关键词:计算机安全;网络安全框架(CSF);分布式控制系统(DCS);工业控制系统(ICS);信息安全;制造业;网络安全;可编程逻辑控制器(PLC);风险管理;安全控制;数据采集与监控系统(SCADA)
编者按:
《NIST网络安全框架制造篇》与制造业的目标和行业最佳实践保持一致,为制造商管理网络安全风险提供了思路。可作为规划方案,指导读者如何识别机会,改善制造系统的网络安全状况。它根据特定的业务/任务目标,为安全活动划分了优先级,同时确定了哪些安全实践具有可操作性,可以为关键业务/任务目标提供支撑。
《低影响性示例实施指南》包含总体指导(第1卷)和概念验证(PoC)方案示例,展示在制造环境中如何按照《网络安全框架制造篇》中的低影响性要求来部署使用开源产品和商用现成(COTS)品。PoC方案示例为流程型制造环境(第2卷)和离散型制造环境(第3卷)提供了可量化的网络、设备和业务性能影响指标。
该指南的目标受众包括:
- 设计或实施安全制造系统的控制工程师、集成人员和架构师;
- 管理、修复或保护制造系统的系统管理员、工程师等专业信息技术(IT)人员;
- 负责管理制造系统的人员;
- 高级管理人员,这部分人群为证明有必要实施制造系统网络安全计划以减轻对业务运行的影响而须了解前因后果;以及
- 欲了解制造系统独特安全需求的研究人员、学术机构和分析师。
在指南第1卷-总体指导中:
- 第1节概述了《网络安全框架制造篇》目的与使用范围;
- 第2节简要介绍了制造系统;
- 第3节介绍了《网络安全框架制造篇》内容;
- 第4节阐述了该项目的《网络安全框架制造篇》实施方法;
- 第5节概述了满足《网络安全框架制造篇》中“低影响性”要求所需的政策和程序文件;
- 第6节介绍了满足《网络安全框架制造篇》中“低影响性”要求所需的技术能力;
- 第7节讨论了满足《网络安全框架制造篇》中“低影响性”要求的可能方案;
- 第8节概述了实施方案的实验室环境。
此篇连载内容为第1节至第5节。
1. 目的与使用范围
许多中小型制造商表示,实施基于标准的网络安全计划颇具挑战性。本文档提供了总体指导(第1 卷)和概念验证(PoC)方案示例,展示在制造环境中如何按照《网络安全框架制造篇》[8]中的低影响性要求来部署使用开源产品和商用现成品(COTS)。制造系统的完整性、可用性或机密性被破坏后,若预期对生产运营、制成品、资产、品牌形象、财务、人员、公众或环境仅会造成有限的负面影响,则该类系统的潜在影响级别为低。“有限的负面影响”指完整性、可用性或机密性被破坏后,可能会:
- 导致任务能力在一定时间内有一定程度的下降,系统仍可执行主要功能,但执行效果明显降低;
- 对运营资产造成较小损害;
- 造成轻微的财务损失;或
- 对个人造成轻微伤害。
PoC 方案示例分别针对流程型制造环境(第2 卷)和离散型制造环境(第3卷),描述了实施方案对网络、设备和业务性能的影响。各制造商应自行确定实施哪些方案内容。实施时应虑及的重要因素包括:公司规模、网络安全专业能力、风险承受能力及威胁态势。
2. 制造系统概述
制造业是一个庞杂的工业部门。制造业分为三类:流程型、离散型和兼具两者的混合型。
流程型制造业通常使用两种主要流程:
- 连续制造流程。这类流程连续进行,通常分为不同阶段,经过不同程度的加工,最终形成产品。典型的连续制造流程包括电厂的燃油或蒸汽流、炼油厂的石油提炼和化工厂的蒸馏。
- 批量制造流程。这类流程具有清晰的处理步骤,可对一定数量的原料进行批量处理。批处理过程有明显的开始和结束动作,其间可能会有短暂的稳态操作。典型的批量制造流程包括食品、饮料和生物技术生产。
离散型制造业为生产某种产品通常会进行一系列操作,如电子和机械零件组装以及零件加工。流程型和离散型行业使用类似的控制系统、传感器和网络。此外,有些工厂同时使用离散型和流程型制造方法。
制造系统通常位于工厂内部或以工厂为中心的区域内。制造业一般使用可靠的高速现场总线和局域网(LAN)技术进行通信。无线网络技术在制造业中也开始流行。现场总线包括DeviceNet、Modbus和控制器局域网(CAN)总线。
关键基础设施领域的制造业包括公私营所有者和运营商等实体。关键基础设施组织利用工业控制系统(ICS)和信息技术(IT)来实现功能。由于依赖技术、通信以及ICS/IT互连性,潜在的漏洞发生了变化并越来越多,制造系统业务的潜在风险也随之增长。
3. 《网络安全框架制造篇》概述
《制造篇》为在制造系统及其环境实施网络安全控制措施提供了可行方法。第7节中的子类描述源自NIST特刊(SP)800-53(修订版4)中的安全控制措施,并参考相关信息针对制造领域进行了修改。《网络安全框架》中提及的一般性参考文献ISA/IEC 62443也列在“参考资料”中。800-53文件中若无相关信息,子类描述则以COBIT 5为参考。其他输入来源还包括NIST SP 800-82(修订版2)的6.2节(ICS安全控制应用指南)和附录G(工控系统安全控制包)。对于参考一系列或全套控制措施的情况(例如,ID.GV-1子类对所有“政策和程序”控制措施的参考),采用了包含全系列/套控制措施的整体方法。
《制造篇》针对制造系统环境对网络安全控制措施进行了修改,说明在应用《网络安全框架》中的大类和子类时,考虑到了特定领域的具体情况、业务驱动因素、风险评估和制造商优先级。《制造篇》用户还可以根据需要添加大类和子类,以应对特定或自身特有的风险。
4. 《网络安全框架制造篇》实施方法
在实现《制造篇》子类要求时,可根据特定的子类定义来制定、实施政策和程序并/或实施技术方案。
图4-1 技术网络安全能力的识别、规划与实施方法
图4-1展示了技术网络安全能力的识别、规划与实施方法,同时定义了辅助性网络安全流程与程序。《网络安全框架制造篇》作为主要资源,描述了NIST的两种制造业测试场景下的期望网络安全结果。《制造篇》中所述结果基于工控系统所有者和运营商相关标准中的网络安全控制措施并与之互为参照。
在该规划流程的第一步,重点研究实现特定结果或《制造篇》子类所需的网络安全相关工具、配置和最佳实践。通过《制造篇》子类和相应网络安全控制措施的描述,组织可深入了解测试环境中需要实现的各类技术能力。基于这些粗略的能力分类,NIST研究人员确定了适用于这些分类的商业产品和开源工具并编制了列表,接下来,参考方案列表来落实规划并选取特定方案、工具和产品用于测试环境。选用技术时应考虑以下因素:测试技术知识、解决方案成本、可用性、成熟度、实施和管理所需的专业知识水平、实验室IT管理员的专业知识。
在大多数情况下,技术方案与《制造篇》子类并非一对一精确对应。在规划过程中会发现,实施某项技术能力多半只能部分满足子类要求,在某些情况下,需要实施多项技术能力才能实现《制造篇》某个子类所描述的结果。有些《制造篇》子类(如RP.DS-3)要求在实施某项技术能力的同时,还要补充实施网络安全政策或程序。虽然该匹配过程增加了规划过程的复杂性,但有助于系统所有者了解可使用哪些技术方案实现最多的子类结果。可以根据组织的具体任务和业务目标划分优先级。
5. 政策/程序能力概述
为实施这两个用例,为每个用例各开发了六份政策和程序文件:
5.1 网络安全计划文件
网络安全计划文件为组织启动、实施、维护和改进信息安全管理提供了指导方针和原则,包括安全政策、程序、指南和标准等一系列文件。网络安全计划旨在保护信息资源的机密性、完整性和可用性。
5.2 网络安全政策文件
网络安全政策文件规定了在本组织恰当、安全地使用信息技术服务的网络安全要求,目的是最大限度地保护组织及其用户免受可能危及其完整性、隐私、声誉和业务结果的网络安全威胁。
5.3 网络安全操作文件
网络安全操作文件制定了操作步骤,让管理人员及员工响应制造系统内发生的事件时有标准可循。实际操作中应时常提及本文件内容,确保制造系统内的所有员工和个人熟悉网络安全操作。
5.4 风险管理文件
风险管理策略文件阐述了如何识别、分析与管理组织所面临的风险。该文件概述了组织的风险管理策略,提供了标准术语、明确的角色和责任以及风险管理流程的详细信息管理层可基于本文件了解风险、预估影响并确定问题响应措施。文件旨在为项目团队和利益相关者提供指导。
5.5 事件响应计划文件
事件响应计划文件阐述了组织内部响应信息安全事件的计划。它定义了参与者的角色和职责、事件特征、与其他政策和程序的关系以及报告要求。本计划的目的是检测和应对网络安全事件,确定其范围和风险,对事件做出恰当响应,将结果和风险告知所有的利益相关者,并降低事件再次发生的可能性。
5.6 系统恢复计划文件
系统恢复计划旨在确保发生网络安全事件时,重要的制造/业务流程不会中断,该计划利用与组织的IT和OT环境相关的基础设施存量和配置信息,为响应网络安全事件提供结构化方法,恢复运营能力。
系统恢复计划用以实现以下目标:
- 最大程度地缩短制造中断时间,控制损失;
- 评估损失,修复损坏,恢复制造系统;
- 有序、高效地管理恢复操作;及
- 安排人员在系统恢复场景下有效响应。
连载(一)完
下期连载内容:
第6节:满足《网络安全框架制造篇》中“低影响性”要求所需的技术能力。
第7节:满足《网络安全框架制造篇》中“低影响性”要求的可能方案。
本指南第1卷英文原文:
https://doi.org/10.6028/NIST.IR.8183A-1
本指南其余两卷为:
NISTIR 8183A第2卷,网络安全框架制造篇低影响性示例实施指南:第2卷—流程型制造系统用例
https://doi.org/10.6028/NIST.IR.8183A-2
NISTIR 8183A第3卷,网络安全框架制造篇低影响性示例实施指南:第3卷—离散型制造系统用例