工控系统安全审计—第3205号内部审计实务指南第五章第7节
2021-01-25
工业控制系统(ICS)是数据采集与监视控制系统(SCADA)、集散控制系统(DCS)和其他控制系统(例如可编程逻辑控制器PLC)的总称。工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成。对于大规模的控制系统,也包括管理级。工控系统的脆弱性分布较广,但主要集中在系统安全管理的策略和程序、工控平台与工业网络等方面。
本节将从工控系统的安全策略与制度规范审计、机构与人员管理审计、安全建设与管理审计、平台及数据安全审计、边界与网络通信安全审计、安全管理中心及安全审计等方面对工控系统安全的审计方法和步骤进行描述。。
一、安全策略与制度规范审计
(一)业务概述
是指制定工控系统的安全战略与安全规划、编写安全管理制度与规范并予以发布与执行。
(二)审计目标和内容
1、安全战略与规划
该控制项旨在检查组织是否将工控网络的信息安全纳入到组织信息安全管理体系当中,制定相应的安全战略与规划,从而判断与组织整体信息安全战略的一致性。
2、安全管理制度与规范
该控制项旨在检查组织是否根据既定的工控安全战略和规划建立相应的安全管理制度体系,并检查相关制度与规范的完整性。
3、制度发布与修订
该控制项旨在检查组织是否根据既定的制度管理规范,对工控安全制度规范的发布、评审和修订进行管理。
(三)常见问题和风险
1、未建立工控系统安全战略规划,无法有效指导工控系统安全总体发展目标和思路,不利于工控系统安全管控工作的有序开展。
2、未建立工控系统安全管理制度和流程,不利于有效落实安全管控各项要求。
(四)审计的主要方法和程序
1、安全战略与规划
(1)调阅组织信息安全工作的总体方针和安全策略,了解组织安全工作的总体目标、范围、原则和安全框架等内容。
(2)调阅组织工业控制系统的安全规划和方针策略,了解其安全工作的目标、范围、原则,并审查与组织信息安全工作总体方针和安全战略的一致性。
2、安全管理制度与策略
(1)检查组织是否建立完善的工控信息安全制度体系,其应包括安全策略、管理制度、操作规程、记录表单等内容。
(2)调阅组织工业控制信息系统的安全管理制度,检查是否将工控系统安全防护及其信息报送纳入日常安全生产管理体系,并在内容上覆盖物理、网络、主机系统、数据、应用、建设和运维等层面。
(3)检查组织是否制定管理人员或操作人员执行的日常管理操作规程。
(4)检查组织的安全策略是否针对工业网络的特定领域、安全架构与设计、网络变更、业务连续性或灾难恢复、安全审计等内容。
3、制度发布与修订
(1)访谈安全主管,询问是否由专门的部门或人员负责安全管理制度的制定、发布与定期评审。
(2)查阅组织有关制度制定和发布要求的管理文档,查看文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容。
(3)查阅组织已发布的工控安全管理制度,检查其是否定期接受修订并查看修订记录和版本号。
二、机构与人员管理审计
(一)业务概述
是指工控安全管理组织的岗位设置、人员与资金保障、安全检查与核查工作开展情况。
(二)审计目标和内容
1、岗位设置该控制项旨在检查在组织层面是否建立工控信息安全组织及负责人,明确相应安全职责。
2、人员与资金保障该控制项旨在从资金、人员配置与人员技能方面,检查组织是否为其工控安全提供相应的保障。
3、安全检查与核查该控制项旨在检查组织是否对其工控安全开展定期安全检查和核查工作,明确检查与核查内容,并对不符合项进行整改。
4、人员安全该控制项旨在检查组织是否对包括第三方人员在内的工控安全管理人员在招聘、录用和离职(转岗)各环节开展相应的安全检查并根据其安全职责分配对应的访问权限,从而确保人员安全。
(三)常见问题和风险
1、安全管控职责落实不到位,无法有效执行工控系统信息安全管控要求,落实管控责任。
2、人员与资金保障不足,导致工控系统安全管控机制和要求落实不到位,影响工控系统安全管控工作的有序推进。
(四)审计的主要方法和程序
1、岗位设置
(1)访谈信息安全主管,了解组织是否成立专门的工控信息安全工作委员会(领导小组),或由信息安全工作委员会(领导小组)统一管理,其最高领导由单位主管领导委任或授权,并定期组织开展信息安全工作。
(2)查看工作委员会或领导小组的构成情况和相关职责描述,及其会议纪要或相关记录。
(3)访谈信息安全主管,确认是否由主管安全生产的领导作为工控系统安全防护的主要责任人,并查看其岗位职责说明书。
(4)访谈信息安全主管或人力资源主管,了解是否成立负责工控安全的部门及负责人,并查看部门职责和负责人岗位职责说明。
(5)访谈工控安全负责人,了解是否划分部门内部的安全管理岗位并定义其岗位职责,查看相关岗位职责说明书。
2、人员与资金保障
(1)检查工控安全管理制度中是否有保障工控系统安全建设、运维、核查、等级保护测评及其他信息安全资金的内容。
(2)访谈信息安全主管关于工控系统安全建设、运维、核查、等级保护测评及其他信息安全资金预算及实际投入情况,从而判断是否获得组织的资金保障。
(3)访谈工控信息安全负责人,了解各岗位人员配备情况,核查人员配备文档,查看并确认各岗位实际人员配备情况。
(4)调阅工控安全各岗位的技能需求,并查阅相关岗位人员学历、技能证书,从而确保技能需求与人员实际情况相符。
3、检查与核查
(1)访谈信息安全主管,确认是否定期对组织工控系统的常规安全开展检查工作,检查内容至少应包括系统日常运行、系统漏洞和数据备份等情况,检查历史核查记录是否完整并对安全检查结果进行通报,对不符合项进行整改。
(2)访谈信息安全主管,确认是否定期开展全面安全核查,核查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等,检查历史核查记录是否完整并对安全核查结果进行通报,对不符合项进行整改。
4、人员安全具体审计程序可参考“信息系统一般控制审计”中“信息安全审计-人员安全”审计项及审计程序。
三、安全建设与管理审计
(一)业务概述
工控系统的项目建设需要将安全方案的规划与设计纳入其中,需要对工控产品与服务的供应商采取有效的安全管理。
(二)审计目标和内容
1、安全方案规划与设计
该控制项旨在检查组织在开展工控系统项目建设时,是否将安全规划设计纳入到整体设计方案当中,并经过安全评估和主管单位的审批与备案。
2、安全检查及服务商管理
该控制项旨在检查组织对工控系统的产品和服务采购是否进行安全检查和测试,并对供应商采取有效的安全管理。
3、工程实施与验收
该控制项旨在检查组织在工控系统的安全建设过程中,是否对其进行包括进度、质量和过程文档等方面的严格管理,制定系统安全测试方案并履行执行和结果审批。
4、工程交付
该控制项旨在检查组织对工控系统安全建设项目在交付收尾阶段是否按照既定的交付清单进行验收,并开展相应的技术培训以确保后期运维等工作的顺利开展。
(三)常见问题和风险
1、工控系统建设未有效落实安全需求与规划设计,导致安全与建设不同步,安全需求严重滞后。
2、工控系统选取的密码产品,不满足国家安全要求,存在合规风险。
3、工控系统项目交付审批程序不严格,造成功能和性能不满足预期,未实现有效的知识转移及培训,验收程序存在较大管理漏洞。
(四)审计的主要方法和程序
1、安全方案规划与设计
(1)检查组织在开展工控系统建设前是否经过安全需求及其合理性和正确性的论证和评审,形成配套的安全整体规划和设计方案经上级并经主管部门或本单位相关部门审批,检查安全规划和设计方案及其历史审批记录。
(2)检查工控系统的建设是否经过定级和备案,检查历史备案材料报告和备案记录。
2、安全检查及服务商管理
(1)访谈建设负责人,询问工控系统使用的有关信息安全产品和服务是否符合国家安全规定并通过国家安全检查和安全测试,查阅相关产品的测试报告;询问工控系统是否采用密码产品,以及密码产品的采购和使用是否符合国家密码主管部门的要求;询问是否制定服务商安全管理、服务商评价和审核制度及服务商目录清单,审查供应商是否符合国家有关标准。
(2)检查是否具有与安全服务商签订的服务合同或安全责任合同书、服务协议,合同或协议应明确整个服务供应链各方需履行的信息安全相关义务、后期的技术支持和服务承诺等内容、符合指标要求及其服务变更控制要求。
3、工程实施与验收
(1)访谈建设负责人,询问工控系统的安全建设是否由专门部门或人员实施进度和质量控制。
(2)检查工程实施方案,查看其是否包括工程时间限制、进度控制和质量控制等方面内容,并按照工程实施方面的管理制度进行各类控制,同时产生阶段性文档等。
(3)检查工控系统安全建设是否制定测试验收方案,查看是否明确说明参与测试的部门、人员、测试验收内容和现场操作过程等内容。
(4)检查上线前的验收测试报告,查看是否具有相关部门和人员对工控系统安全测试验收报告的审定意见。
4、工程交付
(1)查阅工控安全建设设备采购合同,核查是否明确交付清单,其应明确交付的各类设备、软件、文档等,并查验交付验收记录。
(2)检查工程交付过程是否有系统交付的技术培训记录和运维文档,查看培训记录是否包括培训内容、培训时间和参与人员等。
四、平台及数据安全审计
(一)业务概述
是指工控系统平台及数据相关的物理环境安全、身份鉴别与访问控制、安全配置管理、恶意代码防护与数据安全保护。
(二)审计目标和内容
1、物理与环境安全
该控制项旨在检查组织是否为确保工控网络和系统平台所处物理环境的安全而采取相应的安全控制措施。
2、身份鉴别与访问控制
该控制项旨在检查是否对组织工控系统中用户、重要主机设备和工控设备的身份进行鉴别并根据安全控制原则制定访问控制策略,实施相应的访问控制。
3、安全配置管理
该控制项旨在检查组织是否对重要主机和工控系统进行安全设置并对安全配置的基线进行定期安全备份和审核。
4、恶意代码防护
该控制项旨在检查组织是否对工控网络环境下的主机、工控系统和终端部署恶意代码防护设备与入侵检测设备,并定期开展漏洞扫描和代码库的升级与更新工作,验证防护设备有效性。
5、工控系统数据安全该控制项旨在检查组织是否为确保工控网络和系统平台传输、处理和存储的用户数据、系统管理数据、鉴别信息及重要控制数据安全性而从完整性、保密性及重用性等角度而采取的安全控制措施。
(三)常见问题和风险
1、工控系统恶意代码防范措施不严格,导致恶意代码入侵系统,给系统安全性和稳定性产生较大影响。
2、工控系统数据安全分类分级不严格,无法针对不同级别数据建立不同的安全措施,导致个别数据保护过当或保护不足。
(四)审计的主要方法和程序
1、物理与环境安全具体审计程序可参考“信息系统一般控制审计”中“信息安全审计-物理安全”审计项及审计程序。
2、身份鉴别与访问控制
(1)查阅组织的安全控制策略,访谈主机、工控系统安全管理员,询问并检查是否对登录操作重要主机系统、工控设备的操作系统、数据库系统和通用程序的用户进行身份标识和鉴别;询问是否支持对重要主机和工控设备的身份标识和鉴别,并防止未经授权的更改;询问是否对用户和设备身份鉴别的信息在存储和传输时采用加密方式;询问是否根据设备的安全保障需求制定相应的访问控制策略,实现相应的访问控制方式,设置对访问客体的操作粒度,确保合法操作。
(2)查阅是否制定用户账号与口令的管理策略,检查是否采用单一登录和双重(多重)身份验证手段对登录用户进行身份有效性验证,并确保账号在系统整个生命周期的唯一性。
3、安全配置管理
(1)访谈主机和工控系统安全管理员,询问了解是否制定安全配置基线并依据“最小化安全原则”,对重要主机和工控系统一安装只与自身业务相关的操作系统组件和应用组件。
(2)检查是否对安全基线及其相应的安全配置进行定期审核,并对关键配置进行定期备份,查看历史审核和备份记录。
4、恶意代码防护
(1)检查是否对主机服务器、工控系统和终端安装防病毒软件并定期对其进行更新及在监测出恶意代码后及时报警,查验其版本和代码库是否与服务商提供的最新版本相一致以及报警记录。
(2)检查是否对主机服务器、工控系统部署漏洞扫描系统从而对其进行定期的漏洞扫描,查验历史漏洞扫描记录。
(3)检查是否对主机服务器、工控系统部署入侵检测,查验历史记录判断是否对监测出的入侵行为或异常业务操作异常分析和报警。
(4)访谈主机和工控系统安全管理员,询问是否对主机服务器、工控系统进行防恶意代码库和补丁漏洞升级与修补前进行安全测试并制定回退计划,并查阅历史更新记录。
5、工控系统数据安全
(1)访谈工控安全负责人,询问是否制定了工控网络中受保护数据的安全管理制度,明确数据分类和分级策略;询问是否为确保信息不被泄露,明确了需对存储空间及内存进行清除的客体资源对象,并查验是否对其部署了具有安全客体重用功能的系统软件或具有相应功能的信息技术产品。(客体安全重用)
(2)检查是否对工控环境下的现场设备数据完整性采取保护措施,并对点对点的通信过程采取会话认证。
(3)其他审计程序可参考“信息系统一般控制审计”中“信息安全审计-数据”审计项及审计程序。
五、边界与网络通信安全审计
(一)业务概述
根据工控网络及业务安全需求进行层级和安全域的划分,并据此对其部署和实现边界访问控制。
(二)审计目标和内容
1、安全区域边界访问控制
该控制项旨在检查组织是否根据组织工控网络限制及业务安全需求,对其进行层级和安全域的划分,并据此对其部署和实现边界访问控制。
2、安全区域边界防护
该控制项旨在检查组织是否根据已划分的工控网络层级和安全域,部署边界防护设备,实现边界防护。
3、网络通信安全管理
该控制项旨在检查组织是否为确保工控网络(包括工控无线网络)及数据传输的完整性、保密性采取安全控制手段及其传输鉴别保护手段,防范传输数据遭到非法访问或修改,并对网络进行安全监控。
4、无线网络防护
该控制项旨在检查组织在部署工控无线网络前是否进行安全风险分析并制定相应的管理制度,采取必要的安全防护措施确保工控无线网络安全。
(三)常见问题和风险
1、工控系统安全区域边界访问控制不严格,遭受非法入侵或网络攻击,引起网络异常或中断。
2、工控系统边界防护能力较弱,导致注入攻击、网络入侵、恶意代码入侵的发生,影响网络的安全性和稳定性。
(四)审计的主要方法和程序
1、安全区域边界访问控制
(1)访谈工控系统安全负责人,询问是否对组织工控系统采取分层和安全域的管理方式,并对各层和各安全域之间基于安全要求制定访问控制策略,部署相应访问控制设备。
(2)查阅工控网络拓扑图,验证部署的设备(如工业防火墙)位置是否能起到边界访问控制目的。
(3)访谈组织是否制定访问控制策略,并检查其是否设置于部署的访问控制设备上,实现区域边界访问控制,边界防护隔离,边界防护安全管道通信和消息来源、用户、设备身份鉴别及访问控制。(区域边界访问控制)
(4)检查组织是否基于访问控制策略实现对访问源地址、目的地址、源端口、目的端口、协议的检查,从而实现对安全区域间的数据包过滤、安全域之间的路由控制和层间的会话控制。(区域边界包过滤)
2、安全区域边界防护
(1)检查组织是否制定恶意代码防范的规章制度和安全控制策略,其内容至少应包括恶意病毒库的升级与更新策略,针对恶意入侵行为的分类、报警、处置等防护规则和处置流程。
(2)检查组织是否部署探测器,实现对非法外联行为(如非授权设备私自连接到内网,或内部网络用户私自连接到外部其他网络)进行准确定位和有效阻断,并对探测设备进行有效性验证。(边界完整性防护)
(3)检查组织是否采用验证机制,对重要控制指令和现场数据在存储和传输过程中的完整性进行有效验证和适当的恢复、修复等处置措施,并验证处置措施的有效性。
(4)检查组织是否在区域边界部署恶意代码检测和防范设备,实现如端口扫描等恶意代码入侵行为进行监视、报告和有效监测与清除。
(5)验证恶意代码防范设备的代码库是否及时升级和更新,以及设备间是否对攻击行为进行定位并提供相应的报警和自动处置,防止恶意代码传播。
3、网络通信安全管理
(1)访谈工控网络安全管理员,询问是否对工控数据传输网络采取密码技术等完整性校验机制,保证传输过程中数据传输的完整性并对其进行完整性校验以及在遭到破坏时进行恢复;询问是否对工控数据传输网络采取密码技术和加密算法与加密设备,从而保证传输过程中数据传输的保密性,实现对会话初始化验证、报文或会话加密、传输保密性保护等安全要求;询问是否对工控数据传输网络采取密码技术,实现对数据来源的鉴别,从而实现对非法的数据访问和数据修改予以拒绝;询问是否对工控网络部署网络监控设备或软件,对网络数据、程序、操作和控制命令进行识别和监测,对恶意行为、攻击、异常流量进行识别、监测、记录、定位,以及对恶意流量进行阻断。
(2)验证加密算法和设备的合规性,以及传输加密的速度和加密有效性是否符合业务要求。
4、无线网络防护
(1)访谈工控网络安全负责人,了解目前组织在工控网络是否部署无线网络并对其存在的威胁和潜在风险进行分析,查看风险评估报告;了解是否制定工控无线网络的安全管理制度、规范及安全控制策略。
(2)查看工控无线网络的管理制度及规范,检查是否明确其保护措施(如物理防护、电磁屏蔽),并查验保护措施的实际部署情况(如无线防火墙)。
六、安全管理中心及安全审计
(一)业务概述
工控安全建立安全管理中心,实现对工控系统资源、安全运行的集中、统一管理,同时对工控系统涉及的主客体制定统一的安全策略。
(二)审计目标和内容
1、安全管理中心建设与管理
该控制项旨在检查组织是否为确保工控安全建立安全管理中心,实现对工控系统资源、安全运行的集中、统一管理,同时对工控系统涉及的主客体制定统一的安全策略,执行包括身份鉴别、系统与安全事件监控、安全管理与维护,以及自动化的安全监测与预警。
2、安全审计管理与实施
该控制项旨在检查组织是否就工控涉及的主机和系统制定相应的安全审计规范、策略,并将其部署于安全管理中心,基于其具有的审计管理功能对工控平台主机系统和工控网络及其相关管理操作实施安全审计。
(三)常见问题和风险
1、工控系统安全管理过于分散,无法实现有效集中管控,增加管理负担和管理成本。
2、重要工控主机和系统未部署安全审计工具,无法对操作行为进行记录,不利于及时发现存在的违规操作,不利于工控系统的安全发展。
(四)审计的主要方法和程序
1、安全管理中心建设与管理
(1)查阅组织工控安全管理战略规划及其相关安全管理制度与安全策略,了解组织对于工控安全管理的基本要求。
(2)访谈工控安全负责人,询问是否建立统一、集中的工控安全管理中心并了解其功能和实现方式。
(3)查阅安全管理中心建设的规划和验收报告,综合组织对于工控安全管理和基本要求以及当前工控安全管理中的功能,判断安全管理中心所具有的功能是否可以满足组织对于工控安全管理的要求。
(4)检查安全管理中心是否具备:对工控系统资源和运行的配置、控制和管理的系统管理功能,并具有运行监控与告警、系统日志记录等功能,同时实现用户身份管理、系统运行异常处理、灾难备份与恢复和对系统管理操作进行安全审计的功能;对工控系统设备的可用性、安全性实施监控与告警,设备集中管理与维护,漏洞扫描与配置加固以及安全预警的安全管理功能。
(5)检查安全管理中心的管理制度与安全策略:是否对日志收集及其内容、格式、访问、存储进行要求,并验证安全日志数据采集的记录项是否符合制度规范要求,以及对日志的访问和保存是否采用校验机制并实现异地、冗余存放,保存周期不低于6个月;是否定义工控数据采集、内容监测、恶意(异常)行为判断标准、事件和行为处理标准以及事件监测、预警、处置、响应是否符合既定的标准与规范,验证安全管理中心是否可对安全事件进行监测报警和处置,并审查历史安全事件的处置记录是否符合既定的流程规范;检查安全管理中心的漏洞扫描与加固历史记录,验证关键漏洞是否已得到安全加固。
2、安全审计管理与实施
(1)查阅并检查组织是否制定安全审计规范与审计策略。
(2)检查工控安全管理中心的安全审计策略配置是否运行有效。
(3)检查组织是否对重要工控主机和系统部署安全审计工具,并部署在各关键主机和系统之上且在安全管理中心对所收集的日志实施集中、独立的安全审计。
(4)询问安全管理中心负责人,了解安全管理中心是否支持安全信息的分类管理与查询以及安全审计功能是否支持二次开发和报警与日志信息的关联分析,并调阅审计报告验证其功能。