2023工業(yè)控制系統(tǒng)安全評估流程

工業(yè)控制系統(tǒng)安全評估流程2024AA目錄CONTENTS目錄綜述 1目標(biāo)定義與系統(tǒng)評定 3目標(biāo)定義 4系統(tǒng)評定與分類 5資產(chǎn)評估 6資產(chǎn)識別與分類 7網(wǎng)絡(luò)拓?fù)鋵彶?8數(shù)據(jù)流審查 8風(fēng)險資產(chǎn)預(yù)篩 8脆弱性評估 9安全策略脆弱性 11架構(gòu)與設(shè)計脆弱性 12配置與維護(hù)脆弱性 12物理環(huán)境脆弱性 13產(chǎn)品開發(fā)過程脆弱性 14通信與配置脆弱性 14風(fēng)險場景構(gòu)建 16威脅評估 17攻擊向量評估 18威脅事件構(gòu)建 19風(fēng)險場景構(gòu)建 20工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全評估流程 BB目錄CONTENTS風(fēng)險計算與緩解策略 25風(fēng)險計算 26風(fēng)險緩解策略制定 28與IT網(wǎng)絡(luò)異同點 28從攻擊發(fā)生三要素出發(fā) 30其他方面 31風(fēng)險緩解策略制定步驟 31驗證與測試 33工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn) 36國外工業(yè)控制系統(tǒng)標(biāo)準(zhǔn)概述 37國內(nèi)工業(yè)控制系統(tǒng)標(biāo)準(zhǔn)概述 41參考文檔 44綜述工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全評估流程 PAGEPAGE2綜述隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，網(wǎng)絡(luò)威脅正在由傳統(tǒng)IT領(lǐng)域向工業(yè)控制系統(tǒng)擴(kuò)散，工業(yè)控制系統(tǒng)信息安全問題日益突出，對工業(yè)生產(chǎn)運行，乃至國家經(jīng)濟(jì)安全造成重大隱患。如何針對這些隱患制定出一套可行的檢測與安全評估方法顯得尤為重要，也是關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域亟待解決的問題。但由于每個企業(yè)的業(yè)務(wù)目標(biāo)和運營環(huán)境多樣化、復(fù)雜化，而制定一套“均碼”的度量標(biāo)準(zhǔn)或者規(guī)范是很艱難的，即使制定出該標(biāo)準(zhǔn)但實施與執(zhí)行后的效果是否理想就不得而知。安全評估存在的問題：合規(guī)并不等于安全。構(gòu)建的理念：在工業(yè)控制系統(tǒng)的功能安全、操作安全、安全防護(hù)措施以及脆弱性的基礎(chǔ)上，構(gòu)建整體性更強(qiáng)、綜合性更高的方法（風(fēng)險場景構(gòu)建），避免零散孤立的合規(guī)核查，對風(fēng)險的“可能性”做出更為準(zhǔn)確的解釋，形成可量化的標(biāo)準(zhǔn)，為制定有針對性的、高效的風(fēng)險緩解措施奠定基礎(chǔ)。這里將嘗試提出一種工業(yè)控制系統(tǒng)安全評估流程的方法論，從技術(shù)層面出發(fā)梳理評估步驟，針對涉及到的技術(shù)點與方法進(jìn)行歸納總結(jié)。本文所提出的安全評估的流程如下圖所示：資產(chǎn)評估脆弱性評估風(fēng)險場景構(gòu)建驗證與測試架構(gòu)與設(shè)計脆弱性安全策略脆弱性配置與維護(hù)脆弱性產(chǎn)品實現(xiàn)的脆弱性物理環(huán)境脆弱性通信與網(wǎng)絡(luò)脆弱性）定義與系統(tǒng)評定工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全評估流程工業(yè)控制系統(tǒng)安全評估流程PAGEPAGE4PAGEPAGE5目標(biāo)定義與系統(tǒng)評定目標(biāo)定義全面的安全評估需要了解系統(tǒng)的相關(guān)組成結(jié)構(gòu)以及相關(guān)聯(lián)的業(yè)務(wù)，從多個方面評估可能存在的風(fēng)險，并通過實施過程進(jìn)行逐步驗證，通過計算模型推導(dǎo)出可能形成的損失。如下圖：人員

統(tǒng)供應(yīng)鏈

管理

風(fēng)險評估考慮因素：// 圖2.1風(fēng)險評估參考架構(gòu) 制定適合自有系統(tǒng)的風(fēng)險度量標(biāo)準(zhǔn)并對識別出的風(fēng)險進(jìn)行評分，對于工業(yè)控制系統(tǒng)來說，需要理清如下問題：?/實現(xiàn)自動化的環(huán)節(jié)有哪些？在生產(chǎn)環(huán)境中部署了哪些系統(tǒng)支持正常生產(chǎn)？工業(yè)控制系統(tǒng)中哪些地方出現(xiàn)異?？赡軙斐奢^大的損失？通過回答這些甚至更多問題，就可知道哪些系統(tǒng)對于實現(xiàn)業(yè)務(wù)/運營目標(biāo)更為關(guān)鍵，哪些系統(tǒng)為輔助性的，同時也明確了這些系統(tǒng)按計劃停止運行后可能導(dǎo)致的后果是什么。確定業(yè)務(wù)/運營目標(biāo)過程：目標(biāo)定義與系統(tǒng)評定2.務(wù) 關(guān)/////2.務(wù) /運營目標(biāo)做出澄清。輸出：/運營目標(biāo)。支撐目標(biāo)的各類系統(tǒng)。系統(tǒng)評定與分類在工業(yè)控制系統(tǒng)環(huán)境中系統(tǒng)的概念為出于一個共同的業(yè)務(wù)/運營目標(biāo)而協(xié)同工作的一組過程設(shè)備、處理裝置、計算機(jī)、調(diào)度策略、運行工藝和組織管理等。如SIS（安全儀表系統(tǒng)）、SCADA（監(jiān)控與數(shù)據(jù)采集系統(tǒng)）、HSE（健康安全和環(huán)境管理系統(tǒng)）、FGS（火氣系統(tǒng)）等。分析與系統(tǒng)相關(guān)聯(lián)的潛在事件和后果系統(tǒng)評定與分類的過程按照以下順序進(jìn)行：分析與系統(tǒng)相關(guān)聯(lián)的潛在事件和后果對目標(biāo)系統(tǒng)做識別與判定對目標(biāo)系統(tǒng)做識別與判定建立后果與業(yè)務(wù)/運營目標(biāo)的關(guān)聯(lián)關(guān)系建立后果與業(yè)務(wù)/運營目標(biāo)的關(guān)聯(lián)關(guān)系根據(jù)關(guān)鍵性對系統(tǒng)進(jìn)行分類與優(yōu)先級排序 圖2.2系統(tǒng)評定與分類過程 根據(jù)關(guān)鍵性對系統(tǒng)進(jìn)行分類與優(yōu)先級排序輸出內(nèi)容為：/運營目標(biāo)的各類系統(tǒng)的分類。根據(jù)關(guān)鍵性對各個系統(tǒng)的優(yōu)先級排序。資產(chǎn)評估工業(yè)控制系統(tǒng)安全評估流程工業(yè)控制系統(tǒng)安全評估流程工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全評估流程 PAGEPAGE7PAGEPAGE10資產(chǎn)識別與分類

資產(chǎn)評估盡可能全面地識別出被評估對象的所有資產(chǎn)，為后續(xù)的評估過程提供關(guān)鍵的信息，但是工業(yè)控制系統(tǒng)中收集資產(chǎn)較為困難，往往會有遺漏，且目前采取的方法一般為訪談式和調(diào)查式，難以保證資產(chǎn)收集的準(zhǔn)確性?？梢試L試通過如下方法進(jìn)行資產(chǎn)識別：查詢采購記錄。查詢資產(chǎn)數(shù)據(jù)庫。初步的資產(chǎn)清單與最新的、最準(zhǔn)確的網(wǎng)絡(luò)拓?fù)溥M(jìn)行交叉驗證。/)。)。依照如上方法對待評估系統(tǒng)識別出的資產(chǎn)做以列舉，形成資產(chǎn)清單表。在列舉工作中最好采用分類的方式為資產(chǎn)進(jìn)行歸類整理，例如可以從如下維度進(jìn)行。 表3.1資產(chǎn)參考表 資產(chǎn)類別資產(chǎn)品牌資產(chǎn)型號詳細(xì)版本其余信息信息軟件硬件系統(tǒng)人員安全意識、安全操作技能等。管理制度人員培養(yǎng)制度、組織架構(gòu)管理、操作站工作指導(dǎo)書、安全規(guī)定等。應(yīng)急體系應(yīng)急生產(chǎn)支撐體系、不可抗力故障支撐體系、突發(fā)性威脅響應(yīng)體系等。備注：在工業(yè)控制系統(tǒng)中使用主動掃描方式發(fā)現(xiàn)資產(chǎn)風(fēng)險較大，建議使用被動掃描的方式或者無損掃描方式進(jìn)行。資產(chǎn)評估網(wǎng)絡(luò)拓?fù)鋵彶樵摬襟E與資產(chǎn)識別步驟可以交叉、比對進(jìn)行，盡可能詳細(xì)地繪制出最新的、最準(zhǔn)確的業(yè)務(wù)/運營目標(biāo)對象網(wǎng)絡(luò)拓?fù)鋱D，梳理清楚設(shè)備、組件等之間的連接關(guān)系。數(shù)據(jù)流審查對照網(wǎng)絡(luò)拓?fù)?，在其基礎(chǔ)上添加數(shù)據(jù)流要素，形成一張動態(tài)的資產(chǎn)、網(wǎng)絡(luò)元、數(shù)據(jù)交互的圖譜，不僅有助于發(fā)現(xiàn)現(xiàn)階段業(yè)務(wù)/運營目標(biāo)對象網(wǎng)絡(luò)中的已知問題（例如信息泄露途徑、非法接入等），還可以作為應(yīng)急響應(yīng)分析過程中的重要輸入資料。風(fēng)險資產(chǎn)預(yù)篩5弱。 表3.2資產(chǎn)等級及含義描述 等級 標(biāo)識 描述5很高非常關(guān)鍵，其安全屬性破壞后可能對組織造成非常嚴(yán)重的損失，損失難以彌補(bǔ)。4高非常重要，其安全屬性破壞后可能對組織造成比較嚴(yán)重的損失，損失較難彌補(bǔ)。3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失，損失可以彌補(bǔ)。2低不太重要，其安全屬性破壞后可能對組織造成較低程度的損失，損失容易彌補(bǔ)。1很低不重要，其安全屬性破壞后對組織造成微弱的損失，甚至可以忽略不計。脆弱性評估工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全評估流程脆弱性評估工業(yè)控制系統(tǒng)安全評估流程脆弱性評估PAGEPAGE10PAGEPAGE11脆弱性評估如果系統(tǒng)足夠健壯，即使再嚴(yán)重的威脅也不會導(dǎo)致安全事件發(fā)生。即威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為脆弱性識別是風(fēng)險評估中最重要的一個環(huán)節(jié)。該環(huán)節(jié)需要識別出系統(tǒng)具有的漏洞，然后與資產(chǎn)、威脅源、攻擊向量等關(guān)聯(lián)起來，分析出系統(tǒng)所面臨的風(fēng)險。工業(yè)控制系統(tǒng)面臨的脆弱性可以從以下幾個方面分析。如下圖：略與與程境與 圖4.1工業(yè)控制系統(tǒng)脆弱面 安全策略脆弱性下表為工業(yè)控制系統(tǒng)中常見的安全策略脆弱性的描述。 表4.1安全策略脆弱性檢查表 脆弱性 描述不完整制系統(tǒng)安全策略制定性。制定策略時，每一項的對抗措施都應(yīng)該在策略中有跡可循，從而確保一致性與可問責(zé)性。安全策略必須將工業(yè)控制系統(tǒng)環(huán)境中使用的便攜設(shè)備與移動設(shè)備考慮在內(nèi)。培訓(xùn)計劃工業(yè)控制系統(tǒng)安全作程序、可能存在的安全威脅、行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和建議措施等內(nèi)容。的安全策略、規(guī)范的操缺失或者不完備備實施指南施指南是安全處置中不可或缺的部分。便獲取。在部分工業(yè)控制系統(tǒng)設(shè)備出現(xiàn)故障情況下，實安全策略實施管理機(jī)制缺失負(fù)責(zé)實施安全策略的工作人員應(yīng)當(dāng)承擔(dān)管理安全策略和安全程序文檔的責(zé)任。有效性審查不完善控制措施運行且達(dá)到滿足工，系統(tǒng)安全要求的其果。這種策略應(yīng)當(dāng)?shù)拿芨鱾€階段/運營目標(biāo)、專業(yè)技術(shù)、方法和獨立程度等內(nèi)容。急預(yù)案對工業(yè)控制系統(tǒng)的應(yīng)可以付諸實施。缺其針對工業(yè)控制系保急預(yù)案可能導(dǎo)致?；蜓娱L生巨大損缺乏配置管理策略存在易受攻擊的漏洞。變更管理的策略和程序可能導(dǎo)致無法對硬件、固件和軟件進(jìn)行管理，并缺乏適當(dāng)?shù)脑L問控制策略式加以構(gòu)建。施取決于策略對角色、職責(zé)和授權(quán)的正確建模。策略模型必須按照機(jī)構(gòu)運轉(zhuǎn)的模缺乏適當(dāng)?shù)纳矸菡J(rèn)證策略能性提高?？紤]到略，控制系統(tǒng)及其工作人員處份）的使用時機(jī)、使致強(qiáng)度和維護(hù)方式應(yīng)該作為工業(yè)控制系統(tǒng)安全的一部分加以制定。關(guān)鍵部件缺乏冗余配置關(guān)鍵部件缺乏冗余可能導(dǎo)致單點故障。脆弱性評估架構(gòu)與設(shè)計脆弱性表4.2架構(gòu)與設(shè)計脆弱性檢查表脆弱性 描述考慮安全因素設(shè)計過程中未安全架構(gòu)是企業(yè)架構(gòu)的一部分，在工業(yè)控制系統(tǒng)架構(gòu)設(shè)計之初，應(yīng)該融合考慮。性機(jī)制實現(xiàn)等問題。決用戶識別與授權(quán)、訪問控制機(jī)制實現(xiàn)、網(wǎng)絡(luò)拓?fù)淅L制、系統(tǒng)配置與完整不斷進(jìn)化的不安全架構(gòu)了基礎(chǔ)設(shè)施中的所帶基礎(chǔ)設(shè)施安全風(fēng)險。隨著時間的推移，安全漏洞可能已經(jīng)無意此帶程在的攻擊向量。未定義的安全邊界署和配置，這可能導(dǎo)致對系統(tǒng)與數(shù)據(jù)的未授權(quán)訪問及其他更多的問題。訪問控制進(jìn)行正確的部量控制網(wǎng)內(nèi)傳輸其他無關(guān)流果同時具有上述兩種類型的網(wǎng)絡(luò)流量，設(shè)計初期應(yīng)該考慮隔離兩者的流量通道。絡(luò)中的服務(wù)中使用非控制網(wǎng)DNS和DHCP等服務(wù)通常部署在IT網(wǎng)絡(luò)，如果在控制網(wǎng)絡(luò)中使用將導(dǎo)致工業(yè)控制系統(tǒng)網(wǎng)絡(luò)依賴于IT網(wǎng)絡(luò)，而IT網(wǎng)絡(luò)并不具備工業(yè)控制系統(tǒng)所需要的可靠性和可用性。歷史數(shù)據(jù)收集不完善安全事件的原因則會導(dǎo)致額外的損失或系統(tǒng)中斷。需要實施常態(tài)化安全監(jiān)控，及時識別安全控制的問題，例如錯誤配置和故障等配置與維護(hù)脆弱性表4.3配置與維護(hù)脆弱性檢查表脆弱性 描述管理、固件與軟件缺乏配置全面，從而導(dǎo)致無效防護(hù)的現(xiàn)狀?；蛘卟徽_的改動影響。件和文檔等對象的控制變更管理，以確保系統(tǒng)在整個過程中免遭不當(dāng)為了對工業(yè)控制系統(tǒng)實施正確的保護(hù)，應(yīng)該能夠準(zhǔn)確地列出系統(tǒng)中資產(chǎn)和當(dāng)前配置信息。修復(fù)漏洞的周期過長昂、耗時甚多的全面回歸測試。更新后的軟件進(jìn)行測試及后續(xù)分發(fā)過長的耗時則可能導(dǎo)致工控制系統(tǒng)在一段相當(dāng)長的時間范圍內(nèi)存在漏洞。漏洞補(bǔ)丁管理無章法定程序并形成文檔。對于使用過時操作系統(tǒng)的工業(yè)控制系統(tǒng)，甚至可能沒有廠家能夠提供可的安全補(bǔ)丁。在這種情況下，處理程序中應(yīng)包含與之對應(yīng)的漏洞緩解應(yīng)急計劃。脆弱性 描述針對安全變更的測試不完善統(tǒng)的正常運行。應(yīng)當(dāng)制定程序形成文檔，保證對可能帶來安全影響的所有改動進(jìn)行測試。針對實時業(yè)務(wù)系統(tǒng)不能開展測試的，需要聯(lián)系系統(tǒng)廠商和集成商協(xié)調(diào)進(jìn)行。遠(yuǎn)程訪問控制機(jī)制薄弱業(yè)控制系統(tǒng)工程師需要狀態(tài)監(jiān)控和生產(chǎn)管理，只要位于不同的地理位置，就需要對工業(yè)控制配置方式不完善，從而增加系統(tǒng)所面放整體風(fēng)險。使用默必通常會暴露機(jī)器的功的，因此應(yīng)或備份鍵配置信息進(jìn)行存儲，以保持系統(tǒng)可用者免數(shù)據(jù)丟失。還，對工業(yè)控制系統(tǒng)配配進(jìn)行的程序并物理環(huán)境脆弱性表4.4物理環(huán)境脆弱性檢查表脆弱性 描述不安全的物理端口不安全的USB接口、PS2接口可能會導(dǎo)致未授權(quán)的連接，例如小型U盤、鍵盤監(jiān)控等程序等。問授權(quán)人員對物理設(shè)備的訪僅限必要的工作人員、維護(hù)數(shù)據(jù)損壞、運行環(huán)境的未授權(quán)變更、物理數(shù)據(jù)鏈路連接中斷、不可檢測的數(shù)據(jù)截獲。電壓電放電、圍涵蓋了從指揮和控制系統(tǒng)的暫時中斷到電路板的永久損壞等諸多后果。建議采取適當(dāng)?shù)钠练雷o(hù)措施，如接地、功率調(diào)節(jié)和浪涌抑制等保護(hù)措施。備用電源缺失危險狀況。電力中斷還可能導(dǎo)致系統(tǒng)恢復(fù)到不安全的默認(rèn)設(shè)置。制系統(tǒng)關(guān)閉，并可能造成其他環(huán)境失控有些處理器則會繼續(xù)以小電壓運行，但可能間歇性錯誤，持續(xù)重啟甚至永久喪失執(zhí)行能力。，脆弱性評估產(chǎn)品開發(fā)過程脆弱性表4.5產(chǎn)品開發(fā)過程脆弱性檢查表脆弱性 描述數(shù)據(jù)驗證不當(dāng)據(jù)可能會導(dǎo)致多種漏洞，包括緩沖區(qū)溢出、命令注入、跨站腳本和路徑遍歷等。性。而無效數(shù)安全功能下未啟用已安裝的會發(fā)揮任何作用。安全功能如果未經(jīng)啟用或至少確認(rèn)為處于禁用狀態(tài)，那么這些安全功能則不配和訪問控制不完善權(quán)限分對組態(tài)和編程軟件的未授權(quán)訪問可能會損壞設(shè)備。硬件研發(fā)中的調(diào)試接口暴露一直保留至工業(yè)現(xiàn)場，對該接口的探索式攻擊可能損壞設(shè)備或造成敏感信息泄露。，且此接口軟件保留調(diào)試版本功能維方法可能會被攻擊者發(fā)現(xiàn)和利用，導(dǎo)致系統(tǒng)被控制。了調(diào)試版本的功能?；诜奖阏{(diào)試的運通信與配置脆弱性表4.6通訊與配置脆弱性檢查表脆弱性 描述未采用數(shù)據(jù)流控制息泄露與非法操作。征的數(shù)據(jù)流控制對系統(tǒng)之間傳輸?shù)男畔⒓右韵拗?。?shù)據(jù)流控制能夠防止信未部署防火墻或者配置不當(dāng)部網(wǎng)絡(luò)的攻擊和惡意代許網(wǎng)絡(luò)中傳播，并絡(luò)感數(shù)據(jù)易被監(jiān)視務(wù)網(wǎng)以人對高權(quán)不完善及路由日志信息記錄日志信息記錄不當(dāng)或者不準(zhǔn)確，可能導(dǎo)致無法確定安全事件發(fā)生的原因。使用公開的明文傳輸協(xié)議letTS擊者能夠更加容易地對工業(yè)控制系統(tǒng)發(fā)起攻擊并操作工業(yè)控制系統(tǒng)網(wǎng)絡(luò)行為。標(biāo)準(zhǔn)用身份認(rèn)證措施或者不據(jù)重放、篡改或欺騙，還會導(dǎo)致設(shè)備欺騙，如傳感器和用戶身份標(biāo)識符等設(shè)備。有可能導(dǎo)致數(shù)使用不安全的工業(yè)控制協(xié)議數(shù)據(jù)免遭未授權(quán)訪問或者協(xié)議數(shù)據(jù)篡改。乏信內(nèi)容完整性檢查機(jī)制缺據(jù)。為了確保完整性，工業(yè)控制系統(tǒng)可以使用提供數(shù)據(jù)完整性保護(hù)功能的底層協(xié)議。作通信數(shù)脆弱性 描述認(rèn)證機(jī)制不完善入點之間的接入點，并且確保攻擊者無法連接到工業(yè)控制系統(tǒng)中的任何網(wǎng)絡(luò)。會連接到攻擊者部署的非法數(shù)據(jù)保護(hù)措施不完善之間的數(shù)據(jù)的未授權(quán)訪問。護(hù)無線客戶端和接入點之間傳輸?shù)拿舾袛?shù)據(jù)，確保攻擊者無法實現(xiàn)對加密風(fēng)險場景構(gòu)建工業(yè)控制系統(tǒng)安全評估流程風(fēng)險場景構(gòu)建工業(yè)控制系統(tǒng)安全評估流程風(fēng)險場景構(gòu)建工業(yè)控制系統(tǒng)安全評估流程 風(fēng)險場景構(gòu)建工業(yè)控制系統(tǒng)安全評估流程 風(fēng)險場景構(gòu)建PAGEPAGE17PAGEPAGE18構(gòu)建風(fēng)險場景有助于精準(zhǔn)識別風(fēng)險來源，描述與風(fēng)險相關(guān)的各個向量。風(fēng)險場景的模型見下圖所示。后果影響攻擊向量 圖5.1風(fēng)險場景 威脅事件（攻擊事件）包含以下幾個要素：威脅源，對脆弱性加以利用的攻擊向量，存在脆弱性的目標(biāo)對象。為了構(gòu)建風(fēng)險場景，需要將以上場景進(jìn)行拆解分析，從威脅評估，攻擊向量評估、威脅事件構(gòu)建、風(fēng)險場景構(gòu)建依次漸進(jìn)展開，得到最終的風(fēng)險場景。威脅評估威脅源是一個完整事件必不可少的因素，在進(jìn)行威脅評估時，首先需要識別存在哪些威脅源，同時分析這些威脅源的動機(jī)和能力。通常工業(yè)控制系統(tǒng)的威脅來源可分為非人為和人為的威脅，非人為安全威脅主要指來自環(huán)境因素的威脅，人為的安全威脅從威脅動機(jī)來看，又可細(xì)分為非惡意行為和惡意攻擊行為。不同的威脅源具有不同的攻擊能力，攻擊者的能力越強(qiáng)，攻擊成功的可能性就越大。衡量攻擊能力主要包括：施展攻擊的知識、技能、經(jīng)驗和必要的資金、人力和技術(shù)資源等。表5.1工業(yè)控制系統(tǒng)常見威脅源描述威脅源 威脅動機(jī)及造成后果描述環(huán)境因素內(nèi)部人員內(nèi)部人員威脅包括組織內(nèi)部人員沒有運維人員、外購產(chǎn)品的供應(yīng)商。位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。規(guī)章制度和操作流程、缺乏培訓(xùn)、專業(yè)技能不足、不具備崗許不受限制的訪問系統(tǒng)，機(jī)犯比外部的來擊者有更攻擊攻擊機(jī)會，因此不具有太多計算機(jī)入黑客術(shù)能力，卻可以從互聯(lián)挑戰(zhàn)下載易于者用且破壞界里的攻擊腳本和協(xié)議，向攻發(fā)起攻并且他們惡意軟件的作者件或硬件驅(qū)動器、控制關(guān)鍵過程、開啟執(zhí)行程序以及控制系統(tǒng)所控制的設(shè)備等。惡意軟件會損害系統(tǒng)文恐怖分子壞民眾的士氣與信心?；蚶肿涌赡艿A(chǔ)用釣魚網(wǎng)脅惡意軟件來獲取資金員敏感信也可能會工業(yè)間諜工業(yè)間諜通過暗中活動的方式企圖獲取有價值的情報資產(chǎn)和技術(shù)秘密。境外國家力量竊取組織且可能在必要時實施高隱蔽性和高破壞性的分布式攻擊，攻擊向量評估工業(yè)控制系統(tǒng)常見的攻擊向量如下表所示：表5.2工業(yè)控制系統(tǒng)常見攻擊向量檢查表訪問向量 可能的攻擊向量網(wǎng)絡(luò)（WIFI以及其他無線電連接方式，HART、ZigBee、衛(wèi)星鏈路等。工業(yè)控制系統(tǒng)及設(shè)備其他設(shè)備、控制器等。應(yīng)用程序動態(tài)鏈接庫等（Web界面物理訪問USB接口、串口以及其他數(shù)據(jù)端口（SATA、HDMI、DisplayPort等）。鍵盤或者鼠標(biāo)輸入（來自攻擊者）。訪問向量 可能的攻擊向量人員/用戶電子郵件與社交媒體?？蛻舳藨?yīng)用程序，如電子郵件客戶端、瀏覽器等。供應(yīng)鏈應(yīng)用程序或固件代碼篡改。威脅事件構(gòu)建: 表5.3工業(yè)控制系統(tǒng)常見威脅檢查表 資產(chǎn)類別 攻擊類型網(wǎng)絡(luò)設(shè)備VLAN躍進(jìn)或跳躍。生成樹協(xié)議攻擊。MIB讀、寫。Web服務(wù)端服務(wù)器擴(kuò)展攻擊文件包含（本地和遠(yuǎn)程）。Web客戶端JavaScript活動腳本攻擊。Cookie跨站腳本攻擊。SQL跨框架或跨域攻擊。主機(jī)拒絕服務(wù)攻擊。。令提取、運行在設(shè)備上的應(yīng)用程序緩沖區(qū)溢出攻輸入驗證攻擊。洞攻擊。件、頁面文件交換攻人員/用戶坑攻擊。擊。結(jié)合以上表格列舉的常見攻擊類型，構(gòu)建出的威脅事件如下表所示（舉例展示）。 表5.4設(shè)備威脅示例 項目 描述威脅源國家資助的攻擊者/內(nèi)部人員/前內(nèi)部人員/惡意代碼攻擊類型棧緩沖區(qū)溢出攻擊向量Web界面/本地網(wǎng)絡(luò)脆弱性（漏洞）CVE-2016-0868目標(biāo)對象Allen-BradleyMicroLogix1100風(fēng)險場景構(gòu)建常見的工業(yè)控制系統(tǒng)攻擊手法常見案例：威脅事件構(gòu)建攻擊手法刻畫潛在后果源威脅事件構(gòu)建攻擊手法刻畫潛在后果源量性型象 圖5.2風(fēng)險場景構(gòu)建要素與過程 以下為常見工業(yè)控制系統(tǒng)攻擊手法刻畫案例： 表5.5工業(yè)控制系統(tǒng)常見攻擊方法 資產(chǎn)/系統(tǒng)攻擊手法刻畫工業(yè)控制系統(tǒng)網(wǎng)絡(luò)通過掃描與枚舉方法探測所使用的工業(yè)控制系統(tǒng)設(shè)備、工作站和協(xié)議。通過網(wǎng)絡(luò)嗅探獲取認(rèn)證信息。通過嗅探數(shù)據(jù)包對其進(jìn)行逆向分析獲取工業(yè)控制系統(tǒng)協(xié)議信息。記錄或重放工業(yè)控制系統(tǒng)網(wǎng)絡(luò)流量以嘗試更改設(shè)備行為。注入數(shù)據(jù)或數(shù)據(jù)包以嘗試更改設(shè)備行為。偽造、欺騙工業(yè)控制系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)包以嘗試更改設(shè)備行為或者人機(jī)界面顯示畫面?？刂破鳙@取遠(yuǎn)程訪問或者控制權(quán)限。修改配置以更改控制器行為。修改控制算法以更改控制器行為。I/O數(shù)據(jù)以更改控制算法的結(jié)果。修改控制器固件以更改控制器行為。使用欺騙性指令以更改控制器行為（通過網(wǎng)絡(luò)協(xié)議）。降級攻擊、拒絕服務(wù)攻擊。持久駐留（惡意代碼）。工程師、操作員站權(quán)限提升。獲取遠(yuǎn)程訪問或者權(quán)限。復(fù)制或泄露敏感信息。修改或刪除信息（XML文件）修改存儲配置信息。持續(xù)駐留（惡意代碼）。人員或用戶迫使工作人員獲取信息。誘騙工作人員犯錯或做出不當(dāng)操作。法上表描述的僅為部分工業(yè)控制系統(tǒng)常見的攻擊手法刻畫，不包含全部工業(yè)控制系統(tǒng)或者全部攻擊手法，因為攻擊手法隨著攻擊能力的增強(qiáng)而提高，也會根據(jù)所處環(huán)境的不同而有所變化。表中所列出的是整個行業(yè)在報告中最常出現(xiàn)且接受程度較高的攻擊手法刻畫案例，可以作為風(fēng)險場景構(gòu)建的參考。下表將列舉主要工業(yè)控制系統(tǒng)遭受攻擊的潛在后果案例，同樣僅是列舉常見的接受程度較高的案例。工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全評估流程風(fēng)險場景構(gòu)建工業(yè)控制系統(tǒng)安全評估流程風(fēng)險場景構(gòu)建PAGEPAGE22PAGEPAGE23風(fēng)險場景構(gòu)建除此外還需要考慮評估范圍內(nèi)的IT資產(chǎn)如路由器、交換機(jī)等，這部分需要參考其他方面的文檔。 表5.6工業(yè)控制系統(tǒng)遭受攻擊的影響 目標(biāo)對象潛在后果控制器控制器處于故障狀態(tài)。過程退化、過程故障。過程控制中斷。過程圖像中斷。各類數(shù)據(jù)損壞無參考價值。工程師/操作員站工廠陷入混亂或停工。工廠啟動延遲。機(jī)械損壞或被蓄意破壞。操作員圖像界面的未授權(quán)操作。過程操作的不當(dāng)響應(yīng)。工業(yè)控制系統(tǒng)數(shù)據(jù)庫的未授權(quán)改動。臨界狀態(tài)、報警閾值的未授權(quán)改動。存在缺陷的固件未授權(quán)分發(fā)。工業(yè)控制系統(tǒng)設(shè)備的未授權(quán)啟動、關(guān)閉。過程、工廠信息泄露。工業(yè)控制系統(tǒng)設(shè)計或應(yīng)用程序認(rèn)證信息泄露。工業(yè)控制系統(tǒng)訪問控制機(jī)制的未授權(quán)改動。對大多數(shù)工業(yè)控制系統(tǒng)資產(chǎn)的未授權(quán)訪問（跳板攻擊）。工業(yè)實時歷史數(shù)據(jù)庫對過程或批處理記錄的操作。認(rèn)證信息泄露（業(yè)務(wù)、控制）對其他資產(chǎn)的未授權(quán)訪問（MES、ERP等的跳板攻擊）。對其他業(yè)務(wù)資產(chǎn)的未授權(quán)訪問（跳板攻擊）。功能安全系統(tǒng)工廠停工。環(huán)境影響。人身傷亡。產(chǎn)品質(zhì)量下降。公司聲譽(yù)受損。分析儀及管理系統(tǒng)產(chǎn)品質(zhì)量下降、生產(chǎn)損失、收入損失、產(chǎn)品召回等。依照上述的工業(yè)控制系統(tǒng)常見攻擊手法案例與潛在后果，聯(lián)同威脅事件便可以展示一個基本的風(fēng)險場景。如下表：表5.7PLC設(shè)備風(fēng)險場景示例項目 描述威脅源國家資助的攻擊者/內(nèi)部人員/前內(nèi)部人員/惡意代碼攻擊類型棧緩沖區(qū)溢出攻擊向量Web界面/本地網(wǎng)絡(luò)脆弱性（漏洞）CVE-2016-0868目標(biāo)對象Allen-BradleyMicroLogix1100攻擊手法執(zhí)行任意代碼。獲取完整的控制權(quán)限。修改配置以改變過程行為。潛在后果控制器處于故障狀態(tài)。過程控制中斷。過程故障。數(shù)據(jù)信息受損。裝備損壞或被蓄意破壞。表5.8工程師站風(fēng)險場景示例項目 描述威脅源國家資助的攻擊者/內(nèi)部人員/前內(nèi)部人員/惡意代碼攻擊類型內(nèi)核模式驅(qū)動攻擊導(dǎo)致的內(nèi)存損壞。攻擊向量在web界面通過以下方式打開惡意文件：USB/網(wǎng)絡(luò)/鄰接網(wǎng)絡(luò)/互聯(lián)網(wǎng)。脆弱性（漏洞）CVE-2016-0005/CVE-2016-0008/CVE-2016-0009目標(biāo)對象運行Windows7SP1及IE瀏覽器的工程師站PCDENG-0024。攻擊手法執(zhí)行任意代碼。獲取管理員控制權(quán)限。利用跳板實施對其他工業(yè)控制系統(tǒng)的資產(chǎn)攻擊。對操作員圖像界面的未授權(quán)操作。獲取其他工業(yè)控制系統(tǒng)資產(chǎn)的直接控制權(quán)限。潛在后果機(jī)械損壞或被蓄意破壞。；對過程操作的不當(dāng)響應(yīng)。臨界狀態(tài)、報警閾值的未授權(quán)改動。工業(yè)控制系統(tǒng)未授權(quán)啟動、關(guān)閉。對工業(yè)控制系統(tǒng)資產(chǎn)的未授權(quán)訪問（跳板攻擊）。風(fēng)險場景構(gòu)建分析與推演。如下表所示： 表5.9帶有關(guān)聯(lián)攻擊向量的設(shè)備風(fēng)險場景示例 項目 描述威脅源國家資助的攻擊者/內(nèi)部人員/前內(nèi)部人員/惡意代碼攻擊類型棧緩沖區(qū)溢出攻擊向量Web界面/本地網(wǎng)絡(luò)/工程師站PCDENG-0024脆弱性（漏洞）CVE-2016-0868目標(biāo)對象Allen-BradleyMicroLogix1100攻擊手法執(zhí)行任意代碼。獲取完整的控制權(quán)限。修改配置以改變過程行為。潛在后果控制器處于故障狀態(tài)。過程控制中斷。過程故障。數(shù)據(jù)信息受損。裝備損壞或被蓄意破壞。因此，在大多數(shù)情況下，將存在已知漏洞的資產(chǎn)或者同危險系數(shù)較高資產(chǎn)存在關(guān)聯(lián)關(guān)系的資產(chǎn)列舉為攻擊向量是很有必要的。至此，已經(jīng)初步完成了工業(yè)控制系統(tǒng)中針對目標(biāo)對象的風(fēng)險場景構(gòu)建，但整個評估過程中不僅要跟蹤單個資產(chǎn)的每個風(fēng)險場景，還要建立這些風(fēng)險場景之間彼此關(guān)聯(lián)的整體關(guān)系，形成一個整體架構(gòu)范圍內(nèi)的風(fēng)險場景矩陣，從而使分析人員能夠站在更加全面地視角了解整體的攻擊面及其安全狀態(tài)。計算與緩解策略工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全評估流程風(fēng)險計算與緩解策略工業(yè)控制系統(tǒng)安全評估流程風(fēng)險計算與緩解策略PAGEPAGE26PAGEPAGE27風(fēng)險計算與緩解策略風(fēng)險場景建立后就明確了目標(biāo)對象所面臨的的風(fēng)險點，但是如何計算各個風(fēng)險場景的對應(yīng)估值，并且通過針對高風(fēng)險點的風(fēng)險場景有策略地實施防護(hù)部署來降低風(fēng)險，下面將會進(jìn)行分析。首先了解風(fēng)險計算模型，如下圖所示：后果影響 圖6.1風(fēng)險計算模型 風(fēng)險場景都需要進(jìn)行量化評估。這一過程使用諸如通用漏洞評分系統(tǒng)（CVSS）之類的量化工具來,還需要結(jié)合經(jīng)濟(jì)成本、技術(shù)成本等風(fēng)險計算風(fēng)險計算的本質(zhì)是針對風(fēng)險場景，按照一套參與項目人員均認(rèn)可的標(biāo)準(zhǔn)，給出一個數(shù)值，并按照數(shù)值進(jìn)行優(yōu)先級排序。因此風(fēng)險計算的方法只要符合以上要素，盡可能選取可接受、簡單易操作、無繁雜運算的方法才是最有效的方法。發(fā)提出一種簡便的方法，結(jié)合簡單公式計算得出風(fēng)險估值。下表列舉出風(fēng)險場景評分的標(biāo)準(zhǔn)要素： 表6.1風(fēng)險場景評分要素 評分維度 描述目標(biāo)對象=>關(guān)鍵性段的等級排序。產(chǎn)評估階段確定出每項資產(chǎn)或系統(tǒng)的關(guān)鍵性評分，可參考風(fēng)險資產(chǎn)預(yù)篩階脆弱性（漏洞）=>嚴(yán)重性CVE發(fā)布的漏洞公告進(jìn)行評級。風(fēng)險場景=>可能性使用CVSS工具時效度量指標(biāo)評分（可利用性）進(jìn)行評估。后果所造成的影響在系統(tǒng)評定階段確定每個系統(tǒng)對應(yīng)的影響評分。通常使用標(biāo)準(zhǔn)的CVSS評分對漏洞嚴(yán)重性進(jìn)行評級，評級結(jié)果為1~10。目標(biāo)對象關(guān)鍵性、風(fēng)險場景的可能性和影響取值范圍為1~5。假設(shè)在風(fēng)險評分過程中對每個要素賦予相同的權(quán)重，則總體風(fēng)險評分的取值介于1~10之間，可以使用以下公式進(jìn)行風(fēng)險計算：風(fēng)險值=

4（也指風(fēng)險評分用戶可使用符合自己需求的任意計算公式，并且對要素權(quán)重根據(jù)實際情況進(jìn)行賦值。根據(jù)以上計算公式可對前述PLC設(shè)備風(fēng)險場景進(jìn)行評分計算：查找脆弱性（漏洞）9.89.8。33。2.52.5。33。風(fēng)險值=

4

=6.7至此完成了風(fēng)險場景的構(gòu)建與評分，如下表所示，其中列舉出了存在漏洞的資產(chǎn)、與資產(chǎn)關(guān)聯(lián)的漏洞和攻擊向量、威脅源及其攻擊方式、潛在后果和影響，并對這些內(nèi)容進(jìn)行了評分。接下來討論如何制定風(fēng)險的緩解措施。工業(yè)控制系統(tǒng)安全評估流程 風(fēng)險計算與緩解策略工業(yè)控制系統(tǒng)安全評估流程 風(fēng)險計算與緩解策略工業(yè)控制系統(tǒng)安全評估流程風(fēng)險計算與緩解策略工業(yè)控制系統(tǒng)安全評估流程風(fēng)險計算與緩解策略PAGEPAGE28PAGEPAGE29 表6.2應(yīng)用風(fēng)險評分實例 項目 描述威脅源國家資助的攻擊者/內(nèi)部人員/前內(nèi)部人員/惡意代碼攻擊類型棧緩沖區(qū)溢出攻擊向量Web界面/本地網(wǎng)絡(luò)/工程師站PCDENG-0024脆弱性（漏洞）CVE-2016-0868目標(biāo)對象Allen-BradleyMicroLogix1100攻擊手法執(zhí)行任意代碼。獲取完整的控制權(quán)限。修改配置以改變過程行為。潛在后果控制器處于故障狀態(tài)。過程控制中斷。過程故障。數(shù)據(jù)信息受損。裝備損壞或被蓄意破壞。脆弱性驗證程度：9.8資產(chǎn)關(guān)鍵性：3風(fēng)險發(fā)生可能性：2.5影響：3風(fēng)險值：6.7 風(fēng)險緩解策略制定工業(yè)控制系統(tǒng)的風(fēng)險緩解策略制定時建議綜合以下幾個方面進(jìn)行考慮：IT網(wǎng)絡(luò)的異同點。從攻擊發(fā)生的三要素出發(fā)。其他方面出發(fā)。IT網(wǎng)絡(luò)異同點從網(wǎng)絡(luò)、主機(jī)、物理訪問三個方面探討工業(yè)控制系統(tǒng)需要考慮的特殊情況。表6.3基于網(wǎng)絡(luò)的工業(yè)控制系統(tǒng)特殊考慮點特殊考慮點 描述內(nèi)部地址空間用法在工業(yè)控制系統(tǒng)環(huán)境中請勿使用僅通過互聯(lián)網(wǎng)就可路由到的IP地址。隔離網(wǎng)絡(luò)物理隔離并不意味著不受攻擊。雙宿網(wǎng)絡(luò)護(hù)措施，例如網(wǎng)絡(luò)隔離可能會受到雙宿網(wǎng)絡(luò)的影響。務(wù)網(wǎng)，但這種配置往往會削弱安全防徑據(jù)網(wǎng)絡(luò)與控制網(wǎng)絡(luò)的通信路應(yīng)該嚴(yán)格限制對工業(yè)控制系統(tǒng)的訪問，工業(yè)控制系統(tǒng)資產(chǎn)和設(shè)備也應(yīng)禁止訪問互聯(lián)網(wǎng)。網(wǎng)絡(luò)安全設(shè)備利影響。部署工業(yè)防火墻、IDS等設(shè)備，但過于嚴(yán)格的安全措施有可能對生產(chǎn)環(huán)境帶來不聯(lián)網(wǎng)的工業(yè)控制設(shè)備基于IP協(xié)議的工業(yè)控制設(shè)備在設(shè)計上安全性不強(qiáng)，無法經(jīng)受傳統(tǒng)IT環(huán)境下的測試。聯(lián)網(wǎng)的工業(yè)控制應(yīng)用程序程序會請求防火墻開放大范圍端口以保證程序數(shù)據(jù)通過防火墻。策略的設(shè)計特性，如某些表6.4基于主機(jī)的工業(yè)控制系統(tǒng)特殊考慮點特殊考慮點 描述補(bǔ)丁策略可，以免給工業(yè)控制系統(tǒng)補(bǔ)丁，此外補(bǔ)丁程序也需要經(jīng)過廠商的許重啟計劃控制系統(tǒng)資產(chǎn)不能像傳統(tǒng)求重啟，而大多數(shù)工業(yè)備份策略保采用適當(dāng)?shù)姆绞綄@些數(shù)據(jù)進(jìn)行定期備份。程、生產(chǎn)監(jiān)管報告而言非常關(guān)鍵的數(shù)據(jù)，確主機(jī)部署方式程必須嚴(yán)格按照廠商建議進(jìn)行。在主機(jī)中安裝的操作系統(tǒng)與補(bǔ)丁包非常敏感，并且安裝過故障轉(zhuǎn)移程序移機(jī)制和程序是防止被入侵的主要系統(tǒng)遭受拒絕服務(wù)式攻擊的重要防護(hù)手段。效的故障轉(zhuǎn)使用的操作系統(tǒng)說非常重要。例如的境中用的系統(tǒng)版本中存在的漏洞，尤其是那些已經(jīng)停止WindowsXP表6.5基于物理訪問的工業(yè)控制系統(tǒng)特殊考慮點特殊考慮點 描述對工業(yè)控制系統(tǒng)環(huán)境運行非常關(guān)鍵的IT/非IT表6.5基于物理訪問的工業(yè)控制系統(tǒng)特殊考慮點特殊考慮點 描述對工業(yè)控制系統(tǒng)環(huán)境運行非常關(guān)鍵的IT/非IT基礎(chǔ)設(shè)施應(yīng)當(dāng)設(shè)置權(quán)限。物理設(shè)備部署對操作間的出入口上鎖。對部署設(shè)備的機(jī)柜上鎖。設(shè)置工業(yè)控制系統(tǒng)設(shè)備的物理訪問權(quán)限。設(shè)置工業(yè)控制系統(tǒng)IT計算機(jī)的物理訪問權(quán)限。使用雙因子認(rèn)證感應(yīng)卡。一次成功的攻擊三要素包含威脅、利用工具、脆弱性（漏洞）。類比于滅火，只要去掉燃燒中的任一要素即可滅火，那么只要去掉攻擊中的任何一個要素就可以降低遭受攻擊的風(fēng)險。完全清除現(xiàn)實中的漏洞利用工具是不可能的，但是了解實施哪些措施以及如何部署這些措施最有效，能夠幫助用戶抵御風(fēng)險或者將風(fēng)險降為最低還是有意義的，了解工具的原理及其利用的依賴點就可以有針對性的部署抵御措施。完全清除威脅也是不可能的，除了內(nèi)部威脅還有大量的外部威脅。面對這樣的威脅，簡單的清除思路是行不通的。然而了解這些威脅的運作方式，研究威脅機(jī)構(gòu)的活動目標(biāo)等信息，則可以幫助用戶了解攻擊者會在什么時候采用什么方式發(fā)起攻擊，從而實現(xiàn)針對風(fēng)險的最優(yōu)化防御部署。阻止對漏洞的利用是在攻擊三要素場景中唯一可真正控制的因素了。清除漏洞主要有以下方法。表6.6清除漏洞的方法方法 具體細(xì)節(jié)限制權(quán)限配置，利用最小權(quán)限和最小路由理念實施。限制對系統(tǒng)或漏洞的訪問應(yīng)用程序或進(jìn)程白名單或黑名單技術(shù)。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)協(xié)議監(jiān)測。部署連接中央控制區(qū)與現(xiàn)場區(qū)域的工業(yè)控制系統(tǒng)堡壘主機(jī)。在IT系統(tǒng)與工業(yè)控制系統(tǒng)之間部署單向網(wǎng)關(guān)。電子郵件和文件的訪問限制。物理環(huán)境的訪問限制、接口訪問限制。軟件程序修復(fù)。清除漏洞系統(tǒng)補(bǔ)丁更新。不安全配置項修復(fù)。其他方面除了幾個明顯的直接與工業(yè)控制系統(tǒng)安全相關(guān)的影響因素或解決思路外，還有一些經(jīng)常被忽視的情況，在此也將該部分內(nèi)容引出，期望為用戶帶來緩解風(fēng)險的更多思路。系統(tǒng)集成問題安全是一個整體,安全問題可能是各個子系統(tǒng)協(xié)同工作時引起的。合規(guī)性與安全性很難獲得資金支持來部署相應(yīng)的設(shè)備。風(fēng)險轉(zhuǎn)移風(fēng)險處置機(jī)制的一種經(jīng)典方式是與其他實體分擔(dān)風(fēng)險（風(fēng)險轉(zhuǎn)移）。部署蜜罐;;,從而集成進(jìn)入侵檢測系統(tǒng)。風(fēng)險緩解策略制定步驟結(jié)合目標(biāo)對象和制定風(fēng)險緩解策略時考慮的因素，給出針對風(fēng)險的緩解策略可執(zhí)行的參考步驟如下：行估算侵答案解 圖6.2緩解策略執(zhí)行步驟 通過已知數(shù)據(jù)需要回答的問題包含：總預(yù)算數(shù)額？哪些是最關(guān)鍵且最易于暴露的資產(chǎn)？入侵產(chǎn)生的總體成本或影響如何？入侵成功的可能性有多大？風(fēng)險緩解的成本會超過風(fēng)險帶來的損失嗎？驗證與測試工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全評估流程工業(yè)控制系統(tǒng)安全評估流程PAGEPAGE34PAGEPAGE35驗證與測試通常安全評估過程在制定了對應(yīng)的緩解措施和安全建議后就告一段落，但這個流程在閉環(huán)體系中是存在問題的。構(gòu)建了風(fēng)險場景，場景的問題是否一定存在？制定了緩解措施或者安全建議，這些建議是否奏效？這些都無從確認(rèn)，即針對整個過程缺乏驗證，沒有測試驗證的方案與建議都是自說自話，不能構(gòu)成閉環(huán)反饋。因此驗證測試環(huán)節(jié)在整個安全評估流程中是必不可少的。資產(chǎn)評估脆弱性評估風(fēng)險場景構(gòu)建驗證與測試） 圖7.1安全評估流程圖 針對風(fēng)險場景構(gòu)建階段的測試與驗證的目的是通過測試驗證風(fēng)險場景，了解并預(yù)測脆弱點被利用的難易程度以及發(fā)起攻擊的可能性，從而提高風(fēng)險緩解策略的針對性與效率。針對風(fēng)險計算與緩解策略部署階段的測試與驗證的目的是通過測試驗證緩解策略的部署判定是否可抵御對應(yīng)的攻擊類型，是否起到了預(yù)期的作用。如果沒起到作用證明該緩解策略或者方案是失敗的，也可以理解為修改BUG后的回歸測試。例如針對PLC設(shè)備風(fēng)險場景構(gòu)建示例中，在構(gòu)建完成后要驗證現(xiàn)場使用的Allen-BradleyMicroLogix1100設(shè)備是否真正存在該漏洞，是否可以將工程師站點作為跳板訪問PLC，是否能執(zhí)行任意代碼或者獲取控制權(quán)限等問題。驗證與測試當(dāng)完成風(fēng)險緩解策略制定后，需要驗證應(yīng)用了緩解策略或者部署防御方案后是否還可以訪問到Allen-BradleyMicroLogix1100設(shè)備，這個設(shè)備是否已經(jīng)不存在評估中的漏洞，是否不再能任意執(zhí)行代碼等。再次重新對風(fēng)險場景進(jìn)行評分計算，核查最優(yōu)策略與方案是否明顯降低了風(fēng)險值。只有添加了測試與驗證這個環(huán)節(jié)，并且將這個環(huán)節(jié)貫穿至整個安全評估的重點過程中，才可以構(gòu)成閉環(huán)，才可以說安全評估做的較為到位?？刂葡到y(tǒng)安全標(biāo)準(zhǔn)工業(yè)控制系統(tǒng)安全評估流程工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)工業(yè)控制系統(tǒng)安全評估流程工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全評估流程 PAGEPAGE37PAGEPAGE38標(biāo)準(zhǔn)是促進(jìn)全球貿(mào)易、技術(shù)、環(huán)境、社會等可持續(xù)發(fā)展的重要支撐，是各國參與國際規(guī)則制定的重要途徑，是一種層次更深、水平更高、影響更大的競爭。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的競爭更是明顯，誰占據(jù)了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制高點，誰就可以在網(wǎng)絡(luò)安全博弈中贏得先機(jī)、掌握主動。因此在闡述了安全評估流程后很有必要就工業(yè)控制系統(tǒng)的國內(nèi)外標(biāo)準(zhǔn)做以梳理，以澄清現(xiàn)在整個行業(yè)的標(biāo)準(zhǔn)現(xiàn)狀。國外工業(yè)控制系統(tǒng)標(biāo)準(zhǔn)概述國外工業(yè)控制系統(tǒng)相關(guān)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)比較多，歐美等國家從地區(qū)或者不同角度來闡述對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的要求和主張，近年來針對工業(yè)控制系統(tǒng)的安全標(biāo)準(zhǔn)數(shù)量正在顯著增加。與工業(yè)控制相關(guān)的安全標(biāo)準(zhǔn)主要包括以下：美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）制定的工業(yè)控制系統(tǒng)安全指南（NISTSP800-82）。/IEC62443《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標(biāo)準(zhǔn)。北美電力可靠性委員會（NERC）制定的關(guān)鍵設(shè)施保護(hù)可靠性標(biāo)準(zhǔn)，北美大電力系統(tǒng)可靠性規(guī)范（NERCCIP002–009）。美國石油協(xié)會（API）SCADA安全（API1164）和石油工業(yè)安全指南。美國國土安全部（DHS）制定的化工設(shè)備反恐主義標(biāo)準(zhǔn)，及中小規(guī)模能源設(shè)施風(fēng)險管理核查事項等。美國核能管理委員會（NRC）制定的核設(shè)施網(wǎng)絡(luò)安全措施（RegulatoryGuide5.71）。美國核能研究所（NEI）08-09標(biāo)準(zhǔn)。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）NISTSP800-53建議。M/490標(biāo)準(zhǔn)化要求（EUM/490）和智能電網(wǎng)協(xié)調(diào)小組（SGGG）對現(xiàn)代電力系統(tǒng)提出的指南建議。歐盟網(wǎng)絡(luò)與信息安全局提出的多項指南。NISTSP800-82、IEC62443NERCCIPNISTSP800-工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)82、IEC62443應(yīng)用在所有使用工業(yè)控制系統(tǒng)的行業(yè)中，而NERCCIP主要應(yīng)用在電力行業(yè)、石油與天然氣行業(yè)。NISTSP800-82工業(yè)控制系統(tǒng)（ICS）的安全指南，其目的是為工業(yè)控制系統(tǒng)（ICS），包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS），以及其它系統(tǒng)的控制功能提供指導(dǎo)。文件提供了一個概述，ICS和典型系統(tǒng)拓?fù)浣Y(jié)構(gòu)，確定這些系統(tǒng)的典型威脅和脆弱性，并提供建議的安全對策，以減輕相關(guān)風(fēng)險。其中主要內(nèi)容包括：對工業(yè)控制系統(tǒng)威脅和漏洞的更新。對工業(yè)控制系統(tǒng)風(fēng)險管理、實踐建議及架構(gòu)更新。對工業(yè)控制系統(tǒng)安全中當(dāng)前活動的更新。對工業(yè)控制系統(tǒng)中安全功能和工具的更新。與其他工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)和指南保持一致的相關(guān)調(diào)整。NISTSP800-82指南是許多使用工業(yè)控制系統(tǒng)企業(yè)安全標(biāo)準(zhǔn)的基線，并且被很多其他出版物廣泛引用。該標(biāo)準(zhǔn)自創(chuàng)建以來，經(jīng)過漫長的演變至今已發(fā)展成為一項較為全面地工業(yè)控制安全標(biāo)準(zhǔn)，是很有價值的參考資料。IEC-62443IEC/TC6520039IEC/SC65C/WG13工作組研究制定工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)問題。IEC2005IEC/TC65/WG10工作組，專門進(jìn)行“系統(tǒng)及網(wǎng)絡(luò)信息安全”的標(biāo)準(zhǔn)制定工作，并在2006年第一次發(fā)布IEC-62443的標(biāo)準(zhǔn)。IEC-62443標(biāo)準(zhǔn)的中心思想是如何對工業(yè)控制系統(tǒng)的產(chǎn)品開發(fā)、產(chǎn)品集成、實施和運維等全生命周期環(huán)節(jié)中實現(xiàn)和評價相關(guān)角色的網(wǎng)絡(luò)安全能力。IEC-62443的重點不是安全技術(shù)，而是對安全能力的評估，所以其核心內(nèi)容是“網(wǎng)絡(luò)安全保證等級SAL”的評價模型。通用通用縮寫詞匯表合規(guī)性度量生命周期及用例略序管理系統(tǒng)要求管理實施指南補(bǔ)丁管理信息安全保障等級術(shù)術(shù)信息安全技術(shù)要求信息安全技術(shù)要求 圖8.1IEC-62443標(biāo)準(zhǔn)體系組織結(jié)構(gòu) IEC-62443標(biāo)準(zhǔn)的主要內(nèi)容有4個部分：IEC-62443-1系列：主要是概念和模型的定義，包括安全目標(biāo)、風(fēng)險評估、全生命周期、安全7個基本要求（FR）的安全保證等級（SAL）7FR方面將系SAL4個等級。IEC-62443-2服務(wù)商和業(yè)主的安全能力。包括在工業(yè)控制系統(tǒng)中如何部署網(wǎng)絡(luò)安全、如何進(jìn)行補(bǔ)丁管理，以及安全策略和操作規(guī)程。IEC-62443-3系列：主要闡述產(chǎn)品級的系統(tǒng)集成如何實現(xiàn)網(wǎng)絡(luò)安全，包括產(chǎn)品系統(tǒng)集成的安全工具、技術(shù)措施等如何去滿足安全保證等級，目標(biāo)對象主要是產(chǎn)品級的系統(tǒng)集成商。IEC-62443-4系列：主要是單個產(chǎn)品或者獨立組件如何實現(xiàn)網(wǎng)絡(luò)安全，包括具體產(chǎn)品開發(fā)和技工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)工業(yè)控制系統(tǒng)安全評估流程 工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)工業(yè)控制系統(tǒng)安全評估流程工業(yè)控制系統(tǒng)安全評估流程PAGEPAGE40PAGEPAGE41術(shù)設(shè)計上的網(wǎng)絡(luò)安全要求，比如主機(jī)、嵌入式裝置等，目標(biāo)對象是單個產(chǎn)品或者獨立組件的制造商和供應(yīng)商。IEC-62443標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全保證等級（SAL）的評價模型如下：SAL分為4SALSALSALSALSAL4個等級：SAL1：抵御偶然性的攻擊；SAL2：抵御簡單的故意攻擊；SAL3：抵御復(fù)雜的調(diào)用中等規(guī)模資源的故意攻擊；SAL4：抵御復(fù)雜的調(diào)用大規(guī)模資源的故意攻擊。SAL{IACUCDIDCRDFTRE為標(biāo)識與鑒別控制，UC為用戶控制，DI為數(shù)據(jù)完整性，DC為數(shù)據(jù)保密性，RDF為受限制的數(shù)據(jù)流，TRE為事件實時響應(yīng)，RA為資源可用性。NERC-CIP全稱為“北美關(guān)鍵基礎(chǔ)設(shè)施保護(hù)”，NERC北美電力可靠性委員會是非營利性監(jiān)管機(jī)構(gòu)，職責(zé)在于開發(fā)并執(zhí)行可靠性標(biāo)準(zhǔn)，保障電網(wǎng)可靠性。NERC職責(zé)范圍在北美大陸，包括美國、加拿大、墨西哥，NERC受美國聯(lián)邦政府、加拿大政府的監(jiān)管。NERC在2006年發(fā)布了CIP。NERC-CIP在2007年得到美國FERC（聯(lián)邦能源監(jiān)管委員會）的批準(zhǔn)，成為美國法規(guī)，成為北美通行標(biāo)準(zhǔn)。NERC-CIP是NERC對關(guān)鍵基礎(chǔ)設(shè)施的安全保護(hù)規(guī)定，主要是針對電網(wǎng)運營的功能實體責(zé)任實體，具體實體可以包括：電力資產(chǎn)業(yè)主、電力傳輸運營商、設(shè)備運營商、設(shè)備和系統(tǒng)制造商、系統(tǒng)集成服務(wù)商、電網(wǎng)結(jié)算單位等。NERC-CIP的目標(biāo)是保障電網(wǎng)的可靠性安全性，網(wǎng)絡(luò)安全是其主要內(nèi)容，但不是全部，即使是其中的網(wǎng)絡(luò)安全，也不僅僅是狹義上的技術(shù)上的網(wǎng)絡(luò)安全，范圍要更加寬一點。標(biāo)準(zhǔn)的主要內(nèi)容包括技術(shù)和管理的要求、監(jiān)督執(zhí)行兩個層面：技術(shù)和管理的要求：對產(chǎn)品和系統(tǒng)的電子安全邊界的設(shè)計和實現(xiàn)、物理訪問的識別和監(jiān)控、端口信息保護(hù)、漏洞的檢查和管理、日志記錄、事件的報告和響應(yīng)機(jī)制、備份和恢復(fù)規(guī)劃、變更的管理、脆弱性評估、供應(yīng)鏈管理等，以及人員意識、培訓(xùn)制度、文檔資料。監(jiān)督執(zhí)行：明確適用對象、責(zé)任主體、監(jiān)管機(jī)構(gòu)、證據(jù)要求、評估流程、違規(guī)程度評價等。國內(nèi)工業(yè)控制系統(tǒng)標(biāo)準(zhǔn)概述

工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)2010年前后已陸續(xù)開展工業(yè)控制系統(tǒng)信息安全相關(guān)標(biāo)準(zhǔn)的研究制定工作。截至目前，全國已有多個相關(guān)標(biāo)委會開展了該領(lǐng)域標(biāo)準(zhǔn)執(zhí)行工作。全國工業(yè)過程測量和控制標(biāo)準(zhǔn)化技術(shù)委員會從自IEC62443網(wǎng)絡(luò)和系統(tǒng)安全2-11部分：評估規(guī)范》、《工2部分：驗收規(guī)范》等工業(yè)控制系統(tǒng)的安全標(biāo)準(zhǔn)。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）作為全國信息安全領(lǐng)域標(biāo)準(zhǔn)化歸口組織，管理全國信息等相關(guān)國家標(biāo)準(zhǔn)。部分國內(nèi)工業(yè)控制系統(tǒng)標(biāo)準(zhǔn)如下表所示。 表8.1國內(nèi)部分工業(yè)控制系統(tǒng)標(biāo)準(zhǔn) 序號 名稱11部分：評估規(guī)范》22《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》3《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》4《信息安全技術(shù)工業(yè)控制系統(tǒng)安全