工业控制系统安全标准

其他方面

除了几个明显的直接与工业控制系统
安全相关的影响因素或解决思路外，还有一些经常被忽的情 况，在此也将该部分内容引出 ，期望为用户带来缓解风险的更多思路。- 系统集成问题
安全是一个整体 , 安全问题可能是各个子系统
协同工作时引起的。- 合规性与安全性
合规不等于安全。假设某项安全措施对整个系统很重要 . 但监管标准未作出相应的要求 . 那么对 于工控安全团队来说 ,很难获得资金支持来部署相应的设备。

• 风险转移 风险处置机制的一种经典方式是与其他实体分担风险（风险转移）。
• 部署蜜罐
  当攻击者扫描存在漏洞的资产时 ,已部署的蜜罐有助于迅速发现入侵者 ,并迅速开展应对措施 ; 同样也对事后的取证和立案提供帮助 ; 还可以研究黑客的攻击手法 ,有助于研究入侵的特征码 , 从而集成进入侵检测系统。

风险缓解策略制定步骤

结合目标对象和制定风险缓解策略时考虑的因素，给出针对风险的缓解策略可执行的参考步骤如下：
制定针 对每 对方案 的 比较缓 解 通过已 知 选择最 优 部署缓 解 个风险 场景 成本进行 成本与入 侵 数据，回 答 缓解方案 方案 的多个缓解 估算 影响损失 系列问题
方案
图 6.2 缓解策略执行步骤
通过已知数据需要回答的问题包含：

• 总预算数额？
• 哪些是最关键且最易于暴露的资产？
• 入侵产生的总体成本或影响如何？
• 入侵成功的可能性有多大？
• 风险缓解的成本会超过风险带来的损失吗？
  \7. 验证与测试

验证与测试

通常安全评估过程在制定了对应的缓解措施和安全建议后就告一段落，但这个流程在闭环体系中是 存在问题的。
构建了风险场景，场景的问题是否一定存在？ 制定了缓解措施或者安全建议，这些建议是否奏效？
这些都无从确认，即针对整个过程缺乏验证，没有测试验证的方案与建议都是自说自话，不能构成 闭环反馈。因此验证测试环节在整个安全评估流程中是必不可少的。
目标定义与 资产评估
系统评定
业务/运营目标定义 资产识别 系统评定 资产分类
系统分类 网络拓扑审查 数据流审查
风险资产预筛
脆弱性评估 风险场景构建
安全策略脆弱性 威胁评估 架构与设计脆弱性 攻击向量评估 配置与维护脆弱性 威胁事件构建
物理环境脆弱性 风险场景构建 产品实现的脆弱性
通信与网络脆弱性风险估算与 验证与测试
防护部署
风险计算 渗透测试 防护措施制定 （组件测试、 防护措施排序 系统测试）
图 7.1 安全评估流程图
针对风险场景构建阶段的测试与验证的目的是通过测试验证风险场景，了解并预测脆弱点被利用的 难易程度以及发起攻击的可能性，从而提高风险缓解策略的针对性与效率。
针对风险计算与缓解策略部署阶段的测试与验证的目的是通过测试验证缓解策略的部署判定是否可 抵御对应的攻击类型，是否起到了预期的作用。如果没起到作用证明该缓解策略或者方案是失败的，也 可以理解为修改 BUG后的回归测试。
例如针对 PLC 设备风险场景构建示例中，在构建完成后要验证现场使用的 Allen-Bradley MicroLogix1100 设备是否真正存在该漏洞，是否可以将工程师站点作为跳板访问 PLC，是否能执行任 意代码或者获取控制权限等问题。
当完成风险缓解策略制定后，需要验证应用了缓解策略或者部署防御方案后是否还可以访问到 Allen-Bradley MicroLogix1100 设备，这个设备是否已经不存在评估中的漏洞，是否不再能任意执行代 码等。再次重新对风险场景进行评分计算，核查最优策略与方案是否明显降低了风险值。
只有添加了测试与验证这个环节，并且将这个环节贯穿至整个安全评估的重点过程中，才可以构成 闭环，才可以说安全评估做的较为到位。

工业控制系统安全标准

标准是促进全球贸易、技术、环境、社会等可持续发展的重要支撑，是各国参与国际规则制定的重 要途径，是一种层次更深、水平更高、影响更大的竞争。网络安全标准的竞争更是明显，谁占据了网络 安全标准的制高点，谁就可以在网络安全博弈中赢得先机、掌握主动。因此在阐述了安全评估流程后很 有必要就工业控制系统的国内外标准做以梳理，以澄清现在整个行业的标准现状。

国外工业控制系统标准概述

国外工业控制系统相关的网络安全标准比较多，欧美等国家从地区或者不同角度来阐述对工业控制 系统网络安全的要求和主张，近年来针对工业控制系统的安全标准数量正在显著增加。与工业控制相关 的安全标准主要包括以下：

• 美国国家标准与技术研究院（NIST）制定的工业控制系统安全指南（NIST SP800-82）。
• 国际自动化协会 / 国际电工委员会制定的 IEC 62443《工业过程测量、控制和自动化网络与系 统信息安全》系列标准。
• 北美电力可靠性委员会（NERC）制定的关键设施保护可靠性标准，北美大电力系统可靠性规范 （NERC CIP 002–009）。
• 美国石油协会（API）制定的管道 SCADA安全（API1164）和石油工业安全指南。
• 美国国土安全部（DHS）制定的化工设备反恐主义标准，及中小规模能源设施风险管理核查事 项等。
• 美国核能管理委员会（NRC）制定的核设施网络安全措施（RegulatoryGuide5.71）。
• 美国核能研究所（NEI）制定的 08-09 标准。
• 美国国家标准与技术研究院（NIST）制定的网络安全框架和 NIST SP 800-53 建议。
• 欧盟安全标准有 M/490 标准化要求（EUM/490）和智能电网协调小组（SGGG）对现代电力系 统提出的指南建议。
• 欧盟网络与信息安全局提出的多项指南。
  被广泛认可且普遍应用的安全标准有 NIST SP800-82、IEC 62443 和 NERC CIP。其中 NIST SP800-
  82、IEC 62443 应用在所有使用工业控制系统的行业中，而 NERC CIP主要应用在电力行业、石油与天 然气行业。
  NIST SP 800-82 工业控制系统（ICS）的安全指南，其目的是为工业控制系统（ICS），包括监控和 数据采集系统（SCADA）、分布式控制系统（DCS），以及其它系统的控制功能提供指导。文件提供了 一个概述，ICS和典型系统拓扑结构，确定这些系统的典型威胁和脆弱性，并提供建议的安全对策，以 减轻相关风险。其中主要内容包括：
• 对工业控制系统威胁和漏洞的更新。
• 对工业控制系统风险管理、实践建议及架构更新。
• 对工业控制系统安全中当前活动的更新。
• 对工业控制系统中安全功能和工具的更新。
• 与其他工业控制系统安全标准和指南保持一致的相关调整。
  NIST SP 800-82 指南是许多使用工业控制系统企业安全标准的基线，并且被很多其他出版物广泛引 用。该标准自创建以来，经过漫长的演变至今已发展成为一项较为全面地工业控制安全标准，是很有价 值的参考资料。
  IEC-62443 标准的全称是“工业过程测量、控制和自动化与系统信息安全”， 业过程测量、控制和自动化”的标准过程中，遇到了网络安全的问题，因此在 SC65C/WG13 工作组研究制定工业控制系统的网络安全标准问题。 WG10 工作组，专门进行“系统及网络信息安全”的标准制定工作，并在 62443 的标准。
  IEC/TC65 在制定“工 2003 年 9 月成立了 IEC/
  IEC在 2005 年成立了 IEC/TC65/ 2006 年第一次发布 IEC-
  IEC-62443 标准的中心思想是如何对工业控制系统的产品开发、产品集成、实施和运维等全生命周 期环节中实现和评价相关角色的网络安全能力。IEC-62443 的重点不是安全技术，而是对安全能力的评 估，所以其核心内容是“网络安全保证等级 SAL”的评价模型。
  通 ISA-62443-1-1
  技术、概念与模型 用
  略 ISA-62443-2-1 与 IACS信息安全 程 管理系统要求 序
  主要术语及 缩写词汇表
  IACS信息安全 管理实施指南
  ISA-TR62443-1-3 系统信息安全 合规性度量
  ISA-TR62443-2-3 IACS环境下 补丁管理
  IACS信息安全 生命周期及用例
  ISA-TR62443-2-4 IACS制造商
  信息安全与维护要求
  统 ISA-62443-3-1 ISA-TR62443-3-2 ISA-TR62443-3-3 技 技术、概念与模型 区域和管道 与系信统息信安息全安保全障要等求级 术 信息安全保障等级
  件 ISA-62443-4-1 IS对A-ITARC6S2产44品3-的4-2 技 技术、概念与模型 信息安全技术要求
  图 8.1 IEC-62443 标准体系组织结构 IEC-62443 标准的主要内容有 4 个部分：

1. IEC-62443-1 系列：主要是概念和模型的定义，包括安全目标、风险评估、全生命周期、安全 成熟度模型。尤其是基于 7 个基本要求（FR）的安全保证等级（SAL），从 7 个 FR 方面将系 统的网络安全能力定义为 SAL的 4 个等级。
2. IEC-62443-2 系列：主要是讲在集成和实施、运维中如何实现网络安全，目标对象主要是集成商、 服务商和业主的安全能力。包括在工业控制系统中如何部署网络安全、如何进行补丁管理，以 及安全策略和操作规程。
3. IEC-62443-3 系列：主要阐述产品级的系统集成如何实现网络安全，包括产品系统集成的安全 工具、技术措施等如何去满足安全保证等级，目标对象主要是产品级的系统集成商。
4. IEC-62443-4 系列：主要是单个产品或者独立组件如何实现网络安全，包括具体产品开发和技
   术设计上的网络安全要求，比如主机、嵌入式装置等，目标对象是单个产品或者独立组件的制 造商和供应商。
   IEC-62443 标准的网络安全保证等级（SAL）的评价模型如下：
5. SAL分为 4 种类型：目标 SAL、设计 SAL、达到 SAL、能力 SAL。分别对应全生命周期的不同阶段。
6. SAL的 4 个等级：SAL1：抵御偶然性的攻击；SAL2：抵御简单的故意攻击；SAL3：抵御复杂 的调用中等规模资源的故意攻击；SAL4：抵御复杂的调用大规模资源的故意攻击。
7. SAL的评价值的矢量模型：FR { IAC、UC、DI、DC、RDF、TRE、RA}，其中，IAC为标识与鉴别控制， UC为用户控制，DI为数据完整性，DC为数据保密性，RDF为受限制的数据流，TRE为事件实 时响应，RA 为资源可用性。
   NERC-CIP全称为“北美关键基础设施保护”，NERC北美电力可靠性委员会是非营利性监管机 构，职责在于开发并执行可靠性标准，保障电网可靠性。NERC职责范围在北美大陆，包括美国、加拿 大、墨西哥，NERC受美国联邦政府、加拿大政府的监管。NERC在 2006 年发布了 CIP。NERC-CIP 在 2007 年得到美国 FERC（联邦能源监管委员会）的批准，成为美国法规，成为北美通行标准。
   NERC-CIP是 NERC对关键基础设施的安全保护规定，主要是针对电网运营的功能实体责任实体， 具体实体可以包括：电力资产业主、电力传输运营商、设备运营商、设备和系统制造商、系统集成服务 商、电网结算单位等。
   NERC-CIP的目标是保障电网的可靠性安全性，网络安全是其主要内容，但不是全部，即使是其中 的网络安全，也不仅仅是狭义上的技术上的网络安全，范围要更加宽一点。
   标准的主要内容包括技术和管理的要求、监督执行两个层面：
8. 技术和管理的要求：对产品和系统的电子安全边界的设计和实现、物理访问的识别和监控、端 口信息保护、漏洞的检查和管理、日志记录、事件的报告和响应机制、备份和恢复规划、变更 的管理、脆弱性评估、供应链管理等，以及人员意识、培训制度、文档资料。
9. 监督执行：明确适用对象、责任主体、监管机构、证据要求、评估流程、违规程度评价等。

参考资料

绿盟 工业控制系统安全评估流程

友情链接

GB-T 39786-2021 信息安全技术 信息系统密码应用基本要求