2024工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全

PAGE1PAGE1工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全2024一、前言我們的社會和公民依賴于由工業(yè)控制系統(tǒng)控制的基礎(chǔ)設(shè)施及其所提供服務(wù)體系的正常運(yùn)行。各國已經(jīng)明確了關(guān)鍵的基礎(chǔ)設(shè)施和服務(wù)體系，因此，如果此類基礎(chǔ)設(shè)施發(fā)生故障或服務(wù)出現(xiàn)問題，則可能會嚴(yán)重影響居民人身安全、經(jīng)濟(jì)、環(huán)境以及政府的正常運(yùn)作。關(guān)鍵基礎(chǔ)設(shè)施主要包括能源、運(yùn)輸和居民用水等?；A(chǔ)設(shè)施和許多組織的核心流程依賴于工業(yè)控制系統(tǒng)的正常連續(xù)運(yùn)行。比如，工業(yè)控制系統(tǒng)構(gòu)成了煉油廠、化工業(yè)、食品和藥品業(yè)生產(chǎn)流程以及機(jī)場行李處理系統(tǒng)的核心部分。工業(yè)控制系統(tǒng)故障可能會造成服務(wù)中斷甚至危及人員和環(huán)境的安全。比如，一旦工業(yè)控制系統(tǒng)發(fā)生故障或遭到網(wǎng)絡(luò)攻擊，就會失去對危險(xiǎn)品的控制，從而造成泄漏或有毒物質(zhì)排放，最終對不法分子正在尋求各種方式來攻擊工業(yè)控制系統(tǒng)。因此，對于整個社會、公用事業(yè)和其它關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商，以及采用工業(yè)控制系統(tǒng)的機(jī)構(gòu)和行業(yè)而言，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全和恢復(fù)能力至關(guān)重要。二、工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)概況為了有效控制工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，我們需要深入了解什么是工業(yè)控制系統(tǒng)，以及該系統(tǒng)的運(yùn)行環(huán)境。這兩方面在過去幾十年里已經(jīng)發(fā)生了翻天覆地的變化。然而，許多企業(yè)的風(fēng)險(xiǎn)控制負(fù)責(zé)人往往并沒有意識到這些變化，也沒有意識到這些變化對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)構(gòu)成影響的方式。在重視新趨勢與新發(fā)展的同時(shí)，我們也必須明白，工業(yè)控制系統(tǒng)有其固有特點(diǎn)，它與常規(guī)IT大相徑庭。實(shí)踐證明，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)不僅僅停留在理論層面。現(xiàn)實(shí)中，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)事件頻頻發(fā)生，因此，我們應(yīng)該從他人身上吸取教訓(xùn)。（一）工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全神話工業(yè)控制系統(tǒng)的設(shè)計(jì)一般圍繞可靠性和安全性來進(jìn)行。但直到最近，網(wǎng)絡(luò)安全都沒有成為工業(yè)控制系統(tǒng)設(shè)計(jì)的一項(xiàng)考量因素，其原因在于：工業(yè)控制系統(tǒng)具有專有代碼和標(biāo)準(zhǔn)。只有少數(shù)專家掌握有關(guān)工業(yè)控制系統(tǒng)的知識；其它人對此不感興趣。工業(yè)控制系統(tǒng)在一個與外界完全隔離的環(huán)境中運(yùn)行。工業(yè)控制系統(tǒng)在良好的環(huán)境中運(yùn)行。因此，協(xié)議及其實(shí)施都非常簡單，且并未硬性抵御各種攻擊。黑客對工業(yè)控制系統(tǒng)不感興趣。所有這些設(shè)計(jì)假設(shè)隨后都被證明存在瑕疵：越來越多的工業(yè)控制系統(tǒng)應(yīng)用是基于商用現(xiàn)貨(COTS)硬件、操作系統(tǒng)和互聯(lián)網(wǎng)協(xié)議堆棧之上運(yùn)行的。工業(yè)控制系統(tǒng)應(yīng)用逐漸轉(zhuǎn)向開源模式。工業(yè)控制系統(tǒng)方面的知識已被廣泛傳播；大部分工業(yè)控制系統(tǒng)應(yīng)用的描述和手冊可以在互聯(lián)網(wǎng)上公開找到。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)直接或間接地相連接。工業(yè)控制系統(tǒng)甚至可以通過家中的平板電腦來控制。工業(yè)控制系統(tǒng)已經(jīng)淪為心懷不滿的內(nèi)部人員的犧牲品。黑客們對于入侵工業(yè)控制系統(tǒng)抱有極大的興趣。最近幾年，黑帽大會等黑客大會上的許多演講都涉及到了工業(yè)控制系統(tǒng)的漏洞。黑客和測試工具都包含了針對工業(yè)控制系統(tǒng)的漏洞掃描，比如MetaSploit。（二）工業(yè)控制系統(tǒng)與（辦公室）IT：不同的考量普通（辦公室）IT的保密性而不是其可用性和集成性。而工業(yè)控制系統(tǒng)則通常聚焦于該系統(tǒng)流程控制的可用性、可視性、可操作性和集成性，以及系統(tǒng)效率和安全性，而包括保密性在內(nèi)的網(wǎng)絡(luò)安全則沒有這么重要。這就導(dǎo)致了人們對安全性的不同重視程度，而更加穩(wěn)妥的選擇是：不去實(shí)施可能損害系統(tǒng)可用性和性能的安全控制措施。（辦公室）IT此進(jìn)行與安全相關(guān)的軟件遷移或配置更改。外部威脅的動態(tài)變化迫使（辦公室）IT（三）工業(yè)控制系統(tǒng)技術(shù)的趨勢和威脅1、工業(yè)控制系統(tǒng)技術(shù)工業(yè)控制系統(tǒng)和（辦公室）IT比，工業(yè)控制系統(tǒng)的“報(bào)廢”周期一般很長。因此，工業(yè)控制系統(tǒng)組件可以長期使用，而常規(guī)IT的技術(shù)發(fā)展和更換速度就相對要快很多。因此，典型工業(yè)控制系統(tǒng)的安裝基礎(chǔ)是老舊的技術(shù)，也就是所謂的遺留工業(yè)控制系統(tǒng)，其中通常包括供應(yīng)商特有的應(yīng)用和硬件，以及幾十年前的通信協(xié)議和硬件。正如前文所述，舊工業(yè)控制系統(tǒng)的通信協(xié)議和應(yīng)用可能包含漏洞，因?yàn)樗鼈冊仁轻槍]有任何網(wǎng)絡(luò)威脅的良性環(huán)境所設(shè)計(jì)的。同時(shí)，基于商用現(xiàn)貨技術(shù)的新工業(yè)控制系統(tǒng)組件自身本來就存在漏洞，而與此相關(guān)的知識早已被廣泛傳播了。如今，商業(yè)壓力將工業(yè)控制系統(tǒng)與外界相連接，使得這些漏洞被利用的風(fēng)險(xiǎn)變得更大了。（辦公室）IT采取嚴(yán)格的更新和補(bǔ)丁策略，而工業(yè)控制系統(tǒng)卻很少這么做。軟件更新可能會影響系統(tǒng)的穩(wěn)定性和可用性。在更新或打補(bǔ)丁前，工業(yè)控制系統(tǒng)通常沒有用來判定更新或補(bǔ)丁效果的典型測試環(huán)境。表1：工業(yè)控制系統(tǒng)和（辦公室）IT特性方面的區(qū)別工業(yè)控制系統(tǒng)辦公室IT安全優(yōu)先級流程可操作性、集成性、機(jī)密性機(jī)密性、集成性、可用性服務(wù)的可用性全年無休24/7/365需要時(shí)重啟延遲實(shí)時(shí)響應(yīng)時(shí)間不同軟件穩(wěn)定性良性環(huán)境，安全遇到挑戰(zhàn)時(shí)協(xié)議失效可在黑客連續(xù)的監(jiān)視中運(yùn)行，清除了漏洞反惡意軟件不常見，遺留工業(yè)控制系統(tǒng)中的資源不足標(biāo)準(zhǔn)補(bǔ)丁要求工業(yè)控制系統(tǒng)制造商的確認(rèn)，然后測24/7幾乎即時(shí)可用(比如“周二補(bǔ)丁”）口令遺留工業(yè)控制系統(tǒng)采用硬件連接；從不更改組口令定期更改默認(rèn)賬戶經(jīng)常保持不變刪除/更改物理安全視情況而變服務(wù)器和網(wǎng)絡(luò)安全性高安全意識視情況而變持續(xù)警惕折舊10-25年3-5年總而言之，相比“辦公室”IT102、工業(yè)控制系統(tǒng)環(huán)境工業(yè)控制系統(tǒng)的環(huán)境正在變得越來越開放。市場發(fā)展有時(shí)要求將來自工業(yè)控制系統(tǒng)的數(shù)據(jù)提供給相關(guān)機(jī)構(gòu)內(nèi)的業(yè)務(wù)部門，或通過公共網(wǎng)絡(luò)提供給第三方。從運(yùn)營的角度看，運(yùn)行遠(yuǎn)程訪問設(shè)備往往很便捷，這使系統(tǒng)操作員在家里就能對工業(yè)控制系統(tǒng)警報(bào)做出響應(yīng)，而系統(tǒng)集成商和第三方維護(hù)工程師也可以遠(yuǎn)程訪問工業(yè)控制系統(tǒng)，以監(jiān)控設(shè)備狀態(tài)、進(jìn)行系統(tǒng)設(shè)置和遠(yuǎn)程維護(hù)。相關(guān)機(jī)構(gòu)應(yīng)該意識到外部員工及其日?；顒訉τ诠I(yè)控制系統(tǒng)引入的網(wǎng)絡(luò)威脅和風(fēng)險(xiǎn)因素。對此，比較好的做法就是，通過合同來責(zé)成提供工業(yè)控制系統(tǒng)相關(guān)服務(wù)的第三方人員遵守機(jī)構(gòu)自身的網(wǎng)絡(luò)安全準(zhǔn)則。相比改進(jìn)原本就較為安全的系統(tǒng)，工業(yè)控制系統(tǒng)設(shè)計(jì)人員、工業(yè)控制系統(tǒng)供應(yīng)商和系統(tǒng)集成商更為關(guān)注新特性的開發(fā)。由于客戶需求和網(wǎng)絡(luò)安全監(jiān)管要求之間缺乏有效協(xié)調(diào)，人們愈加缺乏對工業(yè)控制系統(tǒng)產(chǎn)品網(wǎng)絡(luò)安全的重視。直到最近，對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全性的需求才逐漸凸顯。問題的關(guān)鍵在于只有政府（作為用戶、首要客戶、關(guān)鍵行業(yè)的立法者和監(jiān)管者供應(yīng)商以及科普、教育和研究機(jī)構(gòu)齊心協(xié)力，才能解決工業(yè)控制系統(tǒng)安全問題的挑戰(zhàn)。市場鼓勵開發(fā)工業(yè)控制系統(tǒng)的新特性，在工業(yè)控制系統(tǒng)安全性需求出現(xiàn)之前，網(wǎng)絡(luò)安全問題將依然得不到/（四）威脅者就掌握相關(guān)理論知識且抱有濃厚興趣的威脅者而言，工業(yè)控DEFCON會的視野中。與此同時(shí)，最近披露了一些可能由國家和相關(guān)人員發(fā)起的網(wǎng)絡(luò)間諜和其它惡意活動，這表明關(guān)鍵基礎(chǔ)設(shè)施中的工業(yè)控制系統(tǒng)已成為眾矢之的。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與外界之間的外部連接以及工業(yè)控制系統(tǒng)協(xié)議對錯誤通信數(shù)據(jù)包的抵抗力較弱，都大幅增加了惡意行為造成工業(yè)控制系統(tǒng)故障的可能性。此外，工業(yè)控制系統(tǒng)易受惡意軟件的攻擊，其它被感染的系統(tǒng)或設(shè)備可能不經(jīng)意間消失于工業(yè)控制系統(tǒng)中，也可能入侵工業(yè)控制系統(tǒng)進(jìn)行有目的的操作。無論是哪種情況，工業(yè)控制系統(tǒng)的控制流程一旦發(fā)生故障，就會對行業(yè)和社會產(chǎn)生巨大的損害和影響。這種威脅并非只是理論上的。工業(yè)控制系統(tǒng)環(huán)境實(shí)際已經(jīng)發(fā)生了網(wǎng)絡(luò)安全事件。由于諸多原因，此類網(wǎng)絡(luò)安全事件往往沒有被作為工業(yè)控制系統(tǒng)安全事件通報(bào)，而是被定義為“技術(shù)故障”。只有少數(shù)國家規(guī)定必須公開報(bào)告工業(yè)控制系統(tǒng)的安全漏洞，并且大部分規(guī)定只針對特定行業(yè)。（五）工業(yè)控制系統(tǒng)環(huán)境中的網(wǎng)絡(luò)安全事件惡意軟件下面將介紹一系列工業(yè)控制系統(tǒng)故障的案例，以此證明的確存在針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全事件和惡意攻擊。此外，一些案例顯示了工業(yè)控制系統(tǒng)中斷可能造成的潛在影響。MaroochyWaterServicesStuxnet知，在此我們就不贅述了。惡意軟件TrendMicro13種偽裝成合法工業(yè)控制系統(tǒng)更新軟件的銀行惡意軟件，它們的根本目的是魚叉式網(wǎng)絡(luò)釣魚或通過下載進(jìn)行攻擊。近期，北海上一艘船的船員查看了他的郵件并點(diǎn)擊了一條惡意鏈接，導(dǎo)入的惡意軟件通過該船網(wǎng)絡(luò)傳播，凍結(jié)了該船的所有工業(yè)控制系統(tǒng)，使整艘船陷于癱瘓。PAGE11PAGE11ICS-CERTBlackEnergy境。分析指出，這些攻擊至少自2011年起便一直在持續(xù)。多家ICS-CERT(HMI)2014，ICS-CERT(OPC)連通性的HavexOPC導(dǎo)致與工業(yè)控制系統(tǒng)和制造自動化互動的應(yīng)用停止服務(wù)。20134到工業(yè)控制系統(tǒng)病毒的影響。哈爾克島的煉油廠產(chǎn)量達(dá)到伊朗原油總產(chǎn)量的80，其各個組件被迫下線。2010RoyalFrieslandCampina92005蠕蟲病毒。由于系統(tǒng)殺毒需要從一個平臺轉(zhuǎn)到另一個平臺來進(jìn)行，因此整個清理工作耗費(fèi)了很長時(shí)間。2003，Slammer亥俄州Davis-Besse系統(tǒng)癱瘓近5個小時(shí)。惡意行為2014201410水處理廠的工業(yè)控制系統(tǒng)，引發(fā)未經(jīng)處理的污水泄漏。20094?威廉?麥格雷（其黑客名為“GhostExodus”和“PhantomExodizzmo”）入侵了W.B.CarrellMemorialClinic110并處罰金31,881.75美元用來恢復(fù)被他攻擊的醫(yī)院設(shè)施。20062008年，位于南加州亨廷頓海灘的三座PacificEnergyResources阿扎爾的不滿員工遠(yuǎn)程關(guān)閉。他曾兩次從后門非法入侵工業(yè)控制系統(tǒng)。2008114歲的少年使用基于電視遙控器改裝而成的遠(yuǎn)程控制設(shè)備操控了波蘭羅茲的電車軌道開關(guān)。4，12200610后門進(jìn)入了賓夕法尼亞州哈里斯堡附近的一座濾水廠的工業(yè)控制系統(tǒng)。PAGE12PAGE12技術(shù)風(fēng)險(xiǎn)為安全測試或網(wǎng)絡(luò)庫存而進(jìn)行的不嚴(yán)謹(jǐn)?shù)摹鞍踩珳y試掃描”經(jīng)常會造成工業(yè)控制系統(tǒng)的不穩(wěn)定。在某個案例中，一個機(jī)械臂突然啟動，而在另一個案例中，天然氣設(shè)施的工業(yè)控制系統(tǒng)被鎖定，使天然氣供應(yīng)停止了數(shù)小時(shí)。20141123Hekelgem一個飲用水站點(diǎn)發(fā)生軟件錯誤，造成數(shù)小時(shí)無法向30085名居民提供飲用水。IRAM項(xiàng)目編制了一張工業(yè)控制系統(tǒng)名單，其中列出了全球各種可以從互聯(lián)網(wǎng)直接訪問的工業(yè)控制系統(tǒng)類型。令人吃驚的是，他們居然YouTube三、組織挑戰(zhàn)（一）模糊的工業(yè)控制系統(tǒng)功能界線功能性往往取決于非IT部門的職責(zé)，并由工業(yè)控制系統(tǒng)進(jìn)行控制和監(jiān)控，但是現(xiàn)在的功能性已逐漸變得越來越IT化。盡管操作員仍想著用開關(guān)或旋轉(zhuǎn)按鈕來控制流量或流程的速度，但實(shí)際上，帶開關(guān)或旋轉(zhuǎn)按鈕的顯示屏與驅(qū)動器、電機(jī)、閥門等之間卻存在著一個工業(yè)控制系統(tǒng)。因此，一些帶有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的IT設(shè)施沒有引起重視。負(fù)責(zé)樓宇管理等事宜的部門將HVAC、訪問控制系統(tǒng)和電梯控制系統(tǒng)與外界連接，從而進(jìn)行遠(yuǎn)程維護(hù)。由于他們向所屬機(jī)構(gòu)打開了網(wǎng)絡(luò)后門，因此樓宇的網(wǎng)絡(luò)安全可能受到威脅。同樣，許多日常生活中的遠(yuǎn)程控制流程已經(jīng)被嵌入了控制系統(tǒng)。越來越多的此類系統(tǒng)與私人網(wǎng)絡(luò)連接，進(jìn)而與全球網(wǎng)絡(luò)連接。（二）IT和工業(yè)控制系統(tǒng)：針鋒相對1、不同的文化除了功能性和技術(shù)方面的區(qū)別之外，工業(yè)控制系統(tǒng)和（辦公室）IT曾由不同的部門進(jìn)行管理。IT人員往往不會與流程部門中以流程為主的人員進(jìn)行交流，因?yàn)樗麄冎魂P(guān)心潤滑脂、泵、電IT。另一方面，流程部門負(fù)責(zé)優(yōu)ITIT、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全以及如何采用集成安全方案的人員更是屈指可數(shù)。相比常規(guī)IT，工業(yè)控制系統(tǒng)的技術(shù)發(fā)展較為緩慢，因此工業(yè)控制系統(tǒng)與IT領(lǐng)域需要進(jìn)行更加密切的合作。匯集了這兩大不同領(lǐng)域人員的機(jī)構(gòu)已成功彌補(bǔ)了這一不足，增進(jìn)了相互了解，并且提高了IT和工業(yè)控制系統(tǒng)的安全性。2、網(wǎng)絡(luò)安全意識、教育和興趣方面的不足傳統(tǒng)的工業(yè)控制系統(tǒng)技術(shù)人員通常為具備豐富的工業(yè)控制系統(tǒng)技術(shù)知識與經(jīng)驗(yàn)的中年員工，但他們?nèi)狈Ξ?dāng)前IT的了解。一般情況下，流程自動化工程師沒有接受過信息安全方面的培訓(xùn)。他們及其機(jī)構(gòu)遠(yuǎn)遠(yuǎn)沒有認(rèn)識到其職責(zé)中已經(jīng)增加了一項(xiàng)新的工作。即便流程自動化經(jīng)理已經(jīng)認(rèn)識到了網(wǎng)絡(luò)安全問題，他們也很少能夠在高層中找到支持者，因?yàn)閷?shí)施工業(yè)控制系統(tǒng)網(wǎng)（同時(shí)也存在潛在的業(yè)務(wù)影響風(fēng)險(xiǎn)IT到工業(yè)控制系統(tǒng)的安全工作中，因?yàn)樗麄冋J(rèn)為IT動化的范疇。即便他們這么做，他們一般也不熟悉工業(yè)控制系統(tǒng)技術(shù)的特殊性和限制。無論流程自動化工程師與IT人員何時(shí)嘗試進(jìn)行合作，流程控制策略(24*7)（只需在午休時(shí)重啟）之間存在明顯且巨大的文化差異。（三）證明成本的合理性投資IT和工業(yè)控制系統(tǒng)安全的商業(yè)案例一般都布滿荊棘。其原因在于安全性提高所帶來的利益無法通過直接利潤呈現(xiàn)，而是通過預(yù)防損失來呈現(xiàn)。即便是在事后，也很難確定安全投資的回報(bào)：如果忽略了安全措施，則會發(fā)生哪些事件？由于如今預(yù)算必須通過成本效益來證實(shí)其合理性，人們開始GordonLoeb(ROSI)模型，通過將安全事件產(chǎn)生的預(yù)期損失與安全控制措施相關(guān)的成本掛鉤，來量化其利益。盡管該模型的實(shí)用價(jià)值引發(fā)了討論，但其的確深入洞察了安全性的價(jià)值。實(shí)施安全控制措施的決定絕不能總是取決于潛在商業(yè)影響與成本之間的平衡。其它可能的推進(jìn)大程度減少特定社會風(fēng)險(xiǎn)或環(huán)境風(fēng)險(xiǎn)的企業(yè)社會責(zé)任(CSR)在商業(yè)成本方面，如果工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全控制措施需要在許多站點(diǎn)實(shí)施，或者涉及較舊、專有的工業(yè)控制系統(tǒng)組件，那么其成本就會相對高昂。不幸的是，在組織架構(gòu)方面，主要的預(yù)算控制者往往并非負(fù)責(zé)安裝、操作和維護(hù)工業(yè)控制系統(tǒng)的部門。最常見的情況是，網(wǎng)絡(luò)安全成本被分?jǐn)偟絀T和工業(yè)控制系統(tǒng)相關(guān)的部門，而商業(yè)利潤則是由其它部門產(chǎn)生。這使公司接受工業(yè)控制系統(tǒng)安全支出的必要性和使決策者相信這一必要性難上加難。通過自我評估來衡量某機(jī)構(gòu)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全成熟度，這是證明工業(yè)控制系統(tǒng)安全投資合理性的一個有效做法?？捎玫淖晕以u估工具包括美國國土安全部提供的CSET還可以參考行業(yè)或其它同行的自我評估基準(zhǔn)，荷蘭能源、飲用水以及地表水管理行業(yè)便采用這種做法。（四）遺留系統(tǒng)由于工業(yè)控制系統(tǒng)組件的經(jīng)濟(jì)壽命較長，大部分工業(yè)控制系統(tǒng)都是由大量的老舊硬件和軟件組成，并且這些硬件和軟件只能慢慢地更換。盡管系統(tǒng)所有者和其它利益相關(guān)者必須接受這一事實(shí)，但是在出現(xiàn)升級機(jī)會時(shí)，他們?nèi)孕枳⒁庾龀鼍S護(hù)工業(yè)控制系統(tǒng)安全的明智選擇的重要性。用沒有網(wǎng)絡(luò)安全功能的新工業(yè)控制系統(tǒng)替換遺留工業(yè)控制系統(tǒng)，可能會在未來幾年為公司帶來較大風(fēng)險(xiǎn)。對于使用工業(yè)控制管理系統(tǒng)的機(jī)構(gòu)而言，保持科學(xué)的資產(chǎn)庫存是一項(xiàng)關(guān)鍵的操作規(guī)范，資產(chǎn)庫存包括硬件、軟件和固件版本以及通信接口。資產(chǎn)管理是有效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的前提。緩解這一風(fēng)險(xiǎn)的措施包括系統(tǒng)加固（禁用在工業(yè)控制系統(tǒng)運(yùn)行時(shí)不需要的所有功能），或在內(nèi)部使用遺留組件時(shí)增加保護(hù)層以提供更安全的外部接口。另一個有效的措施是對新購買和遺留的工業(yè)控制系統(tǒng)組件及網(wǎng)絡(luò)接口均實(shí)施同樣的公司安全準(zhǔn)則。即使遺留系統(tǒng)無法滿足某項(xiàng)準(zhǔn)則，也有必要發(fā)出明確的“遵守或解釋”聲明，并確認(rèn)相關(guān)安全風(fēng)險(xiǎn)。最后，需要向管理層提出建立遷移策略和路線圖的建議。這能夠?qū)崿F(xiàn)條理的階段策略和及時(shí)的預(yù)算分配。工業(yè)控制系統(tǒng)組件的更換不應(yīng)單純建立在受片面或臨時(shí)預(yù)算考量所限制的決策基礎(chǔ)上。在更高的組織層面，需要通過合作來加快更安全的工業(yè)控制系統(tǒng)技術(shù)的開發(fā)與調(diào)整?？稍跇I(yè)內(nèi)要求供應(yīng)商滿足網(wǎng)絡(luò)安全要求或通過其它利益集團(tuán)的舉措來影響供應(yīng)商，比如WIB標(biāo)準(zhǔn)。雖然這些具體的行業(yè)標(biāo)準(zhǔn)化措施非常有效，但是我們?nèi)孕柚?jǐn)記，遺留系統(tǒng)面臨的主要挑戰(zhàn)不是缺乏相關(guān)安全技術(shù)，而是實(shí)施已有技術(shù)時(shí)的組織和技術(shù)難題。四、提高網(wǎng)絡(luò)彈性（一）安全文化：安全思維工業(yè)控制系統(tǒng)的安全文化或安全思維基于以下要素：要求：明確安全的工業(yè)控制系統(tǒng)和安全的工業(yè)控制系統(tǒng)環(huán)境；

采購：購買安全的工業(yè)控制系統(tǒng)；工程設(shè)計(jì)、開發(fā)和系統(tǒng)集成：開發(fā)安全的工業(yè)控制系統(tǒng)，項(xiàng)目：部署安全的工業(yè)控制系統(tǒng)；運(yùn)營：安全運(yùn)行和維護(hù)工業(yè)控制系統(tǒng)；報(bào)廢：安全地停止工業(yè)控制系統(tǒng)的運(yùn)行并進(jìn)行處置。網(wǎng)絡(luò)安全生命周期的各個階段都需要掌握相關(guān)技術(shù)且訓(xùn)練有素的人員。（二）成熟度模型成熟度模型常被用于評價(jià)和衡量某個機(jī)構(gòu)的IT成熟度模型中的一項(xiàng)關(guān)鍵要素是定義一套成熟度等級的參照框架，其中可能還包括自我評估清單或工具。網(wǎng)絡(luò)安全成熟度模型有兩個用途：首先，機(jī)構(gòu)可以利用該模型獲得實(shí)際網(wǎng)絡(luò)安全等級的參考指標(biāo)；其次，該模型可用于確定機(jī)構(gòu)在提高網(wǎng)絡(luò)安全能力過程中的進(jìn)展。階段1渾然不覺階段2各自為政階段3自上而下階段4全面深入階段5網(wǎng)絡(luò)互連WEF5階段1渾然不覺階段2各自為政階段3自上而下階段4全面深入階段5網(wǎng)絡(luò)互連無網(wǎng)絡(luò)風(fēng)險(xiǎn)意識，且網(wǎng)絡(luò)風(fēng)險(xiǎn)尚未成為組織風(fēng)險(xiǎn)管理流程的一部分。組織不知道其互連等級。

將超互連視為潛在的風(fēng)險(xiǎn)來源，但對其網(wǎng)絡(luò)風(fēng)險(xiǎn)管理措施的見解有限。組織獨(dú)立應(yīng)對網(wǎng)絡(luò)風(fēng)險(xiǎn)，其事件報(bào)告體系較為分散。

首席執(zhí)行官為網(wǎng)絡(luò)風(fēng)險(xiǎn)管理奠定了基調(diào)，發(fā)起了自上而下的威脅-風(fēng)險(xiǎn)-響應(yīng)計(jì)劃，但沒有將網(wǎng)絡(luò)風(fēng)險(xiǎn)管理視為一項(xiàng)競爭優(yōu)勢。

領(lǐng)導(dǎo)層全面掌握網(wǎng)絡(luò)風(fēng)險(xiǎn)管理，制定準(zhǔn)則與框架，并且定義了責(zé)任和報(bào)告機(jī)制。領(lǐng)導(dǎo)層了解組織的漏洞、控制力以及與第三方的相互依賴性。

與同行和合作伙伴高度互連，共享信息，并且共同在日常運(yùn)營中減少網(wǎng)絡(luò)風(fēng)險(xiǎn)。人員具有高度的網(wǎng)絡(luò)意識，且組織成為網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方面的行業(yè)領(lǐng)導(dǎo)者。圖1：網(wǎng)絡(luò)安全成熟度五個等級構(gòu)在超互連世界中應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)的準(zhǔn)備程度。那么，在這個超互連世界中，工業(yè)控制系統(tǒng)擔(dān)當(dāng)了什么角色呢？實(shí)際上大多數(shù)工業(yè)控制系統(tǒng)不再是獨(dú)立的系統(tǒng)，它們在技術(shù)層面上有多個外部接口?！俺ミB”一詞不僅指技術(shù)接口，更體現(xiàn)了與同行、外部供應(yīng)商和其它相關(guān)基礎(chǔ)架構(gòu)運(yùn)營商進(jìn)行合作和信息交流的需求。因此，“超互聯(lián)完善度曲線”可被用于工業(yè)控制系統(tǒng)領(lǐng)域，以評估相關(guān)機(jī)構(gòu)能否在所需連通程度方面做出明智的選擇，以及在識別和管理相關(guān)風(fēng)險(xiǎn)方面的成熟度。目前很少有專門針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全成熟度模型?！毒W(wǎng)絡(luò)安全能力成熟度模型》(C2M2)C2M2該模型和工具包傾向于電力以及石油和天然氣行業(yè)。其它行業(yè)可根據(jù)自身發(fā)展情況采用類似的成熟度模型。（三）工作人員的培養(yǎng)為了應(yīng)對工業(yè)控制系統(tǒng)的各種風(fēng)險(xiǎn)，制定一個“人員發(fā)展框架”能夠幫助在核心業(yè)務(wù)中運(yùn)用工業(yè)控制系統(tǒng)的各行業(yè)實(shí)現(xiàn)工業(yè)控制系統(tǒng)安全在技能、知識和能力各方面的標(biāo)準(zhǔn)化。這種“人員發(fā)展框架”已經(jīng)在歐洲ERNCIP網(wǎng)站的工業(yè)控制系統(tǒng)和智能電網(wǎng)專題領(lǐng)域中出現(xiàn)。該框架可以作為人員認(rèn)證的國際標(biāo)準(zhǔn)。該框架包含一個描述工業(yè)控制系統(tǒng)安全角色和職責(zé)的“人員發(fā)展模型”來提高關(guān)鍵基礎(chǔ)設(shè)施的彈性。每個固定的職位都有一個能力框架，主要描述了通過特定培訓(xùn)或經(jīng)驗(yàn)所應(yīng)掌握的網(wǎng)絡(luò)安全知識和技能。在特定情況中，行業(yè)可能要求人員具備相關(guān)知識和技能認(rèn)證。該框架結(jié)合了來自工業(yè)控制系統(tǒng)安全、IT、網(wǎng)絡(luò)安全等要素，以及工業(yè)控制系統(tǒng)安全專業(yè)人員所應(yīng)具備的行業(yè)、公司和專業(yè)標(biāo)準(zhǔn)等綜合知識和技能。該框架鼓勵市場提供工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)和認(rèn)證。首個全球認(rèn)證是由全球信息專家認(rèn)證(GIAC)GICSP)。該認(rèn)證每四年更新一次。值得一提的是，該框架還有助于減少第三方安裝、維護(hù)和支撐人員的非專業(yè)行為所造成的風(fēng)險(xiǎn)。ENISAICS/SCADA專業(yè)人員網(wǎng)絡(luò)安全技能認(rèn)證》報(bào)告中也提到了一些其它認(rèn)證/SCADAISA99/IEC62443（四）工業(yè)控制系統(tǒng)安全產(chǎn)品和服務(wù)采購工業(yè)控制系統(tǒng)制造商、系統(tǒng)集成商以及工業(yè)控制系統(tǒng)供應(yīng)服務(wù)商（從設(shè)計(jì)和應(yīng)用開發(fā)到項(xiàng)目開發(fā)和維護(hù)）在工業(yè)控制系統(tǒng)安全性方面起到了重要作用。他們設(shè)計(jì)、開發(fā)、實(shí)施和維護(hù)關(guān)鍵基礎(chǔ)設(shè)施中的工業(yè)控制系統(tǒng)環(huán)境。這些機(jī)構(gòu)應(yīng)確保工業(yè)控制系統(tǒng)軟件能夠提供綜合的安全選項(xiàng)，而且他們還應(yīng)該以身作則，通過提供建議以及專業(yè)的服務(wù)，將客戶的工業(yè)控制系統(tǒng)安全性提升到一個更高的層面。比如在報(bào)價(jià)和提議中提供有關(guān)系統(tǒng)運(yùn)行的強(qiáng)化措施，或者讓其專業(yè)維護(hù)人員積極同客戶就如何安全工作達(dá)成共識。工業(yè)控制系統(tǒng)經(jīng)營者自身必須認(rèn)識到上述問題，并就網(wǎng)絡(luò)風(fēng)險(xiǎn)問題同第三方進(jìn)行交涉。具體可采用以下方法：購買工業(yè)控制系統(tǒng)組件時(shí)，在向供應(yīng)商提出的系統(tǒng)要求中加入網(wǎng)絡(luò)安全要求。這些網(wǎng)絡(luò)安全要求主要包括網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估和可能的遷移控制分析。盡可能在合同上要求供應(yīng)商及其分包商遵守本機(jī)構(gòu)的網(wǎng)絡(luò)安全方案和準(zhǔn)則。必須要求供應(yīng)商證明其員工具備完成其工作和職責(zé)所需的網(wǎng)絡(luò)安全資質(zhì)。必要時(shí)可提供相關(guān)安全政策方面的宣傳培訓(xùn)。加強(qiáng)行業(yè)內(nèi)合作，向供應(yīng)商施壓，讓供應(yīng)商在產(chǎn)品路線圖中增加網(wǎng)絡(luò)安全比重。（五）更換工業(yè)控制系統(tǒng)陷阱意識陷阱意識更換工業(yè)控制系統(tǒng)時(shí)，必須考慮：更換可能需要一些時(shí)間，新的工業(yè)控制系統(tǒng)必須與遺留當(dāng)最后要更換遺留系統(tǒng)時(shí)，應(yīng)考慮引入全套安全選項(xiàng)。不幸的是，工業(yè)控制系統(tǒng)供應(yīng)商可能會交付本來就不安全的產(chǎn)品。在用新的工業(yè)控制系統(tǒng)產(chǎn)品更換舊的系統(tǒng)時(shí)，可能會不知不覺地引入一些操作中并不會用到的新功能，這些功能在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中并沒有經(jīng)過嚴(yán)格配置。這可能會成為黑客及其工具正在尋找的漏洞。最后，全新的工業(yè)控制系統(tǒng)常常會讓系統(tǒng)工程師興奮不已。舊的工業(yè)控制系統(tǒng)已被棄置，并且在大家都沒有注意時(shí)被運(yùn)出。但其中尚未清理的存儲、沒被摧毀或經(jīng)過安全掃描的計(jì)算機(jī)文件可能會使關(guān)鍵流程參數(shù)與配置數(shù)據(jù)落入網(wǎng)絡(luò)攻擊者手中。工業(yè)控制系統(tǒng)供應(yīng)商的產(chǎn)品路線圖顯示，在未來幾年，(SOC)以及云平臺組件上。這些都是工業(yè)控制系統(tǒng)領(lǐng)域的新概念，并且將帶來客戶需要的新功能，但同時(shí)也伴隨新的風(fēng)險(xiǎn)。設(shè)備集成：您的機(jī)構(gòu)可能會遇到在出廠后和安裝前被偽造或改造的工業(yè)控制系統(tǒng)和通信設(shè)備。為了避免這一風(fēng)險(xiǎn)，請您(OEM)特性和軟件來檢查等。五、一同變強(qiáng)（一）工業(yè)控制系統(tǒng)安全社區(qū)為了及時(shí)應(yīng)對網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)，企業(yè)可以與同行或政府這一合作可以在國內(nèi)或全球的某個具體行業(yè)或具體類型的工業(yè)控制系統(tǒng)上進(jìn)行。許多國家現(xiàn)已經(jīng)成立了行業(yè)信息交流和信息共享(ISACSCADA、控(EuroSCSIE)ICS-CERT這些社區(qū)編制了從不同角度應(yīng)對ICS/SCADAICS/SCADA瑞典國家突發(fā)事件署編制的工業(yè)信息和控制系統(tǒng)安全性/ISC基線控制；英國國家基礎(chǔ)設(shè)施保護(hù)中心(CPNI)編制的各種操作規(guī)范文件；SCADA/NIST(ICS)DoESCADA21ICS-CERT（二）信息共享與同行共享工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全相關(guān)信息，能夠幫助企業(yè)提高對系統(tǒng)網(wǎng)絡(luò)威脅的抵御力和數(shù)據(jù)恢復(fù)能力。特定的公共和ISAC(ISAO)OT絡(luò)安全。ICSICS-CERTEuroSCSIE件周期的另一個部分。有關(guān)網(wǎng)絡(luò)安全相關(guān)信息分析方面的指導(dǎo)，可參閱已發(fā)布的《操作規(guī)范》文件。（三）事件響應(yīng)周期工業(yè)控制系統(tǒng)的事件響應(yīng)周期應(yīng)跨越事件管理周期的所有階法務(wù)）跟進(jìn)這幾個階段。每個階段需要在工業(yè)控制系統(tǒng)的安全計(jì)劃以及相關(guān)的組織、程序和技術(shù)措施中予以重視。比如，您的機(jī)構(gòu)決定在內(nèi)部專注于前瞻和預(yù)防活動，并且依靠CERT等分享社區(qū)來提供事件響應(yīng)和修復(fù)階段的支持。您的國家執(zhí)法機(jī)構(gòu)同時(shí)可能收集和為您提供使您能夠中斷或防止事件發(fā)生的情報(bào)。他們可能會提供幫助，從而從事件中獲得可以用于調(diào)查和指控犯人的具體證據(jù)和情況信息。（四）要求和標(biāo)準(zhǔn)企業(yè)發(fā)明的操作規(guī)范可能會被同行們使用。此類規(guī)范在經(jīng)過一些討論后會演變成正式的操作規(guī)范和標(biāo)準(zhǔn)。它們由行業(yè)、國家和國際標(biāo)準(zhǔn)機(jī)構(gòu)發(fā)布。下面我們將討論一些工業(yè)控制系統(tǒng)安全采購和安全運(yùn)行方面的相關(guān)標(biāo)準(zhǔn)和活動。值得一提的是，這些標(biāo)準(zhǔn)可被用于與工業(yè)控制系統(tǒng)領(lǐng)域相關(guān)的產(chǎn)品和服務(wù)。1、ISO/IEC27000該標(biāo)準(zhǔn)規(guī)定了機(jī)構(gòu)如何建立通過統(tǒng)一控制流程安全性管理、基于審核和審查進(jìn)行持續(xù)更新的信息安全管理系統(tǒng)。ISO/IEC27002ISO/IEC27001措施，這些措施被分成訪問控制、通信安全、物理安全、人力資源安全等主題。由于安全控制措施相對抽象，因此它們往往會帶有實(shí)施指導(dǎo)以及如何將控制措施付諸實(shí)踐的建議。企業(yè)可選擇由外部認(rèn)證的審查服務(wù)機(jī)構(gòu)對其ISO/IEC27001ISO/IEC270012013，ISO/IEC27001ISO/IEC9001（質(zhì)量和ISO/IEC2230（商業(yè)持續(xù)性管理ISO/IEC27001其中包括希望獲得應(yīng)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的結(jié)構(gòu)化方案的關(guān)鍵基礎(chǔ)設(shè)施供應(yīng)商。尤其是該標(biāo)準(zhǔn)可以被統(tǒng)一應(yīng)用于各機(jī)構(gòu)的工業(yè)控制系統(tǒng)以及其它IT系統(tǒng)和基礎(chǔ)設(shè)施，從而支持技術(shù)和流程層面的共同安全。ISO/IEC27002系統(tǒng)和應(yīng)用領(lǐng)域所編制的，但在帶有遺留系統(tǒng)和高可用性要求的工業(yè)控制系統(tǒng)領(lǐng)域中實(shí)施絕非易事。這需要具有工業(yè)控制系統(tǒng)和網(wǎng)絡(luò)安全兩個方面的相關(guān)知識。2003ISO/IEC27002的不匹配是安全關(guān)鍵系統(tǒng)方面的一大特殊問題。ISOISO/IEC27019ISO27002控制規(guī)范與工業(yè)控制系統(tǒng)具體情況之間的差異。ISO/IEC27019ISO/IEC27002控制規(guī)范適用范圍延伸至能源行業(yè)設(shè)施中的數(shù)字流程控制系統(tǒng)和自動化技術(shù)。ISO/IECTR27019和熱能生產(chǎn)、存儲和分配的數(shù)字流程控制系統(tǒng)以及配套流程的控制系統(tǒng)。2、國際自動化協(xié)會(ISA)(ISA)面的多套標(biāo)準(zhǔn)。其ISA-99(IEC)ISA/IEC62443ISA/IEC62443技術(shù)報(bào)告以及定義工業(yè)控制系統(tǒng)安全制造、設(shè)計(jì)或管理程序的相關(guān)信息。這些標(biāo)準(zhǔn)被分為四大主題：通用、政策和程序、系統(tǒng)以及組件。ISA-95IEC62264。這一工業(yè)控制系統(tǒng)