B.15 標識與鑒別（IA）

B.15 標識與鑒別（IA）

B.15.1　標識與鑒別策略和規程（IA-1）

控制：
組織應：
a） 制定并發布正式的標識與鑒別策略，內容包括目的、范圍、角色、責任、管理承諾、組織實體間的關系等；
b） 制定并發布正式的標識與鑒別規程，以推動標識與鑒別方針策略及與相關安全控制的實施；
c） 按【賦值：組織定義的時間間隔］】，對標識與鑒別策略及規程進行評審和更新。
補充指導：
a） 標識與鑒別策略和規程應與相關的法律、法規、政策、策略及標準相一致；
b） 標識與鑒別策略可以包含在組織的通用信息安全策略中，也以為一般的安全程序或特殊ICS制定標識與鑒別規程。

B.15.2　組織內用戶的標識與鑒別（IA-2）

控制：
a) 組織應唯一標識和鑒別組織用戶（員工、供應商人員及訪客等）或代表該用戶的進程。
補充指導：
a） 用戶的所有訪問都要被唯一的標識和鑒別，確保用戶名具有唯一性，且專供用戶個人使用；
b） 當用戶功能可以歸為同一類（比如控制室操作員）時，用戶身份鑒別與認證可以基于角色、組或者設備；
c） 對于一些ICS，操作員及時響應很重要，身份識別與認證要求絕不能影響系統的本地緊急響應，對這些系統的訪問可以通過合適的物理安全措施來限制；
d） 對于一定的ICS，操作員的即刻交互能力是至關重要的；
e） ICS的本地緊急措施并非受到標識與鑒別需求的束縛，對這些系統的訪問可受到合適的物理安全控制的限制；
f） 在某些情況下，組織認為不適用該控制，可以在安全計劃中記錄原因，并選取必要的補償控制。例如，為了建立遠程訪問，可能需要遠程人員的人工語音鑒別，需要一些人工的動作。
g） 相關安全控制：AC-2、AC-3、IA-4、IA-5。
控制增強：
a） 對已授權帳戶的網絡訪問，使用多因子鑒別；
b） 對未授權帳戶的網絡訪問，使用多因子鑒別；
c） 對已授權帳戶的本地訪問，使用多因子鑒別；
d） 對未授權帳戶的本地訪問，使用多因子鑒別；
增強補充指導：
1) 在該ICS不支持多因子鑒別的情況下，組織應按裁剪指導，使用合適的補償控制（例如，實現物理安全措施）。
e） 對未授權帳戶的本地和網絡訪問，使用口令或個人標識碼；
f） ICS對本地訪問，使用口令或個人標識碼；
g） 組織應僅當與個體或特定鑒別員一起使用時，才使用組鑒別；要求在使用組鑒別機制前，要用個體鑒別機制對個體進行鑒別。

B.15.3　設備標識與鑒別（IA-3）

控制：
a) 在建立一個或多個本地、遠程、網絡連接前，組織應【賦值：定義的特定設備和設備類型列表】。
補充指導：
a） 要求逐一予以標識與鑒別的設備，可以按類型或按特定設備予以定義，或按組織認為合適的組合類型和設備予以定義；
b） 針對標識和組織鑒別解決方案（例如，國家標準 GB/T 28455-2012 《信息安全技術 引入可信第三方的實體鑒別及接入架構規范》等），ICS一般使用強制訪問控制（MAC）或傳輸控制協議來標識和鑒別本地網和廣域網上的設備；
c） 設備鑒別機制所要求的強度，是由ICS的安全分類來確定的；
d） 在ICS不支持設備標識與鑒別的情況下，組織應按裁剪指導，使用合適的補償控制（例如，實現物理安全措施）。
e） 相關安全控制：IA-4、IA-5。
控制增強：
a） 在建立遠程網絡連接前，ICS應以密碼技術為基礎，使用設備之間的雙向鑒別來鑒別設備；
b） 在建立網絡連接前，ICS以密碼技術為基礎，使用設備之間的雙向鑒別來鑒別設備；

B.15.4　標識符管理（IA-4）

控制：
組織應：
a） 按照授權策略分配個人、組、角色或設備標識符；
b） 選擇用于識別個人、組、角色或設備的標識符；
c） 將標識符分配給指定的個人、組、角色或設備；
d） 在【賦值：組織定義的時間間隔】內防止對標識符的重用；
e） 在【賦值：組織定義的時間間隔】內清除不活動的標識符。
補充指導：
a） 通用設備標識符，包括強制訪問控制（MAC）或互聯網協議（TCP/IP）的地址，或設備獨特的令牌標識符；
b） 管理用戶標識符，不可用于共享的ICS帳戶（例如：貴賓帳戶和匿名帳戶）；
c） 用戶標識符是ICS的一個與個體相關聯的帳戶的名字，在這樣實例中，帳戶管理活動（AC-2）更強調標識符管理；
d） 在用戶職能作為單一小組（例如，控制屋操作員）的情況下，用戶標識可以是基于角色的、基于小組的、或是基于設備的。
e） 相關安全控制：AC-2I、A-2、IA-3。
控制增強：
a） 應禁止使用ICS帳戶標識符作為用戶電子郵件帳戶的公共標識符；
b） 應要求接受用戶ID和口令的登記，應具有監督人員的授權，并在指定登記授權前由人來完成；
c） 應要求多種形式個體身份的認證，如對該登記授權給出有文件的證據，或給出文件以及生物特征的組合；
d） 應按【賦值：組織定義的方式】標識用戶狀態的特征，唯一地標識用戶，以此來管理用戶標識符；

B.15.5　鑒別符管理（IA-5）

控制：
組織應：
a） 在初始鑒別分發時驗證鑒別接收對象（個人、組、角色或設備）的身份；
b） 確定【賦值：組織定義的初始鑒別的內容】；
c） 確保鑒別對于其預期使用具有足夠強的機制；
d） 建立和實現管理規程，覆蓋鑒別的初始分發、丟失或受損處置以及收回過程；
e） 在工業控制系統安裝之前變更鑒別的默認內容；
f） 建立鑒別的最小和最大生存時間、限制以及再用條件；
g） 按【賦值：組織定義的時間間隔】變更或更新鑒別；
h） 保護鑒別內容，以防未授權泄露和更改；
i） 要求個人采取由設備或特定安全措施來保護鑒別；
j） 在組/角色賬戶的成員發生變化時變更這些賬戶的鑒別。
補充指導：
a) ICS認證設備包括：PKI證書、生物特征、口令、密鑰卡等；
b) 許多ICS設備和軟件通常采用廠商缺省認證證書以進行安裝和配裝，應及時更換。
c) 相關安全控制：AC-2、AC-3、AC-6、CM-6、IA-2、IA-4。
控制增強：
a） 對于基于PKI的鑒別，ICS應：
1) 針對一個接受的可信物，通過構造一個具有狀態信息的認證路徑，來確認證書；
2) 對對應的私鑰，執行授權訪問；
3) 把所認證的身份映射為用戶帳戶。
b） 組織要求接受【賦值：組織定義的鑒別符類型或特定鑒別符的注冊過程】，在由指定組織官員賦予注冊授權之前由人來承擔；
c） 組織使用自動化工具來確定該鑒別符對抵御企圖揭示或損壞該鑒別符的攻擊而言是否具有充分的強度；
d） 組織要求ICS部件供應商或制造者在交付之前，提供唯一的鑒別符或改變默認的鑒別符；
e） 對于基于口令的鑒別，ICS應：
1) 實施按組織就敏感情況、字符個數、大寫小寫字符和數字的混合，以及特殊字符等方面定義的需求的最小口令復雜性；
2) 當創建新口令時，實施按【賦值：組織定義的字符個數】；
3) 在口令存儲和傳輸中，對口令加密處理；
4) 實施按【賦值：組織定義的口令最大和最小生存期】的限制；
5) 實施按【賦值：組織定義的生成次數】，禁止口令復用。
f） 組織保護鑒別符，使其相稱于所訪問信息的保密性和敏感性；
g） 組織確保口令沒有被嵌入在訪問腳本中或存儲在功能鍵上；
h） 由于存在一些在多個ICS上擁有帳戶的個體，因此組織采取【賦值：組織定義的措施】，管理破壞性風險；
增強補充指導：
當一個個體在多個ICS上擁有帳戶的時候，存在以下風險：一旦一個帳戶被破壞，并且該個體是使用同樣的用戶標識符和鑒別符，那么其他帳戶也將被破壞。可選的方案包括但不限于：
1) 在所有的系統上有同樣的標識符，但鑒別符不同；
2) 在每一系統上有不同的用戶標識符號和鑒別符號；
3) 使用某種形式的單一簽名機制；
4) 在所有系統上使用某種形式的一次性口令。
i） 組織應規定對授權帳戶的網絡訪問，使用【賦值：組織定義的一次性鑒別機制】；

B.15.6　鑒別反饋（IA-6）

控制：
a) ICS應隱蔽鑒別過程期間鑒別信息的反饋，以保護該信息免遭未授權個體的利用。
補充指導：
a) 來自ICS的反饋不提供可使未授權用戶損害鑒別機制的信息。
b) 相關安全控制：PE-18。

B.15.7　密碼模塊鑒別（IA-7）

控制：
a) ICS使用滿足相關法律、法規、政策、規定、標準和指南等需求的鑒別相關的密碼模塊。
補充指導：
a) 密碼模塊應符合相關密碼管理部門規定和標準；
b) 應在認真考慮安全需要以及對系統性能的潛在結果之后，確定要使用的密碼技術。例如，組織考慮由于使用密碼技術而引入的潛在因素是否負面影響了該ICS的運行性能。
c) 相關安全控制：AC-2、IA-2、IA-4。

B.15.8　組織外用戶的標識與鑒別（IA-8）

控制：
a) ICS應逐一標識和鑒別非組織的用戶或標識和鑒別代表非組織用戶所執行的過程。
補充指導：
a) 非組織用戶是組織內用戶以外的ICS用戶。非組織用戶訪問ICS的身份驗證需要保護專有或隱私相關的信息。組織使用風險評估方法，以確定身份驗證的需求，并考慮可擴展性、實用性和安全性的平衡。
b) 相關安全控制：AC-2、IA-2、IA-4、MA-4、RA-3、SA-12。
控制增強：
a） ICS接受并鑒別其他相關機構發布的單子標識與鑒別；
b） ICS只接受經權威機構批準的第三方認證；