【公益譯文】NIST製造業網路安全實施指南第2卷:流程型製造系統用例(二)

綠盟科技發表於2020-11-12

NIST《網路安全框架製造篇》與製造業的目標和行業最佳實踐保持一致,為製造商管理網路安全風險提供了思路,用於管理與製造系統相關的網路安全活動及網路風險。該指南第2卷詳述了適用於流程型製造系統用例的政策和程式檔案,並介紹了適用於流程型製造系統用例的技術能力實現和相關效能測量方法。

本次連載將介紹適用於流程型製造系統的網路安全政策和程式檔案設計,包括網路安全計劃和網路安全策略檔案。

網路安全政策和程式實施

本節以為韋斯特曼公司(虛構)開發的政策程式檔案和宣告為例,介紹了網路安全計劃檔案中所包含的內容。本文中提到的商業實體、裝置、材料等,僅為準確描述概念之用,並非暗示NIST推薦或認可,也不表明這些實體、裝置、材料是實現目的最佳選擇。各組織的資訊保安專家應選用與其現有網路安全計劃和製造系統基礎架構最為契合的內容及政策程式檔案和宣告。

一、網路安全計劃檔案示例

【公益譯文】NIST製造業網路安全實施指南第2卷:流程型製造系統用例(二)

1.1 目的

網路安全計劃檔案為韋斯特曼啟動、實施、維護和改進網路安全管理提供了指導方針和原則。

本計劃旨在:

確保員工安全,保證業務資訊的安全和機密性;

保護此類資訊的安全和完整性,防止受到預期威脅或危害;

保護此類資訊,防止透過非法訪問或使用此類資訊對韋斯特曼及其合作伙伴或客戶造成重大傷害或不便。

1.2 讀者物件

本檔案供CEO、IT經理、運營總監和管理層認可的其他人員使用,為公司實施網路安全計劃提供支撐。

1.3 管理層承諾

韋斯特曼的領導團隊負責制定這一資訊保安計劃,是該計劃的最終負責人,全力支援計劃實施。為踐行這一承諾,管理團隊須為資訊保安工作劃撥必要資金,及時應對各種新情況,還要參與所有與資訊保安相關的活動。

1.4 公司概況

工業部門中的角色

韋斯特曼是一家生產商用級化工產品的化工製造商,其產品用於運輸、建築施工等工業產品。除定期維護停機(每年約2周時間,通常在12月底)外,韋斯特曼的生產設施全天候連續運營。為提高工業競爭力,韋斯特曼引進了過程自動化裝置,以提高生產效率,降低生產成本。廠房裡部署了工業自動化裝置,如可程式設計邏輯控制器(PLC)、人機介面(HMI)和歷史資料庫,監控生產作業。根據第21號總統政策令(PPD-21),化工行業屬於關鍵基礎設施。

任務目標

1) 保護人員安全

韋斯特曼以製造系統的安全執行為己任,始終將員工安全作為頭等大事。所有的製造工藝、協議、自動化過程和裝置、作業程式和指南在設計時都充分考慮了人員安全。

2) 保護環境安全

韋斯特曼遵守有關環境安全的所有適用法規。韋斯特曼確保其生產過程不影響環境,盡力減少環境足跡。每季度對生產造成的環境影響進行評審。

3) 保證產品質量

韋斯特曼擁有世界領先的生產裝置和工藝,採用最先進的自動化、裝置和技術確保產品質量。公司建立了質量保證程式,使用自動化裝置(包括高速控制網路中的PLC、歷史資料庫和高精度感測器)監控產品質量。

4) 實現生產目標

韋斯特曼的一個重要目標是實現月度生產目標,確保向客戶及時供貨。也有助於維護公司的財務穩定性。韋斯特曼基於7×24生產模式規劃生產運營,滿足生產目標和客戶需求。公司在自動化裝置和熟練專業人員方面進行投資,確保完成月度生產目標。

5) 保護商業機密

韋斯特曼傾力保護其商業機密,包括產品開發、製造工藝、產品質量和供應鏈管理。

供應鏈中的角色

原材料一般基於與供應商簽訂的長期合同供應,定期運至工廠。 製成品通常批次出售,產品運輸分包給多家物流公司,負責從韋斯特曼工廠運送至最終客戶,即其他工業製造商,他們通常將韋斯特曼產品用作原材料或新增劑。

資訊傳遞

製造系統所有的關鍵資訊和操作以及關鍵資源應以網路圖、手冊等形式記錄。運營總監在IT經理協助下,每年對檔案進行一次審查。公司根據具體角色將資訊與員工和承包商共享。

製造系統關鍵元件

製造系統的關鍵元件如下:

· 工程師站(Engineering Workstation)

· 管理型PLC(Supervisory PLC)

· HMI伺服器

· OPC和控制器伺服器

· 歷史資料庫伺服器(Historian Database Server)

· 網路裝置

配套服務

韋斯特曼需要的配套服務包括寬頻網際網路、供電、天然氣和供水。寬頻網際網路連線由一家大型全國網路服務商根據商業級服務水平協議提供。

1.5 資訊保安政策

資訊保安政策的目的是概括介紹構成韋斯特曼資訊保安計劃的政策、標準、程式和技術控制措施。本檔案由運營總監製定實施,旨在保護韋斯特曼的IT和運營技術(OT)資產。

1.6 適用法律法規

作為一家化工產品製造商,韋斯特曼及其員工必須遵守聯邦和州對化學品和有害物質的所有法律法規要求。韋斯特曼作為企業主還須遵守所有的法律、法規和安全要求。

1.7 安全組織和治理

資訊保安是治理活動的組成部分,涉及領導層、組織結構和流程,目的是保護韋斯特曼的資訊、運營、市場地位和聲譽。

組織角色安全責任執行長(CEO)審批資訊保安計劃和配套政策,至少一年一次;指派運營總監製定政策和程式,規範組織對IT/OT資產的使用、實施、檔案管理以及履行合規義務;作為事件升級的聯絡人(Point of Escalation);負責協調資料洩露響應。財務總監向運營總監報告網路安全事件和問題。控制工程師向運營總監報告網路安全事件和問題;協助確定所在領域的網路安全要求;應總監要求,協助修復漏洞。市場總監向運營總監報告網路安全事件和問題。產品開發總監向運營總監報告網路安全事件和問題。運營總監負責所有IT/OT資產的總體網路安全;負責修復漏洞及/或緩解風險;制定、實施和維護網路安全計劃和網路安全政策檔案;作為操作人員、廠商和管理層之間的資訊保安事宜聯絡人;向CEO彙報網路安全計劃的現狀以及網路安全相關風險或事件。IT經理和IT團隊按照運營總監的指示修復漏洞;向運營總監報告網路安全事件、運營問題和需要關注的其他問題;協助確定所在業務部門和專業領域的網路安全要求;將涉及敏感資訊洩露的網路安全事件告知運營總監。法務總監處理網路安全事件相關的法律事宜;審查網路安全事件相關的外部通訊;向運營總監報告網路安全事件和問題。HR經理處理網路安全事件相關的人事和紀律問題;向運營總監報告網路安全事件和問題。

1.8 個人資訊隱私

在韋斯特曼系統中,員工無隱私可言,韋斯特曼系統和網路中的所有活動都受到監控。韋斯特曼是私營公司,其資訊系統中儲存的任何資訊都可能根據州法律進行披露。韋斯特曼不會洩露個人資訊,但根據適用法律、法規、有效法律要求提供此類資訊的情況除外。

1.9 運營安全

風險管理:

運營總監應進行一年一度的風險評估,識別可能影響威脅韋斯特曼安全性、機密性和完整性的內外部風險。風險評估包括評估風險及其可能性,還要選擇和實施控制措施,將風險降低到可接受水平。每次風險評估後,主要結論和風險緩解建議都要形成檔案。鼓勵所有員工向運營總監報告任何潛在或現存風險。運營總監識別或確認風險後,將確定下一步行動(例如接受風險、尋求IT團隊的幫助、聯絡廠商緩解風險等)。同樣,如果廠商或承包商發現裝置存在任何威脅或風險,也可以通知運營總監。

物理安全:

廠區有圍牆,圍牆大門在上班時間開啟,下班後上鎖。主樓有兩個入口,一個用於員工出入,通常上鎖,員工必須刷卡才能進入大樓。另一個入口位於前廳,在正常上班時間屬於開放狀態。訪客須登記並領取相應身份證明才能進入。此外,為確保人員安全,進行入職前篩選,對職位進行詳細描述,明確僱用條件,提供網路安全教育和培訓。

訪問控制:

對IT和OT系統的訪問採用基於角色的最小許可權原則,訪問或操作製造系統的任何元件都需要提前獲得運營總監的相關授權和批准,已部署控制措施,透過認證方法和其他技術手段限制訪問,有正式的流程和安全登入程式管理密碼,敏感系統明確標識,定期進行審計。有相應的身份認證控制元件對外部連線和遠端使用者進行認證,對關鍵元件的物理和邏輯訪問進行控制,系統保護和資料保護職責分開,定期稽核訪問許可權。

1.10 網路安全意識培訓

新員工入職時向其傳達網路安全意識資訊,提供線上資源,讓員工瞭解安全最佳實踐和上報網路安全事件的重要性。此外,運營總監確保員工明瞭自己在韋斯特曼網路安全計劃中的角色和責任。運營總監和外部廠商之間定期共享有關韋斯特曼系統潛在或現存網路威脅的所有資訊。另外,會及時釋出有關電子郵件欺詐、網路釣魚企圖和其他惡意行為的新聞,告知使用者存在的潛在威脅。

使用者和管理人員培訓

員工須在管理層批准後接受線上計算機培訓或課堂培訓。可以採用的培訓方案示例如下。訂閱行業組織時事通訊和雜誌能獲取更多針對性的培訓課程。

培訓方案示例

· ICS-CERT VLP (虛擬學習門戶)

· SCADAhacker

· SANS工業控制系統培訓

· ISA培訓

特權使用者培訓

特權使用者的培訓內容涵蓋普通使用者的指定培訓內容。高階培訓由自動化行業組織或工控系統環境網路安全專業培訓機構提供。

培訓方案示例

· 國際自動化協會(ISA)

· SANS(資訊保安培訓)

第三方承包商培訓

第三方承包商訪問任何IT/OT系統之前,必須接受網路安全意識培訓,培訓方式包括培訓機構面授和線上虛擬教室環境。

培訓方案示例

· SANS工業控制系統培訓 (講師培訓—收費)

· ICS-CERT VLP (虛擬學習門戶)(免費虛擬教室環境)

1.11 第三方責任和要求

1)要求第三方承包商和廠商遵守網路安全政策,保護敏感資訊,確保敏感資訊的安全。

2) 第三方承包商和廠商從第一次安全合規檢查完成之日起每年重新評估一次。在重新認證過程中,將再次評審上述安全意識培訓部分中列出的所有目標,確保合規。

3) 所有第三方提供商的遠端連線透過桌面共享程式實現,接受監控和稽核。

4) 所有軟硬體工具在網路上使用或部署前必須獲得運營總監的批准。

5) 共享任何資料前雙方都要簽署書面諒解備忘錄。

6) 確有需要時才能建立和啟用網路帳戶,廠商使用遠端訪問帳戶時需要獲得運營總監的批准。有關審批流程的詳細資訊,參見網路安全政策檔案中的“遠端維護審批”。

1.12 消防、安全和環境系統

所有用於保護製造系統的消防和安全系統必須符合地方、州和聯邦法律的要求,包括職業安全與健康管理局(OSHA)的人員安全條例。根據監管行業的指導,遵循行業安全法規。所有消防系統的設計都必須把保護生命作為第一要務,其次才是製造裝置的安全。確保製造系統的消防措施可在電氣裝置周圍(例如PLC、HMI、機器人、伺服器)安全使用。消防系統須經過認證,來自獲得相應許可的特許廠商。

製造系統環境中使用的所有環境系統(如暖通空調系統)必須符合地方、州和聯邦法律的要求,將保護生命作為第一要務,其次才是製造裝置的安全。

1.13 應急電源

在發生重大停電事件時,使用短期不間斷電源(UPS),組織可有序停工,有條不紊地準備好長期備用電源。

1.14 安全事件管理

韋斯特曼的事件響應計劃和系統恢復計劃對網路安全事件的檢測、分析、遏制、根除、恢復和審查進行規劃。事件響應計劃明確網路安全事件的響應流程,系統恢復計劃定義系統恢復流程和恢復能力要求。運營總監負責管理網路安全事件,確保及時報告、調查、記錄和解決網路安全事件,迅速恢復運營,並保留證據,根據需要進一步追究紀律、法律責任或進行執法行動。對事件響應計劃和系統恢復計劃進行年度審查,根據需要進行更新。從網路安全事件中汲取經驗教訓,改善並提高檢測能力,加強對組織和製造系統的保護。

1.15 資訊共享計劃

與外部實體(如行業組織和地方、州及或邦機構)共享資訊有助於加強網路安全。資訊共享,特別是從其他外部實體接收資訊時,能提高態勢感知,更好地保護製造系統。

行業組織

與行業組織建立關係,共享生產廠區內檢測到的網路安全事件資訊。與行業組織共享的網路安全事件資訊必須刪除所有私有資訊和商業秘密,屬於非機密資訊。網路安全事件資訊若包含私有、客戶資訊或商業秘密流程,在傳輸之前需要簽訂保密協議(NDA);這些資訊為敏感資訊,在傳送之前需要得到高管批准。

地方政府

與地方政府建立關係,以便共享網路安全事件資料。

州政府

與州政府組織建立關係,以便共享網路安全事件資料。州政府若有事件共享組織,行業組織應能夠提供該組織的聯絡資訊。

聯邦政府

與聯邦政府機構建立關係,以便共享網路安全事件資料,例如:向國土安全部(CISA)機構上報網路釣魚、惡意軟體、漏洞事件;向國土安全部(NCCIC)機構上報工業控制系統網路安全事件。

1.16 定期重新評估計劃

網路安全計劃檔案根據製造系統的變化持續更新,提升網路安全。發生網路安全事件後,吸取經驗教訓,最佳化本檔案。

運營總監應根據需要,隨時評估和更新計劃。具體說,應根據以下內容進行評估和更新:

· 風險評估和監控結果

· 韋斯特曼的運營、業務或基礎設施元件發生的重大變化

· 網路安全事件

二、網路安全政策檔案示例

本節以為韋斯特曼公司(虛構)開發的政策程式檔案和宣告為例,介紹了網路安全政策檔案中所包含的內容。本文中提到的商業實體、裝置、材料等,僅為準確描述概念之用,並非暗示NIST推薦或認可,也不表明這些實體、裝置、材料是實現目的之最佳選擇。各組織的資訊保安專家應選用與其現有網路安全計劃和製造系統基礎架構最為契合的內容及政策程式檔案和宣告。

【公益譯文】NIST製造業網路安全實施指南第2卷:流程型製造系統用例(二)

2.1 目的

網路安全政策定義了安全要求,明確了在組織中如何正確、安全地使用IT和OT服務,目的是防止組織及其使用者受到網路安全威脅,危及公司的完整性、隱私、聲譽和業務成果。

2.2 範圍

本網路安全政策適用於有權訪問製造系統或其資料的員工、承包商或個人。

2.3 政策維護

網路安全政策必須在運營總監批准後才能分發給員工,而運營總監在決定前須徵求IT經理和CEO的意見。對本檔案的任何更新也須得到運營總監的批准。 本政策檔案由運營總監每年審查一次,更新後通知所有員工。

2.4 基於角色的網路安全職責

網路安全責任因個人在公司中的角色而異,具體如下:

員工

組織角色安全責任執行長(CEO)審批資訊保安計劃和配套政策,至少一年一次;指派運營總監負責制定政策和程式,規範組織對IT/OT資產的使用、實施、檔案管理以及履行合規義務;作為事件升級的聯絡人;負責協調資料洩露響應。財務總監向運營總監報告網路安全事件和問題。控制工程師向運營總監報告網路安全事件和問題;就如何滿足特定領域的網路安全要求提供幫助;按總監要求,協助修復漏洞。市場總監向運營總監報告網路安全事件和問題。產品開發總監向運營總監報告網路安全事件和問題。運營總監負責IT/OT資產的總體網路安全;負責修復漏洞及/或緩解風險;制定、實施和維護網路安全計劃和網路安全政策檔案;作為操作人員、廠商和管理層之間的資訊保安事宜聯絡人;向CEO報告網路安全計劃的現狀以及與網路安全相關風險或事件。IT經理和IT團隊按照運營總監的指示修復漏洞;向運營總監報告網路安全事件、運營問題和需要關注的問題;協助確定所在業務部門和專業領域的網路安全要求;將涉及敏感資訊洩露的網路安全事件告知運營總監。法務總監處理網路安全事件相關的法律事宜;審查網路安全事件相關的外部通訊;向運營總監報告網路安全事件和問題。HR經理處理網路安全事件相關的人事和紀律問題;向運營總監報告網路安全事件和問題。

外部人員

角色安全責任裝置廠商協助修復漏洞,根據需要升級軟硬體;遵守韋斯特曼網路安全政策。訪客遵守韋斯特曼網路安全政策。

2.5 員工要求

· 員工須完成網路安全意識培訓,並同意遵守可接受使用政策(Acceptable Use Policy)。

· 若發現廠區內有未經陪同或授權的個人,員工須立即通知運營總監。

· 員工須始終按照密碼策略在所有系統上使用安全密碼,同一憑證不得跨系統,且不能用於外部系統或服務。

· 離職員工須返回所有的公司記錄,無論是何種形式的記錄。

· 外部人員連線到IT或OT網路之前,員工必須向運營總監核實確已授權。

· 員工須向運營總監報告所有的物理或網路安全事件。

2.6 物理安全

· 員工須始終使用並出示公司提供的物理身份證明(ID)。

· 員工、外部人員和訪客的ID必須有明顯區別,一眼看去,即可分辨。

· 嚴禁以任何理由共享ID。

· 接待人員負責管理登記表,記錄所有訪客來訪情況,運營總監會定期審查這些記錄。

· 所有的訪客、承包商和/或維護人員須由員工全程陪同。

· 未經運營總監授權,不得擅自將任何公司檔案、裝置或媒體裝置帶出廠區。

· 訪客、承包商和維護人員在廠區的所有活動受到監控,在連線到公司網路時,運營總監或指定員工會監控其所有的計算機操作。

· 每月對公司進行安全狀況監測,檢查是否有物理安全事故。

2.7 資訊科技(IT)資產

1) IT資產只能用於授權執行的份內業務活動。

2) 每位員工都有責任儲存和妥善使用名下的IT資產。

3) 不得隨意放置IT資產。

4) 桌上型電腦和膝上型電腦無人在場時必須鎖屏,應儘可能自動執行該策略。

5) 個人未經授權不得訪問IT資產,要訪問資產,須獲得運營總監的授權。

6) 變更配置時須走變更控制流程,識別風險,瞭解實施過程中的明顯變更。

7) 所有資產必須受到身份認證技術(如密碼)的保護。

8) 遵守密碼策略。

9) 禁止使用個人裝置訪問IT資源。

10) 除非經運營總監授權,否則不得在移動媒體上儲存敏感資訊。

11) IT資產上儲存或移動裝置上傳輸的任何敏感資訊須妥善保護,禁止非法訪問,並且必須按照行業最佳實踐和適用的法律法規進行加密。

IT資產清單

資產名稱數量超微伺服器6Allen Bradley 5700交換機2Allen Bradley 8300路由器1惠普塔式工作站1

2.8 運營技術(OT)資產

1) 不得將OT資產用於非授權、非份內的業務。

2) 運營總監和操作人員負責儲存和妥善使用名下的OT資產。

3) 非授權人員禁止接觸OT資產。

4) 所有與OT資產直接互動的人員必須接受相應培訓。

5) 運營總監對所有OT裝置負責。控制工程師全權負責OT裝置的維護和配置,其他人員無權修改OT資產配置,包括對介面軟硬體的任何修改。

6) 在OT網路上使用安全工具必須經運營總監批准。

7) 在OT網路中使用安全工具必須提前通知所有操作人員。

8) 授權OT資產的訪問許可權時,必須遵循“最小許可權”原則。

9) 應始終將OT資產(如PLC、安全系統等)的按鍵開關置於“執行”位置,根據需要進行調節。

10) 禁止透過OT網路或OT資產非法訪問IT裝置或網際網路。

11) 禁止使用個人裝置訪問OT資源。

OT資產清單

資產名稱數量Allen Bradley ControlLogix PLC1

2.9 資產生命週期管理責任

任何IT或OT資產在淘汰前必須按照製造商指南對所有資料進行過濾,該操作一般由IT支援人員執行。

員工離職後,其IT資產(如臺式PC或膝上型電腦)分配給其他員工之前,必須重做映像。

2.10 系統維護

1)涉及外部人員(如承包商、廠商等)的所有維護任務須經運營總監批准。

2) 有權訪問公司資源的外部人員須妥善保護用於訪問韋斯特曼網路或系統的所有資源。

3) 對所有遠端維護活動進行監控,防止有害或惡意活動的發生。由一名員工詳細記錄該活動。

4) 所有系統和技術控制措施須在維護後進行驗證,確定是否存在網路安全方面的影響。

5) 運營總監用維護跟蹤軟體記錄所有的維護活動。

2.11 資料

1) 訪問敏感資料時須提前獲得運營總監的許可。

2) 不得隨意共享資料。當需要訪問敏感資訊時,可以向運營總監申請許可,並採取一切必要措施防止非法訪問。

3) 包含敏感資料的裝置(如手機、膝上型電腦、USB裝置等)丟失後,必須立即告知運營總監。

4) 轉移或傳輸敏感公司資料時,必須使用加密的行動式媒體或安全協議。

5) 遠端操作員工必須採取額外的防護措施,確保敏感資料得到妥善保護。

6) 資料的物理副本在不使用時應妥善存放。

7) 切勿隨意放置(例如,在印表機或桌子上)敏感資料的物理副本。

8) 敏感資料的物理副本不再需要時應安全銷燬或處置。

9) 敏感、私有或包含商業秘密的資料型別

10) 資料型別數字檔案物理副本資料庫PLC程式程式碼✓化學式✓✓質量保證程式✓✓操作手冊和檔案✓✓電氣圖✓✓網路圖✓✓歷史生產資料✓✓

2.12 憑證管理

該政策的目的是為設定強密碼、保護密碼、密碼更改頻率和員工期望建立標準。所有員工、廠商、承包商或其他利益相關者在使用韋斯特曼的IT和OT系統時,應透過所分配的個人憑證(使用者名稱和密碼)進行認證,獲得對這些系統的訪問權。對於系統的訪問授權和限制由憑證控制。IT系統帳號的建立和刪除透過微軟活動目錄管理。此外,由IT經理批准並授權使用者訪問IT或OT系統。韋斯特曼保留隨時暫停使用者訪問系統或服務的權利。

2.13 活動目錄帳號的密碼政策

1) 所有密碼必須包含至少10個字元,由大小寫字母、數字和特殊字元組成。

2) 密碼必須每90天更改一次,且不能與過去12個月內使用的密碼相同。

3) 不得使用字典中的單詞或專有名詞作為密碼。

4) 不得在電子郵件或其他形式的電子通訊中提供密碼。

5) 不同的公司帳號須使用不同的密碼,不得使用個人帳號密碼。

6) 儘可能使用多重身份認證。

7) 在安裝資產或將資產連線到任何組織網路之前,必須刪除預設密碼,如新購資產中預先配置的密碼。

8) 禁止共享密碼。

9) 不得洩露或公開密碼。

10) 切勿寫下密碼。

11) 切勿使用應用程式中提供的“記住密碼”功能。

2.14 特權帳號

特權使用者

1) 運營總監對韋斯特曼的製造系統有特權訪問許可權。

2) IT經理對韋斯特曼內部的IT基礎設施有特權訪問許可權。

3) 所有其他的特權使用者帳號均由業務總監根據具體情況授予。

職責

1) 製造環境中的所有特權使用者都有兩個帳號:一個是主帳號,用於正常活動;另一個是特權“管理員”帳號,用於執行特權功能。主帳號用於日常操作;主帳號擁有普通韋斯特曼使用者帳號的所有許可權(例如電子郵件訪問、網際網路訪問等);特權帳號具有管理許可權,只能在製造系統內執行管理功能時使用(例如韌體或軟體的系統更新、系統重配、裝置重啟等)。

2) 特權使用者在製造系統內履行職責時,始終以安全方式使用管理帳號。若特權帳號被入侵,可能會對生產過程產生破壞性影響。

2.15 防病毒軟體

1) 在所有裝置(如工作站和伺服器)上安裝防病毒軟體,只要裝置支援;配置時限制防病毒軟體的資源佔用,以免影響製造系統生產。

2) 安裝防病毒軟體後,配置該軟體從中央管理伺服器或其他防病毒客戶端(若支援)接收推送更新。

2.16 網際網路

1) 僅允許從製造系統網路訪問網際網路,且此種訪問須經過授權。

2) 個人裝置接入網際網路須經運營總監批准。

3) 部署邊界防火牆管控收發流量。

4) 必須監控和記錄所有內外部通訊,工廠操作人員須定期稽核日誌並將日誌報送運營總監。

2.17 持續監控

1) 必須使用商業或開源工具進行全面的網路監控,以檢測攻擊、攻擊跡象和非法網路連線。

2) 監控制造系統,捕捉網路安全攻擊跡象。

3) 監控所有外部邊界網路通訊。

4) 所有網路安全事件必須記錄在事件響應管理系統中,方便後續輸出和跟蹤。

5) 根據地方、州、聯邦、法規和其他強制性要求檢測製造系統時必須按照法律、法規或政策進行。

6) 風險增加或出現其他因素時,加強監測。

7) 所有網路安全事件必須通知以下人員:

事件嚴重性通知人員低(所有事件)控制工程師中IT人員、控制工程師高(須立即關注)IT經理、運營總監

與ICS-CERT共享網路安全事件的詳細資訊,保護組織安全,進而保護行業安全。國土安全部網路安全和基礎設施安全域性(CISA)受理製造商所上報的網路安全事件。

2.18 使用者訪問協議

具有IT或OT資源(如製造系統、電子郵件、HR系統等)訪問許可權的所有員工需閱讀並接受使用者訪問協議的條款。

2.19 遠端訪問

此政策適用於需要遠端訪問製造系統資源的使用者和裝置。以下規則適用於一次性請求:

1) 所有遠端訪問須獲得運營總監批准,同時通知IT經理。請求遠端訪問的廠商必須在公司註冊,且必須填寫工單的詳細資訊,提交維護訂單審批表。

2) 禁止透過未加密連線遠端訪問敏感資訊。確需訪問時,須進行例外授權。

3) T團隊設定VPN帳號,與廠商共享憑證,以便廠商透過遠端桌面訪問選定系統,如工程師站或HMI伺服器,具體可訪問什麼系統取決於任務性質。工作完成後取消訪問許可權。

4) 所有活動都要接受IT人員監控,此等監控會持續進行,直到不再需要遠端會話或工作已完成。指定人員將明示遠端會話何時處於活動狀態,並確保製造系統環境返回到建立遠端連線之前的狀態。

5) 在授權裝置上安裝任何軟體(如桌面共享軟體)均由IT人員執行。

6) 禁止在個人裝置上使用遠端訪問技術。

7) 透過遠端訪問技術接入的所有裝置必須使用最新的防病毒軟體和病毒特徵。

8) 在現場訪問期間,所有活動都要接受監控。當廠商在計算機上操作時,指派專門的IT人員對其進行密切監控。

9) 禁用隧道分離。所有訪問外網的流量都要透過VPN會話從公司網路轉發。

2.20 遠端維護審批流程

對IT/OT資產進行遠端維護的審批流程和程式如下圖所示。

【公益譯文】NIST製造業網路安全實施指南第2卷:流程型製造系統用例(二)

2.21 維護審批表

【公益譯文】NIST製造業網路安全實施指南第2卷:流程型製造系統用例(二)

2.22 縮略詞

【公益譯文】NIST製造業網路安全實施指南第2卷:流程型製造系統用例(二)

2.23 定義

【公益譯文】NIST製造業網路安全實施指南第2卷:流程型製造系統用例(二)

2.24 其他資源

SANS研究院所提供的安全政策資源

專案管理文件網站的安全政策模板

Sophos實驗室的資料安全政策

下期連載將詳述適用於流程型製造系統用例的網路安全操作檔案和風險管理策略檔案示例。

譯者宣告:

【公益譯文】NIST製造業網路安全實施指南第2卷:流程型製造系統用例(二)

小蜜蜂翻譯組公益譯文專案,旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐,將網路安全戰略性文件翻譯為中文,為網路安全從業人員提供參考,促進國內安全組織在相關方面的思考和交流。

相關文章