国内工业控制系统
标准概述在国内,自 2010 年前后已陆续开展工业控制系统信息安全相关标准的研究制定工作。截至目前, 全国已有多个相关标委会开展了该领域标准执行工作。全国工业过程测量和控制标准化技术委员会
从自 动化领域入手,借鉴 IEC62443 等系列标准,研究制定了《工业通信网络 -网络和系统安全 -第 2-1 部分: 建立工业自动化和控制系统信息安全程序》、《工业控制系统信息安全 第 1 部分:评估规范》、《工 业控制系统信息安全第 2 部分:验收规范》等工业控制系统的安全标准。全国信息安全标准化技术委员会(TC260)作为全国信息安全领域标准化归口组织,管理全国信息 安全领域的相关国家标准化工作。截至目前,已发布《信息安全技术
工业控制系统安全控制应用指南》 等相关国家标准。部分国内工业控制系统标准如下表所示。
表 8.1 国内部分工业控制系统标准
序号 名称
1 《工业控制系统信息安全 第 1 部分:评估规范》
2 《工业控制系统信息安全 第 2 部分:验收规范》
3 《工业控制系统信息安全防护指南》
4 《信息安全技术 工业控制系统安全控制应用指南》
5 《信息安全技术 工业控制系统安全分级规范》
6 《信息安全技术 工业控制系统安全检查指南》
7 《信息安全技术 工业控制系统安全管理基本要求》
8 《信息安全技术 工业控制系统风险评估实施指南》
9 《信息安全技术 工业控制系统产品信息安全通用评估准则》
10 《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》
11 《信息安全技术 工业控制系统网络监测安全技术要求和测试评价方法》 12 《信息安全技术 工业控制系统漏洞检测技术要求及测试评价方法》
13 《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》 14 《信息安全技术 工业控制系统网络审计产品安全技术要求》
15 《信息安全技术 工业控制系统专用防火墙技术要求》
16 《信息安全技术 工业控制系统入侵检测产品安全技术要求》
17 《信息安全技术 数控网络安全技术要求》
序号 名称
18 《信息安全技术 工业控制系统测控终端安全要求》 19 《集散控制系统(DCS)安全防护要求》
20 《集散控制系统(DCS)安全管理要求》
21 《集散控制系统(DCS)安全评估指南》
22 《集散控制系统(DCS)风险与脆弱性检测要求》 23 《可编程逻辑控制器(PLC)系统信息安全要求》 24 《电力监控系统安全防护规定》
25 《电力监控系统安全防护总体方案》
26 《电力行业信息系统安全等级保护基本要求》
27 《电力行业信息系统安全等级保护基本要求》
28 《石油化工工厂信息系统设计规范》
29 《核电厂安全系统 第 1 部分 设计准则》
30 《核电厂安全系统中数字计算机的适用准则》
31 《烟草工业企业生产网与管理网网络互联安全规范》 32 《烟草行业工业控制系统网络安全基线技术规范》
选取部分标准做以简单概述。
《工业控制系统信息安全 第 1 部分:评估规范》作为我国工业控制安全第一个有内容的国家标准, 解决了我国工业控制安全无标准可依的窘境。《评估规范》分为管理评估和系统能力(技术)评估。管 理评估宜对照风险接受准则和组织机构相关目标,识别、量化并区分风险的优先次序。风险评估的结果 可指导并确定适当的管理措施及其优先级,评估风险和选择控制措施的过程需要执行多次,以覆盖组织 机构的不同部门或各个工业控制系统。管理评估分三个级别、系统能力(技术)评估分为四个级别。信 息安全等级由系统能力等级和管理等级二维确定。
《工业控制系统信息安全 第 2 部分:验收规范》此标准解决了我国工业控制系统信息安全验收上的 空白,解决了验收有标准可依的困境。此标准的使用方是工业控制系统用户方,《验收规范》涉及到专 业的安全测试,除电力和石油石化等大部分用户方在能力上不足以完成验收阶段的安全测试。因此需要 借助第三方的测评力量来验收,就涉及到项目预算增加的问题。因此在做标准宣贯时,需要在立项阶段 就考虑验收标准和费用的问题。
《信息安全技术工业控制系统安全检查指南》规定了工业控制系统信息安全检查的目的、范围、方式、 流程、方法和内容,适用于开展工业控制系统的信息安全监督检查、委托检查工作,同时也适用于各企 业在本集团(系统)范围内开展相关系统的信息安全自检查。
《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》规定了工业控制网络安全隔 离与信息交换系统的安全功能要求、安全保障要求和安全等级划分要求,适用于工业控制网络安全隔离 与信息交换系统的设计、开发及测试。
《信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法》规定了针对工业控制系统的 漏洞检测产品的技术要求和测试评价方法,包括安全功能要求、自身安全要求和安全保障要求,以及相 应的测试评价方法,适用于工业控制系统漏洞检测产品的设计、开发和测评。
《信息安全技术工业控制系统产品信息安全通用评估准则》定义了工业控制系统产品安全评估的通 用安全功能组件和安全保障组件集合,规定了工业控制系统产品的安全要求和评估准则,适用于工业控 制系统产品安全保障能力的评估,产品安全功能的设计、开发和测试也可参照使用。
《信息安全技术工业控制网络监测安全技术要求及测试评价方法》规定了工业控制网络监测产品的 安全技术要求和测试评价方法,适用于工业控制网络监测产品的设计生产方对其设计、开发及测评等提 供指导,同时也可为工业控制系统设计、建设和运维开展工业控制系统安全防护工作提供指导。
信息安全标准是我国信息安全保障体系的重要组成部分,工业控制系统信息安全是国家网络安全的 重要组成部分,在工业控制安全国家标准制定中,需要信息安全专家、工业控制专家、行业专家等多领 域专家共同参与,才能真实反映既符合网络安全要求又符合工业控制现场现状。
了解整个国内外工业控制系统的安全标准和相关法规,对于制定整体安全策略至关重要。但是这些 标准和法规只应该作为基本的安全基线,在参照的基础上真正的结合风险场景与成本预算和各类安全措 施,制定出经济、高效、持久的安全策略与措施才是企业真正的需求。
参考文档
• 《黑客大曝光 -工业控制系统安全》 【美】克林特(Clint E.Bodungen)等著 机械工业出版社
绿盟科技格物实验室
绿盟科技格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。实验室 以“格物致知”的问学态度,致力于以智能设备为中心的漏洞挖掘和安全分析,提供基于业务场 景的安全解决方案。积极与各方共建万物互联的安全生态,为企业和社会的数字化转型安全护航。
绿盟科技官方微信
随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制 系统产品越来越多地采用通用协议、通用硬件和通用软件,网络威胁正在由传统 IT领域向工业控制系 统扩散,工业控制系统信息安全问题日益突出,对工业生产运行,乃至国家经济安全造成重大隐患。如 何针对这些隐患制定出一套可行的检测与安全评估方法显得尤为重要,也是关键基础设施领域亟待解决 的问题。但由于每个企业的业务目标和运营环境多样化、复杂化,而制定一套“均码”的度量标准或者 规范是很艰难的,即使制定出该标准但实施与执行后的效果是否理想就不得而知。
安全评估存在的问题:
- 合规并不等于安全。
- 无法验证的脆弱性仅仅是主观推测的结果,需大胆设想,小心求证。 构建的理念:
在工业控制系统的功能安全、操作安全、安全防护措施以及脆弱性的基础上,构建整体性更强、综 合性更高的方法(风险场景构建),避免零散孤立的合规核查,对风险的“可能性”做出更为准确的解 释,形成可量化的标准,为制定有针对性的、高效的风险缓解措施奠定基础。
这里将尝试提出一种工业控制系统安全评估流程的方法论,从技术层面出发梳理评估步骤,针对涉 及到的技术点与方法进行归纳总结。本文所提出的安全评估的流程如下图所示:
目标定义与 资产评估
系统评定
业务/运营目标定义 资产识别 系统评定 资产分类
系统分类 网络拓扑审查 数据流审查
风险资产预筛
脆弱性评估 风险场景构建
安全策略脆弱性 威胁评估 架构与设计脆弱性 攻击向量评估 配置与维护脆弱性 威胁事件构建
物理环境脆弱性 风险场景构建 产品实现的脆弱性
通信与网络脆弱性
风险估算与 验证与测试
防护部署
风险计算 渗透测试 防护措施制定 (组件测试、 防护措施排序 系统测试)
\2. 目标定义与系统评定
目标定义与系统评定
- 目标定义
全面的安全评估需要了解系统的相关组成结构以及相关联的业务,从多个方面评估可能存在的风险, 并通过实施过程进行逐步验证,通过计算模型推导出可能形成的损失。如下图:
人员 信息 管理
系统 风险评估考虑因素:
- 人员(安全意识与安全能力)
- 管理(人员管理、生产管理、数据管理、运维管理等)
数据 通讯 终端 • 供应链(元件 / 设备引入安全风险)
系统 系统 系统 • 边界(不同区域的风险管理)
- 工艺(可靠性要求)
- 电磁辐射(侧信道攻击)
生产 • 环境(设备 / 系统针对不同环境的适应能力)
系统 • 数据传输与存储
- 设备老化或者异常运行
供应链
图 2.1 风险评估参考架构
制定适合自有系统的风险度量标准并对识别出的风险进行评分,对于工业控制系统来说,需要理清 如下问题:
- 企业生产什么 ?
- 工业控制系统运行 / 实现自动化的环节有哪些?
- 在生产环境中部署了哪些系统支持正常生产?
- 工业控制系统中哪些地方出现异常可能会造成较大的损失?
通过回答这些甚至更多问题,就可知道哪些系统对于实现业务 / 运营目标更为关键,哪些系统为辅 助性的,同时也明确了这些系统按计划停止运行后可能导致的后果是什么。
确定业务 / 运营目标过程:
- 多角色参与讨论,如业务经理 / 资产所有者 / 资产托管方 / 工程经理 / 工程师 / 所有其他利益相 关方。
- 从对业务 / 运营目标提供支持的系统及这些系统的故障导致潜在的后果这两个维度出发,对业 务 / 运营目标做出澄清。
输出:
- 清晰的业务 / 运营目标。
- 支撑目标的各类系统。
- 系统评定与分类
在工业控制系统环境中系统的概念为出于一个共同的业务 / 运营目标而协同工作的一组过程设备、 处理装置、计算机、调度策略、运行工艺和组织管理等。如 SIS(安全仪表系统)、SCADA(监控与数 据采集系统)、HSE(健康安全和环境管理系统)、FGS(火气系统)等。
系统评定与分类的过程按照以下顺序进行:
对目标系统做识别与判定 分析与系统相关联的潜在事件和后果 建立后果与业务/运营目标的关联关系 根据关键性对系统进行分类与优先级排序
图 2.2 系统评定与分类过程
输出内容为:
- 对支撑业务 / 运营目标的各类系统的分类。
- 根据关键性对各个系统的优先级排序。
7
\3. 资产评估
资产评估
- 资产识别与分类
尽可能全面地识别出被评估对象的所有资产,为后续的评估过程提供关键的信息,但是工业控制系 统中收集资产较为困难,往往会有遗漏,且目前采取的方法一般为访谈式和调查式,难以保证资产收集 的准确性。
可以尝试通过如下方法进行资产识别:
- 查询采购记录。
- 查询资产数据库。
- 初步的资产清单与最新的、最准确的网络拓扑进行交叉验证。
- 人工巡检、现场核查 ( 顾问访谈 / 问卷调查 )。
- 使用资产发现工具获取资产信息 ( 例如 :工业控制系统漏洞扫描工具 )。
依照如上方法对待评估系统识别出的资产做以列举,形成资产清单表。在列举工作中最好采用分类 的方式为资产进行归类整理,例如可以从如下维度进行。
表 3.1 资产参考表
**资产类别 资产品牌 资产型号 详细版本 其余信息 
**信息
软件
硬件
系统
人员 安全意识、安全操作技能等。
管理制度 人员培养制度、组织架构管理、操作站工作指导书、安全规定等。
应急体系 应急生产支撑体系、不可抗力故障支撑体系、突发性威胁响应体系等。
备注:在工业控制系统中使用主动扫描方式发现资产风险较大,建议使用被动扫描的方式或者无损 扫描方式进行。
- 网络拓扑审查
该步骤与资产识别步骤可以交叉、比对进行,尽可能详细地绘制出最新的、最准确的业务 / 运营目 标对象网络拓扑图,梳理清楚设备、组件等之间的连接关系。
- 数据流审查
对照网络拓扑,在其基础上添加数据流要素,形成一张动态的资产、网络元、数据交互的图谱,不 仅有助于发现现阶段业务 / 运营目标对象网络中的已知问题(例如信息泄露途径、非法接入等),还可 以作为应急响应分析过程中的重要输入资料。
- 风险资产预筛
对于资产预筛选的依据与标准可参照如下表,将资产关键性分为 5 个等级, 由高到低关键性依次减 弱。
表 3.2 资产等级及含义描述
| 等级 | 标识 | 描述 |
|---|---|---|
| 5 | 很高 | 非常关键,其安全属性破坏后可能对组织造成非常严重的损失,损失难以弥补。 |
| 4 | 高 | 非常重要,其安全属性破坏后可能对组织造成比较严重的损失,损失较难弥补。 |
| 3 | 中 | 比较重要,其安全属性破坏后可能对组织造成中等程度的损失,损失可以弥补。 |
| 2 | 低 | 不太重要,其安全属性破坏后可能对组织造成较低程度的损失,损失容易弥补。 |
| 1 | 很低 | 不重要,其安全属性破坏后对组织造成微弱的损失,甚至可以忽略不计。 |
9
\4. 脆弱性评估
脆弱性评估
脆弱性是资产本体固有存在的,如果没有对应的利用方法,单纯的脆弱性本身不会对资产造成损害。 如果系统足够健壮,即使再严重的威胁也不会导致安全事件发生。即威胁总是要利用资产的脆弱性才可 能造成危害。
资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为 困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可以理解为是一种脆弱性。
脆弱性识别是风险评估中最重要的一个环节。该环节需要识别出系统具有的漏洞,然后与资产、威 胁源、攻击向量等关联起来,分析出系统所面临的风险。
工业控制系统面临的脆弱性可以从以下几个方面分析。如下图:
安全 策略
通信与 架构与 配置 设计
工业控制系统 面临的脆弱性
产品开 配置与 发过程 维护
物理 环境
图 4.1 工业控制系统脆弱面
10
4.1 安全策略脆弱性
下表为工业控制系统中常见的安全策略脆弱性的描述。
表 4.1 安全策略脆弱性检查表
脆弱性 描述
由于策略制定不完整或者缺乏针对工业控制系统安全的详细策略,导致工业控制系统存在脆弱 工业控制系统安全策略制定 性。
不完整 制定策略时,每一项的对抗措施都应该在策略中有迹可循,从而确保一致性与可问责性。
安全策略必须将工业控制系统环境中使用的便携设备与移动设备考虑在内。
无正规的工业控制系统安全 将正规的安全培训相关内容形成文件,能够帮助工作人员及时了解机构的安全策略、规范的操 培训计划 作程序、可能存在的安全威胁、行业网络安全标准和建议措施等内容。
工业控制系统设备实施指南 应该保证设备实施指南及时更新并且方便获取。在部分工业控制系统设备出现故障情况下,实 缺失或者不完备 施指南是安全处置中不可或缺的部分。
安全策略实施管理机制缺失 负责实施安全策略的工作人员应当承担管理安全策略和安全程序文档的责任。
应当制定程序和进度表,用于确定安全计划及其组成控制措施正确实施的程度,以及是否按预 工业控制系统安全控制措施
期运行且达到满足工业控制系统安全要求的预期效果。这种策略应当涉及生命周期的各个阶段 有效性审查不完善
以及业务 / 运营目标、专业技术、方法和独立程度等内容。
应当制定应急预案并对其进行演练测试,以确保当软硬件出现重大故障或者设施损坏时应急预 没有针对工业控制系统的应
案可以付诸实施。缺乏专门针对工业控制系统的应急预案可能导致停机时间延长并产生巨大损 急预案
失。
缺少工业控制系统配置变更管理的策略和程序可能导致无法对硬件、固件和软件进行管理,并 缺乏配置管理策略
存在易受攻击的漏洞。
访问控制的实施取决于策略对角色、职责和授权的正确建模。策略模型必须按照机构运转的模 缺乏适当的访问控制策略
式加以构建。
认证策略中需要定义认证机制(例如口令、智能卡等)的使用时机、使用强度和维护方式。如
果没有指定认证策略,系统可能不会实施适当的身份认证控制,从而导致系统未授权访问的可 缺乏适当的身份认证策略
能性提高。考虑到工业控制系统及其工作人员处理复杂口令和其他认证机制的能力,认证策略 应该作为工业控制系统安全的一部分加以制定。
关键部件缺乏冗余配置 关键部件缺乏冗余可能导致单点故障。
11
- 架构与设计脆弱性
表 4.2 架构与设计脆弱性检查表
脆弱性 描述
安全架构是企业架构的一部分,在工业控制系统架构设计之初,应该融合考虑。 在架构搭建与设计过程中未
考虑安全因素 在架构设计时需要解决用户识别与授权、访问控制机制实现、网络拓扑绘制、系统配置与完整
性机制实现等问题。
工业控制系统中的网络基础设施环境通常会根据业务和运营要求进行开发和改动,而此过程中
几乎没有考虑改动所带来的潜在安全风险。随着时间的推移,安全漏洞可能已经无意中带入到 不断进化的不安全架构
了基础设施中的特定部位,如果不修复这些漏洞,则会成为进入工业控制系统的后门,引入潜
在的攻击向量。
如果工业控制系统没有对安全边界做出明确定义,则无法确保对必要的访问控制进行正确的部 未定义的安全边界
署和配置,这可能导致对系统与数据的未授权访问及其他更多的问题。
对于控制流量和非控制流量而言有不同的要求,例如确定性和可靠性等,因此在单一网络中如 在控制网内传输其他无关流
果同时具有上述两种类型的网络流量,那么对网络进行配置以满足控制流量的要求将会很困难, 量
设计初期应该考虑隔离两者的流量通道。
在控制网络中使用非控制网 DNS和 DHCP等服务通常部署在 IT网络,如果在控制网络中使用将导致工业控制系统网络依 络中的服务 赖于 IT网络,而 IT网络并不具备工业控制系统所需要的可靠性和可用性。
取证分析取决于是否收集并保留了足够的历史数据。如果数据收集方式不妥当或者不正确,则 历史数据收集不完善 可能无法分析出导致发生安全事件的原因。而如果事件被忽视,则会导致额外的损失或系统中断。
需要实施常态化安全监控,及时识别安全控制的问题,例如错误配置和故障等。
- 配置与维护脆弱性
表 4.3 配置与维护脆弱性检查表
脆弱性 描述
企业内部对自己拥有的软硬件及固件数量、类型、版本号、所处位置及补丁状态等信息掌握不 全面,从而导致无效防护的现状。
硬件、固件与软件缺乏配置
应实施对硬件、软件、固件和文档等对象的控制变更管理,以确保系统在整个过程中免遭不当 管理
或者不正确的改动影响。
为了对工业控制系统实施正确的保护,应该能够准确地列出系统中资产和当前配置信息。
由于工业控制系统软件和工业控制系统底层之间的紧密耦合,对于软件的改动必须经历代价高 修复漏洞的周期过长 昂、耗时甚多的全面回归测试。更新后的软件进行测试及后续分发过长的耗时则可能导致工业
控制系统在一段相当长的时间范围内存在漏洞。
过时的操作系统和应用程序可能包含新发现的可利用漏洞。应当为安全补丁的维护管理过程制 漏洞补丁管理无章法 定程序并形成文档。对于使用过时操作系统的工业控制系统,甚至可能没有厂家能够提供可用
的安全补丁。在这种情况下,处理程序中应包含与之对应的漏洞缓解应急计划。
对于已经部署的硬件、软件和固件改动,如果未对其进行完善地测试则可能会影响工业控制系 统的正常运行。
针对安全变更的测试不完善
应当制定程序形成文档,保证对可能带来安全影响的所有改动进行测试。 针对实时业务系统不能开展测试的,需要联系系统厂商和集成商协调进行。
远程访问工业控制系统的原因很多,无论是厂商与系统集成商需要执行系统维护功能,还是工 远程访问控制机制薄弱 业控制系统工程师需要状态监控和生产管理,只要位于不同的地理位置,就需要对工业控制系
统进行远程访问。远程访问能力必须予以妥善控制,以防止工业控制系统的未授权个人访问。
配置不当的系统中会开放不必要的端口,用到不必要的协议。而不必要的功能则可能包含脆弱 配置方式不完善 性,从而增加系统所面临的整体风险。使用默认配置通常会暴露机器存在漏洞的服务,因此应
该对所有设置详细检查。
对于意外事件或者攻击者篡改配置信息的情况,应制订对工业控制系统配置信息进行恢复的程 未对关键配置信息进行存储
序,以保持系统可用性并避免数据丢失。还应制订对工业控制系统配置信息进行维护的程序并 或备份
形成文档。
- 物理环境脆弱性
表 4.4 物理环境脆弱性检查表
脆弱性 描述
不安全的物理端口 不安全的 USB接口、PS2 接口可能会导致未授权的连接,例如小型 U盘、键盘监控等程序等。
在考虑功能安全的前提下,如紧急关闭或重新启动等要求,对工业控制系统设备的物理访问应 未授权人员对物理设备的访
仅限必要的工作人员。对工业控制设备的不当物理访问可能会导致以下情况:数据和硬件失窃、 问
维护数据损坏、运行环境的未授权变更、物理数据链路连接中断、不可检测的数据截获。
控制系统的硬件易受到射频、电磁脉冲、静电放电、电压不足和电压尖峰的影响。受影响的范 射频、电磁脉冲、静电放电、
围涵盖了从指挥和控制系统的暂时中断到电路板的永久损坏等诸多后果。建议采取适当的屏蔽 电压不足和电压尖峰
防护措施,如接地、功率调节和浪涌抑制等保护措施。
如果关键资产没有备用电源,一般电力中断事故就会导致工业控制系统关闭,并可能造成其他 备用电源缺失
危险状况。电力中断还可能导致系统恢复到不安全的默认设置。
环境失控(如温度、湿度等)可能导致设备损坏。此时,有些处理器会停止工作以自我保护, 环境失控
有些处理器则会继续以小电压运行,但可能间歇性错误,持续重启甚至永久丧失执行能力。
- 产品开发过程脆弱性
表 4.5 产品开发过程脆弱性检查表
脆弱性 描述
工业控制系统软件可能无法对用户输入数据或者接收数据进行验证以确保其有效性。而无效数 数据验证不当
据可能会导致多种漏洞,包括缓冲区溢出、命令注入、跨站脚本和路径遍历等。
默认情况下未启用已安装的 随产品一起安装的安全功能如果未经启用或至少确认为处于禁用状态,那么这些安全功能则不 安全功能 会发挥任何作用。
软件中的身份认证、权限分
对组态和编程软件的未授权访问可能会损坏设备。 配和访问控制不完善
很多工业控制设备为了开发或者维护中方便读取日志或者调试,通常留有调试接口,且此接口 硬件研发中的调试接口暴露
一直保留至工业现场,对该接口的探索式攻击可能损坏设备或造成敏感信息泄露。
一些开发者为了方便发现错误,在发行版的软件中保留了调试版本的功能。基于方便调试的运 软件保留调试版本功能
维方法可能会被攻击者发现和利用,导致系统被控制。
- 通信与配置脆弱性
表 4.6 通讯与配置脆弱性检查表
脆弱性 描述
应当应用基于数据特征的数据流控制对系统之间传输的信息加以限制。数据流控制能够防止信 未采用数据流控制
息泄露与非法操作。
配置不当的防火墙可能允许不必要的数据进入网络,例如控制网络和业务网络,从而造成针对 未部署防火墙或者配置不当 内部网络的攻击和恶意代码在网络中传播,并导致敏感数据易被监视和窃取,以及个人对高权
限系统的未授权访问等问题。
防火墙及路由日志信息记录
日志信息记录不当或者不准确,可能导致无法确定安全事件发生的原因。 不完善
使用诸如 Telnet,FTP、HTTP 和 NTS 等协议进行数据传输,攻击者能够使用协议分析器或者 使用公开的明文传输协议 其他工具对传输的数据进行解码,以实现对工业控制网络活动的监控。使用上述协议使得攻击
者能够更加容易地对工业控制系统发起攻击并操作工业控制系统网络行为。
未采用身份认证措施或者不 许多工业控制系统协议在各个层次均未采用认证机制。如果未采用认证机制将很有可能导致数 标准 据重放、篡改或欺骗,还会导致设备欺骗,如传感器和用户身份标识符等设备。
工业控制系统协议通常只有很少的或者完全没有安全功能(如认证、加密等),因此难以保护 使用不安全的工业控制协议
数据免遭未授权访问或者协议数据篡改。此外,协议在实现过程中的错误也可能导致其他漏洞。
通信内容完整性检查机制缺 大多数工业控制协议中均未内置数据完整性检查,攻击者可以在不被发现的情况下操作通信数 乏 据。为了确保完整性,工业控制系统可以使用提供数据完整性保护功能的底层协议。
17
脆弱性 描述
无线客户端与接入点之间的 需要在无线客户端和接入点之间采用强相互认证,以确保客户端不会连接到攻击者部署的非法 认证机制不完善 接入点,并且确保攻击者无法连接到工业控制系统中的任何网络。
无线客户端与接入点之间的 应采用强加密机制保护无线客户端和接入点之间传输的敏感数据,确保攻击者无法实现对加密 数据保护措施不完善 数据的未授权访问。
\5. 风险场景构建
风险场景构建
构建风险场景有助于精准识别风险来源,描述与风险相关的各个向量。风险场景的模型见下图所示。
业务 目标
威胁源 
影 响 威胁
攻击向量 后 果
事件
目标对象
图 5.1 风险场景
威胁事件(攻击事件)包含以下几个要素:威胁源,对脆弱性加以利用的攻击向量,存在脆弱性的 目标对象。
为了构建风险场景,需要将以上场景进行拆解分析,从威胁评估,攻击向量评估、威胁事件构建、 风险场景构建依次渐进展开,得到最终的风险场景。
5.1 威胁评估
威胁源是一个完整事件必不可少的因素,在进行威胁评估时,首先需要识别存在哪些威胁源,同时 分析这些威胁源的动机和能力。通常工业控制系统的威胁来源可分为非人为和人为的威胁,非人为安全 威胁主要指来自环境因素的威胁,人为的安全威胁从威胁动机来看,又可细分为非恶意行为和恶意攻击 行为。不同的威胁源具有不同的攻击能力,攻击者的能力越强,攻击成功的可能性就越大。衡量攻击能 力主要包括:施展攻击的知识、技能、经验和必要的资金、人力和技术资源等。
18
表 5.1 工业控制系统常见威胁源描述
威胁源 威胁动机及造成后果描述
环境因素 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪水、火灾、地震、意外事故等环境危害或自然灾害。
内部人员威胁包括组织内部人员、外聘运维人员、外购产品的供应商。
缺乏责任心、不关心或者不关注、没有遵循规章制度和操作流程、缺乏培训、专业技能不足、不具备岗 位技能要求而导致信息系统故障或被攻击。
内部人员
心存不满的内部员工是计算机犯罪的主要来源。内部攻击者了解目标系统,并具有一定的权限,往往被 允许不受限制的访问系统,而且比外部的攻击者有更多的攻击机会,因此不需要掌握太多关于计算机入 侵的知识,就可以破坏系统或窃取系统数据。攻击的成功率高。
黑客入侵网络是为了获得挑战的刺激或者在黑客世界里炫耀自己的能力。这类攻击者大多数不具备专业 黑客 技术能力,却可以从互联网上下载易于使用且破坏力强的攻击脚本和协议,向目标发起攻击。并且他们
的数量庞大,分布在全球,即使是孤立或短暂的攻击破坏,也会导致严重的后果。
居心不良的个人或组织通过制造并传播恶意软件对用户实施攻击。一些破坏性的恶意软件会损害系统文 恶意软件的作者
件或硬件驱动器、控制关键过程、开启执行程序以及控制系统所控制的设备等。
恐怖分子试图破坏、致瘫或利用关键基础设施来威胁国家安全,引起大规模人员伤亡,削弱国家经济, 恐怖分子 破坏民众的士气与信心。恐怖分子可能利用钓鱼网站和恶意软件来获取资金或搜集敏感信息,也可能会
佯攻一个目标以转移对其他目标的关注程度和保护力度
工业间谍 工业间谍通过暗中活动的方式企图获取有价值的情报资产和技术秘密。
组织严密,具有充足资金、人力和技术资源,而且可能在必要时实施高隐蔽性和高破坏性的分布式攻击, 境外国家力量
窃取组织核心机密或使工业控制系统全面瘫痪。
- 攻击向量评估
工业控制系统常见的攻击向量如下表所示:
表 5.2 工业控制系统常见攻击向量检查表
访问向量 可能的攻击向量
相邻的内部网络、被入侵的双宿主网络、互联网(云、多租户环境)、WIFI以及其他无线电连接方式, 网络
如 HART、ZigBee、卫星链路等。
工业控制系统及设备 其他设备、控制器等。
网络服务端口;文件输入与插入;用户输入(包括本地应用程序与 Web 界面);数据输入,如库函数、 应用程序
动态链接库等。
USB接口、串口以及其他数据端口(SATA、HDMI、DisplayPort 等)。 物理访问
键盘或者鼠标输入(来自攻击者)。
访问向量 可能的攻击向量
通过电话或者人员直接进行基于社交工程学的互动。 人员 / 用户 电子邮件与社交媒体。
客户端应用程序,如电子邮件客户端、浏览器等。
芯片或者硬件篡改。 供应链
应用程序或固件代码篡改。
- 威胁事件构建
工业控制系统常见的威胁事件如下 :
表 5.3 工业控制系统常见威胁检查表
资产类别 攻击类型
VLAN跃进或跳跃。 网络设备 生成树协议攻击。
MIB读、写。
源代码篡改。 规范化攻击。
Web 服务端
服务器扩展攻击。 文件包含(本地和远程)。
JavaScript 活动脚本攻击。 Cookie 或会话窃取和劫持。 跨站脚本攻击。
Web 客户端
跨站请求伪造。
SQL注入。 跨框架或跨域攻击。
设备驱动程序攻击。
冷启动密码旁路。 主机 拒绝服务攻击。
口令提取、口令破解。
端口重定向。
内存损坏攻击。
释放后重用攻击。
缓冲区溢出攻击。 运行在设备上的应用程序 格式化字符串漏洞攻击。
输入验证攻击。
文件、页面文件交换攻击。
共享库和第三方库攻击。
网络钓鱼。 人员 / 用户 水坑攻击。
社交媒体攻击。
结合以上表格列举的常见攻击类型,构建出的威胁事件如下表所示(举例展示)。
表 5.4 PLC 设备威胁示例
项目 描述
威胁源 国家资助的攻击者 / 内部人员 / 前内部人员 / 恶意代码 攻击类型 栈缓冲区溢出
攻击向量 Web 界面 / 本地网络
脆弱性(漏洞) CVE-2016-0868
目标对象 Allen-Bradley MicroLogix1100
- 风险场景构建
常见的工业控制系统攻击手法常见案例:
威胁事件构建 
攻击手法刻画 
潜在后果
威 攻 脆 攻 目 胁 击 弱 击 标 源 向 性 类 对 量 型 象
图 5.2 风险场景构建要素与过程
22
以下为常见工业控制系统攻击手法刻画案例:
表 5.5 工业控制系统常见攻击方法
资产 / 系统 攻击手法刻画
通过扫描与枚举方法探测所使用的工业控制系统设备、工作站和协议。
通过网络嗅探获取认证信息。
通过嗅探数据包对其进行逆向分析获取工业控制系统协议信息。 工业控制系统网络
记录或重放工业控制系统网络流量以尝试更改设备行为。 注入数据或数据包以尝试更改设备行为。 伪造、欺骗工业控制系统网络数据包以尝试更改设备行为或者人机界面显示画面。
获取远程访问或者控制权限。 篡改、屏蔽控制器的输入或者输出行为。 修改配置以更改控制器行为。 修改控制算法以更改控制器行为。 修改动态数据以更改控制算法的结果。
控制器
修改 I/O 数据以更改控制算法的结果。 修改控制器固件以更改控制器行为。 使用欺骗性指令以更改控制器行为(通过网络协议)。 降级攻击、拒绝服务攻击。
持久驻留(恶意代码)。
权限提升。
获取远程访问或者权限。
复制或泄露敏感信息。
修改或删除信息(标签图形或 XML文件)。 工程师、操作员站 修改存储配置信息。
修改在线配置信息。
向控制器发送指令。
持续驻留(恶意代码)。
降级攻击、拒绝服务攻击。
迫使工作人员获取信息。 人员或用户
诱骗工作人员犯错或做出不当操作。
上表描述的仅为部分工业控制系统常见的攻击手法刻画,不包含全部工业控制系统或者全部攻击手 法,因为攻击手法随着攻击能力的增强而提高,也会根据所处环境的不同而有所变化。表中所列出的是 整个行业在报告中最常出现且接受程度较高的攻击手法刻画案例,可以作为风险场景构建的参考。
下表将列举主要工业控制系统遭受攻击的潜在后果案例,同样仅是列举常见的接受程度较高的案例。
除此外还需要考虑评估范围内的 IT资产如路由器、交换机等,这部分需要参考其他方面的文档。
表 5.6 工业控制系统遭受攻击的影响
目标对象 潜在后果
控制器处于故障状态。
工厂陷入混乱状态或停工。
过程退化、过程故障。 控制器
过程控制中断。 过程图像中断。 各类数据损坏无参考价值。
工厂陷入混乱或停工。
工厂启动延迟。
机械损坏或被蓄意破坏。 操作员图像界面的未授权操作。
过程操作的不当响应。 工业控制系统数据库的未授权改动。
工程师 / 操作员站 临界状态、报警阈值的未授权改动。
存在缺陷的固件未授权分发。 工业控制系统设备的未授权启动、关闭。 过程、工厂信息泄露。 工业控制系统设计或应用程序认证信息泄露。 工业控制系统访问控制机制的未授权改动。 对大多数工业控制系统资产的未授权访问(跳板攻击)。
对过程或批处理记录的操作。 认证信息泄露(业务、控制)。
工业实时历史数据库
对其他资产的未授权访问(MES、ERP 等的跳板攻击)。 对其他业务资产的未授权访问(跳板攻击)。
工厂停工。
装备损坏或被蓄意破坏。
环境影响。
功能安全系统
人身伤亡。
产品质量下降。
公司声誉受损。
分析仪及管理系统 产品质量下降、生产损失、收入损失、产品召回等。
依照上述的工业控制系统常见攻击手法案例与潜在后果,联同威胁事件便可以展示一个基本的风险 场景。如下表:
表 5.7 PLC 设备风险场景示例
项目 描述
威胁源 国家资助的攻击者 / 内部人员 / 前内部人员 / 恶意代码 攻击类型 栈缓冲区溢出
攻击向量 Web 界面 / 本地网络
脆弱性(漏洞) CVE-2016-0868
目标对象 Allen-Bradley MicroLogix1100
执行任意代码。
攻击手法 获取完整的控制权限。
修改配置以改变过程行为。 控制器处于故障状态。
过程控制中断。
潜在后果 过程故障。
数据信息受损。 装备损坏或被蓄意破坏。
表 5.8 工程师站风险场景示例
项目 描述
威胁源 国家资助的攻击者 / 内部人员 / 前内部人员 / 恶意代码
攻击类型 内核模式驱动攻击导致的内存损坏。
攻击向量 在 web 界面通过以下方式打开恶意文件:USB/ 网络 / 邻接网络 / 互联网。 脆弱性(漏洞) CVE-2016-0005/CVE-2016-0008/CVE-2016-0009
目标对象 运行 Windows 7 SP1 及 IE浏览器的工程师站 PCDENG-0024。
执行任意代码。
获取管理员控制权限。
攻击手法 利用跳板实施对其他工业控制系统的资产攻击。
对操作员图像界面的未授权操作。 获取其他工业控制系统资产的直接控制权限。
机械损坏或被蓄意破坏。; 对过程操作的不当响应。
潜在后果 临界状态、报警阈值的未授权改动。
工业控制系统未授权启动、关闭。 对工业控制系统资产的未授权访问(跳板攻击)。
26
如果将工程师站添加进 PLC设备的风险场景中,就会形成新的攻击向量,完成更加明晰的攻击路径 分析与推演。如下表所示:
表 5.9 带有关联攻击向量的 PLC 设备风险场景示例
项目 描述
威胁源 国家资助的攻击者 / 内部人员 / 前内部人员 / 恶意代码 攻击类型 栈缓冲区溢出
攻击向量 Web 界面 / 本地网络 / 工程师站 PCDENG-0024 脆弱性(漏洞) CVE-2016-0868
目标对象 Allen-Bradley MicroLogix1100
执行任意代码。
攻击手法 获取完整的控制权限。
修改配置以改变过程行为。
控制器处于故障状态。
过程控制中断。 潜在后果 过程故障。
数据信息受损。
装备损坏或被蓄意破坏。
因此,在大多数情况下,将存在已知漏洞的资产或者同危险系数较高资产存在关联关系的资产列举 为攻击向量是很有必要的。至此,已经初步完成了工业控制系统中针对目标对象的风险场景构建,但整 个评估过程中不仅要跟踪单个资产的每个风险场景,还要建立这些风险场景之间彼此关联的整体关系, 形成一个整体架构范围内的风险场景矩阵,从而使分析人员能够站在更加全面地角了解整体的攻击面 及其安全状态。
\6. 风险计算与缓解策略
风险计算与缓解策略
风险场景建立后就明确了目标对象所面临的的风险点,但是如何计算各个风险场景的对应估值,并 且通过针对高风险点的风险场景有策略地实施防护部署来降低风险,下面将会进行分析。
首先了解风险计算模型,如下图所示:
业务 目标
威胁源 
威胁
攻击向量 后 果 影 响
事件
目标对象
风险 可能性
评估
图 6.1 风险计算模型
风险场景都需要进行量化评估。这一过程使用诸如通用漏洞评分系统(CVSS)之类的量化工具来 完成。在得到每个风险场景的量化估值后,针对高风险等级的场景 , 还需要结合经济成本、技术成本等 各个要素确定适合的对抗策略与部署方案,以降低风险值,从而保证整个系统的风险值在可接受的范围。
6.1 风险计算
风险计算的本质是针对风险场景,按照一套参与项目人员均认可的标准,给出一个数值,并按照数 值进行优先级排序。因此风险计算的方法只要符合以上要素,尽可能选取可接受、简单易操作、无繁杂 运算的方法才是最有效的方法。
区别于其他安全评估计算方法,本部分从目标对象、脆弱性、风险场景的可能性、 影响四个维度出 发提出一种简便的方法,结合简单公式计算得出风险估值。
下表列举出风险场景评分的标准要素:
28
表 6.1 风险场景评分要素
评分维度 描述
在安全评估的资产评估阶段确定出每项资产或系统的关键性评分,可参考风险资产预筛阶 目标对象 =>关键性
段的等级排序。
脆弱性(漏洞)=> 严重性 在安全评估阶段脆弱性评估中确定漏洞的严重性,通常借助 CVE发布的漏洞公告进行评级。 风险场景 =>可能性 使用 CVSS工具时效度量指标评分(可利用性)进行评估。
后果所造成的影响 在系统评定阶段确定每个系统对应的影响评分。
通常使用标准的 CVSS评分对漏洞严重性进行评级,评级结果为 1~10。目标对象关键性、风险场 景的可能性和影响取值范围为 1~5。假设在风险评分过程中对每个要素赋予相同的权重,则总体风险评 分的取值介于 1~10 之间,可以使用以下公式进行风险计算:
严重性+[(关键性×2)+(可能性×2)+(影响×2)] 风险值 = 
4
风险值(也指风险评分)的计算并非只有一种方法,以上只是提出的一种简单易用无繁杂计算的方法。 用户可使用符合自己需求的任意计算公式,并且对要素权重根据实际情况进行赋值。
根据以上计算公式可对前述 查找脆弱性(漏洞)的评分为 资产关键性经过评分定级为 风险场景发生的可能性经过评估为 风险发生后产生的影响经过评估为
PLC设备风险场景进行评分计算: 9.8,因此严重性赋值为 9.8。
3,因此关键性赋值为 3。
2.5,因此可能性赋值为 2.5。 3,因此影响赋值为 3。
9.8+[(3×2)+(2.5×2)+(3×2)] 风险值 = 
=6.7
4
至此完成了风险场景的构建与评分,如下表所示,其中列举出了存在漏洞的资产、与资产关联的漏 洞和攻击向量、威胁源及其攻击方式、潜在后果和影响,并对这些内容进行了评分。接下来讨论如何制 定风险的缓解措施。
表 6.2 应用风险评分实例
项目 描述
威胁源 国家资助的攻击者 / 内部人员 / 前内部人员 / 恶意代码 攻击类型 栈缓冲区溢出
攻击向量 Web 界面 / 本地网络 / 工程师站 PCDENG-0024 脆弱性(漏洞) CVE-2016-0868
目标对象 Allen-Bradley MicroLogix1100
执行任意代码。
攻击手法 获取完整的控制权限。
修改配置以改变过程行为。
控制器处于故障状态。
过程控制中断。
潜在后果 过程故障。
数据信息受损。
装备损坏或被蓄意破坏。 脆弱性验证程度:9.8 资产关键性:3 风险发生可能性:2.5 影响:3 风险值:6.7
6.2 风险缓解策略制定
工业控制系统的风险缓解策略制定时建议综合以下几个方面进行考虑:
- 与 IT网络的异同点。
- 从攻击发生的三要素出发。
- 其他方面出发。
6.2.1 与 IT网络异同点
从网络、主机、物理访问三个方面探讨工业控制系统需要考虑的特殊情况。
表 6.3 基于网络的工业控制系统特殊考虑点
特殊考虑点 描述
内部地址空间用法 在工业控制系统环境中请勿使用仅通过互联网就可路由到的 IP 地址。 隔离网络 物理隔离并不意味着不受攻击。
工程师站经常会连接到工业控制网络和其他网络如业务网,但这种配置往往会削弱安全防 双宿网络
护措施,例如网络隔离可能会受到双宿网络的影响。
数据网络与控制网络的通信路
应该严格限制对工业控制系统的访问,工业控制系统资产和设备也应禁止访问互联网。 径
在网络中部署工业防火墙、IDS 等设备,但过于严格的安全措施有可能对生产环境带来不 网络安全设备
利影响。
联网的工业控制设备 基于 IP 协议的工业控制设备在设计上安全性不强,无法经受传统 IT环境下的测试。
应用程序包含了许多潜在可利用的漏洞,或者可能削弱其他安全策略的设计特性,如某些 联网的工业控制应用程序
程序会请求防火墙开放大范围端口以保证程序数据通过防火墙。
表 6.4 基于主机的工业控制系统特殊考虑点
特殊考虑点 描述
大多数工业控制系统无法像 IT系统经常定期更新补丁,此外补丁程序也需要经过厂商的许 补丁策略
可,以免给工业控制系统及其设备带来负面影响。
主机重启的周期需要按照计划安排进行,由于补丁更新后经常会要求重启,而大多数工业 重启计划
控制系统资产不能像传统 IT资产一样可以频繁重启或者临时重启。
工业控制系统的主机及设备中包含对于安全过程、生产监管报告而言非常关键的数据,确 备份策略
保采用适当的方式对这些数据进行定期备份。
工业控制系统应用程序对于其所在主机中安装的操作系统与补丁包非常敏感,并且安装过 主机部署方式
程必须严格按照厂商建议进行。
系统正常运行时间和可用性对于工业控制系统环境来说非常重要。确保拥有有效的故障转 故障转移程序
移机制和程序是防止被入侵的主要系统遭受拒绝服务式攻击的重要防护手段。
在难以定期更新和升级的工业控制系统中,熟悉所使用的操作系统对于制定风险缓解策略 使用的操作系统 来说非常重要。例如了解环境中使用的操作系统版本中存在的漏洞,尤其是那些已经停止
维护的操作系统,如 Windows XP。
32
表 6.5 基于物理访问的工业控制系统特殊考虑点
特殊考虑点 描述
对工业控制系统环境运行非常关键的 IT/ 非 IT基础设施应当设置权限。 对操作间的出入口上锁。
对部署设备的机柜上锁。
物理设备部署
设置工业控制系统设备的物理访问权限。
设置工业控制系统 IT计算机的物理访问权限。
使用双因子认证感应卡。
- 从攻击发生三要素出发
一次成功的攻击三要素包含威胁、利用工具、脆弱性(漏洞)。类比于灭火,只要去掉燃烧中的任 一要素即可灭火,那么只要去掉攻击中的任何一个要素就可以降低遭受攻击的风险。
完全清除现实中的漏洞利用工具是不可能的,但是了解实施哪些措施以及如何部署这些措施最有效, 能够帮助用户抵御风险或者将风险降为最低还是有意义的,了解工具的原理及其利用的依赖点就可以有 针对性的部署抵御措施。
完全清除威胁也是不可能的,除了内部威胁还有大量的外部威胁。面对这样的威胁,简单的清除思 路是行不通的。然而了解这些威胁的运作方式,研究威胁机构的活动目标等信息,则可以帮助用户了解 攻击者会在什么时候采用什么方式发起攻击,从而实现针对风险的最优化防御部署。
阻止对漏洞的利用是在攻击三要素场景中唯一可真正控制的因素了。清除漏洞主要有以下方法。
表 6.6 清除漏洞的方法
方法 具体细节
限制权限配置,利用最小权限和最小路由理念实施。 应用程序或进程白名单或黑名单技术。 工业控制系统网络协议监测。
限制对系统或漏洞的访问 部署连接中央控制区与现场区域的工业控制系统堡垒主机。
在 IT系统与工业控制系统之间部署单向网关。 电子邮件和文件的访问限制。 物理环境的访问限制、接口访问限制。
软件程序修复。
系统补丁更新。
清除漏洞
防病毒软件部署。
不安全配置项修复。
- 其他方面
除了几个明显的直接与工业控制系统安全相关的影响因素或解决思路外,还有一些经常被忽的情 况,在此也将该部分内容引出 ,期望为用户带来缓解风险的更多思路。
- 系统集成问题
安全是一个整体 , 安全问题可能是各个子系统协同工作时引起的。
- 合规性与安全性
合规不等于安全。假设某项安全措施对整个系统很重要 . 但监管标准未作出相应的要求 . 那么对 于工控安全团队来说 ,很难获得资金支持来部署相应的设备。
- 风险转移 风险处置机制的一种经典方式是与其他实体分担风险(风险转移)。
- 部署蜜罐
当攻击者扫描存在漏洞的资产时 ,已部署的蜜罐有助于迅速发现入侵者 ,并迅速开展应对措施 ; 同样也对事后的取证和立案提供帮助 ; 还可以研究黑客的攻击手法 ,有助于研究入侵的特征码 , 从而集成进入侵检测系统。
- 风险缓解策略制定步骤
结合目标对象和制定风险缓解策略时考虑的因素,给出针对风险的缓解策略可执行的参考步骤如下:
制定针 对每 对方案 的 比较缓 解 通过已 知 选择最 优 部署缓 解 个风险 场景 成本进行 成本与入 侵 数据,回 答 缓解方案 方案 的多个缓解 估算 影响损失 系列问题
方案
图 6.2 缓解策略执行步骤
31
通过已知数据需要回答的问题包含:
- 总预算数额?
- 哪些是最关键且最易于暴露的资产?
- 入侵产生的总体成本或影响如何?
- 入侵成功的可能性有多大?
- 风险缓解的成本会超过风险带来的损失吗?
34
\7. 验证与测试
验证与测试
通常安全评估过程在制定了对应的缓解措施和安全建议后就告一段落,但这个流程在闭环体系中是 存在问题的。
构建了风险场景,场景的问题是否一定存在? 制定了缓解措施或者安全建议,这些建议是否奏效?
这些都无从确认,即针对整个过程缺乏验证,没有测试验证的方案与建议都是自说自话,不能构成 闭环反馈。因此验证测试环节在整个安全评估流程中是必不可少的。
目标定义与 资产评估
系统评定
业务/运营目标定义 资产识别 系统评定 资产分类
系统分类 网络拓扑审查 数据流审查
风险资产预筛
脆弱性评估 风险场景构建
安全策略脆弱性 威胁评估 架构与设计脆弱性 攻击向量评估 配置与维护脆弱性 威胁事件构建
物理环境脆弱性 风险场景构建 产品实现的脆弱性
通信与网络脆弱性
风险估算与 验证与测试
防护部署
风险计算 渗透测试 防护措施制定 (组件测试、 防护措施排序 系统测试)
图 7.1 安全评估流程图
针对风险场景构建阶段的测试与验证的目的是通过测试验证风险场景,了解并预测脆弱点被利用的 难易程度以及发起攻击的可能性,从而提高风险缓解策略的针对性与效率。
针对风险计算与缓解策略部署阶段的测试与验证的目的是通过测试验证缓解策略的部署判定是否可 抵御对应的攻击类型,是否起到了预期的作用。如果没起到作用证明该缓解策略或者方案是失败的,也 可以理解为修改 BUG后的回归测试。
例如针对 PLC 设备风险场景构建示例中,在构建完成后要验证现场使用的 Allen-Bradley MicroLogix1100 设备是否真正存在该漏洞,是否可以将工程师站点作为跳板访问 PLC,是否能执行任 意代码或者获取控制权限等问题。
当完成风险缓解策略制定后,需要验证应用了缓解策略或者部署防御方案后是否还可以访问到 Allen-Bradley MicroLogix1100 设备,这个设备是否已经不存在评估中的漏洞,是否不再能任意执行代 码等。再次重新对风险场景进行评分计算,核查最优策略与方案是否明显降低了风险值。
只有添加了测试与验证这个环节,并且将这个环节贯穿至整个安全评估的重点过程中,才可以构成 闭环,才可以说安全评估做的较为到位。
35
\8. 工业控制系统安全标准
工业控制系统安全标准
标准是促进全球贸易、技术、环境、社会等可持续发展的重要支撑,是各国参与国际规则制定的重 要途径,是一种层次更深、水平更高、影响更大的竞争。网络安全标准的竞争更是明显,谁占据了网络 安全标准的制高点,谁就可以在网络安全博弈中赢得先机、掌握主动。因此在阐述了安全评估流程后很 有必要就工业控制系统的国内外标准做以梳理,以澄清现在整个行业的标准现状。
8.1 国外工业控制系统标准概述
国外工业控制系统相关的网络安全标准比较多,欧美等国家从地区或者不同角度来阐述对工业控制 系统网络安全的要求和主张,近年来针对工业控制系统的安全标准数量正在显著增加。与工业控制相关 的安全标准主要包括以下:
- 美国国家标准与技术研究院(NIST)制定的工业控制系统安全指南(NIST SP800-82)。
- 国际自动化协会 / 国际电工委员会制定的 IEC 62443《工业过程测量、控制和自动化网络与系 统信息安全》系列标准。
- 北美电力可靠性委员会(NERC)制定的关键设施保护可靠性标准,北美大电力系统可靠性规范 (NERC CIP 002–009)。
- 美国石油协会(API)制定的管道 SCADA安全(API1164)和石油工业安全指南。
- 美国国土安全部(DHS)制定的化工设备反恐主义标准,及中小规模能源设施风险管理核查事 项等。
- 美国核能管理委员会(NRC)制定的核设施网络安全措施(RegulatoryGuide5.71)。
- 美国核能研究所(NEI)制定的 08-09 标准。
- 美国国家标准与技术研究院(NIST)制定的网络安全框架和 NIST SP 800-53 建议。
- 欧盟安全标准有 M/490 标准化要求(EUM/490)和智能电网协调小组(SGGG)对现代电力系 统提出的指南建议。
- 欧盟网络与信息安全局提出的多项指南。
被广泛认可且普遍应用的安全标准有 NIST SP800-82、IEC 62443 和 NERC CIP。其中 NIST SP800-
82、IEC 62443 应用在所有使用工业控制系统的行业中,而 NERC CIP主要应用在电力行业、石油与天 然气行业。
NIST SP 800-82 工业控制系统(ICS)的安全指南,其目的是为工业控制系统(ICS),包括监控和 数据采集系统(SCADA)、分布式控制系统(DCS),以及其它系统的控制功能提供指导。文件提供了 一个概述,ICS和典型系统拓扑结构,确定这些系统的典型威胁和脆弱性,并提供建议的安全对策,以 减轻相关风险。其中主要内容包括:
- 对工业控制系统威胁和漏洞的更新。
- 对工业控制系统风险管理、实践建议及架构更新。
- 对工业控制系统安全中当前活动的更新。
- 对工业控制系统中安全功能和工具的更新。
- 与其他工业控制系统安全标准和指南保持一致的相关调整。
NIST SP 800-82 指南是许多使用工业控制系统企业安全标准的基线,并且被很多其他出版物广泛引 用。该标准自创建以来,经过漫长的演变至今已发展成为一项较为全面地工业控制安全标准,是很有价 值的参考资料。
IEC-62443 标准的全称是“工业过程测量、控制和自动化与系统信息安全”, 业过程测量、控制和自动化”的标准过程中,遇到了网络安全的问题,因此在 SC65C/WG13 工作组研究制定工业控制系统的网络安全标准问题。 WG10 工作组,专门进行“系统及网络信息安全”的标准制定工作,并在 62443 的标准。
IEC/TC65 在制定“工 2003 年 9 月成立了 IEC/
IEC在 2005 年成立了 IEC/TC65/ 2006 年第一次发布 IEC-
IEC-62443 标准的中心思想是如何对工业控制系统的产品开发、产品集成、实施和运维等全生命周 期环节中实现和评价相关角色的网络安全能力。IEC-62443 的重点不是安全技术,而是对安全能力的评 估,所以其核心内容是“网络安全保证等级 SAL”的评价模型。
通 ISA-62443-1-1
技术、概念与模型 用
策
略 ISA-62443-2-1 与 IACS信息安全 程 管理系统要求 序
ISA-TR62443-1-2
主要术语及 缩写词汇表
ISA-TR62443-2-2
IACS信息安全 管理实施指南
ISA-TR62443-1-3 系统信息安全 合规性度量
ISA-TR62443-2-3 IACS环境下 补丁管理
ISA-TR62443-1-4
IACS信息安全 生命周期及用例
ISA-TR62443-2-4 IACS制造商
信息安全与维护要求
系
统 ISA-62443-3-1 ISA-TR62443-3-2 ISA-TR62443-3-3 技 技术、概念与模型 区域和管道 与系信统息信安息全安保全障要等求级 术 信息安全保障等级
组
件 ISA-62443-4-1 IS对A-ITARC6S2产44品3-的4-2 技 技术、概念与模型 信息安全技术要求
术
图 8.1 IEC-62443 标准体系组织结构 IEC-62443 标准的主要内容有 4 个部分:
- IEC-62443-1 系列:主要是概念和模型的定义,包括安全目标、风险评估、全生命周期、安全 成熟度模型。尤其是基于 7 个基本要求(FR)的安全保证等级(SAL),从 7 个 FR 方面将系 统的网络安全能力定义为 SAL的 4 个等级。
- IEC-62443-2 系列:主要是讲在集成和实施、运维中如何实现网络安全,目标对象主要是集成商、 服务商和业主的安全能力。包括在工业控制系统中如何部署网络安全、如何进行补丁管理,以 及安全策略和操作规程。
- IEC-62443-3 系列:主要阐述产品级的系统集成如何实现网络安全,包括产品系统集成的安全 工具、技术措施等如何去满足安全保证等级,目标对象主要是产品级的系统集成商。
- IEC-62443-4 系列:主要是单个产品或者独立组件如何实现网络安全,包括具体产品开发和技
术设计上的网络安全要求,比如主机、嵌入式装置等,目标对象是单个产品或者独立组件的制 造商和供应商。
IEC-62443 标准的网络安全保证等级(SAL)的评价模型如下:
- SAL分为 4 种类型:目标 SAL、设计 SAL、达到 SAL、能力 SAL。分别对应全生命周期的不同阶段。
- SAL的 4 个等级:SAL1:抵御偶然性的攻击;SAL2:抵御简单的故意攻击;SAL3:抵御复杂 的调用中等规模资源的故意攻击;SAL4:抵御复杂的调用大规模资源的故意攻击。
- SAL的评价值的矢量模型:FR { IAC、UC、DI、DC、RDF、TRE、RA},其中,IAC为标识与鉴别控制, UC为用户控制,DI为数据完整性,DC为数据保密性,RDF为受限制的数据流,TRE为事件实 时响应,RA 为资源可用性。
NERC-CIP全称为“北美关键基础设施保护”,NERC北美电力可靠性委员会是非营利性监管机 构,职责在于开发并执行可靠性标准,保障电网可靠性。NERC职责范围在北美大陆,包括美国、加拿 大、墨西哥,NERC受美国联邦政府、加拿大政府的监管。NERC在 2006 年发布了 CIP。NERC-CIP 在 2007 年得到美国 FERC(联邦能源监管委员会)的批准,成为美国法规,成为北美通行标准。
NERC-CIP是 NERC对关键基础设施的安全保护规定,主要是针对电网运营的功能实体责任实体, 具体实体可以包括:电力资产业主、电力传输运营商、设备运营商、设备和系统制造商、系统集成服务 商、电网结算单位等。
NERC-CIP的目标是保障电网的可靠性安全性,网络安全是其主要内容,但不是全部,即使是其中 的网络安全,也不仅仅是狭义上的技术上的网络安全,范围要更加宽一点。
标准的主要内容包括技术和管理的要求、监督执行两个层面:
- 技术和管理的要求:对产品和系统的电子安全边界的设计和实现、物理访问的识别和监控、端 口信息保护、漏洞的检查和管理、日志记录、事件的报告和响应机制、备份和恢复规划、变更 的管理、脆弱性评估、供应链管理等,以及人员意识、培训制度、文档资料。
- 监督执行:明确适用对象、责任主体、监管机构、证据要求、评估流程、违规程度评价等。
8.2 国内工业控制系统标准概述
在国内,自 2010 年前后已陆续开展工业控制系统信息安全相关标准的研究制定工作。截至目前, 全国已有多个相关标委会开展了该领域标准执行工作。全国工业过程测量和控制标准化技术委员会从自 动化领域入手,借鉴 IEC62443 等系列标准,研究制定了《工业通信网络 -网络和系统安全 -第 2-1 部分: 建立工业自动化和控制系统信息安全程序》、《工业控制系统信息安全 第 1 部分:评估规范》、《工 业控制系统信息安全第 2 部分:验收规范》等工业控制系统的安全标准。
全国信息安全标准化技术委员会(TC260)作为全国信息安全领域标准化归口组织,管理全国信息 安全领域的相关国家标准化工作。截至目前,已发布《信息安全技术 工业控制系统安全控制应用指南》 等相关国家标准。
部分国内工业控制系统标准如下表所示。
表 8.1 国内部分工业控制系统标准
序号 名称
1 《工业控制系统信息安全 第 1 部分:评估规范》
2 《工业控制系统信息安全 第 2 部分:验收规范》
3 《工业控制系统信息安全防护指南》
4 《信息安全技术 工业控制系统安全控制应用指南》
5 《信息安全技术 工业控制系统安全分级规范》
6 《信息安全技术 工业控制系统安全检查指南》
7 《信息安全技术 工业控制系统安全管理基本要求》
8 《信息安全技术 工业控制系统风险评估实施指南》
9 《信息安全技术 工业控制系统产品信息安全通用评估准则》
10 《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》
11 《信息安全技术 工业控制系统网络监测安全技术要求和测试评价方法》 12 《信息安全技术 工业控制系统漏洞检测技术要求及测试评价方法》
13 《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》 14 《信息安全技术 工业控制系统网络审计产品安全技术要求》
15 《信息安全技术 工业控制系统专用防火墙技术要求》
16 《信息安全技术 工业控制系统入侵检测产品安全技术要求》
17 《信息安全技术 数控网络安全技术要求》
43
序号 名称
18 《信息安全技术 工业控制系统测控终端安全要求》 19 《集散控制系统(DCS)安全防护要求》
20 《集散控制系统(DCS)安全管理要求》
21 《集散控制系统(DCS)安全评估指南》
22 《集散控制系统(DCS)风险与脆弱性检测要求》 23 《可编程逻辑控制器(PLC)系统信息安全要求》 24 《电力监控系统安全防护规定》
25 《电力监控系统安全防护总体方案》
26 《电力行业信息系统安全等级保护基本要求》
27 《电力行业信息系统安全等级保护基本要求》
28 《石油化工工厂信息系统设计规范》
29 《核电厂安全系统 第 1 部分 设计准则》
30 《核电厂安全系统中数字计算机的适用准则》
31 《烟草工业企业生产网与管理网网络互联安全规范》 32 《烟草行业工业控制系统网络安全基线技术规范》
选取部分标准做以简单概述。
《工业控制系统信息安全 第 1 部分:评估规范》作为我国工业控制安全第一个有内容的国家标准, 解决了我国工业控制安全无标准可依的窘境。《评估规范》分为管理评估和系统能力(技术)评估。管 理评估宜对照风险接受准则和组织机构相关目标,识别、量化并区分风险的优先次序。风险评估的结果 可指导并确定适当的管理措施及其优先级,评估风险和选择控制措施的过程需要执行多次,以覆盖组织 机构的不同部门或各个工业控制系统。管理评估分三个级别、系统能力(技术)评估分为四个级别。信 息安全等级由系统能力等级和管理等级二维确定。
《工业控制系统信息安全 第 2 部分:验收规范》此标准解决了我国工业控制系统信息安全验收上的 空白,解决了验收有标准可依的困境。此标准的使用方是工业控制系统用户方,《验收规范》涉及到专 业的安全测试,除电力和石油石化等大部分用户方在能力上不足以完成验收阶段的安全测试。因此需要 借助第三方的测评力量来验收,就涉及到项目预算增加的问题。因此在做标准宣贯时,需要在立项阶段 就考虑验收标准和费用的问题。
《信息安全技术工业控制系统安全检查指南》规定了工业控制系统信息安全检查的目的、范围、方式、 流程、方法和内容,适用于开展工业控制系统的信息安全监督检查、委托检查工作,同时也适用于各企 业在本集团(系统)范围内开展相关系统的信息安全自检查。
《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》规定了工业控制网络安全隔 离与信息交换系统的安全功能要求、安全保障要求和安全等级划分要求,适用于工业控制网络安全隔离 与信息交换系统的设计、开发及测试。
《信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法》规定了针对工业控制系统的 漏洞检测产品的技术要求和测试评价方法,包括安全功能要求、自身安全要求和安全保障要求,以及相 应的测试评价方法,适用于工业控制系统漏洞检测产品的设计、开发和测评。
《信息安全技术工业控制系统产品信息安全通用评估准则》定义了工业控制系统产品安全评估的通 用安全功能组件和安全保障组件集合,规定了工业控制系统产品的安全要求和评估准则,适用于工业控 制系统产品安全保障能力的评估,产品安全功能的设计、开发和测试也可参照使用。
《信息安全技术工业控制网络监测安全技术要求及测试评价方法》规定了工业控制网络监测产品的 安全技术要求和测试评价方法,适用于工业控制网络监测产品的设计生产方对其设计、开发及测评等提 供指导,同时也可为工业控制系统设计、建设和运维开展工业控制系统安全防护工作提供指导。
信息安全标准是我国信息安全保障体系的重要组成部分,工业控制系统信息安全是国家网络安全的 重要组成部分,在工业控制安全国家标准制定中,需要信息安全专家、工业控制专家、行业专家等多领 域专家共同参与,才能真实反映既符合网络安全要求又符合工业控制现场现状。
了解整个国内外工业控制系统的安全标准和相关法规,对于制定整体安全策略至关重要。但是这些 标准和法规只应该作为基本的安全基线,在参照的基础上真正的结合风险场景与成本预算和各类安全措 施,制定出经济、高效、持久的安全策略与措施才是企业真正的需求。
2398
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
