产品开发过程脆弱性
表 4.5 产品开发过程脆弱性检查表
脆弱性 描述
工业控制系统
软件可能无法对用户输入数据或者接收数据进行验证以确保其有效性。而无效数 数据验证不当据可能会导致多种漏洞,包括缓冲区溢出、命令注入、跨站脚本和路径遍历等。
默认情况下未启用已安装的 随产品一起安装的安全功能如果未经启用或至少确认为处于禁用状态,那么这些安全功能则不 安全功能 会发挥任何作用。
软件中的身份认证、权限分
对组态和编程软件的未授权访问可能会损坏设备。 配和访问控制
不完善很多工业控制设备为了开发或者维护中方便读取日志或者调试,通常留有调试接口,且此接口 硬件研发中的调试接口暴露
一直保留至工业现场,对该接口的探索式攻击可能损坏设备或造成敏感信息泄露。
一些开发者为了方便发现错误,在发行版的软件中保留了调试版本的功能。基于方便调试的运 软件保留调试版本功能
维方法可能会被攻击者发现和利用,导致系统被控制。
通信与配置脆弱性
表 4.6 通讯与配置脆弱性检查表
脆弱性 描述
应当应用基于数据特征的数据流控制对系统之间传输的信息加以限制。数据流控制能够防止信 未采用数据流控制
息泄露与非法操作。
配置不当的防火墙可能允许不必要的数据进入网络,例如控制网络和业务网络,从而造成针对 未部署防火墙或者配置不当 内部网络的攻击和恶意代码在网络中传播,并导致敏感数据易被监视和窃取,以及个人对高权
限系统的未授权访问等问题。
防火墙及路由日志信息记录
日志信息记录不当或者不准确,可能导致无法确定安全事件发生的原因。 不完善
使用诸如 Telnet,FTP、HTTP 和 NTS 等协议进行数据传输,攻击者能够使用协议分析器或者 使用公开的明文传输协议 其他工具对传输的数据进行解码,以实现对工业控制网络活动的监控。使用上述协议使得攻击
者能够更加容易地对工业控制系统发起攻击并操作工业控制系统网络行为。
未采用身份认证措施或者不 许多工业控制系统协议在各个层次均未采用认证机制。如果未采用认证机制将很有可能导致数 标准 据重放、篡改或欺骗,还会导致设备欺骗,如传感器和用户身份标识符等设备。
工业控制系统协议通常只有很少的或者完全没有安全功能(如认证、加密等),因此难以保护 使用不安全的工业控制协议
数据免遭未授权访问或者协议数据篡改。此外,协议在实现过程中的错误也可能导致其他漏洞。
通信内容完整性检查机制缺 大多数工业控制协议中均未内置数据完整性检查,攻击者可以在不被发现的情况下操作通信数 乏 据。为了确保完整性,工业控制系统可以使用提供数据完整性保护功能的底层协议。
脆弱性 描述
无线客户端与接入点之间的 需要在无线客户端和接入点之间采用强相互认证,以确保客户端不会连接到攻击者部署的非法 认证机制不完善 接入点,并且确保攻击者无法连接到工业控制系统中的任何网络。
无线客户端与接入点之间的 应采用强加密机制保护无线客户端和接入点之间传输的敏感数据,确保攻击者无法实现对加密 数据保护措施不完善 数据的未授权访问。
风险场景构建
构建风险场景有助于精准识别风险来源,描述与风险相关的各个向量。风险场景的模型见下图所示。
业务 目标
威胁源
影 响 威胁
攻击向量 后 果
事件
目标对象
图 5.1 风险场景
威胁事件(攻击事件)包含以下几个要素:威胁源,对脆弱性加以利用的攻击向量,存在脆弱性的 目标对象。
为了构建风险场景,需要将以上场景进行拆解分析,从威胁评估,攻击向量评估、威胁事件构建、 风险场景构建依次渐进展开,得到最终的风险场景。
威胁评估
威胁源是一个完整事件必不可少的因素,在进行威胁评估时,首先需要识别存在哪些威胁源,同时 分析这些威胁源的动机和能力。通常工业控制系统的威胁来源可分为非人为和人为的威胁,非人为安全 威胁主要指来自环境因素的威胁,人为的安全威胁从威胁动机来看,又可细分为非恶意行为和恶意攻击 行为。不同的威胁源具有不同的攻击能力,攻击者的能力越强,攻击成功的可能性就越大。衡量攻击能 力主要包括:施展攻击的知识、技能、经验和必要的资金、人力和技术资源等。
表 5.1 工业控制系统常见威胁源描述
威胁源 威胁动机及造成后果描述
环境因素 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪水、火灾、地震、意外事故等环境危害或自然灾害。
内部人员威胁包括组织内部人员、外聘运维人员、外购产品的供应商。
缺乏责任心、不关心或者不关注、没有遵循规章制度和操作流程、缺乏培训、专业技能不足、不具备岗 位技能要求而导致信息系统故障或被攻击。
内部人员
心存不满的内部员工是计算机犯罪的主要来源。内部攻击者了解目标系统,并具有一定的权限,往往被 允许不受限制的访问系统,而且比外部的攻击者有更多的攻击机会,因此不需要掌握太多关于计算机入 侵的知识,就可以破坏系统或窃取系统数据。攻击的成功率高。
黑客入侵网络是为了获得挑战的刺激或者在黑客世界里炫耀自己的能力。这类攻击者大多数不具备专业 黑客 技术能力,却可以从互联网上下载易于使用且破坏力强的攻击脚本和协议,向目标发起攻击。并且他们
的数量庞大,分布在全球,即使是孤立或短暂的攻击破坏,也会导致严重的后果。
居心不良的个人或组织通过制造并传播恶意软件对用户实施攻击。一些破坏性的恶意软件会损害系统文 恶意软件的作者
件或硬件驱动器、控制关键过程、开启执行程序以及控制系统所控制的设备等。
恐怖分子试图破坏、致瘫或利用关键基础设施来威胁国家安全,引起大规模人员伤亡,削弱国家经济, 恐怖分子 破坏民众的士气与信心。恐怖分子可能利用钓鱼网站和恶意软件来获取资金或搜集敏感信息,也可能会
佯攻一个目标以转移对其他目标的关注程度和保护力度
工业间谍 工业间谍通过暗中活动的方式企图获取有价值的情报资产和技术秘密。
组织严密,具有充足资金、人力和技术资源,而且可能在必要时实施高隐蔽性和高破坏性的分布式攻击, 境外国家力量
窃取组织核心机密或使工业控制系统全面瘫痪。