今日頭條
官方微信
官方抖音
資訊頻道1 范圍
本部分規定了對工業控制系統的信息安全解決方案的安全性進行驗收的流程、測試內容、方法及應達到的要求。該方案可以通過增加設備或系統提高其安全性。本部分的各項內容可作為實際工作中的指導,適用于石油、化工、電力、核設施、交通、冶金、水處理、生產制造等行業使用的控制系統和設備。
2 概述
對于在運行系統的驗收測試,應采用最小影響原則,即首要保障系統的穩定運行。對于需要進行攻擊性測試的工作內容,需與業主和供應商溝通并進行備份,盡量選擇非運行時間進行。
根據業主提出的安全性要求給出信息安全解決方案,通過增加設備或系統來降低風險,并由業主最終決定是否通過驗收。對其驗收時如果沒有通過,則進行整改,再重新驗收,直至最后通過。驗收過程劃分為驗收準備、風險分析與處置、能力確認三個階段。
不符合項的處理歸為如下幾類:
(1)當場整改,然后繼續進行驗收測試;
(2)在驗收過程中同時進行整改;
(3)需再次進行驗收;
(4)在驗收完成后進行整改。
驗收的基本工作形式包括自驗收和第三方驗收。自驗收是系統的擁有、運營或使用單位發起的對本單位系統進行的驗收。第三方驗收是委托第三方負責實施的驗收。
3 驗收準備階段
(1)確定驗收目標和范圍
由于工業控制系統生命周期各階段中風險的內容、驗收的對象、安全需求均不同,因此業主應首先根據當前實際情況確定在工控系統生命周期中所處的階段,并以此來明確驗收目標。
驗收的目標、范圍和標準應得到利益相關方的認可。在實施對工控系統控制能力可能產生影響的任何附加安全解決方案之前,應征求控制系統原始設計方的意見。
(2)文檔準備
在開始驗收工作之前,供應商應已完成所有的內部測試,并提供可供復查的測試報告或有關機構的評估報告,準備好相關文件以備驗收過程中使用。主要包括:業主/總承包商準備的文件、供應商準備的文件等。
4 風險分析與處置階段
(1)系統風險分析
系統風險分析主要是針對增加安全解決方案后可能產生的風險。關鍵控制點主要有以下兩點:
·建立的風險分析模型及確定的風險計算方法,應能正確反應用戶的行業安全特點,核心業務系統所處的內、外部環境安全狀況;
·用戶確認的信息、數據及相關文檔資料應及時得到準確反饋。
(2)風險處置方案風險處置的基本原則是根據用戶可接受的處置成本將殘余安全風險控制在可以接受的范圍內。
方式一般包括接受、消減、轉移、規避等。在風險不適合轉移或規避的情況下,通常采用安全整改進行風險消減。風險分析需提出安全整改建議。
安全整改建議需根據安全風險的嚴重程度、加固措施實施的難易程度、降低風險的時間緊迫程度、所投入的人員力量及資金成本等因素綜合考慮。
5 能力確認階段
5.1 設備要求
5.1.1 工業環境適應性要求
用于工業現場的安全設備,應符合工業環境的相關要求。本標準規定的工業環境適應性要求包括:氣候、電磁兼容、電氣安全、機械適應性、外部電源和外殼防護要求。由于設備適用的行業不同,可增加行業特定的要求。
(1)氣候環境
設備在規定的工作溫度范圍內工作時,應符合其功能和性能規定。在規定的溫度范圍內貯存和運輸時,不應發生裂痕、老化或其他損壞;當經受該溫度范圍后再恢復到工作溫度范圍時,設備應能正常工作。
(2)電磁兼容
對設備的電磁兼容性要求參見GB/T 18268.1-2010,包括電源電壓暫降、電源電壓短時中斷、靜電放電、射頻電磁場輻射、電快速瞬變脈沖群、浪涌(沖擊)、射頻場感應的傳導騷擾、工頻磁場等。
(3)電氣安全
針對絕緣電阻:在一般試驗大氣條件下,設備的輸入端子與外殼、輸出端子與外殼、電源端子與外殼、輸入端子與電源端子、輸出端子與電源端子之間的絕緣電阻應不小于20MΩ。
針對絕緣強度:在一般試驗大氣條件下,設備的輸入端子與外殼、輸出端子與外殼、電源端子與外殼、輸入端子與電源端子、輸出端子與電源端子之間施加規定的試驗電壓,判定電流為5mA,保持1min, 應不出現擊穿或飛弧現象。
(4)機械適應性機械適應性要求參見GB/T 15153.2-2000。
(5)外部電源
一般工業環境交流電源要求和直流電源要求參見GB/T 15153.1-2000,其中標稱電壓容差應為10%~-10%。
(6)外殼防護
設備外殼防護等級由制造廠商和業主協商確定。用于控制室內或機柜內的設備至少應達到IP20等級,用于現場的設備至少應達到IP65等級。
(7)防爆性能
防爆性能應符合參見GB 3836.1、GB 3836.2、GB 3836.4的相關要求,并取得國家指定的防爆檢驗機構頒發的防爆合格證。
(8)其他要求
主要包括:外觀、連續工作性能等。
5.1.2 信息安全功能測試要求
(1)對于控制設備的測試
健壯性測試包括接口界面測試和協議特定健壯性測試。本標準中,健壯性測試主要是針對基于TCP/IP的設備。如果對于非TCP/IP的設備,還需要針對其特定協議,進行通信健壯性測試。主要包括了接口界面測試和協議特定健壯性測試。
適用場合:
·設備入網:驗收將要上線的設備符合健壯性要求。
·健壯性測試不建議用于線上正在運行的設備。
基線檢查適用原則:具體設備的安全要求(功能、配置)應包括適用設備運行的操作系統、數據庫和應用程序三個層面的最低要求,并依實際情況,選擇部分增強要求。
適用場合:
·設備入網:保證新設備達到功能要求。
·工程驗收:保證驗收上線的設備符合配置要求。
·日常維護:保證在網設備持續符合配置要求。
(2)對于邊界防護設備的安全要求
主要包括網關設備、路由設備、交換設備、防火墻、隔離部件等。健壯性測試和基線檢查也適用于邊界防護設備。詳細內容見GB/T30976.2-2014。
5.2 系統測試
(1)測試條件
接入工業控制系統的全部現場設備,包括變送器、執行器、接線箱以及電纜等設備均應按照有關標準進行安裝、調試、試運行并驗收合格。
(2)系統安全測試
對于系統信息安全的測試主要針對系統能力。不同于信息安全評估,本標準中的系統測試側重于新增加的安全保障系統對原有系統的影響,以及對之前評估過程中提出的潛在風險和漏洞進行查驗。可根據實際情況選擇適用的條款進行測試。
(3)系統性能測試
加入信息安全保障措施后,應滿足原有系統的實時性、可靠性、安全性的要求。
(4)網絡連接要求
工業控制系統同公共網絡之間的連接,應采取防火墻、單向隔離、DMZ等措施。企業內部控制網絡與信息管理網絡之間應采取必要的隔離措施。對于大型系統,宜考慮不同區域之間的隔離措施。
(5)應急災備要求
在發生緊急情況下,系統的信息安全應急預案,必要的備機備件等容災備份措施。
5.3 驗收結論
(1)驗收文檔
工業控制系統信息安全驗收文檔除準備階段提供的文檔外,還至少應包括下列內容:
·信息安全風險分析報告;
·測試記錄或報告;
·驗收結論;
·系統應急處理方案等。
(2)驗收結論的編制編制原則為:驗收結論應依據整個驗收過程中對相關要求的符合性做出判定。基本要求主要包括:
·各階段驗收內容及結論;
·驗收不符合項表;
·不符合內容對系統信息安全能力的影響分析;
·是否通過驗收的建議。
作者簡介
王玉敏(1971-),女,河北人,教授級高工,碩士研究生,現就職于機械工業儀器儀表綜合技術經濟研究所,主要研究方向是工業控制系統信息安全。
摘自《工業控制系統信息安全專刊(第二輯)》
北京市公安局海淀分局備案號:11010802023656號