测评篇——工业控制管理系统等保20测评流程及规则解读

  在上期文章《定级篇——工业控制管理系统等保2.0定级备案经验分享》中，我们总结并分享了长扬科技在工业控制管理系统等保2.0定级备案工作中的经验积累，感谢读者们对该篇文章的赞赏与支持，这激发了我们继续推出本系列文章的动力。

  本期我们将继续分享长扬科技在工业控制管理系统等保2.0测评工作中的相关经验，不同于前一篇，本文将重点介绍工业控制管理系统测评中的新趋势和挑战，对那些正在苦恼于如何理清工业控制管理系统测评流程、了解开展测评时需着重关注的问题及新旧算分标准的变化的企业管理者们有极大的帮助。读完本期文章，您将更好地应对日益复杂的安全环境，并获得一份切实可行的解决方案。

  等保测评工作分为四个活动：测评准备活动、方案编制活动、现场测评活动以及报告编制活动，具体如图所示：

  （2）方案编制活动：根据前期调研及沟通的相关材料，编制测评方案并输出定制化的方案。

  （3）现场测评活动：根据前期编写的测评方案进行测评工作，并记录相关结果，在完成测评后，与信息系统方进行结果确认，并进行资料归还工作。

  （4）报告编制活动：完成判定测评结果后，进行整体评价并对安全问题进行深入分析，最终编写全面的测评报告。

  在对工业公司的信息系统来进行测评时，测评机构针对特定的测评对象采用相关的测评手段，并遵循特定的测评规程，收集所需的证据数据，以评判其是不是具备特定级别的安全保护能力。

  测评人员通过引导等级保护对象有关人员进行有目的的(有明确的目的性的)交流以帮助测评人员理解、澄清或取得证据的过程。业务、资产、安全技术和安全管理等方面进行。

  测评人员通过对测评对象 (如制度文档、各类设备及相关安全配置等) 进行观察、查验和分析以帮助测评人员理解、澄清或取得证据的过程。文档、安全管理制度、安全策略、安全机制、机房(介质)、主机服务器、终端、应用系统、网络和安全设备等方面进行。

  测评人员使用预定的方法/工具使测评对象 (各类设备或安全配置)产生特特定的结果，将运行结果与预期的结果作对比的过程。漏洞扫描、渗透测试等技术方法测试验证方面进行。

  进行工控企业信息系统的等级保护测评工作时，需要将测评要求分为安全通用要求和工业控制安全扩展要求，以三级等保为例：

  在工控企业信息系统来进行等级保护测评时，测评机构将按照安全通用要求和安全扩展要求的测评要求做评估，下面我们对测评机构着重关注的事项做了整理：

  确定信息系统存放的资产设备位置选择是否在楼层的顶层或底层，若是，则需采取防水和防潮措施。

  在机房出入口等地方设置电子门禁、视频监控系统等设备，以控制人员进出机房，并提供盗窃和破坏的防护。

  机房内不得存放易燃易爆物品，并需安装火灾报警系统以便及时预警。为消除静电对设备的影响，机房需铺设防静电地板，放置防静电手环等。

  机房应配置中央空调等设备，以实现温湿度的控制，并部署水敏感检测装置，监测机房内的防水情况。

  部署或采用入侵行为检测装置等安全设备，以实现对入侵行为和非授权行为的检测和限制。

  审查网络安全设备的策略，确保部署的策略精细化，避免多余策略，并在所有策略之后部署一个全拒绝策略。

  考虑在关键节点部署恶意代码检测装置，并确保对网络中相关日志进行审计。审计记录的保存时间应满足《网络安全法》规定的6个月要求。

  工业控制管理系统边界访问控制设备应禁止使用E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。

  网络安全设备的用户名和密码应定期更换，并满足复杂度要求（包括大小写、特殊字符和数字）。配置登录失败处理功能，设置超时退出界面功能，并启用双因素认证功能。

  分配账户权限时（至少需要包括安全账户、操作账户和审计账户）遵循最小化原则，删除多余和过期的账户，并删除默认账户。

  对重要数据来进行备份和恢复功能，并在异地进行备份，关键设备需具备热冗余能力。

  成立安全领导小组，由单位主管担任或授权最高领导，并核查相关文件。建立网络安全工作主管部门，并明确相关岗位职责。

  定期与单位内外相关安全专家组织会议，并记录相关会议内容，协调处理网络安全问题，创建外联单位联系列表等表格。

  定期进行系统、网络安全巡检和数据备份等检查，并将相关巡检和检查记录存储在相应的表格中。

  指定专门部门或人员负责人员录用工作，并对录用的人员进行背景资格审核检查，并要求签署保密协议等文件。

  在人员离岗后，收回其所有访问权限，并进行严格的调离手续，确保在离开之前承诺遵守保密义务。

  定期对各类人员进行安全意识教育培训，并根据不同岗位制定相应的培训计划。

  外部人员访问需要提出书面申请，并经批准后由专人陪同，登记备案。外部人员离开后，清除其访问权限，并要求其签署保密协议，严禁非授权操作。外部人员入场审批记录存放于相关表单中。

  需要制定信息系统网络安全建设方案，并由专家或部门进行评审后正式实施，且需要备有相应的评审表。

  对于自行开发的软件，需要将开发环境和测试环境分离，并备有软件设计文档、使用指南等文档，并在软件安装前进行恶意代码测试。

  对于外包开发的软件，在交付前需进行恶意代码检测，并提供软件设计文档和使用指南。

  对于工业控制管理系统采购的重要设备，在经过专业的测试验证后才可进行采购和使用，并在外包开发合同中明确相关约束条款。

  对机房的各类设施进行巡检，包括进出机房的巡视，并将巡检结果记录在表单中，同时制定机房安全管理制度。

  建立介质清单，并指定专人来管理，包括使用、出入登记表等，同时记录设备维护巡检情况。

  对管理员进行划分（至少包括网络、安全、审计管理员），建立相关管理制度，对策略等来维护。同时记录运维工具的使用情况、外部连接的审批记录等。

  对重要信息、数据等进行定期备份，规定备份方式、频率、介质、保质期等，并制定备份数据的备份程序、备份策略和恢复策略。

  规定统一框架的应急预案，包括预案的条件、组织、资源保障、事后教育、培训等内容，并制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容；定期对有关人员进行预案培训、演练，并定期评估现有预案并进行更新。

  2021年6月17日，公安部信息安全等级保护评估中心针对2021版等保测评报告模板修订内容，组织等保测评机构开展线上培训，要求等保测评机构自2021年6月18日起采用新的测评计分标准。

  新旧算分标准在等保测评分数上存在比较大差异。新标准采用了更严格的缺陷扣分法，即在总分为100分的基础上进行扣分，只要一个测评项被判定为“不符合”或“部分符合”，都会有相应的扣分。

  本期测评流程的相关经验介绍到这里，我们将在下期文章《建设篇——工业控制管理系统等保2.0建设整改经验分享》为大家深入介绍工业控制管理系统等保2.0建设整改流程、建设整改内容、建设整改方法等内容，详情请锁定“长扬科技”公众号。