《工业控制系统安全指南》

NIST SP800-82

目 录

摘要 ................................................................................................................................................... 5 1. 简介 .............................................................................................................................................. 9 1.1管理机构 ....................................................................................................................................... 9 1.2目的和范围 ................................................................................................................................... 9 1.3读者 ............................................................................................................................................. 10 1.4文档结构 ..................................................................................................................................... 10 2. 工业控制系统概述 ..................................................................................................................... 11 2.1 SCADA，DCS，PLC的概述 ................................................................................................... 12 2.2 ICS的操作 .................................................................................................................................. 13 2.3 主要ICS元件 ............................................................................................................................ 15 2.3.1 控制元件 .............................................................................................................................. 15 2.3.2 网络组件 .............................................................................................................................. 16 2.4 SCADA系统 .................................................................................................................................. 17 2.5 分布式控制系统（DCS） ........................................................................................................ 22 2.6 可编程逻辑控制器（PLC） ..................................................................................................... 24 2.7 工业部门和他们的相互依存性 ................................................................................................. 24 3. ICS特性，威胁和脆弱性 ............................................................................................................. 25 3.1 ICS和IT系统的比较 ................................................................................................................... 26 3.2 威胁 ............................................................................................................................................. 30 3.3 ICS系统潜在的脆弱性 ............................................................................................................. 32 3.3.1策略和程序方面的脆弱性 ................................................................................................. 33 3.3.2平台方面的脆弱性 ............................................................................................................. 34 3.3.3 网络方面的脆弱性 ............................................................................................................ 40 3.4 风险因素 .................................................................................................................................... 44 3.4.1 标准的协议和技术 ............................................................................................................ 44 3.4.2 网络连接扩大 .................................................................................................................... 45 3.4.3 不安全和恶意的连接 ........................................................................................................ 46 3.4.4. 公开的信息 ...................................................................................................................... 46 3.5安全事件举例 ............................................................................................................................. 47 3.6 安全事故来源 ............................................................................................................................ 48 3.7 收录的安全事件 ........................................................................................................................ 50 3.7.1内部有目标攻击事件 ......................................................................................................... 50 3.7.2无意特定目标的攻击事件 ................................................................................................. 51 3.7.3内部无明确攻击目标的事件 ............................................................................................. 52 4.ICS系统安全程序开发与部署 .................................................................................................... 53 4.1业务影响分析 ............................................................................................................................. 53 4.1.1 收益 .................................................................................................................................... 54 4.1.2 潜在影响 ............................................................................................................................ 54 4.1.3 业务影响分析的关键组成部分 ........................................................................................ 55

4.1.4 业务影响分析的资源 ........................................................................................................ 56 4.1.5 向领导介绍商业案例 ........................................................................................................ 57 4.2 开发一套综合的安全程序文件 ................................................................................................ 57 4.2.1 高层管理者的支持 ............................................................................................................ 58 4.2.2 建立和训练一支跨职能的团队 ........................................................................................ 58 4.2.3 定义纲领和范围 ................................................................................................................ 59 4.2.4 定义ICS详细的安全策略和程序 .................................................................................... 59 4.2.5 定义ICS系统和网络资产清单目录 ................................................................................ 60 4.2.6 进行漏洞与风险评估 ........................................................................................................ 60 4.2.7 定义风险缓解控制措施 .................................................................................................... 62 4.2.8 提供培训机会，加强安全意识 ........................................................................................ 63 5.网络结构 ..................................................................................................................................... 63 5.1.防火墙 ........................................................................................................................................ 64 5.2逻辑分割控制网络 ..................................................................................................................... 65 5.3.网络隔离 .................................................................................................................................... 66 5.3.1双宿主机/两个网络接口卡 ............................................................................................... 66 5.3.2 办公网和控制网络之间的防火墙 .................................................................................... 66 5.3.3 办公网和控制网络之间的防火墙和路由器 .................................................................... 68 5.3.4 办公网和控制网络之间带DMZ(隔离区)的防火墙 ......................................................... 69 5.3.5 办公网和控制网络之间成对的防火墙 ............................................................................ 71 5.3.6 网络隔离总述 .................................................................................................................... 72 5.4.深度防御架构 ............................................................................................................................ 73 5.5.ICS普遍的防火墙策略 ............................................................................................................. 74 5.6.针对特定服务的防火墙规则 .................................................................................................... 76 5.6.1 域名系统 ............................................................................................................................ 77 5.6.2 超文本传输协议(HTTP) .................................................................................................... 77 5.6.3 FTP和TFTP ........................................................................................................................ 77 5.6.4 Telnet ................................................................................................................................ 78 5.6.5 简单邮件传输协议(SMTP) ................................................................................................ 78 5.6.6 简单网络管理协议(SNMP) ................................................................................................ 78 5.6.7分布式对象组件模型(DCOM) ............................................................................................. 78 5.6.8 SCADA和工业协议 ............................................................................................................. 79 5.7.网络地址转换(NAT) .................................................................................................................. 79 5.8 ICS和防火墙的一些具体问题 ................................................................................................. 80 5.8.1 海量数据记录系统 ............................................................................................................ 80 5.8.2 远程登录 ............................................................................................................................ 80 5.8.3 组播 .................................................................................................................................... 81 5.9 单点失败 .................................................................................................................................... 82 5.10 冗余和容错 .............................................................................................................................. 82 5.11 预防中间人攻击 ...................................................................................................................... 82 6.ICS安全控制 ............................................................................................................................... 84 6.1 管理控制 .................................................................................................................................... 85 6.1.1 安全评估和授权 ................................................................................................................ 85

6.1.2 计划 .................................................................................................................................... 86 6.1.4 系统和服务获取 ................................................................................................................ 88 6.1.5 程序管理 ............................................................................................................................ 88 6.2 操作控制 .................................................................................................................................... 88 6.2.1 人员安全 ............................................................................................................................ 89 6.2.2 物理及环境的保护 ............................................................................................................ 90 6.2.3应急预案 ............................................................................................................................. 92

6.2.3.1业务持续预案................................................................................................................................ 93 6.2.3.2灾害恢复计划................................................................................................................................ 94

6.2.4参数管理 ............................................................................................................................... 95 6.2.5维护....................................................................................................................................... 95 6.2.6系统和信息保存 ................................................................................................................... 96

6.2.6.1恶意代码攻击................................................................................................................................ 96 6.2.6.2入侵检测和防护 ............................................................................................................................ 97 6.2.6.3补丁管理 ....................................................................................................................................... 98

6.2.7介质保护 ............................................................................................................................... 99 6.2.8事件响应 ............................................................................................................................. 100 6.2.9意识和培训 ......................................................................................................................... 102 6.3技术控制 .................................................................................................................................... 102 6.3.1识别和授权 ......................................................................................................................... 103

6.3.1.1密码授权 ..................................................................................................................................... 104 6.3.1.2挑战-应答鉴定 ............................................................................................................................ 106 6.3.1.3物理标志授权.............................................................................................................................. 106 6.3.1.4生物授权 ..................................................................................................................................... 107

6.3.2访问控制 ............................................................................................................................. 108

6.3.2.1基于角色的访问控制(RBAC) ....................................................................................................... 109 6.3.2.2WEB服务器 .................................................................................................................................. 109 6.3.2.3虚拟本地局域网络(VLAN)........................................................................................................... 109 6.3.2.4拨号调制解调器 .......................................................................................................................... 110 6.3.2.5无线 ............................................................................................................................................. 111

6.3.3审计..................................................................................................................................... 113 6.3.4系统和交流保护 ................................................................................................................. 114

6.3.4.1加密 ............................................................................................................................................. 114 6.3.4.2虚拟专用网络 (VPN) .................................................................................................................. 116

摘要

此文件提供建立安全的工业控制系统（ICS）的指导。这些ICS包括监控和数据采集（SCADA）系统，分布式控制系统（DCS），和其他控制系统，如在工业部门和关键基础设施中经常可以看到的撬装式的可编程逻辑控制器（PLC）。ICS通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等行业。这些控制系统是美国关键基础设施运作的关键，通常是高度相互关联和相互依存的系统。要注意的是大约有90％的国家关键基础设施是私人拥有和经营的。联邦机构也经营了上面提到的许多工业流程；其他例子包括空中交通管制和材料处理（例如，邮政邮件处理）。本文提供了对这些ICS及典型系统技术的概述，识别对这些系统的典型威胁和脆弱性，并提供安全对策建议，以减轻相关风险。

最初，ICS与传统的信息技术（IT）系统几乎没有一点相似，因为ICS是孤立的系统，使用专门的硬件和软件来运行专有的控制协议。而现在广泛使用的、低成本的互联网协议（IP）设备正在取代专有的解决方案，从而增加了网络安全漏洞和事故的可能性。由于ICS采用IT解决方案以提升企业业务系统的连接和远程访问能力，并被设计为可使用工业标准的计算机、操作系统（OS）和网络协议，它们已经开始类似于IT系统了。这种集成支持新的IT能力，但它为ICS提供的与外界的隔离明显比原先的系统少多了，这就产生了更多的安全保护需求。虽然在典型的IT系统中已经设计了安全解决方案来处理这些安全问题，但是在将这些相同的解决方案引入ICS环境时，必须采取特殊的预防措施。在某些情况下，需要为ICS环境量身定制的新的安全解决方案。

虽然有些特征是相似的，ICS还有与传统的信息处理系统不同的特点。这些差异来自于在ICS中的逻辑执行会直接影响物理世界这一事实。这些特征包括对人类的健康和生命安全的重大风险，对环境的严重破坏，以及严重的财务问题如生产损失，对一个国家的经济产生负面影响，妥协的所有权信息。 ICS具有独特的性能和可靠性要求，并经常使用的操作系统和应用程序可能对典型的IT人员而言被认为是标新立异的。此外，有时安全和效率的目标会与在控制系统的设计和操作中的安全性相冲突。

最初ICS主要面对的是本地威胁，因为它们的许多组件都连接在被物理保护的区域中，并没有连接到IT网络或系统。然而，将ICS系统集成到IT网络中的趋势显著减少了ICS与外界的隔离，从而产生了更多的保护这些系统对抗远程、外部威胁的需求。此外，越来越多的无线网络应用使ICS实现要面临更多的来自某些敌人的风险，这类人与设备在物理上比较接近，但又没有直接的物理连接。控制系统面临的威胁可以来自多个方面，包括敌对政府，恐怖组织，心怀不满的员工，恶意入侵者，复杂性，事故，自然灾害以及由内部的恶意或意外行为。 ICS安全目标通常按照可用性、完整性和保密性的优先顺序排列。

一个ICS可能面临的事故包括：

阻止或延迟通过ICS网络的信息流，这可能会破坏ICS的运作

对命令、指示或报警阈值非授权的更改，可能损坏、禁用或关闭设备，产生对环境的影响，和/或危及人类生命

不准确的信息被发送到系统操作员，或者是掩饰非授权的更改，或导致操作者发起不适当的行动，均可能产生不同的负面影响

ICS软件或配置参数被修改，或ICS软件感染恶意软件，都会产生不同的负面影响

干扰安全系统的运行，可能危及人类生命。 ICS实施的重要安全目标应包括以下内容：

限制对ICS网络的逻辑访问和网络活动。这包括使用防火墙的一个非军事区（DMZ）的网络架构，以防止网络流量在企业网络和ICS网络之间直接传递，并对企业网络用户和ICS网络用户分别提供独立的身份验证机制和凭证。ICS还应使用多层的网络拓扑结构，使最关键的通信发生在最安全和最可靠的层面。

限制对ICS网络和设备的物理访问。对组件的非授权的物理访问可能会导致对ICS功能的严重扰乱。应采用组合的物理访问控制机制，如锁、智能卡阅读器和/或警卫。

保护单个的ICS组件免受暴露。这包括尽可能迅速地部署安全补丁，一旦在它们在现场条件下通过测试后；禁用所有未使用的端口和服务；限制ICS的用户权限，只开放每个人的角色所需要的权限；跟踪和监测审计踪迹；在技术上可行的地方使用如防病毒软件和文件完整性检查软件等安全控制措施来预防、阻止、

检测和减少恶意软件。

在不利条件下保持功能。这涉及到设计ICS以使每个关键组件都有冗余。此外，如果一个组件失败，它应该不会在ICS或其他网络上产生不必要的流量，或不会在其他地方引起另一个问题，如级联事件。

事件发生后，恢复系统。事故是不可避免的，事件响应计划是必不可少的。一个良好的安全计划的主要特点是一个事件发生后，可以以最快的速度恢复系统。

为在ICS中妥善地解决安全问题，必须有一个跨部门的网络安全团队，分享他们在不同领域的知识和经验，评估和减轻ICS的风险。网络安全团队成员至少应包括组织的IT人员、控制工程师、控制系统操作员、网络和系统安全专家、管理层成员和物理安全部门。为保持连续性和完整性，网络安全团队应向控制系统供应商和/或系统集成商进行咨询。网络安全小组应直接向场站管理者（例如，工厂主管）或公司的CIO / CSO报告，后者应对ICS网络安全承担全部的责任和问责。一个有效的ICS网络安全方案应使用“纵深防御”战略，即分层的安全机制，例如任何一个机制失败的影响被最小化。

在一个典型的ICS中的“纵深防御”战略包括：

? 制定专门适用于ICS的安全策略，程序，培训和教育材料。

? 基于国土安全咨询系统威胁级别来考虑ICS的安全策略和程序，随着威胁程度的增加部署逐渐增强的安全机制。

? 解决从架构设计到采购到安装到维护退役的ICS整个生命周期的安全。 ? 为ICS实施多层网络拓扑结构，在最安全和最可靠的层进行最重要的通信。 ? 提供企业网络和ICS网络之间的逻辑分离（例如，在网络之间架设状态检测防火墙）。 ? 采用DMZ网络体系结构（即，防止企业和ICS网络之间的直接通信）。 ? 确保关键部件和网络冗余。

? 为关键系统设计优雅降级（容错），以防止灾难性的级联事件。 ? 禁用ICS设备中经测试后确保不会影响ICS运作的未使用的端口和服务。 ? 限制对ICS网络和设备的物理访问。

? 限制ICS的用户权限，只开放为执行每个人的工作所必须的权限（即建立基于角色

的访问控制和基于最小特权原则配置每个角色）。

? 考虑为ICS网络和企业网络的用户分别使用独立的身份验证机制和凭据（即ICS网络帐户不使用企业网络的用户帐户）。

? 利用现代技术，如智能卡的个人身份验证（PIV）。

? 在技术上可行的情况下实施安全控制，如入侵检测软件、杀毒软件和文件完整性检查软件，预防、阻止、检测和减少恶意软件的侵入、曝露和传播，无论是针对或来自ICS，或在其内部。

? 在确定适当的地方对ICS的数据存储和通信应用安全技术，如加密和/或加密哈希。 ? 在现场条件下进行了所有安全补丁包测试后，如果可能的话，在安装到ICS之前先迅速部署到测试系统上。

? 在ICS的关键领域跟踪和监测审计踪迹。

NIST与公共和私营部门的ICS团体合作创建了工业控制系统安全项目，为将NIST SP 800-53“联邦信息系统和组织安全控制建议”中的安全控制应用于ICS开发了具体的指南。

虽然在NIST SP 800-53的附录F中描述的大部分控制适用于ICS，一些控制确实需要通过增加以下一项或多项来提供ICS专用的解释和/或增强：

ICS补充指南为组织就NIST SP 800-53附录F中的安全控制在ICS及这些专门系统运行的其他环境中的应用和增强提供了附加的信息。补充指南还提供了一些信息，关于为什么一个特定的安全控制或控制增强可能不适用于某些ICS环境，而可能是一个候选项（即，适用范围指南和/或补偿控制）。ICS补充指南不会取代原来在NIST SP 800-53附录F中的补充指南。

ICS增强（一个或多个），对一些ICS原来可能需要的控制提供了增强增扩。 ICS增强版补充指南，就控制增强如何适用于或不适用于ICS环境提供指导。

这份ICS专用指南包含在NIST SP 800-53，第3修订版，附录一：“工业控制系统 - 安全控制，增强和补充指南”中。该文件的第6条还为800-53安全控制如何应用于ICS提供了初步指导意见。如果有初步建议和指导的话，会出现在每节的概述框中。NIST计划在2011年12月出一个NIST SP 800-53更新版（NIST SP 800-53，第4修订版），包括当前在工业控制系统领域中的安全控制，控制增强，补充指导，以及剪裁和补充指南的更新。

此外，本文件的附录C对许多当前正在联邦机构、标准组织、产业集团和自动化系统供应商中进行的许多活动提供了一个概述，以便为ICS领域的安全提供有效的建议做法。

确保ICS安全的最成功的方法是，收集业界建议的做法，在管理层、控制工程师和操作员、IT组织和一个可信的自动化顾问之间发起一个积极的、协同的努力。这支团队应从联邦政府、行业组织、厂商、标准化组织正在进行的附录C所列的活动中提取丰富的可用信息。

1. 简介

1.1管理机构

国家标准与技术研究院（NIST）的开发推进其法定职责，本文件根据联邦信息安全管理法案（FISMA）2002年，公共法107-347和国土安全总统指令（HSPD - 7）2003年7 。

NIST发展的标准和准则，包括的最低要求，所有机构的业务和资产提供足够的信息安全负责，但这些标准和准则不适用于国家安全系统。这一方针的管理和预算办公室（OMB）通告A - 130，第8B（3）办公室的要求是一致的，“保证机构信息系统”，在A - 130的分析，附录四：对重点路段的分析的安全。 A - 130，附录三提供参考信息。

这一方针已准备为联邦机构使用。它可用于在自愿基础上的非政府组织，并不受版权保护，虽然归属需要。

在这个文件中的任何内容，应采取相矛盾的标准和准则方面对联邦机构的强制性和约束力，由商务部根据法定权限局长，也不应改变或取代现有的主管部门，工商及科技局局长主任解释这些准则行政管理和预算局，或任何其他联邦官员。

1.2目的和范围

本文件的目的是为工业控制系统（ICS）的安全保障提供指导，包括监控和数据采集（SCADA）系统、分布式控制系统（DCS）及其他执行控制功能的系统。该文件提供了一个对ICS和典型系统拓扑的概述，确定了这些系统的典型威胁和

漏洞，并提供建议的安全对策，以减轻相关的风险。因为有许多不同类型的ICS，具有不同程度的潜在风险和影响，该文件为ICS安全提供了许多不同的方法和技术。该文件不应该单纯的被用作一个保护特定系统的清单。我们鼓励读者在他们的系统中执行风险评估，并对建议的指导方针和解决方案进行裁剪，以满足其特定的安全、业务和运营要求。

本文件的范围包括通常在电、水和污水处理、石油和天然气、化工、制药、纸浆和造纸、食品和饮料以及离散制造（汽车、航空航天和耐用品）等行业应用的ICS。

1.3读者

本文档涵盖了ICS的具体细节。该文件在本质上是技术性的，但是，它提供了必要的背景，了解所讨论的议题。

目标受众是多种多样的，包括以下内容：

? 控制工程师，集成商和建筑师设计或实施安全IC

? 系统管理员，工程师和其他信息技术（IT）专业人员谁管理，补丁或安

全IC

? 执行ICS的安全评估和渗透测试的安全顾问 ? 负责为ICS的经理人

? 高级管理人员正试图了解影响和后果，因为他们的理由和适用的ICS网

络安全方案，以帮助减轻影响的业务功能

? 研究人员和分析师们正试图了解ICS的独特的安全需求 ? 厂商正在开发的产品将作为一个ICS的一部分部署

本文档假定读者熟悉与一般计算机安全的概念，如在网络和使用基于Web的检索信息的方法使用的通信协议。

1.4文档结构

本指南的其余部分分为以下主要章节：

第2章提供对SCADA和其他ICS的概述，及其安全需求的重要性。

第3章提供对ICS和IT系统之间的差异的讨论，以及威胁、漏洞和事件。 第4章提供对开发和部署一个ICS安全计划的概述，以减轻由于第3章中确认的漏洞而引起的风险。

第5章提供将安全集成到典型ICS网络架构中的建议，重点是网络隔离实践。 第6章提供对NIST特别出版物800-53“联邦信息系统和组织安全控制建议”中定义的管理、运作以及技术控制的汇总，并就如何将这些安全控制应用于ICS提供了初步指南。

该指南还包含几个附录与辅助材料，具体如下： 附录A提供了本文档中使用的缩略语和缩写列表。 附录B提供了本文档中使用的术语表。

附录C提供了一些当前ICS安全活动的清单和简短描述。 附录D提供了一些正在为ICS开发的新兴安全功能的清单。

附录E提供FISMA实施项目的概述和配套文档，以及FISMA与ICS的相关性。 附录F提供了一个用于开发本文件的引用列表。

2. 工业控制系统概述

工业控制系统（ICS）是几种类型控制系统的总称，包括监控和数据采集（SCADA）系统、分布式控制系统（DCS）和其它控制系统，如在工业部门和关键基础设施中经常可以看到的撬装式的可编程逻辑控制器（PLC）。ICS通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等行业。这些控制系统是美国关键基础设施运作的关键，通常是高度相互关联和相互依存的系统。要注意的是大约有90％的国家关键基础设施是私人拥有和经营的。联邦机构也经营了上面提到的许多工业流程；其他例子包括空中交通管制和材料处理（例如，邮政邮件处理）。本节提供对SCADA、DCS、PLC系统的概览，包括典型的架构和组件。还有一些插图用于描绘网络连接和每个系统的典型部件，以帮助了解这些系

统。请记住，ICS通过整合DCS和SCADA系统的属性而模糊了两者之间的差异，因此实际实现中可能是混合的。请注意，本节中的图并不代表一个安全的ICS。架构安全和安全控制分别是在本文件的第5章和第6章讨论。

2.1 SCADA，DCS，PLC的概述

SCADA系统是用来控制地理上分散的资产的高度分布式的系统，往往分散数千平方公里，其中集中的数据采集和控制是系统运行的关键。它们被用于分配系统，如供水和污水收集系统，石油和天然气管道，电力电网，以及铁路运输系统。一个SCADA控制中心对跨长途通信网络的场站执行集中的监视和控制，包括监测报警和处理状态数据，在现场的。根据从远程站点收到的信息，自动化或操作员驱动的监督指令可以被推送到远程站点的控制装置上，后者通常被称为现场设备。现场设备控制本地操作，如打开和关闭阀门和断路器，从传感器系统收集数据，以及监测本地环境的报警条件。

DCS被用来控制工业生产过程，如发电、炼油、水和废水处理、化工、食品、汽车生产。DCS被集成为一个控制架构，包含一个监督级别的控制，监督多个、集成的子系统，负责控制本地化过程的细节。产品和过程控制通常是通过部署反馈或前馈控制回路实现的，关键产品和/或过程条件被自动保持在一个所需的设置点周围。为了实现所需的产品和/或过程围绕一个指定设定点的公差，在场地部署特定的PLC，并在PLC上的比例、积分和/或微分设置被调整为提供所需的公差，以及在过程干扰期间的自我校正率。DCS系统被广泛应用于基于过程的产业。

PLC是基于计算机的固态装置，控制工业设备和过程。虽然PLC是整个SCADA和DCS系统中使用的控制系统组件，它们通常在较小的控制系统配置中作为主要组件，用于提供离散过程的操作控制，如汽车装配生产线和电厂吹灰控制。PLC被广泛应用于几乎所有的工业生产过程。

基于过程的制造业通常利用两个主要过程：

连续制造过程。这些过程连续运行，往往会转换以制造不同档次的产品。典型的连续制造过程包括电厂、炼油厂的石油和化工厂的蒸馏过程中的燃料或蒸汽流量。

批量制造过程。这些过程有不同的处理步骤，在大量的物料上进行。有一个批处理过程的明显开始和结束步骤，可能在中间步骤中有简短的稳态操作过程。典型的批量制造过程包括食品制造业。

离散制造业通常在单个设备上执行一系列步骤，创造的最终产品。电子和机械部件装配和零件加工是这种类型的行业的典型例子。

基于过程和基于离散的行业都使用相同类型的控制系统、传感器和网络。有些设施是一个基于离散和过程制造的混合。

虽然在分销和制造业使用的控制系统的运作非常相似，他们在某些方面有所不同。主要区别之一是，与地理上分散的SCADA场站相比，DCS或PLC控制系统通常在位于一个更密闭的工厂或工厂为中心的区域。 DCS和PLC通信通常使用局域网（LAN）的技术，与SCADA系统通常所使用的长途通信系统相比，更可靠和高速。事实上，SCADA系统是专门设计用来处理长途通信带来的挑战，如使用各种通信媒体产生的延迟和数据丢失。DCS和PLC系统通常采用比SCADA系统更大程度的闭环控制，因为工业过程的控制通常比分配过程的监督控制更为复杂。就本文件的范围而言，这些差异可以被视为极微妙的，因为这里我们关注的是如何将IT安全集成到这些系统中。在本文件的后续部分，SCADA系统、DCS和PLC系统将被称为ICS，除非特定的参考是特别为其中某一个系统定制的（例如，用于SCADA系统的现场设备）。

2.2 ICS的操作

一个ICS的基本操作如图2-1所示。

图2-1 ICS操作

其关键组件包括以下内容：

控制回路。控制回路包括测量传感器，控制器硬件如PLC，执行器如控制阀，断路器，开关和电机，以及变量间的通信。控制变量被从传感器传送到控制器。控制器解释信号，并根据它传送到执行器的设置点产生相应的调节变量。干扰引起控制过程变化，产生新的传感器信号，确定过程的状态为被再次传送到控制器。

人机界面（HMI）。操作员和工程师使用HMI来监控和配置设置点，控制算法，并在控制器中调整和建立参数。HMI还显示进程状态信息和历史信息。

远程诊断和维护工具。用于预防、识别和恢复运行异常或故障的诊断和维护工具。

一个典型ICS由控制回路、人机界面、远程诊断和维护工具组成，并使用分层的网络架构上的网络协议集合来构建。有时，这些控制回路是嵌套和/或级联的，也就是说一个循环的设置点是建立在由另一个循环确定的过程变量的基础上的。督导级循环和低层次循环在一个具有从几毫秒到几分钟不等的周期时间的过程期间连续运行。

2.3 主要ICS元件

为了支持随后的讨论，本节定义用于控制和联网的关键ICS组件。其中一些组件可以被笼统地描述为可使用在SCADA系统、DCS和PLC中，有的则是唯一针对其中某一个。附录B中的条款汇编包含了一个更详细的控制和网络组件列表。此外，第2.4节的图2-5和图2-6显示了采用这些组件的SCADA实施的例子，在2.5节的图2-7显示了一个DCS实现的例子，在第2.6节的图2-8显示PLC系统实现的例子。

2.3.1 控制元件

以下是一个ICS的主要控制元件清单：

控制服务器。控制服务器承载与较低级别的控制设备进行通信的DCS或PLC监控软件。控制服务器通过ICS网络访问下属的控制模块。

SCADA服务器或主终端单元（MTU）。 SCADA服务器担任SCADA系统的主设备。远程终端单元和PLC设备（如下所述）位于远程场站，通常作为从设备。

远程终端装置（RTU）。RTU，也称为遥测遥控装置，是特殊用途的数据采集和控制单元，被设计为支持SCADA远程站点。RTU是现场设备，往往配备无线电接口以支持有线通信不可用的远程站点。有时，PLC被实现为现场设备，担任RTU的工作；在这种情况下，PLC通常就被称为一个RTU。

可编程逻辑控制器（PLC）。 PLC是一种小型工业计算机，最初设计为执行由电器硬件（继电器，开关，机械定时器/计数器）执行的逻辑功能。PLC已经演变成为控制器，具有控制复杂过程的能力，它们被大量地用在SCADA系统和DCS中。在现场级别使用的其他控制器为过程控制器和RTU；它们提供与PLC相同的控制，但是为特定的控制应用而设计的。在SCADA环境中，PLC是经常被用来作为现场设备，因为它们比特殊用途的RTU更经济，多用途，灵活和易配置。

智能电子设备（IED）。IED是一种“智能”传感器/执行器，包含采集数据、与其他设备通信和执行本地过程和控制所需的智能。IED可以组合一个模拟输入传感器，模拟输出，低层次的控制能力，通信系统，以及一台设备中的程序存储器。在SCADA和DCS系统中使用IED，可以在本地级别实现自动化控制。

人机界面（HMI）。HMI是一套软件和硬件，允许操作人员监控一个处于控制下的过程的状态，修改控制设置以更改控制目标，并在发生紧急情况时手动取代自动控制操作。HMI还允许控制工程师或操作员配置控制器中的设置点或控制算法和参数。HMI还向操作员、管理员、经理、业务伙伴和其他授权用户显示过程状态信息、历史信息、报告和其他信息。位置、平台和接口可能相差很大。例如，HMI可以是控制中心的专用平台，无线局域网上的笔记本电脑，或连接到互联网的任何系统上的浏览器。

历史数据。历史数据是一个集中的数据库，记录ICS内的所有过程信息。在这个数据库中存储的信息可以被访问，以支持各种分析，从统计过程控制到企业层面的规划。

输入/输出（IO）服务器。 IO服务器作为一个控制组件，负责收集、缓冲来自控制子元件如PLC、RTU和IED等的过程信息，并提供对过程信息的访问。一个IO服务器可以驻留在控制服务器上或一个单独的计算机平台上。IO服务器也可用于与第三方控制元件的接口，如HMI和控制服务器。

2.3.2 网络组件

在控制系统层次结构内部的每一层上都有不同的网络特性。跨越不同ICS实现的网络拓扑结构，与使用基于互联网的IT和企业一体化战略的现代系统是不同的。控制网络已经与企业网络合并，让控制工程师可以从控制系统网络外部监测和控制系统。该连接也可以让企业高层决策者获得对过程数据的访问。以下是一个ICS网络的主要组成部分的清单，无论使用何种网络拓扑：

现场总线网络。现场总线网络将传感器和其他设备连接到PLC或其他控制器。现场总线技术的使用，消除了对控制器和每个设备之间的点到点连线的需要。设备使用各种协议与现场总线控制器进行通信。在传感器和控制器之间发送的消息可唯一确定每个传感器。

控制网络。控制网络负责连接监控级别的控制模块与较低级别的控制模块。 通讯路由器。路由器是一种通信设备，在两个网络之间传输消息。路由器常见用途包括将一个局域网连接到广域网，为SCADA通信将MTU和RTU连接到远程网络介质。

防火墙。防火墙可以保护网络上的设备，通过监测和控制通信数据包，使用预定义的过滤策略。防火墙也有助于管理ICS网络的隔离策略。

调制解调器。调制解调器是用于串行数字数据和适用于通过电话线传输设备进行通信的信号之间的转换设备。调制解调器通常用在SCADA系统中，以建立远程MTU和远程现场设备之间的串行通信。它们还用在SCADA系统、DCS和PLC中以获得对运行和维护功能的远程访问，如输入命令或修改参数，以及用于诊断的目的。

远程接入点。远程接入点是控制网络的不同设备、区域和位置，为了远程配置控制系统和访问过程数据。例子包括使用个人数字助理（PDA）通过一个无线接入点访问局域网上的数据，并使用一台笔记本电脑和调制解调器连接并远程访问ICS系统。

2.4 SCADA系统

SCADA系统被用来控制分散的资产，对其而言，集中的数据采集与控制一样重要。这些系统被用于配水系统和污水收集系统，石油和天然气管道，电力设施的输电和配电系统，以及铁路和其他公共交通系统。SCADA系统将数据采集系统与数据传输系统和HMI软件集成起来，为大量的过程输入输出提供集中的监控系统。SCADA系统被设计为收集现场的信息，传输到中央计算机设施，并向操作员显示图形或文字的信息，从而使操作员能够从一个中央位置实时监视或控制整个系统。根据单个系统的复杂性和设置，对任何单独系统的控制、操作或任务都可自动进行或遵照操作员的命令执行。

SCADA系统包括硬件和软件两方面。典型的硬件包括放置在控制中心的MTU，通信设备（例如，广播、电话线、电缆或卫星），以及一个或多个由控制执行器和/或监视传感器的RTU或PLC构成的地理上分散的场站。MTU的存储和处理由RTU输入和输出的信息，而RTU或PLC控制本地过程。通信硬件实现MTU与RTU或PLC之间的信息和数据的来回传输。其软件部分告诉系统监视什么和何时监视，什么参数范围是可以接受的的，当参数变化超出可接受的值时启动什么响应。IED，例如一种保护继电器，可直接与SCADA服务器通信，或者一个本地的RTU可以轮询IED以收集数据，并把数据传递给SCADA服务器。IED提供直接的接口来控制

和监视设备和传感器。IED可直接接受SCADA服务器的轮询和控制，且在大多数情况下具有本地程序，允许IED在没有SCADA控制中心的直接指示时也能进行工作。 SCADA系统通常被设计为容错系统，在系统架构中内置了显著的冗余。

图2-2显示了SCADA系统的组件和总体配置。控制中心设有一个SCADA服务器（MTU）和通信路由器。其他控制中心组件包括HMI（人机界面），工程师工作站和历史数据等，都通过局域网进行连接。控制中心收集并记录场站收集到的信息，在HMI上显示信息，并可能会基于检测到的事件产生行动。控制中心还负责集中告警，趋势分析和报告。场站负责对执行器的本地控制的和对传感器的监视。场站往往配备远程访问能力，使场站操作员通常可以在一个单独的拨号调制解调器或广域网连接上执行远程诊断和维修。在串行通信上运行的标准和专有的通信协议是用于在控制中心和场站之间传输信息的，使用如电话线、电缆、光纤、无线电频率如广播、微波和卫星等遥测技术。

图2-2 SCADA系统总体结构

MTU - RTU通讯架构在不同的具体实现上有所差异。可使用的不同架构，包括点对点、串行、串行-星型、多节点等，如图2-3所示。点对点是最简单的功能类型，但是，它是昂贵的，因为每个连接都需要独立的通道。在一个串行配置中，使用的通道数量减少了；然而，通道共享会对SCADA系统操作的效率和复杂性产生影响。同样，串行-星型和多节点配置为每个设备使用一个通道也会导致效率下降和系统复杂性增加。

图2-3 基本的SCADA通信拓扑

如图2-3所示的四个基本架构，可以通过使用专用通讯设备来管理通信交换以及消息交换和缓冲而得到进一步增强。大型SCADA系统，包含了数百个RTU，通常会部署子MTU以减轻主MTU的负担。这种类型的拓扑结构如图2-4所示。

图2-4 大型SCADA通信拓扑

图2-5显示了SCADA系统实现的一个例子。这个SCADA系统由一个主控制中心和3个场站构成。第二个备份控制中心提供主控制中心故障时的冗余。所有的控制中心和场站之间的通信采用点对点连接，其中有两个连接使用无线电遥测。第三个场站是在控制中心本地，使用广域网（WAN）进行通信。位于主控制中心上方的一个区域控制中心提供一个更高级别的监督控制。企业网络可以通过广域网访问所有控制中心，并且场站也可以被远程访问以进行故障排除和维护操作。主控制中心按定义的时间间隔（如5秒、60秒）轮询场站设备的数据，并可以根据需要发送新的设置点给现场设备。除了轮询和发布高层次的命令，SCADA服务器也监视来自场站报警系统的优先中断。

图2-5 SCADA系统实现举例 (分布式监控)

图2-6显示了一个对铁路监测和控制的实现示例。这个例子中包括了一个部署了SCADA系统的铁路控制中心和铁路系统的三个路段。SCADA系统轮询铁路路段以获得列车、信号系统、牵引电气化系统、自动售票机等的状态信息。这些信息也被传递到位于铁路控制中心的HMI站点的操作员控制台上。SCADA系统还监控铁路控制中心的操作员的输入并分发高级操作员命令给铁路路段组件。此外，SCADA系统监视个别铁路路段的条件，并根据这些条件发出指令（例如，关闭一辆列车以防止它进入一个已经确定被洪水淹没的区域或被另一列火车占用的区域）。

图2-6 SCADA系统实现举例(铁路监控)

2.5 分布式控制系统（DCS）

DCS系统用于控制在同一地理位置的生产系统，如炼油厂，水和污水处理，发电设备，化学品制造工厂，和医药加工设施等行业。这些系统通常是过程控制或分立部分的控制系统。一个DCS使用一个集中的监控回路来调解一组分担着贯穿整个生产过程的全部任务的本地控制器。通过将生产系统模块化，DCS降低了单一故障对整个系统的影响。在许多现代系统中，DCS是与企业网络的接口，为企业的运营者提供生产视图。

图2-7描述了一个DCS实现的例子，显示了DCS的组件和总体配置。这个DCS包括从底层生产过程到公司或企业层面的整个设施。在这个例子中，监督控制器（控制服务器）通过控制网络与其下属通信。监控台发送设置点给分布的场站控制器，并向后者请求数据。分布式控制器根据控制服务器的命令和过程传感器的反馈控制它们的过程执行器。

图2-7 DCS实现举例

图2-7给出了一个DCS系统上的低级控制器的例子。图中所示的现场控制设备包括一个PLC，一个过程控制器，一个单回路控制器和一台机器控制器。单回路控制器的接口传感器和执行器使用点对点连线，而其他三个现场设备集成到现场总线网络上，与过程传感器和执行器进行连接。现场总线网络消除了控制器和单个现场传感器和执行器之间的点对点接线需要。此外，现场总线允许比控制更多的功能，包括现场设备的诊断，并可以实现在现场总线内的控制算法，从而避免了每个控制操作到PLC的信号回路。由工业集团设计的标准工业通信协议，如Modbus和Fieldbus往往被用在控制网络和现场总线网络上。

除了监管级和现场级控制回路，中间级别的控制也可能存在。例如，在一个DCS控制一个独立部件制造工厂的情况下，可以为厂房内的每个单元格设置一个中间级监控器。该监控器将包括一个制造单元，包含处理一个部件的机器控制器和处理原料库存和最终产品的机器人控制器。可能有几个这样的单元在主DCS监控环路下管理现场级控制器。

2.6 可编程逻辑控制器（PLC）

PLC可用在SCADA和DCS系统中，作为整个分级系统的控制部件，通过如在上节中所述的反馈控制，提供对过程的本地管理。当用在SCADA系统中时，它们提供与RTU相同的功能。当用在DCS中时，PLC被实现为监控机制内的本地控制器。PLC也被实现为更小的控制系统配置的主要组件。PLC具有一个用户可编程的存储器，用于存储指令以实现特定功能，如I / O控制、逻辑、定时、计数、三种模式的比例-积分-微分（PID）控制、通信、算术以及数据和文件处理。图2-8显示的制造过程由PLC通过现场总线网络控制。PLC可通过工程师工作站上的一个编程接口访问，数据存储在一个历史数据库中，全部通过LAN连接。

图2-8 PLC 控制系统实现举例

2.7 工业部门和他们的相互依存性

电力输配电网络行业利用地理上分散的SCADA控制技术操作高度相互关联的和动态的系统，包括数以千计的公共和私营机构和农村合作社，从而为最终用

户供电。SCADA系统通过在一个集中的位置从远程现场控制站点收集数据，并发向其出指令，从而实现对电力配送的监视和控制。SCADA系统也可用于监测和控制水、油和天然气的配送，包括管道、船舶、卡车、铁路系统以及污水收集系统。

SCADA系统和DCS往往是通过网络连接在一起。这种情况出现在电力控制中心和发电厂。虽然发电厂的运作是由DCS控制，但DCS必须与SCADA系统通信，协调产量与输配电需求。

美国关键基础设施通常被称为一个“系统的系统”，因为其各工业部门之间存在的相互依赖性以及业务合作伙伴之间的互连。关键基础设施是高度互联的，并以复杂的方式互相依赖着，不仅在物理上，也通过信息和通信技术的主机。在一个基础设施中发生的事件，可以通过级联和故障升级等直接或间接影响其他基础设施。

电力通常被认为是相互依存的关键基础设施中最普遍的中断来源之一。举一个例子，一个级联故障，可以因为一个用于电力传输SCADA系统的微波通信网络的中断而触发。监测和控制能力的缺乏可能会导致大型发电单位不得不采取脱机，事件将导致传输变电所的功率损耗。这种损失可能会导致严重的不平衡，引发整个电网级联故障。这可能会导致大面积停电，可能会潜在影响依赖于电力网格的石油和天然气生产、炼油业务、水处理系统、污水收集系统和管道运输系统。

3. ICS特性，威胁和脆弱性

在今天使用的很多ICS是多年前开发的，在公共和私人网络、桌面计算或互联网成为业务运营的通用组件之前很长时间。这些系统被设计为满足性能、可靠性、安全性和灵活性的要求。在大多数情况下，他们是与外部网络物理隔离的，基于专有硬件、软件和通信协议，它们包括基本的错误检测和纠错能力，但缺乏在今天的互联系统中所需的安全通信能力。虽然有人关注可靠性、可维护性和可用性（RMA），但在解决统计性能和故障时，对这些系统内的网络安全措施的需求是没有预料到的。当时，ICS安全就意味着物理上保护对网络和控制系统的控制台的访问。

ICS的发展平行于1980年代和1990年代的微处理器、个人电脑和网络技术

的演进，在1990年代后期基于互联网的技术开始进入到ICS的设计中。这些ICS的变化将它们暴露给新的威胁类型，并显著增加了ICS受到损害的可能性。本节介绍了ICS的独特的安全特性，在ICS实现中的漏洞，和ICS可能面临的威胁和事故。3.7节会介绍几个实际的ICS网络安全事故的例子。

3.1 ICS和IT系统的比较

最初，ICS与IT系统没有一点相似之处，ICS是运行专有控制协议、使用专门硬件和软件孤立的系统。现在用广泛使用的、低成本的互联网协议（IP）设备取代专有的解决方案，从而增加了网络安全漏洞和事故的可能性。随着ICS采用这种解决方案，以促进企业连接和远程访问能力，并正在使用行业标准的计算机、操作系统（OS）和网络协议进行设计和实施，它们已经开始类似于IT系统了。这种集成支持新的IT能力，但相比原先的系统，它对ICS提供的与外界的隔离大大减少，产生了保护这些系统的更大需求。虽然安全解决方案已经被设计来处理这些典型的IT系统安全问题，但是在引进这些相同的解决方案到ICS环境中时，必须采取特殊的防护措施。在某些情况下，需要为ICS环境量身定制新的安全解决方案。

ICS有许多区别于传统IT系统的特点，包括不同的风险和优先级别。其中包括对人类健康和生命安全的重大风险，对环境的严重破坏，以及金融问题如生产损失和对国家经济的负面影响。 ICS有不同的性能和可靠性要求，其使用的操作系统和应用程序对典型的IT支持人员而言可能被认为是不方便的。此外，安全和效率的目标有时会与控制系统的设计和操作的安全性发生冲突（如，需要密码验证和授权不应妨碍或干扰ICS的紧急行动。）下面列出了一些ICS的特殊安全考虑：

性能要求。ICS通常是时间要求紧迫的，关注由单个安装所指示的延迟和抖动的可接受水平标准。有些系统要求确定性的响应。高吞吐量对ICS通常是没有必要的。相比之下，IT系统通常需要高吞吐量，但通常可以承受某种程度的延时和抖动。

可用性要求。许多ICS过程在本质上是连续的。控制工业生产过程系统的意外停电是不能接受的。停电往往必须有计划且提前预定时间（天/周）。全面的部

署前测试是必不可少的，以确保ICS的高可用性。除意外停电外，许多控制系统也不能做到在不影响生产的情况下轻易地停止和启动。在某些情况下，正在生产的产品或正在使用的设备比被转达的信息更重要。因此，典型的IT战略，如重新启动一个组件，由于其ICS的高可用性、可靠性和可维护性要求的不利影响，通常是不被接受的解决方案。一些ICS会采用冗余组件，且常常并行运行，当主要组件不可用时保证连续性。

风险管理要求。在一个典型的IT系统中，数据保密性和完整性通常是被关心的首要问题。对于ICS而言，人身安全和容错（以防止损害生命或危害公众健康或信心），合规性，设备的损失，知识产权损失，以及产品的丢失或损坏等，才是主要的关注点。负责操作、保护和维护ICS的人员必须了解safety和security之间的重要联系。

体系架构安全焦点。在一个典型的IT系统中，安全的首要重点是保护IT资产的运行，无论是集中的或分散的，还有就是在这些资产中存储或相互之间传输的信息。在某些体系架构中，集中存储和处理的信息是更为关键的，要给予更多的保护。而对于ICS，边缘客户端（如PLC，操作员工作站，DCS控制器）更需要仔细保护，因为它们是对结束过程的控制直接负责任的。ICS中央服务器的保护仍然是非常重要的，因为中央服务器可能对每一个边缘设备产生不利影响。

物理相互作用。在一个典型的IT系统中，没有物理与环境之间的互动。ICS可以与在ICS域中的物理过程和后果有非常复杂的相互作用，这可以体现在物理事件中。必须测试所有被集成到ICS中的安全功能（例如，在一个可参照的ICS上的离线），以证明它们不损害ICS的正常功能。

时间要求紧迫的响应。在一个典型的IT系统中，不需要太考虑数据流就可以实现访问控制。对于一些ICS而言，自动响应时间或对人机交互的系统响应是非常关键的。例如，在HMI上要求提供密码认证和授权时必须不能妨碍或干扰ICS的紧急行动。信息流必须不被中断或受到影响。对这些系统的访问，必须有严格的物理安全控制。

系统操作。ICS的操作系统（OS）和应用程序可能无法容忍典型的IT安全实践。老系统特别容易受到资源不可用和计时中断的危害。控制网络往往比较复杂，需要不同层次的专业知识（例如，控制网络通常由控制工程师管理，而不是

IT人员）。软件和硬件都更难以在操作控制系统网络中升级。许多系统可能没有所需的功能，包括加密功能，错误记录，和密码保护。

资源的限制。ICS和它们的实时操作系统往往是资源受限的系统，通常不包括典型的IT安全功能。在ICS组件上可能没有计算资源用来在这些系统上加装流行的安全功能。此外，在某些情况下，不允许用第三方安全解决方案，是因为根据ICS供应商许可和服务协议，一旦在没有供应商的确认或批准下就安装了第三方的应用程序，可能会丢失服务支持。

通信。在ICS环境中用于现场设备控制和内部处理器通信的通信协议和媒体通常与通用的IT环境不同，可能是专有的。

变更管理。变更管理对维持IT和控制系统的完整性都是至关重要的。未打补丁的软件代表了系统的最大漏洞之一。IT系统的软件更新，包括安全补丁，根据适当的安全策略和程序，通常都是实时应用的。此外，这些程序往往是使用基于服务器的工具自动实现的。ICS的软件更新往往就无法及时实施，因为这些更新需要由工业控制应用程序的供应商和应用程序的最终用户充分测试后才能实施，而且ICS的中断往往必须是事先规划和预定好时间（天/周）的。 作为更新过程的一部分，ICS可能还需要重新验证。另一个问题是，许多IC采用了旧版本的操作系统，而供应商不再提供支持。因此，可用的修补程序可能不适用。变更管理也适用于硬件和固件。当变更管理过程应用于ICS时，需要由ICS专家（例如，控制工程师）与安全和IT人员一起进行仔细评估。

管理的支持。典型的IT系统允许多元化的支持模式，也许支持不同的但相互关联的技术架构。对于ICS，服务支持通常是由一个单一的供应商提供，可能就没有多元化的和从其他供应商处获得的具有互操作性的支持解决方案。

组件寿命。典型的IT组件的寿命一般为3至5年，主要是由于技术的快速演变。对于ICS而言，在许多情况下，技术是为非常特殊的用户和实现而开发的，所部署的技术的生命周期通常在15至20年，有时甚至时间更长。

组件访问。典型的IT组件通常是本地的和容易访问的，而ICS组件可以分离、远程部署，并需要大量的物力以获得对它们的访问。

表3-1总结了一些IT系统和ICS之间的典型差异。

表3-1 IT系统和ICS的差异总结

分类 信息技术系统 工业控制系统 性能需求 非实时 响应必须是一致的 要求高吞吐量 高延迟和抖动是可以接受的 重新启动之类的响应是可以接受的的 可用性的缺陷往往可以容忍的，当然要取决于系统的操作要求 数据保密性和完整性是最重要的的 容错是不太重要的 – 临时停机不是一个主要的风险 主要的风险影响是业务操作的延迟 实时 响应是时间紧迫的 适度的吞吐量是可以接受的 高延迟和/或抖动是不能接受的 重新启动之类的响应可能是不能接受的，因为过程的可用性要求 可用性要求可能需要冗余系统 中断必须有计划和提前预定时间（天/周） 高可用性需要详尽的部署前测试 人身安全是最重要的的，其次是过程保护 容错是必不可少的，即使是瞬间的停机也可能无法接受 主要的风险影响是不合规，环境影响，生命、设备或生产损失 首要目标是保护边缘客户端（例如，现场设备，如过程控制器） 中央服务器的保护也很重要 安全工具必须先测试（例如，在参考ICS上的离线），以确保它们不会影响ICS的正常运作 对人和其他紧急交互的响应是关键 应严格控制对ICS的访问，但不应妨碍或干扰人机交互 可用性需求 管理需求 体系架构安全焦点 首要焦点是保护IT资产，以及在这些资产上存储和相互之间传输的信息。 中央服务器可能需要更多的保护 未预期的后果 安全解决方案围绕典型的IT系统进行设计 时间紧迫的交互 紧急交互不太重要 可以根据必要的安全程度实施严格限制的访问控制 系统操作 系统被设计为使用典型的操作系统 与众不同且可能是专有的操作系采用自动部署工具使得升级非常简统，往往没有内置的安全功能 单 软件变更必须小心进行，通常是由软件供应商操作，因其专用的控制算法，以及可能要修改相关的硬件和软件 系统被指定足够的资源来支持附加系统被设计为支持预期的工业过的第三方应用程序如安全解决方案 程，可能没有足够的内存和计算资源以支持附加的安全功能 标准通信协议 主要是有线网络，稍带一些本地化的无线功能的 典型的IT网络实践 许多专有的和标准的通讯协议 使用多种类型的传播媒介，包括专用的有线和无线（无线电和卫星） 网络是复杂的，有时需要控制工程师的专业知识 资源限制 通信 变更管理 在具有良好的安全策略和程序时，软件变更是及时应用的。往往是自动化的程序。 软件变更必须进行彻底的测试，以递增方式部署到整个系统，以确保控制系统的完整性。 ICS的中断往往必须有计划，并提前预定时间（天/周）。 ICS可以使用不再被厂商支持的操作系统。 服务支持通常是依赖单一供应商 15-20年的生存期 组件可以是隔离的，远程的，需要大量的物力才能获得对其的访问 管理支持 允许多元化的支持模式 组件生命周期 3-5年的生存期 组件访问

组件通常在本地，可方便地访问 ICS可用的计算资源（包括CPU时间和内存）往往是非常有限的，因为这些系统，旨在最大限度地控制系统资源，很少甚至没有额外容量给第三方的网络安全解决方案。此外，在某些情况下，第三方安全解决方案根本不被允许，因为供应商的许可和服务协议，而且如果安装了第三方应用程序，可能发生服务支持的损失。另一个重要的考虑因素是IT网络安全和控制系统的专业知识通常不是属于同一组人员的。

综上所述，ICS和IT系统之间的业务和风险的差异，产生了在应用网络安全和业务战略时增长的复杂性需求。一个由控制工程师、控制系统运营商和IT安全专业人员构成的跨职能团队，应当紧密合作以理解安装、操作与维护与控制系统相关的安全解决方案时可能产生的影响。工作于ICS的IT专业人员在部署之前需要了解信息安全技术的可靠性影响。在ICS上运行的一些操作系统和应用可能无法正常运行商业现行（COTS）的IT网络安全解决方案，因其专用的ICS环境架构。

3.2 威胁

控制系统面临的威胁可以来自多种来源，包括对抗性来源如敌对政府、恐怖组织、工业间谍、心怀不满的员工、恶意入侵者，自然来源如从系统的复杂性、人为错误和意外事故、设备故障和自然灾害。为了防止对抗性的威胁（以及已知的自然威胁），需要为ICS创建一个纵深的防御策略。表3-2列出了针对ICS的可能的威胁。请注意此列表中是按字母顺序排列而不是按威胁大小。

表3-2 针对ICS的对抗性威胁

威胁代理 Attackers 攻击者 描述 攻击者入侵网络，只为获得挑战的快感或在攻击社团中吹牛的资本。虽然远程攻击曾经需要一定的技能或计算机知识，但是攻击者现在却可以从互联网上下载攻击脚本和协议，并向受害网站发动它们。因此，虽然攻击工具越来越高级，它们也变得更容易使用。许多攻击者并不具备必要的专业知识来威胁困难的目标如美国的关键网络。然而，攻击者遍布全球，构成了一个比较高的威胁，其造成的孤立的或短暂的中断可引起严重损害。 僵尸网络操纵者即攻击者；然而，他们侵入系统不是为了挑战或炫耀，而是将多个系统联合起来发动攻击和散布钓鱼，垃圾邮件和恶意软件攻击。有时在地下市场可以获得被攻破的系统和网络的服务，例如，购买一次拒绝服务攻击或使用发送垃圾邮件或钓鱼式攻击的服务器。 犯罪团伙试图攻击系统以获取钱财。具体来说，有组织的犯罪集团利用垃圾邮件，网络钓鱼，间谍软件/恶意软件进行身份盗窃和在线欺诈。国际企业间谍和有组织的犯罪集团也通过自己的能力进行工业间谍活动和大规模的货币盗窃，并聘请或发展攻击人才，从而构成对美国国家的威胁。一些犯罪团伙可能用网络攻击威胁某个组织从而试图勒索金钱。 外国情报部门使用网络工具作为他们的信息收集和间谍活动的一部分。此外，一些国家正在积极发展信息战学说、程序和能力。这类能力使单一的实体就能造成显著的和严重的影响，通过扰乱供电、通信和支持军事力量的经济基础设施，其后果可能会影响美国公民的日常生活。 心怀不满的内部人员是计算机犯罪的主要来源。内部人员可能并不需要大量的计算机入侵相关知识，因为他们对目标系统的了解，往往使他们能够不受限制地访问系统从而对系统造成损害或窃取系统数据。内部威胁还包括外包供应商以及员工意外地引入恶意软件到系统中。内部人员可能包括员工、承包商或商业合作伙伴。 不适当的策略、程序和测试也会导致对ICS的影响。对ICS和现场设备的影响程度可以是从琐碎的到重大的损坏。来自内部的意外影响是发生概率最高的事件之一。 钓鱼者是执行钓鱼计划的个人或小团体，企图窃取身份或信息以获取金钱。钓鱼者也可以使用垃圾邮件和间谍软件/恶意软件来实现其目标。 垃圾邮件发送者包括个人或组织，他们散布不请自来的电子邮件，包含隐藏的或虚假的产品销售信息，进行网络钓鱼计划，散布间谍软件/恶意软件，或有组织的攻击（例如DoS）。 具有恶意企图的个人或组织通过制作和散布间谍软件和恶意软件进行对用户的攻击。已经有一些破坏性的电脑病毒和蠕虫对文件和硬盘驱动器造成了损害，包括Melissa宏病毒，Explore.Zip蠕虫，CIH（切尔诺贝利）病毒，尼姆达，红色代码，SlammerBot-network operators 僵尸网络操纵者 Criminal groups 犯罪集团 Foreign intelligence services 外国情报服务 Insiders 内部人员 Phishers 钓鱼者 Spammers 垃圾邮件发送者 Spyware/malware authors 间谍/恶意软件作者 （地狱），和Blaster（冲击波）。 Terrorists 恐怖份子 恐怖份子试图破坏、中断或利用关键基础设施来威胁国家安全，造成大量人员伤亡，削弱美国经济，并损害公众的士气和信心。恐怖分子可能使用网络钓鱼或间谍软件/恶意软件，以筹集资金或收集敏感信息。恐怖分子可能袭击一个目标，以从其他目标上转移视线或资源。 工业间谍活动，旨在通过秘密的方法获得知识产权和技术诀窍 Industrial spies 工业间谍

3.3 ICS系统潜在的脆弱性

本章所列举一些脆弱性是在工业控制系统（ICS）中可能会遇到的，这些脆弱性排列的先后顺序不代表发生的可能性或影响的级别大小。为了有助于信息安全决策，这些脆弱性被划分成策略与程序类、平台类和网络类脆弱性，大多数在工业控制系统中常出现的一些脆弱性都可与归集到这几类中，但也有一些例外，对于一些特殊的工业控制系统脆弱性，也可能不包含在以上分类中。关于工业控制系统中出现的漏洞的详细信息，在美国计算机应急小组（US-CERT）控制系统网站上有详细的研究。

在研究安全漏洞时，容易全身心投入并非常有兴致地去研究并发布一些漏洞信息，但到最后可能会发现这些漏洞的影响很小。如附件E中所述，FIPS199标准中已对信息和信息系统进行了安全事件分类，分类的依据是根据对信息和信息系统的影响程度，这些信息和信息系统是组织完成业务使命所依赖的，也是组织需要保护和日常维护的。

对于工业控制系统安全漏洞带来的风险需要有一套风险评估的方法，安全风险的大小，同黑客挖掘到漏洞并找到针对该漏洞的攻击程序的可能性，以及一旦发生攻击行为后对信息资产的影响大小密切相关，此外，该漏洞造成的风险大小还同以下一些因素相关，包括：

? 计算机、网络架构及环境条件 ? 已部署的安全防护措施 ? 黑客发起攻击的技术难度 ? 内部嗅探的可能性

? 事故的后果 ? 事故的成本

这些风险评估的细节在后续的第4-6章中有进一步详述。

3.3.1策略和程序方面的脆弱性

安全漏洞在工业控制系统中常见到，主要是由于安全策略及程序文件不完全、不适合或文件的缺失，包括安全策略及实施指南（实施程序）等。安全策略程序文档，包括管理支持等，是安全工作的基础，通过正确的引导与实施，企业安全策略的完善能够减少安全漏洞隐患，比如通过调制解调器连接到工业控制系统时口令的使用与维护要求。表3-3描述了工业控制系统中可能存在的策略与程序方面的安全漏洞：

表3-3 策略和程序上的脆弱性

漏洞 描述 工业控制系统安全策略不当 对于工业控制系统，由于安全策略不当或策略不具体，造成安全漏洞常有发生。 没有正式的工业控制系统安书面的、正式的安全培训以及安全意识培养设计全培训和安全意识培养 的目的是为了使全体职员了解最新的计算机安全标准和最佳实践，并使组织的安全策略与程序同步更新。 安全架构和设计不足 安全管理工程师由于安全培训机会较少，对产品不够熟悉，直到目前为止供应商还没有把一些安全特征移植到产品中。 对于工业控制系统，没有开发具体、书面的安全策略或程序文件应当制定并对出明确具体、书面的安全策略全体员工进行培训，这是一个正确的安全建设的或程序文件 根基。 工业控制系统设备操作指南设备操作指南应当及时更新并保持随时可用，这缺失或不足 些操作指南是工业控制系统发生故障时安全恢复所必须的组成部分。 安全执行中管理机制的缺失 负有安全管理责任的员工应当对安全策略与程序文件的管理、实施负责。 工业控制系统中很少或没有独立的安全审计人员应当检查和验证系统日志记安全审计 录并主动判断安全控制措施是否充分，以保证合乎ICS安全策略与程序文件的规定。审计人员还应当经常检查ICS安全服务的缺失，并提出改进建议，这样能够使安全控制措施更有效。 没有明确的ICS系统业务连组织应当准备业务连续性计划或灾难恢复计划并续性计划或灾难恢复计划 进行定期演练，以防基础设施重大的软硬件故障发生，如果业务连续性计划或灾难恢复计划缺失，ICS系统可能会造成业务中断和生产数据丢失。 没有明确具体的配置变更管ICS系统硬件、固件、软件的变更控制程序和相理程序 关程序文件应当严格制定，以保证ICS系统得到实时保护，配置变更管理程序的缺失将导致安全脆弱性的发生，增大安全风险。

3.3.2平台方面的脆弱性

ICS系统由于程序瑕疵、配置不当或维护较少而出现一些安全的脆弱性，包括ICS系统硬件、操作软件和应用软件，通过各种安全控制措施的实施，可以缓解因安全脆弱性问题导致的安全风险，比如，操作系统和应用程序补丁，物理访问控制，安全防护软件（如病防护软件），下表是一些潜在的平台方面的脆弱性的描述。

? 表3-4.平台配置方面的脆弱性 ? 表3-5平台硬件方面的脆弱性 ? 表3-6.平台软件方面的脆弱性； ? 表3-7.平台恶意软件防护方面的脆弱性；

表3-4.平台配置方面的脆弱性

脆弱性 描述 操作系统安全漏洞被发现由于ICS系统软件及操作系统更新的复杂性，补丁后供应商可能没有开发出程序的更新必须面对广泛的回归测试，从测试到最相应的补丁程序 终发布之间有较长的漏洞暴露周期。 操作系统和应用软件补丁老版本的操作系统或应用软件可能存在最新发现程序没有及时安装 的安全漏洞，组织的程序文件中应当明确如何维护补丁程序； 操作系统和应用软件补丁操作系统和应用软件补丁程序没有进行广泛测试程序没有进行广泛测试 就安装上线，可能会对ICS系统的正常运转产生影响，组织的程序文件中应当明确对新出现的补丁程序进行广泛测试； 使用缺省配置 如使用缺省配置可能会导致不安全或不必要的端口或服务没有关闭； 关键配置文件没有存储备组织应当在程序文件中明确对配置文件进行存储份措施 与备份，以防偶然事故的发生，防止黑客对配置文件进行更改，造成业务中断或业务数据的丢失。组织应当在程序文件中明确如何维护ICS系统的安全配置信息； 移动设备数据未保护 如果敏感数据（如密码，电话号码)被明文储存在手提设备例如笔记本电脑，掌上电脑等，这些设备被卡丢失或被盗，系统安全可能存在风险。需要建立政策、程序、机制来保护移动设备上的数据。 密码策略不当 在使用密码时需要定义密码策略，包括密码强度、更改周期等，如果没有密码策略，系统可能没有适当的密码控制措施，使未授权用户更可能擅自访问机密信息。考虑到ICS系统及员工处理复杂密码的能力，组织应当吧密码策略作为整体ICS安全策略的一个组成部分来制定。 未设置密码 在ICS各组件上应实施密码访问策略，以防止未经授权的访问。密码相关的漏洞，包括没有密码： ? 登录系统（如果系统有用户帐户） ? 系统开机（如果系统有没有用户帐户） ? 系统的屏幕保护程序（如果ICS组件，随着时间的推移无人值守） 密码认证策略不应妨碍或干扰ICS的应急响应活动。 密码丢失 密码应保密，以防止未经授权的访问。密码披露的例子包括： 张贴在众目睽睽下，靠近本地系统 和其他人共享用户个人帐户密码 通过社会工程学，黑客获取通讯密码 通过未受保护的通信链路发送未加密的密码 密码猜解 弱口令很容易被黑客或计算机算法猜解，从而获得未经授权的访问。例子包括： ? 很短的密码，简单（例如，所有的小写字母），或以其他方式不符合典型的强度要求。密码强度也取决于对具体ICS能力，以处理更严格的密码 ? 默认的供应商的密码 ? 在指定的时间间隔不更改密码 没有访问控制措施 访问控制措施不当可能会导致给ICS用户过多或过少的特权。以下举例说明每一种情况下： 系统默认访问控制策略允许系统管理员权限 系统配置不当，操作人员无法在紧急情况下采取应急响应措施 应制定访问控制策略，作为ICS安全策略的一部分，

表3-5.平台硬件方面的脆弱性

脆弱性 描述 安全变更时没有充分进行许多ICS的设施，尤其是较小的设施，没有检测设测试 备，业务系统的安全性变更测试必须在现场环境下进行。 对关键设备没有充分的物访问控制中心，现场设备，便携设备，媒体，和其理保护措施 他ICS组件需要被控制。许多远程站点往往没有人员和物理监测控制措施。 未授权用户能够接触设备 ICS设备的物理访问，应只限于必要的人员，同时考虑到安全的要求，如紧急关机或重新启动。未授权访问ICS设备可能会导致下列情况： ? 物理盗窃数据和硬件 ? 数据和硬件的物理损坏或毁坏 ? 擅自变更功能的环境（例如，数据连接，可移动媒体擅自使用，添加/删除资源） ? 物理数据链路断开 ? 难以检测的数据拦截（击键和其他输入记录） 不安全的远程访问ICS组件 调制解调器和其他远程访问措施的开启，使维护工程师和供应商获得远程访问系统的能力，应部署安全控制，以防止未经授权的个人，从进入到ICS。 双网卡（NIC）连接网络 使用双网卡连接到不同网络的机器可能会允许未经授权的访问和传递数据从一个网络到另一个。 未注册的资产 要维护ICS的安全，应该有一个准确的资产清单。一个控制系统及其组成部分的不准确，可能为非授权用户访问ICS系统留下后门。 无线电频率和电磁脉冲用于控制系统的硬件是脆弱的无线电频率和电磁（EMP） 脉冲（EMP）。影响范围可以从暂时中断的指令和控制电路板的永久性损害。 无备用电源 对于关键资产如果没有备用电源，电力不足将关闭ICS系统，并可能产生不安全的情况。功率损耗也可能导致不安全的默认设置。 环境控制缺失 环境控制的缺失可能会导致处理器过热。有些处理器将关闭以自我保护;有些可能会继续工作，但在输出功率较小，产生间歇性的错误;如果过热的话有的只是融化，。 关键设备没有冗余备份 关键设备没有冗余备份可能导致单点故障的发生。

表3-6.平台软件方面的脆弱性

脆弱性 缓冲区溢出 描述 ICS系统软件可能会出现缓冲区溢出，黑客可能会利用这些来来发起各种攻击 安装的安全设备没有开启随产品安装的安全功能是无用的，如果他们不启用防护功能 拒绝服务攻击 或至少确定被禁用 ICS系统软件可能会受到DOS攻击，可能会导致合法用户不能访问，或系统访问响应延迟。 因未定义、定义不清，或“非一些ICS在执行操作指令时对输入的数据包缺乏有法”定义导致操作错误 效检测，这些数据包的格式不正确或含有非法或其他意外的字段值。 过程控制的OLE（OPC），依没有更新的补丁，对于已知的RPC / DCOM漏洞来赖于远程过程调用（RPC）说OPC是脆弱的。 和分布式组件对象模型（DCOM） 使用不安全的全行业ICS协分布式网络协议（DNP）3.0，MODBUS，PROFIBUS，议 以及其他协议，应用于多个行业，协议信息是公开的。这些协议通常很少或根本没有内置的安全功能 明文传输 许多ICS的协议传输介质之间的明文传输的消息，使得它们很容易被对手窃听。 开启了不必要的服务 许多平台上运行着有各种各样的处理器和网络服务。不必要的服务很少被禁用，可能会被利用。 专有软件的使用已经在会在国际IT、ICS和“黑帽”会议讨论过，并在技术议和期刊上讨论过 论文，期刊或目录服务器上已发表过。此外，ICS维修手册可从供应商那里获得。这些信息可以帮助黑客成功地对ICS发起攻击。 软件配置和设计上认证和未经授权的访问，配置和编程软件，可能会损坏设访问控制措施不足 备。 没有安装入侵检测/防护设安全事件的发生可能会导致系统可用性的损失; 备 IDS/ IPS软件可能会停止或防止各类攻击，包括DoS攻击，也识别攻击内部主机与蠕虫感染者，如。 IDS / IPS系统软件必须在部署之前进行测试，以确定它不会影响ICS系统的正常运行。 日志未维护 如果没有适当和准确的日志记录，可能无法以确定是什么原因造成安全事件的发生。 安全事故未及时发现 日志和其他安全设备已安装，他们可能不是建立在实时监测的基础上，因此，安全事故可能不能迅速发现和处理。

表3-7.恶意软件保护方面的脆弱性

脆弱性 防恶意软件未安装 描述 恶意软件可能会导致性能下降，失去了系统的可用性，并捕捉，修改，或删除数据。恶意软件保护软件，如杀毒软件，是需要，以防止被恶意软件感染的系统。 防恶意软件版本或特征码未更新的防恶意软件版本和定义可能会使系统恶未更新 意软件攻击威胁离开系统的开放新的恶意软件威胁。 防恶意软件安装前未进行防恶意软件安装前未进行广泛的测试可能会对ICS广泛的测试 系统正常运转产生影响。

3.3.3 网络方面的脆弱性

在ICS中的漏洞可能会出现缺陷，错误配置，或对ICS网络及与其他网络的连接管理不善。这些漏洞可以通过各种安全控制消除或者弱化，如防御深入的网络设计，网络通信加密，限制网络流量，并提供网络组件的物理访问控制。

本节中的表描述了潜在的平台漏洞： ? 表3-8。网络配置漏洞 ? 表3-9。网络硬件漏洞 ? 表3-10。网络边界漏洞 ? 表3-11。网络监控和记录漏洞 ? 表3-12。通信中的漏洞 ? 表3-13。无线连接中的漏洞

表3-8 网络配置方面的脆弱性

脆弱性 网络安全架构 描述 ICS系统网络基础架构常常根据业务和运营环境的变化而发展变化，但很少考虑潜在的安全影响的变化。随着时间的推移，安全漏洞可能会在不经意间在基础设施内的特定组件中产生，如果没有补救措施，这些漏洞可能成为进入ICS的后门。 未实施数据流控制 数据流的控制，如访问控制列表（ACL），需要限制哪些系统可以直接访问网络设备。一般来说，只有指定的网络管理员应该能够直接访问这些设备。数据流的控制应确保其他系统不能直接访问设备。 安全设备配置不当 使用默认配置，往往导致不安全和不必要的开放端口和利用的网络服务的主机上运行。配置不当的防火墙规则和路由器ACL，可以允许不必要的流量通行。 网络设备配置文件未保存一旦网络发生偶然的或黑客发起的配置变更事件，或备份 需要有可行的操作程序，以维护网络系统的高可用性，并防止业务数据的丢失。文件化的程序应制定来维护网络设备的配置设置。 数据传输中口令未加密 密码通过传输介质明文传输，易被黑客嗅探，并获得对网络设备的未授权访问。这样黑客可能破坏ICS的操作或监控ICS网络活动。 网络设备密码长期未修改 密码应定期更换，这样，如果未授权用户获得密码，也只有很短的时间访问网络设备。未定期更换密码可能使黑客破坏ICS的操作或监视器ICS的网络活动。 访问控制措施不充分 黑客未授权访问网络系统可能会破坏ICS的操作或监视器ICS的网络活动。

表3-9 网络硬件方面的脆弱性

脆弱性 网络设备物理防护不足 描述 应该对网路设备的物理访问进行控制，以防止破坏网络设备。 不安全的物理接口 不安全的通用串行总线（USB）和PS / 2端口可以允许未经授权的拇指驱动器，键盘记录等外设的连接 物理环境控制缺失 环境控制的缺失可能会导致处理器过热。有些处理器会关闭，以保护自己，有的只是融化，如果他们的过热。 非关键人员对设备和网络应只限于必要的人员对网络设备的物理访问。不当连接的访问 访问网络设备可能会导致下列任何一项： ? 物理盗窃的数据和硬件 ? 数据和硬件的物理损坏或毁坏 ? 未经授权的更改（例如，改变ACL来允许攻击进入网络安全环境） ? 未经授权的截取和操纵的网络活动 ? 物理数据链路断线或未经授权的数据链接连接 关键网络设备没有冗余备关键网络设备没有冗余备份措施可能导致单点故份措施

表3-10 网络边缘方面的脆弱性

脆弱性 未定义网络边界 描述 如果没有一个明确的安全边界的界定，那么要确保必要的安全控制措施的正确部署和配置是不可能的，这可能会导致未经授权的对系统和数据的访问。 未安装防火墙或防火墙策防火墙配置不当可能允许不必要的数据传输，这可略配置不当 能会导致几个问题，包括允许攻击数据包和恶意软件在网络之间传播，容易监测/其他网络上的敏感数据，造成未经授权的系统访问。 专网中存在非法流量 合法和非法流量有不同的要求，如确定性和可靠性，所以在单一网络上有两种类型的流量，使得更难以配置网络，使其符合控制流量的要求。例如，非法流量可能会无意中消耗网络带宽资源，造成业务系统的中断。 专网中没有运行专用网络专网中运行一些IT服务，如域名服务（DNS），动协议 态主机配置协议（DHCP），这些协议常应用在IT网络中。专网中运行这些服务会导致ICS网络对IT网络的依赖较大，而IT网络对系统的可靠性和可用性要求没有ICS专网要求高。

障

表3-11 网络监控和日志方面的脆弱性

脆弱性 描述 防火墙和路由器日志未开如果没有合适、详细的日志信息，将不可能分析出启 什么原因导致安全事件的发生。 ICS网络中没有安全监控设如果没有定期的安全监控，事故可能被忽视，导致备 额外的破坏和/或中断。需要定期的安全监测，以确定安全控制的问题，如配置错误和失效，

表3-12 网络通信方面的脆弱性

脆弱性 描述 未识别关键监测点和控制非法连接ICS网络可能会在ICS网络中留下攻击后路径 门 采用了未加密的标准的、正黑客可以使用协议分析仪或其他设备对网络协议是的网络通信协议 进行分析，以监控ICS网络活动，一些协议如Telnet，文件传输协议（FTP），网络文件系统（NFS）协议等容易被黑客进行解码分析。使用这样的协议更容易为对手进行攻击ICS和操纵ICS网络提供便利。 用户、数据与设备认证手段许多ICS协议没有任何级别的身份验证措施。未经不足 身份验证，黑客可能多次攻击并修改或伪造数据、设备，如伪造传感器和用户身份。 网络通信数据完整性校验大多数工业控制协议中没有数据完整性校验，黑客不足 可能操纵通信数据。为确保通信数据完整性，ICS可以使用较低层协议（如IPSec）提供数据完整性保护。

表3-13 无线网络连接方面的脆弱性

脆弱性 描述 无线客户端和接入点的认无线客户端和接入点之间需要很强的相互认证，以证措施不足 确保客户端不连接到恶意接入点，也确保黑客无法连接到ICS网络。 无线客户端和接入点之间无线客户端和接入点之间的敏感数据，应使用很强的数据传输保护措施不足 的加密措施，以确保黑客无法获得未加密的数据进行未经授权的访问。

3.4 风险因素

目前有几个因素导致ICS控制系统风险的日益增加，这些在第3.4.1至3.4.4更详细讨论：

? 采用标准化的协议和技术，安全漏洞已知 ? 连接到其他网络控制系统 ? 不安全和非法的网络连接

? ICS系统相关技术信息的广泛普及。

3.4.1 标准的协议和技术

ICS的厂商已经开始开放其专有协议和发布他们的协议规范，使第三方厂商建立兼容的配件。组织也从专有系统迁移到更便宜的系统，如Microsoft Windows和Unix - like的操作系统以及常见的网络协议，如TCP / IP的标准化技术，以降低成本和提高性能。这种开放式系统的演变还由于另一种标准的OPC协议的使用，它使控制系统和基于PC的应用程序之间建立交互。使用这些开放的协议标准具有经济性和技术优势，但也增加了ICS的网络事件的脆弱性。这些标准化的协议和技术，很容易受到黑客挖掘漏洞并有效利用。

3.4.2 网络连接扩大

随着组织的信息系统管理模式的发展、业务及操作需求变化，ICS系统和企业的IT系统常出现互联现象。远程访问的需求，促使许多组织建立连接到ICS系统，这样ICS维护工程师和技术支持人可以远程监视和操控ICS系统。许多组织也增加了企业网络和ICS网络之间的连接，让组织的决策者，以获得有关其业务系统的状态的关键数据，并发送产品生产指令或分发指令。在早期的实践中，这可能通过客户应用程序软件或通过OPC服务器/网关来实现，然而，在过去十年里，已通过传输控制协议/ Internet协议（TCP / IP）网络和标准化IP的应用，如文件传输协议（FTP）或可扩展标记语言（XML）的数据交换来实现。通常情况下，这些连接是在没有相应的安全风险的充分认识情况下实施的。此外，企业的网络往往是战略合作伙伴网络和互联网连接。控制系统也使更多的广域网和互联网将数据传输到远程或本地站和单个设备。ICS系统网络与企业网络的连接增加了访问控制上的脆弱性。除非适当的安全设备的部署，这些漏洞可能把ICS网络架构的各个方面暴露给黑客组织，并可能导致来自互联网的各种安全威胁，包括蠕虫病毒、恶意软件等。例如在控制系统威胁的变化情况，一位不愿透露姓名的能源组织的内部调查结果如下：

? 大多数经营单位的管理者，相信他们的控制系统没有连接到企业网络。 ? 审计结果显示，大部分控制系统通过某些方式与企业网络连接。 ? 企业网络只能保障一般业务处理系统的安全，而不能保障安全性要求极

高的系统。

随着业务环境复杂性的增加，IT系统的目标和过程控制系统的目标有根本性的区别， IT系统通常将性能、保密性和数据完整性作为首要需求，而ICS系统则将人类和设备安全作为其首要责任，因此，系统的可用性和数据完整性的具有较高核心级。其他的区别，在3.1节的讨论，包括可靠性要求的差异，事件的影响，性能预期，操作系统，通信协议，以及系统架构。这可能意味着在安全建设实践存在显著差异。

3.4.3 不安全和恶意的连接

许多ICS供应商已经交付拨号调制解调器系统提供远程访问，以减轻技术支持人员进行远程维护的负担。有时远程访问提供了系统管理员级别的访问权限，如使用一个电话号码，或访问控制凭据（例如，有效身份标识，和/或密码）。黑客可能使用战争拨号器进行暴力破解，寻找破解密码的手段以获得远程访问系统。用于远程访问的密码往往设置比较简单，且用户可能长时间没有更改。这些类型的连接可能使系统变得非常脆弱，因为远程用户可以通过供应商安装的调制解调器以较高级别的身份访问ICS系统。

组织往往在不经意间留下的访问链接，如拨号调制解调器进行远程诊断，维护，和监测。此外，控制系统越来越多地利用无线通信系统，它可能是脆弱的。没有采取认证和/或加密保护的访问链接可能给远程访问控制系统增加安全风险。这会导致用户在数据的完整性以及系统的可用性之间做平衡和折中，这两者都可能对公众及ICS设施安全性产生影响。在部署加密之前，首先要确定加密是否是一种专用IC应用合适的解决方案。第6.3.4.1章节对 ICS环境中使用加密提供了更多的信息。

企业网络和ICS之间互连需要许多不同的通信标准的集成，其结果往往是在两个独立的系统中设计了可以进行数据传输的基础设施通道。由于集成不同的系统的复杂性，控制工程师们往往很难承受因评估安全风险而增加的工作量。许多控制工程师几乎没有任何安全培训，ICS组织中也常缺乏IT安全人员参与设计。因此，未保护企业网络免受未经授权的访问的安全访问控制措施经常是比较少的。此外，底层协议的机制可能不能很好地理解，从而漏洞可能存在，甚至可能会抵消安全措施的防护效果。如TCP / IP协议及其他协议没有进行分析，这可能导致在网络层或应用层的安全事件的发生。

3.4.4. 公开的信息

信息公开主要指IC设计，维护，通信等很容易在互联网上获得信息，如在产品选择上，开放标准的使用等。 ICS的供应商也卖工具包，以帮助第三方开发软件，实现了在ICS环境中使用各种公开标准。也有许多前雇员，供应商，承

包商和其他最终用户使用过相同的ICS设备，他们了解ICS系统内部运作机制。例如，有人利用自己对ICS系统的深层了解制造了Maroochy Shire污水外溢事件，众多ICS网络安全事件之一， 该事件的其它信息在3.7节中油描述。

信息和资源提供给潜在的对手和来自世界各地的入侵者，有了这些信息，攻击者可能用很少的控制系统的知识，采用自动攻击和数据挖掘工具，使用出厂设置的默认密码，就可以获得未经授权的访问控制系统的控制权，这些默认密码是从来没有改变过的。

3.5安全事件举例

对ICS系统有一些可能的安全事件的例子，比如：

? 通过延迟或阻塞通过企业或控制网络的信息流以控制系统的运转，从而

对控制系统网络的可用性进行影响，或者通过对一些本地服务发起拒绝服务攻击以中断数据流，IT本地服务（如DNS）；

? 未经授权更变PLC的编程指令，远程终端装置（RTU），DCS系统或SCADA

控制器，报警阈值等，从而可能导致设备损坏（如果超出容错极限），未经授权的更改，过早关闭进程（如过早关闭传输线），造成环境的事件，甚至禁用控制设备。

? 虚假信息发送到控制系统的操作者，要么导致未经授权的更改，或操作

者采取不合适的手段；

? 控制系统软件和配置信息被篡改，产生不可预知的结果； ? 安全系统运转受到干扰；

? 恶意软件（如病毒、蠕虫、木马等）传播到ICS系统；

? 关键信息（如生产产品的原料和指南）或工作指令被更改后对产品、设

备或人员带来损害。

此外，ICS控制系统覆盖了广泛的地理区域，该区域往往没有工作人员值守，没有监控手段。如果这种远程系统在物理上暴露，黑客可能建立一个连接返回到控制网络。

以下是两个有待证实的ICS安全事故的案例：

? 使用战争拨号器，简单的计算机程序连续拨号，寻找网络上的调制解调

器，黑客发现连接在电力传动控制系统上的可编程断路器，破解密码，获得对断路器的访问控制，并更改控制器的设置从而导致当地停电和设备损坏。黑客降低了一些断路器的设置，从500安培（A）到200A，停止这些线路的服务，并分流到邻近线的线路上。与此同时，黑客提高了临近的控制设备的设置到900A，防止断路器跳闸，从而使线路超负荷运转。这将导致变压器等关键设备的重大损坏，造成在漫长的修复时间而中断。

? 一个服务大都市区的电厂已经和企业网络进行了隔离，并安装了最先进

的防火墙，部署了入侵检测和保护措施。一名工程师轻易在当地一所大学继续教育研讨会网站下载文件并无意中引入了ICS控制网络中，就在早上业务高峰时间，操作员屏幕变为空白，系统关闭。

虽然这些情景是假设的，他们所代表的ICS潜在事故场景。 3.7节提供了几个实际的ICS事件摘要。

3.6 安全事故来源

关于ICS控制系统安全事件的准确的统计数据很难统计。然而，在行业内大家都注意到这样一个现实，在传统的IT系统中漏洞增长的趋势和在工业控制系统中发现的漏洞增长趋势有一些相似之处。有一个安全组织（RISI）3，其目的是跟踪网络安全性质的事件，直接影响ICS和流程库。这包括，如意外的网络相关的事件，以及未经授权的远程访问，DoS攻击和恶意软件渗透，如恶意事件。收集数据，通过研究为公众所知的事件，并从各成员组织未公开报告中收集数据，这些成员组织都希望能够远程访问数据库。每个安全事故案例都是根据可靠程度进行调查和评估过。

收集到得数据包括以下一些内容： ? 事件标题 ? 事件日期

? 报告的可靠性

? 事件类型（例如，事故，病毒） ? 行业（如石油，汽车）

? 事件来源（如互联网，无线，调制解调器） ? 报告人

? 系统和硬件类型的影响 ? 事件的简要说明 ? 对组织的影响 ? 采取措施，以防止复发 ? 引用。

截至2006年6月，119起事件案例已调查核实并记录在数据库中，15起事件仍有待调查。其中，13起事件标记为恶作剧或不太可能发生的事件，并从研究数据中删除。图3-1显示了1982年至2006年事件的趋势，这表明在2001年左右开始的事件急剧增加。现代ICS系统的复杂性留下了许多漏洞以及攻击向量。攻击可能来自许多地方，包括通过企业网络或间接直接通过互联网，虚拟专用网（VPN），无线网络，以及拨号调制解调器。

其他来源的事件信息显示ICS控制系统事件在增加。目前尚不清楚是否有更多的事件发生或只是更多的事件被发现和报告。

图3-1 ICS系统每年安全事件统计

ICS系统安全事件主要有以下几类：

? 故意有针对性的攻击，如未经授权访问文件，执行拒绝服务，或欺骗的

电子邮件（即伪造电子邮件发送者的身份）

? 非故意后果或设备损害，来自蠕虫，病毒或控制系统故障

? 无意的内部安全的后果，如不适当的测试业务系统或未经授权的系统配

置的变化。

三类安全事件中，有针对性的攻击发生的频率最少。有目标的攻击可能是最具破坏性的，但还需要详细了解系统及基础配套设施。因此，最有可能的威胁类型是无意威胁和心怀不满的员工，前雇员，或组织工作的人。

3.7 收录的安全事件

正如在3.6节中提到的，有三大类的ICS事故，包括蓄意攻击，无意攻击或蠕虫，病毒或控制系统发生故障，无意的内部安全损害，如不适当的测试业务系统或未经授权的系统配置的变化，从这些类别的事件的报道包括以下内容： 3.7.1内部有目标攻击事件

? 伍斯特空中交通通讯事故。 1997年3月，一个马萨诸塞州伍斯特市少

年，使用拨号调制解调器使公共电话交换系统部分发生瘫痪。这导致机场控制塔电话通信发生中断，影响机场安全，机场消防，气象服务，机场地面运输等。此外，该塔用于激活跑道灯的主要无线电发射机和另一个发射器被关闭，对监视飞行进展有很大影响。该攻击也使拉特兰附近的600个家庭和商业机构的电话通信系统发生中断。

? Maroochy污水泄露事件。在2000年春天，一个开发制造业软件程序的

澳大利亚组织的前雇员应聘当地政府的一个工作，但遭到了拒绝。被拒绝的心怀不满的雇员在超过了为期两个月的的时间内，据说多达46次使用无线电发射机，远程入侵污水处理系统的控制。他改变了电子数据，特别是污水处理泵站，造成系统操作故障，最终释放到附近的河流和公园约264000加仑未经处理的污水。

? Stuxnet蠕虫。 Stuxnet蠕虫是针对Microsoft Windows的电脑系统的，

在2010年7月，其攻击目标专门针对工业控制软件和设备。该蠕虫最初肆意蔓延，但攻击目标为特定的SCADA系统，该系统对具体的工业生产过程进行控制和监视。

3.7.2无意特定目标的攻击事件

? CSX的列车信号失灵。 2003年8月，Sobig计算机病毒的传播导致感染该病

毒的铁路信号灯关闭，该铁路横跨美国东海岸。该病毒感染佛罗里达州的总部计算机系统，并关闭铁路信号灯，干扰调度。据美铁发言人Stessel透露，有10个火车在上午受到影响。由于信号灯关闭，匹兹堡大学和佛罗伦萨、南卡罗来纳州之间的列车停止，并从弗吉尼亚州的一个区域的火车到华盛顿和纽约发生两个多小时的延迟。长途列车也被延迟4到6小时之间。 ? 戴维斯Besse8。 2003年8月，核管理委员会证实，在2003年1月，已知

的Microsoft SQL Server蠕虫在俄亥俄州橡树港感染了闲置的戴维斯Besse，核电厂的私人电脑网络，导致安全监控系统停用近五年小时。此外，工厂的过程中电脑失败，前后历时约六小时后恢复。蠕虫还感染了至少5个其他公用设施的控制网络上的通信据，受到如此迅速地传播后造成通信流量堵塞。 ? 东北电网瘫痪。 2003年8月，在第一能源的SCADA系统由于有足够的态势

感知电网的关键业务的变化的能力而拒绝控制室操作员的指令。此外，由于对拓扑结构变化的信息没有充分把握，缺乏业务连续性分析，西部地区的ICS系统发生业务连续性中断，俄亥俄州北部区域中的几个关键的345千伏输电线路与树木接触，这最终发生连锁反应导致345千伏和138千伏线路过载。共有61800兆瓦的电量发生损失。

? Zotob蠕虫。 2005年8月，一轮互联网蠕虫感染导致戴姆勒 - 克莱斯勒的

美国汽车制造厂13台设备下线隔离将近一个小时，感染了微软Windows系统补丁的设备已经安装了补丁程序。在伊利诺伊，印第安纳，威斯康星，俄亥俄，特拉华州和密歇根州的大量设备被迫离线。虽然蠕虫病毒影响的主要是Windows 2000系统，它也影响到一些早期版本的Windows XP。症状包括反复关闭计算机并重新启动。 Zotob蠕虫及其变种造成的重型设备制造商卡

特彼勒公司，飞机制造商波音公司，和美国几家大型新闻机构的电脑停止运行。

? Taum Sauk蓄水坝事件。 2005年12月，Taum索克水蓄水坝遭受了灾难性的

失败，释放一亿加仑的水。水库发生故障被填满水库的容量或可能已被溢出。目前掌握的失效原因是夜间蓄水池满后抽水泵没有停止工作，继续抽水，导致池水溢出。根据大坝AmerenUE仪表读取的监测数据与远程监控的监测仪表数据不同，该站是通过微波发射塔网络与大坝连在一起的，Taum大坝现场没有人员值守。

? 贝灵汉华盛顿汽油管道失效。 1999年6月，90万升汽油（237,000加仑）

从16“管道泄漏，点燃1.5小时，造成3人死亡，8人受伤，大量财产损失。管道故障加剧了控制系统无法进行控制和监视功能。 “在事件发生前夕和在事件中，SCADA系统表现不佳，抑制管道控制器对异常管道运行状态进行监测并及时响应。”NTSB在2002年10月颁布的报告中提出了一个重点建议，推荐利用场外开发和测试系统对SCADA数据库的变化情况进行测试。

3.7.3内部无明确攻击目标的事件

? 漏洞扫描事件。一旦对正在运转的SCADA网络（该网络控制3米（9英尺）

的机械臂）进行ping扫描，这只机械臂变得活跃并出现180度左右摇摆。 机械臂控制器在ping扫描开始前为待机模式下运转。在另一起事件中，ping扫描正在执行对ICS网络上的网络和主机进行扫描，并造成了生产工厂中集成电路制造设备出现挂起。这个事件造成价值50,000元的晶元的损失。ICS脆弱性评估的其他指导，请参阅第4.2.6节。

? 渗透测试事件。天然气公用事业聘请IT安全咨询机构，其企业IT网络进行

渗透测试。咨询机构在渗透测试时不小心进入直接连接到SCADA系统的网络，结果导致SCADA系统和实用程序被锁住，四个小时内天然气管道无法输气，导致四个小时的服务中断。

4.ICS系统安全程序开发与部署

正如在3.1节所述，ICS和IT系统之间存在较大的差异，这将影响ICS系统采用何种安全控制措施。因此，组织应制定和部署ICS安全策略与程序，这些安全策略和IT安全策略与程序应当是一致的，但必须符合ICS的技术和环境的具体要求和特点。组织应定期审查和更新他们的ICS安全计划和方案，以适应新技术，业务，标准和法规的变化。

本节提供了ICS安全计划的开发和部署的概述。 4.1节介绍了如何建立一个ICS安全计划的商业案例，包括业务方面的建议内容。 4.2节讨论的一个全面的ICS安全计划发展，并提供部署方案的几个主要步骤信息。该文件的第5和6对可能涉及到的具体的安全控制措施进行了说明。

4.1业务影响分析

ICS在实施网络安全方案的第一步是制定一个有吸引力的、满足组织独特需求的商业案例。商业案例应该获取高层管理者对业务方面所关注的问题，这些是问题在其它很多类似风险处理中具有相同经验。业务价值分析提供了对业务的影响分析，和创建一个综合的网络安全方案的财务理由。它应包括有关以下内容的详细信息：

? 收益，包括改善控制系统的可靠性和可用性，创建一个集成的安全方案 ? 如果一个网络安全方案在ICS系统中没有落实，带来的潜在的成本和损

害的情况

? 在实施，运作，监控，审查，维护等环节有高层的指导与支持，以该进

网络安全方案

? 制定，实施和维持安全程序所需的成本和资源

在提出商业管理案例之前，应该有审慎的、动态的安全实施和成本计划。例如，简单地要求一个防火墙是不够的，有很多原因可以说明。

4.1.1 收益

负责任的风险管理政策应测量和监测ICS系统所面临的安全威胁，以保障员工的利益，公众，股东，客户，供应商和社会的利益。风险分析可以权衡成本和收益，这样组织能作出保护措施明智的决定。此外，降低风险，行使尽职尽责的调查，也有利于组织：

? 提高控制系统可靠性和可用性 ? 提高员工的士气，忠诚度和保留 ? 减少社会各界的关注 ? 增加投资者的信心 ? 降低法律责任 ? 提升企业的形象和声誉 ? 帮助保险的覆盖范围和成本 ? 改善投资者和银行的关系。

一个强大的安全和网络安全管理方案是一个可持续的商业模式的根本。

4.1.2 潜在影响

随着企业对互联互通依赖的增加，应进一步强调安全系统的重要性。DoS攻击和恶意软件（如蠕虫，病毒等）已太常见了，已经影响ICS系统。此外，在一些关键的基础设施的计算机系统出现故障后可能有显著的物理影响。影响的主要类别如下：

? 物理影响。物理影响包括ICS失效的直接后果。最重要的潜在影响，包

括人身伤害和生命损失。其他影响包括财产损失（包括数据）和潜在的对环境的破坏。

? 经济的影响。对经济的影响是从ICS事件引起的物理影响的连锁效应。

物理影响，可能导致系统操作的影响，这反过来又造成设施或组织更大的经济损失。在规模较大，这些影响可能带来负面影响的地方，区域，国家，或可能是全球经济。

? 社会影响。另一个连锁效应，是国家或公共组织的信心丧失后带来的后

果，这可能被多次忽略。然而，这是一个很现实的目标，可通过ICS事件来反应。

下面列出了一个ICS事件的潜在后果。请注意，此列表中的项目都不是独立的的。事实上，一个后果的发生可以导致另一个后果的出现。例如，有害物质的释放可能会导致受伤或死亡。

? 恐怖主义行为对国家安全的影响

? 在一个网站或多个网站同时产生生产数据丢失 ? 员工受伤或死亡 ? 社会公众人受伤或死亡 ? 设备损坏

? 有害物质的释放，转移，或盗窃 ? 对环境的损害 ? 违反监管要求 ? 产品污染

? 刑事或民事法律责任 ? 专有或机密信息的损失 ? 品牌形象或客户信任的损失

任何形式的不良事件都会给一个组织的价值造成损失，但安全和安全事故，相比其他类型的事件而言，对所有利益相关者，员工，股东，客户，社区组织经营，都有较长期的负面影响。 4.1.3 业务影响分析的关键组成部分

业务影响分析有四个主要组成部分：较高优先级的威胁，较高优先级的业务后果，较高优先级的商业收益和可估算的每年对业务的影响。

4.1.3.1较高优先级的威胁

在3.2节中提供的潜在威胁的清单需要细化到这些威胁，该组织认为可能实际影响安全设施。例如，食品和饮料的组织可能无法找到一个可信的恐怖主义威胁，但可能更关注的是病毒，蠕虫和心怀不满的员工。

4.1.3.2 较高优先级的业务影响

4.1.2节中提供的业务的潜在后果的列表需要进一步提炼，以使高级管理人员会发现最引人注目的后果。例如，在相对较低的温度和压力，没有处理有毒或易燃材料，通常一个组织食品和饮料加工其产品可能不会对设备损坏或环境影响有关，但可能更多关注生产供应和退化损失产品的质量。合规性也可能引起人们的关注。个人不得减少可能产生的后果，以避免采取适当的安全风险缓解行动。

萨班斯 - 奥克斯利法案要求企业的领导人签署遵守信息的准确性和保护企业信息，大多数内部和外部审计事务所必须做尽职调查的示范，以满足股东和其他组织的利益相关者。通过实施全面的网络安全方案，管理行使尽职调查。

4.1.3.3 较高优先级的业务收益

改进的控制系统的安全性和控制系统特定的安全政策有可能提高控制系统可靠性和可用性。这也包括因不适当的测试、策略、系统的错误配置等对ICS系统造成的影响减至最低。

4.1.3.4 估算每年的业务影响

在业务影响列表中优先级最高的项目，应进行评估，以获得估计每年对业务的影响大小，最好但未必仅在财务方面。例如，对于食品和饮料的机构，该组织可能在其内部发生病毒事件，网络信息安全人员评估的结果就是一些具体的财务损失。如果内部网络和控制网络是相互关联的，可以想象的是，来自控制网络的病毒事件，可能导致对业务的相同影响。 NIST SP800-39[19]和ISO / IEC 27002提供额外的指导。

4.1.4 业务影响分析的资源

有助于形成商业案例的主要资源是在贸易和标准组织、咨询公司和从事风险管理和运营的内部资源。在贸易和标准组织的外部资源往往可以提供有用的提示，是什么因素最强烈地影响了他们的管理，并在其组织内部哪些是最有用的资源。针对不同的行业，这些因素可能会有所不同，但在其他风险管理专家可以扮演的角色方面可能有相似之处。附录C提供了一些在ICS安全当前活动的清单，并简短描述。

内部和风险管理工作相关的资源（例如，信息安全，健康，安全和环境风险，人身安全，业务连续性等），在组织中相关事件处理经验的技术上，提供了巨大的支持。这些资源是从优先的威胁和评估业务的影响的角度来看是有用的。这些资源也可以提供信息，管理人员集中处理哪些风险，因此，管理员可能是最合适的，或接受作为一个冠军。在控制系统的工程和运营内部资源可以提供控制系统是如何在组织内部署的细节，如以下的见解：

? 网络通常是如何隔离的 ? 部署了哪些远程访问连接

? 如何设计高风险的控制系统或安全仪表系统 ? 通常采用了什么样的安全措施

4.1.5 向领导介绍商业案例

企业的领导将负责审批和推动网络安全政策，分配安全角色，并实现跨组织的网络安全方案。整个计划的资金通常可以分阶段进行。虽然可能需要一定的资金，开始网络安全的建设，另外的资金待安全漏洞和建设需求进一步明确后再追加。此外，还应考虑ICS系统初期安全建设与后期升级换代的成本（包括直接和间接）。

通常情况下，获得管理层收购来解决这个问题的一个好方法是使一个成功的第三方实际的例子的商业案例落地。商业案例管理中，其他组织也面临同样的问题，然后提出他们发现了一个解决方案，以及是如何解决的。这往往会促使管理层自问，是什么解决的办法，以及如何适用于他们的组织的管理。

4.2 开发一套综合的安全程序文件

在ICS系统中有效地实施安全建设，需要定义和执行一个全面的计划，涉及安全的各个方面，从确定目标到日常的日常运作和持续审计合规性和改善。本节介绍了制定一个安全计划，其中包括以下的基本过程：

? 获得高级管理人员支持 ? 建立和培养一个跨职能的团队

? 定义纲领和范围

? 定义特定的ICS的政策和程序 ? 定义和ICS的资产 ? 进行风险和脆弱性评估 ? 定义缓解控制措施

? 提供培训和提高ICS的工作人员的安全意识

在ANSI/ISA-99.02.01工业自动化和控制系统的安全提供了更多的各个步骤的详细信息：建立一个工业自动化控制系统安全计划。

组织安全计划的实施，是从高层开始的。网络安全高级管理人员必须表现出明确的承诺。网络安全是一个组织的责任，尤其是领导成员在业务、流程和管理方面负有的责任。从组织高层那里获得的充足的资金和指导，会使组织在实施安全方案时更容易实现合规性，运转更顺畅，比没有获得支持的方案有更多成功的可能。

每当一个新的系统设计和安装，在整个生命周期过程中都需要考虑安全性，从架构到采购，安装到维护退役。那种认为产品上线后是安全的假设有很多严重的风险。如果在系统部署前没有足够的时间和资源，那么在以后解决安全问题可能会耗费很多时间。 4.2.1 高层管理者的支持

高级管理人员引进和参与ICS安全计划是ICS安全计划成功的关键。高级管理人员需要在一定的水平上，包括IT和ICS操作。 4.2.2 建立和训练一支跨职能的团队

这是一个跨部门的网络安全团队，分享他们的不同领域的知识和经验，以减轻ICS的风险。网络安全团队至少应该包括组织的IT人员，控制工程师，控制系统的操作，安全课题专家和管理人员。安全知识和技能应包括网络架构和设计、安全的程序和操作、安全基础设施的设计和运作。网络安全团队的连续性和完整性，也应包括控制系统供应商和/或系统集成商。网络安全小组应直接向现场管理（例如，设备管理员）或公司的CIO/ CSO汇报，接受完整的ICS网络安全的

责任和问责。管理一级的问责制将有助于确保网络安全工作的持续开展。

控制工程师在保护ICS系统安全中将起到很大的作用，如果他们没有IT部门和管理者的合作与支持，工作将很难开展。IT已具有多年的安全实践，其中大部分是可应用在ICS中。控制工程和IT的文化往往具有显著的不同，对双方来说都是未知的，跨文化的理解和整合将在安全设计和操作中至关重要的。 4.2.3 定义纲领和范围

网络安全小组应建立企业的安全策略，该安全策略定义了安全组织的角色，责任，系统的所有者和使用者做负有的责任。该小组应建立安全计划的目标，业务影响分析，业务支撑的所有电脑系统和网络，所需的预算和资源，职责分工等。范围的定义包括业务、培训、审计、法律和法规的要求，以及时间表和责任。

对组织的IT业务系统可能已经有一个操作程序或需要开发。该小组应确定哪些现有的做法对ICS系统有影响，哪些活动是具体的的做法。从长远来看，如果团队能与组织中的其他人有类似的目标共享资源，这将对安全活动产生积极的影响。

4.2.4 定义ICS详细的安全策略和程序

策略和程序是每一个成功的安全体系的根本，ICS的特定的安全策略和程序应与现有的运作/管理策略集成。这些政策越浅显易懂，他们就越有可能在各级实施。策略和程序应确保安全保护措施和是当前现状一致，以抵御不断变化的威胁，也有利于教育。在清楚地了解了各个系统的风险后，网络安全小组应审查现有的安全政策，看他们是否足以应对当前ICS安全风险。如果需要，现有的策略应修改或创建新的策略，以解决桌面和业务系统的安全问题。很少组织有足够的资源来强化ICS系统所有可能面临的威胁；管理层要引导安全策略的变更，根据风险评估，将设置安全的优先级和目标，使组织的威胁所造成的风险减至最低。需要制定支持策略的程序文件，使策略在ICS中的实施更充分和适当。安全程序文件应当形成文档、并经过测试，并根据策略和技术的变化定期更新。ICS的安全策略和程序制定中应考虑国土安全咨询机构安全威胁级别定义，随着安全威胁

的增加部署相应的安全设备抵御日益增长的安全姿势。

4.2.5 定义ICS系统和网络资产清单目录

网络安全小组应确定内部和连接到ICS内的计算机系统、网络及应用。应该把重点放在系统上，而不是仅仅设备上，并应包括的PLC，DCS，SCADA系统，作为人机界面等，使用监控设备和仪器系统。使用路由协议或拨号访问的资产应当记录在案。作ICS的资产标识，信息应记录在一个标准的格式。该小组应审查和更新每年ICS资产清单。

有几个商业企业目录的工具，它可以识别在网络上的所有硬件和软件资产。在识别ICS的资产之前必须小心使用这些工具；项目组应先进行一个评估，如何使用这些工具，对工作产生怎样的影响。工具评估可能包括类似，非生产环境的环境测试，以确保该工具不会对生产系统产生不利影响。虽然这种影响可能在IT系统中可以接受，但在ICS系统中却不可以。在第4.2.6节提供扫描和库存工具的其他信息和指导。 4.2.6 进行漏洞与风险评估

因为每个组织的资源是有限的，组织应进行ICS系统的风险评估，根据对业务系统的潜在影响，利用其评估结果把ICS系统的优先级区别出来。然后对该组织中最高优先级的系统进行脆弱性评估，低优先级的系统可以看成是可以接受的风险。脆弱性评估将有助于确定可能会对ICS的保密性，完整性和可用性有影响的安全漏洞，以及与相关的网络安全风险和缓解方法，以减少系统的风险。

由于存在设备中断的可能性，漏洞扫描器应在ICS生产网络中谨慎使用。一个主要原因是可能会对ICS产生偶然的DoS攻击。漏洞扫描器通常通过广泛的探测尝试验证，模型攻击行为对系统和网络设备进行扫描。 ICS的设计和建造到现实世界的过程或设备的自动化控制，如果由于错误指令，他们可以执行错误的操作，将造成产品损失，设备损坏，人员伤害甚至死亡。

下面的例子展示了危害：

? 当在一个活跃的SCADA网络上进行ping扫描时，被ICS控制的9英尺长

的机械臂的变得活跃并进行180度左右摇摆。在ping扫描开始前ARM控制器在待机模式。

? 在ICS网络执行一个ping扫描，以确定在线的主机，结果造成了系统的

控制锁定，导致晶元价值50,000元的破坏。

? 天然气公用事业聘请IT安全咨询机构，对其企业IT网络进行渗透测试。

咨询机构不小心进入ICS网络，这是直接连接到SCADA系统的一部分。渗透测试锁定了SCADA系统和实用程序，导致天然气管道无法传输燃气，造成中断四个小时。

在ICS内部查找一个安全漏洞，需要一个同典型的IT系统不同的方法。在大多数情况下，在IT系统上的设备可以重新启动，恢复，或短时中断对客户提供的服务，而对ICS控制一个物理过程，因同现实世界直接相关，一些操作对时间的要求极高，而另一些则可以在较为宽松的时间内完成。

进行漏洞扫描系统或网段时，也有一般执行的几个步骤。每个步骤都列在表4-1，除了通常的IT措施外，在ICS系统中可采取的一些建议操作，以使任何测试的结果更安全。这些技术可能使工作较为困难，但应有助于减轻与主动扫描相关的问题。

表4-1 ICS漏洞评估建议的操作

扫描对象 常用的IT手段 建议的ICS手段 主机、节点和网PING扫描（如NMAP扫描） ? 检查路由器配置文件或路由络 表 ? 进行物理校验（物理线路等） ? 部署网络入侵检测措施（如SORT） ? 定义IP子网，防止自动化程序扫描 开启的服务 端口扫描（如NMAP） ? 做本地端口检查（如NETSTAT） ? 扫描备用机，或非生产系统或测试用机 服务漏洞 漏洞扫描（如NESSUS） ? 版本标识检查； ? 扫描备用机，或非生产系统或测试用机

以上所建议的ICS手段的共性是，他们不会对生产经营网络产生大流量，或对生产系统产生抵触。这些侵扰程度较低的方法，如果不是全部都可以收集，更积极的方法无需在测试过程中造成失败的风险。另一个要考虑的因素时，选择ICS的测试方法同IT系统相比，ICS系统容量比较小。 ICS系统已远远大于他们的IT同行的寿命，因此，他们的硬件往往是远远落后于技术发展水平，并可以很容易地超负荷。此外，ICS系统通常是在传统的网络上需要低延时运行速度缓慢，可能在主动测试过程中被产生的流量所淹没。

当任何一个ICS系统进行评估操作时，ICS的人员必须意识到测试已经发生，并准备立即解决出现的任何问题。如果手动控制系统是可行的，在安全测试中能够执行手动控制的人员应在场。此外，安全审计师需要了解被测ICS系统，测试所涉及的风险，并跟踪DOS攻击对ICS系统的无意影响。

4.2.7 定义风险缓解控制措施

组织应分析详细的风险评估，确定每个风险缓解的成本，比较成本与风险的发生，并选择那些缓解控制成本小于潜在风险的解决措施。因为它通常是不切实际或不可能消除所有风险，组织应着眼于降低对ICS系统影响最大的风险因素。

特定风险的控制，不同类型的系统有不同的控制措施。例如，IC系统中用户身份验证控制可能比企业工资管理系统和电子商务系统不同。组织应在使用以上措施时进行记录和沟通。组织一旦制定了风险控制措施，可能会采用“速战速决”的解决方案来解决发现的风险，低成本，高价值的做法，可以显着降低风险。这些解决方案的例子是互联网接入访问控制和垃圾邮件防护。组织应识别，评估，并实施适当的快速修复解决方案，为尽快降低安全风险，实现快速收益。能源部（DOE） 《改善SCADA网络安全的21个步骤》的文件，可以作为一个具体行动纲要来采用，以提高SCADA和其它ICS系统的安全。

4.2.8 提供培训机会，加强安全意识

安全意识是ICS事件预防的重要组成部分，尤其是当它涉及到社会工程威胁。社会工程是用来操纵个人以泄露私人信息，如密码等。这些信息可能影响系统的安全。

实施ICS安全计划可能对员工使用计算机软件、应用程序以及电脑桌面的方式带来一些变化。组织应设计有效的培训和宣传方案，帮助员工了解新的访问和控制方法是必需的，他们可以使用，以降低风险和对组织的影响。培训方案也表明管理层的承诺和网络安全方案的价值。从接触到这种类型的培训人员的反馈来看，安全培训是安全计划中非常宝贵的资源。

5.网络结构

为工业控制系统安全(ICS)部署设计网络架构时，我们常常建议将ICS网络和办公网络分开，事实上这两种网络的性质并不一样：因特网接入，FTP，e-mail，远程接入在典型的办公网中是允许的，而ICS网络中则不行。在办公网中，对网络设备、安装以及软件变化的精密控制不大可行。如果在让ICS网络运作与办公网上层，那么它往往能承受一次DoS攻击。如果将两种网络分开，那些在办公网中发生的安全问题则不会影响ICS网络。

实际上，ICS网络和办公网的连接是必须的，而这种连接又是一个重大安全风险，设计与实现这一连接时必须谨慎考虑。如果两种网络必须相连，我们强烈建议通过防火墙和DMZ，使连接尽可能最小化，最简化。所谓DMZ是指一个与防火墙直连的独立网段，包括ICS数据接入办公网这样的服务都需要通过这个独立网段。只有这些系统被允许接入办公网。由于几乎没有额外的连接，只有极少的一些接入需要通过防火墙，比如为特定连接打开某些端口。接下来的部分将描述接入必须经过的节点。

5.1.防火墙

防火墙是种能够确保网络服务安全的设备或系统。现在，我们常常在网络联通和TCP/IP协议相关问题中讨论防火墙和防火墙环境的应用。尽管如此，防火墙在网络环境中的适用性并不包括网络连通性。例如，很多办公网使用防火墙限制一些敏感部门(财务、人力)的因特网服务。使用防火墙控制相关部门的网络连通性，可以有效的预防未经授权的非法接入以及保护敏感数据。防火墙主要分了下面几类：

包过滤防火墙：最基础的防火墙。包过滤防火墙本质上就是具有访问控制功能的路由器。这种访问控制是由一整套指令集决定的。包过滤防火墙一般作用于开放式系统互联模型(OSI)的网络层，它针对数据包发出之前一套标准，检查每个数据包的基本信息，如ip地址。根据这些数据包和标准，墙可以丢弃数据包，甚至将信息发回源头。由于只检查了数据报文头中很小的一部分，包过滤防火墙对网络性能低消耗，低影响的优势得以体现。

状态检测防火墙：状态检测防火墙在包过滤防火墙的基础上加入了对OSI传输层的感知。这种防火墙在网络层过滤数据包，判定哪些合法，并在传输层评估其内容。状态检测防火墙保留了有效会话的路径并用于决定数据包是否丢弃。它提供了较高的安全性和性能，但对于管理者而言却更为昂贵和复杂。应用于ICS则需要制定额外的规则。

应用网关型防火墙：这类防火墙在应用层对数据包进行检查，并且传输遵循特定规则，比如浏览器，FTP传输。他提供了很高的安全性，但较大影响了网络开销和延迟，这在ICS环境中是不可容忍的。

NIST SP 800-41，Guideline on Firewalls and Firewall Policy，提供了防火墙及其策略的选择指导。

在ICS环境中，防火墙往往部署与ICS网络和办公网络之间。正确的配置可以极大的限制未经授权的访问，从而提高安全性。通过去掉不必要的网络可以潜在地改善控制网络的响应。正确的设计、配置、使用防火墙，可以显著地提高ICS环境的安全性。

防火墙提供了一些加强安全策略的工具，当前市场上一系列进程控制设备并不具备这一功能：

除了某些特定的通信，未受保护的LAN与受保护的ICS中设备间的通信都被阻止。这种阻止基于源、目的ip匹配，服务和端口，同时发生于数据包出入阶段，从而减少了通信的高风险，比如e-mail。

所有接入ICS的用户都被强制安全用户认证。认证方法较为灵活，具有多种级别的保护：简单密码，复杂密码，多因素认证技术，令牌，生物测定，智能卡。具体选择何种方式，取决于ICS需要保护的缺陷，而不是设备的级别。

流量监控，分析和入侵检测的记录。

实施可用的策略以适应ICS网络而不是IT网络，如禁止不安全的通信，包括使用电子邮件和容易记住的用户名和组密码。

由于设计为有记录的、连接尽可能简单的网络，在遇到一些网络上的故障时，ICS网络得以从办公网中分离出来。

还有一些其他可能的部署，包括在独立控制设备上使用基于主机的防火墙或者小型独立硬件防火墙。在改变防火墙配置管理时，这样尤其会带来严重的管理开销。

在ICS环境中部署防火墙，有一些特别需要注意的地方： 控制系统通信可能带来的延迟。

设计符合工业应用规则时经验的匮乏。过去，防火墙仅仅保护已经配置好的控制系统，默认的规则是禁止出入。只有在需要时，与被信任的系统进行连接，配置才可以修改。

硬件防火墙需要持续的支持，维护和备份。规则的设置需要审查以确保应对不断变化的安全威胁。系统性能(如防火墙日志存储空间)必须被监控，确保防火墙始终进行数据采集，并以此对抗安全侵犯。为了尽快发现并着手解决网络故障，防火墙实时监控和一些其他安全传感器是必须的。

5.2逻辑分割控制网络

通过物理设备分置，ICS网络与办公网在逻辑上得以分割。企业联通性有几点要注意：

ICS网络与办公网之间的接入点要尽可能简单并有文档记录，冗余的接入点则必须记录。

状态检测防火墙被配置为，除了那些明确授权的通信，ICS和办公网之间其他通信都将被拒绝。

除了TCP和UDP端口过滤，ICMP类型过滤，防火墙的规则还至少需要提供对源和目的的过滤(MAC地址的过滤)。

一个比较可行的方案是在ICS网络和办公网之间实施一个DMZ网络。将DMZ与防火墙相连，可以有效地限制办公网与DMZ之间、DMZ与ICS之间的通信。办公网与ICS网络不允许直接连接。5.3.4和5.3.5节将进一步描述这一内容。在ICS和外部网络实施虚拟专用网络(VPN)可以提高安全性，5.8.2和6.3.4.2节给出了VPN使用的更多信息。

5.3.网络隔离

ICS和办公网能够以不同的架构分割来加强网络安全，这一节描述几种架构的优缺点。5.3节中的图表旨在表明防火墙在分割网络中位置，但不是所有的设备都必须使用。5.4节给出了深度防御架构的指导意见。

5.3.1双宿主机/两个网络接口卡

双宿主机可以在两个网络之间传输。没有适当安全控制的一台电脑将会造成额外的威胁。为了预防这一情况，控制网络和办公网之间的防火墙必须配置为双宿模式，两种网络之间的任何通信都必须通过防火墙。 5.3.2 办公网和控制网络之间的防火墙

图5-1中，一个两端口防火墙在办公网和控制网络中的应用，显著地提高了安全新能。正确地配置，可以明显地降低外部攻击的成功率。

但这种设计中存在两个问题：首先，由于海量数据记录系统被设计在办公网部分，防火墙需要授权这部分数据与控制网络中的控制设备通信。来自办公网络中，一个恶意的或者不正确配置主机发送的数据包(通常表现为海量数据记录系统)，将会被转发到个别的可编程逻辑控制器(PLCs)或者分布式控制系统(DCS)。

5-1 办公网与控制网络间配置防火墙

如果海量数据记录系统被存放于控制网络部分，防火墙又必须设置一条规则，允许所有企业主机与这部分数据通信。典型的，这种通信发生在应用层，包括结构化查询语言(SQL)或者超文本传输协议(HTTP)请求，而这种应用层方面的缺陷则会对海量数据记录系统造成危害，一旦这种危害产生，控制网络中的其他节点也成为了蠕虫病毒和交叉攻击的突破口。

另一个问题在于，影响控制网络的伪造数据包被构造，可能令一些不公开的数据得以在允许的协议上传输。比如，防火墙允许HTTP数据包通过，特洛伊木马软件可以通过人机界面或控制网络中的笔记本远程控制，并传输数据(如捕获的密码)，伪装成合法传输。

总之，如果想要这种架构显著提高未分割网络安全性，防火墙的规则必须允

许办公网和控制网络的设备间直接通信。如果不能仔细设计并监控，将会导致安全漏洞。

5.3.3 办公网和控制网络之间的防火墙和路由器

图5-2提出了一个略好的设计，使用了路由器和防火墙结合的方式。路由器配置在防火墙之前，提供一些基本的包过滤服务，防火墙则利用状态检测或代理技术负责更加复杂的事物。这种设计广泛应用于面向因特网的防火墙，因为它令更快速的路由器处理了大量传入的数据包，尤其是DoS攻击，并降低了防火墙的负载。同时提供了更好的深度检测，对于两台不同的设备，对手必须绕道。

图5-2 办公网和控制网络之间的防火墙和路由器

5.3.4 办公网和控制网络之间带DMZ(隔离区)的防火墙

在办公网和控制网络之间建立隔离区的防火墙是一个显著地提高。每个隔离区隔离出一个或多个重要组成部分，比如海量数据记录系统，无线网络接入点或者远程、第三方接入系统。实际上，能够制造隔离区的防火墙如同构建了一个中间网络。

为了构建隔离区，除了传统的公共和私有接口外，防火墙至少需要提供3个接口。一个接口连接办公网，一个接口连接控制网，剩余的接口则连接DMZ中那些共享的不安全的设备，比如海量数据记录系统服务器，无线网络接入点，5-3是这种架构的示意图。

图5-3

办公网和控制网络之间带DMZ(隔离区)的防火墙

由于把那些可存取部分分布在隔离区，办公网和控制网之间不再直接通信，转而都以隔离区为通信目标。大多数防火墙允许存在多个隔离区，并规定隔离区之间通信的规则。如图5-3所示，无论是办公网输出还是控制网输入数据包都可以被防火墙丢弃，另外防火墙还能够协调包括控制网络在内的链路。规则良好地制定，控制网络与其他网络间明确细分的实施，确保了办公网和控制网络间几乎没用直接的通信。

如果一个补丁管理服务器或者防病毒服务器甚至其他安全服务器被用于控制网络，他们应该被置于DMZ中。有补丁管理和防病毒管理功能的控制网络，对应ICS环境的特定需求可以调整控制和安全更新。ICS选择的防病毒产品与办公网选择的不一致时同样有效。比如，发生了一起恶意软件事故，而防病毒产品没

有检测到这一事件并及时阻止，看上去其他产品也许能完成这一任务。

这一架构中最主要的风险在于，如果DMZ中的一台主机被攻陷，它将被用于制造控制网络和DMZ中的攻击。通过强化并及时更新DMZ中的服务器，规定防火墙只接受有控制网络设备发起的与DMZ的通信，这种风险可以大大降低。这一架构的另一问题是额外的复杂性以及端口个数带来日益增加的防火墙消耗。对于那些更为关键的系统，优势显然大于劣势。

5.3.5 办公网和控制网络之间成对的防火墙

如图5-4所示，带DMZ的防火墙解决方案中的一个变化是在办公网和控制网络之间使用成对的防火墙。像海量数据记录系统这样的公共服务器被布置于防火墙之间，被称之为制造执行系统(MES)层。如同之前描述的，一台墙负责丢弃进入控制结构和公共数据数据包，另一台则可以防止错误的服务器连接控制网络和共享服务器对控制网络的冲击。

图5-4

办公网和控制网络之间成对的防火墙

如果使用了不同厂商的防火墙，这一方案还有一个优势。由于工业组和信息技术组都可以独自管理防火墙，它们都可以拥有明确分开的设备。这一架构的主要缺点在于更多的消耗和管理的负责。对于那些对安全有严格要求或需要明确管理分离的环境，这种架构具备较强的优势

5.3.6 网络隔离总述

总之，不基于防火墙的解决方案，并不适用于办公网和控制网的隔离。两块区域的解决方案基本符合要求，单需要严格的维护。最为安全、可行的网络隔离方案则是配置至少三块区域，其中至少有一块DMZ区。

5.4.深度防御架构

单一的安全产品、技术或者解决方案并不能很好的处理ICS保护问题。多层级策略宝库两个(或更多)重叠的安全机制能够最小化单一设机制造成的不良影响，深度防御正是这种技术。深度防御架构策略包括使用防火墙，创建隔离区，带有效安全策略的入侵检测，培训计划和事件响应机制。此外，还需要对ICS可能面临的攻击方式有所了解：

? 网络周边的后门和漏洞 ? 公共协议的缺陷 ? 对现场设备的攻击 ? 数据库攻击

? 通信劫持和中间人为攻击

图5-5是ICS对深度防御架构的一个应用示意图，来源于国土安全部的控制系统安全计划实践建议委员会网站上记录的文档Control Systems Cyber Security: Defense in Depth Strategies中。包括特定问题及相关解决措施的文档支持，也可以在上述网站中找到。该网站将继续发展，并将最新建议和相关信息及时更新。

图5-5

CSSP建议的深度防御架构

上面提到的文档，为深度防御架构策略发展提供了指导和方向，架构策略应用于使用了控制系统网络的组织，网络需要维护多层信息架构：

? 各种现场设备的维护，遥控采集，工业级处理系统 ? 通过远程数据链路或调制解调器接入设备 ? 面向公共的服务或公司业务

这种架构包括了防火墙，采用隔离区以及ICS架构中的入侵检测能力。图5-5中的隔离区提供额外功能隔离和访问权限的能力，并已被证实对于那些由不同任务组成的大型网络架构是有效的。

5.5.ICS普遍的防火墙策略

随着深度防御架构的布置，防火墙也必须制定相应规则决定通行的权限。每个组织配置防火墙最基本的前提是只允许那些必须的通信，虽然现实情况更麻烦。究竟哪些是“必须的”，允许了这些通信又对安全性有什么影响？比如，很多企业允许海量数据记录系统服务器的SQL，但不幸的是SQL同时也是蠕虫病毒的温

床。工业中我们用到了很多重要的协议，如HTTP、FTP、OPC/DCOM、EtherNet/IP、MODBUS/TCP等，他们都有重要的安全隐患。

这节中接下来的部分将描述来自CPNI的一篇文档Good Practice Guide on Firewall Deployment for SCADA and Process Control Networks中的一些要点。、

在公共服务器配置一台两个端口的防火墙而不设置隔离区，规则的制定则显得尤其重要。至少所有规则中都应包含IP地址和端口号。地址部分的规则应当阻止来自办公网地址的主机与控制网络中的一部分公共服务器(比如海量数据记录系统)的通信，任何企图进入控制网络的属于办公网的IP地址都是不允许的。此外，端口部分的规则要关注协议的安全性。由于潜在的网路侦听和修改，允许HTTP、FTP或者其他不安全的协议穿越防火墙是一种安全风险。制定规则时，控制网路外的主机对网内的主动连接应当被拒绝，只允许网内主机主动发起的连接。

另一方面，如果使用了带隔离区的架构，办公网络与控制网络中可以配置为不存在直接的连接。除了一些特殊情况，任何一方的终点都将是隔离区中的服务器。这就使得允许通过防火墙的协议更加灵活。例如，从PLC连接海量数据记录系统使用了MODBUS/TCP协议，而HTTP协议则用于海量数据记录系统与办公网客户端的连接。每种协议都并不是那么安全，但在这个案例中，他们都可以安全的使用，因为他们并没有被用于直连两部分网络。这一概念的一个扩展在于控制网络与办公网络通信中，使用“组合”协议的想法。当一种协议用于控制网与隔离区的通信时，它最好就别再应用于办公网络与隔离区的通信。这种设计极大地降低了像Slammer这样的蠕虫病毒入侵控制网络，因为对于蠕虫病毒而言，两种不同的协议就需要两种不同的形式，这还是有点困难的。

由控制网络操控对外的通信是实践中很大的一个变动，但如果管理不当，也可能带来重要的安全风险。一个例子是特洛伊木马软件使用HTTP协议获得了定义简单的对外规则。因此，对外规则应当和对内规则一样严格。

下面列举了一些总结：

? 对内规则是被禁止的，接入控制系统中设备的操作必须经过隔离区。 ? 对外规则必须被限制，只用于必要的通信。

? 从控制网络到办公网的连接必须通过服务和端口严格控制源和目的。

除去这些规则外，防火墙还应当配置外出过滤规则，以阻止伪造的IP数据包从控制网络或者隔离区出逃。由防火墙的各个接口地址对比外出数据包的源IP地址实现这一功能。目的在于防止控制网络被通信欺骗(比如伪造IP)，这种欺骗往往用于DoS攻击。这样，对于控制网络和隔离区，防火墙只认可那些拥有正确源IP地址的数据包。最后，控制网络中的设备接入互联网是绝对被制止的。

下面总结了防火墙规则制定中要特别注意的： ? 基础的规则是拒绝一切。

? 控制网络环境和办公网间端口通信及服务批准时，应该具体问题具体分

析。对于每次数据的出入，都必须有商业理由，并且有记录在案的风险分析和责任人。

? 如果状态合适，所有允许规则应该包含IP地址和TCP/UDP指定端口。 ? 所有规则都应该限制通信使用制定IP地址或地址段。

? 禁止所有控制网络和办公网的直连，所有通信的终点都是隔离区。 ? 当一种协议用于控制网与隔离区的通信时，它就不再应用于办公网络与

隔离区的通信。

? 从控制网络到办公网的连接必须通过服务和端口严格控制源和目的。 ? 控制网络和隔离区的外出包，必须具备控制网络或隔离区制定正确的IP

地址。

? 控制网路中的设备不能接入互联网。

? 即使有防火墙的保护，控制网络不可以直接接入互联网、

? 所有防火墙管理的通信都应当包含一个独立、安全管理的网络或者多因

素认证的加密网络。此外对于特定管理情况，通过IP地址也可以对通信做出限制。

当然这些都只应被视为准则，在部署和设置防火墙规则时，对每个控制环境的仔细评估才是最必要的。

5.6.针对特定服务的防火墙规则

除了上述的通用规则，很难一一列出针对每个特定的协议的规则。对于不同

的协议，需求和建议的做法也会显著不同，这就需要一一对应的分析。工业自动化开放网络协会(IAONA)提供了实施的模板，如分析，评估工业环境中每一个常见协议的功能，安全风险，事件的最坏影响，建议措施。下面总结了IAONA文档中的一些要点，读者设计规则时可以参照这些文档。 5.6.1 域名系统

域名系统(DNS)主要用于域名和IP地址间的解析。比如，DNS可以将一个域名“control.com”解析为IP地址“192.168.1.1”。大多数互联网服务都依赖于DNS，但在控制网络中应用则较为罕见。在大多数案例中，从控制网络到办公网的DNS请求很少被允许，而进入控制网络的DNS请求则是完全被禁止的。从控制网路到隔离区的DNS请求则需要具体问题具体分析。建议使用本地DNS或主机文件。

5.6.2 超文本传输协议(HTTP)

HTTP是Web浏览器在互联网应用最基本的协议。如DNS一样，它在大多数互联网服务上的应用也极为重要。可以看到，如同一个万能查询工具一样，它的应用也与日俱增。不幸的是，它并没有什么安全保障，许多HTTP应用存在可以被攻陷的安全隐患。HTTP可以作为一种传输机制，用于手动攻击和自动蠕虫病毒。

总之，HTTP是不能被用于办公网和控制网络间通信的。如果不禁止，防火墙上就必须配置HTTP代理用于阻止所有进入的脚本和java程序。由于其表现出的安全风险，向控制网络发出的HTTP连接是禁止的。如果连接控制网络的HTTP服务是必须的，我们也建议针对特定服务使用更为安全的HTTPS。 5.6.3 FTP和TFTP

FTP和TFTP用于设备间传输文件。因为其广为人知且占用很少的进程资源，它们广泛应用与各种平台，包括SCADA系统，DCS，PLCs和RTUs。可是这两种协议并不安全：FTP的登录密码不是保密的，而TFTP干脆不需要登录。再者，一些FTP实现存在缓存区溢出的历史安全隐患。因此，应该禁止所有TFTP通信。

FTP通信只能应用于对外会话或者考虑了更多安全性的情况，如基于令牌的多因素认证和加密隧道。需要的时候，应该配置像安全FTP(SFTP)或者安全拷贝(SCP)之类更安全的协议。 5.6.4 Telnet

Telnet协议定义了一种客户端和服务器之间交互的基于文本的通信会话方式。主要用于远程登录和对限制了资源或者限制了安全的系统的简单控制服务。其服务器端具有安全风险，因为所有远程登录，包括密码都是未加密的，而且它可以让个人通过设备远程控制。从办公网到控制网络的发起的远程登录会话必须被禁止，除非加入了基于令牌的多因素认证和加密隧道这样的安全机制。而对外远程登录会话只应用在使用了加密隧道技术(如VPN)的特定设备。 5.6.5 简单邮件传输协议(SMTP)

SMTP是一种应用于互联网上的e-mail传输协议。E-mail信息通常包含恶意软件，控制网络中任何设备都不得接受对内e-mail。从控制网路发往办公网的警告信息则是可以通过SMTP协议的。 5.6.6 简单网络管理协议(SNMP)

SNMP用于为中心管理控制台和网络设备提供网络管理服务，网络设备包括路由器，打印机，PLC等。尽管它广泛应用于网络管理，但其安全性也很薄弱。在第一版和第二版的SNMP中，读取和配置设备使用的密码没有进行加密，很多情况下，大家都知道密码且不可修改。第三版考虑更多的安全性，但收效甚微。除非是独立、安全的管理网络，第一、二版的SNMP应当被禁止。第三版则可以用于给ICS发送信息。

5.6.7分布式对象组件模型(DCOM)

DCOM也是一种基本协议，为用于过程控制的对象连接与嵌入(OPC)和ProfiNet所使用。它利用微软远程过程调用(RPC)服务，当没打补丁时拥有很多

缺陷。这些缺陷被冲击波蠕虫病毒利用。此外，OPC利用DCOM，动态打开广域的端口(1024-65535)，这使得防火墙很难做出防范。这种协议只能应用与控制网络与隔离区。同时建议对使用了DCOM的设备做出端口范围的限制。 5.6.8 SCADA和工业协议

SCADA和许多工业协议，如MODBUS/TCP、EtherNet/IP、DNP3，对很多控制设备的通信是很重要的。不幸的是，这些协议设计时并未考虑安全性，通常远程控制设备接入时也不需要用户验证。这些协议只能在控制网络内使用，而不得跨网络。

5.7.网络地址转换(NAT)

某以往段中的IP地址在另一个网段中无法识别，这时候我们需要NAT服务。最初设计它是为了减少IP地址消耗，这样一家拥有大量需要接入互联网设备的企业就可以通过分配的很少的一部分互联网地址访问网络。

为了做到这一点，又一个前提，内网设备一般不会同时访问外网。防火墙也会对访问外网的IP地址数量做出控制。当内网主机试图连接外网时，防火墙重构内部的IP地址和端口为一个未使用的、限制性更强、对外公共的IP地址。防火墙必须跟踪每次连接的状态，保证内部IP地址和端口到外部可见的IP地址和端口的映射的正确。当回包到达防火墙，映射关系反转，数据包可以发送到正确的主机。

比如，控制网络中一个设备可能需要建立一个到非控制网络主机的连接(如发送一个重要的警告e-mail)。NAT允许控制网络重构内网主机的IP地址，随后回包根据内网IP地址被送往内网设备。特殊的，如果为控制网络分配私有网段192.168.1.xxx而互联网分配给企业的网络地址段位192.6.yyy.zzz，NAT防火墙将替代(跟踪) 控制网络设备产生的外出数据包IP地址为192.6.yyy.zzz的源地址。

生产者-消费者协议，如EtherNet/IP和现场总线尤其麻烦。因为NAT不支持基于组播的通信，而这些协议则需要提供完全的服务。

总之，NAT提供了明显的优势，其在实际工业协议和配置上的影响也是我们在部署前应当仔细评估的。另外，由于没有直接的地址，某些协议也会被NAT影响。比如OPC使用NAT，就需要特殊的第三方隧道软件。

5.8 ICS和防火墙的一些具体问题

除了之前讨论的防火墙和ICS之间的问题，还有一些需要细节核实。本节下面的内容将描述具体的三个方面：海量数据记录系统的部署，支持ICS的远程登录，组播。

5.8.1 海量数据记录系统

控制网络、办公网络共享的服务器，如海量数据记录系统和资产管理服务器，对防火墙的设计和配置有明显的影响。三块区域的架构，将这些服务器放在隔离区中相对简单，而在两块区域的架构中则显得比较困难。将服务器放在办公网中，意味着很多不安全的协议需要通过防火墙，如MODBUS/TCP或DCOM，这样每一个和海量数据记录系统通信的控制设备就暴露在办公网面前。相反，如果将服务器放在控制网络中，意味着同样有安全隐患的协议需要通过防火墙，如HTTP或SQL，那么办公网中的每个人都可以随意接入控制网络了。

所以，最好的办法就是使用3块区域的架构，将数据收集器放在控制网络，海量数据记录系统放在隔离区，尽管在某些情况下，这种设计也有点问题。办公网中大量用户接入隔离区海量数据记录系统会加重防火墙的吞吐负担。一个可行的解决办法是安装两台服务器。一台位于控制网络中用于收集数据，另一台则位于办公网中，镜像第一台服务器，支持客户端序列。如何令海量数据记录系统同步的问题将被解决。这也需要防火墙为服务器之间的通信提供一个专门的通道，如果做得正确，只会存在轻微的风险。 5.8.2 远程登录

另一个ICS防火墙设计的问题是远程登录控制网络。任何用户远程登录控制网络时，都需要使用适当的强有力的认证机制，如基于令牌的认证。虽然控制组

可以在隔离区设置有多因素认证的远程登录系统，通常信息技术部门设置的系统则更为有效。这种情况下，我们需要信息科技远程接入防火墙的通信。

远程支持私人连接互联网或通过调制解调器应该使用加密的协议，如运行一个办公网络连接客户端，应用服务器或安全HTTP接入以及使用强大的认证机制，如基于令牌的多因素认证方案，以便连接到办公网。一旦连接，它们立刻在控制网络中的防火墙进行用户认证，以接入控制网络。由于企业不允许控制网络也办公网明显的直连，这就需要一个级联或继发隧道方案，以接入控制网络，如IPsec VPN中的安全套接层(SSL)或传输层安全(TLS)VPN。 5.8.3 组播

大部分实施在以太网的工业生产者-消费者(发布者-订阅者)协议都是基于IP组播的协议，如以太网/IP和现场总线安全。IP组播的第一个优势在于网络性能，不需要重复向组播地址传输数据，可以显著降低网络负载。第二个优势在于发送主机不需要关注每个目的主机的IP地址。第三点，也许对工业控制来说是最重要的一点，组播消息为控制设备组提供了更好的同步性。

如果多播数据包的源、目的之间没有路由器和防火墙，多播传输相对是无缝的。但如果源和目的不在同一网段，多播信息的传输则会困难一些。为了解决多播信息路由的问题，主机需要通过英特网组管理协议(IGMP)通知组播路由器加入(或离开)相关组。组播路由器随后得知组播组中的成员，从而决定是否接受组播信息，这里也需要组播路由协议。从防火墙管理角度来看，制定监控并过滤IGMP的规则，增加了防火墙的复杂度。

另一个防火墙与组播之间的问题是对于NAT的使用。防火墙使用NAT，当接收到一个外部主机发送的组播数据包时，没有反响映射出内部哪个组应该接收这个数据。如果使用IGMP，防火墙就会将数据广播给所有组，毕竟总有一个组是正确的目的。当然，严重的问题随之产生：可能一个计划外的数据包会被广播到一个重要的节点。最安全的办法就是让防火墙丢掉这个包，也就意味着组播与NAT似乎不大兼容。

5.9 单点失败

单点故障可以发生在ANSI/ISO中的任一层。一个例子是可编程逻辑控制器安全连锁控制。应该做一个找出潜在故障点的评估，并对每个故障点做风险评估。然后我们就可以假设，评估，设计，实现相应的补救办法。

5.10 冗余和容错

ICS部件或网络被列为具有高可用性的方案。一种实现高可用性的方法是使用冗余。另外，如果一个部件失效了，他不应该使得ICS的网络出现整体故障，也不会在其他任意部分出现问题，比如级联事件。

控制系统应该能在ICS通信失效或ICS整体失效后执行适当的故障处理。我们应当规定通信失效的时间(5秒无连接还是5分钟无连接等)，也应当更加潜在的结果，规定对工业合适的故障处理方法。

备份需要采用“深度备份”的方式。层备份(本地，设备，灾难)具备时间序列，这样最近的本地备份可以立刻使用。安全备份则可以恢复大量的安全事件。混合的备份及再生的方式和存储方法的使用，确保了备份的严格生产，安全存储，恢复数据的适当访问。

5.11 预防中间人攻击

中间人攻击需要对网络协议的知识有着一定的掌握。地址解析协议(ARP)中间人攻击是一个比较普遍的获得目标系统网络流量信息的方法。表现为对网络ARP缓存表控制器和工作站机器的攻击。通过控制网络中被感染的主机，攻击者伪造ARP表，并通知所有主机路由时必须经过某个指定的IP地址。通过构造ARP表，攻击者可以将自己置于两台目标主机之间。

ARP中间人攻击通过非法ARP命令迷惑主机。这些ARP命令使得目标主机中的任意一台与另一台通信时，将攻击者的MAC地址作为自己的地址。中间人攻击成功时，被攻击的两台主机都不知道自己传输的数据经过了攻击者的主机。

当攻击者成功的将自己的主机加入到信息流中后，他们就有了对数据通信的完全控制并可以带来多种攻击方式。重演攻击是其中的一种可能，最简单的，从控制器/人机界面捕获的数据在设备控制器收到时被动态修改为实例。捕获的数据反映ICS中的正常操作，需要的时候可以重演一次。这就导致了攻击者能够观测到操作者在人机界面中所做的一切。攻击者可以持续的向控制器和设备发出命令，导致意外事故，而此时操作者对系统的真实情况一无所知。

另一种中间人攻击方式是向操作者发送错误的信息，形式可能是非错误或非正确的。这将会到这操作者才不需要做出反应的时候往往采取了诸如关机的措施，或者在需要做出反应时什么都没做。攻击者可以向操作者控制台发送命令以显示系统的变化，而当操作者按照正常程序试图做出更正时，往往发生意想不到的问题。有很多变动修改和重放控制数据的方法会影响系统的运作。

已发现的，在控制系统中，协议操作和中间人攻击是最普遍的操控协议安全的方法。幸好我们还有一些技术可以增加系统的安全性：

MAC地址绑定：ARP中间人攻击需要攻击者接入本地网络或控制本地网络中的主机。端口安全性，也被称之为MAC地址绑定，是一个保证交换机每个端口末梢物理连接安全的方法。高端企业级网络交换机通常会有几种MAC地址绑定的办法。MAC地址绑定对防止攻击者进入内部网络是很有效的。没有端口安全性，任何公开网络都可以作为进入办公网的途径。端口安全性在管理交换机上讲制定MAC地址和制定端口绑定。如果MAC地址不匹配，通信将会被终止，攻击者也将无所作为。一些更高级的交换机则具备自动重置功能，这样原始MAC归还到端口后，可以重置匹配策略。

尽管端口安全性不能证明谁是攻击者，它为物理网络增加了一层安全保护。它同时保护了本地网络不被雇员和过期系统破坏。它降低了攻击者远程可控制主机的数量。这种安全策略不但预防了外部的攻击者，也提供了物理上的保护。

静态路由表：ICS网络可以保存一张静态ARP表。很多操作系统都可以静态地将MAC地址记录到ARP表上。每台主机记录一张静态ARP表可以防止攻击者通过发送ARP回包修改ARP表欺骗主机。虽然这一技术并不适用于大型或动态办公网络，但主机数量受到限制的ICS网络则可以很好的用这种方式保护。

加密技术：作为一个长期的解决方案，系统设计应当在设备之间加密，这样

在控制网络中伪造数据包和反向编译协议则会变得较为困难。设备间通信时加密会使得其不易被攻击。具有强力认证机制的协议也很好的预防了中间人攻击。

监控技术：监控ARP欺骗提供了又一层的保护。有很多程序可以监控通过ARP包修改MAC地址的欺骗行为。

6.ICS安全控制

安全控制是一个信息系统保护其信息的保密性、完整性和有效性而制定的管理、操作和技术控制（例如预防措施或干扰）。这一节讨论了指定在NIST SP 800-53中的安全控制，它作为FISMA项目实施的一部分而开发的。有关FISMA和NIST领导实施项目的其它信息，详见附录E。

NIST SP 800-53在联邦政府信息系统的支持下，提出相应的准则为信息系统选择和指定安全控制。安全控制的组织分为三个等级；管理、操作和技术控制。每个等级分为若干个成员；每个控制包括控制的定义，补充指导和可能的改进，将提高基本控制的强度。

NIST就工业控制系统的安全项目，已经与公共和私有部门ICS合作，为NIST文件的应用指定具体的准则，包括NIST SP 800-53到ICS的安全控制。为了便于理解这种方式，正致力于使用实际的ICS网络安全事件开发一系列ICS网络安全工程案例。这些工程案例检查了NIST SP 800-53 ICS控制是否实施，如果已经实施了该控制，那么检查假定可能已经发生的潜在措施。下面红字部分为每组控制提供了ICS具体的建议和指导。

一个单独的安全产品或技术不能充分保护一个ICS。保护一个ICS是基于有效安全性策略和适当配置的一组完全控制的组合。对于一个ICS来说，一个有效的网络安全策略必须应用深度防御——一种分层的安全机制技术，使任意一个机制失效所产生的影响最小化。以下在安全控制讨论中探讨纵深防御策略的使用和在ICS的应用。

6.1 管理控制

对一个ICS来说，管理控制是安全对策，因为其集中在风险的管理和信息安全的管理。NIST SP 800-53在管理控制等级中定义了5个控制成员：

安全评估和授权(CA)：确保指定的控制得到正确实施，按照预期操作，并产生期望的结果。

规划(PL)：一个规划的开发和维护，通过执行评估，指定和实施安全控制，分配安全级别和事件响应来解决信息系统安全性问题。

风险评估(RA)：识别风险的过程是由确定事件发生的概率来操作、评估所造成的影响，其它的安全控制将减轻这种影响。

系统和服务获取(SA)：对信息系统的安全来说，资源分配维护贯穿整个系统的生命周期和基于风险评估结果的获取措施的发展，包括需求、设计标准、测试程序和相关文档。

项目群管理(PM)：提供组织级别的安全控制，而不是信息系统级别的安全控制。

在这节接下来的内容中，对这些管理控制进行详细讨论。下面红字部分提供ICS具体的指导和意见。 6.1.1 安全评估和授权

属于NIST SP 800-53评估和授权成员的安全控制，为执行周期性评估提供了基础，并提供了安全控制证书。在信息系统中，该证书实施决定了该控制能否得到正确实施，按照预期操作，并产生期望的结果来满足系统的安全需求。一个高级管理人员对接受剩余危险和授权系统操作负有责任。这些步骤完成认证过程。另外，所有的安全控制必须按照持续的原则进行监控。监控活动包括配置管理和信息系统组成控制，系统安全影响分析，安全控制持续评估和状态报告。

在以下文档中获取关于CA控制的详细指导： NIST SP 800-12 提供安全政策和程序的指导

NIST SP 800-26和800-53A 提供安全控制评估的指导

NIST SP 800-37 提供定义信息系统界限和信息系统安全证书和的指导

6.1.2 计划

一个安全的规划是一个正式的文档，它为信息系统提供了一个安全需求概况，并且在合适的位置描述安全控制，用于满足某些需求。隶属于NIST SP 800-53规划成员的安全控制，为开发安全计划提供了基础。这些安全控制也解决了周期性更新安全计划的问题。在授权进入系统之前，有关信息系统的一系列规则描述了用户的责任和预期行为，用户签署同意使用条款表明他们已经读懂并同意遵守这些行为规则。

在以下文档中获取关于PL控制的详细指导： NIST SP 800-12 提供安全政策和程序的指导 NIST SP 800-18 提供行为预备规则的指导

ICS具体建议和指导： 对于ICS来说，一个安全的规划应该建立在适当的现有IT安全方面的经验、计划和实践中。但是，3.1节所讨论的IT和ICS之间最关键的不同之处，将影响安全机制如何应用在ICS

中。一个前瞻性的规划需要提供一个可持续安全改进的思想。无论新系统何时设计和安装，从结构到采购到安装到维护到解除，花时间解决遍及整个系统的安全问题非常必要。ICS安全是一个快速发展的领域，要求安全规划过程中，不断探索新兴的ICS的安全功能，如美国CERT的控制系统的安全中心(CSSC)一样不断确定新的威胁。

6.1.3 风险评估

风险是一种功能，给定威胁源利用潜在安全漏洞的可能性和成功利用该漏洞所造成的影响。风险评估是一个识别组织运作、资产和个人风险的过程，该过程由识别出的漏洞所造成影响的概率所确定。一个评估包括一个安全控制评价，这个安全控制能减轻每个威胁和实施相关安全控制的成本。一个安全评估也必须比较安全成本和一个事件相关的成本。

实现可接受风险级别是一个减少事件发生概率的过程，通过减轻或消除可利用漏洞和事件所造成后果的方法实现这个过程。安全漏洞的优先顺序必须基于成本，并且提供一个业务案例，至少实施一个最小的控制系统安全性需求，降低风险到可接受级别，从而使目标受益。在试图选择和实施安全控制之前，必须进行漏洞和风险评估。

属于NIST SP 800-53风险评估成员的安全控制提供政策和操作步骤，开发、分发和维护一个成文的风险评估政策，描述安全控制的目的、范围、作用、责任和政策的实施步骤。基于安全目标和风险级别范围对信息系统和相关数据进行分

类。执行风险评估来识别风险和一个信息系统及其数据未经授权的访问、使用、泄露、破坏和修改或所可能导致危害的程度。这些安全控制还包括保持风险评估更新、执行周期性测试和漏洞评估的机制。

FISIM风险架构如附录E 图E-1所示。在安全分类活动和基线安全控制选择活动之后，使用安全评估过程。在安全控制细化活动中执行风险评估，确定是否需要增强所选择的安全控制或者扩展超出基线安全控制。NIST SP 800-30，信息技术系统风险管理指南（目前正在修订中）提供了一套风险评估方法，包括以下步骤：

1. 系统特性—产生一个信息系统环境图以及信息边界轮廓图

2. 威胁识别—产生一个包含能利用系统漏洞的威胁源清单的威胁声明 3. 漏洞识别—产生一个能被潜在威胁源利用的系统漏洞清单 4. 控制分析—产生一个计划控制清单，用于信息系统减轻利用漏洞的概率，降低有害事件的影响

5. 可能性测定—产生一个可能性评级（高、中或低），表明潜在漏洞可能被利用的概率

6. 影响分析—产生一个利用漏洞所导致的影响程度（高、中或低） 7. 风险测定—产生基于高、中或低度量的风险测量

8. 控制建议—产生安全控制建议和减轻风险的替代解决方案

9. 结果文档—产生一个风险评估报告，描述风险的威胁、漏洞和测量，并为控制的实施提供建议

在以下文档中获取关于RA控制的详细指导： NIST SP 800-12 提供安全政策和程序的指导 NIST SP 800-39 提供管理风险评估和更新的指导 NIST SP 800-40 提供处理安全补丁的指导 NIST SP 800-115 提供网络安全测试指导

NIST SP 800-60 提供为信息类型安全分类确定的指导 ICS具体建议和指导：

机构必须考虑在ICS中一个事件所导致的潜在后果。减轻风险技术由明确的政策和程序所确定，设计该技术用于阻扰事件发生和管理风险，消除或使后果最小化。物理设备潜在的退化、经济地位或者利益相关者/民族信心都能证明减轻是正当的。对于ICS来说，风险评估一个非常重要的方面是确定从控制网络流向办公网络的数据价值。在由这个数据确定价值决策的实例中，数据可能有非常高的价值。通过比较减轻风险的成本和后果的影响，得出减轻风险的财政理由。但是，定义适合所有安全要求的政策是不可能的。也许能实现一个非常高级别的安全控制，然而，由于功能的丧失和其它相关成本，其在大多数情况下是不合适的。一个深思熟虑的安全控制实施必须平衡风险和成本。在多数情况下，风险可能是安全的、健康的或者与环境有关的，而不是纯粹与经济相关。这个风险可能导致不可恢复的后果，而不是临时的金融挫折。

6.1.4 系统和服务获取

属于NIST SP 800-53系统和服务获取(SA)成员的安全控制，为满足保护信息系统准确资源获取的需求而制定政策和程序提供了基础。这些服务的获取基于安全需求和安全规范。作为获取步骤的一部分，使用系统开发生命周期的方法管理一个信息系统，包括信息安全方面的考虑。作为获取的一部分，必须在信息系统和构成组件上维持足够的文档。SA成员也可以处理外包系统，所支持的组织指定的供应商提供足够的安全控制。供应商在这些外包信息系统的配置管理和安全测试方面负有责任。

在以下文档中获取关于SA控制的详细指导：

NIST SP 800-12 提供安全政策和程序的指导

NIST SP 800-23 提供使用和获取测试/评估信息技术产品的指导 NIST SP 800-27 提供信息系统安全工程原理的指导 NIST SP 800-35 提供信息技术安全服务的指导

NIST SP 800-36 提供在系统开发生命周期中安全方面的考虑的指导 NIST SP 800-65 提供将安全性融入资本规划和投资控制过程的指导 NIST SP 800-70 提供系统技术产品的配置设置的指导 ICS具体建议和指导：

一个组织外包管理的安全需求和它所有或者一部分信息系统、网络和桌面环境的控制问题必须在合同当事人之间的约定中得到解决。影响组织安全性的外部供应商必须保持相同的安全政策和程序，保证ICS安全性的整体级别。在影响ICS安全性的案例中，第二层和第三层供应商的安全政策和程序也必须按照企业网络安全政策和程序。SCADA和控制系统获取项目[47]开发了一个获取语言，用于当获取新系统或者维护现有系统时指定安全需求。 6.1.5 程序管理

属于NIST SP 800-53项目群管理（PM）的安全控制，关注的是企业范围内的信息安全要求，它与任何特定的信息系统是无关的，并且对于管理信息安全项目至关重要。

6.2 操作控制

操作控制是应对ICS的安全对策，主要由人代替系统实施和执行。NIST SP 800-53定义了9种控制方法：

人员安全(PS)：人员职位分类、筛选、转移、罚款和终止的策略和程序，也涉及了第三方的人员安全。

物理及环境保护(PE)：用于解决物理、传输和显示访问控制的策略和程序，如空调环境控制(温度、湿度)和紧急防备(关机、电源、照明、防火)。

应急计划(CP)：维持或恢复业务运营的策略和程序，包括在紧急情况下，系统故障或灾难事件中的电脑操作。

应急管理(CM)：硬件、固件、软件和文件修改控制的策略和程序，保障了信息系统在实施过程中和实施后不被非正常修改。

维护(MA)：管理信息系统中所有维修方面的策略和程序。

系统及信息完整性(SI)：从设计缺陷，使用功能的核查数据修改，数据完整性检查，入侵检测，恶意代码检测，安全警戒和咨询控制等方面保护信息系统和数据的策略和程序。

媒体保护(MP)：确保安全处理媒体的策略和程序。控制包括访问、标签、存储、运输、杀毒、销毁和处置。

故障响应(IR)：故障响应培训、测试、处理、监测、报告和支持服务有关的策略和程序。

安全意识及培训(AT)：根据信息系统用户对系统的使用确保他们接受了适当的安全培训的策略和程序，并持续记录培训情况。

下面的内容会描述这些操作控制的细节，下面红色字内容给出了需要的对ICS的指导和建议。 6.2.1 人员安全

NIS SP 800-53人员安全(PS)中安全控制方法提供的策略和程序，减少了人为错误、盗窃、诈骗或其他有意无意滥用信息系统的风险。

下列文件中可以找到PS控制的补充指导： NIST SP 800-12给出安全策略程序的指导

NIST SP 800-35给出信息技术安全服务策略程序的指导 NIST SP 800-73给出个人身份验证接口的指导 NIST SP 800-76给出个人身份验证识别的指导

人员安全策略主旨在于减少人为错误、盗窃、诈骗或其他有意无意滥用信息系统的风险。它有三个方面的概念：

雇佣策略：这包括雇前的筛选，如背景调查，面试过程，就业条款及条件，完整的工作和职责的描述，雇佣条款条件的详细说明，还有员工和雇主的合法权益和责任。

企业策略和实践：包括安全策略，信息分类，文档和媒体的维护和处理策略，用户培训，企业资产可用策略，员工绩效定期评估，适当的背景调查，以及其他任何策略和行为，这些策略和行为可以细述员工、雇主、访问者都做了什么。企业的策略必须记录下来，并通过各种方式让员工知道。

就业条款和条件：这部分包括明确工作岗位职责，通知员工纪律处分及处罚，并定期评估员工绩效。

ICS具体建议和指导：

职位的分类应该根据风险的制定和筛选标准，每加入一个新员工，都要根据筛选标准筛选，被授予访问信息系统权限时也要如此。任何控制和维护ICS的人员都需要进行筛选。 6.2.2 物理及环境的保护

NIS SP 800-53物理及环境保护(PE)中安全控制方法提供了物理接入信息系统的策略和程序，如指定节点的出入，媒体传输和播放。包括了物理接入，日志维护和访问者处理的控制。这一系列也包含了应对紧急保护的部署和管理，如关闭信息技术系统，备用电源和照明，温度和湿度的控制，防火防潮。

下面的文档中可以找到PE控制的补充指导： NIST SP 800-12给出了安全策略程序的指导

NIST SP 800-46给出了电信和宽带通信的安全性的指导

物理安全性措施，旨在减少意外或蓄意的厂房资产和周围环境的损失。有形资产应该被保护好，如工具和工厂设备，环境，周围的社区，以及知识产权。知识产权又包括了如工艺过程和客户姓名在内的私有数据。物理安全性控制的部署往往受环境、安全、管理、法律和其他要求影响，一个特定的环境，必须识别和处理的要求。物理安全性控制的任务是比较大的，也需要针对保护需要。

ICS具体建议和指导：

网络组建保护和ICS数据整合应当被看做厂房整体安全的一部分。对于厂房安全而言，许多ICS设备的安全性是紧密相连的。一个主要的目标是，在没人阻止他们的工作或没有进行紧急应变程序时，也能使人们远离危险情况。

获得控制室的物理入口或控制系统的组成部分，往往意味着获得控制系统进程的逻辑入口。同样，逻辑访问，如同主服务和控制室的电脑让攻击者尝试控制物理过程。如果计算机有移动媒体设备(软盘，光盘，外置硬盘)或USB端口，它们会容易攻陷。我们可以为其配备固定的媒体设备，或干脆禁用这些设备和USB端口。根据安全需要和风险，甚至可以对电源按钮进行控制使用。为了安全最大化，服务器应当置于被保护的地方，并有认证机制保护。同时，ICS网络中的设备，包括交换机、路由器、网络插孔、服务器、工作站、控制器也应当安置在安全的区域，且只能有经授权的人员访问。安全区域也应符合设备对环境的要求。

物理安全的一个深度解决方案应包含下面几点：

物理位置的保护：传统的物理安全考虑，通常是指一个环状结构分层安全措施。在建筑物、设施、房间、设备或其他信息资产周边建立一些主动或被动的物理安全屏障。物理安全性控制旨在通过一些工具保护物理位置，包括围栏、壕沟、土丘、墙、路障、门或其他工具。大多厂房都有这种层级模式防止入侵，使用栅栏、设置门卫、大门、锁门。

访问控制：访问控制系统需要确保，只有授权人能够访问控制区域。访问控制系统应该很灵活。访问需求往往基于时间、培训等级、就业状态、工作分配、厂房状况和无数其他因素。系统需要能够鉴别出试图访问的人是谁(通常依靠这个人所持有的接入卡或密钥，这个人的个人识别编号或直接通过识别设备辨别)。访问控制应该高度可靠，不会影响到员工日常或紧急工作。将访问控制系统集成到过程系统中，不但可以安全访问，而且能够跟踪物理及个人资产，加快紧急事件的反应事件，保障个人安全并提高整体生产力。在一个区域内，访问网络和计算机的人员应当被限制在那些确实有需要的网络技术人员、网络工程师和计算机维护人员中。设备应当被锁保护，布线也应尽量隐蔽。考虑将所有计算机安置在安全机架，使用外围设备扩展技术与这些计算机的人机界面互联。

访问监控系统：访问监控系统包括摄像机，传感器和各类识别系统。比如通过摄像头监控停车场、便利店或航空安全。这些设备不用于防止访问一个特定区域，相反，他们存储记录，无论是否真实存在的个人、车辆、动物或其他实体。基于部署的访问监控设备的类型提供充足的照明。

访问限制系统：访问限制系统使用组合设备进行控制或防止访问受保护的资源。访问限制系统包括主动和被动的安全设备，如围墙、门、保险柜、大门和警卫。他们往往加上识别和监控系统，提供基于角色的专人和专门团体的访问。

人员和资产的跟踪：从安全角度考虑，定位人员及车辆在大型安装作业中日益重要。资产定位技术可以追踪厂房内人员及车辆的动向，确保他们留在授权区域，找出需要帮助的人员，并支持应急响应。

环境因素：处理系统和数据安全性需求时，考虑环境因素是很重要的。例如，如果一个站点的环境恶劣，系统就应当置于过滤环境中。在煤或铁的生产过程中，这一点尤为重要，因为灰尘有可能导电或导磁。如果存在振动问题，则应为系统安装橡胶外套，防止磁盘损坏和接线连接问题。此外，包含系统和媒体（例如，备份磁带，软盘）的环境应该有稳定的温度和湿度。在特定环境下，如温度和湿度超标，过程控制系统应产生报警。

环境控制系统：为控制室配备暖气、通风和空调系统(HVAC)，以支持厂房内人员在正常工作和紧急情况下的安全，包括有毒物质的释放。为避免造成更大损失，消防系统需要精心设计。HVAC和消防系统在增加过程控制和安全的相互依赖关系中扮演了重要的安全角色。如支持工业控制计算机的防火和HVAC系统需要对网络事件提供保护。

电力：ICS可靠的电源必不可少，因此应提供不间断的电源(UPS)。如果又一个应急发电机，UPS的电池容量也许只需要几秒钟就可以了；但如果依赖于外部电源，UPS的电池容量可能就需要几个小时了。至少我们需要能确保系统正常关机的电池容量。

6.2.2.1、

控制中心/控制室

为控制中心/控制室提供安全必不可少，这样可以减少潜在威胁。控制中心/控制室常常不断登录主控制服务器，响应速度和持续观测是最重要的。这些区域往往包含自己的服务器，其他关键的主机节点和一些控制器。重要的是进入这些区域是有限制的，只有授权用户使用如智能磁卡或身份识别设备的方法才能进入。在极端情况下，有必要考虑控制中心/控制室的防爆或提供异地紧急控制中心/控制室，这样当控制中心/控制室无法使用时，还有备用方案。

6.2.2.2、

便携的设备

任何时候，用于ICS功能的功能的计算机和设备都不能离开ICS区。笔记本电脑，便携式工作站或手持设备应被严格保护并不能带离ICS网络。防病毒和补丁管理应保持更新。

6.2.2.3、

布线

控制网络布线设计和实施也在网络安全计划中。适用于办公室环境的屏蔽双绞线通信电缆，一般不大适合厂房环境，因为其容易被磁场、无线电波、极端温度、水分、灰尘和震动的干扰。工业RJ-45连接器需要应用在其他类型的双绞线以提供对水、灰尘和震动的保护。光缆和同轴电缆往往是更好的选择，因为他们适用于许多典型环境，包括工业控制环境中电气和无线电频率干扰情况下。电缆和连接器应当用颜色标记以区分，这样ICS网络和IT网络可以明确分开，同时减少了交叉连接的潜在风险。电缆布线控制了接入的最小化(仅授权者)，设备也应置于通风的安全处。

6.2.3应急预案

应急预案被设计为保存或存储业务运作，包括可能在交互位置发生的紧急事件，系统当机或者灾难等计算机业务。落入到NIST SP 800-53 应急计划 (CP)族的安全控制通过定义角色和责任在系统崩溃或故障后分配与存储信息系统相关联的人员或动作来提供政策和程序从而实现应急预案。与应急预案一起，控件也用于应急培训、测试和计划更新，并且用于备份信息进程和存储网站。

ICS 详细建议和指导

应急预案应该包括全部范围的由网络事件导致的故障或问题。应急预案应该包括用于存储系统防止无效备份、并将系统与一切不重要的障碍和能够许可网络事件侵入的连接区分并转换为获取必要的接口和调整。员工应该接受培训并应该熟悉应急预案的内容。从对ICS进行恢复的负责人的角度出发，员工应该定期地复习应急预案，并对员工进行测试以确认他们仍然满足要求。组织也有与应急预案紧密相关的商业应急预案和故障恢复预案。这是因为商业应急计划和故障恢复计划对于ICS来说尤其重要，具体细节在以下的章节中描述。

6.2.3.1业务持续预案

业务持续预案提出了在中断的情况下全面保持或者重建生产。这些中断以自

然灾难(例如，飓风、龙卷风、地震、洪灾)、无恶意的人为事件(例如，意外设备损害、火灾或者爆炸、操作错误)、恶意的人为事件(例如，被炸弹、武器袭击或者被恶意袭击、侵入者或者病毒)、或者设备故障。从潜在的断供的角度出发，可能需要几天、几周或者几个月的典型时间周期来恢复自然灾害、或者需要几分钟或者几个小时来恢复恶意软件入侵或者机械/电力故障。由于在保障可靠性和机电可维护性方面有各自的方法，一些组织者选择用排除这些故障来源的方式来定义业务持续。业务持续也首要处理长期的商品短缺，因此一切组织者也选择在可考虑的风险范围内限制最小的中断限度。出于ICS网络安全目的，不推荐这些限制中的任一种。长期的短缺(灾害恢复)和短期的短缺(操作恢复)都应该被考虑。这是因为这些潜在的中断中的一部分涉及人为事件，与物理安全组织协同工作对于理解这些事件的相关风险和防止相关风险的物理安全措施是至关重要的。对于物理安全组织来获知产品网站仓库数据和可能包括更高等级风险的控制系统也是非常重要的。

在创建一个业务持续预案(BCP)来处理潜在短缺之前，明确用于各种系统的恢

复事件和基于典型的商业需要而被涉及的子系统是至关重要的。有两种区别类型：系统恢复和数据恢复。系统恢复涉及通信链路和处理能力的恢复，它通常是制定的恢复时间目标（RTO）。系统恢复定义为恢复所需的通信链路和处理能力所需

的时间。数据恢复包含对过去数据描述作业或产品条件的恢复，通常指定的是恢复点目标（RPO）。这被定义为可以容忍缺失数据的最长时间段。。

一旦恢复目标被定义，则潜在中断的列表应该被创建并且恢复进程应该开始

进行并被描述。对于大多数的规模较小的中断，基于致命备品目录的修复和替换动作将被充分提供来满足恢复目标。非真时，应急计划需要被完善。由于潜在的成本和这些应急预案的重要性，这些因素应该被负责业务连续预案的管理人员重新评估来确保修改的业务持续预案是正确的。一旦恢复过程被建立文档，日程表应该被更新来测试部分或者全部的恢复过程。尤其应该注意系统参数数据的备份和产品或者产品数据的证实。不仅仅在它们被生成时被测试，用于对其存储的以下过程也应该被定期检查以确定备份被保存在不会使它们无法使用的环境中，同时备份都保存在一个安全的位置，所以在需要时可以通过授权而被迅速获取。

6.2.3.2灾害恢复计划

ICS 详细建议和指导

灾害恢复计划(DRP)对于ICS的应急可获得性是至关重要的。DRP应该包括以下事项：

? 事件的所需响应或者变化期间的条件和环境会激活恢复计划。

? 在安全条件被存储之前，用所有的额外的电子连接以人为模式来操作过程。 ? 角色和响应者的责任

? 用于备份的进程和过程和信息的安全存储 ? 完成的和实时更新的逻辑网络示意图

? 用于将授权后的物理和网络连接到ICS的人员列表

? 交互过程和在包括ICS供应商、网络管理者和ICS支持人员等的紧急情况下

与人员的通信步骤和列表

? 用于所有组成部分的当前参数信息

这项计划也应该明确在紧急情况下用于实时地替换组成部分的要求。如果可能，难以取得的配件应保有库存

安全计划适应定义一个全面的备份和存储政策。为了构建这项政策，以下事项应该被考虑：

? 数据或者系统的速度必须被存储。这个需求能满足一个多余系统的需求，须

臾的下线计算机或者有效的文件系统备份

? 关键数据和配置的频率正在改变。这将指示备份的频率和完成率 ? 在线安全和全部以及增加的备份的下线存储 ? 安装介质的安全存、许可key和配置信息

? 确认用于执行、测试、存储和存储备份的个人责任

6.2.4参数管理

参数管理政策和过程被用于控制对硬件、固件、软件和文档的修改以确认信

息系统被保护在系统完成之前、中间、之后不被进行不适当的修改。落入NISP SP 800-53参数管理(CM)族的安全控制提供用于建立用于信息系统的基线控制的政策和过程。控制也被定义为保存、监控和文档参数控制变化。应该限制连接到参数设置，IT产品的安全设置应该被满足与ICS操作需求相符合的最具限制性条件的模式。

ICS 详细建议和指导

一项正式的改变管理项目应该被建立并且用于确认所有对ICS网络的修改都满足与在资产评估和相关联的风险评估和减缓计划中定义的原始组成部分相同的安全需求。风险评估应该被履行在所有影响安全的ICS网络进行的变化上，其包括参数改变、网络组成部分的增加和软件的安装。对政策和过程的改变也被要求。当前ICS网络参数必须被熟知和被建立文档。

6.2.5维护

落入NIST SP 800-53维护(MA)族的安全控制提供对信息系统的组成部分的动

作路径和预防性维护。这包括维护工具(本地和远程)的利用以及维护人员的管理。

6.2.6系统和信息保存

维护信息和信息保存保证了易损的数据没有被修改或者被未授权和未删除

的管理者删除。落入到NIST SP 800-53系统和信息保存(SI)族的安全控制提供用于定义、报告和更改信息系统缺陷的过程。控制用于防止恶意代码进攻、垃圾软件和间谍软件防护和入侵防范，尽管这些防护措施未必适合所有ICS应用。当然也被提供用于接触安全戒备和公告以及对信息系统的安全功能的更改。此外，在该族内的用于防范和防止未授权的对软件和数据的更改提供对输入或者输出的数据的限制，并且对准确率、完成率和数据的有效性以及处理错误条件进行检测，尽管这些可能未必对所有ICS应用都适合。 ICS 详细建议和指导

控制用于防护恶意代码攻击、垃圾邮件和间谍软件以及入侵防护，但是包括

在章节6.2.6.1至6.2.6.3中的用于控制的这些手段并不适用于所有的ICS详细建议和指导。

6.2.6.1恶意代码攻击

防病毒产品评估文件安装在计算机的存储设备上来防止已知的恶意软件目

录中的软件。如果计算机中的一个文件与已知病毒的列表中的病毒匹配，则病毒通过消除进程(例如，隔离，删除)来移除病毒，因此该病毒并不能影响其他本地文件或者通过网络通信来影响其他文件。防病毒软件被安装在工作台、服务器、防火墙和手提设备中。

ICS 详细建议和指导

防病毒工具在被安装、配置、运行整个时间后以及被适当地保存后才能高效

地发挥功能来防护已知的攻击方法的状态和有效负载。当防病毒工具在IT计算机系统中得到普遍的安全应用后，与ICS的共同使用需要适应特别的包括匹配性

检测和改变管理事项和影响因素。

主要的ICS供应商推荐甚至支持特殊防病毒工具的使用。在某些情况下，控

制系统供应商可能在他们的生产线中使用回归测试，该测试用于支持特别版本防病毒工具，并且提供相关的安装和配置文档。这对于完善参考文档和针对ICS影响因素的测试过程具有一定的效果，从而能够填补ICS和防病毒提供商文档之间的空白[55]。 一般:

Windows, Unix, Linux系统等被使用在控制台、工程工作台、数据历史记录中，

HMIs和一般目的的SCADA以及备份服务器能够像商业IT设备一样受到安全保护：安装推动或者自动更新的防病毒软件、将管理软件和病毒被散布的防病毒服务器更新、将位于进程控制网络中的管理服务器打包、并且通过IT网络自动更新。 ",

具有时间依赖性代码的所有其他服务器和计算机(DCS,PLC,仪器)的以下供应

商推荐修改或者扩展操作系统或者其它变化使其不同于任何一种能够在OFFICE提供商或者计算机商店买到的标准PC。期待提供商定期发布包含安全补丁的维护版本。

6.2.6.2入侵检测和防护

对于网络的例如流量模式或者例如日志侵入或者文件来访问这样的系统的

入侵检测系统(IDS)进行监控，因此他们能够辨识恶意侵入或者试图闯入系统[56]。IDS确定例如打开一个新的端口这样的不正常动作、不正常流量模式、或者对于重要操作系统文件的改变而引起适合的安全人员的注意。

两种通常使用的IDS的类型：

基于网络的IDS：这些系统在它们识别认为受到攻击的流量时监控网络和产生警惕。

基于主机的IDS：这种软件在用户试图破坏安全时监控一个系统的一种或者更多

类型的特性，例如应用日志文件进入、系统配置改变、和系统的机密数据以及对警报和测量的响应。

ICS 详细建议和指导

有效的IDS部署典型地涉及基于主机和基于网络的IDS。在现有的ICS环境中，

基于网络的IDS在控制网络和与防火墙共有的共有网络中被经常安装。基于主机的IDS在使用了一般目的的OS或者例如HMIs、SCADA服务器和工程工作台这样的应用中被经常安装使用。正确地配置，则IDS能够大大加强安全管理团队防御攻击的能力。同样也能通过检测网络上的无效流量来改善控制网络的效率。然而，即使IDS完成，安全工具在攻击的组织模式超时时能够识别个人攻击。此外，应该注意不要混淆不常用的ICS动作例如持续短暂条件混同为攻击。

当前的IDS和IPS产品在检测和防护众所周知的网络攻击中是有效的，但是

直到现在这些工具也没有列出ICS协议攻击的地址。IDS和IPS供应商开始完善和共同合作用于各种ICS协议例如Modbus, DNP, and ICCP的各种ICS协议。[57]附录D提供一些紧急IDS能力的附录信息。

6.2.6.3补丁管理

补丁是用于解决既存软件中特殊问题或者缺陷的额外的代码。弱点是被开发

的缺陷，能够导致对于IT系统的未授权连接或者使用户具有比授权用户更高的优先权。

管理和使用软件补丁的系统设计能够以有效消耗的方式帮助组织改善IT系

统的整体安全性。组织者有效地管理和使用软件补丁能够降低被开发的IT系统中弱点的几率。此外，它们能够节约耗费在相关弱点的事件上耗费的时间和金钱。

NIST SP 800-40版本2为那些设计和完成安全补丁以及弱点管理项目和用于测试项目的有效性的组织性安全管理者提供向导来降低弱点。该向导也同样对系统管理者和用于申请和测试补丁以及用于弱点项目的安全解决方案的操作人员有用。

ICS 详细建议和指导

对于OS组成部件的补丁在ICS环境中明显需要诊断的这种情况下才会生成。

补丁应该被适当地进行测试(例如在可对比的ICS中下线)从而确定边际效应的可接受能力。建议使用回归测试。对于补丁来说在其它软件上具有相反的效果这不是不正常的。补丁可以移除弱点，但是出于生产性或者安全性的角度，它也可能会带来更大的风险。对弱点打补丁可能也会改变OS或者应用程序与控制程序工作的方式，导致控制程序失去其功能。另一种事项是很多ICS工具的操作系统的旧版本不再被供应商支持。导致可得到的补丁可能不会被应用。组织者应该完成系统的、可计算的、和用于管理暴露弱点的可入文档的ICS补丁管理进程。

一旦作出安装补丁的决定，有其它工具从一个中心化的服务器来自动控制进

程并且具有补丁被正确安装的证据。考虑到从用于无ICS应用程序中分离用于ICS补丁管理的自动进程。打补丁应该被安排到发生计划的ICS短缺期间。

6.2.7介质保护

落入到NIST SP 800-53介质保护(MP)族中的安全控件提供用于对授权后的用

户限制访问介质。控件也用于像分配和处理需求以及存储、传输、清洁处理(信息从数字介质中移除)、销毁和介质的清除。

ICS 详细建议和指导

介质资产包括可移除的介质和软盘、CD、DVD和USB存储棒的设备以及打印

出的报告和文档。物理安全控制应该记录用于安全和对这些资产的安全维护的特别需求，以及提供用于传送、处理和清楚或者销毁这些资产的特别指导。安全需求包括防止物理消耗、火灾、盗窃和无意图的分配或者环境损害的安全存储。如果对手获取对ICS相关联的备份介质的访问，提供用于开展攻击的有价值的数据。从备份中覆盖授权文件可能会许可密码攻击工具和提取的可用密码。此外，备份在有计划的攻击中典型地包含机器名称、IP地址、软件版本号、用户名以及其它有用数据。

在作为ICS的使用一部分或者与ICS相连接的任何节点上任何未授权的CD、

DVD、软盘、USB存储器、或者相似的可移除的介质不应该被许可以组织恶意软件的介绍或者数据的物理损失和盗窃。系统组成部分使用未使用的工业标准协议、机械的政策管理软件用于加强介质防护政策。

6.2.8事件响应

事件响应计划是预先确定的一套指令或者防止过程、响应的文档，并且限制

事件结果来防护组织的信息系统。响应应该首先被测量并最主要防护“服务被提供”并不仅仅是被包含的系统。如果一个事件被发现，则会迅速进行用于估测攻击和响应的选择的风险评估。例如，一个可能的响应选择是在收到攻击时进行物理隔离系统。但是，这会导致对于不可实施的丢失的服务产生可怕影响。

落入到NIST SP 800-53事件响应(IR)族内的安全控制提供用户事件响应监控、

处理和报告的政策和过程。安全事件的处理包括准备、检测和分析、控制、根除和恢复。控制也包括用于人员的响应训练和对信息系统的事件响应能力的测试。

ICS 详细建议和指导

尽管采取防护ICS的步骤，通常也会包含有意或者无意的事件。以下症状会

从正常的网络问题中发生，但是当几个症状开始出现，则指明ICS的模式为受到攻击并且值得进一步观察。如果对手是有技能的，则很明显正在进行攻击。 事件的症状包括以下： ? 不正常的大量网络流量

? 移除硬盘空间或者空闲硬盘空间降低 ? 不正常的高CPU使用率 ? 生成新用户帐号

? 管理者等级账户的常识性和实际性的使用 ? 锁定账户

? 当使用者不进行工作时使用的账户 ? 清除日志文件