登录
EN

NIST | 800-82 工业控制系统安全指南

2021-08-04

clip_image002.jpg

 

在工业控制部门,我们常能看到这些工业控制系统(ICS)的身影,其中包括监测控制和数据采集(SCADA)系统、分布式控制系统(DCS)以及其他控制系统配置,例如撬装式可编程逻辑控制器(PLC)等。ICS通常用于电力、水和污水处理、石油天然气、化工、交通运输、制药、制浆造纸、食品饮料以及离散制造(如汽车、航天和耐用品)等行业。SCADA系统一般用于通过集中化数据采集和监测来控制分散的资产。DCS通常用于在局部区域(如工厂)内通过监测和规则控制来控制生产系统。PLC则通常用于对具体应用进行分散控制,通常采用规则控制的方式。美国的关键基础设施往往是高度互联和相互依存的系统,而这些工业控制系统是确保关键基础设施正常运转的关键。必须指出的是,在美国的关键基础设施中,约90%是私人拥有和经营的。联邦机构也经营着上述许多工业流程;其他例子还包括空中交通管制和物流输送(如邮政服务等)。本文将概括性介绍这些工业控制系统以及它们的典型系统拓扑结构,描述这些系统面临的典型威胁以及它们存在的脆弱性,同时建议采取什么安全对策来抑制相关风险。

 

最初,工业控制系统(ICS)与传统信息技术(IT)系统没有什么相似之处;它们当时是与外界隔离的独立系统,通过专用硬件和软件运行专有控制协议。如今,随意可得的低成本互联网协议(IP)设备正在逐渐取代专有解决方案,从而增加了出现网络安全脆弱性和发生事故的可能性。随着ICS运用IT解决方案来提高公司业务系统的连接性和远程访问能力,其设计和执行都使用了工业标准计算机、操作系统(OS)和网络协议,它们开始与IT系统越来越相似。这种融合虽然支持新的IT功能,但是与ICS的前身系统相比,同时也大大降低了ICS与外界隔离的独立性,进而也产生了保护这些系统的更大需求。尽管人们已经设计出在典型IT系统中解决这些安全问题的安全解决方案,但是在把这些解决方案引入ICS环境时,还必须采取特殊的预防措施。在有些情况下,还需要为ICS环境量身定制新的安全解决方案。

 

尽管ICS与传统信息处理系统有一些相似的特点,但二者毕竟差异巨大。其中许多差异源自这样的事实:ICS中的逻辑执行会对物理世界产生直接影响。这些特点包括,给人类的健康和生命安全带来巨大风险和对环境造成严重破坏,以及生产损失、对国家经济造成负面影响等严重经济问题,和危害产权信息。ICS具有独特的性能和可靠性要求,往往使用着在典型IT人员看来打破了常规的操作系统。此外,它们的安全和效率目标有时还会与控制系统的设计和操作安全性相冲突。

 

最初,ICS的执行主要面对本地威胁,因为ICS的许多组件被安置在采取了物理安全措施的区域,并没有连接IT网络或系统。但是,ICS系统与IT网络融为一体已成为一种发展趋势,这使ICS远不像它们的前辈系统那样与外界隔绝,从而带来保护这些系统免受远程、外部威胁困扰的更大需求。而无线联网的增加又将ICS执行置于更大风险之下,使它们要面对那些与设备在物理上比较接近但并不直接物理接触设备的敌对分子。控制系统面临的威胁可以来自多个方面,其中包括敌对国政府、恐怖组织、心怀不满的员工、恶意入侵者、复杂性、事故、自然灾害以及内部人员的恶意或无意行为。ICS的安全目标通常以可用性、完整性和保密性的顺序排列优先级。

 

工业控制系统(ICS)可能发生的事故包括:

 

1、阻止或延迟经过ICS网络的信息流,造成ICS运行中断。

2、未经授权更改指令、命令或警报阈值,进而损坏、禁用或关闭设备,造成环境影响和/或危及人类生命。

3、将不准确信息发送给系统操作员,掩盖未经授权更改或促使操作员采取不当行动,造成各种负面影响。

4、篡改ICS软件或配置参数,或令ICS软件感染恶意软件,造成各种负面影响。

5、干扰安全系统运行,威胁人类生命。

 

执行工业控制系统(ICS)的主要安全目标包括以下内容:

 

1、限制对ICS网络的逻辑访问和网络活动。这包括通过防火墙建立一个非军事区(DMZ)网络架构,以防网络流量在公司网络与ICS网络之间直接传递,并对公司网络和ICS网络用户分别采用单独的认证机制和证书。ICS还应采用多层布局的网络拓扑结构,将最关键的通信安排在最安全可靠的层面上进行。

2、限制对ICS网络和设备的物理访问。组件若被人未经授权物理访问,ICS的功能有可能被严重扰乱。应结合使用锁具、读卡机和/或保安人员等物理访问控制手段。

3、防止单个ICS组件被人恶意利用。这包括在现场条件下对安全补丁进行测试后,尽快打上安全补丁;禁用所有不用的端口和服务;限制ICS用户权限,只按每个人的角色需要授予权限;跟踪和监测审计踪迹;在技术上可行的地方通过杀毒软件、文件完整性检查软件等的安全控制来预防、阻止、检测和抑制恶意软件。

4、发生不利情况时保持功能正常。这涉及设计ICS时为每个关键组件配备冗余备份。此外,如果一个组件发生故障,它应该不会在ICS或其他网络上产生不必要的流量,或不会在别处引起其他问题,如级联事件。

5、事件发生后恢复系统。事件不可避免,因此事件应计划必不可少。一个安全方案是否完备,主要体现在事件发生后能以多快速度恢复系统。

 

为了妥善处理ICS的安全问题,必须建立一个跨职能网络安全团队,由来自不同领域的成员共同奉献评估和抑制ICS风险的知识和经验。这个网络安全团队应该至少由公司IT部门人员、控制工程师、控制系统操作员、网络和系统安全专家、管理层人员和物理安全部门人员各一名组成。为了保持连续性和完整性,网络安全团队还应向控制系统供应商和/或系统集成商求教。网络安全团队应该直接对场站管理者(如设施主管)或公司首席信息官/首席安全官负责,而后者应该对ICS的网络安全负全责。为ICS制定的有效网络安全方案应该采用一种所谓“纵深防御”战略,即分多个层次配备安全机制,以将任何一个机制发生故障的影响降至最低限度。