架构与设计脆弱性
表 4.2 架构与设计脆弱性检查表
脆弱性 描述
安全架构是企业架构的一部分,在工业控制系统
架构设计之初,应该融合考虑。 在架构搭建与设计过程中未考虑安全因素 在架构设计时需要解决用户识别与授权、访问控制机
制实现、网络拓扑绘制、系统配置与完整性机制实现等问题。
工业控制系统中的网络基础设施环境通常会根据业务和运营要求进行开发和改动,而此过程中
几乎没有考虑改动所带来的潜在安全风险。随着时间的推移,安全漏洞可能已经无意中带入到 不断进化的不安全架构
了基础设施中的特定部位,如果不修复这些漏洞,则会成为进入工业控制系统的后门,引入潜
在的攻击向量。
如果工业控制系统没有对安全边界做出明确定义,则无法确保对必要的访问控制进行正确的部 未定义的安全边界
署和配置,这可能导致对系统与数据的未授权访问及其他更多的问题。
对于控制流量和非控制流量而言有不同的要求,例如确定性和可靠性等,因此在单一网络中如 在控制网内传输其他无关流
果同时具有上述两种类型的网络流量,那么对网络进行配置以满足控制流量的要求将会很困难, 量
设计初期应该考虑隔离两者的流量通道。
在控制网络中使用非控制网 DNS和 DHCP等服务通常部署在 IT网络,如果在控制网络中使用将导致工业控制系统网络依 络中的服务 赖于 IT网络,而 IT网络并不具备工业控制系统所需要的可靠性和可用性。
取证分析取决于是否收集并保留了足够的历史数据。如果数据收集方式不妥当或者不正确,则 历史数据收集不完善 可能无法分析出导致发生安全事件的原因。而如果事件被忽视,则会导致额外的损失或系统中断。
需要实施常态化安全监控,及时识别安全控制的问题,例如错误配置和故障等。
配置与维护脆弱性
表 4.3 配置与维护脆弱性检查表
脆弱性 描述
企业内部对自己拥有的软硬件及固件数量、类型、版本号、所处位置及补丁状态等信息掌握不 全面,从而导致无效防护的现状。
硬件、固件与软件缺乏配置
应实施对硬件、软件、固件和文档等对象的控制变更管理,以确保系统在整个过程中免遭不当 管理
或者不正确的改动影响。
为了对工业控制系统实施正确的保护,应该能够准确地列出系统中资产和当前配置信息。
由于工业控制系统软件和工业控制系统底层之间的紧密耦合,对于软件的改动必须经历代价高 修复漏洞的周期过长 昂、耗时甚多的全面回归测试。更新后的软件进行测试及后续分发过长的耗时则可能导致工业
控制系统在一段相当长的时间范围内存在漏洞。
过时的操作系统和应用程序可能包含新发现的可利用漏洞。应当为安全补丁的维护管理过程制 漏洞补丁管理无章法 定程序并形成文档。对于使用过时操作系统的工业控制系统,甚至可能没有厂家能够提供可用
的安全补丁。在这种情况下,处理程序中应包含与之对应的漏洞缓解应急计划。
脆弱性 描述
对于已经部署的硬件、软件和固件改动,如果未对其进行完善地测试则可能会影响工业控制系 统的正常运行。
针对安全变更的测试不完善
应当制定程序形成文档,保证对可能带来安全影响的所有改动进行测试。 针对实时业务系统不能开展测试的,需要联系系统厂商和集成商协调进行。
远程访问工业控制系统的原因很多,无论是厂商与系统集成商需要执行系统维护功能,还是工 远程访问控制机制薄弱 业控制系统工程师需要状态监控和生产管理,只要位于不同的地理位置,就需要对工业控制系
统进行远程访问。远程访问能力必须予以妥善控制,以防止工业控制系统的未授权个人访问。
配置不当的系统中会开放不必要的端口,用到不必要的协议。而不必要的功能则可能包含脆弱 配置方式不完善 性,从而增加系统所面临的整体风险。使用默认配置通常会暴露机器存在漏洞的服务,因此应
该对所有设置详细检查。
对于意外事件或者攻击者篡改配置信息的情况,应制订对工业控制系统配置信息进行恢复的程 未对关键配置信息进行存储
序,以保持系统可用性并避免数据丢失。还应制订对工业控制系统配置信息进行维护的程序并 或备份
形成文档。
物理环境脆弱性
表 4.4 物理环境脆弱性检查表
脆弱性 描述
不安全的物理端口 不安全的 USB接口、PS2 接口可能会导致未授权的连接,例如小型 U盘、键盘监控等程序等。
在考虑功能安全的前提下,如紧急关闭或重新启动等要求,对工业控制系统设备的物理访问应 未授权人员对物理设备的访
仅限必要的工作人员。对工业控制设备的不当物理访问可能会导致以下情况:数据和硬件失窃、 问
维护数据损坏、运行环境的未授权变更、物理数据链路连接中断、不可检测的数据截获。
控制系统的硬件易受到射频、电磁脉冲、静电放电、电压不足和电压尖峰的影响。受影响的范 射频、电磁脉冲、静电放电、
围涵盖了从指挥和控制系统的暂时中断到电路板的永久损坏等诸多后果。建议采取适当的屏蔽 电压不足和电压尖峰
防护措施,如接地、功率调节和浪涌抑制等保护措施。
如果关键资产没有备用电源,一般电力中断事故就会导致工业控制系统关闭,并可能造成其他 备用电源缺失
危险状况。电力中断还可能导致系统恢复到不安全的默认设置。
环境失控(如温度、湿度等)可能导致设备损坏。此时,有些处理器会停止工作以自我保护, 环境失控
有些处理器则会继续以小电压运行,但可能间歇性错误,持续重启甚至永久丧失执行能力。
参考资料
绿盟 工业控制系统安全评估流程
友情链接
GB-T 36624-2018 信息技术 安全技术 可鉴
![[spark]transformation算子](https://img-blog.csdnimg.cn/58d837291cf84f8d94f37f4cb13f1077.png)
