美国国防部年初发布《控制系统安全要求指南》,控制系统安全要求指南旨在简化和统一该部基于风险的方法来管理控制系统的网络安全。它利用并整合了网络安全框架来帮助组织风险管理,以及国防部风险管理框架来实现系统风险管理。
01 国防部 (DoD) 的控制系统
1.1 概述
控制系统是所有国防部任务操作的基础,并且是许多不同国防部操作环境中的关键要素。控制系统通常由监控和控制设备的控制器和用户界面组成。对于武器系统、公用事业、设施、医疗系统、制造和国防工业基础的功能来说是普遍和必不可少的。任务职能和学科的这种差异意味着这些利益社区具有不同的术语和公认的规范。然而,在系统目标和保护它们所需的网络安全活动以及网络安全风险类型方面也存在共性。由于与物理世界的交互,控制系统也带来了独特的风险,这些风险因国家安全环境中网络物理系统的扩散而增加。
控制系统的重要性和与国家安全的相关性的结合需要特定的考虑和指导,以确保根据风险管理政策管理所有风险和威胁。了解国家安全系统 (NSS) 和关键系统对控制系统的依赖关系是一个优先事项,这些依赖关系应该是所有系统所有者在管理系统风险时考虑的一个因素。控制系统安全要求指南 (SRG) 旨在简化和统一国防部基于风险的管理控制系统网络安全的方法。它利用并集成网络安全框架 (CSF) 来帮助组织风险管理和国防部风险管理框架(RMF) 来实现系统风险管理。该控制系统安全要求指南为所有控制系统建立了国防部安全目标。人员可以将此指南应用于归类为可公开发布的环境,包括最高机密总务 (GENSER)。包括敏感分区信息 (SCI)分类的控制系统在内的任务必须遵循现有的国防部和情报界 (IC) 政策。本指南不为具有 SCI 分类级别的操作环境提供指导。
支持国防部的控制系统实施示例包括:
电力系统中的 SCADA
空调/空气过滤系统
水位控制器
化学过滤系统
应急管理系统
监控系统
制药应用
离散制造
众多其他工业领域
控制系统组件:
传感器:传感器是一种设备,它通过生成通常以电或光信号形式的功能相关输出来响应输入量。
执行器:执行器用于直接操纵机构或系统的受控过程。
控制器:控制系统的一部分,用于执行物理过程的监视和控制。这包括所有控制服务器、现场设备、执行器、传感器及其支持的通信系统。
过程:直接处理产生所需输出或性能的系统组件。
人机界面 (HMI):操作员与控制器进行交互的硬件或软件。范围可以从带有按钮和指示灯的物理控制面板到带有运行专用人机界面软件图形显示器的工业电脑。
控制系统对于美国国防关键基础设施的运行至关重要。关键基础设施包括对美国至关重要的物理和网络系统和资产,它们的失效或破坏将对我们的物理或经济安全、我们的公共健康和我们的安全产生削弱性影响。在设计控制系统时,与设计传统的信息技术系统所需的考虑因素相比,必须进行额外的考虑。
1.2 控制系统的业务任务目标
控制系统通常需要优先考虑机密性、完整性和可用性的不同方面。在传统的 IT 系统中,信息保密可能是最重要的原则;然而,可用性和完整性对于控制系统更为重要。此外,考虑到控制系统与物理世界交互的程度,人员和环境的操作安全对于操作控制系统的组织来说非常重要。因此,国防部为运行控制系统的组织制定了以下业务/任务目标:
维护系统可用性
描述:保留在所需时间范围内以预期水平运行系统的能力。系统功能无间断。
组织应该:
识别构成威胁系统可用性的网络安全风险的相互依赖的控制系统。
启动与控制系统工程生命周期和变更管理程序相关的风险管理程序。
通过在可行的情况下及时在系统上应用补丁来管理漏洞和风险,而不管服务年龄、专有性质或感知的过时。补丁应解决原始代码中的功能和稳定性问题,同时还应增强安全性。计划备份和变通方法。
部署持续监控应用程序来控制系统,以检测对系统可用性的威胁,同时确保系统健康。
参与业务连续性计划,以降低在中断情况下维持或重新建立生产的风险。根据典型的业务需求为涉及的各种系统和子系统恢复指定目标(恢复时间目标和恢复点目标)
为关键流程和资产实施冗余。
维护系统完整性
描述:确保能够在正确的时间使用正确的数据执行正确的指令,以保持以预期方式操作系统的能力。
组织应该:
识别构成威胁系统完整性的网络安全风险的相互依赖的控制系统。
包含结果网络安全风险需要的评估分析恶意行为者对漏洞的潜在利用。
将网络安全风险评估的结果纳入考虑对可能是系统操作副产品的系统数据的不利影响。
执行数据清理流程,以降低重复、过时、不正确和未使用数据带来的风险。计划备份和变通方法。
将完整性检查机制纳入操作以验证软件、固件和信息的完整性。
应用持续监控以确保对使用中、传输中和静止中的数据进行考虑并检查是否存在故意或意外未经授权的操作。
缓解商业连续性风险,通过指定恢复观点目标(RPO) 和系统配置数据的备份。
维护人身安全
描述:认识到网络安全对影响人员安全的控制系统的影响。通过风险评估、意识和培训、保护技术和制定应急响应计划来预防,包括生命损失在内的伤害。
组织应该:
拥有全面的过程可以系统地预测或识别影响安全的潜在因素如:关键故障条件、故障条件或误操作。
进行人员培训,普及网络安全与安全运营职责之间的依存关系。
在发生灾难性故障时,在网络安全对人类安全产生不利影响时,及时采取应急响应措施。
维护环境安全
描述:认识到网络安全对影响环境安全的控制系统的影响。通过治理、风险评估、意识和培训以及响应计划来预防对环境的危害。
组织应该:
制定综合过程系统地预测或识别可能导致危险和潜在环境危害的因素,如安全关键故障条件、故障条件或人为错误的操作行为。
确定并培训人员了解网络安全与影响环境安全的运营职责之间的相互依存关系。
在发生灾难性故障/事件时,在网络对环境安全产生不利影响的情况下实施检测、响应和恢复措施。
1.3 控制系统的安全目标
传统上,安全目标会考虑在系统受到威胁时对系统的机密性、完整性和可用性的潜在影响。根据联邦信息和信息系统安全分类标准,机密性是“保留对信息访问和披露的授权限制,包括保护个人隐私和专有信息的手段。”机密性的丧失是未经授权的信息披露。完整性定义为“防止不当的信息修改或破坏,包括确保信息的不可否认性和真实性。”完整性的损失是对信息的未经授权的修改或破坏。重要的是要注意,未经授权的信息破坏将导致该信息的可用性丢失。可用性为“确保及时可靠地访问和使用信息。”可用性的损失是对信息或信息系统的访问或使用的中断。
许多控制系统过程本质上是连续的。控制工业过程的系统意外中断是不可接受的。通常必须提前几天或几周计划和安排停机。此外,详尽的部署前测试对于确保控制系统的高可靠性至关重要。因此,可用性通常是主要的安全目标。特定的可用性要求必须包含在合作方之间的合同或服务水平协议中。
1.4 控制系统安全架构
下面的参考架构(图 2)是 ICS 的 Purdue 模型,用于 UFC 4-010-06,设施相关控制系统的网络安全。该架构被定义为适用于各种控制系统的通用架构。
图 :UFC-4-101-06(5 级控制系统架构)
在设计和实施安全控制系统安全架构时,国防部组织必须使用“深度防御”方法来保护所有资产,同时考虑系统的互连和依赖性以及组织的可用资源,以提供有效的监控层和基于企业面临的网络安全风险的保护。
国防部组织必须了解威胁和漏洞与为保护构成控制系统环境的操作、人员和技术而实施的控制和对策之间的关系。控制系统与传统信息技术的不同之处在于其常见的攻击媒介和避免利用的安全需求。下面列出了常见的控制系统漏洞列表:
网络周边后门和漏洞
常见和不安全协议的漏洞
对现场设备的攻击
数据库攻击
通信劫持 MITM 攻击
欺骗攻击
对特权/共享帐户的攻击
1.5 控制系统环境中的网络空间防御与事件响应
网络空间防御解决网络和系统的防御和保护、威胁检测和事件响应。网络态势感知提高了系统和数据的使用、保护和防御的协作决策的质量和及时性。国防部网络空间防御行动提供了应对威胁和事件的手段,以保卫国防部信息网络。
02 网络安全框架控制系统配置文件
CSF 不会取代 DoD RMF 中建立的任何流程或程序;相反,它与 RMF 一起使用,从组织的
角度处理风险管理。CSF 侧重于指导网络安全活动的业务驱动因素。从本质上讲,CSF帮助组织根据其业务任务要求、风险承受能力和资源调整其网络安全活动并确定其优先级。
RMF 和 CSF 是实施组织网络安全和风险管理的补充和必不可少的部分。RMF 管理 DoD信息系统生命周期网络安全风险,CSF 旨在使业务/任务目标与网络安全活动保持一致。
具体而言,实施 CSF 为组织提供了一种机制:
评估并描述其当前和有针对性的网络安全态势。
确定其当前计划和流程中的差距。
使用连续和可重复的流程识别改进机会并确定其优先级。
评估实现目标安全态势的进展。
以通用、公认的语言向内部和外部利益相关者传达网络安全态势。
CSF 核心(识别、保护、检测、响应、恢复)是一组网络安全活动、结果和信息参考,可以帮助国防部更好地接受的风险以及正在努力补救的风险。
识别:发展组织理解,以管理系统、人员、资产、数据和能力的网络安全风险。识别功能中的活动是有效使用框架的基础。了解业务背景、支持关键功能的资源以及相关的网络
保护:使组织能够根据其风险管理战略和业务需求,集中精力并优先考虑其工作。保护制定并实施适当的保护措施,以确保关键服务的交付。保护功能支持限制或遏制潜在网络安全事件影响的能力。
检测:制定并实施适当的活动以识别网络安全事件的发生。检测功能可以及时发现网络安全事件。
响应:制定并实施适当的活动,对检测到的网络安全事件采取行动。响应功能支持控制潜在网络安全事件影响的能力。
恢复:制定并实施适当的活动,以维持弹性计划并恢复因网络安全事件而受损的任何能力或服务。恢复功能支持及时恢复正常操作,以减少网络安全事件的影响。
2.1 网络安全框架目的和范围
矩阵概览提供了下表中概述的五个不同领域,以提供(功能、类别、关键性、子类别和任务目标)领域的熟悉程度和内容,以及每个任务目标下确定的影响级别:
配置文件类别将上述功能细分为特定网络安全活动或程序需求的组。子类别将类别进一步划分为技术和管理活动的具体结果,表示为结果。子类别还与文档前面提到的每个国防部任务目标交叉引用。根据每个子类别与每个任务目标的相关程度,为每个子类别分配了一个优先级值。
03 控制系统的系统安全要求
3.1 网络安全最低标准
美国政府制定了网络安全标准,这些标准被称为联邦信息处理标准 (FIPS)。FIPS 200 建立了安全控制系列,其中包括对网络安全流程(如 RMF)中使用的安全控制的要求。美国政府在 RMF 流程下使用的安全控制被组织到 FIPS 200 安全控制系列中。FIPS 200 中针对这些安全系列提出的要求确立了系统网络安全的要求。这些系列中的单独安全控制是实现要求的一种方式。FIPS 200 安全系列使各方能够在利用不同实践的同时协调和交流安全实践。FIPS 200 为系统网络安全设置了 16 个控制系列。许多控制系列很容易与传统的 IT 或通信安全实践相关。
3.2 安全控制适用范围和意图
以下从控制系统的角度描述了 16 个控制系列,包括每个控制系列的适用性,因为与控制系统和实施控制系统网络安全有关。
访问控制 (AC)
访问控制涉及确保只有授权用户和数据流才能访问系统和系统数据。此安全控制系列的一个主要焦点是用户帐户的创建和管理。但是,该系列还包括特定与访问相关的保护考虑因素的安全控制,例如管理系统信息流、对系统用户和管理员实施最低权限以及对系统的远程和无线访问。由于这些安全活动的性质,安全访问控制系列包含大多数影响最大的安全要求。
审计和问责制 (AU)
审计和问责制的重点是在事后重新创建事件并将这些事件和操作链接回用户的能力。系统日志审计提供了对给定系统上正常操作的重要理解。这是识别异常行为能力的第一步,这可能是妥协的迹象。此外,审计在事后经验教训中发挥着关键作用。审计日志提供有关导致事件的事件链、事件期间发生的事情、对系统的全面影响以及哪些用户或组件受到影响的详细信息。此信息对于识别对抗行为的对象、内容、地点和方式至关重要,而且对于识别系统中需要改进或补救的领域也很重要。关于控制系统,审计控制系统应包括确保验证测试后安全控制正确运行,确保生产系统没有安全隐患,并确保变更管理程序彻底执行并严格记录。
意识和培训 (AT)
通常,安全事件的发生是由于最终用户的操作不当。意识和培训侧重于通过改善最终用户的安全行为和意识来提高系统安全性。有效的组织培训与有效的系统安全控制相结合,可以减少最终用户安全实践不佳造成的系统威胁。
从控制系统的角度来看,确保所有人员能够充分保护控制系统并识别潜在威胁指标是有效安全实施的重要方面。交叉培训控制系统和 IT 工程师对于确保将网络安全正确应用于控制系统至关重要。此外,由于控制系统的多样性和复杂性,供应商/系统特定培训通常是必要的,以正确培训人员在特定控制系统环境中操作。
安全评估和授权控制 (CA)
长期以来,安全控制在信息系统中的应用已经司空见惯。从多年的经验表明,组织需要检查安全控制是否已实施及有效,提供此测试的过程可帮助组织了解与被检查系统相关的风险,并可以确保由具有正确权限的人员,做出接受与该系统相关的风险的决定。此外,它还提供了识别系统缺陷的机会。一旦确定,可以管理系统缺陷,并进行修复。在美国政府,这些被称为行动计划和里程碑。最后,此评估创建了一个可以对其进行监控的基线。系统监控可确保系统的已知安全状态得以维持,并确保组织不会因系统脱离已知安全状态而在不知不觉中开始承担更多风险。高级官员必须负责授权系统控制实施并接受任何随之而来的残余风险。
配置管理 (CM)
配置管理侧重于确定系统和系统组件的安全配置,并主动管理可能需要对该配置进行的任何更改。配置管理从软件和硬件中的特定配置设置一直延伸到与其他系统的系统互连。诸如最小特权之类的原则侧重于最大限度地减少可以对最少人数进行更改的人数。此外,通过主动变更控制过程对系统当前状态的管理监督以及对该状态的任何更改都包含在该系列中。
关于控制系统,配置更改的远程访问必须涉及强大的身份验证措施和密切监控。此外,在更改任何控制系统网络或设备的配置时,必须进行风险评估。最后,强调将控制系统配置为在最低功能级别运行,以建立安全实施的基线。
应急计划 (CP)
应急计划可确保系统在发生中断正常运行的紧急情况时能够在适当级别继续运行。应急计划的准确实施很大程度上取决于组织、业务和任务要求。热站点、暖站点和冷站点等故障转移选项在很大程度上取决于应急和连续性要求。此外,备份要求受到恢复要求的严重影响。
特别是对于控制系统,需要对应急计划进行测试,然后与业务连续性计划进行协调,以满足恢复目标的需求,从而满足业务任务。由于许多控制系统的重要性,应在多个级别考虑冗余和备份操作,以保持系统功能和业务连续性。
识别和认证 (IA)
组织必须识别信息系统用户、代表用户运行的进程或设备,并验证(或验证)这些用户、进程或设备的身份,作为允许访问组织信息系统的先决条件。识别处理识别与系统交互的用户和设备。这可以通过使用用户名和密码、加密证书或其他可用于创建系统身份的技术来实现。身份验证利用此标识符来确定对系统资源或信息的访问或权限级别。访问控制和身份验证通常是相互支持的家庭。IA 系列中使用的控制或技术通常是用于实现 AC 成果的技术能力。
控制系统的安全实施需要强大的身份验证措施,例如国防部可接受的密码复杂性和多因素身份验证)。如果无法实施身份验证措施,则必须实施严格的补偿控制以提供相同的安全能力。
事件响应 (IR)
系统中的事件可能是多种因素的结果。这可能是软件或硬件中的错误、用户错误或对抗性行为的结果。在发现事件的时间点,很难确定事件的真正原因。处理这些事件的系统计划,包括升级程序,可确保事件得到适当处理,并且可以吸取经验教训。控制系统人员都必须接受与事件响应有关的测试,以证明对潜在事件的了解以及事件所需的相应响应。
维护 (MA)
系统维护失败可能导致系统可用性失败,这是一个网络安全问题。维护控制系列包含安全控制,可确保执行系统维护,但以最小化系统风险的方式进行。
从控制系统的角度来看,任何攻击面都需要最小化。应仔细审查和配置远程访问维护工具和本地访问维护工具,以避免系统出现其他漏洞。控制系统的网络安全需要严格的定期维护计划,以反映设备的重要性。
媒体保护 (MP)
未经授权的渗透或未经授权从系统中删除数据是网络安全的一个重要问题。这种渗透可能通过电子或物理方式发生。媒体保护控制侧重于保护可能用于此渗透的各种形式的媒体。控制系统强调禁止任何未经授权的可移动媒体与任何节点上的控制系统交互。
物理和环境保护(PE)
控制中心等组件需要严格的访问控制。此外,必须采取预防措施以避免未经授权的物理篡改和未经授权将外部系统引入控制系统实施。与控制系统功能直接相关的便携式设备也必须仔细监控、修补并限制在安全区域内。必须在可以访问控制系统网络或组件的所有位置保持物理安全。
规划 (PL)
组织必须为组织信息系统制定、记录、定期更新和实施安全计划,这些计划描述为信息系统实施或计划的安全控制以及访问信息系统的个人的行为规则。在安装或引入新的控制系统时必须重新考虑安全计划,以确保在整个系统生命周期中都强调安全性。
项目管理 (PM)
除了信息系统级别之外,组织还必须在组织级别实施安全控制。鉴于控制系统对整体业务功能的重要性,确保组织目标和信息系统安全配置保持一致至关重要。
人员安全 (PS)
人员是对系统及其网络安全的主要威胁。因此,人员安全计划可以极大地影响系统网络安全。人员安全系列为我们在人员安全计划中的实施设置了控制。为人员制定精心定制的培训计划和职位筛选是在授权访问控制系统之前需要采取的措施。
风险评估 (RA)
组织必须定期评估因组织信息系统的运行以及组织信息的相关处理、存储或传输而对组织运营(包括使命、职能、形象或声誉)、组织资产和个人的风险。
关于控制系统,任何风险缓解措施都必须考虑缓解成本、对业务连续性的影响、物理安全问题以及从控制系统网络流向网络外任何设备或系统的数据的价值。
系统和服务采购 (SA)
系统和服务采购系列包含旨在将与采购系统相关的风险降至最低的控制措施。关注的领域包括供应链风险管理和软件开发实践。了解每个实体对组织供应链的影响并让外部供应商遵守与组织相同的安全标准以保持控制系统安全的整体水平至关重要。
系统和通信保护 (SC)
安全控制的系统和通信系列涵盖了处理各种系统安全要素的各种控制。该控制系列包含各种系统和网络保护,例如移动代码保护、蜜罐、公钥基础设施、静态信息保护和拒绝服务保护。
从控制系统的角度来看,建议在经过大量性能测试后认为合适的地方使用加密系统和 VPN。配置控制系统使其不完全依赖于网络也是安全实施的必要条件。
系统和信息完整性 (SI)
系统和信息完整性安全侧重于确保识别和修复系统缺陷。该系列包括用于恶意代码保护、系统监控和安全警报、功能警报、建议和指令的控件。
在实施 SI 系列的任何控制之前,确保系统功能保留在控制系统中,并且环境能够满足所需的性能水平。在控制系统环境中使用补丁会给系统的功能带来风险。因此,必须在将补丁引入生产环境之前对其使用情况进行评估。如果允许实施,确保经常测试和部署控制系统的补丁是至关重要的。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
