当前位置:
文档之家› 工业控制系统安全指南(40页)
工业控制系统安全指南(40页)
ห้องสมุดไป่ตู้24
网络方面的脆弱性
在ICS中的漏洞可能会出现缺陷,错误配置,或对ICS网络及 与其他网络的连接管理不善。这些漏洞可以通过各种安全 控制消除或者弱化,如防御深入的网络设计,网络通信加 密,限制网络流量,并提供网络组件的物理访问控制。
网络配置漏洞 网络硬件漏洞 网络边界漏洞 网络监控和记录漏洞 通信中的漏洞 无线连接中的漏洞
14
ICS特性
本文中ICS特性主要是通过与IT系统的区别而列举出来的。
起初,ICS与IT系统并无相似之处,随着ICS采 用广泛使用的、低成本的互联网协议(IP)设备 取代专有的解决方案,以促进企业连接和远程访 问能力,并正在使用行业标准的计算机、操作系 统(OS)和网络协议进行设计和实施,它们已经 开始类似于IT系统了。但是,ICS有许多区别于传 统IT系统的特点,包括不同的风险和优先级别。其 中包括对人类健康和生命安全的重大风险,对环 境的严重破坏,以及金融问题如生产损失和对国 家经济的负面影响。
38
以上概要介绍了美国在解决工业控制 系统安全问题上的思想、途径以及方法, 这些内容对我国目前实际开展的ICS安 全工作,对我国ICS安全战略制定、标 准化工作、安全技术研发和创新等,均 具有很好的参考价值。
39
谢谢!
40
NISTSP800-82
1
开始语
《SP 800—82 :工业控制系统(ICS)安全指南》于 2010年1O月发布,是NIST依据2002年联邦信息安 全管理法 、2003年国土安全总统令HSPD-7等编制 而成。它遵循《OMB手册 》的要求“保障机构信 息系统 ,为联邦机构使用,同时允许非政府组织 自愿使用,不受版权管制。”
DCS系统用于控制在同一地理位置的生产系统,被 用来控制工业生产过程,如炼油厂,水和污水处 理,发电设备,化学品制造工厂,和医药加工设 施等行业。
12
可编程逻辑控制器(PLC)
PLC可用在SCADA和DCS系统中,作为整个分级系统的 控制部件,通过反馈控制,提供对过程的本地管理。
13
ICS特性,威胁和脆弱性
28
如何建立一个ICS安全计划?
①建立安全业务方案
安全业务方案由四个关键要素组成: 威胁优先化、商业后果优先化、商业利益优先化以 及年度商业影响。
29
②综合安全程序的开发和部署
30
网络结构
系统安全建设的环节中,除了安全 程序开发,另一个关键环节是处理 好ICS网络与其他应用网络的连接问 题,即网络体系结构问题。
统(DCS)和其他完成控制功能的系统。它概述了
ICS和典型的系统拓扑结构,指出了这些系统的典
型威胁和脆弱点所在,为消减相关风险提供了建
议性的安全对策。同时,根据ICS的潜在风险和影
响水平的不同,指出了保障ICS安全的不同方法和
技术手段。该指南适用于电力、水利、石化、交
通、化工、制药等行业的ICS系统。
(sI) 介质保护(MP) 事件应急响应(IR) 意识和培训(AT)。
37
技术控制
密码授权
鉴定和授权(IA)
挑战-应答鉴定 物理标志授权
生物授权
访问控制(AC)
基于角色的访问控制(RBAC) WEB服务器 虚拟本地局域网络(VLAN)
无线 拨号调制解调器
审计与核查(AU) 加密
系统和通讯保护(SC) 虚拟专用网络 (VPN)
15
16
17
18
其中首要的区别在于:IT系统的目 标和过程控制系统的目标有根本性 的区别, IT系统通常将性能、保密 性和数据完整性作为首要需求,而 ICS系统则将人类和设备安全作为其 首要责任,因此,系统的可用性和 数据完整性的具有较高核心级。
19
ICS面临的威胁
控制系统面临的威胁可以来自多种来源, 包括对抗性来源如敌对政府、恐怖组织、 工业间谍、心怀不满的员工、恶意入侵 者,自然来源如从系统的复杂性、人为 错误和意外事故、设备故障和自然灾害。
20
攻击者 僵尸网络操纵者 犯罪集团 外国情报服务 内部人员 钓鱼者 垃圾邮件发送者
间谍/恶意软件作者
恐怖份子 工业间谍
21
ICS系统潜在的脆弱性
脆弱性被划分成策略与程序类、平台类和网 络类脆弱性,大多数在工业控制系统中常出 现的一些脆弱性都可与归集到这几类中
22
策略和程序方面的脆弱性
主要是由于安全策略及程序文件不完全、不适合或文件的 缺失,包括安全策略及实施指南(实施程序)等。安全策 略程序文档,包括管理支持等,是安全工作的基础
(2)如果需要ICS和合作网之间必须建立连接,只允许最好的 连接(尽可能只有一个)。并通过防火墙或DMZ实现连接。
32
33
ICS安全控制
安全控制是一个信息系统保护其信息的 保密性、完整性和有效性而制定的管理、 操作和技术控制。本文此部分的内容主 要是如何把SP 800—53中“联邦信息系统 与组织安全控制方法” 部分提出的管理、 运营和技术方面的控制措施运用在ICS中。
3
主要内容
工业控制系统概论 ICS特性、威胁和脆弱性 ICS系统安全程序开发与部署 网络结构 ICS安全控制
4
工业控制系统概论
工 监控和数据采集系统
业 控
(SCADA)
制 系
分布式控制系统(DCS)
统
可编程逻辑控制器(PLC)
5
ICS操作关键组件 控制回路、人机界面(HMI)、 远程诊断和维护工具
25
目前有几个因素导致ICS控制系统风险的日益增加
采用标准化的协议和技术,安全漏 洞已知
连接到其他网络控制系统 不安全和非法的网络连接 ICS系统相关技术信息的广泛普及
26
安全事件统计
•故意有针对性的攻击,如未经授权访问文件,执行拒绝服 务,或欺骗的电子邮件(即伪造电子邮件发送者的身份) •非故意后果或设备损害,来自蠕虫,病毒或控制系统故障 •无意的内部安全的后果,如不适当的测试业务系统或未经 授权的系统配置的变化。
7
SCADA系统
SCADA系统是用来控制地理上分散的资产的高度分布 式的系统,往往分散数千平方公里,其中集中的数据 采集和控制是系统运行的关键。这些系统被用于配水 系统和污水收集系统,石油和天然气管道,电力设施 的输电和配电系统,以及铁路和其他公共交通系统。
总 体 结 构
8
9
10
11
分布式控制系统(DCS)
27
ICS系统安全程序开发与部署
ICS和IT系统之间存在较大的差异,这将 影响ICS系统采用何种安全控制措施。因 此,组织应制定和部署ICS安全策略与程 序,这些安全策略和IT安全策略与程序 应当是一致的,但必须符合ICS的技术和 环境的具体要求和特点。组织应定期审 查和更新他们的ICS安全计划和方案,以 适应新技术,业务,标准和法规的变化。
SP 800—82有逻辑地给出了ICS安全保护的建议和 指导, 若能有效地满足这样的需求,ICS系统就可 达到更安全的(secure),即系统处在一种特定状 态,可有效地抵御所面临的不可接受的风险。
2
NIST SP 800-82 概述
该指南为保障工业控制系统ICS提供指南,
包括监控与数据采集系统(SCADA)、分布式控制系
23
平台方面的脆弱性
ICS系统由于程序瑕疵、配置不当或维护较少而出现一些安 全的脆弱性,包括ICS系统硬件、操作软件和应用软件,通 过各种安全控制措施的实施,可以缓解因安全脆弱性问题 导致的安全风险。
平台配置方面的脆弱性 平台硬件方面的脆弱性 平台软件方面的脆弱性; 平台恶意软件防护方面的脆弱性;
34
NIST SP 800-53在联邦政府信息系统的支持下, 提出相应的准则为信息系统选择和指定安全 控制。安全控制的组织分为三个等级:
管理、运行和技术控制
35
管理控制
安全评估和授权(CA) 规划(PL) 风险评估(RA) 系统和服务获取(SA 项目群管理(PM)
36
运行控制
人员安全(Ps) 物理和环境安全(PE) 应急规划(CP) 配置管理(CM) 维护(MA) 系统和信息完整性
例如:工业控制系统安全策略不当、没有正式的 工业控制系统安全培训和安全意识培养、安全架 构和设计不足、对于工业控制系统,没有开发出 明确具体、书面的安全策略或程序文件、工业控 制系统设备操作指南缺失或不足、安全执行中管 理机制的缺失、工业控制系统中很少或没有安全 审计、没有明确的ICS系统业务连续性计划或灾难 恢复计划、没有明确具体的配置变更管理程序。
6
主要ICS元件
控制元件:控制服务器、SCADA服务器或主终端单 元(MTU)、远程终端装置(RTU)、可编程逻辑控 制器(PLC)、智能电子设备(IED)、人机界面 (HMI)、历史数据、输入/输出(IO)服务器;
网络组件:现场总线网络、控制网络、通讯路由器、 防火墙、调制解调器、远程接入点。
31
两点建议!
(1)当为ICS的部署设计一个网络时,建议把ICS从其他合作 的网络中隔离开。因为,通常这两类网络流量不同,并且 因特网的访问和电子邮件等操作对ICS网络一般是允许的: 对于合作网而言,可能没有网络设备的严格变更控制规程: 如果ICS网络流量存在于合作网上,有找到Dos攻击的风险。 文中对该建议给出指导意见:采用防火墙技术实现网络隔 离。