文/王智民

01新版发布背景

(一)发布主体及历史

2016年,工信部官网发出“工业和信息化部关于印发《工业控制系统信息安全防护指南》的通知”:

2024年,国务院官网发出“工业和信息化部关于印发工业控制系统网络安全防护指南的通知”:

有下面几个变化:

(1)2016年是工信部的官网发布通知,而2024年是国务院官网发布通知,将政府部门相关的“政策”都统一在国务院的官网发布,不在政府部门各自官网上发布。但发文主体都是工信部。

(2)2016年是工信部信软司发文,2024年是工信部网安局发文。

(3)2016年通知内容介绍了本指南出台的背景:一是贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发(2016)28号),二是工信部职责是指导和管理工业企业工控安全防护和保障。但2024年通知内容没有介绍本指南出台的背景。但在工信部官网有关于这次修订版本出台的背景和意义的说明。

(4)2016版指南的名称为《工业控制系统信息安全防护指南》,2024版指南名称为《工业控制系统网络安全防护指南》,将“信息安全”改为“网络安全”,范畴扩大,也就是2024版包括工业控制系统网络空间安全防护,即包括工控信息安全、功能安全、物理安全。

(二)文件性质

本指南从“法律-法规-规章-政策-标准-规范”体系来讲,属于工信部发布的“政策”文件。既然是政策文件,因此带有一定的目的性、时效性、适用范围,可以影响法规和规章的制定。

在法律体系中,"法律"、"法规"、"规章"、"政策"、"标准"和"规范"是不同层级和类型的文件,它们各自具有不同的法律效力和适用范围。以下是这些术语的简要说明:

1. 法律 (Law):

○ 法律是由国家立法机关依照法定程序制定的规范性文件,具有最高的法律效力。

○ 法律通常规定国家的基本制度和公民的基本权利与义务。

2. 法规 (Regulation/Statutory Instrument):

○ 法规是依据法律的授权,由国家行政机关制定的规范性文件,其效力低于法律。

○ 法规可以进一步明确法律规定的具体内容和实施细则。

3. 规章 (Rule/Administrative Rule):

○ 规章是由政府的各个部门或地方政府根据法规和法律的授权制定的规范性文件,效力低于法规。

○ 规章通常用于指导具体的行政管理工作。

4. 政策 (Policy):

○ 政策是政府或组织为实现一定目标而制定的行动指南或决策依据,不一定具有法律约束力。

○ 政策可以指导法规和规章的制定,反映政府的意图和优先事项。

5. 标准 (Standard):

○ 标准是为了确保产品、服务或系统的质量、安全和效率而制定的规范或准则。

○ 标准可以是强制性的,也可以是推荐性的,通常由专业标准组织或技术委员会制定。

6. 规范 (Specification/Norm):

○ 规范是详细的技术要求或指导原则,用于指导设计、施工、安装和操作等活动。

○ 规范可以是国家标准、行业标准或企业标准的一部分。

这些术语之间的关系通常是层次性的,从法律到规范,效力逐渐降低,适用范围可能逐渐缩小。法律是最顶层的规范,为其他所有规范提供基础和指导。政策可以影响法规和规章的制定,而标准和规范则是在特定领域内确保质量和一致性的具体技术要求。在实际应用中,这些文件相互关联,共同构成一个国家或地区的法律和规章体系。

(三)《防护指南》出台的背景和意义

在工信部官网有关于这次修订版本出台的背景和意义的说明:

【工业控制系统作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。2016年,工业和信息化部出台《工业控制制系统信息安全防护指南》,对有效指导工业企业开展工控安全防护工作发挥了积极作用。2017年以来,我国相继颁布了《网络安全法》《数据安全法》《密码法》等法律法规及行业应用方面前的部门规章,现有政策文件未能充分衔接相关法律法规要求。与此比同时,工业企业数字化转型步伐加快,工业控制系统开放互联趋势明显,工业企业面临的网络安全风险与日俱增,工业企业加强网络安全防护需求迫切。

为做好《防护指南》编制工作,工业和信息化部结合新形势势新要求,系统全面调研,深入分析新时期工控安全风险和企业安全防护需求,广泛征集地方工信主管部门、行业协会、部属单位立、工控厂商、工业企业、安全企业、专家学者等各方意见。《防护指南》将有效满足当前和未来一个时期工控系统安全防护需求,指导工业企业切实提升工业控制系统网络安全基线防护水平, 推动企业数字化转型发展。】

从上面的说明可知:

(1)工业控制系统网络安全防护3点意义

● 事关企业运营和生产安全:保障工业领域线上网络空间的网络设施、数据等安全可靠;保障线下物理空间的工业生产、运行、管理等实体稳定运行;保障工业研发、生产、销售、服务等各价值环节的网络服务不中断、系统连续可靠运行、数据不遭破坏和泄漏。

● 事关产业链供应链安全稳定:工业企业及工业自动化、数字化等相关主体安全;行业发展、技术创新、企业转型等产业链安全。

事关经济社会运行和国家安全:工业控制系统是新型工业化的战略性基础设施,一旦遭受攻击破坏,影响国家数字化战略推进和国计民生。

(2)新版指南发布的3大缘由:2016版未能充分衔接相关法律法规要求、工业企业面临的网络安全风险与日俱增、工业企业加强网络安全防护需求迫切。

(3)为什么工业企业面临的网络安全风险与日俱增:工业企业数字化转型步伐加快->工业控制系统开放互联趋势明显。

(4)新版指南要达到的3个目标

● 有效满足当前和未来一个时期工控系统安全防护需求

工控系统安全防护需求(痛点+效果):安全管理、技术防护、安全运营、履行安全防护法律义务和承担责任。

● 指导工业企业切实提升工业控制系统网络安全基线防护水平

○ 指导:本指南是指导性政策文件,也就是本指南适用的使用和运营工业控制系统的企业需要参照本指南进行工控安全防护建设。

○ 工控网络安全基线防护水平:等保要求就是基线防护水平的底线,本指南是指导工业企业提升基线防护水平。

● 推动企业数字化转型发展:企业数字化转型成功的必要条件之一就是网络安全防护。

(5)新形势

● “信息技术迅猛发展新形势”(二十届三中全会决议)。

● 制造业数字化、网络化、智能化进程不断加快(2023年工信部统计数据):

○ 数字化程度不断提升:规上工业企业关键工序数控化率和数字化研发设计工具普及率达58.6%、77.0% 新业态新模式创新:制造业企业平台化设计、智能化生产、网络化协同的比例达到9.5%、6.6%、39.5%;

○ 基础设施发展迅速:重点工业互联网平台连接设备超8100万台(【套),标识解析体系服务企业超25万家。

(6)新要求:推进新型工业化,是以习近平同志为核心的党中央从党和国家事业发展全局出发作出的重大战略部署,具有重大而深远的意义。党的二十大报告提出,到2035年基本实现新型工业化,强调坚持把发展经济的着力点放在实体经济上,推进新型工业化,加快建设制造强国、网络强国。

2015年,“中国梦具体到工业战线就是加快推进新型工业化”;

2017年,“我国是个大国,必须发展实体经济,不断推进工业现代化、提高制造业水平”;

2020年,“5G与工业互联网的融合将加速数字中国、智慧社会建设,加速中国新型工业化进程”;

2023年,“要继续把发展经济的着力点放在实体经济上,扎实推进新型工业化”;

2024年,“加快推进新型工业化,培育壮大先进制造业集群,推动制造业高端化、智能化、绿色化发展”(二十届三中全会决议)。

新型工业化实现途径:数字化、智能化、高端化、绿色化、现代化。

新型工业化的6点内涵:

● 以人为本:新型工业化强调人的全面发展,注重提高劳动者的技能和素质,促进人的全面发展和社会的全面进步。

● 质量优先:注重产品和服务的质量,追求经济效益和社会效益的统一,强调通过提高产品和服务的质量来提升竞争力。

● 自主创新:强调科技创新在工业化进程中的核心地位,鼓励企业加大研发投入,提升自主创新能力,形成具有自主知识产权的核心技术和产品。

● 绿色低碳:倡导绿色发展理念,推动产业结构和能源结构的优化,减少资源消耗和环境污染,实现可持续发展。

● 数实融合:即数字经济与实体经济的深度融合,利用数字技术改造传统产业,推动产业升级和转型。

● 开放循环:强调在开放条件下进行产业循环,优化资源配置,提高资源利用效率,形成内外循环相互促进的新发展格局。

推进新型工业化的重大意义:

● 工业化是现代化的前提和基础,推进新型工业化是实现中国式现代化的必然要求。

● 工业是一国综合国力的根基,推进新型工业化是全面建成社会主义现代化强国的根本支撑。

● 实体经济是我国发展的本钱,推进新型工业化是构建大国竞争优势的迫切需要。

● 工业是经济增长的主引擎, 是技术创新的主战场,推进新型工业化是实现经济高质量发展的战略选择。

(7)新时期:数字化时代、“改革开放和社会主义现代化建设新时期”(二十届三中全会决议)。

中国网络空间安全时代的变迁大致经历了以下几个阶段:

1)计算机安全时代:1994年颁布的《中华人民共和国计算机信息系统安全保护条例》,开启了中国网络空间安全的序幕,主要以密码学和计算机病毒的防治为核心关注。

2)信息安全时代:2003年发布的《国家信息化领导小组关于加强信息安全保障工作的意见》首次将“信息安全”上升为国家战略,明确了以信息安全等级保护和分级保护为发展核心的路径。

3)网络安全时代:2014年中央网络安全和信息化领导小组第一次会议上,确立了“没有网络安全就没有国家安全”的顶层战略,信息安全进化为网络安全,在等级保护制度的基础上,更多的在网络安全攻防领域加码。

4)数字安全时代:2023年,《数字中国整体建设布局规划》横空出世,其中再一次确立了“筑牢数字安全屏障“的战略意志,标志着我国网络安全正式升级为数字安全,安全产业的核心使命转变为在保证基础安全性和攻防能力的前提下,以促进数字经济发展为新的历史重任。

(8)新时期 工控安全风险

数实融合下,数实空间出现如下变化:

● 网络变化:从局部的异构刚性向全局统一灵活性变化。新型工厂内网呈现以太网化、IP化、无线化趋势;新型工厂外网呈现XIoT融合化趋势。

设备变化:设备从机械化向高度智能化发展。设备技术架构以嵌入式操作系统+微处理器+应用软件为主。

● 控制变化:工业控制环境从IT与OT隔离向IT与OT融合发展;从局部、封闭、分层向全局、开放、扁平发展;控制监测上移、实时控制下移。

● 业务变化:业务体系结构从单体架构向微服务架构发展。比如设计协同、供应链协同、制造协同、服务协同、用户全流程参与、产品服务外延等。

因此,不同类型的工业企业面临的工控安全风险:

● 工业联网企业:网络攻击直逼生产一线。通过破解工业协议、定位控制网络、精准攻破生产系统等,可我获工控指令远程操控或破坏生产设备,中断生产任务、致瘫制造产线。

● 工业互联网平台企业:网络攻击影响工业租户应用运行和数据泄露。影响平台操作系统、数据库等底层基础设施运行,可中断设备监控、远程控制等各类工业应用,瘫痪工业租户业务。

● 工业互联网标识解析企业:网络攻击威胁标识服务和供应链安全。影响上下游多家企业标识解析服务,可造成设备监控实效产品溯源失真、 物流配送素乱等后果。

(9)新时期工控安全面临的挑战

挑战1:新型工业化发展要求数实融合,数实边界不再清晰,网络攻击范围加剧从IT向OT渗透。

数字时代,企业设备联网、内部网络协同大规模增长,转型发展需求促进IT和OT互联互通,打破了之前相对清晰的网络边界、相对封闭可信的环境,一旦发生安全事件极有可能干扰生生产运行,比如工厂停工、系统运行中断、生产线停摆、设备宕机、工艺故障、人身安全等。

挑战2:攻击对象更加广泛、攻击目标更有针对性、攻击手段更加精准、逐利性更加明显、骨牌效益更突出。

● 攻击对象更加广泛:制造业体系内外互联互通加大, 风险暴露面不断外延。工业装备、软件等制造要素、制造系统、数字平台成为攻击对象和入口。

● 攻击目标更有针对性:利益驱动下,网络攻击更加聚焦高价值目标,攻击的精准度也大幅提升。工业领域因其基础性、战略性地位,成为黑客组织、有组织针对性网络攻击的重点目标。比如以政治目的瞄准工业重要设施实施APT攻击、以经济目的瞄准大型工业企业实施勒索攻击。

● 攻击手段更加精准:新技术加速攻击手段升级,衍生工业勒索攻击、针对工控系统的恶意软件、工业软硬件攻击等新型手段。如针对工控网络开发的横向网络渗透、基于工业协议定制的变种病毒,可在工控网络快速传播扩散。

● 逐利性更加明显:针对制造业关键业务系统、企业重要机密数据的攻击不断增多,趋利性明显 。如近年来针对电子、装备等企业的勒索攻击加剧,索要数千万甚至上亿美元高额赎金。比如2023年8月,美国船舶制造巨头宾士域集团遭勒索攻击损失超6.1亿元。

● 骨牌效益更突出:智能化生产、网络化协同等新模式下,网络攻击可能导致单个企业停工停产,甚至可影响到供应链各环节、产业链上下游企业。

挑战3:网络攻击手段工具化、融合化、对抗性特征显著。

● 链式攻击更为频繁:攻击者将漏洞作为突破口,逐步提升权限,实施链式网络攻击。例如攻击者可以利用SQL注入漏洞获取访问数据库的权限,然后进一步扫描网络、 获取系统账户和密码,并利用这些信息进一步渗透系统。或组合利用其他漏洞,扩大攻击范围。

● 躲避防御的手段越来越多:攻击者转向以多种手段规避网络安全防线,达到网络攻击入侵目的。“上游“开源组件的漏洞风险极易隐藏在通用性工业软件中向“下游“制造企业扩散。2020年,黑客入侵SolarWinds公司旗下 Orion平台,成功攻击美国国防工业等行业并牵连全球范围企业。

● 采用新技术实施融合性攻击:采用大模型等AI技术发起攻击或躲避防御、利用区块链为有害信息提供庇护等。黑客利用AI技术进行网络攻击,催生AI投毒攻击、Al生成恶意软件、AI生成恶意软件等多种新型攻击方式。新技术推动新型Web攻击手段动态升级,衍生模拟合法操作,定向攻击,多源低频侵扰等高级攻击手段,攻击工具化高效率规模化,传统We防护措施难以应付。

02从新老版本内容变化看工控安全防护发展变化

(一)总体对比

(1)章节结构变化

名称

主要内容

指导性要求

发布时间

《工业控制系统信息安全防护指南》

主要围绕管理和技术两个方面

11项共计30条

2016年10月

《工业控制系统网络安全防护指南》

主要围绕安全管理、技术防护、安全运营、责任落实四个方面

15项总计33条

2024年1月

(2)工控安全防护理论框架更加清晰:四个聚焦

一是聚焦安全风险管控,突出管理重点对象,提升工业企业工控安全管理能力。围绕工业控制系统资产、配置、供应链、人员四大管理重点提出安全要求,在理清系统资产底数、保障系统基本运行安全的基础上,避免网络安全风险引入工业控制系统,减少网络安全事件的可能性。

二是聚焦安全薄弱关键环节,强化技术应对策略,提升工业企业工控安全防护能力。在保障工业主机和终端设备自身安全的基础上,进一步防范来自内外部网络的入侵攻击,强调上云上平台新型场景下的设备与业务安全,同时规范软件和服务安全使用,落实数据安全分类分级保护。

三是聚焦易发网络安全风险,增强威胁发现及处置能力,提升工业企业安全运营能力。围绕网络安全事件的事前、事中、事后环节,提出部署网络安全监测手段、建设网络安全运营中心和做好应急处置等安全措施,并要求做好定期网络安全风险评估和防护能力评估,开展日常系统漏洞排查并实施安全加固。

四是聚焦工业企业资源保障,坚持统筹发展和安全,督促企业落实网络安全责任。围绕建立工控安全管理制度,明确工控安全保护责任,确保安全技术措施与工业控制系统建设同步推进等方面提出安全要求。

注:在新版中多次提到“重要”工业控制系统/设备/系统等,在GB/Z 41288-2022 《信息安全技术 重要工业控制系统网络安全防护导则》对“重要工业控制系统”如下定义:

重要工业控制系统 importantindustrial control system

按照GB/T 22239 描述的第三级和第四级的工业控制系统。即等保三级和四级的工业控制系统。

(二)安全管理防护要求对比分析

(1)资产管理

新版

旧版

1.全面梳理可编程逻辑控制器(PLC)、分布式控制系统 (DCS)、数据采集与监视控制系统(SCADA)等典型工业控制系统以及相关设备、软件、数据等资产,明确资产管理责任部门和责任人,建立工业控制系统资产清单,  并根据资产状态变化及时更新。定期开展工业控制系统资产核查,内容包括但不限于系统配置、权限分配、日志审计、病毒查杀、数据备份、设备运行状态等情况。

八、资产安全

(一)建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置规则。

2.根据承载业务的重要性、规模,以及发生网络安全事件的危害程度等因素,建立重要工业控制系统清单并定期更新,实施重点保护。重要工业控制系统相关的关键工业主机、网络设备、控制设备等,应实施冗余备份。

八、资产安全

(二)对关键主机设备、网络设备、控制组件等进行冗余配置。

1.1 资产管理要求:

1)新版中明确了三类主要的工业控制系统:PLC、DCS、SCADA,更具体一些;

2)新版中明确“资产”指的是工业控制系统相关的“设备、软件、数据”,特别是“数据”明确为工业资产;

3)新版中明确要求资产清单不是静态的,而是要保持动态更新;

4)工业控制系统资产核查不仅仅核查资产清单的资产实体的“运行状态”,也要核查系统配置、权限分配、日志审计、病毒查杀、数据备份等内容,也就是还要核查资产的“安全状态”;

5)要求定期开展资产核查,新版指南中未明确“定期时长”,应该是企业根据等保、关保、数保要求进行;

6)新版中只是要求针对“重要”工业控制系统相关的关键工业主机、网络设备、控制设备(旧版提法是控制组件)实施冗余备份;

7)新版中要求建立“重要”工业控制系统清单,实施重点保护。注意一是这里不是说建立重要工业控制系统“资产”清单,而是工业控制系统清单,也就是重要是针对“工业控制系统”,而不是资产;二是针对重要工业控制系统实施重点保护,有一个国标要求:GB/Z 41288-2022 《信息安全技术 重要工业控制系统网络安全防护导则 》;三是如何定义重要工业控制系统:根据工业控制系统承载业务的重要性、规模、以及发生网络安全事件的危害程度等因素。

1.2 资产管理措施:

1)全面梳理工控系统相关资产,建立静态和动态资产清单;

2)明确资产管理责任部门和责任人;

3)定期开展工控系统资产的运行状态和安全状态核查;

4)建立重要工业控制系统清单,实施重点保护;

5)针对重要工业控制系统相关的关键工业主机、网络设备、控制设备等实施冗余备份。

1.3 资产管理工具/产品/服务:

工业资产与风险管理系统、工业漏洞扫描系统、工业安全检查工具箱、工业安全服务等。

(2)配置管理

新版

旧版

3.强化账户及口令管理,避免使用默认口令或弱口令,定期更新口令。遵循最小授权原则,合理设置账户权限,禁用不必要的系统默认账户和管理员账户,  及时清理过期账户。

五、身份认证

(二)合理分类设置账户权限,以最小特权原则分配账户权限。

(三)强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认口令或弱口令,定期更新口令。

4.建立工业控制系统安全配置清单、安全防护设备策略配置清单。定期开展配置清单审计,及时根据安全防护需求变化调整配置,重大配置变更实施前进行严格安全测试,测试通过后方可实施变更。

二、配置和补丁管理

(一)做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。

(二)对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。

2.1 配置管理要求:

1)新版中增加“禁用不必要的系统默认账户和管理员账户, 及时清理过期账户”。工业场景下大量使用默认账户。过期账户包括离职人员账户、账户使用期限过期,特别是离职人员账户及时清理非常重要。

2)新版中增加“及时根据安全防护需求变化调整配置”。调整配置分为人工调整和基于技术的自动化、智能化调整,比如根据零信任技术动态调整配置。

3)新旧版本中都要求“避免使用默认口令或弱口令,定期更新口令”,这里要求是“避免”,而不是“禁止”。在工业场景下,可能在特殊场景下不得不用默认口令或弱口令,所以不能绝对化。

4)工业控制系统安全配置清单体现为什么样的?比如配置文件的清单?同理,安全防护设备策略配置清单。

5)当发生重大配置变更时,应在离线环境中对配置变更进行安全性验证后方可实施。

2.2 配置管理措施:

1)强化账号及口令管理;

2)建立并审计工控系统及安全防护设备的配置清单;

3)配置变更控制。

2.3 配置管理工具/产品/服务:

配置基线管理系统、配置安全与冲突管理系统、安全基线核查服务。

(3)供应链安全

新版

旧版

5.与工业控制系统厂商、云服务商、安全服务商等供应商签订的协议中,应明确各方需履行的安全相关责任和义务,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。

十、供应链管理

(一)在选择工业控制系统规划、设计、建设、运维或评估等服务商时,  优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。

(二)以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。

6.工业控制系统使用纳入网络关键设备目录的PLC等设备时,应使用具备资格的机构安全认证合格或者安全检测符合要求的设备。

3.1供应链安全要求:

1)新版删除了供应商选择的要求,旧版中要求“优先考虑具备工控安全防护经验的企事业单位”。

2)新版中细化了供应商类型:工业控制系统厂商、云服务商、安全服务商。

3)新版中明确了与供应商签订的协议中,各方需履行的6个方面的安全相关责任和义务,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。

4)新型工业化时代下,增加了使用“纳入网络关键设备目录的PLC等设备”时的要求:安全认证合规或安全检测符合要求。注意,从2023.7.1后,只是要求安全检测符合要求即可,无需进行安全认证。

5)这里未对使用“纳入网络安全专用产品目录的安全防护等设备”时进行要求。

3.2供应链安全管理措施:

1)与供应商签订协议,明确责任和义务;

2)使用安全认证合规或安全测试符合要求的网络关键设备。

3.3供应链安全管理工具/产品/服务:

工业漏洞系统、工业供应链安全监测系统、工业安全咨询服务。

(4)宣传教育

新版

旧版

7.定期开展工业控制系统网络安全相关法律法规、政策标准宣传教育,增强企业人员网络安全意识。针对工业控制系统和网络相关运维人员,定期开展工控安全专业技能培训及考核。

4.1 宣传教育要求与措施:

1)“定期”开展工业控制系统网络安全相关法律法规、政策标准宣传教育,增强企业人员网络安全意识。

2)“定期”开展工控安全专业技能培训及考核。

(三)技术防护要求

(1)主机和终端安全

新版

旧版

8.在工程师站、操作员站、工业数据库服务器等主机上部署防病毒软件,定期进行病毒库升级和查杀,防止勒索软件等恶意软件传播。对具备存储功能的介质,在其接入工业主机前,应进行病毒、木马等恶意代码查杀。

一、安全软件选择与管理

(一)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。

(二)建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。

9.主机可采用应用软件白名单技术,只允许部署运行经企业授权和安全评估的应用软件,并有计划的实施操作系统、数据库等系统软件和重要应用软件升级。

一、安全软件选择与管理

(一)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。

10.拆除或封闭工业主机上不必要的通用串行总线 (USB)、光驱、无线等外部设备接口,关闭不必要的网络服务端口。若确需使用外部设备,应进行严格访问控制。

四、物理和环境安全防护

(二)拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用,通过主机外设安全管理技术手段实施严格访问控制。

11.对工业主机、工业智能终端设备(控制设备、智能仪表等)、网络设备(工业交换机、工业路由器等)的访问实施用户身份鉴别,关键主机或终端的访问采用双因子认证。

四、物理和环境安全防护

(一)对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。

五、身份认证

(一)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。

3.1.1 主机和终端安全防护技术要求:

1)新版中删除了防病毒软件或应用程序白名单软件部署前要在离线环境下充分验证测试的要求。增加采用白名单技术的防护软件时要求“有计划”的实施操作系统、数据库等系统软件和重要应用软件升级。这里“有计划”包括在离线环境下进行软件升级并重新提取白名单进行充分测试验证、在线环境下进行软件升级并重新提取白名单、开启白名单防护审计模式和阻断模式的计划。

2)主机(host)与终端(endpoint)有什么区别?主机通常指的是连接到网络的任何计算设备,能够运行软件应用程序和存储数据。终端通常指的是网络中的最终用户设备,是用户与之交互以访问网络资源的设备。

3)防病毒软件,包括采用软件白名单技术的防护类软件,因为采用白名单技术的软件就是为了防范病毒感染。

4)新版中增加“定期进行病毒库升级和查杀”。在工业场景下病毒库升级大都采用离线升级或者通过集中管理中心进行病毒库升级,但需要注意的是病毒库升级要非常谨慎,最好现在个别的工业主机上验证测试病毒库升级未引入新问题再大规模进行。

5)新版中增加“防止勒索软件等恶意软件传播”。旧版发布时勒索病毒还不是很猖獗,但当前勒索成为工业场景下的典型恶意软件。注意,这里提法是“防止传播”,并没有要求“防止感染”,这与当前的安全技术能力有关。

6)新版中增加“关闭不必要的网络服务端口”。

7)新版中删除了物理安全防护措施的要求。

8)新版中要求“关键主机或终端的访问采用双因子认证”,旧版中要求是多因素认证。似乎要求有所降低,但实际上新版要求更符合工业现场实际情况。

9)新版中细化了主机和终端类型:工业主机、工业智能终端设备(控制设备、智能仪表等)、网络设备(工业交换机、工业路由器等)。

3.1.2 主机和终端安全防护技术措施:

1)安装运行防病毒软件,包括采用白名单技术的软件;

2)外设接入及网络服务端口实施严格控制;

3)访问工业主机和终端实施身份认证。

3.1.3 主机和终端安全技术防护工具/产品/服务:

工业主机卫士、工业EDR、安全U盘、双因子认证工具(数字证书、Ukey、动态令牌、生物识别)。

(2)架构与边界安全

新版

旧版

12.根据承载业务特点、业务规模、影响工业生产的重要程度等因素,对工业以太网、工业无线网络等组成的工业控制网络实施分区分域管理,部署工业防火墙、网闸等设备实现域间横向隔离。当工业控制网络与企业管理网或互联网连通时,实施网间纵向防护,并对网间行为开展安全审计。设备接入工业控制网络时应进行身份认证。

三、边界安全防护

(一)分离工业控制系统的开发、  测试和生产环境。

(二)通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。

(三)通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。

五、身份认证

(一)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。

七、安全监测和应急预案演练

(二)在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。

13.应用第五代移动通信技术(5G)、无线局域网技术 (Wi-Fi)等无线通信技术组网时,制定严格的网络访问控制策略,对无线接入设备采用身份认证机制,对无线访问接入点定期审计,关闭无线接入公开信息(SSID)广播, 避免设备违规接入。

14.严格远程访问控制,禁止工业控制系统面向互联网开通不必要的超文本传输协议(HTTP)、文件传输协议 (FTP)、Internet远程登录协议(Telnet)、远程桌面协议(RDP)等高风险通用网络服务,对必要开通的网络服务采取安全接入代理等技术进行用户身份认证和应用鉴权。在远程维护时,使用互联网安全协议(IPsec)、安全套接字协议(SSL)等协议构建安全网络通道(如虚拟专用网络(VPN)),并严格限制访问范围和授权时间,开展日志留存和审计。

六、远程访问安全

(一)原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、 Telnet等高风险通用网络服务。

(二)确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。

(三)确需远程维护的,采用虚拟专用网络(VPN)等远程接入方式进行。

(四)保留工业控制系统的相关访问日志,并对操作过程进行安全审计。

15.在工业控制系统中使用加密协议和算法时应符合相关法律法规要求,鼓励优先采用商用密码,实现加密网络通信、设备身份认证和数据安全传输。

3.2.1 架构与边界安全技术防护要求:

1)分区分域管理

“分区”概念最早来源于存储磁盘上创建不同的分区,用于数据隔离,在网络安全领域,指将网络按照一定的安全策略分成多个分区,用于网络隔离与访问控制;

“分域”概念最早来源于微软AD服务,域是一组由域控制器管理的计算机和其他资源,它们共享一个公共的数据库,用于存储账户信息和安全策略。分域可以帮助大型组织简化管理,通过将用户和资源分组到更小的、更易于管理的单元。在网络安全领域,指将网络按照承载业务特点、业务规模、对工业生产的重要性划分层多个“域”,比如内网域、DMZ域、外网域等。

简单说,分区主要用于网络访问控制;分域主要方便业务聚类管理。

2)域间横向隔离、网间纵向防护、网间行为审计

这里有点类似电力监控系统防护规定里面的16字方针:安全分区、网络专用、横向隔离、纵向认证。

网间纵向防护:指工业控制网络与企业管理网或互联网之间,从普度模型上可见这两张网是分层的。

3)设备接入工业控制网络时应进行身份认证

工业控制网络接入认证有很多技术,传统IT网络接入认证技术和措施在OT网络往往水土不服。

在工业现场,如下图所示,违规接入工控网络常常发生在下面四种场景:

(1)在工控网络内部违规将计算机或设备接入到工控网络;

(2)在互联网借助远程桌面、VPN、远控软件违规接入到工控网络;

(3)在办公IT网络违规接入工控网络;

(4)通过现场总线网络或以太网络违规接入工控网络。

因此,工控网络网络接入控制需求就是防范上述四种场景的违规接入。

网络准入控制技术主要有:端口镜像SPAN(Switched Port Analyzer)、DHCP、ARP欺骗、多厂商虚拟网关MVG(Multi-vendor virtual getaway)、802.1x、IP/MAC绑定、策略路由PBR(Policy based routing)等。每种技术的适用场景、控制范围、网络前提条件各有不同。

准入技术

网络环境要求

准入控制方式

技术优势

局限性

端口镜像SPAN

三层交换机支持端口镜像

网络准入控制系统发送TCP reset报文阻断非法终端访问网络资源

旁路部署,不改变原有网络结构

1)网络连接级准入控制,控制力度较弱

2)只能针对TCP流量,无法对UDP通信阻断

DHCP

需接管原有DHCP服务器

非法终端接入网络时分配的IP地址为只能与网络准入控制系统通信的隔离网IP地址

无需配置接入交换机

1)只适用于通过DHCP动态分配IP地址的场景

2)终端私设静态IP地址时无法管控

3)需替换原有DHCP服务器

ARP欺骗

二层网络

网络准入控制系统发送ARP单播报文阻断非法终端与其他终端的通信,再发送广播报文通知网内终端更新ARP列表

无需配置接入交换机

1)不能跨三层阻断

2)需要每个VLAN占用一个管理IP地址

3)如果网内有防ARP欺骗系统,则准入控制失效

4)需要不断进行ARP广播,对网络有一定的干扰

多厂商虚拟网关MVG

接入交换机支持VLAN功能

网络准入控制系统配置交换机将非法终端访问牵引到只能与网络准入控制系统通信的隔离VLAN

VLAN级准入控制,控制颗粒度较小

不能跨三层阻断

接入交换机要能够管理配置

802.1x

接入交换机需支持802.1x

非法接入终端在认证阶段,只能发送EAP报文,无法发送数据报文

1)端口级控制

2)可跨三层阻断

1)配置复杂,需人工配置每个接入交换机端口

2)NAT、HUB环境支持较差,重定向依赖扩展协议

3)准入控制依赖人工配置交换机

IP/MAC绑定

交换机支持IP/MAC绑定功能

接入终端的IP和MAC对应关系不在IP/MAC绑定白名单内则阻断通信

网络配置简单

1)二层交换机大都不支持IP/MAC绑定功能,导致二层接入的终端无法准入控制

2)IP/MAC绑定白名单更新可能不及时,影响合法终端的接入

3)跨三层阻断需要获取接入终端MAC比较困难,需要持续维护终端MAC表

策略路由PBR

三层交换机支持策略路由

需满足准入条件才能够访问网络资源

对所有流量都可以进行管控

非旁路部署,改变网络结构,存在单点故障

4)严格远程访问控制,本质上是收敛攻击面

根据国标[2],将工厂内部网络抽象成如下结构,工厂内网络是在工厂内部用于生产要素以及IT系统之间互联的网络。主要包括:工厂IT网络、工厂OT网络、IT网络与OT网络之间的网关、智能机器和在制品的网络连接、泛在无线连接、基于SDN的IT/OT组网方案。

控制从IT网络接入工控网络主要是上图所示的网关位置进行。主要有:基于物理层访问控制、基于网络层访问控制、基于应用层访问控制、基于网络区域访问控制。

● 禁止工业控制系统面向互联网开通不必要的超文本传输协议(HTTP)、文件传输协议 (FTP)、Internet远程登录协议(Telnet)、远程桌面协议(RDP)等高风险通用网络服务;

● 关闭无线接入点(无线路由器或无线AP)上的SSID(Service Set Identifier,服务集标识)广播是一种常见的网络安全措施,目的是降低未授权用户发现和连接无线网络的机会,因为用户需要知道确切的SSID才能连接;

● 对必要开通的网络服务采取安全接入代理等技术进行用户身份认证和应用鉴权;

SANS ICS 401 对远程访问OT内网对外开放的服务进行了设计:远程访问ICS应尽可能通过DMZ进行:VPN连接到ICS DMZ,然后通过跳转主机(或跳转服务器)使用强化远程桌面(RD)进行第二次连接。如下图所示。

● 在远程维护时,使用互联网安全协议(IPsec)、安全套接字协议(SSL)等协议构建安全网络通道(如虚拟专用网络(VPN)),并严格限制访问范围和授权时间,开展日志留存和审计。

5)在工业控制系统中使用加密协议和算法时应符合相关法律法规要求,鼓励优先采用商用密码

a。等保对工业控制系统使用加密的相关要求

通信传输 8.5.2.2

在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

8.5.3.2 拨号使用控制

b) 拨号服务器和客户端均应使用经安全加固的操作系统,并采取数教字证书认证、传输加密和访问控制等措施。

注:数字证书、数字签名、加密认证、传输加密

数字证书:是数字实体的身份证。包含证书持有者的公钥及其身份信息,由可信的第三方机构(证书颁发机构CA)签发。

数字签名:数字实体可以用数字证书来签名,即数字签名,发送方可以使用自己的私钥对数据进行签名,接收方使用发送方的公钥验证签名。

加密认证:指身份认证过程采用加密技术来保护认证秘钥的交换,增强身份认证的安全性。比如采用数字证书进行身份验证就是一种加密认证的方式,数据发送方使用接收方的公钥进行会话秘钥加密,只有持有对应私钥的接收方才能解密会话秘钥。

传输加密:指数据传输过程中采用加密技术保护数据的机密性,防止篡改或泄漏。比如采用数字证书进行身份认证后,在数据传输阶段,数据发送方使用接收方的公钥进行传输的数据的加密,只有持有对应私钥的接收方才能解密传输的数据。

8.5.3.3 无线使用控制

c)应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护;

b。关保对工业控制系统使用加密的相关要求

7.10 数据安全防护数据安全防护要求包括:

d)应严格控制重要数据的使用、加工、传输、提供和公开等关键环节古,并采取加密、脱敏、去标识化等技术手段保护敏感数据安全。

c。《商用密码管理条例》鼓励使用“商用密码”

第二条 在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理,适用本条例。

本条例所称商用密码,是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。

注:《密码法》对密码的分类:核心密码、普通密码和商用密码。国家秘密用核心密码和普通密码进行保护。非国家秘密用商用密码保护。

第三十五条 国家鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,鼓励使用经检测认证合格的商用密码。

注:商用密码检测认证是鼓励,不是强制要求。

涉及商用密码检测认证的国家标准:

● GB/T 37092-2018《信息技术 安全技术 密码模块的要求》

● GB/T 18336-2008《信息技术 安全技术 密码算法与参数》

此外,密码行业标准(GM/T)也规定了商用密码产品的技术要求和检测方法:

● GM/T 0005-2012《密码模块安全技术要求》

● GM/T 0008-2012《密码产品生产和保障能力建设规范》

6)为什么新版中未提出在重要工业控制设备前端部署深度包检测等防护设备以限制违法操作?

新版指南对工业控制系统防护的安全理念“以保障业务可用性为防护重心”,在重要工业控制设备前端部署防护类设备可能会对业务可用性造成影响。

但个人认为还是应该加强工业控制系统的异常网络或操作行为的监控。在新版“3.上云安全 16节”提到要“有效阻止非法操作、网络攻击等行为”。

3.2.2 架构与边界安全技术防护措施:

1)分区分域管理;

2)域间网络隔离、网间纵向防护;

3)网络接入身份认证与网络访问控制;

4)收敛网络攻击面;

5)加密认证与传输加密。

3.2.3 架构与边界安全技术防护类工具/产品/服务:

工业防火墙、下一代工业防火墙(工业应用防火墙)工业网闸、工业安全入侵检测、工业安全审计、工业安全运维、VPN网关、网络安全准入系统、网络行为分析系统。

3.3.3 上云安全工具/产品/服务:

a。云访问安全:安全访问服务边缘(SecureAccess Service Edge ,SASE)

Gartner在其发布的《网络安全的未来在云端》报告中指出,SASE不是单独的独立系统,而是包含一套技术,从SD-WAN和云访问安全代理(CASB)到安全的web网关(SWG)、零信任网络访问(ZTNA)、防火墙即服务(FWaaS)和远程浏览器隔离(RBI)。

b。云平台/云内安全:微隔离、SDP、SDN+、CSPM(云态势管理)

(4)应用安全

新版

旧版

18.访问制造执行系统(MES)、组态软件和工业数据库等应用服务时,应进行用户身份认证。访问关键应用服务时,采用双因子认证,并严格限制访问范围和授权时间。

五、身份认证

(一)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。

19.工业企业自主研发的工业控制系统相关软件,应通过企业自行或委托第三方机构开展的安全性测试,  测试合格后方可上线使用。

3.4.1应用安全要求:

1)访问工业应用或服务时应进行用户身份认证

注:工业场景下的常见应用/服务

如下图ISA 96模型图中列出了常见工业应用或服务,具体可参考《ISA 96模型》文章。

注:工业软件应用分类

由于工业门类复杂,脱胎于工业的工业软件种类繁多,分类方式多样化,目前国内外均没有公认的统一分类方式但是:市场上一般都基于产品生命周期的聚类分类法。

2)访问关键应用服务时,采用双因子认证,并严格限制访问范围和授权时间。

在旧版中要求采用“多因素认证”,新版中修改为“双因素认证”,这是考虑到工业场景下的实际情况。

什么叫“关键”应用服务?不同企业的管理要求不同,业务性质不同,对于“关键”的定义也不同。

3)新版增加自主研发的工业控制系统相关软件应进行安全性测试,测试合格后方可上线使用。

个人认为不仅是自主研发的,也应该包括采购第三方软件,都应该进行安全性测试。

什么叫“测试合格”?不同企业对软件上线前的安全性测试要求可能不同,

● ISO/IEC 29100:该标准提供了软件安全开发的指南,包括安全测试。

● NIST SP 800-53:提供了关于计算机安全控制的指南。

● SSDLC模型:如Microsoft的SDL(Security Development Lifecycle)、OWASP的ASVS(Application Security Verification Standard)

○ -Microsoft的SDL:一种综合性的软件开发方法论,专注于在软件开发的每个阶段中集成安全措施。要求进行第三方组件审查、发布前安全评估。

○ -OWASP的ASVS:供了一系列的安全控制措施,用于评估和增强Web应用程序的安全性。ASVS从两个维度评估安全性:配置和代码。ASVS定义了四个安全等级,从A(最低)到D(最高),每个等级都有一系列必须满足的安全要求。

4)新版中在要求访问应用的用户进行身份认证外,还要严格访问范围和授权时间。实际上要求“实施应用访问控制”。

应用访问控制包括:能够访问使用的应用类别、数量、功能、资源、数据等。

应用访问控制涉及到应用识别,当前大部分工业类安全产品对工业应用识别远远不够,比如工业防火墙更重视工控操作指令的识别与访问控制,而忽略工业应用软件的识别与访问控制。

3.4.2 应用安全防护措施:

1)访问用户身份认证与权限控制;

2)上线实施前安全性测试。

3.4.3 应用安全防护工具/产品/服务:

工业防火墙、工业运维审计、工业漏扫、代码审计(服务)、双因子认证措施(数字证书、Ukey、动态令牌、生物识别)。

(5)系统数据安全

新版

旧版

20.定期梳理工业控制系统运行产生的数据,结合业务实际,开展数据分类分级,识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、  公开等环节,使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。

九、数据安全

(一)对静态存储和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。

(二)定期备份关键业务数据。

(三)对测试数据进行保护。

五、身份认证

(四)加强对身份认证证书信息保护力度,禁止在不同系统和网络环境下共享。

21.法律、行政法规有境内存储要求的重要数据和核心数据,应在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。

3.5.1系统数据安全要求:

1)旧版中要求对“静态存储和动态传输过程中的重要工业数据”实施保护,新版中要求对“运行产生的数据”,范围要比旧版大得多,因为运行产生的数据不只是静态存储,动态传输,还有内存中的数据。

2)旧版中是“分级分类管理”,新版中是“分类分级管理”,在数据保护方法论上更合理一些,先分类,在分级保护。

3)GB/T 43697-2024 《数据安全技术 数据分类分级规则》对核心数据、重要数据、一般数据做了如下定义:

重要数据 keydata

特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

注:仅影响组织自身或公民个体的数据一般不作为重要数女据。

核心数据 core data

对领域、群体、区域具有较高覆盖度或达到较高精度、较大规观模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。

注:核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。

一般数据 general data

核心数据、重要数据之外的其他数据。

4)2022年12月发布的《工业和信息化领域数据安全管理办法(试行)》要求一般数据加强全生命周期安全管理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上实施更加严格保护。

a。要求将重要数据,核心数据形成目录。

"清单"(List)和"目录"(Catalog)有时候互用,但两者之间区别是清单内容更多是平行的,线性排列,而目录是一个更结构化的列表,通常包含有组织的分类和子分类。

b。要求对数据的全生命周期实施保护。

5)国家互联网信息办公室令 第11号 《数据出境安全评估办法》,自2022年9月1日起施行。

第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

3.5.2系统数据安全保护措施:

1)数据分类分级管理;

2)采用密码技术、访问控制、容灾备份等技术实施数据全生命周期保护;

3)数据出境安全评估。

3.5.3系统数据安全保护工具/产品/服务:

数据安全管控系统(平台+探针)、VPN网关、工业数据安全审计系统、工业数据库防火墙、工业数据库审计系统、容灾备份系统、数据安全治理服务。

(四)安全运营

(1)监测预警

新版

旧版

22.在工业控制网络部署监测审计相关设备或平台,在不影响系统稳定运行的前提下,及时发现和预警系统漏洞、恶意软件、网络攻击、网络侵入等安全风险。

七、安全监测和应急预案演练 (一)在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。

23.在工业控制网络与企业管理网或互联网的边界,可采用工业控制系统蜜罐等威胁诱捕技术,捕获网络攻击行为,提升主动防御能力。

4.1.1监测预警要求:

1)部署监测审计相关设备或平台。

"监测"(Monitoring)和"审计"(Auditing)的区别:

●目的:监测旨在实时或定期确保系统或流程的运行状态,而审计旨在验证合规性和记录的准确性。

●频率:监测可能是连续不断的,审计则是定期或按需进行的。

●方法:监测可能涉及实时数据收集和分析,审计则涉及对记录和证据的详细检查。

●反应:监测可能需要快速反应以解决即时问题,审计则可能导致长期的改进措施。

●范围:监测可能针对特定的性能指标或系统状态,审计可能覆盖更广泛的业务流程和实践。

●结果:监测结果用于日常操作和维护,审计结果用于评估、报告和改进合规性。

"监控"(Surveillance)和"监测"(Monitoring)的区别:

监控的目的在于收集信息和确保安全,监测的目的在于确保系统或流程的正常运行和性能。

"检测"(Detection)和"监测"(Monitoring)的区别:

检测的目的是识别特定的问题或确认风险的存在,而监测的目的是确保持续的运行状态和性能。

2)及时发现和预警系统漏洞、恶意软件、网络攻击、网络侵入等安全风险。

"预警"(Early Warning)和"预告"(Advance Notice 或 Forewarning)的区别:

●目的:预警的目的是预防和减少潜在的负面影响,而预告的目的是确保信息的及时知晓和准备。

●紧急性:预警通常涉及紧急情况,需要立即的行动或注意,预告则可能涉及非紧急的计划或安排。

●内容:预警专注于潜在的风险和威胁,预告则可以涵盖各种即将到来的事件或变化。

●反应:接收预警时,通常需要采取特定的预防措施或应急准备,而接收预告则可能只需要调整计划或日程。

●发布机构:预警可能由政府机构、专业监测机构或国际组织发布,预告则可能由个人、公司或组织发布。

"预警"(Early Warning)和"预测"(Prediction)的区别:

●目的:预警的目的是及时通知潜在的风险或问题,以便采取行动;预测的目的是提供对未来发展的理解,以支持决策。

●时效性:预警通常是即时或近实时的,强调快速反应;预测则可能是长期或短期的,不一定要求立即行动。

●依据:预警依据当前的监测数据和已知的风险指标;预测依据历史数据、趋势分析和可能的未来情景。

●准确性:预警可能不需要高度的准确性,关键是及时性;预测则力求尽可能准确,以提供可靠的信息。

●应用:预警广泛应用于风险管理、灾害预防和紧急响应;预测应用于商业规划、科学研究和政策制定。

要发现和预警安全风险,必须进行下列活动:风险识别、风险分析和风险评价。风险识别包括资产识别、威胁识别、已有安全措施识别、脆弱性识别。

3)在OT与IT网络边界可部署蜜罐等诱捕技术,捕获网络攻击行为,提升主动防御能力。

a。诱捕是欺骗防御的一种技术。

下图是诱捕技术的逻辑结构图:

通常诱捕欺骗系统需要具备如下能力:

仿真能力:孪生诱捕网络支持全场景实体仿真能力,结合行业场景特性、业务动态行为特征,生成各行业场景仿真模板;同时,创新实现了分布式异构形态蜜网,实现硬件资源的最优化应用。

诱捕能力:孪生诱捕网络实现了基于业务系统特性与攻击面的动态自适应调度能力,创新实现了蜜网的有效性度量,并通过AI智能调度,使蜜网系统效能最优化。

检测分析能力:孪生诱捕网络基于ATT&CK模型,对攻击阶段及攻击技术进行识别,进行攻击链绘制,实现攻击过程的还原和多维度的攻击者画像展示。

溯源反制能力:孪生诱捕网络具有更高的仿真度,通过在孪生诱捕网络里的攻击路径上预设WEB反制、扫描反制、蜜标反制等反制手段,主动获取攻击者主机或者网络的信息,支持更准确的定位攻击者的身份,实现更精准的溯源。

响应能力:孪生诱捕网络支持标准格式威胁情报生产、威胁狩猎、威胁调查、正向攻击模型生产,支持联动网关设备、XDR、SOAR、态势感知等平台,实现自动化响应能力,快速对攻击进行响应,降低攻击对真实资产可能造成的影响。

集中管控能力:管理中心支持对孪生诱捕网络的网络结构、仿真对象、运行状态等进行可视化管理和实时监控;支持对攻击行为进行综合分析和可视化展示;支持采用标准协议与外部平台进行数据交互。

b。主动防御能力的实现技术

● 欺骗诱捕:以蜜罐或蜜网为基础的主动防御路线

● 数据+AI驱动:以大数据和人工智能为基础的主动防御路线

● 动态防御:以弹性网络为基础的主动防御路线,包括移动目标防御体系(MTD)、网络空间拟态防御理论、动态赋能网络空间防护体系等,核心技术有动态软件防御技术、动态网络防御技术、动态平台防御技术、动态数据防御技术。

● 信息共享:以威胁情报共享与应用为基础的主动防御路线

● 模拟演练:以攻防演练为基础的主动防御路线

c。什么是主动防御

在关保要求里面将“主动防御”活动进行了如下描述:

主动防御:以应对攻击行为的监测发现为基础,主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,提升对网络威胁与攻击行为的识别、分析和主动防御能力。

在关保要求里面对主动防御活动从收敛攻击面、攻击发现与阻断、攻防演练和威胁情报四个方面提出要求。

在某知名安全厂商的官网上对主动防御(Active Defense)进行了说明:

Active defense is the use of offensive tactics to outsmart or slow down a hacker and make cyberattacks more difficult to carry out. An active cyber defense approach helps organizations prevent attackers from advancing through their business networks. It also increases the likelihood that hackers will make a mistake and expose their presence or attack vector.

主动防御是使用攻击性策略来智胜或减慢黑客的速度,使网络攻击更加难以实施。主动网络防御方法有助于组织防止攻击者通过其业务网络前进。它还增加了黑客犯错并暴露其存在或攻击媒介的可能性。

DARPA(美国国防高级研究计划局)使用"Active Cyber Defense"(主动网络防御)术语,强调实时监控、自动化响应、攻击溯源、主动出击、风险评估、跨领域合作等方面。

4.1.2 监测预警措施:

1)部署监测审计设备或平台;

2)采用蜜罐等威胁诱捕技术。

4.1.3 监测预警工具/产品/服务:

工业网络安全监测审计系统、工业入侵检测系统、工业蜜罐系统、工业扫描系统

工业态势感知系统、工业安全运营平台等。

(2)运营中心

新版

旧版

24.有条件的企业可建立工业控制系统网络安全运营中心, 利用安全编排自动化与响应(SOAR)等技术,实现安全设备的统一管理和策略配置,全面监测网络安全威胁,提升风险隐患集中排查和事件快速响应能力。

4.2.1 运营中心要求:

1)新版增加了“有条件的企业可建立工业控制系统网络安全运营中心”。一是有条件的企业,没有条件的企业可以不用考虑;二是“可”建立,属于推荐性要求。

2)安全运营中心

a。安全运营中心要采用的新技术:SOAR。

b。安全运营中心的目标:

● 全面监测网络安全威胁;

● 提升风险隐患集中排查能力;

● 提升事件快速响应能力。

c。SoC与SIEM

● 安全运营中心SoC与网络运营中心NoC是两个对等概念。

● SOC是一个面向企业全网信息处理设施的集中化的安全管理平台。SOC集预警、保护、监控、 响应和分析等重要功能于一身, 并集成标准化的管理流程,可以实现持续的安全运营。

● 安全信息和事件管理平台(SIEM)称其为SOC的 “大脑”。SIEM作为安全事件和告警、威胁情报的数据汇总平台,承担着记录、分析及响应的重要角色。

● SoC的三大组件:人员、流程和技术。

d。SoC能力评价指标体系:SoC基础设施能力、安全能力、安全运营效益。

美国三大安全运营中心:The National Security OperationsCenter、iJC3综合联合网络安全协调中心(能源部)、NASA-SOC美国宇航局安全运营中心。

e。微软官网上整理的SoC应具有如下功能:

资产和工具清单

为了消除覆盖范围中的盲点和缺口,SOC 需要了解它保护的资产,并深入了解它用于保护组织的工具。这意味着考虑到本地和多个云中的所有数据库、云服务、标识、应用程序和终结点。该团队还跟踪组织中使用的所有安全解决方案,例如防火墙、反恶意软件、反勒索软件和监视软件。

减少攻击面

SOC 的主要责任是减少组织的攻击面。为此,SOC 会维护包含所有工作负载和资产的清单、将安全修补程序应用于软件和防火墙、识别错误配置,并新资产联机时添加这些资产。团队成员还负责研究新出现的威胁并分析风险,这有助于他们领先于最新威胁。

持续监视

SOC 团队使用安全分析解决方案全天候监视整个环境 - 本地、云、应用程序、网络和设备,来发现异常或可疑行为;其中这些解决方案包括安全信息企业管理 (SIEM) 解决方案,安全编排、自动化和响应 (SOAR) 解决方案和扩展检测和响应 (XDR) 解决方案。这些工具会收集遥测数据、聚合数据,并在某些情况下自动进行事件响应。

威胁情报

SOC 还使用数据分析、外部源和产品威胁报告来深入了解攻击者行为、基础结构和动机。这种情报提供了有关 Internet 上正在发生的情况的全局视图,并帮助团队了解威胁组是如何运作的。借助此信息,SOC 可快速发现威胁,并加强组织对新出现的风险的应对。

威胁检测

SOC 团队使用 SIEM 和 XDR 解决方案生成的数据来识别威胁。这首先会从实际问题中筛选掉误报。然后,他们按严重性和对业务的潜在影响确定威胁的优先级。

日志管理

SOC 还负责收集、维护和分析每个终结点、操作系统、虚拟机、本地应用和网络事件生成的日志数据。分析有助于建立正常活动的基线,并揭示可能指示恶意软件信息恶意软件、勒索软件信息勒索软件或病毒的异常。

事件响应

识别到网络攻击后,SOC 会快速采取措施,在尽可能减少业务中断的情况下限制对组织的损害。措施可能包括关闭或隔离受影响的终结点信息终结点和应用程序、暂停被入侵的帐户、移除遭到感染的文件,以及运行防病毒和反恶意软件。

发现和修正

在攻击之后,SOC 负责将公司恢复到其原始状态。团队将擦除并重新连接磁盘、标识、电子邮件和终结点,重启应用程序,直接转换到备份系统,并恢复数据。

根本原因调查

为了防止类似的攻击再次发生,SOC 进行了彻底的调查,来确定漏洞、效果不佳的安全流程和其他导致事件的教训。

安全性优化

SOC 使用事件期间收集的任何情报来解决漏洞、改进流程和策略,并更新安全路线图。

合规性管理

SOC 职责的一个关键部分是确保应用程序、安全工具和流程符合隐私法规,例如全球数据保护条例 (GDPR)、《加利福尼亚州消费者隐私法案》(CCPA) 和《健康保险可移植性和责任法案》(HIPPA)。Teams 定期审核系统来确保合规性,并确保在数据泄露后通知监管机构、执法人员和客户。

f。运维(Operation and Maintenance,简称O&M)和运营(Operation)的区别:

运维确保系统的稳定运行、预防故障、处理突发问题、更新和升级系统等。运营的目标是提高效率、降低成本、增加客户满意度和企业收益。

g。安全运营平台与安全态势感知平台的区别与联系:

安全运营平台包括三大功能:安全运维,安全态势感知,安全运营分析与决策。

3)安全态势感知平台可参考GB/T 42453-2023 《信息安全技术 网络安全态势感知通用技术要求》。

4.2.2 安全运营中心涉及工具/产品/服务:

工业安全态势感知系统(平台+探针)、工业安全运营系统(平台+探针)、工业安全运营服务。

(3)应急处置

新版

旧版

25.制定工控安全事件应急预案,明确报告和处置流程,根据实际情况适时进行评估和修订,定期开展应急演练。当发生工控安全事件时,应立即启动应急预案,采取紧急处置措施,及时稳妥处理安全事件。

七、安全监测和应急预案演练

(三)制定工控安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,  应立即采取紧急防护措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证。

(四)定期对工业控制系统的应急响应预案进行演练,必要时对应急响应预案进行修订。

26.重要设备、平台、系统访问和操作日志留存时间不少于六个月,并定期对日志备份,便于开展事后溯源取证。

27.对重要系统应用和数据定期开展备份及恢复测试,确保紧急时工业控制系统在可接受的时间范围内恢复正常运行。

4.3.1 应急处置要求:

1)制定工控安全事件应急预案,并定期演练。

● 工控安全事件应急响应能力评估可参考:GB/T 43269-2023 信息安全技术 网络安全应急能力评估准则。

● 工控安全事件应急预案的编制可以参考:GB/T 29639-2020 《生产经营单位生产安全事故应急预案编制导则》。

● 工控安全事件应急响应计划编制可参考:GB/T 24363-2009 《信息安全技术 信息安全应急响应计划规范》。

● 工控安全事件应急演练可参考:GB/T 38645-2020 《信息安全技术 网络安全事件应急演练指南》。

● 中网办发文〔2017〕4号 发布《国家网络安全事件应急预案》,主要依据:《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)等相关规定。

● 参考:英国政府网络安全部门近期发布了一份重量级新指南《GUIDANCE: Considerations for Cyber Incident ResponsePlanning within Industrial Control Systems/Operational TechnologBy》。旨在助力全球企业强化其运营技术(OT)和工业控制系统(ICS)硬件的安全防护。这份由可信互联网络-物理系统研究所(RITICS)精心编纂的指南,汇总了一系列建议与最佳实践,旨在帮助企业有效抵御针对嵌入式技术的潜在攻击。

● 关保要求里面对应急演练提出具体要求:

11.2 应急预案和演练

应急预案和演练要求包括:

a)应在国家网络安全事件应急预案的框架下,根据行业和地方的特殊要求,制定网络安全事件应急预案。

b)应在应急预案中明确,一旦信息系统中断、受到损害或者发生故障时,需要维护的关键业务功能,并明确遭受破坏时恢复关键业务和恢复全部业务的时间。应急预案不仅应包括本组织应急事件的处理,也应包括多个运营者间的应急事件的处理。

c)在制定应急预案时,应同所涉及的运营者内部相关计划(例如:业务持续性计划、灾难备份计划等)以及外部服务提供者的应急计划进行协调,以确保连续性性要求得以满足应在应急预案中包括非常规时期、遭受大规模攻击时等处置流程。

d)应对网络安全应急预案定期进行评估修订,并持续改进。

e)应每年至少组织开展1次本组织的应急演练。关键信息基础设施跨组织、跨地域运行的,应定期组织或参加跨组织、跨地域的应急演练。

2)要求“重要”设备等日志留存时间不少于六个月,“重要”系统应用和数据定期开展备份和恢复测试。

4.3.2 应急处置措施:

1)制定并定期演练安全事件应急预案;

2)日志留存与定期备份;

3)重要数据定期备份和恢复测试。

4.3.3 应急处置涉及工具/产品/服务:

工控网络安全靶场、工控网络安全测试床、工业日志审计系统、容灾备份系统、工业安全咨询服务。

(4)安全评估

新版

旧版

28.新建或升级工业控制系统上线前、工业控制网络与企业管理网或互联网连接前,应开展安全风险评估。

29.对于重要工业控制系统,企业应自行或委托第三方专业机构每年至少开展一次工控安全防护能力相关评估。

4.4.1 安全评估要求:

1)在上线之前、联网之前应开展安全风险评估。

安全风险评估方法可参考:GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》。

2)重要系统应每年至少开展一次工控安全防护能力评估。

工控安全防护能力评估可参考:GB/T 41400-2022 《信息安全技术 工业控制系统信息安全防护能力成熟度模型》

4.4.2 安全评估措施:

1)安全风险评估;

2)安全防护能力评估。

4.4.3 安全评估相关工具/产品/服务:

工控安全风险评估系统、工控安全工具箱、工业漏扫、工业安全风险评估服务。

(5)漏洞管理

新版

旧版

30.密切关注工业和信息化部网络安全威胁和漏洞信息共享平台等重大工控安全漏洞及其补丁程序发布,及时采取升级措施,短期内无法升级的,应开展针对性安全加固。

二、配置和补丁管理

(三)密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。

31.对重要工业控制系统定期开展漏洞排查,发现重大安全漏洞时,对补丁程序或加固措施测试验证后,方可实施补丁升级或加固。

4.5.1 漏洞管理要求:

1)密切关注网络安全威胁和漏洞信息共享平台。

国内漏洞信息共享平台主要有:

● CNNVD:中国国家信息安全漏洞库,英文名称“China National Vulnerability Database of Information Security”,简称“CNNVD”,隶属于中国信息安全测评中心。

● CNVD:国家信息安全漏洞共享平台,英文名称“China National Vulnerability Database” ,隶属于国家计算机网络应急技术处理协调中心。

● CNCVE:中国(CN)的CVE,是CNCERT/CC(国家计算机网络应急处理协调中心)为漏洞进行编号的一个自己的标准,即国家计算机网络应急处理协调中心(CNCERT/CC)领导下,国内正在组建自己的CVE组织。

● NVDB:工业漏洞共享平台的官方名称是“工业和信息化部网络安全威胁和漏洞信息共享平台”,通常简称为“网络安全威胁和漏洞信息共享平台”。这个平台是由工业和信息化部网络安全管理局组织建设的,它包括多个专业库,如通用网络产品安全漏洞专业库、工业控制产品安全漏洞专业库等,用于收集、共享和发布网络安全漏洞信息。

网络安全漏洞收集共享平台的管理,可参考:工信部网安〔2022〕146号 《网络产品安全漏洞收集平台备案管理办法》(根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《网络产品安全漏洞管理规定》制定)。

2)对于无法及时升级的,应开展针对性安全加固。

安全加固分为主机安全加固、网络安全加固、系统应用安全加固等。

加固与补丁升级的区别与联系:

● 加固是指通过配置和优化系统设置,减少系统的攻击面,提高系统的安全性。包括禁用不必要的服务和端口、加强账户安全、使用强密码、限制用户权限、配置防火墙规则等。补丁升级的目的是修复软件中的安全漏洞,防止攻击者利用这些漏洞进行攻击。

● 加固侧重于通过配置和优化提高系统的整体安全性,而补丁升级侧重于修复特定已知的安全漏洞。

● 加固是一次性的优化过程,但需要定期审查和调整;补丁升级是一个持续的过程,需要不断跟踪和应用新补丁。

● 加固是一种主动的安全措施,旨在预防未知和潜在的威胁;补丁升级是一种反应性的措施,针对已知漏洞进行修复。

3)对重要工控系统进行漏洞发现与排查,要实施升级,则必须对补丁程序或加固措施测试验证后,方可实施。

4.5.2 漏洞管理措施:

1)密切关注漏洞共享管理平台;

2)漏洞补丁测试验证与升级;

3)安全加固。

4.5.3 漏洞管理相关工具/产品/服务:

工业漏洞扫描系统、工业资产与风险管理系统、工业安全加固服务、工业脆弱性扫描服务。

(五)责任落实

新版

旧版

32.工业企业承担本企业工控安全主体责任,建立工控安全管理制度,明确责任人和责任部门,按照 “谁运营谁负责、谁主管谁负责”的原则落实工控安全保护责任。

十一、落实责任

通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施。

33.强化企业资源保障力度,确保安全防护措施与工业控制系统同步规划、同步建设、同步使用。

5.1.1 责任落实要求:

1)工控安全保护责任遵循的基本原则:“谁运营谁负责,谁主管谁负责”。

“谁主管谁负责,谁运营谁负责”的原则最早出自哪里?根据网上资料,“谁主管谁负责”原则最早是中共中央1979年8月在批转中央宣传部、教育部、文化部、公安部、国家劳动总局、全国总工会、共青团中央、全国妇联等8个单位《关于提请全党重视解决青少年违法犯罪问题的报告》。“谁运营谁负责”出自《中华人民共和国安全生产法》、《网络安全法》。

2)强化企业资源保障力度,确保安全防护措施与工业控制系统三同步。

所谓的“三同步”指的是网络安全技术措施的同步规划,同步建设,同步使用。同理,我们也可以将网络安全工作要求三同步:同步规划,同步建设,同步运营。

“三同步”原则,从《中华人民共和国安全生产法》第三十一条“生产经营单位新建、改建、扩建工程项目(以下统称建设项目)的安全设施,必须与主体工程同时设计、同时施工、同时投入生产和使用”,似乎是一个出处。

5.1.2 责任落实措施:

1)建立工控安全管理制度;

2)安全防护措施与工控系统同步规划、同步建设、同步使用。

5.1.3 责任落实涉及相关工具/产品/服务:

工控安全咨询服务。

03新版与关保要求对比

如上图所示,新版指南与关保要求在文档章节结构有如下关系:

(1)资产管理对应分析识别、技术防护对应安全防护。

(2)将关保的“检测评估”、“监测预警”、“主动防御”、“事件处置”的相关章节内容整合到“三、安全运营”。

(3)将关保相关活动的“制度”内容整合到“四、责任落实”,使得工控安全资源保障体系的建设更加清晰和具体。

(4)将散落在关保各个活动里面安全教育培训相关内容整合到“一、资产管理”,虽然从逻辑上有些勉强,但使得工控安全教育培训要求更加明确和具体。

(5)将供应链安全从关保的“安全防护”放入“一、资产管理”,体现了供应链安全更多要用管理来保障的理念。

(6)新版指南强调了“上云安全”和“漏洞管理”,体现了工业场景下两个突出的安全问题。

04新版与等保工控扩展要求对比

如上图所示,新版指南与等保通用及工控扩展要求在文档章节结构有如下关系:

(1)等保工控扩展要求在通用要求的基础上,主要强化了“网络架构”、“通信传输”、“访问控制”、“拨号使用控制”、“无线使用控制”、“控制设备安全”等,相对新版指南来说,工控安全防护的适应性和特殊性考量不够。

(2)新版指南中很多要求里面都特别对“重要”工业控制系统有针对性的要求,对应等保定级为三和四的工业控制系统。

05新版与电力监控系统网络安全防护规定对比

如上图所示

(1)电力监控系统网络安全防护规定主要从安全分区、网络隔离、认证授权、供应链安全、应急处置恢复等环节进行了强化规定。

(2)电力监控系统网络安全防护是基于等保、关保的基础上做的进一步的补充规定,特别是对之前等保,关保没有涉及到的“信创”、“态势感知”进行了明确的补充规定。新版指南同样也将这些考虑进入。

06新版与NIST 800-82 V3对比

(一)对比分析

(1)新版指南参考国内外工控安全相关理念框架,如等保扩展要求、关保要求,结合工控的特殊性和实际情况而制定。NIST 800-82则将RMF、CSF、Defense-in-Depth等安全框架应用到OT系统,并结合OT的特殊性提供针对性的建议。

(2)新版指南只是提供一个结果性的要求,而NIST 800-82带有很多的分析和实践过程,使得知其然知其所以然,具有较强的可操作性。

(3)在具体的安全措施方面,两者没有太多的差别。

(二)NIST 800-82 V3

(1)主要观点与发现

1.1 为什么OT系统需要特别的安全防护方案

● 最初,OT与传统信息技术(IT)系统几乎没有什么相似之处,因为OT系统是隔离的,运行专有控制协议,并使用专门的硬件和软件。随着OT采用信息技术解决方案来促进企业业务系统的连接和远程访问能力,并使用行业标准计算机、操作系统和网络协议进行设计和实施,它们开始类似于信息技术系统。这种集成支持新的信息技术能力,但与先前的系统相比,它为OT提供的与外部世界的隔离要少得多,从而产生了保护OT系统的更大需求。

● 无线网络的日益普及使OT实施面临更大的风险,因为对手在物理上相对接近,但不能直接物理访问设备。

● 虽然安全解决方案旨在解决典型信息技术系统中的这些问题,但在将这些相同的解决方案引入OT环境时必须采取特别预防措施。在某些情况下,需要针对OT环境定制新的安全解决方案。

1.2 OT系统面临的安全风险

● 阻塞或延迟通过OT网络的信息流,这可能会中断OT操作。

● 未经授权更改指令、命令或警报阈值,可能会损坏、禁用或关闭设备,造成环境影响和/或危及人类生命。

● 向系统操作员发送不准确的信息,以掩盖未经授权的更改或导致操作员发起不适当的行动,这可能会产生各种负面影响。

● 修改的OT软件或配置设置,或感染恶意软件的OT软件,可能会产生各种负面影响。

● 干扰设备保护系统的运行,这可能危及昂贵和难以替换的设备。

● 干扰安全系统(safety systems)的运行,这可能危及人类生命。

1.3 OT系统的主要安全需求

● 限制对OT网络、网络活动和系统的逻辑访问。

○ 使用单向网关,利用带有防火墙的非军事区(DMZ)网络架构来防止流量直接在公司和OT网络之间传递,

○ 并为公司和OT网络的用户提供单独的身份验证机制和凭证。

○ OT系统还应使用具有多层的网络拓扑,最关键的通信发生在最安全可靠的层。

● 限制对OT网络和设备的物理访问。未经授权对组件的物理访问可能会严重破坏OT的功能。应使用物理访问控制的组合,如锁、读卡器和/或警卫。

● 保护单个OT组件免遭攻击。

○ 在现场条件下测试安全补丁后,尽可能迅速地部署安全补丁;

○ 禁用所有未使用的端口和服务,并确保它们保持禁用状态;

○ 将OT用户权限限制为每个用户角色所需的权限;

○ 跟踪和监控审计跟踪;

○ 并在技术上可行的情况下使用杀毒软件和文件完整性检查软件等安全控制来预防、阻止、检测和减轻恶意软件。

○ OT资产的密钥,如PLC和安全系统(safety systems),应始终处于“运行”位置,除非它们被积极编程。

● 限制对数据的未经授权的修改。这包括传输中(至少跨网络边界)和静态的数据。

● 检测安全events和安全incidents。检测尚未升级为事件的安全事件可以帮助防御者在攻击者达到目标之前打破攻击链。这包括检测失败的OT组件、不可用的服务和资源耗尽,这些对提供OT系统的正常和安全运行很重要。

● 在不利条件下保持功能。

○ 设计OT系统,使每个关键组件都有一个冗余的对应方。此外,如果一个组件发生故障,它应该以不会在OT或其他网络上产生不必要流量的方式发生故障,也不会在其他地方导致其他问题,如级联事件。

○ OT系统还应该允许优雅的降级,例如从完全自动化的“正常操作”转变为操作员更多参与和更少自动化的“紧急操作”,再到没有自动化的“手动操作”。

● 事故发生后恢复系统。事故是不可避免的,事故响应计划是必不可少的。一个好的安全计划的一个主要特征是事故发生后系统恢复的速度。

1.4 针对OT系统的纵深防御策略

● 制定专门适用于OT系统的安全政策、程序、培训和教育材料。

● 充分考虑国家及威胁发展趋势。

● 解决OT系统整个生命周期的安全性问题,包括架构设计、采购、安装、维护和退役。

● 为具有多层的OT系统实施网络拓扑,最关键的通信发生在最安全可靠的层。

● 提供公司和OT网络之间的逻辑分离(例如,网络之间的状态检查防火墙、单向网关)。

● 采用DMZ网络架构(例如,防止公司和OT网络之间的切流量)。

● 确保关键组件是冗余的并且位于冗余网络上。

● 基于优雅降级(容错)原则设计关键系统以防止灾难性级联事件。

● 在通过测试确保不会影响OT操作后,禁用OT设备上未使用的端口和服务。

● 限制对OT网络和设备的物理访问。

● 将OT用户权限限制为执行每个用户功能所需的权限(例如,建立基于角色的权限改造,根据最小权限原则配置每个角色)

● 为OT网络和公司网络的用户使用单独的身份验证机制和凭据(即,OT网络帐户不使用公司网络用户帐户)。

● 使用现代技术,例如智能卡进行用户身份验证。

● 在技术可行的情况下,实施入侵检测软件、杀毒软件和文件完整性检查软件等安全控制,以防止、阻止、检测和减轻恶意软件在OT系统中的引入、暴露和传播。

● 在确定适当的情况下,将加密和/或加密哈希等安全技术应用于OT数据存储和通信。

● 如果可能,在测试系统上的现场条件下测试所有补丁后,在安装到OT系统之前快速部署安全补丁。

● 跟踪和监控OT系统关键领域的审计跟踪。

● 在可行的情况下采用可靠和安全的网络协议和服务。

(2)OT系统的逻辑结构

(3)OT系统的特殊性

● 控制实时性要求Control Timing Requirements。系统过程具有广泛的时间相关要求,包括非常高的速度、一致性、规律性和同步性。人类可能无法可靠和一致地满足这些要求;自动化控制器可能是必要的。一些系统可能需要在尽可能靠近传感器和执行器的地方执行计算,以减少通信延迟并按时执行必要的控制操作。

● 运行在分布的地理位置Geographic Distribution。具有不同程度的分布,从小系统(例如,本地PLC控制的过程)到大型分布式系统(例如,输油管道、电网)。更大的分布通常意味着需要广域网(例如,租用线路、电路交换、分组交换)和移动通信。

● 分层控制Hierarchy。监督控制用于提供一个中心位置,可以聚合来自多个位置的数据,以支持基于系统当前状态的控制决策。通常使用分层/集中控制为操作员提供整个系统的全面视图。

● 控制复杂性Control Complexity。通常控制功能可以由简单的控制器和预设算法来执行。然而,更复杂的系统(例如空中交通管制)需要人类操作员确保所有控制动作都适合满足系统的更大目标。

● 高可用性Availability。系统的可用性(即可靠性)要求也是一个重要因素。具有很强的可用性/正常运行时间要求,可能需要更多的冗余或跨所有通信和控制的替代实现。

● 高故障影响Impact of Failures。控制功能的故障可能会对不同域造成截然不同的影响,可能导致重大影响的系统需要通过冗余控制继续运行或在降级状态下持续运行的能力。

● 功能安全保护Safety。系统必须能够检测到不安全状况并触发动作将不安全状况恢复到安全状态。在大多数安全关键操作中,对潜在危险过程的人工监督和控制是功能安全保护系统的重要组成部分。

下面总结了OT系统与IT系统的不同:

(4)SCADA系统结构

(5)DCS系统结构

(6)PLC系统结构

(7)建筑自动化系统结构

(8)物理访问控制系统

(9)功能安全保护系统Safety Systems

(10)工业物联网

(11)OT安全防护建设的效益

● 提高OT系统的安全性、可靠性和可用性。

● 提高OT系统效率。

● 减少社区关注。

● 减少法律责任。

● 满足监管要求。

● 缩小安全保险范围和降低安全保险费用。

(12)OT系统遭受攻击所造成的影响类型

● 物理影响。物理影响包括OT故障的一组直接后果。最重要的潜在影响包括人身伤害和生命损失。其他影响包括财产(包括数据)损失和对环境的潜在损害。

● 经济影响。经济影响是OT事件产生的物理影响的二阶效应。物理影响可能会对系统运行产生影响,进而对依赖OT系统的设施、组织或其他人造成更大的经济损失。关键基础设施(如电力、交通)的不可用可能产生的经济影响远远超出系统承受的直接和物理损害。这些影响可能会对地方、区域、国家或可能的全球经济产生负面影响。

● 社会影响。国家或社会公信度丧失的后果。

(13)OT安全事件的潜在后果

● 对国家安全的影响-为恐怖主义行为提供便利

● 一个或多个地点同时减产或损失

● 雇员受伤或死亡

● 社区人员受伤或死亡

● 设备损坏

● 释放、转移或盗窃危险材料

● 环境破坏

● 违反监管要求

● 产品污染

● 刑事或民事法律责任

● 专有或机密信息的丢失

● 品牌形象或客户信心的丧失

(14)OT安全建设步骤与方案

(15)OT安全风险管理

将NIST Risk Management Framework (RMF)应用到OT系统:

(16)OT纵深防御网络安全架构

●第1层-安全管理

●第2层-物理安全

●第3层-网络安全

●第4层-硬件安全

●第5层-软件安全

(17)进CSF应用到OT

将NIST Cybersecurity Framework (CSF)应用到OT系统:

识别(ID)-形成组织理解,以管理系统、人员、资产、数据和能力的网络安全风险。

保护(PR)-制定和实施适当的保障措施,以确保关键服务的交付。

检测(DE)-制定和实施适当的活动来识别网络安全事件的发生。

响应(RS)-制定和实施适当的活动,对检测到的网络安全事件采取行动。

恢复(RC)-制定和实施适当的活动,以维持弹性计划,并恢复因网络安全事件而受损的任何能力或服务。

(18)针对OT的威胁源

威胁源类型

描述

特征

ADVERSARIAL

-Bot-network operators

-Criminal groups

-Hackers/hacktivists

-Insiders

-Nations

-Terrorists

寻求利用组织对网络资源的依赖(例如,电子形式的信息、信息和通信技术以及这些技术提供的通信和信息处理能力)的个人、团体、组织或民族国家

能力、意图、目标

ACCIDENTAL

-User

-Privileged User/Administrator

个人在执行日常职责过程中采取的错误行动(例如,操作员不小心输入100而不是10作为设定点;工程师在正式生产环境中进行更改,同时认为他们处于开发环境中)

影响范围

STRUCTURAL

- Hardware failure

• Processors, input/output cards, communications cards Networking

• equipment Power supply

• Sensor, final element

• HMI, displays

- Software failure

• OS

• General-purpose applications • Mission-specific applications

- Environmental controls failure

• Temperature controll

• Humidity control

- Communications degradation

• Wireless

• Wired

由于老化、资源耗尽或其他超出预期运行参数的情况而导致的设备、环境控制或软件故障。包括组织控制范围内的关键基础设施的故障。

ENVIRONMENTAL

- Natural or human-caused disaster

• Fire

• Flood/tsunami

• Windstorm/tornado Hurricane

• Earthquake

• Bombing

• Animal interference

• Solar flares, meteorites

- Critical Infrastructure failure

• Telecommunications

• Electrical power

• Transportation

• Water/wastewater

本组织所依赖但本组织无法控制的重要基础设施的自然灾害和故障。

注:自然灾害和人为灾害也可以根据其严重程度和(或)持续时间来描述。然而,由于威胁来源和威胁事件被强烈识别,严重程度和持续时间可以包括在威胁事件的描述中(例如,5级飓风对关键任务系统的设施造成了巨大破坏,使这些系统在三周内无法使用)。

声明:本文来自六方云,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。