工业控制系统信息安全防护能力评估方法

1附件:工业控制系统信息安全防护能力评估方法1.适用范围1.1本方法提出了工业控制系统信息安全防护能力评估的基本概念、实施流程和工作形式。1.2本方法适用于规范对企业按照《工业控制系统信息安全防护指南》建立的工控安全防护能力开展的综合评价活动。1.3本方法适用于评估工业控制系统的应用企业。2.规范性文件2.1法律法规、指导性文件《中华人民共和国网络安全法》《国家网络空间安全战略》《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号）《国务院关于印发〈中国制造2025〉的通知》（国发〔2015〕28号）《国务院关于积极推进“互联网+”行动的指导意见》（国发〔2015〕40号）《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）2《工业控制系统信息安全防护指南》（工信部信软〔2016〕338号）《关于加强工业控制系统信息安全管理的通知》（工信部协〔2011〕451号）2.2标准和技术规范GB/T32919－2016《信息安全技术工业控制系统安全控制应用指南》GB/T20984－2007《信息安全技术信息安全风险评估规范》3.术语与定义下列术语和定义适用于本方法。3.1工业控制系统工业生产控制各业务环节涉及的有关人员、软硬件系统和平台的集合。包括但不限于：可编程逻辑控制器（PLC）、分布式控制系统（DCS）、数据采集与监控系统（SCADA）等工业生产控制系统；紧急停车系统（ESD）、安全仪表系统（SIS）等工业控制过程安全保护系统；制造执行系统（MES）、企业资源计划系统（ERP）等工业生产调度与管理信息系统；工业云平台、工业大数据平台等工业服务应用系统。3.2工业控制系统信息安全防护通过实施管理和技术措施，避免工业控制系统遭到非授3权或意外的访问、篡改、破坏及损失。3.3工业控制系统信息安全防护能力评估从综合评价的角度，运用科学的方法和手段，系统地分析和诊断工业控制系统所面临的威胁及其存在的脆弱性，评估企业工业控制系统安全防护水平，提出有针对性的抵御威胁的防护对策和整改措施，为最大限度地保障信息安全提供科学依据。3.4工业控制网络企业管理层之下的网络，包括现场设备层、生产控制层、制造执行层等所在的网络区域。3.5工业主机工业生产控制各业务环节涉及组态、操作、监控、数据采集与存储等功能的主机设备载体，包括工程师站、操作员站、历史站等。3.6工业控制设备工业生产过程中用于控制执行器以及采集传感器数据的装置，包括PLC、DCS、远程测控终端（RTU）等。3.7资产工业生产过程中具有价值的信息或资源，是安全防护的对象。3.8信息安全风险人为或自然的威胁利用工业控制系统及其管理体系中4存在的脆弱性导致安全事件的发生及其对企业造成的影响。3.9威胁可能导致对工业控制系统或企业危害的不希望事故潜在起因。3.10脆弱性可能被威胁所利用的资产或若干资产的薄弱环节。3.11工业控制系统配置清单包含工业控制系统正常运行所需配置的硬件、软件、文档、组件等信息的清单。3.12安全配置工业控制系统为实现特定的安全防护功能而执行的配置策略。3.13物理安全防护区域为保护工控系统不受人为或自然因素危害，需采取门禁、安防、人工值守等物理安全手段的特殊区域。3.14评估报告评估机构根据评估方法的要求，在履行必要的评估程序后，对被评估对象出具的书面工作报告，是评估机构履行评估任务或评估委托的成果。3.15评估结论评估机构在评估报告中作出的总体性判断意见。判断意见分为优秀（90分以上）、良好（80~89.5）、一般（70~79.5）、5基本合格（60~69.5）、不合格（60分以下）。4.评估工作流程工业控制系统信息安全防护能力评估工作程序如图1所示。主要包括受理评估申请、组建评估技术队伍、制定评估工作计划、开展现场评估工作、现场评估情况反馈、企业自行整改、开展复评估工作和形成评估结论八个部分。图1工业控制系统信息安全防护能力评估工作程序图65.评估工作实施5.1受理评估申请评估工作组受理工业和信息化主管部门委托的专项评估工作，各评估机构可自行受理市场化的评估工作委托，并在评估工作组备案。5.1.1主管部门工作委托工业和信息化主管部门，通过任务函等方式委托评估工作组开展工业控制系统信息安全防护能力评估专项工作。评估专项工作任务指定的被评估企业，应按要求向评估工作组提供5.1.2中（2）-（5）所需的评估材料。评估工作组根据工作任务量、地理位置等综合因素统筹确定评估机构，委托开展评估工作。5.1.2企业评估申请受理企业可自行委托评估机构开展工业控制系统信息安全防护能力评估工作。申请企业需向评估机构提交以下评估申请材料：（1）工业控制系统信息安全防护能力评估备案表；（2）申请企业加注统一社会信用代码的的营业执照；（3）申请企业简介、企业工业生产控制系统简介；（4）围绕《工业控制系统信息安全防护指南》已实施的安全防护措施介绍；（5）其它与评估工作有关的必要文件。7各评估机构对申请企业提交的材料进行审理，并根据申请企业申请的评估范围、完成评估所需时间及其他影响评估活动的因素，综合确定是否受理评估申请。如评估机构确定受理，需将材料（1）递交至评估工作组备案。5.2组建评估技术队伍5.2.1评估协议签订评估机构应及时与被评估企业沟通，并签订书面的评估委托协议（或评估合同），以规范评估工作的顺利开展，保障企业的安全生产运行和数据安全。5.2.2评估技术队伍组建评估机构应根据工业控制系统信息安全防护能力评估范围所覆盖的专业领域选择具备相关能力的评估人员和技术专家，组建评估项目组。评估项目组原则上应具备不少于5名专职评估人员，其中包括1名评估项目组组长。评估项目组组长由评估机构指定经验丰富的骨干评估人员担任，负责统筹安排评估工作分工，推进评估工作开展，组织完成评估结论、编写评估报告。评估项目组成员由评估机构根据该项评估的工作量及涉及的工业行业特征、专业需求等综合因素，确定成员数量和成员搭配。5.3制定评估工作计划评估项目组应与被评估企业的管理人员和技术人员应8当充分沟通，明确被评估范围和评估对象，制定评估工作计划。被评估企业和评估项目组共同确认上述工作计划后，再开展实施具体评估工作。5.3.1建立评估项目文档在评估工作开展过程中，评估机构应对评估工作相关文件进行统一编号，并规范管理。5.3.2梳理基本情况在被评估企业的配合下，评估项目组对企业工业控制系统及相关信息进行梳理，以便针对性地开展评估工作。（1）梳理企业基本信息了解被评估企业的发展历程、主要业务范围、业务规模，分析企业对于国家、社会、人民生命财产的重要性。（2）梳理企业生产资产基本信息了解企业被评估工业控制系统所涉及的资产类型、规模、位置、重要程度、产品、数量、厂商、投产时间、责任人、网络拓扑及其运营维护等情况。（3）梳理企业工控安全防护基本情况了解被评估企业的工控安全管理机制建设情况，初步掌握企业已部署的工控安全防护措施。5.3.3确定评估范围与被评估企业沟通，根据评估专项工作要求或企业自身需求确定评估范围。评估范围可以是企业的一套或多套工业9生产系统。5.3.4确定评估方案评估机构在前期梳理工业控制系统基本情况、确定评估范围的基础上，结合评估工作实际，参照5.4相关内容，制定该企业评估方案。评估方案涉及的评估方式至少包括：（1）人员访谈。评估项目组对相关人员进行访谈，核实已落实防护措施情况。（2）文档查阅。评估项目组查阅已落实防护措施形成的相关文档等证明材料。（3）人工核查。评估项目组通过手动方式核查部分已落实防护措施情况。（4）工具检测。评估项目组通过专用工具检测防护措施实际落实情况及其有效性。5.3.5确定评估工作日程安排评估项目组与被评估企业充分沟通，梳理评估工作重要时间节点，合理设置评估时间，确定评估工作日程安排。5.3.6确定评估工具评估项目组根据评估工作实际需求，并与被评估企业沟通确认后，参照附录B，选择相对应的专项评估工具用于现场评估工作。5.3.7确定应急预案评估项目组与被评估企业充分沟通，确定评估工作应急预案。应急预案应至少包括确定恢复点目标与恢复措施、按照事件分类等级制定应急响应保障措施等方面。105.3.8其它工作要求评估机构应当与被评估企业充分沟通评估工作计划，按照尽量不影响企业正常生产和工控系统正常运行的原则，科学有序地开展评估工作。评估工作结束后，应及时清除评估过程中形成的测试数据。5.4开展现场评估工作为确保工业控制系统信息安全防护能力评估工作规范全面开展，依据《工业控制系统信息安全防护指南》主要内容，应从如下方面开展评估工作。5.4.1安全软件选择与管理防护评估（一）在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过企业自身授权和安全评估的软件运行。1.安全要求a）企业应在工业主机上安装防病毒软件或应用程序白名单软件，确保有效防护病毒、木马等恶意软件及未授权应用程序和服务的运行；b）企业工业主机上安装防病毒软件或应用程序白名单软件,应在离线环境中充分测试验证,确保其不会对工业控制系统的正常运行造成影响。2.评估内容及方法a）查阅工业主机上安装防病毒软件或应用程序白名单软11件的证明材料（如采购合同、服务协议等），评估其来源是否安全正规；b）核查其工业主机防病毒软件或应用程序白名单软件是否已安装运行、病毒库或白名单规则是否及时升级（原则上3个月内）。若未及时升级，查阅不适合升级病毒库的分析报告；c）查阅防病毒软件或应用程序白名单软件已在离线或测试环境中充分测试验证的技术报告，评估其是否影响工业控制系统正常运行。（二）建立防病毒和恶意软件入侵管理机制，对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。1.安全要求a）企业应建立工业控制系统防病毒和恶意软件入侵管理机制，确保该管理机制可有效规范防病毒和恶意软件入侵管理工作；b）企业应定期针对工业控制系统及临时接入的设备开展查杀，并做详细查杀记录。2.评估内容及方法a）查阅企业已建立防病毒和恶意软件入侵管理机制的证明材料（如入侵管理章程等），评估其内容是否完备、合理；b）访谈企业相关人员对该入侵管理机制的知悉程度，或采用人工核查方式，评估入侵管理机制是否被严格贯彻执12行；c）查阅企业临时接入工控系统的设备查杀登记记录文档，并通过现场核验等方式，核查企业工业主机防病毒软件查杀历史记录。5.4.2配置和补丁管理防护评估（一）做好工业控制网络、工业主机和工业控制设备的安全配置，建立工业控制系统配置清单，定期进行配置审计。1.安全要求a）企业应做好工业控制网络、工业主机和工业控制设备的安全策略配置，确保工业控制系统相关安全配置的有效性；b）企业应建立工业控制系统安全策略配置清单，确保该清单满足企业工业控制系统安全可靠运行的需要；c）企业应定期自行对工业控制系统安全配置进行核查审计，避免因调试或其它操作导致配置变更后，未及时更新配置清单。2.评估内容及方法a）核查企业工业控制网络安全配置（如网络分区、端口禁用等）、工业主机安全配置（如远程控制管理、默认账户管理等）、工业控制设备安全配置（如口令策略合规性等）是否落实，评估其安全配置是否存在安全风险隐患；b）查阅工业控制系统安全配置清单；13c）查阅企业工业控制系统安全配置清单审计记录（如配置核对表）。（二）对重大配置变更制定变更计划并进行影响分析，配置变更实施前进行严格安全测试。1.安全要求a）企业应在发生重大安全配置变更（如重新划分网络）时，制定配置变更计划，进行影响分析，确保该重大配置变更不会引入重大安全风险；b）企业应在配置变更实施前进行严格安全测试，必要时应在离线环境中进行安全验证，以确保配置变更不会影响工业控制系统正常运行。2.评估内容及方法a）检查企业安全配置变更计划相关文档材料(如影响分析报告等)，确定其是否明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项，评估其配置变更计划是否会降低企业工业控制系统安全防护水平、是否会影响工业控制系统正常运行；b）检查企业安全配置变更