GB/T 36323—2018信息安全技術 工業控制系統安全管理基本要求6.14 訪問控制(AC)
6.14.1 訪問控制方針策略和規程(AC-1)
本項要求包括:
a) 應制定并發布訪問控制策略和規程,內容至少應包括:目的、范圍、角色、責任、管理層承諾、相關部門的協調、合規性;
b) 應制定并發布訪問控制規程,以推動訪問控制方針策略及與相關安全控制的實施;
c) 應定期對訪問控制方針策略及規程進行評審和更新。
6.14.2 賬戶管理(AC-2)
本項要求包括:
a) 應建立不同賬號類型(即個人的、組的、系統的、應用的、訪客的/匿名的和臨時的),以支持不同的業務職能;
b) 應指定ICS賬號管理員;
c) 應建明確組和角色的條件;
d) 應建立ICS、組和角色的授權用戶,明確每個賬號的訪問權限和其他必需的屬性;
e) 創建ICS賬號時,應獲得相關人員的批準;
f) 應建立、激活、修改、關閉和注銷賬號的制度;
g) 應對ICS使用進行授權和監視;
h) 當賬號需要刪除、關閉、轉移、變更時,應通報賬號管理員;
i) 定期檢查賬號是否符合賬號管理要求(如:是否符合系統授權,系統、組織、業務的屬性);
j) 對于預定義了賬戶和不支持賬戶管理的ICS設備,應采用適當的措施(例如,物理安全,人員安全,入侵檢測,審計措施等)來進行訪問控制;
k) 應限制和控制特殊權限的分配及使用;
l) 應通過正式的管理過程控制口令的分配;
m) 管理者應定期使用正式過程對用戶的訪問權進行復查;
n) 應要求用戶在選擇及使用口令時,遵循良好的安全習慣。
6.14.3 訪問執行(AC-3)
本項要求包括:
a) ICS資源的邏輯訪問需得到授權和批準;
b) 針對所有主體和客體,應實施基于角色的訪問控制策略;
c) 針對ICS范圍內屬性相同的主體和客體,執行統一策略;
d) 應限制將信息傳遞給未授權的主體和客體;
e) 應限制將權限授予給未授權的主體和客體;
f) 應限制對主體、客體、ICS或其組件安全屬性的變更;
g) 應對新創建或修改后的客體,限制變更其已經關聯的安全屬性;
h) 應限制對訪問控制策略的更改;
i) 應確保訪問控制策略,不會對ICS的運營產生不利影響;
j)在組織規定的用戶和ICS相關資源上,執行組織定義的非自主訪問控制策略;
k)基于組織策略和規程,執行二元訪問授權;
l)ICS執行自主訪問控制(DAC)策略;
m)除了安全狀態外,應禁止ICS訪問公共網絡等組織規定的、與安全有關的信息;
n)在非安全的地方,加密或存儲ICS安全相關的非在線關鍵或敏感信息。
6.14.4 信息流執行(AC-4)
本項要求包括:
a) ICS內或互連系統間的信息流動需得到授權和批準;
b) 應建立組織機構與外部方交換信息和軟件的協議;
c) 包含在電子消息發送中的信息應給予適當的保護;
d) 應建立并實施策略和規程,以保護與業務系統互聯相關的信息;
e) 應在網絡中實施路由控制,以確保計算機連接和信息流不違反業務應用的訪問控制策略。
6.14.5 職責的分割(AC-5)
本項要求包括:
a) 必要時,分離個體的職責,以便防止惡意活動;
b) 應定義ICS的訪問授權策略,以支持職責分割;
c) 在ICS不能支持職責分割的情況下,應采取安全防護措施,對一個人承擔多個角色進行有效管理。
6.14.6 最小權限(AC-6)
本項要求包括:
a) 組織應基于最小權限,對用戶進行訪問授權,使其根據組織使命、業務職能,來完成指定任務;
b)組織應顯式地對硬件、軟件和固件中所開發的安全功能和安全有關的信息列表授予訪問權;
c)組織要求ICS系統具有訪問安全功能和安全有關的信息列表的ICS帳戶的用戶或角色,當訪問其他系統功能時,使用非授權的帳戶或角色,并且對于這樣的功能,如果方便,審計任意對授權帳戶或角色的使用;
d)組織按運行需要而定義授權要求,并依據該要求授權網絡訪問,并在安全計劃中為這樣訪問記錄理由;
e)組織限定指定的系統管理人員,向ICS的超級用戶帳戶授權;
f)組織應禁止向組織之外的用戶授權訪問ICS;
g)ICS提供分離的過程域,以便能精細地分配用戶授權;
h) ICS在不支持權限劃分的情況下,應采取安全防護措施,對一個人擁有多種權限進行有效管理。
6.14.7 不成功的錄入嘗試(AC-7)
本項要求包括:
a) ICS應在組織規定的時間間隔內,按定義的次數,限制用戶連續無效的訪問嘗試;
b) 自動按組織定義的時間周期,鎖死帳戶,直到管理員予以釋放;
c) 當未成功嘗試超出最大次數時,延遲下一次登入執行;
d)系統自動鎖死帳戶或節點,直到不成功嘗試超出最大次數時才予以釋放;
e)系統為插入在ICS中的移動設備提供附加的保護,即在ICS用戶連續不成功登入定義次數后,凈化來自移動設備的信息。
6.14.8 會話封鎖(AC-8)
本項要求包括:
a) 用戶應在規定時間未活動或主動發出鎖定指令,則開啟會話鎖定,以防止其他人對系統進行繼續訪問;
b) 應保持會話鎖定,直到用戶使用已有的標識和鑒別規程后,重新建立訪問連接;
c) 當在具有顯示屏的設備上啟動ICS會話鎖機制時,該機制應以公共可觀察的模式放在相關聯的顯示屏上,隱藏該屏幕上以前可見的信息;
d) ICS應盡量采用會話鎖定的方式,防止其他人對特定的工作站/節點的訪問。 在ICS操作員工作站/節點不適宜使用會話鎖定的情況下,應采用其他適當的控制措施(例如,增加物理安全,人員安全和審計措施)。
6.14.9 遠程訪問(AC-9)
本項要求包括:
a) 授權、監督和控制所有對ICS的遠程訪問;
b)組織利用自動機制來監督和控制遠程訪問方式;部分ICS可能不支持遠程訪問;
c)利用密碼技術來保護遠程訪問會話的機密性和完整性,防止鑒別信息在網絡傳輸過程中被竊聽和篡改;
d)ICS通過組織定義的訪問控制點的數目,路由所有遠程訪問;
e) 組織僅迫于運行方面的要求,授權執行遠程訪問并訪問與安全有關的信息, 遠程授權訪問要在工業控制系統安全計劃中記錄其理由;
f)工業控制系統使用鑒別和加密技術保護對系統的無線訪問;
g)組織監控對工業控制系統的授權遠程訪問,包括定期掃描未授權的無線訪問點;
h) 對那些不期望使用的無線訪問,在工業控制系統部件中嵌入的內部無線網絡發揮作用或部署前,組織應關閉或取消其功能;
i)組織應禁止用戶獨自配置無線網絡;
j)組織確保用戶保護了有關遠程訪問的信息,以免造未授權的使用和信息泄露;
k)組織確保遠程訪問組織定義的安全功能和安全有關信息列表的會話,使用了附加的組織認可的安全措施,并進行了相應的審計;
l)除了特定運行需求所顯式標識的部件外,組織應斷掉工業控制系統中點對點無線網絡的能力;
m)除了特定運行需求所顯式標識的部件外,組織限制被認為是不安全的網絡協議。
6.14.10 無線訪問(AC-10)
本項要求包括:
a) 應建立無線訪問的使用限制、配置、連接要求和實施指南;
b) 在連接前對通過無線方式訪問ICS進行授權,并對其進行監控;
c) 如無必要,應關閉其中內嵌的無線聯網功能;
d) 應使用鑒別和加密手段保護對系統的無線訪問;
e) 組織監測未經授權的無線連接,包括掃描未經授權的無線接入點,對發現的未經授權的連接采取適當的措施;
f) 必要時,組織應禁止ICS組件內部嵌入式無線網絡功能;
g) 組織應禁止用戶自主配置無線網絡功能;
h) 組織應管制控制范圍內的無線網絡;
i) 應將傳輸功率降低至合理級別,確定天線定位,減少無線信號暴露的強度,降低無線信號被外部接收到的可能性;
j) 無線用戶的訪問應該使用安全授權協議來授權;
k) 無線訪問點應該被配置為具有唯一的服務設置識別器(SSID),使SSID不能廣播,并且在最小限度上過濾介質訪問控制地址(MAC地址)。
6.14.11 移動設備的訪問控制(AC-11)
本項要求包括:
a) 應建立移動設備使用規范;
b) 應授權移動設備連接到ICS應滿足組織規范要求;
c) 應監控非授權移動設備接入ICS;
d) 應強化移動設備接入ICS需求管理;
e) 應禁用ICS自動執行移動設備可執行代碼功能;
f) 應對到組織認為存在風險的區域的個人發放特殊配置的移動設備;
g) 應對到組織認為存在風險的區域的進行檢查或維護的移動設備采用領取歸還方式;
h) 組織應禁止在涉密系統中使用非涉密移動設備;
i) 組織采用全設備加密或容器加密等方式來保護移動設備信息的機密性和完整性;
j) 組織應考慮關閉不用的或不必要的I/O端口;
k) 組織應限制ICS內可讀寫、可移動設備的使用;
l) 組織應禁止ICS內使用個人所有的可移動設備;
m) 組織應禁止ICS內使用未標記的可移動設備;
n) 組織應禁止使用移動設備中的無線功能。
6.14.12 外部ICS的使用(AC-12)
本項要求包括:
a) ICS應建立外部系統的連接協議,并獲得批準,才可以與外部系統連接;
b) 外部系統正確實現了相關信息安全策略和安全計劃所要求的安全控制措施,并通過了驗證,可以訪問ICS;
c) 組織應禁止授權的個體使用外部系統來訪問工業控制系統,或處理、存儲、傳輸組織收集的信息,除非存在以下情況:
1) 可以驗證外部系統上所要求的安全控制的實現,像組織工業控制系統安全策略和安全計劃中所規約的那樣;
2) 已批準了工業控制系統與外部系統的連接,或批準了組織內實體使用外部系統進行處理的協議;
d) 組織對授權個體有關使用外部信息系統上組織控制的可移動媒介,施加一些限制。
6.14.13 對程序源代碼的訪問控制(AC-13)
本項要求包括:
a) 應制定規程管理程序、代碼和源程序庫;
b) 應限制訪問程序源代碼。
推薦文章: