今日頭條
官方微信
官方抖音
資訊頻道
1 范圍
本部分規(guī)定了對工業(yè)控制系統(tǒng)的信息安全解決方案的安全性進行驗收的流程、測試內(nèi)容、方法及應達到的要求。該方案可以通過增加設(shè)備或系統(tǒng)提高其安全性。本部分的各項內(nèi)容可作為實際工作中的指導,適用于石油、化工、電力、核設(shè)施、交通、冶金、水處理、生產(chǎn)制造等行業(yè)使用的控制系統(tǒng)和設(shè)備。
2 概述
對于在運行系統(tǒng)的驗收測試,應采用最小影響原則,即首要保障系統(tǒng)的穩(wěn)定運行。對于需要進行攻擊性測試的工作內(nèi)容,需與業(yè)主和供應商溝通并進行備份,盡量選擇非運行時間進行。
根據(jù)業(yè)主提出的安全性要求給出信息安全解決方案,通過增加設(shè)備或系統(tǒng)來降低風險,并由業(yè)主最終決定是否通過驗收。對其驗收時如果沒有通過,則進行整改,再重新驗收,直至最后通過。驗收過程劃分為驗收準備、風險分析與處置、能力確認三個階段。
不符合項的處理歸為如下幾類:
(1)當場整改,然后繼續(xù)進行驗收測試;
(2)在驗收過程中同時進行整改;
(3)需再次進行驗收;
(4)在驗收完成后進行整改。
驗收的基本工作形式包括自驗收和第三方驗收。自GB/T 30976.2-2014驗收是系統(tǒng)的擁有、運營或使用單位發(fā)起的對本單位系統(tǒng)進行的驗收。第三方驗收是委托第三方負責實施的驗收。
3 驗收準備階段
(1)確定驗收目標和范圍
由于工業(yè)控制系統(tǒng)生命周期各階段中風險的內(nèi)容、驗收的對象、安全需求均不同,因此業(yè)主應首先根據(jù)當前實際情況確定在工控系統(tǒng)生命周期中所處的階段,并以此來明確驗收目標。
驗收的目標、范圍和標準應得到利益相關(guān)方的認可。在實施對工控系統(tǒng)控制能力可能產(chǎn)生影響的任何附加安全解決方案之前,應征求控制系統(tǒng)原始設(shè)計方的意見。
(2)文檔準備
在開始驗收工作之前,供應商應已完成所有的內(nèi)部測試,并提供可供復查的測試報告或有關(guān)機構(gòu)的評估報告,準備好相關(guān)文件以備驗收過程中使用。主要包括:業(yè)主/總承包商準備的文件、供應商準備的文件等。
4 風險分析與處置階段
(1)系統(tǒng)風險分析
系統(tǒng)風險分析主要是針對增加安全解決方案后可能產(chǎn)生的風險。關(guān)鍵控制點主要有以下兩點:
·建立的風險分析模型及確定的風險計算方法,應能正確反應用戶的行業(yè)安全特點,核心業(yè)務系統(tǒng)所處的內(nèi)、外部環(huán)境安全狀況;
·用戶確認的信息、數(shù)據(jù)及相關(guān)文檔資料應及時得到準確反饋。
(2)風險處置方案
風險處置的基本原則是根據(jù)用戶可接受的處置成本將殘余安全風險控制在可以接受的范圍內(nèi)。
方式一般包括接受、消減、轉(zhuǎn)移、規(guī)避等。在風險不適合轉(zhuǎn)移或規(guī)避的情況下,通常采用安全整改進行風險消減。風險分析需提出安全整改建議。
安全整改建議需根據(jù)安全風險的嚴重程度、加固措施實施的難易程度、降低風險的時間緊迫程度、所投入的人員力量及資金成本等因素綜合考慮。
5 能力確認階段
5.1 設(shè)備要求
5.1.1 工業(yè)環(huán)境適應性要求
用于工業(yè)現(xiàn)場的安全設(shè)備,應符合工業(yè)環(huán)境的相關(guān)要求。本標準規(guī)定的工業(yè)環(huán)境適應性要求包括:氣候、電磁兼容、電氣安全、機械適應性、外部電源和外殼防護要求。由于設(shè)備適用的行業(yè)不同,可增加行業(yè)特定的要求。
(1)氣候環(huán)境
設(shè)備在規(guī)定的工作溫度范圍內(nèi)工作時,應符合其功能和性能規(guī)定。在規(guī)定的溫度范圍內(nèi)貯存和運輸時,不應發(fā)生裂痕、老化或其他損壞;當經(jīng)受該溫度范圍后再恢復到工作溫度范圍時,設(shè)備應能正常工作。
(2)電磁兼容
對設(shè)備的電磁兼容性要求參見GB/T 18268.1-2010,包括電源電壓暫降、電源電壓短時中斷、靜電放電、射頻電磁場輻射、電快速瞬變脈沖群、浪涌(沖擊)、射頻場感應的傳導騷擾、工頻磁場等。
(3)電氣安全
針對絕緣電阻:在一般試驗大氣條件下,設(shè)備的輸入端子與外殼、輸出端子與外殼、電源端子與外殼、輸入端子與電源端子、輸出端子與電源端子之間的絕緣電阻應不小于20MΩ。
針對絕緣強度:在一般試驗大氣條件下,設(shè)備的輸入端子與外殼、輸出端子與外殼、電源端子與外殼、輸入端子與電源端子、輸出端子與電源端子之間施加規(guī)定的試驗電壓,判定電流為5mA,保持1min, 應不出現(xiàn)擊穿或飛弧現(xiàn)象。
(4)機械適應性
機械適應性要求參見GB/T 15153.2-2000。
(5)外部電源
一般工業(yè)環(huán)境交流電源要求和直流電源要求參見GB/T 15153.1-2000,其中標稱電壓容差應為10%~-10%。
(6)外殼防護
設(shè)備外殼防護等級由制造廠商和業(yè)主協(xié)商確定。用于控制室內(nèi)或機柜內(nèi)的設(shè)備至少應達到IP20等級,用于現(xiàn)場的設(shè)備至少應達到IP65等級。
(7)防爆性能
防爆性能應符合參見GB 3836.1、GB 3836.2、GB 3836.4的相關(guān)要求,并取得國家指定的防爆檢驗機構(gòu)頒發(fā)的防爆合格證。
(8)其他要求
主要包括:外觀、連續(xù)工作性能等。
5.1.2 信息安全功能測試要求
(1)對于控制設(shè)備的測試
健壯性測試包括接口界面測試和協(xié)議特定健壯性測試。本標準中,健壯性測試主要是針對基于TCP/IP的設(shè)備。如果對于非TCP/IP的設(shè)備,還需要針對其特定協(xié)議,進行通信健壯性測試。主要包括了接口界面測試和協(xié)議特定健壯性測試。
適用場合:
·設(shè)備入網(wǎng):驗收將要上線的設(shè)備符合健壯性要求。
·健壯性測試不建議用于線上正在運行的設(shè)備。
基線檢查適用原則:具體設(shè)備的安全要求(功能、配置)應包括適用設(shè)備運行的操作系統(tǒng)、數(shù)據(jù)庫和應用程序三個層面的最低要求,并依實際情況,選擇部分增強要求。
適用場合:
·設(shè)備入網(wǎng):保證新設(shè)備達到功能要求。
·工程驗收:保證驗收上線的設(shè)備符合配置要求。
·日常維護:保證在網(wǎng)設(shè)備持續(xù)符合配置要求。
(2)對于邊界防護設(shè)備的安全要求
主要包括網(wǎng)關(guān)設(shè)備、路由設(shè)備、交換設(shè)備、防火墻、隔離部件等。健壯性測試和基線檢查也適用于邊界防護設(shè)備。詳細內(nèi)容見GB/T30976.2-2014。
5.2 系統(tǒng)測試
(1)測試條件
接入工業(yè)控制系統(tǒng)的全部現(xiàn)場設(shè)備,包括變送器、執(zhí)行器、接線箱以及電纜等設(shè)備均應按照有關(guān)標準進行安裝、調(diào)試、試運行并驗收合格。
(2)系統(tǒng)安全測試
對于系統(tǒng)信息安全的測試主要針對系統(tǒng)能力。不同于信息安全評估,本標準中的系統(tǒng)測試側(cè)重于新增加的安全保障系統(tǒng)對原有系統(tǒng)的影響,以及對之前評估過程中提出的潛在風險和漏洞進行查驗。可根據(jù)實際情況選擇適用的條款進行測試。
(3)系統(tǒng)性能測試
加入信息安全保障措施后,應滿足原有系統(tǒng)的實時性、可靠性、安全性的要求。
(4)網(wǎng)絡(luò)連接要求
工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的連接,應采取防火墻、單向隔離、DMZ等措施。企業(yè)內(nèi)部控制網(wǎng)絡(luò)與信息管理網(wǎng)絡(luò)之間應采取必要的隔離措施。對于大型系統(tǒng),宜考慮不同區(qū)域之間的隔離措施。
(5)應急災備要求
在發(fā)生緊急情況下,系統(tǒng)的信息安全應急預案,必要的備機備件等容災備份措施。
5.3 驗收結(jié)論
(1)驗收文檔
工業(yè)控制系統(tǒng)信息安全驗收文檔除準備階段提供的文檔外,還至少應包括下列內(nèi)容:
·信息安全風險分析報告;
·測試記錄或報告;
·驗收結(jié)論;
·系統(tǒng)應急處理方案等。
(2)驗收結(jié)論的編制
編制原則為:驗收結(jié)論應依據(jù)整個驗收過程中對相關(guān)要求的符合性做出判定。
基本要求主要包括:
·各階段驗收內(nèi)容及結(jié)論;
·驗收不符合項表;
·不符合內(nèi)容對系統(tǒng)信息安全能力的影響分析;
·是否通過驗收的建議。
作者簡介
王玉敏(1971-),女,河北人,教授級高工,碩士研究生,現(xiàn)就職于機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所,主要研究方向是工業(yè)控制系統(tǒng)信息安全。
北京市公安局海淀分局備案號:11010802023656號