今日頭條
官方微信
官方抖音
資訊頻道
1 范圍
本部分規(guī)定了對(duì)工業(yè)控制系統(tǒng)的信息安全解決方案的安全性進(jìn)行驗(yàn)收的流程、測(cè)試內(nèi)容、方法及應(yīng)達(dá)到的要求。該方案可以通過(guò)增加設(shè)備或系統(tǒng)提高其安全性。本部分的各項(xiàng)內(nèi)容可作為實(shí)際工作中的指導(dǎo),適用于石油、化工、電力、核設(shè)施、交通、冶金、水處理、生產(chǎn)制造等行業(yè)使用的控制系統(tǒng)和設(shè)備。
2 概述
對(duì)于在運(yùn)行系統(tǒng)的驗(yàn)收測(cè)試,應(yīng)采用最小影響原則,即首要保障系統(tǒng)的穩(wěn)定運(yùn)行。對(duì)于需要進(jìn)行攻擊性測(cè)試的工作內(nèi)容,需與業(yè)主和供應(yīng)商溝通并進(jìn)行備份,盡量選擇非運(yùn)行時(shí)間進(jìn)行。
根據(jù)業(yè)主提出的安全性要求給出信息安全解決方案,通過(guò)增加設(shè)備或系統(tǒng)來(lái)降低風(fēng)險(xiǎn),并由業(yè)主最終決定是否通過(guò)驗(yàn)收。對(duì)其驗(yàn)收時(shí)如果沒(méi)有通過(guò),則進(jìn)行整改,再重新驗(yàn)收,直至最后通過(guò)。驗(yàn)收過(guò)程劃分為驗(yàn)收準(zhǔn)備、風(fēng)險(xiǎn)分析與處置、能力確認(rèn)三個(gè)階段。
不符合項(xiàng)的處理歸為如下幾類:
(1)當(dāng)場(chǎng)整改,然后繼續(xù)進(jìn)行驗(yàn)收測(cè)試;
(2)在驗(yàn)收過(guò)程中同時(shí)進(jìn)行整改;
(3)需再次進(jìn)行驗(yàn)收;
(4)在驗(yàn)收完成后進(jìn)行整改。
驗(yàn)收的基本工作形式包括自驗(yàn)收和第三方驗(yàn)收。自GB/T 30976.2-2014驗(yàn)收是系統(tǒng)的擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位系統(tǒng)進(jìn)行的驗(yàn)收。第三方驗(yàn)收是委托第三方負(fù)責(zé)實(shí)施的驗(yàn)收。
3 驗(yàn)收準(zhǔn)備階段
(1)確定驗(yàn)收目標(biāo)和范圍
由于工業(yè)控制系統(tǒng)生命周期各階段中風(fēng)險(xiǎn)的內(nèi)容、驗(yàn)收的對(duì)象、安全需求均不同,因此業(yè)主應(yīng)首先根據(jù)當(dāng)前實(shí)際情況確定在工控系統(tǒng)生命周期中所處的階段,并以此來(lái)明確驗(yàn)收目標(biāo)。
驗(yàn)收的目標(biāo)、范圍和標(biāo)準(zhǔn)應(yīng)得到利益相關(guān)方的認(rèn)可。在實(shí)施對(duì)工控系統(tǒng)控制能力可能產(chǎn)生影響的任何附加安全解決方案之前,應(yīng)征求控制系統(tǒng)原始設(shè)計(jì)方的意見(jiàn)。
(2)文檔準(zhǔn)備
在開(kāi)始驗(yàn)收工作之前,供應(yīng)商應(yīng)已完成所有的內(nèi)部測(cè)試,并提供可供復(fù)查的測(cè)試報(bào)告或有關(guān)機(jī)構(gòu)的評(píng)估報(bào)告,準(zhǔn)備好相關(guān)文件以備驗(yàn)收過(guò)程中使用。主要包括:業(yè)主/總承包商準(zhǔn)備的文件、供應(yīng)商準(zhǔn)備的文件等。
4 風(fēng)險(xiǎn)分析與處置階段
(1)系統(tǒng)風(fēng)險(xiǎn)分析
系統(tǒng)風(fēng)險(xiǎn)分析主要是針對(duì)增加安全解決方案后可能產(chǎn)生的風(fēng)險(xiǎn)。關(guān)鍵控制點(diǎn)主要有以下兩點(diǎn):
·建立的風(fēng)險(xiǎn)分析模型及確定的風(fēng)險(xiǎn)計(jì)算方法,應(yīng)能正確反應(yīng)用戶的行業(yè)安全特點(diǎn),核心業(yè)務(wù)系統(tǒng)所處的內(nèi)、外部環(huán)境安全狀況;
·用戶確認(rèn)的信息、數(shù)據(jù)及相關(guān)文檔資料應(yīng)及時(shí)得到準(zhǔn)確反饋。
(2)風(fēng)險(xiǎn)處置方案
風(fēng)險(xiǎn)處置的基本原則是根據(jù)用戶可接受的處置成本將殘余安全風(fēng)險(xiǎn)控制在可以接受的范圍內(nèi)。
方式一般包括接受、消減、轉(zhuǎn)移、規(guī)避等。在風(fēng)險(xiǎn)不適合轉(zhuǎn)移或規(guī)避的情況下,通常采用安全整改進(jìn)行風(fēng)險(xiǎn)消減。風(fēng)險(xiǎn)分析需提出安全整改建議。
安全整改建議需根據(jù)安全風(fēng)險(xiǎn)的嚴(yán)重程度、加固措施實(shí)施的難易程度、降低風(fēng)險(xiǎn)的時(shí)間緊迫程度、所投入的人員力量及資金成本等因素綜合考慮。
5 能力確認(rèn)階段
5.1 設(shè)備要求
5.1.1 工業(yè)環(huán)境適應(yīng)性要求
用于工業(yè)現(xiàn)場(chǎng)的安全設(shè)備,應(yīng)符合工業(yè)環(huán)境的相關(guān)要求。本標(biāo)準(zhǔn)規(guī)定的工業(yè)環(huán)境適應(yīng)性要求包括:氣候、電磁兼容、電氣安全、機(jī)械適應(yīng)性、外部電源和外殼防護(hù)要求。由于設(shè)備適用的行業(yè)不同,可增加行業(yè)特定的要求。
(1)氣候環(huán)境
設(shè)備在規(guī)定的工作溫度范圍內(nèi)工作時(shí),應(yīng)符合其功能和性能規(guī)定。在規(guī)定的溫度范圍內(nèi)貯存和運(yùn)輸時(shí),不應(yīng)發(fā)生裂痕、老化或其他損壞;當(dāng)經(jīng)受該溫度范圍后再恢復(fù)到工作溫度范圍時(shí),設(shè)備應(yīng)能正常工作。
(2)電磁兼容
對(duì)設(shè)備的電磁兼容性要求參見(jiàn)GB/T 18268.1-2010,包括電源電壓暫降、電源電壓短時(shí)中斷、靜電放電、射頻電磁場(chǎng)輻射、電快速瞬變脈沖群、浪涌(沖擊)、射頻場(chǎng)感應(yīng)的傳導(dǎo)騷擾、工頻磁場(chǎng)等。
(3)電氣安全
針對(duì)絕緣電阻:在一般試驗(yàn)大氣條件下,設(shè)備的輸入端子與外殼、輸出端子與外殼、電源端子與外殼、輸入端子與電源端子、輸出端子與電源端子之間的絕緣電阻應(yīng)不小于20MΩ。
針對(duì)絕緣強(qiáng)度:在一般試驗(yàn)大氣條件下,設(shè)備的輸入端子與外殼、輸出端子與外殼、電源端子與外殼、輸入端子與電源端子、輸出端子與電源端子之間施加規(guī)定的試驗(yàn)電壓,判定電流為5mA,保持1min, 應(yīng)不出現(xiàn)擊穿或飛弧現(xiàn)象。
(4)機(jī)械適應(yīng)性
機(jī)械適應(yīng)性要求參見(jiàn)GB/T 15153.2-2000。
(5)外部電源
一般工業(yè)環(huán)境交流電源要求和直流電源要求參見(jiàn)GB/T 15153.1-2000,其中標(biāo)稱電壓容差應(yīng)為10%~-10%。
(6)外殼防護(hù)
設(shè)備外殼防護(hù)等級(jí)由制造廠商和業(yè)主協(xié)商確定。用于控制室內(nèi)或機(jī)柜內(nèi)的設(shè)備至少應(yīng)達(dá)到IP20等級(jí),用于現(xiàn)場(chǎng)的設(shè)備至少應(yīng)達(dá)到IP65等級(jí)。
(7)防爆性能
防爆性能應(yīng)符合參見(jiàn)GB 3836.1、GB 3836.2、GB 3836.4的相關(guān)要求,并取得國(guó)家指定的防爆檢驗(yàn)機(jī)構(gòu)頒發(fā)的防爆合格證。
(8)其他要求
主要包括:外觀、連續(xù)工作性能等。
5.1.2 信息安全功能測(cè)試要求
(1)對(duì)于控制設(shè)備的測(cè)試
健壯性測(cè)試包括接口界面測(cè)試和協(xié)議特定健壯性測(cè)試。本標(biāo)準(zhǔn)中,健壯性測(cè)試主要是針對(duì)基于TCP/IP的設(shè)備。如果對(duì)于非TCP/IP的設(shè)備,還需要針對(duì)其特定協(xié)議,進(jìn)行通信健壯性測(cè)試。主要包括了接口界面測(cè)試和協(xié)議特定健壯性測(cè)試。
適用場(chǎng)合:
·設(shè)備入網(wǎng):驗(yàn)收將要上線的設(shè)備符合健壯性要求。
·健壯性測(cè)試不建議用于線上正在運(yùn)行的設(shè)備。
基線檢查適用原則:具體設(shè)備的安全要求(功能、配置)應(yīng)包括適用設(shè)備運(yùn)行的操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用程序三個(gè)層面的最低要求,并依實(shí)際情況,選擇部分增強(qiáng)要求。
適用場(chǎng)合:
·設(shè)備入網(wǎng):保證新設(shè)備達(dá)到功能要求。
·工程驗(yàn)收:保證驗(yàn)收上線的設(shè)備符合配置要求。
·日常維護(hù):保證在網(wǎng)設(shè)備持續(xù)符合配置要求。
(2)對(duì)于邊界防護(hù)設(shè)備的安全要求
主要包括網(wǎng)關(guān)設(shè)備、路由設(shè)備、交換設(shè)備、防火墻、隔離部件等。健壯性測(cè)試和基線檢查也適用于邊界防護(hù)設(shè)備。詳細(xì)內(nèi)容見(jiàn)GB/T30976.2-2014。
5.2 系統(tǒng)測(cè)試
(1)測(cè)試條件
接入工業(yè)控制系統(tǒng)的全部現(xiàn)場(chǎng)設(shè)備,包括變送器、執(zhí)行器、接線箱以及電纜等設(shè)備均應(yīng)按照有關(guān)標(biāo)準(zhǔn)進(jìn)行安裝、調(diào)試、試運(yùn)行并驗(yàn)收合格。
(2)系統(tǒng)安全測(cè)試
對(duì)于系統(tǒng)信息安全的測(cè)試主要針對(duì)系統(tǒng)能力。不同于信息安全評(píng)估,本標(biāo)準(zhǔn)中的系統(tǒng)測(cè)試側(cè)重于新增加的安全保障系統(tǒng)對(duì)原有系統(tǒng)的影響,以及對(duì)之前評(píng)估過(guò)程中提出的潛在風(fēng)險(xiǎn)和漏洞進(jìn)行查驗(yàn)。可根據(jù)實(shí)際情況選擇適用的條款進(jìn)行測(cè)試。
(3)系統(tǒng)性能測(cè)試
加入信息安全保障措施后,應(yīng)滿足原有系統(tǒng)的實(shí)時(shí)性、可靠性、安全性的要求。
(4)網(wǎng)絡(luò)連接要求
工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的連接,應(yīng)采取防火墻、單向隔離、DMZ等措施。企業(yè)內(nèi)部控制網(wǎng)絡(luò)與信息管理網(wǎng)絡(luò)之間應(yīng)采取必要的隔離措施。對(duì)于大型系統(tǒng),宜考慮不同區(qū)域之間的隔離措施。
(5)應(yīng)急災(zāi)備要求
在發(fā)生緊急情況下,系統(tǒng)的信息安全應(yīng)急預(yù)案,必要的備機(jī)備件等容災(zāi)備份措施。
5.3 驗(yàn)收結(jié)論
(1)驗(yàn)收文檔
工業(yè)控制系統(tǒng)信息安全驗(yàn)收文檔除準(zhǔn)備階段提供的文檔外,還至少應(yīng)包括下列內(nèi)容:
·信息安全風(fēng)險(xiǎn)分析報(bào)告;
·測(cè)試記錄或報(bào)告;
·驗(yàn)收結(jié)論;
·系統(tǒng)應(yīng)急處理方案等。
(2)驗(yàn)收結(jié)論的編制
編制原則為:驗(yàn)收結(jié)論應(yīng)依據(jù)整個(gè)驗(yàn)收過(guò)程中對(duì)相關(guān)要求的符合性做出判定。
基本要求主要包括:
·各階段驗(yàn)收內(nèi)容及結(jié)論;
·驗(yàn)收不符合項(xiàng)表;
·不符合內(nèi)容對(duì)系統(tǒng)信息安全能力的影響分析;
·是否通過(guò)驗(yàn)收的建議。
作者簡(jiǎn)介
王玉敏(1971-),女,河北人,教授級(jí)高工,碩士研究生,現(xiàn)就職于機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所,主要研究方向是工業(yè)控制系統(tǒng)信息安全。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)