工业控制系统安全评估流程.pdf

工业控制系统安全评估流程关于绿盟科技北京神州绿盟信息安全科技股份有限公司（以下简称绿盟科技公司），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市，证券代码： 300369。绿盟科技在国内设有 40 多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。版权声明为避免合作伙伴及客户数据泄露，所有数据在进行分析前都已经过匿名化处理，不会在中间环节出现泄露，任何与客户有关的具体信息，均不会出现在本报告中。工业控制系统安全评估流程A目录 CONTENTS目录1. 综述 12. 目标定义与系统评定 32.1 目标定义 42.2 系统评定与分类 53. 资产评估 63.1 资产识别与分类 73.2 网络拓扑审查 83.3 数据流审查 83.4 风险资产预筛 84. 脆弱性评估 94.1 安全策略脆弱性 114.2 架构与设计脆弱性 124.3 配置与维护脆弱性 124.4 物理环境脆弱性 134.5 产品开发过程脆弱性 144.6 通信与配置脆弱性 145. 风险场景构建 165.1 威胁评估 175.2 攻击向量评估 185.3 威胁事件构建 195.4 风险场景构建 20工业控制系统安全评估流程B目录 CONTENTS6. 风险计算与缓解策略 256.1 风险计算 266.2 风险缓解策略制定 286.2.1 与 IT 网络异同点 286.2.2 从攻击发生三要素出发 306.2.3 其他方面 316.2.4 风险缓解策略制定步骤 317. 验证与测试 338. 工业控制系统安全标准 368.1 国外工业控制系统标准概述 378.2 国内工业控制系统标准概述 41参考文档 44工业控制系统安全评估流程C综述1. 综述11综述工业控制系统安全评估流程2综述随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，网络威胁正在由传统 IT 领域向工业控制系统扩散，工业控制系统信息安全问题日益突出，对工业生产运行，乃至国家经济安全造成重大隐患。如何针对这些隐患制定出一套可行的检测与安全评估方法显得尤为重要，也是关键基础设施领域亟待解决的问题。但由于每个企业的业务目标和运营环境多样化、复杂化，而制定一套“均码”的度量标准或者规范是很艰难的，即使制定出该标准但实施与执行后的效果是否理想就不得而知。安全评估存在的问题：1. 合规并不等于安全。 2. 无法验证的脆弱性仅仅是主观推测的结果，需大胆设想，小心求证。构建的理念：在工业控制系统的功能安全、操作安全、安全防护措施以及脆弱性的基础上，构建整体性更强、综合性更高的方法（风险场景构建），避免零散孤立的合规核查，对风险的“可能性”做出更为准确的解释，形成可量化的标准，为制定有针对性的、高效的风险缓解措施奠定基础。这里将尝试提出一种工业控制系统安全评估流程的方法论，从技术层面出发梳理评估步骤，针对涉及到的技术点与方法进行归纳总结。本文所提出的安全评估的流程如下图所示：目标定义与系统评定资产评估 脆弱性评估 风险场景构建风险估算与防护部署验证与测试安全策略脆弱性架构与设计脆弱性配置与维护脆弱性物理环境脆弱性产品实现的脆弱性通信与网络脆弱性威胁评估攻击向量评估威胁事件构建风险场景构建风险计算防护措施制定防护措施排序渗透测试（组件测试、系统测试）资产识别资产分类网络拓扑审查数据流审查风险资产预筛业务/运营目标定义系统评定系统分类工业控制系统安全评估流程3目标定义与系统评定2. 目标定义与系统评定2目标定义与系统评定工业控制系统安全评估流程4目标定义与系统评定2.1 目标定义全面的安全评估需要了解系统的相关组成结构以及相关联的业务，从多个方面评估可能存在的风险，并通过实施过程进行逐步验证，通过计算模型推导出可能形成的损失。如下图：信 息系 统通讯系 统终端系 统数据系 统生产系 统人 员 管 理供应链图 2.1 风险评估参考架构制定适合自有系统的风险度量标准并对识别出的风险进行评分，对于工业控制系统来说，需要理清如下问题：1. 企业生产什么 ?2. 工业控制系统运行 / 实现自动化的环节有哪些？3. 在生产环境中部署了哪些系统支持正常生产？4. 工业控制系统中哪些地方出现异常可能会造成较大的损失？通过回答这些甚至更多问题，就可知道哪些系统对于实现业务 / 运营目标更为关键，哪些系统为辅助性的，同时也明确了这些系统按计划停止运行后可能导致的后果是什么。确定业务 / 运营目标过程：风险评估考虑因素： 人员（安全意识与安全能力） 管理（人员管理、生产管理、数据管理、运维管理等） 供应链（元件 / 设备引入安全风险） 边界（不同区域的风险管理） 工艺（可靠性要求） 电磁辐射（侧信道攻击） 环境（设备 / 系统针对不同环境的适应能力） 数据传输与存储 设备老化或者异常运行工业控制系统安全评估流程5目标定义与系统评定1. 多角色参与讨论，如业务经理 / 资产所有者 / 资产托管方 / 工程经理 / 工程师 / 所有其他利益相关方。2. 从对业务 / 运营目标提供支持的系统及这些系统的故障导致潜在的后果这两个维度出发，对业务 / 运营目标做出澄清。输出： 清晰的业务 / 运营目标。 支撑目标的各类系统。2.2 系统评定与分类在工业控制系统环境中系统的概念为出于一个共同的业务 / 运营目标而协同工作的一组过程设备、处理装置、计算机、调度策略、运行工艺和组织管理等。如 SIS（安全仪表系统）、 SCADA（监控与数据采集系统）、HSE（健康安全和环境管理系统）、FGS （火气系统）等。系统评定与分类的过程按照以下顺序进行：对目标系统做识别与判定分析与系统相关联的潜在事件和后果建立后果与业务/运营目标的关联关系根据关键性对系统进行分类与优先级排序图 2.2 系统评定与分类过程输出内容为： 对支撑业务 / 运营目标的各类系统的分类。 根据关键性对各个系统的优先级排序。工业控制系统安全评估流程6资产评估3. 资产评估3资产评估