(高清版)GBT 40218-2021 工业通信网络 网络和系统安全 工业自动化和控制系统信息安全技术

GB/T40218—2021/IEC/TR62443-3-1:2009工业通信网络网络和系统安全工业自动化和控制系统信息安全技术(IEC/TR62443-3-1:2009,Industrialcommunicationnetworks—industrialautomation国家标准化管理委员会国家市场监督管理总局发布国家标准化管理委员会I本标准使用翻译法等同采用IEC/TR62443-3-1:2009《工业通信网络网络和系统安全第3-1ⅡGB/T40218—2021/IEC/TR62443-3-1保护工业自动化和控制系统(IACS)的计算机环境免受恶意代码入侵的需求在过去十年里越来越很多的电子安全技术和计算机入侵防范措施可能都适用于IACS环境。本标准列举了几类计算机本标准中给出的指南并不能确保IACS已经达到最佳的计算机信息安全。但是，这些指南有助于1●鉴别和授权；●数据确认；●监视和检测工具；●操作系统。●已知问题和弱点；●建议和指南；2GB/T40218—2021/IEC/TR62443-3-1●信息源和参考材料。本标准旨在记录适用于IACS环境的信息安全技术、工具和对抗措施的已知技术发展水平，明确定义目前可采用哪种技术，并定义了需要进一步研究的领域。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。无。下列术语和定义适用于本文件。访问授权accessauthority负责监视和授予其他被授权实体访问IACS及其关联网络权限的实体[3]。a)保护系统资源以防止未授权的访问。b)系统资源使用的过程是根据安全策略规定的，并且根据该策略只允许被授权的实体(用户、程系统属性(包括其系统的所有资源),以确保一个系统实体的行动可追溯到该唯一的实体，并且该实特指实现诸如电子邮件和文件传输等网络应用的第7层协议[2]。非对称密钥算法asymmetrickeyalgorithm公共密钥加密算法。3旨在建立传输，信息或发起方有效性的安全方法，核实接收特定信息的个人授权的方法的有接收或请求来自服务器端的服务或信息的设备或应用。4GB/T40218—2021/IEC/TR62443-3-1成功利用IACS组件与/或连接到工业网络的IT网络组件中软件、硬件或固件的脆弱性。数据链路层协议data-linklayerprotocol用于点对点数据通信、实施错误检查、实现物理寻址以及实施媒体访问控制的第2层协议2]解密decryption使用密码算法和密钥，把密文转换成明文的过程(见3.1.2纵深防御defenseindepth提供多重安全保护，特别是在层次上，如果不能阻止攻击就采取延缓策略。拒绝服务denialofservice;对授权访问系统资源的阻止或者中断，或者系统操作和功能的延缓3]。数字签名digitalsignature数据加密变换的结果，正确完成时，提供数据源鉴别、数据完整性和签名者防抵赖服务[1。明文转换成密文的密码变换，隐藏了数据的原始意义以阻止该数据被知道或者使用(见3.1.19)[3]。完整性integrity系统质量，反映了操作系统的逻辑正确性和可靠性、实现保护机械装置的软件和硬件的逻辑完备捕获和揭露报文内容，或者基于报文目的地或来源地、传输的频率或时长以及其他通信属性，使用通信量分析破坏通信系统的保密性。接口interface为逻辑信息流提供访问模块的逻辑入口点或出口点。5GB/T40218—2021/IEC/TR62443-3-1密钥key密钥分发keydistribution将密钥和其他加密信息从一个拥有密钥或生成密钥的实体传送给另一个将要使用此密钥的公共密钥和使用公共密钥算法的私有密钥3。在有限的地理区域(通常少于10km),用于连接计算机和其他智能设备的通信网络[S]。延时latency从一个设备发送消息到另一个设备接收消息的时间间隔。在主动窃听攻击中，攻击者拦截并有选择地修改通信数据，以将自己伪装为一个或多个实体进入通信联盟。网络层协议networklayerprotocol第3层协议，在复杂网络中实现消息路由[2]。防抵赖nonrepudiation用于鉴别身份或验证访问权限的字符串(字母、数字和其他符号)1]。个人识别码personalidentificationnumber;PIN物理层协议physicallayerprotocol在信道上传输原始物理(电磁)信号的第1层协议。6GB/T40218—2021/IEC/TR62443-3-1:2009在RFC1661中定义的协议，在串行点对点链路中传输网络层数据包(IP包)的互联网标准。这些公共密钥(非对称)加密算法publickey(asymmetric)cryptog7GB/T40218—2021/IEC/TR信息安全域securitydomain由单一可信权威组织授权的控制LAN或企业LAN的系统或子系统。信息安全服务securityservices服务器server给客户端设备和应用提供信息或服务的设备或者应用3]。欺骗spoof伪装成授权用户执行未授权的行为[3]。对称密钥symmetrickey用于私密(对称)密钥算法的单一密钥。对称密钥算法symmetrickeyalgorithm系统软件systemsoftware为特定的计算机系统或者计算机系统家族设计的特定软件，用于辅助操作和维护计算机系统以及吞吐量throughput在不丢包的情况下，IT或IACS设备所能处理的脆弱性vulnerability系统设计、实现或操作和管理中存在的缺陷或弱点，可被利用来危害系统的完整性或信息安全广域网wideareanetwork用于连接远距离(例如国内或跨国)的计算机、网络和其他设备的通信网络[]89GB/T40218—2021/IEC/TR62443-3-1VDS:VirusDetectionSystem(VLAN:VirtualLocalAreaNetwork(虚拟局域网)VPN:VirtualPrivateNetwork(虚拟专用网)WAN:WideAreaNetwork(广域网)孤立网络演变成基于标准的网络，该网络连接了企业其余部分——包括通常连接到互联网的IT业务因此，现在知道谁被授权访问电子IACS的信息，他们什么时候访问信息和他们能够访问什么数本标准确定了若干类可用于保护IACS网络的工具、对抗措施和技术。主要的种类见第5章～第及该应用类型如何能更好地满足IACS的环境和需求的论述。纵深防御中的访问控制措施，以验证仅被授权人员和设备才能实际访问IACS。第一步措施通常是对授权可以决定小到对应用中的特定文件的访问，大到对整个企业或IACS网络的访问。授权通常增加了企业各层和IACS计算中在架构和管理上的挑战。授权和鉴别是IACS访问控制的基础。它们是不同的概念却经常被混淆，因为两者之间有几种可能的因素决定个人、设备或系统的真实性。例如，测试可以是已知的某事(如PIN或密在IACS环境下的计算机系统通常依靠传统的密码鉴别。控制系统供应商通常提供的下面列出了几类鉴别和授权技术。第9章IACS相关的操作系统中，也包括对授权问题的讨论。基于角色的访问控制(RBAC)是一种得到很大关注的技术和工具，因为它用在包含大量智能设备控制访问IACS信息和网络资源的传统方法是对每个用户建立特定的许可，该许可被配置到各智GB/T40218—2021/IEC/TR62443-3-1RBAC解决这个问题的方法是基于用户的角色或岗位职责的访问，而不是对个人定制的访问。比访问IACS中计算机系统对象的权限是基于用户在组织中的角色。用户与角色相关，角色与许可系统的潜力。然而，集中式RBAC增加了故障点，可能会影响IACS的可用性。使用RBAC的另一个一些新协议中已经实现。其中的一个例子是用于过程控制的OLE四(OPC四)标准，已经开发了对GB/T40218—2021/IEC/TR62443-3-1:2009仅有00～99这100种可能的值，而一个8位字符密码有几十亿种可能的值。在一个12键的小键盘上多采用密码码，以一种简单自然的模式，像1254或1478,很多计算机密码者已植入微型无线相机或硬件键击探测器的区域内。网络服务鉴别经常使用明文(未加密)传送密码，在IACS环境特有的密码问题是用户回忆和登录密码的能力可能被瞬间的压力所影响。在人们需工业自动化和控制系统装置应足够复杂以实现高等级的密码安全。IACS装置需式(即非明文)传送密码的协议。将来的密码使用方法可能是一种称为RBA(基于角色鉴别)的通用方●[NIST03],[NIST04],[NIST07],[NIST07GB/T40218—2021/IEC/TR62443-3-1:2009●PPP-CHAP互联网工程任务组(IETF)的RFC1994:PPP-CHAP允许远程客户端通过串行或拨号链路连接服务器。客户端应知道这个密码，但CHAP使用一种挑战/应答●KerberosIETF的RFC1510:Kerberos是一种集中式服务器系统，为小型单一授权网络而设●由于用户不愿意挑战用手工结合密码的方式来计算合适的应答，因此挑战/应答鉴别不能直接用于对用户的鉴别。类似PPP-CHAP的协议通过直接接受用户密码●在理论上，挑战/应答鉴别的一个弱点是能为攻击者提供了挑战和应答来进行离线检查。如果●用于网络服务鉴别的挑战/应答鉴别最大的弱点存在于在某些形式的鉴别协商中允许“回退攻论哪种方式都存在暴露和危及系统的风险。分发方法在设计和执行时需特别小心，避免成为●如果使用工作站读取智能卡的PIN,倘若这台GB/T40218—2021/IEC/TR62443-3-1:2009卡和读卡器的成本或许会降低。随后会把智能卡集成到标准的IT产品中，采用智能卡技术的信用卡宜从物理远景和对计算机系统的访问两个方面检查智能卡在IACS环境下控制访问的潜在使●所有生物设备都有类型I和类型Ⅱ错误(分别为拒绝有效生物图像的概率和接受无效生物图●据报道，生物扫描仪会随时间“偏移”,需要不定期地重新校对。人类生物特征也会随时间变●设备学习可能需要面对面的技术支持和验证，不像可以通过电话给出的密码或由接待员发出膜扫描仪和拇指扫描仪认可度很高。当有多种生物鉴别技术可选择时，生物鉴别设备的用户生物识别越来越可靠，并且更多地集成到通用I●[Har2],第32页～第34页鉴别，即对设备的物理访问表示有此权限；或者间接进行鉴别，用ID或代表其位置的地址表示有此在当前IACS环境中，只有一小部分网络服务鉴别是基于位置的，用户鉴别使用与某个位置直接GB/T40218—2021/IEC/TR62443-3-1:2009将用户身份与可重用密码相结合是对控制系统操作员和用户进行系统识别和授权最常见的形式，密码是访问工业自动化流程或控制器系统时最强或最弱的环节。静态密码(密码在一段周期内不GB/T40218—2021/IEC/TR62443-3-1使用新的更复杂的工具提高能力，如通过病毒在企业网络中嵌入的键击记录程序，进入控制系统局上的按钮。这使得鉴别服务侧的令牌设备进入到下一个鉴别值。这个值和一个基本秘密进行散列运GB/T40218—2021/IEC/TR62443-3-1:2009鉴别技术广泛使用在基于传输控制协议/互联网协议(TCP/IP)的网络中。然而，许多IACS环境GB/T40218—2021/IEC/TR62443-3-1:2009目前几个小组正在研究控制系统信息安全的解决方案。IECTC57一直负责IEC60870-5和DNP3,这些协议在电力工业中应用非常多。美国燃气协会正在完成规范AGA-12,该规范需要加密技控制系统LAN之间的防火墙。另外，最佳网络信息安全实践是在防火墙间a)包过滤：这类防火墙依据一组规则在转发数据包前检查每个数据包的地址信息。根据数据包IP源地址后，已建立的规则确定该数据包是否应被丢弃或转发。此方法有时也称为静态过程控制网络与外界进行通信的需求越来越迫切。典型的，如使用单向通信向外传输过程数据。●限制接收/发送到过程控制网络的数据；●记录通过防火墙进行的成功和不成功的信息交互；●使原来设计为不能交互的网络可以交互(路由/NAT)。限制接收/发送到过程控制网络的数据可配置成若干方式。更复杂的防火墙能够通过以下组合进●允许通信的端口；●允许通信的应用。防火墙可部署在公司整体网络的若干等级。防火墙是公司IT信息安全战略的一部分，因而由主IACS环境使用的防火墙通常保护物理区域(即工厂或楼宇),但其使用应考虑到基础设施和数据建议使用公认厂家的硬防火墙(即使用有限数量的型号)并且由●去除缺省密码。●审查日志；GB/T40218—2021/IEC/TR62443-3-1:2009●阻止入站数据包被设备上的应用处理；●控制来自主机的出站网络流量；●记录的信息可用于网络流量监视和入侵检测。种DoS攻击。●可能增加控制系统的通信延时；●缺乏适用于工业应用的过滤器规则集的设计经验；●在广为分散的典型SCADA系统环境中，管理基于主机的防火墙需要大量开销。在它可能广泛使用在IACS环境的关键任务设备上之前，该技术要求改进集中管控和广为分散的●基于主机的防火墙的集中管理和分布式管理的改进；件，而且厂商可能会禁止在其工作站使用此类软件。商业可用的防火墙不了解工业协议，如需要开发现场控制设备端的专用微防火墙。现已提出用来保护关键可编程GB/T40218—2021/IEC/TR62443-3-1a)明文(用于加密)或密文(用于解密);包括三重数字加密标准(3DES)和高级加密标准(AES)。AES通常设计为AES-128、AES-192或256来表示密钥的位数。旧的数字加密标准正在被淘数倍块长。改变密文分组的一位就随机地改变了解密后的明文分组的50%。分组密码典型地用作生b)密码分组链模式(用于消息完整性),其中每个明文的级联分组加密，与先前累积的加密组合，GB/T40218—2021/IEC/TR62443-3-1:2009统的地理区域大小增加而变得更困难，大范围SCADA系统是最更密钥可能会是昂贵和缓慢的，因此能够远程改变密钥就很有用。密钥管理问题在公共密钥加密(见最有效的保护措施是使用由可信任的加密认证实验室认可的完整加密系统。NIST/CSE加密模效。美国天然气协会(AGA)报告12-1(见AGA12)包含了一个安全策略的例子。该学会是针对不同所有者的加密系统可能在不远的未来进入市场。也可能出现声称其可使用普遍的公认算法b)仅使用已认证符合标准的单元。标准保证了加密系统经过广泛专家仔细研究其弱点，而非由——保护IACS消息不被重发和伪造；许多特性也适用于任何IACS。●[NIST01],[NIST03],[NIST06],[GB/T40218—2021/IEC/TR62443-3-1:2009●[anon03],[anon07]GB/T40218—2021/IEC/TR62443-3-1当提供了认证的附加层(如通过公钥基础设施PKI或信任的认证权威服务器),在设置用于数据通a)安全传输层协议(IETFTLS或信息安全套接字层IETFSSL);d)使用证书认证机构的Kerberos(三方握手)认证。某些公钥算法要求的处理需要非常强的中央处理单元(CPU),许多16位或更小的CPU不支持该算法。即使在非常快速的CPU上，它也不能符合亚秒级时间关键通信的要求。其主要用于在分布式和Adleman(RSA四)公钥约等于80位对称密钥。新的公钥算法针对这些问题。相当于80位对称密钥的椭圆曲线(EC)公钥仅为160位。巨大的计算需求以及对于小系统要求的额外内存是在IACS环境GB/T40218—2021/IEC/TR62443-3-1●授权给用户访问、读取、修改、插入或删除特定数据，或者执行一定的程序；●给用户、程序或过程访问优先权。[INFOSEC-99]技术上的其他分类，比如多协议标签转换，帧中继和异步传输模式，可能会被误认为VPN,因为它们能够使专用网络在公共架构上工作。但是，这些技术本质上并不包含作为VPN所描述的这些主要组件。7.4.2此技术处理的信息安全脆弱性VPN允许专用网络在公用网络上执行功能。VPN在网络上能够提供相同的信息安全类型，像装甲车一样，在物理边界上用于安全地传输公司信息或者材料。其保护信息从“外部”世界的传输。对于IACS环境，外部世界典型地包括企业LAN用户，这些用户没有操作控制中心的授权。VPN能够提供以下服务：●通过鉴别，控制访问受信网络；●在未受信网络上，维护受信数据的完整性；●记录对传输监视、分析和入侵检测有用的信息。通常情况下，通过安全网关和主机来创建VPN连接有三种部署方式。●安全网关是一个中间系统，该系统使用VPN技术来保证两个安全网关之间通信的安全性。安全网关也被常用来授权设备。安全网关的功能已经在防火墙、路由器和交换机这些现有的网络设备中实现。新的术语，比如VPN集线器和VPN网关，专用于处理大规模VPN通信的计算设备。●主机使用VPN技术来保证来自主机或者主机专用的通信。主机所使用的VPN技术要么包含在主机的本地操作系统中，要么添加到专门用于启动VPN访问的主机操作系统中。下面详细描述了VPN部署的这三种分类：a)安全网关到安全网关(见图2):VPN的这两个端点是中间设备，该设备从一个可信任网络传输到另一个可信任网络，同时依靠VPN技术保证不可信任传输网络上的通信。这种类型的VPN通常被称为点到点或者LAN到LAN的VPN。图2安全网关到安全网关VPNb)主机到安全网关(见图3):一端是主机计算设备，另一端是一个中间设备，该中间设备从主机传输到安全网关之后的可信任网络，同时依靠VPN技术保证不可信任网络上的通信。这种类型的VPN通常被称为远程访问VPN。GB/T40218—2021/IEC/TR62443-3-1图3主机到安全网关VPNc)主机到主机(见图4):VPN通道上的每个端点都是主机计算设备。主机设备依靠主机上的VPN技术来保证不可信任网络上的通信。图4主机到主机网关VPN目前最常用的VPN技术类型是以下几种：a)互联网安全协议(IPsec):IPsec是由IETF定义的一套标准，用来控制公共网络上数据的安全通信和确保所有IP单播应用的信息安全。按照这套标准，多播应用不能使用IPsec。然而，有一个IETF工作组专门关注使用IPsec的多播的信息安全。另外，多播和非基于IP的协议能通过IPsecVPN进行传输，它们将这些协议封装在单播应用协议IP中，并且将这些传输复制到每一个需要的VPN接收设备中。例如，多播通信在加密和通过IPsec传输之前，可以通过将其封装在一个适当的头中从而从路由器传输到路由器。IPsec工具包含在现有的许多操作系统中。这个标准的目的是为了保证跨厂商平台的互操作性。虽然，有供应商互操作性的标准，然而，事实上却是多厂商执行互操作性的决定取决于最终用户组织实施的具体测试。这个协议一直在不断地增强以满足市场的具体要求，例如，扩展该协议以解决个别用户鉴别和网络地址转换(NAT)设备的横向性。这些扩展通常取决于供应商，可能会导致主要存在于主机和安全网关环境内的互操作性问题。b)安全套接层(SSL):SSL为两个通信主体提供安全通道，而这个通道对于通过他传输的数据是不可见的。IETF对SSL版本3协议做出轻微修改，创建出一个称为传输层安全性(TLS)的新协议。SSL和TLS通常可以互换使用。本标准一般使用SSL术语。SSL最常被用来保证HTTP通信的安全性。这个协议的实现被称为HTTP安全协议(HTTPS)。然而，SSL并不只限于保证HTTP通信的安全性；它还可以被用于确保许多不同的应用层应用的安全为适合于绝大多数网络操作系统，因为，它们在嵌入Web浏览器的操作系统中包含了SSL的实现。●缺乏对IACS协议在传输层加密机制的支持，这些协议诸如PROFInet,Ethernet/IP,FoundationFieldbusHSE,或者Modbus/TCP。GB/T40218—2021/IEC/TR62443-3-1●缺乏针对工业应用设计大规模VPN的经验。大部分操作系统会有大量日志设置和日志文件维护工具。例如，MicrosoftWindows⑩2000有两个包含在AdvancedServer2000ResourceKit中的工具：●Dumpel:Dumpel是一个命令行工具，被用来获取系统进程、安全、本地或远程系统的应用幸运的是有很多工具和程序能起到帮助作用。在Windows⑩2000高级服务器的资源工具包(Re-GB/T40218—2021/IEC/TR62443-3-1:2009VDS作为一个主动的代理，对上述分类的提示的非正常的活动进行探测。VDS能够探测并运行VDS有三种模式来实施。●文件共享病毒传播；●因特网和邮件附件病毒。在IACS环境中，工作站和服务器通常是专用于与设备运行有关的某些任务中的。包括了运行程入侵检测市场创造了一个新兴的产品分类，称为入侵防御。这些产品类似于传统的NIDS和●基于行为的系统：这些产品认为可以通过观察系统或者用户的正常或者预期行为的偏差来进IDS作为主动监视，类似于警卫和视频监视网站办公场所的方式。它可以避免计算机或计算机网●监视进出网络的情况；●记录对于通信监视以及威胁分析有用的信息；有三种方式可以部署在所有的IDS分类中：a)NIDS:被动嗅探，是指通过子网中混杂端口的被动嗅探。此端口可以观察到IDS连接的特定攻击。这种技术是部署NIDS的主要方法。b)NIDS:内联部署，是指对于作用在计算机通信转发路径NIDS进行内联部署。这个过程是指c)HIDS:入侵检测系统安装在每台机器上，用于监视和审计计算机上的行为，并将这些行为与NIDS担负起了防御设备的作用，它可以监视利用已知的网络中计算机的脆弱性进行威胁行为的网络流量。NIDS可以通过提供针对这些脆弱性的攻击报警和捕获触发报警的攻击通信从而实现重要块策略，以及对承载攻击的传输控制协议(TCP)会话进行重置。内线部署的NIDS还获得降低符合攻●监视进出计算机的通信；●执行文件的完整性检查；●监视可疑的用户或者应用程序行为。最佳做法建议在有效的入侵检测系统中部署主机以及网络IDS。IDS只能保护网络以及在其上安装的工作站。在许多情况下，IDS不是在网络内的每一个子网或计算机上都安装。总成本通常成为在大规模下部署IDS的限制因素●通过端口扫描或者由IDS阻止攻击确定一个IDS;GB/T40218—2021/IEC/TR62443-3-1:2009●创建一个拒绝服务攻击IDS;使用IDS的其他问题包括：●误伤：一个IDS的应答行为要求高精确度，以确保只有恶意活动被封锁，并且合法通信获得●在高带宽网络下一个NIDS的检测能力可能会超过范围。●缺乏标准化测试程序会导致依赖于测试中使用的通信配置文件的IDS的性能差异较大。IDS技术可能会给人以错误的安全感。IDS应被看作是更大的网络安全方法的一个组成部分。部署IDS并不意味着执行其他网络安全的最佳做法就不需要了，例如实行准入策略(防火墙),内部网络在IACS环境中，NIDS最经常部署于PCN和带有防火墙的企业局域网之间。HIDS最常用于使用通用的操作系统或者应用程序的计算机上。正确配置IDS可以大大提高安全管理队伍检测攻击进●缺乏建立于PLCs,RTUs以及DCSs之上的基于控制器操作系统的典型HIDS产品。●HIDS产品与Windows或者UNIX的控制系统软件不兼容。●在广泛分散的系统中，例如典型的SCADA环境中管理IDS的潜在重大开销。●未来的研究和发展需要把重点放在主机入侵检测/预防(HIDS)技术，这种技术无需耗费服务细探讨的案例就是在专用设备上运行的代理没有引进显著延时。大多数控制网络流量之所以录都是可以检测到使用了HIDS的事件的例GB/T40218—2021/IEC/TR62443-3-1用于保护控制系统的IDS宜首先进行初始化配置，使它们没有传入或传出通信的应答行为。只有个企业。脆弱性扫描可以识别出企业的不足，生成针对每个系统的安全报告或针对企业的安全统计，并对该易受攻击的系统安装补丁或改变安全配置。企业进行这类扫描是为了降低企●验证在特定高危系统下的安全性：针对性扫描是指针对特定的高危主机或设备。在主机上检测到的脆弱性是对各个危险等级的评估以及各系统功能要求的权衡。为了实现功能最大化和安全严格性两者之间的平衡，针对性扫描要求执行扫描的安全管理员和维护系统的信息管理员都要具备高水平的技能和知识。设计针对性扫描就是为了加强高危系统的安全性，尽可能●脆弱性数据库：包含脆弱性信息，该信息代表性地提到计算机应急应答小组(CGB/T40218—2021/IEC/TR62443-3-1:2009●安全策略的不足：可以在单独的系统上被改变，但是与服务或应用程序的配置和软件缺陷无关。这些问题可以通过改变每个主机上的安全策略得到解决。这些不足包括主机审计的缺错误可以通过改正相应软件在每个主机上运行的方式得到纠正。这类错误配置脆弱性的例子途径就是安装补丁文件或者安装由供应商发布的相关更新文件或者使用一种外部保护，如分组洗涤器，以阻止访问脆弱性。常见的例子包括内存攻击如操作系统上的缓冲区溢出或攻击●熟悉操作系统以及它的网络组件；●很好地理解应用程序以及环境的前提条件；●知道如何修补应用程序和操作系统以及升级可能带来的后果。GB/T40218—2021/IEC/TR62443-3-1:2009脆弱性数据库和已经发布的工业设备上的脆弱性是目前关于特定的IACS脆弱性的有限信息。信息的缺乏将进一步限制在IT操作系统和应用程序上扫描识别脆弱性的效力。然而，鉴于这种产业向标准IT操作系统和应用程序转移，并远离那些独立的专用系统，扫描系统能够帮助提高这些IT组件脆弱性扫描应在已经部署了标准的IT操作系统或应用程序的系统控制环境中使用。此使用应仔取证及分析工具通过分析原始网络数据包被动收集关于网络及相关的架构、通信和用户的信息。GB/T40218—2021/IEC/TR62443-3-1:2009信息为分析员做审查时，捕获原始网络数据包。这些工具将包域和包头信息转换为易读格式和用来显示网络实时活动。定制过滤器可以经过设置允许管理员基于协议类型、IP地址捕获包和允许管理员去除和任务无关的信息。抓包工具可以用于排除网络故障、检测事件应了抓包工具的功能因而被用于企业级网络。网络监控程序以类似抓包软件的原理工作。然●取证和分析工具(FAT):FAT功能类似于网络监控工具，因为两者都提供企业级网络的监控、集中式网络安全管理能力和扩展报告能力。不同于前两者的是，它可以用于防御而不只是网络管理工具。网络取证和分析程序监测流量时，可以同时从网络安全方面考虑正常的网络基GB/T40218—2021/IEC/TR62443-3-1消息源中使用某种形式的试探或压缩，要么在释放攻击的持久性之前需要大量共享内存来缓冲数据。传统IT协议的工作站的限制。它们必须很小心地使用可操作的IACS网络。FAT需要适应普通的IACS协议，例如OPC和现场总线协议。过滤和数据精简工具也需要适应FAT宜始终和激活的IDS串联部署。针对IDS的配置逻辑也能被应用到FAT。IDS所面临的威胁环境将始终为有效部署FAT提供所需的数据子集。因此，系统管理员应为FAT部署准备使用FAT时，最难决策的是如何权衡数据量的大小及其来源。存留空间需要收集足够的信息来当收集并存储关于IACS或其使用者的重要取证数据时，要确认并复审这些收集的数据在隐私法或其他法律中是否有效。收集数据的多少是否被视为非法取决于行业、系统的使用以及当时生效的GB/T40218—2021/IEC/TR62443-3-1:2009系统管理员通过HCM工具在中心管理资源，控制系统的存取并为网络中的每台主机设定通用的工业自动化和控制系统不会专门使用HCM工具，因为这些工具会受到策略的影响。大多数配置是通过IACS应用程序根据功能需求而不是管理和安全策略来建立的。网络中的HCM典型地受限于考虑在IT网络管理中的关键性和安全策略，HCM工具和程序通常只应用于普通的IT领域。由配置。用户的访问和约束通过IACS应用程序能被设定到每一个操作员或工程师工作站，对每一个用ITHCM工具变化依赖于被管理的操作系统。主要为MicrosoftWindows产品使用动态目录和第化的配置。大多数HCM任务在Linux和UNIX中通过使用指定的脚本和远程管理工具进行管理。现在最大的问题是在大多数网络中，在IACS环境中使用HCM工具缺乏标准的软件和硬件。假问。大多数IACS系统并不支持对操作系统和应用程序进行重大的和频繁的改变，比如网络服务器和GB/T40218—2021/IEC/TR62443-3-1:2009为了控制。因为应用程序是依赖于操作系统和部件的，所以控制应用程序的需求驱动了主机的配置。尽管任务或规划需要标准化，但是IACS经营者和供应商将首先评估当前的管理任务和应用软件改变控制和增加安全策略。IACS经营者和供应商首先将在可能颁布的加强网络完整性的策略上评估估管理主机配置和决定其用户指定的HCM需求用的，在实际使用上有什么需求以及合法使用上的花费。但是一旦IACS环境变得更加标准且需要更●在网络上管理多个版本的企业应用程序和软件是非常复杂的。第一种ASM应用程序是企业应用程序套件，用来在网络中部署大型软件包。它可以用来管理操GB/T40218—2021/IEC/TR62443-3-1:2009第二种ASM应用程序是第三方应用程序，用来更新范围非常有限的产品。补丁管理软件是这种程序。这种ASM工具的实例包括Patchlink、MicrosoftWUS、以第三种非正规的ASM工具是大多数COTS软件零售商的产品中都包含的更新程序组件。它们属ASM工具目前在IACS网络中的部署方式并不多。IACS应用程序供应商可能会使用ASM软件随着COTS操作系统和应用程序正在集成到越来越多的IACS环境中，ASM工具也将被全面评考虑应用程序的架构和通信机制。这些工具可能会给IACS网络带来新的信息路径或脆弱性，需对于正在获取的更新程序数据，在IACS上采用之前也应评估其是否完好。如果使用了已经被损目前已经在IACS环境中部署管理应用更新程序的客户端代理或模块，因为他们不会影响IACSGB/T40218—2021/IEC/TR62443-3-1随着IACS供应商越来越重视补丁管理，可能会对用来部署安全更新程序的第三方应用程序进行随着COTS软件被部署到IACS网络中，客户端更新代理或模块将更加普及。在补丁操作日益重在IACS设备中使用的软件是决定控制系统整体安全性的重要因素。它作为访问设备的中介来实第9章分析了IACS中所用的三种关键软件组件的安全性：●服务器和工作站操作系统；●实时和嵌入操作系统；●网络服务器和互联网技术。操作系统(OS)是计算机上运行的最重要的程序。每台通用计算机都有一个操作系统执行基本任网络和因特网技术在IACS中正变得越来越重要，因为它们可以为控制室以外的用户更及时方便GB/T40218—2021/IEC/TR62443-3-1:2009●在没有运行应用程序的情况下提供一个默认的用户界面；●为软件开发提供一个应用程序编程界面；●为计算机的硬件和外围设备提供一个界面。在IACS环境中，SCADA主机、工厂计算机以9.2.4已知问题和弱点●一位对所有系统资源拥有全面访问权限的管理员；●对自己工作所需的应用程序和文件拥有全面访问权限的普通用户。用DAC的操作系统比较容易受到病毒和木马攻击。●远程访问网络中的服务器。子邮件或运行电子数据表不是很严重的问题。而在IACS环境中，操作人员经常需要快速访问系统和GB/T40218—2021/IEC/TR62443-3-1:2009第10章),因为针对控制中心的访问权限通常仅限于被授权人员。●加强进程隔离：保护主内存页，以确保每个应用程序都不会被其他应用程序(甚至包括操作系●禁用所有不需要的服务；●更改供应商所提供的默认密码。实时操作系统(RTOS)可以保证在规定的最大时间内处理中断，因而适合用于控制和其他时间关●内存容量有限；●从一个只读存储器或闪存的设备载入程序；●没有存储数据和程序的磁盘；●处理器能力有限(在很多嵌入应用中，8位和16位处理器仍然常见)。●请求设备传输数据(轮询);GB/T40218—2021/IEC/TR62443-3-1:2009仔细分隔IACS应用中的通信网络非常重要，尤其是在采用TCP/IP传输机制的情况下。建议将在9.4中所探讨的软件本身不是为了解决安全脆弱性而设计的。介绍它的原因是它在IACS产品网络服务器和浏览器客户端都支持安全套接层(SSL),它为两个组件之间的数据传输提供加密SCADA和历史数据库软件供应商一般将网络服务器作为产品选件提供，以便位于控制室之外的GB/T40218—2021/IEC/TR62443-3-1:2009过去，因为IACS不连接到其他电子系统或网络，因而在某种程度上是安全的。在加入了连接以保护IACS不受网络攻击的最佳安全措施是不采用任何网络连接。如果采用很多IACS,尤其是小规模的IACS,并且不连接到其他系统(包括网络),可能效果比较好。除非将IACS连接到网络有很大应严格限制从IACS进行的网络访问操作，只允许执行特定管理服务所必要的连接进行操作。在创建这些连接的时候，需要安装最新的安全功能。这些功能包括防御性很强的DMZ,经过全面开发并上市物理安全控制是为了限制接触IACS环境内的任何信息资产而采取的任何主动或被动物理措施。●在未经授权的情况下实际进入敏感区域；GB/T40218—2021/IEC/TR62443-3-1:2009记录在案的针对IACS的攻击行为中，有很大比例的攻击涉及通过物理接触设备来进行破坏。在开发测量鉴别或记录设备以及各种其他设备。它们本身不会专门控制或限制人员进入一个实际场实例包括停车场监控、便利店监控或航空安检用的摄像机。这些识别系统并不专门用来阻止●进入限制系统：进入限制系统可以采用组合设备来实际控制或防止无关人员接触受保护的资●在未经授权的情况下使用设备或信息资产；●观察专有业务过程或活动；●泄漏危险物。下明确识别和确定这些要求。部署物理安全控制功能涉及的范围很广，需要根据所需的保护类型来GB/T40218—2021/IEC/TR62443-3-1:2009●人员的保护：人员保护适用于避免IACS环境内外的任何人或动物受到伤害或死亡的措施。实例包括防止接触移动部件的栅栏门或门、将人体与移动部件分开的障碍物或者用来检测是否备或其他信息资产周围搭建若干主动和被动式实体障碍，可以组成这种物理安全系统的外围●尝试性或成功的擅自改动或闯入行为的证据不是未被发觉就是被忽视。宜每天对高度敏感的设备进行检查和审查，以确保物理安全控制功能满足要求。很多实体攻击在进行之前都有几物理安全计划对于保护IACS环境非常重要。任何安全计划都有一个潜在的关键弱点，亦即物理GB/T40218—2021/IEC/TR62443-3-1●在实现物理保护功能时，可以在信息资产周围设置多个物理保护屏障。这些屏障应根据具体●宜对相关设施采取保护措施，以保证外面的人难以看到内部的商业活动，尽量不暴露建筑的●宜定期调查物理安全措施的结构是否周全。●将交货区和装载区与所有关键系统隔离开。这些区域经常会成为潜在危险材料攻击或破坏的工业领域有多种具体的物理安全监管要求。宜全面研究这些问题，以GB/T40218—2021/IEC/TR62443-3-1:2009●书面工作介绍和员工责任：详细说明企业内雇员、承包商或其他工作人员与其信息资产的关公司职位期间相关的其他策略。这些策略对于达到如下效果也是必不可少的：降低困难情况公司策略的不当交流或误解。对于所有公司策略，都要首先形成书面文字并提供给所有工作●可接受的面试方法；●公司的雇用标准；●职位描述和工作职务；●可接受的信息资产使用方式；●差旅策略和报销；GB/T40218—2021/IEC/TR62443-3-1:2009●媒体和文件管理；●安全规程和违规通知；●危害物的处置；●维护程序。●任何雇用策略、程序或背景检查都不能帮助组织确定员工将来是否会对企业环境造成有害●相关法律通常会限制公司在招聘指定职位工作人员时可获取的个人或背景信息。不过，如果有一些对应条款和例外规定。在确定雇用过程中可获取和使用的个人信息的范围时，强烈建GB/T40218—2021/IEC/TR62443-3-1:2009CERT①是CERT协调中心(CERT/CC)的注册商标。此信息为标准的使用者提供方便，不会由IEC为商标持有人或者任何其商品承担责任。遵守此标准不ControlNetTM和EtherNet/IPTM是ControlNet国际公司的商标。此信息为标准的使用者提供方便，不会由IEC为商标持有人或者任何其商品承担责任。遵守此标准不要求使用该商标。使用该商CIPTM是ODVA(开放DeviceNet供应商协会)的商标。此信息为标准的使用者提供方便，不会由IEC为商标持有人或者任何其商品承担责任。遵守此标准不DebianLunux@apt-get是大众利益软件公司的注册商标。此信息为标准的使用者提供方便，不会EtherPeek①是WildPackets公司的注册商标。此信Ethereal⁰是Wireshark基金会的注册商标。此信息为标准的使用者提供[1]FederalInformationProcessingStandards(FIPS)PUB140-2forCryptographicModules,Section2,GlossaryofTermsandAcronyms,U.S.NationalInstituteofStandardsandTechnology</publications/fips/fips140-2/fips1[2]UsedwithpermissionoftheBritishColumbiaInstituteof[3]InternetSecurityGlossary([4]CNSSInstructionNo.4009,U.S.NationalInformationAssuranceGlossary,May2003,</Assets/pdf/cnssi_[5]SANSGlossaryofTermsusedinSecurityandIn/resources/glossary[6]SANSGlossaryofTermsusedinSecurityandIn/resources/glossary[60870-5]IEC60870-5(allparts)Telecontrol[17799]ISO/IEC1securitymanagement</>(/whs/directives/corres/te[802.1Q]IEEE802.1Q-VirtualLANs,IEEE,InstituteofElectricalandEl</1/pages/802[AGA]AmericanGasA[AGA-12]CryptographicProtectionofandTestPlan,September2005.<http://www[All]J.Allen,TheCERTGuidetoSystemand<http://www.awprofessio[And]NetworkScannersPINpointProblems(February</reviews/2002/0204bg[anon01]Advantech</vendors/pro[anon02]BattlingtheCyberMenace,Powe[anon03]CKMTechnolo[anon04]InterlinkNetRevolutionNewsletter,April28,</enews/042(.au/articles/ff/0c02e9ff.asp>,May17,2005.[anon06]SecurityUnconscious?<http://www.controlglobalGB/T40218—2021/IEC/TR62443-3-1[anon07]SSLVPNvs.IPsecVPN,ArrayNetworks,Inc.2004.[anon08]Thalese-Security,〈/vendors/products/html>,2005.[anon09]CommonVulnerabilities[anon10]DesigningSecureActiveXControlsMSfault.asp?url=/workshop/components/activex[anonl1](http://lina[anon12]<[anon13](http://windowsupdat[anon14]</products/swdel[anon15](/products/products_[anon16]</roi.ht[anon17]</qunetix/sdwhitepaper.pd[anon18]〈/Pr[anon19]〈http://www.managesoft.co.uk/solution[anon20]</smserver[anon21]</windows2000/techinfo/reski[anon22]</news/2005/0[anon23](/techinsider/2005/011[anon24]</white[anon25]</conf[anon26]</features/inde[anon27]</Files/41097/41097.pdf>[anon28]</Windows/Article/Ar[anon29]InformIT,Security,AccessControlSystems,Part2,VerifyingtheAutIdentity,2006.11.07,<rmit.co</network/connectivity/resources/doc_library/documents/pdf/</cgi-local/protocoldb/b[anon32]Kerberos,TheNetworkAuthenticationProtocol,MassachusettsInstituteofTechngy,</kerb[anon33]MicrosoftNext-</presspass/features/2002/jul02/0724palladiumwp.asp>[anon34]Nessus,<htt[anon35]NetworkMonitoringSystemDesignedtoDetectUnwanted</industrynews/2005/168.html>,September14,2005.[anon36]〈Nmap,/nmap/)[anon37]SchweitzerEngineeringLaboratories,Inc.,CorporateOverview[anon38]Secure-Sockets-Layer/Transport-Layer-SecurityResources,Open[anon39]SmartCardAlliance(/industry[anon40]VirtualPrivateNetworkConsortium/IPsecResources</news/view.asp?news_ID=264>,May[AW]Ashier,J.andWeiss,J.,SecuringyourControlS/articles/2004/238.html,2004.[Bhold]bholdCompanyWhitement,bholdcompany,Naarden,TheNethe[CG]Cranor,L.F.andGarfinkel,S.SecurityandPeopleCanUse.OReillyMedia,Inc.Sebastopol,CA</en/US/netsol/ns340/ns394/ns171/ns128/networking_solutions[Coh]Cohen,B.,VPNGatewayAppliances</testdrive/article.php/3501156>,April28,2005.[Cor]E.Correia,SoftwareDevelopmentTimes,December15Security</News/I[CR]M.Curtin,M.RanumInternetFirewalls</pubs[CY]Chen,Y.,andYang.Y.,PolicyManagementforNetwork-basedIntrusionPrevention,IEEENOMS,2004.[DM]DorothyE.DenningandPeterF.MacDoran,Locati(/～denning/infosec[DHvHC]Dzung,D.,Naedele,M.,VonHoff,T.,andCrevatin,M.,CommunicationSystems,ProceedingsoftheIEEE.InstituteofElectricalandElectronicsEngineersInc.2005.[Far]R.Farrow,Por</Resources/p[FKC]D.Ferraiolo,D.Kuhn,R.Chandramouli(2003),Role-BasedAccess[FS]J.Forristal,G.Shipley,NetworkComputing,NetworkComputingReview</1201/1201[Gar]SimsonGarfinkel,NetworkForen[GGM]Green,M.,Gallo,S.,andMiller,R[GJ]Gou,X.,Jin,W.,Multi-aNAT/FirewallinNextGenerationNetworks,ProceedingsoftmunicationNetworksandServicesDepartmentofComputerEngineeringandComputer[Harl]Harris,Shon,All-iMcGraw-Hill/Osborne,NewYork,NY,2005.[Har2]Harris,S.MikeMeyer'sCISSPCertificationPassport,ISBNHill/Osborne,Berkeley,CAMethodologyManual(OSSTM)</Sun,J.,Real-TimeEmulationofIntru-sionVictiminHoneyFarm,AWCC.2004.[IAONA]TheIAONAHandbookforNetworkSecurity-Draft/RFtionOpenNetworkingAssociation(IAONA),Magdeburg,Germany,2003.Forum</fra[Intel]IntelNetworkingTechnicalBriefs:VirtualLANs:FlexibleNetwo</network/connectivity/resources/doc_library/tech_brief/virtua<.au/～rjunee/sc_side_ch[KCS]Kim,H.,Choi,Y.,andSeo,D.,ImplementationofReal-timeManagementogy,2004.[KDO]C.King,C.Dalton,T.Osmanoglu,RSAPress,2001Deployment&.Operations,<〉SaveOrganizationsTitp:///articles/april01/cover.shtmlJHJcase_stu2006).[KP]Katzenbeisser,S.,PetProceedingsofSPIE,4675,2002,pp.50-5.[KW]N.King,E.Weiss,InformationSecurityMagazine,tp:///2002/feb/cov[LB]Ly,S.andBigdeli,A.,ExtendableandDynamicallywall,InternationalJournalofSoftwareEngineeringandKnowledge(2005)pp.363-371.[Loc]Lockhart,A.NetworkSecurityHacks,OReilly55,261.[M-E]DarrenMar-Elia,MonitoringandTroubleshootingtheRegistry—,October20</Content/3[Man]C.Mann,AWeb-onlyPrimeronPublic-KeyEncryption,TheAtlanticMtember2002</issues/2002/09/mann_g.htm>[Mix]Mix,S.,SupervisoryConEPRI,2003.[Mon]R.Monkman,EDNMagazine,October17,2002,Enhatp:///press/articles/17oct2002-Enhancing%20Embedded%20Security.pdf>[MvOV]Menezes,AlfredJ.,vanOorschot,PaulC.,anHandbookofAppliedCryptography,ISBN0849385237,CRCPress,<>Areadablediscussiononthedetailsandattacks,butthisbookNetworks,NationalInfrastructureSecurityCoordinationCentre,London,2005,<.uk/docs/re-20050223-00157.pdf>[NIST01]AESHomepage,</CryptoToolkit/aes/>[NIST02]AnIntroductiontoRoleBasedAccessControlcember1995),</rbac/NIST-ITL-RBAC-bulletin.html>[NIST03]NISTSP:800</publications/nistpubs/800-12/handbook.pdf></publications/nistpubs/800-76/sp800-76.pdf>[NIST05]Bace,Rebecca;Mell,Peter,NISTSP:(/publications/nistpubs/800-31/sp800-31.pdf)[NIST06]Baker,Elaine,etal,NISTSP:800-56,RecolishmentSchemesUsing</publications/nistpubs/800-56A/sp800-56A_May[NIST07]Baker,Elaine,etal,NISTSP:800-57RecommendationforKeyMan(/publications/nistpubs/800-57/SP800-57-Part1.pdf)(/publications/nistpubs/800-57/SP800-57-Part2.pdf)[NIST08