《工業(yè)控制系統(tǒng)安全指南》NISTSP800-82

目錄TOC\o"1-4"\h\z\u摘要 51.簡(jiǎn)介 91.1管理機(jī)構(gòu) 91.2目的和范圍 91.3讀者 101.4文檔結(jié)構(gòu) 102.工業(yè)控制系統(tǒng)概述 112.1SCADA，DCS，PLC的概述 122.2ICS的操作 132.3主要ICS元件 152.3.1控制元件 152.3.2網(wǎng)絡(luò)組件 162.4SCADA系統(tǒng) 172.5分布式控制系統(tǒng)（DCS） 222.6可編程邏輯控制器（PLC） 242.7工業(yè)部門(mén)和他們的相互依存性 243.ICS特性，威脅和脆弱性 253.1ICS和IT系統(tǒng)的比較 263.2威脅 303.3ICS系統(tǒng)潛在的脆弱性 323.3.1策略和程序方面的脆弱性 333.3.2平臺(tái)方面的脆弱性 343.3.3網(wǎng)絡(luò)方面的脆弱性 403.4風(fēng)險(xiǎn)因素 443.4.1標(biāo)準(zhǔn)的協(xié)議和技術(shù) 443.4.2網(wǎng)絡(luò)連接擴(kuò)大 453.4.3不安全和惡意的連接 463.4.4.公開(kāi)的信息 463.5安全事件舉例 473.6安全事故來(lái)源 483.7收錄的安全事件 503.7.1內(nèi)部有目標(biāo)攻擊事件 503.7.2無(wú)意特定目標(biāo)的攻擊事件 513.7.3內(nèi)部無(wú)明確攻擊目標(biāo)的事件 524.ICS系統(tǒng)安全程序開(kāi)發(fā)與部署 534.1業(yè)務(wù)影響分析 534.1.1收益 544.1.2潛在影響 544.1.3業(yè)務(wù)影響分析的關(guān)鍵組成部分 554.1.4業(yè)務(wù)影響分析的資源 564.1.5向領(lǐng)導(dǎo)介紹商業(yè)案例 574.2開(kāi)發(fā)一套綜合的安全程序文件 574.2.1高層管理者的支持 584.2.2建立和訓(xùn)練一支跨職能的團(tuán)隊(duì) 584.2.3定義綱領(lǐng)和范圍 594.2.4定義ICS詳細(xì)的安全策略和程序 594.2.5定義ICS系統(tǒng)和網(wǎng)絡(luò)資產(chǎn)清單目錄 604.2.6進(jìn)行漏洞與風(fēng)險(xiǎn)評(píng)估 604.2.7定義風(fēng)險(xiǎn)緩解控制措施 624.2.8提供培訓(xùn)機(jī)會(huì)，加強(qiáng)安全意識(shí) 635.網(wǎng)絡(luò)結(jié)構(gòu) 635.1.防火墻 645.2邏輯分割控制網(wǎng)絡(luò) 655.3.網(wǎng)絡(luò)隔離 665.3.1雙宿主機(jī)/兩個(gè)網(wǎng)絡(luò)接口卡 665.3.2辦公網(wǎng)和控制網(wǎng)絡(luò)之間的防火墻 665.3.3辦公網(wǎng)和控制網(wǎng)絡(luò)之間的防火墻和路由器 685.3.4辦公網(wǎng)和控制網(wǎng)絡(luò)之間帶DMZ(隔離區(qū))的防火墻 695.3.5辦公網(wǎng)和控制網(wǎng)絡(luò)之間成對(duì)的防火墻 715.3.6網(wǎng)絡(luò)隔離總述 725.4.深度防御架構(gòu) 735.5.ICS普遍的防火墻策略 745.6.針對(duì)特定服務(wù)的防火墻規(guī)則 765.6.1域名系統(tǒng) 775.6.2超文本傳輸協(xié)議(HTTP) 775.6.3FTP和TFTP 775.6.4Telnet 785.6.5簡(jiǎn)單郵件傳輸協(xié)議(SMTP) 785.6.6簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP) 785.6.7分布式對(duì)象組件模型(DCOM) 785.6.8SCADA和工業(yè)協(xié)議 795.7.網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) 795.8ICS和防火墻的一些具體問(wèn)題 805.8.1海量數(shù)據(jù)記錄系統(tǒng) 805.8.2遠(yuǎn)程登錄 805.8.3組播 815.9單點(diǎn)失敗 825.10冗余和容錯(cuò) 825.11預(yù)防中間人攻擊 826.ICS安全控制 846.1管理控制 856.1.1安全評(píng)估和授權(quán) 856.1.2計(jì)劃 866.1.4系統(tǒng)和服務(wù)獲取 886.1.5程序管理 886.2操作控制 886.2.1人員安全 896.2.2物理及環(huán)境的保護(hù) 906.2.3應(yīng)急預(yù)案 92業(yè)務(wù)持續(xù)預(yù)案 93災(zāi)害恢復(fù)計(jì)劃 946.2.4參數(shù)管理 956.2.5維護(hù) 956.2.6系統(tǒng)和信息保存 96惡意代碼攻擊 96入侵檢測(cè)和防護(hù) 97補(bǔ)丁管理 986.2.7介質(zhì)保護(hù) 996.2.8事件響應(yīng) 1006.2.9意識(shí)和培訓(xùn) 1026.3技術(shù)控制 1026.3.1識(shí)別和授權(quán) 103密碼授權(quán) 104挑戰(zhàn)-應(yīng)答鑒定 106物理標(biāo)志授權(quán) 106生物授權(quán) 1076.3.2訪問(wèn)控制 108基于角色的訪問(wèn)控制(RBAC) 109WEB服務(wù)器 109虛擬本地局域網(wǎng)絡(luò)(VLAN) 109撥號(hào)調(diào)制解調(diào)器 110無(wú)線 1116.3.3審計(jì) 1136.3.4系統(tǒng)和交流保護(hù) 114加密 114虛擬專用網(wǎng)絡(luò)(VPN) 116摘要此文件提供建立安全的工業(yè)控制系統(tǒng)（ICS）的指導(dǎo)。這些ICS包括監(jiān)控和數(shù)據(jù)采集（SCADA）系統(tǒng)，分布式控制系統(tǒng)（DCS），和其他控制系統(tǒng)，如在工業(yè)部門(mén)和關(guān)鍵基礎(chǔ)設(shè)施中經(jīng)常可以看到的撬裝式的可編程邏輯控制器（PLC）。ICS通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運(yùn)輸、制藥、紙漿和造紙、食品和飲料以及離散制造（如汽車(chē)、航空航天和耐用品）等行業(yè)。這些控制系統(tǒng)是美國(guó)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)作的關(guān)鍵，通常是高度相互關(guān)聯(lián)和相互依存的系統(tǒng)。要注意的是大約有90％的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施是私人擁有和經(jīng)營(yíng)的。聯(lián)邦機(jī)構(gòu)也經(jīng)營(yíng)了上面提到的許多工業(yè)流程；其他例子包括空中交通管制和材料處理（例如，郵政郵件處理）。本文提供了對(duì)這些ICS及典型系統(tǒng)技術(shù)的概述，識(shí)別對(duì)這些系統(tǒng)的典型威脅和脆弱性，并提供安全對(duì)策建議，以減輕相關(guān)風(fēng)險(xiǎn)。最初，ICS與傳統(tǒng)的信息技術(shù)（IT）系統(tǒng)幾乎沒(méi)有一點(diǎn)相似，因?yàn)镮CS是孤立的系統(tǒng)，使用專門(mén)的硬件和軟件來(lái)運(yùn)行專有的控制協(xié)議。而現(xiàn)在廣泛使用的、低成本的互聯(lián)網(wǎng)協(xié)議（IP）設(shè)備正在取代專有的解決方案，從而增加了網(wǎng)絡(luò)安全漏洞和事故的可能性。由于ICS采用IT解決方案以提升企業(yè)業(yè)務(wù)系統(tǒng)的連接和遠(yuǎn)程訪問(wèn)能力，并被設(shè)計(jì)為可使用工業(yè)標(biāo)準(zhǔn)的計(jì)算機(jī)、操作系統(tǒng)（OS）和網(wǎng)絡(luò)協(xié)議，它們已經(jīng)開(kāi)始類(lèi)似于IT系統(tǒng)了。這種集成支持新的IT能力，但它為ICS提供的與外界的隔離明顯比原先的系統(tǒng)少多了，這就產(chǎn)生了更多的安全保護(hù)需求。雖然在典型的IT系統(tǒng)中已經(jīng)設(shè)計(jì)了安全解決方案來(lái)處理這些安全問(wèn)題，但是在將這些相同的解決方案引入ICS環(huán)境時(shí)，必須采取特殊的預(yù)防措施。在某些情況下，需要為ICS環(huán)境量身定制的新的安全解決方案。雖然有些特征是相似的，ICS還有與傳統(tǒng)的信息處理系統(tǒng)不同的特點(diǎn)。這些差異來(lái)自于在ICS中的邏輯執(zhí)行會(huì)直接影響物理世界這一事實(shí)。這些特征包括對(duì)人類(lèi)的健康和生命安全的重大風(fēng)險(xiǎn)，對(duì)環(huán)境的嚴(yán)重破壞，以及嚴(yán)重的財(cái)務(wù)問(wèn)題如生產(chǎn)損失，對(duì)一個(gè)國(guó)家的經(jīng)濟(jì)產(chǎn)生負(fù)面影響，妥協(xié)的所有權(quán)信息。ICS具有獨(dú)特的性能和可靠性要求，并經(jīng)常使用的操作系統(tǒng)和應(yīng)用程序可能對(duì)典型的IT人員而言被認(rèn)為是標(biāo)新立異的。此外，有時(shí)安全和效率的目標(biāo)會(huì)與在控制系統(tǒng)的設(shè)計(jì)和操作中的安全性相沖突。最初ICS主要面對(duì)的是本地威脅，因?yàn)樗鼈兊脑S多組件都連接在被物理保護(hù)的區(qū)域中，并沒(méi)有連接到IT網(wǎng)絡(luò)或系統(tǒng)。然而，將ICS系統(tǒng)集成到IT網(wǎng)絡(luò)中的趨勢(shì)顯著減少了ICS與外界的隔離，從而產(chǎn)生了更多的保護(hù)這些系統(tǒng)對(duì)抗遠(yuǎn)程、外部威脅的需求。此外，越來(lái)越多的無(wú)線網(wǎng)絡(luò)應(yīng)用使ICS實(shí)現(xiàn)要面臨更多的來(lái)自某些敵人的風(fēng)險(xiǎn)，這類(lèi)人與設(shè)備在物理上比較接近，但又沒(méi)有直接的物理連接?？刂葡到y(tǒng)面臨的威脅可以來(lái)自多個(gè)方面，包括敵對(duì)政府，恐怖組織，心懷不滿的員工，惡意入侵者，復(fù)雜性，事故，自然災(zāi)害以及由內(nèi)部的惡意或意外行為。ICS安全目標(biāo)通常按照可用性、完整性和保密性的優(yōu)先順序排列。一個(gè)ICS可能面臨的事故包括：阻止或延遲通過(guò)ICS網(wǎng)絡(luò)的信息流，這可能會(huì)破壞ICS的運(yùn)作對(duì)命令、指示或報(bào)警閾值非授權(quán)的更改，可能損壞、禁用或關(guān)閉設(shè)備，產(chǎn)生對(duì)環(huán)境的影響，和/或危及人類(lèi)生命不準(zhǔn)確的信息被發(fā)送到系統(tǒng)操作員，或者是掩飾非授權(quán)的更改，或?qū)е虏僮髡甙l(fā)起不適當(dāng)?shù)男袆?dòng)，均可能產(chǎn)生不同的負(fù)面影響ICS軟件或配置參數(shù)被修改，或ICS軟件感染惡意軟件，都會(huì)產(chǎn)生不同的負(fù)面影響干擾安全系統(tǒng)的運(yùn)行，可能危及人類(lèi)生命。ICS實(shí)施的重要安全目標(biāo)應(yīng)包括以下內(nèi)容：限制對(duì)ICS網(wǎng)絡(luò)的邏輯訪問(wèn)和網(wǎng)絡(luò)活動(dòng)。這包括使用防火墻的一個(gè)非軍事區(qū)（DMZ）的網(wǎng)絡(luò)架構(gòu)，以防止網(wǎng)絡(luò)流量在企業(yè)網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)之間直接傳遞，并對(duì)企業(yè)網(wǎng)絡(luò)用戶和ICS網(wǎng)絡(luò)用戶分別提供獨(dú)立的身份驗(yàn)證機(jī)制和憑證。ICS還應(yīng)使用多層的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，使最關(guān)鍵的通信發(fā)生在最安全和最可靠的層面。限制對(duì)ICS網(wǎng)絡(luò)和設(shè)備的物理訪問(wèn)。對(duì)組件的非授權(quán)的物理訪問(wèn)可能會(huì)導(dǎo)致對(duì)ICS功能的嚴(yán)重?cái)_亂。應(yīng)采用組合的物理訪問(wèn)控制機(jī)制，如鎖、智能卡閱讀器和/或警衛(wèi)。保護(hù)單個(gè)的ICS組件免受暴露。這包括盡可能迅速地部署安全補(bǔ)丁，一旦在它們?cè)诂F(xiàn)場(chǎng)條件下通過(guò)測(cè)試后；禁用所有未使用的端口和服務(wù)；限制ICS的用戶權(quán)限，只開(kāi)放每個(gè)人的角色所需要的權(quán)限；跟蹤和監(jiān)測(cè)審計(jì)蹤跡；在技術(shù)上可行的地方使用如防病毒軟件和文件完整性檢查軟件等安全控制措施來(lái)預(yù)防、阻止、檢測(cè)和減少惡意軟件。在不利條件下保持功能。這涉及到設(shè)計(jì)ICS以使每個(gè)關(guān)鍵組件都有冗余。此外，如果一個(gè)組件失敗，它應(yīng)該不會(huì)在ICS或其他網(wǎng)絡(luò)上產(chǎn)生不必要的流量，或不會(huì)在其他地方引起另一個(gè)問(wèn)題，如級(jí)聯(lián)事件。事件發(fā)生后，恢復(fù)系統(tǒng)。事故是不可避免的，事件響應(yīng)計(jì)劃是必不可少的。一個(gè)良好的安全計(jì)劃的主要特點(diǎn)是一個(gè)事件發(fā)生后，可以以最快的速度恢復(fù)系統(tǒng)。為在ICS中妥善地解決安全問(wèn)題，必須有一個(gè)跨部門(mén)的網(wǎng)絡(luò)安全團(tuán)隊(duì)，分享他們?cè)诓煌I(lǐng)域的知識(shí)和經(jīng)驗(yàn)，評(píng)估和減輕ICS的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全團(tuán)隊(duì)成員至少應(yīng)包括組織的IT人員、控制工程師、控制系統(tǒng)操作員、網(wǎng)絡(luò)和系統(tǒng)安全專家、管理層成員和物理安全部門(mén)。為保持連續(xù)性和完整性，網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)向控制系統(tǒng)供應(yīng)商和/或系統(tǒng)集成商進(jìn)行咨詢。網(wǎng)絡(luò)安全小組應(yīng)直接向場(chǎng)站管理者（例如，工廠主管）或公司的CIO/CSO報(bào)告，后者應(yīng)對(duì)ICS網(wǎng)絡(luò)安全承擔(dān)全部的責(zé)任和問(wèn)責(zé)。一個(gè)有效的ICS網(wǎng)絡(luò)安全方案應(yīng)使用“縱深防御”戰(zhàn)略，即分層的安全機(jī)制，例如任何一個(gè)機(jī)制失敗的影響被最小化。在一個(gè)典型的ICS中的“縱深防御”戰(zhàn)略包括：制定專門(mén)適用于ICS的安全策略，程序，培訓(xùn)和教育材料?；趪?guó)土安全咨詢系統(tǒng)威脅級(jí)別來(lái)考慮ICS的安全策略和程序，隨著威脅程度的增加部署逐漸增強(qiáng)的安全機(jī)制。解決從架構(gòu)設(shè)計(jì)到采購(gòu)到安裝到維護(hù)退役的ICS整個(gè)生命周期的安全。為ICS實(shí)施多層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在最安全和最可靠的層進(jìn)行最重要的通信。提供企業(yè)網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)之間的邏輯分離（例如，在網(wǎng)絡(luò)之間架設(shè)狀態(tài)檢測(cè)防火墻）。采用DMZ網(wǎng)絡(luò)體系結(jié)構(gòu)（即，防止企業(yè)和ICS網(wǎng)絡(luò)之間的直接通信）。確保關(guān)鍵部件和網(wǎng)絡(luò)冗余。為關(guān)鍵系統(tǒng)設(shè)計(jì)優(yōu)雅降級(jí)（容錯(cuò)），以防止災(zāi)難性的級(jí)聯(lián)事件。禁用ICS設(shè)備中經(jīng)測(cè)試后確保不會(huì)影響ICS運(yùn)作的未使用的端口和服務(wù)。限制對(duì)ICS網(wǎng)絡(luò)和設(shè)備的物理訪問(wèn)。限制ICS的用戶權(quán)限，只開(kāi)放為執(zhí)行每個(gè)人的工作所必須的權(quán)限（即建立基于角色的訪問(wèn)控制和基于最小特權(quán)原則配置每個(gè)角色）?？紤]為ICS網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)的用戶分別使用獨(dú)立的身份驗(yàn)證機(jī)制和憑據(jù)（即ICS網(wǎng)絡(luò)帳戶不使用企業(yè)網(wǎng)絡(luò)的用戶帳戶）。利用現(xiàn)代技術(shù)，如智能卡的個(gè)人身份驗(yàn)證（PIV）。在技術(shù)上可行的情況下實(shí)施安全控制，如入侵檢測(cè)軟件、殺毒軟件和文件完整性檢查軟件，預(yù)防、阻止、檢測(cè)和減少惡意軟件的侵入、曝露和傳播，無(wú)論是針對(duì)或來(lái)自ICS，或在其內(nèi)部。在確定適當(dāng)?shù)牡胤綄?duì)ICS的數(shù)據(jù)存儲(chǔ)和通信應(yīng)用安全技術(shù)，如加密和/或加密哈希。在現(xiàn)場(chǎng)條件下進(jìn)行了所有安全補(bǔ)丁包測(cè)試后，如果可能的話，在安裝到ICS之前先迅速部署到測(cè)試系統(tǒng)上。在ICS的關(guān)鍵領(lǐng)域跟蹤和監(jiān)測(cè)審計(jì)蹤跡。NIST與公共和私營(yíng)部門(mén)的ICS團(tuán)體合作創(chuàng)建了工業(yè)控制系統(tǒng)安全項(xiàng)目，為將NISTSP800-53“聯(lián)邦信息系統(tǒng)和組織安全控制建議”中的安全控制應(yīng)用于ICS開(kāi)發(fā)了具體的指南。雖然在NISTSP800-53的附錄F中描述的大部分控制適用于ICS，一些控制確實(shí)需要通過(guò)增加以下一項(xiàng)或多項(xiàng)來(lái)提供ICS專用的解釋和/或增強(qiáng)：ICS補(bǔ)充指南為組織就NISTSP800-53附錄F中的安全控制在ICS及這些專門(mén)系統(tǒng)運(yùn)行的其他環(huán)境中的應(yīng)用和增強(qiáng)提供了附加的信息。補(bǔ)充指南還提供了一些信息，關(guān)于為什么一個(gè)特定的安全控制或控制增強(qiáng)可能不適用于某些ICS環(huán)境，而可能是一個(gè)候選項(xiàng)（即，適用范圍指南和/或補(bǔ)償控制）。ICS補(bǔ)充指南不會(huì)取代原來(lái)在NISTSP800-53附錄F中的補(bǔ)充指南。ICS增強(qiáng)（一個(gè)或多個(gè)），對(duì)一些ICS原來(lái)可能需要的控制提供了增強(qiáng)增擴(kuò)。ICS增強(qiáng)版補(bǔ)充指南，就控制增強(qiáng)如何適用于或不適用于ICS環(huán)境提供指導(dǎo)。這份ICS專用指南包含在NISTSP800-53，第3修訂版，附錄一：“工業(yè)控制系統(tǒng)-安全控制，增強(qiáng)和補(bǔ)充指南”中。該文件的第6條還為800-53安全控制如何應(yīng)用于ICS提供了初步指導(dǎo)意見(jiàn)。如果有初步建議和指導(dǎo)的話，會(huì)出現(xiàn)在每節(jié)的概述框中。NIST計(jì)劃在2011年12月出一個(gè)NISTSP800-53更新版（NISTSP800-53，第4修訂版），包括當(dāng)前在工業(yè)控制系統(tǒng)領(lǐng)域中的安全控制，控制增強(qiáng)，補(bǔ)充指導(dǎo)，以及剪裁和補(bǔ)充指南的更新。此外，本文件的附錄C對(duì)許多當(dāng)前正在聯(lián)邦機(jī)構(gòu)、標(biāo)準(zhǔn)組織、產(chǎn)業(yè)集團(tuán)和自動(dòng)化系統(tǒng)供應(yīng)商中進(jìn)行的許多活動(dòng)提供了一個(gè)概述，以便為ICS領(lǐng)域的安全提供有效的建議做法。確保ICS安全的最成功的方法是，收集業(yè)界建議的做法，在管理層、控制工程師和操作員、IT組織和一個(gè)可信的自動(dòng)化顧問(wèn)之間發(fā)起一個(gè)積極的、協(xié)同的努力。這支團(tuán)隊(duì)?wèi)?yīng)從聯(lián)邦政府、行業(yè)組織、廠商、標(biāo)準(zhǔn)化組織正在進(jìn)行的附錄C所列的活動(dòng)中提取豐富的可用信息。1.簡(jiǎn)介1.1管理機(jī)構(gòu)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的開(kāi)發(fā)推進(jìn)其法定職責(zé)，本文件根據(jù)聯(lián)邦信息安全管理法案（FISMA）2002年，公共法107-347和國(guó)土安全總統(tǒng)指令（HSPD-7）2003年7。NIST發(fā)展的標(biāo)準(zhǔn)和準(zhǔn)則，包括的最低要求，所有機(jī)構(gòu)的業(yè)務(wù)和資產(chǎn)提供足夠的信息安全負(fù)責(zé)，但這些標(biāo)準(zhǔn)和準(zhǔn)則不適用于國(guó)家安全系統(tǒng)。這一方針的管理和預(yù)算辦公室（OMB）通告A-130，第8B（3）辦公室的要求是一致的，“保證機(jī)構(gòu)信息系統(tǒng)”，在A-130的分析，附錄四：對(duì)重點(diǎn)路段的分析的安全。A-130，附錄三提供參考信息。這一方針已準(zhǔn)備為聯(lián)邦機(jī)構(gòu)使用。它可用于在自愿基礎(chǔ)上的非政府組織，并不受版權(quán)保護(hù)，雖然歸屬需要。在這個(gè)文件中的任何內(nèi)容，應(yīng)采取相矛盾的標(biāo)準(zhǔn)和準(zhǔn)則方面對(duì)聯(lián)邦機(jī)構(gòu)的強(qiáng)制性和約束力，由商務(wù)部根據(jù)法定權(quán)限局長(zhǎng)，也不應(yīng)改變或取代現(xiàn)有的主管部門(mén)，工商及科技局局長(zhǎng)主任解釋這些準(zhǔn)則行政管理和預(yù)算局，或任何其他聯(lián)邦官員。1.2目的和范圍本文件的目的是為工業(yè)控制系統(tǒng)（ICS）的安全保障提供指導(dǎo)，包括監(jiān)控和數(shù)據(jù)采集（SCADA）系統(tǒng)、分布式控制系統(tǒng)（DCS）及其他執(zhí)行控制功能的系統(tǒng)。該文件提供了一個(gè)對(duì)ICS和典型系統(tǒng)拓?fù)涞母攀觯_定了這些系統(tǒng)的典型威脅和漏洞，并提供建議的安全對(duì)策，以減輕相關(guān)的風(fēng)險(xiǎn)。因?yàn)橛性S多不同類(lèi)型的ICS，具有不同程度的潛在風(fēng)險(xiǎn)和影響，該文件為ICS安全提供了許多不同的方法和技術(shù)。該文件不應(yīng)該單純的被用作一個(gè)保護(hù)特定系統(tǒng)的清單。我們鼓勵(lì)讀者在他們的系統(tǒng)中執(zhí)行風(fēng)險(xiǎn)評(píng)估，并對(duì)建議的指導(dǎo)方針和解決方案進(jìn)行裁剪，以滿足其特定的安全、業(yè)務(wù)和運(yùn)營(yíng)要求。本文件的范圍包括通常在電、水和污水處理、石油和天然氣、化工、制藥、紙漿和造紙、食品和飲料以及離散制造（汽車(chē)、航空航天和耐用品）等行業(yè)應(yīng)用的ICS。1.3讀者本文檔涵蓋了ICS的具體細(xì)節(jié)。該文件在本質(zhì)上是技術(shù)性的，但是，它提供了必要的背景，了解所討論的議題。目標(biāo)受眾是多種多樣的，包括以下內(nèi)容：控制工程師，集成商和建筑師設(shè)計(jì)或?qū)嵤┌踩獻(xiàn)C系統(tǒng)管理員，工程師和其他信息技術(shù)（IT）專業(yè)人員誰(shuí)管理，補(bǔ)丁或安全I(xiàn)C執(zhí)行ICS的安全評(píng)估和滲透測(cè)試的安全顧問(wèn)負(fù)責(zé)為ICS的經(jīng)理人高級(jí)管理人員正試圖了解影響和后果，因?yàn)樗麄兊睦碛珊瓦m用的ICS網(wǎng)絡(luò)安全方案，以幫助減輕影響的業(yè)務(wù)功能研究人員和分析師們正試圖了解ICS的獨(dú)特的安全需求廠商正在開(kāi)發(fā)的產(chǎn)品將作為一個(gè)ICS的一部分部署本文檔假定讀者熟悉與一般計(jì)算機(jī)安全的概念，如在網(wǎng)絡(luò)和使用基于Web的檢索信息的方法使用的通信協(xié)議。

1.4文檔結(jié)構(gòu)本指南的其余部分分為以下主要章節(jié)：第2章提供對(duì)SCADA和其他ICS的概述，及其安全需求的重要性。第3章提供對(duì)ICS和IT系統(tǒng)之間的差異的討論，以及威脅、漏洞和事件。第4章提供對(duì)開(kāi)發(fā)和部署一個(gè)ICS安全計(jì)劃的概述，以減輕由于第3章中確認(rèn)的漏洞而引起的風(fēng)險(xiǎn)。第5章提供將安全集成到典型ICS網(wǎng)絡(luò)架構(gòu)中的建議，重點(diǎn)是網(wǎng)絡(luò)隔離實(shí)踐。第6章提供對(duì)NIST特別出版物800-53“聯(lián)邦信息系統(tǒng)和組織安全控制建議”中定義的管理、運(yùn)作以及技術(shù)控制的匯總，并就如何將這些安全控制應(yīng)用于ICS提供了初步指南。該指南還包含幾個(gè)附錄與輔助材料，具體如下：附錄A提供了本文檔中使用的縮略語(yǔ)和縮寫(xiě)列表。附錄B提供了本文檔中使用的術(shù)語(yǔ)表。附錄C提供了一些當(dāng)前ICS安全活動(dòng)的清單和簡(jiǎn)短描述。附錄D提供了一些正在為ICS開(kāi)發(fā)的新興安全功能的清單。附錄E提供FISMA實(shí)施項(xiàng)目的概述和配套文檔，以及FISMA與ICS的相關(guān)性。附錄F提供了一個(gè)用于開(kāi)發(fā)本文件的引用列表。2.工業(yè)控制系統(tǒng)概述工業(yè)控制系統(tǒng)（ICS）是幾種類(lèi)型控制系統(tǒng)的總稱，包括監(jiān)控和數(shù)據(jù)采集（SCADA）系統(tǒng)、分布式控制系統(tǒng)（DCS）和其它控制系統(tǒng)，如在工業(yè)部門(mén)和關(guān)鍵基礎(chǔ)設(shè)施中經(jīng)常可以看到的撬裝式的可編程邏輯控制器（PLC）。ICS通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運(yùn)輸、制藥、紙漿和造紙、食品和飲料以及離散制造（如汽車(chē)、航空航天和耐用品）等行業(yè)。這些控制系統(tǒng)是美國(guó)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)作的關(guān)鍵，通常是高度相互關(guān)聯(lián)和相互依存的系統(tǒng)。要注意的是大約有90％的國(guó)家關(guān)鍵基礎(chǔ)設(shè)施是私人擁有和經(jīng)營(yíng)的。聯(lián)邦機(jī)構(gòu)也經(jīng)營(yíng)了上面提到的許多工業(yè)流程；其他例子包括空中交通管制和材料處理（例如，郵政郵件處理）。本節(jié)提供對(duì)SCADA、DCS、PLC系統(tǒng)的概覽，包括典型的架構(gòu)和組件。還有一些插圖用于描繪網(wǎng)絡(luò)連接和每個(gè)系統(tǒng)的典型部件，以幫助了解這些系統(tǒng)。請(qǐng)記住，ICS通過(guò)整合DCS和SCADA系統(tǒng)的屬性而模糊了兩者之間的差異，因此實(shí)際實(shí)現(xiàn)中可能是混合的。請(qǐng)注意，本節(jié)中的圖并不代表一個(gè)安全的ICS。架構(gòu)安全和安全控制分別是在本文件的第5章和第6章討論。2.1SCADA，DCS，PLC的概述SCADA系統(tǒng)是用來(lái)控制地理上分散的資產(chǎn)的高度分布式的系統(tǒng)，往往分散數(shù)千平方公里，其中集中的數(shù)據(jù)采集和控制是系統(tǒng)運(yùn)行的關(guān)鍵。它們被用于分配系統(tǒng)，如供水和污水收集系統(tǒng)，石油和天然氣管道，電力電網(wǎng)，以及鐵路運(yùn)輸系統(tǒng)。一個(gè)SCADA控制中心對(duì)跨長(zhǎng)途通信網(wǎng)絡(luò)的場(chǎng)站執(zhí)行集中的監(jiān)視和控制，包括監(jiān)測(cè)報(bào)警和處理狀態(tài)數(shù)據(jù)，在現(xiàn)場(chǎng)的。根據(jù)從遠(yuǎn)程站點(diǎn)收到的信息，自動(dòng)化或操作員驅(qū)動(dòng)的監(jiān)督指令可以被推送到遠(yuǎn)程站點(diǎn)的控制裝置上，后者通常被稱為現(xiàn)場(chǎng)設(shè)備?，F(xiàn)場(chǎng)設(shè)備控制本地操作，如打開(kāi)和關(guān)閉閥門(mén)和斷路器，從傳感器系統(tǒng)收集數(shù)據(jù)，以及監(jiān)測(cè)本地環(huán)境的報(bào)警條件。DCS被用來(lái)控制工業(yè)生產(chǎn)過(guò)程，如發(fā)電、煉油、水和廢水處理、化工、食品、汽車(chē)生產(chǎn)。DCS被集成為一個(gè)控制架構(gòu)，包含一個(gè)監(jiān)督級(jí)別的控制，監(jiān)督多個(gè)、集成的子系統(tǒng)，負(fù)責(zé)控制本地化過(guò)程的細(xì)節(jié)。產(chǎn)品和過(guò)程控制通常是通過(guò)部署反饋或前饋控制回路實(shí)現(xiàn)的，關(guān)鍵產(chǎn)品和/或過(guò)程條件被自動(dòng)保持在一個(gè)所需的設(shè)置點(diǎn)周?chē)?。為了?shí)現(xiàn)所需的產(chǎn)品和/或過(guò)程圍繞一個(gè)指定設(shè)定點(diǎn)的公差，在場(chǎng)地部署特定的PLC，并在PLC上的比例、積分和/或微分設(shè)置被調(diào)整為提供所需的公差，以及在過(guò)程干擾期間的自我校正率。DCS系統(tǒng)被廣泛應(yīng)用于基于過(guò)程的產(chǎn)業(yè)。PLC是基于計(jì)算機(jī)的固態(tài)裝置，控制工業(yè)設(shè)備和過(guò)程。雖然PLC是整個(gè)SCADA和DCS系統(tǒng)中使用的控制系統(tǒng)組件，它們通常在較小的控制系統(tǒng)配置中作為主要組件，用于提供離散過(guò)程的操作控制，如汽車(chē)裝配生產(chǎn)線和電廠吹灰控制。PLC被廣泛應(yīng)用于幾乎所有的工業(yè)生產(chǎn)過(guò)程?；谶^(guò)程的制造業(yè)通常利用兩個(gè)主要過(guò)程：連續(xù)制造過(guò)程。這些過(guò)程連續(xù)運(yùn)行，往往會(huì)轉(zhuǎn)換以制造不同檔次的產(chǎn)品。典型的連續(xù)制造過(guò)程包括電廠、煉油廠的石油和化工廠的蒸餾過(guò)程中的燃料或蒸汽流量。批量制造過(guò)程。這些過(guò)程有不同的處理步驟，在大量的物料上進(jìn)行。有一個(gè)批處理過(guò)程的明顯開(kāi)始和結(jié)束步驟，可能在中間步驟中有簡(jiǎn)短的穩(wěn)態(tài)操作過(guò)程。典型的批量制造過(guò)程包括食品制造業(yè)。離散制造業(yè)通常在單個(gè)設(shè)備上執(zhí)行一系列步驟，創(chuàng)造的最終產(chǎn)品。電子和機(jī)械部件裝配和零件加工是這種類(lèi)型的行業(yè)的典型例子?；谶^(guò)程和基于離散的行業(yè)都使用相同類(lèi)型的控制系統(tǒng)、傳感器和網(wǎng)絡(luò)。有些設(shè)施是一個(gè)基于離散和過(guò)程制造的混合。雖然在分銷(xiāo)和制造業(yè)使用的控制系統(tǒng)的運(yùn)作非常相似，他們?cè)谀承┓矫嬗兴煌?。主要區(qū)別之一是，與地理上分散的SCADA場(chǎng)站相比，DCS或PLC控制系統(tǒng)通常在位于一個(gè)更密閉的工廠或工廠為中心的區(qū)域。DCS和PLC通信通常使用局域網(wǎng)（LAN）的技術(shù)，與SCADA系統(tǒng)通常所使用的長(zhǎng)途通信系??統(tǒng)相比，更可靠和高速。事實(shí)上，SCADA系統(tǒng)是專門(mén)設(shè)計(jì)用來(lái)處理長(zhǎng)途通信帶來(lái)的挑戰(zhàn)，如使用各種通信媒體產(chǎn)生的延遲和數(shù)據(jù)丟失。DCS和PLC系統(tǒng)通常采用比SCADA系統(tǒng)更大程度的閉環(huán)控制，因?yàn)楣I(yè)過(guò)程的控制通常比分配過(guò)程的監(jiān)督控制更為復(fù)雜。就本文件的范圍而言，這些差異可以被視為極微妙的，因?yàn)檫@里我們關(guān)注的是如何將IT安全集成到這些系統(tǒng)中。在本文件的后續(xù)部分，??SCADA系統(tǒng)、DCS和PLC系統(tǒng)將被稱為ICS，除非特定的參考是特別為其中某一個(gè)系統(tǒng)定制的（例如，用于SCADA系統(tǒng)的現(xiàn)場(chǎng)設(shè)備）。2.2ICS的操作一個(gè)ICS的基本操作如圖2-1所示。圖2-1ICS操作其關(guān)鍵組件包括以下內(nèi)容：控制回路?？刂苹芈钒y(cè)量傳感器，控制器硬件如PLC，執(zhí)行器如控制閥，斷路器，開(kāi)關(guān)和電機(jī)，以及變量間的通信。控制變量被從傳感器傳送到控制器?？刂破鹘忉屝盘?hào)，并根據(jù)它傳送到執(zhí)行器的設(shè)置點(diǎn)產(chǎn)生相應(yīng)的調(diào)節(jié)變量。干擾引起控制過(guò)程變化，產(chǎn)生新的傳感器信號(hào)，確定過(guò)程的狀態(tài)為被再次傳送到控制器。人機(jī)界面（HMI）。操作員和工程師使用HMI來(lái)監(jiān)控和配置設(shè)置點(diǎn)，控制算法，并在控制器中調(diào)整和建立參數(shù)。HMI還顯示進(jìn)程狀態(tài)信息和歷史信息。遠(yuǎn)程診斷和維護(hù)工具。用于預(yù)防、識(shí)別和恢復(fù)運(yùn)行異常或故障的診斷和維護(hù)工具。一個(gè)典型ICS由控制回路、人機(jī)界面、遠(yuǎn)程診斷和維護(hù)工具組成，并使用分層的網(wǎng)絡(luò)架構(gòu)上的網(wǎng)絡(luò)協(xié)議集合來(lái)構(gòu)建。有時(shí)，這些控制回路是嵌套和/或級(jí)聯(lián)的，也就是說(shuō)一個(gè)循環(huán)的設(shè)置點(diǎn)是建立在由另一個(gè)循環(huán)確定的過(guò)程變量的基礎(chǔ)上的。督導(dǎo)級(jí)循環(huán)和低層次循環(huán)在一個(gè)具有從幾毫秒到幾分鐘不等的周期時(shí)間的過(guò)程期間連續(xù)運(yùn)行。2.3主要ICS元件為了支持隨后的討論，本節(jié)定義用于控制和聯(lián)網(wǎng)的關(guān)鍵ICS組件。其中一些組件可以被籠統(tǒng)地描述為可使用在SCADA系統(tǒng)、DCS和PLC中，有的則是唯一針對(duì)其中某一個(gè)。附錄B中的條款匯編包含了一個(gè)更詳細(xì)的控制和網(wǎng)絡(luò)組件列表。此外，第2.4節(jié)的圖2-5和圖2-6顯示了采用這些組件的SCADA實(shí)施的例子，在2.5節(jié)的圖2-7顯示了一個(gè)DCS實(shí)現(xiàn)的例子，在第2.6節(jié)的圖2-8顯示PLC系統(tǒng)實(shí)現(xiàn)的例子。2.3.1控制元件以下是一個(gè)ICS的主要控制元件清單：控制服務(wù)器?？刂品?wù)器承載與較低級(jí)別的控制設(shè)備進(jìn)行通信的DCS或PLC監(jiān)控軟件。控制服務(wù)器通過(guò)ICS網(wǎng)絡(luò)訪問(wèn)下屬的控制模塊。SCADA服務(wù)器或主終端單元（MTU）。SCADA服務(wù)器擔(dān)任SCADA系統(tǒng)的主設(shè)備。遠(yuǎn)程終端單元和PLC設(shè)備（如下所述）位于遠(yuǎn)程場(chǎng)站，通常作為從設(shè)備。遠(yuǎn)程終端裝置（RTU）。RTU，也稱為遙測(cè)遙控裝置，是特殊用途的數(shù)據(jù)采集和控制單元，被設(shè)計(jì)為支持SCADA遠(yuǎn)程站點(diǎn)。RTU是現(xiàn)場(chǎng)設(shè)備，往往配備無(wú)線電接口以支持有線通信不可用的遠(yuǎn)程站點(diǎn)。有時(shí)，PLC被實(shí)現(xiàn)為現(xiàn)場(chǎng)設(shè)備，擔(dān)任RTU的工作；在這種情況下，PLC通常就被稱為一個(gè)RTU?？删幊踢壿嬁刂破鳎≒LC）。PLC是一種小型工業(yè)計(jì)算機(jī)，最初設(shè)計(jì)為執(zhí)行由電器硬件（繼電器，開(kāi)關(guān)，機(jī)械定時(shí)器/計(jì)數(shù)器）執(zhí)行的邏輯功能。PLC已經(jīng)演變成為控制器，具有控制復(fù)雜過(guò)程的能力，它們被大量地用在SCADA系統(tǒng)和DCS中。在現(xiàn)場(chǎng)級(jí)別使用的其他控制器為過(guò)程控制器和RTU；它們提供與PLC相同的控制，但是為特定的控制應(yīng)用而設(shè)計(jì)的。在SCADA環(huán)境中，PLC是經(jīng)常被用來(lái)作為現(xiàn)場(chǎng)設(shè)備，因?yàn)樗鼈儽忍厥庥猛镜腞TU更經(jīng)濟(jì)，多用途，靈活和易配置。智能電子設(shè)備（IED）。IED是一種“智能”傳感器/執(zhí)行器，包含采集數(shù)據(jù)、與其他設(shè)備通信和執(zhí)行本地過(guò)程和控制所需的智能。IED可以組合一個(gè)模擬輸入傳感器，模擬輸出，低層次的控制能力，通信系統(tǒng)，以及一臺(tái)設(shè)備中的程序存儲(chǔ)器。在SCADA和DCS系統(tǒng)中使用IED，可以在本地級(jí)別實(shí)現(xiàn)自動(dòng)化控制。人機(jī)界面（HMI）。HMI是一套軟件和硬件，允許操作人員監(jiān)控一個(gè)處于控制下的過(guò)程的狀態(tài)，修改控制設(shè)置以更改控制目標(biāo)，并在發(fā)生緊急情況時(shí)手動(dòng)取代自動(dòng)控制操作。HMI還允許控制工程師或操作員配置控制器中的設(shè)置點(diǎn)或控制算法和參數(shù)。HMI還向操作員、管理員、經(jīng)理、業(yè)務(wù)伙伴和其他授權(quán)用戶顯示過(guò)程狀態(tài)信息、歷史信息、報(bào)告和其他信息。位置、平臺(tái)和接口可能相差很大。例如，HMI可以是控制中心的專用平臺(tái)，無(wú)線局域網(wǎng)上的筆記本電腦，或連接到互聯(lián)網(wǎng)的任何系統(tǒng)上的瀏覽器。歷史數(shù)據(jù)。歷史數(shù)據(jù)是一個(gè)集中的數(shù)據(jù)庫(kù)，記錄ICS內(nèi)的所有過(guò)程信息。在這個(gè)數(shù)據(jù)庫(kù)中存儲(chǔ)的信息可以被訪問(wèn)，以支持各種分析，從統(tǒng)計(jì)過(guò)程控制到企業(yè)層面的規(guī)劃。輸入/輸出（IO）服務(wù)器。IO服務(wù)器作為一個(gè)控制組件，負(fù)責(zé)收集、緩沖來(lái)自控制子元件如PLC、RTU和IED等的過(guò)程信息，并提供對(duì)過(guò)程信息的訪問(wèn)。一個(gè)IO服務(wù)器可以駐留在控制服務(wù)器上或一個(gè)單獨(dú)的計(jì)算機(jī)平臺(tái)上。IO服務(wù)器也可用于與第三方控制元件的接口，如HMI和控制服務(wù)器。2.3.2網(wǎng)絡(luò)組件在控制系統(tǒng)層次結(jié)構(gòu)內(nèi)部的每一層上都有不同的網(wǎng)絡(luò)特性?？缭讲煌琁CS實(shí)現(xiàn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，與使用基于互聯(lián)網(wǎng)的IT和企業(yè)一體化戰(zhàn)略的現(xiàn)代系統(tǒng)是不同的?？刂凭W(wǎng)絡(luò)已經(jīng)與企業(yè)網(wǎng)絡(luò)合并，讓控制工程師可以從控制系統(tǒng)網(wǎng)絡(luò)外部監(jiān)測(cè)和控制系統(tǒng)。該連接也可以讓企業(yè)高層決策者獲得對(duì)過(guò)程數(shù)據(jù)的訪問(wèn)。以下是一個(gè)ICS網(wǎng)絡(luò)的主要組成部分的清單，無(wú)論使用何種網(wǎng)絡(luò)拓?fù)洌含F(xiàn)場(chǎng)總線網(wǎng)絡(luò)?，F(xiàn)場(chǎng)總線網(wǎng)絡(luò)將傳感器和其他設(shè)備連接到PLC或其他控制器?，F(xiàn)場(chǎng)總線技術(shù)的使用，消除了對(duì)控制器和每個(gè)設(shè)備之間的點(diǎn)到點(diǎn)連線的需要。設(shè)備使用各種協(xié)議與現(xiàn)場(chǎng)總線控制器進(jìn)行通信。在傳感器和控制器之間發(fā)送的消息可唯一確定每個(gè)傳感器?？刂凭W(wǎng)絡(luò)?？刂凭W(wǎng)絡(luò)負(fù)責(zé)連接監(jiān)控級(jí)別的控制模塊與較低級(jí)別的控制模塊。通訊路由器。路由器是一種通信設(shè)備，在兩個(gè)網(wǎng)絡(luò)之間傳輸消息。路由器常見(jiàn)用途包括將一個(gè)局域網(wǎng)連接到廣域網(wǎng)，為SCADA通信將MTU和RTU連接到遠(yuǎn)程網(wǎng)絡(luò)介質(zhì)。防火墻。防火墻可以保護(hù)網(wǎng)絡(luò)上的設(shè)備，通過(guò)監(jiān)測(cè)和控制通信數(shù)據(jù)包，使用預(yù)定義的過(guò)濾策略。防火墻也有助于管理ICS網(wǎng)絡(luò)的隔離策略。調(diào)制解調(diào)器。調(diào)制解調(diào)器是用于串行數(shù)字?jǐn)?shù)據(jù)和適用于通過(guò)電話線傳輸設(shè)備進(jìn)行通信的信號(hào)之間的轉(zhuǎn)換設(shè)備。調(diào)制解調(diào)器通常用在SCADA系統(tǒng)中，以建立遠(yuǎn)程MTU和遠(yuǎn)程現(xiàn)場(chǎng)設(shè)備之間的串行通信。它們還用在SCADA系統(tǒng)、DCS和PLC中以獲得對(duì)運(yùn)行和維護(hù)功能的遠(yuǎn)程訪問(wèn)，如輸入命令或修改參數(shù)，以及用于診斷的目的。遠(yuǎn)程接入點(diǎn)。遠(yuǎn)程接入點(diǎn)是控制網(wǎng)絡(luò)的不同設(shè)備、區(qū)域和位置，為了遠(yuǎn)程配置控制系統(tǒng)和訪問(wèn)過(guò)程數(shù)據(jù)。例子包括使用個(gè)人數(shù)字助理（PDA）通過(guò)一個(gè)無(wú)線接入點(diǎn)訪問(wèn)局域網(wǎng)上的數(shù)據(jù)，并使用一臺(tái)筆記本電腦和調(diào)制解調(diào)器連接并遠(yuǎn)程訪問(wèn)ICS系統(tǒng)。2.4SCADA系統(tǒng)SCADA系統(tǒng)被用來(lái)控制分散的資產(chǎn)，對(duì)其而言，集中的數(shù)據(jù)采集與控制一樣重要。這些系統(tǒng)被用于配水系統(tǒng)和污水收集系統(tǒng)，石油和天然氣管道，電力設(shè)施的輸電和配電系統(tǒng)，以及鐵路和其他公共交通系統(tǒng)。SCADA系統(tǒng)將數(shù)據(jù)采集系統(tǒng)與數(shù)據(jù)傳輸系統(tǒng)和HMI軟件集成起來(lái)，為大量的過(guò)程輸入輸出提供集中的監(jiān)控系統(tǒng)。SCADA系統(tǒng)被設(shè)計(jì)為收集現(xiàn)場(chǎng)的信息，傳輸?shù)街醒胗?jì)算機(jī)設(shè)施，并向操作員顯示圖形或文字的信息，從而使操作員能夠從一個(gè)中央位置實(shí)時(shí)監(jiān)視或控制整個(gè)系統(tǒng)。根據(jù)單個(gè)系統(tǒng)的復(fù)雜性和設(shè)置，對(duì)任何單獨(dú)系統(tǒng)的控制、操作或任務(wù)都可自動(dòng)進(jìn)行或遵照操作員的命令執(zhí)行。SCADA系統(tǒng)包括硬件和軟件兩方面。典型的硬件包括放置在控制中心的MTU，通信設(shè)備（例如，廣播、電話線、電纜或衛(wèi)星），以及一個(gè)或多個(gè)由控制執(zhí)行器和/或監(jiān)視傳感器的RTU或PLC構(gòu)成的地理上分散的場(chǎng)站。MTU的存儲(chǔ)和處理由RTU輸入和輸出的信息，而RTU或PLC控制本地過(guò)程。通信硬件實(shí)現(xiàn)MTU與RTU或PLC之間的信息和數(shù)據(jù)的來(lái)回傳輸。其軟件部分告訴系統(tǒng)監(jiān)視什么和何時(shí)監(jiān)視，什么參數(shù)范圍是可以接受的的，當(dāng)參數(shù)變化超出可接受的值時(shí)啟動(dòng)什么響應(yīng)。IED，例如一種保護(hù)繼電器，可直接與SCADA服務(wù)器通信，或者一個(gè)本地的RTU可以輪詢IED以收集數(shù)據(jù)，并把數(shù)據(jù)傳遞給SCADA服務(wù)器。IED提供直接的接口來(lái)控制和監(jiān)視設(shè)備和傳感器。IED可直接接受SCADA服務(wù)器的輪詢和控制，且在大多數(shù)情況下具有本地程序，允許IED在沒(méi)有SCADA控制中心的直接指示時(shí)也能進(jìn)行工作。SCADA系統(tǒng)通常被設(shè)計(jì)為容錯(cuò)系統(tǒng)，在系統(tǒng)架構(gòu)中內(nèi)置了顯著的冗余。圖2-2顯示了SCADA系統(tǒng)的組件和總體配置?？刂浦行脑O(shè)有一個(gè)SCADA服務(wù)器（MTU）和通信路由器。其他控制中心組件包括HMI（人機(jī)界面），工程師工作站和歷史數(shù)據(jù)等，都通過(guò)局域網(wǎng)進(jìn)行連接?？刂浦行氖占⒂涗泩?chǎng)站收集到的信息，在HMI上顯示信息，并可能會(huì)基于檢測(cè)到的事件產(chǎn)生行動(dòng)?？刂浦行倪€負(fù)責(zé)集中告警，趨勢(shì)分析和報(bào)告。場(chǎng)站負(fù)責(zé)對(duì)執(zhí)行器的本地控制的和對(duì)傳感器的監(jiān)視。場(chǎng)站往往配備遠(yuǎn)程訪問(wèn)能力，使場(chǎng)站操作員通?？梢栽谝粋€(gè)單獨(dú)的撥號(hào)調(diào)制解調(diào)器或廣域網(wǎng)連接上執(zhí)行遠(yuǎn)程診斷和維修。在串行通信上運(yùn)行的標(biāo)準(zhǔn)和專有的通信協(xié)議是用于在控制中心和場(chǎng)站之間傳輸信息的，使用如電話線、電纜、光纖、無(wú)線電頻率如廣播、微波和衛(wèi)星等遙測(cè)技術(shù)。圖2-2SCADA系統(tǒng)總體結(jié)構(gòu)MTU-RTU通訊架構(gòu)在不同的具體實(shí)現(xiàn)上有所差異?？墒褂玫牟煌軜?gòu)，包括點(diǎn)對(duì)點(diǎn)、串行、串行-星型、多節(jié)點(diǎn)等，如圖2-3所示。點(diǎn)對(duì)點(diǎn)是最簡(jiǎn)單的功能類(lèi)型，但是，它是昂貴的，因?yàn)槊總€(gè)連接都需要獨(dú)立的通道。在一個(gè)串行配置中，使用的通道數(shù)量減少了；然而，通道共享會(huì)對(duì)SCADA系統(tǒng)操作的效率和復(fù)雜性產(chǎn)生影響。同樣，串行-星型和多節(jié)點(diǎn)配置為每個(gè)設(shè)備使用一個(gè)通道也會(huì)導(dǎo)致效率下降和系統(tǒng)復(fù)雜性增加。圖2-3基本的SCADA通信拓?fù)淙鐖D2-3所示的四個(gè)基本架構(gòu)，可以通過(guò)使用專用通訊設(shè)備來(lái)管理通信交換以及消息交換和緩沖而得到進(jìn)一步增強(qiáng)。大型SCADA系統(tǒng)，包含了數(shù)百個(gè)RTU，通常會(huì)部署子MTU以減輕主MTU的負(fù)擔(dān)。這種類(lèi)型的拓?fù)浣Y(jié)構(gòu)如圖2-4所示。圖2-4大型SCADA通信拓?fù)鋱D2-5顯示了SCADA系統(tǒng)實(shí)現(xiàn)的一個(gè)例子。這個(gè)SCADA系統(tǒng)由一個(gè)主控制中心和3個(gè)場(chǎng)站構(gòu)成。第二個(gè)備份控制中心提供主控制中心故障時(shí)的冗余。所有的控制中心和場(chǎng)站之間的通信采用點(diǎn)對(duì)點(diǎn)連接，其中有兩個(gè)連接使用無(wú)線電遙測(cè)。第三個(gè)場(chǎng)站是在控制中心本地，使用廣域網(wǎng)（WAN）進(jìn)行通信。位于主控制中心上方的一個(gè)區(qū)域控制中心提供一個(gè)更高級(jí)別的監(jiān)督控制。企業(yè)網(wǎng)絡(luò)可以通過(guò)廣域網(wǎng)訪問(wèn)所有控制中心，并且場(chǎng)站也可以被遠(yuǎn)程訪問(wèn)以進(jìn)行故障排除和維護(hù)操作。主控制中心按定義的時(shí)間間隔（如5秒、60秒）輪詢場(chǎng)站設(shè)備的數(shù)據(jù)，并可以根據(jù)需要發(fā)送新的設(shè)置點(diǎn)給現(xiàn)場(chǎng)設(shè)備。除了輪詢和發(fā)布高層次的命令，SCADA服務(wù)器也監(jiān)視來(lái)自場(chǎng)站報(bào)警系統(tǒng)的優(yōu)先中斷。圖2-5SCADA系統(tǒng)實(shí)現(xiàn)舉例(分布式監(jiān)控)圖2-6顯示了一個(gè)對(duì)鐵路監(jiān)測(cè)和控制的實(shí)現(xiàn)示例。這個(gè)例子中包括了一個(gè)部署了SCADA系統(tǒng)的鐵路控制中心和鐵路系統(tǒng)的三個(gè)路段。SCADA系統(tǒng)輪詢鐵路路段以獲得列車(chē)、信號(hào)系統(tǒng)、牽引電氣化系統(tǒng)、自動(dòng)售票機(jī)等的狀態(tài)信息。這些信息也被傳遞到位于鐵路控制中心的HMI站點(diǎn)的操作員控制臺(tái)上。SCADA系統(tǒng)還監(jiān)控鐵路控制中心的操作員的輸入并分發(fā)高級(jí)操作員命令給鐵路路段組件。此外，SCADA系統(tǒng)監(jiān)視個(gè)別鐵路路段的條件，并根據(jù)這些條件發(fā)出指令（例如，關(guān)閉一輛列車(chē)以防止它進(jìn)入一個(gè)已經(jīng)確定被洪水淹沒(méi)的區(qū)域或被另一列火車(chē)占用的區(qū)域）。圖2-6SCADA系統(tǒng)實(shí)現(xiàn)舉例(鐵路監(jiān)控)2.5分布式控制系統(tǒng)（DCS）DCS系統(tǒng)用于控制在同一地理位置的生產(chǎn)系統(tǒng)，如煉油廠，水和污水處理，發(fā)電設(shè)備，化學(xué)品制造工廠，和醫(yī)藥加工設(shè)施等行業(yè)。這些系統(tǒng)通常是過(guò)程控制或分立部分的控制系統(tǒng)。一個(gè)DCS使用一個(gè)集中的監(jiān)控回路來(lái)調(diào)解一組分擔(dān)著貫穿整個(gè)生產(chǎn)過(guò)程的全部任務(wù)的本地控制器。通過(guò)將生產(chǎn)系統(tǒng)模塊化，DCS降低了單一故障對(duì)整個(gè)系統(tǒng)的影響。在許多現(xiàn)代系統(tǒng)中，DCS是與企業(yè)網(wǎng)絡(luò)的接口，為企業(yè)的運(yùn)營(yíng)者提供生產(chǎn)視圖。圖2-7描述了一個(gè)DCS實(shí)現(xiàn)的例子，顯示了DCS的組件和總體配置。這個(gè)DCS包括從底層生產(chǎn)過(guò)程到公司或企業(yè)層面的整個(gè)設(shè)施。在這個(gè)例子中，監(jiān)督控制器（控制服務(wù)器）通過(guò)控制網(wǎng)絡(luò)與其下屬通信。監(jiān)控臺(tái)發(fā)送設(shè)置點(diǎn)給分布的場(chǎng)站控制器，并向后者請(qǐng)求數(shù)據(jù)。分布式控制器根據(jù)控制服務(wù)器的命令和過(guò)程傳感器的反饋控制它們的過(guò)程執(zhí)行器。圖2-7DCS實(shí)現(xiàn)舉例圖2-7給出了一個(gè)DCS系統(tǒng)上的低級(jí)控制器的例子。圖中所示的現(xiàn)場(chǎng)控制設(shè)備包括一個(gè)PLC，一個(gè)過(guò)程控制器，一個(gè)單回路控制器和一臺(tái)機(jī)器控制器。單回路控制器的接口傳感器和執(zhí)行器使用點(diǎn)對(duì)點(diǎn)連線，而其他三個(gè)現(xiàn)場(chǎng)設(shè)備集成到現(xiàn)場(chǎng)總線網(wǎng)絡(luò)上，與過(guò)程傳感器和執(zhí)行器進(jìn)行連接?，F(xiàn)場(chǎng)總線網(wǎng)絡(luò)消除了控制器和單個(gè)現(xiàn)場(chǎng)傳感器和執(zhí)行器之間的點(diǎn)對(duì)點(diǎn)接線需要。此外，現(xiàn)場(chǎng)總線允許比控制更多的功能，包括現(xiàn)場(chǎng)設(shè)備的診斷，并可以實(shí)現(xiàn)在現(xiàn)場(chǎng)總線內(nèi)的控制算法，從而避免了每個(gè)控制操作到PLC的信號(hào)回路。由工業(yè)集團(tuán)設(shè)計(jì)的標(biāo)準(zhǔn)工業(yè)通信協(xié)議，如Modbus和Fieldbus往往被用在控制網(wǎng)絡(luò)和現(xiàn)場(chǎng)總線網(wǎng)絡(luò)上。除了監(jiān)管級(jí)和現(xiàn)場(chǎng)級(jí)控制回路，中間級(jí)別的控制也可能存在。例如，在一個(gè)DCS控制一個(gè)獨(dú)立部件制造工廠的情況下，可以為廠房?jī)?nèi)的每個(gè)單元格設(shè)置一個(gè)中間級(jí)監(jiān)控器。該監(jiān)控器將包括一個(gè)制造單元，包含處理一個(gè)部件的機(jī)器控制器和處理原料庫(kù)存和最終產(chǎn)品的機(jī)器人控制器?？赡苡袔讉€(gè)這樣的單元在主DCS監(jiān)控環(huán)路下管理現(xiàn)場(chǎng)級(jí)控制器。2.6可編程邏輯控制器（PLC）PLC可用在SCADA和DCS系統(tǒng)中，作為整個(gè)分級(jí)系統(tǒng)的控制部件，通過(guò)如在上節(jié)中所述的反饋控制，提供對(duì)過(guò)程的本地管理。當(dāng)用在SCADA系統(tǒng)中時(shí)，它們提供與RTU相同的功能。當(dāng)用在DCS中時(shí)，PLC被實(shí)現(xiàn)為監(jiān)控機(jī)制內(nèi)的本地控制器。PLC也被實(shí)現(xiàn)為更小的控制系統(tǒng)配置的主要組件。PLC具有一個(gè)用戶可編程的存儲(chǔ)器，用于存儲(chǔ)指令以實(shí)現(xiàn)特定功能，如I/O控制、邏輯、定時(shí)、計(jì)數(shù)、三種模式的比例-積分-微分（PID）控制、通信、算術(shù)以及數(shù)據(jù)和文件處理。圖2-8顯示的制造過(guò)程由PLC通過(guò)現(xiàn)場(chǎng)總線網(wǎng)絡(luò)控制。PLC可通過(guò)工程師工作站上的一個(gè)編程接口訪問(wèn)，數(shù)據(jù)存儲(chǔ)在一個(gè)歷史數(shù)據(jù)庫(kù)中，全部通過(guò)LAN連接。圖2-8PLC控制系統(tǒng)實(shí)現(xiàn)舉例2.7工業(yè)部門(mén)和他們的相互依存性電力輸配電網(wǎng)絡(luò)行業(yè)利用地理上分散的SCADA控制技術(shù)操作高度相互關(guān)聯(lián)的和動(dòng)態(tài)的系統(tǒng)，包括數(shù)以千計(jì)的公共和私營(yíng)機(jī)構(gòu)和農(nóng)村合作社，從而為最終用戶供電。SCADA系統(tǒng)通過(guò)在一個(gè)集中的位置從遠(yuǎn)程現(xiàn)場(chǎng)控制站點(diǎn)收集數(shù)據(jù)，并發(fā)向其出指令，從而實(shí)現(xiàn)對(duì)電力配送的監(jiān)視和控制。SCADA系統(tǒng)也可用于監(jiān)測(cè)和控制水、油和天然氣的配送，包括管道、船舶、卡車(chē)、鐵路系統(tǒng)以及污水收集系統(tǒng)。SCADA系統(tǒng)和DCS往往是通過(guò)網(wǎng)絡(luò)連接在一起。這種情況出現(xiàn)在電力控制中心和發(fā)電廠。雖然發(fā)電廠的運(yùn)作是由DCS控制，但DCS必須與SCADA系統(tǒng)通信，協(xié)調(diào)產(chǎn)量與輸配電需求。美國(guó)關(guān)鍵基礎(chǔ)設(shè)施通常被稱為一個(gè)“系統(tǒng)的系統(tǒng)”，因?yàn)槠涓鞴I(yè)部門(mén)之間存在的相互依賴性以及業(yè)務(wù)合作伙伴之間的互連。關(guān)鍵基礎(chǔ)設(shè)施是高度互聯(lián)的，并以復(fù)雜的方式互相依賴著，不僅在物理上，也通過(guò)信息和通信技術(shù)的主機(jī)。在一個(gè)基礎(chǔ)設(shè)施中發(fā)生的事件，可以通過(guò)級(jí)聯(lián)和故障升級(jí)等直接或間接影響其他基礎(chǔ)設(shè)施。電力通常被認(rèn)為是相互依存的關(guān)鍵基礎(chǔ)設(shè)施中最普遍的中斷來(lái)源之一。舉一個(gè)例子，一個(gè)級(jí)聯(lián)故障，可以因?yàn)橐粋€(gè)用于電力傳輸SCADA系統(tǒng)的微波通信網(wǎng)絡(luò)的中斷而觸發(fā)。監(jiān)測(cè)和控制能力的缺乏可能會(huì)導(dǎo)致大型發(fā)電單位不得不采取脫機(jī)，事件將導(dǎo)致傳輸變電所的功率損耗。這種損失可能會(huì)導(dǎo)致嚴(yán)重的不平衡，引發(fā)整個(gè)電網(wǎng)級(jí)聯(lián)故障。這可能會(huì)導(dǎo)致大面積停電，可能會(huì)潛在影響依賴于電力網(wǎng)格的石油和天然氣生產(chǎn)、煉油業(yè)務(wù)、水處理系統(tǒng)、污水收集系統(tǒng)和管道運(yùn)輸系統(tǒng)。3.ICS特性，威脅和脆弱性在今天使用的很多ICS是多年前開(kāi)發(fā)的，在公共和私人網(wǎng)絡(luò)、桌面計(jì)算或互聯(lián)網(wǎng)成為業(yè)務(wù)運(yùn)營(yíng)的通用組件之前很長(zhǎng)時(shí)間。這些系統(tǒng)被設(shè)計(jì)為滿足性能、可靠性、安全性和靈活性的要求。在大多數(shù)情況下，他們是與外部網(wǎng)絡(luò)物理隔離的，基于專有硬件、軟件和通信協(xié)議，它們包括基本的錯(cuò)誤檢測(cè)和糾錯(cuò)能力，但缺乏在今天的互聯(lián)系統(tǒng)中所需的安全通信能力。雖然有人關(guān)注可靠性、可維護(hù)性和可用性（RMA），但在解決統(tǒng)計(jì)性能和故障時(shí)，對(duì)這些系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全措施的需求是沒(méi)有預(yù)料到的。當(dāng)時(shí)，ICS安全就意味著物理上保護(hù)對(duì)網(wǎng)絡(luò)和控制系統(tǒng)的控制臺(tái)的訪問(wèn)。ICS的發(fā)展平行于1980年代和1990年代的微處理器、個(gè)人電腦和網(wǎng)絡(luò)技術(shù)的演進(jìn)，在1990年代后期基于互聯(lián)網(wǎng)的技術(shù)開(kāi)始進(jìn)入到ICS的設(shè)計(jì)中。這些ICS的變化將它們暴露給新的威脅類(lèi)型，并顯著增加了ICS受到損害的可能性。本節(jié)介紹了ICS的獨(dú)特的安全特性，在ICS實(shí)現(xiàn)中的漏洞，和ICS可能面臨的威脅和事故。3.7節(jié)會(huì)介紹幾個(gè)實(shí)際的ICS網(wǎng)絡(luò)安全事故的例子。3.1ICS和IT系統(tǒng)的比較最初，ICS與IT系統(tǒng)沒(méi)有一點(diǎn)相似之處，ICS是運(yùn)行專有控制協(xié)議、使用專門(mén)硬件和軟件孤立的系統(tǒng)?，F(xiàn)在用廣泛使用的、低成本的互聯(lián)網(wǎng)協(xié)議（IP）設(shè)備取代專有的解決方案，從而增加了網(wǎng)絡(luò)安全漏洞和事故的可能性。隨著ICS采用這種解決方案，以促進(jìn)企業(yè)連接和遠(yuǎn)程訪問(wèn)能力，并正在使用行業(yè)標(biāo)準(zhǔn)的計(jì)算機(jī)、操作系統(tǒng)（OS）和網(wǎng)絡(luò)協(xié)議進(jìn)行設(shè)計(jì)和實(shí)施，它們已經(jīng)開(kāi)始類(lèi)似于IT系統(tǒng)了。這種集成支持新的IT能力，但相比原先的系統(tǒng)，它對(duì)ICS提供的與外界的隔離大大減少，產(chǎn)生了保護(hù)這些系統(tǒng)的更大需求。雖然安全解決方案已經(jīng)被設(shè)計(jì)來(lái)處理這些典型的IT系統(tǒng)安全問(wèn)題，但是在引進(jìn)這些相同的解決方案到ICS環(huán)境中時(shí)，必須采取特殊的防護(hù)措施。在某些情況下，需要為ICS環(huán)境量身定制新的安全解決方案。ICS有許多區(qū)別于傳統(tǒng)IT系統(tǒng)的特點(diǎn)，包括不同的風(fēng)險(xiǎn)和優(yōu)先級(jí)別。其中包括對(duì)人類(lèi)健康和生命安全的重大風(fēng)險(xiǎn)，對(duì)環(huán)境的嚴(yán)重破壞，以及金融問(wèn)題如生產(chǎn)損失和對(duì)國(guó)家經(jīng)濟(jì)的負(fù)面影響。ICS有不同的性能和可靠性要求，其使用的操作系統(tǒng)和應(yīng)用程序?qū)Φ湫偷腎T支持人員而言可能被認(rèn)為是不方便的。此外，安全和效率的目標(biāo)有時(shí)會(huì)與控制系統(tǒng)的設(shè)計(jì)和操作的安全性發(fā)生沖突（如，需要密碼驗(yàn)證和授權(quán)不應(yīng)妨礙或干擾ICS的緊急行動(dòng)。）下面列出了一些ICS的特殊安全考慮：性能要求。ICS通常是時(shí)間要求緊迫的，關(guān)注由單個(gè)安裝所指示的延遲和抖動(dòng)的可接受水平標(biāo)準(zhǔn)。有些系統(tǒng)要求確定性的響應(yīng)。高吞吐量對(duì)ICS通常是沒(méi)有必要的。相比之下，IT系統(tǒng)通常需要高吞吐量，但通?？梢猿惺苣撤N程度的延時(shí)和抖動(dòng)?？捎眯砸?。許多ICS過(guò)程在本質(zhì)上是連續(xù)的?？刂乒I(yè)生產(chǎn)過(guò)程系統(tǒng)的意外停電是不能接受的。停電往往必須有計(jì)劃且提前預(yù)定時(shí)間（天/周）。全面的部署前測(cè)試是必不可少的，以確保ICS的高可用性。除意外停電外，許多控制系統(tǒng)也不能做到在不影響生產(chǎn)的情況下輕易地停止和啟動(dòng)。在某些情況下，正在生產(chǎn)的產(chǎn)品或正在使用的設(shè)備比被轉(zhuǎn)達(dá)的信息更重要。因此，典型的IT戰(zhàn)略，如重新啟動(dòng)一個(gè)組件，由于其ICS的高可用性、可靠性和可維護(hù)性要求的不利影響，通常是不被接受的解決方案。一些ICS會(huì)采用冗余組件，且常常并行運(yùn)行，當(dāng)主要組件不可用時(shí)保證連續(xù)性。風(fēng)險(xiǎn)管理要求。在一個(gè)典型的IT系統(tǒng)中，數(shù)據(jù)保密性和完整性通常是被關(guān)心的首要問(wèn)題。對(duì)于ICS而言，人身安全和容錯(cuò)（以防止損害生命或危害公眾健康或信心），合規(guī)性，設(shè)備的損失，知識(shí)產(chǎn)權(quán)損失，以及產(chǎn)品的丟失或損壞等，才是主要的關(guān)注點(diǎn)。負(fù)責(zé)操作、保護(hù)和維護(hù)ICS的人員必須了解safety和security之間的重要聯(lián)系。體系架構(gòu)安全焦點(diǎn)。在一個(gè)典型的IT系統(tǒng)中，安全的首要重點(diǎn)是保護(hù)IT資產(chǎn)的運(yùn)行，無(wú)論是集中的或分散的，還有就是在這些資產(chǎn)中存儲(chǔ)或相互之間傳輸?shù)男畔?。在某些體系架構(gòu)中，集中存儲(chǔ)和處理的信息是更為關(guān)鍵的，要給予更多的保護(hù)。而對(duì)于ICS，邊緣客戶端（如PLC，操作員工作站，DCS控制器）更需要仔細(xì)保護(hù)，因?yàn)樗鼈兪菍?duì)結(jié)束過(guò)程的控制直接負(fù)責(zé)任的。ICS中央服務(wù)器的保護(hù)仍然是非常重要的，因?yàn)橹醒敕?wù)器可能對(duì)每一個(gè)邊緣設(shè)備產(chǎn)生不利影響。物理相互作用。在一個(gè)典型的IT系統(tǒng)中，沒(méi)有物理與環(huán)境之間的互動(dòng)。ICS可以與在ICS域中的物理過(guò)程和后果有非常復(fù)雜的相互作用，這可以體現(xiàn)在物理事件中。必須測(cè)試所有被集成到ICS中的安全功能（例如，在一個(gè)可參照的ICS上的離線），以證明它們不損害ICS的正常功能。時(shí)間要求緊迫的響應(yīng)。在一個(gè)典型的IT系統(tǒng)中，不需要太考慮數(shù)據(jù)流就可以實(shí)現(xiàn)訪問(wèn)控制。對(duì)于一些ICS而言，自動(dòng)響應(yīng)時(shí)間或?qū)θ藱C(jī)交互的系統(tǒng)響應(yīng)是非常關(guān)鍵的。例如，在HMI上要求提供密碼認(rèn)證和授權(quán)時(shí)必須不能妨礙或干擾ICS的緊急行動(dòng)。信息流必須不被中斷或受到影響。對(duì)這些系統(tǒng)的訪問(wèn)，必須有嚴(yán)格的物理安全控制。系統(tǒng)操作。ICS的操作系統(tǒng)（OS）和應(yīng)用程序可能無(wú)法容忍典型的IT安全實(shí)踐。老系統(tǒng)特別容易受到資源不可用和計(jì)時(shí)中斷的危害?？刂凭W(wǎng)絡(luò)往往比較復(fù)雜，需要不同層次的專業(yè)知識(shí)（例如，控制網(wǎng)絡(luò)通常由控制工程師管理，而不是IT人員）。軟件和硬件都更難以在操作控制系統(tǒng)網(wǎng)絡(luò)中升級(jí)。許多系統(tǒng)可能沒(méi)有所需的功能，包括加密功能，錯(cuò)誤記錄，和密碼保護(hù)。資源的限制。ICS和它們的實(shí)時(shí)操作系統(tǒng)往往是資源受限的系統(tǒng)，通常不包括典型的IT安全功能。在ICS組件上可能沒(méi)有計(jì)算資源用來(lái)在這些系統(tǒng)上加裝流行的安全功能。此外，在某些情況下，不允許用第三方安全解決方案，是因?yàn)楦鶕?jù)ICS供應(yīng)商許可和服務(wù)協(xié)議，一旦在沒(méi)有供應(yīng)商的確認(rèn)或批準(zhǔn)下就安裝了第三方的應(yīng)用程序，可能會(huì)丟失服務(wù)支持。通信。在ICS環(huán)境中用于現(xiàn)場(chǎng)設(shè)備控制和內(nèi)部處理器通信的通信協(xié)議和媒體通常與通用的IT環(huán)境不同，可能是專有的。變更管理。變更管理對(duì)維持IT和控制系統(tǒng)的完整性都是至關(guān)重要的。未打補(bǔ)丁的軟件代表了系統(tǒng)的最大漏洞之一。IT系統(tǒng)的軟件更新，包括安全補(bǔ)丁，根據(jù)適當(dāng)?shù)陌踩呗院统绦颍ǔ６际菍?shí)時(shí)應(yīng)用的。此外，這些程序往往是使用基于服務(wù)器的工具自動(dòng)實(shí)現(xiàn)的。ICS的軟件更新往往就無(wú)法及時(shí)實(shí)施，因?yàn)檫@些更新需要由工業(yè)控制應(yīng)用程序的供應(yīng)商和應(yīng)用程序的最終用戶充分測(cè)試后才能實(shí)施，而且ICS的中斷往往必須是事先規(guī)劃和預(yù)定好時(shí)間（天/周）的。作為更新過(guò)程的一部分，ICS可能還需要重新驗(yàn)證。另一個(gè)問(wèn)題是，許多IC采用了舊版本的操作系統(tǒng)，而供應(yīng)商不再提供支持。因此，可用的修補(bǔ)程序可能不適用。變更管理也適用于硬件和固件。當(dāng)變更管理過(guò)程應(yīng)用于ICS時(shí)，需要由ICS專家（例如，控制工程師）與安全和IT人員一起進(jìn)行仔細(xì)評(píng)估。管理的支持。典型的IT系統(tǒng)允許多元化的支持模式，也許支持不同的但相互關(guān)聯(lián)的技術(shù)架構(gòu)。對(duì)于ICS，服務(wù)支持通常是由一個(gè)單一的供應(yīng)商提供，可能就沒(méi)有多元化的和從其他供應(yīng)商處獲得的具有互操作性的支持解決方案。組件壽命。典型的IT組件的壽命一般為3至5年，主要是由于技術(shù)的快速演變。對(duì)于ICS而言，在許多情況下，技術(shù)是為非常特殊的用戶和實(shí)現(xiàn)而開(kāi)發(fā)的，所部署的技術(shù)的生命周期通常在15至20年，有時(shí)甚至?xí)r間更長(zhǎng)。組件訪問(wèn)。典型的IT組件通常是本地的和容易訪問(wèn)的，而ICS組件可以分離、遠(yuǎn)程部署，并需要大量的物力以獲得對(duì)它們的訪問(wèn)。表3-1總結(jié)了一些IT系統(tǒng)和ICS之間的典型差異。表3-1IT系統(tǒng)和ICS的差異總結(jié)分類(lèi)信息技術(shù)系統(tǒng)工業(yè)控制系統(tǒng)性能需求非實(shí)時(shí)響應(yīng)必須是一致的要求高吞吐量高延遲和抖動(dòng)是可以接受的實(shí)時(shí)響應(yīng)是時(shí)間緊迫的適度的吞吐量是可以接受的高延遲和/或抖動(dòng)是不能接受的可用性需求重新啟動(dòng)之類(lèi)的響應(yīng)是可以接受的的可用性的缺陷往往可以容忍的，當(dāng)然要取決于系統(tǒng)的操作要求重新啟動(dòng)之類(lèi)的響應(yīng)可能是不能接受的，因?yàn)檫^(guò)程的可用性要求可用性要求可能需要冗余系統(tǒng)中斷必須有計(jì)劃和提前預(yù)定時(shí)間（天/周）高可用性需要詳盡的部署前測(cè)試管理需求數(shù)據(jù)保密性和完整性是最重要的的容錯(cuò)是不太重要的–臨時(shí)停機(jī)不是一個(gè)主要的風(fēng)險(xiǎn)主要的風(fēng)險(xiǎn)影響是業(yè)務(wù)操作的延遲人身安全是最重要的的，其次是過(guò)程保護(hù)容錯(cuò)是必不可少的，即使是瞬間的停機(jī)也可能無(wú)法接受主要的風(fēng)險(xiǎn)影響是不合規(guī)，環(huán)境影響，生命、設(shè)備或生產(chǎn)損失體系架構(gòu)安全焦點(diǎn)首要焦點(diǎn)是保護(hù)IT資產(chǎn)，以及在這些資產(chǎn)上存儲(chǔ)和相互之間傳輸?shù)男畔ⅰＶ醒敕?wù)器可能需要更多的保護(hù)首要目標(biāo)是保護(hù)邊緣客戶端（例如，現(xiàn)場(chǎng)設(shè)備，如過(guò)程控制器）中央服務(wù)器的保護(hù)也很重要未預(yù)期的后果安全解決方案圍繞典型的IT系統(tǒng)進(jìn)行設(shè)計(jì)安全工具必須先測(cè)試（例如，在參考ICS上的離線），以確保它們不會(huì)影響ICS的正常運(yùn)作時(shí)間緊迫的交互緊急交互不太重要可以根據(jù)必要的安全程度實(shí)施嚴(yán)格限制的訪問(wèn)控制對(duì)人和其他緊急交互的響應(yīng)是關(guān)鍵應(yīng)嚴(yán)格控制對(duì)ICS的訪問(wèn)，但不應(yīng)妨礙或干擾人機(jī)交互系統(tǒng)操作系統(tǒng)被設(shè)計(jì)為使用典型的操作系統(tǒng)采用自動(dòng)部署工具使得升級(jí)非常簡(jiǎn)單與眾不同且可能是專有的操作系統(tǒng)，往往沒(méi)有內(nèi)置的安全功能軟件變更必須小心進(jìn)行，通常是由軟件供應(yīng)商操作，因其專用的控制算法，以及可能要修改相關(guān)的硬件和軟件資源限制系統(tǒng)被指定足夠的資源來(lái)支持附加的第三方應(yīng)用程序如安全解決方案系統(tǒng)被設(shè)計(jì)為支持預(yù)期的工業(yè)過(guò)程，可能沒(méi)有足夠的內(nèi)存和計(jì)算資源以支持附加的安全功能通信標(biāo)準(zhǔn)通信協(xié)議主要是有線網(wǎng)絡(luò)，稍帶一些本地化的無(wú)線功能的典型的IT網(wǎng)絡(luò)實(shí)踐許多專有的和標(biāo)準(zhǔn)的通訊協(xié)議使用多種類(lèi)型的傳播媒介，包括專用的有線和無(wú)線（無(wú)線電和衛(wèi)星）網(wǎng)絡(luò)是復(fù)雜的，有時(shí)需要控制工程師的專業(yè)知識(shí)變更管理在具有良好的安全策略和程序時(shí)，軟件變更是及時(shí)應(yīng)用的。往往是自動(dòng)化的程序。軟件變更必須進(jìn)行徹底的測(cè)試，以遞增方式部署到整個(gè)系統(tǒng)，以確?？刂葡到y(tǒng)的完整性。ICS的中斷往往必須有計(jì)劃，并提前預(yù)定時(shí)間（天/周）。ICS可以使用不再被廠商支持的操作系統(tǒng)。管理支持允許多元化的支持模式服務(wù)支持通常是依賴單一供應(yīng)商組件生命周期3-5年的生存期15-20年的生存期組件訪問(wèn)組件通常在本地，可方便地訪問(wèn)組件可以是隔離的，遠(yuǎn)程的，需要大量的物力才能獲得對(duì)其的訪問(wèn)ICS可用的計(jì)算資源（包括CPU時(shí)間和內(nèi)存）往往是非常有限的，因?yàn)檫@些系統(tǒng)，旨在最大限度地控制系統(tǒng)資源，很少甚至沒(méi)有額外容量給第三方的網(wǎng)絡(luò)安全解決方案。此外，在某些情況下，第三方安全解決方案根本不被允許，因?yàn)楣?yīng)商的許可和服務(wù)協(xié)議，而且如果安裝了第三方應(yīng)用程序，可能發(fā)生服務(wù)支持的損失。另一個(gè)重要的考慮因素是IT網(wǎng)絡(luò)安全和控制系統(tǒng)的專業(yè)知識(shí)通常不是屬于同一組人員的。綜上所述，ICS和IT系統(tǒng)之間的業(yè)務(wù)和風(fēng)險(xiǎn)的差異，產(chǎn)生了在應(yīng)用網(wǎng)絡(luò)安全和業(yè)務(wù)戰(zhàn)略時(shí)增長(zhǎng)的復(fù)雜性需求。一個(gè)由控制工程師、控制系統(tǒng)運(yùn)營(yíng)商和IT安全專業(yè)人員構(gòu)成的跨職能團(tuán)隊(duì)，應(yīng)當(dāng)緊密合作以理解安裝、操作與維護(hù)與控制系統(tǒng)相關(guān)的安全解決方案時(shí)可能產(chǎn)生的影響。工作于ICS的IT專業(yè)人員在部署之前需要了解信息安全技術(shù)的可靠性影響。在ICS上運(yùn)行的一些操作系統(tǒng)和應(yīng)用可能無(wú)法正常運(yùn)行商業(yè)現(xiàn)行（COTS）的IT網(wǎng)絡(luò)安全解決方案，因其專用的ICS環(huán)境架構(gòu)。3.2威脅控制系統(tǒng)面臨的威脅可以來(lái)自多種來(lái)源，包括對(duì)抗性來(lái)源如敵對(duì)政府、恐怖組織、工業(yè)間諜、心懷不滿的員工、惡意入侵者，自然來(lái)源如從系統(tǒng)的復(fù)雜性、人為錯(cuò)誤和意外事故、設(shè)備故障和自然災(zāi)害。為了防止對(duì)抗性的威脅（以及已知的自然威脅），需要為ICS創(chuàng)建一個(gè)縱深的防御策略。表3-2列出了針對(duì)ICS的可能的威脅。請(qǐng)注意此列表中是按字母順序排列而不是按威脅大小。表3-2針對(duì)ICS的對(duì)抗性威脅威脅代理描述Attackers攻擊者攻擊者入侵網(wǎng)絡(luò)，只為獲得挑戰(zhàn)的快感或在攻擊社團(tuán)中吹牛的資本。雖然遠(yuǎn)程攻擊曾經(jīng)需要一定的技能或計(jì)算機(jī)知識(shí)，但是攻擊者現(xiàn)在卻可以從互聯(lián)網(wǎng)上下載攻擊腳本和協(xié)議，并向受害網(wǎng)站發(fā)動(dòng)它們。因此，雖然攻擊工具越來(lái)越高級(jí)，它們也變得更容易使用。許多攻擊者并不具備必要的專業(yè)知識(shí)來(lái)威脅困難的目標(biāo)如美國(guó)的關(guān)鍵網(wǎng)絡(luò)。然而，攻擊者遍布全球，構(gòu)成了一個(gè)比較高的威脅，其造成的孤立的或短暫的中斷可引起嚴(yán)重?fù)p害。Bot-networkoperators僵尸網(wǎng)絡(luò)操縱者僵尸網(wǎng)絡(luò)操縱者即攻擊者；然而，他們侵入系統(tǒng)不是為了挑戰(zhàn)或炫耀，而是將多個(gè)系統(tǒng)聯(lián)合起來(lái)發(fā)動(dòng)攻擊和散布釣魚(yú)，垃圾郵件和惡意軟件攻擊。有時(shí)在地下市場(chǎng)可以獲得被攻破的系統(tǒng)和網(wǎng)絡(luò)的服務(wù)，例如，購(gòu)買(mǎi)一次拒絕服務(wù)攻擊或使用發(fā)送垃圾郵件或釣魚(yú)式攻擊的服務(wù)器。Criminalgroups犯罪集團(tuán)犯罪團(tuán)伙試圖攻擊系統(tǒng)以獲取錢(qián)財(cái)。具體來(lái)說(shuō)，有組織的犯罪集團(tuán)利用垃圾郵件，網(wǎng)絡(luò)釣魚(yú)，間諜軟件/惡意軟件進(jìn)行身份盜竊和在線欺詐。國(guó)際企業(yè)間諜和有組織的犯罪集團(tuán)也通過(guò)自己的能力進(jìn)行工業(yè)間諜活動(dòng)和大規(guī)模的貨幣盜竊，并聘請(qǐng)或發(fā)展攻擊人才，從而構(gòu)成對(duì)美國(guó)國(guó)家的威脅。一些犯罪團(tuán)伙可能用網(wǎng)絡(luò)攻擊威脅某個(gè)組織從而試圖勒索金錢(qián)。Foreignintelligenceservices外國(guó)情報(bào)服務(wù)外國(guó)情報(bào)部門(mén)使用網(wǎng)絡(luò)工具作為他們的信息收集和間諜活動(dòng)的一部分。此外，一些國(guó)家正在積極發(fā)展信息戰(zhàn)學(xué)說(shuō)、程序和能力。這類(lèi)能力使單一的實(shí)體就能造成顯著的和嚴(yán)重的影響，通過(guò)擾亂供電、通信和支持軍事力量的經(jīng)濟(jì)基礎(chǔ)設(shè)施，其后果可能會(huì)影響美國(guó)公民的日常生活。Insiders內(nèi)部人員心懷不滿的內(nèi)部人員是計(jì)算機(jī)犯罪的主要來(lái)源。內(nèi)部人員可能并不需要大量的計(jì)算機(jī)入侵相關(guān)知識(shí)，因?yàn)樗麄儗?duì)目標(biāo)系統(tǒng)的了解，往往使他們能夠不受限制地訪問(wèn)系統(tǒng)從而對(duì)系統(tǒng)造成損害或竊取系統(tǒng)數(shù)據(jù)。內(nèi)部威脅還包括外包供應(yīng)商以及員工意外地引入惡意軟件到系統(tǒng)中。內(nèi)部人員可能包括員工、承包商或商業(yè)合作伙伴。不適當(dāng)?shù)牟呗?、程序和測(cè)試也會(huì)導(dǎo)致對(duì)ICS的影響。對(duì)ICS和現(xiàn)場(chǎng)設(shè)備的影響程度可以是從瑣碎的到重大的損壞。來(lái)自內(nèi)部的意外影響是發(fā)生概率最高的事件之一。Phishers釣魚(yú)者釣魚(yú)者是執(zhí)行釣魚(yú)計(jì)劃的個(gè)人或小團(tuán)體，企圖竊取身份或信息以獲取金錢(qián)。釣魚(yú)者也可以使用垃圾郵件和間諜軟件/惡意軟件來(lái)實(shí)現(xiàn)其目標(biāo)。Spammers垃圾郵件發(fā)送者垃圾郵件發(fā)送者包括個(gè)人或組織，他們散布不請(qǐng)自來(lái)的電子郵件，包含隱藏的或虛假的產(chǎn)品銷(xiāo)售信息，進(jìn)行網(wǎng)絡(luò)釣魚(yú)計(jì)劃，散布間諜軟件/惡意軟件，或有組織的攻擊（例如DoS）。Spyware/malwareauthors間諜/惡意軟件作者具有惡意企圖的個(gè)人或組織通過(guò)制作和散布間諜軟件和惡意軟件進(jìn)行對(duì)用戶的攻擊。已經(jīng)有一些破壞性的電腦病毒和蠕蟲(chóng)對(duì)文件和硬盤(pán)驅(qū)動(dòng)器造成了損害，包括Melissa宏病毒，Explore.Zip蠕蟲(chóng)，CIH（切爾諾貝利）病毒，尼姆達(dá)，紅色代碼，Slammer（地獄），和Blaster（沖擊波）。Terrorists恐怖份子恐怖份子試圖破壞、中斷或利用關(guān)鍵基礎(chǔ)設(shè)施來(lái)威脅國(guó)家安全，造成大量人員傷亡，削弱美國(guó)經(jīng)濟(jì)，并損害公眾的士氣和信心?？植婪肿涌赡苁褂镁W(wǎng)絡(luò)釣魚(yú)或間諜軟件/惡意軟件，以籌集資金或收集敏感信息?？植婪肿涌赡芤u擊一個(gè)目標(biāo)，以從其他目標(biāo)上轉(zhuǎn)移視線或資源。Industrialspies工業(yè)間諜工業(yè)間諜活動(dòng)，旨在通過(guò)秘密的方法獲得知識(shí)產(chǎn)權(quán)和技術(shù)訣竅3.3ICS系統(tǒng)潛在的脆弱性本章所列舉一些脆弱性是在工業(yè)控制系統(tǒng)（ICS）中可能會(huì)遇到的，這些脆弱性排列的先后順序不代表發(fā)生的可能性或影響的級(jí)別大小。為了有助于信息安全決策，這些脆弱性被劃分成策略與程序類(lèi)、平臺(tái)類(lèi)和網(wǎng)絡(luò)類(lèi)脆弱性，大多數(shù)在工業(yè)控制系統(tǒng)中常出現(xiàn)的一些脆弱性都可與歸集到這幾類(lèi)中，但也有一些例外，對(duì)于一些特殊的工業(yè)控制系統(tǒng)脆弱性，也可能不包含在以上分類(lèi)中。關(guān)于工業(yè)控制系統(tǒng)中出現(xiàn)的漏洞的詳細(xì)信息，在美國(guó)計(jì)算機(jī)應(yīng)急小組（US-CERT）控制系統(tǒng)網(wǎng)站上有詳細(xì)的研究。在研究安全漏洞時(shí)，容易全身心投入并非常有興致地去研究并發(fā)布一些漏洞信息，但到最后可能會(huì)發(fā)現(xiàn)這些漏洞的影響很小。如附件E中所述，F(xiàn)IPS199標(biāo)準(zhǔn)中已對(duì)信息和信息系統(tǒng)進(jìn)行了安全事件分類(lèi)，分類(lèi)的依據(jù)是根據(jù)對(duì)信息和信息系統(tǒng)的影響程度，這些信息和信息系統(tǒng)是組織完成業(yè)務(wù)使命所依賴的，也是組織需要保護(hù)和日常維護(hù)的。對(duì)于工業(yè)控制系統(tǒng)安全漏洞帶來(lái)的風(fēng)險(xiǎn)需要有一套風(fēng)險(xiǎn)評(píng)估的方法，安全風(fēng)險(xiǎn)的大小，同黑客挖掘到漏洞并找到針對(duì)該漏洞的攻擊程序的可能性，以及一旦發(fā)生攻擊行為后對(duì)信息資產(chǎn)的影響大小密切相關(guān)，此外，該漏洞造成的風(fēng)險(xiǎn)大小還同以下一些因素相關(guān)，包括：計(jì)算機(jī)、網(wǎng)絡(luò)架構(gòu)及環(huán)境條件已部署的安全防護(hù)措施黑客發(fā)起攻擊的技術(shù)難度內(nèi)部嗅探的可能性事故的后果事故的成本這些風(fēng)險(xiǎn)評(píng)估的細(xì)節(jié)在后續(xù)的第4-6章中有進(jìn)一步詳述。3.3.1策略和程序方面的脆弱性安全漏洞在工業(yè)控制系統(tǒng)中常見(jiàn)到，主要是由于安全策略及程序文件不完全、不適合或文件的缺失，包括安全策略及實(shí)施指南（實(shí)施程序）等。安全策略程序文檔，包括管理支持等，是安全工作的基礎(chǔ)，通過(guò)正確的引導(dǎo)與實(shí)施，企業(yè)安全策略的完善能夠減少安全漏洞隱患，比如通過(guò)調(diào)制解調(diào)器連接到工業(yè)控制系統(tǒng)時(shí)口令的使用與維護(hù)要求。表3-3描述了工業(yè)控制系統(tǒng)中可能存在的策略與程序方面的安全漏洞：表3-3策略和程序上的脆弱性漏洞描述工業(yè)控制系統(tǒng)安全策略不當(dāng)對(duì)于工業(yè)控制系統(tǒng)，由于安全策略不當(dāng)或策略不具體，造成安全漏洞常有發(fā)生。沒(méi)有正式的工業(yè)控制系統(tǒng)安全培訓(xùn)和安全意識(shí)培養(yǎng)書(shū)面的、正式的安全培訓(xùn)以及安全意識(shí)培養(yǎng)設(shè)計(jì)的目的是為了使全體職員了解最新的計(jì)算機(jī)安全標(biāo)準(zhǔn)和最佳實(shí)踐，并使組織的安全策略與程序同步更新。安全架構(gòu)和設(shè)計(jì)不足安全管理工程師由于安全培訓(xùn)機(jī)會(huì)較少，對(duì)產(chǎn)品不夠熟悉，直到目前為止供應(yīng)商還沒(méi)有把一些安全特征移植到產(chǎn)品中。對(duì)于工業(yè)控制系統(tǒng)，沒(méi)有開(kāi)發(fā)出明確具體、書(shū)面的安全策略或程序文件具體、書(shū)面的安全策略或程序文件應(yīng)當(dāng)制定并對(duì)全體員工進(jìn)行培訓(xùn)，這是一個(gè)正確的安全建設(shè)的根基。工業(yè)控制系統(tǒng)設(shè)備操作指南缺失或不足設(shè)備操作指南應(yīng)當(dāng)及時(shí)更新并保持隨時(shí)可用，這些操作指南是工業(yè)控制系統(tǒng)發(fā)生故障時(shí)安全恢復(fù)所必須的組成部分。安全執(zhí)行中管理機(jī)制的缺失負(fù)有安全管理責(zé)任的員工應(yīng)當(dāng)對(duì)安全策略與程序文件的管理、實(shí)施負(fù)責(zé)。工業(yè)控制系統(tǒng)中很少或沒(méi)有安全審計(jì)獨(dú)立的安全審計(jì)人員應(yīng)當(dāng)檢查和驗(yàn)證系統(tǒng)日志記錄并主動(dòng)判斷安全控制措施是否充分，以保證合乎ICS安全策略與程序文件的規(guī)定。審計(jì)人員還應(yīng)當(dāng)經(jīng)常檢查ICS安全服務(wù)的缺失，并提出改進(jìn)建議，這樣能夠使安全控制措施更有效。沒(méi)有明確的ICS系統(tǒng)業(yè)務(wù)連續(xù)性計(jì)劃或?yàn)?zāi)難恢復(fù)計(jì)劃組織應(yīng)當(dāng)準(zhǔn)備業(yè)務(wù)連續(xù)性計(jì)劃或?yàn)?zāi)難恢復(fù)計(jì)劃并進(jìn)行定期演練，以防基礎(chǔ)設(shè)施重大的軟硬件故障發(fā)生，如果業(yè)務(wù)連續(xù)性計(jì)劃或?yàn)?zāi)難恢復(fù)計(jì)劃缺失，ICS系統(tǒng)可能會(huì)造成業(yè)務(wù)中斷和生產(chǎn)數(shù)據(jù)丟失。沒(méi)有明確具體的配置變更管理程序ICS系統(tǒng)硬件、固件、軟件的變更控制程序和相關(guān)程序文件應(yīng)當(dāng)嚴(yán)格制定，以保證ICS系統(tǒng)得到實(shí)時(shí)保護(hù)，配置變更管理程序的缺失將導(dǎo)致安全脆弱性的發(fā)生，增大安全風(fēng)險(xiǎn)。3.3.2平臺(tái)方面的脆弱性ICS系統(tǒng)由于程序瑕疵、配置不當(dāng)或維護(hù)較少而出現(xiàn)一些安全的脆弱性，包括ICS系統(tǒng)硬件、操作軟件和應(yīng)用軟件，通過(guò)各種安全控制措施的實(shí)施，可以緩解因安全脆弱性問(wèn)題導(dǎo)致的安全風(fēng)險(xiǎn)，比如，操作系統(tǒng)和應(yīng)用程序補(bǔ)丁，物理訪問(wèn)控制，安全防護(hù)軟件（如病防護(hù)軟件），下表是一些潛在的平臺(tái)方面的脆弱性的描述。表3-4.平臺(tái)配置方面的脆弱性表3-5平臺(tái)硬件方面的脆弱性表3-6.平臺(tái)軟件方面的脆弱性；表3-7.平臺(tái)惡意軟件防護(hù)方面的脆弱性；表3-4.平臺(tái)配置方面的脆弱性脆弱性描述操作系統(tǒng)安全漏洞被發(fā)現(xiàn)后供應(yīng)商可能沒(méi)有開(kāi)發(fā)出相應(yīng)的補(bǔ)丁程序由于ICS系統(tǒng)軟件及操作系統(tǒng)更新的復(fù)雜性，補(bǔ)丁程序的更新必須面對(duì)廣泛的回歸測(cè)試，從測(cè)試到最終發(fā)布之間有較長(zhǎng)的漏洞暴露周期。操作系統(tǒng)和應(yīng)用軟件補(bǔ)丁程序沒(méi)有及時(shí)安裝老版本的操作系統(tǒng)或應(yīng)用軟件可能存在最新發(fā)現(xiàn)的安全漏洞，組織的程序文件中應(yīng)當(dāng)明確如何維護(hù)補(bǔ)丁程序；操作系統(tǒng)和應(yīng)用軟件補(bǔ)丁程序沒(méi)有進(jìn)行廣泛測(cè)試操作系統(tǒng)和應(yīng)用軟件補(bǔ)丁程序沒(méi)有進(jìn)行廣泛測(cè)試就安裝上線，可能會(huì)對(duì)ICS系統(tǒng)的正常運(yùn)轉(zhuǎn)產(chǎn)生影響，組織的程序文件中應(yīng)當(dāng)明確對(duì)新出現(xiàn)的補(bǔ)丁程序進(jìn)行廣泛測(cè)試；使用缺省配置如使用缺省配置可能會(huì)導(dǎo)致不安全或不必要的端口或服務(wù)沒(méi)有關(guān)閉；關(guān)鍵配置文件沒(méi)有存儲(chǔ)備份措施組織應(yīng)當(dāng)在程序文件中明確對(duì)配置文件進(jìn)行存儲(chǔ)與備份，以防偶然事故的發(fā)生，防止黑客對(duì)配置文件進(jìn)行更改，造成業(yè)務(wù)中斷或業(yè)務(wù)數(shù)據(jù)的丟失。組織應(yīng)當(dāng)在程序文件中明確如何維護(hù)ICS系統(tǒng)的安全配置信息；移動(dòng)設(shè)備數(shù)據(jù)未保護(hù)如果敏感數(shù)據(jù)（如密碼，電話號(hào)碼)被明文儲(chǔ)存在手提設(shè)備例如筆記本電腦，掌上電腦等，這些設(shè)備被卡丟失或被盜，系統(tǒng)安全可能存在風(fēng)險(xiǎn)。需要建立政策、程序、機(jī)制來(lái)保護(hù)移動(dòng)設(shè)備上的數(shù)據(jù)。密碼策略不當(dāng)在使用密碼時(shí)需要定義密碼策略，包括密碼強(qiáng)度、更改周期等，如果沒(méi)有密碼策略，系統(tǒng)可能沒(méi)有適當(dāng)?shù)拿艽a控制措施，使未授權(quán)用戶更可能擅自訪問(wèn)機(jī)密信息?？紤]到ICS系統(tǒng)及員工處理復(fù)雜密碼的能力，組織應(yīng)當(dāng)吧密碼策略作為整體ICS安全策略的一個(gè)組成部分來(lái)制定。未設(shè)置密碼在ICS各組件上應(yīng)實(shí)施密碼訪問(wèn)策略，以防止未經(jīng)授權(quán)的訪問(wèn)。密碼相關(guān)的漏洞，包括沒(méi)有密碼：登錄系統(tǒng)（如果系統(tǒng)有用戶帳戶）系統(tǒng)開(kāi)機(jī)（如果系統(tǒng)有沒(méi)有用戶帳戶）系統(tǒng)的屏幕保護(hù)程序（如果ICS組件，隨著時(shí)間的推移無(wú)人值守）密碼認(rèn)證策略不應(yīng)妨礙或干擾ICS的應(yīng)急響應(yīng)活動(dòng)。密碼丟失密碼應(yīng)保密，以防止未經(jīng)授權(quán)的訪問(wèn)。密碼披露的例子包括：張貼在眾目睽睽下，靠近本地系統(tǒng)和其他人共享用戶個(gè)人帳戶密碼通過(guò)社會(huì)工程學(xué)，黑客獲取通訊密碼通過(guò)未受保護(hù)的通信鏈路發(fā)送未加密的密碼密碼猜解弱口令很容易被黑客或計(jì)算機(jī)算法猜解，從而獲得未經(jīng)授權(quán)的訪問(wèn)。例子包括：很短的密碼，簡(jiǎn)單（例如，所有的小寫(xiě)字母），或以其他方式不符合典型的強(qiáng)度要求。密碼強(qiáng)度也取決于對(duì)具體ICS能力，以處理更嚴(yán)格的密碼默認(rèn)的供應(yīng)商的密碼在指定的時(shí)間間隔不更改密碼沒(méi)有訪問(wèn)控制措施訪問(wèn)控制措施不當(dāng)可能會(huì)導(dǎo)致給ICS用戶過(guò)多或過(guò)少的特權(quán)。以下舉例說(shuō)明每一種情況下：系統(tǒng)默認(rèn)訪問(wèn)控制策略允許系統(tǒng)管理員權(quán)限系統(tǒng)配置不當(dāng)，操作人員無(wú)法在緊急情況下采取應(yīng)急響應(yīng)措施應(yīng)制定訪問(wèn)控制策略，作為ICS安全策略的一部分，表3-5.平臺(tái)硬件方面的脆弱性脆弱性描述安全變更時(shí)沒(méi)有充分進(jìn)行測(cè)試許多ICS的設(shè)施，尤其是較小的設(shè)施，沒(méi)有檢測(cè)設(shè)備，業(yè)務(wù)系統(tǒng)的安全性變更測(cè)試必須在現(xiàn)場(chǎng)環(huán)境下進(jìn)行。對(duì)關(guān)鍵設(shè)備沒(méi)有充分的物理保護(hù)措施訪問(wèn)控制中心，現(xiàn)場(chǎng)設(shè)備，便攜設(shè)備，媒體，和其他ICS組件需要被控制。許多遠(yuǎn)程站點(diǎn)往往沒(méi)有人員和物理監(jiān)測(cè)控制措施。未授權(quán)用戶能夠接觸設(shè)備ICS設(shè)備的物理訪問(wèn)，應(yīng)只限于必要的人員，同時(shí)考慮到安全的要求，如緊急關(guān)機(jī)或重新啟動(dòng)。未授權(quán)訪問(wèn)ICS設(shè)備可能會(huì)導(dǎo)致下列情況：物理盜竊數(shù)據(jù)和硬件數(shù)據(jù)和硬件的物理?yè)p壞或毀壞擅自變更功能的環(huán)境（例如，數(shù)據(jù)連接，可移動(dòng)媒體擅自使用，添加/刪除資源）物理數(shù)據(jù)鏈路斷開(kāi)難以檢測(cè)的數(shù)據(jù)攔截（擊鍵和其他輸入記錄）不安全的遠(yuǎn)程訪問(wèn)ICS組件調(diào)制解調(diào)器和其他遠(yuǎn)程訪問(wèn)措施的開(kāi)啟，使維護(hù)工程師和供應(yīng)商獲得遠(yuǎn)程訪問(wèn)系統(tǒng)的能力，應(yīng)部署安全控制，以防止未經(jīng)授權(quán)的個(gè)人，從進(jìn)入到ICS。雙網(wǎng)卡（NIC）連接網(wǎng)絡(luò)使用雙網(wǎng)卡連接到不同網(wǎng)絡(luò)的機(jī)器可能會(huì)允許未經(jīng)授權(quán)的訪問(wèn)和傳遞數(shù)據(jù)從一個(gè)網(wǎng)絡(luò)到另一個(gè)。未注冊(cè)的資產(chǎn)要維護(hù)ICS的安全，應(yīng)該有一個(gè)準(zhǔn)確的資產(chǎn)清單。一個(gè)控制系統(tǒng)及其組成部分的不準(zhǔn)確，可能為非授權(quán)用戶訪問(wèn)ICS系統(tǒng)留下后門(mén)。無(wú)線電頻率和電磁脈沖（EMP）用于控制系統(tǒng)的硬件是脆弱的無(wú)線電頻率和電磁脈沖（EMP）。影響范圍可以從暫時(shí)中斷的指令和控制電路板的永久性損害。無(wú)備用電源對(duì)于關(guān)鍵資產(chǎn)如果沒(méi)有備用電源，電力不足將關(guān)閉ICS系統(tǒng)，并可能產(chǎn)生不安全的情況。功率損耗也可能導(dǎo)致不安全的默認(rèn)設(shè)置。環(huán)境控制缺失環(huán)境控制的缺失可能會(huì)導(dǎo)致處理器過(guò)熱。有些處理器將關(guān)閉以自我保護(hù);有些可能會(huì)繼續(xù)工作，但在輸出功率較小，產(chǎn)生間歇性的錯(cuò)誤;如果過(guò)熱的話有的只是融化，。關(guān)鍵設(shè)備沒(méi)有冗余備份關(guān)鍵設(shè)備沒(méi)有冗余備份可能導(dǎo)致單點(diǎn)故障的發(fā)生。表3-6.平臺(tái)軟件方面的脆弱性脆弱性描述緩沖區(qū)溢出ICS系統(tǒng)軟件可能會(huì)出現(xiàn)緩沖區(qū)溢出，黑客可能會(huì)利用這些來(lái)來(lái)發(fā)起各種攻擊安裝的安全設(shè)備沒(méi)有開(kāi)啟防護(hù)功能隨產(chǎn)品安裝的安全功能是無(wú)用的，如果他們不啟用或至少確定被禁用拒絕服務(wù)攻擊ICS系統(tǒng)軟件可能會(huì)受到DOS攻擊，可能會(huì)導(dǎo)致合法用戶不能訪問(wèn)，或系統(tǒng)訪問(wèn)響應(yīng)延遲。因未定義、定義不清，或“非法”定義導(dǎo)致操作錯(cuò)誤一些ICS在執(zhí)行操作指令時(shí)對(duì)輸入的數(shù)據(jù)包缺乏有效檢測(cè)，這些數(shù)據(jù)包的格式不正確或含有非法或其他意外的字段值。過(guò)程控制的OLE（OPC），依賴于遠(yuǎn)程過(guò)程調(diào)用（RPC）和分布式組件對(duì)象模型（DCOM）沒(méi)有更新的補(bǔ)丁，對(duì)于已知的RPC/DCOM漏洞來(lái)說(shuō)OPC是脆弱的。使用不安全的全行業(yè)ICS協(xié)議分布式網(wǎng)絡(luò)協(xié)議（DNP）3.0，MODBUS，PROFIBUS，以及其他協(xié)議，應(yīng)用于多個(gè)行業(yè)，協(xié)議信息是公開(kāi)的。這些協(xié)議通常很少或根本沒(méi)有內(nèi)置的安全功能明文傳輸許多ICS的協(xié)議傳輸介質(zhì)之間的明文傳輸?shù)南?，使得它們很容易被?duì)手竊聽(tīng)。開(kāi)啟了不必要的服務(wù)許多平臺(tái)上運(yùn)行著有各種各樣的處理器和網(wǎng)絡(luò)服務(wù)。不必要的服務(wù)很少被禁用，可能會(huì)被利用。專有軟件的使用已經(jīng)在會(huì)議和期刊上討論過(guò)在國(guó)際IT、ICS和“黑帽”會(huì)議討論過(guò)，并在技術(shù)論文，期刊或目錄服務(wù)器上已發(fā)表過(guò)。此外，ICS維修手冊(cè)可從供應(yīng)商那里獲得。這些信息可以幫助黑客成功地對(duì)ICS發(fā)起攻擊。軟件配置和設(shè)計(jì)上認(rèn)證和訪問(wèn)控制措施不足未經(jīng)授權(quán)的訪問(wèn)，配置和編程軟件，可能會(huì)損壞設(shè)備。沒(méi)有安裝入侵檢測(cè)/防護(hù)設(shè)備安全事件的發(fā)生可能會(huì)導(dǎo)致系統(tǒng)可用性的損失;IDS/IPS軟件可能會(huì)停止或防止各類(lèi)攻擊，包括DoS攻擊，也識(shí)別攻擊內(nèi)部主機(jī)與蠕蟲(chóng)感染者，如。IDS/IPS系統(tǒng)軟件必須在部署之前進(jìn)行測(cè)試，以確定它不會(huì)影響ICS系統(tǒng)的正常運(yùn)行。日志未維護(hù)如果沒(méi)有適當(dāng)和準(zhǔn)確的日志記錄，可能無(wú)法以確定是什么原因造成安全事件的發(fā)生。安全事故未及時(shí)發(fā)現(xiàn)日志和其他安全設(shè)備已安裝，他們可能不是建立在實(shí)時(shí)監(jiān)測(cè)的基礎(chǔ)上，因此，安全事故可能不能迅速發(fā)現(xiàn)和處理。表3-7.惡意軟件保護(hù)方面的脆弱性脆弱性描述防惡意軟件未安裝惡意軟件可能會(huì)導(dǎo)致性能下降，失去了系統(tǒng)的可用性，并捕捉，修改，或刪除數(shù)據(jù)。惡意軟件保護(hù)軟件，如殺毒軟件，是需要，以防止被惡意軟件感染的系統(tǒng)。防惡意軟件版本或特征碼未更新未更新的防惡意軟件版本和定義可能會(huì)使系統(tǒng)惡意軟件攻擊威脅離開(kāi)系統(tǒng)的開(kāi)放新的惡意軟件威脅。防惡意軟件安裝前未進(jìn)行廣泛的測(cè)試防惡意軟件安裝前未進(jìn)行廣泛的測(cè)試可能會(huì)對(duì)ICS系統(tǒng)正常運(yùn)轉(zhuǎn)產(chǎn)生影響。3.3.3網(wǎng)絡(luò)方面的脆弱性在ICS中的漏洞可能會(huì)出現(xiàn)缺陷，錯(cuò)誤配置，或?qū)CS網(wǎng)絡(luò)及與其他網(wǎng)絡(luò)的連接管理不善。這些漏洞可以通過(guò)各種安全控制消除或者弱化，如防御深入的網(wǎng)絡(luò)設(shè)計(jì)，網(wǎng)絡(luò)通信加密，限制網(wǎng)絡(luò)流量，并提供網(wǎng)絡(luò)組件的物理訪問(wèn)控制。本節(jié)中的表描述了潛在的平臺(tái)漏洞：表3-8。網(wǎng)絡(luò)配置漏洞表3-9。網(wǎng)絡(luò)硬件漏洞表3-10。網(wǎng)絡(luò)邊界漏洞表3-11。網(wǎng)絡(luò)監(jiān)控和記錄漏洞表3-12。通信中的漏洞表3-13。無(wú)線連接中的漏洞表3-8網(wǎng)絡(luò)配置方面的脆弱性脆弱性描述網(wǎng)絡(luò)安全架構(gòu)ICS系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)常常根據(jù)業(yè)務(wù)和運(yùn)營(yíng)環(huán)境的變化而發(fā)展變化，但很少考慮潛在的安全影響的變化。隨著時(shí)間的推移，安全漏洞可能會(huì)在不經(jīng)意間在基礎(chǔ)設(shè)施內(nèi)的特定組件中產(chǎn)生，如果沒(méi)有補(bǔ)救措施，這些漏洞可能成為進(jìn)入ICS的后門(mén)。未實(shí)施數(shù)據(jù)流控制數(shù)據(jù)流的控制，如訪問(wèn)控制列表（ACL），需要限制哪些系統(tǒng)可以直接訪問(wèn)網(wǎng)絡(luò)設(shè)備。一般來(lái)說(shuō)，只有指定的網(wǎng)絡(luò)管理員應(yīng)該能夠直接訪問(wèn)這些設(shè)備。數(shù)據(jù)流的控制應(yīng)確保其他系統(tǒng)不能直接訪問(wèn)設(shè)備。安全設(shè)備配置不當(dāng)使用默認(rèn)配置，往往導(dǎo)致不安全和不必要的開(kāi)放端口和利用的網(wǎng)絡(luò)服務(wù)的主機(jī)上運(yùn)行。配置不當(dāng)?shù)姆阑饓σ?guī)則和路由器ACL，可以允許不必要的流量通行。網(wǎng)絡(luò)設(shè)備配置文件未保存或備份一旦網(wǎng)絡(luò)發(fā)生偶然的或黑客發(fā)起的配置變更事件，需要有可行的操作程序，以維護(hù)網(wǎng)絡(luò)系統(tǒng)的高可用性，并防止業(yè)務(wù)數(shù)據(jù)的丟失。文件化的程序應(yīng)制定來(lái)維護(hù)網(wǎng)絡(luò)設(shè)備的配置設(shè)置。數(shù)據(jù)傳輸中口令未加密密碼通過(guò)傳輸介質(zhì)明文傳輸，易被黑客嗅探，并獲得對(duì)網(wǎng)絡(luò)設(shè)備的未授權(quán)訪問(wèn)。這樣黑客可能破壞ICS的操作或監(jiān)控ICS網(wǎng)絡(luò)活動(dòng)。網(wǎng)絡(luò)設(shè)備密碼長(zhǎng)期未修改密碼應(yīng)定期更換，這樣，如果未授權(quán)用戶獲得密碼，也只有很短的時(shí)間訪問(wèn)網(wǎng)絡(luò)設(shè)備。未定期更換密碼可能使黑客破壞ICS的操作或監(jiān)視器ICS的網(wǎng)絡(luò)活動(dòng)。