NIST_SP08工业控制系统安全指南ppt课件.ppt

工业控制系统安全指南 NISTSP800 82 开始语 SP800 82 工业控制系统 ICS 安全指南 于2010年1O月发布 是NIST依据2002年联邦信息安全管理法 2003年国土安全总统令HSPD 7等编制而成 它遵循 OMB手册 的要求 保障机构信息系统 为联邦机构使用 同时允许非政府组织自愿使用 不受版权管制 SP800 82有逻辑地给出了ICS安全保护的建议和指导 若能有效地满足这样的需求 ICS系统就可达到更安全的 secure 即系统处在一种特定状态 可有效地抵御所面临的不可接受的风险 NISTSP800 82概述 该指南为保障工业控制系统ICS提供指南 包括监控与数据采集系统 SCADA 分布式控制系统 DCS 和其他完成控制功能的系统 它概述了ICS和典型的系统拓扑结构 指出了这些系统的典型威胁和脆弱点所在 为消减相关风险提供了建议性的安全对策 同时 根据ICS的潜在风险和影响水平的不同 指出了保障ICS安全的不同方法和技术手段 该指南适用于电力 水利 石化 交通 化工 制药等行业的ICS系统 主要内容 工业控制系统概论ICS特性 威胁和脆弱性ICS系统安全程序开发与部署网络结构ICS安全控制 工业控制系统概论 分布式控制系统 DCS 监控和数据采集系统 SCADA 可编程逻辑控制器 PLC 工业控制系统 ICS操作关键组件 控制回路 人机界面 HMI 远程诊断和维护工具 主要ICS元件 控制元件 控制服务器 SCADA服务器或主终端单元 MTU 远程终端装置 RTU 可编程逻辑控制器 PLC 智能电子设备 IED 人机界面 HMI 历史数据 输入 输出 IO 服务器 网络组件 现场总线网络 控制网络 通讯路由器 防火墙 调制解调器 远程接入点 SCADA系统 SCADA系统是用来控制地理上分散的资产的高度分布式的系统 往往分散数千平方公里 其中集中的数据采集和控制是系统运行的关键 这些系统被用于配水系统和污水收集系统 石油和天然气管道 电力设施的输电和配电系统 以及铁路和其他公共交通系统 总体结构 分布式控制系统 DCS DCS系统用于控制在同一地理位置的生产系统 被用来控制工业生产过程 如炼油厂 水和污水处理 发电设备 化学品制造工厂 和医药加工设施等行业 可编程逻辑控制器 PLC PLC可用在SCADA和DCS系统中 作为整个分级系统的控制部件 通过反馈控制 提供对过程的本地管理 ICS特性 威胁和脆弱性 ICS特性 本文中ICS特性主要是通过与IT系统的区别而列举出来的 起初 ICS与IT系统并无相似之处 随着ICS采用广泛使用的 低成本的互联网协议 IP 设备取代专有的解决方案 以促进企业连接和远程访问能力 并正在使用行业标准的计算机 操作系统 OS 和网络协议进行设计和实施 它们已经开始类似于IT系统了 但是 ICS有许多区别于传统IT系统的特点 包括不同的风险和优先级别 其中包括对人类健康和生命安全的重大风险 对环境的严重破坏 以及金融问题如生产损失和对国家经济的负面影响 其中首要的区别在于 IT系统的目标和过程控制系统的目标有根本性的区别 IT系统通常将性能 保密性和数据完整性作为首要需求 而ICS系统则将人类和设备安全作为其首要责任 因此 系统的可用性和数据完整性的具有较高核心级 ICS面临的威胁 控制系统面临的威胁可以来自多种来源 包括对抗性来源如敌对政府 恐怖组织 工业间谍 心怀不满的员工 恶意入侵者 自然来源如从系统的复杂性 人为错误和意外事故 设备故障和自然灾害 攻击者 僵尸网络操纵者 犯罪集团 外国情报服务 内部人员 钓鱼者 垃圾邮件发送者 间谍 恶意软件作者 恐怖份子 工业间谍 ICS系统潜在的脆弱性 脆弱性被划分成策略与程序类 平台类和网络类脆弱性 大多数在工业控制系统中常出现的一些脆弱性都可与归集到这几类中 策略和程序方面的脆弱性 主要是由于安全策略及程序文件不完全 不适合或文件的缺失 包括安全策略及实施指南 实施程序 等 安全策略程序文档 包括管理支持等 是安全工作的基础 例如 工业控制系统安全策略不当 没有正式的工业控制系统安全培训和安全意识培养 安全架构和设计不足 对于工业控制系统 没有开发出明确具体 书面的安全策略或程序文件 工业控制系统设备操作指南缺失或不足 安全执行中管理机制的缺失 工业控制系统中很少或没有安全审计 没有明确的ICS系统业务连续性计划或灾难恢复计划 没有明确具体的配置变更管理程序 平台方面的脆弱性 ICS系统由于程序瑕疵 配置不当或维护较少而出现一些安全的脆弱性 包括ICS系统硬件 操作软件和应用软件 通过各种安全控制措施的实施 可以缓解因安全脆弱性问题导致的安全风险 平台配置方面的脆弱性平台硬件方面的脆弱性平台软件方面的脆弱性 平台恶意软件防护方面的脆弱性 网络方面的脆弱性 在ICS中的漏洞可能会出现缺陷 错误配置 或对ICS网络及与其他网络的连接管理不善 这些漏洞可以通过各种安全控制消除或者弱化 如防御深入的网络设计 网络通信加密 限制网络流量 并提供网络组件的物理访问控制 网络配置漏洞网络硬件漏洞网络边界漏洞网络监控和记录漏洞通信中的漏洞无线连接中的漏洞 目前有几个因素导致ICS控制系统风险的日益增加 采用标准化的协议和技术 安全漏洞已知连接到其他网络控制系统不安全和非法的网络连接ICS系统相关技术信息的广泛普及 安全事件统计 故意有针对性的攻击 如未经授权访问文件 执行拒绝服务 或欺骗的电子邮件 即伪造电子邮件发送者的身份 非故意后果或设备损害 来自蠕虫 病毒或控制系统故障无意的内部安全的后果 如不适当的测试业务系统或未经授权的系统配置的变化 ICS系统安全程序开发与部署 ICS和IT系统之间存在较大的差异 这将影响ICS系统采用何种安全控制措施 因此 组织应制定和部署ICS安全策略与程序 这些安全策略和IT安全策略与程序应当是一致的 但必须符合ICS的技术和环境的具体要求和特点 组织应定期审查和更新他们的ICS安全计划和方案 以适应新技术 业务 标准和法规的变化 如何建立一个ICS安全计划 建立安全业务方案 安全业务方案由四个关键要素组成 威胁优先化 商业后果优先化 商业利益优先化以及年度商业影响 综合安全程序的开发和部署 网络结构 系统安全建设的环节中 除了安全程序开发 另一个关键环节是处理好ICS网络与其他应用网络的连接问题 即网络体系结构问题 两点建议 1 当为ICS的部署设计一个网络时 建议把ICS从其他合作的网络中隔离开 因为 通常这两类网络流量不同 并且因特网的访问和电子邮件等操作对ICS网络一般是允许的 对于合作网而言 可能没有网络设备的严格变更控制规程 如果ICS网络流量存在于合作网上 有找到Dos攻击的风险 文中对该建议给出指导意见 采用防火墙技术实现网络隔离 2 如果需要ICS和合作网之间必须建立连接 只允许最好的连接 尽可能只有一个 并通过防火墙或DMZ实现连接 ICS安全控制 安全控制是一个信息系统保护其信息的保密性 完整性和有效性而制定的管理 操作和技术控制 本文此部分的内容主要是如何把SP800 53中 联邦信息系统与组织安全控制方法 部分提出的管理 运营和技术方面的控制措施运用在ICS中 NISTSP800 53在联邦政府信息系统的支持下 提出相应的准则为信息系统选择和指定安全控制 安全控制的组织分为三个等级 管理 运行和技术控制 管理控制 安全评估和授权 CA 规划 PL 风险评估 RA 系统和服务获取 SA项目群管理 PM 运行控制 人员安全 Ps 物理和环境安全 PE 应急规划 CP 配置管理 CM 维护 MA 系统和信息完整性 sI 介质保护 MP 事件应急响应 IR 意识和培训 AT 技术控制 鉴定和授权 IA 访问控制 AC 审计与核查 AU 系统和通讯保护 SC 密码授权挑战 应答鉴定物理标志授权生物授权 基于角色的访问控制 RBAC WE