1、工業控制系統安全評估流程關于綠盟科技北京神州綠盟信息安全科技股份有限公司（以下簡稱綠盟科技公司），成立于 2000 年 4 月，總部位于北京。公司于 2014 年 1 月 29 日在深圳證券交易所創業板上市，證券代碼：300369。綠盟科技在國內設有 40 多個分支機構，為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶，提供全線網絡安全產品、全方位安全解決方案和體系化安全運營服務。公司在美國硅谷、日本東京、英國倫敦、新加坡設立海外子公司，深入開展全球業務，打造全球網絡安全行業的中國品牌。版權聲明為避免合作伙伴及客戶數據泄露，所有數據在進行分析前都已經過匿名化處理，不會在中間環節出現泄

2、露，任何與客戶有關的具體信息，均不會出現在本報告中。工業控制系統安全評估流程A目錄 CONTENTS目錄1. 綜述 12. 目標定義與系統評定 32.1 目標定義 42.2 系統評定與分類 53. 資產評估 63.1 資產識別與分類 73.2 網絡拓撲審查83.3 數據流審查 83.4 風險資產預篩84. 脆弱性評估 94.1 安全策略脆弱性 114.2 架構與設計脆弱性 124.3 配置與維護脆弱性 124.4 物理環境脆弱性 134.5 產品開發過程脆弱性 144.6 通信與配置脆弱性 145. 風險場景構建 165.1 威脅評估 175.2 攻擊向量評估185.3 威脅事件構建195.4

3、 風險場景構建20工業控制系統安全評估流程B目錄 CONTENTS6. 風險計算與緩解策略 256.1 風險計算 266.2 風險緩解策略制定 286.2.1 與 IT 網絡異同點 286.2.2 從攻擊發生三要素出發 306.2.3 其他方面 316.2.4 風險緩解策略制定步驟 317. 驗證與測試 338. 工業控制系統安全標準 368.1 國外工業控制系統標準概述 378.2 國內工業控制系統標準概述 41參考文檔 44工業控制系統安全評估流程C綜述1. 綜述11綜述工業控制系統安全評估流程2綜述隨著計算機和網絡技術的發展，特別是信息化與工業化深度融合以及物聯網的快速發展，工業控制系統

4、產品越來越多地采用通用協議、通用硬件和通用軟件，網絡威脅正在由傳統 IT 領域向工業控制系統擴散，工業控制系統信息安全問題日益突出，對工業生產運行，乃至國家經濟安全造成重大隱患。如何針對這些隱患制定出一套可行的檢測與安全評估方法顯得尤為重要，也是關鍵基礎設施領域亟待解決的問題。但由于每個企業的業務目標和運營環境多樣化、復雜化，而制定一套“均碼”的度量標準或者規范是很艱難的，即使制定出該標準但實施與執行后的效果是否理想就不得而知。安全評估存在的問題：1. 合規并不等于安全。 2. 無法驗證的脆弱性僅僅是主觀推測的結果，需大膽設想，小心求證。構建的理念：在工業控制系統的功能安全、操作安全、安全防護

5、措施以及脆弱性的基礎上，構建整體性更強、綜合性更高的方法（風險場景構建），避免零散孤立的合規核查，對風險的“可能性”做出更為準確的解釋，形成可量化的標準，為制定有針對性的、高效的風險緩解措施奠定基礎。這里將嘗試提出一種工業控制系統安全評估流程的方法論，從技術層面出發梳理評估步驟，針對涉及到的技術點與方法進行歸納總結。本文所提出的安全評估的流程如下圖所示：目標定義與系統評定資產評估脆弱性評估風險場景構建風險估算與防護部署驗證與測試安全策略脆弱性架構與設計脆弱性配置與維護脆弱性物理環境脆弱性產品實現的脆弱性通信與網絡脆弱性威脅評估攻擊向量評估威脅事件構建風險場景構建風險計算防護措施制定防護措施排序

6、滲透測試（組件測試、系統測試）資產識別資產分類網絡拓撲審查數據流審查風險資產預篩業務/運營目標定義系統評定系統分類工業控制系統安全評估流程3目標定義與系統評定2. 目標定義與系統評定2目標定義與系統評定工業控制系統安全評估流程4目標定義與系統評定2.1 目標定義全面的安全評估需要了解系統的相關組成結構以及相關聯的業務， 從多個方面評估可能存在的風險，并通過實施過程進行逐步驗證，通過計算模型推導出可能形成的損失。如下圖：信息系統通訊系統終端系統數據系統生產系統人員管理供應鏈圖 2.1 風險評估參考架構制定適合自有系統的風險度量標準并對識別出的風險進行評分，對于工業控制系統來說，需要理清如下問題：

7、1. 企業生產什么 ?2. 工業控制系統運行 / 實現自動化的環節有哪些？3. 在生產環境中部署了哪些系統支持正常生產？4. 工業控制系統中哪些地方出現異?？赡軙斐奢^大的損失？通過回答這些甚至更多問題，就可知道哪些系統對于實現業務 / 運營目標更為關鍵，哪些系統為輔助性的，同時也明確了這些系統按計劃停止運行后可能導致的后果是什么。確定業務 / 運營目標過程：風險評估考慮因素： 人員（安全意識與安全能力） 管理（人員管理、生產管理、數據管理、運維管理等） 供應鏈（元件 / 設備引入安全風險） 邊界（不同區域的風險管理） 工藝（可靠性要求） 電磁輻射（側信道攻擊） 環境（設備 / 系統針對不同環

8、境的適應能力） 數據傳輸與存儲 設備老化或者異常運行工業控制系統安全評估流程5目標定義與系統評定1. 多角色參與討論，如業務經理 / 資產所有者 / 資產托管方 / 工程經理 / 工程師 / 所有其他利益相關方。2. 從對業務 / 運營目標提供支持的系統及這些系統的故障導致潛在的后果這兩個維度出發，對業務 / 運營目標做出澄清。輸出： 清晰的業務 / 運營目標。 支撐目標的各類系統。2.2 系統評定與分類在工業控制系統環境中系統的概念為出于一個共同的業務 / 運營目標而協同工作的一組過程設備、處理裝置、計算機、調度策略、運行工藝和組織管理等。如 SIS（安全儀表系統）、SCADA（監控與數據采

9、集系統）、HSE（健康安全和環境管理系統）、FGS（火氣系統）等。系統評定與分類的過程按照以下順序進行：對目標系統做識別與判定分析與系統相關聯的潛在事件和后果建立后果與業務/運營目標的關聯關系根據關鍵性對系統進行分類與優先級排序圖 2.2 系統評定與分類過程輸出內容為： 對支撐業務 / 運營目標的各類系統的分類。 根據關鍵性對各個系統的優先級排序。工業控制系統安全評估流程6資產評估3. 資產評估3資產評估工業控制系統安全評估流程7資產評估3.1 資產識別與分類盡可能全面地識別出被評估對象的所有資產，為后續的評估過程提供關鍵的信息，但是工業控制系統中收集資產較為困難，往往會有遺漏，且目前采取的方

10、法一般為訪談式和調查式，難以保證資產收集的準確性?？梢試L試通過如下方法進行資產識別：1. 查詢采購記錄。2. 查詢資產數據庫。3. 初步的資產清單與最新的、最準確的網絡拓撲進行交叉驗證。4. 人工巡檢、現場核查 ( 顧問訪談 / 問卷調查 )。5. 使用資產發現工具獲取資產信息 ( 例如 : 工業控制系統漏洞掃描工具 )。依照如上方法對待評估系統識別出的資產做以列舉，形成資產清單表。在列舉工作中最好采用分類的方式為資產進行歸類整理，例如可以從如下維度進行。表 3.1 資產參考表資產類別資產品牌資產型號詳細版本其余信息信息軟件硬件系統人員安全意識、安全操作技能等。管理制度人員培養制度、組織架構管

11、理、操作站工作指導書、安全規定等。應急體系應急生產支撐體系、不可抗力故障支撐體系、突發性威脅響應體系等。備注：在工業控制系統中使用主動掃描方式發現資產風險較大，建議使用被動掃描的方式或者無損掃描方式進行。工業控制系統安全評估流程8資產評估3.2 網絡拓撲審查該步驟與資產識別步驟可以交叉、比對進行，盡可能詳細地繪制出最新的、最準確的業務 / 運營目標對象網絡拓撲圖，梳理清楚設備、組件等之間的連接關系。3.3 數據流審查對照網絡拓撲，在其基礎上添加數據流要素，形成一張動態的資產、網絡元、數據交互的圖譜，不僅有助于發現現階段業務 / 運營目標對象網絡中的已知問題（例如信息泄露途徑、非法接入等），還可

12、以作為應急響應分析過程中的重要輸入資料。3.4 風險資產預篩對于資產預篩選的依據與標準可參照如下表，將資產關鍵性分為 5 個等級， 由高到低關鍵性依次減弱。表 3.2 資產等級及含義描述等級標識描述5很高非常關鍵，其安全屬性破壞后可能對組織造成非常嚴重的損失，損失難以彌補。4高非常重要，其安全屬性破壞后可能對組織造成比較嚴重的損失，損失較難彌補。3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失，損失可以彌補。2低不太重要，其安全屬性破壞后可能對組織造成較低程度的損失，損失容易彌補。1很低不重要，其安全屬性破壞后對組織造成微弱的損失，甚至可以忽略不計。工業控制系統安全評估流程9脆弱性評

13、估4. 脆弱性評估4脆弱性評估工業控制系統安全評估流程10脆弱性評估脆弱性是資產本體固有存在的，如果沒有對應的利用方法，單純的脆弱性本身不會對資產造成損害。如果系統足夠健壯，即使再嚴重的威脅也不會導致安全事件發生。即威脅總是要利用資產的脆弱性才可能造成危害。資產的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環境下才能顯現，這是脆弱性識別中最為困難的部分。 不正確的、 起不到應有作用的或沒有正確實施的安全措施本身就可以理解為是一種脆弱性。脆弱性識別是風險評估中最重要的一個環節。該環節需要識別出系統具有的漏洞，然后與資產、威脅源、攻擊向量等關聯起來，分析出系統所面臨的風險。工業控制系統面臨的脆弱性

14、可以從以下幾個方面分析。如下圖：安全策略通信與配置產品開發過程物理環境配置與維護架構與設計工業控制系統面臨的脆弱性圖 4.1 工業控制系統脆弱面工業控制系統安全評估流程11脆弱性評估4.1 安全策略脆弱性下表為工業控制系統中常見的安全策略脆弱性的描述。表 4.1 安全策略脆弱性檢查表脆弱性描述工業控制系統安全策略制定不完整由于策略制定不完整或者缺乏針對工業控制系統安全的詳細策略，導致工業控制系統存在脆弱性。制定策略時，每一項的對抗措施都應該在策略中有跡可循，從而確保一致性與可問責性。安全策略必須將工業控制系統環境中使用的便攜設備與移動設備考慮在內。無正規的工業控制系統安全培訓計劃將正規的安全培

15、訓相關內容形成文件，能夠幫助工作人員及時了解機構的安全策略、規范的操作程序、可能存在的安全威脅、行業網絡安全標準和建議措施等內容。工業控制系統設備實施指南缺失或者不完備應該保證設備實施指南及時更新并且方便獲取。在部分工業控制系統設備出現故障情況下，實施指南是安全處置中不可或缺的部分。安全策略實施管理機制缺失負責實施安全策略的工作人員應當承擔管理安全策略和安全程序文檔的責任。工業控制系統安全控制措施有效性審查不完善應當制定程序和進度表，用于確定安全計劃及其組成控制措施正確實施的程度，以及是否按預期運行且達到滿足工業控制系統安全要求的預期效果。這種策略應當涉及生命周期的各個階段以及業務 / 運營目

16、標、專業技術、方法和獨立程度等內容。沒有針對工業控制系統的應急預案應當制定應急預案并對其進行演練測試，以確保當軟硬件出現重大故障或者設施損壞時應急預案可以付諸實施。缺乏專門針對工業控制系統的應急預案可能導致停機時間延長并產生巨大損失。缺乏配置管理策略缺少工業控制系統配置變更管理的策略和程序可能導致無法對硬件、固件和軟件進行管理，并存在易受攻擊的漏洞。缺乏適當的訪問控制策略訪問控制的實施取決于策略對角色、職責和授權的正確建模。策略模型必須按照機構運轉的模式加以構建。缺乏適當的身份認證策略認證策略中需要定義認證機制（例如口令、智能卡等）的使用時機、使用強度和維護方式。如果沒有指定認證策略，系統可能

17、不會實施適當的身份認證控制，從而導致系統未授權訪問的可能性提高?？紤]到工業控制系統及其工作人員處理復雜口令和其他認證機制的能力，認證策略應該作為工業控制系統安全的一部分加以制定。關鍵部件缺乏冗余配置關鍵部件缺乏冗余可能導致單點故障。工業控制系統安全評估流程12脆弱性評估4.2 架構與設計脆弱性表 4.2 架構與設計脆弱性檢查表脆弱性描述在架構搭建與設計過程中未考慮安全因素安全架構是企業架構的一部分，在工業控制系統架構設計之初，應該融合考慮。在架構設計時需要解決用戶識別與授權、訪問控制機制實現、網絡拓撲繪制、系統配置與完整性機制實現等問題。不斷進化的不安全架構工業控制系統中的網絡基礎設施環境通常

18、會根據業務和運營要求進行開發和改動，而此過程中幾乎沒有考慮改動所帶來的潛在安全風險。隨著時間的推移，安全漏洞可能已經無意中帶入到了基礎設施中的特定部位，如果不修復這些漏洞，則會成為進入工業控制系統的后門，引入潛在的攻擊向量。未定義的安全邊界如果工業控制系統沒有對安全邊界做出明確定義，則無法確保對必要的訪問控制進行正確的部署和配置，這可能導致對系統與數據的未授權訪問及其他更多的問題。在控制網內傳輸其他無關流量對于控制流量和非控制流量而言有不同的要求，例如確定性和可靠性等，因此在單一網絡中如果同時具有上述兩種類型的網絡流量， 那么對網絡進行配置以滿足控制流量的要求將會很困難，設計初期應該考慮隔離兩

19、者的流量通道。在控制網絡中使用非控制網絡中的服務DNS 和 DHCP 等服務通常部署在 IT 網絡，如果在控制網絡中使用將導致工業控制系統網絡依賴于 IT 網絡，而 IT 網絡并不具備工業控制系統所需要的可靠性和可用性。歷史數據收集不完善取證分析取決于是否收集并保留了足夠的歷史數據。如果數據收集方式不妥當或者不正確，則可能無法分析出導致發生安全事件的原因。 而如果事件被忽視， 則會導致額外的損失或系統中斷。需要實施常態化安全監控，及時識別安全控制的問題，例如錯誤配置和故障等。4.3 配置與維護脆弱性表 4.3 配置與維護脆弱性檢查表脆弱性描述硬件、固件與軟件缺乏配置管理企業內部對自己擁有的軟硬

20、件及固件數量、類型、版本號、所處位置及補丁狀態等信息掌握不全面，從而導致無效防護的現狀。應實施對硬件、軟件、固件和文檔等對象的控制變更管理，以確保系統在整個過程中免遭不當或者不正確的改動影響。為了對工業控制系統實施正確的保護，應該能夠準確地列出系統中資產和當前配置信息。修復漏洞的周期過長由于工業控制系統軟件和工業控制系統底層之間的緊密耦合，對于軟件的改動必須經歷代價高昂、耗時甚多的全面回歸測試。更新后的軟件進行測試及后續分發過長的耗時則可能導致工業控制系統在一段相當長的時間范圍內存在漏洞。漏洞補丁管理無章法過時的操作系統和應用程序可能包含新發現的可利用漏洞。應當為安全補丁的維護管理過程制定程序

21、并形成文檔。對于使用過時操作系統的工業控制系統，甚至可能沒有廠家能夠提供可用的安全補丁。在這種情況下，處理程序中應包含與之對應的漏洞緩解應急計劃。工業控制系統安全評估流程13脆弱性評估脆弱性描述針對安全變更的測試不完善對于已經部署的硬件、軟件和固件改動，如果未對其進行完善地測試則可能會影響工業控制系統的正常運行。應當制定程序形成文檔，保證對可能帶來安全影響的所有改動進行測試。針對實時業務系統不能開展測試的，需要聯系系統廠商和集成商協調進行。遠程訪問控制機制薄弱遠程訪問工業控制系統的原因很多，無論是廠商與系統集成商需要執行系統維護功能，還是工業控制系統工程師需要狀態監控和生產管理，只要位于不同的

22、地理位置，就需要對工業控制系統進行遠程訪問。遠程訪問能力必須予以妥善控制，以防止工業控制系統的未授權個人訪問。配置方式不完善配置不當的系統中會開放不必要的端口，用到不必要的協議。而不必要的功能則可能包含脆弱性，從而增加系統所面臨的整體風險。使用默認配置通常會暴露機器存在漏洞的服務，因此應該對所有設置詳細檢查。未對關鍵配置信息進行存儲或備份對于意外事件或者攻擊者篡改配置信息的情況，應制訂對工業控制系統配置信息進行恢復的程序，以保持系統可用性并避免數據丟失。還應制訂對工業控制系統配置信息進行維護的程序并形成文檔。4.4 物理環境脆弱性表 4.4 物理環境脆弱性檢查表脆弱性描述不安全的物理端口不安全

23、的 USB 接口、PS2 接口可能會導致未授權的連接，例如小型 U 盤、鍵盤監控等程序等。未授權人員對物理設備的訪問在考慮功能安全的前提下，如緊急關閉或重新啟動等要求，對工業控制系統設備的物理訪問應僅限必要的工作人員。對工業控制設備的不當物理訪問可能會導致以下情況：數據和硬件失竊、維護數據損壞、運行環境的未授權變更、物理數據鏈路連接中斷、不可檢測的數據截獲。射頻、電磁脈沖、靜電放電、電壓不足和電壓尖峰控制系統的硬件易受到射頻、電磁脈沖、靜電放電、電壓不足和電壓尖峰的影響。受影響的范圍涵蓋了從指揮和控制系統的暫時中斷到電路板的永久損壞等諸多后果。建議采取適當的屏蔽防護措施，如接地、功率調節和浪涌

24、抑制等保護措施。備用電源缺失如果關鍵資產沒有備用電源，一般電力中斷事故就會導致工業控制系統關閉，并可能造成其他危險狀況。電力中斷還可能導致系統恢復到不安全的默認設置。環境失控環境失控（如溫度、濕度等）可能導致設備損壞。此時，有些處理器會停止工作以自我保護，有些處理器則會繼續以小電壓運行，但可能間歇性錯誤，持續重啟甚至永久喪失執行能力。工業控制系統安全評估流程14脆弱性評估4.5 產品開發過程脆弱性表 4.5 產品開發過程脆弱性檢查表脆弱性描述數據驗證不當工業控制系統軟件可能無法對用戶輸入數據或者接收數據進行驗證以確保其有效性。而無效數據可能會導致多種漏洞，包括緩沖區溢出、命令注入、跨站腳本和路

25、徑遍歷等。默認情況下未啟用已安裝的安全功能隨產品一起安裝的安全功能如果未經啟用或至少確認為處于禁用狀態，那么這些安全功能則不會發揮任何作用。軟件中的身份認證、權限分配和訪問控制不完善對組態和編程軟件的未授權訪問可能會損壞設備。硬件研發中的調試接口暴露很多工業控制設備為了開發或者維護中方便讀取日志或者調試，通常留有調試接口，且此接口一直保留至工業現場，對該接口的探索式攻擊可能損壞設備或造成敏感信息泄露。軟件保留調試版本功能一些開發者為了方便發現錯誤，在發行版的軟件中保留了調試版本的功能?；诜奖阏{試的運維方法可能會被攻擊者發現和利用，導致系統被控制。4.6 通信與配置脆弱性表 4.6 通訊與配置

26、脆弱性檢查表脆弱性描述未采用數據流控制應當應用基于數據特征的數據流控制對系統之間傳輸的信息加以限制。數據流控制能夠防止信息泄露與非法操作。未部署防火墻或者配置不當配置不當的防火墻可能允許不必要的數據進入網絡，例如控制網絡和業務網絡，從而造成針對內部網絡的攻擊和惡意代碼在網絡中傳播，并導致敏感數據易被監視和竊取，以及個人對高權限系統的未授權訪問等問題。防火墻及路由日志信息記錄不完善日志信息記錄不當或者不準確，可能導致無法確定安全事件發生的原因。使用公開的明文傳輸協議使用諸如 Telnet，FTP、HTTP 和 NTS 等協議進行數據傳輸，攻擊者能夠使用協議分析器或者其他工具對傳輸的數據進行解碼，

27、以實現對工業控制網絡活動的監控。使用上述協議使得攻擊者能夠更加容易地對工業控制系統發起攻擊并操作工業控制系統網絡行為。未采用身份認證措施或者不標準許多工業控制系統協議在各個層次均未采用認證機制。如果未采用認證機制將很有可能導致數據重放、篡改或欺騙，還會導致設備欺騙，如傳感器和用戶身份標識符等設備。使用不安全的工業控制協議工業控制系統協議通常只有很少的或者完全沒有安全功能（如認證、加密等），因此難以保護數據免遭未授權訪問或者協議數據篡改。 此外， 協議在實現過程中的錯誤也可能導致其他漏洞。通信內容完整性檢查機制缺乏大多數工業控制協議中均未內置數據完整性檢查，攻擊者可以在不被發現的情況下操作通信數

28、據。為了確保完整性，工業控制系統可以使用提供數據完整性保護功能的底層協議。工業控制系統安全評估流程15脆弱性評估脆弱性描述無線客戶端與接入點之間的認證機制不完善需要在無線客戶端和接入點之間采用強相互認證，以確?？蛻舳瞬粫B接到攻擊者部署的非法接入點，并且確保攻擊者無法連接到工業控制系統中的任何網絡。無線客戶端與接入點之間的數據保護措施不完善應采用強加密機制保護無線客戶端和接入點之間傳輸的敏感數據，確保攻擊者無法實現對加密數據的未授權訪問。工業控制系統安全評估流程16風險場景構建5. 風險場景構建5 風險場景構建工業控制系統安全評估流程17風險場景構建構建風險場景有助于精準識別風險來源，描述與風

29、險相關的各個向量。風險場景的模型見下圖所示。威脅源攻擊向量目標對象威脅事件后 果影 響業務目標圖 5.1 風險場景威脅事件（攻擊事件）包含以下幾個要素：威脅源，對脆弱性加以利用的攻擊向量，存在脆弱性的目標對象。為了構建風險場景，需要將以上場景進行拆解分析，從威脅評估，攻擊向量評估、威脅事件構建、風險場景構建依次漸進展開，得到最終的風險場景。5.1 威脅評估威脅源是一個完整事件必不可少的因素，在進行威脅評估時，首先需要識別存在哪些威脅源，同時分析這些威脅源的動機和能力。通常工業控制系統的威脅來源可分為非人為和人為的威脅，非人為安全威脅主要指來自環境因素的威脅，人為的安全威脅從威脅動機來看，又可細

30、分為非惡意行為和惡意攻擊行為。不同的威脅源具有不同的攻擊能力，攻擊者的能力越強，攻擊成功的可能性就越大。衡量攻擊能力主要包括：施展攻擊的知識、技能、經驗和必要的資金、人力和技術資源等。工業控制系統安全評估流程18風險場景構建表 5.1 工業控制系統常見威脅源描述威脅源威脅動機及造成后果描述環境因素斷電、 靜電、 灰塵、 潮濕、 溫度、 鼠蟻蟲害、 電磁干擾、 洪水、 火災、 地震、 意外事故等環境危害或自然災害。內部人員內部人員威脅包括組織內部人員、外聘運維人員、外購產品的供應商。缺乏責任心、不關心或者不關注、沒有遵循規章制度和操作流程、缺乏培訓、專業技能不足、不具備崗位技能要求而導致信息系統

31、故障或被攻擊。心存不滿的內部員工是計算機犯罪的主要來源。內部攻擊者了解目標系統，并具有一定的權限，往往被允許不受限制的訪問系統，而且比外部的攻擊者有更多的攻擊機會，因此不需要掌握太多關于計算機入侵的知識，就可以破壞系統或竊取系統數據。攻擊的成功率高。黑客黑客入侵網絡是為了獲得挑戰的刺激或者在黑客世界里炫耀自己的能力。這類攻擊者大多數不具備專業技術能力，卻可以從互聯網上下載易于使用且破壞力強的攻擊腳本和協議，向目標發起攻擊。并且他們的數量龐大，分布在全球，即使是孤立或短暫的攻擊破壞，也會導致嚴重的后果。惡意軟件的作者居心不良的個人或組織通過制造并傳播惡意軟件對用戶實施攻擊。一些破壞性的惡意軟件會

32、損害系統文件或硬件驅動器、控制關鍵過程、開啟執行程序以及控制系統所控制的設備等?？植婪肿涌植婪肿釉噲D破壞、致癱或利用關鍵基礎設施來威脅國家安全，引起大規模人員傷亡，削弱國家經濟，破壞民眾的士氣與信心?？植婪肿涌赡芾冕烎~網站和惡意軟件來獲取資金或搜集敏感信息，也可能會佯攻一個目標以轉移對其他目標的關注程度和保護力度工業間諜工業間諜通過暗中活動的方式企圖獲取有價值的情報資產和技術秘密。境外國家力量組織嚴密，具有充足資金、人力和技術資源，而且可能在必要時實施高隱蔽性和高破壞性的分布式攻擊，竊取組織核心機密或使工業控制系統全面癱瘓。5.2 攻擊向量評估工業控制系統常見的攻擊向量如下表所示：表 5.2

33、 工業控制系統常見攻擊向量檢查表訪問向量可能的攻擊向量網絡相鄰的內部網絡、被入侵的雙宿主網絡、互聯網（云、多租戶環境）、WIFI 以及其他無線電連接方式，如 HART、ZigBee、衛星鏈路等。工業控制系統及設備 其他設備、控制器等。應用程序 網絡服務端口；文件輸入與插入；用戶輸入（包括本地應用程序與 Web 界面）；數據輸入，如庫函數、動態鏈接庫等。物理訪問USB 接口、串口以及其他數據端口（SATA、HDMI、DisplayPort 等）。鍵盤或者鼠標輸入（來自攻擊者）。工業控制系統安全評估流程19風險場景構建訪問向量可能的攻擊向量人員 / 用戶通過電話或者人員直接進行基于社交工程學的互動

34、。電子郵件與社交媒體?？蛻舳藨贸绦?，如電子郵件客戶端、瀏覽器等。供應鏈芯片或者硬件篡改。應用程序或固件代碼篡改。5.3 威脅事件構建工業控制系統常見的威脅事件如下 :表 5.3 工業控制系統常見威脅檢查表資產類別攻擊類型網絡設備VLAN 躍進或跳躍。生成樹協議攻擊。MIB 讀、寫。Web 服務端源代碼篡改。規范化攻擊。服務器擴展攻擊。文件包含（本地和遠程）。Web 客戶端JavaScript 活動腳本攻擊。Cookie 或會話竊取和劫持?？缯灸_本攻擊?？缯菊埱髠卧?。SQL 注入?？缈蚣芑蚩缬蚬?。主機設備驅動程序攻擊。冷啟動密碼旁路。拒絕服務攻擊?？诹钐崛?、口令破解。端口重定向。運行在設備上

35、的應用程序內存損壞攻擊。釋放后重用攻擊。緩沖區溢出攻擊。格式化字符串漏洞攻擊。輸入驗證攻擊。文件、頁面文件交換攻擊。共享庫和第三方庫攻擊。人員 / 用戶網絡釣魚。水坑攻擊。社交媒體攻擊。工業控制系統安全評估流程20風險場景構建結合以上表格列舉的常見攻擊類型，構建出的威脅事件如下表所示（舉例展示）。表 5.4 PLC 設備威脅示例項目描述威脅源國家資助的攻擊者 / 內部人員 / 前內部人員 / 惡意代碼攻擊類型棧緩沖區溢出攻擊向量Web 界面 / 本地網絡脆弱性（漏洞）CVE-2016-0868目標對象Allen-Bradley MicroLogix11005.4 風險場景構建常見的工業控制系統

36、攻擊手法常見案例：威 脅事件構建攻擊手法刻畫潛在后果攻擊向量目標對象威脅源脆弱性攻擊類型圖 5.2 風險場景構建要素與過程工業控制系統安全評估流程21風險場景構建以下為常見工業控制系統攻擊手法刻畫案例：表 5.5 工業控制系統常見攻擊方法資產 / 系統攻擊手法刻畫工業控制系統網絡通過掃描與枚舉方法探測所使用的工業控制系統設備、工作站和協議。通過網絡嗅探獲取認證信息。通過嗅探數據包對其進行逆向分析獲取工業控制系統協議信息。記錄或重放工業控制系統網絡流量以嘗試更改設備行為。注入數據或數據包以嘗試更改設備行為。偽造、欺騙工業控制系統網絡數據包以嘗試更改設備行為或者人機界面顯示畫面?？刂破鳙@取遠程訪問

37、或者控制權限。篡改、屏蔽控制器的輸入或者輸出行為。修改配置以更改控制器行為。修改控制算法以更改控制器行為。修改動態數據以更改控制算法的結果。修改 I/O 數據以更改控制算法的結果。修改控制器固件以更改控制器行為。使用欺騙性指令以更改控制器行為（通過網絡協議）。降級攻擊、拒絕服務攻擊。持久駐留（惡意代碼）。工程師、操作員站權限提升。獲取遠程訪問或者權限。復制或泄露敏感信息。修改或刪除信息（標簽圖形或 XML 文件）。修改存儲配置信息。修改在線配置信息。向控制器發送指令。持續駐留（惡意代碼）。降級攻擊、拒絕服務攻擊。人員或用戶迫使工作人員獲取信息。誘騙工作人員犯錯或做出不當操作。上表描述的僅為部分

38、工業控制系統常見的攻擊手法刻畫，不包含全部工業控制系統或者全部攻擊手法，因為攻擊手法隨著攻擊能力的增強而提高，也會根據所處環境的不同而有所變化。表中所列出的是整個行業在報告中最常出現且接受程度較高的攻擊手法刻畫案例，可以作為風險場景構建的參考。下表將列舉主要工業控制系統遭受攻擊的潛在后果案例， 同樣僅是列舉常見的接受程度較高的案例。工業控制系統安全評估流程22風險場景構建除此外還需要考慮評估范圍內的 IT 資產如路由器、交換機等，這部分需要參考其他方面的文檔。表 5.6 工業控制系統遭受攻擊的影響目標對象潛在后果控制器控制器處于故障狀態。工廠陷入混亂狀態或停工。過程退化、過程故障。過程控制中斷

39、。過程圖像中斷。各類數據損壞無參考價值。工程師 / 操作員站工廠陷入混亂或停工。工廠啟動延遲。機械損壞或被蓄意破壞。操作員圖像界面的未授權操作。過程操作的不當響應。工業控制系統數據庫的未授權改動。臨界狀態、報警閾值的未授權改動。存在缺陷的固件未授權分發。工業控制系統設備的未授權啟動、關閉。過程、工廠信息泄露。工業控制系統設計或應用程序認證信息泄露。工業控制系統訪問控制機制的未授權改動。對大多數工業控制系統資產的未授權訪問（跳板攻擊）。工業實時歷史數據庫對過程或批處理記錄的操作。認證信息泄露（業務、控制）。對其他資產的未授權訪問（MES、ERP 等的跳板攻擊）。對其他業務資產的未授權訪問（跳板攻

40、擊）。功能安全系統工廠停工。裝備損壞或被蓄意破壞。環境影響。人身傷亡。產品質量下降。公司聲譽受損。分析儀及管理系統產品質量下降、生產損失、收入損失、產品召回等。依照上述的工業控制系統常見攻擊手法案例與潛在后果，聯同威脅事件便可以展示一個基本的風險場景。如下表：工業控制系統安全評估流程23風險場景構建表 5.7 PLC 設備風險場景示例項目描述威脅源國家資助的攻擊者 / 內部人員 / 前內部人員 / 惡意代碼攻擊類型棧緩沖區溢出攻擊向量Web 界面 / 本地網絡脆弱性（漏洞）CVE-2016-0868目標對象Allen-Bradley MicroLogix1100攻擊手法執行任意代碼。獲取完整的

41、控制權限。修改配置以改變過程行為。潛在后果控制器處于故障狀態。過程控制中斷。過程故障。數據信息受損。裝備損壞或被蓄意破壞。表 5.8 工程師站風險場景示例項目描述威脅源國家資助的攻擊者 / 內部人員 / 前內部人員 / 惡意代碼攻擊類型內核模式驅動攻擊導致的內存損壞。攻擊向量在 web 界面通過以下方式打開惡意文件：USB/ 網絡 / 鄰接網絡 / 互聯網。脆弱性（漏洞）CVE-2016-0005/CVE-2016-0008/CVE-2016-0009目標對象運行 Windows 7 SP1 及 IE 瀏覽器的工程師站 PCDENG-0024。攻擊手法執行任意代碼。獲取管理員控制權限。利用跳板

42、實施對其他工業控制系統的資產攻擊。對操作員圖像界面的未授權操作。獲取其他工業控制系統資產的直接控制權限。潛在后果機械損壞或被蓄意破壞。；對過程操作的不當響應。臨界狀態、報警閾值的未授權改動。工業控制系統未授權啟動、關閉。對工業控制系統資產的未授權訪問（跳板攻擊）。工業控制系統安全評估流程24風險場景構建如果將工程師站添加進 PLC 設備的風險場景中，就會形成新的攻擊向量，完成更加明晰的攻擊路徑分析與推演。如下表所示：表 5.9 帶有關聯攻擊向量的 PLC 設備風險場景示例項目描述威脅源國家資助的攻擊者 / 內部人員 / 前內部人員 / 惡意代碼攻擊類型棧緩沖區溢出攻擊向量Web 界面 / 本地

43、網絡 / 工程師站 PCDENG-0024脆弱性（漏洞）CVE-2016-0868目標對象Allen-Bradley MicroLogix1100攻擊手法執行任意代碼。獲取完整的控制權限。修改配置以改變過程行為。潛在后果控制器處于故障狀態。過程控制中斷。過程故障。數據信息受損。裝備損壞或被蓄意破壞。因此，在大多數情況下，將存在已知漏洞的資產或者同危險系數較高資產存在關聯關系的資產列舉為攻擊向量是很有必要的。至此，已經初步完成了工業控制系統中針對目標對象的風險場景構建，但整個評估過程中不僅要跟蹤單個資產的每個風險場景，還要建立這些風險場景之間彼此關聯的整體關系，形成一個整體架構范圍內的風險場景矩

44、陣，從而使分析人員能夠站在更加全面地視角了解整體的攻擊面及其安全狀態。工業控制系統安全評估流程25 風險計算與緩解策略6. 風險計算與緩解策略6風險計算與緩解策略工業控制系統安全評估流程26 風險計算與緩解策略風險場景建立后就明確了目標對象所面臨的的風險點，但是如何計算各個風險場景的對應估值，并且通過針對高風險點的風險場景有策略地實施防護部署來降低風險，下面將會進行分析。首先了解風險計算模型，如下圖所示：威脅源攻擊向量目標對象威脅事件后 果影 響業務目標可能性風險評估圖 6.1 風險計算模型風險場景都需要進行量化評估。這一過程使用諸如通用漏洞評分系統（CVSS）之類的量化工具來完成。在得到每個

45、風險場景的量化估值后，針對高風險等級的場景 , 還需要結合經濟成本、技術成本等各個要素確定適合的對抗策略與部署方案， 以降低風險值， 從而保證整個系統的風險值在可接受的范圍。6.1 風險計算風險計算的本質是針對風險場景，按照一套參與項目人員均認可的標準，給出一個數值，并按照數值進行優先級排序。因此風險計算的方法只要符合以上要素，盡可能選取可接受、簡單易操作、無繁雜運算的方法才是最有效的方法。區別于其他安全評估計算方法，本部分從目標對象、脆弱性、風險場景的可能性、 影響四個維度出發提出一種簡便的方法，結合簡單公式計算得出風險估值。下表列舉出風險場景評分的標準要素：工業控制系統安全評估流程27 風

46、險計算與緩解策略表 6.1 風險場景評分要素評分維度描述目標對象 = 關鍵性在安全評估的資產評估階段確定出每項資產或系統的關鍵性評分，可參考風險資產預篩階段的等級排序。脆弱性（漏洞）= 嚴重性在安全評估階段脆弱性評估中確定漏洞的嚴重性，通常借助 CVE 發布的漏洞公告進行評級。風險場景 = 可能性使用 CVSS 工具時效度量指標評分（可利用性）進行評估。后果所造成的影響在系統評定階段確定每個系統對應的影響評分。通常使用標準的 CVSS 評分對漏洞嚴重性進行評級，評級結果為 110。目標對象關鍵性、風險場景的可能性和影響取值范圍為 15。假設在風險評分過程中對每個要素賦予相同的權重，則總體風險評

47、分的取值介于 110 之間，可以使用以下公式進行風險計算：風險值4嚴重性+（關鍵性2）+（可能性2）+（影響2）=風險值 （也指風險評分） 的計算并非只有一種方法， 以上只是提出的一種簡單易用無繁雜計算的方法。用戶可使用符合自己需求的任意計算公式，并且對要素權重根據實際情況進行賦值。根據以上計算公式可對前述 PLC 設備風險場景進行評分計算：查找脆弱性（漏洞）的評分為 9.8，因此嚴重性賦值為 9.8。資產關鍵性經過評分定級為 3，因此關鍵性賦值為 3。風險場景發生的可能性經過評估為 2.5，因此可能性賦值為 2.5。風險發生后產生的影響經過評估為 3，因此影響賦值為 3。風險值6.749.8

48、+（32）+（2.52）+（32）=至此完成了風險場景的構建與評分，如下表所示，其中列舉出了存在漏洞的資產、與資產關聯的漏洞和攻擊向量、威脅源及其攻擊方式、潛在后果和影響，并對這些內容進行了評分。接下來討論如何制定風險的緩解措施。工業控制系統安全評估流程28 風險計算與緩解策略表 6.2 應用風險評分實例項目描述威脅源國家資助的攻擊者 / 內部人員 / 前內部人員 / 惡意代碼攻擊類型棧緩沖區溢出攻擊向量Web 界面 / 本地網絡 / 工程師站 PCDENG-0024脆弱性（漏洞）CVE-2016-0868目標對象Allen-Bradley MicroLogix1100攻擊手法執行任意代碼。獲

49、取完整的控制權限。修改配置以改變過程行為。潛在后果控制器處于故障狀態。過程控制中斷。過程故障。數據信息受損。裝備損壞或被蓄意破壞。脆弱性驗證程度：9.8 資產關鍵性：3 風險發生可能性：2.5 影響：3 風險值：6.76.2 風險緩解策略制定工業控制系統的風險緩解策略制定時建議綜合以下幾個方面進行考慮：1. 與 IT 網絡的異同點。2. 從攻擊發生的三要素出發。3. 其他方面出發。6.2.1 與 IT 網絡異同點從網絡、主機、物理訪問三個方面探討工業控制系統需要考慮的特殊情況。工業控制系統安全評估流程29 風險計算與緩解策略表 6.3 基于網絡的工業控制系統特殊考慮點特殊考慮點描述內部地址空間

50、用法在工業控制系統環境中請勿使用僅通過互聯網就可路由到的 IP 地址。隔離網絡物理隔離并不意味著不受攻擊。雙宿網絡工程師站經常會連接到工業控制網絡和其他網絡如業務網，但這種配置往往會削弱安全防護措施，例如網絡隔離可能會受到雙宿網絡的影響。數據網絡與控制網絡的通信路徑應該嚴格限制對工業控制系統的訪問，工業控制系統資產和設備也應禁止訪問互聯網。網絡安全設備在網絡中部署工業防火墻、IDS 等設備，但過于嚴格的安全措施有可能對生產環境帶來不利影響。聯網的工業控制設備基于 IP 協議的工業控制設備在設計上安全性不強，無法經受傳統 IT 環境下的測試。聯網的工業控制應用程序應用程序包含了許多潛在可利用的漏

51、洞，或者可能削弱其他安全策略的設計特性，如某些程序會請求防火墻開放大范圍端口以保證程序數據通過防火墻。表 6.4 基于主機的工業控制系統特殊考慮點特殊考慮點描述補丁策略大多數工業控制系統無法像 IT 系統經常定期更新補丁，此外補丁程序也需要經過廠商的許可，以免給工業控制系統及其設備帶來負面影響。重啟計劃主機重啟的周期需要按照計劃安排進行，由于補丁更新后經常會要求重啟，而大多數工業控制系統資產不能像傳統 IT 資產一樣可以頻繁重啟或者臨時重啟。備份策略工業控制系統的主機及設備中包含對于安全過程、生產監管報告而言非常關鍵的數據，確保采用適當的方式對這些數據進行定期備份。主機部署方式工業控制系統應用

52、程序對于其所在主機中安裝的操作系統與補丁包非常敏感，并且安裝過程必須嚴格按照廠商建議進行。故障轉移程序系統正常運行時間和可用性對于工業控制系統環境來說非常重要。確保擁有有效的故障轉移機制和程序是防止被入侵的主要系統遭受拒絕服務式攻擊的重要防護手段。使用的操作系統在難以定期更新和升級的工業控制系統中，熟悉所使用的操作系統對于制定風險緩解策略來說非常重要。例如了解環境中使用的操作系統版本中存在的漏洞，尤其是那些已經停止維護的操作系統，如 Windows XP。工業控制系統安全評估流程30 風險計算與緩解策略表 6.5 基于物理訪問的工業控制系統特殊考慮點特殊考慮點描述物理設備部署對工業控制系統環境

53、運行非常關鍵的 IT/ 非 IT 基礎設施應當設置權限。對操作間的出入口上鎖。對部署設備的機柜上鎖。設置工業控制系統設備的物理訪問權限。設置工業控制系統 IT 計算機的物理訪問權限。使用雙因子認證感應卡。6.2.2 從攻擊發生三要素出發一次成功的攻擊三要素包含威脅、利用工具、脆弱性（漏洞）。類比于滅火，只要去掉燃燒中的任一要素即可滅火，那么只要去掉攻擊中的任何一個要素就可以降低遭受攻擊的風險。完全清除現實中的漏洞利用工具是不可能的， 但是了解實施哪些措施以及如何部署這些措施最有效，能夠幫助用戶抵御風險或者將風險降為最低還是有意義的，了解工具的原理及其利用的依賴點就可以有針對性的部署抵御措施。完

54、全清除威脅也是不可能的，除了內部威脅還有大量的外部威脅。面對這樣的威脅，簡單的清除思路是行不通的。然而了解這些威脅的運作方式，研究威脅機構的活動目標等信息，則可以幫助用戶了解攻擊者會在什么時候采用什么方式發起攻擊，從而實現針對風險的最優化防御部署。阻止對漏洞的利用是在攻擊三要素場景中唯一可真正控制的因素了。清除漏洞主要有以下方法。表 6.6 清除漏洞的方法方法具體細節限制對系統或漏洞的訪問限制權限配置，利用最小權限和最小路由理念實施。應用程序或進程白名單或黑名單技術。工業控制系統網絡協議監測。部署連接中央控制區與現場區域的工業控制系統堡壘主機。在 IT 系統與工業控制系統之間部署單向網關。電子

55、郵件和文件的訪問限制。物理環境的訪問限制、接口訪問限制。清除漏洞軟件程序修復。系統補丁更新。防病毒軟件部署。不安全配置項修復。工業控制系統安全評估流程31 風險計算與緩解策略6.2.3 其他方面除了幾個明顯的直接與工業控制系統安全相關的影響因素或解決思路外，還有一些經常被忽視的情況，在此也將該部分內容引出 ，期望為用戶帶來緩解風險的更多思路。 系統集成問題 安全是一個整體 , 安全問題可能是各個子系統協同工作時引起的。 合規性與安全性 合規不等于安全。假設某項安全措施對整個系統很重要 . 但監管標準未作出相應的要求 . 那么對于工控安全團隊來說 , 很難獲得資金支持來部署相應的設備。 風險轉移

56、 風險處置機制的一種經典方式是與其他實體分擔風險（風險轉移）。 部署蜜罐 當攻擊者掃描存在漏洞的資產時 , 已部署的蜜罐有助于迅速發現入侵者 , 并迅速開展應對措施 ; 同樣也對事后的取證和立案提供幫助 ; 還可以研究黑客的攻擊手法 , 有助于研究入侵的特征碼 , 從而集成進入侵檢測系統。6.2.4 風險緩解策略制定步驟結合目標對象和制定風險緩解策略時考慮的因素， 給出針對風險的緩解策略可執行的參考步驟如下：制定針對每個風險場景的多個緩解方案對方案的成本進行估算比較緩解成本與入侵影響損失通過已知數據，回答系列問題選擇最優緩解方案部署緩解方案圖 6.2 緩解策略執行步驟工業控制系統安全評估流程3

57、2 風險計算與緩解策略通過已知數據需要回答的問題包含： 總預算數額？ 哪些是最關鍵且最易于暴露的資產？ 入侵產生的總體成本或影響如何？ 入侵成功的可能性有多大？ 風險緩解的成本會超過風險帶來的損失嗎？工業控制系統安全評估流程33 驗證與測試7. 驗證與測試7驗證與測試工業控制系統安全評估流程34驗證與測試通常安全評估過程在制定了對應的緩解措施和安全建議后就告一段落，但這個流程在閉環體系中是存在問題的。構建了風險場景，場景的問題是否一定存在？制定了緩解措施或者安全建議，這些建議是否奏效？這些都無從確認，即針對整個過程缺乏驗證，沒有測試驗證的方案與建議都是自說自話，不能構成閉環反饋。因此驗證測試環

58、節在整個安全評估流程中是必不可少的。目標定義與系統評定資產評估脆弱性評估風險場景構建風險估算與防護部署驗證與測試安全策略脆弱性架構與設計脆弱性配置與維護脆弱性物理環境脆弱性產品實現的脆弱性通信與網絡脆弱性威脅評估攻擊向量評估威脅事件構建風險場景構建風險計算防護措施制定防護措施排序滲透測試（組件測試、系統測試）資產識別資產分類網絡拓撲審查數據流審查風險資產預篩業務/運營目標定義系統評定系統分類圖 7.1 安全評估流程圖針對風險場景構建階段的測試與驗證的目的是通過測試驗證風險場景，了解并預測脆弱點被利用的難易程度以及發起攻擊的可能性，從而提高風險緩解策略的針對性與效率。針對風險計算與緩解策略部署階

59、段的測試與驗證的目的是通過測試驗證緩解策略的部署判定是否可抵御對應的攻擊類型，是否起到了預期的作用。如果沒起到作用證明該緩解策略或者方案是失敗的，也可以理解為修改 BUG 后的回歸測試。例如針對 PLC 設備風險場景構建示例中，在構建完成后要驗證現場使用的 Allen-Bradley MicroLogix1100 設備是否真正存在該漏洞，是否可以將工程師站點作為跳板訪問 PLC，是否能執行任意代碼或者獲取控制權限等問題。工業控制系統安全評估流程35 驗證與測試當完成風險緩解策略制定后，需要驗證應用了緩解策略或者部署防御方案后是否還可以訪問到Allen-Bradley MicroLogix110

60、0 設備，這個設備是否已經不存在評估中的漏洞，是否不再能任意執行代碼等。再次重新對風險場景進行評分計算，核查最優策略與方案是否明顯降低了風險值。只有添加了測試與驗證這個環節，并且將這個環節貫穿至整個安全評估的重點過程中，才可以構成閉環，才可以說安全評估做的較為到位。工業控制系統安全評估流程36工業控制系統安全標準8. 工業控制系統安全標準8工業控制系統安全標準工業控制系統安全評估流程37工業控制系統安全標準標準是促進全球貿易、技術、環境、社會等可持續發展的重要支撐，是各國參與國際規則制定的重要途徑，是一種層次更深、水平更高、影響更大的競爭。網絡安全標準的競爭更是明顯，誰占據了網絡安全標準的制高

61、點，誰就可以在網絡安全博弈中贏得先機、掌握主動。因此在闡述了安全評估流程后很有必要就工業控制系統的國內外標準做以梳理，以澄清現在整個行業的標準現狀。8.1 國外工業控制系統標準概述國外工業控制系統相關的網絡安全標準比較多，歐美等國家從地區或者不同角度來闡述對工業控制系統網絡安全的要求和主張，近年來針對工業控制系統的安全標準數量正在顯著增加。與工業控制相關的安全標準主要包括以下： 美國國家標準與技術研究院（NIST）制定的工業控制系統安全指南（NIST SP800-82）。 國際自動化協會 / 國際電工委員會制定的 IEC 62443工業過程測量、控制和自動化網絡與系統信息安全系列標準。 北美電

62、力可靠性委員會（NERC）制定的關鍵設施保護可靠性標準，北美大電力系統可靠性規范（NERC CIP 002009）。 美國石油協會（API）制定的管道 SCADA 安全（API1164）和石油工業安全指南。 美國國土安全部（DHS）制定的化工設備反恐主義標準，及中小規模能源設施風險管理核查事項等。 美國核能管理委員會（NRC）制定的核設施網絡安全措施（RegulatoryGuide5.71）。 美國核能研究所（NEI）制定的 08-09 標準。 美國國家標準與技術研究院（NIST）制定的網絡安全框架和 NIST SP 800-53 建議。 歐盟安全標準有 M/490 標準化要求（EUM/490

63、）和智能電網協調小組（SGGG）對現代電力系統提出的指南建議。 歐盟網絡與信息安全局提出的多項指南。被廣泛認可且普遍應用的安全標準有 NIST SP800-82、IEC 62443 和 NERC CIP。其中 NIST SP800-工業控制系統安全評估流程38工業控制系統安全標準82、IEC 62443 應用在所有使用工業控制系統的行業中，而 NERC CIP 主要應用在電力行業、石油與天然氣行業。NIST SP 800-82 工業控制系統（ICS）的安全指南，其目的是為工業控制系統（ICS），包括監控和數據采集系統（SCADA）、分布式控制系統（DCS），以及其它系統的控制功能提供指導。文件

64、提供了一個概述，ICS 和典型系統拓撲結構，確定這些系統的典型威脅和脆弱性，并提供建議的安全對策，以減輕相關風險。其中主要內容包括： 對工業控制系統威脅和漏洞的更新。 對工業控制系統風險管理、實踐建議及架構更新。 對工業控制系統安全中當前活動的更新。 對工業控制系統中安全功能和工具的更新。 與其他工業控制系統安全標準和指南保持一致的相關調整。NIST SP 800-82 指南是許多使用工業控制系統企業安全標準的基線，并且被很多其他出版物廣泛引用。該標準自創建以來，經過漫長的演變至今已發展成為一項較為全面地工業控制安全標準，是很有價值的參考資料。IEC-62443 標準的全稱是“工業過程測量、控

65、制和自動化與系統信息安全”， IEC/TC65 在制定“工業過程測量、控制和自動化”的標準過程中，遇到了網絡安全的問題，因此在 2003 年 9 月成立了 IEC/SC65C/WG13 工作組研究制定工業控制系統的網絡安全標準問題。IEC 在 2005 年成立了 IEC/TC65/WG10 工作組，專門進行“系統及網絡信息安全”的標準制定工作，并在 2006 年第一次發布 IEC-62443 的標準。IEC-62443 標準的中心思想是如何對工業控制系統的產品開發、產品集成、實施和運維等全生命周期環節中實現和評價相關角色的網絡安全能力。IEC-62443 的重點不是安全技術，而是對安全能力的評

66、估，所以其核心內容是“網絡安全保證等級 SAL”的評價模型。工業控制系統安全評估流程39工業控制系統安全標準ISA-TR62443-1-3系統信息安全合規性度量ISA-TR62443-1-4IACS信息安全生命周期及用例ISA-TR62443-1-2主要術語及縮寫詞匯表ISA-62443-1-1技術、 概念與模型通用ISA-TR62443-2-3IACS環境下補丁管理ISA-TR62443-2-4IACS制造商信息安全與維護要求ISA-TR62443-2-2IACS信息安全管理實施指南ISA-62443-2-1IACS信息安全管理系統要求策略與程序ISA-TR62443-3-3系統信息安全要求

67、與信息安全保障等級ISA-TR62443-3-2區域和管道信息安全保障等級ISA-62443-3-1技術、 概念與模型系統技術組件技術ISA-TR62443-4-2對IACS產品的信息安全技術要求ISA-62443-4-1技術、 概念與模型圖 8.1 IEC-62443 標準體系組織結構IEC-62443 標準的主要內容有 4 個部分：1. IEC-62443-1 系列：主要是概念和模型的定義，包括安全目標、風險評估、全生命周期、安全成熟度模型。尤其是基于 7 個基本要求（FR）的安全保證等級（SAL），從 7 個 FR 方面將系統的網絡安全能力定義為 SAL 的 4 個等級。2. IEC-6

68、2443-2 系列：主要是講在集成和實施、運維中如何實現網絡安全，目標對象主要是集成商、服務商和業主的安全能力。包括在工業控制系統中如何部署網絡安全、如何進行補丁管理，以及安全策略和操作規程。3. IEC-62443-3 系列：主要闡述產品級的系統集成如何實現網絡安全，包括產品系統集成的安全工具、技術措施等如何去滿足安全保證等級，目標對象主要是產品級的系統集成商。4. IEC-62443-4 系列：主要是單個產品或者獨立組件如何實現網絡安全，包括具體產品開發和技工業控制系統安全評估流程40工業控制系統安全標準術設計上的網絡安全要求，比如主機、嵌入式裝置等，目標對象是單個產品或者獨立組件的制造商

69、和供應商。IEC-62443 標準的網絡安全保證等級（SAL）的評價模型如下：1. SAL分為4種類型：目標SAL、 設計SAL、 達到SAL、 能力SAL。 分別對應全生命周期的不同階段。2. SAL 的 4 個等級：SAL1：抵御偶然性的攻擊；SAL2：抵御簡單的故意攻擊；SAL3：抵御復雜的調用中等規模資源的故意攻擊；SAL4：抵御復雜的調用大規模資源的故意攻擊。3. SAL的評價值的矢量模型：FR IAC、 UC、 DI、 DC、 RDF、 TRE、 RA， 其中， IAC為標識與鑒別控制，UC 為用戶控制，DI 為數據完整性，DC 為數據保密性，RDF 為受限制的數據流，TRE 為事

70、件實時響應，RA 為資源可用性。NERC-CIP 全稱為“北美關鍵基礎設施保護”，NERC 北美電力可靠性委員會是非營利性監管機構，職責在于開發并執行可靠性標準，保障電網可靠性。NERC 職責范圍在北美大陸，包括美國、加拿大、墨西哥，NERC 受美國聯邦政府、加拿大政府的監管。NERC 在 2006 年發布了 CIP。NERC-CIP 在2007 年得到美國 FERC（聯邦能源監管委員會）的批準，成為美國法規，成為北美通行標準。NERC-CIP 是 NERC 對關鍵基礎設施的安全保護規定，主要是針對電網運營的功能實體責任實體，具體實體可以包括：電力資產業主、電力傳輸運營商、設備運營商、設備和系

71、統制造商、系統集成服務商、電網結算單位等。NERC-CIP 的目標是保障電網的可靠性安全性，網絡安全是其主要內容，但不是全部，即使是其中的網絡安全，也不僅僅是狹義上的技術上的網絡安全，范圍要更加寬一點。標準的主要內容包括技術和管理的要求、監督執行兩個層面：1. 技術和管理的要求：對產品和系統的電子安全邊界的設計和實現、物理訪問的識別和監控、端口信息保護、漏洞的檢查和管理、日志記錄、事件的報告和響應機制、備份和恢復規劃、變更的管理、脆弱性評估、供應鏈管理等，以及人員意識、培訓制度、文檔資料。2. 監督執行：明確適用對象、責任主體、監管機構、證據要求、評估流程、違規程度評價等。工業控制系統安全評估

72、流程41工業控制系統安全標準8.2 國內工業控制系統標準概述在國內，自 2010 年前后已陸續開展工業控制系統信息安全相關標準的研究制定工作。截至目前，全國已有多個相關標委會開展了該領域標準執行工作。全國工業過程測量和控制標準化技術委員會從自動化領域入手，借鑒 IEC62443 等系列標準，研究制定了工業通信網絡 - 網絡和系統安全 - 第 2-1 部分：建立工業自動化和控制系統信息安全程序、工業控制系統信息安全 第 1 部分：評估規范、工業控制系統信息安全第 2 部分：驗收規范等工業控制系統的安全標準。全國信息安全標準化技術委員會（TC260）作為全國信息安全領域標準化歸口組織，管理全國信息

73、安全領域的相關國家標準化工作。截至目前，已發布信息安全技術 工業控制系統安全控制應用指南等相關國家標準。部分國內工業控制系統標準如下表所示。表 8.1 國內部分工業控制系統標準序號 名稱1工業控制系統信息安全 第 1 部分：評估規范2工業控制系統信息安全 第 2 部分：驗收規范3工業控制系統信息安全防護指南4信息安全技術 工業控制系統安全控制應用指南5信息安全技術 工業控制系統安全分級規范6信息安全技術 工業控制系統安全檢查指南7信息安全技術 工業控制系統安全管理基本要求8信息安全技術 工業控制系統風險評估實施指南9信息安全技術 工業控制系統產品信息安全通用評估準則10信息安全技術 工業控制系

74、統安全防護技術要求和測試評價方法11信息安全技術 工業控制系統網絡監測安全技術要求和測試評價方法12信息安全技術 工業控制系統漏洞檢測技術要求及測試評價方法13信息安全技術 工業控制網絡安全隔離與信息交換系統安全技術要求14信息安全技術 工業控制系統網絡審計產品安全技術要求15信息安全技術 工業控制系統專用防火墻技術要求16信息安全技術 工業控制系統入侵檢測產品安全技術要求17信息安全技術 數控網絡安全技術要求工業控制系統安全評估流程42工業控制系統安全標準序號 名稱18信息安全技術 工業控制系統測控終端安全要求19集散控制系統（DCS）安全防護要求20集散控制系統（DCS）安全管理要求21集

75、散控制系統（DCS）安全評估指南22集散控制系統（DCS）風險與脆弱性檢測要求23可編程邏輯控制器（PLC）系統信息安全要求24電力監控系統安全防護規定25電力監控系統安全防護總體方案26電力行業信息系統安全等級保護基本要求27電力行業信息系統安全等級保護基本要求28石油化工工廠信息系統設計規范29核電廠安全系統 第 1 部分 設計準則30核電廠安全系統中數字計算機的適用準則31煙草工業企業生產網與管理網網絡互聯安全規范32煙草行業工業控制系統網絡安全基線技術規范選取部分標準做以簡單概述。工業控制系統信息安全 第 1 部分：評估規范作為我國工業控制安全第一個有內容的國家標準，解決了我國工業控制

76、安全無標準可依的窘境。評估規范分為管理評估和系統能力（技術）評估。管理評估宜對照風險接受準則和組織機構相關目標，識別、量化并區分風險的優先次序。風險評估的結果可指導并確定適當的管理措施及其優先級，評估風險和選擇控制措施的過程需要執行多次，以覆蓋組織機構的不同部門或各個工業控制系統。管理評估分三個級別、系統能力（技術）評估分為四個級別。信息安全等級由系統能力等級和管理等級二維確定。工業控制系統信息安全 第 2 部分：驗收規范此標準解決了我國工業控制系統信息安全驗收上的空白，解決了驗收有標準可依的困境。此標準的使用方是工業控制系統用戶方，驗收規范涉及到專業的安全測試，除電力和石油石化等大部分用戶方

77、在能力上不足以完成驗收階段的安全測試。因此需要借助第三方的測評力量來驗收，就涉及到項目預算增加的問題。因此在做標準宣貫時，需要在立項階段就考慮驗收標準和費用的問題。信息安全技術工業控制系統安全檢查指南 規定了工業控制系統信息安全檢查的目的、 范圍、 方式、流程、方法和內容，適用于開展工業控制系統的信息安全監督檢查、委托檢查工作，同時也適用于各企業在本集團（系統）范圍內開展相關系統的信息安全自檢查。工業控制系統安全評估流程43工業控制系統安全標準信息安全技術工業控制網絡安全隔離與信息交換系統安全技術要求規定了工業控制網絡安全隔離與信息交換系統的安全功能要求、安全保障要求和安全等級劃分要求，適用于

78、工業控制網絡安全隔離與信息交換系統的設計、開發及測試。信息安全技術工業控制系統漏洞檢測產品技術要求及測試評價方法規定了針對工業控制系統的漏洞檢測產品的技術要求和測試評價方法，包括安全功能要求、自身安全要求和安全保障要求，以及相應的測試評價方法，適用于工業控制系統漏洞檢測產品的設計、開發和測評。信息安全技術工業控制系統產品信息安全通用評估準則定義了工業控制系統產品安全評估的通用安全功能組件和安全保障組件集合，規定了工業控制系統產品的安全要求和評估準則，適用于工業控制系統產品安全保障能力的評估，產品安全功能的設計、開發和測試也可參照使用。信息安全技術工業控制網絡監測安全技術要求及測試評價方法規定了

79、工業控制網絡監測產品的安全技術要求和測試評價方法，適用于工業控制網絡監測產品的設計生產方對其設計、開發及測評等提供指導，同時也可為工業控制系統設計、建設和運維開展工業控制系統安全防護工作提供指導。信息安全標準是我國信息安全保障體系的重要組成部分，工業控制系統信息安全是國家網絡安全的重要組成部分，在工業控制安全國家標準制定中，需要信息安全專家、工業控制專家、行業專家等多領域專家共同參與，才能真實反映既符合網絡安全要求又符合工業控制現場現狀。了解整個國內外工業控制系統的安全標準和相關法規，對于制定整體安全策略至關重要。但是這些標準和法規只應該作為基本的安全基線，在參照的基礎上真正的結合風險場景與成本預算和各類安全措施，制定出經濟、高效、持久的安全策略與措施才是企業真正的需求。工業控制系統安全評估流程44參考文檔 黑客大曝光 - 工業控制系統安全 【美】克林特（Clint E.Bodungen）等著 機械工業出版社工業控制系統安全評估流程45綠盟科技格物實驗室綠盟科技格物實驗室專注于工業互聯網、物聯網和車聯網三大業務場景的安全研究。實驗室以“格物致知”的問學態度，致力于以智能設備為中心的漏洞挖掘和安全分析，提供基于業務場景的安全解決方案。 積極與各方共建萬物互聯的安全生態， 為企業和社會的數字化轉型安全護航。