一�����、新版與關(guān)保要求對比
如上圖所示,新版指南與關(guān)保要求在文檔章節(jié)結(jié)構(gòu)有如下關(guān)系:
(1)資產(chǎn)管理對應(yīng)分析識別��、技術(shù)防護(hù)對應(yīng)安全防護(hù)���。
(2)將關(guān)保的“檢測評估”���、“監(jiān)測預(yù)警”、“主動防御”���、“事件處置”的相關(guān)章節(jié)內(nèi)容整合到“三��、安全運營”。
(3)將關(guān)保相關(guān)活動的“制度”內(nèi)容整合到“四�����、責(zé)任落實”��,使得工控安全資源保障體系的建設(shè)更加清晰和具體�����。
(4)將散落在關(guān)保各個活動里面安全教育培訓(xùn)相關(guān)內(nèi)容整合到“一、資產(chǎn)管理”��,雖然從邏輯上有些勉強�����,但使得工控安全教育培訓(xùn)要求更加明確和具體。
(5)將供應(yīng)鏈安全從關(guān)保的“安全防護(hù)”放入“一���、資產(chǎn)管理”�,體現(xiàn)了供應(yīng)鏈安全更多要用管理來保障的理念��。
(6)新版指南強調(diào)了“上云安全”和“漏洞管理”,體現(xiàn)了工業(yè)場景下兩個突出的安全問題����。
二�����、新版與等保工控擴(kuò)展要求對比
如上圖所示��,新版指南與等保通用及工控擴(kuò)展要求在文檔章節(jié)結(jié)構(gòu)有如下關(guān)系:
(1)等保工控擴(kuò)展要求在通用要求的基礎(chǔ)上,主要強化了“網(wǎng)絡(luò)架構(gòu)”�、“通信傳輸”�����、“訪問控制”��、“撥號使用控制”����、“無線使用控制”�、“控制設(shè)備安全”等�����,相對新版指南來說,工控安全防護(hù)的適應(yīng)性和特殊性考量不夠����。
(2)新版指南中很多要求里面都特別對“重要”工業(yè)控制系統(tǒng)有針對性的要求�,對應(yīng)等保定級為三和四的工業(yè)控制系統(tǒng)���。
三����、新版與電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)規(guī)定對比
如上圖所示
(1)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)規(guī)定主要從安全分區(qū)��、網(wǎng)絡(luò)隔離���、認(rèn)證授權(quán)�����、供應(yīng)鏈安全���、應(yīng)急處置恢復(fù)等環(huán)節(jié)進(jìn)行了強化規(guī)定��。
(2)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)是基于等保���、關(guān)保的基礎(chǔ)上做的進(jìn)一步的補充規(guī)定��,特別是對之前等保�����,關(guān)保沒有涉及到的“信創(chuàng)”、“態(tài)勢感知”進(jìn)行了明確的補充規(guī)定�。新版指南同樣也將這些考慮進(jìn)入��。
四���、新版與NIST 800-82 V3對比
(一)對比分析
(1)新版指南參考國內(nèi)外工控安全相關(guān)理念框架�����,如等保擴(kuò)展要求����、關(guān)保要求��,結(jié)合工控的特殊性和實際情況而制定。NIST 800-82則將RMF����、CSF�����、Defense-in-Depth等安全框架應(yīng)用到OT系統(tǒng)����,并結(jié)合OT的特殊性提供針對性的建議。
(2)新版指南只是提供一個結(jié)果性的要求�����,而NIST 800-82帶有很多的分析和實踐過程,使得知其然知其所以然�����,具有較強的可操作性���。
(3)在具體的安全措施方面�����,兩者沒有太多的差別��。
(二)NIST 800-82 V3
(1)主要觀點與發(fā)現(xiàn)
1.1 為什么OT系統(tǒng)需要特別的安全防護(hù)方案
● 最初���,OT與傳統(tǒng)信息技術(shù)(IT)系統(tǒng)幾乎沒有什么相似之處�,因為OT系統(tǒng)是隔離的�,運行專有控制協(xié)議,并使用專門的硬件和軟件����。隨著OT采用信息技術(shù)解決方案來促進(jìn)企業(yè)業(yè)務(wù)系統(tǒng)的連接和遠(yuǎn)程訪問能力�����,并使用行業(yè)標(biāo)準(zhǔn)計算機、操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議進(jìn)行設(shè)計和實施�,它們開始類似于信息技術(shù)系統(tǒng)����。這種集成支持新的信息技術(shù)能力�,但與先前的系統(tǒng)相比�,它為OT提供的與外部世界的隔離要少得多�����,從而產(chǎn)生了保護(hù)OT系統(tǒng)的更大需求����。
● 無線網(wǎng)絡(luò)的日益普及使OT實施面臨更大的風(fēng)險���,因為對手在物理上相對接近�,但不能直接物理訪問設(shè)備。
● 雖然安全解決方案旨在解決典型信息技術(shù)系統(tǒng)中的這些問題��,但在將這些相同的解決方案引入OT環(huán)境時必須采取特別預(yù)防措施。在某些情況下����,需要針對OT環(huán)境定制新的安全解決方案。
1.2 OT系統(tǒng)面臨的安全風(fēng)險
● 阻塞或延遲通過OT網(wǎng)絡(luò)的信息流���,這可能會中斷OT操作。
● 未經(jīng)授權(quán)更改指令�����、命令或警報閾值��,可能會損壞、禁用或關(guān)閉設(shè)備���,造成環(huán)境影響和/或危及人類生命。
● 向系統(tǒng)操作員發(fā)送不準(zhǔn)確的信息���,以掩蓋未經(jīng)授權(quán)的更改或?qū)е虏僮鲉T發(fā)起不適當(dāng)?shù)男袆樱@可能會產(chǎn)生各種負(fù)面影響���。
● 修改的OT軟件或配置設(shè)置����,或感染惡意軟件的OT軟件,可能會產(chǎn)生各種負(fù)面影響�。
● 干擾設(shè)備保護(hù)系統(tǒng)的運行�����,這可能危及昂貴和難以替換的設(shè)備。
● 干擾安全系統(tǒng)(safety systems)的運行�����,這可能危及人類生命��。
1.3 OT系統(tǒng)的主要安全需求
● 限制對OT網(wǎng)絡(luò)、網(wǎng)絡(luò)活動和系統(tǒng)的邏輯訪問�����。
○ 使用單向網(wǎng)關(guān)�,利用帶有防火墻的非軍事區(qū)(DMZ)網(wǎng)絡(luò)架構(gòu)來防止流量直接在公司和OT網(wǎng)絡(luò)之間傳遞���,
○ 并為公司和OT網(wǎng)絡(luò)的用戶提供單獨的身份驗證機制和憑證。
○ OT系統(tǒng)還應(yīng)使用具有多層的網(wǎng)絡(luò)拓?fù)?����,最關(guān)鍵的通信發(fā)生在最安全可靠的層�����。
● 限制對OT網(wǎng)絡(luò)和設(shè)備的物理訪問。未經(jīng)授權(quán)對組件的物理訪問可能會嚴(yán)重破壞OT的功能��。應(yīng)使用物理訪問控制的組合�,如鎖����、讀卡器和/或警衛(wèi)��。
● 保護(hù)單個OT組件免遭攻擊�。
○ 在現(xiàn)場條件下測試安全補丁后�����,盡可能迅速地部署安全補??��;
○ 禁用所有未使用的端口和服務(wù)���,并確保它們保持禁用狀態(tài)��;
○ 將OT用戶權(quán)限限制為每個用戶角色所需的權(quán)限��;
○ 跟蹤和監(jiān)控審計跟蹤����;
○ 并在技術(shù)上可行的情況下使用殺毒軟件和文件完整性檢查軟件等安全控制來預(yù)防、阻止����、檢測和減輕惡意軟件。
○ OT資產(chǎn)的密鑰����,如PLC和安全系統(tǒng)(safety systems)�����,應(yīng)始終處于“運行”位置��,除非它們被積極編程。
● 限制對數(shù)據(jù)的未經(jīng)授權(quán)的修改���。這包括傳輸中(至少跨網(wǎng)絡(luò)邊界)和靜態(tài)的數(shù)據(jù)。
● 檢測安全events和安全incidents���。檢測尚未升級為事件的安全事件可以幫助防御者在攻擊者達(dá)到目標(biāo)之前打破攻擊鏈。這包括檢測失敗的OT組件���、不可用的服務(wù)和資源耗盡,這些對提供OT系統(tǒng)的正常和安全運行很重要。
● 在不利條件下保持功能����。
○ 設(shè)計OT系統(tǒng)��,使每個關(guān)鍵組件都有一個冗余的對應(yīng)方����。此外��,如果一個組件發(fā)生故障�����,它應(yīng)該以不會在OT或其他網(wǎng)絡(luò)上產(chǎn)生不必要流量的方式發(fā)生故障�,也不會在其他地方導(dǎo)致其他問題���,如級聯(lián)事件�。
○ OT系統(tǒng)還應(yīng)該允許優(yōu)雅的降級����,例如從完全自動化的“正常操作”轉(zhuǎn)變?yōu)椴僮鲉T更多參與和更少自動化的“緊急操作”,再到?jīng)]有自動化的“手動操作”��。
● 事故發(fā)生后恢復(fù)系統(tǒng)�。事故是不可避免的����,事故響應(yīng)計劃是必不可少的�����。一個好的安全計劃的一個主要特征是事故發(fā)生后系統(tǒng)恢復(fù)的速度�。
1.4 針對OT系統(tǒng)的縱深防御策略
● 制定專門適用于OT系統(tǒng)的安全政策����、程序�、培訓(xùn)和教育材料����。
● 充分考慮國家及威脅發(fā)展趨勢�����。
● 解決OT系統(tǒng)整個生命周期的安全性問題��,包括架構(gòu)設(shè)計、采購���、安裝、維護(hù)和退役��。
● 為具有多層的OT系統(tǒng)實施網(wǎng)絡(luò)拓?fù)洌铌P(guān)鍵的通信發(fā)生在最安全可靠的層��。
● 提供公司和OT網(wǎng)絡(luò)之間的邏輯分離(例如��,網(wǎng)絡(luò)之間的狀態(tài)檢查防火墻、單向網(wǎng)關(guān))�����。
● 采用DMZ網(wǎng)絡(luò)架構(gòu)(例如���,防止公司和OT網(wǎng)絡(luò)之間的切流量)。
● 確保關(guān)鍵組件是冗余的并且位于冗余網(wǎng)絡(luò)上��。
● 基于優(yōu)雅降級(容錯)原則設(shè)計關(guān)鍵系統(tǒng)以防止災(zāi)難性級聯(lián)事件�。
● 在通過測試確保不會影響OT操作后�����,禁用OT設(shè)備上未使用的端口和服務(wù)。
● 限制對OT網(wǎng)絡(luò)和設(shè)備的物理訪問����。
● 將OT用戶權(quán)限限制為執(zhí)行每個用戶功能所需的權(quán)限(例如����,建立基于角色的權(quán)限改造��,根據(jù)最小權(quán)限原則配置每個角色)
● 為OT網(wǎng)絡(luò)和公司網(wǎng)絡(luò)的用戶使用單獨的身份驗證機制和憑據(jù)(即����,OT網(wǎng)絡(luò)帳戶不使用公司網(wǎng)絡(luò)用戶帳戶)��。
● 使用現(xiàn)代技術(shù)�,例如智能卡進(jìn)行用戶身份驗證�。
● 在技術(shù)可行的情況下���,實施入侵檢測軟件���、殺毒軟件和文件完整性檢查軟件等安全控制,以防止�、阻止����、檢測和減輕惡意軟件在OT系統(tǒng)中的引入��、暴露和傳播����。
● 在確定適當(dāng)?shù)那闆r下����,將加密和/或加密哈希等安全技術(shù)應(yīng)用于OT數(shù)據(jù)存儲和通信����。
● 如果可能�����,在測試系統(tǒng)上的現(xiàn)場條件下測試所有補丁后�,在安裝到OT系統(tǒng)之前快速部署安全補丁�����。
● 跟蹤和監(jiān)控OT系統(tǒng)關(guān)鍵領(lǐng)域的審計跟蹤。
● 在可行的情況下采用可靠和安全的網(wǎng)絡(luò)協(xié)議和服務(wù)�����。
(2)OT系統(tǒng)的邏輯結(jié)構(gòu)
(3)OT系統(tǒng)的特殊性
● 控制實時性要求Control Timing Requirements�����。系統(tǒng)過程具有廣泛的時間相關(guān)要求�����,包括非常高的速度、一致性���、規(guī)律性和同步性。人類可能無法可靠和一致地滿足這些要求�����;自動化控制器可能是必要的�����。一些系統(tǒng)可能需要在盡可能靠近傳感器和執(zhí)行器的地方執(zhí)行計算,以減少通信延遲并按時執(zhí)行必要的控制操作����。
● 運行在分布的地理位置Geographic Distribution����。具有不同程度的分布�����,從小系統(tǒng)(例如����,本地PLC控制的過程)到大型分布式系統(tǒng)(例如����,輸油管道�����、電網(wǎng))����。更大的分布通常意味著需要廣域網(wǎng)(例如�����,租用線路�����、電路交換、分組交換)和移動通信
● 分層控制Hierarchy����。監(jiān)督控制用于提供一個中心位置��,可以聚合來自多個位置的數(shù)據(jù)�,以支持基于系統(tǒng)當(dāng)前狀態(tài)的控制決策�����。通常使用分層/集中控制為操作員提供整個系統(tǒng)的全面視圖���。
● 控制復(fù)雜性Control Complexity�����。通常控制功能可以由簡單的控制器和預(yù)設(shè)算法來執(zhí)行����。然而����,更復(fù)雜的系統(tǒng)(例如空中交通管制)需要人類操作員確保所有控制動作都適合滿足系統(tǒng)的更大目標(biāo)���。
● 高可用性Availability。系統(tǒng)的可用性(即可靠性)要求也是一個重要因素�����。具有很強的可用性/正常運行時間要求��,可能需要更多的冗余或跨所有通信和控制的替代實現(xiàn)���。
● 高故障影響Impact of Failures�����?�?刂乒δ艿墓收峡赡軙Σ煌蛟斐山厝徊煌挠绊懀赡軐?dǎo)致重大影響的系統(tǒng)需要通過冗余控制繼續(xù)運行或在降級狀態(tài)下持續(xù)運行的能力����。
● 功能安全保護(hù)Safety��。系統(tǒng)必須能夠檢測到不安全狀況并觸發(fā)動作將不安全狀況恢復(fù)到安全狀態(tài)���。在大多數(shù)安全關(guān)鍵操作中,對潛在危險過程的人工監(jiān)督和控制是功能安全保護(hù)系統(tǒng)的重要組成部分�。
下面總結(jié)了OT系統(tǒng)與IT系統(tǒng)的不同:
(4)SCADA系統(tǒng)結(jié)構(gòu)
(5)DCS系統(tǒng)結(jié)構(gòu)
(6)PLC系統(tǒng)結(jié)構(gòu)
(7)建筑自動化系統(tǒng)結(jié)構(gòu)
(8)物理訪問控制系統(tǒng)
(9)功能安全保護(hù)系統(tǒng)Safety Systems
(10)工業(yè)物聯(lián)網(wǎng)
(11)OT安全防護(hù)建設(shè)的效益
● 提高OT系統(tǒng)的安全性��、可靠性和可用性��。
● 提高OT系統(tǒng)效率���。
● 減少社區(qū)關(guān)注��。
● 減少法律責(zé)任。
● 滿足監(jiān)管要求�����。
● 縮小安全保險范圍和降低安全保險費用�。
(12)OT系統(tǒng)遭受攻擊所造成的影響類型
● 物理影響���。物理影響包括OT故障的一組直接后果�����。最重要的潛在影響包括人身傷害和生命損失����。其他影響包括財產(chǎn)(包括數(shù)據(jù))損失和對環(huán)境的潛在損害。
● 經(jīng)濟(jì)影響����。經(jīng)濟(jì)影響是OT事件產(chǎn)生的物理影響的二階效應(yīng)�����。物理影響可能會對系統(tǒng)運行產(chǎn)生影響��,進(jìn)而對依賴OT系統(tǒng)的設(shè)施、組織或其他人造成更大的經(jīng)濟(jì)損失�。關(guān)鍵基礎(chǔ)設(shè)施(如電力�����、交通)的不可用可能產(chǎn)生的經(jīng)濟(jì)影響遠(yuǎn)遠(yuǎn)超出系統(tǒng)承受的直接和物理損害���。這些影響可能會對地方、區(qū)域����、國家或可能的全球經(jīng)濟(jì)產(chǎn)生負(fù)面影響�����。
● 社會影響�����。國家或社會公信度喪失的后果���。
(13)OT安全事件的潛在后果
● 對國家安全的影響-為恐怖主義行為提供便利
● 一個或多個地點同時減產(chǎn)或損失
● 雇員受傷或死亡
● 社區(qū)人員受傷或死亡
● 設(shè)備損壞
● 釋放、轉(zhuǎn)移或盜竊危險材料
● 環(huán)境破壞
● 違反監(jiān)管要求
● 產(chǎn)品污染
● 刑事或民事法律責(zé)任
● 專有或機密信息的丟失
● 品牌形象或客戶信心的喪失
(14)OT安全建設(shè)步驟與方案
(15)OT安全風(fēng)險管理將NIST Risk Management Framework (RMF)應(yīng)用到OT系統(tǒng):
(16)OT縱深防御網(wǎng)絡(luò)安全架構(gòu)
●第1層-安全管理
●第2層-物理安全
●第3層-網(wǎng)絡(luò)安全
●第4層-硬件安全
●第5層-軟件安全
(17)進(jìn)CSF應(yīng)用到OT
將NIST Cybersecurity Framework (CSF)應(yīng)用到OT系統(tǒng):
識別(ID)-形成組織理解,以管理系統(tǒng)��、人員����、資產(chǎn)、數(shù)據(jù)和能力的網(wǎng)絡(luò)安全風(fēng)險����。
保護(hù)(PR)-制定和實施適當(dāng)?shù)谋U洗胧?�,以確保關(guān)鍵服務(wù)的交付��。
檢測(DE)-制定和實施適當(dāng)?shù)幕顒觼碜R別網(wǎng)絡(luò)安全事件的發(fā)生。
響應(yīng)(RS)-制定和實施適當(dāng)?shù)幕顒?��,對檢測到的網(wǎng)絡(luò)安全事件采取行動。
恢復(fù)(RC)-制定和實施適當(dāng)?shù)幕顒?���,以維持彈性計劃����,并恢復(fù)因網(wǎng)絡(luò)安全事件而受損的任何能力或服務(wù)����。
(18)針對OT的威脅源
| 威脅源類型 | 描述 | 特征 |
|---|
| ADVERSARIAL-Bot-network operators-Criminal groups-Hackers/hacktivists-Insiders-Nations-Terrorists | 尋求利用組織對網(wǎng)絡(luò)資源的依賴(例如,電子形式的信息����、信息和通信技術(shù)以及這些技術(shù)提供的通信和信息處理能力)的個人��、團(tuán)體����、組織或民族國家 | 能力�����、意圖�、目標(biāo) |
| ACCIDENTAL-User-Privileged User/Administrator | 個人在執(zhí)行日常職責(zé)過程中采取的錯誤行動(例如���,操作員不小心輸入100而不是10作為設(shè)定點���;工程師在正式生產(chǎn)環(huán)境中進(jìn)行更改,同時認(rèn)為他們處于開發(fā)環(huán)境中) | 影響范圍 |
| STRUCTURAL- Hardware failure? Processors, input/output cards, communications cards Networking? equipment Power supply? Sensor, final element? HMI, displays- Software failure? OS? General-purpose applications ? Mission-specific applications- Environmental controls failure? Temperature controll? Humidity control- Communications degradation? Wireless? Wired | 由于老化��、資源耗盡或其他超出預(yù)期運行參數(shù)的情況而導(dǎo)致的設(shè)備、環(huán)境控制或軟件故障�����。包括組織控制范圍內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施的故障�。 | |
| ENVIRONMENTAL- Natural or human-caused disaster? Fire? Flood/tsunami? Windstorm/tornado Hurricane? Earthquake? Bombing? Animal interference? Solar flares, meteorites- Critical Infrastructure failure? Telecommunications? Electrical power? Transportation? Water/wastewater | 本組織所依賴但本組織無法控制的重要基礎(chǔ)設(shè)施的自然災(zāi)害和故障。 注:自然災(zāi)害和人為災(zāi)害也可以根據(jù)其嚴(yán)重程度和(或)持續(xù)時間來描述�����。然而��,由于威脅來源和威脅事件被強烈識別���,嚴(yán)重程度和持續(xù)時間可以包括在威脅事件的描述中(例如,5級颶風(fēng)對關(guān)鍵任務(wù)系統(tǒng)的設(shè)施造成了巨大破壞�����,使這些系統(tǒng)在三周內(nèi)無法使用)����。 |
