|
知识路径: > 网络安全风险评估技术原理与应用 > 网络安全风险评估技术应用 > 工业控制系统平台脆弱性识别参考 > 工业控制系统平台脆弱性识别参考 >
|
相关知识点:4个
|
|
|
|
平台管理脆弱性识别是指对组织的安全管理策略、制度、人员、运维管理等方面存在的脆弱性进行核查。下表列出了工业控制系统的平台管理通常可能存在的脆弱性。
|
|
|
|
|
|
(1)评估方查阅被评估方编制的安全管理和策略文档,是否恰当、明确、具体,与应用的法律、制度、政策、规章、标准和指南是否一致,并据此对有关人员进行培训。
|
|
|
(2)评估方审查培训的资料及培训记录,是否基于工作角色进行安全培训,是否提高工作人员的安全意识。
|
|
|
(3)评估方审查被评估方就工业控制系统签署的采购服务合同,合同中是否描述该工业控制系统及其部件和服务中所使用的那些安全控制措施的功能特性信息,及那些安全控制的设计和实现的详细信息。
|
|
|
(4)评估方审查被评估方是否对采购的设备进行过安全评估。
|
|
|
(5)评估方查看被评估方是否对工业控制系统供应链进行过安全评估。
|
|
|
(6)评估方现场查看工业控制系统的设备安装使用指导文件是否缺失。
|
|
|
(7)评估方现场查看被评估方的安全管理机构设置、职能部门设置、岗位设置、人员配置等是否合理,分工是否明确,职责是否清晰,工作是否落实,以及安全管理组织相关活动记录等文件。
|
|
|
(8)评估方审查人员离职及调离之后是否将与工业控制系统相关的物品归还,例如系统管理技术手册、密钥、身份标识卡等,并消除其访问权。被评估方与离职人员签署的离职协议是否有保密规定。
|
|
|
(9)评估方现场查看被评估方的应急计划、应急培训记录、应急预案等。
|
|
|
(10)评估方现场查看工业控制系统的备用存储和处理设备、系统备份及备份频率。被评估方是否将备份数据存储在异地灾备中心。
|
|
|
(11)评估方现场查看被评估方是否有系统恢复和重建实施方案,可以在规定的时间内恢复工业控制系统。
|
|
|
(12)评估方查看被评估方制定的审计范围和内容,是否明确指明对哪些工业控制系统组件进行审计。
|
|
|
(13)评估方查看被评估方是否对现场设备进行审计,审计是否包括:用户登录、退出、连接超时、配置变更、日期变更、密码创建和修改、通信异常等。
|
|
|
(14)评估方查看审计记录保存时间和审查存储空间,是否可以至少保留3个月,现场设备是否至少支持2048个事件记录,当空间不足时是否发出报警信息。
|
|
|
(15)评估方查看当审计失败时,是否可以及时地向相关人员发出警报,并有相应的应急措施。
|
|
|
(16)评估方查看访问审计信息的权限,是否仅有授权账户可以访问。
|
|
|
(17)评估方现场查看被评估方是否有配置管理文档支持配置管理的实施,例如配置管理计划、系统组件清单、配置管理范围等。
|
|
|
(18)组织的配置变更管理怎样实施,是否有配置变更申请表、变更记录、变更审计等。
|
|
|
(19)组织配置变更之后是否进行安全评估或安全影响分析,是否有评估报告或分析记录。
|
|
|
(20)评估方现场查看被评估方是否根据厂商供应商的规格说明以及被评估方的管理要求,对系统组件的维护和修理进行规划、实施、记录,并对维护和修理记录进行评审,并查看维修记录及评审记录。
|
|
|
|
(22)被评估方是否对已批准异地运维的设备,删除异地运维时的存储资料。
|
|
|
(23)评估方现场查看,采用远程运维方式时,被评估方是否对远程控制端口设置控制权限和控制时间窗。
|
|
|
|
(25)是否允许设备、信息或软件离开被评估方机构场所。
|
|
|