(高清版)GBT 42445-2023 工业自动化和控制系统安全 IACS环境下的补丁管理

工业自动化和控制系统安全国家市场监督管理总局国家标准化管理委员会I Ⅲ引言 1 1 1 13.2缩略语和缩写 24工业自动化和控制系统补丁 4 44.2不良补丁管理的影响 44.3过时的IACS的补丁管理缓解方法 5 5 6 7 77.1概述 77.2补丁信息交换格式 8 8 87.5VPC文件元素定义 附录A(资料性)VPCXSD文件格式 A.2核心组件类型 附录B(资料性)IACS资产所有者应用补丁导则 B.1附录结构 21B.3信息收集 B.4项目规划与实施 B.5监视与评价 B.6补丁测试 37B.7补丁部署和安装 43附录C(资料性)IACS产品供应商/服务提供商补丁安装导则 ⅡC.1附录结构 C.2脆弱性发现 46 47C.4网络安全更新的发布 48C.5沟通和延伸 48 49Ⅲ本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定本文件等同采用IECTR62443-2-3:2015《工业自动化和控制系统安全第2-3部分：IACS环境下——为与现有标准协调，将标准名称改为《工业自动化和控制系统安全IACS环境下的补丁管布了GB/T33007—2016《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》1GB/T42445—2023/IECTR本文件描述了对已经建立并正在维护工业自动化和控制系统(IACS)补丁管理计划的资产所有者和IACS产品供应商的要求。了IACS产品供应商对于补丁信息的开发和资产所有者对于补丁的部署和安装等一些相关活本文件不区分为操作系统(OS)、应用程序或设备补丁，也不区分提供基础架构组件或IACS应用下列文件中的内容通过文中的规范性引用而构成本文件必不IECTS62443-1-1工业通信网络网络和系统安全第1-1部分：术语、概念和模型(Industrialcommunicationnetworks—NetworkandIEC62443-2-1工业通信网络网络和系统安全第2-1部分：建立工业自动化和控制系统安全程序(Industrialcommunicationnetworks—Networkandsystemsecurity—IECTS62443-1-1和IEC62443-2-1界定的以及下列术语和定义适用于本文件。2GB/T42445—2023/IECTR62443-2-3:软件原始开发中的缺陷(如安全脆弱性),使其以非预期的方式执行或运ANSI:美国国家标准学会(AmericanNationalStandardsInstitute)BIA:业务影响评估(Businessimpactassessment)CCTS:核心组件技术规范(CoreComponentsTechnicalSpecification)sponseTeam,ComputerEmCOTS:商用现成(Commercial-off-the-shelf)CPNI:国家基础设施保护中心([UK]CentreforProtectionofNationalInfrastructure)CPU:中央处理器(Centralprocessingunit)DCS:分布式控制系统(Distributedcontrolsystem)DHS:美国国土安全部([US]DepartmentofHomelandSecurity)DRP:灾难恢复计划(Disasterrecoveryplanning)DVD:数字多功能光盘(Digitalversatiledisc)EULA:最终用户许可协议(Enduserlicenseagreement)FAT:工厂验收试验(Factoryacceptancetesting)HTML:超文本标记语言(HypertextMarkupLanguage)HTTP:超文本传输协议(Hypertexttransferprotocol)3ICS-CERT:美国工业控制系统网络应急响应小组([IACS-SMS:IACS安全管理系统(IACSsecuritymanagemenIEC:国际电工委员会(InternationaIPS:入侵防护系统(Intrusionpreventionsystem)ISMS:信息安全管理系统(Informationsecuritymanagementsystem)MD5:消息摘要算法5(Messagedigest5)MES:制造执行系统(ManufacturingeMESA:国际制造企业解决方案协会(ManufacturingEnterpriseSolutionsAssociationInterna-NISCC:美国国家基础设施安全协调中心([US]NationalInfrastructureSecurityCo-ordinationNSA:美国国家安全局([US]NationalSecurityAOEM:原始设备制造商(Originalequipmentmanufacturer)PLC:可编程逻辑控制器(ProgrammablelogiccontrollRAID:独立磁盘冗余阵列(RedundantarRASCI:负责的、批准的、支持的、咨询的、知情的(Responsible,accountable,supportive,UN/CEFACT:联合国贸易便利和电子商务统一资源标识符中心(UnitedNationsCentrefor4TradeFacilitationandElectronicBusinessUniformresourceidentifier)USB:通用串行总线(Universalserialbus)US-CERT:美国计算机应急准备小组(UnitedStatesComputerEmergencyReadinessTeam)VPC:供应商补丁兼容性(Vendorpatchcompatibility)WAN:广域网(Wideareanetwork)XML:可扩展标记语言(eXtensibleMarkupLanguage)XSD:可扩展标记语言架构(XMLschemadefinition)在工业自动化和控制系统(IACS)上实施补丁管理程序时，资产所有者会面临许多挑战。给一个可靠性产生负面影响。给IACS安装补丁需要大量的准备工作，资产所有者需要争取必要的资源来解决额外的工作量。对于每一个补丁和资产所有者拥有的每个产品考虑到给IACS安装补丁所需的资源和工作量，大多数组织安排在其他正常日常维护中断期间安应用补丁是一种风险管理决策。如果应用补丁的成本大于评估出的风险成●补丁和控制系统软件不兼容；●反病毒和反恶意代码系统产生误报；考虑到产品供应商和资产所有者在保持其系统是最新的，以尽可能降低由方面所面临的挑战，产品供应商或资产所有者的恶意对手(例如恶意威胁者)总是更有优势。当有脆弱有者可能应用也可能不能应用补丁，这会是一个关于如何基于风险来缓解脆弱性风险的决定。即使不不良IACS补丁管理的主要影响是增加了IACS系统损失或被损害的风险。与办公或企业系统不同的是，IACS受损可能导致比数据丢失或系统停机更严重的后果。IACS受损可能影响系统功能安详见B.4.2。5GB/T42445—2023/IECTR4.3过时的IACS的补丁管理缓解方法资产所有者可能会遇到这样的情况，即供应商不再提作为IACS补丁管理过程的一部分，安全风险缓解措施的附加信息见B.4.5、B.4.6、B.5.5和所有可用补丁的状态是重要的。补丁生命周期状态定义见表1。可用资产所有者测试中IACS供应商认可补丁通过测试前，补丁都不能被使用不适用已认可可能直接将补丁应用于其内部开发的系统中资产所有者内部测试中资产所有者补丁未通过内部测试，可能不能被应用资产所有者已授权资产所有者补丁已由资产所有者公开供使用资产所有者已安装补丁安装在系统中资产所有者补丁生命周期的状态模型如图1所示。由IACS供应商维护的状态在图左侧的深灰色区域，由IACS资产所有者维护的状态在图右侧的浅灰色区域。状态间的转换通过产品供应商或资产所有者的6所有者不适用内部测试未通过或直接使用测试资产所有者有义务来维护其运行的功能安全、可靠性、可操作性、网络安全和质量。通过对7d)最好在操作系统或第三方软件供应商发布补丁后30天8GB/T42445--2023/IECTR62443在某个特定版本的IACS软件上进行了测试，同时说明被测试的补丁和该版本IACS软件最小补丁兼容性信息的格式基于XML技术，并使用XML的XSD定义。补丁信息文件被称一个VPC文件的文件名宜按照以下语法定义：<filename>=<vendor_name>“_patch_compatibility_”<date>“_”<number>“.xml”<vendor_name>:通常可识别的IACS公司短名称；<date>:IACS产品供应商发布该兼容性文件的日期(格式见ISO8601[87.4VPC文件schemaVPC格式允许在同一个VPC交换文件中交换关于多个补丁和IACS产品供应商产生的补丁图2解释了VPC文件schema的定义。9申申田PatchVendor-PatchVendor-0Name图3介绍了VPC文件schema架构图。 图3VPC文件schema架构图表2到表5定义了VPCXSD文件中的每一个元素。交换文件中仅宜使用“定义”列中定义的适用表2VPCXSD补丁数据文件元素定义示例：“DCS供应商”“MES供应商”定义示例：“OS供应商”“DCS供应商”“协议栈供应商”定义示例：“SQLServer""MicrosoftWindows”示例：“ServicePack2”“7.15”“A”“R23.9”必选字符串，包含补丁产品供应商定义的补丁主要标识示例：“KB1234567”示例：“1”“1.0”“1.2”必选字符串，包含补丁发布日期示例：“2014-01-17”这个值宜是以下之一。●Critical——补丁宜被安装。该补丁改正了不需要用户操作就可以执行代码的脆弱性。这些场景包括：自我繁殖的恶意软件(例如网络蠕虫)和在不可避免的普通使用场景下发生的不带有警告或提示的代码执行。●Important——补丁宜被安装。该补丁改正了需要用户操作才能利用的脆弱性。这会导致数据保密性、完整性和可用性或者处理资源的完整性和可用性被破坏。●Optional——补丁可被安装。该补丁改正了需要特定或不常见的必选字符串，包含补丁类型。这个值宜是以下之一：●Non_security——这个更新和非安全相关的问题相关，更新一个与安全无关的已知问题；●Security——更新与安全问题相关，修复一个已知的安全问题必选字符串，包含补丁状态。这个值宜是以下之一：●Deprecated——这个补丁不再是系统所需的更新；●Current——这个补丁是最新的，宜被安装在任何被定义为“PassedProduct”的产品上示例：“KB1234567Windows200864bit”表4VPCXSD补丁文件元素(续)定义必选字符串，包含补丁状态的所需字符串。这个值应当是下面例子中●Primary——这个补丁是主要的补丁。其他补丁依赖于这个补●Dependent——这个补丁是依赖于主要补丁和/或其他补丁●Standalone——这是一个独立的补丁。它不依赖于任何主要补可选字符串，包含供参考供应商指定产品的<VendorPro可选字符串，包含供参考供应商指定产品的<VendorPro可选字符串，包含供参考供应商指定产品的<VendorPro可选字符串，包含供参考供应商指定产品的<VendorPro定义结果必选字符串，包含产品版本发布日期GB/T42445—2023/IECTR62<?xmlversion="1.0"encoding<!-Schemaforproduct<xs;schemaid="patch-compaxmlns="/xml/VendorPatchCompatibilitargetNamespace="/xml/VendorPatchCompatibility"xmlns:mstns="VendorPatchCompatibility.xsd"xmlns:xs="/2001/XMLSchema"xmlns:msdata="urn:schemas-microsoft-com:xml-msdata"attributeFormDefaultCopyright2014ISA,AllRightsReserved./2001/XMLSchemaThisISAwork(includingspecificatiprovidedbythecopyrighthPermissiontouse,copy,modify,orredistribdocumentation,withorwithoutmodification,foranastheoriginatorofthiswoTheProductSupplierPatchComanycosts,expenses,looses,damagesor<!-TopLevelPatchDaname="PatchData"type="PatchData<!-CoreComponentTypes------<!-******************************<!-CodeTypeusedforanyen<!-*****关**********************************--><xs:complexTypename="CodeType"><xs:extensionbase="xs:normalizedString"><xs:attributename="listID"type="xs:norm<xs:attributename="listAgencyID"type="xs:normalizedString"use=<xs:attributename="listAgencyName"type="xs;string"use="optional"/><xs:attributename="listName"type="xs:string"use="opti<xs;attributename="listVersionID"type="xs;normalizedString"use=<xs;attributename="name"type="xs:string"use="optional"/><xs;attributename="languageID"type="xs:language"use=<xs:attributename="listURI"type="xs:anyURI"use="optio<xs:attributename="listSchemeURI"type="xs:anyURI"<!一兴****兴*****兴兴头关*兴*兴*******兴兴关兴关*兴关号吴吴兴兴吴关兴兴吴兴关兴吴号关暑号-><!--DateTimeTypeusedforanydateand/ort<!-************************************************<xs:complexTypename="DateTimeType"><xs:extensionbase="xs:d<xs:attributename="format"type="xs:string"use="optional"/><xs:complexTypename="Identitype="xs:normalizedString"use=type="xs:normalizedString"use=name="schemeName"type="xs:string"use=name="schemeAgencyID"type="xs:normalizedString"use=name="schemeAgencyName"type="xsname="schemeVersionID"type="xs:normalizedString"name="schemeDataURI"type="xs:anyURI"name="schemeURI"type="xs:anyURI"<!-**************************************************<!--**************************************************<xs:complexTypename="<xs;extensionbase="xs;s<xs:attributename="languageID"type="xs:language"use="optional"/><!一**********************************************************--><!一**********************************************************-> GB/T42445—2023/IECTR62<xs:elementname="Pa<xs:elementname="Vendotype="PatheVendorType"minOccurs=type="QualifiedProductType"min<!一***********关***************************************************-><!-PatchVendorTypeusedtocontainpa<!-*****************************************************name="PatchVendorName"type="IdentifierType"/>name="Description"type="TextType"minOccurs="0"name="Patch"type="PatchType"minOccurs="O"<!-***************************************************<!-***************************************************<xs;complexTypename="PatchType"><xs;elementname="PatchedProduct"type="IdentifierType"/><xs:elementname="PatchedProductVersion"type="IdentifierType"/><xs:elementname="PatchIdentifierl"type="IdentifierType"/><xs:elementname="PatchIdentifier2"type="IdentifierType"minOccurs=<xs:elementname="PatchVersion"type="IdentifierType"minOccurs=<xs:elementname="ReleaseDate"type="DateTimeType"/><xs:elementname="Severity"type="CodeType"<xs:elementname="UpdateType"type="CodeType"minOccurs=<xs:elementname="Description"type="TextType"minOccurs=<xs:elementname="PatchStatus"type="CodeType"minOccurs=<xs:elementname="ReleasePatch"type="TextType"<xs:elementname="Dis<xs;elementname="Refetype="CodeType"minOccurs=type="TextType"minOccurs=<!-ListofProductIDsreferencingVendorQualifiedProductDetailsforname="PassedProduct"type="TextType"minOccurs=<!-Listof<!-Listof<!--ListofNotTestedProductList->ProductIDsreferencingVendorQualifiedProductDetailsforname="FailedProduct"type="TextType"minOccuProductIDsreferencingVendorQualifiedProductDetailsforname="HoldProduct"type="TextType"mProductIDsreferencingVendorQualifiedProductDetailsforthename="NoTestedProduct"type="TextType"minOccu<xs:elementname="Comment"type="TextType"minOccurs="0"<!-***************************************************<!-*************************************************************关*--> name="QualifiedProductTname="ProductID"type="Identifiname="Name"type="Tename="OperatingSystem"type="Textname="Version"type="TextType"/>name="ReleaseDate"type="DateTimeType"/><xs:elementname="Comment"type="TextType"minOccurs="O"大多数基本类型都源自那些与联合国贸易设施和电子商务中心(UN/CEFACT)的核心组件类型义含义(示例，数量含义、货币、数目和标识符)。UN/CEFACT核心组件是由ebXML项目(目前由UN/CEFACT和ISO/TC154管理)主导的一个核心组件技术规范组织(CCTS)定义的。b)ISO8601:2004[8]中规定的日期和时间。CodeType用于定义一个字符串来表示固定枚举条目。CodeType派生于normalizedString类型。所有VPC枚举都派生于CodeType。表A.1描述了CodeType的数据类型的可选属性。用于标识代码表位于何处的统一资源标识符(URI)用于标识代码表schema位于何处的URIDateTimeType用于定义一个用于利用相关补充信息来识别时区信息的特定的时间点，该类型派生于dateTime。在VPC文件一个关于时间的明确的实例是使用ISO8601规定的通用万年历的扩展表格A.2描述了关于日期时间类型数据类型的可选属性。一个用于指定日期时间内容格式的字符串注1:关于这个属性的格式没有在UN/CEFAC注2:这个属性在VPC文件中不需要，但它(MESA)用法的兼容性XML基类型一个用于指定维护schema的代理机构的标识schema版本(作为一个标识符)用于标识schema数据存放在何处的URI用于标识schema位于何处的URI用于指定指示器是否为数字型、文字型或二进制类型的字符串注：这个Format属性的具体格式未在UN/CEFACTCCTS中定义TextType用于定义一个通常以语言单词形式出现的字母字符串(示例，有限的一组字符)。这个类型派生于string。表A.5描述了TextType数据类型的可选属性。XML基类型用于指定使用ISO639-1[4]代码来表示语(资料性)B.1附录结构附录B为正在建立和/或运行IACS补丁管理程序的IACS资产所有者提供了指南。本文件采用统面临的挑战密切相关。附录B旨在帮助资产所有者更快地建立补丁管理程序，提高效率、减少脆弱性和增强IACS的整体可靠性。B.2概述本附录旨在说明补丁管理程序和过程，并就资产所有者在一种或多种控方式提供指南。上述程序和过程旨在协助资产所有者创建他们自己的程序。境的规模和复杂性选择重用、修改或放弃该指南。一旦程序被文档化，就可以与相关执行责任人分GB/T42445—2023/IECTR信息收集补丁测试IACS补丁管理工作流的各个阶段将在本文件稍后描B.3.1现有环境梳理在该脆弱性，有助于资产或设备拥有者采取缓解措施来保护有脆弱性的设备。有(RTU)以及所有可能会被修补或更新后设备代替的不可更新设备等。可以采用多种资源和方法来表●资产管理信息系统，包括资产所有者所拥有和维护的电子设备的购买记录、序列号、资产标签径没有依据确定关键相互依赖关系所需的详细信息进行分析或文档化算机上运行的软件进行更新。修补时机的选择将基于是否全面了解针对系统操作所提供的关键流程和关键数据流。在每个关键流程的运n)脆弱性评估工具的适用范围：说明评估工具是否可以在系统中自动或手动运行或不可运行。资产所有者宜将脆弱性评估工具作为识别与IACS相关的安全脆弱性的另一种方法。脆弱性评估工具可以帮助识别并对可以通过配置变更、安装补丁或其他缓判断优先级。主动式脆弱性扫描工具会对IACS产生负面影响，因此只能在受控条件下和指的产品和网络组成的含多个系统架构的工业自动化流程。此外，工具用户应与制造IACS系统和设备此上周可以正常工作的扫描，可能会在下周遇到问题。每个资产所有者均须选择使用自动化工具协助设备信息收集也可能会受到经常性的维护资产设备者确定其设施中哪些资产或设备存在该脆弱性。有利于有脆弱性的资产或设备拥有者安装适当的补丁，和/或采取缓和措施来保护有脆弱性的设备。有关可采取新脆弱性风险缓解措施的更多详细内文件可能很大，包括设备资产信息应用程序处理需求。可能需要注意来确认设计采用的系统产生不利影响。将这些工具应用于冗余和确定性控制网GB/T42445—2023/IECTRa)可能影响资产所有者IACS中旧款产品可支持性的当前业务名称以及历史采集记录；http://update.microsoMicrosoft支持网站不仅向所有支持的Microsoft产品和操作系统提供了技术支持链接还提供了所有支持的Microsoft产品的下载和更新以及特定产品解决方案中心的链接。MicrosoftUpdate网站是WindowsUpdate框架的组件，并且是一项自动化服务。当被访问时，它将通过扫描来验证计算机是否正在运行已安装Microsoft软件的最新版本，并且有关Microsoft的更新，详见/en-us/downloads/def支持网站用户账户采用共享账户时，记录这一信息。最好每个支持人员各自拥有一个账户更新通知可配置MicrosoftWindowsUpdateService,以便发送有关新的可用更新的电子邮件通可通过下列网站订购MicrosoftSecurityNewsletter(可通过电子邮件发送):https:///Regsysprof6e2dfc95-9fea-4el2-827e-c9可通过下列网站订购ComprehensiveEmailNotificationofSecurityAlerts:311b-5189-4c9b-9fla-d5可通过下列网站订购MicrosoftSecurityAdvisoriesRSSfeed:/technet/security/advisory/RssFeed,aspx?securityad附加信息MicrosoftWindowsUpdate装到Windows操作系统计算机上。WindowsUpdateServices使系统、远程访问、安全工具和服务器应用程序(软件和硬件)由公司服务提供商指定；适用时，还应从供应商处询问并记录此类安全联系人议的影响。考虑供应商支持协议是否解决了有关补丁增加或缺少的具体问题以及谁负责实施修补。此此外，还可以考虑委托IACS产品供应商或集成商等第三方提供包括补丁风险管理在内的维护服厂验收试验(FAT)和现场验收试验(SAT)实践来建立和测试完整的影响评估和恢复络安全是至关重要的，需要为IACS的每个硬件和软件组件来确定。宜询问每个产品供应商以下问题a)资产所有者和供应商之间是否有一个涵盖每个产品的支持协议?b)哪些产品仍然有技术支持和补丁发布?c)他们宣布特定产品的报废日期了吗?有升级路径吗?d)什么可以在不影响产品保修的情况下进行合法修补?f)产品供应商测试周期和时间框架是什么?g)如果适用，从补丁供应商发布补丁到IACS产品供应商测试并确认支持这些补丁的标准响应h)IACS产品供应商是否可以向资产所有者分发补丁?或者资产所有者需从补丁供应商下载补丁。IACS产品供应商是否可以在资产所有者的场所测试和安装补丁?i)使用哪些安全措施来确保所提供补丁的可信交付和安装?B.3.5现有环境的评价和评估品、所需的补丁和那些产品的支持性。该信息形成了IACS补丁管理程序的基础，因为它定义了IACS的范围和其补丁的当前状态。这可以被在开始评价和评估现有环境时，资产所有者将面临收集和处理大量信息的任务。他们还可能考虑将补丁管理的努力集中到那些具有最高关键性、最高脆弱性和最高有效性的组件上。本条中的信息有评价的第一步是确定打哪些补丁。可能存在退役的老旧系统，在补丁程序运能力这包括设备、服务、应用程序和其他正在接受并能够接受来自其他网络据的进程。这是一个高安全风险，因为它们可能允许利用远程开放的传入现攻击。这些类型的服务和进程将出现在网络端口(如NETSTAT)收LISTENING状态这包括能够在网络上建立网络通信会话和/或向远程网络资产发送数据的设备、服务、应用和其他进程，但拒绝接受由远程设备发起的连接。这些服务、应用程序和风险，因为攻击者可能通过运行监听连接的恶意网络服务来破坏服务或务和进程将在网络状态收集结果上显示为输出端口或出站端口，但永远不会处于LISING状态。这也涉及到只向服务器发出仅出站连接的客户端应用程序这包括具有通用串行总线(USB)、光盘(CD)、数字多功能盘(DVD)、串行硬件信息交换的端口。由于USB驱动程序的自动安装特性，USB设备是还包括具有串口或网络接口等编程端口的设备，其通常不连接，但可以成备提供的物理安全性，如果没有物理安全措施，这些端口可能是高安全性和足够处理措施以确保不允许未经授权或未经检查的访问，则可能是低安全风险无通信能力这包括设备、服务、应用和其他没有通信能力并且不能向远程网络资产发不能接受或监听来自网络的其他网络资产的连接。除了受损的供应具有非常低的初始安全风险。在具有通信能力的设备上没有通发场景中确实存在安全风险。这些类型的服务和进程将永远不会出现在网络状态收集结果上。请注意，该类别不包括依赖于“空隙”的设备，因为这些设备可能仍然具有通信能力，如软件类型定义浏览器包括用于浏览超文本标记语言(HTML)内容和/或与网页浏览器集成的任何应用程序CD、DVD和磁带备份，包括使用CD、在控制系统环境中，若CD/DVD/磁带或禁用。远程利用CD/DVD/磁带备份应用的风险很低。如果它们被认为是资产所有者所必须的，可以赋予它们低IACS客户端工具被远程利用的风险很低。因此，客户端工具的更新可以被赋予低优先级控制IACS包括由每个控制系统产品供应商工业自动化和控制系统对资产所有者的运营至关重要。驱动程序是允许与如视频卡、音频卡、调制解调器、网卡、冗余磁盘阵列(RAID)控制器等硬件设备通信的软件电子邮件和电子邮件和消息传送类别包括通过聊算机用户之间进行通信的任何软件的，并且是移除或禁用的候选对象。如果其被认为是资产所有者所必须的，则宜对其进行标准化和维护，以接收最新的安全补丁。不是使用完整的电子邮件应用程序多媒体多媒体软件包括用于处理图片、音频和的，并且是移除或禁用的候选对象。如果被认为是资产所的安全补丁和框架，这些框架在其他类别中没有明表B.3软件分类示例(续)软件类型定义远程访问问的软件具宜被标准化和维护，以接收最新的安全补丁的功能和数据。它们可以在IACS中的操作员接口级提供信息，或者向IACS之外的网络段上的用户提供数能具有可被远程利用的端口和服务，因此修补这些应用程安全工具资产上的安全工具宜是标准化的智能通信有限元素仪器一种过程或控制的有限元素，包含其自己的处理器，通过有线和无线网络、子网络的控制和通信能力，来自其制造商的固件和应用程序更新和补丁评价为数据入口和出口设备的脆弱性打补丁的固定间隔B.4项目规划与实施·失窃的知识产权—一个公司的知识产权可能因补丁管理不当而面临风险。导致知识产权被●执行补丁评价；●执行补丁测试；●审计并监控程序的有效性。●技术专家；●控制系统应用支持；●制造运行应用支持；●网络安全；●产品供应商与系统集成商；●信息技术；在列出待办任务列表，明确负责实施这些任务的利益相关方团体之后，还需定义责任A审批完成的任务并对其负责。对于一项给定任务，宜只能由一人“A”负责R负责执行任务，解决问题或管理影响结果。所有活动宜至少由一人“R”负责S能提供资源或在实施中起到支持角色。仅在“R”角色提出请求时支持顾问C掌握完成任务所需的信息和/或能力。顾问需要在任务执行和合同签署之前发挥作用，这些I接受关于活动结果或进展情况的汇报。监督人员不直接参与任务或制定决策，通常由“R”角使用RASCI职责说明表可以高效地识别、分配并说明在IACS补丁管理项目中各利益相关方团体资产所有者最终负责识别任务、确定利益相关方团体并为组织分配适合的角色。由于IT和目标区域组)系(人站点持(每的办公室中心公司办公室商联系室管实IT支IT安007-R4(异常软件防护)IT安全报警监控IAR具有监视活动功艾默生、罗克韦IR持续监控补丁网站(所有贡献值)ARRICS下载和安排补丁ARC公布安全等级和ARRS(通用的)ARICS(特殊站点)ISARRSVIC目标区域组)系(人站点持(每的办公室中心公司办公室商联系室管实IT支IT安验证测试工具(中ARSSSC补丁管理测试(中ARCSSSARRCISSSARCISSSAIRRC(CCA清单、固件、操作系统、版本、补丁等)ISARSSVSIIARSSVI图B.3简单责任图表(续)B.4.4测试环境和基础设施在进入生产环境开始部署和安装之前，资产所有者最好宜首先通过一个测试功能测试。这样，当资产所有者将补丁安装到工作中的生产系统时会有●在开始生产环境安装之前、对安全补丁、防病毒和服务包进行测试的专用安全测试平台。可用●用于研发活动的过程控制实验室可以充当理想的测试环境。过程控制实验室经常会与公司网·虚拟系统也可以作为一种测试方法，且一旦出现与过程控制系统不●开发/工程系统需要承受一定的宕机时间用于补丁功能测试与验证。●训练模拟系统从本质上有时间可用于补丁的初始安装、功能●其他重要性较低的操作，可以承受灵活安排和宕机时间用于执行补丁测试。代方法，降低补丁安装导致IACS生产设备出现问题的可能性。由于在生产设备上安装补丁之前对补丁进行全面测试的成本高昂就放弃采用补丁，必须避免这种做法。负责能存在多个具有相同运行控制的操作员工作站。在补丁渐进站上安装补丁，并安排用户在一天或多天的时间里详细观察是否存在任何操重要。此前曾出现过由补丁造成的过程控制系统操作中断事件。虽然补丁测于安装补丁而产生负面作用的风险，但仍无法杜绝这种负面作用的发生根据具体的系统结构，系统还原的难度可大可小。在构建系统架构过程中需控制会使公司设备产生更多不同配置或版本的宜准确控制进行一次完全备份的时间间隔。具体间隔时长取决于，在给定的一段时间内发生了多关于上述衡量标准并没有一套固定的规则，各支持团队宜视自身情况进评估。通常在制定决策改相比于备份里的内容数量多少及其重要性如何。如果已经保存了3个以上的备份版本，则需要对最●完全备份映像流程；●增量备份流程——对于过去一直采用完全映像备份的公司可以考虑这种选项；●变更管理流程——对于无法监控变更的公司，则需要更多地进行完全备份；●备份存储通常会在一个以上且至少其中之一处于离线状态的安全位置上存储3份较为近●还原方法评价策略——用于确定是否需要恢复备份以及宜使用哪个备份副本的流程；GB/T42445—2023/IECTR在与IACS产品供应商、原始设备制造商(OEM)和系统集成商签订合同之时，境下对过程控制系统进行的功能验证。某些产品供应商会在防恶意软件环境者宜就使用哪一款防恶意软件产品达成一致，并采用所述防恶意软件产品的本条旨在就如何确定补丁是否适用，对IACS环境的影响以及与补丁相关或使用补丁缓解的各项√建议资产所有者主动与各家产品供应商保持联系，持续建立关系以确应商对软硬件的补丁和更新。资产所有者至少宜掌握有效联系方式，能与各家并获取产品更新及关于更新可用性的信息。资产所有者宜每隔一段·管理清单并创建硬件和软件清单；●管理资产所有者与各软硬件产品供应商之间的关系；●维护补丁和脆弱性更新源列表；●定期监视产品供应商的补丁发布和批准信息；●报告和/或记录补丁以启动补丁评价流程。将上述活动明确地分配给资产所有者组织内的责任人或责任团队能确保活动首次建立补丁管理项目时，可能要处理成百上千份可用的补丁。最好的方法是将同一家产品供应以下几种方法可用来识别要在IACS环境中进行安装a)资产所有者要求产品供应商或OS平台制造商提供可用补丁或近期发布补丁的清单；c)资产所有者直接评估安装在IACS设备上的补丁，并以手动或自动方式与可用或近期发布补B.5.3确定补丁适用性a)控制系统产品供应商是否认可并批准了补丁的安装?b)可用的补丁是否适用于当前正在使用的设备或应用程序?由于本文件的重点是针对网络安全的补丁管理，因此该流程未提供安装非安全更新的指导。这些产品供应商可能会在每个时间间隔内提供相当数量的可用补丁，但是资产●清单管理和维护硬件和软件列表；●通知和/或记录补丁以开始补丁评价流程；●调查和研究技术咨询和知识库，以确定它们是否与安全有关；●通过对硬件/软件清单进行评价，验证补丁是否适用于环境。如果补丁被认为适用于环境，则有必要确定应用或不考虑补丁安装a)补丁的发布日期是什么?b)有多少设备受到影响?e)如果有，需要中断的持续时间是多少?冗余系统设计可以减少还是消除该时间?f)通过安装补丁程序来缓解安全脆弱性的可行性或紧迫性?(例如，远程开发和权限提升)h)安装的难度和成功率是多少?用于补丁安装的流程是常规的还是非标准的?GB/T42445—2023/IECTR62443-2-3:2015j)有问题的设备是否是正常运行所必须的?大多数紧迫性对系统的分级是基于3个或4个级别，描述从低到高的紧迫程度或重要程度。表B.5IACS供应商批准修补程序后的目标安装时间范围高在1周内中(默认)3个月内低无安装时间范围是资产所有者为了部署不同紧迫级别的B.6补丁测试图B.5说明了一个补丁测试过程。过程中的步骤见B.6.2～B.6.8。B.6.2安装前资产所有者确定安全补丁是否合格作程序的交互，在质量保证或实验室环境中测试和验证补丁。这是确保旨在B.6.3确定补丁文件的真实性们来自可信源。虽然很少，但仍然存在从不可信任的来源获得补丁或者可能具有完整性错误的风险。●验证文件大小：下载补丁后，验证其文件大小。通过将下载的补丁大小与下载补丁程序的相同●验证校验和数字签名：在下载补丁后，文件的完整性和来源仍然需要采用当前技术来验证。使法1(SHA1)。一种或多种类似的完整性校验可从补丁所下载的同一位置获得。这些验证技术●扫描补丁是否有病毒：使用具有最新病毒库的防病毒客户端扫描所有补丁。这有助于确保补丁资产所有者宜考虑安装补丁后对其环境的功能性改变。传统上，这是最常用的试图验证补丁不会●对系统性能的影响。●对系统可靠性的影响。●补丁对冗余或容错能力的影响。●当受影响的IACS在组件运行时，补丁的部署能力(如果可能)。●移除以前所依赖的功能。●安装时需要有特殊技能的人员出席。●在发生不可预见的影响时，能够回滚补丁。●资产所有者宜考虑任何补丁导致的安全性变化。这标识了每个补丁可能在哪些地方会对IACS设备的网络安全控制措施或脆弱性产生负面影响。宜测试以下内容。●由补丁创建的新用户。●访问补丁修改的现有用户的控制权或特权。●补丁打开的新的端口、服务或已修改状态的已启用服务。●禁用或修改了现有的安全控制。●禁用或关闭端口和服务。●新的和以前不可用的安全功能。●使用脆弱性扫描程序扫描IACS时新的或暴露的脆弱性。●减少补丁需求的替代方法或对策。资产所有者可以选择比较补丁前后的设备配置来识别上述变化，也可以选择使用安全脆弱性评估a)审核平台使用指南和技术说明。其运行的底层OS。平台产品供应商定期提供更新，并包括安装使用指南和其他技术指导。资产如果IACS解决方案安装在MicrosoftWindows等平台之上，IACS产品供应商可能会有其他指南资产所有者宜从IACS供应商提供的补丁信息中识别出补丁可以安装之前所需的任何先决条件。资产所有者宜清楚地标识那些需要安全更新的设备。此步骤的目标是确保识别所有适用的设目标是要有一个良好文档化的补丁安装过程，其●在单个设备上执行单个补丁安装文件；●通过特殊的实用程序或脚本或服务包将两个或更多补丁包装在一起，以增加安装●使用管理多个设备的自动补丁部署工具；●用新版本升级或更换当前固件/操作系统/运行时。资产所有者可选择将补丁安装测试的责任分配给对适当安装程序进行B.6.6补丁合格判定和确认补丁合格判定的目标是在判定补丁不会对IACS的性能、安全或可靠性产生负面影响的技术确认●在具有类似硬件和软件的非IACS环境(示例业务网络)上成功安装和测试补丁；●在中央测试环境中成功安装和测试；●控制组上的成功安装和测试；●对低监管影响、非关键设备和备用设备的成●成功安装和测试高监管或功能安全影响的设备。为了缓解补丁安装后可能出现的潜在可靠性和可操作性风险，资产所移除新应用的补丁可能是最快恢复生产的方法。如果选择性回滚不可用，则如果时间允许，宜成组安装补丁并测试。宜注意到已经定义了回滚丁组的区别。然后公司可测试那些可能更容易或者使用相同的方法来回才能开发出针对该脆弱性的补丁，而且可能需要数周或数月的时间直到易受攻击的缓解措施。(另见B.8.4)●产品重新配置。●移除或禁用那些脆弱的且需要打补丁的功能或组件。●移除受影响的软件。●对脆弱的且需要打补丁的服务，禁止启用。●实施入侵防护系统(IPS)规则和签名，阻止恶意数据包和网络对脆弱服务的攻击。●对程序和可执行文件实施访问控制，以确保只有经过授权的人员才能使用脆弱的程序。●实施旨在防止恶意软件引入IACS的安全策略。这可能包括使用防病毒软件、扫描便携式存储●根据成本和业务合理性调查易损设备是否要拆除和更换。●部署具有强访问控制功能的安全正向单向网关，隔离脆弱的系统和设备，阻止可能包含具有恶●断开系统与公司网络的连接来隔离系统是一种短期解决方案，它并不能防护所有安全损害，但●通过将IACS更新到受支持的较新版本来解决问题。但当应用程序不再可用或没有升级路径●将IACS改进为具有增强用户功能的新版本。旧系统的许多用户可以判断在更新系统的同时增加新功能的费用是否合理。当存在应用程序升级路径时，通常可以进行加固。如果不存在●放弃或停用IACS。虽然该应用程序在最初安装时可能是必不可少的，但其他较新的应用程序通常会复制旧应用程序的功能但不打开这些功能。旧的应用程序保持在原位，因为保持它们能是风险最小的选择。如果应用很关键，则更换具有经济合理性。如果应用程序不是关键在法规要求遵守网络安全标准的行业中，通常还要求那些资产所有者记录那●脆弱性缓解措施是独立于产品供应商或硬件/软件制造商的产品开发的，这允许在IACS产品●对产品功能的影响较小；●可能需要资产所有者进行较少的测试。允许更快地缓解脆弱性；●降低资产所有者的实施阻力，因为它可能不需要重启设备或关闭流程；●允许支持传统产品，这些脆弱性可能会持续被发现，但不再由原始产品供应商进行修补或通知负责补丁安装的人员宜参照B.7.6所示的流程接受培训，确保安装流程的安全可靠。在测试和回在测试和安装由不同的组织部门负责的情况下，可能有必要提供充足的理由GB/T42445—2023/IECTR最常见的挑战在于如何将更新的文件分发至多个地点和●利用支持传输速度限制和低优先级的自动补丁部署工具，以减少对网络●分发更新文件时采用其他不影响IACS的通信网络，包括将更新文件分发并发布到本地或分布●将更新文件复制到只读媒介中，如CD或者DVD。注确保文件或存储媒介在中转过程中不会受到篡改或者恶意代码影响，否则会增加IACS的更新文件分发或者计划已经完成后，下一步就是计划补丁安装。补丁●等待至下一次计划中断；●将补丁安装活动安排在下一次非计划中断期间；●为受影响的设备安排单个维护窗口，假定其在离线状态和/或不可用于操作；●根据业务限制和可用的技术人员允许情况，将补丁分阶段安装到设备组或地点组。打补丁部署和安装过程的最后一步是验证是否已将补丁安装到所有●查看来自配置变更检测系统的日志；●查看补丁管理解决方案的报告来验证已安装相应补丁和已更新相应文件；●计算所有计划升级设备的数量，并与已成功完成的设备数量相比较；●对受影响的设备进行脆弱性扫描；●测试补偿控制的正确实施。●补丁和脆弱性管理的策略；●资产所有者确定的打补丁工作流程以及宜进行●对特定设备的监管要求，如何遵循补丁管理程序正确的收集和存储证据记录。由于补丁管理工作时常重复发生，故没必要安排计划性的模拟训练，因为该过程会自然的周期B.8运行IACS补丁管理程序阶段。虽然建立打补丁程序是非常困难的，但是如果没有B.8.2变更管理资产所有者宜将补丁管理集成到现有的变更管理过程中，以便确保所有的IACS变更是得到恰当地授权、审核和控制。变更管理过程不佳可能导致IACS的未授权和未文档化的变更。变更管理不佳●补丁管理活动从属于变更控制，并宜遵循变更管理过程。现有的工作过程宜容纳补丁管理●对现有人员进行培训和意识，以便他们清楚理解补丁管理宜遵循变更管理。●作为变更管理过程的一部分，在被授权部署和安装前，任何升级、补丁或更新都宜被审查和获●过程在评价安全相关的补丁时，除了包括传统控制系统仪器仪表和工程人员外，还宜增加具有●变更完成后宜立即对IACS图纸和文档进行更新。●变更被成功和精确地执行的验证。●如果对与补丁管理相关的变更管理过程进行审计，记录宜清楚地标识出目标设备、测试结果和更多关于变更管理过程的信息见ISO/IEC27000要的。这些需包含意识到发现影响他们关键系统的零日威胁和脆弱性。当业为了便于资产所有者意识到新发现的脆弱性，同时提供旧有脆弱性更多的细节，有很多比如由IACS产品供应商和网络应急响应小组或计算机应急准备组(CERT)提供的可用网站。政府机构如由美国国土安全部(DHS)运营的国家CERT和ICS-CERT,以及其他态势感知组织如开放脆弱性数据库[2]和SANS因特网风暴中心在提供告警通知上非常有帮助。这些组织和他们的网站同时也提供可以B.8.4停机计划当告警通知发布宣称有新的脆弱性时，资产统在脆弱性影响范围之内，合适的行动包括在下一个周期内对系统打补丁(一旦IACS供应商批准补丁),或者包括在补丁不可用或者关键系统不能立即打补丁时采取对抗措施，当然也包括系统离线的一旦完成了评估并且确定接下来合适的步骤，很可能在某些情况下划停机才可以进行打补丁。可行的话，将系统打补丁计划在停机窗口内是重要的B.8.6库存和数据维护企业知道IACS环境中他们有哪些资产是非常关键的。同等重要的是知道使用了哪个版本的OS、的系统和仍在打补丁中的系统。为了实现所有系统包括固件版本、应用版本和补丁是最新的这一目网段中。新的系统，包括在现有硬件上升级OS,可能缺少最新的安全补丁。将这些含有脆弱性的系统不佳的补丁管理影响宜通过使用实现持续改进过程的KPI来度量。以下是KPI可能用于度量补●由于缺少补丁受到危害资产的数量；●没有授权补丁的已知脆弱性的数量；●可用补丁的数量；●使用补丁的数量；●超过30天未打补丁资产的数量；●所有资产打完补丁需要的平均天数；●每个状态下(见表1)已知补丁的数量；(资料性)安全补丁信息不但宜提供给IACS集成商，而且也宜提IEC62443-2-4[2]和IEC62443-4-1[3]IACS产品供应商不仅要管理他们自己的补丁，而且他们的补丁管理流程也必须面向他们产品依补丁验证和测试结果记录宜在IACS产品供应商补丁管理流程中定义。IACS产品供应商