标准规范下载简介
GBT 40218-2021 工业通信网络 网络和系统安全 工业自动化和控制系统信息安全技术.pdf操作系统是计算机的基础软*。它一般会安排任务调度,分配存储空间,并提供如下服务: ·在没有运行应用程序的情况下提供一个默认的用户界面; ·为软*开发提供一个应用程序编程界面; 为计算机的硬*和外围设备提供一个界面
9.2.2此技术针对的安全脆弱性
在IACS环境中,SCADA主机、工厂计算机以及HMI工作站通常使用与IT行业相同的服务器 作站操作系统(主要是Windows和UNIX)。PLC、RTU、DCS控制器以及其他数据采集设备 用专用的实时或嵌人式操作系统。 9.2的其他部分讲述服务器和工作站操作系统广州市健康建筑设计导则(试行)(基于《健康建筑评价标准》TASC02-2016)(广州市住房和城乡建设局2020年10月).pdf,而9.3中则讲述实时操作系统
9.2.4已知问题和弱点
.2.5在工业自动化和控制系统环境中使用的评
在IACS环境中,服务器和工作站操作系统广泛用于操作员人机接口、工厂计算机以及监控层。这 些操作系统也大量用于IT应用,不过IT安全策略可能要求修改这些系统,以满足控制系统的需求。 安全策略既要提供保护功能,又要便于用户访问所需的应用程序。在办公环境中,暂时无法访问* ***或运行**数据表不是很严重的问题。而在IACS环境中,操作人员经常需要快速访问系统和
应用程序。因此,如果采用在用户尝试若十次密码失败后锁定用户的安全策略,或者规定密码有效期很 短,因而需要经常更改密码,可能都不太合适。IACS操作系统安全策略还需要考虑物理安全性(参见 第10章),因为针对控制中心的访问权限通常仅限于被授权人员。 操作系统组*的补丁策略也会导致问题,在这里,标准IT程序不适应IACS环境需求。补丁可能 会消除脆弱性,但是从生产或安全角度来看,也可能会引入更大的风险
针对操作系统的建议和指导在很大程度上取决于系统和环境。不过,如下两条建议具有通用性 禁用所有不需要的服务; 更改供应商所提供的默认密码
9.2.8信息来源和参考资料
方括号中列出的参考材料见参考文献。 ·[NIST08]、[NIST13] [anon33] 9.3实时和嵌入操作系统
方括号中列出的参考材料见参考文献。 [NIST08]、[NIST13] ·[anon33]
9.3实时和嵌入操作系统
操作系统是计算机和控制环境所用的工作站的基础软*。它们一般会安排任务进度,分配存储资 原,并提供软*开发所需的应用程序编程界面以及与机器硬*和外围设备的接口。 实时操作系统(RTOS)可以保证在规定的最大时间内处理中断,因而适合用于控制和其他时间关 键型应用。一般情况下,RTOS部署在嵌入式系统中,这些系统与传统的桌面或工作站计算机相比,资 原受到很大限制。除了满足时间限制外,它们还用于如下硬*环境: ·内存容量有限; ·从一个只读存储器或闪存的设备载人程序; ·没有存储数据和程序的磁盘; 处理器能力有限(在很多嵌入应用中,8位和16位处理器仍然常见)。
9.3.2此技术针对的安全脆弱性
在嵌入应用中,RTOS是最后一道防线,它保护应用程序,控制输出不受外部攻击,防止未经授 人员访问嵌入设备所处的远程站点。如果设备有一个用户接口,则可能通过简单的密码机制来保
9.3.4已知问题和弱点
总体来说,在设计RTOS的过程中,设计人员有一些必须考虑的约束条*,但是安全性不在其中。 大多数嵌入控制器都使用不常用或者不常见的软*、操作系统以及通信协议。虽然在过去,相对陌生的 程序可能防护能力比较强,但是现在已经出现了如下两种变化: ·大多数新嵌入系统都是通过互联网启用的,一些系统甚至为了用户方便而提高无线访问功能。 。威胁因素的性质越来越严重。人们越来越担心网络恐怖分*会将嵌入应用程序作为目标,因 为它们经常直接与物理过程相连。 除非有时序冲突,否则大多数RTOS都没有拒绝访问系统资源的机制。嵌人系统一般采用可供所 有进程使用的存储器空间。因而,进入嵌入设备的恶意程序(比如通过网络连接进人)可以自由读取和 修改任何数据,并严重破坏设备的正常操作。 其他问题包括: ·在带有用户接口的设备上使用默认密码,或者不经常更改密码; ·在RTOS内核中使用安全应用程序的资源不足; ·包含安全性的相关中断优先级
.3.5在工业自动化和控制系统环境中使用的评
对于IACS环境,RTU、PLC和控制器等“边缘”设备与主计算机一样重要,甚至更加重要。它们执 行测量功能,进行逻辑和控制计算,并发布命令修改过程操作。这些设备属于嵌人式计算机,需要通过 RTOS进行基本操作。另外,工业控制的特点决定了这些设备需要通过网络连接接受参数、命令,甚至 60
下载新程序。 因为内部安全功能有限,并且设备需要接受通过网络发送的命令,因而这些系统容易受到网络攻击 (除非它们是完全隔离的网络)。另外,连接因特网的趋势进一步使问题恶化,例如这些设备为了远程管 理增加了网页服务器等便捷功能
目前在嵌入应用环境中,开始出现具有实时特征的Linux和Windows桌面操作系统衍生产 专用RTOS相比,这些操作系统可能更为潜在攻击者所熟悉,不过它们也提供了更多安全功能。 随着网络连接嵌入设备越来越通用,需要开发相关安全功能,并添加或植入到RTOS中去
仔细分隔IACS应用中的通信网络非常重要,尤其是在采用TCP/IP传输机制的情况下。建议将 时间关键型应用数据与信息流数据(例如下装、诊断和资源管理)分隔开,以便减少脆弱性,降低攻击概 率。这种分隔方法可以限制外部用户访问信息流
9.3.8信息来源和参考
方括号中列出的参考材料见参考文献 [Mon] 「[Cor]
9.4.2此技术针对的安全脆弱性
在9.4中所探讨的软*本身不是为了解决安全脆弱性而设计的。介绍它的原因是它在1ACS产品 中的普及速度非常快,并且人们需要更好地了解它对控制系统安全需求的影响。 网络服务器和浏览器客户端都支持安全套接层(SSL),它为两个组*之间的数据传输提供加密 功能。
9.4.4已知问题和弱点
使用ActiveX控*来实现功能可能是非常不安全的一种方式。这些控*采用了组*对象模式 用户能从该计算机执行的操作,它们都能执行(比如读写寄存器或者访问本地文*系统)。如果下
ActiveX控*,计算机可能会变得易受攻击,因为任何网络应用程序都可以使用该控*进行自已的操 作,包括善意和恶意操作
网络服务器和互联网技不因为结 富的功能和便捷性,所以受到了欢迎。不过, 它们也增加了风险,带来了需要克服的新安全脆弱性
过去,因为IACS不连接到其他**系统或网络,因而在某种程度上是安全的。在加入了连接以 后,可能会来回传递大量信息,这节省了时间,改良了相关过程。在实施这些连接方案(尤其是网络连 接)之前,应对IACS采取合适的安全措施。 保护IACS不受网络攻击的最佳安全措施是不采用任何网络连接。如果采用很多IACS,尤其是小 规模的IACS,并且不连接到其他系统(包括网络),可能效果比较好。除非将IACS连接到网络有很大 益处,否则最好让系统保持独立状态。 很明显,对于很多IACS来说,与其他系统(包括网络)相连,会有很多好处。即使在这种情况下,也 应严格限制从IACS进行的网络访问操作,只允许执行特定管理服务所必要的连接进行操作。在创建 这些连接的时候,需要安装最新的安全功能。这些功能包括防御性很强的DMZ,经过全面开发并上市 的此类产品在网络连接处以及每个处理器前方设有防火墙
9.4.8信息来源和参考材料
方括号中列出的参考材料见参考文献。 ·[SANS4] 「anonlo]
物理安全控制是为了限制接触IACS环境内的任何信息资产而采取的任何主动或被动物理措施 采用这些措施的目的是防止多种非预期影响,包括: ·在未经授权的情况下实际进人敏感区域; ·对现有系统、基础设施、通信接口、人或实际场所的实体进行修改、操作、偷窃或其他移动操作 或者破坏操作; ·在未经授权的情况下通过肉眼观察、记录、拍照或其他方式观察敏感信息资产: ·防止在未经授权的情况下使用新系统、基础设施、通信接口或其他硬*: ·防止在未经授权的情况下使用本身具有硬*操控、通信窃听或其他有害影响的设备。 本标准的目的是重点探讨IACS的安全问题,尤其是**安全问题。不过,物理安全问题也不能忽 略。物理安全始终是一道关键防线,用于防止未授权访问、破坏信息资产以及有意或无意毁坏财产。在
记录在案的针对IACS的攻击行为中,有很大比例的攻击涉及通过物理接触设备来进行破坏。在开发 安全程序的时候,有很多其他更详细的书面标准材料、参考指南以及法规要求可供参考。本章其他部分 广泛覆盖了物理安全控制的主题内容。 总共有如下三大类物理安全设备: ·被动物理安全设备:这一类设备包括实体控制方式,比如围栏、墙壁、铁丝网(刺绳、倒刺线)、反 车辆壕沟、混凝土障碍、土墙或土堆以及其他限入设备。被动安全设备一般体积或质量较大, 用来保护实体,或阻止无关人员擅人某场所,这些设备始终有效。它们不需要通过人工干预来 启动或关闭其安全活动。 ·主动物理安全设备:这些设备在物理安全方面发挥着积极的作用,其中包括门、各种锁、栅栏 门、可收回的路障或者可以根据设定时限、自主控制或通过特殊外部操作来启动或关闭的其他 设备。这些设备一般与其他识别或监控设备配合,以强化其功能 ·识别和监控设备:这类设备包括静止和视频摄像机、运动传感器、振动传感器、热传感器、生物 测量鉴别或记录设备以及各种其他设备。它们本身不会专门控制或限制人员进入一个实际场 所或系统。这些设备专门设计用来检测、识别或记录物理实体,其中包括人、车辆、系统或其他 可识别物理目标的实际出现情况
10.2.1此技术针对的安全脆弱性
IACS环境中的物理安全控制主要有两种应用: ·进入监控系统:进入监控系统包括静止和视频摄像机、传感器以及各种识别系统。这些系统的 实例包括停车场监控、便利店监控或航空安检用的摄像机。这些识别系统并不专门用来阻止 人员进人特定场所,而是存储和记录人、车辆、动物或其他物理实体是否出现的信息。 ·进人限制系统:进人限制系统可以采用组合设备来实际控制或防止无关人员接触受保护的资 源。进人限制系统包括主动和被动安全设备,比如围栏、门、保险箱、栅栏门以及防护装置。它 们一般与识别和监控系统配合,从而针对特定个人或群体提供基于角色的访问。 物理安全控制所处理的脆弱性包括如下存在实际威胁的情况:未经授权的人员进人、修改、操作、损 坏、引人、偷窃或通过其他方式移动IACS环境中的任何信息资产。这些脆弱性包括: 一 偷窃和/或披露机密信息、商业秘密或实体财产; ·损坏财产,从而造成商业损失; ·人、车辆或其他物理实体在未经授权的情况下进人; 在未经授权的情况下使用设备或信息资产; 观察专有业务过程或活动; 洲温倍险物
物理资产的保护:实体资产包括控制系统、门禁终端、扫描器、计算机或其他实体信息资产。安 全要求宜防止意外引入或清除系统、意外损坏现有系统、实际接触控制设备(旋钮、操作杆或其 他敏感设备)以及意外接触实体系统。 ·人员的保护:人员保护适用于避免IACS环境内外的任何人或动物受到伤害或死亡的措施。实 例包括防止接触移动部*的栅栏门或门、将人体与移动部*分开的障碍物或者用来检测是否 有危险化学物质泄漏的环境传感器。 ·实际场所的保护:典型的物理安全系统一般采用嵌套的多层安全措施。在建筑、设施、房间、设 备或其他信息资产周围搭建若干主动和被动式实体障碍,可以组成这种物理安全系统的外围 结构。用来保护实际场所的物理安全控制措施包括围栏、反车辆壕沟、土堆、墙壁、强化路障、 栅栏门或其他措施。在大多数组织采用的上述多层安全系统中,首先是使用围栏、哨棚、栅栏 门以及带锁门来防止无关人员进入厂房。在厂房内部,某些特殊场所一般还配备限入设备。
10.2.3已知问题和弱点
如果物理安全控制设备受到侵犯,一般会有明显的迹象,比如围栏被割破,墙壁被毁坏,或者设备被 移走。不过,物理安全控制有两方面的弱点: ·尝试性或成功的擅自改动或闯人行为的证据不是未被发觉就是被忽视。宜每天对高度敏感的 设备进行检查和审查,以确保物理安全控制功能满足要求。很多实体攻击在进行之前都有几 小时或几天的“目标准备”时间,其中包括观察或清除障碍物。物理安全系统的一个潜在弱点 就是:无法察觉或正确处理与迫近或成功攻击关联的固定模式行为。 ·安全参数和监控区域未被明确定义。应进行全面的脆弱性评估,并仔细分析结果,以确保有合 适的安全措施。如果相关组织不能正确察觉弱点和脆弱性,或者不能明确定义安全区域,就会 导致很多物理安全计划失败
物理安全计划对于保护1ACS坏境非常重要。任何安全计划都有一个潜在的关键弱点,亦即物理 脆弱性经常被忽视,或者根本不被重视。 合理设计、精心部署安全区域,并采用门禁控制的设施通常也会给整个安全计划带来很多好处,使 很多技术或物理攻击不现实或不适宜。 在合理部署外围物理安全设备保护敏感资产的情况下,可能就不需要采用成本更高、维护量大的技 术方案。通过强化通信线路安全功能,增加门禁控制和进入限制功能,比如围栏或障碍,能够给整体安 全计划带来显著的成本最优收益。 比如,对于时间关键型应用,如果通过增加繁琐的密码或加密功能来保护系统,可能不现实。通过 没计具有物理安全控制功能的外围安全设备,比如防护装置、围栏和门禁控制系统,可以确保只有经过 授权的用户能够接触所需的信息资产。因为设计方案更安全,所以可以减少密码保护和加密需要。 物理安全措施的主要劣势在于:在空间局促的场所,通常难以根据现场情况补救性部署大型物理安 全措施。在无法改变设施位置的情况下,可能无法重新调整建筑结构以强化物理攻击防护功能。在设 计安全设施的早期阶段,就宜考虑物理安全控制功能,否则可能会因为提高安全功能而额外付出大量 成本。
10.2.5未来的方向
在安全工具种类繁多的今天,物理安全控制功能的变革步伐要慢得多。很多物理安全控制功能
在未来继续使用。不过,借助技术进步,可以不断开发新工具,以强化相关安全活动,比如门禁控制和进 入监控。
10.2.6建议和指南
10.2.7信息来源和参考材料
工业领域有多种具体的物理安全监管要求。宜全面研究这些问题,以确定在实施物理安全控制功 能的过程中,是否需要满足任何法规或监管要求。其他通用指导意见如下所列,方括号中列出的参考材 科见参考文献, ·[17799] ·[5100.7] ·[A11] ·[KDO]
工业领域有多种具体的物理安全监管要求。宜全面研究这些问题,以确定在实施物理安全控制 的过程中,是否需要满足任何法规或监管要求。其他通用指导意见如下所列,方括号中列出的参考 见参考文献。
人员安全措施旨在降低人为错误、偷窃、欺诈或以其他有意或无意方式错误使用信息资产的概率
风险。人员安全主要涉及三个方面: ·雇用策略:这包括雇前调查、面试过程、雇用策略、完整的工作和详细责任描述、雇用条款和条 件、以及员工或承包商的合法权利和责任。 ·公司策略和实践:其中包括安全策略、信息分类、文件和媒体维护以及处理策略、用户培训、可 接受的公司资产使用策略、定期员工绩效评审以及公司员工、承包商和来访者行为期望或需要 具体遵循的其他策略和规范。 雇用条款和条件:其中包括工作和岗位责任、向符合解约条件的违约员工发出通知、严肃纪律 的措施和惩罚以及定期的员工绩效评审
10.3.2此技术针对的安全脆弱性
对安全事故分析说明了如下观点,熟悉组织内部信息的人员可能通过有意或无意的方式给业务信 息资产造成重大损失。这些人包括员工、承包商、临时员工、顾问、供货人员以及其他相关人员(很多恶 意攻击都是因为工作人员不满或者感觉在工作环境中受到“不公正对待”)。人员安全旨在使组织能够 更好地监控每天开展业务交往活动的人员,从而降低业务信息资产受到侵害的概率。 人员安全要多个方面提高整体安全性。比如,可能涉及如下人员安全管理和脆弱性类型。这些例 子都可以部分或全部归到上述三个类别中去。 ·针对具体工作职能的员工培训:旨在最大限度降低意外失误或事故的风险。 ·安全培训:确保每个人都了解自已在日常工作中执行所需安全策略的责任。 ·书面工作介绍和员工责任:详细说明企业内雇员、承包商或其他工作人员与其信息资产的关 系。旨在最大限度降低给公司带来的意外影响。 公司书面策略:针对相关问题制定严格的公司策略,比如员工休假、纪律处分、允许使用互联网 的策略、业余工作策略、在办公时间以外使用资源、加班报酬、差旅费报销以及可能与员工担任 公司职位期间相关的其他策略。这些策略对于达到如下效果也是必不可少的:降低困难情况 下的不确定性,有助于尽量减少管理人员和工作人员之间的冲突,减少目程冲突,以及减少对 公司策略的不当交流或误解。对于所有公司策略,都要首先形成书面文学并提供给所有工作 人员,然后才能执行。 ·雇用条款和条件:确定工作人员对公司的责任、工作人员的权力、公司和工作人员的合法责任 解约的策略、程序和依据。防止管理人员和工作人员之间的不当交流,并让工作人员清楚理解 符合要求的业务实践
员在面试申请者时,应遵循相关准则。这些策略应是明 确阐述的书面内容,并提供给所有可能负责雇用工作的管理者,其中至少宜详细说明如下内容: ·可接受的面试方法; ·公司的雇用标准; ·职位描述和工作职务; ·提前调查的要求、背景审查、人物资料等。 公司策略和实践:宜全面考虑这个范围很广的主题。对于公司要实行的策略,宜书面记录下来,并 随时提供给所有工作人员。公司策略的实例包括: 可接受的信息资产使用方式; 差旅策略和报销;
182021/IEC/TR6244
10.3.4已知问题和弱点
下面列出了已知问题和弱点: 任何雇用策略、程序或背景检查都不能帮助组织确定员工将来是否会对企业环境造成有害 影响。 培训计划如果准备或组织不当,经常难以得到认可。宜定期内部评审培训计划,以确保它们适 应工作环境需要。 相关法律通常会限制公司在招聘指定职位工作人员时可获取的个人或背景信息。不过,如果 该职位属于高风险环境,或者对安全地执行工作任务有限定的身体要求,那么在法律中经常会 有一些对应条款和例外规定。在确定雇用过程中可获取和使用的个人信息的范围时,强烈建 议获取法律咨询和建议, 个人安全调查和雇用实践行为本身具有很大的主观性,很难确定一个评估雇员的严格标准
10.3.5在工业自动化和控制系统环境中使用的评估
正确设计个人安全程序,有助于确保结合工作岗位为个人提供适宜培训,并充分调查个人可能影响 工作业绩的潜在问题。 此环境的困难在于:个人调查过程非常主观,与调查者的观察密切相关。经常需要有多人参与个人 安全问题评估,才能更全面地了解一个人。 另外,培训效果也在很大程度上因人而异,这取决于教师的能力、学员的理解力、学员目前的能力或 知识水平以及培训材料的整体连贯性。宜定期评审、评估培训程序和指南的效果
10.3.6未来的方向
个人安全涉及一些变化速度很慢的实践方法。不过,与个人安全相关的法律经常会发生变化,宜定 期进行评估,
10.3.7建议和指南
如何制定全面的个人安全程序,见如下指导信息: 雇用策略:认真考虑工作说明,确定工作要求,针对指定的岗位提前进行资格调查。在工作面 试中,重点是要弄清楚申请者符合工作要求的程度。要对所有员工、承包商以及临时工作人员 进行背景审查广东某别墅群施工组织设计,其中至少宜包含犯罪记录检查、就业证明检查以及教育背景检查。对于处于高
如何制定全面的个人安全程序,见如下指导信息: 雇用策略:认真考虑工作说明,确定工作要求,针对指定的岗位提前进行资格调查。在工作 试中,重点是要弄清楚申请者符合工作要求的程度。要对所有员工、承包商以及临时工作人 进行背景审查,其中至少宜包含犯罪记录检查、就业证明检查以及教育背景检查。对于处于
风险或敏感领域的一些职位,可能需要根据具体工作的身体、监管、法规或其他要求进行其他 关测试。 ·公司策略和实践:所有员工、承包商或临时工作人员都宜接受与其工作基本责任、雇用条款利 条件、纪律处分和上诉过程、安全要求以及人身安全要求相关的全面培训。宜定期评估每位员 工和/或进行再培训,以确保员工了解其岗位职能。 宜周密制定培训程序,以确保每位员工都能接受与其工作职能相关的必要培训。另外,要确保员工 经证明其胜任岗位职能。 宜保护好敏感文件、媒体以及其他企业信息资产,防止无意或未经授权的泄露。保存这些资产,并 定足够长的保存期限,在到期之后安全销毁这些信息。在所有文件和媒体的封面上做好路径、分类利 权标志,并采取措施确保处理得当。 宜制定管理员工行为、业务实践或公司所有其他事宜的公司策略,通过书面形式制定出来并分发绍 关人员。这种活动可以通过集中的知识管理系统、文件库、图书馆、在工作站张贴告示或文件列表,或 任何上述组合形式来完成, ·雇用条款和条件:宜通知所有员工、承包商以及临时工作人员雇用条款和条件。这些条件宜至 少包括如下信息: 允许的行为; 身体要求; 教育或其他年度培训要求; 终止雇用,包括员工向公司发出通知,以及公司向员工发出通知的义务; 可导致解约的违约行为; 一安全要求; 一关于毒品和酗酒的规定,包括定期或随机调查; 衣着规定。 关于员工行为、举止以及类似事宜的所有公司规定宜采用书面形式,并可供随时查阅, 不管违纪行为有多严重,所有纪律处分规定宜采用书面形式并保存好
10.3.8信息来源和参考材料
方括号中列出的参考材料见参考文献。 [17799] ·[All] .[KDO]
182021/IEC/TR6244
·RSA? RSA是RSA安全公司的注册商标。此信息为标准的使用者提供方便T/CECA-G 0023-2019 燃煤工业锅炉烟气超低排放综合能耗验收要求,不会由IEC为商标持有人 或者任何其商品承担责任。遵守此标准不要求使用该商标。使用该商标,需要得到其持有者的许可。 ·ShavlikNetChkProteTM(原Shavlik HFNetChkProTM) ShavlikNetChkProteTM(原ShavlikHFNetChkProTM)是Shavlik技术公司的注册商标。此信息为 标准的使用者提供方便,不会由EC为商标持有人或者任何其商品承担责任。遵守此标准不要求使用 该商标。使用该商标,需要得到其持有者的许可。 ·UNIX UNIX是OpenGroup开源组织的注册商标。此信息为标准的使用者提供方便,不会由IEC为商 标持有人或者任何其商品承担责任。遵守此标准不要求使用该商标。使用该商标,需要得到其持有者 的许可
182021/IEC/TR6244