《工业控制系统安全指南》NISTSP80082.docx

1、工业控制系统安全指南NISTSP80082工业控制系统安全指南 NIST SP800-82摘要此文件提供建立安全的工业控制系统（ICS）的指导。这些ICS包括监控和数据采集（SCADA）系统，分布式控制系统（DCS），和其他控制系统，如在工业部门和关键基础设施中经常可以看到的撬装式的可编程逻辑控制器（PLC）。ICS通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等行业。这些控制系统是美国关键基础设施运作的关键，通常是高度相互关联和相互依存的系统。要注意的是大约有90的国家关键基础设施是私人拥有和经营的。联邦机构

2、也经营了上面提到的许多工业流程；其他例子包括空中交通管制和材料处理（例如，邮政邮件处理）。本文提供了对这些ICS及典型系统技术的概述，识别对这些系统的典型威胁和脆弱性，并提供安全对策建议，以减轻相关风险。最初，ICS与传统的信息技术（IT）系统几乎没有一点相似，因为ICS是孤立的系统，使用专门的硬件和软件来运行专有的控制协议。而现在广泛使用的、低成本的互联网协议（IP）设备正在取代专有的解决方案，从而增加了网络安全漏洞和事故的可能性。由于ICS采用IT解决方案以提升企业业务系统的连接和远程访问能力，并被设计为可使用工业标准的计算机、操作系统（OS）和网络协议，它们已经开始类似于IT系统了。这种

3、集成支持新的IT能力，但它为ICS提供的与外界的隔离明显比原先的系统少多了，这就产生了更多的安全保护需求。虽然在典型的IT系统中已经设计了安全解决方案来处理这些安全问题，但是在将这些相同的解决方案引入ICS环境时，必须采取特殊的预防措施。在某些情况下，需要为ICS环境量身定制的新的安全解决方案。虽然有些特征是相似的，ICS还有与传统的信息处理系统不同的特点。这些差异来自于在ICS中的逻辑执行会直接影响物理世界这一事实。这些特征包括对人类的健康和生命安全的重大风险，对环境的严重破坏，以及严重的财务问题如生产损失，对一个国家的经济产生负面影响，妥协的所有权信息。 ICS具有独特的性能和可靠性要求，

4、并经常使用的操作系统和应用程序可能对典型的IT人员而言被认为是标新立异的。此外，有时安全和效率的目标会与在控制系统的设计和操作中的安全性相冲突。最初ICS主要面对的是本地威胁，因为它们的许多组件都连接在被物理保护的区域中，并没有连接到IT网络或系统。然而，将ICS系统集成到IT网络中的趋势显著减少了ICS与外界的隔离，从而产生了更多的保护这些系统对抗远程、外部威胁的需求。此外，越来越多的无线网络应用使ICS实现要面临更多的来自某些敌人的风险，这类人与设备在物理上比较接近，但又没有直接的物理连接。控制系统面临的威胁可以来自多个方面，包括敌对政府，恐怖组织，心怀不满的员工，恶意入侵者，复杂性，事故

5、，自然灾害以及由内部的恶意或意外行为。 ICS安全目标通常按照可用性、完整性和保密性的优先顺序排列。一个ICS可能面临的事故包括：阻止或延迟通过ICS网络的信息流，这可能会破坏ICS的运作对命令、指示或报警阈值非授权的更改，可能损坏、禁用或关闭设备，产生对环境的影响，和/或危及人类生命不准确的信息被发送到系统操作员，或者是掩饰非授权的更改，或导致操作者发起不适当的行动，均可能产生不同的负面影响ICS软件或配置参数被修改，或ICS软件感染恶意软件，都会产生不同的负面影响干扰安全系统的运行，可能危及人类生命。ICS实施的重要安全目标应包括以下内容：限制对ICS网络的逻辑访问和网络活动。这包括使用防

6、火墙的一个非军事区（DMZ）的网络架构，以防止网络流量在企业网络和ICS网络之间直接传递，并对企业网络用户和ICS网络用户分别提供独立的身份验证机制和凭证。ICS还应使用多层的网络拓扑结构，使最关键的通信发生在最安全和最可靠的层面。限制对ICS网络和设备的物理访问。对组件的非授权的物理访问可能会导致对ICS功能的严重扰乱。应采用组合的物理访问控制机制，如锁、智能卡阅读器和/或警卫。保护单个的ICS组件免受暴露。这包括尽可能迅速地部署安全补丁，一旦在它们在现场条件下通过测试后；禁用所有未使用的端口和服务；限制ICS的用户权限，只开放每个人的角色所需要的权限；跟踪和监测审计踪迹；在技术上可行的地方

7、使用如防病毒软件和文件完整性检查软件等安全控制措施来预防、阻止、检测和减少恶意软件。在不利条件下保持功能。这涉及到设计ICS以使每个关键组件都有冗余。此外，如果一个组件失败，它应该不会在ICS或其他网络上产生不必要的流量，或不会在其他地方引起另一个问题，如级联事件。事件发生后，恢复系统。事故是不可避免的，事件响应计划是必不可少的。一个良好的安全计划的主要特点是一个事件发生后，可以以最快的速度恢复系统。为在ICS中妥善地解决安全问题，必须有一个跨部门的网络安全团队，分享他们在不同领域的知识和经验，评估和减轻ICS的风险。网络安全团队成员至少应包括组织的IT人员、控制工程师、控制系统操作员、网络和

8、系统安全专家、管理层成员和物理安全部门。为保持连续性和完整性，网络安全团队应向控制系统供应商和/或系统集成商进行咨询。网络安全小组应直接向场站管理者（例如，工厂主管）或公司的CIO / CSO报告，后者应对ICS网络安全承担全部的责任和问责。一个有效的ICS网络安全方案应使用“纵深防御”战略，即分层的安全机制，例如任何一个机制失败的影响被最小化。在一个典型的ICS中的“纵深防御”战略包括：制定专门适用于ICS的安全策略，程序，培训和教育材料。基于国土安全咨询系统威胁级别来考虑ICS的安全策略和程序，随着威胁程度的增加部署逐渐增强的安全机制。解决从架构设计到采购到安装到维护退役的ICS整个生命周

9、期的安全。为ICS实施多层网络拓扑结构，在最安全和最可靠的层进行最重要的通信。提供企业网络和ICS网络之间的逻辑分离（例如，在网络之间架设状态检测防火墙）。采用DMZ网络体系结构（即，防止企业和ICS网络之间的直接通信）。确保关键部件和网络冗余。为关键系统设计优雅降级（容错），以防止灾难性的级联事件。禁用ICS设备中经测试后确保不会影响ICS运作的未使用的端口和服务。限制对ICS网络和设备的物理访问。限制ICS的用户权限，只开放为执行每个人的工作所必须的权限（即建立基于角色的访问控制和基于最小特权原则配置每个角色）。考虑为ICS网络和企业网络的用户分别使用独立的身份验证机制和凭据（即ICS网络

10、帐户不使用企业网络的用户帐户）。利用现代技术，如智能卡的个人身份验证（PIV）。在技术上可行的情况下实施安全控制，如入侵检测软件、杀毒软件和文件完整性检查软件，预防、阻止、检测和减少恶意软件的侵入、曝露和传播，无论是针对或来自ICS，或在其内部。在确定适当的地方对ICS的数据存储和通信应用安全技术，如加密和/或加密哈希。在现场条件下进行了所有安全补丁包测试后，如果可能的话，在安装到ICS之前先迅速部署到测试系统上。在ICS的关键领域跟踪和监测审计踪迹。NIST与公共和私营部门的ICS团体合作创建了工业控制系统安全项目，为将NIST SP 800-53“联邦信息系统和组织安全控制建议”中的安全控

11、制应用于ICS开发了具体的指南。虽然在NIST SP 800-53的附录F中描述的大部分控制适用于ICS，一些控制确实需要通过增加以下一项或多项来提供ICS专用的解释和/或增强：ICS补充指南为组织就NIST SP 800-53附录F中的安全控制在ICS及这些专门系统运行的其他环境中的应用和增强提供了附加的信息。补充指南还提供了一些信息，关于为什么一个特定的安全控制或控制增强可能不适用于某些ICS环境，而可能是一个候选项（即，适用范围指南和/或补偿控制）。ICS补充指南不会取代原来在NIST SP 800-53附录F中的补充指南。ICS增强（一个或多个），对一些ICS原来可能需要的控制提供了增

12、强增扩。ICS增强版补充指南，就控制增强如何适用于或不适用于ICS环境提供指导。这份ICS专用指南包含在NIST SP 800-53，第3修订版，附录一：“工业控制系统 - 安全控制，增强和补充指南”中。该文件的第6条还为800-53安全控制如何应用于ICS提供了初步指导意见。如果有初步建议和指导的话，会出现在每节的概述框中。NIST计划在2011年12月出一个NIST SP 800-53更新版（NIST SP 800-53，第4修订版），包括当前在工业控制系统领域中的安全控制，控制增强，补充指导，以及剪裁和补充指南的更新。此外，本文件的附录C对许多当前正在联邦机构、标准组织、产业集团和自动化

13、系统供应商中进行的许多活动提供了一个概述，以便为ICS领域的安全提供有效的建议做法。确保ICS安全的最成功的方法是，收集业界建议的做法，在管理层、控制工程师和操作员、IT组织和一个可信的自动化顾问之间发起一个积极的、协同的努力。这支团队应从联邦政府、行业组织、厂商、标准化组织正在进行的附录C所列的活动中提取丰富的可用信息。 1. 简介1.1管理机构国家标准与技术研究院（NIST）的开发推进其法定职责，本文件根据联邦信息安全管理法案（FISMA）2002年，公共法107-347和国土安全总统指令（HSPD - 7）2003年7 。NIST发展的标准和准则，包括的最低要求，所有机构的业务和资产提供

14、足够的信息安全负责，但这些标准和准则不适用于国家安全系统。这一方针的管理和预算办公室（OMB）通告A - 130，第8B（3）办公室的要求是一致的，“保证机构信息系统”，在A - 130的分析，附录四：对重点路段的分析的安全。 A - 130，附录三提供参考信息。这一方针已准备为联邦机构使用。它可用于在自愿基础上的非政府组织，并不受版权保护，虽然归属需要。在这个文件中的任何内容，应采取相矛盾的标准和准则方面对联邦机构的强制性和约束力，由商务部根据法定权限局长，也不应改变或取代现有的主管部门，工商及科技局局长主任解释这些准则行政管理和预算局，或任何其他联邦官员。 1.2目的和范围本文件的目的是为

15、工业控制系统（ICS）的安全保障提供指导，包括监控和数据采集（SCADA）系统、分布式控制系统（DCS）及其他执行控制功能的系统。该文件提供了一个对ICS和典型系统拓扑的概述，确定了这些系统的典型威胁和漏洞，并提供建议的安全对策，以减轻相关的风险。因为有许多不同类型的ICS，具有不同程度的潜在风险和影响，该文件为ICS安全提供了许多不同的方法和技术。该文件不应该单纯的被用作一个保护特定系统的清单。我们鼓励读者在他们的系统中执行风险评估，并对建议的指导方针和解决方案进行裁剪，以满足其特定的安全、业务和运营要求。本文件的范围包括通常在电、水和污水处理、石油和天然气、化工、制药、纸浆和造纸、食品和饮

16、料以及离散制造（汽车、航空航天和耐用品）等行业应用的ICS。 1.3读者本文档涵盖了ICS的具体细节。该文件在本质上是技术性的，但是，它提供了必要的背景，了解所讨论的议题。目标受众是多种多样的，包括以下内容：控制工程师，集成商和建筑师设计或实施安全IC系统管理员，工程师和其他信息技术（IT）专业人员谁管理，补丁或安全IC执行ICS的安全评估和渗透测试的安全顾问负责为ICS的经理人高级管理人员正试图了解影响和后果，因为他们的理由和适用的ICS网络安全方案，以帮助减轻影响的业务功能研究人员和分析师们正试图了解ICS的独特的安全需求厂商正在开发的产品将作为一个ICS的一部分部署本文档假定读者熟悉与一

17、般计算机安全的概念，如在网络和使用基于Web的检索信息的方法使用的通信协议。1.4文档结构本指南的其余部分分为以下主要章节：第2章提供对SCADA和其他ICS的概述，及其安全需求的重要性。第3章提供对ICS和IT系统之间的差异的讨论，以及威胁、漏洞和事件。第4章提供对开发和部署一个ICS安全计划的概述，以减轻由于第3章中确认的漏洞而引起的风险。第5章提供将安全集成到典型ICS网络架构中的建议，重点是网络隔离实践。第6章提供对NIST特别出版物800-53“联邦信息系统和组织安全控制建议”中定义的管理、运作以及技术控制的汇总，并就如何将这些安全控制应用于ICS提供了初步指南。该指南还包含几个附录

18、与辅助材料，具体如下：附录A提供了本文档中使用的缩略语和缩写列表。附录B提供了本文档中使用的术语表。附录C提供了一些当前ICS安全活动的清单和简短描述。附录D提供了一些正在为ICS开发的新兴安全功能的清单。附录E提供FISMA实施项目的概述和配套文档，以及FISMA与ICS的相关性。附录F提供了一个用于开发本文件的引用列表。2. 工业控制系统概述工业控制系统（ICS）是几种类型控制系统的总称，包括监控和数据采集（SCADA）系统、分布式控制系统（DCS）和其它控制系统，如在工业部门和关键基础设施中经常可以看到的撬装式的可编程逻辑控制器（PLC）。ICS通常用于诸如电力、水和污水处理、石油和天然

19、气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等行业。这些控制系统是美国关键基础设施运作的关键，通常是高度相互关联和相互依存的系统。要注意的是大约有90的国家关键基础设施是私人拥有和经营的。联邦机构也经营了上面提到的许多工业流程；其他例子包括空中交通管制和材料处理（例如，邮政邮件处理）。本节提供对SCADA、DCS、PLC系统的概览，包括典型的架构和组件。还有一些插图用于描绘网络连接和每个系统的典型部件，以帮助了解这些系统。请记住，ICS通过整合DCS和SCADA系统的属性而模糊了两者之间的差异，因此实际实现中可能是混合的。请注意，本节中的图并不代表一

20、个安全的ICS。架构安全和安全控制分别是在本文件的第5章和第6章讨论。2.1 SCADA，DCS，PLC的概述SCADA系统是用来控制地理上分散的资产的高度分布式的系统，往往分散数千平方公里，其中集中的数据采集和控制是系统运行的关键。它们被用于分配系统，如供水和污水收集系统，石油和天然气管道，电力电网，以及铁路运输系统。一个SCADA控制中心对跨长途通信网络的场站执行集中的监视和控制，包括监测报警和处理状态数据，在现场的。根据从远程站点收到的信息，自动化或操作员驱动的监督指令可以被推送到远程站点的控制装置上，后者通常被称为现场设备。现场设备控制本地操作，如打开和关闭阀门和断路器，从传感器系统收

21、集数据，以及监测本地环境的报警条件。DCS被用来控制工业生产过程，如发电、炼油、水和废水处理、化工、食品、汽车生产。DCS被集成为一个控制架构，包含一个监督级别的控制，监督多个、集成的子系统，负责控制本地化过程的细节。产品和过程控制通常是通过部署反馈或前馈控制回路实现的，关键产品和/或过程条件被自动保持在一个所需的设置点周围。为了实现所需的产品和/或过程围绕一个指定设定点的公差，在场地部署特定的PLC，并在PLC上的比例、积分和/或微分设置被调整为提供所需的公差，以及在过程干扰期间的自我校正率。DCS系统被广泛应用于基于过程的产业。PLC是基于计算机的固态装置，控制工业设备和过程。虽然PLC是

22、整个SCADA和DCS系统中使用的控制系统组件，它们通常在较小的控制系统配置中作为主要组件，用于提供离散过程的操作控制，如汽车装配生产线和电厂吹灰控制。PLC被广泛应用于几乎所有的工业生产过程。基于过程的制造业通常利用两个主要过程：连续制造过程。这些过程连续运行，往往会转换以制造不同档次的产品。典型的连续制造过程包括电厂、炼油厂的石油和化工厂的蒸馏过程中的燃料或蒸汽流量。批量制造过程。这些过程有不同的处理步骤，在大量的物料上进行。有一个批处理过程的明显开始和结束步骤，可能在中间步骤中有简短的稳态操作过程。典型的批量制造过程包括食品制造业。离散制造业通常在单个设备上执行一系列步骤，创造的最终产品

23、。电子和机械部件装配和零件加工是这种类型的行业的典型例子。基于过程和基于离散的行业都使用相同类型的控制系统、传感器和网络。有些设施是一个基于离散和过程制造的混合。虽然在分销和制造业使用的控制系统的运作非常相似，他们在某些方面有所不同。主要区别之一是，与地理上分散的SCADA场站相比，DCS或PLC控制系统通常在位于一个更密闭的工厂或工厂为中心的区域。 DCS和PLC通信通常使用局域网（LAN）的技术，与SCADA系统通常所使用的长途通信系统相比，更可靠和高速。事实上，SCADA系统是专门设计用来处理长途通信带来的挑战，如使用各种通信媒体产生的延迟和数据丢失。DCS和PLC系统通常采用比SCAD

24、A系统更大程度的闭环控制，因为工业过程的控制通常比分配过程的监督控制更为复杂。就本文件的范围而言，这些差异可以被视为极微妙的，因为这里我们关注的是如何将IT安全集成到这些系统中。在本文件的后续部分，SCADA系统、DCS和PLC系统将被称为ICS，除非特定的参考是特别为其中某一个系统定制的（例如，用于SCADA系统的现场设备）。 2.2 ICS的操作一个ICS的基本操作如图2-1所示。图2-1 ICS操作其关键组件包括以下内容：控制回路。控制回路包括测量传感器，控制器硬件如PLC，执行器如控制阀，断路器，开关和电机，以及变量间的通信。控制变量被从传感器传送到控制器。控制器解释信号，并根据它传送

25、到执行器的设置点产生相应的调节变量。干扰引起控制过程变化，产生新的传感器信号，确定过程的状态为被再次传送到控制器。人机界面（HMI）。操作员和工程师使用HMI来监控和配置设置点，控制算法，并在控制器中调整和建立参数。HMI还显示进程状态信息和历史信息。远程诊断和维护工具。用于预防、识别和恢复运行异常或故障的诊断和维护工具。一个典型ICS由控制回路、人机界面、远程诊断和维护工具组成，并使用分层的网络架构上的网络协议集合来构建。有时，这些控制回路是嵌套和/或级联的，也就是说一个循环的设置点是建立在由另一个循环确定的过程变量的基础上的。督导级循环和低层次循环在一个具有从几毫秒到几分钟不等的周期时间的

26、过程期间连续运行。2.3 主要ICS元件为了支持随后的讨论，本节定义用于控制和联网的关键ICS组件。其中一些组件可以被笼统地描述为可使用在SCADA系统、DCS和PLC中，有的则是唯一针对其中某一个。附录B中的条款汇编包含了一个更详细的控制和网络组件列表。此外，第2.4节的图2-5和图2-6显示了采用这些组件的SCADA实施的例子，在2.5节的图2-7显示了一个DCS实现的例子，在第2.6节的图2-8显示PLC系统实现的例子。2.3.1 控制元件以下是一个ICS的主要控制元件清单：控制服务器。控制服务器承载与较低级别的控制设备进行通信的DCS或PLC监控软件。控制服务器通过ICS网络访问下属的

27、控制模块。SCADA服务器或主终端单元（MTU）。 SCADA服务器担任SCADA系统的主设备。远程终端单元和PLC设备（如下所述）位于远程场站，通常作为从设备。远程终端装置（RTU）。RTU，也称为遥测遥控装置，是特殊用途的数据采集和控制单元，被设计为支持SCADA远程站点。RTU是现场设备，往往配备无线电接口以支持有线通信不可用的远程站点。有时，PLC被实现为现场设备，担任RTU的工作；在这种情况下，PLC通常就被称为一个RTU。可编程逻辑控制器（PLC）。 PLC是一种小型工业计算机，最初设计为执行由电器硬件（继电器，开关，机械定时器/计数器）执行的逻辑功能。PLC已经演变成为控制器，具

28、有控制复杂过程的能力，它们被大量地用在SCADA系统和DCS中。在现场级别使用的其他控制器为过程控制器和RTU；它们提供与PLC相同的控制，但是为特定的控制应用而设计的。在SCADA环境中，PLC是经常被用来作为现场设备，因为它们比特殊用途的RTU更经济，多用途，灵活和易配置。智能电子设备（IED）。IED是一种“智能”传感器/执行器，包含采集数据、与其他设备通信和执行本地过程和控制所需的智能。IED可以组合一个模拟输入传感器，模拟输出，低层次的控制能力，通信系统，以及一台设备中的程序存储器。在SCADA和DCS系统中使用IED，可以在本地级别实现自动化控制。人机界面（HMI）。HMI是一套软

29、件和硬件，允许操作人员监控一个处于控制下的过程的状态，修改控制设置以更改控制目标，并在发生紧急情况时手动取代自动控制操作。HMI还允许控制工程师或操作员配置控制器中的设置点或控制算法和参数。HMI还向操作员、管理员、经理、业务伙伴和其他授权用户显示过程状态信息、历史信息、报告和其他信息。位置、平台和接口可能相差很大。例如，HMI可以是控制中心的专用平台，无线局域网上的笔记本电脑，或连接到互联网的任何系统上的浏览器。历史数据。历史数据是一个集中的数据库，记录ICS内的所有过程信息。在这个数据库中存储的信息可以被访问，以支持各种分析，从统计过程控制到企业层面的规划。输入/输出（IO）服务器。 IO

30、服务器作为一个控制组件，负责收集、缓冲来自控制子元件如PLC、RTU和IED等的过程信息，并提供对过程信息的访问。一个IO服务器可以驻留在控制服务器上或一个单独的计算机平台上。IO服务器也可用于与第三方控制元件的接口，如HMI和控制服务器。2.3.2 网络组件在控制系统层次结构内部的每一层上都有不同的网络特性。跨越不同ICS实现的网络拓扑结构，与使用基于互联网的IT和企业一体化战略的现代系统是不同的。控制网络已经与企业网络合并，让控制工程师可以从控制系统网络外部监测和控制系统。该连接也可以让企业高层决策者获得对过程数据的访问。以下是一个ICS网络的主要组成部分的清单，无论使用何种网络拓扑：现场

31、总线网络。现场总线网络将传感器和其他设备连接到PLC或其他控制器。现场总线技术的使用，消除了对控制器和每个设备之间的点到点连线的需要。设备使用各种协议与现场总线控制器进行通信。在传感器和控制器之间发送的消息可唯一确定每个传感器。控制网络。控制网络负责连接监控级别的控制模块与较低级别的控制模块。通讯路由器。路由器是一种通信设备，在两个网络之间传输消息。路由器常见用途包括将一个局域网连接到广域网，为SCADA通信将MTU和RTU连接到远程网络介质。防火墙。防火墙可以保护网络上的设备，通过监测和控制通信数据包，使用预定义的过滤策略。防火墙也有助于管理ICS网络的隔离策略。调制解调器。调制解调器是用于

32、串行数字数据和适用于通过电话线传输设备进行通信的信号之间的转换设备。调制解调器通常用在SCADA系统中，以建立远程MTU和远程现场设备之间的串行通信。它们还用在SCADA系统、DCS和PLC中以获得对运行和维护功能的远程访问，如输入命令或修改参数，以及用于诊断的目的。远程接入点。远程接入点是控制网络的不同设备、区域和位置，为了远程配置控制系统和访问过程数据。例子包括使用个人数字助理（PDA）通过一个无线接入点访问局域网上的数据，并使用一台笔记本电脑和调制解调器连接并远程访问ICS系统。2.4 SCADA系统SCADA系统被用来控制分散的资产，对其而言，集中的数据采集与控制一样重要。这些系统被用于配水系统和污水收集系统，石油和天然气管道，电力设施的输电和配电系统，以及铁路和其他公共交通系统。SCADA系统将数据采集系统与数据传输系统和HMI软件集成起来，为大量的过程输入输出提供集中的监控系统。SCADA系统被设