B.11 系統與信息完整性（SI）

B.11 系統與信息完整性（SI）

B.11.1　系統與信息完整性策略和規程（SI-1）

控制：
組織應：
a） 制定并發布正式的系統與信息完整性策略，內容包括目的、范圍、角色、責任、管理承諾、組織實體之間的協調關系以及依從關系等。
b） 制定并發布正式的系統與信息完整性規程，以推動該策略及相關安全控制的實施；
c） 按【賦值：組織定義的時間間隔】，對系統與信息完整性策略及規程進行評審和更新。
補充指導：
a） 系統與信息完整性策略和章程應與相關法律、法規、規章、制度及標準相一致。
b） 系統與信息完整性策略可以包含在組織的通用信息安全策略中，需要時，可以為一般的安全程序或特殊ICS制定系統與信息完整性策略和規程。

B.11.2　缺陷修復（SI-2）

控制：
組織應：
a) 對系統中存在的缺陷進行標識、報告并進行糾正；
b) 在缺陷相關的軟件和固件升級包在安裝前，驗證其有效性并評估可能帶來的后果；
c) 在軟件和固件升級包發布后，在適當的時間進行升級并明確升級和維護頻率；
d) 將缺陷修復并入組織的配置管理過程之中。
補充指導：
a） 識別軟件缺陷對ICS的影響，及時安裝最新發布的安全相關補丁和服務包；
b） 安裝補丁應該格外小心，一方面補丁可修補系統脆弱性，但同時也可能引入更大的風險；另一方面，許多ICS使用供應商已不再支持舊版本的操作系統，因此提供的修補程序可能不適用。在更新補丁之前一定要在測試系統中經過仔細的測試，明確可能導致的副作用，并制定詳細的回退計劃。
c） 補丁機制通常都是自動的，在ICS中，如有必要，應將補丁安裝安排在停機的時候進行。
d） 相關安全控制：CA-2， CA-7， CM-3，CM-5， CM-8， MA-2， IR-4， RA-5， SA-10， SA-11， SI-11。
控制增強：
a) 統一管理缺陷修補程序和自動化升級程序；
增強補充指導：
1) 在組織不集中管理弱點修補和自動化更新的情況下，組織按一般的裁剪指導，使用非自動化機制或規程作為補償控制。
b) 根據【賦值：組織定義的頻度】采用自動化機制，根據ICS及組件的狀態實施缺陷修復；
增強補充指導：
1) 在ICS不支持使用自動化機制進行并報告有關弱點修補狀態的情況下，組織應按裁剪指導，使用非自動化機制或規程作為補償控制。
c) 根據【賦值：組織定義的基準】來度量缺陷識別與缺陷修復間的關系；

B.11.3　惡意代碼防護（SI-3）

控制：
組織應：
a) 在ICS網絡中建立惡意代碼防護機制，以檢測和清除惡意代碼；
b) 按照【賦值：組織定義的管理政策和程序】，更新惡意代碼防護機制；
c) 按照【賦值：組織定義的安全策略】，按【賦值：組織定義的時間間隔】掃描和實時檢測惡意代碼；
d) 關注惡意檢測和清除過程中的誤操作，以及可能對ICS運行造成的影響。
補充指導：
a） 惡意代碼防護軟件版本和惡意代碼庫要及時更新；
b） 惡意代碼防護軟件和惡意代碼庫在安裝前應經過測試；
c） 惡意代碼通常由以下幾種方式傳播：通過電子郵件、電子郵件附件、網絡訪問、可移動介質，或者通過利用系統的脆弱性；
d） 在惡意代碼檢測和清除過程中，對系統的可用性可能會產生潛在的影響，應考慮接受誤診誤測。
e） 相關安全控制：CM-3， MP-2， SA-4， SA-8， SA-12， SA-13，SC-7， SC-26， SC-44， SI-2， SI-4， SI-7。
控制增強：
a） 集中管理惡意代碼防護機制；
增強補充指導：
1) 在認真考慮并驗證惡意代碼防范機制對ICS運行性能沒有負面影響后，才確定使用。
b） 自動升級惡意代碼防護機制；
增強補充指導：
1) 在該ICS不支持使用自動化機制來更新惡意代碼防范機制的情況下，組織應按裁剪指導，使用非自動化機制或規程作為補償控制。
c） 防止非特權用戶繞過惡意代碼保護功能；
d） 組織應限制便攜式設備在ICS中的使用；

B.11.4　系統監控（SI-4）

控制：
組織應：
a) 監控ICS運行，及時發現可能受到的攻擊；
b) 標識對ICS的非授權訪問；
c) 部署監控設備，收集【賦值：組織定義的必要信息】，跟蹤組織感興趣的行為；
d) 根據風險提示，方便提高監控級別；
e) 根據法律、法規和政策要求調整系統監控。
補充指導：
a) 系統監控包括外部和內部監控，外部監控是指對系統邊界發生事件的監控，內部監控是指對系統內部發生事件的監控；
b) 系統監測能力是通過各種工具和系統來實現，包括IDS/IPS、惡意代碼監控軟件、審計軟件和網絡監控軟件等；
c) 監控工具和系統通常部署在系統邊界或靠近核心系統；
d) 監控系統收集信息的粒度由組織監控目標和系統能力來決定的；
e) 組織應確保使用不對ICS運行產生負面影響的監視工具和技術。
f) 相關安全控制：AC-3， AC-4， AC-8， AC-17， AU-2， AU-6， AU-7， AU-9，AU-12， CA-7， IR-4， PE-3， RA-5， SC-7。
控制增強：
a) 組織應將獨立的入侵檢測工具通過通用協議整合到組織層面的IDS中；
b) 組織應采用自動化工具來支持事件的實時分析；
增強補充指導：
1) 在ICS不支持使用自動化機制來支持實時事件分析的情況下，組織應按裁剪指導，使用非自動化機制或規程作為補償控制。
c) 組織應將入侵檢測工具與訪問控制、流量控制等機制整合，以快速響應攻擊；
d) 系統應監控進出的非正常和未授權通信；
e) 系統應根據【賦值：組織定義的顯式或潛在的威脅】進行實時報警；
f) 系統應具有防止非授權用戶繞開入侵檢測/防御系統的能力；
增強補充指導：
1) 在ICS不具備非特權用戶規避入侵檢測和預防能力的情況下，組織應按裁剪指導，使用合適的補償控制（例如，強審計）。
g) 當【賦值：組織定義的可疑事件】發生時，系統應能夠實時通知設置的干系人；
h) 組織應保護對入侵監測工具所獲得的信息的未授權訪問、修改和刪除；
i) 組織應根據定義的周期測試和演練入侵檢測工具和系統；
j) 組織應規定：加密流量是系統監控工具可見的；
k) 組織應分析邊界通信流量，必要時，分析內部特定點的通信流量，以發現可能存在的異常；
l) 組織應采用自動化機制，在發生定義的不正常的活動與安全影響時，提醒安全人員；
m) 組織應分析通信流量與事件間的關系，并根據分析結果調整監控設備，以降低誤報和漏報率；

B.11.5　安全報警（SI-5）

控制：
組織應：
a) 接收外部組織持續的信息安全報警、警告和安全指令；
b) 必要時發布內部信息安全報警、警告和安全指令；
c) 向【賦值：組織定義的干系人】推送信息安全報警、警告和安全指令；
d) 按照既定的時間框架實現安全指令。
補充指導：
a) 安全報警和安全指令由國家互聯網應急響應中心（CNCERT/CC）等機構發布；
b) 由于這些安全報警和安全指令可能對組織ICS產生一定的影響，遵守這些報警和指令，實施相應的防護是必須的。
c) 相關安全控制：SI-2。
控制增強：

B.11.6　安全功能驗證（SI-6）

控制：
組織應：
a) 驗證在異常發生時，ICS按照定義的動作實現了準確的安全功能；
b) 在系統啟動或重啟時實施安全驗證或者按【賦值：組織定義的時間間隔】實施安全驗證；
c) 將失敗的測試情況通知相關人員。
補充指導：
a) 安全功能驗證適應于所有的安全功能；
b) 對于那些不能夠執行自動化測試的安全功能，組織可以實現補償安全控制，或顯式地接受不需要執行驗證的風險；
c) 一般地，不建議依據標識的異常就宕機或重啟動ICS。
d) 相關安全控制：CA-7， CM-6。
控制增強：
a) 系統應提供自動安全驗證失敗通知功能；
b) 系統應提供自動安全驗證支持功能；

B.11.7　軟件和信息完整性（SI-7）

控制：
a) 組織應檢測與保護軟件和信息，以防止對軟件和信息未經授權的更改。
補充指導：
a） 對ICS采用完整性校驗應用軟件，以查找信息篡改、錯誤和刪除的跡象；
b） 采用軟件工程實踐中現成的通用完整性機制，如奇偶檢驗、循環冗余檢驗、散列加密等；
c） 采用工具自動監控完整性信息；
d） 在檢測到完整性受到破壞后具有恢復的措施；
e） 組織應確保使用的完整性驗證應用沒有負面影響ICS的運行性能。
f） 相關安全控制：SA-12， SC-8， SC-13， SI-3。
控制增強：
a) 組織應按【賦值：組織定義的頻度】重新評估軟件和信息的完整性；
b) 組織應提供自動化機制，在軟件和信息完整性異常時通知相關負責人；
增強補充指導：
1) 在組織不使用自動化工具來通告完整性不適用的情況下，組織應按裁剪指導，使用非自動化機制或規程作為補償控制。
c) 組織應集中管理完整性驗證工具；

B.11.8　輸入驗證（SI-8）

控制：
a) 組織應驗證授權人員輸入信息的有效性。
補充指導：
a) 對輸入信息進行語法和語義檢查，包括字符集、長度、數值范圍和可接受的值等；
b) 通過檢查防止非法命令被有意/無意地輸入到系統，造成系統運行異常。
c) 相關安全控制：CM-3、CM-5。
控制增強：
a) 提供手動重寫機制用于輸入驗證，確保該功能僅用于授權人員，并對該功能進行審計；
b) 確保按【賦值：組織定義的時間間隔】對輸入驗證錯誤的審查；
c) 在收到無效輸入時，確保ICS按照預定的方式運行；
d) 對無效輸入的響應不應該影響正常運行時序；

B.11.9　錯誤處理（SI-9）

控制：
ICS應：
a) 確定潛在的安全相關錯誤條件；
b) 在錯誤日志中產生足以用于糾錯的錯誤信息；
c) 僅向授權人員顯示錯誤信息。
補充指導：
a) 組織應仔細考慮錯誤信息的結構和內容；
b) 在組織策略和運行需求的指導下，錯誤信息的內容可被系統標識和處理；
c) 敏感信息，如帳號、密碼等不應出現在錯誤日志中。
d) 相關安全控制：AU-2， AU-3。

B.11.10　信息處理和留存（SI-10）

控制：
a) 組織應根據可相關法律、法規、規章、制度、標準以及運行要求，對ICS統的輸出信息進行處理和留存。
補充指導：
a） 信息處理和留存應涵蓋信息的全生命周期。
b） 相關安全控制：AC-16， AU-5， AU-11， MP-2， MP-4。

B.11.11　可預見失效預防（SI-11）

控制：
組織應：
a) 確定在特定運行環境中信息組件的平均故障時間；
b) 提供可替代的工業控制系統組件、對組件進行激活和建立主備切換的機制。
補充指導：
a） 雖然平均故障時間是可靠性問題，本控制關注提供安全功能的特定系統組件；
b） 主備切換應不影響系統的可靠性、穩定性和安全性；
c） 除切換期間或維護原因，備用系統應一直可用。
d） 相關安全控制：CP-2， CP-10， MA-6。
控制增強：
a) 組織應在不遲于平均故障時間內，或【賦值：組織定義的時間間隔】內，實現主備組件的切換；
b) 組織應禁止在無監督的情況下實施切換；
c) 組織應在定義的時間間隔內手動完成主備組件的切換；

B.11.12　輸出信息過濾（SI-12）

控制：
a）組織應確認軟件和應用輸出的信息與期望的內容相吻合。
補充指導：
a) 重點是檢測無關的內容，防止多余的內容被顯示。
b) 相關安全控制：SI-3， SI-4。

B.11.13　內存防護（SI-13）

控制：
a) ICS應執行安全保護措施，以防代碼在內存中進行未授權的執行。
補充指導：
a) 部分攻擊行為專注于非執行區域內存攻擊；內存防護的安全保障措施包括，數據執行預防和地址空間布局隨機化處理。
b) 相關安全控制：SC-3。

B.11.14　故障安全程序(SI-14）

控制：
a）組織應定義ICS發生故障時的安全處理程序。
補充指導：
a) 故障條件包括，關鍵系統組件之間的通信損失，系統組件和操作設備之間的通信故障等。
b) 故障安全程序包括，提醒操作人員，并提供后續步驟的具體指令（什么也不做，恢復系統設置，關閉程序，重新啟動系統，或與指定的人員聯系等）。
c) 相關安全控制：CP-12， CP-13， SC-24， SI-13。

B.11.15　入侵檢測和防護(SI-15）

控制：
a）組織應在ICS安全建設方案中考慮部署入侵檢測和防護系統（IDS/IPS）。
補充指導：
a) 部署IDS/IPS產品應不影響ICS正常運行。
b) 相關安全控制：PL-2。