和最大生存时间、限制以及再用条件;
- 按【赋值:组织定义的时间间隔】变更或更新鉴别;
- 保护鉴别内容,以防未授权泄露和更改;
- 要求个人采取由设备或特定安全措施来保护鉴别;
- 在组/角色账户的成员发生变化时变更这些账户的鉴别。
补充指导:
- ICS认证设备包括:PKI证书、生物特征、口令、密钥卡等;
- 许多ICS设备和软件通常采用厂商缺省认证证书以进行安装和配装,应及时更换。
- 相关安全控制:AC-2、AC-3、AC-6、CM-6、IA-2、IA-4。
控制增强:
- 对于基于PKI的鉴别,ICS应:
- 针对一个接受的可信物,通过构造一个具有状态信息的认证路径,来确认证书;
- 对对应的私钥,执行授权访问;
- 把所认证的身份映射为用户帐户。
- 组织要求接受【赋值:组织定义的鉴别符类型或特定鉴别符的注册过程】,在由指定组织官员赋予注册授权之前由人来承担;
- 组织使用自动化工具来确定该鉴别符对抵御企图揭示或损坏该鉴别符的攻击而言是否具有充分的强度;
- 组织要求ICS部件供应商或制造者在交付之前,提供唯一的鉴别符或改变默认的鉴别符;
- 对于基于口令的鉴别,ICS应:
- 实施按组织就敏感情况、字符个数、大写小写字符和数字的混合,以及特殊字符等方面定义的需求的最小口令复杂性;
- 当创建新口令时,实施按【赋值:组织定义的字符个数】;
- 在口令存储和传输中,对口令加密处理;
- 实施按【赋值:组织定义的口令最大和最小生存期】的限制;
- 实施按【赋值:组织定义的生成次数】,禁止口令复用。
- 组织保护鉴别符,使其相称于所访问信息的保密性和敏感性;
- 组织确保口令没有被嵌入在访问脚本中或存储在功能键上;
- 由于存在一些在多个ICS上拥有帐户的个体,因此组织采取【赋值:组织定义的措施】,管理破坏性风险;
增强补充指导:
当一个个体在多个ICS上拥有帐户的时候,存在以下风险:一旦一个帐户被破坏,并且该个体是使用同样的用户标识符和鉴别符,那么其他帐户也将被破坏。可选的方案包括但不限于:
- 在所有的系统上有同样的标识符,但鉴别符不同;
- 在每一系统上有不同的用户标识符号和鉴别符号;
- 使用某种形式的单一签名机制;
- 在所有系统上使用某种形式的一次性口令。
- 组织应规定对授权帐户的网络访问,使用【赋值:组织定义的一次性鉴别机制】;
- 组织应规定对未被授权帐户的网络访问,使用【赋值:组织定义的一次性鉴别机制】。
鉴别反馈(IA-6)
控制:
- ICS应隐蔽鉴别过程期间鉴别信息的反馈,以保护该信息免遭未授权个体的利用。
补充指导:
- 来自ICS的反馈不提供可使未授权用户损害鉴别机制的信息。
- 相关安全控制:PE-18。
控制增强: 无
密码模块鉴别(IA-7)
控制:
- ICS使用满足相关法律、法规、政策、规定、标准和指南等需求的鉴别相关的密码模块。
补充指导:
- 密码模块应符合相关密码管理部门规定和标准;
- 应在认真考虑安全需要以及对系统性能的潜在结果之后,确定要使用的密码技术。例如,组织考虑由于使用密码技术而引入的潜在因素是否负面影响了该ICS的运行性能。
- 相关安全控制:AC-2、IA-2、IA-4。
控制增强: 无
组织外用户的标识与鉴别(IA-8)
控制:
- ICS应逐一标识和鉴别非组织的用户或标识和鉴别代表非组织用户所执行的过程。
补充指导:
- 非组织用户是组织内用户以外的ICS用户。非组织用户访问ICS的身份验证需要保护专有或隐私相关的信息。组织使用风险评估方法,以确定身份验证的需求,并考虑可扩展性、实用性和安全性的平衡。
- 相关安全控制:AC-2、IA-2、IA-4、MA-4、RA-3、SA-12。
控制增强:
- ICS接受并鉴别其他相关机构发布的单子标识与鉴别;
- ICS只接受经权威机构批准的第三方认证;
- 组织只采用相关权威机构批准的ICS组件第三方认证。
访问控制(AC)
访问控制策略和规程(AC-1)
控制:
组织应:
- 制定并发布正式的访问控制策略,内容包括目的、范围、角色、责任、管理承诺、组织实体间的协调关系以及依从关系等;
- 制定并发布正式的访问控制章程,以推动访问控制方针策略及与相关安全控制的实施;
- 按【赋值:组织定义的时间间隔】,对访问控制策略及规程进行评审和更新。
补充指导:
- 访问控制策略和章程应与相关的法律、法规、规章、制度、策略及标准相一致;
- 访问控制策略可以包含在组织的通用信息安全策略中,也可为一般的安全程序或特殊ICS制定访问控制规程。
控制增强: 无
账户管理(AC-2)
控制:
- 组织应管理ICS账户,包括建立、激活和修改、审核、失效和删除账户;
- 组织应按【赋值:组织定义的时间间隔】审核ICS账户。
补充指导:
- 账户管理包括账户类型的识别(个人、组、系统),组成员条件的确定和相关授权的分配;
- 账户类型可以是基于角色、基于设备、基于属性等;
- 应识别ICS的授权用户和特定的访问控制权利;
- 应明确地授权和监督客人和匿名账户的使用;
- ICS使用者或用户属性发生变化时,应通知账户管理人;
- 在为物理访问ICS(例如,工作站,硬件部件,场站设备)预先定义了一些特权帐号的情况下,或在ICS不支持帐号管理(例如,一些远程终端单元,基站)的情况下,组织按一般的裁减指导,使用合适的补偿控制(例如,提供增强的物理安全、人员管理、入侵检测和审计措施);
- 应要求产品或设备供应商告知系统存在的默认账户和口令;
- 应删除、禁用或对默认账户提供安全维护,严格限制默认账户的访问权限,重命名系统默认账户,修改默认账户的默认口令。
- 相关安全控制:AC-3, AC-4, AC-5, AC-6, AC-10, AC-17, AC-19, AC-20, AU-9, IA-2, IA-4, IA-5, IA-8, CM-5,CM-6, CM-11, MA-3, MA-4, MA-5, PL-4, SC-13。
控制增强:
- 应使用自动机制来支持对ICS账户的管理。对于某些ICS部件(如现场设备),账户管理的自动机制不可用的情况下,组织按裁减指导,使用非自动化机制或规程作为一个补偿控制;
- 在规定的时间周期后应及时删除临时的和非常时期的账户;
- 在规定的时间周期后及时删除非活动的账户;
- 应使用自动机制来审计账户的创建、修改、失效和终止等活动,需要时通知相关人员。
强制访问控制(AC-3)
控制:
- ICS应根据应用策略执行指定的系统访问控制授权。
补充指导:
- 组织应采用访问控制策略(如:基于身份的策略、基于角色的策略、基于规则的策略)和相关访问控制机制(如:访问控制列表、访问控制许可、密码技术)实现ICS用户与对象(包括设备、文件、程序、进程、域)间的访问控制;
- 为提供更佳的安全,除在ICS层面实现访问控制外,必要时还应在应用层面实现强制访问控制;
- 针对所有主体和客体,应实施基于角色的访问控制策略;
- 针对ICS范围内属性相同的主体和客体,执行统一策略;
- 应限制将信息传递给未授权的主体和客体;
- 应限制将权限授予给未授权的主体和客体;
- 应限制对主体、客体、工业控制系统或其组件安全属性的变更;
- 应限制对访问控制策略的更改;
- 强制访问控制机制不应对ICS正常运行产生不利影响。
- 相关安全控制: AC-2, AC-4, AC-5, AC-6, AC-16, AC-17, AC-18, AC-19, AC-20, AC-21, AC-22, AU-9, CM-5, CM-6, CM-11, MA-3, MA-4, MA-5, PE-3。
控制增强:
- 基于【赋值:组织定义的权利要求】的组织策略和规程,执行二元访问授权;
- 在【赋值:组织规定的用户集和资源集】上,执行【赋值:组织定义的非自主访问控制策略】;
- ICS执行自主访问控制(DAC)策略;
- 除了安全状态外,应禁止ICS访问【赋值:组织规定的、与安全有关的信息】;
- 在非安全的地方,加密或存储【赋值:组织定义的非在线的关键或敏感的信息】。
信息流强制访问控制(AC-4)
控制:
- ICS应按应用策略,执行控制系统中的信息流和系统间的信息流授权。
补充指导:
- 信息流控制规定了信息在系统内和系统间流转路径;
- 信息流控制策略和执行机制通常采用制定源和目的方式;
- 信息流控制通常基于信息和信息路径的特征;
- 该控制指导配置其他安全控制的授权。
- 相关安全控制:AC-3, AC-17, AC-19, AC-21, CM-6, CM-7, SA-8, SC-2,SC-5, SC-7, SC-18。
控制增强:
- ICS应使用信息对象、源对象、目的对象等显式的安全属性,作为流控制决策的基础,执行信息流控制;
- ICS应使用受保护的过程域,作为流控制决策的基础,执行信息流控制;
- ICS应基于特定策略,执行动态的系统信息流控制;
- 防止来自旁路的内容检测机制的加密数据;
- 执行【赋值:组织定义的在其它数据类型】中嵌入数据类型的限制;
- 执行元数据上的信息流控制;
- 使用硬件机制,执行【赋值:组织定义的信息流】控制;
- 使用【赋值:组织定义的安全策略】,执行信息流控制;
增强补充指导:
- 【赋值:组织定义的安全策略过滤器】,应包括:欺诈词过滤器、文件类型检测过滤器、结构化数据过滤器、非结构化数据过滤器、元数据内容过滤器、隐藏内容过滤器等;
- 结构化数据可被应用和个体予以理解。
- 当ICS不能做出信息流控制决策时,系统使用人对【赋值:组织定义的安全策略过滤器】进行评审;
- 应为授权管理员提供了一种使用【赋值:组织定义的安全控制过滤器】的能力;
- 应为授权管理员提供了配置【赋值:组织定义的安全控制过滤器】的能力,以便支持不同安全策略;
- 在不同安全域间传送信息时,ICS应按数据类型的规约和用法,标识信息流;
- 在不同安全域间传送信息时,ICS应把信息分解为与策略有关的一些子部分;
- 在不同安全域间传送信息时,ICS应把数据结构和内容限制为【赋值:组织定义的安全策略】需求的策略过滤器;
增强补充指导:
- 限制文件长度,限制允许的枚举,限制字符集,限制模式以及其它数据对象,这样可以减少潜在恶意的范围,减少不被许可的内容。限制的例子包括但不限于:字符数据域仅包含可打印的ASCII;字符数据域仅包含字母、数字;字符数据域不包含特定字符;基于【赋值:组织定义的安全策略】,执行域的最大长度和文件长度;
- 在不同安全域间传送信息时,ICS应按安全策略检测不被许可的信息,并阻止传输这些信息。
增强补充指导:
- 支持这一增强的措施有:检测所有传输的信息是否是恶意的;针对传输的信息,实现特定词列表搜索;对元数据(例如:安全属性)应用以上同样的保护措施。
- ICS执行互连系统上信息的安全策略;
增强补充指导:
- 在不同安全策略的互连系统间传输信息,可能存在破坏安全策略的风险。由于安全策略的破坏不可能绝对地予以阻止,因此信息拥有者所提出的策略指导往往是在互连系统的策略增强点上予以实现。
- 当需要时,特定体系结构方案是强制的,以便减少可能没被发现的脆弱性。例如,体系结构方案包括:禁止在互连系统之间信息传输(即:仅实现访问,单向传输机制);使用硬件机制来执行单一信息流决策;实现完整测试、再分等机制,以便重新赋予安全属性以及相关联的安全标记。
- ICS应逐一标识并鉴别信息传输源域和目的域;把安全属性和信息进行绑定,支持信息流策略的实施;跟踪安全属性绑定以及信息传输相关联的问题。
职责分离(AC-5)
控制:
组织应:
- 在必要时,分离个体的职责,以便防止恶意活动;
- 建立职责分离文档;
- 通过ICS访问授权,实现分离的职责。
补充指导:
- 根据需要建立适当的职责分离来消除在个人职责方面的利益冲突。
- 限制和控制特殊权限的分配和使用,根据用户的角色分配权限,实现用户的权限分离。如实现管理用户、操作系统特权用户的权限分离。
- 某些情况下,ICS不合适或不支持实施职责分离,应记录不实施的原因,并选择使用合适的补偿控制(例如,提供增强的人员安全和审计)。
- 组织认真考虑单个个体执行多重关键角色的合适性。
- 相关安全控制:AC-3、PL-2。
控制增强: 无
最小授权(AC-6)
控制:
- 组织应使用最小授权概念,只允许被授权的用户(和代表用户的过程)对完成所赋予的任务是必要的且符合组织使命和业务的功能进行访问。
补充指导:
- 针对特定的职责和ICS(包括特定的协议、端口和服务),利用最小特权的概念,依照必要的风险评估来充分地降低运行、资产和个人的风险;
- 该控制定义的访问授权,是由AC-3实现的;
- 组织依据风险评估,针对特定的职责和工业控制系统,使用最小授权这一概念,目的是为了准确地缓解组织运行和资产、个体其他组织和国家的风险;
- 仅授予管理用户所需的最小权限;
- 在ICS不支持特权区分的情况下,组织应按裁减指导,选择使用合适的补偿控制(例如,提供增强的人员安全和审计);
- 组织应认真考虑单个个体执行多重关键特权的合适性。
- 相关安全控制:AC-2、AC-3、AC-5、CM-6、PL-2。
控制增强:
- 组织应显式地对【赋值:组织定义的安全功能】(硬件、软件和固件中所开发的安全功能)和安全有关的信息列表授予访问权。
增强补充指导:
- 安全功能的例子有:建立系统帐户,配置访问授权(即允许,特权),设置要审计的事件以及设置入侵检测参数。
- 显式地被授权的人员,例如有:安全管理员、系统和网络管理员、系统安全官员、系统维护人员、系统程序设计人员和其它被赋予特权的用户。
- 组织要求系统具有访问【赋值:组织定义安全功能和安全有关的信息列表】的ICS帐户的用户或角色,当访问其它系统功能时,使用非授权的帐户或角色,并且对于这样的功能,如果方便的话,审计任意对授权帐户或角色的使用。
- 组织按【赋值:运行需要而定义的授权要求】,授权网络访问,并在安全计划中为这样访问记录理由。
- ICS提供分离的过程域,以便能精细地分配用户授权。
- 组织限定指定的系统管理人员,向ICS的超级用户帐户授权。
增强补充指导:
- 超级用户帐户一般被描述为市场上不同类型现成操作系统的“根”或“管理员”。
- 限制系统授权的例子有:在配置组织的ICS时,对于那些日常工作的用户就不授予访问超级用户帐户的权利。
- 在这一增强控制中的应用中,组织可以区分为本地ICS帐户所赋予的权利和为域帐户所赋予的权利。其中域帐户是由组织提供的,从而可仍然能控制系统针对关键安全参数的配置,以及为了充分缓解风险所必要的其他配置.。
- 组织应禁止向组织之外的用户授权访问ICS。
失败登录控制(AC-7)
控制:
- ICS应在【赋值:组织定义的时间周期】内,按【赋值:组织定义的次数】,限制用户连续无效的访问尝试;
- 自动按【赋值:组织定义的时间周期】,锁死帐户,直到管理员予以释放;
- 当未成功尝试超出最大次数时,依据【赋值:组织定义的延迟算法】, 延迟下一次登入执行。
补充指导:
- 由于可能存在服务拒绝,因此在【赋值:组织定义的时间周期】后,自动锁死通常是临时的,并可能自动释放;
- 如果要选择延迟算法,那么组织应基于部件的能力,为不同的ICS选择使用不同的算法;
- 对不成功登入尝试的响应,可以通过系统或通过应用层予以实现;
- 某些情况下,ICS不支持帐号、节点锁定、延迟登录,或存在重大的负面性能影响,组织应按裁减指导,选择使用合适的补偿控制(例如,建立日志或记录所有不成功的登录尝试,当组织定义的数个连续的无效访问尝试予以执行时,通过报警或其它手段,警示ICS的安全人员)。
- 相关安全控制:MP-5, MP-6, SC-13.。
控制增强:
- 系统自动锁死帐户或节点,直到不成功尝试超出最大次数时才予以释放;
- 系统为插入在ICS中的移动设备提供附加的保护,即在【赋值:组织定义的连续不成功登入】尝试后,净化来自移动设备的信息。
系统使用提示(AC-8)
控制:
- 设置鉴别警示信息,在允许用户访问前,显示经过批准的、校准过的通告信息,并保持在屏幕上,直到用户采取了明确的行动。
补充指导:
- 显示只有授权的用户才能访问计算机的一般性的告警通知;
- 描述未授权访问可能导致的后果。
- 在ICS不支持系统使用提示的情况下,组织应按裁减指导,使用合适的补偿控制(例如,在ICS设施上公布物理通告)。
- 相关安全控制:PL-2。
控制增强: 无
以前访问提示(AC-9)
控制:
- ICS应通知成功登入(访问)的用户,以及最后一次登入的日期和时间。
补充指导:
- 期望该控制覆盖两个方面:传统的系统登入以及以其它类型的结构化配置(例如,面向服务的体系结构)而出现的对ICS的一般性访问。
- 在该ICS不支持以前访问提示的情况下,组织按裁减指导,使用合适的补偿控制。
控制增强:
- ICS通知成功登入/访问的用户,以及自最后一次成功登入/访问以来未成功登入/访问尝试的次数;
- ICS通知在【赋值:组织定义的时间周期】内,选择:成功登入/访问;未成功登入/访问的尝试的用户和次数;
- ICS通知在【赋值:组织定义的时间周期】内,对用户帐户的安全设置改变的用户。
并发会话控制(AC-10)
控制:
- ICS按【赋值:组织定义的当前会话数】,限制每一系统帐户的当前会话数量。
补充指导:
- 对于整个ICS的帐户,组织可通过帐户类型或帐户组合,定义当前最大会话数量;
- 该控制强调了对一个给定ICS帐户的当前会话,并没有强调单个用户通过多系统帐户的当前会话。
- 在ICS不支持并发会话控制的情况下,组织应按裁减指导,使用合适的补偿控制(例如,提供更强的审计措施)。
- 相关安全控制:PL-2。
控制增强: 无
会话锁定(AC-11)
控制:
- ICS应在【赋值:组织定义的不活动时间周期】后,或接受的用户请求,通过会话锁,禁止对系统进一步访问;
- 应保持会话锁,直到用户通过标识和鉴别规程,重新建立访问。
补充指导:
- 会话锁定是当用户停止工作,离开ICS所采取的一种临时措施,但并不希望中断会话;ICS使用会话锁定以防止访问已规约的工作站或节点;
- 组织可以在操作系统层或应用层实现这会话锁;
- 会话锁定不能替代断开系统登入;
- ICS在指定的工作站和节点所【赋值:定义的时间段】后,自动激活会话锁定;
- 在某些情况中,不建议为ICS操作员的工作站/节点设立会话锁定(例如,当在紧急情况中需要操作员即可予以响应的话);
- 在ICS不支持会话锁定的情况下,组织按裁减指导,使用合适的补偿控制(例如,提供更强的物理安全、人员安全以及审计措施)。
- 相关安全控制:AC-7、PL-2。
控制增强:
- 当在具有显示屏的设备上启动ICS会话锁机制时,该机制应以公共可观察的模式放在相关联的显示屏上,隐藏该屏幕上以前可见的信息。
会话终止(AC-12)
控制:
- 在【赋值:组织定义的条件或需要终止会话的事件】触发时自动终止用户会话。
补充指导:
- 该控制终止用户端发起的逻辑会话,而SC-10终止物理会话,如:网络连接;
- 会话终止与用户的逻辑会话相关的所有进程,除非是由用户(即会话所有者)在会话结束后继续运行的特定进程;
- 需要自动终止会话的条件或事件包括:组织定义的用户活动期间,特定类型的事件,限制使用时间等。
- 相关安全控制:SC-10。
控制增强:
- ICS应提供用户端发起会话的退出能力,无论是否认证后获得【赋值:组织定义的信息资源】;
- ICS应向用户显式地提示会话已被安全终止。
未标识鉴别的许可行为(AC-13)
控制:
组织应:
- 在ICS内设置未标识鉴别用户的特定行为动作;
- 在ICS安全规程中记录并说明不需要进行标识鉴别用户动作的原因。
补充指导:
- 该控制主要用于某些特定情况下,不需进行标识和鉴别即可操作ICS;
- 组织应允许有限数量的不需要进行标识和鉴别的操作;
- 组织也可以标注出那些通常需要标识和鉴别,在紧急情况下,可以绕过标识和鉴别的行为;
- 相关控制:CP-2、IA-2。
控制增强:
- 无需标识和鉴别的组织许可行为仅用于实现组织业务目标。
远程访问(AC-14)
控制:
- 组织应授权、监督和控制所有对ICS的远程访问。
补充指导:
- 只有在必要时,并经过批准和认证的情况下才可以进行远程访问;
- 远程访问要采取多因素认证;
- 在ICS没有实现这一控制的任何或所有部件的情况下,组织按裁减指导,使用其它机制或规程作为一个补偿控制。
- 相关安全控制:AC-2, AC-3, AC-18, AC-19, AC-20, CA-3, CA-7, CM-8,IA-2, IA-3, IA-8, MA-4, PE-17, PL-4, SC-10, SI-4。
控制增强:
- 组织利用自动机制来监督和控制远程访问方式;部分ICS可能不支持远程访问;
增强补充指导:
- 在ICS不支持使用自动化机制来监控远程访问的情况下,组织按裁减指导,使用非自动化机制或规程作为补偿控制。
- 利用密码技术来保护远程访问会话的机密性和完整性,防止鉴别信息在网络传输过程中被窃听和篡改;
增强补充指导:
- 相关密码技术的采用绝对不能影响ICS正常运行;
- ICS的安全目的通常按可用性、完整性和保密性这一次序的优先级。在认真考虑安全需要以及有关系统性能的潜在结果的基础上,确定要使用的密码技术;
- 在ICS不支持使用密码机制来保护远程会话保密性和完整性的的情况下,或由于对安全(safety)、性能或可靠性具有重大的负面影响,或ICS部件不能使用密码机制的情况下,组织按裁减指导,使用合适的补偿控制(例如,为远程会话提供更强的审计,或限制关键人员远程访问特权)。
- ICS通过【赋值:组织定义的访问控制点的数目】,路由所有远程访问;
- 组织仅迫于运行方面的要求,授权执行远程访问并访问与安全有关的信息, 远程授权访问要在工业控制系统安全计划中记录其理由;
- 工业控制系统使用鉴别和加密技术保护对系统的无线访问;
- 组织监控对工业控制系统的授权远程访问,包括按【赋值:组织定义的时间间隔】,扫描未授权的无线访问点;
- 对那些不期望使用的无线访问,在工业控制系统部件中嵌入的内部无线网络发挥作用或部署前,组织应关闭或取消其功能;
- 组织应禁止用户独自配置无线网络;
- 组织确保用户保护了有关远程访问的信息,以免造未授权的使用和信息泄露;
- 组织确保远程访问【赋值:组织定义的安全功能和安全有关信息的列表】的会话,使用了附加的【赋值:组织定义的安全措施】,并进行了相应的审计;
- 除了特定运行需求所显式标识的部件外,组织应断掉工业控制系统中点对点无线网络的能力;
- 除了特定运行需求所显式标识的部件外,组织断掉被认为是不安全的网络协议。
无线访问(AC-15)
控制:
组织应:
- 建立无线访问使用规范;
- 监控对ICS的无线访问;
- 强化对无线访问需求管理,如非必须,关闭无线访问。
补充指导:
- 无线技术包括但不限于:802.11x、蓝牙、微波等;
- 无线网络使用提供凭证保护和相互验证等功能协议,如EAP/TLS、PEAP等;
- 某些情况下,无线信号可能辐射到组织控制以外区域。
- 相关安全控制:AC-2、AC-3、CM-8、IA-2、PL-4、SI-4。
控制增强:
- 使用基于【选择:用户和/或设备】的认证和加密技术保护无线接入ICS;
- 组织监测未经授权的无线连接,包括扫描未经授权的无线接入点,对发现的未经授权的连接采取适当的措施;
- 必要时,组织应禁止ICS组件内部嵌入式无线网络功能;
- 组织应禁止用户自主配置无线网络功能;
- 组织应管制控制范围内的无线网络。
移动设备的访问控制(AC-16)
控制:
组织应:
- 建立移动设备使用规范;
- 授权移动设备连接到ICS应满足组织规范要求;
- 监控非授权移动设备接入ICS;
- 强化移动设备接入ICS需求管理;
- 禁用ICS自动执行移动设备可执行代码功能;
- 对到组织认为存在风险的区域的个人发放特殊配置的移动设备;
- 对到组织认为存在风险的区域的进行检查或维护的移动设备采用领取归还方式。
补充指导:
- 移动设备包括但不限于:移动硬盘、USB设备、笔记本电脑、智能手机等;
- 组织控制的移动设备包括:组织内部设备,组织有权要求提供特定安全要求的设备;
- 移动设备的使用规范包括:配置管理、认证和授权、实施强制性保护软件、扫描设备的恶意代码、更新防病毒软件、扫描关键软件更新和修补程序、进行操作系统和其他常驻软件完整性检查、禁用不必要的硬件等;
- 组织移动设备带出和返还策略包括:确定关注点、定义设备所需配置、带出前检查和返还后检查等;
- 在ICS没有实现这一控制的任何或所有部件的情况下,组织按裁减指导,使用其它机制或规程作为补偿控制。
- 相关控制包括:AC-3, AC-7, AC-18, AC-20, CA-9, CM-2, IA-2, IA-3, MP-2, MP-4, MP-5, PL-4, SC-7, SC-43, SI-3, SI-4。
控制增强:
- 组织应限制ICS内可读写、可移动设备的使用;
- 组织应禁止ICS内使用个人所有的可移动设备;
- 组织应禁止ICS内使用未标记的可移动设备;
- 组织应禁止在涉密系统中使用非涉密移动设备;
- 组织采用【选择:全设备加密、容器加密】来保护【赋值:组织定义的移动设备】信息的机密性和完整性;
- 组织应考虑关闭不用的或不必要的I/O端口;
- 组织应禁止使用移动设备中的无线功能。
外部系统的使用(AC-17)
控制:
组织应建立一些术语和条件,允许授权个体:
- 从外部访问工业控制系统;
- 使用外部系统处理、存储和传输组织信息。
其中,所建立的术语和条件,要与其它组织所拥有的、运行的、维护的外部系统所建立的任何可信关系是一致的。
补充指导:
- 外部系统是组织边界外的系统,通常组织对这些系统的安全性不具体控制;
- 外部系统包括个人或其他组织拥有的系统和设备。
- 相关安全控制:AC-3, AC-14, CA-3, PL-4, SA-9。
控制增强:
- 组织应禁止授权的个体使用外部系统来访问工业控制系统,或处理、存储、传输组织收集的信息,除非存在以下情况:
- 可以验证外部系统上所要求的安全控制的实现,像组织工业控制系统安全策略和安全计划中所规约的那样;
- 已批准了工业控制系统与外部系统的连接,或批准了组织内实体使用外部系统进行处理的协议。
- 组织对授权个体有关使用外部信息系统上组织控制的可移动媒介,施加一些限制。
信息共享(AC-18)
控制:
组织应:
- 促进信息共享,并监控授权用户是否按【赋值:组织定义的共享策略】将信息共享给其他用户;
- 采用【赋值:组织定义的自动化机制或手动过程】,以帮助用户在决策信息共享。
补充指导:
- 相关安全控制:AC-3。
控制增强: 无
- 信息共享|自动决策支持
ICS基于共享伙伴的访问权限和被共享信息的共享属性来执行自动共享决策。
- 信息共享|信息检索
ICS执行【赋值:定义组织信息共享的限制】来实现信息检索服务。
审计与问责(AU)
审计与问责策略和规程(AU-1)
控制:
组织应:
- 制定并发布正式的安全审计策略,内容包括目的、范围、角色、责任、管理承诺、组织实体之间的协调关系以及依从关系等。
- 制定并发布正式的安全审计章程,以推动审计和可核查性方针策略及与相关安全控制的实施;
- 按【赋值:组织定义的时间间隔】,对审计和可核查性方针策略及规程进行评审和更新。
补充指导:
- 安全审计策略和章程应与相关的法律、可执行命令,指令、策略、规则及标准相一致。
- 安全审计策略可以包含在组织的通用信息安全策略中,作为其一部分。
- 相关安全控制:PM-9。
控制增强: 无
审计事件(AU-2)
控制:
- 组织应明确规定审计事件范围和审计内容。审计范围应覆盖到ICS的每个用户,审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
补充指导:
- 安全审计的目的是为了记录那些与ICS安全相关的重要的审计事件,应该指明哪些ICS部件需要执行审计行为;
- 现场设备审计事件应包括:用户登录、退出事件,连接超时事件,配置变更,时间/日期变更,审计接入,ID/密码创建和修改等;
- 审计行为会影响ICS的效率,因此,应该基于风险评估确定哪些事件需要进行常规审计,哪些事件需要相应于特殊环境的审计;
- 大多数ICS的审计发生在应用层上。
- 相关安全控制:AC-6、AU-3、MA-4、MP-2、SI-4。
控制增强:
- 应提供编辑审计记录的能力,这些记录来自多重部件,这些部件遍布于系统的逻辑层面、物理层面及相关于时序的审计痕迹中;
- 提供对审计事件选择的集中管理能力,事件选择被单独的系统部件所审计;
- 组织应定义审计事件进行【赋值:组织定义的时间间隔】的审核和升级。
审计记录的内容(AU-3)
控制:
- 审计记录应包含足够的信息,以便确定什么事件发生了、事件的来源、事件的结果等。
补充指导:
- 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
- 相关安全控制:AU-2、AU-8。
控制增强:
- 审计记录应使用主题、类型、位置等信息标识审计事件;
- 组织应集中管理审计内容。
审计存储能力(AU-4)
控制:
- 组织应规定【赋值:审计记录的保存期限】,并保证审计记录的存储空间。
补充指导:
- 为方便安全事故提供事后调查和满足信息保留要求和规定,应在指定时间内保存审计记录,直到这些记录不会被行政、法律、审计或者其他操作目的所使用。审计记录和报表保存时间应不少于三个月,现场设备应至少支持2048个事件记录;
- 应分配足够的审计记录存储空间,减少空间不足的可能性。
- 相关安全控制:AU-2、AU-5、AU-6、AU-7。
控制增强: 无
审计失效响应(AU-5)
控制:
ICS应:
- 对于审计处理失效的事件,向【赋值:组织定义的人员】报警;
- 采取赋值:【选择:组织定义的动作】,例如:停止系统的运行,重写原有的审计记录,停止生成新的审计记录等。
补充指导:
- 审计处理失效包括软硬件错误、审计获取机制失败、审计存储空间达到或超出极限等;
- 组织可针对不同审计处理失效(例如,由于类型、位置、严重程度或这些因素的组合),选择定义附加的措施;
- 该控制应用于每个审计数据存储库(即存储审计记录的ICS部件),应用于组织的整个审计存储能力(即组合了所有审计数据存储库);
- 一般地,不能在ICS上执行审计记录的处理,而在隔离的信息系统上进行处理;
- 在ICS不支持审计的情况下,包括对审计失效的响应,组织应按裁剪指导,使用合适的补偿控制(例如,在隔离的信息系统上提供审计能力)。
- 相关安全控制:AU-4、SI-12。
控制增强:
- 对审计处理失效|审计存储能力的响应
在【赋值:组织定义的时间段】内,当分配给审计记录的存储量达到【赋值:组织定义的最大审计记录存储容量】的某一百分比时,ICS向【赋值:组织定义的人员、角色或岗位】提供一个警示。
- 对审计处理失效|实时报警的响应
当【赋值:组织定义的、要求实时报警的审计失效事件】发生时,ICS在【赋值:组织定义的实时报警时间段】内,向【赋值:组织定义的人员,角色和岗位】发出报警。
- 对审计处理失效|可配置的流量阈值的响应
ICS执行可配置的流量阈值,反映对审计能力的限制,并【选择:拒绝、延迟】网络流量超出这些阈值。
- 对审计处理失效|失效宕机的响应
当发生【赋值:组织定义的审计事件】发生时,ICS调用【选择:完全宕掉系统,部分宕掉系统;降低运行模式,仅具有有限可用的业务处理能力】,除非存在一种可选的审计能力。
审计信息的监控、分析和报告(AU-6)
控制:
- 组织应按【赋值:组织定义的时间间隔】对审计记录数据进行分析,并生成审计报告。
补充指导:
- 应按【赋值:组织定义的时间间隔】的回顾、分析审计记录,这些记录包含了不恰当或不寻常的行为;
- 调查可疑行为和入侵行为;
- 生成审计报表,并向相关人员报告这些事件,同时采取必要的措施。
- AC-2、AC-3、AT-3、AU-7、CM-5。
控制增强:
- 采用自动的机制,将审计监控、分析、报告联结成一个完整的审计过程;
- 采用自动的机制,对存在安全隐患的不安全或者异常行为向安全人员发出警告。
审计简化和报告生成(AU-7)
控制:
- 提供审计简化和报告生成能力。
补充指导:
- 审计简化和报告生成能力,可有效支持AU-6中所描述的及时的审计评审、分析和报告需求,支持安全事件之后的事实研究;
- 审计简化和报告工具并不警示原始的审计纪律;
- 审计简化和报告生成一般不在ICS上执行,而在隔离的信息系统上进行;
- 在某些情况下,ICS不支持审计简化和报告生成,组织应按裁剪指导,使用合适的补偿控制(例如,在隔离的信息系统上提供审计能力)。
- 相关安全控制:AU-6。
控制增强:
- ICS基于可选的事件准则,为关切的事件提供自动化处理审计记录的能力。
时间戳(AU-8)
控制:
- 应使用内部时钟,为审计记录生成时间戳。
补充指导:
- 由ICS生成的审计事件应包括日期和时间等时间信息。
- 相关安全控制:AU-3。
控制增强:
- ICS按【赋值:组织定义的时间间隔】,同步内部系统时钟。
审计信息保护(AU-9)
控制:
- 应保护审计信息和审计工具,避免受到未授权访问、修改、删除或覆盖等行为的破坏。
补充指导:
- 审计信息包括审计ICS行为的所有信息,包括审计记录、审计设置、审计报告等。
- 相关安全控制:AC-3、AC-6、MP-2、MP-4、PE-2。
控制增强:
- ICS在所执行的硬件上,在一次性写入的媒介上生成审计记录;
- ICS按【赋值:组织定义的时间间隔】,把审计记录反馈到一个与被审计系统不同的系统或媒介上;
- ICS使用加密机制来保护审计记录和审计工具的完整性;
- 组织对访问审计功能的授权,只限制为一个具有特权的用户子集;保护审计记录的非本地访问,仅为授权的帐户,并执行授权的功能 。
抗抵赖(AU-10)
控制:
- 应防止个体否认执行过一个特定的动作。
补充指导:
- 审计信息包括审计ICS行为的所有信息,包括审计记录、审计设置、审计报告等。
- 相关安全控制:SC-12、SC-8。
控制增强:
- ICS在所执行的硬件上,在一次性写入的媒介上生成审计记录;
- ICS按【赋值:组织定义的时间间隔】,把审计记录反馈到一个与被审计系统不同的系统或媒介上;
- ICS使用加密机制来保护审计记录和审计工具的完整性;
- 组织对访问审计功能的授权,只限制为一个具有特权的用户子集;
- 保护审计记录的非本地访问,仅为授权的帐户,并执行授权的功能。
审计信息保留(AU-11)
控制:
- 组织应按【赋值:组织定义的时间长度】保留审计记录,提供事件方式时回顾、分析支持。
补充指导:
- 组织保留审核记录,直至确定不再需要;
- 审计记录通常根据事件发生时所采取的动作和响应过程进行分类。
- 相关安全控制:AU-4、AU-5。
控制增强: 无
审计生成(AU-12)
控制:
- ICS应提供可审计事件的审计记录的生成能力;
- 应允许【赋值:组织定义的人员或角色】对特定组件可审计事件进行审计;
- 应对AU-2定义的事件按照AU-3所需的内容生成审计记录。
补充指导:
- ICS组件均应可以对事件生成审计记录;
- 生成的审计日志应是一组事件列表;
- 生成的审计日志通常是一个事件的子事件;
- 在ICS不支持使用自动化机制来生成审计记录的情况下,组织应按裁剪指导,使用非自动化的机制或规程作为一个补偿控制。
- 相关安全控制:AC-3、AU-2、AU-3、AU-6、AU-7。
控制增强:
- 应按时间相关将审计记录从【赋值:组织定义的系统组件】转换为系统的(逻辑或物理)审计跟踪记录;
- 应产生系统的(逻辑或物理)审计跟踪记录的标准化格式;
- 提供在【组织内定义的时间范围】内,进行ICS审核的能力。
系统与通讯保护(SC)
系统与通讯保护策略和规程(SC-1)
控制:
组织应:
- 制定并发布正式的系统与通讯保护策略,其中应包含目的、范围、角色、责任、管理承诺、各部门间的协调以及合规性;
- 按【赋值:组织定义的时间间隔】,对系统与通讯保护策略和规程进行评审和调整。
补充指导:
- 期望通过该控制,为有效实现该族中的安全控制和安全控制增强,编制所需要的策略和规程。
- 该策略和规程应与应用的法律、法规、规章、制度、政策、标准和指南是一致的。
- 系统与通讯保护策略可作为组织信息安全策略的一部分。
- 系统与通讯保护规程可针对一般性的安全程序予以开发;当需要时,也可针对特殊ICS予以开发。
- 在开发系统与通讯保护策略中,组织的风险管理策略是一个重要的因素。
控制增强:无
应用分区(SC-2)
控制:
- ICS应能分离用户功能和系统管理功能。
补充指导:
- ICS管理功能,例如管理数据库、网络部件、工作站或服务器所必要的功能,并一般需要授权用户的访问。
- 用户功能与系统管理功能的分离,或是逻辑的,或是物理的,并可通过使用不同的计算机、不同的集中处理单元、不同的操作系统、不同的网络地址等方法实现,以及通过这些方法的组合或其它合适的方法。
- 在ICS没有把用户功能与信息系统管理职能予以隔离的情况下,组织应按裁剪指导,使用补偿控制(例如,提供更强的审计措施)。
- 相关安全控制:SA-4, SA-8, SC-3。
控制增强:
- ICS禁止在一般(即非授权)用户的接口上,渗透与ICS管理有关的功能。
增强补充指导:
- 期望通过该控制增强确保管理选择对一般用户是不可用的。例如,不给出管理选择,直到用户依据管理授权已合适地建立了一个会话。
安全功能隔离(SC-3)
控制:
- ICS应能隔离安全功能和非安全功能。
补充指导:
- 通过隔离边界的手段(以划分和域来实现之),ICS可以隔离安全功能和非安全功能,控制对执行这些安全功能的硬件、软件和固件的访问,并保护其完整性。
- ICS为每一个执行的过程,维护一个隔离的执行域;
- 在ICS不支持安全功能隔离的情况下,组织应按裁剪指导,使用补偿控制(例如,提供更强的审计措施,限制网络连接)。
- 相关安全控制:AC-3, AC-6, SA-4, SA-5, SA-8, SA-13, SC-2, SC-7。
控制增强:
- ICS实现基本的硬件隔离机制,以支持安全功能的隔离。
- ICS把执行访问控制策略和信息流控制策略的安全功能与非安全功能隔离开来,与来自其他安全功能隔离开来。
- ICS实现隔离边界,最小化包含安全功能的边界内所涉及的非安全功能。
- 组织把安全功能实现为一些相对独立的模块,避免模块之间存在不必要的接口。
- 组织把安全功能实现为一个层次结构,最小化设计层次之间的接口,并避免高层在功能或正确性方面依赖低层。
共享资源中的信息(SC-4)
控制:
- ICS应禁止通过共享的系统资源进行未授权的、无意的信息传输。
补充指导:
- 通过该控制,可禁止以前用户/角色的动作所产生信息,包括信息的加密表示,在资源释放回信系统之后,对当前获得对一个共享的资源访问的任意用户/角色(或当前过程)是可用的。即控制共享资源中的信息,其中涉及客体复用问题。
- 相关安全控制:AC-3, AC-4, MP-6。
控制增强:
- ICS没有诸如内存、输入/输出队列、网络接口卡等共享资源,而这些在不同安全层上的资源仅用于与系统运行的接口。
服务拒绝防护(SC-5)
控制:
- ICS应防止或抵御【赋值:组织定义的拒绝服务攻击类型列表】中的拒绝服务攻击。
补充指导:
- 边界保护设备可过滤一定类型的包,以保护组织内部网络上的设备,免遭受到拒绝服务攻击的直接影响。使用组合的增大容量和带宽以及服务容余,可减少遭受某些拒绝服务攻击的影响。
- 相关安全控制:SC-6, SC-7。
控制增强:
- ICS限制用户针对其它ICS或网络,发起拒绝服务攻击的能力。
- ICS为了限制拒绝服务攻击的信息泛滥之影响,管理多余的能力、带宽或其他容余。
- ICS安全失效。
增强补充指导:
- 所谓安全失效是一种条件,可通过应用一组系统机制来实现,以确保在管理接口上的边界保护设备(例如:路由器,防火墙,门禁,以及驻留在受保护的通用子网上-被称为非军事区或DMZ的应用网关),在其运行失效的事件中,没有互连系统之外的信息进入该系统。
- 运行失效可能与任何一个过程、设备或机制是有关系的。
- 边界保护设备的任何一个失效,均不能导致或引起该保护设备之外的信息进入该设备,也不可能失效的允许未授权的信息释放。
资源优先级(SC-6)
控制:
- ICS应能通过优先级来控制资源使用。
补充指导:
- 优先级保护有助于防止低优先级过程延迟或干扰ICS服务于高优先级的过程。
- 该控制并不适用于ICS中那些只有单一用户/角色的部件。
控制增强:无
边界保护(SC-7)
控制:
- 组织应监视并控制在系统边界上的通讯,以及系统内关键的边界上的通讯;
- 连接外部网络或ICS,应通过得到管理的、并与组织安全体系结构所安排的边界保护设备相一致的接口。
补充指导:
- 限制外部信息流仅能流向管理接口中组织的服务器,并禁止外部流量似乎欺诈一个内部地址。
- 管理接口使用边界保护设备,例如包括:在一个有效安全体系结构(例如:驻留在称为非军事区或DMZ的受保护子网中受到防火墙和应用网关保护的路由器)中所组织的代理,网关,路由器,防火墙,门禁,或加密隧道。
- 在安全控制的实现以及这样服务中,组织要考虑商业电子通讯服务的固有共享本质;
- 一般地,公共访问ICS的信息是不允许的。
- 相关安全控制:AC-4, AC-17, CA-3, CM-7, CP-8, IR-4, RA-3, SC-5, SC-13。
控制增强:
- 组织通过不同的物理网络接口,真正把公共可访问的ICS部件分配给不同的子网。
- ICS阻止公共访问到组织的内部网络,除非通过管理接口进行合适的调解,使用边界保护设备
- 组织限制ICS访问点的数量,以便允许更全面的监视通讯边界内外的网络流量。
- 组织应
- 为每一个外部电子通讯服务实现一个管理接口;
- 为每一个管理接口建立一个通讯流策略;
- 当需要时,使用安全控制来保护正在传送的那些信息的保密性和完整性;
- 为每一个支持使命/业务需要以及持续需要的通讯流策略的例外,建立相应的文档;
- 按【赋值:组织定义的时间间隔】,评审通讯流策略的例外;
- 去除不再被显式的使命和业务需要的通讯流策略例外。
- 在管理接口上的控制系统,拒绝默认的网络流量,允许除了例外的网络流量(即拒绝所有例外的流量)。
- 当出现边界保护机制运行失效时,组织禁止未授权地释放ICS边界之外的信息,或未授权地经过ICS边界的通讯。
增强补充指导:
- 组织选择一种合适的失效模式(例如,失败是封闭的,失败是开放的)。
- ICS禁止远程设备与系统建立非远程的连接,以防与外边的、具有外部网络资源的通讯路径进行通讯。
- ICS按【赋值:组织定义的通讯流量】,通过边界保护设备管理外部网络。
增强补充指导:
- 外部网络是组织控制之外的网络;
- 代理服务器支持登入个体的传输控制协议(TCP)会话,并锁死特定的统一资源分配(URL) 、域名和互联网协议地址;
- 代理服务按【赋值:组织定义的授权网站和未授权网站】。
- 在管理接口上的ICS,拒绝解析外部ICS威胁的网络流量并审计内部用户。
增强补充指导:
- 可以解析一个对外部系统的安全威胁的检测内部活动,有时是使用穷举检测;
- 在ICS边界上的穷举检测分析,包括网络流量(流入和流出的)监控,以便指示对外部系统安全的内部威胁。
- 组织禁止未授权地过度过滤通过管理接口的信息
增强补充指导:
- 严格控制协议格式;
- 对系统报警进行监控;
- 对加密进行监控;
- 除非需要断开所有外部网络连接;
- 对数据报文头进行必要的拆装和组装;
- 对网络流量进行分析。
- 检测通讯进入,以确保该通讯是从授权源进入的,并路由到授权目标。
- 实现基于主机的边界保护机制。
增强补充指导:
- 基于主机的边界保护机制,其例子是基于主机的防火墙;
- 组织通过物理上不同的子网以及对该系统其他部分的管理接口,把【赋值:组织定义的关键信息安全工具】与其他内部ICS部件隔离开来。
- 实现保护边界,防止穿过边界保护机制的未授权物理连接。
- ICS通过指定的管理接口,按访问控制和审计的意图,路由所有网络化的授权访问。
- ICS禁止揭示构成一个管理接口的特定系统部件(或设备)。
增强补充指导:
- 期望通过该控制增强来保护ICS部件的网络地址,这样的地址是管理接口的一部分,可通过通用根据和技术来发现的,以便标识一个网络上的设备;
- 网络地址要求在了解访问知识之前,是不能予以揭示的(例如:不能发布或进入域名系统)。
- 组织使用自动化机制,严格符合协议格式。
增强补充指导:
- 严格符合协议格式所使用的自动化机制,其例子有包深度检测防火墙和XML网关;
- 这些设备在应用层上验证是否符合协议的规格说明,并支持标识在网络上或传输层上运行的设备不可能检测到的大量脆弱性。
传输完整性(SC-8)
控制:
- ICS应保护传输信息的完整性。
补充指导:
- 该控制适用于内外网之间的通讯;
- 如果组织依赖商业服务方提供传输服务,作为一种商品项,而完全不是一个贡献性服务,那么传输完整性所需要的安全控制的实现,就可能更难获得必要的保障;
- 当实际上不可能通过合同方式获得必要的有效安全控制和保障时,组织要么实现合适的补偿安全控制,要么就显式地接受附加的风险。
- 相关安全控制:AC-17、PE-4。
控制增强:
- 组织应使用加密机制来识别传输中对信息的改变。
增强补充指导:
- 在认真考虑安全需要和系统性能上的潜在结果的基础上,确定要使用的密码技术。例如,组织考虑使用密码技术是否对该ICS运行性能引入了负面影响的潜在因素。组织揭示所有可能的密码技术完整性机制(例如,数字签名,哈什函数),每一机制均有不同的延迟影响。
- ICS维护准备传输中信息汇聚期间、打包期间和传输期间的信息完整性。
增强补充指导:
- 在数据汇聚点或协议传送点上,信息可能被有意或恶意的修改,损害信息的完整性。
- 组织应使用加密技术,来实现数字签名。
传输机密性(SC-9)
控制:
- ICS应保护传输信息的保密性。
补充指导:
- 该控制适用于内外网之间的通讯;
- 如果组织依赖商业服务方提供传输服务,传输保密性所需要的安全控制是必要的;
- 当实际上不可能通过合同方式获得必要的有效安全控制和保障时,组织要么实现合适的补偿安全控制,要么就显式地接受附加的风险;
- 相关安全控制:AC-17、PE-4。
控制增强:
- 组织使用加密机制来防止传输中对信息的未授权泄露;
增强补充指导:
- ICS的安全目的通常具有保密性,完整性和可用性的有序优先级;
- 在认真考虑安全需要和系统性能上的潜在结果的基础上,确定要使用的密码技术。例如,组织考虑使用密码技术是否对该ICS运行性能引入了负面影响的潜在因素。
- ICS维护准备传输中信息汇聚期间、打包期间和传输期间的信息保密性;
- 组织使用密码技术,来保护传输中受控的非秘密信息;
- 当用于传输秘密的、涉及国家安全信息的网络之等级低于被传输的信息之等级时,组织使用密码技术,来保护该信息;
- 组织使用密码技术,来保护网络上同样秘密等级的信息,当这样信息必须与没有必要的访问批准的个体予以隔离时;
- 组织使用密码技术,来保护传输中秘密的、涉及国家安全的信息;
- 组织使用密码技术,来保护传输中源信息和方法信息。
网络中断(SC-10)
控制:
- 在会话结束时或在不活动的时间周期之后,ICS应终止与该通讯会话相关的网络连接。
补充指导:
- 该控制适用于内外网;
- 终止与通讯会话相关的网络连接,例如包括重新分配开发系统层上所关联的TCP/IP地址/端口对,或重新分配应用层上的网络指派,如果多应用会话使用一个开放系统层的网络连接的话;
- 不活动的时间周期作为组织认为必要的时间周期,可以是网络访问类型的一个时间周期的集合,或是特定访问的一个时间周期的集合。
- 在一个会话结束上或在【赋值:组织定义的非活动时间段】之后,ICS不能终止网络连接的情况下,或由于对性能,安全(safety)或可靠性具有重大负面影响, ICS不能终止网络连接的情况下,组织按裁剪指导,使用补偿控制(例如,提供更强的审计措施,限制关键人员的远程访问特权)。
控制增强: 无
密钥建立与管理(SC-12)
控制:
- 组织应为ICS内所需要的密码技术,建立并管理加密密钥。
补充指导:
- 加密密钥的建立和管理,可以通过使用人为的规程或支持人为规程的自动化机制予以实施。
- 相关安全控制:SC-13。
控制增强:
- 组织维护用户丢失加密密钥的事件中的信息的可用性;
- 组织使用密钥管理技术和过程,产生、控制和分布对称加密密钥;
- 组织使用密钥管理技术和过程,产生、控制和分布对称或非对称加密密钥;
- 组织使用批准的3级证书或前置密钥化资料的PKI, 产生、控制和分布非对称加密密钥;
- 组织使用批准的3级证书或4级证书以及保护用户私钥的PKI, 产生、控制和分布非对称加密密钥。
增强补充指导:
- 在认真考虑安全需要和系统性能上的潜在结果的基础上,确定要使用的密钥,包括密钥管理。例如,组织考虑使用密码技术是否对该ICS运行性能引入了负面影响的潜在因素。
- 期望在ICS中使用密钥管理来支持内部非公共的使用。
密码技术的使用(SC-13)
控制:
- ICS应使用符合相关法律、法规、方针政策、规章制度、标准和指南的密码模块,实现所需要的密码技术的保护。
补充指导:
- 使用密码技术应遵守相关标准和法律规定。
- 密码技术的使用应不影响ICS正常运行。
- 相关安全控制:AC-2, AC-3, AC-7, AC-17,AC-18, AU-9, AU-10, CM-11, CP-9, IA-3, IA-7, MA-4, MP-2, MP-4, MP-5, SA-4, SC-8, SC-12,SI-7。
控制增强: 无
公共访问保护(SC-14)
控制:
- ICS应保护公共可用信息和应用的完整性和可用性。
补充指导:
- 该控制的意图是,确保组织显式地强调公共信息和应用的保护需求,以及与可能实现的、作为其它安全控制一部分的这样保护的关联;
- 一般地,对ICS的公共访问是不允许的。
控制增强:
- ICS应禁止公共访问。
安全属性的传输(SC-15)
控制:
- ICS应将安全属性与系统间交换的信息关联起来。
补充指导:
- 安全属性可以显式地或隐式地与ICS中所包含的信息相关联;
- 与该控制有关的控制有:AC-3、AC-4、AC-16。
控制增强:
- ICS验证系统间交换的安全属性的完整性。
证书管理(SC-16)
控制:
- 组织应按合适的证书策略发布公钥证书或按合适的证书策略从批准的服务提供方那里获得公钥证书。
补充指导:
- 对于用户证书,每个组织按策略的要求,从一个得到批准的、共享的服务提供方那里获得证书;
- 该控制关注证书及系统外的可见性。
- 相关安全控制:SC-12。
控制增强: 无
移动代码(SC-17)
控制:
组织应:
- 定义可接受的和不可接受的移动代码及移动代码技术;
- 对可接受的移动代码及移动代码技术,建立用法限制和实现指南;
- 授权、监视并控制ICS中移动代码的使用。
补充指导:
- 基于移动代码的恶意使用可能对ICS导致破坏,组织应就ICS是否使用移动代码做出相应的决策;
- 代码技术,例如包括:Java,JavaScript,ActiveX,PDF,VBScript等;
- 用法限制和实现指南适用于安装在组织服务器端的移动代码,也适应于工作站和移动设备;
- 与移动代码相关的策略和规程,强调了防止ICS中不可接受的移动代码的开发、获得或引入。
- 相关安全控制:AU-2,AU-12, CM-2, CM-6, SI-3。
控制增强:
- 为了标识未授权的移动代码,ICS实现发现和检查机制,必要时采取纠正措施。
增强补充指导:
发现未授权移动代码时,纠正措施包括:锁定、隔离和报警等。
- 组织应确保部署在ICS中的移动代码的获得、开发和使用满足【赋值:组织定义的移动代码】需求。
- ICS禁止下载和执行已禁止的移动代码。
- ICS禁止在软件应用中自动执行移动代码。
会话鉴别(SC-18)
控制:
- ICS应提供保护通讯会话真实性的机制。
补充指导:
- 该控制关注通讯会话保护;
- 该控制的目的是建立每一通讯会话的信任基础;
- 该控制仅在组织认为必要时实现;
- 在ICS不能保护通讯会话真实性的情况下,组织应按裁剪指南,使用补偿控制(例如,审计措施)。
- 相关安全控制:SC-8、SC-10、SC-11。
控制增强:
- ICS应在用户退出或终止会话后让会话身份标识符失效;
- ICS应提供明显容易的退出功能;
- ICS应为每一会话生成唯一的会话身份标识符,并仅认可系统生成的会话身份标识符;
- ICS应按【赋值:组织定义的随机需求】,生成唯一的会话身份标识符。
已知状态中的失效(SC-19)
控制:
- 针对【赋值:组织定义的失效类型】,ICS失效于【赋值:组织定义的已知状态】,保持失效中系统状态信息。
补充指导:
- 在已知状态中失效,可按组织的使命和业务需要来强调安全;
- 在已知状态中失效,有助于防止在ICS和部件失效事件中丧失保密性、完整性和可用性;
- 在已知安全状态中失效,有助于防止系统失效导致损害个体或破坏特性的状态。
- 保留ICS状态信息,可支持系统对使命和业务过程的较少破坏,重新启动并返回到组织的运行模式。
- 相关安全控制:CP-2, CP-10, CP-12, SC-7。
控制增强: 无
剩余信息保护(SC-20)
控制:
- ICS应保护剩余信息的保密性和完整性。
补充指导:
- 该控制的目的是剩余信息的保密性和完整性保护;
- 组织可选择不同的机制来实现保密性和完整性保护。
- 相关安全控制:AC-3, AC-6, CA-7, CM-3, CM-5, CM-6, PE-3, SC-8, SC-13, SI-3, SI-7。
控制增强:
- 应确保ICS内的文件、目录和数据等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除;
- 应保证用户鉴别信息等敏感信息所在的存储空间被释放或再分配给其他用户前得到完全清除;
- 可提供加密机制保护剩余信息的保密性和完整性。
增强补充指导:
- 加密机制是保护组织信息的保密性和完整性的基础,组织应根据安全需求来选择对应强度的加密机制。
执行程序隔离 (SC-21)
控制:
- 组织应让ICS各类执行程序运行在相互隔离的域中。
补充指导: 无
- 让ICS各类执行程序运行在相互隔离的域中,并各自使用分离的地址空间,处于分离的地址空间的各可执行程序异常时不会影响其它程序;
- ICS产品所采用的操作系统一般均正常地址空间分离。
- 相关安全控制:AC-3, AC-4, AC-6, SA-4, SA-5, SA-8, SC-2, SC-3。
控制增强:
- 采用硬件分离实现可执行程序隔离。
延伸阅读
更多内容 可以点击下载 GB-T 32919-2016 信息安全技术 工业控制系统安全控制应用指南. http://github5.com/view/585进一步学习
