<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 36323—2018信息安全技術 工業控制系統安全管理基本要求
    展開或關閉
    前??言
    前言
    引??言
    引言
    1 范圍
    1 范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 縮略語
    縮略語
    5 ICS安全管理基本框架及關鍵活動
    5.1 ICS安全管理基本框架 5.2 頂層承諾 5.3 規劃評估 5.4 資源支持 5.5 策略實施 5.6 績效評價 5.7 持續改進
    6 ICS安全管理基本控制措施
    6.1 安全控制措施分類 6.2 安全評估和授權(CA) 6.3 系統和服務獲取(SA) 6.4 人員安全(PS) 6.5 規劃(PL) 6.6 風險評估(RA) 6.7 應急規劃(CP) 6.8 物理和環境安全(PE) 6.9 配置管理(CM) 6.10 系統和信息完整性(SI) 6.11 介質保護(MP) 6.12 事件響應(IR) 6.13 意識和培訓(AT) 6.14 訪問控制(AC) 6.15 維護(MA) 6.16 審計和可核查性(AU) 6.17 標識和鑒別(IA)
    附 錄 A (資料性附錄) 不同安全級別的ICS安全管理基本要求對應表
    附 錄 A (資料性附錄) 不同安全級別的ICS安全管理基本要求對應表

    6.17 標識和鑒別(IA)

    GB/T 36323—2018信息安全技術 工業控制系統安全管理基本要求 /

    6.17.1 標識與鑒別方針策略和規程(IA-1)

    本項要求包括:

    a) 應制定并發布標識與鑒別方針策略,內容至少應包括:目的、范圍、角色、責任、管理層承諾、相關部門的協調、合規性;

    b) 應制定并發布標識與鑒別規程,以推動標識與鑒別方針策略及與相關安全控制的實施;

    c) 應定期對標識與鑒別方針策略及規程進行評審和更新。

    6.17.2 組織用戶的標識與鑒別(IA-2)

    本項要求包括:

    a) 信息系統應唯一標識和鑒別組織用戶(員工、供應商人員及訪客等)或代表該用戶的進程。

    b)對未授權帳戶的網絡訪問,使用多因子鑒別;

    c)對已授權帳戶的本地訪問,使用多因子鑒別;

    d)對未授權帳戶的本地訪問,使用多因子鑒別;

    e)對已授權帳戶的網絡訪問,使用多因子鑒別;

    f)組織應僅當與個體或特定鑒別員一起使用時,才使用組鑒別;要求在使用組鑒別機制前,要用個體鑒別機制對個體進行鑒別。

    g)對未授權帳戶的遠程訪問,使用多因子鑒別,其中一個因子要由與該ICS分離的設備提供;

    h)對未授權帳戶的本地和網絡訪問,使用口令或個人標識碼;

    i)ICS對本地訪問,使用口令或個人標識碼。

    1.1.3 設備的標識與鑒別(IA-3)

    本項要求包括:

    a) 在建立一個或多個本地、遠程、網絡連接前,應定義的特定設備和/或設備類型列表;

    b)在建立遠程網絡連接前,ICS應以密碼技術為基礎,使用設備之間的雙向鑒別來鑒別設備;

    c)在建立網絡連接前,ICS以密碼技術為基礎,使用設備之間的雙向鑒別來鑒別設備;

    d)組織針對動態地址分配,標準化動態主機控制協議(DHCP)的專用信息以及賦予設備的時間;并當把這些信息賦予一個設備時,對專用信息進行審計。

    6.17.4 標識符管理(IA-4)

    本項要求包括:

    a)應按照授權策略分配個人、組、角色或設備標識符;

    b) 應選擇用于識別個人、組、角色或設備的標識符;

    c) 將標識符分配給指定的個人、組、角色或設備;

    d) 在規定期限內,應防止對標識符的重用;

    e) 應禁用規定期限內不活動的標識符;

    f)應禁止使用ICS帳戶標識符作為用戶電子郵件帳戶的公共標識符;

    g)應要求接受用戶ID和口令的登記,應具有監督人員的授權,并在指定登記授權前由人來完成;

    h)應要求多種形式個體身份的認證,如對該登記授權給出有文件的證據,或給出文件以及生物特征的組合;

    i)應按組織規定標識用戶狀態的特征,唯一地標識用戶,以此來管理用戶標識符;

    j)ICS動態地管理標識符、屬性以及相關聯的訪問授權。

    6.17.5 鑒別管理(IA-5)

    本項要求包括:

    a)初始鑒別分發時,應驗證鑒別接收對象(個人、組、角色或設備)的身份;

    b)應確定組織規定的初始鑒別的內容;

    c)應確保鑒別對于其預期使用具有足夠強的機制;

    d)應建立和實現管理規程,覆蓋鑒別的初始分發、丟失或受損處置以及收回過程;

    e)在信息系統安裝之前應變更鑒別的默認內容;

    f)應建立鑒別的最小和最大生存時間、限制以及再用條件;

    g)應定期變更/更新鑒別;

    h)應保護鑒別內容,以防未授權泄露和更改;

    i)應要求個人采取由設備或特定安全措施來保護鑒別;

    j)當組/角色賬戶的成員發生變化時,應變更這些賬戶的鑒別;

    k) 對于基于PKI的鑒別,ICS應:

    1) 針對一個接受的可信物,通過構造一個具有狀態信息的認證路徑,來確認證書;

    2) 對對應的私鑰,執行授權訪問;

    3) 把所認證的身份映射為用戶帳戶;

    l) 組織要求接受組織定義的鑒別符類型或特定鑒別符的注冊過程,在由指定組織官員賦予注冊授權之前由人來承擔;

    m) 組織使用自動化工具來確定該鑒別符對抵御企圖揭示或損壞該鑒別符的攻擊而言是否具有充分的強度;

    n) 組織要求ICS部件供應商或制造者在交付之前,提供唯一的鑒別符或改變默認的鑒別符;

    o) 對于基于口令的鑒別,ICS應:

    1) 實施按組織就敏感情況、字符個數、大寫小寫字符和數字的混合,以及特殊字符等方面定義的需求的最小口令復雜性;

    2) 當創建新口令時,應按組織規定的密碼規則;

    3) 在口令存儲和傳輸中,對口令加密處理;

    4) 實施按組織規定的口令最大和最小生存期的限制;

    5) 實施按組織定義的生成次數,禁止口令復用;

    p) 組織保護鑒別符,使其相稱于所訪問信息的保密性和敏感性;

    q) 組織確保口令沒有被嵌入在訪問腳本中或存儲在功能鍵上;

    r) 由于存在一些在多個ICS上擁有帳戶的個體,因此組織采取規定措施,管理破壞性風險。

    6.17.6 鑒別反饋信息(IA-6)

    本項要求包括:

    a)系統在鑒別過程中應隱藏鑒別信息的反饋,以防鑒別信息可能被未授權個人利用。

    6.17.7 密碼模塊鑒別(IA-7)

    本項要求包括:

    a)系統應使用密碼模塊鑒別機制,該密碼模塊應滿足相應的法律法規、規章和標準。

    6.17.8 非組織用戶的標識與鑒別(IA-8)

    本項要求包括:

    a)信息系統應唯一標識和鑒別非組織用戶(信息系統用戶)或代表非組織用戶的進程;

    b)ICS接受并鑒別其他相關機構發布的單子標識與鑒別;

    c)ICS只接受經權威機構批準的第三方認證;

    d)組織只采用相關權威機構批準的ICS組件第三方認證。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类