GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南B.18 系統與通訊保護(SC)
B.18 系統與通訊保護(SC)
B.18.1 系統與通訊保護策略和規程(SC-1)
控制:
組織應:
a) 制定并發布正式的系統與通訊保護策略,其中應包含目的、范圍、角色、責任、管理承諾、各部門間的協調以及合規性;
b) 按【賦值:組織定義的時間間隔】,對系統與通訊保護策略和規程進行評審和調整。
補充指導:
a) 期望通過該控制,為有效實現該族中的安全控制和安全控制增強,編制所需要的策略和規程。
b) 該策略和規程應與應用的法律、法規、規章、制度、政策、標準和指南是一致的。
c) 系統與通訊保護策略可作為組織信息安全策略的一部分。
d) 系統與通訊保護規程可針對一般性的安全程序予以開發;當需要時,也可針對特殊ICS予以開發。
e) 在開發系統與通訊保護策略中,組織的風險管理策略是一個重要的因素。
B.18.2 應用分區(SC-2)
控制:
a) ICS應能分離用戶功能和系統管理功能。
補充指導:
a) ICS管理功能,例如管理數據庫、網絡部件、工作站或服務器所必要的功能,并一般需要授權用戶的訪問。
b) 用戶功能與系統管理功能的分離,或是邏輯的,或是物理的,并可通過使用不同的計算機、不同的集中處理單元、不同的操作系統、不同的網絡地址等方法實現,以及通過這些方法的組合或其它合適的方法。
c) 在ICS沒有把用戶功能與信息系統管理職能予以隔離的情況下,組織應按裁剪指導,使用補償控制(例如,提供更強的審計措施)。
d) 相關安全控制:SA-4, SA-8, SC-3。
控制增強:
a) ICS禁止在一般(即非授權)用戶的接口上,滲透與ICS管理有關的功能。
增強補充指導:
B.18.3 安全功能隔離(SC-3)
控制:
a) ICS應能隔離安全功能和非安全功能。
補充指導:
a) 通過隔離邊界的手段(以劃分和域來實現之),ICS可以隔離安全功能和非安全功能,控制對執行這些安全功能的硬件、軟件和固件的訪問,并保護其完整性。
b) ICS為每一個執行的過程,維護一個隔離的執行域;
c) 在ICS不支持安全功能隔離的情況下,組織應按裁剪指導,使用補償控制(例如,提供更強的審計措施,限制網絡連接)。
d) 相關安全控制:AC-3, AC-6, SA-4, SA-5, SA-8, SA-13, SC-2, SC-7。
控制增強:
a) ICS實現基本的硬件隔離機制,以支持安全功能的隔離。
b) ICS把執行訪問控制策略和信息流控制策略的安全功能與非安全功能隔離開來,與來自其他安全功能隔離開來。
c) ICS實現隔離邊界,最小化包含安全功能的邊界內所涉及的非安全功能。
d) 組織把安全功能實現為一些相對獨立的模塊,避免模塊之間存在不必要的接口。
B.18.4 共享資源中的信息(SC-4)
控制:
a) ICS應禁止通過共享的系統資源進行未授權的、無意的信息傳輸。
補充指導:
a) 通過該控制,可禁止以前用戶/角色的動作所產生信息,包括信息的加密表示,在資源釋放回信系統之后,對當前獲得對一個共享的資源訪問的任意用戶/角色(或當前過程)是可用的。即控制共享資源中的信息,其中涉及客體復用問題。
b) 相關安全控制:AC-3, AC-4, MP-6。
控制增強:
B.18.5 服務拒絕防護(SC-5)
控制:
a) ICS應防止或抵御【賦值:組織定義的拒絕服務攻擊類型列表】中的拒絕服務攻擊。
補充指導:
a) 邊界保護設備可過濾一定類型的包,以保護組織內部網絡上的設備,免遭受到拒絕服務攻擊的直接影響。使用組合的增大容量和帶寬以及服務容余,可減少遭受某些拒絕服務攻擊的影響。
b) 相關安全控制:SC-6, SC-7。
控制增強:
a) ICS限制用戶針對其它ICS或網絡,發起拒絕服務攻擊的能力。
b) ICS為了限制拒絕服務攻擊的信息泛濫之影響,管理多余的能力、帶寬或其他容余。
c) ICS安全失效。
增強補充指導:
1) 所謂安全失效是一種條件,可通過應用一組系統機制來實現,以確保在管理接口上的邊界保護設備(例如:路由器,防火墻,門禁,以及駐留在受保護的通用子網上-被稱為非軍事區或DMZ的應用網關),在其運行失效的事件中,沒有互連系統之外的信息進入該系統。
2) 運行失效可能與任何一個過程、設備或機制是有關系的。
B.18.6 資源優先級(SC-6)
控制:
a) ICS應能通過優先級來控制資源使用。
補充指導:
a) 優先級保護有助于防止低優先級過程延遲或干擾ICS服務于高優先級的過程。
b) 該控制并不適用于ICS中那些只有單一用戶/角色的部件。
B.18.7 邊界保護(SC-7)
控制:
a) 組織應監視并控制在系統邊界上的通訊,以及系統內關鍵的邊界上的通訊;
b) 連接外部網絡或ICS,應通過得到管理的、并與組織安全體系結構所安排的邊界保護設備相一致的接口。
補充指導:
a) 限制外部信息流僅能流向管理接口中組織的服務器,并禁止外部流量似乎欺詐一個內部地址。
b) 管理接口使用邊界保護設備,例如包括:在一個有效安全體系結構(例如:駐留在稱為非軍事區或DMZ的受保護子網中受到防火墻和應用網關保護的路由器)中所組織的代理,網關,路由器,防火墻,門禁,或加密隧道。
c) 在安全控制的實現以及這樣服務中,組織要考慮商業電子通訊服務的固有共享本質;
d) 一般地,公共訪問ICS的信息是不允許的。
e) 相關安全控制:AC-4, AC-17, CA-3, CM-7, CP-8, IR-4, RA-3, SC-5, SC-13。
控制增強:
a) 組織通過不同的物理網絡接口,真正把公共可訪問的ICS部件分配給不同的子網。
b) ICS阻止公共訪問到組織的內部網絡,除非通過管理接口進行合適的調解,使用邊界保護設備
c) 組織限制ICS訪問點的數量,以便允許更全面的監視通訊邊界內外的網絡流量。
d) 組織應
1) 為每一個外部電子通訊服務實現一個管理接口;
2) 為每一個管理接口建立一個通訊流策略;
3) 當需要時,使用安全控制來保護正在傳送的那些信息的保密性和完整性;
4) 為每一個支持使命/業務需要以及持續需要的通訊流策略的例外,建立相應的文檔;
5) 按【賦值:組織定義的時間間隔】,評審通訊流策略的例外;
6) 去除不再被顯式的使命和業務需要的通訊流策略例外。
e) 在管理接口上的控制系統,拒絕默認的網絡流量,允許除了例外的網絡流量(即拒絕所有例外的流量)。
f) 當出現邊界保護機制運行失效時,組織禁止未授權地釋放ICS邊界之外的信息,或未授權地經過ICS邊界的通訊。
增強補充指導:
1) 組織選擇一種合適的失效模式(例如,失敗是封閉的,失敗是開放的)。
g) ICS禁止遠程設備與系統建立非遠程的連接,以防與外邊的、具有外部網絡資源的通訊路徑進行通訊。
h) ICS按【賦值:組織定義的通訊流量】,通過邊界保護設備管理外部網絡。
增強補充指導:
1) 外部網絡是組織控制之外的網絡;
2) 代理服務器支持登入個體的傳輸控制協議(TCP)會話,并鎖死特定的統一資源分配(URL) 、域名和互聯網協議地址;
3) 代理服務按【賦值:組織定義的授權網站和未授權網站】。
i) 在管理接口上的ICS,拒絕解析外部ICS威脅的網絡流量并審計內部用戶。
增強補充指導:
1) 可以解析一個對外部系統的安全威脅的檢測內部活動,有時是使用窮舉檢測;
2) 在ICS邊界上的窮舉檢測分析,包括網絡流量(流入和流出的)監控,以便指示對外部系統安全的內部威脅。
j) 組織禁止未授權地過度過濾通過管理接口的信息
增強補充指導:
1) 嚴格控制協議格式;
2) 對系統報警進行監控;
3) 對加密進行監控;
4) 除非需要斷開所有外部網絡連接;
5) 對數據報文頭進行必要的拆裝和組裝;
6) 對網絡流量進行分析。
k) 檢測通訊進入,以確保該通訊是從授權源進入的,并路由到授權目標。
l) 實現基于主機的邊界保護機制。
增強補充指導:
1) 基于主機的邊界保護機制,其例子是基于主機的防火墻;
e) 組織通過物理上不同的子網以及對該系統其他部分的管理接口,把【賦值:組織定義的關鍵信息安全工具】與其他內部ICS部件隔離開來。
f) 實現保護邊界,防止穿過邊界保護機制的未授權物理連接。
g) ICS通過指定的管理接口,按訪問控制和審計的意圖,路由所有網絡化的授權訪問。
h) ICS禁止揭示構成一個管理接口的特定系統部件(或設備)。
增強補充指導:
1) 期望通過該控制增強來保護ICS部件的網絡地址,這樣的地址是管理接口的一部分,可通過通用根據和技術來發現的,以便標識一個網絡上的設備;
2) 網絡地址要求在了解訪問知識之前,是不能予以揭示的(例如:不能發布或進入域名系統)。
i) 組織使用自動化機制,嚴格符合協議格式。
增強補充指導:
1) 嚴格符合協議格式所使用的自動化機制,其例子有包深度檢測防火墻和XML網關;
B.18.8 傳輸完整性(SC-8)
控制:
a) ICS應保護傳輸信息的完整性。
補充指導:
a) 該控制適用于內外網之間的通訊;
b) 如果組織依賴商業服務方提供傳輸服務,作為一種商品項,而完全不是一個貢獻性服務,那么傳輸完整性所需要的安全控制的實現,就可能更難獲得必要的保障;
c) 當實際上不可能通過合同方式獲得必要的有效安全控制和保障時,組織要么實現合適的補償安全控制,要么就顯式地接受附加的風險。
d) 相關安全控制:AC-17、PE-4。
控制增強:
a) 組織應使用加密機制來識別傳輸中對信息的改變。
增強補充指導:
1) 在認真考慮安全需要和系統性能上的潛在結果的基礎上,確定要使用的密碼技術。例如,組織考慮使用密碼技術是否對該ICS運行性能引入了負面影響的潛在因素。組織揭示所有可能的密碼技術完整性機制(例如,數字簽名,哈什函數),每一機制均有不同的延遲影響。
b) ICS維護準備傳輸中信息匯聚期間、打包期間和傳輸期間的信息完整性。
增強補充指導:
1) 在數據匯聚點或協議傳送點上,信息可能被有意或惡意的修改,損害信息的完整性。
B.18.9 傳輸機密性(SC-9)
控制:
a) ICS應保護傳輸信息的保密性。
補充指導:
a) 該控制適用于內外網之間的通訊;
b) 如果組織依賴商業服務方提供傳輸服務,傳輸保密性所需要的安全控制是必要的;
c) 當實際上不可能通過合同方式獲得必要的有效安全控制和保障時,組織要么實現合適的補償安全控制,要么就顯式地接受附加的風險;
d) 相關安全控制:AC-17、PE-4。
控制增強:
a) 組織使用加密機制來防止傳輸中對信息的未授權泄露;
增強補充指導:
1) ICS的安全目的通常具有保密性,完整性和可用性的有序優先級;
2) 在認真考慮安全需要和系統性能上的潛在結果的基礎上,確定要使用的密碼技術。例如,組織考慮使用密碼技術是否對該ICS運行性能引入了負面影響的潛在因素。
b) ICS維護準備傳輸中信息匯聚期間、打包期間和傳輸期間的信息保密性;
c) 組織使用密碼技術,來保護傳輸中受控的非秘密信息;
d) 當用于傳輸秘密的、涉及國家安全信息的網絡之等級低于被傳輸的信息之等級時,組織使用密碼技術,來保護該信息;
e) 組織使用密碼技術,來保護網絡上同樣秘密等級的信息,當這樣信息必須與沒有必要的訪問批準的個體予以隔離時;
f) 組織使用密碼技術,來保護傳輸中秘密的、涉及國家安全的信息;
B.18.10 網絡中斷(SC-10)
控制:
a) 在會話結束時或在不活動的時間周期之后,ICS應終止與該通訊會話相關的網絡連接。
補充指導:
a) 該控制適用于內外網;
b) 終止與通訊會話相關的網絡連接,例如包括重新分配開發系統層上所關聯的TCP/IP地址/端口對,或重新分配應用層上的網絡指派,如果多應用會話使用一個開放系統層的網絡連接的話;
c) 不活動的時間周期作為組織認為必要的時間周期,可以是網絡訪問類型的一個時間周期的集合,或是特定訪問的一個時間周期的集合。
d) 在一個會話結束上或在【賦值:組織定義的非活動時間段】之后,ICS不能終止網絡連接的情況下,或由于對性能,安全(safety)或可靠性具有重大負面影響, ICS不能終止網絡連接的情況下,組織按裁剪指導,使用補償控制(例如,提供更強的審計措施,限制關鍵人員的遠程訪問特權)。
B.18.11 密鑰建立與管理(SC-12)
控制:
a) 組織應為ICS內所需要的密碼技術,建立并管理加密密鑰。
補充指導:
a) 加密密鑰的建立和管理,可以通過使用人為的規程或支持人為規程的自動化機制予以實施。
b) 相關安全控制:SC-13。
控制增強:
a) 組織維護用戶丟失加密密鑰的事件中的信息的可用性;
b) 組織使用密鑰管理技術和過程,產生、控制和分布對稱加密密鑰;
c) 組織使用密鑰管理技術和過程,產生、控制和分布對稱或非對稱加密密鑰;
d) 組織使用批準的3級證書或前置密鑰化資料的PKI, 產生、控制和分布非對稱加密密鑰;
e) 組織使用批準的3級證書或4級證書以及保護用戶私鑰的PKI, 產生、控制和分布非對稱加密密鑰。
增強補充指導:
1) 在認真考慮安全需要和系統性能上的潛在結果的基礎上,確定要使用的密鑰,包括密鑰管理。例如,組織考慮使用密碼技術是否對該ICS運行性能引入了負面影響的潛在因素。
B.18.12 密碼技術的使用(SC-13)
控制:
a) ICS應使用符合相關法律、法規、方針政策、規章制度、標準和指南的密碼模塊,實現所需要的密碼技術的保護。
補充指導:
a) 使用密碼技術應遵守相關標準和法律規定。
b) 密碼技術的使用應不影響ICS正常運行。
c) 相關安全控制:AC-2, AC-3, AC-7, AC-17,AC-18, AU-9, AU-10, CM-11, CP-9, IA-3, IA-7, MA-4, MP-2, MP-4, MP-5, SA-4, SC-8, SC-12,SI-7。
B.18.13 公共訪問保護(SC-14)
控制:
a) ICS應保護公共可用信息和應用的完整性和可用性。
補充指導:
a) 該控制的意圖是,確保組織顯式地強調公共信息和應用的保護需求,以及與可能實現的、作為其它安全控制一部分的這樣保護的關聯;
b) 一般地,對ICS的公共訪問是不允許的。
控制增強:
B.18.14 安全屬性的傳輸(SC-15)
控制:
a) ICS應將安全屬性與系統間交換的信息關聯起來。
補充指導:
a) 安全屬性可以顯式地或隱式地與ICS中所包含的信息相關聯;
b) 與該控制有關的控制有:AC-3、AC-4、AC-16。
控制增強:
B.18.15 證書管理(SC-16)
控制:
a) 組織應按合適的證書策略發布公鑰證書或按合適的證書策略從批準的服務提供方那里獲得公鑰證書。
補充指導:
a) 對于用戶證書,每個組織按策略的要求,從一個得到批準的、共享的服務提供方那里獲得證書;
b) 該控制關注證書及系統外的可見性。
c) 相關安全控制:SC-12。
B.18.16 移動代碼(SC-17)
控制:
組織應:
a) 定義可接受的和不可接受的移動代碼及移動代碼技術;
b) 對可接受的移動代碼及移動代碼技術,建立用法限制和實現指南;
c) 授權、監視并控制ICS中移動代碼的使用。
補充指導:
a) 基于移動代碼的惡意使用可能對ICS導致破壞,組織應就ICS是否使用移動代碼做出相應的決策;
b) 代碼技術,例如包括:Java,JavaScript,ActiveX,PDF,VBScript等;
c) 用法限制和實現指南適用于安裝在組織服務器端的移動代碼,也適應于工作站和移動設備;
d) 與移動代碼相關的策略和規程,強調了防止ICS中不可接受的移動代碼的開發、獲得或引入。
e) 相關安全控制:AU-2,AU-12, CM-2, CM-6, SI-3。
控制增強:
a) 為了標識未授權的移動代碼,ICS實現發現和檢查機制,必要時采取糾正措施。
增強補充指導:
發現未授權移動代碼時,糾正措施包括:鎖定、隔離和報警等。
b) 組織應確保部署在ICS中的移動代碼的獲得、開發和使用滿足【賦值:組織定義的移動代碼】需求。
c) ICS禁止下載和執行已禁止的移動代碼。
B.18.17 會話鑒別(SC-18)
控制:
a) ICS應提供保護通訊會話真實性的機制。
補充指導:
a) 該控制關注通訊會話保護;
b) 該控制的目的是建立每一通訊會話的信任基礎;
c) 該控制僅在組織認為必要時實現;
d) 在ICS不能保護通訊會話真實性的情況下,組織應按裁剪指南,使用補償控制(例如,審計措施)。
e) 相關安全控制:SC-8、SC-10、SC-11。
控制增強:
a) ICS應在用戶退出或終止會話后讓會話身份標識符失效;
b) ICS應提供明顯容易的退出功能;
c) ICS應為每一會話生成唯一的會話身份標識符,并僅認可系統生成的會話身份標識符;
B.18.18 已知狀態中的失效(SC-19)
控制:
a) 針對【賦值:組織定義的失效類型】,ICS失效于【賦值:組織定義的已知狀態】,保持失效中系統狀態信息。
補充指導:
a) 在已知狀態中失效,可按組織的使命和業務需要來強調安全;
b) 在已知狀態中失效,有助于防止在ICS和部件失效事件中喪失保密性、完整性和可用性;
c) 在已知安全狀態中失效,有助于防止系統失效導致損害個體或破壞特性的狀態。
d) 保留ICS狀態信息,可支持系統對使命和業務過程的較少破壞,重新啟動并返回到組織的運行模式。
e) 相關安全控制:CP-2, CP-10, CP-12, SC-7。
B.18.19 剩余信息保護(SC-20)
控制:
a) ICS應保護剩余信息的保密性和完整性。
補充指導:
a) 該控制的目的是剩余信息的保密性和完整性保護;
b) 組織可選擇不同的機制來實現保密性和完整性保護。
c) 相關安全控制:AC-3, AC-6, CA-7, CM-3, CM-5, CM-6, PE-3, SC-8, SC-13, SI-3, SI-7。
控制增強:
a) 應確保ICS內的文件、目錄和數據等資源所在的存儲空間,被釋放或重新分配給其他用戶前得到完全清除;
b) 應保證用戶鑒別信息等敏感信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除;
c) 可提供加密機制保護剩余信息的保密性和完整性。
增強補充指導:
B.18.20 執行程序隔離 (SC-21)
控制:
a) 組織應讓ICS各類執行程序運行在相互隔離的域中。
補充指導:無
a) 讓ICS各類執行程序運行在相互隔離的域中,并各自使用分離的地址空間,處于分離的地址空間的各可執行程序異常時不會影響其它程序;
b) ICS產品所采用的操作系統一般均正常地址空間分離。
c) 相關安全控制:AC-3, AC-4, AC-6, SA-4, SA-5, SA-8, SC-2, SC-3。
控制增強:
推薦文章: