工業控制系統安全防護可以這樣做
工業控制系統安全的重要性及其普遍安全防護措施不足的現實,使得加強工業控制系統的安全性來說無疑是一項相對艱巨的任務。因為當面臨攻擊者的持續關注時,任何疏漏都可能導致災難。對此,我們在參考信息安全業內的最佳實踐的基礎上,結合工業控制系統自身的安全問題,提出了一些安全建議,期望能夠有效地降低工業控制系統所面臨的攻擊威脅:
1.加強對工業控制系統的脆弱性(系統漏洞及配置缺陷)的合作研究,提供針對性地解決方案和安全保護措施:
a)源頭控制:運營組織和關鍵提供商建立工業控制系統開發的全生命周期安全管理。在系統的需求分析、架構設計、開發實現、內部測試、第三方測試和人員知識傳遞等研發生命周期的典型階段,融入安全設計、安全編碼以及安全測試等相關安全技術,盡可能系統地識別和消除各個階段可能出現的來自于人員知識和技能、開發環境、業務邏輯引入系統缺陷的安全風險。
綠盟科技應用安全開發生命周期(NSFocusADSL)
b)分析檢測及防護:工業控制系統行業應積極展開與安全研究組織或機構的合作,加強對重要工業控制系統所使用軟硬件的靜態和動態代碼脆弱性分析、系統漏洞分析研究;開發工業控制系統行業專用的漏洞掃描、補丁管理及系統配置核查工具。
c)漏洞庫管理:國家主管機構主導建立權威的ICS專業漏洞庫以及完善的漏洞安全補丁發布機制。#p#
2.盡可能采用安全的通信協議及規范,并提供協議異常性檢測能力
a)源頭控制:在不影響系統實時性、可用性的前提下,工業控制系統應盡可能采用具有認證、加密、授權機制的安全性較高的通信協議來保證其控制命令和生產數據的安全傳輸。尤其是無線通信協議要重點考慮其安全性;因為不安全的無線通信協議非常容易遭致遠程攻擊。
b)檢測防護:基于對ICS通信協議與規約的深度解碼分析,通過網絡協議異常性特征識別與監測ICS各系統和網絡間可能存在的威脅,并提供針對性的防護措施,從而提升了企業對于系統運行過程的威脅感知與安全防護能力
c)標準制訂:國家主管機構應促進工業控制系統行業與安全研究機構、廠商的合作,并主導制訂相關的通信協議的安全標準。以提供推薦性行業標準。
3.建立針對ICS的違規操作、越權訪問等行為的有效監管
a)異常行為檢測:對ICS系統的各種操作行為進行分析,并基于<主體,地點,時間,訪問方式,操作,客體>的行為描述六元組模型構建系統操作行為或網絡運行相關的白環境。基于白環境可以很方便地開發針對ICS異常行為的檢測類產品(比如IPS)。
基于六元組的異常檢測模型
b)安全審計:基于對ICS通信協議與規約的深度解碼分析,實現對ICS系統的安全日志記錄及審計功能。應考慮對控制過程實現基于網絡流量的安全審計,審計過程應力爭做到對控制指令的識別和可控,如Modbus、DNP3等經典工控協議的解析能力分析,實現工業控制協議會話的過程記錄和審計;并提供安全事件之后的事后追查能力。#p#
4.建立完善的ICS安全保障體系,加強安全運維與管理。
a)ICS安全保障體系建設
在保證工業控制系統的正常運行的前提下,充分調動技術、管理等安全手段,對帳號與口令安全、惡意代碼管理、安全更新(補丁管理)、業務連續性管理等關鍵控制領域實施制度化/流程化、可落地的、具有多層次縱深防御能力的安全保障體系建設。其建設依據將參考以下國內外工業控制系統安全相關政策及實踐,使企業能夠充分識別運行管理過程的信息安全控制點,構建符合國家、行業監管、資本市場要求以及安全最佳實踐的安全保障體系。具體參考的相關政策和安全實踐包括但不限于:
《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)
GB/T26333-2010《工業控制網絡安全風險評估規范》
IEC62443/ISA99《工業過程測量、控制和自動化網絡與系統信息安全》
NISTSP800-82《工業控制系統(ICS)安全指南》
NISTSP800-53《聯邦信息系統和組織的安全控制推薦》
北美電氣可靠性協會關鍵性基礎設施防護標準(NERCCIP標準)等。
b)安全運維與管理
邊界控制:嚴格管理所有可能的ICS系統訪問入口,包括將SCADA相關系統與互聯網及其他辦公網絡物理隔離,嚴格控制移動介質和無線網絡的接入,必要時采用設備準入控制機制。
系統上線安全評估及周期性安全評估:工業控制系統的入網與上線是整個系統安全生命周期的重要階段,也是系統所有者和操作者掌握其安全風險水平的最佳時機。因此,在系統上線時要盡可能對系統的安全狀況進行較為詳細的評估:系統及應用漏洞掃描、WEB應用測試與掃描、ICS系統安全基線配置核查以及無線現場網絡的安全評估等。然后根據評估結果在保障ICS系統可用性的前提下,盡可能對發現的安全問題進行處理。需要注意的是:常見的評估工具和測試手段將有可能會造成系統的中斷(如產生偶然的拒絕服務攻擊),因此對工業控制統的評估和測試和傳統的IT風險評估相比應更加謹慎,在評估的過程中可采用一些能夠確保對工業控制系統的影響降到最低的替代性評估手段。
系統防護:系統防護措施的更新速度是其有效性最重要的度量指標,只有及時更新通用或專用系統的安全補丁和相關配置,升級各種防護和檢測設備的規則,才能起到有效的防護效果。
需要保障ICS系統業務連續性的應急響應計劃,強調對安全事件的快速響應能力。
c)此外,還需要加強人員的安全意識培訓和工作流程管理制度的落實等。#p#
5.加強針對ICS的新型攻擊技術(例如APT)的防范研究
目前ICS領域影響最大的就是‘震網病毒’為代表的高級可持續性威脅(APT)類攻擊。這類APT攻擊并不是一個獨立的、具體的攻擊技術,而是一種攻擊行為模式的體現。達成APT攻擊需要無孔不入的情報收集能力;它們往往掌握有最新的0day漏洞、擁有能夠規避當時檢測工具的傳播和控制程序,以及能夠利用所掌握的資源快速展開連鎖行動的組織力和行動力。顯然,這樣的攻擊不是能夠依靠單一的技術實現防范和檢測的,針對性的防護需要多個層面安全防護措施的綜合開展:
a)做好ICS系統的基礎性安全防護工作。從防范主體的角度來看,應當做到“安全防御無死角”。面對長期的偵測和試探,任何安全短板都可能成為攻擊者的快速通道。也許只有做好各方面的防范,通過多種安全產品(機制)協同工作的體系化防御措施才能夠抵御APT這些高級的持久性攻擊。
b)加強“深入分析”技術的探索。APT攻擊并不意味著沒有痕跡,只是隱蔽性較強而難以發現。通過收集APT攻擊事件相關的技術情報(攻擊的特征、原理、危害、樣本及分析報告等),并利用多維度的海量數據挖掘和關聯分析技術,實現跨時域、跨設備和跨區域的蹤跡分析,來大幅增加發現攻擊行為的概率。也就是說,只有具備及時識別、發現APT攻擊的能力之后,才能有效地提供針對性的APT安全防護能力。
c)加強國際合作,協同研究與防范。由于APT攻擊具有低成本、高破壞和隱蔽性的特點,它對CII或工業控制系統攻擊所造成的破壞和社會影響,很有可能不遜于核武器的攻擊后果。如果不對其加以限制,只會使破壞程度不斷升級。所以,成立國際聯合組織、建立國際性的抑制體系可以減少國家間的過激行為,同時也可監控和打擊網絡犯罪及恐怖主義行為。
上述描述的安全建議從多維度考慮對工業控制系統可能面對的風險進行防護,并盡可能降低相關系統的安全風險級別。但需要意識到由于外部威脅環境和系統技術演變將可能引入新的風險點。系統、人員、商業目標以及內、外部威脅等安全相關因素的任何一個發生改變時,都應建議企業對當前安全防護體系的正確性和有效性重新進行評估,以確定其能否有效應對新的風險。因此ICS的安全保障措施也將是一個持續的改善過程,通過這一過程可使工業控制系統獲得最大程度的保護。
