工业控制系统—安全介绍
一、关键基础设施
关键基础设施是指与人类生活息息相关,如果出现问题则会造成危害人类生产生活重大威胁的设施,例如水、电、燃气、化工、通信等方面相关设施。就实际的工业控制系统而言,决定系统如何架构和保护的一个主要因素是监管(regulation)。
| 美国关键基础设施名单 | 欧洲关键基础设施名单 |
|---|---|
| 化工部门(Chemical Sector) | 化学物质(Chemicals) |
| 商业设施部门(Commercial Facilities Sector) | 民用核通信(Civil Nuclear Communications) |
| 通信部门(Communications Sector) | 防御(Defense) |
| 关键制造业(Critical Manufacturing Sector) | 紧急服务(Emergency Services) |
| 水坝部门(Dams Sector) | 能源(Energy) |
| 国防工业基地部门(Defense Industrial Base Sector) | 金融(Finance) |
| 紧急服务部门(Emergency Services Sector) | 食物(Food) |
| 能源部门(Energy Sector) | 政府(Government) |
| 金融服务业(Financial Services Sector) | 健康(Health) |
| 粮食及农业部门(Food and Agriculture Sector) | 空间(Space) |
| 政府设施部门(Government Facilities Sector) | 运输(Transport) |
| 医疗保健和公共卫生部门(Healthcare and Public Health Sector) | 水(Water) |
| 信息技术部门(Information Technology Sector) | |
| 核反应堆、材料和废物部门(Nuclear Reactors, Materials, and Waste Sector) | |
| 特定行业机构(Sector-Specific Agencies) | |
| 运输系统部门(Transportation Systems Sector) | |
| 水和废水系统部门(Water and Wastewater Systems Sector) |
在工业控制系统中的网络安全需要面对老旧系统(如WindowsXP、UNIX等老旧系统)以及老旧交换机和防火墙。(PS:可能它的年龄比你还大)
在工业网络安全中需要IT(信息技术)人员和OT(运营技术)人员共同努力才能实现相应的安全需求,因为在工业控制系统中存在老旧系统以及它自身的缺点,如果IT人员突然在老旧系统上应用相关安全策略(例如升级补丁、安装防病毒软件等)则可能会导致相关系统无法正常使用,从而影响整体的ICS。同时需要OT人员进行评估,防止影响到生产。
IT人员主要围绕着”CIA“体系进行相关工作,保密性(Confidentiality)是最重要的;而对于OT人员来说,他们更注重“CIA”体系中的可用性(Availability)并重新定位生成了“CIA+S”体系,同时在“可用性”保障“安全性(Safety)”,这里的安全性是指保障人类生命安全。因此网络安全推广者需要从IT和OT角度进行思考,保障“健康和人身安全都是最重要的”。
二、ICS安全存在问题TOP
-
员工缺乏网络安全意识和培训
-
缺少适当的供应商管理和供应商访问权
-
在生产环境中使用有已知漏洞的标准IT产品和/或EOL。
-
在厂商、供应商、承包商和管理层中的网络安全文化有限
-
数据网络的分离程度不够
-
使用移动设备、Wi-Fi网络和RFID设备
-
境内和境外设施之间的数据网络
-
数据室、机柜等的物理安全不足。
-
脆弱的软件
-
设施中过时和老化的控制系统。
三、ICS模型
1、Purdue Model(普渡模型)
Purdue Model(普渡模型):是工业行业采用的基础概念模型。主要用于ICS系统网络分段,它将ICS架构分成四个主要区域和六个不同级别。它只是你当前工业系统架构的最低的安全标准。
Level 4/5:企业区域(Enterprise Zone)
这个区域是典型的IT网络,主要的业务功能都发生在这里,包括制造业务的协调、企业资源规划(ERP)系统在这里驱动工厂的生产计划、材料使用、运输和库存水平。此处的中断可能会导致长时间停机,并可能造成经济损失、关键基础架构故障或收入损失。
Level 3.5:非军事区(DMZ)
此区域包概括防火墙和代理等安全系统,用于防止IT和OT之间的横向移动威胁。
Level 3:制造运营系统区域(Manufacturing Operations Systems Zone)
此区域包含自定义OT设备,用于管理车间的生产工作流程:
-
制造运营管理系统:管理生产运营;
-
制造执行系统(MES):收集实时数据以帮助优化生产;
-
数据历史库:存储流程数据,并执行上下文分析;
与Level 4/5一样,这里中断可能造成经济损失、关键基础架构故障或收入损失。
Level 2:控制系统区域(Control Systems Zone)
这个区域包含监督、监测和控制物理过程的系统:
-
监控和数据采取(SCADA)软件:在本地或远程监督和控制物理过程,并汇总数据以发送给相关专拣;
-
分布式控制系统(DCS):执行SCADA功能,但通常部署在本地,用于监视特定区域的系统;
-
人机界面(HMI):连接到DCS和PLC,以实现基本控制和监视;
Level 1:智能设备区域(Intelligent Devices Zone)
此区域包含向Level 0的设备发送命令的仪器:
-
可编程逻辑控制器(PLC):监控工业过程中的自动或人工输入,并相应地进行输出调整;
-
远程终端单元(RTU):将Level 0中地硬件连接到Level 2中的系统;
Level 0:物理过程区域(Physical Process Zone)
该区域包含传感器、执行器和其他负责装配、润滑和其他物理过程的机械。许多现代化传感器通过蜂窝网络直接与云中的监控软件进行通信。
2、SANS ICS410
目前这个框架的资料较少,等我后期出去再找找。
PS:我是看了这一篇博客
四、ICS通用体系结构
ICS
-
生产网络(Production Network):在该区域包含RTU、PLC和工业无线网络,采集相关数据发送至监管网络。
-
监管网络(Supervision Network/SCADA):监管网络存在SCADA用于将数据分析并送气企业网络。
企业网络(Corporate Network):企业网络可以理解为普渡模型的Level 4/5。
五、合规\法律
1、ISA/IEC 62443
ISA/IEC 62443系列标准定义了实施和维护电子安全工业自动化和公职系统(IACS)的要求和流程。这些标准设置了安全性的最佳实践,并提供了评估安全性能级别的方法。
ISA/IEC 62443标准的基本原则是将责任工单的概念作为自动化网络安全的基本组成部分。关键利益相关者群体必须保持一致,以确保控制系统的机密性、完整性、可靠性和安全性。
2、NIST 800-82:运营技术(OT)安全指南
就如何提高运营技术(OT)系统的安全性提供了指导,同时满足其他独特的性能、可靠性和安全性要求。在《NIST 800-82 Ver 3》概述了OT和典型系统拓扑,识别了OT支持的组织任务和业务功能的典型威胁,描述了OT中的典型漏洞,并提供了建议的安全保障措施和对策来管理相关风险。
NIST 800-82指出:"应该限制对配置设置的访问,IT产品的安全设置应该设置为符合ICS操作要求的最严格的模式。"
NIST 8000-82指出:“修补漏洞也可能改变操作系统与控制应用程序的工作方式,结果是可能导致某些功能丧失。”
3、NERC CIP
NERC关键基础设施保护(NERC CIP)计划是一套标准,旨在规范、执行、监测和管理北美大宗电力系统(Bulk Electric System,BES)的安全。这些标准专门适用于BES的网络安全方面。CIP标准提供了一个网络安全框架,以识别和保护可能影响北美大宗电力系统有效和可靠供电的关键资产。
NERC CIP框架有11个强制执行的可靠标准组成,另有5个标准将在未来实施:
-
CIP-002-5.1a, 网络安全 - BES网络系统的分类
该标准的目的是 "识别和分类BES网络系统,以便根据这些BES网络系统的损失、损害或误用可能对BES的可靠运行产生的不利影响来应用网络安全要求。" 该标准重点关注BES网络系统的识别和分类,作为应用 "适当保护,防止可能导致BES误操作或不稳定 "的基础。了解一个组织拥有哪些系统对网络安全计划的成功至关重要。否则,你可能会发现自己受到意想不到的威胁。
-
CIP-003-8,网络安全-安全管理控制
目标是 "规定一致的和可持续的安全管理控制,建立责任和问责制,以保护BES网络系统,防止可能导致大宗电力系统(BES)误操作或不稳定的损害。" 其目的是建立安全控制的可视性,并采取步骤确保CIP-002中确定的组织资产免受网络安全威胁。
-
CIP-004-6,网络安全-人员和培训
其目的是 "通过要求适当水平的人员风险评估、培训和安全意识来支持保护BES网络系统,最大限度地减少个人访问BES网络系统的风险...。" 该标准旨在通过加强网络安全方面的人员培训计划来消除人为错误因素。
-
CIP-005-5,网络安全-电子安全参数
该标准规定了如何 "通过指定受控的电子安全边界来管理对BES网络系统的电子访问,以支持保护BES网络系统免受损害......" 本标准旨在建立访问管理机制,以验证和授权人员和设备对关键网络资产的访问。它设定并执行对网络资产的访问以及对这些资产的访问量。
-
CIP-006-6,网络安全--BES网络系统的物理安全
该标准的目标是 "通过规定物理安全计划来管理对大宗电力系统(BES)网络系统的物理访问,以支持保护BES网络系统免受损害"。BES网络资产的物理安全应与这些资产的网络安全相结合并保持一致,以满足电网的整体保护。
-
CIP-007-6,网络安全-系统安全管理
该标准旨在管理 "系统安全,通过规定特定的技术、操作和程序要求,支持保护BES网络系统免受损害"。CIP-007要求负责任的实体记录他们为保护BES网络资产的所有活动,包括上述框架所规定的行动。
-
CIP-008-5,网络安全 - 事件报告和响应计划
CIP的目的是 "通过规定事件响应要求,减轻BES可靠运行的风险"。该标准有助于确保负责任的实体有一个简明的、记录在案的事件响应计划,以便在网络事件发生时进行回溯。
-
CIP-009-6,网络安全--BES网络系统的恢复计划
该框架的目的是确保BES网络系统的业务连续性,"通过规定恢复计划要求,支持BES的持续稳定性、可操作性和可靠性"。该标准帮助负责任的实体实现对网络攻击的复原力,并确保在网络事件发生期间和之后,业务和运营不受干扰。
-
CIP-010-2,网络安全--配置变更管理和漏洞评估
CIP-010有助于保护BES网络系统不因 "未经授权的更改而受到损害,具体规定了配置更改管理和漏洞评估要求"。该标准与建立访问控制有关,并确保负责任的实体拥有检测和应对未经授权或无人监督的配置更改的程序。这些不需要的改变构成了重大的安全威胁,会破坏BES网络系统的可靠运行。
-
CIP-011-2,网络安全-安全保护
CIP-011旨在 "通过规定信息保护要求,防止对BES网络系统信息的未授权访问"。该标准通过定义控制、策略和终端解决方案,对BES负责实体的特定组件和资产的保护进行了更深入的挖掘。
-
CIP-014-2, 物理安全
物理安全应与网络安全相结合,以提供BES网络系统的整体保护。CIP-014的目标是 "识别和保护输电站和输电变电站及其相关的主要控制中心,如果由于物理攻击而导致无法运行或损坏,可能会导致互连内的不稳定、不受控制的分离或串联。" 由于电网是物理世界和数字世界之间的枢纽,提供强大的物理保护对于阻止入侵者和保持电网的正常运行是最重要的。
4、EPCIP
欧洲关键基础设施保护计划(EPCIP)总体目标在于提高欧盟关键基础设施的保护能力,这一目标将在保护关键基础设施的欧盟框架中得以实现。
EPICP应准遵循的原则主要有:协助原则;互补性原则、保密性原则、利益相关者合作原则、比例原则和逐个部门解决原则。
六、ICS整改的需要
在ICS系统中应用或提升安全性,都需要如下要素:
-
来自高管的认可;
-
让更多的人融入工作,在操作上OT和IT共同进行;
-
能够更好的理解问题,
如果想要理解相关问题的内容,可以参考ITIL相关内容。
七、安全工具
1、ICSSPLOIT
ICSSPLOIT是一个开源的Python工业控制系统开发框架,它基于路由器开发框架 - RouterSploit。它可以帮助你测试多个可编程逻辑控制器(PLC)和ICS软件的漏洞。它还采用了类似Metasploit的命令结构。
ICSSPLOIT支持以下ICS协议:
Modbus:默认在TCP 502端口监听。
WdbRPC Version 2(VxWorks):默认监听TCP端口17185。
同样,它也有Profinet DCP扫描器和Vxworks 6.x扫描器模块用于扫描。
2、CSET
网络安全评估工具 (CSET) 为评估组织的安全状况提供了一种系统化、有纪律且可重复的方法。CSET是一种桌面软件工具,可指导资产所有者和运营商逐步评估工业控制系统(ICS)和信息技术(IT)网络安全实践。用户可以使用许多公认的政府和行业标准和建议来评估自己的网络安全立场。
