<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南
    展開或關閉
    前言
    前言
    引言
    引言
    1 范圍
    1 范圍
    2 規范性引用文件
    2 規范性引用文件
    3 術語和定義
    3 術語和定義
    4 縮略語
    4 縮略語
    5 安全控制概述
    5 安全控制概述
    6 安全控制基線及其設計
    6 安全控制基線及其設計
    7 安全控制選擇與規約
    7.1 選擇與規約概述 7.2 安全控制選擇 7.3 安全控制裁剪 7.4 安全控制補充 7.5 建立安全控制決策文檔
    附錄A(資料性附錄)工業控制系統面臨的安全風險
    A.1 工業控制系統與傳統信息系統對比 A.2 信息系統安全威脅與防護措施對工業控制系統的影響 A.3 工業控制系統面臨的威脅 A.4 工業控制系統脆弱性分析
    附錄B(資料性附錄)工業控制系統安全控制列表
    B.1 規劃(PL) B.2 安全評估與授權(CA) B.3 風險評估(RA) B.4 系統與服務獲取(SA) B.5 程序管理(PM) B.6 人員安全(PS) B.7 物理與環境安全(PE) B.8 應急計劃(CP) B.9 配置管理(CM) B.10 維護(MA) B.11 系統與信息完整性(SI) B.12 介質保護(MP) B.13 事件響應(IR) B.14 教育培訓(AT) B.15 標識與鑒別(IA) B.16 訪問控制(AC) B.17 審計與問責(AU) B.18 系統與通訊保護(SC)
    附錄C(規范性附錄)工業控制系統安全控制基線
    附錄C(規范性附錄)工業控制系統安全控制基線

    B.3 風險評估(RA)

    GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南 /

    B.3 風險評估(RA)

    B.3.1 風險評估策略和規程(RA-1)

    控制:
    組織應:
    a) 制定并發布正式的風險評估策略,其中應包含目的、范圍、角色、責任、管理承諾、組織各部門間的協調以及合規性;
    b) 制定并發布正式的風險評估規程,以推動風險評估策略及與相關安全控制的實施;
    c) 按【賦值:組織定義的時間間隔】,對風險評估策略和規程進行評審和更新。
    補充指導:
    a) 期望通過該控制來有效實現風險評估族中安全控制以及安全增強的策略和規程;
    b) 該策略和規程應與相關法律、法規、政策、規章、制度、標準和指南保持一致;
    c) 風險評估策略可作為組織信息安全策略的一部分;
    d) 風險評估規程可針對一般性的安全程序予以開發,也可針對特殊ICS予以開發;
    e) 在開發配置管理策略中,組織的風險管理戰略是一個重要的因素。

    B.3.2 安全分類(RA-2)

    控制:
    組織應:
    a) 按國家法律、法規、政策和標準,對ICS進行分類;
    b) 在該ICS的安全計劃中,記錄安全分類結果(包括這樣分類的理由);
    c) 確保對該安全分類決定進行了評審,并得到授權官員的批準。
    補充指導:
    a) 安全分類描述了信息和ICS受到破壞后,喪失保密性、完整性或可用性對組織運行、組織資產和人員潛在的負面影響;
    b) 組織進行安全分類過程,作為大量組織的一項活動,涉及到首席信息官、高層信息安全官、ICS擁有者、關鍵使命擁有者等;
    c) 組織還要考慮對其它組織的負面影響;
    d) 安全分類過程支持信息資產目錄的創建,與PM-8(配置管理族:ICS構件目錄)一起, 把目錄中信息資產映射到處理、存儲和傳輸信息的系統部件。
    e) 相關安全控制: CM-8、MP-4、RA-3、SC-7。

    B.3.3 風險評估(RA-3)

    控制:
    組織應:
    a) 進行風險評估,包括對支持組織運行的信息和ICS的未授權訪問、使用、泄露、破壞、修改、毀壞,所造成損害的可能性和嚴重程度;
    b) 按【賦值:組織定義的時間間隔】,評審風險評估的結果;
    c) 按【賦值:組織定義的時間間隔】,或當標識了新的威脅和脆弱性,或出現了可能影響系統安全狀態的其它條件時,或當ICS或運行環境進行重大改變時,調整風險評估。
    補充指導:
    a) 風險評估中應主要考慮:脆弱性、威脅源,以及所規劃的或已有的安全控制,目的是為了確定在該ICS運行中,組織運行和資產、個體、其它組織和國家所具有的殘余風險程度;
    b) 風險評估中還要考慮組織運行和資產或來自外部組織的個體(例如:服務提供者,評估組織ICS的個體,外部實體)所帶來的風險;
    c) 風險評估中應遵循相關法律、法規和政策要求。
    d) 相關安全控制:RA-2、PM-9。

    B.3.4 脆弱性掃描(RA-4)

    控制:
    組織應:
    a) 按【賦值:組織定義的時間間隔】或按【賦值:組織定義的過程】,或當標識并報告了新的可能影響系統的脆弱性時,對系統和主機應用進行掃描;
    b) 依據采用的標準,使用脆弱性掃描工具和技術來:
    1) 列舉平臺、軟件缺陷和不合適的配置;
    2) 格式化和使之透明,并產生檢測列表以及相應的測試規程;
    3) 度量脆弱性影響
    c) 分析由安全控制評估所產生的脆弱性掃描報告和結果;
    d) 依據組織的風險評估,按【賦值:組織定義的響應時間】,修補脆弱性;
    e) 與【賦值:指定的組織內人員】,共享脆弱性掃描過程和安全控制評估中的信息,以助于消除在其它ICS中類似的脆弱性。
    補充指導:
    a) 關于該控制的輸入
    ICS的安全分類,可指導脆弱性掃描頻率和詳細程度。
    b) 關于實施該控制的方法
    對于定制軟件和應用的脆弱性分析,可能需要一些附加的、更詳細的特殊技術和途徑(例如:源代碼評審,源代碼分析等)。
    c) 關于掃描對象
    脆弱性掃描包括對用戶或設備是不可訪問的特定功能、端口、協議和服務,以及對不合適的配置或不正確操縱信息流的機制。
    d) 關于實施該控制所使用的工具
    組織可考慮使用兼容國家漏洞數據庫命名規則中脆弱性并使用開放的脆弱性評估語言的工具,來測試存在的脆弱性。
    e) 在ICS網絡上進行脆弱性掃描和滲透測試要確保ICS功能不受到掃描過程的負面影響;
    f) 在非ICS網絡上使用脆弱性掃描工具,也應特別小心,以確保它們沒有掃描ICS網絡;
    g) 在組織基于其特定的理由不在生產的ICS上進行脆弱性掃描的情況下,組織應按裁剪指導,使用補償控制。
    h) 相關安全控制:CA-2、CA-7、CM-4、CM-6、RA-2、RA-3、SA-11、SI-2。
    控制增強:
    a) 組織使用的脆弱性掃描工具,應具有容易調整掃描配置能力;
    b) 組織按【賦值:組織定義的時間間隔】,或當標識和報告新的脆弱性時,調整已掃描的ICS脆弱性;
    c) 組織使用可證實具有一定深度和廣度覆蓋的脆弱性掃描系統;
    d) 組織應明確ICS中的什么信息不應被泄露;
    e) 為支持更全面的掃描活動,對組織標識的ICS組件,應被賦予特定的訪問授權;
    f) 組織應使用自動化機制及時比較脆弱性掃描結果,以便確定ICS脆弱性的趨勢;
    g) 按【賦值:組織定義的時間間隔】,組織使用自動化機制來發現當前ICS中存在的未授權軟件;
    h) 組織評審歷史審計日志,確定所標識的脆弱性是否以前得以利用;
    i) 組織應進行ICS的脆弱性分析,基于脆弱性分析,執行ICS上的滲透測試,以便確定所標識的脆弱性的可利用性。
    增強補充指導:
    滲透測試的標準方法包括:
    1) 基于對該ICS的完整了解,所進行的測試前分析;
    2) 基于測試前分析,標識測試前潛在的脆弱性;

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类