工业控制系统安全指南》NISTSdoc.docx
《工业控制系统安全指南》NISTSdoc.docx》由会员分享,可在线阅读,更多相关《工业控制系统安全指南》NISTSdoc.docx(122页珍藏版)》请在冰豆网上搜索。
工业控制系统安全指南》NISTSdoc
《工业控制系统安全指南》
NISTSP800-82
摘要5
1.简介9
1.1管理机构9
1.2目的和范围9
1.3读者10
1.4文档结构10
2.工业控制系统概述11
2.1SCADA,DCS,PLC的概述12
2.2ICS的操作13
2.3主要ICS元件15
2.3.1控制元件15
2.3.2网络组件16
2.4SCADA系统17
2.5分布式控制系统(DCS)22
2.6可编程逻辑控制器(PLC)24
2.7工业部门和他们的相互依存性24
3.ICS特性,威胁和脆弱性25
3.1ICS和IT系统的比较26
3.2威胁30
3.3ICS系统潜在的脆弱性32
3.3.1策略和程序方面的脆弱性33
3.3.2平台方面的脆弱性34
3.3.3网络方面的脆弱性40
3.4风险因素44
3.4.1标准的协议和技术44
3.4.2网络连接扩大45
3.4.3不安全和恶意的连接46
3.4.4.公开的信息46
3.5安全事件举例47
3.6安全事故来源48
3.7收录的安全事件50
3.7.1内部有目标攻击事件50
3.7.2无意特定目标的攻击事件51
3.7.3内部无明确攻击目标的事件52
4.ICS系统安全程序开发与部署53
4.1业务影响分析53
4.1.1收益54
4.1.2潜在影响54
4.1.3业务影响分析的关键组成部分55
4.1.4业务影响分析的资源56
4.1.5向领导介绍商业案例57
4.2开发一套综合的安全程序文件57
4.2.1高层管理者的支持58
4.2.2建立和训练一支跨职能的团队58
4.2.3定义纲领和范围59
4.2.4定义ICS详细的安全策略和程序59
4.2.5定义ICS系统和网络资产清单目录60
4.2.6进行漏洞与风险评估60
4.2.7定义风险缓解控制措施62
4.2.8提供培训机会,加强安全意识63
5.网络结构63
5.1.防火墙64
5.2逻辑分割控制网络65
5.3.网络隔离66
5.3.1双宿主机/两个网络接口卡66
5.3.2办公网和控制网络之间的防火墙66
5.3.3办公网和控制网络之间的防火墙和路由器68
5.3.4办公网和控制网络之间带DMZ(隔离区)的防火墙69
5.3.5办公网和控制网络之间成对的防火墙71
5.3.6网络隔离总述72
5.4.深度防御架构73
5.5.ICS普遍的防火墙策略74
5.6.针对特定服务的防火墙规则76
5.6.1域名系统77
5.6.2超文本传输协议(HTTP)77
5.6.3FTP和TFTP77
5.6.4Telnet78
5.6.5简单邮件传输协议(SMTP)78
5.6.6简单网络管理协议(SNMP)78
5.6.7分布式对象组件模型(DCOM)78
5.6.8SCADA和工业协议79
5.7.网络地址转换(NAT)79
5.8ICS和防火墙的一些具体问题80
5.8.1海量数据记录系统80
5.8.2远程登录80
5.8.3组播81
5.9单点失败82
5.10冗余和容错82
5.11预防中间人攻击82
6.ICS安全控制84
6.1管理控制85
6.1.1安全评估和授权85
6.1.2计划86
6.1.4系统和服务获取88
6.1.5程序管理88
6.2操作控制88
6.2.1人员安全89
6.2.2物理及环境的保护90
6.2.3应急预案92
6.2.3.1业务持续预案93
6.2.3.2灾害恢复计划94
6.2.4参数管理95
6.2.5维护95
6.2.6系统和信息保存96
6.2.6.1恶意代码攻击96
6.2.6.2入侵检测和防护97
6.2.6.3补丁管理98
6.2.7介质保护99
6.2.8事件响应100
6.2.9意识和培训102
6.3技术控制102
6.3.1识别和授权103
6.3.1.1密码授权104
6.3.1.2挑战-应答鉴定106
6.3.1.3物理标志授权106
6.3.1.4生物授权107
6.3.2访问控制108
6.3.2.1基于角色的访问控制(RBAC)109
6.3.2.2WEB服务器109
6.3.2.3虚拟本地局域网络(VLAN)109
6.3.2.4拨号调制解调器110
6.3.2.5无线111
6.3.3审计113
6.3.4系统和交流保护114
6.3.4.1加密114
6.3.4.2虚拟专用网络(VPN)116
摘要
此文件提供建立安全的工业控制系统(ICS)的指导。
这些ICS包括监控和数据采集(SCADA)系统,分布式控制系统(DCS),和其他控制系统,如在工业部门和关键基础设施中经常可以看到的撬装式的可编程逻辑控制器(PLC)。
ICS通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(如汽车、航空航天和耐用品)等行业。
这些控制系统是美国关键基础设施运作的关键,通常是高度相互关联和相互依存的系统。
要注意的是大约有90%的国家关键基础设施是私人拥有和经营的。
联邦机构也经营了上面提到的许多工业流程;其他例子包括空中交通管制和材料处理(例如,邮政邮件处理)。
本文提供了对这些ICS及典型系统技术的概述,识别对这些系统的典型威胁和脆弱性,并提供安全对策建议,以减轻相关风险。
最初,ICS与传统的信息技术(IT)系统几乎没有一点相似,因为ICS是孤立的系统,使用专门的硬件和软件来运行专有的控制协议。
而现在广泛使用的、低成本的互联网协议(IP)设备正在取代专有的解决方案,从而增加了网络安全漏洞和事故的可能性。
由于ICS采用IT解决方案以提升企业业务系统的连接和远程访问能力,并被设计为可使用工业标准的计算机、操作系统(OS)和网络协议,它们已经开始类似于IT系统了。
这种集成支持新的IT能力,但它为ICS提供的与外界的隔离明显比原先的系统少多了,这就产生了更多的安全保护需求。
虽然在典型的IT系统中已经设计了安全解决方案来处理这些安全问题,但是在将这些相同的解决方案引入ICS环境时,必须采取特殊的预防措施。
在某些情况下,需要为ICS环境量身定制的新的安全解决方案。
虽然有些特征是相似的,ICS还有与传统的信息处理系统不同的特点。
这些差异来自于在ICS中的逻辑执行会直接影响物理世界这一事实。
这些特征包括对人类的健康和生命安全的重大风险,对环境的严重破坏,以及严重的财务问题如生产损失,对一个国家的经济产生负面影响,妥协的所有权信息。
ICS具有独特的性能和可靠性要求,并经常使用的操作系统和应用程序可能对典型的IT人员而言被认为是标新立异的。
此外,有时安全和效率的目标会与在控制系统的设计和操作中的安全性相冲突。
最初ICS主要面对的是本地威胁,因为它们的许多组件都连接在被物理保护的区域中,并没有连接到IT网络或系统。
然而,将ICS系统集成到IT网络中的趋势显著减少了ICS与外界的隔离,从而产生了更多的保护这些系统对抗远程、外部威胁的需求。
此外,越来越多的无线网络应用使ICS实现要面临更多的来自某些敌人的风险,这类人与设备在物理上比较接近,但又没有直接的物理连接。
控制系统面临的威胁可以来自多个方面,包括敌对政府,恐怖组织,心怀不满的员工,恶意入侵者,复杂性,事故,自然灾害以及由内部的恶意或意外行为。
ICS安全目标通常按照可用性、完整性和保密性的优先顺序排列。
一个ICS可能面临的事故包括:
阻止或延迟通过ICS网络的信息流,这可能会破坏ICS的运作
对命令、指示或报警阈值非授权的更改,可能损坏、禁用或关闭设备,产生对环境的影响,和/或危及人类生命
不准确的信息被发送到系统操作员,或者是掩饰非授权的更改,或导致操作者发起不适当的行动,均可能产生不同的负面影响
ICS软件或配置参数被修改,或ICS软件感染恶意软件,都会产生不同的负面影响
干扰安全系统的运行,可能危及人类生命。
ICS实施的重要安全目标应包括以下内容:
限制对ICS网络的逻辑访问和网络活动。
这包括使用防火墙的一个非军事区(DMZ)的网络架构,以防止网络流量在企业网络和ICS网络之间直接传递,并对企业网络用户和ICS网络用户分别提供独立的身份验证机制和凭证。
ICS还应使用多层的网络拓扑结构,使最关键的通信发生在最安全和最可靠的层面。
限制对ICS网络和设备的物理访问。
对组件的非授权的物理访问可能会导致对ICS功能的严重扰乱。
应采用组合的物理访问控制机制,如锁、智能卡阅读器和/或警卫。
保护单个的ICS组件免受暴露。
这包括尽可能迅速地部署安全补丁,一旦在它们在现场条件下通过测试后;禁用所有未使用的端口和服务;限制ICS的用户权限,只开放每个人的角色所需要的权限;跟踪和监测审计踪迹;在技术上可行的地方使用如防病毒软件和文件完整性检查软件等安全控制措施来预防、阻止、
检测和减少恶意软件。
在不利条件下保持功能。
这涉及到设计ICS以使每个关键组件都有冗余。
此外,如果一个组件失败,它应该不会在ICS或其他网络上产生不必要的流量,或不会在其他地方引起另一个问题,如级联事件。
事件发生后,恢复系统。
事故是不可避免的,事件响应计划是必不可少的。
一个良好的安全计划的主要特点是一个事件发生后,可以以最快的速度恢复系统。
为在ICS中妥善地解决安全问题,必须有一个跨部门的网络安全团队,分享他们在不同领域的知识和经验,评估和减轻ICS的风险。
网络安全团队成员至少应包括组织的IT人员、控制工程师、控制系统操作员、网络和系统安全专家、管理层成员和物理安全部门。
为保持连续性和完整性,网络安全团队应向控制系统供应商和/或系统集成商进行咨询。
网络安全小组应直接向场站管理者(例如,工厂主管)或公司的CIO/CSO报告,后者应对ICS网络安全承担全部的责任和问责。
一个有效的ICS网络安全方案应使用“纵深防御”战略,即分层的安全机制,例如任何一个机制失败的影响被最小化。
在一个典型的ICS中的“纵深防御”战略包括:
●制定专门适用于ICS的安全策略,程序,培训和教育材料。
●基于国土安全咨询系统威胁级别来考虑ICS的安全策略和程序,随着威胁程度的增加部署逐渐增强的安全机制。
●解决从架构设计到采购到安装到维护退役的ICS整个生命周期的安全。
●为ICS实施多层网络拓扑结构,在最安全和最可靠的层进行最重要的通信。
●提供企业网络和ICS网络之间的逻辑分离(例如,在网络之间架设状态检测防火墙)。
●采用DMZ网络体系结构(即,防止企业和ICS网络之间的直接通信)。
●确保关键部件和网络冗余。
●为关键系统设计优雅降级(容错),以防止灾难性的级联事件。
●禁用ICS设备中经测试后确保不会影响ICS运作的未使用的端口和服务。
●限制对ICS网络和设备的物理访问。
●限制ICS的用户权限,只开放为执行每个人的工作所必须的权限(即建立基于角色的访问控制和基于最小特权原则配置每个角色)。
●考虑为ICS网络和企业网络的用户分别使用独立的身份验证机制和凭据(即ICS网络帐户不使用企业网络的用户帐户)。
●利用现代技术,如智能卡的个人身份验证(PIV)。
●在技术上可行的情况下实施安全控制,如入侵检测软件、杀毒软件和文件完整性检查软件,预防、阻止、检测和减少恶意软件的侵入、曝露和传播,无论是针对或来自ICS,或在其内部。
●在确定适当的地方对ICS的数据存储和通信应用安全技术,如加密和/或加密哈希。
●在现场条件下进行了所有安全补丁包测试后,如果可能的话,在安装到ICS之前先迅速部署到测试系统上。
●在ICS的关键领域跟踪和监测审计踪迹。
NIST与公共和私营部门的ICS团体合作创建了工业控制系统安全项目,为将NISTSP800-53“联邦信息系统和组织安全控制建议”中的安全控制应用于ICS开发了具体的指南。
虽然在NISTSP800-53的附录F中描述的大部分控制适用于ICS,一些控制确实需要通过增加以下一项或多项来提供ICS专用的解释和/或增强:
ICS补充指南为组织就NISTSP800-53附录F中的安全控制在ICS及这些专门系统运行的其他环境中的应用和增强提供了附加的信息。
补充指南还提供了一些信息,关于为什么一个特定的安全控制或控制增强可能不适用于某些ICS环境,而可能是一个候选项(即,适用范围指南和/或补偿控制)。
ICS补充指南不会取代原来在NISTSP800-53附录F中的补充指南。
ICS增强(一个或多个),对一些ICS原来可能需要的控制提供了增强增扩。
ICS增强版补充指南,就控制增强如何适用于或不适用于ICS环境提供指导。
这份ICS专用指南包含在NISTSP800-53,第3修订版,附录一:
“工业控制系统-安全控制,增强和补充指南”中。
该文件的第6条还为800-53安全控制如何应用于ICS提供了初步指导意见。
如果有初步建议和指导的话,会出现在每节的概述框中。
NIST计划在2011年12月出一个NISTSP800-53更新版(NISTSP800-53,第4修订版),包括当前在工业控制系统领域中的安全控制,控制增强,补充指导,以及剪裁和补充指南的更新。
此外,本文件的附录C对许多当前正在联邦机构、标准组织、产业集团和自动化系统供应商中进行的许多活动提供了一个概述,以便为ICS领域的安全提供有效的建议做法。
确保ICS安全的最成功的方法是,收集业界建议的做法,在管理层、控制工程师和操作员、IT组织和一个可信的自动化顾问之间发起一个积极的、协同的努力。
这支团队应从联邦政府、行业组织、厂商、标准化组织正在进行的附录C所列的活动中提取丰富的可用信息。
1.简介
1.1管理机构
国家标准与技术研究院(NIST)的开发推进其法定职责,本文件根据联邦信息安全管理法案(FISMA)2002年,公共法107-347和国土安全总统指令(HSPD-7)2003年7。
NIST发展的标准和准则,包括的最低要求,所有机构的业务和资产提供足够的信息安全负责,但这些标准和准则不适用于国家安全系统。
这一方针的管理和预算办公室(OMB)通告A-130,第8B(3)办公室的要求是一致的,“保证机构信息系统”,在A-130的分析,附录四:
对重点路段的分析的安全。
A-130,附录三提供参考信息。
这一方针已准备为联邦机构使用。
它可用于在自愿基础上的非政府组织,并不受版权保护,虽然归属需要。
在这个文件中的任何内容,应采取相矛盾的标准和准则方面对联邦机构的强制性和约束力,由商务部根据法定权限局长,也不应改变或取代现有的主管部门,工商及科技局局长主任解释这些准则行政管理和预算局,或任何其他联邦官员。
1.2目的和范围
本文件的目的是为工业控制系统(ICS)的安全保障提供指导,包括监控和数据采集(SCADA)系统、分布式控制系统(DCS)及其他执行控制功能的系统。
该文件提供了一个对ICS和典型系统拓扑的概述,确定了这些系统的典型威胁和漏洞,并提供建议的安全对策,以减轻相关的风险。
因为有许多不同类型的ICS,具有不同程度的潜在风险和影响,该文件为ICS安全提供了许多不同的方法和技术。
该文件不应该单纯的被用作一个保护特定系统的清单。
我们鼓励读者在他们的系统中执行风险评估,并对建议的指导方针和解决方案进行裁剪,以满足其特定的安全、业务和运营要求。
本文件的范围包括通常在电、水和污水处理、石油和天然气、化工、制药、纸浆和造纸、食品和饮料以及离散制造(汽车、航空航天和耐用品)等行业应用的ICS。
1.3读者
本文档涵盖了ICS的具体细节。
该文件在本质上是技术性的,但是,它提供了必要的背景,了解所讨论的议题。
目标受众是多种多样的,包括以下内容:
✧控制工程师,集成商和建筑师设计或实施安全IC
✧系统管理员,工程师和其他信息技术(IT)专业人员谁管理,补丁或安全IC
✧执行ICS的安全评估和渗透测试的安全顾问
✧负责为ICS的经理人
✧高级管理人员正试图了解影响和后果,因为他们的理由和适用的ICS网络安全方案,以帮助减轻影响的业务功能
✧研究人员和分析师们正试图了解ICS的独特的安全需求
✧厂商正在开发的产品将作为一个ICS的一部分部署
本文档假定读者熟悉与一般计算机安全的概念,如在网络和使用基于Web的检索信息的方法使用的通信协议。
1.4文档结构
本指南的其余部分分为以下主要章节:
第2章提供对SCADA和其他ICS的概述,及其安全需求的重要性。
第3章提供对ICS和IT系统之间的差异的讨论,以及威胁、漏洞和事件。
第4章提供对开发和部署一个ICS安全计划的概述,以减轻由于第3章中确认的漏洞而引起的风险。
第5章提供将安全集成到典型ICS网络架构中的建议,重点是网络隔离实践。
第6章提供对NIST特别出版物800-53“联邦信息系统和组织安全控制建议”中定义的管理、运作以及技术控制的汇总,并就如何将这些安全控制应用于ICS提供了初步指南。
该指南还包含几个附录与辅助材料,具体如下:
附录A提供了本文档中使用的缩略语和缩写列表。
附录B提供了本文档中使用的术语表。
附录C提供了一些当前ICS安全活动的清单和简短描述。
附录D提供了一些正在为ICS开发的新兴安全功能的清单。
附录E提供FISMA实施项目的概述和配套文档,以及FISMA与ICS的相关性。
附录F提供了一个用于开发本文件的引用列表。
2.工业控制系统概述
工业控制系统(ICS)是几种类型控制系统的总称,包括监控和数据采集(SCADA)系统、分布式控制系统(DCS)和其它控制系统,如在工业部门和关键基础设施中经常可以看到
的撬装式的可编程逻辑控制器(PLC)。
ICS通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(如汽车、航空航天和耐用品)等行业。
这些控制系统是美国关键基础设施运作的关键,通常是高度相互关联和相互依存的系统。
要注意的是大约有90%的国家关键基础设施是私人拥有和经营的。
联邦机构也经营了上面提到的许多工业流程;其他例子包括空中交通管制和材料处理(例如,邮政邮件处理)。
本节提供对SCADA、DCS、PLC系统的概览,包括典型的架构和组件。
还有一些插图用于描绘网络连接和每个系统的典型部件,以帮助了解这些系统。
请记住,ICS通过整合DCS和SCADA系统的属性而模糊了两者之间的差异,因此实际实现中可能是混合的。
请注意,本节中的图并不代表一个安全的ICS。
架构安全和安全控制分别是在本文件的第5章和第6章讨论。
2.1SCADA,DCS,PLC的概述
SCADA系统是用来控制地理上分散的资产的高度分布式的系统,往往分散数千平方公里,其中集中的数据采集和控制是系统运行的关键。
它们被用于分配系统,如供水和污水收集系统,石油和天然气管道,电力电网,以及铁路运输系统。
一个SCADA控制中心对跨长途通信网络的场站执行集中的监视和控制,包括监测报警和处理状态数据,在现场的。
根据从远程站点收到的信息,自动化或操作员驱动的监督指令可以被推送到远程站点的控制装置上,后者通常被称为现场设备。
现场设备控制本地操作,如打开和关闭阀门和断路器,从传感器系统收集数据,以及监测本地环境的报警条件。
DCS被用来控制工业生产过程,如发电、炼油、水和废水处理、化工、食品、汽车生产。
DCS被集成为一个控制架构,包含一个监督级别的控制,监督多个、集成的子系统,负责控制本地化过程的细节。
产品和过程控制通常是通过部署反馈或前馈控制回路实现的,关键产品和/或过程条件被自动保持在一个所需的设置点周围。
为了实现所需的产品和/或过程围绕一个指定设定点的公差,在场地部署特定的PLC,并在PLC上的比例、积分和/或微分设置被调整为提供所需的公差,以及在过程干扰期间的自我校正率。
DCS系统被广泛应用于基于过程的产业。
PLC是基于计算机的固态装置,控制工业设备和过程。
虽然PLC是整个SCADA和DCS系统中使用的控制系统组件,它们通常在较小的控制系统配置中作为主要组件,用于提供离散过程的操作控制,如汽车装配生产线和电厂吹灰控制。
PLC被广泛应用于几乎所有的工业生产过程。
基于过程的制造业通常利用两个主要过程:
连续制造过程。
这些过程连续运行,往往会转换以制造不同档次的产品。
典型的连续制造过程包括电厂、炼油厂的石油和化工厂的蒸馏过程中的燃料或蒸汽流量。
批量制造过程。
这些过程有不同的处理步骤,在大量的物料上进行。
有一个批处理过程的明显开始和结束步骤,可能在中间步骤中有简短的稳态操作过程。
典型的批量制造过程包括食品制造业。
离散制造业通常在单个设备上执行一系列步骤,创造的最终产品。
电子和机械部件装配和零件加工是这种类型的行业的典型例子。
基于过程和基于离散的行业都使用相同类型的控制系统、传感器和网络。
有些设施是一个基于离散和过程制造的混合。
虽然在分销和制造业使用的控制系统的运作非常相似,他们在某些方面有所不同。
主要区别之一是,与地理上分散的SCADA场站相比,DCS或PLC控制系统通常在位于一个更密闭的工厂或工厂为中心的区域。
DCS和PLC通信通常使用局域网(LAN)的技术,与SCADA系统通常所使用的长途通信系统相比,更可靠和高速。
事实上,SCADA系统是专门设计用来处理长途通信带来的挑战,如使用各种通信媒体产生的延迟和数据丢失。
DCS和PLC系统通常采用比SCADA系统更大程度的闭环控制,因为工业过程的控制通常比分配过程的监督控制更为复杂。
就本文件的范围而言,这些差异可以被视为极微妙的,因为这里我们关注的是如何将IT安全集成到这些系统中。
在本文件的后续部分,SCADA系统、DCS和PLC系统将被称为ICS,除非特定的参考是特别为其中某一个系统定制的(例如,用于SCADA系统的现场设备)。
2.2ICS的操作
一个ICS的基本操作如图2-1所示。
图2-1ICS操作
其关键组件包括以下内容:
控制回路。
控制回路包括测量传感器,控制器硬件如PLC,执行器如控制阀,断路器,开关和电机,以及变量间的通信。
控制变量被从传感器传送到控制器。
控制器解释信号,并根据它传送到执行器的设置点产生相应的调节变量。
干扰引起控制过程变化,产生新的传感器信号,确定过程的状态为被再次传送到控制器。
人机界面(HMI)。
操作员和工程师使用HMI来监控和配置设置点,控制算法,并在控制器中调整和建立参数。
HMI还显示进程状态信息和历史信息。
远程诊断和维护工具。
用于预防、识别和恢复运行异常或故障的诊断和维护工具。
一个典型ICS由控制回路、人机界面、远程诊断和维护工具组成,并使用分层的网络架构上的网络协议集合来构建。
有时,这些控制回路是嵌套和/或级联的,也就是说一个循环的设置点是建立在由另一个循环确定的过程变量的基础上的。
督导级循环和低层次循环在一个具有从几毫秒到几分钟不等的周期时间的过程期间连续运行。
2.3主要ICS元件
为了支持随后的讨论,本节定义用于控制和联网的关键ICS组件。
其中一些组件可以被笼统地描述为可使用在SCADA系统、DCS和PLC中,有的则是唯一针对其中某一个。
附录B中的条款汇编包含了一个更详细的控制和网络组件列表。
此外,第2.4节的图2-5和图2-6显示了采用这些组件的SCA
升级会员 