2016年8月29日,国家质量监督检验检疫总局、国家标准化管理委员会正式发布《GB/T 32919 信息安全技术 工业控制系统安全控制应用指南》。(http://www.bz.bzko.com/bzxx/48889.html)
该标准由全国信息安全标准化委员会(SAC/TC260)提出,全国信息安全标准化技术委员会归口管理。适用于工业控制系统拥有者、使用者、设计实现者以及信息安全管理部门,为工业控制系统信息安全设计、实现、整改工作提供指导,也为工业控制系统信息安全运行、风险评估和安全检查工作提供参考。方便规约工业控制系统的安全功能需求,为安全设计(包括安全体系结构设计)和安全实现奠定基础。
一、核心内容
1. 安全控制概述
工业控制系统的安全与其它领域的安全是一样的,应用管理、运行和技术上的保护措施和对策,以保护工业控制系统及其信息的保密性、完整性和可用性等。应用这些控制的目的是,减少脆弱性或影响,抵御工业控制系统所面临的安全威胁,从而缓解工业控制系统的安全风险,以满足利益相关者的安全需要。
标准附录B中给出了可用于工业控制系统的安全控制列表。为了更方便地使用控制选择和规约过程,把控制概括为管理类、运行类和技术类,十八个族,每个族包含一些与该族的安全功能相关的安全控制。对于每项安全控制,有三方面的内容:
- 此项安全能力的简洁陈述,描述了要由组织或工业控制系统进行的与安全相关的活动或动作;
- 提供了一些与此项安全控制相关的信息,指导组织在定义、开发和实现安全控制时适当地采用;
- 对于需要更大保护的工业控制系统,提出控制增强措施。
2. 安全控制基线及其设计
本标准结合工业控制系统基本特征(参见附录A),结合以往诸多工业控制系统的安全实践,将附录B中工业控制系统的安全控制集分为三个级别,统称为安全控制基线,即基于工业控制系统安全风险的影响程度对安全控制的一个分级,可作为规划工业控制系统中选择安全控制的一个起始点。附录C为三个级别的安全控制基线。
安全控制基线应用于以下两种情况:
第一种情况,基于工业控制系统的安全风险评估,按风险影响程度将工业控制系统划分为低影响系统、中影响系统和高影响系统。在这种情况下,低影响系统选择第一级安全控制基线;中影响系统选择第二级安全控制基线;高影响系统选择第三级安全控制基线。
第二种情况,通过定级划分准则(参见国标GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》),将工业控制系统划分为相应的安全等级。在这种情况下,1、2级系统选择第一级安全控制基线;3级系统选择第二级安全控制基线;4、5级系统选择第三级安全控制基线。
3. 安全控制选择与规约
为了使组织的工业控制系统是安全的,就必须实施选择并规约安全控制和控制增强的过程,该过程包括以下三个子过程:
a) 选择初始安全控制基线;
b) 裁剪所选择的初始安全控制基线;
c) 补充经裁剪的安全控制基线。
安全控制选择过程应用。安全控制选择过程可从两个不同的角度,应用于组织的工业控制系统。一个角度是新系统的开发,另一个角度是在运行系统。
对于新开发系统,由于系统并不存在,并且组织没有进行初始的安全定级, 因此要从需求定义的视角来应用安全控制选择过程。包含在工业控制系统安全计划中的安全控制,作为组织的安全规格说明,应用在设计、开发、实现、运行等系统生命周期各阶段。
对于在运行系统,当系统本身或所面临的风险发生重大变更时,基于当前系统处理、存储和传输的不同业务类型,重新评估、确认系统安全级别,重新评审现有安全计划,分析当前使用的、相关联的安全控制与安全需求间的切合程度,调整的或重新制定安全计划中的安全控制。
4. 工业控制系统基本特征及安全风险分析
附录A将工业控制系统与传统信息系统进行了对比,分析了信息系统安全威胁与防护措施对工业控制系统的影响,介绍了工业控制系统面临的威胁,从策略和规程、网络硬件、网络结构、网络边界、通信和无线连接、网络设备配置、工业控制系统平台硬件、工业控制系统平台软件、工业控制系统平台配置、工业控制系统平台病毒防护十个方面分析了工业控制系统脆弱性。
二、阅读体会
标准是ISO 27002在工控领域的具体应用,有较强的操作性。同时,标准较好地实现了工控安全与等级保护的衔接,提出了分级别的安全基线,并根据等级保护定级指南与基本要求,将安全基线的级别与等级保护的级别建立了对应关系。对于在工控领域落实等级保护政策有非常重要的意义。
让笔者觉得比较遗憾的,是本标准讨论工业控制系统安全的时候,将工业控制系统(ICS)当作一个通用术语,对相关术语、概念和模型在本标准未进行更系统深入的解释,也没有引用相关标准,使本标准的适用范围缺少直观生动的场景假设。
本标准的内容与GB/T 33007建立工业自动化和控制系统安全程序比较接近,发布时间相差不到两个月。两个标准的发展历程不同,引用与参考文档不同,使各自具有不同的特色。下面是两个标准的主要引用与参考文件说明。
GB/T 33007的引用与参考文件:
本标准(GB/T 32919)的引用文件:
本标准是由全国信息安全标准化委员会(SAC/TC260)提出的第一个工控安全标准,全国信息安全标准化委员会正在制订的工控安全标准还有工业控制系统信息安全分级规范、工业控制系统风险评估实施指南、工业控制系统安全管理基本要求等。全国信息安全标准化委员会在信息安全领域有很强的号照力、权威性和专业基础,而机械机械工业联合会在工业控制领域有很强的号照力、权威性和专业基础。
机械工业联合会多年以来一直关注工控系统安全,已经提出并被采纳为国家标准的包括:《GB/T 26333——2010工业控制网络安全风险评估规范》、《GB/T 30976-2014 工业控制系统信息安全》(该标准包括评估规范、验收规范两个部分)、《GBT 33009-2016 工业自动化和控制系统网络安全 集散控制系统(DCS) 》(该标准包括防护要求、管理要求、评估指南、风险与脆弱性检测要求四个部分),《GBT 33008.1-2016 工业自动化和控制系统网络安全 可编程序控制器(PLC) 第1部分:系统要求 》、《GBT 33007-2016 工业通信网络 网络和系统安全 建立工业自动化和控制系统安全程序》。
笔者认为,相关机构和职能部门进行更紧密的沟通协调,对工控安全有非常重要的意义。同时,有必要加强国家工控安全标准体系规划,做好各标准的定位和相互之间的衔接,做好与信息安全标准体系及相关国际标准的衔接。
三、阅读建议
对工控系统安全问题感兴趣,想有所了解的朋友,标准的附录A是当前能找到的最好的学习资料之一。
关注工控系统等级保护的朋友,一定要了解本标准。
作者:亚光
相关阅读
工控安全政策系列导读:国际标准IEC 62443标准系列
工控安全政策系列导读:工业通信网络 网络和系统安全 建立工业自动化和控制系统安全程序
工控安全政策系列导读:国家安全战略、工控安全指南、GB/T 33009与中国制造2025