PDF《工业控制系统信息安全防护能力评估方法》

1 附件: 工业控制系统信息安全防护能力评估方法 1.

适用范围 1.1 本方法提出了工业控制系统信息安全防护能力评估 的基本概念、实施流程和工作形式. 1.2 本方法适用于规范对企业按照《工业控制系统信息 安全防护指南》建立的工控安全防护能力开展的综合评价活 动. 1.3 本方法适用于评估工业控制系统的应用企业. 2.规范性文件 2.1 法律法规、指导性文件 《中华人民共和国网络安全法》 《国家网络空间安全战略》 《国务院关于深化制造业与互联网融合发展的指导意 见》 (国发〔2016〕28 号) 《国务院关于印发〈中国制造 2025〉的通知》 (国发 〔2015〕28 号) 《国务院关于积极推进 互联网+ 行动的指导意见》 (国发〔2015〕40 号) 《国务院关于大力推进信息化发展和切实保障信息安 全的若干意见》 (国发〔2012〕23 号)

2 《工业控制系统信息安全防护指南》 (工信部信软 〔2016〕338 号) 《关于加强工业控制系统信息安全管理的通知》 (工信 部协〔2011〕451 号) 2.2 标准和技术规范 GB/T 32919-2016 《信息安全技术 工业控制系统安全 控制应用指南》 GB/T 20984-2007 《信息安全技术 信息安全风险评估 规范》 3.术语与定义 下列术语和定义适用于本方法. 3.1 工业控制系统 工业生产控制各业务环节涉及的有关人员、软硬件系统 和平台的集合.包括但不限于:可编程逻辑控制器(PLC) 、 分布式控制系统(DCS) 、数据采集与监控系统(SCADA) 等工业生产控制系统;

紧急停车系统(ESD) 、安全仪表系统 (SIS)等工业控制过程安全保护系统;

制造执行系统 (MES) 、企业资源计划系统(ERP)等工业生产调度与管理 信息系统;

工业云平台、工业大数据平台等工业服务应用系 统. 3.2 工业控制系统信息安全防护 通过实施管理和技术措施,避免工业控制系统遭到非授

3 权或意外的访问、篡改、破坏及损失. 3.3 工业控制系统信息安全防护能力评估 从综合评价的角度,运用科学的方法和手段,系统地分 析和诊断工业控制系统所面临的威胁及其存在的脆弱性,评 估企业工业控制系统安全防护水平,提出有针对性的抵御威 胁的防护对策和整改措施,为最大限度地保障信息安全提供 科学依据. 3.4 工业控制网络 企业管理层之下的网络, 包括现场设备层、 生产控制层、 制造执行层等所在的网络区域. 3.5 工业主机 工业生产控制各业务环节涉及组态、操作、监控、数据 采集与存储等功能的主机设备载体,包括工程师站、操作员 站、历史站等. 3.6 工业控制设备 工业生产过程中用于控制执行器以及采集传感器数据 的装置,包括 PLC、DCS、远程测控终端(RTU)等. 3.7 资产 工业生产过程中具有价值的信息或资源,是安全防护的 对象. 3.8 信息安全风险 人为或自然的威胁利用工业控制系统及其管理体系中

4 存在的脆弱性导致安全事件的发生及其对企业造成的影响. 3.9 威胁 可能导致对工业控制系统或企业危害的不希望事故潜 在起因. 3.10 脆弱性 可能被威胁所利用的资产或若干资产的薄弱环节. 3.11 工业控制系统配置清单 包含工业控制系统正常运行所需配置的硬件、软件、文档、组件等信息的清单. 3.12 安全配置 工业控制系统为实现特定的安全防护功能而执行的配 置策略. 3.13 物理安全防护区域 为保护工控系统不受人为或自然因素危害,需采取门 禁、安防、人工值守等物理安全手段的特殊区域. 3.14 评估报告 评估机构根据评估方法的要求,在履行必要的评估程序 后,对被评估对象出具的书面工作报告,是评估机构履行评 估任务或评估委托的成果. 3.15 评估结论 评估机构在评估报告中作出的总体性判断意见.判断意 见分为优秀(90 分以上) 、良好(80~89.5) 、一般(70~79.5) 、

5 基本合格(60~69.5) 、不合格(60 分以下) . 4.评估工作流程 工业控制系统信息安全防护能力评估工作程序如图

1 所示.主要包括受理评估申请、组建评估技术队伍、制定评估 工作计划、开展现场评估工作、现场评估情况反馈、企业自 行整改、开展复评估工作和形成评估结论八个部分. 图1工业控制系统信息安全防护能力评估工作程序图

6 5.评估工作实施 5.1 受理评估申请 评估工作组受理工业和信息化主管部门委托的专项评 估工作,各评估机构可自行受理市场化的评估工作委托,并 在评估工作组备案. 5.1.1 主管部门工作委托 工业和信息化主管部门,通过任务函等方式委托评估工 作组开展工业控制系统信息安全防护能力评估专项工作.评 估专项工作任务指定的被评估企业,应按要求向评估工作组 提供 5.1.2 中(2)-(5)所需的评估材料.评估工作组根据 工作任务量、地理位置等综合因素统筹确定评估机构,委托 开展评估工作. 5.1.2 企业评估申请受理 企业可自行委托评估机构开展工业控制系统信息安全 防护能力评估工作.申请企业需向评估机构提交以下评估申 请材料: (1)工业控制系统信息安全防护能力评估备案表;

(2)申请企业加注统一社会信用代码的的营业执照;

(3)申请企业简介、企业工业生产控制系统简介;

(4)围绕《工业控制系统信息安全防护指南》已实施 的安全防护措施介绍;

(5)其它与评估工作有关的必要文件.

7 各评估机构对申请企业提交的材料进行审理,并根据申 请企业申请的评估范围、完成评估所需时间及其他影响评估 活动的因素,综合确定是否受理评估申请.如评估机构确定 受理,需将材料(1)递交至评估工作组备案. 5.2 组建评估技术队伍 5.2.1 评估协议签订 评估机构应及时与被评估企业沟通,并签订书面的评估 委托协议(或评估合同) ,以规范评估工作的顺利开展,保 障企业的安全生产运行和数据安全. 5.2.2 评估技术队伍组建 评估机构应根据工业控制系统信息安全防护能力评估 范围所覆盖的专业领域选择具备相关能力的评估人员和技 术专家,组建评估项目组.评估项目组原则上应具备不少于

5 名专职评估人员,其中包括

1 名评估项目组组长. 评估项目组组长由评估机构指定经验丰富的骨干评估 人员担任, 负责统筹安排评估工作分工, 推进评估工作开展, 组织完成评估结论、编写评估报告. 评估项目组成员由评估机构根据该项评估的工作量及 涉及的工业行业特征、专业需求等综合因素,确定成员数量 和成员搭配. 5.3 制定评估工作计划 评估项目组应与被评估企业的管理人员和技术人员应

8 当充分沟通,明确被评估范围和评估对象,制定评估工作计 划.被评估企业和评估项目组共同确认上述工作计划后,再 开展实施具体评估工作. 5.3.1 建立评估项目文档 在评估工作开展过程中,评估机构应对评估工作相关文 件进行统一编号,并规范管理. 5.3.2 梳理基本情况 在被评估企业的配合下,评估项目组对企业工业控制系 统及相关信息进行梳理,以便针对性地开展评估工作. (1)梳理企业基本信息 了解被评估企业的发展历程、 主要业务范围、 业务规模, 分析企业对于国家、社会、人民生命财产的重要性. (2)梳理企业生产资产基本信息 了解企业被评估工业控制系统所涉及的资产类型、规模、位置、重要程度、产品、数量、厂商、投产时间、责任 人、网络拓扑及其运营维护等情况. (3)梳理企业工控安全防护基本情况 了解被评估企业的工控安全管理机制建设情况,初步掌 握企业已部署的工控安全防护措施. 5.3.3 确定评估范围 与被评估企业沟通,根据评估专项工作要求或企业自身 需求确定评估范围.评估范围可以是企业的一套或多套工业

9 生产系统. 5.3.4 确定评估方案 评估机构在前期梳理工业控制系统基本情况、确定评估 范围的基础上,结合评估工作实际,参照 5.4 相关内容,制 定该企业评估方案. 评估方案涉及的评估方式至少包括: (1)人员访谈.评 估项目组对相关人员进行访谈,核实已落实防护措施情况. (2)文档查阅.评估项目组查阅已落实防护措施形成的相 关文档等证明材料. (3)人工核查.评估项目组通过手动方 式核查部分已落实防护措施情况. (4)工具检测.评估项目 组通过专用工具检测防护措施实际落实情况及其有效性. 5.3.5 确定评估工作日程安排 评估项目组与被评估企业充分沟通,梳理评估工作重要 时间节点,合理设置评估时间,确定评估工作日程安排. 5.3.6 确定评估工具 评估项目组根据评估工作实际需求,并与被评估企业沟 通确认后,参照附录 B,选择相对应的专项评估工具用于现 场评估工作. 5.3.7 确定应急预案 评估项目组与被评估企业充分沟通,确定评估工作应急 预案.应急预案应至少包括确定恢复点目标与恢复措施、按 照事件分类等级制定应急响应保障措施等方面.

10 5.3.8 其它工作要求 评估机构应当与被评估企业充分沟通评估工作计划,按 照尽量不影响企业正常生产和工控系统正常运行的原则,科 学有序地开展评估工作.评估工作结束后,应及时清除评估 过程中形成的测试数据. 5.4 开展现场评估工作 为确保工业控制系统信息安全防护能力评估工作规范 全面开展,依据《工业控制系统信息安全防护指南》主要内 容,应从如下方面开展评估工作. 5.4.1 安全软件选择与管理防护评估

(一)在工业主机上采用经过离线环境中充分验证测试 的防病毒软件或应用程序白名单软件,只允许经过企业自身 授权和安全评估的软件运行. 1.安全要求 a) 企业应在工业主机上安装防病毒软件或应用程序白名 单软件,确保有效防护病毒、木马等恶意软件及未授权应用 程序和服务的运行;

b)企业工业主机上安装防病毒软件或应用程序白名单 软件,应在离线环境中充分测试验证,确保其不会对工业控制 系统的正常运行造成影响. 2.评估内容及方法 a) 查阅工业主机上安装防病毒软件或应用程序白名单软

11 件的证明材料(如采购合同、服务协议等) ,评估其来源是 否安全正规;

b)核查其工业主机防病毒软件或应用程序白名单软件 是否已安装运行、病毒库或白名单规则是否及时升级(原则 上3个月内) .若未及时升级,查阅不适合升级病毒库的分 析报告;

c) 查阅防病毒软件或应用程序白名单软件已在离线或测 试环境中充分测试验证的技术报告,评估其是否影响工业控 制系统正常运行.

(二)建立防病毒和恶意软件入侵管理机制,对工业控 制系统及临时接入的设备采取病毒查杀等安全预防措施. 1. 安全要求 a) 企业应建立工业控制系统防病毒和恶意软件入侵管理 机制,确保该管理机制可有效规范防病毒和恶意软件入侵管 理工作;

b)企业应定期针对工业控制系统及临时接入的设备开 展查杀,并做详细查杀记录. 2.评估内容及方法 a) 查阅企业已建立防病毒和恶意软件入侵管理机制的证 明材料(如入侵管理章程等) ,评估其内容是否完备、合理;

b)访谈企业相关人员对该入侵管理机制的知悉程度, 或采用人工核查方式,评估入侵管理机制是否被严格贯彻执

12 行;

c)查阅企业临时接入工控系统的设备查杀登记记录文 档,并通过现场核验等方式,核查企业工业主机防病毒软件 查杀历史记录. 5.4.2 配置和补丁管理防........