工业控制系统安全指南 NIST SP800-82

Size: px

Start display at page:

Download "工业控制系统安全指南 NIST SP800-82"

了道於
5 years ago
Views:

1 工业控制系统安全指南 NIST SP800-82

2 目录摘要简介管理机构目的和范围读者文档结构工业控制系统概述 SCADA,DCS,PLC 的概述 ICS 的操作主要 ICS 元件控制元件网络组件 SCADA 系统分布式控制系统 (DCS) 可编程逻辑控制器 (PLC) 工业部门和他们的相互依存性 ICS 特性, 威胁和脆弱性 ICS 和 IT 系统的比较威胁 ICS 系统潜在的脆弱性策略和程序方面的脆弱性平台方面的脆弱性网络方面的脆弱性风险因素标准的协议和技术网络连接扩大不安全和恶意的连接公开的信息安全事件举例安全事故来源收录的安全事件内部有目标攻击事件无意特定目标的攻击事件内部无明确攻击目标的事件 ICS 系统安全程序开发与部署业务影响分析收益潜在影响业务影响分析的关键组成部分... 55

3 4.1.4 业务影响分析的资源向领导介绍商业案例开发一套综合的安全程序文件高层管理者的支持建立和训练一支跨职能的团队定义纲领和范围定义 ICS 详细的安全策略和程序定义 ICS 系统和网络资产清单目录进行漏洞与风险评估定义风险缓解控制措施提供培训机会, 加强安全意识网络结构防火墙逻辑分割控制网络网络隔离双宿主机 / 两个网络接口卡办公网和控制网络之间的防火墙办公网和控制网络之间的防火墙和路由器办公网和控制网络之间带 DMZ( 隔离区 ) 的防火墙办公网和控制网络之间成对的防火墙网络隔离总述深度防御架构 ICS 普遍的防火墙策略针对特定服务的防火墙规则域名系统超文本传输协议 (HTTP) FTP 和 TFTP Telnet 简单邮件传输协议 (SMTP) 简单网络管理协议 (SNMP) 分布式对象组件模型 (DCOM) SCADA 和工业协议网络地址转换 (NAT) ICS 和防火墙的一些具体问题海量数据记录系统远程登录组播单点失败冗余和容错预防中间人攻击 ICS 安全控制管理控制安全评估和授权... 85

4 6.1.2 计划系统和服务获取程序管理操作控制人员安全物理及环境的保护应急预案业务持续预案灾害恢复计划参数管理维护系统和信息保存恶意代码攻击入侵检测和防护补丁管理介质保护事件响应意识和培训技术控制识别和授权密码授权挑战 - 应答鉴定物理标志授权生物授权访问控制基于角色的访问控制 (RBAC) WEB 服务器虚拟本地局域网络 (VLAN) 拨号调制解调器无线审计系统和交流保护加密虚拟专用网络 (VPN)

5 摘要此文件提供建立安全的工业控制系统 (ICS) 的指导这些 ICS 包括监控和数据采集 (SCADA) 系统, 分布式控制系统 (DCS), 和其他控制系统, 如在工业部门和关键基础设施中经常可以看到的撬装式的可编程逻辑控制器 (PLC) ICS 通常用于诸如电力水和污水处理石油和天然气化工交通运输制药纸浆和造纸食品和饮料以及离散制造 ( 如汽车航空航天和耐用品 ) 等行业这些控制系统是美国关键基础设施运作的关键, 通常是高度相互关联和相互依存的系统要注意的是大约有 90% 的国家关键基础设施是私人拥有和经营的联邦机构也经营了上面提到的许多工业流程 ; 其他例子包括空中交通管制和材料处理 ( 例如, 邮政邮件处理 ) 本文提供了对这些 ICS 及典型系统技术的概述, 识别对这些系统的典型威胁和脆弱性, 并提供安全对策建议, 以减轻相关风险最初,ICS 与传统的信息技术 (IT) 系统几乎没有一点相似, 因为 ICS 是孤立的系统, 使用专门的硬件和软件来运行专有的控制协议而现在广泛使用的低成本的互联网协议 (IP) 设备正在取代专有的解决方案, 从而增加了网络安全漏洞和事故的可能性由于 ICS 采用 IT 解决方案以提升企业业务系统的连接和远程访问能力, 并被设计为可使用工业标准的计算机操作系统 (OS) 和网络协议, 它们已经开始类似于 IT 系统了这种集成支持新的 IT 能力, 但它为 ICS 提供的与外界的隔离明显比原先的系统少多了, 这就产生了更多的安全保护需求虽然在典型的 IT 系统中已经设计了安全解决方案来处理这些安全问题, 但是在将这些相同的解决方案引入 ICS 环境时, 必须采取特殊的预防措施在某些情况下, 需要为 ICS 环境量身定制的新的安全解决方案虽然有些特征是相似的,ICS 还有与传统的信息处理系统不同的特点这些差异来自于在 ICS 中的逻辑执行会直接影响物理世界这一事实这些特征包括对人类的健康和生命安全的重大风险, 对环境的严重破坏, 以及严重的财务问题如生产损失, 对一个国家的经济产生负面影响, 妥协的所有权信息 ICS 具有独特的性能和可靠性要求, 并经常使用的操作系统和应用程序可能对典型的 IT 人员而言被认为是标新立异的此外, 有时安全和效率的目标会与在控制系统的设计和操作中的安全性相冲突

6 最初 ICS 主要面对的是本地威胁, 因为它们的许多组件都连接在被物理保护的区域中, 并没有连接到 IT 网络或系统然而, 将 ICS 系统集成到 IT 网络中的趋势显著减少了 ICS 与外界的隔离, 从而产生了更多的保护这些系统对抗远程外部威胁的需求此外, 越来越多的无线网络应用使 ICS 实现要面临更多的来自某些敌人的风险, 这类人与设备在物理上比较接近, 但又没有直接的物理连接控制系统面临的威胁可以来自多个方面, 包括敌对政府, 恐怖组织, 心怀不满的员工, 恶意入侵者, 复杂性, 事故, 自然灾害以及由内部的恶意或意外行为 ICS 安全目标通常按照可用性完整性和保密性的优先顺序排列一个 ICS 可能面临的事故包括 : 阻止或延迟通过 ICS 网络的信息流, 这可能会破坏 ICS 的运作对命令指示或报警阈值非授权的更改, 可能损坏禁用或关闭设备, 产生对环境的影响, 和 / 或危及人类生命不准确的信息被发送到系统操作员, 或者是掩饰非授权的更改, 或导致操作者发起不适当的行动, 均可能产生不同的负面影响 ICS 软件或配置参数被修改, 或 ICS 软件感染恶意软件, 都会产生不同的负面影响干扰安全系统的运行, 可能危及人类生命 ICS 实施的重要安全目标应包括以下内容 : 限制对 ICS 网络的逻辑访问和网络活动这包括使用防火墙的一个非军事区 (DMZ) 的网络架构, 以防止网络流量在企业网络和 ICS 网络之间直接传递, 并对企业网络用户和 ICS 网络用户分别提供独立的身份验证机制和凭证 ICS 还应使用多层的网络拓扑结构, 使最关键的通信发生在最安全和最可靠的层面限制对 ICS 网络和设备的物理访问对组件的非授权的物理访问可能会导致对 ICS 功能的严重扰乱应采用组合的物理访问控制机制, 如锁智能卡阅读器和 / 或警卫保护单个的 ICS 组件免受暴露这包括尽可能迅速地部署安全补丁, 一旦在它们在现场条件下通过测试后 ; 禁用所有未使用的端口和服务 ; 限制 ICS 的用户权限, 只开放每个人的角色所需要的权限 ; 跟踪和监测审计踪迹 ; 在技术上可行的地方使用如防病毒软件和文件完整性检查软件等安全控制措施来预防阻止

7 检测和减少恶意软件在不利条件下保持功能这涉及到设计 ICS 以使每个关键组件都有冗余此外, 如果一个组件失败, 它应该不会在 ICS 或其他网络上产生不必要的流量, 或不会在其他地方引起另一个问题, 如级联事件事件发生后, 恢复系统事故是不可避免的, 事件响应计划是必不可少的一个良好的安全计划的主要特点是一个事件发生后, 可以以最快的速度恢复系统为在 ICS 中妥善地解决安全问题, 必须有一个跨部门的网络安全团队, 分享他们在不同领域的知识和经验, 评估和减轻 ICS 的风险网络安全团队成员至少应包括组织的 IT 人员控制工程师控制系统操作员网络和系统安全专家管理层成员和物理安全部门为保持连续性和完整性, 网络安全团队应向控制系统供应商和 / 或系统集成商进行咨询网络安全小组应直接向场站管理者 ( 例如, 工厂主管 ) 或公司的 CIO / CSO 报告, 后者应对 ICS 网络安全承担全部的责任和问责一个有效的 ICS 网络安全方案应使用纵深防御战略, 即分层的安全机制, 例如任何一个机制失败的影响被最小化在一个典型的 ICS 中的纵深防御战略包括 : 制定专门适用于 ICS 的安全策略, 程序, 培训和教育材料基于国土安全咨询系统威胁级别来考虑 ICS 的安全策略和程序, 随着威胁程度的增加部署逐渐增强的安全机制解决从架构设计到采购到安装到维护退役的 ICS 整个生命周期的安全为 ICS 实施多层网络拓扑结构, 在最安全和最可靠的层进行最重要的通信提供企业网络和 ICS 网络之间的逻辑分离 ( 例如, 在网络之间架设状态检测防火墙 ) 采用 DMZ 网络体系结构 ( 即, 防止企业和 ICS 网络之间的直接通信 ) 确保关键部件和网络冗余为关键系统设计优雅降级 ( 容错 ), 以防止灾难性的级联事件禁用 ICS 设备中经测试后确保不会影响 ICS 运作的未使用的端口和服务限制对 ICS 网络和设备的物理访问限制 ICS 的用户权限, 只开放为执行每个人的工作所必须的权限 ( 即建立基于角色的访问控制和基于最小特权原则配置每个角色 ) 考虑为 ICS 网络和企业网络的用户分别使用独立的身份验证机制和凭据 ( 即 ICS 网络帐户不使用企业网络的用户帐户 )

8 利用现代技术, 如智能卡的个人身份验证 (PIV) 在技术上可行的情况下实施安全控制, 如入侵检测软件杀毒软件和文件完整性检查软件, 预防阻止检测和减少恶意软件的侵入曝露和传播, 无论是针对或来自 ICS, 或在其内部在确定适当的地方对 ICS 的数据存储和通信应用安全技术, 如加密和 / 或加密哈希在现场条件下进行了所有安全补丁包测试后, 如果可能的话, 在安装到 ICS 之前先迅速部署到测试系统上在 ICS 的关键领域跟踪和监测审计踪迹 NIST 与公共和私营部门的 ICS 团体合作创建了工业控制系统安全项目, 为将 NIST SP 联邦信息系统和组织安全控制建议中的安全控制应用于 ICS 开发了具体的指南虽然在 NIST SP 的附录 F 中描述的大部分控制适用于 ICS, 一些控制确实需要通过增加以下一项或多项来提供 ICS 专用的解释和 / 或增强 : ICS 补充指南为组织就 NIST SP 附录 F 中的安全控制在 ICS 及这些专门系统运行的其他环境中的应用和增强提供了附加的信息补充指南还提供了一些信息, 关于为什么一个特定的安全控制或控制增强可能不适用于某些 ICS 环境, 而可能是一个候选项 ( 即, 适用范围指南和 / 或补偿控制 ) ICS 补充指南不会取代原来在 NIST SP 附录 F 中的补充指南 ICS 增强 ( 一个或多个 ), 对一些 ICS 原来可能需要的控制提供了增强增扩 ICS 增强版补充指南, 就控制增强如何适用于或不适用于 ICS 环境提供指导这份 ICS 专用指南包含在 NIST SP , 第 3 修订版, 附录一 : 工业控制系统 - 安全控制, 增强和补充指南中该文件的第 6 条还为安全控制如何应用于 ICS 提供了初步指导意见如果有初步建议和指导的话, 会出现在每节的概述框中 NIST 计划在 2011 年 12 月出一个 NIST SP 更新版 (NIST SP , 第 4 修订版 ), 包括当前在工业控制系统领域中的安全控制, 控制增强, 补充指导, 以及剪裁和补充指南的更新此外, 本文件的附录 C 对许多当前正在联邦机构标准组织产业集团和自动化系统供应商中进行的许多活动提供了一个概述, 以便为 ICS 领域的安全提供有效的建议做法

9 确保 ICS 安全的最成功的方法是, 收集业界建议的做法, 在管理层控制工程师和操作员 IT 组织和一个可信的自动化顾问之间发起一个积极的协同的努力这支团队应从联邦政府行业组织厂商标准化组织正在进行的附录 C 所列的活动中提取丰富的可用信息 1. 简介 1.1 管理机构国家标准与技术研究院 (NIST) 的开发推进其法定职责, 本文件根据联邦信息安全管理法案 (FISMA)2002 年, 公共法和国土安全总统指令 (HSPD - 7)2003 年 7 NIST 发展的标准和准则, 包括的最低要求, 所有机构的业务和资产提供足够的信息安全负责, 但这些标准和准则不适用于国家安全系统这一方针的管理和预算办公室 (OMB) 通告 A - 130, 第 8B(3) 办公室的要求是一致的, 保证机构信息系统, 在 A 的分析, 附录四 : 对重点路段的分析的安全 A - 130, 附录三提供参考信息这一方针已准备为联邦机构使用它可用于在自愿基础上的非政府组织, 并不受版权保护, 虽然归属需要在这个文件中的任何内容, 应采取相矛盾的标准和准则方面对联邦机构的强制性和约束力, 由商务部根据法定权限局长, 也不应改变或取代现有的主管部门, 工商及科技局局长主任解释这些准则行政管理和预算局, 或任何其他联邦官员 1.2 目的和范围本文件的目的是为工业控制系统 (ICS) 的安全保障提供指导, 包括监控和数据采集 (SCADA) 系统分布式控制系统 (DCS) 及其他执行控制功能的系统该文件提供了一个对 ICS 和典型系统拓扑的概述, 确定了这些系统的典型威胁和

10 漏洞, 并提供建议的安全对策, 以减轻相关的风险因为有许多不同类型的 ICS, 具有不同程度的潜在风险和影响, 该文件为 ICS 安全提供了许多不同的方法和技术该文件不应该单纯的被用作一个保护特定系统的清单我们鼓励读者在他们的系统中执行风险评估, 并对建议的指导方针和解决方案进行裁剪, 以满足其特定的安全业务和运营要求本文件的范围包括通常在电水和污水处理石油和天然气化工制药纸浆和造纸食品和饮料以及离散制造 ( 汽车航空航天和耐用品 ) 等行业应用的 ICS 1.3 读者本文档涵盖了 ICS 的具体细节该文件在本质上是技术性的, 但是, 它提供了必要的背景, 了解所讨论的议题目标受众是多种多样的, 包括以下内容 : 控制工程师, 集成商和建筑师设计或实施安全 IC 系统管理员, 工程师和其他信息技术 (IT) 专业人员谁管理, 补丁或安全 IC 执行 ICS 的安全评估和渗透测试的安全顾问负责为 ICS 的经理人高级管理人员正试图了解影响和后果, 因为他们的理由和适用的 ICS 网络安全方案, 以帮助减轻影响的业务功能研究人员和分析师们正试图了解 ICS 的独特的安全需求厂商正在开发的产品将作为一个 ICS 的一部分部署本文档假定读者熟悉与一般计算机安全的概念, 如在网络和使用基于 Web 的检索信息的方法使用的通信协议 1.4 文档结构本指南的其余部分分为以下主要章节 : 第 2 章提供对 SCADA 和其他 ICS 的概述, 及其安全需求的重要性

11 第 3 章提供对 ICS 和 IT 系统之间的差异的讨论, 以及威胁漏洞和事件第 4 章提供对开发和部署一个 ICS 安全计划的概述, 以减轻由于第 3 章中确认的漏洞而引起的风险第 5 章提供将安全集成到典型 ICS 网络架构中的建议, 重点是网络隔离实践第 6 章提供对 NIST 特别出版物联邦信息系统和组织安全控制建议中定义的管理运作以及技术控制的汇总, 并就如何将这些安全控制应用于 ICS 提供了初步指南该指南还包含几个附录与辅助材料, 具体如下 : 附录 A 提供了本文档中使用的缩略语和缩写列表附录 B 提供了本文档中使用的术语表附录 C 提供了一些当前 ICS 安全活动的清单和简短描述附录 D 提供了一些正在为 ICS 开发的新兴安全功能的清单附录 E 提供 FISMA 实施项目的概述和配套文档, 以及 FISMA 与 ICS 的相关性附录 F 提供了一个用于开发本文件的引用列表 2. 工业控制系统概述工业控制系统 (ICS) 是几种类型控制系统的总称, 包括监控和数据采集 (SCADA) 系统分布式控制系统 (DCS) 和其它控制系统, 如在工业部门和关键基础设施中经常可以看到的撬装式的可编程逻辑控制器 (PLC) ICS 通常用于诸如电力水和污水处理石油和天然气化工交通运输制药纸浆和造纸食品和饮料以及离散制造 ( 如汽车航空航天和耐用品 ) 等行业这些控制系统是美国关键基础设施运作的关键, 通常是高度相互关联和相互依存的系统要注意的是大约有 90% 的国家关键基础设施是私人拥有和经营的联邦机构也经营了上面提到的许多工业流程 ; 其他例子包括空中交通管制和材料处理 ( 例如, 邮政邮件处理 ) 本节提供对 SCADA DCS PLC 系统的概览, 包括典型的架构和组件还有一些插图用于描绘网络连接和每个系统的典型部件, 以帮助了解这些系

12 统请记住,ICS 通过整合 DCS 和 SCADA 系统的属性而模糊了两者之间的差异, 因此实际实现中可能是混合的请注意, 本节中的图并不代表一个安全的 ICS 架构安全和安全控制分别是在本文件的第 5 章和第 6 章讨论 2.1 SCADA,DCS,PLC 的概述 SCADA 系统是用来控制地理上分散的资产的高度分布式的系统, 往往分散数千平方公里, 其中集中的数据采集和控制是系统运行的关键它们被用于分配系统, 如供水和污水收集系统, 石油和天然气管道, 电力电网, 以及铁路运输系统一个 SCADA 控制中心对跨长途通信网络的场站执行集中的监视和控制, 包括监测报警和处理状态数据, 在现场的根据从远程站点收到的信息, 自动化或操作员驱动的监督指令可以被推送到远程站点的控制装置上, 后者通常被称为现场设备现场设备控制本地操作, 如打开和关闭阀门和断路器, 从传感器系统收集数据, 以及监测本地环境的报警条件 DCS 被用来控制工业生产过程, 如发电炼油水和废水处理化工食品汽车生产 DCS 被集成为一个控制架构, 包含一个监督级别的控制, 监督多个集成的子系统, 负责控制本地化过程的细节产品和过程控制通常是通过部署反馈或前馈控制回路实现的, 关键产品和 / 或过程条件被自动保持在一个所需的设置点周围为了实现所需的产品和 / 或过程围绕一个指定设定点的公差, 在场地部署特定的 PLC, 并在 PLC 上的比例积分和 / 或微分设置被调整为提供所需的公差, 以及在过程干扰期间的自我校正率 DCS 系统被广泛应用于基于过程的产业 PLC 是基于计算机的固态装置, 控制工业设备和过程虽然 PLC 是整个 SCADA 和 DCS 系统中使用的控制系统组件, 它们通常在较小的控制系统配置中作为主要组件, 用于提供离散过程的操作控制, 如汽车装配生产线和电厂吹灰控制 PLC 被广泛应用于几乎所有的工业生产过程基于过程的制造业通常利用两个主要过程 : 连续制造过程这些过程连续运行, 往往会转换以制造不同档次的产品典型的连续制造过程包括电厂炼油厂的石油和化工厂的蒸馏过程中的燃料或蒸汽流量

13 批量制造过程这些过程有不同的处理步骤, 在大量的物料上进行有一个批处理过程的明显开始和结束步骤, 可能在中间步骤中有简短的稳态操作过程典型的批量制造过程包括食品制造业离散制造业通常在单个设备上执行一系列步骤, 创造的最终产品电子和机械部件装配和零件加工是这种类型的行业的典型例子基于过程和基于离散的行业都使用相同类型的控制系统传感器和网络有些设施是一个基于离散和过程制造的混合虽然在分销和制造业使用的控制系统的运作非常相似, 他们在某些方面有所不同主要区别之一是, 与地理上分散的 SCADA 场站相比,DCS 或 PLC 控制系统通常在位于一个更密闭的工厂或工厂为中心的区域 DCS 和 PLC 通信通常使用局域网 (LAN) 的技术, 与 SCADA 系统通常所使用的长途通信系统相比, 更可靠和高速事实上,SCADA 系统是专门设计用来处理长途通信带来的挑战, 如使用各种通信媒体产生的延迟和数据丢失 DCS 和 PLC 系统通常采用比 SCADA 系统更大程度的闭环控制, 因为工业过程的控制通常比分配过程的监督控制更为复杂就本文件的范围而言, 这些差异可以被视为极微妙的, 因为这里我们关注的是如何将 IT 安全集成到这些系统中在本文件的后续部分,SCADA 系统 DCS 和 PLC 系统将被称为 ICS, 除非特定的参考是特别为其中某一个系统定制的 ( 例如, 用于 SCADA 系统的现场设备 ) 2.2 ICS 的操作一个 ICS 的基本操作如图 2-1 所示

其关键组件包括以下内容 : 图 2-1 ICS 操作控制回路控制回路包括测量传感器, 控制器硬件如 PLC, 执行器如控制阀, 断路器, 开关和电机, 以及变量间的通信控制变量被从传感器传送到控制器控制器解释信号, 并根据它传送到执行器的设置点产生相应的调节变量干扰引起控制过程变化, 产生新的传感器信号, 确定过程的状态为被再次传送到控制器人机界面 (HMI) 操作员和工程师使用

14 其关键组件包括以下内容 : 图 2-1 ICS 操作控制回路控制回路包括测量传感器, 控制器硬件如 PLC, 执行器如控制阀, 断路器, 开关和电机, 以及变量间的通信控制变量被从传感器传送到控制器控制器解释信号, 并根据它传送到执行器的设置点产生相应的调节变量干扰引起控制过程变化, 产生新的传感器信号, 确定过程的状态为被再次传送到控制器人机界面 (HMI) 操作员和工程师使用 HMI 来监控和配置设置点, 控制算法, 并在控制器中调整和建立参数 HMI 还显示进程状态信息和历史信息远程诊断和维护工具用于预防识别和恢复运行异常或故障的诊断和维护工具一个典型 ICS 由控制回路人机界面远程诊断和维护工具组成, 并使用分层的网络架构上的网络协议集合来构建有时, 这些控制回路是嵌套和 / 或级联的, 也就是说一个循环的设置点是建立在由另一个循环确定的过程变量的基础上的督导级循环和低层次循环在一个具有从几毫秒到几分钟不等的周期时间的过程期间连续运行

15 2.3 主要 ICS 元件为了支持随后的讨论, 本节定义用于控制和联网的关键 ICS 组件其中一些组件可以被笼统地描述为可使用在 SCADA 系统 DCS 和 PLC 中, 有的则是唯一针对其中某一个附录 B 中的条款汇编包含了一个更详细的控制和网络组件列表此外, 第 2.4 节的图 2-5 和图 2-6 显示了采用这些组件的 SCADA 实施的例子, 在 2.5 节的图 2-7 显示了一个 DCS 实现的例子, 在第 2.6 节的图 2-8 显示 PLC 系统实现的例子控制元件以下是一个 ICS 的主要控制元件清单 : 控制服务器控制服务器承载与较低级别的控制设备进行通信的 DCS 或 PLC 监控软件控制服务器通过 ICS 网络访问下属的控制模块 SCADA 服务器或主终端单元 (MTU) SCADA 服务器担任 SCADA 系统的主设备远程终端单元和 PLC 设备 ( 如下所述 ) 位于远程场站, 通常作为从设备远程终端装置 (RTU) RTU, 也称为遥测遥控装置, 是特殊用途的数据采集和控制单元, 被设计为支持 SCADA 远程站点 RTU 是现场设备, 往往配备无线电接口以支持有线通信不可用的远程站点有时,PLC 被实现为现场设备, 担任 RTU 的工作 ; 在这种情况下,PLC 通常就被称为一个 RTU 可编程逻辑控制器 (PLC) PLC 是一种小型工业计算机, 最初设计为执行由电器硬件 ( 继电器, 开关, 机械定时器 / 计数器 ) 执行的逻辑功能 PLC 已经演变成为控制器, 具有控制复杂过程的能力, 它们被大量地用在 SCADA 系统和 DCS 中在现场级别使用的其他控制器为过程控制器和 RTU; 它们提供与 PLC 相同的控制, 但是为特定的控制应用而设计的在 SCADA 环境中,PLC 是经常被用来作为现场设备, 因为它们比特殊用途的 RTU 更经济, 多用途, 灵活和易配置智能电子设备 (IED) IED 是一种智能传感器 / 执行器, 包含采集数据与其他设备通信和执行本地过程和控制所需的智能 IED 可以组合一个模拟输入传感器, 模拟输出, 低层次的控制能力, 通信系统, 以及一台设备中的程序存储器在 SCADA 和 DCS 系统中使用 IED, 可以在本地级别实现自动化控制

16 人机界面 (HMI) HMI 是一套软件和硬件, 允许操作人员监控一个处于控制下的过程的状态, 修改控制设置以更改控制目标, 并在发生紧急情况时手动取代自动控制操作 HMI 还允许控制工程师或操作员配置控制器中的设置点或控制算法和参数 HMI 还向操作员管理员经理业务伙伴和其他授权用户显示过程状态信息历史信息报告和其他信息位置平台和接口可能相差很大例如, HMI 可以是控制中心的专用平台, 无线局域网上的笔记本电脑, 或连接到互联网的任何系统上的浏览器历史数据历史数据是一个集中的数据库, 记录 ICS 内的所有过程信息在这个数据库中存储的信息可以被访问, 以支持各种分析, 从统计过程控制到企业层面的规划输入 / 输出 (IO) 服务器 IO 服务器作为一个控制组件, 负责收集缓冲来自控制子元件如 PLC RTU 和 IED 等的过程信息, 并提供对过程信息的访问一个 IO 服务器可以驻留在控制服务器上或一个单独的计算机平台上 IO 服务器也可用于与第三方控制元件的接口, 如 HMI 和控制服务器网络组件在控制系统层次结构内部的每一层上都有不同的网络特性跨越不同 ICS 实现的网络拓扑结构, 与使用基于互联网的 IT 和企业一体化战略的现代系统是不同的控制网络已经与企业网络合并, 让控制工程师可以从控制系统网络外部监测和控制系统该连接也可以让企业高层决策者获得对过程数据的访问以下是一个 ICS 网络的主要组成部分的清单, 无论使用何种网络拓扑 : 现场总线网络现场总线网络将传感器和其他设备连接到 PLC 或其他控制器现场总线技术的使用, 消除了对控制器和每个设备之间的点到点连线的需要设备使用各种协议与现场总线控制器进行通信在传感器和控制器之间发送的消息可唯一确定每个传感器控制网络控制网络负责连接监控级别的控制模块与较低级别的控制模块通讯路由器路由器是一种通信设备, 在两个网络之间传输消息路由器常见用途包括将一个局域网连接到广域网, 为 SCADA 通信将 MTU 和 RTU 连接到远程网络介质

17 防火墙防火墙可以保护网络上的设备, 通过监测和控制通信数据包, 使用预定义的过滤策略防火墙也有助于管理 ICS 网络的隔离策略调制解调器调制解调器是用于串行数字数据和适用于通过电话线传输设备进行通信的信号之间的转换设备调制解调器通常用在 SCADA 系统中, 以建立远程 MTU 和远程现场设备之间的串行通信它们还用在 SCADA 系统 DCS 和 PLC 中以获得对运行和维护功能的远程访问, 如输入命令或修改参数, 以及用于诊断的目的远程接入点远程接入点是控制网络的不同设备区域和位置, 为了远程配置控制系统和访问过程数据例子包括使用个人数字助理 (PDA) 通过一个无线接入点访问局域网上的数据, 并使用一台笔记本电脑和调制解调器连接并远程访问 ICS 系统 2.4 SCADA 系统 SCADA 系统被用来控制分散的资产, 对其而言, 集中的数据采集与控制一样重要这些系统被用于配水系统和污水收集系统, 石油和天然气管道, 电力设施的输电和配电系统, 以及铁路和其他公共交通系统 SCADA 系统将数据采集系统与数据传输系统和 HMI 软件集成起来, 为大量的过程输入输出提供集中的监控系统 SCADA 系统被设计为收集现场的信息, 传输到中央计算机设施, 并向操作员显示图形或文字的信息, 从而使操作员能够从一个中央位置实时监视或控制整个系统根据单个系统的复杂性和设置, 对任何单独系统的控制操作或任务都可自动进行或遵照操作员的命令执行 SCADA 系统包括硬件和软件两方面典型的硬件包括放置在控制中心的 MTU, 通信设备 ( 例如, 广播电话线电缆或卫星 ), 以及一个或多个由控制执行器和 / 或监视传感器的 RTU 或 PLC 构成的地理上分散的场站 MTU 的存储和处理由 RTU 输入和输出的信息, 而 RTU 或 PLC 控制本地过程通信硬件实现 MTU 与 RTU 或 PLC 之间的信息和数据的来回传输其软件部分告诉系统监视什么和何时监视, 什么参数范围是可以接受的的, 当参数变化超出可接受的值时启动什么响应 IED, 例如一种保护继电器, 可直接与 SCADA 服务器通信, 或者一个本地的 RTU 可以轮询 IED 以收集数据, 并把数据传递给 SCADA 服务器 IED 提供直接的接口来控制

和监视设备和传感器 IED 可直接接受 SCADA 服务器的轮询和控制, 且在大多数情况下具有本地程序, 允许 IED 在没有 SCADA 控制中心的直接指示时也能进行工作 SCADA 系统通常被设计为容错系统, 在系统架构中内置了显著的冗余图 2-2 显示了 SCADA 系统的组件和总体配置控制中心设有一个 SCADA 服务器 (MTU) 和通信路由器其他控制中心组件包括 HMI(

18 和监视设备和传感器 IED 可直接接受 SCADA 服务器的轮询和控制, 且在大多数情况下具有本地程序, 允许 IED 在没有 SCADA 控制中心的直接指示时也能进行工作 SCADA 系统通常被设计为容错系统, 在系统架构中内置了显著的冗余图 2-2 显示了 SCADA 系统的组件和总体配置控制中心设有一个 SCADA 服务器 (MTU) 和通信路由器其他控制中心组件包括 HMI( 人机界面 ), 工程师工作站和历史数据等, 都通过局域网进行连接控制中心收集并记录场站收集到的信息, 在 HMI 上显示信息, 并可能会基于检测到的事件产生行动控制中心还负责集中告警, 趋势分析和报告场站负责对执行器的本地控制的和对传感器的监视场站往往配备远程访问能力, 使场站操作员通常可以在一个单独的拨号调制解调器或广域网连接上执行远程诊断和维修在串行通信上运行的标准和专有的通信协议是用于在控制中心和场站之间传输信息的, 使用如电话线电缆光纤无线电频率如广播微波和卫星等遥测技术图 2-2 SCADA 系统总体结构 MTU - RTU 通讯架构在不同的具体实现上有所差异可使用的不同架构, 包括点对点串行串行 - 星型多节点等, 如图 2-3 所示点对点是最简单的功能类型, 但是, 它是昂贵的, 因为每个连接都需要独立的通道在一个串行配置中, 使用的通道数量减少了 ; 然而, 通道共享会对 SCADA 系统操作的效率和复杂性产生影响同样, 串行 - 星型和多节点配置为每个设备使用一个通道也会导致效率下降和系统复杂性增加

19 图 2-3 基本的 SCADA 通信拓扑如图 2-3 所示的四个基本架构, 可以通过使用专用通讯设备来管理通信交换以及消息交换和缓冲而得到进一步增强大型 SCADA 系统, 包含了数百个 RTU, 通常会部署子 MTU 以减轻主 MTU 的负担这种类型的拓扑结构如图 2-4 所示

20 图 2-4 大型 SCADA 通信拓扑图 2-5 显示了 SCADA 系统实现的一个例子这个 SCADA 系统由一个主控制中心和 3 个场站构成第二个备份控制中心提供主控制中心故障时的冗余所有的控制中心和场站之间的通信采用点对点连接, 其中有两个连接使用无线电遥测第三个场站是在控制中心本地, 使用广域网 (WAN) 进行通信位于主控制中心上方的一个区域控制中心提供一个更高级别的监督控制企业网络可以通过广域网访问所有控制中心, 并且场站也可以被远程访问以进行故障排除和维护操作主控制中心按定义的时间间隔 ( 如 5 秒 60 秒 ) 轮询场站设备的数据, 并可以根据需要发送新的设置点给现场设备除了轮询和发布高层次的命令,SCADA 服务器也监视来自场站报警系统的优先中断

21 图 2-5 SCADA 系统实现举例 ( 分布式监控 ) 图 2-6 显示了一个对铁路监测和控制的实现示例这个例子中包括了一个部署了 SCADA 系统的铁路控制中心和铁路系统的三个路段 SCADA 系统轮询铁路路段以获得列车信号系统牵引电气化系统自动售票机等的状态信息这些信息也被传递到位于铁路控制中心的 HMI 站点的操作员控制台上 SCADA 系统还监控铁路控制中心的操作员的输入并分发高级操作员命令给铁路路段组件此外, SCADA 系统监视个别铁路路段的条件, 并根据这些条件发出指令 ( 例如, 关闭一辆列车以防止它进入一个已经确定被洪水淹没的区域或被另一列火车占用的区域 )

22 图 2-6 SCADA 系统实现举例 ( 铁路监控 ) 2.5 分布式控制系统 (DCS) DCS 系统用于控制在同一地理位置的生产系统, 如炼油厂, 水和污水处理, 发电设备, 化学品制造工厂, 和医药加工设施等行业这些系统通常是过程控制或分立部分的控制系统一个 DCS 使用一个集中的监控回路来调解一组分担着贯穿整个生产过程的全部任务的本地控制器通过将生产系统模块化,DCS 降低了单一故障对整个系统的影响在许多现代系统中,DCS 是与企业网络的接口, 为企业的运营者提供生产视图图 2-7 描述了一个 DCS 实现的例子, 显示了 DCS 的组件和总体配置这个 DCS 包括从底层生产过程到公司或企业层面的整个设施在这个例子中, 监督控制器 ( 控制服务器 ) 通过控制网络与其下属通信监控台发送设置点给分布的场站控制器, 并向后者请求数据分布式控制器根据控制服务器的命令和过程传感器的反馈控制它们的过程执行器

23 图 2-7 DCS 实现举例图 2-7 给出了一个 DCS 系统上的低级控制器的例子图中所示的现场控制设备包括一个 PLC, 一个过程控制器, 一个单回路控制器和一台机器控制器单回路控制器的接口传感器和执行器使用点对点连线, 而其他三个现场设备集成到现场总线网络上, 与过程传感器和执行器进行连接现场总线网络消除了控制器和单个现场传感器和执行器之间的点对点接线需要此外, 现场总线允许比控制更多的功能, 包括现场设备的诊断, 并可以实现在现场总线内的控制算法, 从而避免了每个控制操作到 PLC 的信号回路由工业集团设计的标准工业通信协议, 如 Modbus 和 Fieldbus 往往被用在控制网络和现场总线网络上除了监管级和现场级控制回路, 中间级别的控制也可能存在例如, 在一个 DCS 控制一个独立部件制造工厂的情况下, 可以为厂房内的每个单元格设置一个中间级监控器该监控器将包括一个制造单元, 包含处理一个部件的机器控制器和处理原料库存和最终产品的机器人控制器可能有几个这样的单元在主 DCS 监控环路下管理现场级控制器

24 2.6 可编程逻辑控制器 (PLC) PLC 可用在 SCADA 和 DCS 系统中, 作为整个分级系统的控制部件, 通过如在上节中所述的反馈控制, 提供对过程的本地管理当用在 SCADA 系统中时, 它们提供与 RTU 相同的功能当用在 DCS 中时,PLC 被实现为监控机制内的本地控制器 PLC 也被实现为更小的控制系统配置的主要组件 PLC 具有一个用户可编程的存储器, 用于存储指令以实现特定功能, 如 I / O 控制逻辑定时计数三种模式的比例 - 积分 - 微分 (PID) 控制通信算术以及数据和文件处理图 2-8 显示的制造过程由 PLC 通过现场总线网络控制 PLC 可通过工程师工作站上的一个编程接口访问, 数据存储在一个历史数据库中, 全部通过 LAN 连接图 2-8 PLC 控制系统实现举例 2.7 工业部门和他们的相互依存性电力输配电网络行业利用地理上分散的 SCADA 控制技术操作高度相互关联的和动态的系统, 包括数以千计的公共和私营机构和农村合作社, 从而为最终用

25 户供电 SCADA 系统通过在一个集中的位置从远程现场控制站点收集数据, 并发向其出指令, 从而实现对电力配送的监视和控制 SCADA 系统也可用于监测和控制水油和天然气的配送, 包括管道船舶卡车铁路系统以及污水收集系统 SCADA 系统和 DCS 往往是通过网络连接在一起这种情况出现在电力控制中心和发电厂虽然发电厂的运作是由 DCS 控制, 但 DCS 必须与 SCADA 系统通信, 协调产量与输配电需求美国关键基础设施通常被称为一个系统的系统, 因为其各工业部门之间存在的相互依赖性以及业务合作伙伴之间的互连关键基础设施是高度互联的, 并以复杂的方式互相依赖着, 不仅在物理上, 也通过信息和通信技术的主机在一个基础设施中发生的事件, 可以通过级联和故障升级等直接或间接影响其他基础设施电力通常被认为是相互依存的关键基础设施中最普遍的中断来源之一举一个例子, 一个级联故障, 可以因为一个用于电力传输 SCADA 系统的微波通信网络的中断而触发监测和控制能力的缺乏可能会导致大型发电单位不得不采取脱机, 事件将导致传输变电所的功率损耗这种损失可能会导致严重的不平衡, 引发整个电网级联故障这可能会导致大面积停电, 可能会潜在影响依赖于电力网格的石油和天然气生产炼油业务水处理系统污水收集系统和管道运输系统 3. ICS 特性, 威胁和脆弱性在今天使用的很多 ICS 是多年前开发的, 在公共和私人网络桌面计算或互联网成为业务运营的通用组件之前很长时间这些系统被设计为满足性能可靠性安全性和灵活性的要求在大多数情况下, 他们是与外部网络物理隔离的, 基于专有硬件软件和通信协议, 它们包括基本的错误检测和纠错能力, 但缺乏在今天的互联系统中所需的安全通信能力虽然有人关注可靠性可维护性和可用性 (RMA), 但在解决统计性能和故障时, 对这些系统内的网络安全措施的需求是没有预料到的当时,ICS 安全就意味着物理上保护对网络和控制系统的控制台的访问 ICS 的发展平行于 1980 年代和 1990 年代的微处理器个人电脑和网络技术

26 的演进, 在 1990 年代后期基于互联网的技术开始进入到 ICS 的设计中这些 ICS 的变化将它们暴露给新的威胁类型, 并显著增加了 ICS 受到损害的可能性本节介绍了 ICS 的独特的安全特性, 在 ICS 实现中的漏洞, 和 ICS 可能面临的威胁和事故 3.7 节会介绍几个实际的 ICS 网络安全事故的例子 3.1 ICS 和 IT 系统的比较最初,ICS 与 IT 系统没有一点相似之处,ICS 是运行专有控制协议使用专门硬件和软件孤立的系统现在用广泛使用的低成本的互联网协议 (IP) 设备取代专有的解决方案, 从而增加了网络安全漏洞和事故的可能性随着 ICS 采用这种解决方案, 以促进企业连接和远程访问能力, 并正在使用行业标准的计算机操作系统 (OS) 和网络协议进行设计和实施, 它们已经开始类似于 IT 系统了这种集成支持新的 IT 能力, 但相比原先的系统, 它对 ICS 提供的与外界的隔离大大减少, 产生了保护这些系统的更大需求虽然安全解决方案已经被设计来处理这些典型的 IT 系统安全问题, 但是在引进这些相同的解决方案到 ICS 环境中时, 必须采取特殊的防护措施在某些情况下, 需要为 ICS 环境量身定制新的安全解决方案 ICS 有许多区别于传统 IT 系统的特点, 包括不同的风险和优先级别其中包括对人类健康和生命安全的重大风险, 对环境的严重破坏, 以及金融问题如生产损失和对国家经济的负面影响 ICS 有不同的性能和可靠性要求, 其使用的操作系统和应用程序对典型的 IT 支持人员而言可能被认为是不方便的此外, 安全和效率的目标有时会与控制系统的设计和操作的安全性发生冲突 ( 如, 需要密码验证和授权不应妨碍或干扰 ICS 的紧急行动 ) 下面列出了一些 ICS 的特殊安全考虑 : 性能要求 ICS 通常是时间要求紧迫的, 关注由单个安装所指示的延迟和抖动的可接受水平标准有些系统要求确定性的响应高吞吐量对 ICS 通常是没有必要的相比之下,IT 系统通常需要高吞吐量, 但通常可以承受某种程度的延时和抖动可用性要求许多 ICS 过程在本质上是连续的控制工业生产过程系统的意外停电是不能接受的停电往往必须有计划且提前预定时间 ( 天 / 周 ) 全面的部

27 署前测试是必不可少的, 以确保 ICS 的高可用性除意外停电外, 许多控制系统也不能做到在不影响生产的情况下轻易地停止和启动在某些情况下, 正在生产的产品或正在使用的设备比被转达的信息更重要因此, 典型的 IT 战略, 如重新启动一个组件, 由于其 ICS 的高可用性可靠性和可维护性要求的不利影响, 通常是不被接受的解决方案一些 ICS 会采用冗余组件, 且常常并行运行, 当主要组件不可用时保证连续性风险管理要求在一个典型的 IT 系统中, 数据保密性和完整性通常是被关心的首要问题对于 ICS 而言, 人身安全和容错 ( 以防止损害生命或危害公众健康或信心 ), 合规性, 设备的损失, 知识产权损失, 以及产品的丢失或损坏等, 才是主要的关注点负责操作保护和维护 ICS 的人员必须了解 safety 和 security 之间的重要联系体系架构安全焦点在一个典型的 IT 系统中, 安全的首要重点是保护 IT 资产的运行, 无论是集中的或分散的, 还有就是在这些资产中存储或相互之间传输的信息在某些体系架构中, 集中存储和处理的信息是更为关键的, 要给予更多的保护而对于 ICS, 边缘客户端 ( 如 PLC, 操作员工作站,DCS 控制器 ) 更需要仔细保护, 因为它们是对结束过程的控制直接负责任的 ICS 中央服务器的保护仍然是非常重要的, 因为中央服务器可能对每一个边缘设备产生不利影响物理相互作用在一个典型的 IT 系统中, 没有物理与环境之间的互动 ICS 可以与在 ICS 域中的物理过程和后果有非常复杂的相互作用, 这可以体现在物理事件中必须测试所有被集成到 ICS 中的安全功能 ( 例如, 在一个可参照的 ICS 上的离线 ), 以证明它们不损害 ICS 的正常功能时间要求紧迫的响应在一个典型的 IT 系统中, 不需要太考虑数据流就可以实现访问控制对于一些 ICS 而言, 自动响应时间或对人机交互的系统响应是非常关键的例如, 在 HMI 上要求提供密码认证和授权时必须不能妨碍或干扰 ICS 的紧急行动信息流必须不被中断或受到影响对这些系统的访问, 必须有严格的物理安全控制系统操作 ICS 的操作系统 (OS) 和应用程序可能无法容忍典型的 IT 安全实践老系统特别容易受到资源不可用和计时中断的危害控制网络往往比较复杂, 需要不同层次的专业知识 ( 例如, 控制网络通常由控制工程师管理, 而不是

28 IT 人员 ) 软件和硬件都更难以在操作控制系统网络中升级许多系统可能没有所需的功能, 包括加密功能, 错误记录, 和密码保护资源的限制 ICS 和它们的实时操作系统往往是资源受限的系统, 通常不包括典型的 IT 安全功能在 ICS 组件上可能没有计算资源用来在这些系统上加装流行的安全功能此外, 在某些情况下, 不允许用第三方安全解决方案, 是因为根据 ICS 供应商许可和服务协议, 一旦在没有供应商的确认或批准下就安装了第三方的应用程序, 可能会丢失服务支持通信在 ICS 环境中用于现场设备控制和内部处理器通信的通信协议和媒体通常与通用的 IT 环境不同, 可能是专有的变更管理变更管理对维持 IT 和控制系统的完整性都是至关重要的未打补丁的软件代表了系统的最大漏洞之一 IT 系统的软件更新, 包括安全补丁, 根据适当的安全策略和程序, 通常都是实时应用的此外, 这些程序往往是使用基于服务器的工具自动实现的 ICS 的软件更新往往就无法及时实施, 因为这些更新需要由工业控制应用程序的供应商和应用程序的最终用户充分测试后才能实施, 而且 ICS 的中断往往必须是事先规划和预定好时间 ( 天 / 周 ) 的作为更新过程的一部分,ICS 可能还需要重新验证另一个问题是, 许多 IC 采用了旧版本的操作系统, 而供应商不再提供支持因此, 可用的修补程序可能不适用变更管理也适用于硬件和固件当变更管理过程应用于 ICS 时, 需要由 ICS 专家 ( 例如, 控制工程师 ) 与安全和 IT 人员一起进行仔细评估管理的支持典型的 IT 系统允许多元化的支持模式, 也许支持不同的但相互关联的技术架构对于 ICS, 服务支持通常是由一个单一的供应商提供, 可能就没有多元化的和从其他供应商处获得的具有互操作性的支持解决方案组件寿命典型的 IT 组件的寿命一般为 3 至 5 年, 主要是由于技术的快速演变对于 ICS 而言, 在许多情况下, 技术是为非常特殊的用户和实现而开发的, 所部署的技术的生命周期通常在 15 至 20 年, 有时甚至时间更长组件访问典型的 IT 组件通常是本地的和容易访问的, 而 ICS 组件可以分离远程部署, 并需要大量的物力以获得对它们的访问表 3-1 总结了一些 IT 系统和 ICS 之间的典型差异表 3-1 IT 系统和 ICS 的差异总结分类信息技术系统工业控制系统

29 性能需求可用性需求管理需求体系架构安全焦点未预期的后果时间紧迫的交互系统操作资源限制通信非实时响应必须是一致的要求高吞吐量高延迟和抖动是可以接受的重新启动之类的响应是可以接受的的可用性的缺陷往往可以容忍的, 当然要取决于系统的操作要求数据保密性和完整性是最重要的的容错是不太重要的临时停机不是一个主要的风险主要的风险影响是业务操作的延迟首要焦点是保护 IT 资产, 以及在这些资产上存储和相互之间传输的信息中央服务器可能需要更多的保护安全解决方案围绕典型的 IT 系统进行设计紧急交互不太重要可以根据必要的安全程度实施严格限制的访问控制系统被设计为使用典型的操作系统采用自动部署工具使得升级非常简单系统被指定足够的资源来支持附加的第三方应用程序如安全解决方案标准通信协议主要是有线网络, 稍带一些本地化的无线功能的典型的 IT 网络实践实时响应是时间紧迫的适度的吞吐量是可以接受的高延迟和 / 或抖动是不能接受的重新启动之类的响应可能是不能接受的, 因为过程的可用性要求可用性要求可能需要冗余系统中断必须有计划和提前预定时间 ( 天 / 周 ) 高可用性需要详尽的部署前测试人身安全是最重要的的, 其次是过程保护容错是必不可少的, 即使是瞬间的停机也可能无法接受主要的风险影响是不合规, 环境影响, 生命设备或生产损失首要目标是保护边缘客户端 ( 例如, 现场设备, 如过程控制器 ) 中央服务器的保护也很重要安全工具必须先测试 ( 例如, 在参考 ICS 上的离线 ), 以确保它们不会影响 ICS 的正常运作对人和其他紧急交互的响应是关键应严格控制对 ICS 的访问, 但不应妨碍或干扰人机交互与众不同且可能是专有的操作系统, 往往没有内置的安全功能软件变更必须小心进行, 通常是由软件供应商操作, 因其专用的控制算法, 以及可能要修改相关的硬件和软件系统被设计为支持预期的工业过程, 可能没有足够的内存和计算资源以支持附加的安全功能许多专有的和标准的通讯协议使用多种类型的传播媒介, 包括专用的有线和无线 ( 无线电和卫星 ) 网络是复杂的, 有时需要控制工程师的专业知识

30 变更管理在具有良好的安全策略和程序时, 软件变更是及时应用的往往是自动化的程序软件变更必须进行彻底的测试, 以递增方式部署到整个系统, 以确保控制系统的完整性 ICS 的中断往往必须有计划, 并提前预定时间 ( 天 / 周 ) ICS 可以使用不再被厂商支持的操作系统管理支持允许多元化的支持模式服务支持通常是依赖单一供应商组件生命周期 3-5 年的生存期年的生存期组件访问组件通常在本地, 可方便地访问组件可以是隔离的, 远程的, 需要大量的物力才能获得对其的访问 ICS 可用的计算资源 ( 包括 CPU 时间和内存 ) 往往是非常有限的, 因为这些系统, 旨在最大限度地控制系统资源, 很少甚至没有额外容量给第三方的网络安全解决方案此外, 在某些情况下, 第三方安全解决方案根本不被允许, 因为供应商的许可和服务协议, 而且如果安装了第三方应用程序, 可能发生服务支持的损失另一个重要的考虑因素是 IT 网络安全和控制系统的专业知识通常不是属于同一组人员的综上所述,ICS 和 IT 系统之间的业务和风险的差异, 产生了在应用网络安全和业务战略时增长的复杂性需求一个由控制工程师控制系统运营商和 IT 安全专业人员构成的跨职能团队, 应当紧密合作以理解安装操作与维护与控制系统相关的安全解决方案时可能产生的影响工作于 ICS 的 IT 专业人员在部署之前需要了解信息安全技术的可靠性影响在 ICS 上运行的一些操作系统和应用可能无法正常运行商业现行 (COTS) 的 IT 网络安全解决方案, 因其专用的 ICS 环境架构 3.2 威胁控制系统面临的威胁可以来自多种来源, 包括对抗性来源如敌对政府恐怖组织工业间谍心怀不满的员工恶意入侵者, 自然来源如从系统的复杂性人为错误和意外事故设备故障和自然灾害为了防止对抗性的威胁 ( 以及已知的自然威胁 ), 需要为 ICS 创建一个纵深的防御策略表 3-2 列出了针对 ICS 的可能的威胁请注意此列表中是按字母顺序排列而不是按威胁大小表 3-2 针对 ICS 的对抗性威胁

31 威胁代理 Attackers 攻击者 Bot-network operators 僵尸网络操纵者 Criminal groups 犯罪集团 Foreign intelligence services 外国情报服务 Insiders 内部人员 Phishers 钓鱼者 Spammers 垃圾邮件发送者 Spyware/malware authors 间谍 / 恶意软件作者描述攻击者入侵网络, 只为获得挑战的快感或在攻击社团中吹牛的资本虽然远程攻击曾经需要一定的技能或计算机知识, 但是攻击者现在却可以从互联网上下载攻击脚本和协议, 并向受害网站发动它们因此, 虽然攻击工具越来越高级, 它们也变得更容易使用许多攻击者并不具备必要的专业知识来威胁困难的目标如美国的关键网络然而, 攻击者遍布全球, 构成了一个比较高的威胁, 其造成的孤立的或短暂的中断可引起严重损害僵尸网络操纵者即攻击者 ; 然而, 他们侵入系统不是为了挑战或炫耀, 而是将多个系统联合起来发动攻击和散布钓鱼, 垃圾邮件和恶意软件攻击有时在地下市场可以获得被攻破的系统和网络的服务, 例如, 购买一次拒绝服务攻击或使用发送垃圾邮件或钓鱼式攻击的服务器犯罪团伙试图攻击系统以获取钱财具体来说, 有组织的犯罪集团利用垃圾邮件, 网络钓鱼, 间谍软件 / 恶意软件进行身份盗窃和在线欺诈国际企业间谍和有组织的犯罪集团也通过自己的能力进行工业间谍活动和大规模的货币盗窃, 并聘请或发展攻击人才, 从而构成对美国国家的威胁一些犯罪团伙可能用网络攻击威胁某个组织从而试图勒索金钱外国情报部门使用网络工具作为他们的信息收集和间谍活动的一部分此外, 一些国家正在积极发展信息战学说程序和能力这类能力使单一的实体就能造成显著的和严重的影响, 通过扰乱供电通信和支持军事力量的经济基础设施, 其后果可能会影响美国公民的日常生活心怀不满的内部人员是计算机犯罪的主要来源内部人员可能并不需要大量的计算机入侵相关知识, 因为他们对目标系统的了解, 往往使他们能够不受限制地访问系统从而对系统造成损害或窃取系统数据内部威胁还包括外包供应商以及员工意外地引入恶意软件到系统中内部人员可能包括员工承包商或商业合作伙伴不适当的策略程序和测试也会导致对 ICS 的影响对 ICS 和现场设备的影响程度可以是从琐碎的到重大的损坏来自内部的意外影响是发生概率最高的事件之一钓鱼者是执行钓鱼计划的个人或小团体, 企图窃取身份或信息以获取金钱钓鱼者也可以使用垃圾邮件和间谍软件 / 恶意软件来实现其目标垃圾邮件发送者包括个人或组织, 他们散布不请自来的电子邮件, 包含隐藏的或虚假的产品销售信息, 进行网络钓鱼计划, 散布间谍软件 / 恶意软件, 或有组织的攻击 ( 例如 DoS) 具有恶意企图的个人或组织通过制作和散布间谍软件和恶意软件进行对用户的攻击已经有一些破坏性的电脑病毒和蠕虫对文件和硬盘驱动器造成了损害, 包括 Melissa 宏病毒,Explore.Zip 蠕虫,CIH( 切尔诺贝利 ) 病毒, 尼姆达, 红色代码,Slammer

32 ( 地狱 ), 和 Blaster( 冲击波 ) Terrorists 恐怖份子 Industrial spies 工业间谍恐怖份子试图破坏中断或利用关键基础设施来威胁国家安全, 造成大量人员伤亡, 削弱美国经济, 并损害公众的士气和信心恐怖分子可能使用网络钓鱼或间谍软件 / 恶意软件, 以筹集资金或收集敏感信息恐怖分子可能袭击一个目标, 以从其他目标上转移视线或资源工业间谍活动, 旨在通过秘密的方法获得知识产权和技术诀窍 3.3 ICS 系统潜在的脆弱性本章所列举一些脆弱性是在工业控制系统 (ICS) 中可能会遇到的, 这些脆弱性排列的先后顺序不代表发生的可能性或影响的级别大小为了有助于信息安全决策, 这些脆弱性被划分成策略与程序类平台类和网络类脆弱性, 大多数在工业控制系统中常出现的一些脆弱性都可与归集到这几类中, 但也有一些例外, 对于一些特殊的工业控制系统脆弱性, 也可能不包含在以上分类中关于工业控制系统中出现的漏洞的详细信息, 在美国计算机应急小组 (US-CERT) 控制系统网站上有详细的研究在研究安全漏洞时, 容易全身心投入并非常有兴致地去研究并发布一些漏洞信息, 但到最后可能会发现这些漏洞的影响很小如附件 E 中所述,FIPS199 标准中已对信息和信息系统进行了安全事件分类, 分类的依据是根据对信息和信息系统的影响程度, 这些信息和信息系统是组织完成业务使命所依赖的, 也是组织需要保护和日常维护的对于工业控制系统安全漏洞带来的风险需要有一套风险评估的方法, 安全风险的大小, 同黑客挖掘到漏洞并找到针对该漏洞的攻击程序的可能性, 以及一旦发生攻击行为后对信息资产的影响大小密切相关, 此外, 该漏洞造成的风险大小还同以下一些因素相关, 包括 : 计算机网络架构及环境条件已部署的安全防护措施黑客发起攻击的技术难度内部嗅探的可能性

33 事故的后果事故的成本这些风险评估的细节在后续的第 4-6 章中有进一步详述策略和程序方面的脆弱性安全漏洞在工业控制系统中常见到, 主要是由于安全策略及程序文件不完全不适合或文件的缺失, 包括安全策略及实施指南 ( 实施程序 ) 等安全策略程序文档, 包括管理支持等, 是安全工作的基础, 通过正确的引导与实施, 企业安全策略的完善能够减少安全漏洞隐患, 比如通过调制解调器连接到工业控制系统时口令的使用与维护要求表 3-3 描述了工业控制系统中可能存在的策略与程序方面的安全漏洞 : 表 3-3 策略和程序上的脆弱性漏洞工业控制系统安全策略不当描述对于工业控制系统, 由于安全策略不当或策略不具体, 造成安全漏洞常有发生没有正式的工业控制系统安全培训和安全意识培养书面的正式的安全培训以及安全意识培养设计的目的是为了使全体职员了解最新的计算机安全标准和最佳实践, 并使组织的安全策略与程序同步更新安全架构和设计不足安全管理工程师由于安全培训机会较少, 对产品不够熟悉, 直到目前为止供应商还没有把一些安全特征移植到产品中对于工业控制系统, 没有开发出明确具体书面的安全策略或程序文件工业控制系统设备操作指南缺失或不足具体书面的安全策略或程序文件应当制定并对全体员工进行培训, 这是一个正确的安全建设的根基设备操作指南应当及时更新并保持随时可用, 这些操作指南是工业控制系统发生故障时安全恢复所必须的组成部分

34 安全执行中管理机制的缺失负有安全管理责任的员工应当对安全策略与程序文件的管理实施负责工业控制系统中很少或没有安全审计独立的安全审计人员应当检查和验证系统日志记录并主动判断安全控制措施是否充分, 以保证合乎 ICS 安全策略与程序文件的规定审计人员还应当经常检查 ICS 安全服务的缺失, 并提出改进建议, 这样能够使安全控制措施更有效没有明确的 ICS 系统业务连续性计划或灾难恢复计划组织应当准备业务连续性计划或灾难恢复计划并进行定期演练, 以防基础设施重大的软硬件故障发生, 如果业务连续性计划或灾难恢复计划缺失, ICS 系统可能会造成业务中断和生产数据丢失没有明确具体的配置变更管理程序 ICS 系统硬件固件软件的变更控制程序和相关程序文件应当严格制定, 以保证 ICS 系统得到实时保护, 配置变更管理程序的缺失将导致安全脆弱性的发生, 增大安全风险平台方面的脆弱性 ICS 系统由于程序瑕疵配置不当或维护较少而出现一些安全的脆弱性, 包括 ICS 系统硬件操作软件和应用软件, 通过各种安全控制措施的实施, 可以缓解因安全脆弱性问题导致的安全风险, 比如, 操作系统和应用程序补丁, 物理访问控制, 安全防护软件 ( 如病防护软件 ), 下表是一些潜在的平台方面的脆弱性的描述表 3-4. 平台配置方面的脆弱性表 3-5 平台硬件方面的脆弱性表 3-6. 平台软件方面的脆弱性 ; 表 3-7. 平台恶意软件防护方面的脆弱性 ; 表 3-4. 平台配置方面的脆弱性

35 脆弱性操作系统安全漏洞被发现后供应商可能没有开发出相应的补丁程序操作系统和应用软件补丁程序没有及时安装描述由于 ICS 系统软件及操作系统更新的复杂性, 补丁程序的更新必须面对广泛的回归测试, 从测试到最终发布之间有较长的漏洞暴露周期老版本的操作系统或应用软件可能存在最新发现的安全漏洞, 组织的程序文件中应当明确如何维护补丁程序 ; 操作系统和应用软件补丁程序没有进行广泛测试操作系统和应用软件补丁程序没有进行广泛测试就安装上线, 可能会对 ICS 系统的正常运转产生影响, 组织的程序文件中应当明确对新出现的补丁程序进行广泛测试 ; 使用缺省配置如使用缺省配置可能会导致不安全或不必要的端口或服务没有关闭 ; 关键配置文件没有存储备份措施组织应当在程序文件中明确对配置文件进行存储与备份, 以防偶然事故的发生, 防止黑客对配置文件进行更改, 造成业务中断或业务数据的丢失组织应当在程序文件中明确如何维护 ICS 系统的安全配置信息 ; 移动设备数据未保护如果敏感数据 ( 如密码, 电话号码 ) 被明文储存在手提设备例如笔记本电脑, 掌上电脑等, 这些设备被卡丢失或被盗, 系统安全可能存在风险需要建立政策程序机制来保护移动设备上的数据密码策略不当在使用密码时需要定义密码策略, 包括密码强度更改周期等, 如果没有密码策略, 系统可能没有适当的密码控制措施, 使未授权用户更可能擅自访问机密信息考虑到 ICS 系统及员工处理复杂密码的能力, 组织应当吧密码策略作为整体 ICS 安全策略的一个组成部分来制定未设置密码在 ICS 各组件上应实施密码访问策略, 以防止未经

36 授权的访问密码相关的漏洞, 包括没有密码 : 登录系统 ( 如果系统有用户帐户 ) 系统开机 ( 如果系统有没有用户帐户 ) 系统的屏幕保护程序 ( 如果 ICS 组件, 随着时间的推移无人值守 ) 密码认证策略不应妨碍或干扰 ICS 的应急响应活动密码丢失密码应保密, 以防止未经授权的访问密码披露的例子包括 : 张贴在众目睽睽下, 靠近本地系统和其他人共享用户个人帐户密码通过社会工程学, 黑客获取通讯密码通过未受保护的通信链路发送未加密的密码密码猜解弱口令很容易被黑客或计算机算法猜解, 从而获得未经授权的访问例子包括 : 很短的密码, 简单 ( 例如, 所有的小写字母 ), 或以其他方式不符合典型的强度要求密码强度也取决于对具体 ICS 能力, 以处理更严格的密码默认的供应商的密码在指定的时间间隔不更改密码没有访问控制措施访问控制措施不当可能会导致给 ICS 用户过多或过少的特权以下举例说明每一种情况下 : 系统默认访问控制策略允许系统管理员权限系统配置不当, 操作人员无法在紧急情况下采取应急响应措施应制定访问控制策略, 作为 ICS 安全策略的一部分,

37 表 3-5. 平台硬件方面的脆弱性脆弱性安全变更时没有充分进行测试描述许多 ICS 的设施, 尤其是较小的设施, 没有检测设备, 业务系统的安全性变更测试必须在现场环境下进行对关键设备没有充分的物理保护措施访问控制中心, 现场设备, 便携设备, 媒体, 和其他 ICS 组件需要被控制许多远程站点往往没有人员和物理监测控制措施未授权用户能够接触设备 ICS 设备的物理访问, 应只限于必要的人员, 同时考虑到安全的要求, 如紧急关机或重新启动未授权访问 ICS 设备可能会导致下列情况 : 物理盗窃数据和硬件数据和硬件的物理损坏或毁坏擅自变更功能的环境 ( 例如, 数据连接, 可移动媒体擅自使用, 添加 / 删除资源 ) 物理数据链路断开难以检测的数据拦截 ( 击键和其他输入记录 ) 不安全的远程访问 ICS 组件调制解调器和其他远程访问措施的开启, 使维护工程师和供应商获得远程访问系统的能力, 应部署安全控制, 以防止未经授权的个人, 从进入到 ICS 双网卡 (NIC) 连接网络使用双网卡连接到不同网络的机器可能会允许未经授权的访问和传递数据从一个网络到另一个未注册的资产要维护 ICS 的安全, 应该有一个准确的资产清单一个控制系统及其组成部分的不准确, 可能为非授权用户访问 ICS 系统留下后门无线电频率和电磁脉冲 (EMP) 用于控制系统的硬件是脆弱的无线电频率和电磁脉冲 (EMP) 影响范围可以从暂时中断的指令和控制电路板的永久性损害无备用电源对于关键资产如果没有备用电源, 电力不足将关闭

38 ICS 系统, 并可能产生不安全的情况功率损耗也可能导致不安全的默认设置环境控制缺失环境控制的缺失可能会导致处理器过热有些处理器将关闭以自我保护 ; 有些可能会继续工作, 但在输出功率较小, 产生间歇性的错误 ; 如果过热的话有的只是融化, 关键设备没有冗余备份关键设备没有冗余备份可能导致单点故障的发生表 3-6. 平台软件方面的脆弱性缓冲区溢出脆弱性描述 ICS 系统软件可能会出现缓冲区溢出, 黑客可能会利用这些来来发起各种攻击安装的安全设备没有开启防护功能拒绝服务攻击随产品安装的安全功能是无用的, 如果他们不启用或至少确定被禁用 ICS 系统软件可能会受到 DOS 攻击, 可能会导致合法用户不能访问, 或系统访问响应延迟因未定义定义不清, 或非法定义导致操作错误一些 ICS 在执行操作指令时对输入的数据包缺乏有效检测, 这些数据包的格式不正确或含有非法或其他意外的字段值过程控制的 OLE(OPC), 依赖于远程过程调用 (RPC) 没有更新的补丁, 对于已知的 RPC / DCOM 漏洞来说 OPC 是脆弱的和分布式组件对象模型 (DCOM) 使用不安全的全行业 ICS 协议分布式网络协议 (DNP)3.0,MODBUS,PROFIBUS, 以及其他协议, 应用于多个行业, 协议信息是公开的这些协议通常很少或根本没有内置的安全功能明文传输许多 ICS 的协议传输介质之间的明文传输的消息, 使得它们很容易被对手窃听开启了不必要的服务许多平台上运行着有各种各样的处理器和网络服

39 务不必要的服务很少被禁用, 可能会被利用专有软件的使用已经在会议和期刊上讨论过在国际 IT ICS 和黑帽会议讨论过, 并在技术论文, 期刊或目录服务器上已发表过此外,ICS 维修手册可从供应商那里获得这些信息可以帮助黑客成功地对 ICS 发起攻击软件配置和设计上认证和访问控制措施不足没有安装入侵检测 / 防护设备未经授权的访问, 配置和编程软件, 可能会损坏设备安全事件的发生可能会导致系统可用性的损失 ; IDS/ IPS 软件可能会停止或防止各类攻击, 包括 DoS 攻击, 也识别攻击内部主机与蠕虫感染者, 如 IDS / IPS 系统软件必须在部署之前进行测试, 以确定它不会影响 ICS 系统的正常运行日志未维护如果没有适当和准确的日志记录, 可能无法以确定是什么原因造成安全事件的发生安全事故未及时发现日志和其他安全设备已安装, 他们可能不是建立在实时监测的基础上, 因此, 安全事故可能不能迅速发现和处理表 3-7. 恶意软件保护方面的脆弱性脆弱性防恶意软件未安装描述恶意软件可能会导致性能下降, 失去了系统的可用性, 并捕捉, 修改, 或删除数据恶意软件保护软件, 如杀毒软件, 是需要, 以防止被恶意软件感染的系统防恶意软件版本或特征码未更新未更新的防恶意软件版本和定义可能会使系统恶意软件攻击威胁离开系统的开放新的恶意软件威胁防恶意软件安装前未进行广泛的测试防恶意软件安装前未进行广泛的测试可能会对 ICS 系统正常运转产生影响

40 3.3.3 网络方面的脆弱性在 ICS 中的漏洞可能会出现缺陷, 错误配置, 或对 ICS 网络及与其他网络的连接管理不善这些漏洞可以通过各种安全控制消除或者弱化, 如防御深入的网络设计, 网络通信加密, 限制网络流量, 并提供网络组件的物理访问控制本节中的表描述了潜在的平台漏洞 : 表 3-8 网络配置漏洞表 3-9 网络硬件漏洞表 3-10 网络边界漏洞表 3-11 网络监控和记录漏洞表 3-12 通信中的漏洞表 3-13 无线连接中的漏洞表 3-8 网络配置方面的脆弱性脆弱性网络安全架构描述 ICS 系统网络基础架构常常根据业务和运营环境的变化而发展变化, 但很少考虑潜在的安全影响的变化随着时间的推移, 安全漏洞可能会在不经意间在基础设施内的特定组件中产生, 如果没有补救措施, 这些漏洞可能成为进入 ICS 的后门未实施数据流控制数据流的控制, 如访问控制列表 (ACL), 需要限制哪些系统可以直接访问网络设备一般来说, 只有指定的网络管理员应该能够直接访问这些设备数据流的控制应确保其他系统不能直接访问设备安全设备配置不当使用默认配置, 往往导致不安全和不必要的开放端口和利用的网络服务的主机上运行配置不当的防火墙规则和路由器 ACL, 可以允许不必要的流量通行

41 网络设备配置文件未保存或备份一旦网络发生偶然的或黑客发起的配置变更事件, 需要有可行的操作程序, 以维护网络系统的高可用性, 并防止业务数据的丢失文件化的程序应制定来维护网络设备的配置设置数据传输中口令未加密密码通过传输介质明文传输, 易被黑客嗅探, 并获得对网络设备的未授权访问这样黑客可能破坏 ICS 的操作或监控 ICS 网络活动网络设备密码长期未修改密码应定期更换, 这样, 如果未授权用户获得密码, 也只有很短的时间访问网络设备未定期更换密码可能使黑客破坏 ICS 的操作或监视器 ICS 的网络活动访问控制措施不充分黑客未授权访问网络系统可能会破坏 ICS 的操作或监视器 ICS 的网络活动表 3-9 网络硬件方面的脆弱性脆弱性网络设备物理防护不足描述应该对网路设备的物理访问进行控制, 以防止破坏网络设备不安全的物理接口不安全的通用串行总线 (USB) 和 PS / 2 端口可以允许未经授权的拇指驱动器, 键盘记录等外设的连接物理环境控制缺失环境控制的缺失可能会导致处理器过热有些处理器会关闭, 以保护自己, 有的只是融化, 如果他们的过热非关键人员对设备和网络连接的访问应只限于必要的人员对网络设备的物理访问不当访问网络设备可能会导致下列任何一项 : 物理盗窃的数据和硬件数据和硬件的物理损坏或毁坏

42 未经授权的更改 ( 例如, 改变 ACL 来允许攻击进入网络安全环境 ) 未经授权的截取和操纵的网络活动物理数据链路断线或未经授权的数据链接连接关键网络设备没有冗余备份措施关键网络设备没有冗余备份措施可能导致单点故障表 3-10 网络边缘方面的脆弱性脆弱性未定义网络边界描述如果没有一个明确的安全边界的界定, 那么要确保必要的安全控制措施的正确部署和配置是不可能的, 这可能会导致未经授权的对系统和数据的访问未安装防火墙或防火墙策略配置不当防火墙配置不当可能允许不必要的数据传输, 这可能会导致几个问题, 包括允许攻击数据包和恶意软件在网络之间传播, 容易监测 / 其他网络上的敏感数据, 造成未经授权的系统访问专网中存在非法流量合法和非法流量有不同的要求, 如确定性和可靠性, 所以在单一网络上有两种类型的流量, 使得更难以配置网络, 使其符合控制流量的要求例如, 非法流量可能会无意中消耗网络带宽资源, 造成业务系统的中断专网中没有运行专用网络协议专网中运行一些 IT 服务, 如域名服务 (DNS), 动态主机配置协议 (DHCP), 这些协议常应用在 IT 网络中专网中运行这些服务会导致 ICS 网络对 IT 网络的依赖较大, 而 IT 网络对系统的可靠性和可用性要求没有 ICS 专网要求高

43 表 3-11 网络监控和日志方面的脆弱性脆弱性防火墙和路由器日志未开启 ICS 网络中没有安全监控设备描述如果没有合适详细的日志信息, 将不可能分析出什么原因导致安全事件的发生如果没有定期的安全监控, 事故可能被忽视, 导致额外的破坏和 / 或中断需要定期的安全监测, 以确定安全控制的问题, 如配置错误和失效, 表 3-12 网络通信方面的脆弱性脆弱性未识别关键监测点和控制路径采用了未加密的标准的正是的网络通信协议描述非法连接 ICS 网络可能会在 ICS 网络中留下攻击后门黑客可以使用协议分析仪或其他设备对网络协议进行分析, 以监控 ICS 网络活动, 一些协议如 Telnet, 文件传输协议 (FTP), 网络文件系统 (NFS) 协议等容易被黑客进行解码分析使用这样的协议更容易为对手进行攻击 ICS 和操纵 ICS 网络提供便利用户数据与设备认证手段不足许多 ICS 协议没有任何级别的身份验证措施未经身份验证, 黑客可能多次攻击并修改或伪造数据设备, 如伪造传感器和用户身份网络通信数据完整性校验不足大多数工业控制协议中没有数据完整性校验, 黑客可能操纵通信数据为确保通信数据完整性,ICS 可以使用较低层协议 ( 如 IPSec) 提供数据完整性保护

44 表 3-13 无线网络连接方面的脆弱性脆弱性无线客户端和接入点的认证措施不足描述无线客户端和接入点之间需要很强的相互认证, 以确保客户端不连接到恶意接入点, 也确保黑客无法连接到 ICS 网络无线客户端和接入点之间的数据传输保护措施不足无线客户端和接入点之间的敏感数据, 应使用很强的加密措施, 以确保黑客无法获得未加密的数据进行未经授权的访问 3.4 风险因素目前有几个因素导致 ICS 控制系统风险的日益增加, 这些在第至更详细讨论 : 采用标准化的协议和技术, 安全漏洞已知连接到其他网络控制系统不安全和非法的网络连接 ICS 系统相关技术信息的广泛普及标准的协议和技术 ICS 的厂商已经开始开放其专有协议和发布他们的协议规范, 使第三方厂商建立兼容的配件组织也从专有系统迁移到更便宜的系统, 如 Microsoft Windows 和 Unix - like 的操作系统以及常见的网络协议, 如 TCP / IP 的标准化技术, 以降低成本和提高性能这种开放式系统的演变还由于另一种标准的 OPC 协议的使用, 它使控制系统和基于 PC 的应用程序之间建立交互使用这些开放的协议标准具有经济性和技术优势, 但也增加了 ICS 的网络事件的脆弱性这些标准化的协议和技术, 很容易受到黑客挖掘漏洞并有效利用

45 3.4.2 网络连接扩大随着组织的信息系统管理模式的发展业务及操作需求变化,ICS 系统和企业的 IT 系统常出现互联现象远程访问的需求, 促使许多组织建立连接到 ICS 系统, 这样 ICS 维护工程师和技术支持人可以远程监视和操控 ICS 系统许多组织也增加了企业网络和 ICS 网络之间的连接, 让组织的决策者, 以获得有关其业务系统的状态的关键数据, 并发送产品生产指令或分发指令在早期的实践中, 这可能通过客户应用程序软件或通过 OPC 服务器 / 网关来实现, 然而, 在过去十年里, 已通过传输控制协议 / Internet 协议 (TCP / IP) 网络和标准化 IP 的应用, 如文件传输协议 (FTP) 或可扩展标记语言 (XML) 的数据交换来实现通常情况下, 这些连接是在没有相应的安全风险的充分认识情况下实施的此外, 企业的网络往往是战略合作伙伴网络和互联网连接控制系统也使更多的广域网和互联网将数据传输到远程或本地站和单个设备 ICS 系统网络与企业网络的连接增加了访问控制上的脆弱性除非适当的安全设备的部署, 这些漏洞可能把 ICS 网络架构的各个方面暴露给黑客组织, 并可能导致来自互联网的各种安全威胁, 包括蠕虫病毒恶意软件等例如在控制系统威胁的变化情况, 一位不愿透露姓名的能源组织的内部调查结果如下 : 大多数经营单位的管理者, 相信他们的控制系统没有连接到企业网络审计结果显示, 大部分控制系统通过某些方式与企业网络连接企业网络只能保障一般业务处理系统的安全, 而不能保障安全性要求极高的系统随着业务环境复杂性的增加,IT 系统的目标和过程控制系统的目标有根本性的区别, IT 系统通常将性能保密性和数据完整性作为首要需求, 而 ICS 系统则将人类和设备安全作为其首要责任, 因此, 系统的可用性和数据完整性的具有较高核心级其他的区别, 在 3.1 节的讨论, 包括可靠性要求的差异, 事件的影响, 性能预期, 操作系统, 通信协议, 以及系统架构这可能意味着在安全建设实践存在显著差异

46 3.4.3 不安全和恶意的连接许多 ICS 供应商已经交付拨号调制解调器系统提供远程访问, 以减轻技术支持人员进行远程维护的负担有时远程访问提供了系统管理员级别的访问权限, 如使用一个电话号码, 或访问控制凭据 ( 例如, 有效身份标识, 和 / 或密码 ) 黑客可能使用战争拨号器进行暴力破解, 寻找破解密码的手段以获得远程访问系统用于远程访问的密码往往设置比较简单, 且用户可能长时间没有更改这些类型的连接可能使系统变得非常脆弱, 因为远程用户可以通过供应商安装的调制解调器以较高级别的身份访问 ICS 系统组织往往在不经意间留下的访问链接, 如拨号调制解调器进行远程诊断, 维护, 和监测此外, 控制系统越来越多地利用无线通信系统, 它可能是脆弱的没有采取认证和 / 或加密保护的访问链接可能给远程访问控制系统增加安全风险这会导致用户在数据的完整性以及系统的可用性之间做平衡和折中, 这两者都可能对公众及 ICS 设施安全性产生影响在部署加密之前, 首先要确定加密是否是一种专用 IC 应用合适的解决方案第章节对 ICS 环境中使用加密提供了更多的信息企业网络和 ICS 之间互连需要许多不同的通信标准的集成, 其结果往往是在两个独立的系统中设计了可以进行数据传输的基础设施通道由于集成不同的系统的复杂性, 控制工程师们往往很难承受因评估安全风险而增加的工作量许多控制工程师几乎没有任何安全培训,ICS 组织中也常缺乏 IT 安全人员参与设计因此, 未保护企业网络免受未经授权的访问的安全访问控制措施经常是比较少的此外, 底层协议的机制可能不能很好地理解, 从而漏洞可能存在, 甚至可能会抵消安全措施的防护效果如 TCP / IP 协议及其他协议没有进行分析, 这可能导致在网络层或应用层的安全事件的发生公开的信息信息公开主要指 IC 设计, 维护, 通信等很容易在互联网上获得信息, 如在产品选择上, 开放标准的使用等 ICS 的供应商也卖工具包, 以帮助第三方开发软件, 实现了在 ICS 环境中使用各种公开标准也有许多前雇员, 供应商, 承

47 包商和其他最终用户使用过相同的 ICS 设备, 他们了解 ICS 系统内部运作机制例如, 有人利用自己对 ICS 系统的深层了解制造了 Maroochy Shire 污水外溢事件, 众多 ICS 网络安全事件之一, 该事件的其它信息在 3.7 节中油描述信息和资源提供给潜在的对手和来自世界各地的入侵者, 有了这些信息, 攻击者可能用很少的控制系统的知识, 采用自动攻击和数据挖掘工具, 使用出厂设置的默认密码, 就可以获得未经授权的访问控制系统的控制权, 这些默认密码是从来没有改变过的 3.5 安全事件举例对 ICS 系统有一些可能的安全事件的例子, 比如 : 通过延迟或阻塞通过企业或控制网络的信息流以控制系统的运转, 从而对控制系统网络的可用性进行影响, 或者通过对一些本地服务发起拒绝服务攻击以中断数据流,IT 本地服务 ( 如 DNS); 未经授权更变 PLC 的编程指令, 远程终端装置 (RTU),DCS 系统或 SCADA 控制器, 报警阈值等, 从而可能导致设备损坏 ( 如果超出容错极限 ), 未经授权的更改, 过早关闭进程 ( 如过早关闭传输线 ), 造成环境的事件, 甚至禁用控制设备虚假信息发送到控制系统的操作者, 要么导致未经授权的更改, 或操作者采取不合适的手段 ; 控制系统软件和配置信息被篡改, 产生不可预知的结果 ; 安全系统运转受到干扰 ; 恶意软件 ( 如病毒蠕虫木马等 ) 传播到 ICS 系统 ; 关键信息 ( 如生产产品的原料和指南 ) 或工作指令被更改后对产品设备或人员带来损害此外,ICS 控制系统覆盖了广泛的地理区域, 该区域往往没有工作人员值守, 没有监控手段如果这种远程系统在物理上暴露, 黑客可能建立一个连接返回到控制网络

48 以下是两个有待证实的 ICS 安全事故的案例 : 使用战争拨号器, 简单的计算机程序连续拨号, 寻找网络上的调制解调器, 黑客发现连接在电力传动控制系统上的可编程断路器, 破解密码, 获得对断路器的访问控制, 并更改控制器的设置从而导致当地停电和设备损坏黑客降低了一些断路器的设置, 从 500 安培 (A) 到 200A, 停止这些线路的服务, 并分流到邻近线的线路上与此同时, 黑客提高了临近的控制设备的设置到 900A, 防止断路器跳闸, 从而使线路超负荷运转这将导致变压器等关键设备的重大损坏, 造成在漫长的修复时间而中断一个服务大都市区的电厂已经和企业网络进行了隔离, 并安装了最先进的防火墙, 部署了入侵检测和保护措施一名工程师轻易在当地一所大学继续教育研讨会网站下载文件并无意中引入了 ICS 控制网络中, 就在早上业务高峰时间, 操作员屏幕变为空白, 系统关闭虽然这些情景是假设的, 他们所代表的 ICS 潜在事故场景 3.7 节提供了几个实际的 ICS 事件摘要 3.6 安全事故来源关于 ICS 控制系统安全事件的准确的统计数据很难统计然而, 在行业内大家都注意到这样一个现实, 在传统的 IT 系统中漏洞增长的趋势和在工业控制系统中发现的漏洞增长趋势有一些相似之处有一个安全组织 (RISI)3, 其目的是跟踪网络安全性质的事件, 直接影响 ICS 和流程库这包括, 如意外的网络相关的事件, 以及未经授权的远程访问,DoS 攻击和恶意软件渗透, 如恶意事件收集数据, 通过研究为公众所知的事件, 并从各成员组织未公开报告中收集数据, 这些成员组织都希望能够远程访问数据库每个安全事故案例都是根据可靠程度进行调查和评估过收集到得数据包括以下一些内容 : 事件标题事件日期

49 报告的可靠性事件类型 ( 例如, 事故, 病毒 ) 行业 ( 如石油, 汽车 ) 事件来源 ( 如互联网, 无线, 调制解调器 ) 报告人系统和硬件类型的影响事件的简要说明对组织的影响采取措施, 以防止复发引用截至 2006 年 6 月,119 起事件案例已调查核实并记录在数据库中,15 起事件仍有待调查其中,13 起事件标记为恶作剧或不太可能发生的事件, 并从研究数据中删除图 3-1 显示了 1982 年至 2006 年事件的趋势, 这表明在 2001 年左右开始的事件急剧增加现代 ICS 系统的复杂性留下了许多漏洞以及攻击向量攻击可能来自许多地方, 包括通过企业网络或间接直接通过互联网, 虚拟专用网 (VPN), 无线网络, 以及拨号调制解调器其他来源的事件信息显示 ICS 控制系统事件在增加目前尚不清楚是否有更多的事件发生或只是更多的事件被发现和报告图 3-1 ICS 系统每年安全事件统计 ICS 系统安全事件主要有以下几类 :

50 故意有针对性的攻击, 如未经授权访问文件, 执行拒绝服务, 或欺骗的电子邮件 ( 即伪造电子邮件发送者的身份 ) 非故意后果或设备损害, 来自蠕虫, 病毒或控制系统故障无意的内部安全的后果, 如不适当的测试业务系统或未经授权的系统配置的变化三类安全事件中, 有针对性的攻击发生的频率最少有目标的攻击可能是最具破坏性的, 但还需要详细了解系统及基础配套设施因此, 最有可能的威胁类型是无意威胁和心怀不满的员工, 前雇员, 或组织工作的人 3.7 收录的安全事件正如在 3.6 节中提到的, 有三大类的 ICS 事故, 包括蓄意攻击, 无意攻击或蠕虫, 病毒或控制系统发生故障, 无意的内部安全损害, 如不适当的测试业务系统或未经授权的系统配置的变化, 从这些类别的事件的报道包括以下内容 : 内部有目标攻击事件伍斯特空中交通通讯事故 1997 年 3 月, 一个马萨诸塞州伍斯特市少年, 使用拨号调制解调器使公共电话交换系统部分发生瘫痪这导致机场控制塔电话通信发生中断, 影响机场安全, 机场消防, 气象服务, 机场地面运输等此外, 该塔用于激活跑道灯的主要无线电发射机和另一个发射器被关闭, 对监视飞行进展有很大影响该攻击也使拉特兰附近的 600 个家庭和商业机构的电话通信系统发生中断 Maroochy 污水泄露事件在 2000 年春天, 一个开发制造业软件程序的澳大利亚组织的前雇员应聘当地政府的一个工作, 但遭到了拒绝被拒绝的心怀不满的雇员在超过了为期两个月的的时间内, 据说多达 46 次使用无线电发射机, 远程入侵污水处理系统的控制他改变了电子数据, 特别是污水处理泵站, 造成系统操作故障, 最终释放到附近的河流和公园约加仑未经处理的污水 Stuxnet 蠕虫 Stuxnet 蠕虫是针对 Microsoft Windows 的电脑系统的,

51 在 2010 年 7 月, 其攻击目标专门针对工业控制软件和设备该蠕虫最初肆意蔓延, 但攻击目标为特定的 SCADA 系统, 该系统对具体的工业生产过程进行控制和监视无意特定目标的攻击事件 CSX 的列车信号失灵 2003 年 8 月,Sobig 计算机病毒的传播导致感染该病毒的铁路信号灯关闭, 该铁路横跨美国东海岸该病毒感染佛罗里达州的总部计算机系统, 并关闭铁路信号灯, 干扰调度据美铁发言人 Stessel 透露, 有 10 个火车在上午受到影响由于信号灯关闭, 匹兹堡大学和佛罗伦萨南卡罗来纳州之间的列车停止, 并从弗吉尼亚州的一个区域的火车到华盛顿和纽约发生两个多小时的延迟长途列车也被延迟 4 到 6 小时之间戴维斯 Besse 年 8 月, 核管理委员会证实, 在 2003 年 1 月, 已知的 Microsoft SQL Server 蠕虫在俄亥俄州橡树港感染了闲置的戴维斯 Besse, 核电厂的私人电脑网络, 导致安全监控系统停用近五年小时此外, 工厂的过程中电脑失败, 前后历时约六小时后恢复蠕虫还感染了至少 5 个其他公用设施的控制网络上的通信据, 受到如此迅速地传播后造成通信流量堵塞东北电网瘫痪 2003 年 8 月, 在第一能源的 SCADA 系统由于有足够的态势感知电网的关键业务的变化的能力而拒绝控制室操作员的指令此外, 由于对拓扑结构变化的信息没有充分把握, 缺乏业务连续性分析, 西部地区的 ICS 系统发生业务连续性中断, 俄亥俄州北部区域中的几个关键的 345 千伏输电线路与树木接触, 这最终发生连锁反应导致 345 千伏和 138 千伏线路过载共有兆瓦的电量发生损失 Zotob 蠕虫 2005 年 8 月, 一轮互联网蠕虫感染导致戴姆勒 - 克莱斯勒的美国汽车制造厂 13 台设备下线隔离将近一个小时, 感染了微软 Windows 系统补丁的设备已经安装了补丁程序在伊利诺伊, 印第安纳, 威斯康星, 俄亥俄, 特拉华州和密歇根州的大量设备被迫离线虽然蠕虫病毒影响的主要是 Windows 2000 系统, 它也影响到一些早期版本的 Windows XP 症状包括反复关闭计算机并重新启动 Zotob 蠕虫及其变种造成的重型设备制造商卡

52 特彼勒公司, 飞机制造商波音公司, 和美国几家大型新闻机构的电脑停止运行 Taum Sauk 蓄水坝事件 2005 年 12 月,Taum 索克水蓄水坝遭受了灾难性的失败, 释放一亿加仑的水水库发生故障被填满水库的容量或可能已被溢出目前掌握的失效原因是夜间蓄水池满后抽水泵没有停止工作, 继续抽水, 导致池水溢出根据大坝 AmerenUE 仪表读取的监测数据与远程监控的监测仪表数据不同, 该站是通过微波发射塔网络与大坝连在一起的,Taum 大坝现场没有人员值守贝灵汉华盛顿汽油管道失效 1999 年 6 月,90 万升汽油 (237,000 加仑 ) 从 16 管道泄漏, 点燃 1.5 小时, 造成 3 人死亡,8 人受伤, 大量财产损失管道故障加剧了控制系统无法进行控制和监视功能在事件发生前夕和在事件中,SCADA 系统表现不佳, 抑制管道控制器对异常管道运行状态进行监测并及时响应 NTSB 在 2002 年 10 月颁布的报告中提出了一个重点建议, 推荐利用场外开发和测试系统对 SCADA 数据库的变化情况进行测试内部无明确攻击目标的事件漏洞扫描事件一旦对正在运转的 SCADA 网络 ( 该网络控制 3 米 (9 英尺 ) 的机械臂 ) 进行 ping 扫描, 这只机械臂变得活跃并出现 180 度左右摇摆机械臂控制器在 ping 扫描开始前为待机模式下运转在另一起事件中,ping 扫描正在执行对 ICS 网络上的网络和主机进行扫描, 并造成了生产工厂中集成电路制造设备出现挂起这个事件造成价值 50,000 元的晶元的损失 ICS 脆弱性评估的其他指导, 请参阅第节渗透测试事件天然气公用事业聘请 IT 安全咨询机构, 其企业 IT 网络进行渗透测试咨询机构在渗透测试时不小心进入直接连接到 SCADA 系统的网络, 结果导致 SCADA 系统和实用程序被锁住, 四个小时内天然气管道无法输气, 导致四个小时的服务中断

53 4.ICS 系统安全程序开发与部署正如在 3.1 节所述,ICS 和 IT 系统之间存在较大的差异, 这将影响 ICS 系统采用何种安全控制措施因此, 组织应制定和部署 ICS 安全策略与程序, 这些安全策略和 IT 安全策略与程序应当是一致的, 但必须符合 ICS 的技术和环境的具体要求和特点组织应定期审查和更新他们的 ICS 安全计划和方案, 以适应新技术, 业务, 标准和法规的变化本节提供了 ICS 安全计划的开发和部署的概述 4.1 节介绍了如何建立一个 ICS 安全计划的商业案例, 包括业务方面的建议内容 4.2 节讨论的一个全面的 ICS 安全计划发展, 并提供部署方案的几个主要步骤信息该文件的第 5 和 6 对可能涉及到的具体的安全控制措施进行了说明 4.1 业务影响分析 ICS 在实施网络安全方案的第一步是制定一个有吸引力的满足组织独特需求的商业案例商业案例应该获取高层管理者对业务方面所关注的问题, 这些是问题在其它很多类似风险处理中具有相同经验业务价值分析提供了对业务的影响分析, 和创建一个综合的网络安全方案的财务理由它应包括有关以下内容的详细信息 : 收益, 包括改善控制系统的可靠性和可用性, 创建一个集成的安全方案如果一个网络安全方案在 ICS 系统中没有落实, 带来的潜在的成本和损害的情况在实施, 运作, 监控, 审查, 维护等环节有高层的指导与支持, 以该进网络安全方案制定, 实施和维持安全程序所需的成本和资源在提出商业管理案例之前, 应该有审慎的动态的安全实施和成本计划例如, 简单地要求一个防火墙是不够的, 有很多原因可以说明

54 4.1.1 收益负责任的风险管理政策应测量和监测 ICS 系统所面临的安全威胁, 以保障员工的利益, 公众, 股东, 客户, 供应商和社会的利益风险分析可以权衡成本和收益, 这样组织能作出保护措施明智的决定此外, 降低风险, 行使尽职尽责的调查, 也有利于组织 : 提高控制系统可靠性和可用性提高员工的士气, 忠诚度和保留减少社会各界的关注增加投资者的信心降低法律责任提升企业的形象和声誉帮助保险的覆盖范围和成本改善投资者和银行的关系一个强大的安全和网络安全管理方案是一个可持续的商业模式的根本潜在影响随着企业对互联互通依赖的增加, 应进一步强调安全系统的重要性 DoS 攻击和恶意软件 ( 如蠕虫, 病毒等 ) 已太常见了, 已经影响 ICS 系统此外, 在一些关键的基础设施的计算机系统出现故障后可能有显著的物理影响影响的主要类别如下 : 物理影响物理影响包括 ICS 失效的直接后果最重要的潜在影响, 包括人身伤害和生命损失其他影响包括财产损失 ( 包括数据 ) 和潜在的对环境的破坏经济的影响对经济的影响是从 ICS 事件引起的物理影响的连锁效应物理影响, 可能导致系统操作的影响, 这反过来又造成设施或组织更大的经济损失在规模较大, 这些影响可能带来负面影响的地方, 区域, 国家, 或可能是全球经济社会影响另一个连锁效应, 是国家或公共组织的信心丧失后带来的后

55 果, 这可能被多次忽略然而, 这是一个很现实的目标, 可通过 ICS 事件来反应下面列出了一个 ICS 事件的潜在后果请注意, 此列表中的项目都不是独立的的事实上, 一个后果的发生可以导致另一个后果的出现例如, 有害物质的释放可能会导致受伤或死亡恐怖主义行为对国家安全的影响在一个网站或多个网站同时产生生产数据丢失员工受伤或死亡社会公众人受伤或死亡设备损坏有害物质的释放, 转移, 或盗窃对环境的损害违反监管要求产品污染刑事或民事法律责任专有或机密信息的损失品牌形象或客户信任的损失任何形式的不良事件都会给一个组织的价值造成损失, 但安全和安全事故, 相比其他类型的事件而言, 对所有利益相关者, 员工, 股东, 客户, 社区组织经营, 都有较长期的负面影响业务影响分析的关键组成部分业务影响分析有四个主要组成部分 : 较高优先级的威胁, 较高优先级的业务后果, 较高优先级的商业收益和可估算的每年对业务的影响较高优先级的威胁在 3.2 节中提供的潜在威胁的清单需要细化到这些威胁, 该组织认为可能实际影响安全设施例如, 食品和饮料的组织可能无法找到一个可信的恐怖主义威胁, 但可能更关注的是病毒, 蠕虫和心怀不满的员工

56 较高优先级的业务影响节中提供的业务的潜在后果的列表需要进一步提炼, 以使高级管理人员会发现最引人注目的后果例如, 在相对较低的温度和压力, 没有处理有毒或易燃材料, 通常一个组织食品和饮料加工其产品可能不会对设备损坏或环境影响有关, 但可能更多关注生产供应和退化损失产品的质量合规性也可能引起人们的关注个人不得减少可能产生的后果, 以避免采取适当的安全风险缓解行动萨班斯 - 奥克斯利法案要求企业的领导人签署遵守信息的准确性和保护企业信息, 大多数内部和外部审计事务所必须做尽职调查的示范, 以满足股东和其他组织的利益相关者通过实施全面的网络安全方案, 管理行使尽职调查较高优先级的业务收益改进的控制系统的安全性和控制系统特定的安全政策有可能提高控制系统可靠性和可用性这也包括因不适当的测试策略系统的错误配置等对 ICS 系统造成的影响减至最低估算每年的业务影响在业务影响列表中优先级最高的项目, 应进行评估, 以获得估计每年对业务的影响大小, 最好但未必仅在财务方面例如, 对于食品和饮料的机构, 该组织可能在其内部发生病毒事件, 网络信息安全人员评估的结果就是一些具体的财务损失如果内部网络和控制网络是相互关联的, 可以想象的是, 来自控制网络的病毒事件, 可能导致对业务的相同影响 NIST SP800-39[19] 和 ISO / IEC 提供额外的指导业务影响分析的资源有助于形成商业案例的主要资源是在贸易和标准组织咨询公司和从事风险管理和运营的内部资源在贸易和标准组织的外部资源往往可以提供有用的提示, 是什么因素最强烈地影响了他们的管理, 并在其组织内部哪些是最有用的资源针对不同的行业, 这些因素可能会有所不同, 但在其他风险管理专家可以扮演的角色方面可能有相似之处附录 C 提供了一些在 ICS 安全当前活动的清单, 并简短描述

57 内部和风险管理工作相关的资源 ( 例如, 信息安全, 健康, 安全和环境风险, 人身安全, 业务连续性等 ), 在组织中相关事件处理经验的技术上, 提供了巨大的支持这些资源是从优先的威胁和评估业务的影响的角度来看是有用的这些资源也可以提供信息, 管理人员集中处理哪些风险, 因此, 管理员可能是最合适的, 或接受作为一个冠军在控制系统的工程和运营内部资源可以提供控制系统是如何在组织内部署的细节, 如以下的见解 : 网络通常是如何隔离的部署了哪些远程访问连接如何设计高风险的控制系统或安全仪表系统通常采用了什么样的安全措施向领导介绍商业案例企业的领导将负责审批和推动网络安全政策, 分配安全角色, 并实现跨组织的网络安全方案整个计划的资金通常可以分阶段进行虽然可能需要一定的资金, 开始网络安全的建设, 另外的资金待安全漏洞和建设需求进一步明确后再追加此外, 还应考虑 ICS 系统初期安全建设与后期升级换代的成本 ( 包括直接和间接 ) 通常情况下, 获得管理层收购来解决这个问题的一个好方法是使一个成功的第三方实际的例子的商业案例落地商业案例管理中, 其他组织也面临同样的问题, 然后提出他们发现了一个解决方案, 以及是如何解决的这往往会促使管理层自问, 是什么解决的办法, 以及如何适用于他们的组织的管理 4.2 开发一套综合的安全程序文件在 ICS 系统中有效地实施安全建设, 需要定义和执行一个全面的计划, 涉及安全的各个方面, 从确定目标到日常的日常运作和持续审计合规性和改善本节介绍了制定一个安全计划, 其中包括以下的基本过程 : 获得高级管理人员支持建立和培养一个跨职能的团队

58 定义纲领和范围定义特定的 ICS 的政策和程序定义和 ICS 的资产进行风险和脆弱性评估定义缓解控制措施提供培训和提高 ICS 的工作人员的安全意识在 ANSI/ISA 工业自动化和控制系统的安全提供了更多的各个步骤的详细信息 : 建立一个工业自动化控制系统安全计划组织安全计划的实施, 是从高层开始的网络安全高级管理人员必须表现出明确的承诺网络安全是一个组织的责任, 尤其是领导成员在业务流程和管理方面负有的责任从组织高层那里获得的充足的资金和指导, 会使组织在实施安全方案时更容易实现合规性, 运转更顺畅, 比没有获得支持的方案有更多成功的可能每当一个新的系统设计和安装, 在整个生命周期过程中都需要考虑安全性, 从架构到采购, 安装到维护退役那种认为产品上线后是安全的假设有很多严重的风险如果在系统部署前没有足够的时间和资源, 那么在以后解决安全问题可能会耗费很多时间高层管理者的支持高级管理人员引进和参与 ICS 安全计划是 ICS 安全计划成功的关键高级管理人员需要在一定的水平上, 包括 IT 和 ICS 操作建立和训练一支跨职能的团队这是一个跨部门的网络安全团队, 分享他们的不同领域的知识和经验, 以减轻 ICS 的风险网络安全团队至少应该包括组织的 IT 人员, 控制工程师, 控制系统的操作, 安全课题专家和管理人员安全知识和技能应包括网络架构和设计安全的程序和操作安全基础设施的设计和运作网络安全团队的连续性和完整性, 也应包括控制系统供应商和 / 或系统集成商网络安全小组应直接向现场管理 ( 例如, 设备管理员 ) 或公司的 CIO/ CSO 汇报, 接受完整的 ICS 网络安全的

59 责任和问责管理一级的问责制将有助于确保网络安全工作的持续开展控制工程师在保护 ICS 系统安全中将起到很大的作用, 如果他们没有 IT 部门和管理者的合作与支持, 工作将很难开展 IT 已具有多年的安全实践, 其中大部分是可应用在 ICS 中控制工程和 IT 的文化往往具有显著的不同, 对双方来说都是未知的, 跨文化的理解和整合将在安全设计和操作中至关重要的定义纲领和范围网络安全小组应建立企业的安全策略, 该安全策略定义了安全组织的角色, 责任, 系统的所有者和使用者做负有的责任该小组应建立安全计划的目标, 业务影响分析, 业务支撑的所有电脑系统和网络, 所需的预算和资源, 职责分工等范围的定义包括业务培训审计法律和法规的要求, 以及时间表和责任对组织的 IT 业务系统可能已经有一个操作程序或需要开发该小组应确定哪些现有的做法对 ICS 系统有影响, 哪些活动是具体的的做法从长远来看, 如果团队能与组织中的其他人有类似的目标共享资源, 这将对安全活动产生积极的影响定义 ICS 详细的安全策略和程序策略和程序是每一个成功的安全体系的根本,ICS 的特定的安全策略和程序应与现有的运作 / 管理策略集成这些政策越浅显易懂, 他们就越有可能在各级实施策略和程序应确保安全保护措施和是当前现状一致, 以抵御不断变化的威胁, 也有利于教育在清楚地了解了各个系统的风险后, 网络安全小组应审查现有的安全政策, 看他们是否足以应对当前 ICS 安全风险如果需要, 现有的策略应修改或创建新的策略, 以解决桌面和业务系统的安全问题很少组织有足够的资源来强化 ICS 系统所有可能面临的威胁 ; 管理层要引导安全策略的变更, 根据风险评估, 将设置安全的优先级和目标, 使组织的威胁所造成的风险减至最低需要制定支持策略的程序文件, 使策略在 ICS 中的实施更充分和适当安全程序文件应当形成文档并经过测试, 并根据策略和技术的变化定期更新 ICS 的安全策略和程序制定中应考虑国土安全咨询机构安全威胁级别定义, 随着安全威胁

60 的增加部署相应的安全设备抵御日益增长的安全姿势定义 ICS 系统和网络资产清单目录网络安全小组应确定内部和连接到 ICS 内的计算机系统网络及应用应该把重点放在系统上, 而不是仅仅设备上, 并应包括的 PLC,DCS,SCADA 系统, 作为人机界面等, 使用监控设备和仪器系统使用路由协议或拨号访问的资产应当记录在案作 ICS 的资产标识, 信息应记录在一个标准的格式该小组应审查和更新每年 ICS 资产清单有几个商业企业目录的工具, 它可以识别在网络上的所有硬件和软件资产在识别 ICS 的资产之前必须小心使用这些工具 ; 项目组应先进行一个评估, 如何使用这些工具, 对工作产生怎样的影响工具评估可能包括类似, 非生产环境的环境测试, 以确保该工具不会对生产系统产生不利影响虽然这种影响可能在 IT 系统中可以接受, 但在 ICS 系统中却不可以在第节提供扫描和库存工具的其他信息和指导进行漏洞与风险评估因为每个组织的资源是有限的, 组织应进行 ICS 系统的风险评估, 根据对业务系统的潜在影响, 利用其评估结果把 ICS 系统的优先级区别出来然后对该组织中最高优先级的系统进行脆弱性评估, 低优先级的系统可以看成是可以接受的风险脆弱性评估将有助于确定可能会对 ICS 的保密性, 完整性和可用性有影响的安全漏洞, 以及与相关的网络安全风险和缓解方法, 以减少系统的风险由于存在设备中断的可能性, 漏洞扫描器应在 ICS 生产网络中谨慎使用一个主要原因是可能会对 ICS 产生偶然的 DoS 攻击漏洞扫描器通常通过广泛的探测尝试验证, 模型攻击行为对系统和网络设备进行扫描 ICS 的设计和建造到现实世界的过程或设备的自动化控制, 如果由于错误指令, 他们可以执行错误的操作, 将造成产品损失, 设备损坏, 人员伤害甚至死亡下面的例子展示了危害 : 当在一个活跃的 SCADA 网络上进行 ping 扫描时, 被 ICS 控制的 9 英尺长

61 的机械臂的变得活跃并进行 180 度左右摇摆在 ping 扫描开始前 ARM 控制器在待机模式在 ICS 网络执行一个 ping 扫描, 以确定在线的主机, 结果造成了系统的控制锁定, 导致晶元价值 50,000 元的破坏天然气公用事业聘请 IT 安全咨询机构, 对其企业 IT 网络进行渗透测试咨询机构不小心进入 ICS 网络, 这是直接连接到 SCADA 系统的一部分渗透测试锁定了 SCADA 系统和实用程序, 导致天然气管道无法传输燃气, 造成中断四个小时在 ICS 内部查找一个安全漏洞, 需要一个同典型的 IT 系统不同的方法在大多数情况下, 在 IT 系统上的设备可以重新启动, 恢复, 或短时中断对客户提供的服务, 而对 ICS 控制一个物理过程, 因同现实世界直接相关, 一些操作对时间的要求极高, 而另一些则可以在较为宽松的时间内完成进行漏洞扫描系统或网段时, 也有一般执行的几个步骤每个步骤都列在表 4-1, 除了通常的 IT 措施外, 在 ICS 系统中可采取的一些建议操作, 以使任何测试的结果更安全这些技术可能使工作较为困难, 但应有助于减轻与主动扫描相关的问题表 4-1 ICS 漏洞评估建议的操作扫描对象常用的 IT 手段建议的 ICS 手段主机节点和网络 PING 扫描 ( 如 NMAP 扫描 ) 检查路由器配置文件或路由表进行物理校验 ( 物理线路等 ) 部署网络入侵检测措施 ( 如 SORT) 定义 IP 子网, 防止自动化程序扫描开启的服务端口扫描 ( 如 NMAP) 做本地端口检查 ( 如 NETSTAT) 扫描备用机, 或非生产系统或测试用机服务漏洞漏洞扫描 ( 如 NESSUS) 版本标识检查 ;

62 扫描备用机, 或非生产系统或测试用机以上所建议的 ICS 手段的共性是, 他们不会对生产经营网络产生大流量, 或对生产系统产生抵触这些侵扰程度较低的方法, 如果不是全部都可以收集, 更积极的方法无需在测试过程中造成失败的风险另一个要考虑的因素时, 选择 ICS 的测试方法同 IT 系统相比,ICS 系统容量比较小 ICS 系统已远远大于他们的 IT 同行的寿命, 因此, 他们的硬件往往是远远落后于技术发展水平, 并可以很容易地超负荷此外,ICS 系统通常是在传统的网络上需要低延时运行速度缓慢, 可能在主动测试过程中被产生的流量所淹没当任何一个 ICS 系统进行评估操作时,ICS 的人员必须意识到测试已经发生, 并准备立即解决出现的任何问题如果手动控制系统是可行的, 在安全测试中能够执行手动控制的人员应在场此外, 安全审计师需要了解被测 ICS 系统, 测试所涉及的风险, 并跟踪 DOS 攻击对 ICS 系统的无意影响定义风险缓解控制措施组织应分析详细的风险评估, 确定每个风险缓解的成本, 比较成本与风险的发生, 并选择那些缓解控制成本小于潜在风险的解决措施因为它通常是不切实际或不可能消除所有风险, 组织应着眼于降低对 ICS 系统影响最大的风险因素特定风险的控制, 不同类型的系统有不同的控制措施例如,IC 系统中用户身份验证控制可能比企业工资管理系统和电子商务系统不同组织应在使用以上措施时进行记录和沟通组织一旦制定了风险控制措施, 可能会采用速战速决的解决方案来解决发现的风险, 低成本, 高价值的做法, 可以显着降低风险这些解决方案的例子是互联网接入访问控制和垃圾邮件防护组织应识别, 评估, 并实施适当的快速修复解决方案, 为尽快降低安全风险, 实现快速收益能源部 (DOE) 改善 SCADA 网络安全的 21 个步骤的文件, 可以作为一个具体行动纲要来采用, 以提高 SCADA 和其它 ICS 系统的安全

63 4.2.8 提供培训机会, 加强安全意识安全意识是 ICS 事件预防的重要组成部分, 尤其是当它涉及到社会工程威胁社会工程是用来操纵个人以泄露私人信息, 如密码等这些信息可能影响系统的安全实施 ICS 安全计划可能对员工使用计算机软件应用程序以及电脑桌面的方式带来一些变化组织应设计有效的培训和宣传方案, 帮助员工了解新的访问和控制方法是必需的, 他们可以使用, 以降低风险和对组织的影响培训方案也表明管理层的承诺和网络安全方案的价值从接触到这种类型的培训人员的反馈来看, 安全培训是安全计划中非常宝贵的资源 5. 网络结构为工业控制系统安全 (ICS) 部署设计网络架构时, 我们常常建议将 ICS 网络和办公网络分开, 事实上这两种网络的性质并不一样 : 因特网接入,FTP, , 远程接入在典型的办公网中是允许的, 而 ICS 网络中则不行在办公网中, 对网络设备安装以及软件变化的精密控制不大可行如果在让 ICS 网络运作与办公网上层, 那么它往往能承受一次 DoS 攻击如果将两种网络分开, 那些在办公网中发生的安全问题则不会影响 ICS 网络实际上,ICS 网络和办公网的连接是必须的, 而这种连接又是一个重大安全风险, 设计与实现这一连接时必须谨慎考虑如果两种网络必须相连, 我们强烈建议通过防火墙和 DMZ, 使连接尽可能最小化, 最简化所谓 DMZ 是指一个与防火墙直连的独立网段, 包括 ICS 数据接入办公网这样的服务都需要通过这个独立网段只有这些系统被允许接入办公网由于几乎没有额外的连接, 只有极少的一些接入需要通过防火墙, 比如为特定连接打开某些端口接下来的部分将描述接入必须经过的节点

64 5.1. 防火墙防火墙是种能够确保网络服务安全的设备或系统现在, 我们常常在网络联通和 TCP/IP 协议相关问题中讨论防火墙和防火墙环境的应用尽管如此, 防火墙在网络环境中的适用性并不包括网络连通性例如, 很多办公网使用防火墙限制一些敏感部门 ( 财务人力 ) 的因特网服务使用防火墙控制相关部门的网络连通性, 可以有效的预防未经授权的非法接入以及保护敏感数据防火墙主要分了下面几类 : 包过滤防火墙 : 最基础的防火墙包过滤防火墙本质上就是具有访问控制功能的路由器这种访问控制是由一整套指令集决定的包过滤防火墙一般作用于开放式系统互联模型 (OSI) 的网络层, 它针对数据包发出之前一套标准, 检查每个数据包的基本信息, 如 ip 地址根据这些数据包和标准, 墙可以丢弃数据包, 甚至将信息发回源头由于只检查了数据报文头中很小的一部分, 包过滤防火墙对网络性能低消耗, 低影响的优势得以体现状态检测防火墙 : 状态检测防火墙在包过滤防火墙的基础上加入了对 OSI 传输层的感知这种防火墙在网络层过滤数据包, 判定哪些合法, 并在传输层评估其内容状态检测防火墙保留了有效会话的路径并用于决定数据包是否丢弃它提供了较高的安全性和性能, 但对于管理者而言却更为昂贵和复杂应用于 ICS 则需要制定额外的规则应用网关型防火墙 : 这类防火墙在应用层对数据包进行检查, 并且传输遵循特定规则, 比如浏览器,FTP 传输他提供了很高的安全性, 但较大影响了网络开销和延迟, 这在 ICS 环境中是不可容忍的 NIST SP ,Guideline on Firewalls and Firewall Policy, 提供了防火墙及其策略的选择指导在 ICS 环境中, 防火墙往往部署与 ICS 网络和办公网络之间正确的配置可以极大的限制未经授权的访问, 从而提高安全性通过去掉不必要的网络可以潜在地改善控制网络的响应正确的设计配置使用防火墙, 可以显著地提高 ICS 环境的安全性防火墙提供了一些加强安全策略的工具, 当前市场上一系列进程控制设备并不具备这一功能 :

65 除了某些特定的通信, 未受保护的 LAN 与受保护的 ICS 中设备间的通信都被阻止这种阻止基于源目的 ip 匹配, 服务和端口, 同时发生于数据包出入阶段, 从而减少了通信的高风险, 比如所有接入 ICS 的用户都被强制安全用户认证认证方法较为灵活, 具有多种级别的保护 : 简单密码, 复杂密码, 多因素认证技术, 令牌, 生物测定, 智能卡具体选择何种方式, 取决于 ICS 需要保护的缺陷, 而不是设备的级别流量监控, 分析和入侵检测的记录实施可用的策略以适应 ICS 网络而不是 IT 网络, 如禁止不安全的通信, 包括使用电子邮件和容易记住的用户名和组密码由于设计为有记录的连接尽可能简单的网络, 在遇到一些网络上的故障时, ICS 网络得以从办公网中分离出来还有一些其他可能的部署, 包括在独立控制设备上使用基于主机的防火墙或者小型独立硬件防火墙在改变防火墙配置管理时, 这样尤其会带来严重的管理开销在 ICS 环境中部署防火墙, 有一些特别需要注意的地方 : 控制系统通信可能带来的延迟设计符合工业应用规则时经验的匮乏过去, 防火墙仅仅保护已经配置好的控制系统, 默认的规则是禁止出入只有在需要时, 与被信任的系统进行连接, 配置才可以修改硬件防火墙需要持续的支持, 维护和备份规则的设置需要审查以确保应对不断变化的安全威胁系统性能 ( 如防火墙日志存储空间 ) 必须被监控, 确保防火墙始终进行数据采集, 并以此对抗安全侵犯为了尽快发现并着手解决网络故障, 防火墙实时监控和一些其他安全传感器是必须的 5.2 逻辑分割控制网络通过物理设备分置,ICS 网络与办公网在逻辑上得以分割企业联通性有几点要注意 : ICS 网络与办公网之间的接入点要尽可能简单并有文档记录, 冗余的接入点则必须记录

66 状态检测防火墙被配置为, 除了那些明确授权的通信,ICS 和办公网之间其他通信都将被拒绝除了 TCP 和 UDP 端口过滤,ICMP 类型过滤, 防火墙的规则还至少需要提供对源和目的的过滤 (MAC 地址的过滤 ) 一个比较可行的方案是在 ICS 网络和办公网之间实施一个 DMZ 网络将 DMZ 与防火墙相连, 可以有效地限制办公网与 DMZ 之间 DMZ 与 ICS 之间的通信办公网与 ICS 网络不允许直接连接和节将进一步描述这一内容在 ICS 和外部网络实施虚拟专用网络 (VPN) 可以提高安全性,5.8.2 和节给出了 VPN 使用的更多信息 5.3. 网络隔离 ICS 和办公网能够以不同的架构分割来加强网络安全, 这一节描述几种架构的优缺点 5.3 节中的图表旨在表明防火墙在分割网络中位置, 但不是所有的设备都必须使用 5.4 节给出了深度防御架构的指导意见双宿主机 / 两个网络接口卡双宿主机可以在两个网络之间传输没有适当安全控制的一台电脑将会造成额外的威胁为了预防这一情况, 控制网络和办公网之间的防火墙必须配置为双宿模式, 两种网络之间的任何通信都必须通过防火墙办公网和控制网络之间的防火墙图 5-1 中, 一个两端口防火墙在办公网和控制网络中的应用, 显著地提高了安全新能正确地配置, 可以明显地降低外部攻击的成功率但这种设计中存在两个问题 : 首先, 由于海量数据记录系统被设计在办公网部分, 防火墙需要授权这部分数据与控制网络中的控制设备通信来自办公网络中, 一个恶意的或者不正确配置主机发送的数据包 ( 通常表现为海量数据记录系统 ), 将会被转发到个别的可编程逻辑控制器 (PLCs) 或者分布式控制系统 (DCS)

67 5-1 办公网与控制网络间配置防火墙如果海量数据记录系统被存放于控制网络部分, 防火墙又必须设置一条规则, 允许所有企业主机与这部分数据通信典型的, 这种通信发生在应用层, 包括结构化查询语言 (SQL) 或者超文本传输协议 (HTTP) 请求, 而这种应用层方面的缺陷则会对海量数据记录系统造成危害, 一旦这种危害产生, 控制网络中的其他节点也成为了蠕虫病毒和交叉攻击的突破口另一个问题在于, 影响控制网络的伪造数据包被构造, 可能令一些不公开的数据得以在允许的协议上传输比如, 防火墙允许 HTTP 数据包通过, 特洛伊木马软件可以通过人机界面或控制网络中的笔记本远程控制, 并传输数据 ( 如捕获的密码 ), 伪装成合法传输总之, 如果想要这种架构显著提高未分割网络安全性, 防火墙的规则必须允

68 许办公网和控制网络的设备间直接通信如果不能仔细设计并监控, 将会导致安全漏洞办公网和控制网络之间的防火墙和路由器图 5-2 提出了一个略好的设计, 使用了路由器和防火墙结合的方式路由器配置在防火墙之前, 提供一些基本的包过滤服务, 防火墙则利用状态检测或代理技术负责更加复杂的事物这种设计广泛应用于面向因特网的防火墙, 因为它令更快速的路由器处理了大量传入的数据包, 尤其是 DoS 攻击, 并降低了防火墙的负载同时提供了更好的深度检测, 对于两台不同的设备, 对手必须绕道

69 图 5-2 办公网和控制网络之间的防火墙和路由器办公网和控制网络之间带 DMZ( 隔离区 ) 的防火墙在办公网和控制网络之间建立隔离区的防火墙是一个显著地提高每个隔离区隔离出一个或多个重要组成部分, 比如海量数据记录系统, 无线网络接入点或者远程第三方接入系统实际上, 能够制造隔离区的防火墙如同构建了一个中间网络为了构建隔离区, 除了传统的公共和私有接口外, 防火墙至少需要提供 3 个接口一个接口连接办公网, 一个接口连接控制网, 剩余的接口则连接 DMZ 中那些共享的不安全的设备, 比如海量数据记录系统服务器, 无线网络接入点, 5-3 是这种架构的示意图

70 图 5-3 办公网和控制网络之间带 DMZ( 隔离区 ) 的防火墙由于把那些可存取部分分布在隔离区, 办公网和控制网之间不再直接通信, 转而都以隔离区为通信目标大多数防火墙允许存在多个隔离区, 并规定隔离区之间通信的规则如图 5-3 所示, 无论是办公网输出还是控制网输入数据包都可以被防火墙丢弃, 另外防火墙还能够协调包括控制网络在内的链路规则良好地制定, 控制网络与其他网络间明确细分的实施, 确保了办公网和控制网络间几乎没用直接的通信如果一个补丁管理服务器或者防病毒服务器甚至其他安全服务器被用于控制网络, 他们应该被置于 DMZ 中有补丁管理和防病毒管理功能的控制网络, 对应 ICS 环境的特定需求可以调整控制和安全更新 ICS 选择的防病毒产品与办公网选择的不一致时同样有效比如, 发生了一起恶意软件事故, 而防病毒产品没

71 有检测到这一事件并及时阻止, 看上去其他产品也许能完成这一任务这一架构中最主要的风险在于, 如果 DMZ 中的一台主机被攻陷, 它将被用于制造控制网络和 DMZ 中的攻击通过强化并及时更新 DMZ 中的服务器, 规定防火墙只接受有控制网络设备发起的与 DMZ 的通信, 这种风险可以大大降低这一架构的另一问题是额外的复杂性以及端口个数带来日益增加的防火墙消耗对于那些更为关键的系统, 优势显然大于劣势办公网和控制网络之间成对的防火墙如图 5-4 所示, 带 DMZ 的防火墙解决方案中的一个变化是在办公网和控制网络之间使用成对的防火墙像海量数据记录系统这样的公共服务器被布置于防火墙之间, 被称之为制造执行系统 (MES) 层如同之前描述的, 一台墙负责丢弃进入控制结构和公共数据数据包, 另一台则可以防止错误的服务器连接控制网络和共享服务器对控制网络的冲击

72 图 5-4 办公网和控制网络之间成对的防火墙如果使用了不同厂商的防火墙, 这一方案还有一个优势由于工业组和信息技术组都可以独自管理防火墙, 它们都可以拥有明确分开的设备这一架构的主要缺点在于更多的消耗和管理的负责对于那些对安全有严格要求或需要明确管理分离的环境, 这种架构具备较强的优势网络隔离总述总之, 不基于防火墙的解决方案, 并不适用于办公网和控制网的隔离两块区域的解决方案基本符合要求, 单需要严格的维护最为安全可行的网络隔离方案则是配置至少三块区域, 其中至少有一块 DMZ 区

73 5.4. 深度防御架构单一的安全产品技术或者解决方案并不能很好的处理 ICS 保护问题多层级策略宝库两个 ( 或更多 ) 重叠的安全机制能够最小化单一设机制造成的不良影响, 深度防御正是这种技术深度防御架构策略包括使用防火墙, 创建隔离区, 带有效安全策略的入侵检测, 培训计划和事件响应机制此外, 还需要对 ICS 可能面临的攻击方式有所了解 : 网络周边的后门和漏洞公共协议的缺陷对现场设备的攻击数据库攻击通信劫持和中间人为攻击图 5-5 是 ICS 对深度防御架构的一个应用示意图, 来源于国土安全部的控制系统安全计划实践建议委员会网站上记录的文档 Control Systems Cyber Security: Defense in Depth Strategies 中包括特定问题及相关解决措施的文档支持, 也可以在上述网站中找到该网站将继续发展, 并将最新建议和相关信息及时更新

图 5-5 CSSP 建议的深度防御架构上面提到的文档, 为深度防御架构策略发展提供了指导和方向, 架构策略应用于使用了控制系统网络的组织, 网络需要维护多层信息架构 : 各种现场设备的维护, 遥控采集, 工业级处理系统通过远程数据链路或调制解调器接入设备面向公共的服务或公司业务这种架构包括了防火墙, 采用隔离区以及 ICS 架构中的入侵检测能力图 5-5

74 图 5-5 CSSP 建议的深度防御架构上面提到的文档, 为深度防御架构策略发展提供了指导和方向, 架构策略应用于使用了控制系统网络的组织, 网络需要维护多层信息架构 : 各种现场设备的维护, 遥控采集, 工业级处理系统通过远程数据链路或调制解调器接入设备面向公共的服务或公司业务这种架构包括了防火墙, 采用隔离区以及 ICS 架构中的入侵检测能力图 5-5 中的隔离区提供额外功能隔离和访问权限的能力, 并已被证实对于那些由不同任务组成的大型网络架构是有效的 5.5.ICS 普遍的防火墙策略随着深度防御架构的布置, 防火墙也必须制定相应规则决定通行的权限每个组织配置防火墙最基本的前提是只允许那些必须的通信, 虽然现实情况更麻烦究竟哪些是必须的, 允许了这些通信又对安全性有什么影响? 比如, 很多企业允许海量数据记录系统服务器的 SQL, 但不幸的是 SQL 同时也是蠕虫病毒的温

展开

IQ

TRITON APX IQ TRITON APX TRITON APX TRITON TRITON APX TRITON AP-WEB Websense ACE Web DLP TRITON APX IT TRITON APX Web TRITON APX DLP TRITON APX DLP Web (DLP) TRITON AP-WEB TRITON AP-EMAIL DLP (OCR) TRITON