工業(yè)控制系統(tǒng)信息安全防護(hù)效果核驗、能力效果對標(biāo)方法

1、附錄A(規(guī)范性附錄)工業(yè)控制系統(tǒng)信息安全防護(hù)效果核驗方法A.1概述工業(yè)控制系統(tǒng)信息安全防護(hù)效果核驗方法，依據(jù)第7章所列13個安全控制族中相關(guān)要求，從低到高，依次核驗各控制族相關(guān)要求達(dá)到的水平，以此為依據(jù)，綜合評價工業(yè)控制系統(tǒng)信息安全防護(hù)所處階段。其流程主要包括：組建核驗團(tuán)隊、制定安全評價計劃、開展現(xiàn)場評價、形成結(jié)論四個部分，工業(yè)組織可依據(jù)評價結(jié)論開展工控安全防護(hù)加固等工作。A.2組建評價團(tuán)隊?wèi)?yīng)組建一個有經(jīng)驗、經(jīng)過培訓(xùn)、具備評價能力的團(tuán)隊實施現(xiàn)場評價活動，評價人員數(shù)量應(yīng)為奇數(shù)，且團(tuán)隊成員應(yīng)包括安全管理人員、技術(shù)人員、審核人員、測評人員等，必要時可邀請專業(yè)信息安全測評機構(gòu)參與。A.3制定安全評價計

2、劃A.3.1基本情況梳理對工業(yè)控制系統(tǒng)進(jìn)行全面梳理，掌握工業(yè)控制系統(tǒng)基本情況。核查工業(yè)控制系統(tǒng)規(guī)劃設(shè)計方案、安全防護(hù)規(guī)劃設(shè)計方案、網(wǎng)絡(luò)拓?fù)鋱D等相關(guān)文檔，訪談工業(yè)控制系統(tǒng)管理人員，掌握如下基本信息：主要功能、部署位置、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、服務(wù)對象、用戶規(guī)模、業(yè)務(wù)周期、運行高峰期等；業(yè)務(wù)主管部門、運維機構(gòu)、系統(tǒng)開發(fā)商和集成商、上線運行及系統(tǒng)升級日期等；定級情況、數(shù)據(jù)集中情況、災(zāi)備情況等；主要硬件構(gòu)成：重點梳理主要硬件設(shè)備類型、數(shù)量、生產(chǎn)商(品牌)情況。硬件設(shè)備類型有：PLC、工業(yè)主機、工業(yè)路由器、工業(yè)交換機等；主要軟件構(gòu)成。重點梳理主要軟件類型、套數(shù)、生產(chǎn)商(品牌)情況。軟件類型有：工業(yè)組態(tài)軟件、監(jiān)控軟

3、件等。A.3.2確定評價范圍評價范圍應(yīng)包括組織各內(nèi)設(shè)機構(gòu)，以及為該組織信息系統(tǒng)提供運行維護(hù)支撐服務(wù)的下屬機構(gòu)。可根據(jù)該組織信息安全保障工作需要，將對該組織信息系統(tǒng)安全可能產(chǎn)生重大影響的相關(guān)機構(gòu)納入效果評價范圍。A.3.3確定評價具體任務(wù)與方案根據(jù)工業(yè)控制系統(tǒng)基本情況，制定效果評價方案。評價方案應(yīng)明確以下內(nèi)容：工作負(fù)責(zé)人和參評人員；評價范圍和重點；3)評價內(nèi)容；4)工作時間進(jìn)度安排。A.3.4確定還原恢復(fù)預(yù)案對于滲透式等入侵攻擊的技術(shù)方式，需清除設(shè)置的后門賬戶、上傳的腳本木馬等。A.3.5其它工作要求活動包括評價工具的使用等，不能影響工業(yè)組織的正常生產(chǎn)運行。A.4開展現(xiàn)場評價現(xiàn)場評價可采用人員訪

4、談、文檔查閱、人工核查、工具檢測等四種方式，可參考GB/T364662018中的實施方法。測評工具的選取需根據(jù)實際情況選擇，確保工具的使用不影響工業(yè)組織的正常生產(chǎn)運行。A.5形成評價結(jié)論評價結(jié)束后，應(yīng)及時對評價結(jié)果進(jìn)行梳理、匯總，對評價發(fā)現(xiàn)的問題和隱患進(jìn)行分類整理，形成評價結(jié)論，結(jié)論應(yīng)包括：評價對象、系統(tǒng)及網(wǎng)絡(luò)情況、存在的安全問題及整改建議等。A.6安全防護(hù)階段核定工業(yè)控制系統(tǒng)信息安全防護(hù)效果核驗方法采用“總體達(dá)標(biāo)，單項合格”的思想開展，具體內(nèi)容如下：為保證水平核定結(jié)果的公正和客觀，采用基于證據(jù)的方式，須有證據(jù)支持每條細(xì)則的評價結(jié)果，證據(jù)包括：負(fù)責(zé)人談話記錄、制度文件、設(shè)備運行記錄、現(xiàn)場核查結(jié)

5、果和測試結(jié)果等。工業(yè)控制系統(tǒng)信息安全防護(hù)水平提升應(yīng)通過漸進(jìn)的方式實現(xiàn)，即組織需達(dá)到低水平要求基礎(chǔ)上，才可開展高水平的評價。由于S-1(規(guī)劃建設(shè))幫助組織建立完善的工業(yè)控制系統(tǒng)信息安全防護(hù)管理體系，故該階段要求需全部達(dá)到，才可開展S-2(單點防護(hù))的建設(shè)工作。工業(yè)控制系統(tǒng)信息安全防護(hù)各水平安全控制措施權(quán)重相同，總體通過率需高于80%。即，若假設(shè)某工業(yè)控制系統(tǒng)信息安全防護(hù)水平中，第1至第13個安全控制族中組織適用的安全控制措施數(shù)量為叫，N2，N3，,N13(Nj0,0i14),各控制族中，達(dá)到要求的安全控制措施數(shù)量為M,M2，M3，,M13(0Mi叫+1,0i0.8；Mi/Ni0.4(0i14)。

6、A.7安全防護(hù)效果核定報告編寫根據(jù)工業(yè)控制系統(tǒng)信息安全防護(hù)核定結(jié)果，匯總并編寫報告，提供一定時間段內(nèi)的進(jìn)展記錄。報告應(yīng)明確包含建設(shè)實施依據(jù)、方案內(nèi)容、實施時間地點、組織架構(gòu)、實施效果核定結(jié)果及佐證材料等內(nèi)容，其中核定效果可以使用圖表幫助對結(jié)果的溝通和理解(見圖A.1、A.2、A.3)。4配置管理人員管理及培訓(xùn)訪問控制與安全審計資產(chǎn)安全管理供應(yīng)鏈安全2管理類指標(biāo)核驗效果圖已經(jīng)實現(xiàn)目標(biāo)安全規(guī)劃及機構(gòu)建設(shè)應(yīng)急響應(yīng)圖A.1管理類指標(biāo)核驗效果圖6技術(shù)類指標(biāo)核驗效果圖各指標(biāo)對標(biāo)情況5llilill圖A.3總體指標(biāo)核驗效果圖附錄B（規(guī)范性附錄）工業(yè)控制系統(tǒng)信息安全防護(hù)效果對標(biāo)方法B.1安全技術(shù)B.1.1物理

7、與環(huán)境安全B.1.1.1物理隔離保護(hù)安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）PE-1-1a)1）現(xiàn)場核查組織是否明確劃分重點物理安全防護(hù)區(qū)域。PE-1-1b)1）核查組織是否已有現(xiàn)行針對重點物理安全防護(hù)區(qū)域的物理隔離保護(hù)管理制度文檔。S-2（單點防護(hù)）PE-1-2a)1）現(xiàn)場核查組織是否已針對核心工業(yè)控制軟硬件（如：工程師站、數(shù)據(jù)庫、服務(wù)器、工業(yè)控制設(shè)備等）劃分重點物理安全防護(hù)區(qū)域。PE-1-2b)1）現(xiàn)場核查在物理安全防護(hù)區(qū)域出入口是否有物理安全訪問控制措施（如：圍墻、門禁、門衛(wèi)等）；2）人員訪談核查其人員物理訪問授權(quán)與對應(yīng)區(qū)域工業(yè)控制系統(tǒng)組件邏輯訪問授權(quán)是否獨立。PE-1-2c)

8、1）現(xiàn)場核查組織是否在人員物理訪問工業(yè)控制系統(tǒng)設(shè)施前，有對人員進(jìn)行訪問權(quán)限驗證的操作。S-3（集成管控）PE-1-3a)1）核查組織是否有在維護(hù)中的工業(yè)控制系統(tǒng)物理訪問記錄文本。PE-1-3b)1）人員訪談核查組織是否在必要時對訪問者進(jìn)行陪同和監(jiān)視。PE-1-3c)1）現(xiàn)場核查工業(yè)主機（如：工程師站、操作員站）與工業(yè)生產(chǎn)設(shè)備的物理訪問控制是否獨立。S-4（綜合協(xié)同）PE-1-4a)1）現(xiàn)場核查擁有可移動介質(zhì)的工業(yè)現(xiàn)場設(shè)備是否采用相應(yīng)手段（如：物理加鎖、驅(qū)動卸載、軟件禁用）提高其安全性。PE-1-4b)1）現(xiàn)場核查服務(wù)器放置區(qū)域是否有包含認(rèn)證保護(hù)機制的物理隔離裝置。PE-1-4c)1）現(xiàn)場核查工

9、業(yè)控制系統(tǒng)網(wǎng)絡(luò)設(shè)備的放置區(qū)域是否只有被授權(quán)人員可以進(jìn)入；2）核查工業(yè)控制系統(tǒng)網(wǎng)絡(luò)設(shè)備的放置區(qū)域是否符合設(shè)備要求的基礎(chǔ)環(huán)境要求。S-5（智能保障）PE-1-5a)1）若該自動化系統(tǒng)為組織自研，組織對應(yīng)系統(tǒng)技術(shù)人員現(xiàn)場講解自動化機制工作原理，并演示自動化運行過程，從而判斷其自動化與功能正確性；2）若自動化系統(tǒng)非組織自研，則組織需提供第三方機構(gòu)出具的系統(tǒng)檢驗報告。B.1.1.2應(yīng)急電源安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）PE-2-1a)1）核查組織中是否有能為工業(yè)控制系統(tǒng)提供電力保障的應(yīng)急電源（可不只為工業(yè)控制系統(tǒng)供電）。S-2（單點防護(hù)）PE-2-2a)1）核查組織是否為工業(yè)控制系統(tǒng)

10、配備應(yīng)急UPS電源；2）核查組織是否有該工業(yè)控制系統(tǒng)應(yīng)急UPS電源的續(xù)航時間測算記錄。PE-2-2b)1）核查組織是否有為工業(yè)控制系統(tǒng)配備的短期不間斷電源；2）組織需提供該電源的第三方測評報告，證實該電源可為工業(yè)控制系統(tǒng)短期不間斷供電。S-3（集成管控）PE-2-3a)1）核查組織是否有為工業(yè)控制系統(tǒng)配備的長期備份電源；2）組織需提供該電源的第三方測評報告，證實該電源可保證主電源失效時在規(guī)定時間內(nèi)保持工業(yè)控制系統(tǒng)功能。PE-2-3b)1）核查組織是否有為工業(yè)控制系統(tǒng)配備的備用電力供應(yīng)系統(tǒng)；2）組織需提供該系統(tǒng)的第三方測評報告，證實該電源能夠在主電源長期喪失的事故中有能力維持工業(yè)控制系統(tǒng)所必須的

11、最小的運行能力。S-4（綜合協(xié)同）PE-2-4a)1）核查組織是否有為工業(yè)控制系統(tǒng)配備的長期的備用電力供應(yīng)系統(tǒng)；2）組織需提供該系統(tǒng)所在電路的電路圖，以證實該系統(tǒng)是獨立運行而不依賴外部電源的。S-5（智能保障）PE-2-5a)1）若該供電系統(tǒng)為組織自研系統(tǒng)，組織對應(yīng)供電系統(tǒng)技術(shù)人員需現(xiàn)場講解該備用電力供應(yīng)系統(tǒng)的工作原理，并演示其功能實現(xiàn)過程，從而證實該供電系統(tǒng)有能快速、完全接替主電源的供電任務(wù)的能力；2）若自動化系統(tǒng)非組織自研，則組織需提供第三方機構(gòu)出具的系統(tǒng)檢驗報告，從而證實該供電系統(tǒng)有能快速、完全接替主電源的供電任務(wù)的能力。B.1.1.3物理防災(zāi)安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃

12、建設(shè)）PE-3-1a)1）核查組織是否有現(xiàn)行的工業(yè)控制系統(tǒng)的物理防災(zāi)管理制度。S-2（單點防護(hù)）PE-3-2a)1）核查組織是否已部署火災(zāi)檢測和消費系統(tǒng)或設(shè)備；2）核查該設(shè)備的維護(hù)記錄（或其他證據(jù)），以證實組織對設(shè)備進(jìn)行維護(hù)。PE-3-2b)1）組織提供工業(yè)控制系統(tǒng)所在環(huán)境的溫濕度測量結(jié)果記錄，并與該環(huán)境中運行的設(shè)備所允許的溫濕度進(jìn)行比對，判斷是否符合要求。PE-3-2c)1）現(xiàn)場核查總閥門或隔離閥門是否易用且工作正常；2）人員訪談核查總閥門或隔離閥門位置及使用方式關(guān)鍵人員是否知曉。S-3（集成管控）PE-3-3a)1）現(xiàn)場核查放置工業(yè)控制系統(tǒng)的設(shè)施內(nèi)是否設(shè)置有避雷裝置；2）組織應(yīng)提供主機房、

13、通信設(shè)備機房等機房滿足機房相關(guān)安全建設(shè)標(biāo)準(zhǔn)的通過測試報告。PE-3-3b)1）組織應(yīng)提供工業(yè)控制系統(tǒng)滿足電磁防護(hù)要求的測試報告；2）現(xiàn)場核查電源線和通信線纜是否相互隔離。PE-3-3c)1）組織對應(yīng)防火設(shè)備或系統(tǒng)技術(shù)人員現(xiàn)場講解自動化機制工作原理，并演示自動化運行過程，從而判斷其自動化與功能正確性；2）若自動化設(shè)備或系統(tǒng)非組織自研，則組織需提供第三方機構(gòu)出具的系統(tǒng)檢驗報告。PE-3-3d)1）組織對應(yīng)設(shè)備或系統(tǒng)技術(shù)人員現(xiàn)場講解并演示自動通知組織和緊急事件處理人激活操作的過程，從而判斷其自動通知與功能正確性。S-4（綜合協(xié)同）PE-3-4a)1）組織需提供工業(yè)主機集中部署區(qū)域（如：主機房、通信設(shè)

14、備機房等）建筑耐火等級證明材料，判斷該區(qū)域是否采用具有耐火等級的建筑材料；2）現(xiàn)場核查上條所述區(qū)域內(nèi)的重要設(shè)備與其他設(shè)備是否采取區(qū)域隔離防護(hù)措施。PE-3-4b)1）現(xiàn)場核查工業(yè)主機集中部署區(qū)域（如：機房、通信設(shè)備機房等）是否裝配了溫濕度自動調(diào)節(jié)設(shè)施，并核對環(huán)境溫濕度與區(qū)域內(nèi)設(shè)備運行溫濕度的符合度。PE-3-4c)1）組織需提供自動放水災(zāi)設(shè)施、系統(tǒng)或方案，相關(guān)人員現(xiàn)場講解原理并配合其中必要環(huán)節(jié)的演示。S-5（智能保障）PE-3-5a)1）組織相應(yīng)技術(shù)人員現(xiàn)場講解自動化物理防災(zāi)管理實時監(jiān)控機制原理并進(jìn)行相應(yīng)演示，評價人員通過原理講解與演示判斷其自動機制能否實時探測物理災(zāi)患并及時預(yù)警；2）核查其實

15、時探測記錄日志。PE-3-5b)1）組織的自動化物理防災(zāi)系統(tǒng)對應(yīng)技術(shù)人員需現(xiàn)場講解其工作原理并進(jìn)行演示，評價人員根據(jù)其原理講解與現(xiàn)場演示判斷該系統(tǒng)能否在有事故發(fā)生時自動調(diào)配物理防災(zāi)裝置并采取征求應(yīng)急手段應(yīng)對。B.1.2通信網(wǎng)絡(luò)安全B.1.2.1網(wǎng)絡(luò)隔離安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）TN-1-1a)1）核查組織配置文檔，是否存在開發(fā)和測試環(huán)境的基線配置；2）開發(fā)和測試環(huán)境的基線配置是否合理。S-2（單點防護(hù)）TN-1-2a)1）現(xiàn)場核查組織實際生產(chǎn)環(huán)境，通過工具檢測確認(rèn)是否與開發(fā)測試環(huán)境網(wǎng)絡(luò)隔離。S-3（集成管控）TN-1-3a)1）核查組織開發(fā)測試環(huán)境和測試報告，是否與實際

16、生產(chǎn)環(huán)境相匹配。S-4（綜合協(xié)同）TN-1-4a)1）通過人工核查或工具檢測，確認(rèn)工業(yè)控制系統(tǒng)開發(fā)、測試和生產(chǎn)環(huán)境是否分離（如網(wǎng)絡(luò)是否相連、生產(chǎn)環(huán)境是否存在測試賬戶/數(shù)據(jù)等）。S-5（智能保障）TN-1-5a)1）通過人工核查云端開發(fā)環(huán)境，現(xiàn)場核查測試環(huán)境與實際生產(chǎn)環(huán)境，查看策略和配置文檔，是否實現(xiàn)開發(fā)環(huán)境、測試環(huán)境、用戶驗收測試環(huán)境及生產(chǎn)環(huán)境的分離控制。B.1.2.2區(qū)域劃分安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）TN-2-1a)1）通過人員訪談或文檔查閱，確認(rèn)是否建立安全區(qū)域劃分策略。S-2（單點防護(hù)）TN-2-2a)1）通過人員訪談或人工核查，確認(rèn)其是否依據(jù)區(qū)域重要性和業(yè)務(wù)需求

17、合理劃分工業(yè)控制網(wǎng)絡(luò)安全區(qū)域。S-3（集成管控）TN-2-3a)1）通過文檔查閱或人工核查，確認(rèn)其是否依據(jù)安全區(qū)域?qū)嵤└綦x防護(hù)以滿足企業(yè)網(wǎng)絡(luò)邊界防護(hù)需求；2）通過人工核查或工具檢測，確認(rèn)網(wǎng)絡(luò)安全防護(hù)設(shè)備部署情況及配置策略，核查其與組織提供材料的一致性。S-4（綜合協(xié)同）TN-2-4a)1）查閱組織工業(yè)控制網(wǎng)絡(luò)拓?fù)鋱D，控制設(shè)備是否按功能和安全要求劃分到不同區(qū)域；2）核查組織工業(yè)控制網(wǎng)絡(luò)通信管理系統(tǒng)，區(qū)域之間是否執(zhí)行管道通信，并對控制區(qū)域間管道中的通信內(nèi)容進(jìn)行統(tǒng)一管理。S-5（智能保障）TN-2-5a)1）核查網(wǎng)閘、防火墻、路由器、交換機和無線接入網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件，是否能

18、智能生成區(qū)域訪問控制策略并自適應(yīng)演進(jìn)。B.1.2.3邊界防護(hù)安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）TN-3-1a)1）通過人工核查或工具檢測，確認(rèn)工業(yè)控制網(wǎng)絡(luò)是否未發(fā)生在無防護(hù)狀態(tài)下直接連接互聯(lián)網(wǎng)的情況。S-2（單點防護(hù)）TN-3-2a)1）通過人員訪談或文檔查閱，核查是否在不同網(wǎng)絡(luò)邊界之間部署安全防護(hù)設(shè)備，評價安全訪問控制和限制非法網(wǎng)絡(luò)訪問等功能的有效性；2）通過人工核查或工具檢測，確認(rèn)網(wǎng)絡(luò)邊界的安全防護(hù)設(shè)備部署是否與組織提供材料相一致，評價安全防護(hù)設(shè)備配置策略及其部署實施情況的真實性。TN-3-2b)c)1）核查生產(chǎn)網(wǎng)和辦公網(wǎng)邊界的安全防護(hù)設(shè)備，是否有非授權(quán)內(nèi)聯(lián)和非法外聯(lián)行為限

19、制或檢查功能或記錄。S-3（集成管控）TN-3-3a)1）核查工業(yè)控制網(wǎng)絡(luò)邊界的安全防護(hù)設(shè)備，是否具有通信監(jiān)控功能。S-4（綜合協(xié)同）TN-3-4a)1）核查組織連接外部網(wǎng)絡(luò)或工業(yè)控制系統(tǒng)的接口，是否得到管理并與邊界安全保護(hù)設(shè)備相一致；2）是否限制外部信息流僅能流向管理接口中的服務(wù)器。TN-3-4b)1）核查無線網(wǎng)絡(luò)的部署方式，是否單獨組網(wǎng)后再連接到有線網(wǎng)絡(luò)；2）核查無線網(wǎng)絡(luò)是否通過受控的邊界防護(hù)設(shè)備接入到內(nèi)部網(wǎng)絡(luò)；3）核查是否禁止用戶自主配置無線網(wǎng)絡(luò)功能。S-5（智能保障）TN-3-5a)1）核查并測試驗證是否采用技術(shù)措施能夠?qū)Ψ鞘跈?quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行有效阻斷；2）核查并測試驗證是否

20、采用技術(shù)措施能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行有效阻斷。TN-3-5b)1）核查并測試驗證是否采用可信驗證機制對接入到網(wǎng)絡(luò)中的設(shè)備進(jìn)行可信驗證。B.1.3工業(yè)主機安全B.1.3.1安全軟件安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）IH-1-1a)1）通過人員訪談和文檔查閱，是否建立工業(yè)控制系統(tǒng)防病毒和惡意軟件入侵管理制度；2）通過人員訪談和文檔查閱，防病毒和惡意軟件入侵管理制度是否完善。IH-1-1b)1）通過人員訪談和現(xiàn)場核查，工業(yè)控制系統(tǒng)是否安裝安全防護(hù)軟件；2）通過現(xiàn)場核查和工具檢測，安全防護(hù)軟件是否具備病毒、木馬防護(hù)，未授權(quán)應(yīng)用禁止等功能。S-2（單點防護(hù)）IH-1-2

21、a)1）通過現(xiàn)場核查和工具檢測，安全軟件是否已在離線環(huán)境中測試驗證。IH-1-2b)1）通過人員訪談和現(xiàn)場核查，是否按照采購合同、軟件協(xié)議等規(guī)定的方式正確使用安全軟件。S-3（集成管控）IH-1-3a)1）通過人員訪談和現(xiàn)場核查，是否定期對工業(yè)控制系統(tǒng)進(jìn)行查殺；2）通過人員訪談和現(xiàn)場核查，臨時接入設(shè)備使用前是否進(jìn)行查殺，并留存查殺記錄。S-4（綜合協(xié)同）IH-1-4a)1）通過人員訪談和現(xiàn)場核查，是否安裝工業(yè)控制系統(tǒng)安全軟件統(tǒng)一管理系統(tǒng)。IH-1-4b)1）通過現(xiàn)場核查和工具檢測，檢測安全軟件是否能夠及時識別網(wǎng)絡(luò)入侵和惡意病毒，并及時告警。S-5（智能保障）IH-1-5a)1）通過人員訪談和現(xiàn)

22、場核查，已部署的安全軟件統(tǒng)一管理系統(tǒng)是否集成自適應(yīng)分析學(xué)習(xí)功能；2）通過現(xiàn)場核查和工具檢測，安全軟件統(tǒng)一管理系統(tǒng)是否能實現(xiàn)異?？刂瞥绦颉⒅噶畹葘崟r分析反饋。B.1.3.2補丁升級安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）IH-2-1a)1）通過人員訪談和文檔查閱，是否建立工業(yè)信息安全漏洞和補丁管理制度。S-2（單點防護(hù)）IH-2-2a)1）通過人員訪談和現(xiàn)場核查，出現(xiàn)重大工業(yè)信息安全漏洞時，是否及時進(jìn)行補丁升級或消減措施。S-3（集成管控）IH-2-3a)1）通過人員訪談和現(xiàn)場核查，補丁安裝前，是否對補丁進(jìn)行安全評估測試，驗證其可能帶來的后果。IH-2-3b)1）通過人員訪談和現(xiàn)場核查

23、，補丁升級是否由組織統(tǒng)一管理，并由專業(yè)人員進(jìn)行補丁升級。S-4（綜合協(xié)同）IH-2-4a)1）通過人員訪談和現(xiàn)場核查，在補丁升級前，是否制定詳細(xì)的回退計劃。S-5（智能保障）IH-2-5a)1）通過人員訪談和現(xiàn)場核查，是否部署補丁審查系統(tǒng)；2）通過人員訪談和現(xiàn)場核查，補丁審查系統(tǒng)是否能定期自動掃描檢查工業(yè)主機補丁升級情況。IH-2-5b)1）通過人員訪談和現(xiàn)場核查，是否建立全仿真測試環(huán)境；2）通過人員訪談和現(xiàn)場核查，補丁安裝前，是否在測試環(huán)境中開展全面安全性測試。B.1.3.3外設(shè)管理安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）IH-3-1a)1）通過人員訪談和文檔查閱，是否建立工業(yè)主機

24、外設(shè)接口管理制度。S-2（單點防護(hù)）IH-3-2a)1）通過人員訪談和現(xiàn)場核查，是否拆除或封閉工業(yè)主機上不必要的USB、光驅(qū)、無線等接口。S-3（集成管控）IH-3-3b)1）通過人員訪談和現(xiàn)場核查，是否通過外設(shè)安全管理、技術(shù)手段實現(xiàn)訪問控制。S-4（綜合協(xié)同）IH-3-4a)1）通過人員訪談和現(xiàn)場核查，是否采用經(jīng)過統(tǒng)一審批的工業(yè)主機外接設(shè)備；2）通過現(xiàn)場核查和工具檢測，工業(yè)主機是否拒絕訪問未經(jīng)審批的外接設(shè)備。S-5（智能保障）一一B.1.3.4身份認(rèn)證安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）IH-4-1a)1）通過人員訪談和文檔查閱，是否建立身份認(rèn)證管理制度。IH-4-1b)1）通

25、過人員訪談和文檔查閱，是否建立密碼口令管理制度。IH-4-1c)1）通過人員訪談和現(xiàn)場核查，是否根據(jù)不同業(yè)務(wù)需求、崗位職責(zé)，合理分類設(shè)置賬戶。S-2（單點防護(hù)）IH-4-2a)1）通過人員訪談和現(xiàn)場核查，在工業(yè)主機等登錄訪問過程中，是否使用身份認(rèn)證管理技術(shù)。IH-4-2b)1）通過人員訪談和現(xiàn)場核查，是否明確禁止賬戶借用。IH-4-2c)1）通過人員訪談和現(xiàn)場核查，是否以最小特權(quán)原則來進(jìn)行系統(tǒng)賬戶權(quán)限分配。IH-4-2d)1）通過人員訪談和現(xiàn)場核查，賬戶是否設(shè)置高強度登錄密碼，并定期更新。S-3（集成管控）IH-4-3a)1）通過現(xiàn)場核查和工具檢測，連續(xù)登錄失敗時，是否限制賬戶的無效訪問。IH

26、-4-3b)1）通過人員訪談和現(xiàn)場核查，是否加強對身份認(rèn)證信息的保護(hù)力度，禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。S-4（綜合協(xié)同）IH-4-4a)1）通過人員訪談和現(xiàn)場核查，在關(guān)鍵設(shè)備、系統(tǒng)和平臺的訪問過程中，是否采用兩種或兩種以上因素認(rèn)證方式。IH-4-4b)1）通過人員訪談和現(xiàn)場核查，是否明確授權(quán)和監(jiān)督匿名賬戶的使用。IH-4-4c)1）通過人員訪談和現(xiàn)場核查，是否定期審計賬戶權(quán)限。IH-4-4d)1）通過人員訪談和現(xiàn)場核查，當(dāng)未成功嘗試超出最大次數(shù)時，是否鎖死賬戶，直至管理員予以釋放。S-5（智能保障）IH-4-5a)1）通過人員訪談和現(xiàn)場核查，是否建立全組織范圍內(nèi)的身份認(rèn)證系統(tǒng)；2）通過人員

27、訪談和現(xiàn)場核查，是否實現(xiàn)多級別因素認(rèn)證，構(gòu)建重要工業(yè)設(shè)備多層防御機制。B.1.4應(yīng)用程序安全B.1.4.1源代碼審計安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）AP-1-1a)1）查閱企業(yè)信息安全保障相關(guān)文件，確認(rèn)是否有針對工業(yè)控制系統(tǒng)的應(yīng)用程序源代碼進(jìn)行安全審計的要求。S-2（單點防護(hù)）AP-1-2a)1）查閱企業(yè)工業(yè)控制系統(tǒng)應(yīng)用程序管理文件，確認(rèn)是否有禁止使用開源、受限制的或無認(rèn)證源代碼源的可執(zhí)行代碼的要求；2）通過對現(xiàn)場工作人員的訪談或相關(guān)工具演示，確認(rèn)是否有相應(yīng)技術(shù)手段保障實施該項要求。S-3（集成管控）AP-1-3a)1）查閱企業(yè)定制軟件和應(yīng)用程序的服務(wù)合同等資料，確認(rèn)是否要求

28、對交付的軟件和應(yīng)用程序進(jìn)行源代碼安全分析等測試；2）核查企業(yè)定制軟件和應(yīng)用程序的安全測試報告資料，確認(rèn)是否包含了SQL注入、文件操作（上傳/寫入/讀取/刪除）、文件包含、命令執(zhí)行、XSS、Cookie欺騙、邏輯漏洞等方面的測試。S-4（綜合協(xié)同）AP-1-4a)1）核查企業(yè)源代碼審計記錄形成的知識庫，確認(rèn)是否形成了明確的代碼審計流程；2）查驗產(chǎn)業(yè)鏈上下游服務(wù)企業(yè)提交的源代碼審計記錄，確認(rèn)是否按照規(guī)定的代碼審計流程實施。AP-1-4b)1）核查企業(yè)定制軟件和應(yīng)用程序的目錄列表，確認(rèn)是否都具有對應(yīng)的源代碼安全檢測升級報告。S-5（智能保障）AP-1-5a)1）通過現(xiàn)場工作人員演示，確認(rèn)是否有定制專

29、用的代碼審計工具；2）查閱該工具的運維記錄日志，確認(rèn)是否進(jìn)行持續(xù)升級維護(hù)。AP-1-5b)1）查閱企業(yè)源代碼審計標(biāo)準(zhǔn)文件，確認(rèn)是否實現(xiàn)了代碼審計工作流程的標(biāo)準(zhǔn)化；2）查閱企業(yè)源代碼審計工具庫，確認(rèn)是否可以滿足代碼審計標(biāo)準(zhǔn)化流程的需要。AP-1-5c)1）核查企業(yè)內(nèi)部技術(shù)崗位設(shè)置情況，確認(rèn)是否有從事源代碼安全檢測工作的人員配置。B.1.4.2升級安全保障安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）AP-2-1a)1）查閱企業(yè)信息安全保障相關(guān)文件，確認(rèn)是否有針對工業(yè)控制系統(tǒng)的應(yīng)用程序制定升級過程安全保障的要求。S-2（單點防護(hù)）AP-2-2a)1）查閱應(yīng)用程序升級過程記錄，確認(rèn)升級包是否通過

30、官方渠道獲得；2）確認(rèn)是否有相應(yīng)的檢查工具，對升級包的簽名或摘要值進(jìn)行了檢查確認(rèn)。AP-2-2b)1）查閱應(yīng)用程序升級過程記錄，確認(rèn)是否在升級實施前對升級包進(jìn)行了安全測評；2）查閱相關(guān)升級測試報告等文件，確認(rèn)是否包含測試環(huán)境、測試內(nèi)容、測試方法、測試過程、測試時間、測試人等內(nèi)容。S-3（集成管控）AP-2-3c)1）查閱應(yīng)用程序升級過程記錄，確認(rèn)是否對升級后的應(yīng)用程序進(jìn)行持續(xù)跟蹤；2）確認(rèn)是否有技術(shù)工具對升級后的異常狀況進(jìn)行發(fā)現(xiàn)和處理。S-4（綜合協(xié)同）AP-3-4a)1）查閱針對應(yīng)用程序安全升級的管理系統(tǒng)設(shè)計、驗證、建設(shè)等文檔，確認(rèn)是否能有效實現(xiàn)應(yīng)用程序升級工作的統(tǒng)籌管理；2）通過現(xiàn)場工作人

31、員演示，確認(rèn)該管理系統(tǒng)是否已經(jīng)部署實施。AP-3-4b)1）查閱企業(yè)信息安全保障相關(guān)文件，確認(rèn)是否有關(guān)于應(yīng)用程序升級失敗后“回退”的計劃安排；2）通過對現(xiàn)場工作人員的訪談，確認(rèn)其是否了解升級失敗后“回退”的具體操作步驟。S-5（智能保障）一一B.1.5數(shù)據(jù)安全防護(hù)B.1.5.1數(shù)據(jù)分類分級管理安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）DP-1-1a)1）查閱組織對工業(yè)數(shù)據(jù)資產(chǎn)分類梳理記錄，是否建立工業(yè)數(shù)據(jù)資產(chǎn)目錄；2）工業(yè)數(shù)據(jù)資產(chǎn)目錄是否完整合理。S-2（單點防護(hù)）DP-1-2a)1）是否按照行業(yè)主管部門相關(guān)規(guī)定，開展工業(yè)數(shù)據(jù)分類分級工作，形成工作記錄及分類分級結(jié)果。DP-1-2b)1

32、）是否具備以書面的形式整理的工業(yè)數(shù)據(jù)分類情況和定級情況；2）是否組織技術(shù)專家對工業(yè)數(shù)據(jù)分類分級結(jié)果的合理性和正確性進(jìn)行審核論證。S-3（集成管控）DP-1-3a)1）是否制定規(guī)則，明確工業(yè)數(shù)據(jù)的應(yīng)用現(xiàn)狀、防護(hù)措施、共享范圍等，并向數(shù)據(jù)所在地相應(yīng)層級的有關(guān)部門上報備案。DP-1-3b)1）是否每年定期對數(shù)據(jù)備案情況進(jìn)行復(fù)查，并將變更情況上報有關(guān)部門。S-4（綜合協(xié)同）DP-1-4a)1）是否制定數(shù)據(jù)共享制度；2）是否禁止核心工業(yè)數(shù)據(jù)共享；3）對確需共享的工業(yè)數(shù)據(jù)，是否按照相關(guān)法規(guī)政策要求，嚴(yán)格控制知悉范圍，并報數(shù)據(jù)所在地的省級有關(guān)主管部門備案。S-5（智能保障）DP-1-5a)1）是否在數(shù)據(jù)共享

33、制度中明確規(guī)定對不同重要性或敏感程度的數(shù)據(jù)共享范圍進(jìn)行分類控制；2）是否按照數(shù)據(jù)定級情況，明確獲取該項數(shù)據(jù)以及授權(quán)機構(gòu)及相關(guān)單位。DP-1-5b)1）針對S-2以上的（分級分類等級）數(shù)據(jù)，是否采取最小知悉原則確定開放范圍；2）是否按照數(shù)據(jù)分類分級情況，建立加密認(rèn)證、權(quán)限管理和訪問管理等安全保護(hù)機制。B.1.5.2差異化防護(hù)安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）DP-2-1a)1）通過文檔查閱和人員訪談，核查組織是否建立重要工業(yè)數(shù)據(jù)清單；2）核查重要工業(yè)數(shù)據(jù)清單是否完整、準(zhǔn)確；DP-2-1b)1）現(xiàn)場核查重要工業(yè)數(shù)據(jù)傳輸是否采用校驗技術(shù)以保證完整性。S-2（單點防護(hù)）DP-2-2a)

34、1）核查靜態(tài)存儲的重要工業(yè)數(shù)據(jù)是否設(shè)置訪問控制功能。DP-2-2b)1）現(xiàn)場核查組織的重要工業(yè)數(shù)據(jù)在動態(tài)傳輸過程中是否采用加密傳輸或使用VPN等方式進(jìn)行保護(hù)。DP-2-2c)1）現(xiàn)場核查靜態(tài)存儲的重要工業(yè)數(shù)據(jù)是否采用加密存儲或隔離保護(hù)；2）核查是否制定靜態(tài)數(shù)據(jù)訪問流程，記錄數(shù)據(jù)訪問日志并定期審計。S-3（集成管控）DP-2-3a)1）通過人員訪談和文檔查閱，核查組織是否根據(jù)行業(yè)主管部門相關(guān)政策，對數(shù)據(jù)進(jìn)行分類梳理和標(biāo)識；2）核查組織是否建立工業(yè)數(shù)據(jù)資產(chǎn)分類目錄。DP-2-3b)1）核查是否根據(jù)行業(yè)主管部門相關(guān)政策，按照數(shù)據(jù)重要性或敏感度的不同，對數(shù)據(jù)實施分級防護(hù)。DP-2-3c)1）是否建立針

35、對工業(yè)數(shù)據(jù)上云的授權(quán)認(rèn)證機制；2）是否明確規(guī)定不同類別工業(yè)數(shù)據(jù)使用范圍、使用權(quán)限;3）是否與云服務(wù)商或第三方簽訂協(xié)議或合同時嚴(yán)格明確其對于生產(chǎn)控制數(shù)據(jù)的采集、管理和使用權(quán)限。S-4（綜合協(xié)同）DP-2-4a)1）是否能對進(jìn)出工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。DP-2-4b)2）是否采用技術(shù)或人工篩選的方式對連接設(shè)備（包括終端節(jié)點）產(chǎn)生、傳輸和存儲的數(shù)據(jù)進(jìn)行標(biāo)識、鑒別和可信驗證。S-5（智能保障）DP-2-5a)1）是否建設(shè)了數(shù)據(jù)集中管控平臺；2）平臺是否具備對分散在各個工業(yè)控制系統(tǒng)及設(shè)備上的關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行收集匯總、集中分析和合規(guī)審計等能力。B.1.5.3數(shù)據(jù)備份安全防

36、護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）DP-3-1a)1）通過文檔查閱、人員訪談，核查是否建立關(guān)鍵業(yè)務(wù)數(shù)據(jù)清單（如生產(chǎn)工藝、生產(chǎn)計劃、組態(tài)文件、調(diào)度管理等數(shù)據(jù)）。DP-3-1b)1）核查是否定期對關(guān)鍵業(yè)務(wù)數(shù)據(jù)實施本地備份；2）是否對關(guān)鍵業(yè)務(wù)數(shù)據(jù)提供數(shù)據(jù)恢復(fù)功能。S-2（單點防護(hù)）DP-3-2a)1）核查是否對關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行異地備份；2）是否利用受保護(hù)的通信網(wǎng)絡(luò)將重要數(shù)據(jù)定時批量傳送至備份場地。DP-3-2b)1）核查是否根據(jù)業(yè)務(wù)需要，制定關(guān)鍵業(yè)務(wù)數(shù)據(jù)的備份方式、備份周期等策略，策略是否合理有效；2）查閱數(shù)據(jù)備份記錄，核查數(shù)據(jù)備份策略是否執(zhí)行到位。S-3（集成管控）DP-3-3a)1）核

37、查是否定期對所備份的關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行恢復(fù)測試，并形成測試記錄；2）核查所備份的關(guān)鍵業(yè)務(wù)數(shù)據(jù)恢復(fù)的及時性、完整性等是否滿足組織業(yè)務(wù)需要。DP-3-3b)1）是否對備份數(shù)據(jù)建立合理、有效的安全防護(hù)手段（如數(shù)據(jù)加密、訪問控制等）。S-4（綜合協(xié)同）DP-3-4a)1）是否根據(jù)數(shù)據(jù)重要性和對系統(tǒng)運行的影響，制定相應(yīng)的數(shù)據(jù)備份策略和恢復(fù)策略；2）是否部署有效的備份程序和恢復(fù)程序。S-5（智能保障）DP-3-5a)1）核查是否建立異地災(zāi)難備份中心，提供數(shù)據(jù)處理系統(tǒng)及業(yè)務(wù)應(yīng)用的實時切換；2）是否對備份數(shù)據(jù)進(jìn)行定期切換測試，形成測試記錄，確保切換數(shù)據(jù)的可用性。DP-3-5b)1）核查是否能提供具備實時性的關(guān)鍵業(yè)務(wù)數(shù)據(jù)處理系統(tǒng)的熱冗余。B.1.5.4數(shù)據(jù)保護(hù)安全防護(hù)階段評價要求標(biāo)號對標(biāo)方法S-1（規(guī)劃建設(shè)）DP-4-1a)1）通過人員訪談或文檔查閱，組織是否建立相應(yīng)的規(guī)章制度對測試數(shù)據(jù)進(jìn)行管理和保護(hù)。S-2（單點防護(hù)）DP-4-2a