B.16 訪問控制（AC）

B.16 訪問控制（AC）

B.16.1　訪問控制策略和規程（AC-1）

控制：
組織應：
a） 制定并發布正式的訪問控制策略，內容包括目的、范圍、角色、責任、管理承諾、組織實體間的協調關系以及依從關系等；
b） 制定并發布正式的訪問控制章程，以推動訪問控制方針策略及與相關安全控制的實施；
c） 按【賦值：組織定義的時間間隔】，對訪問控制策略及規程進行評審和更新。
補充指導：
a） 訪問控制策略和章程應與相關的法律、法規、規章、制度、策略及標準相一致；
b） 訪問控制策略可以包含在組織的通用信息安全策略中，也可為一般的安全程序或特殊ICS制定訪問控制規程。

B.16.2　賬戶管理（AC-2）

控制：
a) 組織應管理ICS賬戶，包括建立、激活和修改、審核、失效和刪除賬戶；
b) 組織應按【賦值：組織定義的時間間隔】審核ICS賬戶。
補充指導：
a） 賬戶管理包括賬戶類型的識別（個人、組、系統），組成員條件的確定和相關授權的分配；
b） 賬戶類型可以是基于角色、基于設備、基于屬性等；
c） 應識別ICS的授權用戶和特定的訪問控制權利；
d） 應明確地授權和監督客人和匿名賬戶的使用；
e） ICS使用者或用戶屬性發生變化時，應通知賬戶管理人；
f） 在為物理訪問ICS（例如，工作站，硬件部件，場站設備）預先定義了一些特權帳號的情況下，或在ICS不支持帳號管理（例如，一些遠程終端單元，基站）的情況下，組織按一般的裁減指導，使用合適的補償控制（例如，提供增強的物理安全、人員管理、入侵檢測和審計措施）；
g） 應要求產品或設備供應商告知系統存在的默認賬戶和口令；
h） 應刪除、禁用或對默認賬戶提供安全維護，嚴格限制默認賬戶的訪問權限，重命名系統默認賬戶，修改默認賬戶的默認口令。
i） 相關安全控制：AC-3, AC-4, AC-5, AC-6, AC-10, AC-17, AC-19, AC-20, AU-9, IA-2, IA-4, IA-5, IA-8, CM-5,CM-6, CM-11, MA-3, MA-4, MA-5, PL-4, SC-13。
控制增強：
a） 應使用自動機制來支持對ICS賬戶的管理。對于某些ICS部件（如現場設備），賬戶管理的自動機制不可用的情況下，組織按裁減指導，使用非自動化機制或規程作為一個補償控制；
b） 在規定的時間周期后應及時刪除臨時的和非常時期的賬戶；
c） 在規定的時間周期后及時刪除非活動的賬戶；

B.16.3　強制訪問控制（AC-3）

控制：
a) ICS應根據應用策略執行指定的系統訪問控制授權。
補充指導：
a） 組織應采用訪問控制策略（如：基于身份的策略、基于角色的策略、基于規則的策略）和相關訪問控制機制（如：訪問控制列表、訪問控制許可、密碼技術）實現ICS用戶與對象（包括設備、文件、程序、進程、域）間的訪問控制；
b） 為提供更佳的安全，除在ICS層面實現訪問控制外，必要時還應在應用層面實現強制訪問控制；
c） 針對所有主體和客體，應實施基于角色的訪問控制策略；
d） 針對ICS范圍內屬性相同的主體和客體，執行統一策略；
e） 應限制將信息傳遞給未授權的主體和客體；
f） 應限制將權限授予給未授權的主體和客體；
g） 應限制對主體、客體、工業控制系統或其組件安全屬性的變更；
h） 應限制對訪問控制策略的更改；
i） 強制訪問控制機制不應對ICS正常運行產生不利影響。
j） 相關安全控制： AC-2, AC-4, AC-5, AC-6, AC-16, AC-17, AC-18, AC-19, AC-20, AC-21, AC-22, AU-9, CM-5, CM-6, CM-11, MA-3, MA-4, MA-5, PE-3。
控制增強：
a） 基于【賦值：組織定義的權利要求】的組織策略和規程，執行二元訪問授權；
b） 在【賦值：組織規定的用戶集和資源集】上，執行【賦值：組織定義的非自主訪問控制策略】；
c） ICS執行自主訪問控制（DAC）策略；
d） 除了安全狀態外，應禁止ICS訪問【賦值：組織規定的、與安全有關的信息】；

B.16.4　信息流強制訪問控制（AC-4）

控制：
a) ICS應按應用策略，執行控制系統中的信息流和系統間的信息流授權。
補充指導：
a) 信息流控制規定了信息在系統內和系統間流轉路徑；
b) 信息流控制策略和執行機制通常采用制定源和目的方式；
c) 信息流控制通常基于信息和信息路徑的特征；
d) 該控制指導配置其他安全控制的授權。
e) 相關安全控制：AC-3, AC-17, AC-19, AC-21, CM-6, CM-7, SA-8, SC-2,SC-5, SC-7, SC-18。
控制增強：
a） ICS應使用信息對象、源對象、目的對象等顯式的安全屬性，作為流控制決策的基礎，執行信息流控制；
b） ICS應使用受保護的過程域，作為流控制決策的基礎，執行信息流控制；
c） ICS應基于特定策略，執行動態的系統信息流控制；
d） 防止來自旁路的內容檢測機制的加密數據；
e） 執行【賦值：組織定義的在其它數據類型】中嵌入數據類型的限制；
f） 執行元數據上的信息流控制；
g） 使用硬件機制，執行【賦值：組織定義的信息流】控制；
h） 使用【賦值：組織定義的安全策略】，執行信息流控制；
增強補充指導：
1) 【賦值：組織定義的安全策略過濾器】，應包括：欺詐詞過濾器、文件類型檢測過濾器、結構化數據過濾器、非結構化數據過濾器、元數據內容過濾器、隱藏內容過濾器等；
2) 結構化數據可被應用和個體予以理解。
i） 當ICS不能做出信息流控制決策時，系統使用人對【賦值：組織定義的安全策略過濾器】進行評審；
j） 應為授權管理員提供了一種使用【賦值：組織定義的安全控制過濾器】的能力；
k） 應為授權管理員提供了配置【賦值：組織定義的安全控制過濾器】的能力，以便支持不同安全策略；
l） 在不同安全域間傳送信息時，ICS應按數據類型的規約和用法，標識信息流；
m） 在不同安全域間傳送信息時，ICS應把信息分解為與策略有關的一些子部分；
n） 在不同安全域間傳送信息時，ICS應把數據結構和內容限制為【賦值：組織定義的安全策略】需求的策略過濾器；
增強補充指導：
1) 限制文件長度，限制允許的枚舉，限制字符集，限制模式以及其它數據對象，這樣可以減少潛在惡意的范圍，減少不被許可的內容。限制的例子包括但不限于：字符數據域僅包含可打印的ASCII；字符數據域僅包含字母、數字；字符數據域不包含特定字符；基于【賦值：組織定義的安全策略】，執行域的最大長度和文件長度；
o） 在不同安全域間傳送信息時，ICS應按安全策略檢測不被許可的信息，并阻止傳輸這些信息。
增強補充指導：
1) 支持這一增強的措施有：檢測所有傳輸的信息是否是惡意的；針對傳輸的信息，實現特定詞列表搜索；對元數據（例如：安全屬性）應用以上同樣的保護措施。
p） ICS執行互連系統上信息的安全策略；
增強補充指導：
1) 在不同安全策略的互連系統間傳輸信息，可能存在破壞安全策略的風險。由于安全策略的破壞不可能絕對地予以阻止，因此信息擁有者所提出的策略指導往往是在互連系統的策略增強點上予以實現。
2) 當需要時，特定體系結構方案是強制的，以便減少可能沒被發現的脆弱性。例如，體系結構方案包括：禁止在互連系統之間信息傳輸（即：僅實現訪問，單向傳輸機制）；使用硬件機制來執行單一信息流決策；實現完整測試、再分等機制，以便重新賦予安全屬性以及相關聯的安全標記。

B.16.5　職責分離（AC-5）

控制：
組織應：
a) 在必要時，分離個體的職責，以便防止惡意活動；
b) 建立職責分離文檔；
c) 通過ICS訪問授權，實現分離的職責。
補充指導：
a） 根據需要建立適當的職責分離來消除在個人職責方面的利益沖突。
b） 限制和控制特殊權限的分配和使用，根據用戶的角色分配權限，實現用戶的權限分離。如實現管理用戶、操作系統特權用戶的權限分離。
c） 某些情況下，ICS不合適或不支持實施職責分離，應記錄不實施的原因，并選擇使用合適的補償控制（例如，提供增強的人員安全和審計）。
d） 組織認真考慮單個個體執行多重關鍵角色的合適性。
e） 相關安全控制：AC-3、PL-2。

B.16.6　最小授權（AC-6）

控制：
a) 組織應使用最小授權概念，只允許被授權的用戶（和代表用戶的過程）對完成所賦予的任務是必要的且符合組織使命和業務的功能進行訪問。
補充指導：
a） 針對特定的職責和ICS（包括特定的協議、端口和服務），利用最小特權的概念，依照必要的風險評估來充分地降低運行、資產和個人的風險；
b） 該控制定義的訪問授權，是由AC-3實現的；
c） 組織依據風險評估，針對特定的職責和工業控制系統，使用最小授權這一概念，目的是為了準確地緩解組織運行和資產、個體其他組織和國家的風險；
d） 僅授予管理用戶所需的最小權限；
e） 在ICS不支持特權區分的情況下，組織應按裁減指導，選擇使用合適的補償控制（例如，提供增強的人員安全和審計）；
f） 組織應認真考慮單個個體執行多重關鍵特權的合適性。
g） 相關安全控制：AC-2、AC-3、AC-5、CM-6、PL-2。
控制增強：
a） 組織應顯式地對【賦值：組織定義的安全功能】（硬件、軟件和固件中所開發的安全功能）和安全有關的信息列表授予訪問權。
增強補充指導：
1) 安全功能的例子有：建立系統帳戶，配置訪問授權（即允許，特權），設置要審計的事件以及設置入侵檢測參數。
2) 顯式地被授權的人員，例如有：安全管理員、系統和網絡管理員、系統安全官員、系統維護人員、系統程序設計人員和其它被賦予特權的用戶。
b） 組織要求系統具有訪問【賦值：組織定義安全功能和安全有關的信息列表】的ICS帳戶的用戶或角色，當訪問其它系統功能時，使用非授權的帳戶或角色，并且對于這樣的功能，如果方便的話，審計任意對授權帳戶或角色的使用。
c） 組織按【賦值：運行需要而定義的授權要求】，授權網絡訪問，并在安全計劃中為這樣訪問記錄理由。
d） ICS提供分離的過程域，以便能精細地分配用戶授權。
e） 組織限定指定的系統管理人員，向ICS的超級用戶帳戶授權。
增強補充指導：
1) 超級用戶帳戶一般被描述為市場上不同類型現成操作系統的“根”或“管理員”。
2) 限制系統授權的例子有：在配置組織的ICS時，對于那些日常工作的用戶就不授予訪問超級用戶帳戶的權利。
3) 在這一增強控制中的應用中，組織可以區分為本地ICS帳戶所賦予的權利和為域帳戶所賦予的權利。其中域帳戶是由組織提供的，從而可仍然能控制系統針對關鍵安全參數的配置，以及為了充分緩解風險所必要的其他配置.。
f） 組織應禁止向組織之外的用戶授權訪問ICS。
B.16.7　失敗登錄控制（AC-7）
控制：
a) ICS應在【賦值：組織定義的時間周期】內，按【賦值：組織定義的次數】，限制用戶連續無效的訪問嘗試；
b) 自動按【賦值：組織定義的時間周期】，鎖死帳戶，直到管理員予以釋放；
c) 當未成功嘗試超出最大次數時，依據【賦值：組織定義的延遲算法】， 延遲下一次登入執行。
補充指導：
a） 由于可能存在服務拒絕，因此在【賦值：組織定義的時間周期】后，自動鎖死通常是臨時的，并可能自動釋放；
b） 如果要選擇延遲算法，那么組織應基于部件的能力，為不同的ICS選擇使用不同的算法；
c） 對不成功登入嘗試的響應，可以通過系統或通過應用層予以實現；
d） 某些情況下，ICS不支持帳號、節點鎖定、延遲登錄，或存在重大的負面性能影響，組織應按裁減指導，選擇使用合適的補償控制（例如，建立日志或記錄所有不成功的登錄嘗試，當組織定義的數個連續的無效訪問嘗試予以執行時，通過報警或其它手段，警示ICS的安全人員）。
e） 相關安全控制：MP-5, MP-6, SC-13.。
控制增強：
a） 系統自動鎖死帳戶或節點，直到不成功嘗試超出最大次數時才予以釋放；

B.16.8　系統使用提示（AC-8）

控制：
a) 設置鑒別警示信息，在允許用戶訪問前，顯示經過批準的、校準過的通告信息，并保持在屏幕上，直到用戶采取了明確的行動。
補充指導：
a） 顯示只有授權的用戶才能訪問計算機的一般性的告警通知；
b） 描述未授權訪問可能導致的后果。
c） 在ICS不支持系統使用提示的情況下，組織應按裁減指導，使用合適的補償控制（例如，在ICS設施上公布物理通告）。
d） 相關安全控制：PL-2。

B.16.9　以前訪問提示（AC-9）

控制：
a) ICS應通知成功登入（訪問）的用戶，以及最后一次登入的日期和時間。
補充指導：
a) 期望該控制覆蓋兩個方面：傳統的系統登入以及以其它類型的結構化配置（例如，面向服務的體系結構）而出現的對ICS的一般性訪問。
b) 在該ICS不支持以前訪問提示的情況下，組織按裁減指導，使用合適的補償控制。
控制增強：
a） ICS通知成功登入/訪問的用戶，以及自最后一次成功登入/訪問以來未成功登入/訪問嘗試的次數；
b） ICS通知在【賦值：組織定義的時間周期】內，選擇：成功登入/訪問；未成功登入／訪問的嘗試的用戶和次數；

B.16.10　并發會話控制（AC-10）

控制：
a) ICS按【賦值：組織定義的當前會話數】，限制每一系統帳戶的當前會話數量。
補充指導：
a） 對于整個ICS的帳戶，組織可通過帳戶類型或帳戶組合，定義當前最大會話數量；
b） 該控制強調了對一個給定ICS帳戶的當前會話，并沒有強調單個用戶通過多系統帳戶的當前會話。
c） 在ICS不支持并發會話控制的情況下，組織應按裁減指導，使用合適的補償控制（例如，提供更強的審計措施）。
d） 相關安全控制：PL-2。

B.16.11　會話鎖定（AC-11）

控制：
a） ICS應在【賦值：組織定義的不活動時間周期】后，或接受的用戶請求，通過會話鎖，禁止對系統進一步訪問；
b） 應保持會話鎖，直到用戶通過標識和鑒別規程，重新建立訪問。
補充指導：
a) 會話鎖定是當用戶停止工作，離開ICS所采取的一種臨時措施，但并不希望中斷會話；ICS使用會話鎖定以防止訪問已規約的工作站或節點；
b) 組織可以在操作系統層或應用層實現這會話鎖；
c) 會話鎖定不能替代斷開系統登入；
d) ICS在指定的工作站和節點所【賦值：定義的時間段】后，自動激活會話鎖定；
e) 在某些情況中，不建議為ICS操作員的工作站/節點設立會話鎖定（例如，當在緊急情況中需要操作員即可予以響應的話）；
f) 在ICS不支持會話鎖定的情況下，組織按裁減指導，使用合適的補償控制（例如，提供更強的物理安全、人員安全以及審計措施）。
g) 相關安全控制：AC-7、PL-2。
控制增強：

B.16.12　會話終止（AC-12）

控制：
a) 在【賦值：組織定義的條件或需要終止會話的事件】觸發時自動終止用戶會話。
補充指導：
a) 該控制終止用戶端發起的邏輯會話，而SC-10終止物理會話，如：網絡連接；
b) 會話終止與用戶的邏輯會話相關的所有進程，除非是由用戶（即會話所有者）在會話結束后繼續運行的特定進程；
c) 需要自動終止會話的條件或事件包括：組織定義的用戶活動期間，特定類型的事件，限制使用時間等。
d) 相關安全控制：SC-10。
控制增強：
a) ICS應提供用戶端發起會話的退出能力，無論是否認證后獲得【賦值：組織定義的信息資源】；

B.16.13　未標識鑒別的許可行為（AC-13）

控制：
組織應：
a) 在ICS內設置未標識鑒別用戶的特定行為動作；
b) 在ICS安全規程中記錄并說明不需要進行標識鑒別用戶動作的原因。
補充指導：
a) 該控制主要用于某些特定情況下，不需進行標識和鑒別即可操作ICS；
b) 組織應允許有限數量的不需要進行標識和鑒別的操作；
c) 組織也可以標注出那些通常需要標識和鑒別，在緊急情況下，可以繞過標識和鑒別的行為；
d) 相關控制：CP-2、IA-2。
控制增強：

B.16.14　遠程訪問（AC-14）

控制：
a) 組織應授權、監督和控制所有對ICS的遠程訪問。
補充指導：
a） 只有在必要時，并經過批準和認證的情況下才可以進行遠程訪問；
b） 遠程訪問要采取多因素認證；
c） 在ICS沒有實現這一控制的任何或所有部件的情況下，組織按裁減指導，使用其它機制或規程作為一個補償控制。
d） 相關安全控制：AC-2, AC-3, AC-18, AC-19, AC-20, CA-3, CA-7, CM-8,IA-2, IA-3, IA-8, MA-4, PE-17, PL-4, SC-10, SI-4。
控制增強：
a） 組織利用自動機制來監督和控制遠程訪問方式；部分ICS可能不支持遠程訪問；
增強補充指導：
1) 在ICS不支持使用自動化機制來監控遠程訪問的情況下，組織按裁減指導，使用非自動化機制或規程作為補償控制。
b） 利用密碼技術來保護遠程訪問會話的機密性和完整性，防止鑒別信息在網絡傳輸過程中被竊聽和篡改；
增強補充指導：
1) 相關密碼技術的采用絕對不能影響ICS正常運行；
2) ICS的安全目的通常按可用性、完整性和保密性這一次序的優先級。在認真考慮安全需要以及有關系統性能的潛在結果的基礎上，確定要使用的密碼技術；
3) 在ICS不支持使用密碼機制來保護遠程會話保密性和完整性的的情況下，或由于對安全（safety）、性能或可靠性具有重大的負面影響，或ICS部件不能使用密碼機制的情況下，組織按裁減指導，使用合適的補償控制（例如，為遠程會話提供更強的審計，或限制關鍵人員遠程訪問特權）。
c） ICS通過【賦值：組織定義的訪問控制點的數目】，路由所有遠程訪問；
d） 組織僅迫于運行方面的要求,授權執行遠程訪問并訪問與安全有關的信息, 遠程授權訪問要在工業控制系統安全計劃中記錄其理由；
e） 工業控制系統使用鑒別和加密技術保護對系統的無線訪問；
f） 組織監控對工業控制系統的授權遠程訪問，包括按【賦值：組織定義的時間間隔】，掃描未授權的無線訪問點；
g） 對那些不期望使用的無線訪問，在工業控制系統部件中嵌入的內部無線網絡發揮作用或部署前，組織應關閉或取消其功能；
h） 組織應禁止用戶獨自配置無線網絡；
i） 組織確保用戶保護了有關遠程訪問的信息，以免造未授權的使用和信息泄露；
j） 組織確保遠程訪問【賦值：組織定義的安全功能和安全有關信息的列表】的會話，使用了附加的【賦值：組織定義的安全措施】，并進行了相應的審計；
k） 除了特定運行需求所顯式標識的部件外，組織應斷掉工業控制系統中點對點無線網絡的能力；

B.16.15　無線訪問（AC-15）

控制：
組織應：
a) 建立無線訪問使用規范；
b) 監控對ICS的無線訪問；
c) 強化對無線訪問需求管理，如非必須，關閉無線訪問。
補充指導：
a) 無線技術包括但不限于：802.11x、藍牙、微波等；
b) 無線網絡使用提供憑證保護和相互驗證等功能協議，如EAP/TLS、PEAP等；
c) 某些情況下，無線信號可能輻射到組織控制以外區域。
d) 相關安全控制：AC-2、AC-3、CM-8、IA-2、PL-4、SI-4。
控制增強：
a) 使用基于【選擇：用戶和/或設備】的認證和加密技術保護無線接入ICS；
b) 組織監測未經授權的無線連接，包括掃描未經授權的無線接入點，對發現的未經授權的連接采取適當的措施；
c) 必要時，組織應禁止ICS組件內部嵌入式無線網絡功能；
d) 組織應禁止用戶自主配置無線網絡功能；

B.16.16　移動設備的訪問控制（AC-16）

控制：
組織應：
a) 建立移動設備使用規范；
b) 授權移動設備連接到ICS應滿足組織規范要求；
c) 監控非授權移動設備接入ICS；
d) 強化移動設備接入ICS需求管理；
e) 禁用ICS自動執行移動設備可執行代碼功能；
f) 對到組織認為存在風險的區域的個人發放特殊配置的移動設備；
g) 對到組織認為存在風險的區域的進行檢查或維護的移動設備采用領取歸還方式。
補充指導：
a) 移動設備包括但不限于：移動硬盤、USB設備、筆記本電腦、智能手機等；
b) 組織控制的移動設備包括：組織內部設備，組織有權要求提供特定安全要求的設備；
c) 移動設備的使用規范包括：配置管理、認證和授權、實施強制性保護軟件、掃描設備的惡意代碼、更新防病毒軟件、掃描關鍵軟件更新和修補程序、進行操作系統和其他常駐軟件完整性檢查、禁用不必要的硬件等；
d) 組織移動設備帶出和返還策略包括：確定關注點、定義設備所需配置、帶出前檢查和返還后檢查等；
e) 在ICS沒有實現這一控制的任何或所有部件的情況下，組織按裁減指導，使用其它機制或規程作為補償控制。
f) 相關控制包括：AC-3, AC-7, AC-18, AC-20, CA-9, CM-2, IA-2, IA-3, MP-2, MP-4, MP-5, PL-4, SC-7, SC-43, SI-3, SI-4。
控制增強：
a) 組織應限制ICS內可讀寫、可移動設備的使用；
b) 組織應禁止ICS內使用個人所有的可移動設備；
c) 組織應禁止ICS內使用未標記的可移動設備；
d) 組織應禁止在涉密系統中使用非涉密移動設備；
e) 組織采用【選擇：全設備加密、容器加密】來保護【賦值：組織定義的移動設備】信息的機密性和完整性；
f) 組織應考慮關閉不用的或不必要的I/O端口；

B.16.17　外部系統的使用（AC-17）

控制：
組織應建立一些術語和條件，允許授權個體：
a) 從外部訪問工業控制系統；
b) 使用外部系統處理、存儲和傳輸組織信息。
其中，所建立的術語和條件，要與其它組織所擁有的、運行的、維護的外部系統所建立的任何可信關系是一致的。
補充指導：
a) 外部系統是組織邊界外的系統，通常組織對這些系統的安全性不具體控制；
b) 外部系統包括個人或其他組織擁有的系統和設備。
c) 相關安全控制：AC-3, AC-14, CA-3, PL-4, SA-9。
控制增強：
a) 組織應禁止授權的個體使用外部系統來訪問工業控制系統，或處理、存儲、傳輸組織收集的信息，除非存在以下情況：
1) 可以驗證外部系統上所要求的安全控制的實現，像組織工業控制系統安全策略和安全計劃中所規約的那樣；
2) 已批準了工業控制系統與外部系統的連接，或批準了組織內實體使用外部系統進行處理的協議。

B.16.18　信息共享（AC-18）

控制：
組織應：
a) 促進信息共享，并監控授權用戶是否按【賦值：組織定義的共享策略】將信息共享給其他用戶；
b) 采用【賦值：組織定義的自動化機制或手動過程】，以幫助用戶在決策信息共享。
補充指導：
a) 相關安全控制：AC-3。
控制增強：無
a) 信息共享|自動決策支持
ICS基于共享伙伴的訪問權限和被共享信息的共享屬性來執行自動共享決策。
b) 信息共享|信息檢索