9月23日,美国国家标准与技术研究所(NIST)与国土安全部(DHS)联合发布了关键基础设施控制安全系统的初步网络安全绩效目标,根据拜登总统关于改善关键基础设施控制系统网络安全的国家安全备忘录,该目标将推动有效实践和控制的采用。NIST特别指出,它和国土安全部网络安全和基础设施安全局(CISA)已经确定了九类网络安全最佳实践,并将其作为网络安全性能目标的基础,九个目标中的每一个都有部署和运行安全控制系统的具体目标,这些目标进一步组织为基线和强化目标。具体而言,NIST强调最佳实践的主题包括:风险管理和网络安全治理;架构和设计;配置和变更管理;实体安全;系统和数据的完整性、可用性和保密性;持续监测和漏洞管理;培训和意识;事件响应和恢复;供应链风险管理。

编译 | 韩昱/赛博研究院实习研究员

来源 | CISA

2021年7月28日,拜登总统签署了一份关于改善关键基础设施控制系统网络安全的国家安全备忘录。该国家安全备忘录建立了一个自愿的倡议,旨在推动联邦政府和关键基础设施之间的合作,以改善控制系统的网络安全。它指示国土安全部(DHS)在国家安全备忘录发布之日起一年内牵头制定初步的跨部门控制系统网络安全性能目标以及具体部门的性能目标。这些目标旨在提供一个共同的理解,即关键基础设施运营商应遵循的基准安全做法,以保护国家和经济安全,以及公共健康和安全。

CISA和NIST确定了九类建议的网络安全做法,并将这些类别作为初步控制系统网络安全性能目标的基础。这九个目标中的每一个都包括支持安全控制系统部署和运行的具体目标,这些目标被进一步组织为基线目标和强化目标。基线目标代表了所有控制系统运营商的建议做法,强化目标包括支持国防的关键基础设施做法、关键部门(即能源、通信、运输和水)、控制系统的故障可能对安全产生影响的地方。国土安全部将与机构间和私营部门的合作伙伴协调,以确定强化目标在每个部门的适用性。除了目标之外,还为每个目标提供了实施例证,以证明一个组织成功实施一个目标可能需要的条件。成功实施所有基线目标就等于成功实施了一个目标。

01 风险管理和网络安全治理

1.1 目标

使用既定的建议做法(例如,NIST网络安全框架、NIST风险管理框架、国际自动化学会/国际电工委员会(ISA/IEC)62443、NIST特别出版物(SP)800-53、NIST SP 800-30、NIST SP 800-82)识别和记录控制系统的网络安全风险,并通过规划、政策、资金和训练有素的人员提供专门资源来解决网络安全风险和复原力。

1.2 原因

正式的风险管理过程提供了标准的术语,记录了风险,确定了角色和责任,并被管理层用来理解和管理风险,估计影响,并确定对事件的反应。

1.3 基线目标

  • 识别、记录并优先处理控制系统的已知风险。

实施例证:组织已采用既定的推荐做法,完成并记录了所有控制系统的风险登记册和风险评估;组织有定期(如每年、每半年)更新的计划。

  • 建立并执行接受、避免、减轻或转移已确定的高优先级风险政策,包括概述控制系统资产的可接受使用和访问。

实施例证:组织已经提供了针对高优先级风险的成文政策(例如,程序、流程、计划、标准操作程序),并建立了更新和沟通该指导的治理结构。

  • 表明管理层对网络安全计划的有效支持。

实施例证:组织有一个指定的首席信息安全官,或担任类似角色的人,有明确的权力和专用资源。

  • 提供定期的专项资金,足以执行确定的目标和任何其他部门或企业的网络安全要求,包括合格人员的费用。

实施例证:组织在年度预算中为网络安全举措提供持续的资金,以便进行长期规划和投资。

1.4 强化目标

02 架构和设计

2.1 目标

根据既定的分割、分区和隔离关键系统的建议做法,将网络安全和复原力纳入系统架构和设计,并每年进行审查和更新,以酌情纳入符合行业和联邦建议的运营经验教训。

2.2 原因

将网络安全和复原力纳入系统架构和设计,是为了防止、检测或延迟、应对和减轻恶意行为或其他可能损害网络安全的行为的后果。适当地分割网络可以增加访问控制,使之更容易限制和监测用户对系统的访问。网络分割和隔离,加上正确实施访问控制列表(ACL),可以帮助限制事件的范围,也可以提高网络性能。

2.3 基线目标

  • 确保在设计、开发、部署和更新新的控制系统时,考虑网络安全问题。

实施例证:在控制系统环境中安装任何新的硬件或软件之前,组织采用明确界定的程序来识别和处理对控制系统网络安全的潜在影响。

  • 确定并记录软件、硬件和其他具有管理权限的系统清单,以确定持续监测工作和漏洞管理等活动的优先次序。

实施例证:组织保持一个不断更新的具有管理权限的系统清单。

  • 保护控制系统的边界。

实施例证:组织采用防火墙、访问控制列表和单向通信来保护控制系统的边界。

  • 确保控制系统的物理分割符合既定标准或推荐做法(例如,NIST SP 800-53、NIST SP 800-82、ISA/IEC 62443),包括无线配置、硬件和软件控制,将访问或修改控制系统资产的能力限制在根据既定准则证明需要访问的个人。记录、管理和缓解控制系统中发现的漏洞。

实施例证:组织完成定期(如半年一次)的系统架构审查,其中包括一个记录在案的改进计划,以解决对控制系统构成风险的漏洞。

2.4 强化目标

  • 实施、整合和验证一个零信任架构。

实施例证:组织完成定期(如半年一次)的零信任架构审查,其中包括处理重大漏洞或发现的文件化改进计划。

03 配置和变更管理

3.1 目标

在整个控制系统的硬件和软件生命周期中,记录并控制硬件和软件的库存、系统设置、配置和网络流量。

3.2 原因

配置和变更管理确保组织的网络安全计划目标得到满足,确保新系统以安全一致的状态部署,并在其整个生命周期的变化中保持这一状态。通过提高可视性和跟踪系统的变化,减少由于配置问题和安全事故而导致的中断风险。

3.3 基线目标

  • 采用记录在案的变更管理规则和程序,以确保记录和维护所有具有基线配置的控制系统固件、软件和硬件的清单,并确保配置或系统的变更得到适当的审查和记录。

实施例证:组织有书面政策,并得到执行,要求对控制系统进行清点,记录基线设备配置,并记录所有的变化。

  • 确保审查和更新所有新固件、软件和硬件的出厂设置,以删除不必要的权限、服务或程序。

实施例证:组织有核对表、标准操作程序或其他记录在案的政策,根据系统的明显需求审查固件、硬件和软件的能力,以确保在安装前禁用不必要的服务(例如,端口)。

  • 将改变控制系统配置的能力限制在经批准的、经证明需要访问的人员身上(最小特权)。

实施例证:组织要求提高访问控制系统的权限,要求所有申请访问的工作人员有书面理由,并每半年审查一次访问,以确保只有需要了解的工作人员才能访问敏感系统。

实施例证:本组织要求为控制系统设立单独的高级账户;除非需要或被要求,否则这些账户不应该与传统的信息技术挂钩。此外,不需要提升权限的日常工作应该由具有最低权限的账户完成。

3.4 强化目标

  • 对控制系统和网络进行网络基线分析,以了解批准的通信流量。

实施例证:组织根据记录的基线监控网络流量,并能识别、调查和隔离异常流量,以尽量减少对向客户提供服务的影响。

04 实体安全

4.1 目标

对系统、设施、设备和其他基础设施资产的物理访问,只限于授权用户,并确保与物理环境相关的风险。

4.2 原因

将物理访问限制在只有经授权的个人,可以防止恶意行为者获得对控制系统部件的物理访问。这些保护措施也有助于防止无意的损害。

4.3 基线目标

  • 限制对控制系统和连接设备的物理访问,只允许有访问需求的授权人员访问。

实施例证:组织将所有的人机界面、终端和其他控制系统硬件锁在门后,并保持访问记录,以跟踪进入和离开安全空间的人员。

实施例证:组织有确定和记录访问要求的既定程序,并实施批准访问、定期审查访问和在不再需要时撤销访问的程序。

  • 确保未经授权的便携式媒体设备和其他硬件无法与控制系统连接。

实施例证:组织有程序移除、禁用或以其他方式保护物理端口,以防止连接未经授权的设备。

  • 建立环境控制,以保持温度和其他可能损坏敏感设备的物理因素。

实施例证:组织维持一个故障转移系统,在电力中断的情况下为服务器和其他敏感设备的环境控制提供备用电源

4.4 强化目标

05 系统和数据的完整性、可用性和保密性

5.1 目标

保护控制系统及其数据不被损坏、破坏或丢失。

5.2 原因

保护控制系统及其数据不被损坏、破坏或丢失,对其运行至关重要。

5.3 基线目标

  • 将对控制系统的逻辑访问限制在有必要了解的人身上。

实施例证:组织对所有账户实施基于角色的许可计划,并确保账户经理被告知用户状态和需求的变化。

  • 通过改变默认密码、使用强大的密码政策和可行的访问日志,防止未经授权使用控制系统。

实施例证:组织为控制系统建立专属的用户账户和密码政策,要求多因素认证、账户锁定程序,以及控制系统环境中的信任存储。

  • 防止来自远程用户的未授权访问。

实施例证:组织有一个书面政策,禁止持续的远程访问,对网络的所有远程连接进行编目和监控,并调查和验证从控制系统环境到新的IP地址或域的每一次通信。

  • 确保运输中的数据得到保护,防止未经授权的访问或操纵。

实施例证:组织要求所有控制系统的数据传输使用传输层安全(TLS)进行端到端加密,以保护传输中的数据;无法利用加密的传统设备将被优先升级或更换。

  • 确保静态数据得到保护,防止未经授权的访问或操纵。

实施例证:组织要求所有存储敏感控制系统数据的硬盘采用加密和数据丢失预防解决方案,阻止或限制USB、移动设备和可移动存储驱动器的连接;无法利用加密的传统设备被优先升级或更换。

5.4 强化目标

  • 限制和控制IT系统和控制系统之间的数据流动。

实施例证:组织采用防火墙、访问控制列表和单向通信来控制进出控制系统的数据流动。

  • 只允许对控制系统进行经批准和测试的更改。

实施例证:组织监控控制系统中未经授权的硬件、软件和配置更改,并有一个既定的程序来记录和报告未经授权的更改给控制系统管理人员。

  • 在控制系统设计中建立加密灵活性,以便快速实施新的加密基元和算法。

实施例证:在新获得的系统中设置初始配置参数,以便将来能够改变加密算法。

  • 为远程访问实施多因素认证。

实施例证:组织要求对控制系统的远程访问进行多因素认证。

06 持续监测和漏洞管理

6.1 目标

实施并执行对控制系统网络安全威胁和漏洞的持续监控。

6.2 原因

持续监控确保对安全控制、流程和程序进行定期审查和测试,以确认既定的安全控制仍然存在,并且系统、网络、环境或新出现的威胁的变化不会削弱这些控制、流程或程序的有效性。

6.3 基线目标

  • 组织采用一个合理的时间表来完成持续监控、漏洞评估和渗透测试。

实施例证:组织定期对内部和外部系统进行演习、渗透测试和脆弱性评估。

  • 在可行的情况下,实施反病毒和反恶意软件的文件完整性检查和反钓鱼技术。

实施例证:组织使用反病毒和反恶意软件来扫描恶意软件,保护系统免受潜在威胁。

  • 通过安装补丁纠正已知问题来管理网络安全漏洞。优先为用于人机界面、数据库服务器和工程工作站的个人计算机打补丁。

实施例证:组织有一个政策来跟踪影响其系统的控制系统共同漏洞列举(CVEs),并在可用时应用补丁,在供应商没有提供补丁时进行风险分析和风险缓解。

  • 监测控制系统中的恶意活动。

实施例证:组织监测并报告可疑行为,采用入侵检测系统,对正常操作以外的控制系统网络流量发出警报。

6.4 强化目标

  • 使保护系统与已知的威胁和漏洞相一致。

实施例证:组织实施所有适用于公共和行业威胁和漏洞咨询和警报的保护措施。

  • 采用应用程序控制。

实施例证:组织采用应用程序控制,防止未经授权的软件应用程序。

07 培训和意识

7.1 目标

培训人员掌握必要的基本知识和技能,以识别控制系统的网络安全风险,并了解他们在既定网络安全政策、程序和实践中的作用和责任。

7.2 原因

全面的网络安全意识培训是帮助保护和减轻网络攻击以及防止可能的漏洞的最佳方法之一。

7.3 基线目标

  • 确保控制系统操作员和管理员了解网络安全概念、术语、活动以及与实施网络安全建议做法有关的威胁环境。

实施例证:组织要求定期(如半年或一年一次)向所有员工提供网络安全意识培训,并对控制系统操作员和管理员进行基于角色的培训。

  • 确保控制系统操作人员和网络安全人员认识到潜在破坏的指标,以及他们应该采取哪些步骤来确保网络安全调查。

实施例证:组织有专门的资源和资金供控制系统操作人员参加技术培训和会议,了解潜在入侵的最新指标和最佳应对方法。

7.4 强化目标

  • 确保控制系统操作员和网络安全人员接受中级和高级的控制系统安全培训。

实施例证:组织提供基于网络或教师指导的控制系统安全培训,以确保全面了解他们的角色和责任。

实施例证:演习与网络安全生命周期的五个步骤一致。操作人员进行演习,主动出击,而不是被动应对事件。

实施例证:操作人员参加控制系统和操作技术工作组并参加会议。

08 事件响应和恢复

8.1 目标

实施并测试控制系统的响应和恢复计划,明确规定角色和责任。

8.2 原因

专门的资源和既定的计划限制了网络攻击的影响,并尽量减少重建关键系统和功能的时间。

8.3 基线目标

  • 制定控制系统网络安全响应和恢复计划。

实施例证:组织保持数字和物理的控制系统网络安全响应计划,其中包括特定场景的附件,概述参与应急响应活动的所有员工的角色和责任;计划定期更新。

  • 确保根据控制系统功能对运营的影响,确定其优先次序并进行重组。

实施例证。组织定期(每年或每两年一次)进行业务影响评估,以确定资源的优先次序,并确定哪些系统必须首先得到恢复。

  • 建立应急计划,在控制系统中断的情况下保持关键服务的提供。

实施例证:组织维护并定期(每年、每两年或在事件发生后)更新控制系统中断情况下的应急计划。

  • 在事件发生时实施网络安全响应计划。

实施例证:组织有一个既定的程序,在发现事件后的12小时内,向内部指挥系统和有关当局,包括当地执法部门、网络安全基础设施安全局、联邦调查局和其他联邦机构报告事件。

实施例证:组织检测到该事件,根据需要升级该事件,宣布为网络安全事件,并实施响应活动。

  • 确保有能力在事件发生后重建系统,并尽量减少对服务的干扰。

实施例证:组织政策要求定期(如每季度)维护、更新和测试所有关键系统文件的物理备份,使用加密技术保护离线副本。

8.4 强化目标

  • 开发支持结构,以实现更有效的事件响应。

实施例证:组织参与与部门合作伙伴和政府机构(如信息共享和分析中心(ISACs)、信息共享和分析组织(ISAOs)、能源部网络安全风险信息共享计划)的信任关系网络,以获得及时的网络安全威胁信息。

09 供应链风险管理

9.1 目标

确定与控制系统硬件、软件和管理服务相关的风险,并制定政策和程序,通过符合最佳做法(如NIST SP 800-161)的有效供应链风险管理,防止系统被利用。

9.2 原因

商业上可获得的技术解决方案(硬件、软件和服务)带来了巨大的好处,包括较低的成本、快速的创新、产品功能的多样性以及从竞争厂商中选择的能力。然而,获得这些解决方案会给组织带来额外的风险,因为对解决方案的开发、集成和部署的可见性降低。这一目标是确保从可信的来源采购物品和服务,并通过使用可信的分销途径进行追踪。

9.3 基线目标

  • 确保控制系统的采购过程在采购决策和合同安排中包括物理和网络安全。

实施例证:组织的政策规定,所有外包控制系统服务的合同协议都有程序,并确保适当的事件处理和报告、互连安全以及远程访问规范和程序。

  • 确保对供应链中的一级供应商进行适当的审查,包括供应商对其自身人员的审查、供应商对服务提供商的审查以及供应商对产品和软件的审查。

实施例证:组织有一个尽职调查计划,对一级供应商进行一致的、强有力的审查。

9.4 强化目标

  • 确保对供应链中的次级供应商进行适当的审查,包括对其自身人员的供应商审查,对服务供应商的审查,以及对产品和软件的供应商审查。

实施例证:组织有一个尽职调查计划,对次级供应商进行一致、有力的审查。

  • 确保供应商提供的软件和控制系统补丁在部署前在安全的环境中得到审查和测试。

实施例证:组织维护和使用一个“沙盒”,并测试和审查供应商提供的软件是否有恶意代码或缺陷。

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。