NIST-SP800-82工业控制系统安全指南

?工业控制系统平安指南?

NISTSP800-82

1.开始语?SP800—82：工业控制系统(ICS)平安指南?于2021年1O月发布，是NIST依据2002年联邦信息平安管理法、2003年国土平安总统令HSPD-7等编制而成。它遵循?OMB手册?的要求“保障机构信息系统，为联邦机构使用，同时允许非政府组织自愿使用，不受版权管制。〞SP800—82有逻辑地给出了ICS平安保护的建议和指导，假设能有效地满足这样的需求,ICS系统就可到达更平安的〔secure〕，即系统处在一种特定状态，可有效地抵御所面临的不可接受的风险。2.NISTSP800-82概述该指南为保障工业控制系统ICS提供指南，包括监控与数据采集系统(SCADA)、分布式控制系统〔DCS)和其他完成控制功能的系统。它概述了ICS和典型的系统拓扑结构，指出了这些系统的典型威胁和脆弱点所在，为消减相关风险提供了建议性的平安对策。同时，根据ICS的潜在风险和影响水平的不同，指出了保障ICS平安的不同方法和技术手段。该指南适用于电力、水利、石化、交通、化工、制药等行业的ICS系统。3.主要内容工业控制系统概论ICS特性、威胁和脆弱性ICS系统平安程序开发与部署网络结构ICS平安控制4.

工业控制系统概论

分布式控制系统〔DCS)监控和数据采集系统(SCADA)可编程逻辑控制器〔PLC)工业控制系统5.ICS操作关键组件

控制回路、人机界面〔HMI〕、远程诊断和维护工具6.主要ICS元件控制元件：控制效劳器、SCADA效劳器或主终端单元〔MTU〕、远程终端装置〔RTU〕、可编程逻辑控制器〔PLC〕、智能电子设备〔IED〕、人机界面〔HMI〕、历史数据、输入/输出〔IO〕效劳器；网络组件：现场总线网络、控制网络、通讯路由器、防火墙、调制解调器、远程接入点。7.SCADA系统SCADA系统是用来控制地理上分散的资产的高度分布式的系统，往往分散数千平方公里，其中集中的数据采集和控制是系统运行的关键。这些系统被用于配水系统和污水收集系统，石油和天然气管道，电力设施的输电和配电系统，以及铁路和其他公共交通系统。总体结构8.9.10.11.分布式控制系统〔DCS〕

DCS系统用于控制在同一地理位置的生产系统，被用来控制工业生产过程，如炼油厂，水和污水处理，发电设备，化学品制造工厂，和医药加工设施等行业。12.可编程逻辑控制器〔PLC〕PLC可用在SCADA和DCS系统中，作为整个分级系统的控制部件，通过反响控制，提供对过程的本地管理。13.ICS特性，威胁和脆弱性

14.ICS特性本文中ICS特性主要是通过与IT系统的区别而列举出来的。起初，ICS与IT系统并无相似之处，随着ICS采用广泛使用的、低本钱的互联网协议〔IP〕设备取代专有的解决方案，以促进企业连接和远程访问能力，并正在使用行业标准的计算机、操作系统〔OS〕和网络协议进行设计和实施，它们已经开始类似于IT系统了。但是，ICS有许多区别于传统IT系统的特点，包括不同的风险和优先级别。其中包括对人类健康和生命平安的重大风险，对环境的严重破坏，以及金融问题如生产损失和对国家经济的负面影响。15.16.17.18.其中首要的区别在于：IT系统的目标和过程控制系统的目标有根本性的区别，IT系统通常将性能、保密性和数据完整性作为首要需求，而ICS系统那么将人类和设备平安作为其首要责任，因此，系统的可用性和数据完整性的具有较高核心级。19.ICS面临的威胁控制系统面临的威胁可以来自多种来源，包括对抗性来源如敌对政府、恐怖组织、工业间谍、心怀不满的员工、恶意入侵者，自然来源如从系统的复杂性、人为错误和意外事故、设备故障和自然灾害。20.攻击者僵尸网络操纵者犯罪集团外国情报效劳内部人员钓鱼者垃圾邮件发送者间谍/恶意软件作者恐怖份子工业间谍21.ICS系统潜在的脆弱性

脆弱性被划分成策略与程序类、平台类和网络类脆弱性，大多数在工业控制系统中常出现的一些脆弱性都可与归集到这几类中22.策略和程序方面的脆弱性主要是由于平安策略及程序文件不完全、不适合或文件的缺失，包括平安策略及实施指南〔实施程序〕等。平安策略程序文档，包括管理支持等，是平安工作的根底例如：工业控制系统平安策略不当、没有正式的工业控制系统平安培训和平安意识培养、平安架构和设计缺乏、对于工业控制系统，没有开发出明确具体、书面的平安策略或程序文件、工业控制系统设备操作指南缺失或缺乏、平安执行中管理机制的缺失、工业控制系统中很少或没有平安审计、没有明确的ICS系统业务连续性方案或灾难恢复方案、没有明确具体的配置变更管理程序。23.平台方面的脆弱性ICS系统由于程序瑕疵、配置不当或维护较少而出现一些平安的脆弱性，包括ICS系统硬件、操作软件和应用软件，通过各种平安控制措施的实施，可以缓解因平安脆弱性问题导致的平安风险。平台配置方面的脆弱性平台硬件方面的脆弱性平台软件方面的脆弱性；平台恶意软件防护方面的脆弱性；24.网络方面的脆弱性

在ICS中的漏洞可能会出现缺陷，错误配置，或对ICS网络及与其他网络的连接管理不善。这些漏洞可以通过各种平安控制消除或者弱化，如防御深入的网络设计，网络通信加密，限制网络流量，并提供网络组件的物理访问控制。网络配置漏洞网络硬件漏洞网络边界漏洞网络监控和记录漏洞通信中的漏洞无线连接中的漏洞25.目前有几个因素导致ICS控制系统风险的日益增加采用标准化的协议和技术，平安漏洞连接到其他网络控制系统不平安和非法的网络连接ICS系统相关技术信息的广泛普及26.平安事件统计成心有针对性的攻击，如未经授权访问文件，执行拒绝效劳，或欺骗的电子邮件〔即伪造电子邮件发送者的身份〕非成心后果或设备损害，来自蠕虫，病毒或控制系统故障无意的内部平安的后果，如不适当的测试业务系统或未经授权的系统配置的变化。27.ICS系统平安程序开发与部署ICS和IT系统之间存在较大的差异，这将影响ICS系统采用何种平安控制措施。因此，组织应制定和部署ICS平安策略与程序，这些平安策略和IT平安策略与程序应当是一致的，但必须符合ICS的技术和环境的具体要求和特点。组织应定期审查和更新他们的ICS平安方案和方案，以适应新技术，业务，标准和法规的变化。28.如何建立一个ICS平安方案？①建立平安业务方案安全业务方案建成安全项目的收益不实施安全项目的潜在后果安全程序的实施、运行、监管、维护等流程开发、实施、维护安全项目所需的成本和资源平安业务方案由四个关键要素组成：威胁优先化、商业后果优先化、商业利益优先化以及年度商业影响。29.②综合平安程序的开发和部署(1)通过安全业务方案获得高管层的支持；(2)建立与培训跨职能小组；(3)明确安全组织、系统所有方和使用方的作用、责任与义务，以及安全程序所涉及和影响的范围(4)明确ICS具体安全政策和步骤，尽可能整合到现有的运营政策和管理政策中，确保安全保护的持续性和通用性；(5)编制ICS系统与网络资产目录；(6)评估ICS风险与脆弱性，通过风险评估确定ICS的优先顺序，通过脆弱性评估识别系统中的脆弱点，以有助于保持系统和数据的可靠性、完整性和可用性；(7)明确风险、脆弱点消减手段，充分考虑潜在风险代价和消减风险的成本；(8)组织培训以提高安全意识，利用培训的反馈提炼安全程序的宗旨和范围。30.网络结构系统平安建设的环节中，除了平安程序开发，另一个关键环节是处理好ICS网络与其他应用网络的连接问题，即网络体系结构问题。31.两点建议！(1)当为ICS的部署设计一个网络时，建议把ICS从其他合作的网络中隔离开。因为，通常这两类网络流量不同，并且因特网的访问和电子邮件等操作对ICS网络一般是允许的：对于合作网而言，可能没有网络设备的严格变更控制规程：如果ICS网络流量存在于合作网上，有找到Dos攻击的风险。文中对该建议给出指导意见：采用防火墙技术实现网络隔离。(2)如果需要ICS和合作网之间必须建立连接，只允许最好的连接(尽可能只有一个)。并通过防火墙或DMZ实现连接。32.33.ICS平安控制

平安控制是一个信息系统保护其信息的保密性、完整性和有效性而制定的管理、操作和技术控制。本文此局部的内容主要是如何把SP800—53中“联邦信息系统与组织平安控制方法〞局部提出的管理、运营和技术方面的控制措施运用在ICS中。34.NISTSP800-53在联邦政府信息系统的支持下，提出相应的准那么为信息系统选择和指定平安控制。平安控制的组织分为三个等级：管理、运行和技术控制35.管理控制平安评估和授权(CA)规划(PL)风险评估(RA)系统和效劳获取(SA工程群管理(PM)36.运行控制人员平安(Ps)物理和环境平安(PE)应急规划(CP)配置管理(CM)维护(MA)系统和信息完整性(sI)介质保护(MP)事件应急响应(IR)意识和培训(AT)。37.技术控制鉴定和授权(IA)访问控制(AC)审计与核查(AU)系统和通讯保护(SC)密