附錄B（資料性附錄）安全問題定義

附　錄　B
（資料性附錄）
安全問題定義

本部分的分析對象為典型工業控制系統模型，其中評估對象（TOE）為工業控制系統中具備信息安全技術的產品。典型工業控制系統模型如圖

B.1所示。

安全問題定義通過分析假設、組織安全策略和威脅等，定義一套ICS系統產品應滿足的通用安全功 能要求集合。威脅分析主要從登錄/訪問TOE、與TOE進行通信、安全審計、重要或敏感數據的存儲和利 用、更新、失效防護等方面考慮。

B.2　資產

ICS產品中需要保護的資產包括以下方面：

-硬件、軟件或固件等；

-用戶程序；

-審計數據（由TOE執行安全審計功能時產生）；

-鑒別數據（用于用戶或外部實體訪問TOE交互時的鑒別）；

-配置數據（TOE的配置信息、網絡連接信息等）；

-控制數據（設置和傳輸的控制指令數據等）。

B.3　假設

下面列出的特定情況是關鍵性假設，這些假設包括了實際情況和在開發安全要求時要考慮的環境條件。

B.3.1　物理保護（A.Physical）

ICS產品應放置在受控訪問的物理環境內，以避免未經授權者的物理訪問。該環境應提供滿足相應ICS產品制造商說明書要求的電源、溫濕度及其它環境要素以確保ICS產品能可靠運行。應保護在執行安全策略中起關鍵作用的硬件和軟件免受非授權的物理更改。

B.3.2　可信人員（A.Noevil & train）

ICS產品授權管理員（或操作員）不應是粗心大意、不負責任或者是懷有敵意的，應能夠遵循所有管理員（或操作員）指南的規定。但是允許有出錯的可能。管理員（或操作員）應該受到了正確運用、安裝、配置和維護ICS產品的合格培訓。

B.4　組織安全策略

B.4.1　角色分離策略 （P.Roles）

TOE應該為不同級別、不同粒度的安全管理設置不同的授權管理員角色。授權管理員角色應提供諸如三權分立或其他授權角色區別和分離策略。

B.4.2　最小權限（P.privilege）

TOE應提供通過權限的粒度以及映射這些權限到眾多支持角色的靈活性來實施最小權限。

B.4.3　基本功能支持原則（P.SupportFunction）

TOE實現的安全功能無論在正常運行或故障模式情況下，均不可妨礙到ICS系統基本功能的運行。基本功能是一種“維護人員健康、安全、環境和受控設備可用性所必需的功能和能力”。

B.5　威脅

B.5.1　威脅來源

針對ICS產品的威脅主要來自以下五個方面：

-自然環境因素

-人為錯誤或疏忽大意

-設備故障

-病毒等惡意軟件

-敵對威脅，如黑客、僵尸網絡的操控者、犯罪組織、國外情報機構、惡意軟件作者、恐怖分子、工業間諜、內部攻擊者等。

B.5.2　威脅表現形式

B.5.2.1　非授權訪問 （T.Unauthenticated_Access）

攻擊者可能繞過TOE的身份鑒別，訪問TOE的安全功能，如發布指令、修改數據、改變應用程序或設備配置等。

B.5.2.2　鑒別數據被破解 (T.Credential Cracking)

攻擊者可能反復嘗試猜測身份鑒別信息來獲取非法訪問TOE功能列表的能力。

B.5.2.3　鑒別數據重放 （T.Credential_Replay）

攻擊者可通過電子或非電子手段記錄身份鑒別數據，重放或重返憑證來獲取非法訪問TOE功能列表。

B.5.2.4　提權(T.Escalation_Of_Privilege)

心懷不滿的內部員工或攻擊者，已經獲取限制訪問權限，可以通過繞過安全限制或缺乏顆粒度的訪問控制機制缺陷，提升他的授權。

B.5.2.5　欺騙(T.Spoofing)

攻擊者可以繞過信息流控制策略且插入未經授權的請求、指令、或者代碼，通過偽裝成合法用戶或主體被成功認證。

B.5.2.6　審計機制失效（T.Audit_Compromise）

攻擊者可修改審計策略，引起審計記錄的丟失或防止從未來的攻擊行為中記錄數據。

B.5.2.7　數據篡改(T.Data_Modification)

攻擊者可發起攻擊修改或破壞存儲或傳輸中的敏感數據（如控制指令、審計數據等）。

B.5.2.8　敏感信息泄漏（T.Unauthorized_Information_Disclosure）

攻擊者可通過偷聽、接入傳輸線或其它方式獲取通信信道上傳輸的敏感數據或通過未授權訪問獲取存儲在TOE中的敏感數據（如密鑰、口令等）。

B.5.2.9　數據重放（T. Data_Replay）

攻擊者可記錄對TOE設備的數據通信，并且在晚些時候重放記錄數據，用來欺騙TOE設備執行未經授權的操作。

B.5.2.10　通信分析 （T.Analysis）

攻擊者可能通過收集大量數據及數據的源、目的地址和發送數據的日期、時間進行分析。

B.5.2.11　軟件/固件完整性破壞（T.SW/FW_Integrity）

攻擊者通過發起攻擊破壞TOE軟件/固件/可執行代碼的完整性。

B.5.2.12　拒絕服務（T.Denial_Of_Serice）

攻擊者會阻止其他人獲取系統資源（如：通過輪詢請求導致TOE發生泛洪），通過資源耗盡導致發生拒絕服務攻擊。

B.5.2.13　惡意代碼危害(T.MaliciousCode)

惡意代碼傳播會引起ICS網絡不必要的宕機，TSF數據或可執行代碼發生不當訪問（如：查看、修改或刪除）。

B.5.2.14　輸入錯誤 （T.Input_Error）

管理員或用戶可能無意地不恰當存取、修改了數據信息，或誤用資源。

B.5.2.15　部件或電源失效（T.Fail）

一個或多個系統部件或電源失效可能造成重要系統功能破壞和重要系統數據丟失。

B.5.2.16　物理環境破壞（T.Physical）

惡劣的物理環境（如高溫、灰塵、振動、鹽霧等）可能會引起設備的故障。

B.6　安全目的

B.6.1　ICS產品安全目的

B.6.1.1　標識和鑒別

B.6.1.1.1　實體鑒別（O.Object_Authentication）

在允許外部實體訪問TOE功能前，TOE應對所有外部實體所聲稱的身份進行唯一的標識和鑒別。

B.6.1.1.2　鑒別數據保護（O.Authen_Protection）

TOE應保護鑒別數據不被竊取、重用或破解。

B.6.1.2　訪問控制

B.6.1.2.1　訪問控制（O.Access_control_policy）

TOE應遵循一定的訪問控制策略，可以基于一定的安全屬性（如主體身份、時間、地點、端口等）設置主體對客體的訪問和操作。

B.6.1.3　安全審計

B.6.1.3.1　審計數據記錄 （O.Audit_Generation）

TOE應具備針對安全相關的事件產生審計記錄的能力。

B.6.1.3.2　審計數據保護（O.Audit_Protection）

TOE應提供安全存儲審計數據，并對存儲的審計事件進行保護的能力。

B.6.1.3.3　審計記錄查閱 （O.Audit_Review）

TOE應提供查閱審計記錄的能力。

B.6.1.3.4　安全事件分析（O.Security_Event_Analysis）

TOE應為管理員提供自動和手動的方式在審計跡中進行安全事件分析，以識別和調查潛在的安全事件。

B.6.1.4　安全管理

B.6.1.4.1　有效管理屬性（O.Attr_Eadmin）

TOE應提供允許有效管理其功能及數據的一套功能。例如：管理人員應在通過標識與鑒別后承擔其特權角色。只允許授權用戶訪問適當的TOE功能和數據。

B.6.1.5　安全通信

B.6.1.5.1　可信信道/路徑（O.Trusted_Connection）

TOE應能建立可信信道或路徑確保通信端點的抗抵賴性及通信數據的完整性和保密性。

B.6.1.5.2　重放保護（O.Replay_Protection）

TOE應識別任何數據重放，并且阻止基于數據重放的行為。

B.6.1.6　數據/代碼保護

B.6.1.6.1　數據保密性（O.Confidentiality）

TOE應確保敏感數據（如口令、密鑰、配置數據等）在傳輸和存儲狀態下不會泄漏。

B.6.1.6.2　數據完整性（O.Integrity）

TOE應保證敏感數據及關鍵配置數據（如控制指令等）在傳輸和存儲狀態下的完整性。

B.6.1.6.3　輸入安全驗證（O.Input_Verification）

TOE應具備對輸入信息的語法、安全閾值等合理性驗證功能。

B.6.1.6.4　軟件/固件完整性/更新檢查（O.Firmware_Signature）

TOE應在每一次軟件/固件更新前，對新軟件/固件的完整性和真實性進行檢查。

B.6.1.7　會話安全

B.6.1.7.1　限制的會話連接（O.Restricted_Use_of_Session）

TOE應限制用戶會話或設備的連接數量防止并發會話。

B.6.1.8　資源可用性

B.6.1.8.1　失效防護（O.fault_Protect）

TOE在自身失效后，應確保對ICS系統的基本安全功能（如SIS設備的功能等）不造成影響。

B.6.1.8.2　產品自檢（O.Self_Test）

TOE應具備對自身的檢測能力，以確保其安全功能的正確運行及可執行代碼、軟件或固件等的完整性。

B.6.1.8.3　資源共享（O.Resource_Sharing）

TOE應提供一種機制，能夠緩和嘗試耗盡TOE提供的內存、計算和輸入/輸出資源。

B.6.1.8.4　恢復和響應（O.Recovery_and_Response）

TOE應能夠在管理員設定的時間段內從系統掉電狀態恢復，并且安全地分發所有的系統改變。

B.6.1.9　加密

B.6.1.9.1　加密（O.Cryptography）

TOE應采用經公認的安全標準組織認證的無已知脆弱性的加密算法。所有算法的密鑰大小應該大于任何耗盡式攻擊（exhaustion attack）的能力

B.6.2　運行環境安全目的

B.6.2.1　物理保護（OE.Physical）

ICS產品及其連接的外圍設備應放置在受控訪問的物理環境內，避免被未經授權者物理訪問和破壞，運行環境應提供穩定電源防止掉電。

B.6.2.2　可信人員（OE.Personnel）

應雇傭和使用可信賴和有能力的員工。操作員和管理員應經過基本安全培訓和周期性培訓以獲得稱職的技能。

B.6.3　安全目的的基本原理

表B.1列出了威脅、組織安全策略和假設與安全目的的對應關系，本分析對象是針對整個工業控制系統的，開發者提供的TOE如是ICS系統的一部分，其安全功能也可以是其中的一部分。其中安全功能的選擇應該根據TOE的安全問題定義，這部分內容應包含在ST文檔中。對于TOE不能實現的安全功能可以要求外部實體或運行環境來實現，這部分應明確標識在假設的說明中。