政策解读丨工信部 2024 《工业控制系统网络安全防护指南》（二）

03.

新版与关保要求对比

如上图所示，新版指南与关保要求在文档章节结构有如下关系：

（1）资产管理对应分析识别、技术防护对应安全防护。

（2）将关保的“检测评估”、“监测预警”、“主动防御”、“事件处置”的相关章节内容整合到“三、安全运营”。

（3）将关保相关活动的“制度”内容整合到“四、责任落实”，使得工控安全资源保障体系的建设更加清晰和具体。

（4）将散落在关保各个活动里面安全教育培训相关内容整合到“一、资产管理”，虽然从逻辑上有些勉强，但使得工控安全教育培训要求更加明确和具体。

（5）将供应链安全从关保的“安全防护”放入“一、资产管理”，体现了供应链安全更多要用管理来保障的理念。

（6）新版指南强调了“上云安全”和“漏洞管理”，体现了工业场景下两个突出的安全问题。

04.

新版与等保工控扩展要求对比

如上图所示，新版指南与等保通用及工控扩展要求在文档章节结构有如下关系：

（1）等保工控扩展要求在通用要求的基础上，主要强化了“网络架构”、“通信传输”、“访问控制”、“拨号使用控制”、“无线使用控制”、“控制设备安全”等，相对新版指南来说，工控安全防护的适应性和特殊性考量不够。

（2）新版指南中很多要求里面都特别对“重要”工业控制系统有针对性的要求，对应等保定级为三和四的工业控制系统。

05.

新版与电力监控系统网络安全防护规定对比

如上图所示

（1）电力监控系统网络安全防护规定主要从安全分区、网络隔离、认证授权、供应链安全、应急处置恢复等环节进行了强化规定。

（2）电力监控系统网络安全防护是基于等保、关保的基础上做的进一步的补充规定，特别是对之前等保，关保没有涉及到的“信创”、“态势感知”进行了明确的补充规定。新版指南同样也将这些考虑进入。

06.

新版与NIST 800-82 V3对比

（一）对比分析

（1）新版指南参考国内外工控安全相关理念框架，如等保扩展要求、关保要求，结合工控的特殊性和实际情况而制定。NIST 800-82则将RMF、CSF、Defense-in-Depth等安全框架应用到OT系统，并结合OT的特殊性提供针对性的建议。

（2）新版指南只是提供一个结果性的要求，而NIST 800-82带有很多的分析和实践过程，使得知其然知其所以然，具有较强的可操作性。

（3）在具体的安全措施方面，两者没有太多的差别。

（二）NIST 800-82 V3

（1）主要观点与发现

1.1 为什么OT系统需要特别的安全防护方案

● 最初，OT与传统信息技术（IT）系统几乎没有什么相似之处，因为OT系统是隔离的，运行专有控制协议，并使用专门的硬件和软件。随着OT采用信息技术解决方案来促进企业业务系统的连接和远程访问能力，并使用行业标准计算机、操作系统和网络协议进行设计和实施，它们开始类似于信息技术系统。这种集成支持新的信息技术能力，但与先前的系统相比，它为OT提供的与外部世界的隔离要少得多，从而产生了保护OT系统的更大需求。

● 无线网络的日益普及使OT实施面临更大的风险，因为对手在物理上相对接近，但不能直接物理访问设备。

● 虽然安全解决方案旨在解决典型信息技术系统中的这些问题，但在将这些相同的解决方案引入OT环境时必须采取特别预防措施。在某些情况下，需要针对OT环境定制新的安全解决方案。

1.2 OT系统面临的安全风险

● 阻塞或延迟通过OT网络的信息流，这可能会中断OT操作。

● 未经授权更改指令、命令或警报阈值，可能会损坏、禁用或关闭设备，造成环境影响和/或危及人类生命。

● 向系统操作员发送不准确的信息，以掩盖未经授权的更改或导致操作员发起不适当的行动，这可能会产生各种负面影响。

● 修改的OT软件或配置设置，或感染恶意软件的OT软件，可能会产生各种负面影响。

● 干扰设备保护系统的运行，这可能危及昂贵和难以替换的设备。

● 干扰安全系统（safety systems）的运行，这可能危及人类生命。

1.3 OT系统的主要安全需求

● 限制对OT网络、网络活动和系统的逻辑访问。

○ 使用单向网关，利用带有防火墙的非军事区（DMZ）网络架构来防止流量直接在公司和OT网络之间传递，

○ 并为公司和OT网络的用户提供单独的身份验证机制和凭证。

○ OT系统还应使用具有多层的网络拓扑，最关键的通信发生在最安全可靠的层。

● 限制对OT网络和设备的物理访问。未经授权对组件的物理访问可能会严重破坏OT的功能。应使用物理访问控制的组合，如锁、读卡器和/或警卫。

● 保护单个OT组件免遭攻击。

○ 在现场条件下测试安全补丁后，尽可能迅速地部署安全补丁；

○ 禁用所有未使用的端口和服务，并确保它们保持禁用状态；

○ 将OT用户权限限制为每个用户角色所需的权限；

○ 跟踪和监控审计跟踪；

○ 并在技术上可行的情况下使用杀毒软件和文件完整性检查软件等安全控制来预防、阻止、检测和减轻恶意软件。

○ OT资产的密钥，如PLC和安全系统（safety systems），应始终处于“运行”位置，除非它们被积极编程。

● 限制对数据的未经授权的修改。这包括传输中（至少跨网络边界）和静态的数据。

● 检测安全events和安全incidents。检测尚未升级为事件的安全事件可以帮助防御者在攻击者达到目标之前打破攻击链。这包括检测失败的OT组件、不可用的服务和资源耗尽，这些对提供OT系统的正常和安全运行很重要。

● 在不利条件下保持功能。

○ 设计OT系统，使每个关键组件都有一个冗余的对应方。此外，如果一个组件发生故障，它应该以不会在OT或其他网络上产生不必要流量的方式发生故障，也不会在其他地方导致其他问题，如级联事件。

○ OT系统还应该允许优雅的降级，例如从完全自动化的“正常操作”转变为操作员更多参与和更少自动化的“紧急操作”，再到没有自动化的“手动操作”。

● 事故发生后恢复系统。事故是不可避免的，事故响应计划是必不可少的。一个好的安全计划的一个主要特征是事故发生后系统恢复的速度。

1.4 针对OT系统的纵深防御策略

● 制定专门适用于OT系统的安全政策、程序、培训和教育材料。

● 充分考虑国家及威胁发展趋势。

● 解决OT系统整个生命周期的安全性问题，包括架构设计、采购、安装、维护和退役。

● 为具有多层的OT系统实施网络拓扑，最关键的通信发生在最安全可靠的层。

● 提供公司和OT网络之间的逻辑分离（例如，网络之间的状态检查防火墙、单向网关）。

● 采用DMZ网络架构（例如，防止公司和OT网络之间的切流量）。

● 确保关键组件是冗余的并且位于冗余网络上。

● 基于优雅降级（容错）原则设计关键系统以防止灾难性级联事件。

● 在通过测试确保不会影响OT操作后，禁用OT设备上未使用的端口和服务。

● 限制对OT网络和设备的物理访问。

● 将OT用户权限限制为执行每个用户功能所需的权限（例如，建立基于角色的权限改造，根据最小权限原则配置每个角色）

● 为OT网络和公司网络的用户使用单独的身份验证机制和凭据（即，OT网络帐户不使用公司网络用户帐户）。

● 使用现代技术，例如智能卡进行用户身份验证。

● 在技术可行的情况下，实施入侵检测软件、杀毒软件和文件完整性检查软件等安全控制，以防止、阻止、检测和减轻恶意软件在OT系统中的引入、暴露和传播。

● 在确定适当的情况下，将加密和/或加密哈希等安全技术应用于OT数据存储和通信。

● 如果可能，在测试系统上的现场条件下测试所有补丁后，在安装到OT系统之前快速部署安全补丁。

● 跟踪和监控OT系统关键领域的审计跟踪。

● 在可行的情况下采用可靠和安全的网络协议和服务。

（2）OT系统的逻辑结构

（3）OT系统的特殊性

● 控制实时性要求Control Timing Requirements。系统过程具有广泛的时间相关要求，包括非常高的速度、一致性、规律性和同步性。人类可能无法可靠和一致地满足这些要求；自动化控制器可能是必要的。一些系统可能需要在尽可能靠近传感器和执行器的地方执行计算，以减少通信延迟并按时执行必要的控制操作。

● 运行在分布的地理位置Geographic Distribution。具有不同程度的分布，从小系统（例如，本地PLC控制的过程）到大型分布式系统（例如，输油管道、电网）。更大的分布通常意味着需要广域网（例如，租用线路、电路交换、分组交换）和移动通信。

● 分层控制Hierarchy。监督控制用于提供一个中心位置，可以聚合来自多个位置的数据，以支持基于系统当前状态的控制决策。通常使用分层/集中控制为操作员提供整个系统的全面视图。

● 控制复杂性Control Complexity。通常控制功能可以由简单的控制器和预设算法来执行。然而，更复杂的系统（例如空中交通管制）需要人类操作员确保所有控制动作都适合满足系统的更大目标。

● 高可用性Availability。系统的可用性（即可靠性）要求也是一个重要因素。具有很强的可用性/正常运行时间要求，可能需要更多的冗余或跨所有通信和控制的替代实现。

● 高故障影响Impact of Failures。控制功能的故障可能会对不同域造成截然不同的影响，可能导致重大影响的系统需要通过冗余控制继续运行或在降级状态下持续运行的能力。

● 功能安全保护Safety。系统必须能够检测到不安全状况并触发动作将不安全状况恢复到安全状态。在大多数安全关键操作中，对潜在危险过程的人工监督和控制是功能安全保护系统的重要组成部分。

下面总结了OT系统与IT系统的不同：

（4）SCADA系统结构

（5）DCS系统结构

（6）PLC系统结构

（7）建筑自动化系统结构

（8）物理访问控制系统

（9）功能安全保护系统Safety Systems

（10）工业物联网

（11）OT安全防护建设的效益

● 提高OT系统的安全性、可靠性和可用性。

● 提高OT系统效率。

● 减少社区关注。

● 减少法律责任。

● 满足监管要求。

● 缩小安全保险范围和降低安全保险费用。

（12）OT系统遭受攻击所造成的影响类型

● 物理影响。物理影响包括OT故障的一组直接后果。最重要的潜在影响包括人身伤害和生命损失。其他影响包括财产（包括数据）损失和对环境的潜在损害。

● 经济影响。经济影响是OT事件产生的物理影响的二阶效应。物理影响可能会对系统运行产生影响，进而对依赖OT系统的设施、组织或其他人造成更大的经济损失。关键基础设施（如电力、交通）的不可用可能产生的经济影响远远超出系统承受的直接和物理损害。这些影响可能会对地方、区域、国家或可能的全球经济产生负面影响。

● 社会影响。国家或社会公信度丧失的后果。

（13）OT安全事件的潜在后果

● 对国家安全的影响-为恐怖主义行为提供便利

● 一个或多个地点同时减产或损失

● 雇员受伤或死亡

● 社区人员受伤或死亡

● 设备损坏

● 释放、转移或盗窃危险材料

● 环境破坏

● 违反监管要求

● 产品污染

● 刑事或民事法律责任

● 专有或机密信息的丢失

● 品牌形象或客户信心的丧失

（14）OT安全建设步骤与方案

（15）OT安全风险管理

将NIST Risk Management Framework (RMF）应用到OT系统：

（16）OT纵深防御网络安全架构

●第1层-安全管理

●第2层-物理安全

●第3层-网络安全

●第4层-硬件安全

●第5层-软件安全

（17）进CSF应用到OT

将NIST Cybersecurity Framework (CSF)应用到OT系统：

识别（ID）-形成组织理解，以管理系统、人员、资产、数据和能力的网络安全风险。

保护（PR）-制定和实施适当的保障措施，以确保关键服务的交付。

检测（DE）-制定和实施适当的活动来识别网络安全事件的发生。

响应（RS）-制定和实施适当的活动，对检测到的网络安全事件采取行动。

恢复（RC）-制定和实施适当的活动，以维持弹性计划，并恢复因网络安全事件而受损的任何能力或服务。

（18）针对OT的威胁源

威胁源类型	描述	特征
ADVERSARIAL -Bot-network operators -Criminal groups -Hackers/hacktivists -Insiders -Nations -Terrorists	寻求利用组织对网络资源的依赖（例如，电子形式的信息、信息和通信技术以及这些技术提供的通信和信息处理能力）的个人、团体、组织或民族国家	能力、意图、目标
ACCIDENTAL -User -Privileged User/Administrator	个人在执行日常职责过程中采取的错误行动（例如，操作员不小心输入100而不是10作为设定点；工程师在正式生产环境中进行更改，同时认为他们处于开发环境中）	影响范围
STRUCTURAL - Hardware failure • Processors, input/output cards, communications cards Networking • equipment Power supply • Sensor, final element • HMI, displays - Software failure • OS • General-purpose applications • Mission-specific applications - Environmental controls failure • Temperature controll • Humidity control - Communications degradation • Wireless • Wired	由于老化、资源耗尽或其他超出预期运行参数的情况而导致的设备、环境控制或软件故障。包括组织控制范围内的关键基础设施的故障。
ENVIRONMENTAL - Natural or human-caused disaster • Fire • Flood/tsunami • Windstorm/tornado Hurricane • Earthquake • Bombing • Animal interference • Solar flares, meteorites - Critical Infrastructure failure • Telecommunications • Electrical power • Transportation • Water/wastewater	本组织所依赖但本组织无法控制的重要基础设施的自然灾害和故障。注：自然灾害和人为灾害也可以根据其严重程度和（或）持续时间来描述。然而，由于威胁来源和威胁事件被强烈识别，严重程度和持续时间可以包括在威胁事件的描述中（例如，5级飓风对关键任务系统的设施造成了巨大破坏，使这些系统在三周内无法使用）。

— 【 THE END 】—

新闻动态

News information