工业控制系统安全的重要性及其普遍安全防护措施不足的现实,使得加强工业控制系统的安全性来说无疑是一项相对艰巨的任务。因为当面临攻击者的持续关注时,任何疏漏都可能导致灾难。对此,我们在参考信息安全业内的最佳实践的基础上,结合工业控制系统自身的安全问题,提出了一些安全建议,期望能够有效地降低工业控制系统所面临的攻击威胁:
1.加强对工业控制系统的脆弱性(系统漏洞及配置缺陷)的合作研究,提供针对性地解决方案和安全保护措施:
a)源头控制:运营组织和关键提供商建立工业控制系统开发的全生命周期安全管理。在系统的需求分析、架构设计、开发实现、内部测试、第三方测试和人员知识传递等研发生命周期的典型阶段,融入安全设计、安全编码以及安全测试等相关安全技术,尽可能系统地识别和消除各个阶段可能出现的来自于人员知识和技能、开发环境、业务逻辑引入系统缺陷的安全风险。
绿盟科技应用安全开发生命周期(NSFocusADSL)
b)分析检测及防护:工业控制系统行业应积极展开与安全研究组织或机构的合作,加强对重要工业控制系统所使用软硬件的静态和动态代码脆弱性分析、系统漏洞分析研究;开发工业控制系统行业专用的漏洞扫描、补丁管理及系统配置核查工具。
c)漏洞库管理:国家主管机构主导建立权威的ICS专业漏洞库以及完善的漏洞安全补丁发布机制。#p#
2.尽可能采用安全的通信协议及规范,并提供协议异常性检测能力
a)源头控制:在不影响系统实时性、可用性的前提下,工业控制系统应尽可能采用具有认证、加密、授权机制的安全性较高的通信协议来保证其控制命令和生产数据的安全传输。尤其是无线通信协议要重点考虑其安全性;因为不安全的无线通信协议非常容易遭致远程攻击。
b)检测防护:基于对ICS通信协议与规约的深度解码分析,通过网络协议异常性特征识别与监测ICS各系统和网络间可能存在的威胁,并提供针对性的防护措施,从而提升了企业对于系统运行过程的威胁感知与安全防护能力
c)标准制订:国家主管机构应促进工业控制系统行业与安全研究机构、厂商的合作,并主导制订相关的通信协议的安全标准。以提供推荐性行业标准。
3.建立针对ICS的违规操作、越权访问等行为的有效监管
a)异常行为检测:对ICS系统的各种操作行为进行分析,并基于<主体,地点,时间,访问方式,操作,客体>的行为描述六元组模型构建系统操作行为或网络运行相关的白环境。基于白环境可以很方便地开发针对ICS异常行为的检测类产品(比如IPS)。
基于六元组的异常检测模型
b)安全审计:基于对ICS通信协议与规约的深度解码分析,实现对ICS系统的安全日志记录及审计功能。应考虑对控制过程实现基于网络流量的安全审计,审计过程应力争做到对控制指令的识别和可控,如Modbus、DNP3等经典工控协议的解析能力分析,实现工业控制协议会话的过程记录和审计;并提供安全事件之后的事后追查能力。#p#
4.建立完善的ICS安全保障体系,加强安全运维与管理。
a)ICS安全保障体系建设
在保证工业控制系统的正常运行的前提下,充分调动技术、管理等安全手段,对帐号与口令安全、恶意代码管理、安全更新(补丁管理)、业务连续性管理等关键控制领域实施制度化/流程化、可落地的、具有多层次纵深防御能力的安全保障体系建设。其建设依据将参考以下国内外工业控制系统安全相关政策及实践,使企业能够充分识别运行管理过程的信息安全控制点,构建符合国家、行业监管、资本市场要求以及安全最佳实践的安全保障体系。具体参考的相关政策和安全实践包括但不限于:
《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)
GB/T26333-2010《工业控制网络安全风险评估规范》
IEC62443/ISA99《工业过程测量、控制和自动化网络与系统信息安全》
NISTSP800-82《工业控制系统(ICS)安全指南》
NISTSP800-53《联邦信息系统和组织的安全控制推荐》
北美电气可靠性协会关键性基础设施防护标准(NERCCIP标准)等。
b)安全运维与管理
边界控制:严格管理所有可能的ICS系统访问入口,包括将SCADA相关系统与互联网及其他办公网络物理隔离,严格控制移动介质和无线网络的接入,必要时采用设备准入控制机制。
系统上线安全评估及周期性安全评估:工业控制系统的入网与上线是整个系统安全生命周期的重要阶段,也是系统所有者和操作者掌握其安全风险水平的最佳时机。因此,在系统上线时要尽可能对系统的安全状况进行较为详细的评估:系统及应用漏洞扫描、WEB应用测试与扫描、ICS系统安全基线配置核查以及无线现场网络的安全评估等。然后根据评估结果在保障ICS系统可用性的前提下,尽可能对发现的安全问题进行处理。需要注意的是:常见的评估工具和测试手段将有可能会造成系统的中断(如产生偶然的拒绝服务攻击),因此对工业控制统的评估和测试和传统的IT风险评估相比应更加谨慎,在评估的过程中可采用一些能够确保对工业控制系统的影响降到最低的替代性评估手段。
系统防护:系统防护措施的更新速度是其有效性最重要的度量指标,只有及时更新通用或专用系统的安全补丁和相关配置,升级各种防护和检测设备的规则,才能起到有效的防护效果。
需要保障ICS系统业务连续性的应急响应计划,强调对安全事件的快速响应能力。
c)此外,还需要加强人员的安全意识培训和工作流程管理制度的落实等。#p#
5.加强针对ICS的新型攻击技术(例如APT)的防范研究
目前ICS领域影响最大的就是‘震网病毒’为代表的高级可持续性威胁(APT)类攻击。这类APT攻击并不是一个独立的、具体的攻击技术,而是一种攻击行为模式的体现。达成APT攻击需要无孔不入的情报收集能力;它们往往掌握有最新的0day漏洞、拥有能够规避当时检测工具的传播和控制程序,以及能够利用所掌握的资源快速展开连锁行动的组织力和行动力。显然,这样的攻击不是能够依靠单一的技术实现防范和检测的,针对性的防护需要多个层面安全防护措施的综合开展:
a)做好ICS系统的基础性安全防护工作。从防范主体的角度来看,应当做到“安全防御无死角”。面对长期的侦测和试探,任何安全短板都可能成为攻击者的快速通道。也许只有做好各方面的防范,通过多种安全产品(机制)协同工作的体系化防御措施才能够抵御APT这些高级的持久性攻击。
b)加强“深入分析”技术的探索。APT攻击并不意味着没有痕迹,只是隐蔽性较强而难以发现。通过收集APT攻击事件相关的技术情报(攻击的特征、原理、危害、样本及分析报告等),并利用多维度的海量数据挖掘和关联分析技术,实现跨时域、跨设备和跨区域的踪迹分析,来大幅增加发现攻击行为的概率。也就是说,只有具备及时识别、发现APT攻击的能力之后,才能有效地提供针对性的APT安全防护能力。
c)加强国际合作,协同研究与防范。由于APT攻击具有低成本、高破坏和隐蔽性的特点,它对CII或工业控制系统攻击所造成的破坏和社会影响,很有可能不逊于核武器的攻击后果。如果不对其加以限制,只会使破坏程度不断升级。所以,成立国际联合组织、建立国际性的抑制体系可以减少国家间的过激行为,同时也可监控和打击网络犯罪及恐怖主义行为。
上述描述的安全建议从多维度考虑对工业控制系统可能面对的风险进行防护,并尽可能降低相关系统的安全风险级别。但需要意识到由于外部威胁环境和系统技术演变将可能引入新的风险点。系统、人员、商业目标以及内、外部威胁等安全相关因素的任何一个发生改变时,都应建议企业对当前安全防护体系的正确性和有效性重新进行评估,以确定其能否有效应对新的风险。因此ICS的安全保障措施也将是一个持续的改善过程,通过这一过程可使工业控制系统获得最大程度的保护。
