NIST《网络安全框架制造篇》与制造业的目标和行业最佳实践保持一致,为制造商管理网络安全风险提供了思路,用于管理与制造系统相关的网络安全活动及网络风险。该指南第2卷详述了适用于流程型制造系统用例的政策和程序文件,并介绍了适用于流程型制造系统用例的技术能力实现和相关性能测量方法。
本次连载将介绍适用于流程型制造系统用例的网络安全操作文件和风险管理策略文件示例。
本节以为韦斯特曼公司(虚构)开发的政策程序文件和声明为例,介绍了网络安全操作文件中所包含的内容。本文中提到的商业实体、设备、材料等或有标识,仅为准确描述概念之用,并非暗示NIST推荐或认可,也不表明这些实体、设备、材料是实现目的之最佳选择。各组织的信息安全专家应选用与其现有网络安全计划和制造系统基础架构最为契合的内容及政策程序文件和声明。
三、网络安全操作文件示例
韦斯特曼
网络安全操作
文件负责人:运营总监
- 版本信息
- 审批
如下签名表示审批者对本文档所有条款和条件均表示认可。
3.1 概述
网络安全操作文件制定了操作步骤,让管理人员及员工响应韦斯特曼制造系统内发生的事件时有标准可循。实际操作中应时常提及本文件内容,确保制造系统内的所有员工和个人熟悉网络安全操作。
3.2 目的
提供统一的网络安全操作环境,支持制造系统的运行。
3.3 范围
管理人员、员工、承包商等需要访问制造系统进行变更的人员应熟悉本文件内容。
3.4 资产盘点
统计制造系统内的资产是保护公司的第一个重要步骤,避免公司遭受恶意活动,导致生产中断。此外,确定哪些设备有权连接到网络后,可检测非法访问设备,发现潜在的恶意活动。同样,对网络设备上安装的软件进行跟踪,可获取更新和修补软件所需的重要信息,及时消除漏洞。韦斯特曼使用手动和自动资产盘点工具进行资产盘点管理,具体如下:
- 手动盘点 – 无法自动扫描的设备(例如PLC、加工站) 手动输入到Excel表格中,至少每季度更新一次。
- 自动盘点 – 可自动扫描的设备使用资产盘点工具(Open-AudIT)进行配置和审计,只有经过授权的人员才能访问Open-AudIT。
所有盘点操作都应在制造系统停工期间进行,软件和硬件都须盘点。定期对制造系统内的设备进行软硬件扫描,检测其中的非法变更。制造系统中可能发生的变更包括更新软件、许可证、系统补丁、固件等,以及新增设备(如PLC或HMI)或操作所需的其他工控系统组件。为检测制造系统中的此等变更,至少每季度进行一次扫描,记录现有设备信息、配置和安装的软件(例如许可证信息、软件版本和配置等)。基于这些扫描结果,可识别制造系统中非法接入的硬件及其安装的非必要软件应用程序。
此外,使用设备配置基线检测计划外变更,防止系统完整性被破坏,进而影响生产过程。使用手动和自动方法获取当前设备配置,将其与确立基线进行对比验证。手动方法适用于不支持自动扫描的工控系统设备。具体来说,在Excel表格中手动记录无SSH、SNMP和WMI服务的设备,使用Open-AudIT自动扫描设备配置。之所以选用Open-AudIT,是因为该工具可根据需要扩展配置。
扫描完成后,将收集的信息与确立基线进行比较,记录所识别的变更,以供评审和调查。对于在制造系统中识别出的未授权或非必要软硬件,应安排时间,在不影响生产过程的情况下尽早移除。对于所识别的已批准变更,需要更新相关基线,反映此变更。对于未批准变更,将设备恢复到之前批准的配置状态,并对该变更进行调查,查明是否发生了网络安全事件。
设备配置基线至少每季度进行一次评审,并在制造系统经过批准进行工程变更后及时更新。在两次基线评审的间隔期间,新增任何设备或修改任何配置都会启动新一轮基线扫描。此外,使用GRASSMARLIN和Wireshark更新环境网络图,验证信息流,并在新设备添加到环境中后提供更新基线所需的补充信息。
3.5 网络
韦斯特曼的制造网络环境必须防止非法访问和篡改,确保生产过程所需信息的可用性、完整性和机密性。这要求制造系统组件的所有网络连接都要记录在案,线缆用标签正确标识,说明指定用途。此外,所有的网络交换机必须配置为支持网络分段和端口安全,以控制网络流量并防止未授权设备访问制造网络。制造环境在投入生产前,其所有的网络连接都要经过运营总监的审批。
为此目的,韦斯特曼创建并维护了一个全面的网络基线,对网络环境进行准确描述,支持制造系统网络内的异常检测过程。至少每季度对网络基线文件进行一次评审和更新,核实制造生产运营需要的所有组件和通信。这一过程中可使用的工具包括Open-AudIT、GRASSMARLIN和Wireshark。此外,利用公司提供的网络图工具,在网络基线文档中加入所有内外部网络连接(包括云服务)的详细网络图。
具体而言,网络图会包括所提供连接服务的所有相关信息,包括:设备IP、所提供的服务、数据流向、数据类型、支持服务电话号码、客户数量、联系人、支持级别协议和支持时间。网络基线文档还会包括环境中网络分段和端口安全的配置详情。
对韦斯特曼制造系统网络进行分割,以提高环境的速度和网络安全。网络分段之间的网络流量通过防火墙网络设备基于确立的网络基线进行控制,仅允许批准的网络流量出入制造网络各分段,丢弃所有其他流量。与网络分段、防火墙和防火墙规则相关的详细信息也应包含在网络基线文档中。
韦斯特曼制造系统网络还要部署可管理交换机,在交换机上配置并启用端口安全。端口安全允许授权设备基于其唯一的媒体访问控制(MAC)地址使用特定的网络交换机端口。端口安全文档提供了授权设备的资产信息引用,同时列出具有指定网络交换机和交换机端口的设备MAC地址。
韦斯特曼需要厂商或承包商提供远程维护支持时,须提前协调和审批,同时指定相关员工对所有远程维护活动进行监控,防止有害或恶意活动的发生。所有需要连接到韦斯特曼进行远程维护的厂商或承包商应:在连接之前获得运营总监的批准;使用批准的远程安全接入程序;在完成批准的任务后取消远程访问权限。所有远程访问维护活动都记录在案,确保对制造系统内的活动进行充分的审计跟踪。
所有的网络设备都应将日志转发到韦斯特曼内部Syslog服务器。在韦斯特曼制造系统网络中,网络设备包括网络交换机、支持网络安全局域网的思科自适应安全设备(ASA)防火墙和工作单元中的Stratix 8300系列防火墙。
基于从这些设备和GRASSMARLIN工具收集的信息,授权韦斯特曼人员根据确立基线每月对现网活动至少检查一次。这些工作有助于识别异常流量,发现潜在系统问题或恶意活动。此外,每月至少检查一次交换机日志,防止恶意设备接入网络。发现任何基线外网络活动时都须进行核对,要么将其纳入基线,要么进行调查,查明是否为系统或网络事件。
另外,授权韦斯特曼人员使用无线笔记本电脑或移动设备,利用操作系统自带的功能或已批准的无线扫描软件每周一次在制造区域内进行扫描,检测未经授权的无线设备或恶意接入点。所有异常情况都将记录在案(包括检测位置)并提交以供进一步调查。
3.6 制造系统安全
全员遵守网络安全计划至关重要,可有效降低制造系统的网络安全事件风险。以下各节介绍了与制造系统安全相关的政策和程序。
3.6.1 变更控制
通过变更控制流程跟踪制造系统的变更,变更前通知所有人员,将其纳入变更流程。在实施变更前要进行正式评审和授权。
评审务必彻底,以确定:变更是否影响制造系统性能;或变更是否影响制造系统安全。
变更控制评审人最终确定是否进行变更,若有风险且认定风险可接受,须提供合理解释。
变更批准后将安排在停工期或其他维护活动期间进行,减少对生产的影响。完成变更后,进行安全评审,确定该变更是否导致网络安全控制措施发生变化。这类计划外变更须根据漏洞和修复管理流程进行评审和处理。
按季度评估制造系统,明确哪些设备对系统运行至关重要。基于此信息,撰写关键设备重要性报告,并更新公司的其他网络安全文件和程序。
下表列举了变更控制流程必须涵盖的设备:
3.6.2 人员操作
在制造系统设备上执行的操作可能需要认证,这些操作如下表所示。“所有用户”特指被授权与设备交互的用户。
3.6.3 监控制造系统
斯特曼搭建了一个中央日志服务器(Syslog服务器)来支持这一功能,配置该服务器汇总系统生成的所有日志,并保留日志以供存档和取证之用。同时,尽可能将制造系统中的设备配置为将日志数据发送到中央Syslog存储库。
定期检查日志,检测制造系统中生成的异常告警。具体而言,检查日志事件,确定是否有任何事件影响了生产过程。最起码应该在检测到设备发送了网络安全事件通知后进行调查,确定根因,采取合理补救措施,以清除事件并将制造系统恢复到之前的已知正常运行状态。审查影响生产过程的事件,判断与风险评估结果的相关性,确定采取哪些行动改善韦斯特曼的网络安全态势。
非公司员工对制造系统进行物理访问时,必须登记相关信息(包括日期、出入时间)并签名确认。访客若未经授权,会被护送出厂区。访客全程须由韦斯特曼员工陪同。
3.6.4 备份
制造系统服务器和主机的备份过程定义如下:
- Veeam目录备份针对的是制造系统配置和逻辑数据所在的目录,每周执行一次,执行时间为低产能运转期间(如夜间)。
- Veeam系统映像完整备份每季度执行一次,执行时间为低产能运转期间(如夜间);另外,发生任何工程变更后,须执行一次完整备份。
下述备份方法适用于不支持Veeam工具的主机和设备。
3.6.5 媒体过滤
存储媒体(如闪存、内存卡、硬盘)在废弃或离厂之前必须进行过滤,步骤如下所述。
3.6.6 资源维护
资源性能会影响生产效能。操作人员须对其操作或负责的制造系统组件进行日常检查,包括肉眼查看各部件、审查告警信息或指标以及运营总监指定的其他须关注领域。
3.7 人员培训
要防止公司受到网络安全威胁,培训至关重要。所有员工、承包商和厂商必须按要求完成年度网络安全培训才能在制造系统环境中工作或继续工作。拥有特权访问权限的个人还要完成相关设备的网络安全控制和配置管理培训,具体培训内容由运营总监或IT经理指定。
3.8 漏洞管理
漏洞管理是信息安全计划的重要组成部分,其中漏洞评估发挥着重要的作用。
漏洞管理的总体策略如下:
- 工程师或IT人员不得为了“通过”评估而对信息系统进行任何临时更改。应通过恰当的分析和修复方法,减轻和消除信息系统中的漏洞。
- 不得配置任何联网设备阻止授权扫描引擎的漏洞扫描。
- 对OT网络(如监控局域网和现场局域网网络)进行漏洞扫描时要谨慎行事,将扫描安排在非工作时间和维护期间。
- 建议用漏洞扫描程序进行认证扫描。
3.8.1 漏洞管理流程
3.8.2 漏洞扫描与管理工具
韦斯特曼使用Tenable-Nessus扫描漏洞。Nessus完成扫描后,将扫描结果导入漏洞管理、解析和报表工具NamicSoft,根据组织的统一工作流创建自定义报表和逻辑分组结果。报表由运营总监和IT经理审核,根据需要与IT人员共享,以协调补救或缓解活动。
3.8.3 漏洞扫描目标
所有连接到工厂和监控网段的设备都要接受扫描,IT人员配置扫描任务,覆盖韦斯特曼的所有网段。
在向IT经理申请后,可以新建扫描任务或对现有扫描任务进行修改。
注意:发现扫描影响生产过程时,必须立即联系IT经理,请求停止扫描,并向运营总监报告情况。
3.8.4 漏洞扫描频率
IT人员根据申请按需执行扫描。考虑到对生产过程的潜在影响,扫描仅在计划维护期间执行。运营总监和IT经理应在不影响生产过程的情况下每月至少安排一(1)次DMZ、网络安全、管理和工程局域网段的评估。所有网段和设备均应在每年的工厂停工期间进行扫描。
所有设备扫描应根据组织的业务需要安排在适合的时间执行,尽量减少对正常运营的干扰。发现新设备需要上报,确认该设备已获得批准,准确归类。
3.8.5 漏洞上报
完成漏洞扫描后,将结果导入NamicSoft,生成报表。将此类报表归档留存,作为评估证据并用以支持趋势分析。
所有IT/OT设备按照其所在系统在NamicSoft中进行分组,一台设备可归属多个群组。此类报表覆盖整个系统,方便IT员工、IT经理和运营总监获取设备和漏洞情况。下表列出了可生成和分发的报表类型。
3.9 修复管理和优先级
发现漏洞后,运营总监和IT经理在控制工程师和OT服务承包商(若有必要)的协助下进行分析,决定下一步行动。
应在下表中定义的修复时间内修复所发现的漏洞。
3.9.1 例外管理
有时,为了和监管、网络安全和生产优先级对齐,组织风险管理流程中需要加入例外处理,这样才能用较低成本为制造系统创建安全的网络环境。例外请求主要出现在两种情况下:误报 – 误识别的漏洞或在系统中实际上不存在的漏洞;风险接受 – 无法避免、缓解或转移的风险。
误报相关的例外情况必须记录在案,由运营总监批准。误报确认后提交给IT人员,由其更新扫描任务和报表,避免再次误报。
对于操作系统、应用程序、Web应用程序或OT设备中可能存在的无法补救或以其他方式避免的漏洞,风险接受是必要措施。这些漏洞包括:厂商设备未及时打补丁;应用程序要正常运行须开放服务;系统虽应报废(开发人员/制造商认定其生命周期终止)却仍在使用。对于确定对系统和组织不构成风险的漏洞,也可以请求例外处理(例如,漏洞只能通过使用Web浏览器访问被入侵网站才能利用,而修复漏洞一定会影响生产过程,这种情况就可以考虑接受风险,通过阻断制造网络段的外网接入请求缓解风险)。
风险接受这种例外情况必须由IT支持团队提出请求,并提供如下信息:
- 缓解控制:实施了哪些变更、采用了哪些工具或程序将风险降至最低。
- 风险接受说明:详细说明为何认为该风险对公司和系统无关紧要。
- 风险分析:若漏洞确遭利用,会带来哪些风险,影响哪些系统。
其他例外情况,如漏洞评估豁免,必须经过内部讨论,由运营总监批准。
四、风险管理文件示例
本节以为韦斯特曼公司(虚构)开发的政策程序文件和声明为例,介绍了风险管理文件中所包含的内容。本文中提到的商业实体、设备、材料等或有标识,仅为准确描述概念之用,并非暗示NIST推荐或认可,也不表明这些实体、设备、材料是实现目的之最佳选择。各组织的信息安全专家应选用与其现有网络安全计划和制造系统基础架构最为契合的内容及政策程序文件和声明。
韦斯特曼
风险管理政策
文件负责人:运营总监
- 版本信息
- 审批
如下签名表示审批者对本文档所有条款和条件均表示认可。
风险管理计划文件阐述了如何识别、分析与管理韦斯特曼制造系统所面临的网络安全风险。运营总监和高管可基于本文件预测风险,评估影响,确定应对措施。
4.1 范围
有权访问组织系统或数据的任何雇员、承包商或个人。
4.2 风险管理流程
风险管理是一个反复进行的过程。在执行计划的过程中,会获得越来越多的相关信息,需要根据掌握的信息随时调整风险说明书。整个风险管理流程包括识别、分析、分类、修复和报告。维护风险管理日志,以跟踪已知风险和修复措施。
4.3 识别
应尽早识别项目中的风险,最大可能地降低风险影响。就本流程而言,风险是指利用技术、流程或政策中的漏洞或弱点,对组织运营、组织资产或个人可能造成不利影响或损害的威胁。
影响IT和OT基础设施的威胁有多种类型,常见威胁源(基于NIST SP 800-30)包括:
- 敌对威胁 – 对组织的网络资源依赖性进行利用的个人、团体、组织或国家。
- 意外威胁 – 个人在履行日常职责过程中发生的意外错误行为。
- 结构性威胁 – 由于老化、资源消耗或其他非预期情况而导致的设备、环境控制或软件故障。
- 环境威胁 – 不受组织控制的自然灾害和本组织所依赖的关键基础设施的故障。
运营总监和IT团队以最新版本的NIST SP 800-30指南为依据,对正式的制造系统年度风险评估进行协调。在此过程中,识别和定义特定的组织威胁事件,以便评估漏洞和缺陷,确定是否存在风险。
要持续监控和管理风险,韦斯特曼的员工和外部承包商必须按照下述风险通知流程上报潜在风险。此外,使用软件工具(包括但不限于Nessus和CSET)识别组织的技术、流程或政策中的漏洞和缺陷,进而支持风险评估流程。
运营总监每年进行至少一次CSET评估。考虑到对生产过程的潜在影响,扫描仅在巡检期间执行。Nessus结果导入NamicSoft,生成报表,发送给运营总监和IT经理。此外,其他类型的风险,如硬件、物理或环境风险,进行手动识别和记录。
说明:无法根据漏洞管理计划修复的软件漏洞将纳入风险分析流程,以确定合理的纠正措施。
风险通知流程
4.4 分析
分析流程的第一步是为漏洞评分(1~10)。对于CSET识别的漏洞,评估人员基于严重性进行评分,分值范围为1~10。对于通过Nessus等扫描工具识别的漏洞,使用相关的CVSS评分。
如果无法分析所有漏洞,最起码要分析高级别(漏洞得分:7.0~8.9)和严重(漏洞得分9.0~10)漏洞,确定是否存在潜在(发生概率大于零)的相关威胁或威胁事件。要评估每个漏洞及其威胁对运营的影响。参考下表,使用定性风险分析流程确定总体概率和影响水平。然后,将这些因素组合起来,得到风险的量化评估值,供报告和优先级排序使用。
说明:为更准确地表示发生概率,评估人员或运营总监可酌情调整概率数值,最大为1,表示100%的发生概率,最小为0,表示0%的发生概率,说明未发现该漏洞或缺陷相关的威胁或威胁事件。
说明:总体影响得分为影响表中影响数值与资产重要性(见下文定义)的乘积,分值1~10。资产在未确定重要性之前,假设其重要性为10,直到最终正确分类。
资产重要性矩阵
通过韦斯特曼硬件盘点流程确定了哪些资产或系统需要保护后,对它们进行重要性评分。资产价值表示资产不可用、发生故障或毁坏可能带来的潜在影响。
韦斯特曼按以下标准计算资产价值。
下表为已分配分值的韦斯特曼的资产清单。
4.5 分类
要对风险进行分类,首先要计算总体风险评分,公式如下:
风险评分 = 漏洞评分 × 概率 × 影响 × 资产重要性
由此得出的风险评分(1~100)用于确定整体风险水平(基于NIST SP 800-30),计算修复措施的优先级。
将得到的风险信息输入到风险管理日志中,以方便跟踪,协调修复行动。
4.6 修复
对于中等及以上风险,选用以下修复方法:
- 规避 – 通过消除原因消除威胁。
- 缓解 – 找到方法,降低风险概率或影响。
- 接受 – 接受风险。
- 转移 – 让其他方对风险负责(购买保险、外包等),转移风险。
风险缓解和转移工作可能需要额外的研究和时间来实施。如有必要,运营总监会联系IT/OT厂商,了解风险情况,请求对方为修复工作提供援助。对于采取的任何纠正措施,包括风险接受,须记入风险管理日志。
所有风险缓解和转移工作都将记入风险管理日志,由运营总监跟踪,直至完成。之后,对实施的缓解措施进行评估,确定漏洞的最新残留风险水平以及残留风险是否在可接受范围内,不影响持续运行。
任何风险接受操作都必须遵循网络安全操作文件中“修复管理和优先级”及“例外管理”章节中定义的流程。
4.7 报告
下表列举了运营总监或IT经理记录、分析、沟通和升级风险管理结果的频率和形式。
运营总监向CEO上报风险评估结果(风险管理日志或CSET报告)。
风险管理日志样例
风险管理日志由运营总监维护,在月度高管会议上进行审核。日志内容包括最新的风险分析结果和按计划实施的纠正措施状态。
4.8 定义和缩略词
4.9 其他资源
- 风险管理计划 – 马里兰州信息技术部
- 风险管理计划样例 – 北达科他州
下次连载将介绍为韦斯特曼公司开发的PoC 技术方案实施方法,包括OPEN-AUDIT, CSET, GRASSMARLIN和WIRESHARK等技术方案的实施。
指南原文获取地址为:
https://doi.org/10.6028/NIST.IR.8183A-2
译者声明:
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。