安全计算环境

控制点

1.

控制设备安全

为降低控制设备非授权访问带来的安全风险,控制设备应实现身份鉴别、访问控制和安全审计,关闭、拆除和控制非必要外设接口,专设专用,在上线前进行安全检测,避免控制设备固件中存在恶意代码,保证控制设备计算环境的安全。在充分进行测试评估后方可进行控制设备的补丁和固件更新工作,以保证控制设备的可用性。

a)

安全要求:控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制。

要求解读:控制设备自身应实现对应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求。考虑到控制系统历史原因、更新速度慢、自主可控范围小等方面,在其自身不满足上述条件时,需通过上位控制或管理设备实现同等功能或通过管理手段进行控制。

检查方法

1.核查控制设备是否具有身份鉴别、访问控制和安全审计等功能,如控制设备具备上述功能,则按照通用要求进行测评。

2.如果控制设备不具备上述功能,则核查是否由其上位控制或管理设备实现同等功能或通过管理手段进行控制。

期望结果

1.控制设备自身具备身份鉴别、访问控制和安全审计等功能的,参考对应级别的安全通用要求。

2.控制设备自身不具备身份鉴别、访问控制和安全审计等功能的,由上位控制系统或管理设备实现身份鉴别、访问控制和安全审计同等功能。

3.上位控制或管理设备未实现身份鉴别、访问控制和安全审计同等功能的,有进行身份鉴别、访问控制和安全审计控制的管理措施。

b)

安全要求:应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等作。

要求解读:由于工业控制系统中专用软件较多,所以相关应用软件和补丁可能存在兼容性问题。考虑到工业控制系统需长期稳定运行,在对控制设备进行补丁更新、固件更新时,需要对控制系统进行充分的测试验证、兼容性测试及严格的安全评估,在停产维修阶段对离线系统进行更新升级,以保证控制系统的可用性。

检查方法

1.核查是否有测试报告或测试评估记录。

2.核查控制设备版本、补丁及固件是否在经过充分测试评估后进行了更新。

期望结果

对控制设备进行的补丁更新、固件更新等工作经过了充分的测试评估,有测试报告或测试评估记录。

c)

安全要求:应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等,确需保留的应通过相关的技术措施实施严格的监控管理。

要求解读:软盘驱动、光盘驱动、USB接口、串行口或多余网口等控制设备/外设,为病毒、木马、蠕虫等恶意代码入侵提供了途径。关闭或拆除控制设备上不需要的外设接口,可以控制设备被病毒、木马、蠕虫等感染的风险,避免不需要的外设接口对工业控制系统造成破坏。如果不具备拆除条件或确需保留,可采用主机外设统一管理设备、隔离存放有外设接口的工业主机/控制设备等安全管理技术手段进行严格管控。

检查方法

1.核查控制设备是否关闭或拆除了设备的软盘驱动、光盘驱动、USB接口、申行口、多余网口等。

2.核查保留的软盘驱动、光盘驱动、USB接、。串行口、多余网口等是否已通过相关的措施实施严格的监控管理。

期望结果

1.控制设备关闭或拆除了软盘驱动、光盘驱动、USB接口、串行口、多余网口等。

2.保留的软盘驱动、光盘驱动、USB接口、串行口、多余网口等已通过相关技术措施进行严格的监控管理。

d)

安全要求:应使用专用设备和专用软件对控制设备进行更新。

要求解读:对控制设备,应使用专用硬件设备和专用软件进行更新,以确保专用设备和专用软件的独立性,防止交叉感染。

检查方法

核查是否已使用专用设备和专用软件对控制设备进行更新。

期望结果

已使用专用设备和专用软件对控制设备进行更新,有明显的标识和相应的登记记录。

e)

安全要求:应保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序。

要求解读:控制设备上线前需要进行脆弱性检测以及恶意代码检测,以确保控制设备固件中不存在恶意代码程序。

检查方法

核查由相关部门出具或认可的控制设备检测报告,核查控制设备固件中是否不存在恶意代码程序(应为否)。

期望结果

控制设备有相关部门出具或认证的检测报告,其中已明确说明控制设备固件中不存在恶意代码程序。