?《網絡安全等級保護測評要求

　　第5部分：工業控制系統安全擴展要求》

　　標準解讀

　　作者： 工業控制系統測評要求編制組

　　一、工業控制系統等級保護標準的編制意義

　　隨著信息化和工業化的發展，工業控制系統在能源、交通、水利、公共服務等重要行業和領域廣泛應用，現代工業生產、輸送、供應等自動控制環節均依賴于工業控制系統。2010年“震網”病毒事件發生后，工業控制系統安全越來越引起各國政府與民眾的高度關注，美國等發達國家陸續發布了針對工業控制系統保護的系列標準和框架等。2013年，“棱鏡門”事件表明，某些西方大國為維持其全球霸權，一直在利用其技術的原發優勢，不斷加強對其他國家網絡空間的滲透、控制和破壞，對這些國家的社會秩序和國家安全構成了嚴重威脅。2015年，烏克蘭電網公司遭受惡意代碼攻擊，導致7個110KV變電站和23個35KV變電站故障，造成8000個用戶斷電。烏克蘭電網公司受網絡攻擊事件被認為是有史以上規模最大的電力系統攻擊事件，其警示作用猶如棒喝，深刻揭示了工業控制系統安全防護形式之嚴峻和黑客攻擊實力之強悍。而對于我國來說，自改革開放以來，我國逐步從農業大國向工業國家發展，兩化融合改變了現代工業生產方式，解放了社會生產力，但隨之帶來的安全現狀不容忽視，由于核心技術落后于人，在較長一段時間內，關鍵設備大多從國外進口，國產水平較低，網絡安全基礎薄弱，維護網絡空間安全，實現工業控制系統的“可控、能控、在控”的任務非常艱巨。

　　1994年，國務院印發《中華人民共和國計算機工業控制系統安全保護條例》，明確規定“計算機工業控制系統實行安全等級保護”。2003年，中央辦公廳、國務院辦公廳印發了《國家信息化領導小組關于加強信息安全保障工作的意見》，明確要求重點保護國家基礎信息網絡和關系國家安全、經濟命脈、社會穩定的重要信息系統安全，抓緊建立信息安全等級保護制度。2007年以后，公安部會同有關部門陸續出臺了《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》、《關于開展信息系統等級保護安全建設整改工作的指導意見》等一系列政策文件。與此同時，全國信息安全標準化技術委員會和公安部工業控制系統安全標準化技術委員會組織制定了信息安全等級保護工作基礎類、應用類、產品類和其他類急需的一系列標準。其中《信息系統安全等級保護定級指南》、《信息系統安全等級保護基本要求》、《信息系統安全等級保護測評要求》等標準在國家信息安全監管部門、信息系統運維單位、測評機構等相關單位廣泛使用，標準內容得到了廣泛驗證?？傮w來說，我國信息安全等級保護工作已取得很大的進展，重點行業已落實了等級保護制度。

　　但是在標準的使用過程中，也出現了部分條款無法適用或適用性不強的現象，特別是針對工業控制系統，升級、打補丁、防病毒、入侵檢測等通用系統保護措施，在線掃描滲透等測評手段不適用于已投運工控系統，亟需根據工業控制系統特點制定工業控制系統的等級保護系列標準。此外，2017年6月1日正式實施的國家《網絡安全法》第三十一條規定，關鍵信息基礎設施要在網絡安全等級保護的基礎上，實行重點保護。大量工業控制系統用于重要行業和領域，其一旦遭到破壞、喪失功能或數據泄露，可能嚴重危害國家安全、國計民生、公共利益，應納入關鍵信息基礎設施保護目錄?！毒W絡安全法》的出臺表明，“網絡”和“網絡安全”在新形勢下已有了新的定義，工業控制系統等級保護相關標準需要適應國家法律、政策的最新要求，結合等級保護已有標準的修訂，制定出臺。

　　電力是最早開展等級保護工作和等級測評體系建設的行業之一，其在工業控制系統安全防護工作上積累了豐富經驗。2012年以來，在已有工作的基礎上，國家能源局對已有行業政策進行了梳理、修訂、制定。2014年，以國家發改委令的形式印發了《電力監控系統安全防護規定》。2015年，以國家能源局文的形式印發了《電力行業網絡與信息安全管理辦法》，《電力行業信息安全等級保護管理辦法》、《電力監控系統安全防護總體方案等安全防護方案和評估規范》等，這些文件對于監督指導行業網絡與信息安全工作起了重要作用。為提升工業控制系統安全防護能力，規范工控系統安全防護建設，促進我國信息安全產業發展，在國家有關部門指導下，國家能源局信息中心組織測評機構、工控安全廠商、能源企業等，對工業控制系統測評方法進行專題研究，編制了《工業控制系統安全等級保護測評要求 第5部分 工業控制安全擴展測評要求》(以下簡稱工控測評要求)。

　　工控測評要求是以《信息安全技術 信息系統安全等級保護測評要求》(GB/T 28448-2012)修訂稿為基礎，針對工業控制系統的特點進行了適度調整，更適用于工業控制系統測評的現狀。

　　二、工控測評要求標準范圍

　　工控測評要求規定了對工業控制系統安全等級保護狀況進行安全測試評估的要求，包括對第一級工業控制系統、第二級工業控制系統、第三級工業控制系統和第四級工業控制系統進行安全測試評估的單元測評要求和工業控制系統整體測評要求。略去對第五級工業控制系統進行單元測評的具體內容要求。

　　工控測評要求適用于信息安全測評服務機構、工業控制系統的主管部門及運營使用單位對工業控制系統安全等級保護狀況進行的安全測試評估。信息安全監管職能部門依法進行的信息安全等級保護監督檢查可以參考使用。

　　三、工控測評要求主要內容

　　工控測評要求按照GB/T1.1-2009的規則起草。包含范圍、規范性引用文件、術語和定義、概述、總體要求、第一級到第四級工業控制系統單元測評等。

　　概述包括兩個方面：1、測評描述框架;2、測評使用方法。

　　總體要求測評包括兩個方面：1、總體要求技術單項測評;2、總體要求管理單項測評。

　　第一、二、三、四級工業控制系統單元測評包括兩個方面：1、安全技術單項測評;2、安全管理單項測評。

　　四、與網絡安全等級保護標準系列標準的銜接體現在

　　1、沿襲在國標等級保護標準體系中的定位

　　在現有國標等級保護系列標準中，定級指南是基礎，實施指南和設計要求是方法指引，基本要求是基線要求，測評要求是狀況分析，標準關系圖如圖1所示?！毒W絡安全等級保護測評要求》是對已定級的等級保護對象的狀況分析，等級保護對象可能為信息系統、物聯網、大數據、移動互聯系統、工業控制系統等，而工業控制系統測評要求是在保持與《網絡安全等級保護測評要求》編制框架結構一致的基礎上，以測評單元的形式對工業控制系統的對應擴展安全控制措施進行測試評價。測評單元由測評指標、測評對象、測評實施、單元判定組成。

　　圖1 現有國標等級保護系列標準關系

　　2、與通用測評要求測評構架思路保持一致

　　網絡安全等級保護測評的概念性描述框架由兩部分構成：單項測評和整體測評，其等級測評框架如圖2所示。

　　圖2 通用測評要求等級測評構架

　　工控系統等級保護測評的概念性描述框架與等級測評框架保持基本一致，區別之處有2 處：一是工控系統測評指標包括GB/T 22239.1-20XX和參考GB/T 22239.5-20XX提出的要求項;二是工控系統測評單元含“一票否決”測評單元，工控系統部分測評單元為“一票否決”測評單元， “一票否決”測評單元中的任何單個單元判定結果為不符合，不需要再開展其他單元測評，整體測評結論為不符合?！耙黄狈駴Q”測評單元的設定取決于是否有國家或行業政策強制的禁止條款的支持。

　　圖3 工控系統等級測評框架

　　3、與等級保護系列標準文檔結構保持一致

　　在國標等級保護系列標準中，基本要求、測評要求、設計要求標準間文檔結構有緊密的內在聯系，基本要求文檔結構如圖4所示，工控測評要求文檔結構如圖5所示，工控測評要求單項測評分兩大類，安全管理類測評和安全技術類測評，安全管理類測評細分為安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理四大安全層面測評，安全技術類測評可細分為物理和環境、網絡和通信、設備和計算、應用和數據四大安全層面測評。安全層面測評可再細分為要求項測評，測評單元是針對每個要求項提出的。整體測評分安全控制點測評、安全控制點間測評和安全層面間測評。

　　圖4 基本要求文檔結構

　　圖5 工控測評要求文檔結構

　　4、基于基本要求描述模型的基礎上設計控制與測評措施

　　2017年6月1日開始實施的國家《網絡安全法》中對網絡的定義為：“網絡，是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。網絡安全，是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力?！钡燃壉Ｗo從1.0進行2.0時代，等級保護對象形態大致分為3種：信息系統形態，網絡基礎設施形態，云計算、物聯網、大數據、移動互聯等新應用形態。劃為等級保護對象的工業控制系統是信息系統的一種特殊子類，它有信息和計算，有網絡也有設備，要使工業控制系統達到網絡安全的目標，同樣是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。哪些是基線措施，如何測評這些基線措施是否有效，是工控測評要求需要考慮的內容。而要確定基線措施，就需考慮工控系統面臨的主要威脅。那么，工業控制系統主要面臨哪些威脅呢?表1列出了工控系統面臨的主要威脅。

　　表1 工業控制系統主要威脅

　　序號

　　安全威脅

　　描述

　　1

　　黑客入侵

　　有組織的黑客團體對工業控制系統進行惡意攻擊、竊取數據，破壞工業控制系統正常運行。

　　2

　　旁路控制

　　非授權者發送非法控制命令，導致系統事故，甚至系統瓦解。

　　3

　　完整性破壞

　　非授權修改工業控制系統配置、程序、控制命令;非授權修改電力市場交易中的敏感數據。

　　4

　　越權操作

　　超越已授權限進行非法操作。

　　5

　　無意或故意行為

　　無意或有意地泄漏口令等敏感信息，或不謹慎地配置訪問控制規則等。

　　6

　　攔截篡改

　　攔截或篡改網絡傳輸中的控制命令、參數設置等敏感數據。

　　7

　　非法用戶

　　非授權用戶使用計算機或網絡資源。

　　8

　　信息泄漏

　　口令、證書等敏感信息泄密。

　　9

　　網絡欺騙

　　Web服務欺騙攻擊;IP欺騙攻擊。

　　10

　　身份偽裝

　　入侵者偽裝合法身份，進入工業控制系統。

　　11

　　拒絕服務攻擊

　　向工業網絡或通信網關發送大量雪崩數據，造成網絡或系統癱瘓。

　　12

　　竊聽

　　黑客在工業網或專線信道上搭線竊聽明文傳輸的敏感信息，為后續攻擊做準備。

　　從基本要求來說，需要考慮各級系統需具備的管理和技術方面的基線能力。各級信息系統需具備的安全防護能力技術、管理特點及覆蓋范圍可用圖6、圖7、圖8說明。

　　圖6 基本要求技術要求特點

　　圖7 基本要求管理要求特點

　　圖8 基本要求覆蓋范圍特點

　　工業控制系統測評要求所對應的測評要求特點和信息系統略有區別，區別表現在一是，管理采取“就高”原則。即一個工控責任單位有多個等級的工控系統，在管理措施上需要對所有工控系統采取最高等級的安全管理措施。二是，在技術特點上各等級的工業控制系統均需在滿足總體策略的前提下執行各級系統的安全防護。工業控制系統測評要求的技術要求特點如圖9所示。

　　圖9 工控系統測評要求測評指標技術要求特點

　　五、擴展測評指標要點

　　擴展測評指標編制思路為：以數據流向分析各級工業控制系統對應的主要威脅，參考基本要求描述模型選擇安全控制措施。

　　對于測評指標的文檔結構圖，我們比較了圖10和圖11，經過充分研究討論，最終選擇了圖11。一是因為圖11保持了與基本要求文檔結構的一致性;二是因為采用圖11可以更加清晰地從安全層面架構角度描述安全控制措施提升各級工控系統對應等級的安全保護能力(如4級是策略/防護/檢測/恢復/響應);三是從操作性角度來看，對于存量工控系統，運行單位、測評機構、檢查機構很難無歧義清晰判斷對象(如測評對象)屬于哪一層，如勵磁裝置，繼電保護裝置，筆者都難以描述屬于哪一層;如PLC，其既具有現場組件，也具有控制組件。而對于用戶所能采取的控制措施，只能對設備整體進行保護。對于測評機構來說，所能采取的測評實施，也只能設備整體進行測評。

　　圖10 測評要求測評指標編制描述思路1

　　圖11 測評要求測評指標編制描述思路2

　　測評指標示例如下：

　　總體要求-技術測評指標示例：(L0-OS5-01)工業控制系統與企業管理系統之間原則上應劃分為兩個區域，區域間應采用有效的隔離技術手段;禁止任何穿越區域邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網絡服務。

　　總體要求-管理測評指標示例：(L0-OS5-07)工控系統所屬單位中出現多等級工控系統時，通用管理要求統一采用定級最高的工控系統執行。

　　分級要求-技術測評指標示例：(L3-MMS5-03)在更新惡意代碼庫、木馬庫以及規則庫前，應首先在測試環境中測試通過，對隔離區域惡意代碼更新應有專人負責，更新操作應離線進行，并保存更新記錄。

　　分級要求-管理測評指標示例：(L3-CMS5-02)工業控制系統重要軟硬件系統、設備及專用信息安全產品應采用安全可信的產品及服務進行建設。

　　轉自： 安全測評聯盟