赞
踩
工业控制系统(ICS)(包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)等产品)在核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域得到了广泛的应用。
随着信息技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,传统信息系统所面临的病毒、木马等威胁正在向工业控制系统领域不断扩散,工业控制系统的信息安全问题日益突出。
工业控制系统安全控制应用指南是针对各行业使用的工业控制系统给出的安全控制应用基本方法,是指导选择、裁剪、补偿和补充工业控制系统安全控制,形成适合组织需要的安全控制基线,以满足组织对工业控制系统安全需求,实现对工业控制系统进行适度、有效的风险控制管理。
本标准适用于工业控制系统拥有者、使用者、设计实现者以及信息安全管理部门,为工业控制系统信息安全设计、实现、整改工作提供指导,也为工业控制系统信息安全运行、风险评估和安全检查工作提供参考。
本标准提供了可用于工业控制系统的安全控制列表,规约了工业控制系统的安全控制选择过程,以便构造工业控制系统的安全程序–一种概念层面上的安全解决方案。
本标准适用于:
1)方便规约工业控制系统的安全功能需求,为安全设计(包括安全体系结构设计)和安全实现奠定有力的基础。
2)指导工业控制系统安全整改中安全能力的调整和提高,以便能使工业控制系统保持持续安全性。
本标准的适用对象是组织中负责工业控制系统建设的组织者、负责信息安全工作的实施者和其他从事信息安全工作的相关人员。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术 术语
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南
GB/T 22081-2008 信息安全技术 信息安全管理实用规范
GB/T 25069-2010界定的以及下列术语和定义适用于本标准。
工业控制系统(ICS) industrial control system
工业控制系统(ICS)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(SCADA),分布式控制系统(DCS),和其他较小的控制系统,如可编程逻辑控制器(PLC),现已广泛应用在工业部门和关键基础设施中。
监控和数据采集系统(SCADA)supervisory control and data acquisition system
在工业生产控制过程中,对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据采集与监控管理的控制系统。它以计算机为基础、对远程分布运行设备进行监控调度,其主要功能包括数据采集、参数测量和调节、信号报警等。SCADA系统一般由设在控制中心的主终端控制单元(MTU)、通信线路和设备、远程终端单元(RTU)等组成。
分布式控制系统(DCS )distribution control system
以计算机为基础,在系统内部(组织内部)对生产过程进行分布控制、集中管理的系统。DCS系统一般包括现场控制级、控制管理级两个层次,现场控制级主要是对单个子过程进行控制,控制管理级主要是对多个分散的子过程进行调度管理、数据采集和集中显示。
可编程逻辑控制器(PLC )programmable logic controller
采用可编程存储器,通过数字运算操作对工业生产装备进行控制的电子设备。PLC主要执行各类运算、顺序控制、定时执行等指令,用于控制工业生产装备的动作,是工业控制系统的主要基础单元。
安全控制 security control
应用于工业控制系统的管理、运行和技术上的防护措施和对策,以保护工业控制系统及其信息的保密性、完整性和可用性等。
安全程序 security program
在工业控制系统的安全建设中,为满足组织安全需求和安全目的,适当采选的一组有序的安全控制集。
安全控制族 security control family
本标准将相关主题的安全控制作为一个安全控制族,所有的安全控制分成18个安全控制族,即:规划(PL)、安全评估与授权(CA)、风险评估(RA)、系统与服务获取(SA)、程序管理(PM)、人员安全(PS)、物理与环境安全(PE)、应急计划(CP)、配置管理(CM)、维护(MA)、系统与信息完整性(SI)、介质保护(MP)、事件响应(IR)、教育培训(AT)、标识与鉴别(IA)、访问控制(AC)、审计与问责(AU)、系统与通信保护(SC)。
安全控制基线 security control baseline
安全控制基线是安全控制选择过程的起始点,是为帮助组织选择满足安全需求的、最具成本效益的、适当的安全控制集而制定的最低安全基准线。
ICS 工业控制系统(Industrial Control System)
SCADA 监控与数据采集系统(Supervisory Control And Data Acquisition)
DCS 分布式控制系统(Distributed Control System)
PCS 过程控制系统(Process Control System)
PLC 可编程逻辑控制器(Programmable Logic Controller)
RTU 远程终端单元(Remote Terminal Unit)
IED 智能电子设备(Intelligent Electronic Device)
DRP 灾难恢复计划(Disaster Recovery Planning)
ACL 访问控制列表(Access Control List)
DNS 域名系统(Domain Name System)
DHCP 动态主机配置协议(Dynamic Host Configuration Protocol)
DNP 分布式网络协议(Distributed Network Protocol)
RPC 远程过程调用协议(Remote Procedure Call Protocol)
DCOM 分布式组件对象模式(Microsoft Distributed Component Object Model)
OPC 用于过程控制的对象连接与嵌入(Object Linking and Embedding for Process Control)
PAD 个人数字助手,又称掌上电脑(Personal Digital Assistant)
DoS 拒绝服务(Denial of Service)
CVE 通用漏洞列表(Common Vulnerabilities and Exposures)
OVAL 脆弱性评估语言(Open Vulnerability Assessment Language)
EAL 评估保证级(Evaluation Assurance Level)
PKI 公钥基础设施(Public Key Infrastructure)
AC 访问控制(Access Control)
AT 教育培训(Awareness and Training)
AU 审计与问责(Audit and Accountability)
CA 安全评估与授权(Security Assessment and Authorization)
CM 配置管理(Configuration Management)
CP 应急计划(Contingency Planning)
IA 标识与鉴别(Identification and Authentication)
IR 事件响应(Incident Response)
MP 介质保护(Media Protection)
PE 物理与环境安全(Physical and Environmental Protection)
PL 规划(Planning)
PM 程序管理(program management)
PS 人员安全(Personnel Security)
RA 风险评估(Risk Assessment)
SA 系统与服务获取(System and Services Acquisition)
SC 系统与通信保护(System and Communications Protection)
SI 系统与信息完整性(System and Information Integrity)
从概念上来说,工业控制系统的安全与其它领域的安全是一样的,如下图所示:
该图表明了安全(security)及其相关概念间的关系。其中的控制是指:应用于工业控制系统中管理、运行和技术上的保护措施和对策,以保护工业控制系统及其信息的保密性、完整性和可用性等。应用这些控制的目的是,减少脆弱性或影响,抵御工业控制系统所面临的安全威胁,从而缓解工业控制系统的安全风险,以满足利益相关者的安全需要。
本标准附录B中给出了可用于工业控制系统的安全控制列表。
为了有效地表达工业控制系统中管理、运行和技术上的措施和对策,应给出该措施对应的动作、输入/输出及其对应的前置条件和后置条件,特别是给出该控制的效果。例如:关于审计处理失效响应的控制:
控制: 工业控制系统: 对于审计处理失效的事件,向【赋值:组织定义的人员】报警; 采取【选择:组织定义的动作,例如:停止系统的运行,重写原有的审计记录,停止生成新的审计记录等】。 |
---|
其中的“报警”和“采取组织定义的动作”,就是该控制对应的动作;而“审计处理失效的事件”就是该控制的一个输入;“向组织定义的人员(报警)”就是该控制的一个后置条件。并且,通过补充指导,强调了该措施和对策的其它要素,例如:
补充指导: 审计处理失效包括软硬件错误、审计获取机制失败、审计存储空间达到或超出极限等; 组织可针对不同审计处理失效(例如,由于类型、位置、严重程度或这些因素的组合),选择定义附加的措施; 该控制应用于每个审计数据存储库(即存储审计记录的ICS部件),应用于组织的整个审计存储能力(即组合了所有审计数据存储库); 在ICS不支持审计的情况下,包括对审计失效的响应,组织应按裁剪指导,使用合适的补偿控制(例如,在隔离的信息系统上提供审计能力)。 相关安全控制:AU-4、SI-12。 |
---|
如果有必要强调一个控制在深度上的能力,以支持更可靠的保护,可通过控制增强来表达,例如:就上述的控制而言,其控制增强可表达为:
控制增强: 对审计处理失效|审计存储能力的响应 在【赋值:组织定义的时间段】内,当分配给审计记录的存储量达到【赋值:组织定义的最大审计记录存储容量】的某一百分比时,ICS向【赋值:组织定义的人员、角色或岗位】提供一个警示。 对审计处理失效|实时报警的响应 当【赋值:组织定义的、要求实时报警的审计失效事件】发生时,ICS在【赋值:组织定义的实时报警时间段】内,向【赋值:组织定义的人员,角色和岗位】发出报警。 对审计处理失效|可配置的流量阈值的响应 ICS执行可配置的流量阈值,反映对审计能力的限制,并【选择:拒绝、延迟】网络流量超出这些阈值。 对审计处理失效|失效宕机的响应 当发生【赋值:组织定义的审计事件】发生时,ICS调用【选择:完全宕掉系统,部分宕掉系统;降低运行模式,仅具有有限可用的业务处理能力】,除非存在一种可选的审计能力。 |
---|
因此,为了更方便地使用控制选择和规约过程,把控制概括为十八个族。每个族包含一些与该族的安全功能相关的安全控制。为每个控制族赋予了唯一的由两个字符组成的标识符,并对族中的每个安全控制,采用了如下基本的描述结构:
族标识符-编号(XX-NN): 控制节: 补充指导节 控制增强节 |
---|
其中:
控制节为保护组织或工业控制系统的某个特殊方面,提供了所需要的特定安全能力的简洁陈述,描述了要由组织或工业控制系统进行的与安全相关的活动或动作。对于某些控制,通过允许组织选择性地定义与该控制相关参数的输入值,如使用控制中的“赋值”和“选择”操作,实现一定程度的灵活性。
补充指导节提供了一些与特定安全控制相关的信息,指导组织在定义、开发和实现安全控制时适当地使用。在一些情况中,补充指导提供了在组织运行环境、特定业务需求或风险评估中关切的安全需求,或一些重要的注意事项,以及实现安全控制所需要的灵活性等细节。
控制增强节为:
提供了相应的陈述。控制增强用于需要更大保护的工业控制系统。
通过控制节、补充指导节和控制增强节所描述的控制,使给出的每一控制可有效地表达工业控制系统的安全需求。
本标准给出的三大安全控制类(管理类、运行类和技术类),十八个安全控制族和族标识符的对照关系如下表所示:
族标识符 | 安全控制族 | 安全控制类 |
---|---|---|
AC | 访问控制(Access Control) | 技术 |
AT | 教育培训(Awareness and Training) | 运行 |
AU | 审计与问责(Audit and Accountability) | 技术 |
CA | 安全评估与授权(Security Assessment and Authorization) | 管理 |
CM | 配置管理(Configuration Management) | 运行 |
CP | 应急计划(Contingency Planning) | 运行 |
IA | 标识与鉴别(Identification and Authentication) | 技术 |
IR | 事件响应(Incident Response) | 运行 |
MP | 介质保护(Media Protection) | 运行 |
PE | 物理与环境安全(Physical and Environmental Protection) | 运行 |
PL | 规划(Planning) | 管理 |
PM | 程序管理(program management) | 管理 |
PS | 人员安全(Personnel Security) | 运行 |
RA | 风险评估(Risk Assessment) | 管理 |
SA | 系统与服务获取(System and Services Acquisition) | 管理 |
SC | 系统与通信保护(System and Communications Protection) | 技术 |
SI | 系统与信息完整性(System and Information Integrity) | 运行 |
为了给出工业控制系统概念层面上的一种安全解决方案,即构造工业控制系统的安全程序,本标准结合工业控制系统基本特征(参见附录A),结合以往诸多工业控制系统的安全实践,将附录B中工业控制系统的安全控制集分为三个级别,统称为安全控制基线,即基于工业控制系统安全风险的影响程度对安全控制的一个分级,可作为规划工业控制系统中选择安全控制的一个起始点。
在设计安全控制基线中,基于了以下基本假设:
基线设计的这些基本假设,影响着工业控制系统安全控制的选择,还影响着工业控制系统安全控制的评估、监视和改进。如果一个或多个前提假设是无效的,那么附录C中所分配给该基线的一些安全控制就可能是不适用的,针对这种情况可通过应用后续章节所述的裁剪过程以及风险评估予以处理。
相应地,一些可能的情况未包含在假设内,例如:
如果任何以上情况出现,就可能需要在附录B中选择一些附加的安全控制和控制增强,以确保准确的保护;以上情况也可通过应用后续章节所述的裁剪过程(特别是安全控制补充)和风险评估的结果,予以有效地处理。
本标准设计的安全控制基线(具体参见附录C),可应用于以下两种情况:
第一种情况,基于工业控制系统的安全风险评估,按风险影响程度将工业控制系统划分为低影响系统、中影响系统和高影响系统。在这种情况下,低影响系统选择第一级安全控制基线;中影响系统选择第二级安全控制基线;高影响系统选择第三级安全控制基线。
第二种情况,通过定级划分准则(参见国标GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》),已将工业控制系统划分为相应的安全等级。在这种情况下,1、2级系统选择第一级安全控制基线;3级系统选择第二级安全控制基线;4、5级系统选择第三级安全控制基线。
工业控制系统安全是一项系统工程,单一的产品和技术不能有效地保护工业控制系统安全,组织应在充分挖掘工业控制系统安全需求的基础上,制定满足组织使命和业务功能需求的工业控制系统安全战略。有效的工业控制系统安全战略,应采用深度防御及层次化的安全机制,使任一安全机制失效的影响最小化。工业控制系统安全应在组织工业控制系统安全战略指导下,通过适当组合配置的安全控制予以实现。
组织在充分考虑工业控制系统的特殊性、安全需求和工业控制系统与传统信息系统间的差异性(参考本标准附录A,或参阅其它相关文献资料)的基础上,通过风险评估梳理工业控制系统及相关资产,针对工业控制系统存在的脆弱性,分析工业控制系统面临的威胁和风险,评估风险发生的可能性以及风险发生可能造成的影响和危害,制定风险处置原则和处置计划,将工业控制系统安全风险控制在可接受的水平。
本标准附录C中给出的安全控制基线,仅是为了工业控制系统的安全需求规约,作为进行安全控制选择与规约的起始点。因此,为了使组织的工业控制系统是安全的,就必须实施选择并规约安全控制和控制增强的过程,该过程包括以下三个子过程:
安全控制选择与规约过程可概括为下图所示:
选择基线安全控制是选择并规约安全控制的第一步,组织依据工业控制系统信息安全定级或工业控制系统风险评估结果,根据安全控制基线的应用指导(参见本标准第6章),从附录C中三个安全控制基线中选择一个合适的基线控制集。选择基线安全控制集时应注意第6章所描述的前提假设。
在从附录C中选择基线安全控制的初始集后,组织开始基线安全控制的裁剪过程。裁剪过程包括以下3个活动:
界定范围的指导,就所选安全控制基线中每个安全控制的适用性和实现,为组织提供了特定的条款和条件。
应用界定范围的指导,是基于工业控制系统所支持的业务功能和系统运行环境,从初始安全控制基线中删除一些不必要或不适用的安全控制,有助于确保组织仅选择那些可为工业控制系统提供合适程度保护所需要的控制。下面给出一些界定范围的考量,它们可潜在地影响如何应用所选的安全控制基线以及如何实现安全控制。
工业控制系统概念是个多层次抽象概念,既包括多个系统组成的复杂系统,又包括单个板卡组成的简单系统。越来越复杂的工业控制系统需要仔细分析在风险管理不同等级(组织级、业务流程级和系统级)中的安全控制的分配和应用。初始安全控制基线中的控制适用于工业控制系统层面,但未必适用于系统组件层面。基线中的一些控制,对工业控制系统范围内的每个系统部件,给出了并非必要的一些控制。一些安全控制仅适用于工业控制系统部件,提供或支持由该控制所强调的安全能力,并缓解潜在的风险。例如,通常把审计控制作为工业控制系统的一个部件,以提供审计能力,并不适用于组织内每个用户层的工作站;或当工业控制系统的部件是单一用户的、 无网络连接或是物理隔离网络的一部分时,这些特征可为不把所选择的控制应用到那些部件中提供合适的理由。组织应评估工业控制系统部件清单,以确定安全控制是否适用于各种不同的部件,而后就如何应用控制做出明确的决策,以满足组织的安全需求。
基线中的一些控制仅独特地支持保密性、完整性或可用性的安全目的,对此可把它们降级为低基线中对应的控制(或如果在低基线中没有给出定义的话,予以删除或修改)。该降级、修改或删除的动作当且仅当以下情况成立才进行:
例如,一个工业控制系统被评估为中等影响,其可用性和完整性为中等影响,其保密性为低等影响,那些仅与保密性相关的安全控制在不影响安全性目标的前提下可以降低到低级别的基线要求。以下安全控制可作为降级的候选控制:
安全控制涉及了一些特定的技术(如:无线、加密、PKI等),这样的控制仅当在工业控制系统内使用时或需要时,它们才是适用的。一些控制可通过自动化机制予以支持,如果这样的机制不存在,或市场上或政府采购产品目录中现在没有或还不能应用时,并不要求开发这样的机制。例如,为了维护最新的、完备的、精确的、现时可用的工业控制系统基线配置,可能使用一些自动化机制。如果自动化机制不是现时可用的、合算的或技术上不是可行的,就需要使用一些补偿的安全控制,通过非自动化机制或规程予以实现的,以便满足所规约的安全控制的需求(参见补偿安全控制相关章节)。
基线中的一些控制涉及了组织物理基础设施(例如,物理控制,诸如上锁和门禁;有关温度,湿度,照明,防火以及电力等),仅适用于那些存放设施的地方,直接为工业控制系统(包括诸如场站等信息技术资产)提供保护和支持,或直接与工业控制系统有关。
基线中的一些控制强调了某些法律、法规、方针、政策、标准等要求,仅当这些控制的应用环境与相关法律、法规、方针、政策、标准一致时才需要。
基线中的一些安全控制依赖于运行环境,仅当在环境中使用该工业控制系统时才适用。例如,一些物理安全控制不适用于那些基于空间的系统,一些温度和湿度的控制不适用于室内设施之外的远程传感器。
共用控制是指那些可以被组织内多个工业控制系统继承使用的安全控制。如果一个工业控制系统继承了共用控制,那么其安全性能是由另一个实体提供的,该系统就不需要显式地实现该控制。共用安全控制的标识与定义会影响组织的整体资源支出。将安全控制指定为共用安全控制的决策可能会极大地影响单个工业控制系统安全控制基线的组成。
补偿安全控制是由组织选择使用的、用于替代所选安全控制基线中一些特定的安全控制,为工业控制系统所处理、存储或传输的信息提供等价的或可比的保护。
当组织无法有效地实现初始安全控制基线中具体的安全控制时,或者当组织工业控制系统和运行环境存在特殊性时,或者当初始安全控制基线中具体的安全控制不能高效地实现风险减少或缓解时,也就是基线中的控制不是一种合算的措施或对策时,组织可以选取补偿安全控制。并为每个补偿安全控制在工业控制系统安全计划中详细描述选取的原因,以及补偿安全控制如何提供等价保护的说明。
通常,在应用界定范围的考量后,组织就可能发现有必要选择并使用补偿安全控制。组织应如此使用补偿安全控制:
首先,要从附录B中来选择补偿控制,其中如果没有合适可用的补偿控制,组织才可采用其他源中合适的补偿控制;
其次,组织为补偿控制如何为工业控制系统提供等价的安全能力以及为什么不能使用该基线安全控制,给出支持理由;
最后,组织评价并接受在工业控制系统中使用补偿安全控制所带来的相关风险。
安全控制基线中的部分安全控制和控制增强包含嵌入参数(例如:赋值和选择陈述),例如,审计失效响应(AU-5):
审计失效响应(AU-5) 控制: 工业控制系统: 对于审计处理失效的事件,向【赋值:组织定义的人员】报警; 采取【赋值:组织定义的动作,例如:停止系统的运行,重写原有的审计记录,停止生成新的审计记录等】。 |
---|
安全控制参数为组织定义控制和控制增强的一定部分提供了灵活性,以便支持特定组织的需求。
在应用界定范围考量后,组织应评审带有赋值和选择陈述的安全控制和控制增强,并为所标识的参数确定组织定义的值。参数值可根据相关法律、法规、规章、制度、政策或标准予以规定。
一旦组织为安全控制和控制增强定义了参数值,那么这些定义的赋值和选择就成为安全控制和控制增强的有机部分。
通常,组织应在选择补偿控制前,规约安全控制参数值,因为安全控制参数的规约完成了安全控制的定义,可能会影响补偿控制的需求。
对于以上章节所述裁剪过程的实施,应当注意以下事项:
综上,有关安全控制裁剪过程的应用,对应图2中突出部分:
裁剪后的安全控制基线,仅确定一个工业控制系统所需要的安全控制集的基础或起始点。只有在组织风险评估的指导下才能最后确定合适的安全控制集。在控制选择过程中的风险评估,为确定裁剪后的基线安全控制的充分性,提供了重要的输入。在许多情况中,为强调特定的威胁和脆弱性,为满足法律、法规、方针、政策、标准和规章制度等要求,需要补充一些附加的安全控制和控制增强。组织应最大化地使用附录B中所给出的安全控制,以支持补充和增强安全控制过程,向经裁剪的安全控制基线中增加安全控制和控制增强。
为了补充已裁剪的安全控制基线,组织可使用需求定义法或空隙分析法选择安全控制和控制增强。在需求定义法中,组织获得有关敌对方活动的特定、可靠的威胁信息(或做出一种有根据的假设),以及一定能力或攻击的潜能(例如技能水平、经验、可用的资源等)。为了有效地抵御具有所陈述能力和潜能敌对方的攻击,组织应从附录B选择一些附加的安全控制和控制增强,以获得这样的安全能力。
相对于需求定义法,空隙分析法以组织当前安全能力的评估开始,基于初始的安全能力评估,组织确定可预见的威胁类型。如果组织当前的安全能力是不充分的,那么通过空隙分析就可确定所需要的安全能力。然后,组织从附录B中选择一些所需要的安全控制和控制增强,以达到期望的安全能力。
存在一些情况,为了充分保护组织使命和业务功能,组织使用了一些超出其能力的信息技术,即组织在工业控制系统中不能应用充分的安全控制来精确地减少或缓解风险。在这些情况中,就需要一种可选的安全战略,来预防组织使命和业务功能遭受负面影响。当安全控制在技术、资源约束下不能实现时或当控制缺乏期望的有效性来抵御已标识的风险时,应限制技术应用或限制工业控制系统的使用,来减少或缓解风险。可使用的限制包括:
综上,对经裁剪的安全控制基线的补充,对应图2中突出部分:
由于安全控制的描述相对精炼、抽象,可能缺乏实现安全控制的足够信息。组织应在工业控制系统安全计划中详细描述安全控制的实现目的、实现细节、适用范围以及安全控制与安全需求间的切合度等安全控制实现相关的规范信息。但在描述安全控制的规范信息时,不能更改安全控制的原始意图。
在安全控制选择过程期间,组织应建立所有安全控制的决策文档,为这些决策提供有力的理由。当存在对组织使命和业务功能的潜在影响,或在检查工业控制系统整个安全考量时,或当工业控制系统进行重大变更时,或当定期审核工业控制系统安全时,该文档均是基本的支撑资料。最终选择安全控制集及其选择过程的支持理由,以及任何工业控制系统的使用限制,均应记录在该工业控制系统安全计划中。该过程对应图2中突出部分:
安全控制选择过程可从两个不同的角度,应用于组织的工业控制系统。一个角度是新系统的开发,另一个角度是在运行系统。对于新开发系统,由于系统并不存在,并且组织没有进行初始的安全定级,因此要从需求定义的视角来应用安全控制选择过程。包含在工业控制系统安全计划中的安全控制,作为组织的安全规格说明,应用在设计、开发、实现、运行等系统生命周期各阶段。
对于在运行系统,当系统发生重大变更时,要用空隙分析法来应用安全控制选择过程。由于系统已经存在,组织已完成了安全定级和安全控制选择过程,其结果已在系统安全计划中,并在系统中予以实现。因此,可以用以下方式应用空隙分析:
首先,基于当前系统处理、存储和传输的不同业务类型,重新评估、确认系统安全级别,必要时调整系统安全级别。
其次,重新评审现有安全计划,以确保系统风险保持在可接受的水平,分析当前使用的、相关联的安全控制与安全需求间的切合程度,记录需增加的安全控制,整理并调整到安全计划中。必要时重新实施风险评估,重新制定安全计划。
最后,实现经调整的或重新制定的安全计划中的安全控制,在措施和里程碑计划中记录任何没有实现的安全控制,并与新开发系统相同的方式继续其余步骤。
大多数的工业控制系统均在网络、个人计算机和互联网普及以前开发并使用,设计之初主要用于解决高效、稳定、可靠、安全等需求。通常情况下,它们与外部网络物理隔离,并且运行在专有的、具有基本错误检测和处理能力的软、硬件平台和通信协议上,缺乏面对当前互联网时代所需要的安全通信能力。虽然这些系统设计时关注了可靠性、可用性和可维护性,但没有预料到在解决性能和故障统计等需求时需要面对的信息安全问题。在当时,工业控制系统安全仅意味着物理上专有网络访问和系统控制台功能。
工业控制系统在上世纪80和90年代与微处理器、个人计算机和网络技术同步发展,在90年代后期,互联网技术开始融入到工业控制系统的设计中。这些新技术带来的变化使工业控制系统面临的新威胁,并增加了工业控制系统受到损害的可能性。
最初,工业控制系统使用专门的硬件和软件系统,类似于独立运行的专用控制协议。随着低成本的互联网协议设备正在取代专有设备的解决方案产生,网络安全漏洞和安全事件发生的可能性不断增加。随着工业控制系统开始采用IT解决方案来促进企业连接和远程访问等功能,设计并使用标准计算机、操作系统和网络协议,工业控制系统越来越像IT系统。这些支持新的IT功能技术的集成,工业控制系统与之前相比减少了封闭性,也产生了新的安全需求。虽然传统IT系统已具备解决这些安全问题的解决方案,但在工业控制系统中引入这些解决方案必须考虑工业控制系统的特殊性。在某些情况下需要针对工业控制系统的特殊性裁剪这些安全解决方案。
工业控制系统与传统IT系统相比存在许多特殊性,包括不同的风险和优先级,不同的性能和可靠性要求等。下面列出了解决工业控制系统安全需要考虑的特殊性:
工业控制系统通常是严格按照时序要求的,可接受的延时和抖动标准与具体系统相关,系统需要确定的响应,高处理能力通常不是必须的。而传统IT系统需要高处理能力,而能够接受一定的延时和抖动。
很多工业控制系统具有工作连续性,意外的中断往往是不可接受的。中断是按计划进行的,并提前数日或数周完成规划安排。详尽的部署测试是必不可少的,以确保高工业控制系统的高可用性。在某些情况下,工业控制系统所生产的产品或所使用的设备比系统处理或传递的信息更重要。因此,工业控制系统对高可用性、可靠性和可维护性要求,使用典型的IT策略,如重新启动组件,通常是不可接受的解决方案。部分工业控制系统采用冗余组件,并保持并联运行,以保证在主组件异常或不可用时保证系统运行的连续性。
在典型的IT系统中,数据机密性和完整性通常是首要关注问题。而工业控制系统首要关注问题是防止危害生命、公众健康或信心,监管合规,防止设备、产品或知识产权的损失等。
在典型的IT系统中,安全焦点是保障IT资产的正常运行,并保护这些资产中处理、存储或传输的信息。在某些体系架构中,存储和处理的信息更为关键,并得到更多的保护。对于工业控制系统,边缘设备(如PLC、操作员站、DCS等)直接负责控制过程而需要仔细保护。由于可能对每个边缘设备产生不利影响,对工业控制系统中央服务器的保护也非常重要。
典型的IT系统往往与环境没有物理上的相互作用。而工业控制系统可能与物理环境间有非常复杂的相互作用。因此,集成到工业控制系统中任何安全功能必须进行严格测试,以确保安全功能不会影响工业控制系统的正常功能。
在典型的IT系统中,实现访问控制时不必过多关心数据流的情况。而在工业控制系统中,系统自动响应时间或者系统对人类交互的响应是非常关键的,如:在HMI中的身份验证和授权不得妨碍或干扰工业控制系统的紧急措施,信息流不能中断。因此,工业控制系统安全控制的运用应受到严格的的限制。
工业控制系统的操作系统和应用程序可能无法容忍典型IT系统的安全实践。控制网络往往比较复杂,需要不同的专业知识(例如,控制网络通常由控制工程师管理,而非IT人员)。在运行的控制网络中,软件和硬件的升级更困难。许多系统可能不具有必要的功能,包括加密功能、错误日志记录和密码保护等IT系统中最基本的功能。
工业控制系统和它们的实时操作系统往往是资源受限的系统,通常不包括典型IT系统的安全能力。在工业控制系统组件上可能没有可用的计算资源来改造现有的安全功能。此外,在某些情况下,因为工业控制系统供应商许可证和服务协议,第三方安全解决方案是不允许的。
用于工业控制系统现场控制和处理器间通讯的通信协议是专有的,与典型的IT系统通信协议完全不同。
无论是IT系统还是工业控制系统,变更管理都是保证完整性的重要措施。未安装补丁的软件是一个巨大的安全漏洞。通常采用适当的安全策略和程序及时进行IT系统软件的更新,包括安全补丁更新。此外,这些更新通常使用基于服务器的工具来自动实现。因为更新需要进行全面的测试和计划,工业控制系统的更新往往不及时。另外,由于工业控制系统通常使用旧版的操作系统,供应商已停止技术支持,因此,更新程序往往不适用于工业控制系统。因此,工业控制系统的变更(包括硬件、固件和软件的变更)过程需要经过工业控制系统专家、信息安全专家和信息系统专家的仔细评估。
典型的IT系统允许多样化的支持方式。而对于工业控制系统,服务支持通常来自于单一供应商,可能不存在多样化的支持方式。
由于技术的快速演变,典型的IT组件只有3-5年的生命周期。而工业控制系统组件的生命周期往往有15-20年,甚至更长。
典型的IT系统组件通常是本地的和易于访问的,而工业控制系统组件可能是分离的、远程的,对它们的访问需要大量的外部尝试。
工业控制系统运行引发出许多与大多数IT系统不同的安全挑战。例如大多数安全措施是为对付因特网上黑客制定的。因特网环境与工业控制系统运行环境是极其不同的。所以在安全行业中对安全需求以及安全措施可能影响工业控制系统运行的特殊要求,通常是缺乏认识的。
(1)拒绝服务的影响:已经制定的安全服务和技术主要是为了并不具有许多严格性能和可靠性要求的行业,而这些恰恰是工业控制系统运行所需要的。例如:与授权客户不能访问其银行帐户相比,使授权调度员无法访问工业控制系统远端站场控制有可能造成更为严重的后果。所以拒绝服务的威胁远比许多典型因特网交易更为巨大。
(2)加密传输:使用工业控制系统的行业中使用的许多通信信道是窄带的而且端设备经常受到内存和计算机能力的限制,从而由于某些安全措施所需的开销而不允许采用,如加密和密钥交换。
(3)密钥管理:大多数系统和设备是位于地域广大而分散、无人的远方场所,且根本没接入到因特网。这使得密钥管理、证书撤消和其它一些安全措施难于实现。
(4)公网联接:许多系统都由公共线路通信通道连接(条件所限无专网),由于协议不兼容,所以工业通用的网络安全措施(协议)不能工作。
(5)无线通信的影响:虽然无线通信正广泛为许多应用所使用,但工业控制系统使用这些无线技术的场所和所实现的功能,有较多限制;部分是因为远端站场恶劣的电磁环境对可用性的潜在影响(如变电站的高电噪声环境);部分是因为一些应用要求非常快速且极其可靠的响应(吞吐量),即使许多无线技术具有相应的安全措施,也可能因为增加系统开销而未实现。
随着工业控制系统网络化、系统化、自动化、集成化的不断提高,其面临的安全威胁日益增长。从发生的典型事件看,针对工业控制系统的安全威胁主要来自五个方面:
下表详细列出了工业控制系统可能面临的威胁。
威胁源 | 描述 |
---|---|
内部攻击者 | 具有攻击性的内部员工是计算机犯罪的主要来源之一。内部攻击者了解目标系统,往往被允许不受限制的访问系统,所以并不需要掌握太多关于计算机入侵的知识,就可以破坏系统或窃取系统数据。内部人员威胁也包括外购产品的供应商。 |
黑客 | 黑客入侵往往是为了获得刺激和成就感。大多数这类攻击者本来不具备专业攻击技术,现在却可以从互联网上下载攻击脚本和程序,向目标发起攻击;而且攻击工具越来越高级和更容易使用。并且黑客的数量庞大,分布在全球,即使是独立或短暂的攻击破坏,也会导致严重的后果,总体上形成了相对较高的安全威胁。 |
僵尸网络的操控者 | 僵尸网络的操控者通过操纵大量系统进行协同攻击、散布钓鱼网、垃圾邮件和恶意软件。有时候他们利用这些受控制的系统和网络,在黑市上将拒绝服务攻击、垃圾邮件攻击或者网络钓鱼攻击等进行买卖交易。 |
恶意软件的作者 | 居心不良的个人或组织通过制造并传播恶意软件对用户实施攻击。一些破坏性的恶意软件会损害系统文件或硬件驱动器、控制关键过程、开启执行程序以及控制系统所控制的设备等。 |
恐怖分子 | 恐怖分子试图破坏、致瘫或利用关键基础设施来威胁国家安全,引起大规模人员伤亡,削弱国家经济,降低民众的士气与信心。恐怖分子可能利用钓鱼网站和恶意软件来获取资金或搜集敏感信息,也可能会佯攻一个目标以转移对其他目标的关注程度和保护力度。 |
工业间谍 | 工业间谍通过暗中活动的方式企图获取有情报价值的资产和技术秘密。 |
犯罪组织 | 犯罪组织一般为了获取钱财攻击系统,他们往往利用垃圾邮件、网络钓鱼、恶意软件来实施身份盗窃和网上欺诈行为。国际间谍组织和犯罪组织也会进行工业间谍活动,大规模的盗窃金钱,雇用或培养黑客人才,从而对国家安全造成威胁。 |
境外国家力量 | 国外情报机构等国家力量利用计算机作为信息收集和间谍活动的一部分,个别国家致力于发展信息战,通过破坏供给、通信和经济基础设施,对目标国人民的日常生活造成非常重大的影响。 |
本节列出的脆弱性是典型工业控制系统可能存在的,这些脆弱性的列出顺序不反映脆弱性发生的优先性以及脆弱性发生后造成影响的严重性。本节主要从策略和规程、网络和系统平台三方面陈述工业控制系统中可能存在的脆弱性。实际应用的工业控制系统都会遇到下面所述脆弱性中的一部分,但也可能包含下文没有提到的系统独有的脆弱性。
脆弱性 | 描述 |
---|---|
不精确的工业控制系统安全策略 | 不精确的策略经常会把脆弱性引入到工业控制系统中。 |
没有依据工业控制系统的安全策略,编制明确、具体、书面的安全规程文档 | 建立有效安全程序的一个根本措施是:编制明确、具体的安全规程文档,并据此对有关人员进行培训。 |
没有对工业控制系统进行正式的安全培训 | 设计一种文档化的正式安全培训和学习程序,可以使有关人员掌握当时组织上的安全策略和规程,掌握工业上信息安全标准和建议的实践。如果没有针对特定工业控制系统策略和规程进行培训,就不能期望有关人员来维护一个安全的工业控制系统环境。 |
不合理的安全体系架构设计 | 控制工程人员缺乏安全方面的基本培训,设备和系统供应商的产品中没有必要的安全特性。 |
没有工业控制系统设备安装使用指导文件或工业控制系统设备安装使用指导文件有缺陷 | 设备安装使用指导文件应及时更新、随时备用。这些指导文件是解决工业控制系统故障的恢复程序中所必不可少的。 |
缺少安全实施的管理机制 | 安全方面的实施负责人员应对文档化安全策略和规程承担相应责任。 |
没有工业控制系统特定的持续运行或灾难恢复计划(DRP) | 编制、测试DRP,确保在主要硬件、软件失效中或在服务设施毁坏中是可用的。如果工业控制系统缺少DRP,就可能导致宕机次数增加,导致生产力的丧失。 |
未对工业控制系统进行审计 | 独立的安全审计应评审和检查系统的记录和活动,确定系统控制的准确性,并确保符合已建立的工业控制系统安全策略和规程.审计人员还应当经常检查工业控制系统安全服务是否缺失,并提出改进建议,这样能够使安全控制措施更有效。 |
没有明确具体的配置变更管理程序 | 应当制定并严格执行工业控制系统硬件、固件、软件的变更控制程序和相关程序文件,以保证工业控制系统得到实时保护,配置变更管理程序的缺失将导致安全监管疏忽、信息暴露和安全风险。 |
表A.3、A.4、A.5、A.6、A.7分别描述了工业控制系统网络硬件、网络结构、网络边界、通信和无线连接及网络设备配置五个方面的脆弱性。
脆弱性 | 描述 |
---|---|
网络设备物理保护不足 | 应该对网络设备的物理访问进行控制,以防止破坏网络设备。 |
缺少环境控制 | 缺少环境控制会导致处理器失常。例如,一些处理器在过热情况下会自动关闭实现自我保护,一些处理器则会烧毁。 |
不安全的物理端口 | 不安全的通用接口如USB、PS/2等外部接口可能会导致未授权的设备接入。 |
无关人员可以物理访问网络设备 | 不合适的对网络设备的物理访问会导致:数据和硬件窃取、数据和硬件的物理损伤破坏、对安全环境的篡改、未授权的阻止或控制网络行为以及关闭物理数据链路等。 |
脆弱性 | 描述 |
---|---|
薄弱的网络安全架构 | 因业务和操作需要对工业控制系统网络架构的开发和修改,可能在不经意间将安全漏洞引入网络架构的某一部分中。 |
在控制网中传输非控制数据 | 控制数据与非控制数据有着不同的要求,比如可靠性程度不同。因此,在同一个网络中传输两种流量会存在难以对网络进行配置的问题。例如,非控制流量可能会大量损耗控制流量传输所需要的资源,导致工业控制系统功能中断。 |
IT网络服务应用在控制网络中 | IT网络中实施的服务,如DNS、DHCP等,在控制网络中被使用时,可能引入额外的严重安全漏洞。 |
重要网络链路或设备没有冗余配置 | 在重要的网络中没有链路或设备冗余备份可能遭遇单点故障。 |
脆弱性 | 描述 |
---|---|
安全边界定义不清晰 | 控制网络边界定义不清晰,将难以保证必要的安全措施被合适的实施或配置,会导致对系统和数据的未授权的访问和其它问题。 |
网络边界访问控制措施不当 | 缺少或未配置合适的边界访问控制措施会导致无用数据在网络间传递。这会引起多种问题,如攻击和病毒在网络中扩散,可以在其他网络中对控制网中敏感数据进行监控和窃听及对系统进行非法访问等。 |
脆弱性 | 描述 |
---|---|
使用标准的、有文档记载的明文通信协议 | 攻击者可以使用协议分析器或者其他设备解码ProfiBus、DNP、Modbus等协议传输的数据,实现对工业控制系统的网络监控。使用这些协议也可以使攻击者更容易攻击工业控制系统或控制工业控制系统网络行为。 |
缺少用户、数据或设备的认证 | 许多工业控制系统协议不具备认证机制。没有认证,就会存在重放或篡改数据的可能性。 |
缺少通信完整性保护 | 大部分的工业协议不具备完整性检查机制。攻击者可以操纵这种没有完整性检查的通信。 |
无线连接客户端与接入点间认证不足 | 无线客户端与接入点之间需要完整的相互认证,保证客户端访问的不是攻击者伪造的接入点,同时也保证非法入侵者无法访问工业控制系统无线网络。 |
无线连接客户端与接入点间数据保护不力 | 无线客户端与接入点间传递的敏感数据未采用加密保护,攻击者监听明文信息造成信息泄露。 |
脆弱性 | 描述 |
---|---|
没有使用数据流控制 | 未采用数据流控制机制,如利用访问控制列表(ACL),限制系统或人对网络设备的直接访问。 |
IT安全设备配置不当 | 使用缺省配置往往导致主机上运行了不必要的开放端口和可能被威胁所利用的网络服务。不当的防火墙配置规则和路由器访问控制列表将允许不必要的流量通过。 |
没有备份网络设备配置 | 没有制定和实施网络设备配置备份和恢复规程,对网络设备的配置偶然或者恶意的修改可能造成系统通信中断并无法及时恢复。 |
传输中没有对口令进行加密 | 以明文传输的口令很容易被攻击者窃听,攻击者会利用这些口令对网络设备进行非法访问。通过这种访问,攻击者可以破坏工业控制系统操作或者监视工业控制系统网络行为。 |
网络设备口令未及时更新 | 密码应定期更换,这样,即使未授权用户获得密码,也只有很短的时间段内可以访问网络设备。未定期更换密码可能使黑客破坏工业控制系统的操作或监视器工业控制系统的网络活动。 |
采用的访问控制不足 | 通过非法访问网络设备,攻击者可以破坏工业控制系统操作或者监视工业控制系统网络行为。 |
表A.8、A.9、A.10、A.11分别描述了工业控制系统平台硬件、平台软件、平台配置及平台病毒防护四个方面的脆弱性。
脆弱性 | 描述 |
---|---|
重要系统安全保护不足 | 许多远程设备没有配备专门的运行维护工作人员,也没有物理监视技术手段。 |
缺少环境控制 | 缺少适当的环境控制措施会导致处理器不能正常工作。例如温度过高时,一些处理器会自动关闭,一些会烧熔。 |
未授权人员对设备的物理访问 | 考虑到有紧急关闭或重启之类的安全要求,应保证只有必要的人员可以物理访问工业控制系统设备。对工业控制系统设备访问不当会导致:数据和硬件窃取、数据和硬件的物理损伤和破坏、对功能环境(例如:数据连接,可移动介质的未授权使用,增加/移除设备)的非法篡改、物理数据链路关闭、检测不到的数据拦截或窃听(键盘输入或其他录入方式)。 |
无线频率和电磁脉冲 | 无线电磁波会损害控制系统中的硬件。造成的影响轻则扰乱命令和控制,重则对电路板造成永久损坏。 |
缺少备份电源 | 重要资产缺少备份电源,一旦停电工业控制系统就会关闭,导致不安全事件发生。 |
重要组件没有冗余配置 | 重要的组件没有备份会导致单点故障。 |
脆弱性 | 描述 |
---|---|
缓冲溢出 | 工业控制系统软件可能存在缓存溢出的问题。攻击者可以利用这一点实施攻击。 |
缺省配置为关闭的安全功能 | 如果关闭或者不使用产品自带的安全功能,那么这样的安全功能将不能起到作用。 |
拒绝服务攻击 | 工业控制系统软件可能遭受DoS攻击,导致系统不能被合法用户访问,或者系统操作和功能延迟。 |
对未定义、定义不明或“非法”情况的错误处理 | 一些工业控制系统实施可能遭受格式错误或者包含非法域值的包的攻击。 |
依赖RPC和DCOM的OPC | 不升级系统补丁,RPC/DCOM的脆弱性可能被利用来攻击OPC。 |
使用不安全的工业控制系统协议 | DNP3.0、Modbus、IEC 60870-5-101、IEC 60870-5-104和其他一些协议在工业中被普遍使用,而且协议的相关信息随处可得。这些协议只有很少或根本不包含安全功能。 |
使用明文 | 许多工业控制系统协议以明文方式传递信息,导致消息很容易被攻击者窃听。 |
配置和程序软件的认证和访问控制不足 | 攻击者可以通过非法访问配置和程序软件破坏设备或系统。 |
没有安装入侵检测和防御软件 | 入侵行为会导致系统不可用,数据被截获、修改和删除,控制命令的错误执行。 |
工业控制系统安全后门 | 不法供应商为了各种目的,给系统设置的后门,这些后门的危害特别大。 |
通信协议脆弱性 | 工业控制系统采用的部分通信协议,由于设计原因存在安全脆弱性,这些协议脆弱性可能被攻击者利用,造成系统的不可用,数据被截获、修改和删除,控制系统执行错误的动作等等。 |
脆弱性 | 描述 |
---|---|
没有及时安装操作系统和应用安全补丁 | 未及时补丁的操作系统和应用可能包含新发现的脆弱性,这些脆弱性可能会被攻击所利用。 |
没有经过彻底的测试就安装了操作系统和应用安全补丁 | 操作系统和应用的安全补丁不经测试就安装可能会对工业控制系统的正常操作产生影响。 |
使用缺省配置 | 缺省配置中往往会开放不安全或者不必要的端口、服务和应用。 |
重要的配置没有被存储或备份 | 没有制定和实施工业控制系统软硬件配置备份和恢复规程,对系统参数意外或者恶意的修改可能造成系统故障或数据丢失。 |
便携设备上数据未受保护 | 假如敏感数据(密码,拨号号码)以明文方式存储在了移动设备上,比如笔记本、PDA,那么一旦这些设备丢失了或者被偷了,系统安全就会遭受极大威胁。 |
缺少恰当的口令策略 | 没有口令策略,系统就没有了合适的口令控制,使得对系统的非法访问更容易。口令策略是整个工业控制系统安全策略的一部分,口令策略的制定应考虑到工业控制系统处理复杂口令的能力。 |
未使用口令 | 应该在工业控制系统组件上使用口令以阻止非法访问。口令相关的脆弱性包括:系统登陆无口令(如果系统有用户帐户);系统启动无口令(如果系统没有用户帐户);系统待机无口令(如果工业控制系统组件一段时间内没被使用)。 |
口令使用不当 | 应该保证口令的安全,防止非法访问。包括:以明文方式将口令记录在本地系统;和同事的个人帐户使用同一的口令;在收受贿赂后,将口令交给潜在攻击者;在未受保护的通信中以明文方式传输口令。 |
访问控制不当 | 访问控制方法不当,可能使工业控制系统用户具有过多或过少的权限。如采用缺省的访问控制设置使得操作员具备了管理员特权。 |
没有安装入侵检测和防御软件 | 入侵行为会导致系统不可用,数据被截获、修改和删除,控制命令的错误执行。 |
不安全的工业控制系统组件远程访问 | 系统工程师或厂商在无安全控制措施的情况下,实施对工业控制系统的远程访问,可能致工业控制系统访问权限被非法用户获取。 |
脆弱性 | 描述 |
---|---|
没有安装病毒防护软件 | 恶意软件会导致系统性能低下、系统不可用和数据被截获、修改和删除。因此需要安装病毒防护软件,比如杀毒软件,防止系统感染病毒。 |
病毒防护软件病毒库过期 | 病毒防护软件病毒库过期导致系统容易被新的病毒攻击。 |
没经过仔细的测试就安装病毒防护软件及其病毒库升级包 | 未经测试就安装病毒防护软件及其病毒库升级包可能会影响工业控制系统的正常运行。 |
更多内容 可以 GB-T 32919-2016 信息安全技术 工业控制系统安全控制应用指南. 进一步学习
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。