阅读: 1
NIST《网络安全框架制造篇》与制造业的目标和行业最佳实践保持一致,为制造商管理网络安全风险提供了思路,用于管理与制造系统相关的网络安全活动及网络风险。该指南第2卷详述了适用于流程型制造系统用例的政策和程序文件,并介绍了适用于流程型制造系统用例的技术能力实现和相关性能测量方法。
本次连载将介绍适用于流程型制造系统的网络安全政策和程序文件设计,包括网络安全计划和网络安全策略文件。
本节以为韦斯特曼公司(虚构)开发的政策程序文件和声明为例,介绍了网络安全计划文件中所包含的内容。本文中提到的商业实体、设备、材料等,仅为准确描述概念之用,并非暗示NIST推荐或认可,也不表明这些实体、设备、材料是实现目的最佳选择。各组织的信息安全专家应选用与其现有网络安全计划和制造系统基础架构最为契合的内容及政策程序文件和声明。
一、网络安全计划文件示例
1.1 目的
网络安全计划文件为韦斯特曼启动、实施、维护和改进网络安全管理提供了指导方针和原则。
本计划旨在:
- 确保员工安全,保证业务信息的安全和机密性;
- 保护此类信息的安全和完整性,防止受到预期威胁或危害;
- 保护此类信息,防止通过非法访问或使用此类信息对韦斯特曼及其合作伙伴或客户造成重大伤害或不便。
1.2 读者对象
本文件供CEO、IT经理、运营总监和管理层认可的其他人员使用,为公司实施网络安全计划提供支撑。
1.3 管理层承诺
韦斯特曼的领导团队负责制定这一信息安全计划,是该计划的最终负责人,全力支持计划实施。为践行这一承诺,管理团队须为信息安全工作划拨必要资金,及时应对各种新情况,还要参与所有与信息安全相关的活动。
1.4 公司概况
工业部门中的角色
韦斯特曼是一家生产商用级化工产品的化工制造商,其产品用于运输、建筑施工等工业产品。除定期维护停机(每年约2周时间,通常在12月底)外,韦斯特曼的生产设施全天候连续运营。为提高工业竞争力,韦斯特曼引进了过程自动化设备,以提高生产效率,降低生产成本。厂房里部署了工业自动化设备,如可编程逻辑控制器(PLC)、人机界面(HMI)和历史数据库,监控生产作业。根据第21号总统政策令(PPD-21),化工行业属于关键基础设施。
任务目标
- 保护人员安全
韦斯特曼以制造系统的安全运行为己任,始终将员工安全作为头等大事。所有的制造工艺、协议、自动化过程和设备、作业程序和指南在设计时都充分考虑了人员安全。
- 保护环境安全
韦斯特曼遵守有关环境安全的所有适用法规。韦斯特曼确保其生产过程不影响环境,尽力减少环境足迹。每季度对生产造成的环境影响进行评审。
- 保证产品质量
韦斯特曼拥有世界领先的生产设备和工艺,采用最先进的自动化、设备和技术确保产品质量。公司建立了质量保证程序,使用自动化设备(包括高速控制网络中的PLC、历史数据库和高精度传感器)监控产品质量。
- 实现生产目标
韦斯特曼的一个重要目标是实现月度生产目标,确保向客户及时供货。也有助于维护公司的财务稳定性。韦斯特曼基于7×24生产模式规划生产运营,满足生产目标和客户需求。公司在自动化设备和熟练专业人员方面进行投资,确保完成月度生产目标。
- 保护商业机密
韦斯特曼倾力保护其商业机密,包括产品开发、制造工艺、产品质量和供应链管理。
供应链中的角色
原材料一般基于与供应商签订的长期合同供应,定期运至工厂。 制成品通常批量出售,产品运输分包给多家物流公司,负责从韦斯特曼工厂运送至最终客户,即其他工业制造商,他们通常将韦斯特曼产品用作原材料或添加剂。
信息传递
制造系统所有的关键信息和操作以及关键资源应以网络图、手册等形式记录。运营总监在IT经理协助下,每年对文件进行一次审查。公司根据具体角色将信息与员工和承包商共享。
制造系统关键组件
制造系统的关键组件如下:
- 工程师站(Engineering Workstation)
- 管理型PLC(Supervisory PLC)
- HMI服务器
- OPC和控制器服务器
- 历史数据库服务器(Historian Database Server)
- 网络设备
配套服务
韦斯特曼需要的配套服务包括宽带互联网、供电、天然气和供水。宽带互联网连接由一家大型全国网络服务商根据商业级服务水平协议提供。
1.5 信息安全政策
信息安全政策的目的是概括介绍构成韦斯特曼信息安全计划的政策、标准、程序和技术控制措施。本文件由运营总监制定实施,旨在保护韦斯特曼的IT和运营技术(OT)资产。
1.6 适用法律法规
作为一家化工产品制造商,韦斯特曼及其员工必须遵守联邦和州对化学品和有害物质的所有法律法规要求。韦斯特曼作为企业主还须遵守所有的法律、法规和安全要求。
1.7 安全组织和治理
信息安全是治理活动的组成部分,涉及领导层、组织结构和流程,目的是保护韦斯特曼的信息、运营、市场地位和声誉。
组织角色 | 安全责任 |
首席执行官(CEO) | 审批信息安全计划和配套政策,至少一年一次;指派运营总监制定政策和程序,规范组织对IT/OT资产的使用、实施、文件管理以及履行合规义务;作为事件升级的联系人(Point of Escalation);负责协调数据泄露响应。 |
财务总监 | 向运营总监报告网络安全事件和问题。 |
控制工程师 | 向运营总监报告网络安全事件和问题;协助确定所在领域的网络安全要求;应总监要求,协助修复漏洞。 |
市场总监 | 向运营总监报告网络安全事件和问题。 |
产品开发总监 | 向运营总监报告网络安全事件和问题。 |
运营总监 | 负责所有IT/OT资产的总体网络安全;负责修复漏洞及/或缓解风险;制定、实施和维护网络安全计划和网络安全政策文件;作为操作人员、厂商和管理层之间的信息安全事宜联络人;向CEO汇报网络安全计划的现状以及网络安全相关风险或事件。 |
IT经理和IT团队 | 按照运营总监的指示修复漏洞;向运营总监报告网络安全事件、运营问题和需要关注的其他问题;协助确定所在业务部门和专业领域的网络安全要求;将涉及敏感信息泄露的网络安全事件告知运营总监。 |
法务总监 | 处理网络安全事件相关的法律事宜;审查网络安全事件相关的外部通信;向运营总监报告网络安全事件和问题。 |
HR经理 | 处理网络安全事件相关的人事和纪律问题;向运营总监报告网络安全事件和问题。 |
1.8 个人信息隐私
在韦斯特曼系统中,员工无隐私可言,韦斯特曼系统和网络中的所有活动都受到监控。韦斯特曼是私营公司,其信息系统中存储的任何信息都可能根据州法律进行披露。韦斯特曼不会泄露个人信息,但根据适用法律、法规、有效法律要求提供此类信息的情况除外。
1.9 运营安全
风险管理:
运营总监应进行一年一度的风险评估,识别可能影响威胁韦斯特曼安全性、机密性和完整性的内外部风险。风险评估包括评估风险及其可能性,还要选择和实施控制措施,将风险降低到可接受水平。每次风险评估后,主要结论和风险缓解建议都要形成文件。鼓励所有员工向运营总监报告任何潜在或现存风险。运营总监识别或确认风险后,将确定下一步行动(例如接受风险、寻求IT团队的帮助、联系厂商缓解风险等)。同样,如果厂商或承包商发现设备存在任何威胁或风险,也可以通知运营总监。
物理安全:
厂区有围墙,围墙大门在上班时间打开,下班后上锁。主楼有两个入口,一个用于员工出入,通常上锁,员工必须刷卡才能进入大楼。另一个入口位于前厅,在正常上班时间属于开放状态。访客须登记并领取相应身份证明才能进入。此外,为确保人员安全,进行入职前筛选,对职位进行详细描述,明确雇用条件,提供网络安全教育和培训。
访问控制:
对IT和OT系统的访问采用基于角色的最小权限原则,访问或操作制造系统的任何组件都需要提前获得运营总监的相关授权和批准,已部署控制措施,通过认证方法和其他技术手段限制访问,有正式的流程和安全登录程序管理密码,敏感系统明确标识,定期进行审计。有相应的身份认证控件对外部连接和远程用户进行认证,对关键组件的物理和逻辑访问进行控制,系统保护和数据保护职责分开,定期审核访问权限。
1.10 网络安全意识培训
新员工入职时向其传达网络安全意识信息,提供在线资源,让员工了解安全最佳实践和上报网络安全事件的重要性。此外,运营总监确保员工明了自己在韦斯特曼网络安全计划中的角色和责任。运营总监和外部厂商之间定期共享有关韦斯特曼系统潜在或现存网络威胁的所有信息。另外,会及时发布有关电子邮件欺诈、网络钓鱼企图和其他恶意行为的新闻,告知用户存在的潜在威胁。
用户和管理人员培训
员工须在管理层批准后接受在线计算机培训或课堂培训。可以采用的培训方案示例如下。订阅行业组织时事通讯和杂志能获取更多针对性的培训课程。
培训方案示例
- ICS-CERT VLP (虚拟学习门户)
- SCADAhacker
- SANS工业控制系统培训
- ISA培训
特权用户培训
特权用户的培训内容涵盖普通用户的指定培训内容。高级培训由自动化行业组织或工控系统环境网络安全专业培训机构提供。
培训方案示例
- 国际自动化协会(ISA)
- SANS(信息安全培训)
第三方承包商培训
第三方承包商访问任何IT/OT系统之前,必须接受网络安全意识培训,培训方式包括培训机构面授和在线虚拟教室环境。
培训方案示例
- SANS工业控制系统培训 (讲师培训—收费)
- ICS-CERT VLP (虚拟学习门户)(免费虚拟教室环境)
1.11 第三方责任和要求
- 要求第三方承包商和厂商遵守网络安全政策,保护敏感信息,确保敏感信息的安全。
- 第三方承包商和厂商从第一次安全合规检查完成之日起每年重新评估一次。在重新认证过程中,将再次评审上述安全意识培训部分中列出的所有目标,确保合规。
- 所有第三方提供商的远程连接通过桌面共享程序实现,接受监控和审核。
- 所有软硬件工具在网络上使用或部署前必须获得运营总监的批准。
- 共享任何数据前双方都要签署书面谅解备忘录。
- 确有需要时才能创建和启用网络帐户,厂商使用远程访问帐户时需要获得运营总监的批准。有关审批流程的详细信息,参见网络安全政策文件中的“远程维护审批”。
1.12 消防、安全和环境系统
所有用于保护制造系统的消防和安全系统必须符合地方、州和联邦法律的要求,包括职业安全与健康管理局(OSHA)的人员安全条例。根据监管行业的指导,遵循行业安全法规。所有消防系统的设计都必须把保护生命作为第一要务,其次才是制造设备的安全。确保制造系统的消防措施可在电气设备周围(例如PLC、HMI、机器人、服务器)安全使用。消防系统须经过认证,来自获得相应许可的特许厂商。
制造系统环境中使用的所有环境系统(如暖通空调系统)必须符合地方、州和联邦法律的要求,将保护生命作为第一要务,其次才是制造设备的安全。
1.13 应急电源
在发生重大停电事件时,使用短期不间断电源(UPS),组织可有序停工,有条不紊地准备好长期备用电源。
1.14 安全事件管理
韦斯特曼的事件响应计划和系统恢复计划对网络安全事件的检测、分析、遏制、根除、恢复和审查进行规划。事件响应计划明确网络安全事件的响应流程,系统恢复计划定义系统恢复流程和恢复能力要求。运营总监负责管理网络安全事件,确保及时报告、调查、记录和解决网络安全事件,迅速恢复运营,并保留证据,根据需要进一步追究纪律、法律责任或进行执法行动。对事件响应计划和系统恢复计划进行年度审查,根据需要进行更新。从网络安全事件中汲取经验教训,改善并提高检测能力,加强对组织和制造系统的保护。
1.15 信息共享计划
与外部实体(如行业组织和地方、州及或邦机构)共享信息有助于加强网络安全。信息共享,特别是从其他外部实体接收信息时,能提高态势感知,更好地保护制造系统。
行业组织
与行业组织建立关系,共享生产厂区内检测到的网络安全事件信息。与行业组织共享的网络安全事件信息必须删除所有私有信息和商业秘密,属于非机密信息。网络安全事件信息若包含私有、客户信息或商业秘密流程,在传输之前需要签订保密协议(NDA);这些信息为敏感信息,在发送之前需要得到高管批准。
地方政府
与地方政府建立关系,以便共享网络安全事件数据。
州政府
与州政府组织建立关系,以便共享网络安全事件数据。州政府若有事件共享组织,行业组织应能够提供该组织的联系信息。
联邦政府
与联邦政府机构建立关系,以便共享网络安全事件数据,例如:向国土安全部(CISA)机构上报网络钓鱼、恶意软件、漏洞事件;向国土安全部(NCCIC)机构上报工业控制系统网络安全事件。
1.16 定期重新评估计划
网络安全计划文件根据制造系统的变化持续更新,提升网络安全。发生网络安全事件后,吸取经验教训,优化本文件。
运营总监应根据需要,随时评估和更新计划。具体说,应根据以下内容进行评估和更新:
- 风险评估和监控结果
- 韦斯特曼的运营、业务或基础设施组件发生的重大变化
- 网络安全事件
二、网络安全政策文件示例
本节以为韦斯特曼公司(虚构)开发的政策程序文件和声明为例,介绍了网络安全政策文件中所包含的内容。本文中提到的商业实体、设备、材料等,仅为准确描述概念之用,并非暗示NIST推荐或认可,也不表明这些实体、设备、材料是实现目的之最佳选择。各组织的信息安全专家应选用与其现有网络安全计划和制造系统基础架构最为契合的内容及政策程序文件和声明。
2.1 目的
网络安全政策定义了安全要求,明确了在组织中如何正确、安全地使用IT和OT服务,目的是防止组织及其用户受到网络安全威胁,危及公司的完整性、隐私、声誉和业务成果。
2.2 范围
本网络安全政策适用于有权访问制造系统或其数据的员工、承包商或个人。
2.3 政策维护
网络安全政策必须在运营总监批准后才能分发给员工,而运营总监在决定前须征求IT经理和CEO的意见。对本文件的任何更新也须得到运营总监的批准。 本政策文件由运营总监每年审查一次,更新后通知所有员工。
2.4 基于角色的网络安全职责
网络安全责任因个人在公司中的角色而异,具体如下:
员工
组织角色 | 安全责任 |
首席执行官(CEO) | 审批信息安全计划和配套政策,至少一年一次;指派运营总监负责制定政策和程序,规范组织对IT/OT资产的使用、实施、文件管理以及履行合规义务;作为事件升级的联系人;负责协调数据泄露响应。 |
财务总监 | 向运营总监报告网络安全事件和问题。 |
控制工程师 | 向运营总监报告网络安全事件和问题;就如何满足特定领域的网络安全要求提供帮助;按总监要求,协助修复漏洞。 |
市场总监 | 向运营总监报告网络安全事件和问题。 |
产品开发总监 | 向运营总监报告网络安全事件和问题。 |
运营总监 | 负责IT/OT资产的总体网络安全;负责修复漏洞及/或缓解风险;制定、实施和维护网络安全计划和网络安全政策文件;作为操作人员、厂商和管理层之间的信息安全事宜联络人;向CEO报告网络安全计划的现状以及与网络安全相关风险或事件。 |
IT经理和IT团队 | 按照运营总监的指示修复漏洞;向运营总监报告网络安全事件、运营问题和需要关注的问题;协助确定所在业务部门和专业领域的网络安全要求;将涉及敏感信息泄露的网络安全事件告知运营总监。 |
法务总监 | 处理网络安全事件相关的法律事宜;审查网络安全事件相关的外部通信;向运营总监报告网络安全事件和问题。 |
HR经理 | 处理网络安全事件相关的人事和纪律问题;向运营总监报告网络安全事件和问题。 |
外部人员
角色 | 安全责任 |
设备厂商 | 协助修复漏洞,根据需要升级软硬件;遵守韦斯特曼网络安全政策。 |
访客 | 遵守韦斯特曼网络安全政策。 |
2.5 员工要求
- 员工须完成网络安全意识培训,并同意遵守可接受使用政策(Acceptable Use Policy)。
- 若发现厂区内有未经陪同或授权的个人,员工须立即通知运营总监。
- 员工须始终按照密码策略在所有系统上使用安全密码,同一凭证不得跨系统,且不能用于外部系统或服务。
- 离职员工须返回所有的公司记录,无论是何种形式的记录。
- 外部人员连接到IT或OT网络之前,员工必须向运营总监核实确已授权。
- 员工须向运营总监报告所有的物理或网络安全事件。
2.6 物理安全
- 员工须始终使用并出示公司提供的物理身份证明(ID)。
- 员工、外部人员和访客的ID必须有明显区别,一眼看去,即可分辨。
- 严禁以任何理由共享ID。
- 接待人员负责管理登记表,记录所有访客来访情况,运营总监会定期审查这些记录。
- 所有的访客、承包商和/或维护人员须由员工全程陪同。
- 未经运营总监授权,不得擅自将任何公司文件、设备或媒体设备带出厂区。
- 访客、承包商和维护人员在厂区的所有活动受到监控,在连接到公司网络时,运营总监或指定员工会监控其所有的计算机操作。
- 每月对公司进行安全状况监测,检查是否有物理安全事故。
2.7 信息技术(IT)资产
- IT资产只能用于授权执行的份内业务活动。
- 每位员工都有责任保存和妥善使用名下的IT资产。
- 不得随意放置IT资产。
- 台式机和笔记本电脑无人在场时必须锁屏,应尽可能自动执行该策略。
- 个人未经授权不得访问IT资产,要访问资产,须获得运营总监的授权。
- 变更配置时须走变更控制流程,识别风险,了解实施过程中的明显变更。
- 所有资产必须受到身份认证技术(如密码)的保护。
- 遵守密码策略。
- 在发现资产丢失或被盗后,必须立即通知运营总监。
- 禁止使用个人设备访问IT资源。
- 除非经运营总监授权,否则不得在移动媒体上存储敏感信息。
- IT资产上存储或移动设备上传输的任何敏感信息须妥善保护,禁止非法访问,并且必须按照行业最佳实践和适用的法律法规进行加密。
IT资产清单
资产名称 | 数量 |
超微服务器 | 6 |
Allen Bradley 5700交换机 | 2 |
Allen Bradley 8300路由器 | 1 |
惠普塔式工作站 | 1 |
2.8 运营技术(OT)资产
- 不得将OT资产用于非授权、非份内的业务。
- 运营总监和操作人员负责保存和妥善使用名下的OT资产。
- 非授权人员禁止接触OT资产。
- 所有与OT资产直接交互的人员必须接受相应培训。
- 运营总监对所有OT设备负责。控制工程师全权负责OT设备的维护和配置,其他人员无权修改OT资产配置,包括对接口软硬件的任何修改。
- 在OT网络上使用安全工具必须经运营总监批准。
- 在OT网络中使用安全工具必须提前通知所有操作人员。
- 授权OT资产的访问权限时,必须遵循“最小权限”原则。
- 应始终将OT资产(如PLC、安全系统等)的按键开关置于“运行”位置,根据需要进行调节。
- 禁止通过OT网络或OT资产非法访问IT设备或互联网。
- 禁止使用个人设备访问OT资源。
OT资产清单
资产名称 | 数量 |
Allen Bradley ControlLogix PLC | 1 |
2.9 资产生命周期管理责任
- 任何IT或OT资产在淘汰前必须按照制造商指南对所有数据进行过滤,该操作一般由IT支持人员执行。
- 员工离职后,其IT资产(如台式PC或笔记本电脑)分配给其他员工之前,必须重做映像。
2.10 系统维护
- 涉及外部人员(如承包商、厂商等)的所有维护任务须经运营总监批准。
- 有权访问公司资源的外部人员须妥善保护用于访问韦斯特曼网络或系统的所有资源。
- 对所有远程维护活动进行监控,防止有害或恶意活动的发生。由一名员工详细记录该活动。
- 所有系统和技术控制措施须在维护后进行验证,确定是否存在网络安全方面的影响。
- 运营总监用维护跟踪软件记录所有的维护活动。
2.11 数据
- 访问敏感数据时须提前获得运营总监的许可。
- 不得随意共享数据。当需要访问敏感信息时,可以向运营总监申请许可,并采取一切必要措施防止非法访问。
- 包含敏感数据的设备(如手机、笔记本电脑、USB设备等)丢失后,必须立即告知运营总监。
- 转移或传输敏感公司数据时,必须使用加密的便携式媒体或安全协议。
- 远程操作员工必须采取额外的防护措施,确保敏感数据得到妥善保护。
- 数据的物理副本在不使用时应妥善存放。
- 切勿随意放置(例如,在打印机或桌子上)敏感数据的物理副本。
- 敏感数据的物理副本不再需要时应安全销毁或处置。
敏感、私有或包含商业秘密的数据类型
数据类型 | 数字文件 | 物理副本 | 数据库 |
PLC程序代码 | ✓ | ||
化学式 | ✓ | ✓ | |
质量保证程序 | ✓ | ✓ | |
操作手册和文件 | ✓ | ✓ | |
电气图 | ✓ | ✓ | |
网络图 | ✓ | ✓ | |
历史生产数据 | ✓ | ✓ |
2.12 凭证管理
该政策的目的是为设置强密码、保护密码、密码更改频率和员工期望建立标准。所有员工、厂商、承包商或其他利益相关者在使用韦斯特曼的IT和OT系统时,应通过所分配的个人凭证(用户名和密码)进行认证,获得对这些系统的访问权。对于系统的访问授权和限制由凭证控制。IT系统帐号的创建和删除通过微软活动目录管理。此外,由IT经理批准并授权用户访问IT或OT系统。韦斯特曼保留随时暂停用户访问系统或服务的权利。
2.13 活动目录帐号的密码政策
- 所有密码必须包含至少10个字符,由大小写字母、数字和特殊字符组成。
- 密码必须每90天更改一次,且不能与过去12个月内使用的密码相同。
- 不得使用字典中的单词或专有名词作为密码。
- 不得在电子邮件或其他形式的电子通信中提供密码。
- 不同的公司帐号须使用不同的密码,不得使用个人帐号密码。
- 尽可能使用多重身份认证。
- 在安装资产或将资产连接到任何组织网络之前,必须删除默认密码,如新购资产中预先配置的密码。
- 禁止共享密码。
- 不得泄露或公开密码。
- 切勿写下密码。
- 切勿使用应用程序中提供的“记住密码”功能。
2.14 特权帐号
特权用户
- 运营总监对韦斯特曼的制造系统有特权访问权限。
- IT经理对韦斯特曼内部的IT基础设施有特权访问权限。
- 所有其他的特权用户帐号均由业务总监根据具体情况授予。
职责
- 制造环境中的所有特权用户都有两个帐号:一个是主帐号,用于正常活动;另一个是特权“管理员”帐号,用于执行特权功能。主帐号用于日常操作;主帐号拥有普通韦斯特曼用户帐号的所有权限(例如电子邮件访问、互联网访问等);特权帐号具有管理权限,只能在制造系统内执行管理功能时使用(例如固件或软件的系统更新、系统重配、设备重启等)。
- 特权用户在制造系统内履行职责时,始终以安全方式使用管理帐号。若特权帐号被入侵,可能会对生产过程产生破坏性影响。
2.15 防病毒软件
- 在所有设备(如工作站和服务器)上安装防病毒软件,只要设备支持;配置时限制防病毒软件的资源占用,以免影响制造系统生产。
- 安装防病毒软件后,配置该软件从中央管理服务器或其他防病毒客户端(若支持)接收推送更新。
2.16 互联网
- 仅允许从制造系统网络访问互联网,且此种访问须经过授权。
- 个人设备接入互联网须经运营总监批准。
- 部署边界防火墙管控收发流量。
- 必须监控和记录所有内外部通信,工厂操作人员须定期审核日志并将日志报送运营总监。
2.17 持续监控
- 必须使用商业或开源工具进行全面的网络监控,以检测攻击、攻击迹象和非法网络连接。
- 监控制造系统,捕捉网络安全攻击迹象。
- 监控所有外部边界网络通信。
- 所有网络安全事件必须记录在事件响应管理系统中,方便后续输出和跟踪。
- 根据地方、州、联邦、法规和其他强制性要求检测制造系统时必须按照法律、法规或政策进行。
- 风险增加或出现其他因素时,加强监测。
- 所有网络安全事件必须通知以下人员:
事件严重性 | 通知人员 |
低(所有事件) | 控制工程师 |
中 | IT人员、控制工程师 |
高(须立即关注) | IT经理、运营总监 |
- 与ICS-CERT共享网络安全事件的详细信息,保护组织安全,进而保护行业安全。国土安全部网络安全和基础设施安全局(CISA)受理制造商所上报的网络安全事件。
2.18 用户访问协议
具有IT或OT资源(如制造系统、电子邮件、HR系统等)访问权限的所有员工需阅读并接受用户访问协议的条款。
2.19 远程访问
此政策适用于需要远程访问制造系统资源的用户和设备。以下规则适用于一次性请求:
- 所有远程访问须获得运营总监批准,同时通知IT经理。请求远程访问的厂商必须在公司注册,且必须填写工单的详细信息,提交维护订单审批表。
- 禁止通过未加密连接远程访问敏感信息。确需访问时,须进行例外授权。
- IT团队设置VPN帐号,与厂商共享凭证,以便厂商通过远程桌面访问选定系统,如工程师站或HMI服务器,具体可访问什么系统取决于任务性质。工作完成后取消访问权限。
- 所有活动都要接受IT人员监控,此等监控会持续进行,直到不再需要远程会话或工作已完成。指定人员将明示远程会话何时处于活动状态,并确保制造系统环境返回到建立远程连接之前的状态。
- 在授权设备上安装任何软件(如桌面共享软件)均由IT人员执行。
- 禁止在个人设备上使用远程访问技术。
- 通过远程访问技术接入的所有设备必须使用最新的防病毒软件和病毒特征。
- 在现场访问期间,所有活动都要接受监控。当厂商在计算机上操作时,指派专门的IT人员对其进行密切监控。
- 禁用隧道分离。所有访问外网的流量都要通过VPN会话从公司网络转发。
2.20 远程维护审批流程
对IT/OT资产进行远程维护的审批流程和程序如下图所示。
2.21 维护审批表
2.22 缩略词
2.23 定义
2.24 其他资源
SANS研究院所提供的安全政策资源
项目管理文档网站的安全政策模板
Sophos实验室的数据安全政策
下期连载将详述适用于流程型制造系统用例的网络安全操作文件和风险管理策略文件示例。
译者声明:
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。