测评篇——工业控制系统等保2.0测评流程及规则解读

在上期文章《定级篇——工业控制系统等保2.0定级备案经验分享》中，我们总结并分享了长扬科技在工业控制系统等保2.0定级备案工作中的经验积累，感谢读者们对该篇文章的赞赏与支持，这激发了我们继续推出本系列文章的动力。

本期我们将继续分享长扬科技在工业控制系统等保2.0测评工作中的相关经验，不同于前一篇，本文将重点介绍工业控制系统测评中的新趋势和挑战，对那些正在苦恼于如何理清工业控制系统测评流程、了解开展测评时需重点关注的问题及新旧算分标准的变化的企业管理者们有极大的帮助。读完本期文章，您将更好地应对日益复杂的安全环境，并获得一份切实可行的解决方案。

1.工业控制系统开展测评工作

1.1 工业控制系统测评流程

等保测评工作分为四个活动：测评准备活动、方案编制活动、现场测评活动以及报告编制活动，具体如图所示：

其各个阶段的安排如下：

（1）测评准备活动：召开项目启动会议，确定工作方案及项目人员名单。

（2）方案编制活动：根据前期调研及沟通的相关材料，编制测评方案并输出定制化的方案。

（3）现场测评活动：根据前期编写的测评方案进行测评工作，并记录相关结果，在完成测评后，与信息系统方进行结果确认，并进行资料归还工作。

（4）报告编制活动：完成判定测评结果后，进行整体评价并对安全问题进行深入分析，最终编写全面的测评报告。

1.2 测评方法

在对工业企业的信息系统进行测评时，测评机构针对特定的测评对象采用相关的测评手段，并遵循特定的测评规程，收集所需的证据数据，以评判其是否具备特定级别的安全保护能力。

• 访谈 interview

测评人员通过引导等级保护对象相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄清或取得证据的过程。业务、资产、安全技术和安全管理等方面进行。

• 核查 examine

测评人员通过对测评对象 (如制度文档、各类设备及相关安全配置等) 进行观察、查验和分析以帮助测评人员理解、澄清或取得证据的过程。文档、安全管理制度、安全策略、安全机制、机房(介质)、主机服务器、终端、应用系统、网络和安全设备等方面进行。

• 测试 test

测评人员使用预定的方法/工具使测评对象 (各类设备或安全配置)产生特特定的结果，将运行结果与预期的结果进行对比的过程。漏洞扫描、渗透测试等技术手段测试验证方面进行。

1.3 测评内容

进行工控企业信息系统的等级保护测评工作时，需要将测评要求分为安全通用要求和工业控制安全扩展要求，以三级等保为例：

• 在安全通用要求中，安全技术要求和安全管理要求的控制点详情如下图：

• 在安全通用要求中，安全技术要求和安全管理要求的测评项数量如下图：

• 在工业控制安全扩展要求中，安全技术要求和安全管理要求的控制点详情如下图：

2.等级保护测评期间重点关注问题

在工控企业信息系统进行等级保护测评时，测评机构将按照安全通用要求和安全扩展要求的测评要求进行评估，下面我们对测评机构重点关注的事项进行了整理：

2.1 安全物理环境

• 确定信息系统存放的资产设备位置选择是否在楼层的顶层或底层，若是，则需采取防水和防潮措施。
• 在机房出入口等地方设置电子门禁、视频监控系统等设备，以控制人员进出机房，并提供盗窃和破坏的防护。
• 机房内不得存放易燃易爆物品，并需安装火灾报警系统以便及时预警。为消除静电对设备的影响，机房需铺设防静电地板，放置防静电手环等。
• 机房应配置中央空调等设备，以实现温湿度的控制，并部署水敏感检测装置，监测机房内的防水情况。
• 室外的控制设备应远离电磁或高热源干扰等环境，以保证设备正常运行。

2.2 安全通信网络

• 确保网络安全设备具备足够的性能，以满足业务高峰期的需求。同时，对不同的区域进行划分，并实施访问控制，确保区域之间的安全防护。对于关键通信线路和网络设备，进行冗余配置，提高系统的可靠性。
• 工业控制系统采用独立设备进行单独组网，并通过物理隔离与其他数据网络和外部信息隔离开来。

2.3 安全区域边界

• 部署或采用入侵行为检测装置等安全设备，以实现对入侵行为和非授权行为的检测和限制。
• 审查网络安全设备的策略，确保部署的策略精细化，避免多余策略，并在所有策略之后部署一个全拒绝策略。
• 考虑在关键节点部署恶意代码检测装置，并确保对网络中相关日志进行审计。审计记录的保存时间应满足《网络安全法》规定的6个月要求。
• 工业控制系统边界访问控制设备应禁止使用E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。

2.4 安全计算环境

• 该措施适用于企业单个工业控制系统涉及的网络安全设备、终端设备、服务器以及应用系统等关键组件。

2.4.1 网络安全设备

• 网络安全设备的用户名和密码应定期更换，并满足复杂度要求（包括大小写、特殊字符和数字）。配置登录失败处理功能，设置超时退出界面功能，并启用双因素认证功能。
• 分配账户权限时（至少需要包括安全账户、操作账户和审计账户）遵循最小化原则，删除多余和过期的账户，并删除默认账户。
• 对日志进行审计，并保留审计记录至少180天。
• 定期进行漏洞扫描，及时修复高危漏洞。
• 确保重要数据在传输和存储过程中的完整性和保密性。
• 对重要数据进行备份和恢复功能，并在异地进行备份，关键设备需具备热冗余能力。

2.4.2 数据库

• 网络安全设备的用户名和密码需要定期修改，并符合复杂度要求，包括大小写字母、特殊字符和阿拉伯数字。同时需要配置登录失败处理、超时后退出界面以及双因子认证功能。
• 分配账户权限时（至少需要包括安全账户、操作账户和审计账户）遵循最小化原则，删除多余和过期的账户，并删除默认账户。
• 对日志进行审计，并保存审计记录至少180天。
• 定期进行漏洞扫描，并及时修复高危漏洞。
• 在释放或重新分配存储敏感数据和鉴别信息的空间之前，确保彻底清除数据。
• 仅采集和保存必要的用户个人信息，并禁止未经授权的个人信息使用。

2.4.3 服务器

• 确保网络安全设备的用户名和密码定期修改，密码要求符合复杂性要求（包括大小写字母、特殊字符和阿拉伯数字），并配置登录失败处理、超时后退出界面和双因素认证功能。
• 分配账户权限时（至少需要包括安全账户、操作账户和审计账户）遵循最小化原则，删除多余和过期的账户，并删除默认账户。
• 对日志进行审计，并保存审计记录至少180天。
• 定期进行漏洞扫描，及时修复高危漏洞。
• 在释放或重新分配存储鉴别信息和敏感数据的空间之前，确保完全清除数据。

2.4.4 工业控制系统安全扩展要求

• 应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等。

2.5 安全管理中心

• 对系统、安全和审计管理员进行身份验证，仅允许他们通过特定命令或操作界面进行系统管理操作。
• 集中监控网络链路、安全设备、网络设备和服务器等的运行状况。
• 收集和汇总散落在各设备上的审计数据，并进行集中分析，确保审计记录满足相关要求（至少保存180天）。
• 识别、报警和分析发生在网络中的各类安全事件。

2.6 安全管理制度

• 制定单位网络安全工作的总体方针，包括制定安全框架等。
• 建立各项管理制度，并指定专门部门或人员进行制定，并对制度版本进行控制，定期进行修改，在相关文档中记录相关表单。

2.7 安全管理机构

• 成立安全领导小组，由单位主管担任或授权最高领导，并核查相关文件。建立网络安全工作主管部门，并明确相关岗位职责。
• 配备适量的系统、安全和审计管理员，并设立专职安全管理员。
• 明确授权审批事项，并备有相关授权和审批记录单（表格）。
• 定期与单位内外相关安全专家组织会议，并记录相关会议内容，协调处理网络安全问题，创建外联单位联系列表等表格。
• 定期进行系统、网络安全巡检和数据备份等检查，并将相关巡检和检查记录存储在相应的表格中。

2.8 安全管理人员

• 指定专门部门或人员负责人员录用工作，并对录用的人员进行背景资格审查，并要求签署保密协议等文件。
• 在人员离岗后，收回其所有访问权限，并进行严格的调离手续，确保在离开之前承诺遵守保密义务。
• 定期对各类人员进行安全意识教育培训，并根据不同岗位制定相应的培训计划。
• 外部人员访问需要提出书面申请，并经批准后由专人陪同，登记备案。外部人员离开后，清除其访问权限，并要求其签署保密协议，严禁非授权操作。外部人员入场审批记录存放于相关表单中。

2.9 安全建设管理

• 需要制定信息系统网络安全建设方案，并由专家或部门进行评审后正式实施，且需要备有相应的评审表。
• 确保所采购和使用的相关产品符合相关要求。
• 对于自行开发的软件，需要将开发环境和测试环境分离，并备有软件设计文档、使用指南等文档，并在软件安装前进行恶意代码测试。
• 对于外包开发的软件，在交付前需进行恶意代码检测，并提供软件设计文档和使用指南。
• 需要具备测试验收方案，并备有验收记录表、验收报告和安全测试报告等。
• 需要准备交付清单以及系统培训文档和记录表。
• 如果不是首次测评，则需要查看上次测评结果是否有修改。
• 对于工业控制系统采购的重要设备，在经过专业的测试验证后才可进行采购和使用，并在外包开发合同中明确相关约束条款。

2.10 安全运维管理

• 对机房的各类设施进行巡检，包括进出机房的巡视，并将巡检结果记录在表单中，同时制定机房安全管理制度。
• 编制并保留资产清单，并进行标示。
• 建立介质清单，并指定专人进行管理，包括使用、出入登记表等，同时记录设备维护巡检情况。
• 识别安全漏洞，并进行漏洞评估、修复，并将结果记录在表单中。
• 对管理员进行划分（至少包括网络、安全、审计管理员），建立相关管理制度，对策略等进行维护。同时记录运维工具的使用情况、外部连接的审批记录等。
• 进行防恶意代码意识培训，并定期升级防恶意代码产品的恶意代码库。
• 建立变更申报审批程序，并将审批过程记录在表单中。
• 对重要信息、数据等进行定期备份，规定备份方式、频率、介质、保质期等，并制定备份数据的备份程序、备份策略和恢复策略。
• 规定统一框架的应急预案，包括预案的条件、组织、资源保障、事后教育、培训等内容，并制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容；定期对相关人员进行预案培训、演练，并定期评估现有预案并进行更新。

3.等级保护测评新旧算分对比

2021年6月17日，公安部信息安全等级保护评估中心针对2021版等保测评报告模板修订内容，组织等保测评机构开展线上培训，要求等保测评机构自2021年6月18日起采用新的测评计分标准。

旧算分标准综合得分计算公式如下图：

新算分标准综合得分计算公式如下图：

新旧算分标准在等保测评分数上存在较大差异。新标准采用了更严格的缺陷扣分法，即在总分为100分的基础上进行扣分，只要一个测评项被判定为“不符合”或“部分符合”，都会有相应的扣分。

• 新算分标准：关键指标不符合扣除3倍的基准分，重要指标不符合扣除2倍基准分，一般指标不符合扣除1倍基准分。

• 旧算分标准：关键指标不符合扣除1倍的基准分，重要指标不符合扣除0.7倍基准分，一般指标不符合扣除0.5倍基准分。

下期预告

本期测评流程的相关经验介绍到这里，我们将在下期文章《建设篇——工业控制系统等保2.0建设整改经验分享》为大家深入介绍工业控制系统等保2.0建设整改流程、建设整改内容、建设整改方法等内容，详情请锁定“长扬科技”公众号。

更多精彩，敬请期待！