工业控制系统通常是对实时性要求较高的系统,工业控制系统安全扩展要求重点对现场设备层和现场控制层的设备提出了补充要求,同时在安全通用要求的基础上也对工业控制系统的网络架构、通信传输、访问控制等提出了特殊要求。
工业控制系统通常是可用性要求较高的等级保护对象。工业控制系统(ICS)是各种类型控制系统的总称,典型的包括数据采集与监视控制系统(SCADA)系统、集散控制系统(DCS)和其它控制系统等。工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(如汽车、航空航天和耐用品)等行业。
工业控制系统从上到下一般分为5个层级,依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层,不同层级的实时性要求不同。由于定级对象划分的不同,需要保护的工业控制系统对象可能跨越上述5个层级的多个层级。
对工业控制系统的安全防护应包括各个层级,由于企业资源层、生产管理层、过程监控层通常是由计算机设备构成,因此这些层级按照安全通用要求提出的要求进行保护,工业控制系统安全扩展要求主要针对现场控制层和现场设备层提出特殊安全要求,它们与安全通用要求一起构成对工业控制系统的完整安全要求。
工业控制系统安全扩展要求涉及的控制点主要包括室外控制设备防护、拨号使用控制、无线使用控制、控制设备安全等,以及在网络架构、通信传输、访问控制、产品采购和使用、外包软件开发等方面的额外要求。
工业控制系统安全扩展要求控制点/要求项的逐级变化
| 序号 | 控制点 | 一级 | 二级 | 三级 | 四级 |
| 1 | 室外控制设备防护 | 2 | 2 | 2 | 2 |
| 2 | 网络架构 | 2 | 3 | 3 | 3 |
| 3 | 通信传输 | 1 | 1 | 1 | |
| 4 | 访问控制 | 1 | 2 | 2 | 2 |
| 5 | 拨号使用控制 | 1 | 2 | 3 | |
| 6 | 无线使用控制 | 2 | 2 | 4 | 4 |
| 7 | 控制设备安全 | 2 | 2 | 5 | 5 |
| 8 | 产品采购和使用 | 1 | 1 | 1 | |
| 9 | 外包软件开发 | 1 | 1 | 1 |
基本要求一至四级,详情见下表
| 工业控制系统安全扩展要求 | 工业控制系统安全扩展要求 | 工业控制系统安全扩展要求 | 工业控制系统安全扩展要求 |
| 安全物理环境 | 安全物理环境 | 安全物理环境 | 安全物理环境 |
| 室外控制设备物理防护 | 室外控制设备物理防护 | 室外控制设备物理防护 | 室外控制设备物理防护 |
| 本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
| a) 室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等; | a) 室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等; | a)室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等; | a)室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等; |
| b) 室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修, 保证设备正常运行。 | b) 室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修, 保证设备正常运行。 | b)室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行。 | b)室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行。 |
| 安全通信网络 | 安全通信网络 | 安全通信网络 | 安全通信网络 |
| 网络架构 | 网络架构 | 网络架构 | 网络架构 |
| 本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
| a) 工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用技术隔离手段; | a) 工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用技术隔离手段; | a)工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段; | a)工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用符合国家或行业规定的专用产品实现单向安全隔离; |
| b) 工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段。 | b) 工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段; | b)工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段; | b)工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段; |
| — | c) 涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其它数据网及外部公共信息网的安全隔离。 | c)涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。 | c)涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其它数据网及外部公共信息网的安全隔离。 |
| 通信传输 | 通信传输 | 通信传输 | 通信传输 |
| — | 在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。 | 在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。 | 在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。 |
| 安全区域边界 | 安全区域边界 | 安全区域边界 | 安全区域边界 |
| 访问控制 | 访问控制 | 访问控制 | 访问控制 |
| 本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
| 应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。 | a) 应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP 等通用网络服务; | a)应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务; | a)应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务; |
| — | b) 应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。 | b)应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。 | b)应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。 |
| 拨号使用控制 | 拨号使用控制 | 拨号使用控制 | 拨号使用控制 |
| 本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
| — | 工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施。 | a)工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施; | a)工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施; |
| — | — | b)拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施。 | b)拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施; |
| — | — | — | c)涉及实时控制和数据传输的工业控制系统禁止使用拨号访问服务。 |
| 无线使用控制 | 无线使用控制 | 无线使用控制 | 无线使用控制 |
| 本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
| a) 应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别; | a) 应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别; | a)应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别; | a)应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别; |
| b) 应对无线连接的授权、监视以及执行使用进行限制。 | b) 应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制。 | b)应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制; | b)应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制; |
| — | — | c)应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护; | c)应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护; |
| — | — | d)对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统的行为。 | d)对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统的行为。 |
| 安全计算环境 | 安全计算环境 | 安全计算环境 | 安全计算环境 |
| 控制设备安全 | 控制设备安全 | 控制设备安全 | 控制设备安全 |
| 本项要求包括: | 本项要求包括: | 本项要求包括: | 本项要求包括: |
| a) 控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制; | a) 控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求, 如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制; | a)控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制; | a)控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制; |
| b) 应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作。 | b) 应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作。 | b)应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作; | b)应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作; |
| — | — | c)应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等,确需保留的应通过相关的技术措施实施严格的监控管理; | c)应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等,确需保留的应通过相关的技术措施实施严格的监控管理; |
| — | — | d)应使用专用设备和专用软件对控制设备进行更新; | d)应使用专用设备和专用软件对控制设备进行更新; |
| — | — | e)应保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序。 | e)应保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序。 |
| 安全建设管理 | 安全建设管理 | 安全建设管理 | 安全建设管理 |
| 产品采购和使用 | 产品采购和使用 | 产品采购和使用 | 产品采购和使用 |
| — | 工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用。 | 工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用。 | 工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用。 |
| 外包软件开发 | 外包软件开发 | 外包软件开发 | 外包软件开发 |
| — | 应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。 | 应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。 | 应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。 |
参考资料:
网络安全等级测评师培训教程
网络安全等级保护基本要求
网络安全等级保护测评要求
等