國內(nèi)工業(yè)控制系統(tǒng)

標(biāo)準(zhǔn)概述在國內(nèi)，自 2010 年前后已陸續(xù)開展工業(yè)控制系統(tǒng)信息安全相關(guān)標(biāo)準(zhǔn)的研究制定工作。截至目前， 全國已有多個(gè)相關(guān)標(biāo)委會(huì)開展了該領(lǐng)域標(biāo)準(zhǔn)執(zhí)行工作。全國工業(yè)過程測量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)從自 動(dòng)化領(lǐng)域入手，借鑒 IEC62443 等系列標(biāo)準(zhǔn)，研究制定了《工業(yè)通信網(wǎng)
絡(luò) -網(wǎng)絡(luò)和系統(tǒng)安全 -第 2-1 部分： 建立工業(yè)自動(dòng)化和控制系統(tǒng)信息安全程序》、《工業(yè)控制系統(tǒng)信息安全 第 1 部分：評估規(guī)范》、《工 業(yè)控制系統(tǒng)信息安全第 2 部分：驗(yàn)收規(guī)范》等工業(yè)控制系統(tǒng)的安全標(biāo)準(zhǔn)。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）作為全國信息安全領(lǐng)域標(biāo)準(zhǔn)化歸口組織，管理全國信息 安全領(lǐng)域的相關(guān)國家標(biāo)準(zhǔn)化工作。截至目前，已發(fā)布《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全
控制應(yīng)用指南》 等相關(guān)國家標(biāo)準(zhǔn)。部分國內(nèi)工業(yè)控制系統(tǒng)標(biāo)準(zhǔn)如下表所示。
表 8.1 國內(nèi)部分工業(yè)控制系統(tǒng)標(biāo)準(zhǔn)
序號 名稱
1 《工業(yè)控制系統(tǒng)信息安全 第 1 部分：評估規(guī)范》
2 《工業(yè)控制系統(tǒng)信息安全 第 2 部分：驗(yàn)收規(guī)范》
3 《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》
4 《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》
5 《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全分級規(guī)范》
6 《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全檢查指南》
7 《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全管理基本要求》
8 《信息安全技術(shù) 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評估實(shí)施指南》
9 《信息安全技術(shù) 工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評估準(zhǔn)則》
10 《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)要求和測試評價(jià)方法》
11 《信息安全技術(shù) 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)監(jiān)測安全技術(shù)要求和測試評價(jià)方法》 12 《信息安全技術(shù) 工業(yè)控制系統(tǒng)漏洞檢測技術(shù)要求及測試評價(jià)方法》
13 《信息安全技術(shù) 工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》 14 《信息安全技術(shù) 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求》
15 《信息安全技術(shù) 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》
16 《信息安全技術(shù) 工業(yè)控制系統(tǒng)入侵檢測產(chǎn)品安全技術(shù)要求》
17 《信息安全技術(shù) 數(shù)控網(wǎng)絡(luò)安全技術(shù)要求》
序號 名稱
18 《信息安全技術(shù) 工業(yè)控制系統(tǒng)測控終端安全要求》 19 《集散控制系統(tǒng)（DCS）安全防護(hù)要求》
20 《集散控制系統(tǒng)（DCS）安全管理要求》
21 《集散控制系統(tǒng)（DCS）安全評估指南》
22 《集散控制系統(tǒng)（DCS）風(fēng)險(xiǎn)與脆弱性檢測要求》 23 《可編程邏輯控制器（PLC）系統(tǒng)信息安全要求》 24 《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》
25 《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》
26 《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》
27 《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》
28 《石油化工工廠信息系統(tǒng)設(shè)計(jì)規(guī)范》
29 《核電廠安全系統(tǒng) 第 1 部分 設(shè)計(jì)準(zhǔn)則》
30 《核電廠安全系統(tǒng)中數(shù)字計(jì)算機(jī)的適用準(zhǔn)則》
31 《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》 32 《煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全基線技術(shù)規(guī)范》
選取部分標(biāo)準(zhǔn)做以簡單概述。
《工業(yè)控制系統(tǒng)信息安全 第 1 部分：評估規(guī)范》作為我國工業(yè)控制安全第一個(gè)有內(nèi)容的國家標(biāo)準(zhǔn)， 解決了我國工業(yè)控制安全無標(biāo)準(zhǔn)可依的窘境?！对u估規(guī)范》分為管理評估和系統(tǒng)能力（技術(shù)）評估。管 理評估宜對照風(fēng)險(xiǎn)接受準(zhǔn)則和組織機(jī)構(gòu)相關(guān)目標(biāo)，識別、量化并區(qū)分風(fēng)險(xiǎn)的優(yōu)先次序。風(fēng)險(xiǎn)評估的結(jié)果 可指導(dǎo)并確定適當(dāng)?shù)墓芾泶胧┘捌鋬?yōu)先級，評估風(fēng)險(xiǎn)和選擇控制措施的過程需要執(zhí)行多次，以覆蓋組織 機(jī)構(gòu)的不同部門或各個(gè)工業(yè)控制系統(tǒng)。管理評估分三個(gè)級別、系統(tǒng)能力（技術(shù)）評估分為四個(gè)級別。信 息安全等級由系統(tǒng)能力等級和管理等級二維確定。
《工業(yè)控制系統(tǒng)信息安全 第 2 部分：驗(yàn)收規(guī)范》此標(biāo)準(zhǔn)解決了我國工業(yè)控制系統(tǒng)信息安全驗(yàn)收上的 空白，解決了驗(yàn)收有標(biāo)準(zhǔn)可依的困境。此標(biāo)準(zhǔn)的使用方是工業(yè)控制系統(tǒng)用戶方，《驗(yàn)收規(guī)范》涉及到專 業(yè)的安全測試，除電力和石油石化等大部分用戶方在能力上不足以完成驗(yàn)收階段的安全測試。因此需要 借助第三方的測評力量來驗(yàn)收，就涉及到項(xiàng)目預(yù)算增加的問題。因此在做標(biāo)準(zhǔn)宣貫時(shí)，需要在立項(xiàng)階段 就考慮驗(yàn)收標(biāo)準(zhǔn)和費(fèi)用的問題。
《信息安全技術(shù)工業(yè)控制系統(tǒng)安全檢查指南》規(guī)定了工業(yè)控制系統(tǒng)信息安全檢查的目的、范圍、方式、 流程、方法和內(nèi)容，適用于開展工業(yè)控制系統(tǒng)的信息安全監(jiān)督檢查、委托檢查工作，同時(shí)也適用于各企 業(yè)在本集團(tuán)（系統(tǒng)）范圍內(nèi)開展相關(guān)系統(tǒng)的信息安全自檢查。
《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》規(guī)定了工業(yè)控制網(wǎng)絡(luò)安全隔 離與信息交換系統(tǒng)的安全功能要求、安全保障要求和安全等級劃分要求，適用于工業(yè)控制網(wǎng)絡(luò)安全隔離 與信息交換系統(tǒng)的設(shè)計(jì)、開發(fā)及測試。
《信息安全技術(shù)工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品技術(shù)要求及測試評價(jià)方法》規(guī)定了針對工業(yè)控制系統(tǒng)的 漏洞檢測產(chǎn)品的技術(shù)要求和測試評價(jià)方法，包括安全功能要求、自身安全要求和安全保障要求，以及相 應(yīng)的測試評價(jià)方法，適用于工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品的設(shè)計(jì)、開發(fā)和測評。
《信息安全技術(shù)工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評估準(zhǔn)則》定義了工業(yè)控制系統(tǒng)產(chǎn)品安全評估的通 用安全功能組件和安全保障組件集合，規(guī)定了工業(yè)控制系統(tǒng)產(chǎn)品的安全要求和評估準(zhǔn)則，適用于工業(yè)控 制系統(tǒng)產(chǎn)品安全保障能力的評估，產(chǎn)品安全功能的設(shè)計(jì)、開發(fā)和測試也可參照使用。
《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)監(jiān)測安全技術(shù)要求及測試評價(jià)方法》規(guī)定了工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品的 安全技術(shù)要求和測試評價(jià)方法，適用于工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品的設(shè)計(jì)生產(chǎn)方對其設(shè)計(jì)、開發(fā)及測評等提 供指導(dǎo)，同時(shí)也可為工業(yè)控制系統(tǒng)設(shè)計(jì)、建設(shè)和運(yùn)維開展工業(yè)控制系統(tǒng)安全防護(hù)工作提供指導(dǎo)。
信息安全標(biāo)準(zhǔn)是我國信息安全保障體系的重要組成部分，工業(yè)控制系統(tǒng)信息安全是國家網(wǎng)絡(luò)安全的 重要組成部分，在工業(yè)控制安全國家標(biāo)準(zhǔn)制定中，需要信息安全專家、工業(yè)控制專家、行業(yè)專家等多領(lǐng) 域?qū)＜夜餐瑓⑴c，才能真實(shí)反映既符合網(wǎng)絡(luò)安全要求又符合工業(yè)控制現(xiàn)場現(xiàn)狀。
了解整個(gè)國內(nèi)外工業(yè)控制系統(tǒng)的安全標(biāo)準(zhǔn)和相關(guān)法規(guī)，對于制定整體安全策略至關(guān)重要。但是這些 標(biāo)準(zhǔn)和法規(guī)只應(yīng)該作為基本的安全基線，在參照的基礎(chǔ)上真正的結(jié)合風(fēng)險(xiǎn)場景與成本預(yù)算和各類安全措 施，制定出經(jīng)濟(jì)、高效、持久的安全策略與措施才是企業(yè)真正的需求。
參考文檔
? 《黑客大曝光 -工業(yè)控制系統(tǒng)安全》 【美】克林特（Clint E.Bodungen）等著 機(jī)械工業(yè)出版社
綠盟科技格物實(shí)驗(yàn)室
綠盟科技格物實(shí)驗(yàn)室專注于工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和車聯(lián)網(wǎng)三大業(yè)務(wù)場景的安全研究。實(shí)驗(yàn)室 以“格物致知”的問學(xué)態(tài)度，致力于以智能設(shè)備為中心的漏洞挖掘和安全分析，提供基于業(yè)務(wù)場 景的安全解決方案。積極與各方共建萬物互聯(lián)的安全生態(tài)，為企業(yè)和社會(huì)的數(shù)字化轉(zhuǎn)型安全護(hù)航。
綠盟科技官方微信

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制 系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，網(wǎng)絡(luò)威脅正在由傳統(tǒng) IT領(lǐng)域向工業(yè)控制系 統(tǒng)擴(kuò)散，工業(yè)控制系統(tǒng)信息安全問題日益突出，對工業(yè)生產(chǎn)運(yùn)行，乃至國家經(jīng)濟(jì)安全造成重大隱患。如 何針對這些隱患制定出一套可行的檢測與安全評估方法顯得尤為重要，也是關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域亟待解決 的問題。但由于每個(gè)企業(yè)的業(yè)務(wù)目標(biāo)和運(yùn)營環(huán)境多樣化、復(fù)雜化，而制定一套“均碼”的度量標(biāo)準(zhǔn)或者 規(guī)范是很艱難的，即使制定出該標(biāo)準(zhǔn)但實(shí)施與執(zhí)行后的效果是否理想就不得而知。

安全評估存在的問題：

1. 合規(guī)并不等于安全。
2. 無法驗(yàn)證的脆弱性僅僅是主觀推測的結(jié)果，需大膽設(shè)想，小心求證。 構(gòu)建的理念：

在工業(yè)控制系統(tǒng)的功能安全、操作安全、安全防護(hù)措施以及脆弱性的基礎(chǔ)上，構(gòu)建整體性更強(qiáng)、綜 合性更高的方法（風(fēng)險(xiǎn)場景構(gòu)建），避免零散孤立的合規(guī)核查，對風(fēng)險(xiǎn)的“可能性”做出更為準(zhǔn)確的解 釋，形成可量化的標(biāo)準(zhǔn)，為制定有針對性的、高效的風(fēng)險(xiǎn)緩解措施奠定基礎(chǔ)。

這里將嘗試提出一種工業(yè)控制系統(tǒng)安全評估流程的方法論，從技術(shù)層面出發(fā)梳理評估步驟，針對涉 及到的技術(shù)點(diǎn)與方法進(jìn)行歸納總結(jié)。本文所提出的安全評估的流程如下圖所示：

目標(biāo)定義與 資產(chǎn)評估

系統(tǒng)評定

業(yè)務(wù)/運(yùn)營目標(biāo)定義 資產(chǎn)識別 系統(tǒng)評定 資產(chǎn)分類

系統(tǒng)分類 網(wǎng)絡(luò)拓?fù)鋵彶?數(shù)據(jù)流審查

風(fēng)險(xiǎn)資產(chǎn)預(yù)篩

脆弱性評估 風(fēng)險(xiǎn)場景構(gòu)建

安全策略脆弱性 威脅評估 架構(gòu)與設(shè)計(jì)脆弱性 攻擊向量評估 配置與維護(hù)脆弱性 威脅事件構(gòu)建

物理環(huán)境脆弱性 風(fēng)險(xiǎn)場景構(gòu)建 產(chǎn)品實(shí)現(xiàn)的脆弱性

通信與網(wǎng)絡(luò)脆弱性

風(fēng)險(xiǎn)估算與 驗(yàn)證與測試

防護(hù)部署

風(fēng)險(xiǎn)計(jì)算 滲透測試 防護(hù)措施制定 （組件測試、 防護(hù)措施排序 系統(tǒng)測試）

\2. 目標(biāo)定義與系統(tǒng)評定

目標(biāo)定義與系統(tǒng)評定

1. 目標(biāo)定義

全面的安全評估需要了解系統(tǒng)的相關(guān)組成結(jié)構(gòu)以及相關(guān)聯(lián)的業(yè)務(wù)，從多個(gè)方面評估可能存在的風(fēng)險(xiǎn)， 并通過實(shí)施過程進(jìn)行逐步驗(yàn)證，通過計(jì)算模型推導(dǎo)出可能形成的損失。如下圖：

人員 信息 管理

系統(tǒng) 風(fēng)險(xiǎn)評估考慮因素：

• 人員（安全意識與安全能力）
• 管理（人員管理、生產(chǎn)管理、數(shù)據(jù)管理、運(yùn)維管理等）

數(shù)據(jù) 通訊 終端 ? 供應(yīng)鏈（元件 / 設(shè)備引入安全風(fēng)險(xiǎn)）

系統(tǒng) 系統(tǒng) 系統(tǒng) ? 邊界（不同區(qū)域的風(fēng)險(xiǎn)管理）

• 工藝（可靠性要求）
• 電磁輻射（側(cè)信道攻擊）

生產(chǎn) ? 環(huán)境（設(shè)備 / 系統(tǒng)針對不同環(huán)境的適應(yīng)能力）

系統(tǒng) ? 數(shù)據(jù)傳輸與存儲(chǔ)

• 設(shè)備老化或者異常運(yùn)行

供應(yīng)鏈

圖 2.1 風(fēng)險(xiǎn)評估參考架構(gòu)

制定適合自有系統(tǒng)的風(fēng)險(xiǎn)度量標(biāo)準(zhǔn)并對識別出的風(fēng)險(xiǎn)進(jìn)行評分，對于工業(yè)控制系統(tǒng)來說，需要理清 如下問題：

1. 企業(yè)生產(chǎn)什么 ?
2. 工業(yè)控制系統(tǒng)運(yùn)行 / 實(shí)現(xiàn)自動(dòng)化的環(huán)節(jié)有哪些？
3. 在生產(chǎn)環(huán)境中部署了哪些系統(tǒng)支持正常生產(chǎn)？
4. 工業(yè)控制系統(tǒng)中哪些地方出現(xiàn)異?？赡軙?huì)造成較大的損失？

通過回答這些甚至更多問題，就可知道哪些系統(tǒng)對于實(shí)現(xiàn)業(yè)務(wù) / 運(yùn)營目標(biāo)更為關(guān)鍵，哪些系統(tǒng)為輔 助性的，同時(shí)也明確了這些系統(tǒng)按計(jì)劃停止運(yùn)行后可能導(dǎo)致的后果是什么。

確定業(yè)務(wù) / 運(yùn)營目標(biāo)過程：

1. 多角色參與討論，如業(yè)務(wù)經(jīng)理 / 資產(chǎn)所有者 / 資產(chǎn)托管方 / 工程經(jīng)理 / 工程師 / 所有其他利益相 關(guān)方。
2. 從對業(yè)務(wù) / 運(yùn)營目標(biāo)提供支持的系統(tǒng)及這些系統(tǒng)的故障導(dǎo)致潛在的后果這兩個(gè)維度出發(fā)，對業(yè) 務(wù) / 運(yùn)營目標(biāo)做出澄清。

輸出：

• 清晰的業(yè)務(wù) / 運(yùn)營目標(biāo)。
• 支撐目標(biāo)的各類系統(tǒng)。

2. 系統(tǒng)評定與分類

在工業(yè)控制系統(tǒng)環(huán)境中系統(tǒng)的概念為出于一個(gè)共同的業(yè)務(wù) / 運(yùn)營目標(biāo)而協(xié)同工作的一組過程設(shè)備、 處理裝置、計(jì)算機(jī)、調(diào)度策略、運(yùn)行工藝和組織管理等。如 SIS（安全儀表系統(tǒng)）、SCADA（監(jiān)控與數(shù) 據(jù)采集系統(tǒng)）、HSE（健康安全和環(huán)境管理系統(tǒng)）、FGS（火氣系統(tǒng)）等。

系統(tǒng)評定與分類的過程按照以下順序進(jìn)行：

對目標(biāo)系統(tǒng)做識別與判定 分析與系統(tǒng)相關(guān)聯(lián)的潛在事件和后果 建立后果與業(yè)務(wù)/運(yùn)營目標(biāo)的關(guān)聯(lián)關(guān)系 根據(jù)關(guān)鍵性對系統(tǒng)進(jìn)行分類與優(yōu)先級排序

圖 2.2 系統(tǒng)評定與分類過程

輸出內(nèi)容為：

• 對支撐業(yè)務(wù) / 運(yùn)營目標(biāo)的各類系統(tǒng)的分類。
• 根據(jù)關(guān)鍵性對各個(gè)系統(tǒng)的優(yōu)先級排序。

7

\3. 資產(chǎn)評估

資產(chǎn)評估

1. 資產(chǎn)識別與分類

盡可能全面地識別出被評估對象的所有資產(chǎn)，為后續(xù)的評估過程提供關(guān)鍵的信息，但是工業(yè)控制系 統(tǒng)中收集資產(chǎn)較為困難，往往會(huì)有遺漏，且目前采取的方法一般為訪談式和調(diào)查式，難以保證資產(chǎn)收集 的準(zhǔn)確性。

可以嘗試通過如下方法進(jìn)行資產(chǎn)識別：

1. 查詢采購記錄。
2. 查詢資產(chǎn)數(shù)據(jù)庫。
3. 初步的資產(chǎn)清單與最新的、最準(zhǔn)確的網(wǎng)絡(luò)拓?fù)溥M(jìn)行交叉驗(yàn)證。
4. 人工巡檢、現(xiàn)場核查 ( 顧問訪談 / 問卷調(diào)查 )。
5. 使用資產(chǎn)發(fā)現(xiàn)工具獲取資產(chǎn)信息 ( 例如 :工業(yè)控制系統(tǒng)漏洞掃描工具 )。

依照如上方法對待評估系統(tǒng)識別出的資產(chǎn)做以列舉，形成資產(chǎn)清單表。在列舉工作中最好采用分類 的方式為資產(chǎn)進(jìn)行歸類整理，例如可以從如下維度進(jìn)行。

表 3.1 資產(chǎn)參考表

**資產(chǎn)類別 資產(chǎn)品牌 資產(chǎn)型號 詳細(xì)版本 其余信息 **信息

軟件

硬件

系統(tǒng)

人員 安全意識、安全操作技能等。

管理制度 人員培養(yǎng)制度、組織架構(gòu)管理、操作站工作指導(dǎo)書、安全規(guī)定等。

應(yīng)急體系 應(yīng)急生產(chǎn)支撐體系、不可抗力故障支撐體系、突發(fā)性威脅響應(yīng)體系等。

備注：在工業(yè)控制系統(tǒng)中使用主動(dòng)掃描方式發(fā)現(xiàn)資產(chǎn)風(fēng)險(xiǎn)較大，建議使用被動(dòng)掃描的方式或者無損 掃描方式進(jìn)行。

1. 網(wǎng)絡(luò)拓?fù)鋵彶?/li>

該步驟與資產(chǎn)識別步驟可以交叉、比對進(jìn)行，盡可能詳細(xì)地繪制出最新的、最準(zhǔn)確的業(yè)務(wù) / 運(yùn)營目 標(biāo)對象網(wǎng)絡(luò)拓?fù)鋱D，梳理清楚設(shè)備、組件等之間的連接關(guān)系。

3. 數(shù)據(jù)流審查

對照網(wǎng)絡(luò)拓?fù)?，在其基礎(chǔ)上添加數(shù)據(jù)流要素，形成一張動(dòng)態(tài)的資產(chǎn)、網(wǎng)絡(luò)元、數(shù)據(jù)交互的圖譜，不 僅有助于發(fā)現(xiàn)現(xiàn)階段業(yè)務(wù) / 運(yùn)營目標(biāo)對象網(wǎng)絡(luò)中的已知問題（例如信息泄露途徑、非法接入等），還可 以作為應(yīng)急響應(yīng)分析過程中的重要輸入資料。

4. 風(fēng)險(xiǎn)資產(chǎn)預(yù)篩

對于資產(chǎn)預(yù)篩選的依據(jù)與標(biāo)準(zhǔn)可參照如下表，將資產(chǎn)關(guān)鍵性分為 5 個(gè)等級， 由高到低關(guān)鍵性依次減 弱。

表 3.2 資產(chǎn)等級及含義描述

9

\4. 脆弱性評估

脆弱性評估

脆弱性是資產(chǎn)本體固有存在的，如果沒有對應(yīng)的利用方法，單純的脆弱性本身不會(huì)對資產(chǎn)造成損害。 如果系統(tǒng)足夠健壯，即使再嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件發(fā)生。即威脅總是要利用資產(chǎn)的脆弱性才可 能造成危害。

資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為 困難的部分。不正確的、起不到應(yīng)有作用的或沒有正確實(shí)施的安全措施本身就可以理解為是一種脆弱性。

脆弱性識別是風(fēng)險(xiǎn)評估中最重要的一個(gè)環(huán)節(jié)。該環(huán)節(jié)需要識別出系統(tǒng)具有的漏洞，然后與資產(chǎn)、威 脅源、攻擊向量等關(guān)聯(lián)起來，分析出系統(tǒng)所面臨的風(fēng)險(xiǎn)。

工業(yè)控制系統(tǒng)面臨的脆弱性可以從以下幾個(gè)方面分析。如下圖：

安全 策略

通信與 架構(gòu)與 配置 設(shè)計(jì)

工業(yè)控制系統(tǒng) 面臨的脆弱性

產(chǎn)品開 配置與 發(fā)過程 維護(hù)

物理 環(huán)境

圖 4.1 工業(yè)控制系統(tǒng)脆弱面

10

4.1 安全策略脆弱性

下表為工業(yè)控制系統(tǒng)中常見的安全策略脆弱性的描述。

表 4.1 安全策略脆弱性檢查表

脆弱性 描述

由于策略制定不完整或者缺乏針對工業(yè)控制系統(tǒng)安全的詳細(xì)策略，導(dǎo)致工業(yè)控制系統(tǒng)存在脆弱 工業(yè)控制系統(tǒng)安全策略制定 性。

不完整 制定策略時(shí)，每一項(xiàng)的對抗措施都應(yīng)該在策略中有跡可循，從而確保一致性與可問責(zé)性。

安全策略必須將工業(yè)控制系統(tǒng)環(huán)境中使用的便攜設(shè)備與移動(dòng)設(shè)備考慮在內(nèi)。

無正規(guī)的工業(yè)控制系統(tǒng)安全 將正規(guī)的安全培訓(xùn)相關(guān)內(nèi)容形成文件，能夠幫助工作人員及時(shí)了解機(jī)構(gòu)的安全策略、規(guī)范的操 培訓(xùn)計(jì)劃 作程序、可能存在的安全威脅、行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和建議措施等內(nèi)容。

工業(yè)控制系統(tǒng)設(shè)備實(shí)施指南 應(yīng)該保證設(shè)備實(shí)施指南及時(shí)更新并且方便獲取。在部分工業(yè)控制系統(tǒng)設(shè)備出現(xiàn)故障情況下，實(shí) 缺失或者不完備 施指南是安全處置中不可或缺的部分。

安全策略實(shí)施管理機(jī)制缺失 負(fù)責(zé)實(shí)施安全策略的工作人員應(yīng)當(dāng)承擔(dān)管理安全策略和安全程序文檔的責(zé)任。

應(yīng)當(dāng)制定程序和進(jìn)度表，用于確定安全計(jì)劃及其組成控制措施正確實(shí)施的程度，以及是否按預(yù) 工業(yè)控制系統(tǒng)安全控制措施

期運(yùn)行且達(dá)到滿足工業(yè)控制系統(tǒng)安全要求的預(yù)期效果。這種策略應(yīng)當(dāng)涉及生命周期的各個(gè)階段 有效性審查不完善

以及業(yè)務(wù) / 運(yùn)營目標(biāo)、專業(yè)技術(shù)、方法和獨(dú)立程度等內(nèi)容。

應(yīng)當(dāng)制定應(yīng)急預(yù)案并對其進(jìn)行演練測試，以確保當(dāng)軟硬件出現(xiàn)重大故障或者設(shè)施損壞時(shí)應(yīng)急預(yù) 沒有針對工業(yè)控制系統(tǒng)的應(yīng)

案可以付諸實(shí)施。缺乏專門針對工業(yè)控制系統(tǒng)的應(yīng)急預(yù)案可能導(dǎo)致停機(jī)時(shí)間延長并產(chǎn)生巨大損 急預(yù)案

失。

缺少工業(yè)控制系統(tǒng)配置變更管理的策略和程序可能導(dǎo)致無法對硬件、固件和軟件進(jìn)行管理，并 缺乏配置管理策略

存在易受攻擊的漏洞。

訪問控制的實(shí)施取決于策略對角色、職責(zé)和授權(quán)的正確建模。策略模型必須按照機(jī)構(gòu)運(yùn)轉(zhuǎn)的模 缺乏適當(dāng)?shù)脑L問控制策略

式加以構(gòu)建。

認(rèn)證策略中需要定義認(rèn)證機(jī)制（例如口令、智能卡等）的使用時(shí)機(jī)、使用強(qiáng)度和維護(hù)方式。如

果沒有指定認(rèn)證策略，系統(tǒng)可能不會(huì)實(shí)施適當(dāng)?shù)纳矸菡J(rèn)證控制，從而導(dǎo)致系統(tǒng)未授權(quán)訪問的可 缺乏適當(dāng)?shù)纳矸菡J(rèn)證策略

能性提高?？紤]到工業(yè)控制系統(tǒng)及其工作人員處理復(fù)雜口令和其他認(rèn)證機(jī)制的能力，認(rèn)證策略 應(yīng)該作為工業(yè)控制系統(tǒng)安全的一部分加以制定。

關(guān)鍵部件缺乏冗余配置 關(guān)鍵部件缺乏冗余可能導(dǎo)致單點(diǎn)故障。

11

1. 架構(gòu)與設(shè)計(jì)脆弱性

表 4.2 架構(gòu)與設(shè)計(jì)脆弱性檢查表

脆弱性 描述

安全架構(gòu)是企業(yè)架構(gòu)的一部分，在工業(yè)控制系統(tǒng)架構(gòu)設(shè)計(jì)之初，應(yīng)該融合考慮。 在架構(gòu)搭建與設(shè)計(jì)過程中未

考慮安全因素 在架構(gòu)設(shè)計(jì)時(shí)需要解決用戶識別與授權(quán)、訪問控制機(jī)制實(shí)現(xiàn)、網(wǎng)絡(luò)拓?fù)淅L制、系統(tǒng)配置與完整

性機(jī)制實(shí)現(xiàn)等問題。

工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)基礎(chǔ)設(shè)施環(huán)境通常會(huì)根據(jù)業(yè)務(wù)和運(yùn)營要求進(jìn)行開發(fā)和改動(dòng)，而此過程中

幾乎沒有考慮改動(dòng)所帶來的潛在安全風(fēng)險(xiǎn)。隨著時(shí)間的推移，安全漏洞可能已經(jīng)無意中帶入到 不斷進(jìn)化的不安全架構(gòu)

了基礎(chǔ)設(shè)施中的特定部位，如果不修復(fù)這些漏洞，則會(huì)成為進(jìn)入工業(yè)控制系統(tǒng)的后門，引入潛

在的攻擊向量。

如果工業(yè)控制系統(tǒng)沒有對安全邊界做出明確定義，則無法確保對必要的訪問控制進(jìn)行正確的部 未定義的安全邊界

署和配置，這可能導(dǎo)致對系統(tǒng)與數(shù)據(jù)的未授權(quán)訪問及其他更多的問題。

對于控制流量和非控制流量而言有不同的要求，例如確定性和可靠性等，因此在單一網(wǎng)絡(luò)中如 在控制網(wǎng)內(nèi)傳輸其他無關(guān)流

果同時(shí)具有上述兩種類型的網(wǎng)絡(luò)流量，那么對網(wǎng)絡(luò)進(jìn)行配置以滿足控制流量的要求將會(huì)很困難， 量

設(shè)計(jì)初期應(yīng)該考慮隔離兩者的流量通道。

在控制網(wǎng)絡(luò)中使用非控制網(wǎng) DNS和 DHCP等服務(wù)通常部署在 IT網(wǎng)絡(luò)，如果在控制網(wǎng)絡(luò)中使用將導(dǎo)致工業(yè)控制系統(tǒng)網(wǎng)絡(luò)依 絡(luò)中的服務(wù) 賴于 IT網(wǎng)絡(luò)，而 IT網(wǎng)絡(luò)并不具備工業(yè)控制系統(tǒng)所需要的可靠性和可用性。

取證分析取決于是否收集并保留了足夠的歷史數(shù)據(jù)。如果數(shù)據(jù)收集方式不妥當(dāng)或者不正確，則 歷史數(shù)據(jù)收集不完善 可能無法分析出導(dǎo)致發(fā)生安全事件的原因。而如果事件被忽視，則會(huì)導(dǎo)致額外的損失或系統(tǒng)中斷。

需要實(shí)施常態(tài)化安全監(jiān)控，及時(shí)識別安全控制的問題，例如錯(cuò)誤配置和故障等。

3. 配置與維護(hù)脆弱性

表 4.3 配置與維護(hù)脆弱性檢查表

脆弱性 描述

企業(yè)內(nèi)部對自己擁有的軟硬件及固件數(shù)量、類型、版本號、所處位置及補(bǔ)丁狀態(tài)等信息掌握不 全面，從而導(dǎo)致無效防護(hù)的現(xiàn)狀。

硬件、固件與軟件缺乏配置

應(yīng)實(shí)施對硬件、軟件、固件和文檔等對象的控制變更管理，以確保系統(tǒng)在整個(gè)過程中免遭不當(dāng) 管理

或者不正確的改動(dòng)影響。

為了對工業(yè)控制系統(tǒng)實(shí)施正確的保護(hù)，應(yīng)該能夠準(zhǔn)確地列出系統(tǒng)中資產(chǎn)和當(dāng)前配置信息。

由于工業(yè)控制系統(tǒng)軟件和工業(yè)控制系統(tǒng)底層之間的緊密耦合，對于軟件的改動(dòng)必須經(jīng)歷代價(jià)高 修復(fù)漏洞的周期過長 昂、耗時(shí)甚多的全面回歸測試。更新后的軟件進(jìn)行測試及后續(xù)分發(fā)過長的耗時(shí)則可能導(dǎo)致工業(yè)

控制系統(tǒng)在一段相當(dāng)長的時(shí)間范圍內(nèi)存在漏洞。

過時(shí)的操作系統(tǒng)和應(yīng)用程序可能包含新發(fā)現(xiàn)的可利用漏洞。應(yīng)當(dāng)為安全補(bǔ)丁的維護(hù)管理過程制 漏洞補(bǔ)丁管理無章法 定程序并形成文檔。對于使用過時(shí)操作系統(tǒng)的工業(yè)控制系統(tǒng)，甚至可能沒有廠家能夠提供可用

的安全補(bǔ)丁。在這種情況下，處理程序中應(yīng)包含與之對應(yīng)的漏洞緩解應(yīng)急計(jì)劃。

對于已經(jīng)部署的硬件、軟件和固件改動(dòng)，如果未對其進(jìn)行完善地測試則可能會(huì)影響工業(yè)控制系 統(tǒng)的正常運(yùn)行。

針對安全變更的測試不完善

應(yīng)當(dāng)制定程序形成文檔，保證對可能帶來安全影響的所有改動(dòng)進(jìn)行測試。 針對實(shí)時(shí)業(yè)務(wù)系統(tǒng)不能開展測試的，需要聯(lián)系系統(tǒng)廠商和集成商協(xié)調(diào)進(jìn)行。

遠(yuǎn)程訪問工業(yè)控制系統(tǒng)的原因很多，無論是廠商與系統(tǒng)集成商需要執(zhí)行系統(tǒng)維護(hù)功能，還是工 遠(yuǎn)程訪問控制機(jī)制薄弱 業(yè)控制系統(tǒng)工程師需要狀態(tài)監(jiān)控和生產(chǎn)管理，只要位于不同的地理位置，就需要對工業(yè)控制系

統(tǒng)進(jìn)行遠(yuǎn)程訪問。遠(yuǎn)程訪問能力必須予以妥善控制，以防止工業(yè)控制系統(tǒng)的未授權(quán)個(gè)人訪問。

配置不當(dāng)?shù)南到y(tǒng)中會(huì)開放不必要的端口，用到不必要的協(xié)議。而不必要的功能則可能包含脆弱 配置方式不完善 性，從而增加系統(tǒng)所面臨的整體風(fēng)險(xiǎn)。使用默認(rèn)配置通常會(huì)暴露機(jī)器存在漏洞的服務(wù)，因此應(yīng)

該對所有設(shè)置詳細(xì)檢查。

對于意外事件或者攻擊者篡改配置信息的情況，應(yīng)制訂對工業(yè)控制系統(tǒng)配置信息進(jìn)行恢復(fù)的程 未對關(guān)鍵配置信息進(jìn)行存儲(chǔ)

序，以保持系統(tǒng)可用性并避免數(shù)據(jù)丟失。還應(yīng)制訂對工業(yè)控制系統(tǒng)配置信息進(jìn)行維護(hù)的程序并 或備份

形成文檔。

1. 物理環(huán)境脆弱性

表 4.4 物理環(huán)境脆弱性檢查表

脆弱性 描述

不安全的物理端口 不安全的 USB接口、PS2 接口可能會(huì)導(dǎo)致未授權(quán)的連接，例如小型 U盤、鍵盤監(jiān)控等程序等。

在考慮功能安全的前提下，如緊急關(guān)閉或重新啟動(dòng)等要求，對工業(yè)控制系統(tǒng)設(shè)備的物理訪問應(yīng) 未授權(quán)人員對物理設(shè)備的訪

僅限必要的工作人員。對工業(yè)控制設(shè)備的不當(dāng)物理訪問可能會(huì)導(dǎo)致以下情況：數(shù)據(jù)和硬件失竊、 問

維護(hù)數(shù)據(jù)損壞、運(yùn)行環(huán)境的未授權(quán)變更、物理數(shù)據(jù)鏈路連接中斷、不可檢測的數(shù)據(jù)截獲。

控制系統(tǒng)的硬件易受到射頻、電磁脈沖、靜電放電、電壓不足和電壓尖峰的影響。受影響的范 射頻、電磁脈沖、靜電放電、

圍涵蓋了從指揮和控制系統(tǒng)的暫時(shí)中斷到電路板的永久損壞等諸多后果。建議采取適當(dāng)?shù)钠帘?電壓不足和電壓尖峰

防護(hù)措施，如接地、功率調(diào)節(jié)和浪涌抑制等保護(hù)措施。

如果關(guān)鍵資產(chǎn)沒有備用電源，一般電力中斷事故就會(huì)導(dǎo)致工業(yè)控制系統(tǒng)關(guān)閉，并可能造成其他 備用電源缺失

危險(xiǎn)狀況。電力中斷還可能導(dǎo)致系統(tǒng)恢復(fù)到不安全的默認(rèn)設(shè)置。

環(huán)境失控（如溫度、濕度等）可能導(dǎo)致設(shè)備損壞。此時(shí)，有些處理器會(huì)停止工作以自我保護(hù)， 環(huán)境失控

有些處理器則會(huì)繼續(xù)以小電壓運(yùn)行，但可能間歇性錯(cuò)誤，持續(xù)重啟甚至永久喪失執(zhí)行能力。

1. 產(chǎn)品開發(fā)過程脆弱性

表 4.5 產(chǎn)品開發(fā)過程脆弱性檢查表

脆弱性 描述

工業(yè)控制系統(tǒng)軟件可能無法對用戶輸入數(shù)據(jù)或者接收數(shù)據(jù)進(jìn)行驗(yàn)證以確保其有效性。而無效數(shù) 數(shù)據(jù)驗(yàn)證不當(dāng)

據(jù)可能會(huì)導(dǎo)致多種漏洞，包括緩沖區(qū)溢出、命令注入、跨站腳本和路徑遍歷等。

默認(rèn)情況下未啟用已安裝的 隨產(chǎn)品一起安裝的安全功能如果未經(jīng)啟用或至少確認(rèn)為處于禁用狀態(tài)，那么這些安全功能則不 安全功能 會(huì)發(fā)揮任何作用。

軟件中的身份認(rèn)證、權(quán)限分

對組態(tài)和編程軟件的未授權(quán)訪問可能會(huì)損壞設(shè)備。 配和訪問控制不完善

很多工業(yè)控制設(shè)備為了開發(fā)或者維護(hù)中方便讀取日志或者調(diào)試，通常留有調(diào)試接口，且此接口 硬件研發(fā)中的調(diào)試接口暴露

一直保留至工業(yè)現(xiàn)場，對該接口的探索式攻擊可能損壞設(shè)備或造成敏感信息泄露。

一些開發(fā)者為了方便發(fā)現(xiàn)錯(cuò)誤，在發(fā)行版的軟件中保留了調(diào)試版本的功能。基于方便調(diào)試的運(yùn) 軟件保留調(diào)試版本功能

維方法可能會(huì)被攻擊者發(fā)現(xiàn)和利用，導(dǎo)致系統(tǒng)被控制。

6. 通信與配置脆弱性

表 4.6 通訊與配置脆弱性檢查表

脆弱性 描述

應(yīng)當(dāng)應(yīng)用基于數(shù)據(jù)特征的數(shù)據(jù)流控制對系統(tǒng)之間傳輸?shù)男畔⒓右韵拗?。?shù)據(jù)流控制能夠防止信 未采用數(shù)據(jù)流控制

息泄露與非法操作。

配置不當(dāng)?shù)姆阑饓赡茉试S不必要的數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，例如控制網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)，從而造成針對 未部署防火墻或者配置不當(dāng) 內(nèi)部網(wǎng)絡(luò)的攻擊和惡意代碼在網(wǎng)絡(luò)中傳播，并導(dǎo)致敏感數(shù)據(jù)易被監(jiān)視和竊取，以及個(gè)人對高權(quán)

限系統(tǒng)的未授權(quán)訪問等問題。

防火墻及路由日志信息記錄

日志信息記錄不當(dāng)或者不準(zhǔn)確，可能導(dǎo)致無法確定安全事件發(fā)生的原因。 不完善

使用諸如 Telnet，F(xiàn)TP、HTTP 和 NTS 等協(xié)議進(jìn)行數(shù)據(jù)傳輸，攻擊者能夠使用協(xié)議分析器或者 使用公開的明文傳輸協(xié)議 其他工具對傳輸?shù)臄?shù)據(jù)進(jìn)行解碼，以實(shí)現(xiàn)對工業(yè)控制網(wǎng)絡(luò)活動(dòng)的監(jiān)控。使用上述協(xié)議使得攻擊

者能夠更加容易地對工業(yè)控制系統(tǒng)發(fā)起攻擊并操作工業(yè)控制系統(tǒng)網(wǎng)絡(luò)行為。

未采用身份認(rèn)證措施或者不 許多工業(yè)控制系統(tǒng)協(xié)議在各個(gè)層次均未采用認(rèn)證機(jī)制。如果未采用認(rèn)證機(jī)制將很有可能導(dǎo)致數(shù) 標(biāo)準(zhǔn) 據(jù)重放、篡改或欺騙，還會(huì)導(dǎo)致設(shè)備欺騙，如傳感器和用戶身份標(biāo)識符等設(shè)備。

工業(yè)控制系統(tǒng)協(xié)議通常只有很少的或者完全沒有安全功能（如認(rèn)證、加密等），因此難以保護(hù) 使用不安全的工業(yè)控制協(xié)議

數(shù)據(jù)免遭未授權(quán)訪問或者協(xié)議數(shù)據(jù)篡改。此外，協(xié)議在實(shí)現(xiàn)過程中的錯(cuò)誤也可能導(dǎo)致其他漏洞。

通信內(nèi)容完整性檢查機(jī)制缺 大多數(shù)工業(yè)控制協(xié)議中均未內(nèi)置數(shù)據(jù)完整性檢查，攻擊者可以在不被發(fā)現(xiàn)的情況下操作通信數(shù) 乏 據(jù)。為了確保完整性，工業(yè)控制系統(tǒng)可以使用提供數(shù)據(jù)完整性保護(hù)功能的底層協(xié)議。

17

脆弱性 描述

無線客戶端與接入點(diǎn)之間的 需要在無線客戶端和接入點(diǎn)之間采用強(qiáng)相互認(rèn)證，以確保客戶端不會(huì)連接到攻擊者部署的非法 認(rèn)證機(jī)制不完善 接入點(diǎn)，并且確保攻擊者無法連接到工業(yè)控制系統(tǒng)中的任何網(wǎng)絡(luò)。

無線客戶端與接入點(diǎn)之間的 應(yīng)采用強(qiáng)加密機(jī)制保護(hù)無線客戶端和接入點(diǎn)之間傳輸?shù)拿舾袛?shù)據(jù)，確保攻擊者無法實(shí)現(xiàn)對加密 數(shù)據(jù)保護(hù)措施不完善 數(shù)據(jù)的未授權(quán)訪問。

\5. 風(fēng)險(xiǎn)場景構(gòu)建

風(fēng)險(xiǎn)場景構(gòu)建

構(gòu)建風(fēng)險(xiǎn)場景有助于精準(zhǔn)識別風(fēng)險(xiǎn)來源，描述與風(fēng)險(xiǎn)相關(guān)的各個(gè)向量。風(fēng)險(xiǎn)場景的模型見下圖所示。

業(yè)務(wù) 目標(biāo)

威脅源

影 響 威脅

攻擊向量 后 果

事件

目標(biāo)對象

圖 5.1 風(fēng)險(xiǎn)場景

威脅事件（攻擊事件）包含以下幾個(gè)要素：威脅源，對脆弱性加以利用的攻擊向量，存在脆弱性的 目標(biāo)對象。

為了構(gòu)建風(fēng)險(xiǎn)場景，需要將以上場景進(jìn)行拆解分析，從威脅評估，攻擊向量評估、威脅事件構(gòu)建、 風(fēng)險(xiǎn)場景構(gòu)建依次漸進(jìn)展開，得到最終的風(fēng)險(xiǎn)場景。

5.1 威脅評估

威脅源是一個(gè)完整事件必不可少的因素，在進(jìn)行威脅評估時(shí)，首先需要識別存在哪些威脅源，同時(shí) 分析這些威脅源的動(dòng)機(jī)和能力。通常工業(yè)控制系統(tǒng)的威脅來源可分為非人為和人為的威脅，非人為安全 威脅主要指來自環(huán)境因素的威脅，人為的安全威脅從威脅動(dòng)機(jī)來看，又可細(xì)分為非惡意行為和惡意攻擊 行為。不同的威脅源具有不同的攻擊能力，攻擊者的能力越強(qiáng)，攻擊成功的可能性就越大。衡量攻擊能 力主要包括：施展攻擊的知識、技能、經(jīng)驗(yàn)和必要的資金、人力和技術(shù)資源等。

18

表 5.1 工業(yè)控制系統(tǒng)常見威脅源描述

威脅源 威脅動(dòng)機(jī)及造成后果描述

環(huán)境因素 斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪水、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害。

內(nèi)部人員威脅包括組織內(nèi)部人員、外聘運(yùn)維人員、外購產(chǎn)品的供應(yīng)商。

缺乏責(zé)任心、不關(guān)心或者不關(guān)注、沒有遵循規(guī)章制度和操作流程、缺乏培訓(xùn)、專業(yè)技能不足、不具備崗 位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。

內(nèi)部人員

心存不滿的內(nèi)部員工是計(jì)算機(jī)犯罪的主要來源。內(nèi)部攻擊者了解目標(biāo)系統(tǒng)，并具有一定的權(quán)限，往往被 允許不受限制的訪問系統(tǒng)，而且比外部的攻擊者有更多的攻擊機(jī)會(huì)，因此不需要掌握太多關(guān)于計(jì)算機(jī)入 侵的知識，就可以破壞系統(tǒng)或竊取系統(tǒng)數(shù)據(jù)。攻擊的成功率高。

黑客入侵網(wǎng)絡(luò)是為了獲得挑戰(zhàn)的刺激或者在黑客世界里炫耀自己的能力。這類攻擊者大多數(shù)不具備專業(yè) 黑客 技術(shù)能力，卻可以從互聯(lián)網(wǎng)上下載易于使用且破壞力強(qiáng)的攻擊腳本和協(xié)議，向目標(biāo)發(fā)起攻擊。并且他們

的數(shù)量龐大，分布在全球，即使是孤立或短暫的攻擊破壞，也會(huì)導(dǎo)致嚴(yán)重的后果。

居心不良的個(gè)人或組織通過制造并傳播惡意軟件對用戶實(shí)施攻擊。一些破壞性的惡意軟件會(huì)損害系統(tǒng)文 惡意軟件的作者

件或硬件驅(qū)動(dòng)器、控制關(guān)鍵過程、開啟執(zhí)行程序以及控制系統(tǒng)所控制的設(shè)備等。

恐怖分子試圖破壞、致癱或利用關(guān)鍵基礎(chǔ)設(shè)施來威脅國家安全，引起大規(guī)模人員傷亡，削弱國家經(jīng)濟(jì)， 恐怖分子 破壞民眾的士氣與信心。恐怖分子可能利用釣魚網(wǎng)站和惡意軟件來獲取資金或搜集敏感信息，也可能會(huì)

佯攻一個(gè)目標(biāo)以轉(zhuǎn)移對其他目標(biāo)的關(guān)注程度和保護(hù)力度

工業(yè)間諜 工業(yè)間諜通過暗中活動(dòng)的方式企圖獲取有價(jià)值的情報(bào)資產(chǎn)和技術(shù)秘密。

組織嚴(yán)密，具有充足資金、人力和技術(shù)資源，而且可能在必要時(shí)實(shí)施高隱蔽性和高破壞性的分布式攻擊， 境外國家力量

竊取組織核心機(jī)密或使工業(yè)控制系統(tǒng)全面癱瘓。

1. 攻擊向量評估

工業(yè)控制系統(tǒng)常見的攻擊向量如下表所示：

表 5.2 工業(yè)控制系統(tǒng)常見攻擊向量檢查表

訪問向量 可能的攻擊向量

相鄰的內(nèi)部網(wǎng)絡(luò)、被入侵的雙宿主網(wǎng)絡(luò)、互聯(lián)網(wǎng)（云、多租戶環(huán)境）、WIFI以及其他無線電連接方式， 網(wǎng)絡(luò)

如 HART、ZigBee、衛(wèi)星鏈路等。

工業(yè)控制系統(tǒng)及設(shè)備 其他設(shè)備、控制器等。

網(wǎng)絡(luò)服務(wù)端口；文件輸入與插入；用戶輸入（包括本地應(yīng)用程序與 Web 界面）；數(shù)據(jù)輸入，如庫函數(shù)、 應(yīng)用程序

動(dòng)態(tài)鏈接庫等。

USB接口、串口以及其他數(shù)據(jù)端口（SATA、HDMI、DisplayPort 等）。 物理訪問

鍵盤或者鼠標(biāo)輸入（來自攻擊者）。

訪問向量 可能的攻擊向量

通過電話或者人員直接進(jìn)行基于社交工程學(xué)的互動(dòng)。 人員 / 用戶 電子郵件與社交媒體。

客戶端應(yīng)用程序，如電子郵件客戶端、瀏覽器等。

芯片或者硬件篡改。 供應(yīng)鏈

應(yīng)用程序或固件代碼篡改。

1. 威脅事件構(gòu)建

工業(yè)控制系統(tǒng)常見的威脅事件如下 :

表 5.3 工業(yè)控制系統(tǒng)常見威脅檢查表

資產(chǎn)類別 攻擊類型

VLAN躍進(jìn)或跳躍。 網(wǎng)絡(luò)設(shè)備 生成樹協(xié)議攻擊。

MIB讀、寫。

源代碼篡改。 規(guī)范化攻擊。

Web 服務(wù)端

服務(wù)器擴(kuò)展攻擊。 文件包含（本地和遠(yuǎn)程）。

JavaScript 活動(dòng)腳本攻擊。 Cookie 或會(huì)話竊取和劫持。 跨站腳本攻擊。

Web 客戶端

跨站請求偽造。

SQL注入。 跨框架或跨域攻擊。

設(shè)備驅(qū)動(dòng)程序攻擊。

冷啟動(dòng)密碼旁路。 主機(jī) 拒絕服務(wù)攻擊。

口令提取、口令破解。

端口重定向。

內(nèi)存損壞攻擊。

釋放后重用攻擊。

緩沖區(qū)溢出攻擊。 運(yùn)行在設(shè)備上的應(yīng)用程序 格式化字符串漏洞攻擊。

輸入驗(yàn)證攻擊。

文件、頁面文件交換攻擊。

共享庫和第三方庫攻擊。

網(wǎng)絡(luò)釣魚。 人員 / 用戶 水坑攻擊。

社交媒體攻擊。

結(jié)合以上表格列舉的常見攻擊類型，構(gòu)建出的威脅事件如下表所示（舉例展示）。

表 5.4 PLC 設(shè)備威脅示例

項(xiàng)目 描述

威脅源 國家資助的攻擊者 / 內(nèi)部人員 / 前內(nèi)部人員 / 惡意代碼 攻擊類型 棧緩沖區(qū)溢出

攻擊向量 Web 界面 / 本地網(wǎng)絡(luò)

脆弱性（漏洞） CVE-2016-0868

目標(biāo)對象 Allen-Bradley MicroLogix1100

1. 風(fēng)險(xiǎn)場景構(gòu)建

常見的工業(yè)控制系統(tǒng)攻擊手法常見案例：

威脅事件構(gòu)建 攻擊手法刻畫 潛在后果

威 攻 脆 攻 目 脅 擊 弱 擊 標(biāo) 源 向 性 類 對 量 型 象

圖 5.2 風(fēng)險(xiǎn)場景構(gòu)建要素與過程

22

以下為常見工業(yè)控制系統(tǒng)攻擊手法刻畫案例：

表 5.5 工業(yè)控制系統(tǒng)常見攻擊方法

資產(chǎn) / 系統(tǒng) 攻擊手法刻畫

通過掃描與枚舉方法探測所使用的工業(yè)控制系統(tǒng)設(shè)備、工作站和協(xié)議。

通過網(wǎng)絡(luò)嗅探獲取認(rèn)證信息。

通過嗅探數(shù)據(jù)包對其進(jìn)行逆向分析獲取工業(yè)控制系統(tǒng)協(xié)議信息。 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)

記錄或重放工業(yè)控制系統(tǒng)網(wǎng)絡(luò)流量以嘗試更改設(shè)備行為。 注入數(shù)據(jù)或數(shù)據(jù)包以嘗試更改設(shè)備行為。 偽造、欺騙工業(yè)控制系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)包以嘗試更改設(shè)備行為或者人機(jī)界面顯示畫面。

獲取遠(yuǎn)程訪問或者控制權(quán)限。 篡改、屏蔽控制器的輸入或者輸出行為。 修改配置以更改控制器行為。 修改控制算法以更改控制器行為。 修改動(dòng)態(tài)數(shù)據(jù)以更改控制算法的結(jié)果。

控制器

修改 I/O 數(shù)據(jù)以更改控制算法的結(jié)果。 修改控制器固件以更改控制器行為。 使用欺騙性指令以更改控制器行為（通過網(wǎng)絡(luò)協(xié)議）。 降級攻擊、拒絕服務(wù)攻擊。

持久駐留（惡意代碼）。

權(quán)限提升。

獲取遠(yuǎn)程訪問或者權(quán)限。

復(fù)制或泄露敏感信息。

修改或刪除信息（標(biāo)簽圖形或 XML文件）。 工程師、操作員站 修改存儲(chǔ)配置信息。

修改在線配置信息。

向控制器發(fā)送指令。

持續(xù)駐留（惡意代碼）。

降級攻擊、拒絕服務(wù)攻擊。

迫使工作人員獲取信息。 人員或用戶

誘騙工作人員犯錯(cuò)或做出不當(dāng)操作。

上表描述的僅為部分工業(yè)控制系統(tǒng)常見的攻擊手法刻畫，不包含全部工業(yè)控制系統(tǒng)或者全部攻擊手 法，因?yàn)楣羰址S著攻擊能力的增強(qiáng)而提高，也會(huì)根據(jù)所處環(huán)境的不同而有所變化。表中所列出的是 整個(gè)行業(yè)在報(bào)告中最常出現(xiàn)且接受程度較高的攻擊手法刻畫案例，可以作為風(fēng)險(xiǎn)場景構(gòu)建的參考。

下表將列舉主要工業(yè)控制系統(tǒng)遭受攻擊的潛在后果案例，同樣僅是列舉常見的接受程度較高的案例。

除此外還需要考慮評估范圍內(nèi)的 IT資產(chǎn)如路由器、交換機(jī)等，這部分需要參考其他方面的文檔。

表 5.6 工業(yè)控制系統(tǒng)遭受攻擊的影響

目標(biāo)對象 潛在后果

控制器處于故障狀態(tài)。

工廠陷入混亂狀態(tài)或停工。

過程退化、過程故障。 控制器

過程控制中斷。 過程圖像中斷。 各類數(shù)據(jù)損壞無參考價(jià)值。

工廠陷入混亂或停工。

工廠啟動(dòng)延遲。

機(jī)械損壞或被蓄意破壞。 操作員圖像界面的未授權(quán)操作。

過程操作的不當(dāng)響應(yīng)。 工業(yè)控制系統(tǒng)數(shù)據(jù)庫的未授權(quán)改動(dòng)。

工程師 / 操作員站 臨界狀態(tài)、報(bào)警閾值的未授權(quán)改動(dòng)。

存在缺陷的固件未授權(quán)分發(fā)。 工業(yè)控制系統(tǒng)設(shè)備的未授權(quán)啟動(dòng)、關(guān)閉。 過程、工廠信息泄露。 工業(yè)控制系統(tǒng)設(shè)計(jì)或應(yīng)用程序認(rèn)證信息泄露。 工業(yè)控制系統(tǒng)訪問控制機(jī)制的未授權(quán)改動(dòng)。 對大多數(shù)工業(yè)控制系統(tǒng)資產(chǎn)的未授權(quán)訪問（跳板攻擊）。

對過程或批處理記錄的操作。 認(rèn)證信息泄露（業(yè)務(wù)、控制）。

工業(yè)實(shí)時(shí)歷史數(shù)據(jù)庫

對其他資產(chǎn)的未授權(quán)訪問（MES、ERP 等的跳板攻擊）。 對其他業(yè)務(wù)資產(chǎn)的未授權(quán)訪問（跳板攻擊）。

工廠停工。

裝備損壞或被蓄意破壞。

環(huán)境影響。

功能安全系統(tǒng)

人身傷亡。

產(chǎn)品質(zhì)量下降。

公司聲譽(yù)受損。

分析儀及管理系統(tǒng) 產(chǎn)品質(zhì)量下降、生產(chǎn)損失、收入損失、產(chǎn)品召回等。

依照上述的工業(yè)控制系統(tǒng)常見攻擊手法案例與潛在后果，聯(lián)同威脅事件便可以展示一個(gè)基本的風(fēng)險(xiǎn) 場景。如下表：

表 5.7 PLC 設(shè)備風(fēng)險(xiǎn)場景示例

項(xiàng)目 描述

威脅源 國家資助的攻擊者 / 內(nèi)部人員 / 前內(nèi)部人員 / 惡意代碼 攻擊類型 棧緩沖區(qū)溢出

攻擊向量 Web 界面 / 本地網(wǎng)絡(luò)

脆弱性（漏洞） CVE-2016-0868

目標(biāo)對象 Allen-Bradley MicroLogix1100

執(zhí)行任意代碼。

攻擊手法 獲取完整的控制權(quán)限。

修改配置以改變過程行為。 控制器處于故障狀態(tài)。

過程控制中斷。

潛在后果 過程故障。

數(shù)據(jù)信息受損。 裝備損壞或被蓄意破壞。

表 5.8 工程師站風(fēng)險(xiǎn)場景示例

項(xiàng)目 描述

威脅源 國家資助的攻擊者 / 內(nèi)部人員 / 前內(nèi)部人員 / 惡意代碼

攻擊類型 內(nèi)核模式驅(qū)動(dòng)攻擊導(dǎo)致的內(nèi)存損壞。

攻擊向量 在 web 界面通過以下方式打開惡意文件：USB/ 網(wǎng)絡(luò) / 鄰接網(wǎng)絡(luò) / 互聯(lián)網(wǎng)。 脆弱性（漏洞） CVE-2016-0005/CVE-2016-0008/CVE-2016-0009

目標(biāo)對象 運(yùn)行 Windows 7 SP1 及 IE瀏覽器的工程師站 PCDENG-0024。

執(zhí)行任意代碼。

獲取管理員控制權(quán)限。

攻擊手法 利用跳板實(shí)施對其他工業(yè)控制系統(tǒng)的資產(chǎn)攻擊。

對操作員圖像界面的未授權(quán)操作。 獲取其他工業(yè)控制系統(tǒng)資產(chǎn)的直接控制權(quán)限。

機(jī)械損壞或被蓄意破壞。； 對過程操作的不當(dāng)響應(yīng)。

潛在后果 臨界狀態(tài)、報(bào)警閾值的未授權(quán)改動(dòng)。

工業(yè)控制系統(tǒng)未授權(quán)啟動(dòng)、關(guān)閉。 對工業(yè)控制系統(tǒng)資產(chǎn)的未授權(quán)訪問（跳板攻擊）。

26

如果將工程師站添加進(jìn) PLC設(shè)備的風(fēng)險(xiǎn)場景中，就會(huì)形成新的攻擊向量，完成更加明晰的攻擊路徑 分析與推演。如下表所示：

表 5.9 帶有關(guān)聯(lián)攻擊向量的 PLC 設(shè)備風(fēng)險(xiǎn)場景示例

項(xiàng)目 描述

威脅源 國家資助的攻擊者 / 內(nèi)部人員 / 前內(nèi)部人員 / 惡意代碼 攻擊類型 棧緩沖區(qū)溢出

攻擊向量 Web 界面 / 本地網(wǎng)絡(luò) / 工程師站 PCDENG-0024 脆弱性（漏洞） CVE-2016-0868

目標(biāo)對象 Allen-Bradley MicroLogix1100

執(zhí)行任意代碼。

攻擊手法 獲取完整的控制權(quán)限。

修改配置以改變過程行為。

控制器處于故障狀態(tài)。

過程控制中斷。 潛在后果 過程故障。

數(shù)據(jù)信息受損。

裝備損壞或被蓄意破壞。

因此，在大多數(shù)情況下，將存在已知漏洞的資產(chǎn)或者同危險(xiǎn)系數(shù)較高資產(chǎn)存在關(guān)聯(lián)關(guān)系的資產(chǎn)列舉 為攻擊向量是很有必要的。至此，已經(jīng)初步完成了工業(yè)控制系統(tǒng)中針對目標(biāo)對象的風(fēng)險(xiǎn)場景構(gòu)建，但整 個(gè)評估過程中不僅要跟蹤單個(gè)資產(chǎn)的每個(gè)風(fēng)險(xiǎn)場景，還要建立這些風(fēng)險(xiǎn)場景之間彼此關(guān)聯(lián)的整體關(guān)系， 形成一個(gè)整體架構(gòu)范圍內(nèi)的風(fēng)險(xiǎn)場景矩陣，從而使分析人員能夠站在更加全面地角了解整體的攻擊面 及其安全狀態(tài)。

\6. 風(fēng)險(xiǎn)計(jì)算與緩解策略

風(fēng)險(xiǎn)計(jì)算與緩解策略

風(fēng)險(xiǎn)場景建立后就明確了目標(biāo)對象所面臨的的風(fēng)險(xiǎn)點(diǎn)，但是如何計(jì)算各個(gè)風(fēng)險(xiǎn)場景的對應(yīng)估值，并 且通過針對高風(fēng)險(xiǎn)點(diǎn)的風(fēng)險(xiǎn)場景有策略地實(shí)施防護(hù)部署來降低風(fēng)險(xiǎn)，下面將會(huì)進(jìn)行分析。

首先了解風(fēng)險(xiǎn)計(jì)算模型，如下圖所示：

業(yè)務(wù) 目標(biāo)

威脅源

威脅

攻擊向量 后 果 影 響

事件

目標(biāo)對象

風(fēng)險(xiǎn) 可能性

評估

圖 6.1 風(fēng)險(xiǎn)計(jì)算模型

風(fēng)險(xiǎn)場景都需要進(jìn)行量化評估。這一過程使用諸如通用漏洞評分系統(tǒng)（CVSS）之類的量化工具來 完成。在得到每個(gè)風(fēng)險(xiǎn)場景的量化估值后，針對高風(fēng)險(xiǎn)等級的場景 , 還需要結(jié)合經(jīng)濟(jì)成本、技術(shù)成本等 各個(gè)要素確定適合的對抗策略與部署方案，以降低風(fēng)險(xiǎn)值，從而保證整個(gè)系統(tǒng)的風(fēng)險(xiǎn)值在可接受的范圍。

6.1 風(fēng)險(xiǎn)計(jì)算

風(fēng)險(xiǎn)計(jì)算的本質(zhì)是針對風(fēng)險(xiǎn)場景，按照一套參與項(xiàng)目人員均認(rèn)可的標(biāo)準(zhǔn)，給出一個(gè)數(shù)值，并按照數(shù) 值進(jìn)行優(yōu)先級排序。因此風(fēng)險(xiǎn)計(jì)算的方法只要符合以上要素，盡可能選取可接受、簡單易操作、無繁雜 運(yùn)算的方法才是最有效的方法。

區(qū)別于其他安全評估計(jì)算方法，本部分從目標(biāo)對象、脆弱性、風(fēng)險(xiǎn)場景的可能性、 影響四個(gè)維度出 發(fā)提出一種簡便的方法，結(jié)合簡單公式計(jì)算得出風(fēng)險(xiǎn)估值。

下表列舉出風(fēng)險(xiǎn)場景評分的標(biāo)準(zhǔn)要素：

28

表 6.1 風(fēng)險(xiǎn)場景評分要素

評分維度 描述

在安全評估的資產(chǎn)評估階段確定出每項(xiàng)資產(chǎn)或系統(tǒng)的關(guān)鍵性評分，可參考風(fēng)險(xiǎn)資產(chǎn)預(yù)篩階 目標(biāo)對象 =>關(guān)鍵性

段的等級排序。

脆弱性（漏洞）=> 嚴(yán)重性 在安全評估階段脆弱性評估中確定漏洞的嚴(yán)重性，通常借助 CVE發(fā)布的漏洞公告進(jìn)行評級。 風(fēng)險(xiǎn)場景 =>可能性 使用 CVSS工具時(shí)效度量指標(biāo)評分（可利用性）進(jìn)行評估。

后果所造成的影響 在系統(tǒng)評定階段確定每個(gè)系統(tǒng)對應(yīng)的影響評分。

通常使用標(biāo)準(zhǔn)的 CVSS評分對漏洞嚴(yán)重性進(jìn)行評級，評級結(jié)果為 1~10。目標(biāo)對象關(guān)鍵性、風(fēng)險(xiǎn)場 景的可能性和影響取值范圍為 1~5。假設(shè)在風(fēng)險(xiǎn)評分過程中對每個(gè)要素賦予相同的權(quán)重，則總體風(fēng)險(xiǎn)評 分的取值介于 1~10 之間，可以使用以下公式進(jìn)行風(fēng)險(xiǎn)計(jì)算：

嚴(yán)重性+[（關(guān)鍵性×2）+（可能性×2）+（影響×2）] 風(fēng)險(xiǎn)值 =

4

風(fēng)險(xiǎn)值（也指風(fēng)險(xiǎn)評分）的計(jì)算并非只有一種方法，以上只是提出的一種簡單易用無繁雜計(jì)算的方法。 用戶可使用符合自己需求的任意計(jì)算公式，并且對要素權(quán)重根據(jù)實(shí)際情況進(jìn)行賦值。

根據(jù)以上計(jì)算公式可對前述 查找脆弱性（漏洞）的評分為 資產(chǎn)關(guān)鍵性經(jīng)過評分定級為 風(fēng)險(xiǎn)場景發(fā)生的可能性經(jīng)過評估為 風(fēng)險(xiǎn)發(fā)生后產(chǎn)生的影響經(jīng)過評估為

PLC設(shè)備風(fēng)險(xiǎn)場景進(jìn)行評分計(jì)算： 9.8，因此嚴(yán)重性賦值為 9.8。

3，因此關(guān)鍵性賦值為 3。

2.5，因此可能性賦值為 2.5。 3，因此影響賦值為 3。

9.8+[（3×2）+（2.5×2）+（3×2）] 風(fēng)險(xiǎn)值 = =6.7

4

至此完成了風(fēng)險(xiǎn)場景的構(gòu)建與評分，如下表所示，其中列舉出了存在漏洞的資產(chǎn)、與資產(chǎn)關(guān)聯(lián)的漏 洞和攻擊向量、威脅源及其攻擊方式、潛在后果和影響，并對這些內(nèi)容進(jìn)行了評分。接下來討論如何制 定風(fēng)險(xiǎn)的緩解措施。

表 6.2 應(yīng)用風(fēng)險(xiǎn)評分實(shí)例

項(xiàng)目 描述

威脅源 國家資助的攻擊者 / 內(nèi)部人員 / 前內(nèi)部人員 / 惡意代碼 攻擊類型 棧緩沖區(qū)溢出

攻擊向量 Web 界面 / 本地網(wǎng)絡(luò) / 工程師站 PCDENG-0024 脆弱性（漏洞） CVE-2016-0868

目標(biāo)對象 Allen-Bradley MicroLogix1100

執(zhí)行任意代碼。

攻擊手法 獲取完整的控制權(quán)限。

修改配置以改變過程行為。

控制器處于故障狀態(tài)。

過程控制中斷。

潛在后果 過程故障。

數(shù)據(jù)信息受損。

裝備損壞或被蓄意破壞。 脆弱性驗(yàn)證程度：9.8 資產(chǎn)關(guān)鍵性：3 風(fēng)險(xiǎn)發(fā)生可能性：2.5 影響：3 風(fēng)險(xiǎn)值：6.7

6.2 風(fēng)險(xiǎn)緩解策略制定

工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)緩解策略制定時(shí)建議綜合以下幾個(gè)方面進(jìn)行考慮：

1. 與 IT網(wǎng)絡(luò)的異同點(diǎn)。
2. 從攻擊發(fā)生的三要素出發(fā)。
3. 其他方面出發(fā)。

6.2.1 與 IT網(wǎng)絡(luò)異同點(diǎn)

從網(wǎng)絡(luò)、主機(jī)、物理訪問三個(gè)方面探討工業(yè)控制系統(tǒng)需要考慮的特殊情況。

表 6.3 基于網(wǎng)絡(luò)的工業(yè)控制系統(tǒng)特殊考慮點(diǎn)

特殊考慮點(diǎn) 描述

內(nèi)部地址空間用法 在工業(yè)控制系統(tǒng)環(huán)境中請勿使用僅通過互聯(lián)網(wǎng)就可路由到的 IP 地址。 隔離網(wǎng)絡(luò) 物理隔離并不意味著不受攻擊。

工程師站經(jīng)常會(huì)連接到工業(yè)控制網(wǎng)絡(luò)和其他網(wǎng)絡(luò)如業(yè)務(wù)網(wǎng)，但這種配置往往會(huì)削弱安全防 雙宿網(wǎng)絡(luò)

護(hù)措施，例如網(wǎng)絡(luò)隔離可能會(huì)受到雙宿網(wǎng)絡(luò)的影響。

數(shù)據(jù)網(wǎng)絡(luò)與控制網(wǎng)絡(luò)的通信路

應(yīng)該嚴(yán)格限制對工業(yè)控制系統(tǒng)的訪問，工業(yè)控制系統(tǒng)資產(chǎn)和設(shè)備也應(yīng)禁止訪問互聯(lián)網(wǎng)。 徑

在網(wǎng)絡(luò)中部署工業(yè)防火墻、IDS 等設(shè)備，但過于嚴(yán)格的安全措施有可能對生產(chǎn)環(huán)境帶來不 網(wǎng)絡(luò)安全設(shè)備

利影響。

聯(lián)網(wǎng)的工業(yè)控制設(shè)備 基于 IP 協(xié)議的工業(yè)控制設(shè)備在設(shè)計(jì)上安全性不強(qiáng)，無法經(jīng)受傳統(tǒng) IT環(huán)境下的測試。

應(yīng)用程序包含了許多潛在可利用的漏洞，或者可能削弱其他安全策略的設(shè)計(jì)特性，如某些 聯(lián)網(wǎng)的工業(yè)控制應(yīng)用程序

程序會(huì)請求防火墻開放大范圍端口以保證程序數(shù)據(jù)通過防火墻。

表 6.4 基于主機(jī)的工業(yè)控制系統(tǒng)特殊考慮點(diǎn)

特殊考慮點(diǎn) 描述

大多數(shù)工業(yè)控制系統(tǒng)無法像 IT系統(tǒng)經(jīng)常定期更新補(bǔ)丁，此外補(bǔ)丁程序也需要經(jīng)過廠商的許 補(bǔ)丁策略

可，以免給工業(yè)控制系統(tǒng)及其設(shè)備帶來負(fù)面影響。

主機(jī)重啟的周期需要按照計(jì)劃安排進(jìn)行，由于補(bǔ)丁更新后經(jīng)常會(huì)要求重啟，而大多數(shù)工業(yè) 重啟計(jì)劃

控制系統(tǒng)資產(chǎn)不能像傳統(tǒng) IT資產(chǎn)一樣可以頻繁重啟或者臨時(shí)重啟。

工業(yè)控制系統(tǒng)的主機(jī)及設(shè)備中包含對于安全過程、生產(chǎn)監(jiān)管報(bào)告而言非常關(guān)鍵的數(shù)據(jù)，確 備份策略

保采用適當(dāng)?shù)姆绞綄@些數(shù)據(jù)進(jìn)行定期備份。

工業(yè)控制系統(tǒng)應(yīng)用程序?qū)τ谄渌谥鳈C(jī)中安裝的操作系統(tǒng)與補(bǔ)丁包非常敏感，并且安裝過 主機(jī)部署方式

程必須嚴(yán)格按照廠商建議進(jìn)行。

系統(tǒng)正常運(yùn)行時(shí)間和可用性對于工業(yè)控制系統(tǒng)環(huán)境來說非常重要。確保擁有有效的故障轉(zhuǎn) 故障轉(zhuǎn)移程序

移機(jī)制和程序是防止被入侵的主要系統(tǒng)遭受拒絕服務(wù)式攻擊的重要防護(hù)手段。

在難以定期更新和升級的工業(yè)控制系統(tǒng)中，熟悉所使用的操作系統(tǒng)對于制定風(fēng)險(xiǎn)緩解策略 使用的操作系統(tǒng) 來說非常重要。例如了解環(huán)境中使用的操作系統(tǒng)版本中存在的漏洞，尤其是那些已經(jīng)停止

維護(hù)的操作系統(tǒng)，如 Windows XP。

32

表 6.5 基于物理訪問的工業(yè)控制系統(tǒng)特殊考慮點(diǎn)

特殊考慮點(diǎn) 描述

對工業(yè)控制系統(tǒng)環(huán)境運(yùn)行非常關(guān)鍵的 IT/ 非 IT基礎(chǔ)設(shè)施應(yīng)當(dāng)設(shè)置權(quán)限。 對操作間的出入口上鎖。

對部署設(shè)備的機(jī)柜上鎖。

物理設(shè)備部署

設(shè)置工業(yè)控制系統(tǒng)設(shè)備的物理訪問權(quán)限。

設(shè)置工業(yè)控制系統(tǒng) IT計(jì)算機(jī)的物理訪問權(quán)限。

使用雙因子認(rèn)證感應(yīng)卡。

1. 從攻擊發(fā)生三要素出發(fā)

一次成功的攻擊三要素包含威脅、利用工具、脆弱性（漏洞）。類比于滅火，只要去掉燃燒中的任 一要素即可滅火，那么只要去掉攻擊中的任何一個(gè)要素就可以降低遭受攻擊的風(fēng)險(xiǎn)。

完全清除現(xiàn)實(shí)中的漏洞利用工具是不可能的，但是了解實(shí)施哪些措施以及如何部署這些措施最有效， 能夠幫助用戶抵御風(fēng)險(xiǎn)或者將風(fēng)險(xiǎn)降為最低還是有意義的，了解工具的原理及其利用的依賴點(diǎn)就可以有 針對性的部署抵御措施。

完全清除威脅也是不可能的，除了內(nèi)部威脅還有大量的外部威脅。面對這樣的威脅，簡單的清除思 路是行不通的。然而了解這些威脅的運(yùn)作方式，研究威脅機(jī)構(gòu)的活動(dòng)目標(biāo)等信息，則可以幫助用戶了解 攻擊者會(huì)在什么時(shí)候采用什么方式發(fā)起攻擊，從而實(shí)現(xiàn)針對風(fēng)險(xiǎn)的最優(yōu)化防御部署。

阻止對漏洞的利用是在攻擊三要素場景中唯一可真正控制的因素了。清除漏洞主要有以下方法。

表 6.6 清除漏洞的方法

方法 具體細(xì)節(jié)

限制權(quán)限配置，利用最小權(quán)限和最小路由理念實(shí)施。 應(yīng)用程序或進(jìn)程白名單或黑名單技術(shù)。 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)協(xié)議監(jiān)測。

限制對系統(tǒng)或漏洞的訪問 部署連接中央控制區(qū)與現(xiàn)場區(qū)域的工業(yè)控制系統(tǒng)堡壘主機(jī)。

在 IT系統(tǒng)與工業(yè)控制系統(tǒng)之間部署單向網(wǎng)關(guān)。 電子郵件和文件的訪問限制。 物理環(huán)境的訪問限制、接口訪問限制。

軟件程序修復(fù)。

系統(tǒng)補(bǔ)丁更新。

清除漏洞

防病毒軟件部署。

不安全配置項(xiàng)修復(fù)。

1. 其他方面

除了幾個(gè)明顯的直接與工業(yè)控制系統(tǒng)安全相關(guān)的影響因素或解決思路外，還有一些經(jīng)常被忽的情 況，在此也將該部分內(nèi)容引出 ，期望為用戶帶來緩解風(fēng)險(xiǎn)的更多思路。

• 系統(tǒng)集成問題

安全是一個(gè)整體 , 安全問題可能是各個(gè)子系統(tǒng)協(xié)同工作時(shí)引起的。

• 合規(guī)性與安全性

合規(guī)不等于安全。假設(shè)某項(xiàng)安全措施對整個(gè)系統(tǒng)很重要 . 但監(jiān)管標(biāo)準(zhǔn)未作出相應(yīng)的要求 . 那么對 于工控安全團(tuán)隊(duì)來說 ,很難獲得資金支持來部署相應(yīng)的設(shè)備。

• 風(fēng)險(xiǎn)轉(zhuǎn)移 風(fēng)險(xiǎn)處置機(jī)制的一種經(jīng)典方式是與其他實(shí)體分擔(dān)風(fēng)險(xiǎn)（風(fēng)險(xiǎn)轉(zhuǎn)移）。
• 部署蜜罐

當(dāng)攻擊者掃描存在漏洞的資產(chǎn)時(shí) ,已部署的蜜罐有助于迅速發(fā)現(xiàn)入侵者 ,并迅速開展應(yīng)對措施 ; 同樣也對事后的取證和立案提供幫助 ; 還可以研究黑客的攻擊手法 ,有助于研究入侵的特征碼 , 從而集成進(jìn)入侵檢測系統(tǒng)。

4. 風(fēng)險(xiǎn)緩解策略制定步驟

結(jié)合目標(biāo)對象和制定風(fēng)險(xiǎn)緩解策略時(shí)考慮的因素，給出針對風(fēng)險(xiǎn)的緩解策略可執(zhí)行的參考步驟如下：

制定針 對每 對方案 的 比較緩 解 通過已 知 選擇最 優(yōu) 部署緩 解 個(gè)風(fēng)險(xiǎn) 場景 成本進(jìn)行 成本與入 侵 數(shù)據(jù)，回 答 緩解方案 方案 的多個(gè)緩解 估算 影響損失 系列問題

方案

圖 6.2 緩解策略執(zhí)行步驟

31

通過已知數(shù)據(jù)需要回答的問題包含：

• 總預(yù)算數(shù)額？
• 哪些是最關(guān)鍵且最易于暴露的資產(chǎn)？
• 入侵產(chǎn)生的總體成本或影響如何？
• 入侵成功的可能性有多大？
• 風(fēng)險(xiǎn)緩解的成本會(huì)超過風(fēng)險(xiǎn)帶來的損失嗎？

34

\7. 驗(yàn)證與測試

驗(yàn)證與測試

通常安全評估過程在制定了對應(yīng)的緩解措施和安全建議后就告一段落，但這個(gè)流程在閉環(huán)體系中是 存在問題的。

構(gòu)建了風(fēng)險(xiǎn)場景，場景的問題是否一定存在？ 制定了緩解措施或者安全建議，這些建議是否奏效？

這些都無從確認(rèn)，即針對整個(gè)過程缺乏驗(yàn)證，沒有測試驗(yàn)證的方案與建議都是自說自話，不能構(gòu)成 閉環(huán)反饋。因此驗(yàn)證測試環(huán)節(jié)在整個(gè)安全評估流程中是必不可少的。

目標(biāo)定義與 資產(chǎn)評估

系統(tǒng)評定

業(yè)務(wù)/運(yùn)營目標(biāo)定義 資產(chǎn)識別 系統(tǒng)評定 資產(chǎn)分類

系統(tǒng)分類 網(wǎng)絡(luò)拓?fù)鋵彶?數(shù)據(jù)流審查

風(fēng)險(xiǎn)資產(chǎn)預(yù)篩

脆弱性評估 風(fēng)險(xiǎn)場景構(gòu)建

安全策略脆弱性 威脅評估 架構(gòu)與設(shè)計(jì)脆弱性 攻擊向量評估 配置與維護(hù)脆弱性 威脅事件構(gòu)建

物理環(huán)境脆弱性 風(fēng)險(xiǎn)場景構(gòu)建 產(chǎn)品實(shí)現(xiàn)的脆弱性

通信與網(wǎng)絡(luò)脆弱性

風(fēng)險(xiǎn)估算與 驗(yàn)證與測試

防護(hù)部署

風(fēng)險(xiǎn)計(jì)算 滲透測試 防護(hù)措施制定 （組件測試、 防護(hù)措施排序 系統(tǒng)測試）

圖 7.1 安全評估流程圖

針對風(fēng)險(xiǎn)場景構(gòu)建階段的測試與驗(yàn)證的目的是通過測試驗(yàn)證風(fēng)險(xiǎn)場景，了解并預(yù)測脆弱點(diǎn)被利用的 難易程度以及發(fā)起攻擊的可能性，從而提高風(fēng)險(xiǎn)緩解策略的針對性與效率。

針對風(fēng)險(xiǎn)計(jì)算與緩解策略部署階段的測試與驗(yàn)證的目的是通過測試驗(yàn)證緩解策略的部署判定是否可 抵御對應(yīng)的攻擊類型，是否起到了預(yù)期的作用。如果沒起到作用證明該緩解策略或者方案是失敗的，也 可以理解為修改 BUG后的回歸測試。

例如針對 PLC 設(shè)備風(fēng)險(xiǎn)場景構(gòu)建示例中，在構(gòu)建完成后要驗(yàn)證現(xiàn)場使用的 Allen-Bradley MicroLogix1100 設(shè)備是否真正存在該漏洞，是否可以將工程師站點(diǎn)作為跳板訪問 PLC，是否能執(zhí)行任 意代碼或者獲取控制權(quán)限等問題。

當(dāng)完成風(fēng)險(xiǎn)緩解策略制定后，需要驗(yàn)證應(yīng)用了緩解策略或者部署防御方案后是否還可以訪問到 Allen-Bradley MicroLogix1100 設(shè)備，這個(gè)設(shè)備是否已經(jīng)不存在評估中的漏洞，是否不再能任意執(zhí)行代 碼等。再次重新對風(fēng)險(xiǎn)場景進(jìn)行評分計(jì)算，核查最優(yōu)策略與方案是否明顯降低了風(fēng)險(xiǎn)值。

只有添加了測試與驗(yàn)證這個(gè)環(huán)節(jié)，并且將這個(gè)環(huán)節(jié)貫穿至整個(gè)安全評估的重點(diǎn)過程中，才可以構(gòu)成 閉環(huán)，才可以說安全評估做的較為到位。

35

\8. 工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)

工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)

標(biāo)準(zhǔn)是促進(jìn)全球貿(mào)易、技術(shù)、環(huán)境、社會(huì)等可持續(xù)發(fā)展的重要支撐，是各國參與國際規(guī)則制定的重 要途徑，是一種層次更深、水平更高、影響更大的競爭。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的競爭更是明顯，誰占據(jù)了網(wǎng)絡(luò) 安全標(biāo)準(zhǔn)的制高點(diǎn)，誰就可以在網(wǎng)絡(luò)安全博弈中贏得先機(jī)、掌握主動(dòng)。因此在闡述了安全評估流程后很 有必要就工業(yè)控制系統(tǒng)的國內(nèi)外標(biāo)準(zhǔn)做以梳理，以澄清現(xiàn)在整個(gè)行業(yè)的標(biāo)準(zhǔn)現(xiàn)狀。

8.1 國外工業(yè)控制系統(tǒng)標(biāo)準(zhǔn)概述

國外工業(yè)控制系統(tǒng)相關(guān)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)比較多，歐美等國家從地區(qū)或者不同角度來闡述對工業(yè)控制 系統(tǒng)網(wǎng)絡(luò)安全的要求和主張，近年來針對工業(yè)控制系統(tǒng)的安全標(biāo)準(zhǔn)數(shù)量正在顯著增加。與工業(yè)控制相關(guān) 的安全標(biāo)準(zhǔn)主要包括以下：

• 美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）制定的工業(yè)控制系統(tǒng)安全指南（NIST SP800-82）。
• 國際自動(dòng)化協(xié)會(huì) / 國際電工委員會(huì)制定的 IEC 62443《工業(yè)過程測量、控制和自動(dòng)化網(wǎng)絡(luò)與系 統(tǒng)信息安全》系列標(biāo)準(zhǔn)。
• 北美電力可靠性委員會(huì)（NERC）制定的關(guān)鍵設(shè)施保護(hù)可靠性標(biāo)準(zhǔn)，北美大電力系統(tǒng)可靠性規(guī)范 （NERC CIP 002–009）。
• 美國石油協(xié)會(huì)（API）制定的管道 SCADA安全（API1164）和石油工業(yè)安全指南。
• 美國國土安全部（DHS）制定的化工設(shè)備反恐主義標(biāo)準(zhǔn)，及中小規(guī)模能源設(shè)施風(fēng)險(xiǎn)管理核查事 項(xiàng)等。
• 美國核能管理委員會(huì)（NRC）制定的核設(shè)施網(wǎng)絡(luò)安全措施（RegulatoryGuide5.71）。
• 美國核能研究所（NEI）制定的 08-09 標(biāo)準(zhǔn)。
• 美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）制定的網(wǎng)絡(luò)安全框架和 NIST SP 800-53 建議。
• 歐盟安全標(biāo)準(zhǔn)有 M/490 標(biāo)準(zhǔn)化要求（EUM/490）和智能電網(wǎng)協(xié)調(diào)小組（SGGG）對現(xiàn)代電力系 統(tǒng)提出的指南建議。
• 歐盟網(wǎng)絡(luò)與信息安全局提出的多項(xiàng)指南。

被廣泛認(rèn)可且普遍應(yīng)用的安全標(biāo)準(zhǔn)有 NIST SP800-82、IEC 62443 和 NERC CIP。其中 NIST SP800-

82、IEC 62443 應(yīng)用在所有使用工業(yè)控制系統(tǒng)的行業(yè)中，而 NERC CIP主要應(yīng)用在電力行業(yè)、石油與天 然氣行業(yè)。

NIST SP 800-82 工業(yè)控制系統(tǒng)（ICS）的安全指南，其目的是為工業(yè)控制系統(tǒng)（ICS），包括監(jiān)控和 數(shù)據(jù)采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS），以及其它系統(tǒng)的控制功能提供指導(dǎo)。文件提供了 一個(gè)概述，ICS和典型系統(tǒng)拓?fù)浣Y(jié)構(gòu)，確定這些系統(tǒng)的典型威脅和脆弱性，并提供建議的安全對策，以 減輕相關(guān)風(fēng)險(xiǎn)。其中主要內(nèi)容包括：

• 對工業(yè)控制系統(tǒng)威脅和漏洞的更新。
• 對工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)管理、實(shí)踐建議及架構(gòu)更新。
• 對工業(yè)控制系統(tǒng)安全中當(dāng)前活動(dòng)的更新。
• 對工業(yè)控制系統(tǒng)中安全功能和工具的更新。
• 與其他工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)和指南保持一致的相關(guān)調(diào)整。

NIST SP 800-82 指南是許多使用工業(yè)控制系統(tǒng)企業(yè)安全標(biāo)準(zhǔn)的基線，并且被很多其他出版物廣泛引 用。該標(biāo)準(zhǔn)自創(chuàng)建以來，經(jīng)過漫長的演變至今已發(fā)展成為一項(xiàng)較為全面地工業(yè)控制安全標(biāo)準(zhǔn)，是很有價(jià) 值的參考資料。

IEC-62443 標(biāo)準(zhǔn)的全稱是“工業(yè)過程測量、控制和自動(dòng)化與系統(tǒng)信息安全”， 業(yè)過程測量、控制和自動(dòng)化”的標(biāo)準(zhǔn)過程中，遇到了網(wǎng)絡(luò)安全的問題，因此在 SC65C/WG13 工作組研究制定工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)問題。 WG10 工作組，專門進(jìn)行“系統(tǒng)及網(wǎng)絡(luò)信息安全”的標(biāo)準(zhǔn)制定工作，并在 62443 的標(biāo)準(zhǔn)。

IEC/TC65 在制定“工 2003 年 9 月成立了 IEC/

IEC在 2005 年成立了 IEC/TC65/ 2006 年第一次發(fā)布 IEC-

IEC-62443 標(biāo)準(zhǔn)的中心思想是如何對工業(yè)控制系統(tǒng)的產(chǎn)品開發(fā)、產(chǎn)品集成、實(shí)施和運(yùn)維等全生命周 期環(huán)節(jié)中實(shí)現(xiàn)和評價(jià)相關(guān)角色的網(wǎng)絡(luò)安全能力。IEC-62443 的重點(diǎn)不是安全技術(shù)，而是對安全能力的評 估，所以其核心內(nèi)容是“網(wǎng)絡(luò)安全保證等級 SAL”的評價(jià)模型。

通 ISA-62443-1-1

技術(shù)、概念與模型 用

策

略 ISA-62443-2-1 與 IACS信息安全 程 管理系統(tǒng)要求 序

ISA-TR62443-1-2

主要術(shù)語及 縮寫詞匯表

ISA-TR62443-2-2

IACS信息安全 管理實(shí)施指南

ISA-TR62443-1-3 系統(tǒng)信息安全 合規(guī)性度量

ISA-TR62443-2-3 IACS環(huán)境下 補(bǔ)丁管理

ISA-TR62443-1-4

IACS信息安全 生命周期及用例

ISA-TR62443-2-4 IACS制造商

信息安全與維護(hù)要求

系

統(tǒng) ISA-62443-3-1 ISA-TR62443-3-2 ISA-TR62443-3-3 技 技術(shù)、概念與模型 區(qū)域和管道 與系信統(tǒng)息信安息全安保全障要等求級 術(shù) 信息安全保障等級

組

件 ISA-62443-4-1 IS對A-ITARC6S2產(chǎn)44品3-的4-2 技 技術(shù)、概念與模型 信息安全技術(shù)要求

術(shù)

圖 8.1 IEC-62443 標(biāo)準(zhǔn)體系組織結(jié)構(gòu) IEC-62443 標(biāo)準(zhǔn)的主要內(nèi)容有 4 個(gè)部分：

1. IEC-62443-1 系列：主要是概念和模型的定義，包括安全目標(biāo)、風(fēng)險(xiǎn)評估、全生命周期、安全 成熟度模型。尤其是基于 7 個(gè)基本要求（FR）的安全保證等級（SAL），從 7 個(gè) FR 方面將系 統(tǒng)的網(wǎng)絡(luò)安全能力定義為 SAL的 4 個(gè)等級。
2. IEC-62443-2 系列：主要是講在集成和實(shí)施、運(yùn)維中如何實(shí)現(xiàn)網(wǎng)絡(luò)安全，目標(biāo)對象主要是集成商、 服務(wù)商和業(yè)主的安全能力。包括在工業(yè)控制系統(tǒng)中如何部署網(wǎng)絡(luò)安全、如何進(jìn)行補(bǔ)丁管理，以 及安全策略和操作規(guī)程。
3. IEC-62443-3 系列：主要闡述產(chǎn)品級的系統(tǒng)集成如何實(shí)現(xiàn)網(wǎng)絡(luò)安全，包括產(chǎn)品系統(tǒng)集成的安全 工具、技術(shù)措施等如何去滿足安全保證等級，目標(biāo)對象主要是產(chǎn)品級的系統(tǒng)集成商。
4. IEC-62443-4 系列：主要是單個(gè)產(chǎn)品或者獨(dú)立組件如何實(shí)現(xiàn)網(wǎng)絡(luò)安全，包括具體產(chǎn)品開發(fā)和技

術(shù)設(shè)計(jì)上的網(wǎng)絡(luò)安全要求，比如主機(jī)、嵌入式裝置等，目標(biāo)對象是單個(gè)產(chǎn)品或者獨(dú)立組件的制 造商和供應(yīng)商。

IEC-62443 標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全保證等級（SAL）的評價(jià)模型如下：

1. SAL分為 4 種類型：目標(biāo) SAL、設(shè)計(jì) SAL、達(dá)到 SAL、能力 SAL。分別對應(yīng)全生命周期的不同階段。
2. SAL的 4 個(gè)等級：SAL1：抵御偶然性的攻擊；SAL2：抵御簡單的故意攻擊；SAL3：抵御復(fù)雜 的調(diào)用中等規(guī)模資源的故意攻擊；SAL4：抵御復(fù)雜的調(diào)用大規(guī)模資源的故意攻擊。
3. SAL的評價(jià)值的矢量模型：FR { IAC、UC、DI、DC、RDF、TRE、RA}，其中，IAC為標(biāo)識與鑒別控制， UC為用戶控制，DI為數(shù)據(jù)完整性，DC為數(shù)據(jù)保密性，RDF為受限制的數(shù)據(jù)流，TRE為事件實(shí) 時(shí)響應(yīng)，RA 為資源可用性。

NERC-CIP全稱為“北美關(guān)鍵基礎(chǔ)設(shè)施保護(hù)”，NERC北美電力可靠性委員會(huì)是非營利性監(jiān)管機(jī) 構(gòu)，職責(zé)在于開發(fā)并執(zhí)行可靠性標(biāo)準(zhǔn)，保障電網(wǎng)可靠性。NERC職責(zé)范圍在北美大陸，包括美國、加拿 大、墨西哥，NERC受美國聯(lián)邦政府、加拿大政府的監(jiān)管。NERC在 2006 年發(fā)布了 CIP。NERC-CIP 在 2007 年得到美國 FERC（聯(lián)邦能源監(jiān)管委員會(huì)）的批準(zhǔn)，成為美國法規(guī)，成為北美通行標(biāo)準(zhǔn)。

NERC-CIP是 NERC對關(guān)鍵基礎(chǔ)設(shè)施的安全保護(hù)規(guī)定，主要是針對電網(wǎng)運(yùn)營的功能實(shí)體責(zé)任實(shí)體， 具體實(shí)體可以包括：電力資產(chǎn)業(yè)主、電力傳輸運(yùn)營商、設(shè)備運(yùn)營商、設(shè)備和系統(tǒng)制造商、系統(tǒng)集成服務(wù) 商、電網(wǎng)結(jié)算單位等。

NERC-CIP的目標(biāo)是保障電網(wǎng)的可靠性安全性，網(wǎng)絡(luò)安全是其主要內(nèi)容，但不是全部，即使是其中 的網(wǎng)絡(luò)安全，也不僅僅是狹義上的技術(shù)上的網(wǎng)絡(luò)安全，范圍要更加寬一點(diǎn)。

標(biāo)準(zhǔn)的主要內(nèi)容包括技術(shù)和管理的要求、監(jiān)督執(zhí)行兩個(gè)層面：

1. 技術(shù)和管理的要求：對產(chǎn)品和系統(tǒng)的電子安全邊界的設(shè)計(jì)和實(shí)現(xiàn)、物理訪問的識別和監(jiān)控、端 口信息保護(hù)、漏洞的檢查和管理、日志記錄、事件的報(bào)告和響應(yīng)機(jī)制、備份和恢復(fù)規(guī)劃、變更 的管理、脆弱性評估、供應(yīng)鏈管理等，以及人員意識、培訓(xùn)制度、文檔資料。
2. 監(jiān)督執(zhí)行：明確適用對象、責(zé)任主體、監(jiān)管機(jī)構(gòu)、證據(jù)要求、評估流程、違規(guī)程度評價(jià)等。

8.2 國內(nèi)工業(yè)控制系統(tǒng)標(biāo)準(zhǔn)概述

在國內(nèi)，自 2010 年前后已陸續(xù)開展工業(yè)控制系統(tǒng)信息安全相關(guān)標(biāo)準(zhǔn)的研究制定工作。截至目前， 全國已有多個(gè)相關(guān)標(biāo)委會(huì)開展了該領(lǐng)域標(biāo)準(zhǔn)執(zhí)行工作。全國工業(yè)過程測量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)從自 動(dòng)化領(lǐng)域入手，借鑒 IEC62443 等系列標(biāo)準(zhǔn)，研究制定了《工業(yè)通信網(wǎng)絡(luò) -網(wǎng)絡(luò)和系統(tǒng)安全 -第 2-1 部分： 建立工業(yè)自動(dòng)化和控制系統(tǒng)信息安全程序》、《工業(yè)控制系統(tǒng)信息安全 第 1 部分：評估規(guī)范》、《工 業(yè)控制系統(tǒng)信息安全第 2 部分：驗(yàn)收規(guī)范》等工業(yè)控制系統(tǒng)的安全標(biāo)準(zhǔn)。

全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）作為全國信息安全領(lǐng)域標(biāo)準(zhǔn)化歸口組織，管理全國信息 安全領(lǐng)域的相關(guān)國家標(biāo)準(zhǔn)化工作。截至目前，已發(fā)布《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》 等相關(guān)國家標(biāo)準(zhǔn)。

部分國內(nèi)工業(yè)控制系統(tǒng)標(biāo)準(zhǔn)如下表所示。

表 8.1 國內(nèi)部分工業(yè)控制系統(tǒng)標(biāo)準(zhǔn)

序號 名稱

1 《工業(yè)控制系統(tǒng)信息安全 第 1 部分：評估規(guī)范》

2 《工業(yè)控制系統(tǒng)信息安全 第 2 部分：驗(yàn)收規(guī)范》

3 《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》

4 《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》

5 《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全分級規(guī)范》

6 《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全檢查指南》

7 《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全管理基本要求》

8 《信息安全技術(shù) 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評估實(shí)施指南》

9 《信息安全技術(shù) 工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評估準(zhǔn)則》

10 《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)要求和測試評價(jià)方法》

11 《信息安全技術(shù) 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)監(jiān)測安全技術(shù)要求和測試評價(jià)方法》 12 《信息安全技術(shù) 工業(yè)控制系統(tǒng)漏洞檢測技術(shù)要求及測試評價(jià)方法》

13 《信息安全技術(shù) 工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》 14 《信息安全技術(shù) 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求》

15 《信息安全技術(shù) 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》

16 《信息安全技術(shù) 工業(yè)控制系統(tǒng)入侵檢測產(chǎn)品安全技術(shù)要求》

17 《信息安全技術(shù) 數(shù)控網(wǎng)絡(luò)安全技術(shù)要求》

43

序號 名稱

18 《信息安全技術(shù) 工業(yè)控制系統(tǒng)測控終端安全要求》 19 《集散控制系統(tǒng)（DCS）安全防護(hù)要求》

20 《集散控制系統(tǒng)（DCS）安全管理要求》

21 《集散控制系統(tǒng)（DCS）安全評估指南》

22 《集散控制系統(tǒng)（DCS）風(fēng)險(xiǎn)與脆弱性檢測要求》 23 《可編程邏輯控制器（PLC）系統(tǒng)信息安全要求》 24 《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》

25 《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》

26 《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》

27 《電力行業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》

28 《石油化工工廠信息系統(tǒng)設(shè)計(jì)規(guī)范》

29 《核電廠安全系統(tǒng) 第 1 部分 設(shè)計(jì)準(zhǔn)則》

30 《核電廠安全系統(tǒng)中數(shù)字計(jì)算機(jī)的適用準(zhǔn)則》

31 《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》 32 《煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全基線技術(shù)規(guī)范》

選取部分標(biāo)準(zhǔn)做以簡單概述。

《工業(yè)控制系統(tǒng)信息安全 第 1 部分：評估規(guī)范》作為我國工業(yè)控制安全第一個(gè)有內(nèi)容的國家標(biāo)準(zhǔn)， 解決了我國工業(yè)控制安全無標(biāo)準(zhǔn)可依的窘境。《評估規(guī)范》分為管理評估和系統(tǒng)能力（技術(shù)）評估。管 理評估宜對照風(fēng)險(xiǎn)接受準(zhǔn)則和組織機(jī)構(gòu)相關(guān)目標(biāo)，識別、量化并區(qū)分風(fēng)險(xiǎn)的優(yōu)先次序。風(fēng)險(xiǎn)評估的結(jié)果 可指導(dǎo)并確定適當(dāng)?shù)墓芾泶胧┘捌鋬?yōu)先級，評估風(fēng)險(xiǎn)和選擇控制措施的過程需要執(zhí)行多次，以覆蓋組織 機(jī)構(gòu)的不同部門或各個(gè)工業(yè)控制系統(tǒng)。管理評估分三個(gè)級別、系統(tǒng)能力（技術(shù)）評估分為四個(gè)級別。信 息安全等級由系統(tǒng)能力等級和管理等級二維確定。

《工業(yè)控制系統(tǒng)信息安全 第 2 部分：驗(yàn)收規(guī)范》此標(biāo)準(zhǔn)解決了我國工業(yè)控制系統(tǒng)信息安全驗(yàn)收上的 空白，解決了驗(yàn)收有標(biāo)準(zhǔn)可依的困境。此標(biāo)準(zhǔn)的使用方是工業(yè)控制系統(tǒng)用戶方，《驗(yàn)收規(guī)范》涉及到專 業(yè)的安全測試，除電力和石油石化等大部分用戶方在能力上不足以完成驗(yàn)收階段的安全測試。因此需要 借助第三方的測評力量來驗(yàn)收，就涉及到項(xiàng)目預(yù)算增加的問題。因此在做標(biāo)準(zhǔn)宣貫時(shí)，需要在立項(xiàng)階段 就考慮驗(yàn)收標(biāo)準(zhǔn)和費(fèi)用的問題。

《信息安全技術(shù)工業(yè)控制系統(tǒng)安全檢查指南》規(guī)定了工業(yè)控制系統(tǒng)信息安全檢查的目的、范圍、方式、 流程、方法和內(nèi)容，適用于開展工業(yè)控制系統(tǒng)的信息安全監(jiān)督檢查、委托檢查工作，同時(shí)也適用于各企 業(yè)在本集團(tuán)（系統(tǒng)）范圍內(nèi)開展相關(guān)系統(tǒng)的信息安全自檢查。

《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》規(guī)定了工業(yè)控制網(wǎng)絡(luò)安全隔 離與信息交換系統(tǒng)的安全功能要求、安全保障要求和安全等級劃分要求，適用于工業(yè)控制網(wǎng)絡(luò)安全隔離 與信息交換系統(tǒng)的設(shè)計(jì)、開發(fā)及測試。

《信息安全技術(shù)工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品技術(shù)要求及測試評價(jià)方法》規(guī)定了針對工業(yè)控制系統(tǒng)的 漏洞檢測產(chǎn)品的技術(shù)要求和測試評價(jià)方法，包括安全功能要求、自身安全要求和安全保障要求，以及相 應(yīng)的測試評價(jià)方法，適用于工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品的設(shè)計(jì)、開發(fā)和測評。

《信息安全技術(shù)工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評估準(zhǔn)則》定義了工業(yè)控制系統(tǒng)產(chǎn)品安全評估的通 用安全功能組件和安全保障組件集合，規(guī)定了工業(yè)控制系統(tǒng)產(chǎn)品的安全要求和評估準(zhǔn)則，適用于工業(yè)控 制系統(tǒng)產(chǎn)品安全保障能力的評估，產(chǎn)品安全功能的設(shè)計(jì)、開發(fā)和測試也可參照使用。

《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)監(jiān)測安全技術(shù)要求及測試評價(jià)方法》規(guī)定了工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品的 安全技術(shù)要求和測試評價(jià)方法，適用于工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品的設(shè)計(jì)生產(chǎn)方對其設(shè)計(jì)、開發(fā)及測評等提 供指導(dǎo)，同時(shí)也可為工業(yè)控制系統(tǒng)設(shè)計(jì)、建設(shè)和運(yùn)維開展工業(yè)控制系統(tǒng)安全防護(hù)工作提供指導(dǎo)。

信息安全標(biāo)準(zhǔn)是我國信息安全保障體系的重要組成部分，工業(yè)控制系統(tǒng)信息安全是國家網(wǎng)絡(luò)安全的 重要組成部分，在工業(yè)控制安全國家標(biāo)準(zhǔn)制定中，需要信息安全專家、工業(yè)控制專家、行業(yè)專家等多領(lǐng) 域?qū)＜夜餐瑓⑴c，才能真實(shí)反映既符合網(wǎng)絡(luò)安全要求又符合工業(yè)控制現(xiàn)場現(xiàn)狀。

了解整個(gè)國內(nèi)外工業(yè)控制系統(tǒng)的安全標(biāo)準(zhǔn)和相關(guān)法規(guī)，對于制定整體安全策略至關(guān)重要。但是這些 標(biāo)準(zhǔn)和法規(guī)只應(yīng)該作為基本的安全基線，在參照的基礎(chǔ)上真正的結(jié)合風(fēng)險(xiǎn)場景與成本預(yù)算和各類安全措 施，制定出經(jīng)濟(jì)、高效、持久的安全策略與措施才是企業(yè)真正的需求。

參考資料

綠盟 工業(yè)控制系統(tǒng)安全評估流程

友情鏈接

GB-T 20274.3-2008 信息安全技術(shù) 信息系統(tǒng)安全保障評估框架 第3部分：管理保障文章來源地址http://www.zghlxwxcb.cn/news/detail-755952.html

到了這里，關(guān)于工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！