《工控网络安全示例》的.docVIP

工业控制系统信息安全 GB/T 30976-2014 15.8.6 设计过程 在确定 TSL后，系统可被设计或 提供为满足声明的 SL的组件或系 重新设计以达到 TSL。 统的配置指南。 设计过程通常要迭代多次，因为 一旦系统设计被批准和实施，系 系统设计要与目标进行多次比较 统需要被评估以防止或减轻系统 检查。 安全级的降低。 ISA-62443-2-1 提供在设计过程 评估应该发生系统变更期间或变 程序方面的指导 更后并定期进行。 ISA-62443-3-3 和 ISA-62443-4- ISA-62443-2-1 （ 99.02.01 ）提供 2中定义了系统级和组件级的技 了运行安全程序的必要步骤和如 术安全要求及 CSL。 何评估其有效性的指南。 在系统设计过程中，需要评估不 如果系统不满足 ISA-62443-3- 3 同的组件和子系统的安全能力。 中的系统要求，则可能有多种原 产品供应商应提供组件或系统的 因，如缺少对程序的维护或重新 CSL数据，这是通过与 ISA- 设计部分系统。 62443 系列中定义的不同 CSL的 本质上，控制系统安全能力的确 要求进行比较得出的。 定与使用场景无关，但用在给定 产品的 CSL可以用来确定一个特 场景中以达到系统架构、区域和 定的组件或系统是否能够满足系 （ / 或）连接管道的 TSL。 统的 TSL。 系统安全等级（ SL1-SL4）说明 SL 1: 防护偶然或巧合性的信息安全违规行为 偶然或巧合的对信息安全的违规行为往往是安全策略执行过于宽松导致的。普通员工或外部攻击都可能导致这种情况。许多这样的违规均与安全程序相关，可以通过加强的策略和章程的执行来防止。 SL 2: 防护利用较少资源、一般技术和较低动机的简单手段的攻击 简单手段不需要攻击者有太多知识储备。攻击者不需要知道信息安全、被攻击的区域或具体系统的详细指示。攻击方法往往是众所周知的，可能还有辅助性的自动化攻击工具。这些攻击一般是为了对大量系统进行攻击而设计，并不是针对一个特定的系统，所以攻击者不需要具备很强的动机或很多资源。 SL 3: 防护利用中等资源、 IACS特殊技术和中等动机的复杂手段的攻击 复杂的手段需要对信息安全、对应工控领域和目标系统深入的了解和知识积累。攻击者攻击 SL 3系统时，可能会使用为特定目标系统设计的攻击方案。攻击者可能 会利用较新的操作系统漏洞、工业协议的缺陷，特定目标的具体信息来发起攻击，或通过其他比 SL 1或SL 2需要更大的动机以及需要更多知识的方式来发起攻击。 SL 4: 防护使用扩展资源、 IACS特殊技术和较高动机的复杂手段的攻击 SL 4和SL 3非常相似，它们都涉及到使用复杂的手段入侵系统。 SL 4与SL 3的差异在于攻击者动机更强，而且可以支配的资源更多，比如高性能的计算资源、大量 的计算机或长时期的专职攻击时间。 示例 1：系统安全等级（ SL1-SL4）说明 SL1：作员通过工程师站对 BPCS区域中的一个定值进行 修改，并超出工程师能够设定的范围，这就构成了 一个偶然或巧合的信息安全违规行为。造成这一情 况的原因是系统没有对操作员的变更行为进行适当 的身份验证和使用控制。 口令以明文在连接 BPCS区和 DMZ区管道中传输， 网络工程师在对系统进行诊断故障时就可以看到 明文的口令，系统没有实施适当的数据保密来保 护口令。 SL2： 病毒感染了控制系统 DMZ中的维护工作站，并传 播到了 BPCS中的工程师工作站，因为他们都使用 相同的通用操作系统。 SL3： 攻击者通过以太网控制器中的一个漏洞进入控制 PLC，而后通过串行接口访问 FS-PLC。 SL4： 使用超级计算机或计算机集群，采用大的哈希表强 力破解口令就是一个利用扩展资源和复杂手段的攻 击的例子。其他典型攻击还包括同时使用多种攻击 手段形成僵尸网络来攻击一个特定系统、拥有大量 资源和攻击动机的犯罪组织长期对目标系统进行分 析并开发自定义的“ 0day”漏洞攻击工具。 图1、氯卡车装载站控制系统示例  示例 2：系统安全等级（ SL1-SL4）说明 SL1： 一个工程师试图访问工业网络 1中的 PLC，但 实际上访问工业网络 2中的 PLC，系统没有 执行适当的数据流限制来阻止工程师访问错 误的系统。 SL2： 攻击者使用从 Internet 上下载的攻击工具， 利用通用操作系统的已知公开漏洞，破坏了 企业网络中的 web服务器。攻击者可以利用 web服务器作为跳板对企业网络和工业网络 中其它系统发起攻击。 操作员使用工业网络 1中的 HMI浏览一个网站， 结果下载了木马，导致 Internet 上的攻击者 可以直接访问工业网络 1。 SL3