一��、新版與關保要求對比
如上圖所示,新版指南與關保要求在文檔章節結構有如下關系:
(1)資產管理對應分析識別��、技術防護對應安全防護����。
(2)將關保的“檢測評估”�����、“監測預警”�、“主動防御”、“事件處置”的相關章節內容整合到“三、安全運營”�。
(3)將關保相關活動的“制度”內容整合到“四��、責任落實”��,使得工控安全資源保障體系的建設更加清晰和具體。
(4)將散落在關保各個活動里面安全教育培訓相關內容整合到“一、資產管理”��,雖然從邏輯上有些勉強�,但使得工控安全教育培訓要求更加明確和具體�。
(5)將供應鏈安全從關保的“安全防護”放入“一、資產管理”,體現了供應鏈安全更多要用管理來保障的理念�����。
(6)新版指南強調了“上云安全”和“漏洞管理”����,體現了工業場景下兩個突出的安全問題���。
二��、新版與等保工控擴展要求對比
如上圖所示,新版指南與等保通用及工控擴展要求在文檔章節結構有如下關系:
(1)等保工控擴展要求在通用要求的基礎上,主要強化了“網絡架構”���、“通信傳輸”���、“訪問控制”�、“撥號使用控制”���、“無線使用控制”�����、“控制設備安全”等�,相對新版指南來說�����,工控安全防護的適應性和特殊性考量不夠�����。
(2)新版指南中很多要求里面都特別對“重要”工業控制系統有針對性的要求,對應等保定級為三和四的工業控制系統�。
三�����、新版與電力監控系統網絡安全防護規定對比
如上圖所示
(1)電力監控系統網絡安全防護規定主要從安全分區����、網絡隔離、認證授權、供應鏈安全�����、應急處置恢復等環節進行了強化規定�����。
(2)電力監控系統網絡安全防護是基于等保���、關保的基礎上做的進一步的補充規定�����,特別是對之前等保�,關保沒有涉及到的“信創”�、“態勢感知”進行了明確的補充規定�����。新版指南同樣也將這些考慮進入。
四��、新版與NIST 800-82 V3對比
(一)對比分析
(1)新版指南參考國內外工控安全相關理念框架���,如等保擴展要求���、關保要求��,結合工控的特殊性和實際情況而制定�����。NIST 800-82則將RMF、CSF、Defense-in-Depth等安全框架應用到OT系統����,并結合OT的特殊性提供針對性的建議�����。
(2)新版指南只是提供一個結果性的要求�,而NIST 800-82帶有很多的分析和實踐過程,使得知其然知其所以然,具有較強的可操作性����。
(3)在具體的安全措施方面����,兩者沒有太多的差別���。
(二)NIST 800-82 V3
(1)主要觀點與發現
1.1 為什么OT系統需要特別的安全防護方案
● 最初�,OT與傳統信息技術(IT)系統幾乎沒有什么相似之處,因為OT系統是隔離的����,運行專有控制協議�����,并使用專門的硬件和軟件。隨著OT采用信息技術解決方案來促進企業業務系統的連接和遠程訪問能力,并使用行業標準計算機���、操作系統和網絡協議進行設計和實施,它們開始類似于信息技術系統。這種集成支持新的信息技術能力,但與先前的系統相比,它為OT提供的與外部世界的隔離要少得多����,從而產生了保護OT系統的更大需求�。
● 無線網絡的日益普及使OT實施面臨更大的風險,因為對手在物理上相對接近,但不能直接物理訪問設備���。
● 雖然安全解決方案旨在解決典型信息技術系統中的這些問題,但在將這些相同的解決方案引入OT環境時必須采取特別預防措施。在某些情況下,需要針對OT環境定制新的安全解決方案����。
1.2 OT系統面臨的安全風險
● 阻塞或延遲通過OT網絡的信息流���,這可能會中斷OT操作。
● 未經授權更改指令、命令或警報閾值�����,可能會損壞、禁用或關閉設備,造成環境影響和/或危及人類生命�。
● 向系統操作員發送不準確的信息,以掩蓋未經授權的更改或導致操作員發起不適當的行動�,這可能會產生各種負面影響�����。
● 修改的OT軟件或配置設置�,或感染惡意軟件的OT軟件�����,可能會產生各種負面影響�����。
● 干擾設備保護系統的運行�����,這可能危及昂貴和難以替換的設備����。
● 干擾安全系統(safety systems)的運行����,這可能危及人類生命。
1.3 OT系統的主要安全需求
● 限制對OT網絡�、網絡活動和系統的邏輯訪問��。
○ 使用單向網關��,利用帶有防火墻的非軍事區(DMZ)網絡架構來防止流量直接在公司和OT網絡之間傳遞,
○ 并為公司和OT網絡的用戶提供單獨的身份驗證機制和憑證��。
○ OT系統還應使用具有多層的網絡拓撲,最關鍵的通信發生在最安全可靠的層����。
● 限制對OT網絡和設備的物理訪問。未經授權對組件的物理訪問可能會嚴重破壞OT的功能�。應使用物理訪問控制的組合����,如鎖�����、讀卡器和/或警衛�����。
● 保護單個OT組件免遭攻擊。
○ 在現場條件下測試安全補丁后���,盡可能迅速地部署安全補?����?��;
○ 禁用所有未使用的端口和服務�����,并確保它們保持禁用狀態���;
○ 將OT用戶權限限制為每個用戶角色所需的權限;
○ 跟蹤和監控審計跟蹤;
○ 并在技術上可行的情況下使用殺毒軟件和文件完整性檢查軟件等安全控制來預防���、阻止、檢測和減輕惡意軟件。
○ OT資產的密鑰,如PLC和安全系統(safety systems),應始終處于“運行”位置,除非它們被積極編程。
● 限制對數據的未經授權的修改。這包括傳輸中(至少跨網絡邊界)和靜態的數據����。
● 檢測安全events和安全incidents�。檢測尚未升級為事件的安全事件可以幫助防御者在攻擊者達到目標之前打破攻擊鏈�。這包括檢測失敗的OT組件�����、不可用的服務和資源耗盡���,這些對提供OT系統的正常和安全運行很重要。
● 在不利條件下保持功能。
○ 設計OT系統��,使每個關鍵組件都有一個冗余的對應方��。此外��,如果一個組件發生故障��,它應該以不會在OT或其他網絡上產生不必要流量的方式發生故障,也不會在其他地方導致其他問題,如級聯事件�����。
○ OT系統還應該允許優雅的降級,例如從完全自動化的“正常操作”轉變為操作員更多參與和更少自動化的“緊急操作”,再到沒有自動化的“手動操作”����。
● 事故發生后恢復系統。事故是不可避免的,事故響應計劃是必不可少的����。一個好的安全計劃的一個主要特征是事故發生后系統恢復的速度�����。
1.4 針對OT系統的縱深防御策略
● 制定專門適用于OT系統的安全政策�、程序�����、培訓和教育材料。
● 充分考慮國家及威脅發展趨勢。
● 解決OT系統整個生命周期的安全性問題�����,包括架構設計�、采購、安裝��、維護和退役����。
● 為具有多層的OT系統實施網絡拓撲�,最關鍵的通信發生在最安全可靠的層。
● 提供公司和OT網絡之間的邏輯分離(例如����,網絡之間的狀態檢查防火墻�、單向網關)�����。
● 采用DMZ網絡架構(例如�����,防止公司和OT網絡之間的切流量)��。
● 確保關鍵組件是冗余的并且位于冗余網絡上�����。
● 基于優雅降級(容錯)原則設計關鍵系統以防止災難性級聯事件。
● 在通過測試確保不會影響OT操作后����,禁用OT設備上未使用的端口和服務。
● 限制對OT網絡和設備的物理訪問�。
● 將OT用戶權限限制為執行每個用戶功能所需的權限(例如�����,建立基于角色的權限改造,根據最小權限原則配置每個角色)
● 為OT網絡和公司網絡的用戶使用單獨的身份驗證機制和憑據(即���,OT網絡帳戶不使用公司網絡用戶帳戶)。
● 使用現代技術��,例如智能卡進行用戶身份驗證��。
● 在技術可行的情況下,實施入侵檢測軟件����、殺毒軟件和文件完整性檢查軟件等安全控制�,以防止、阻止��、檢測和減輕惡意軟件在OT系統中的引入����、暴露和傳播��。
● 在確定適當的情況下�����,將加密和/或加密哈希等安全技術應用于OT數據存儲和通信�。
● 如果可能,在測試系統上的現場條件下測試所有補丁后,在安裝到OT系統之前快速部署安全補丁�。
● 跟蹤和監控OT系統關鍵領域的審計跟蹤��。
● 在可行的情況下采用可靠和安全的網絡協議和服務����。
(2)OT系統的邏輯結構
(3)OT系統的特殊性
● 控制實時性要求Control Timing Requirements。系統過程具有廣泛的時間相關要求�����,包括非常高的速度、一致性、規律性和同步性�����。人類可能無法可靠和一致地滿足這些要求��;自動化控制器可能是必要的�。一些系統可能需要在盡可能靠近傳感器和執行器的地方執行計算,以減少通信延遲并按時執行必要的控制操作。
● 運行在分布的地理位置Geographic Distribution��。具有不同程度的分布�,從小系統(例如����,本地PLC控制的過程)到大型分布式系統(例如,輸油管道�����、電網)。更大的分布通常意味著需要廣域網(例如����,租用線路�、電路交換、分組交換)和移動通信
● 分層控制Hierarchy���。監督控制用于提供一個中心位置���,可以聚合來自多個位置的數據��,以支持基于系統當前狀態的控制決策��。通常使用分層/集中控制為操作員提供整個系統的全面視圖���。
● 控制復雜性Control Complexity。通?���?刂乒δ芸梢杂珊唵蔚目刂破骱皖A設算法來執行�。然而�,更復雜的系統(例如空中交通管制)需要人類操作員確保所有控制動作都適合滿足系統的更大目標。
● 高可用性Availability�。系統的可用性(即可靠性)要求也是一個重要因素����。具有很強的可用性/正常運行時間要求�����,可能需要更多的冗余或跨所有通信和控制的替代實現���。
● 高故障影響Impact of Failures�����?����?刂乒δ艿墓收峡赡軙Σ煌蛟斐山厝徊煌挠绊懀赡軐е轮卮笥绊懙南到y需要通過冗余控制繼續運行或在降級狀態下持續運行的能力���。
● 功能安全保護Safety��。系統必須能夠檢測到不安全狀況并觸發動作將不安全狀況恢復到安全狀態�����。在大多數安全關鍵操作中��,對潛在危險過程的人工監督和控制是功能安全保護系統的重要組成部分�。
下面總結了OT系統與IT系統的不同:
(4)SCADA系統結構
(5)DCS系統結構
(6)PLC系統結構
(7)建筑自動化系統結構
(8)物理訪問控制系統
(9)功能安全保護系統Safety Systems
(10)工業物聯網
(11)OT安全防護建設的效益
● 提高OT系統的安全性�、可靠性和可用性���。
● 提高OT系統效率��。
● 減少社區關注���。
● 減少法律責任����。
● 滿足監管要求。
● 縮小安全保險范圍和降低安全保險費用�����。
(12)OT系統遭受攻擊所造成的影響類型
● 物理影響。物理影響包括OT故障的一組直接后果����。最重要的潛在影響包括人身傷害和生命損失�����。其他影響包括財產(包括數據)損失和對環境的潛在損害。
● 經濟影響����。經濟影響是OT事件產生的物理影響的二階效應���。物理影響可能會對系統運行產生影響����,進而對依賴OT系統的設施����、組織或其他人造成更大的經濟損失。關鍵基礎設施(如電力、交通)的不可用可能產生的經濟影響遠遠超出系統承受的直接和物理損害�。這些影響可能會對地方���、區域�����、國家或可能的全球經濟產生負面影響�����。
● 社會影響。國家或社會公信度喪失的后果����。
(13)OT安全事件的潛在后果
● 對國家安全的影響-為恐怖主義行為提供便利
● 一個或多個地點同時減產或損失
● 雇員受傷或死亡
● 社區人員受傷或死亡
● 設備損壞
● 釋放�、轉移或盜竊危險材料
● 環境破壞
● 違反監管要求
● 產品污染
● 刑事或民事法律責任
● 專有或機密信息的丟失
● 品牌形象或客戶信心的喪失
(14)OT安全建設步驟與方案
(15)OT安全風險管理將NIST Risk Management Framework (RMF)應用到OT系統:
(16)OT縱深防御網絡安全架構
●第1層-安全管理
●第2層-物理安全
●第3層-網絡安全
●第4層-硬件安全
●第5層-軟件安全
(17)進CSF應用到OT
將NIST Cybersecurity Framework (CSF)應用到OT系統:
識別(ID)-形成組織理解,以管理系統����、人員、資產��、數據和能力的網絡安全風險��。
保護(PR)-制定和實施適當的保障措施����,以確保關鍵服務的交付��。
檢測(DE)-制定和實施適當的活動來識別網絡安全事件的發生�。
響應(RS)-制定和實施適當的活動�,對檢測到的網絡安全事件采取行動���。
恢復(RC)-制定和實施適當的活動,以維持彈性計劃�����,并恢復因網絡安全事件而受損的任何能力或服務�。
(18)針對OT的威脅源
| 威脅源類型 | 描述 | 特征 |
|---|
| ADVERSARIAL-Bot-network operators-Criminal groups-Hackers/hacktivists-Insiders-Nations-Terrorists | 尋求利用組織對網絡資源的依賴(例如��,電子形式的信息�、信息和通信技術以及這些技術提供的通信和信息處理能力)的個人、團體���、組織或民族國家 | 能力�、意圖�����、目標 |
| ACCIDENTAL-User-Privileged User/Administrator | 個人在執行日常職責過程中采取的錯誤行動(例如�����,操作員不小心輸入100而不是10作為設定點�;工程師在正式生產環境中進行更改,同時認為他們處于開發環境中) | 影響范圍 |
| STRUCTURAL- Hardware failure? Processors, input/output cards, communications cards Networking? equipment Power supply? Sensor, final element? HMI, displays- Software failure? OS? General-purpose applications ? Mission-specific applications- Environmental controls failure? Temperature controll? Humidity control- Communications degradation? Wireless? Wired | 由于老化��、資源耗盡或其他超出預期運行參數的情況而導致的設備���、環境控制或軟件故障���。包括組織控制范圍內的關鍵基礎設施的故障�。 | |
| ENVIRONMENTAL- Natural or human-caused disaster? Fire? Flood/tsunami? Windstorm/tornado Hurricane? Earthquake? Bombing? Animal interference? Solar flares, meteorites- Critical Infrastructure failure? Telecommunications? Electrical power? Transportation? Water/wastewater | 本組織所依賴但本組織無法控制的重要基礎設施的自然災害和故障。 注:自然災害和人為災害也可以根據其嚴重程度和(或)持續時間來描述����。然而,由于威脅來源和威脅事件被強烈識別,嚴重程度和持續時間可以包括在威脅事件的描述中(例如���,5級颶風對關鍵任務系統的設施造成了巨大破壞�,使這些系統在三周內無法使用)。 |
