《NIST-SP800-82工業(yè)控制系統(tǒng)安全指南》

開始語《SP800—82：工業(yè)控制系統(tǒng)(ICS)安全指南》于2010年1O月發(fā)布，是NIST依據(jù)2002年聯(lián)邦信息安全管理法、2003年國土安全總統(tǒng)令HSPD-7等編制而成。它遵循《OMB手冊(cè)》的要求“保障機(jī)構(gòu)信息系統(tǒng)，為聯(lián)邦機(jī)構(gòu)使用，同時(shí)允許非政府組織自愿使用，不受版權(quán)管制?！盨P800—82有邏輯地給出了ICS安全保護(hù)的建議和指導(dǎo)，若能有效地滿足這樣的需求,ICS系統(tǒng)就可達(dá)到更安全的（secure），即系統(tǒng)處在一種特定狀態(tài)，可有效地抵御所面臨的不可接受的風(fēng)險(xiǎn)。NISTSP800-82概述該指南為保障工業(yè)控制系統(tǒng)ICS提供指南，包括監(jiān)控與數(shù)據(jù)采集系統(tǒng)(SCADA)、分布式控制系統(tǒng)（DCS)和其他完成控制功能的系統(tǒng)。它概述了ICS和典型的系統(tǒng)拓?fù)浣Y(jié)構(gòu)，指出了這些系統(tǒng)的典型威脅和脆弱點(diǎn)所在，為消減相關(guān)風(fēng)險(xiǎn)提供了建議性的安全對(duì)策。同時(shí)，根據(jù)ICS的潛在風(fēng)險(xiǎn)和影響水平的不同，指出了保障ICS安全的不同方法和技術(shù)手段。該指南適用于電力、水利、石化、交通、化工、制藥等行業(yè)的ICS系統(tǒng)。主要內(nèi)容工業(yè)控制系統(tǒng)概論ICS特性、威脅和脆弱性ICS系統(tǒng)安全程序開發(fā)與部署網(wǎng)絡(luò)結(jié)構(gòu)ICS安全控制

工業(yè)控制系統(tǒng)概論

分布式控制系統(tǒng)（DCS)監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SCADA)可編程邏輯控制器（PLC)工業(yè)控制系統(tǒng)ICS操作關(guān)鍵組件

控制回路、人機(jī)界面（HMI）、遠(yuǎn)程診斷和維護(hù)工具主要ICS元件控制元件：控制服務(wù)器、SCADA服務(wù)器或主終端單元（MTU）、遠(yuǎn)程終端裝置（RTU）、可編程邏輯控制器（PLC）、智能電子設(shè)備（IED）、人機(jī)界面（HMI）、歷史數(shù)據(jù)、輸入/輸出（IO）服務(wù)器；網(wǎng)絡(luò)組件：現(xiàn)場(chǎng)總線網(wǎng)絡(luò)、控制網(wǎng)絡(luò)、通訊路由器、防火墻、調(diào)制解調(diào)器、遠(yuǎn)程接入點(diǎn)。SCADA系統(tǒng)SCADA系統(tǒng)是用來控制地理上分散的資產(chǎn)的高度分布式的系統(tǒng)，往往分散數(shù)千平方公里，其中集中的數(shù)據(jù)采集和控制是系統(tǒng)運(yùn)行的關(guān)鍵。這些系統(tǒng)被用于配水系統(tǒng)和污水收集系統(tǒng)，石油和天然氣管道，電力設(shè)施的輸電和配電系統(tǒng)，以及鐵路和其他公共交通系統(tǒng)?？傮w結(jié)構(gòu)分布式控制系統(tǒng)（DCS）

DCS系統(tǒng)用于控制在同一地理位置的生產(chǎn)系統(tǒng)，被用來控制工業(yè)生產(chǎn)過程，如煉油廠，水和污水處理，發(fā)電設(shè)備，化學(xué)品制造工廠，和醫(yī)藥加工設(shè)施等行業(yè)。可編程邏輯控制器（PLC）PLC可用在SCADA和DCS系統(tǒng)中，作為整個(gè)分級(jí)系統(tǒng)的控制部件，通過反饋控制，提供對(duì)過程的本地管理。ICS特性，威脅和脆弱性

ICS特性本文中ICS特性主要是通過與IT系統(tǒng)的區(qū)別而列舉出來的。起初，ICS與IT系統(tǒng)并無相似之處，隨著ICS采用廣泛使用的、低成本的互聯(lián)網(wǎng)協(xié)議（IP）設(shè)備取代專有的解決方案，以促進(jìn)企業(yè)連接和遠(yuǎn)程訪問能力，并正在使用行業(yè)標(biāo)準(zhǔn)的計(jì)算機(jī)、操作系統(tǒng)（OS）和網(wǎng)絡(luò)協(xié)議進(jìn)行設(shè)計(jì)和實(shí)施，它們已經(jīng)開始類似于IT系統(tǒng)了。但是，ICS有許多區(qū)別于傳統(tǒng)IT系統(tǒng)的特點(diǎn)，包括不同的風(fēng)險(xiǎn)和優(yōu)先級(jí)別。其中包括對(duì)人類健康和生命安全的重大風(fēng)險(xiǎn)，對(duì)環(huán)境的嚴(yán)重破壞，以及金融問題如生產(chǎn)損失和對(duì)國家經(jīng)濟(jì)的負(fù)面影響。該指南適用于電力、水利、石化、交通、化工、制藥等行業(yè)的ICS系統(tǒng)。平臺(tái)惡意軟件防護(hù)方面的脆弱性；《SP800—82：工業(yè)控制系統(tǒng)(ICS)安全指南》于2010年1O月發(fā)布，是NIST依據(jù)2002年聯(lián)邦信息安全管理法、2003年國土安全總統(tǒng)令HSPD-7等編制而成。它遵循《OMB手冊(cè)》的要求“保障機(jī)構(gòu)信息系統(tǒng)，為聯(lián)邦機(jī)構(gòu)使用，同時(shí)允許非政府組織自愿使用，不受版權(quán)管制。在ICS中的漏洞可能會(huì)出現(xiàn)缺陷，錯(cuò)誤配置，或?qū)CS網(wǎng)絡(luò)及與其他網(wǎng)絡(luò)的連接管理不善。分布式控制系統(tǒng)（DCS）平臺(tái)軟件方面的脆弱性；平臺(tái)惡意軟件防護(hù)方面的脆弱性；SCADA系統(tǒng)是用來控制地理上分散的資產(chǎn)的高度分布式的系統(tǒng)，往往分散數(shù)千平方公里，其中集中的數(shù)據(jù)采集和控制是系統(tǒng)運(yùn)行的關(guān)鍵。脆弱性被劃分成策略與程序類、平臺(tái)類和網(wǎng)絡(luò)類脆弱性，大多數(shù)在工業(yè)控制系統(tǒng)中常出現(xiàn)的一些脆弱性都可與歸集到這幾類中威脅優(yōu)先化、商業(yè)后果優(yōu)先化、商業(yè)利益優(yōu)先化以及年度商業(yè)影響。目前有幾個(gè)因素導(dǎo)致ICS控制系統(tǒng)風(fēng)險(xiǎn)的日益增加NISTSP800-82概述可編程邏輯控制器（PLC)(1)當(dāng)為ICS的部署設(shè)計(jì)一個(gè)網(wǎng)絡(luò)時(shí)，建議把ICS從其他合作的網(wǎng)絡(luò)中隔離開。因此，組織應(yīng)制定和部署ICS安全策略與程序，這些安全策略和IT安全策略與程序應(yīng)當(dāng)是一致的，但必須符合ICS的技術(shù)和環(huán)境的具體要求和特點(diǎn)。目前有幾個(gè)因素導(dǎo)致ICS控制系統(tǒng)風(fēng)險(xiǎn)的日益增加它遵循《OMB手冊(cè)》的要求“保障機(jī)構(gòu)信息系統(tǒng)，為聯(lián)邦機(jī)構(gòu)使用，同時(shí)允許非政府組織自愿使用，不受版權(quán)管制。在ICS中的漏洞可能會(huì)出現(xiàn)缺陷，錯(cuò)誤配置，或?qū)CS網(wǎng)絡(luò)及與其他網(wǎng)絡(luò)的連接管理不善。并通過防火墻或DMZ實(shí)現(xiàn)連接。其中首要的區(qū)別在于：IT系統(tǒng)的目標(biāo)和過程控制系統(tǒng)的目標(biāo)有根本性的區(qū)別，IT系統(tǒng)通常將性能、保密性和數(shù)據(jù)完整性作為首要需求，而ICS系統(tǒng)則將人類和設(shè)備安全作為其首要責(zé)任，因此，系統(tǒng)的可用性和數(shù)據(jù)完整性的具有較高核心級(jí)。ICS面臨的威脅控制系統(tǒng)面臨的威脅可以來自多種來源，包括對(duì)抗性來源如敵對(duì)政府、恐怖組織、工業(yè)間諜、心懷不滿的員工、惡意入侵者，自然來源如從系統(tǒng)的復(fù)雜性、人為錯(cuò)誤和意外事故、設(shè)備故障和自然災(zāi)害。攻擊者僵尸網(wǎng)絡(luò)操縱者犯罪集團(tuán)外國情報(bào)服務(wù)內(nèi)部人員釣魚者垃圾郵件發(fā)送者間諜/惡意軟件作者恐怖份子工業(yè)間諜ICS系統(tǒng)潛在的脆弱性

脆弱性被劃分成策略與程序類、平臺(tái)類和網(wǎng)絡(luò)類脆弱性，大多數(shù)在工業(yè)控制系統(tǒng)中常出現(xiàn)的一些脆弱性都可與歸集到這幾類中策略和程序方面的脆弱性主要是由于安全策略及程序文件不完全、不適合或文件的缺失，包括安全策略及實(shí)施指南（實(shí)施程序）等。安全策略程序文檔，包括管理支持等，是安全工作的基礎(chǔ)例如：工業(yè)控制系統(tǒng)安全策略不當(dāng)、沒有正式的工業(yè)控制系統(tǒng)安全培訓(xùn)和安全意識(shí)培養(yǎng)、安全架構(gòu)和設(shè)計(jì)不足、對(duì)于工業(yè)控制系統(tǒng)，沒有開發(fā)出明確具體、書面的安全策略或程序文件、工業(yè)控制系統(tǒng)設(shè)備操作指南缺失或不足、安全執(zhí)行中管理機(jī)制的缺失、工業(yè)控制系統(tǒng)中很少或沒有安全審計(jì)、沒有明確的ICS系統(tǒng)業(yè)務(wù)連續(xù)性計(jì)劃或?yàn)?zāi)難恢復(fù)計(jì)劃、沒有明確具體的配置變更管理程序。平臺(tái)方面的脆弱性ICS系統(tǒng)由于程序瑕疵、配置不當(dāng)或維護(hù)較少而出現(xiàn)一些安全的脆弱性，包括ICS系統(tǒng)硬件、操作軟件和應(yīng)用軟件，通過各種安全控制措施的實(shí)施，可以緩解因安全脆弱性問題導(dǎo)致的安全風(fēng)險(xiǎn)。平臺(tái)配置方面的脆弱性平臺(tái)硬件方面的脆弱性平臺(tái)軟件方面的脆弱性；平臺(tái)惡意軟件防護(hù)方面的脆弱性；網(wǎng)絡(luò)方面的脆弱性

在ICS中的漏洞可能會(huì)出現(xiàn)缺陷，錯(cuò)誤配置，或?qū)CS網(wǎng)絡(luò)及與其他網(wǎng)絡(luò)的連接管理不善。這些漏洞可以通過各種安全控制消除或者弱化，如防御深入的網(wǎng)絡(luò)設(shè)計(jì)，網(wǎng)絡(luò)通信加密，限制網(wǎng)絡(luò)流量，并提供網(wǎng)絡(luò)組件的物理訪問控制。網(wǎng)絡(luò)配置漏洞網(wǎng)絡(luò)硬件漏洞網(wǎng)絡(luò)邊界漏洞網(wǎng)絡(luò)監(jiān)控和記錄漏洞通信中的漏洞無線連接中的漏洞目前有幾個(gè)因素導(dǎo)致ICS控制系統(tǒng)風(fēng)險(xiǎn)的日益增加采用標(biāo)準(zhǔn)化的協(xié)議和技術(shù)，安全漏洞已知連接到其他網(wǎng)絡(luò)控制系統(tǒng)不安全和非法的網(wǎng)絡(luò)連接ICS系統(tǒng)相關(guān)技術(shù)信息的廣泛普及安全事件統(tǒng)計(jì)故意有針對(duì)性的攻擊，如未經(jīng)授權(quán)訪問文件，執(zhí)行拒絕服務(wù)，或欺騙的電子郵件（即偽造電子郵件發(fā)送者的身份）非故意后果或設(shè)備損害，來自蠕蟲，病毒或控制系統(tǒng)故障無意的內(nèi)部安全的后果，如不適當(dāng)?shù)臏y(cè)試業(yè)務(wù)系統(tǒng)或未經(jīng)授權(quán)的系統(tǒng)配置的變化。ICS系統(tǒng)安全程序開發(fā)與部署ICS和IT系統(tǒng)之間存在較大的差異，這將影響ICS系統(tǒng)采用何種安全控制措施。因此，組織應(yīng)制定和部署ICS安全策略與程序，這些安全策略和IT安全策略與程序應(yīng)當(dāng)是一致的，但必須符合ICS的技術(shù)和環(huán)境的具體要求和特點(diǎn)。組織應(yīng)定期審查和更新他們的ICS安全計(jì)劃和方案，以適應(yīng)新技術(shù)，業(yè)務(wù)，標(biāo)準(zhǔn)和法規(guī)的變化。如何建立一個(gè)ICS安全計(jì)劃？①建立安全業(yè)務(wù)方案安全業(yè)務(wù)方案由四個(gè)關(guān)鍵要素組成：威脅優(yōu)先化、商業(yè)后果優(yōu)先化、商業(yè)利益優(yōu)先化以及年度商業(yè)影響。其中包括對(duì)人類健康和生命安全的重大風(fēng)險(xiǎn)，對(duì)環(huán)境的嚴(yán)重破壞，以及金融問題如生產(chǎn)損失和對(duì)國家經(jīng)濟(jì)的負(fù)面影響。因?yàn)?，通常這兩類網(wǎng)絡(luò)流量不同，并且因特網(wǎng)的訪問和電子郵件等操作對(duì)ICS網(wǎng)絡(luò)一般是允許的：對(duì)于合作網(wǎng)而言，可能沒有網(wǎng)絡(luò)設(shè)備的嚴(yán)格變更控制規(guī)程：如果ICS網(wǎng)絡(luò)流量存在于合作網(wǎng)上，有找到Dos攻擊的風(fēng)險(xiǎn)。SCADA系統(tǒng)是用來控制地理上分散的資產(chǎn)的高度分布式的系統(tǒng)，往往分散數(shù)千平方公里，其中集中的數(shù)據(jù)采集和控制是系統(tǒng)運(yùn)行的關(guān)鍵。該指南適用于電力、水利、石化、交通、化工、制藥等行業(yè)的ICS系統(tǒng)。策略和程序方面的脆弱性并通過防火墻或DMZ實(shí)現(xiàn)連接。該指南為保障工業(yè)控制系統(tǒng)ICS提供指南，包括監(jiān)控與數(shù)據(jù)采集系統(tǒng)(SCADA)、分布式控制系統(tǒng)（DCS)和其他完成控制功能的系統(tǒng)。可編程邏輯控制器（PLC)ICS系統(tǒng)潛在的脆弱性SCADA系統(tǒng)是用來控制地理上分散的資產(chǎn)的高度分布式的系統(tǒng)，往往分散數(shù)千平方公里，其中集中的數(shù)據(jù)采集和控制是系統(tǒng)運(yùn)行的關(guān)鍵。ICS系統(tǒng)安全程序開發(fā)與部署如何建立一個(gè)ICS安全計(jì)劃？這些系統(tǒng)被用于配水系統(tǒng)和污水收集系統(tǒng)，石油和天然氣管道，電力設(shè)施的輸電和配電系統(tǒng)，以及鐵路和其他公共交通系統(tǒng)。ICS系統(tǒng)相關(guān)技術(shù)信息的廣泛普及ICS和IT系統(tǒng)之間存在較大的差異，這將影響ICS系統(tǒng)采用何種安全控制措施。其中首要的區(qū)別在于：IT系統(tǒng)的目標(biāo)和過程控制系統(tǒng)的目標(biāo)有根本性的區(qū)別，IT系統(tǒng)通常將性能、保密性和數(shù)據(jù)完整性作為首要需求，而ICS系統(tǒng)則將人類和設(shè)備安全作為其首要責(zé)任，因此，系統(tǒng)的可用性和數(shù)據(jù)完整性的具有較高核心級(jí)。系統(tǒng)安全建設(shè)的環(huán)節(jié)中，除了安全程序開發(fā)，另一個(gè)關(guān)鍵環(huán)節(jié)是處理好ICS網(wǎng)絡(luò)與其他應(yīng)用網(wǎng)絡(luò)的連接問題，即網(wǎng)絡(luò)體系結(jié)構(gòu)問題。ICS和IT系統(tǒng)之間存在較大的差異，這將影響ICS系統(tǒng)采用何種安全控制措施。②綜合安全程序的開發(fā)和部署安全控制是一個(gè)信息系統(tǒng)保護(hù)其信息的保密性、完整性和有效性而制定的管理、操作和技術(shù)控制。②綜合安全程序的開發(fā)和部署網(wǎng)絡(luò)結(jié)構(gòu)系統(tǒng)安全建設(shè)的環(huán)節(jié)中，除了安全程序開發(fā)，另一個(gè)關(guān)鍵環(huán)節(jié)是處理好ICS網(wǎng)絡(luò)與其他應(yīng)用網(wǎng)絡(luò)的連接問題，即網(wǎng)絡(luò)體系結(jié)構(gòu)問題。兩點(diǎn)建議！(1)當(dāng)為ICS的部署設(shè)計(jì)一個(gè)網(wǎng)絡(luò)時(shí)，建議把ICS從其他合作的網(wǎng)絡(luò)中隔離開。因?yàn)?，通常這兩類網(wǎng)絡(luò)流量不同，并且因特網(wǎng)的訪問和電子郵件等操作對(duì)ICS網(wǎng)絡(luò)一般是允許的：對(duì)于合作網(wǎng)而言，可能沒有網(wǎng)絡(luò)設(shè)備的嚴(yán)格變更控制規(guī)程：如果ICS網(wǎng)絡(luò)流量存在于合作網(wǎng)上，有找到Dos攻擊的風(fēng)險(xiǎn)。文中對(duì)該建議給出指導(dǎo)意見：采用防火墻技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)隔離。(2)如果需要ICS和合作網(wǎng)之間必須建立連接，只允許最好的連接(盡可能只有一個(gè))。并通過防火墻或DMZ實(shí)現(xiàn)連接。ICS安全控制

安全控制是一個(gè)信息系統(tǒng)保護(hù)其信息的保密性、完整性和有效性而制定的管理、操作和技術(shù)控制。本文此部分的內(nèi)容主要是如何把SP800—53中“聯(lián)邦信息系統(tǒng)與組織安全控制方法”部分提出的管理、運(yùn)營和技術(shù)方面的控制措施運(yùn)用在ICS中。NISTSP800-53在聯(lián)邦政府信息系統(tǒng)的支持下，提出相應(yīng)的準(zhǔn)則為信息系統(tǒng)選擇和指定安全控制。安全控制的組織分為三個(gè)等級(jí)：管理、運(yùn)行和技術(shù)控制管理控制安全評(píng)估和授權(quán)(CA)規(guī)劃(PL)風(fēng)險(xiǎn)評(píng)估(RA)系統(tǒng)和服務(wù)獲取(SA項(xiàng)目群管理(PM)運(yùn)行控制人員安全(Ps)物理和環(huán)境安全(PE)應(yīng)急規(guī)劃(CP)配置管理(CM)維護(hù)(MA)系統(tǒng)和信息完整性(sI)介質(zhì)保護(hù)(MP)事件應(yīng)急響應(yīng)(IR)意