今日頭條
官方微信
官方抖音
資訊頻道1 概述
在過(guò)去的十幾年間,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)越來(lái)越多地應(yīng)用于工業(yè)控制領(lǐng)域,一些IT網(wǎng)絡(luò)通用協(xié)議一直延伸到工業(yè)控制系統(tǒng)(ICS)的現(xiàn)場(chǎng)層(如基于TCP/IP的工業(yè)以太網(wǎng)),使用戶可以在企業(yè)辦公網(wǎng)甚至互聯(lián)網(wǎng)上直接對(duì)控制現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)進(jìn)行數(shù)據(jù)實(shí)時(shí)采集與控制,但在方便用戶的同時(shí),卻將一直被認(rèn)為“對(duì)威脅免疫”的ICS系統(tǒng)直接暴露在了互聯(lián)網(wǎng)上眾多黑客的視線中,ICS系統(tǒng)設(shè)施也正逐漸成為了黑客們從虛擬化的網(wǎng)絡(luò)滲透到現(xiàn)實(shí)實(shí)體的攻擊對(duì)象之一。
2011年6月爆發(fā)的“震網(wǎng)”病毒感染了全球45000個(gè)以上的大型網(wǎng)絡(luò)環(huán)境,其中伊朗60%以上個(gè)人電腦被感染[2],攻擊者利用這種超級(jí)病毒可以篡改工業(yè)基礎(chǔ)設(shè)施運(yùn)行數(shù)據(jù),向現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)發(fā)送破壞指令,從而使工業(yè)基礎(chǔ)設(shè)施癱瘓。該病毒的出現(xiàn)使得布什爾核電站一再推遲發(fā)電計(jì)劃,造成伊朗約20%的離心機(jī)因感染病毒而失靈甚至是完全報(bào)廢。
工業(yè)信息安全事故報(bào)告(RISI)披露更多的事故發(fā)生在電力系統(tǒng)、水利系統(tǒng)、能源系統(tǒng)和運(yùn)輸系統(tǒng)等涉及到工業(yè)控制的其他領(lǐng)域,但無(wú)一例外的都由網(wǎng)絡(luò)入侵所致,這些事實(shí)表明“震網(wǎng)”事件絕不是個(gè)例,國(guó)家經(jīng)濟(jì)基礎(chǔ)設(shè)施、人民生活保障設(shè)施、國(guó)防設(shè)施正在面臨著巨大的威脅。因此,發(fā)生在ICS系統(tǒng)中的攻擊事件和如何避免類似事件的再次發(fā)生開(kāi)始得到越來(lái)越多地關(guān)注。近10年來(lái),許多國(guó)家、組織和公司紛紛成立ICS安全機(jī)構(gòu)、啟動(dòng)ICS安全項(xiàng)目、制定ICS安全規(guī)范和標(biāo)準(zhǔn),建立面向ICS系統(tǒng)的安全防護(hù)體系已經(jīng)成為國(guó)際工業(yè)領(lǐng)域?qū)<覀兊墓沧R(shí)。
本文將通過(guò)介紹現(xiàn)代ICS系統(tǒng)的結(jié)構(gòu),討論ICS系統(tǒng)自身潛在的風(fēng)險(xiǎn)和可能導(dǎo)致入侵的薄弱環(huán)節(jié),分析ICS系統(tǒng)發(fā)生安全事故的影響,并結(jié)合國(guó)際上現(xiàn)有的安全標(biāo)準(zhǔn)、規(guī)范提出應(yīng)對(duì)風(fēng)險(xiǎn)的可行措施。
2 ICS體系結(jié)構(gòu)及安全風(fēng)險(xiǎn)分析
2.1 ICS體系結(jié)構(gòu)發(fā)展
工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)基礎(chǔ)設(shè)施的關(guān)鍵組成部分,廣泛應(yīng)用于電力、水利、能源、運(yùn)輸、化工等工業(yè)領(lǐng)域,是包含了工業(yè)生產(chǎn)中所使用的多種類型控制系統(tǒng)的總稱,包括監(jiān)控與數(shù)據(jù)采集系統(tǒng)(SCADA)、集散控制系統(tǒng)(DCS)以及可編程邏輯控制器(PLC)等。工業(yè)控制系統(tǒng)的主要功能是將操作站發(fā)出的控制指令和數(shù)據(jù)(如打開(kāi)或關(guān)閉一個(gè)閥門(mén))推送到控制現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu),同時(shí)采集控制現(xiàn)場(chǎng)的狀態(tài)信息反饋給操作站并通過(guò)數(shù)字、圖形等形式展現(xiàn)給操作人員。
自從計(jì)算機(jī)完全替代模擬控制的控制系統(tǒng)出現(xiàn),工業(yè)控制系統(tǒng)已歷經(jīng)40多年的發(fā)展,在結(jié)構(gòu)上也由最初的集中控制系統(tǒng)發(fā)展到分散、分層控制系統(tǒng),最終發(fā)展為目前流行的基于現(xiàn)場(chǎng)總線或以太網(wǎng)的控制系統(tǒng),而工業(yè)控制系統(tǒng)的每一次變革都與計(jì)算機(jī)系統(tǒng)的發(fā)展有著密切的聯(lián)系。
最初的計(jì)算機(jī)系統(tǒng)以大型機(jī)為主,所有計(jì)算和處理任務(wù)都需要匯集到中央主機(jī)來(lái)完成,因此產(chǎn)生了集中式的直接數(shù)字控制(DDC)系統(tǒng)。到上世紀(jì)70年代中期,出現(xiàn)了以微處理器為基礎(chǔ)的分散式控制系統(tǒng),它以多臺(tái)主機(jī)共同完成控制,各主機(jī)之間通過(guò)數(shù)據(jù)通信實(shí)現(xiàn)集中管理,因此被稱為集散控制系統(tǒng)(DCS),分散化的控制推動(dòng)了控制系統(tǒng)網(wǎng)絡(luò)化的發(fā)展。進(jìn)入上世紀(jì)80到90年代以后,由于嵌入式微處理器的出現(xiàn),現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)朝智能化方向發(fā)展,具備了數(shù)字通信的能力,人們便將具有統(tǒng)一通信協(xié)議和接口的智能設(shè)備連接起來(lái),這就是現(xiàn)場(chǎng)總線控制系統(tǒng)(FCS),它的出現(xiàn)預(yù)示著控制系統(tǒng)正向網(wǎng)絡(luò)化方向演化。
在工業(yè)控制領(lǐng)域還有一類特殊的需求,它的控制現(xiàn)場(chǎng)區(qū)域分布較為分散,且控制主站與控制對(duì)象相距較遠(yuǎn),如城市交通系統(tǒng)、變電站、鐵路運(yùn)輸系統(tǒng)、輸油和輸氣管道等,這類需求促使了監(jiān)視控制與數(shù)據(jù)采集(SCADA)系統(tǒng)的產(chǎn)生,它可以通過(guò)遠(yuǎn)程方式對(duì)現(xiàn)場(chǎng)的運(yùn)行設(shè)備進(jìn)行監(jiān)視和控制,以實(shí)現(xiàn)數(shù)據(jù)采集和設(shè)備控制功能。SCADA系統(tǒng)主要由三部分組成,主終端單元、通信系統(tǒng)和遠(yuǎn)程終端單元。主終端單元系統(tǒng)采用通用計(jì)算機(jī)處理現(xiàn)場(chǎng)傳輸過(guò)來(lái)的監(jiān)控?cái)?shù)據(jù),使操作人員能夠?qū)崟r(shí)地掌控系統(tǒng)的運(yùn)行狀態(tài)和實(shí)施控制指令。遠(yuǎn)程終端單元主要完成數(shù)據(jù)采集和通信工作,其通常運(yùn)轉(zhuǎn)在無(wú)人值守的現(xiàn)場(chǎng)環(huán)境之中,其運(yùn)行狀態(tài)的正確與否,直接影響控制現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)的運(yùn)行。通信系統(tǒng)的主要作用是傳輸主終端單元和遠(yuǎn)程終端單元通信的指令和數(shù)據(jù),可基于光纖及電話線、GPRS、微波、衛(wèi)星通信以及3G/4G和互聯(lián)網(wǎng)等方式。
如今企業(yè)構(gòu)建信息化網(wǎng)絡(luò)日漸成熟,將工業(yè)控制現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)的實(shí)時(shí)狀態(tài)信息納入全方位的信息化管理、使企業(yè)管理決策科學(xué)化是必然的趨勢(shì),信息控制一體化將為實(shí)現(xiàn)企業(yè)綜合自動(dòng)化和企業(yè)信息化創(chuàng)造有利條件。因此,無(wú)論是基于工廠范圍的DCS系統(tǒng)還是基于更廣范圍的SCADA系統(tǒng)[3],在結(jié)構(gòu)和組織形式上都趨向于與互聯(lián)網(wǎng)相融合,但在為互聯(lián)網(wǎng)和先進(jìn)的通信技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)而歡呼雀躍的同時(shí),在傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)上遇到的安全問(wèn)題,同樣會(huì)出現(xiàn)在工業(yè)控制系統(tǒng)中,并直接體現(xiàn)在控制系統(tǒng)執(zhí)行機(jī)構(gòu)能否正常運(yùn)行上,使工業(yè)現(xiàn)場(chǎng)環(huán)境的物理安全面臨更嚴(yán)峻的挑戰(zhàn)。
2.2 ICS系統(tǒng)由封閉走向開(kāi)放
傳統(tǒng)的ICS系統(tǒng)技術(shù)高度專業(yè)、網(wǎng)絡(luò)封閉和協(xié)議私有,與外界從物理上相隔離,很難由外界接入,因此不會(huì)受到入侵的威脅。而現(xiàn)代ICS系統(tǒng)如圖1所示,從結(jié)構(gòu)和網(wǎng)絡(luò)架構(gòu)上與IT系統(tǒng)越來(lái)越相似,所使用的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備都是通用的,接口的統(tǒng)一使ICS系統(tǒng)和IT系統(tǒng)實(shí)現(xiàn)了無(wú)縫對(duì)接,ARC [10]報(bào)告顯示ICS系統(tǒng)普遍存在直接接入互聯(lián)網(wǎng)的事件,包括系統(tǒng)補(bǔ)丁下載、殺毒軟件病毒庫(kù)更新,或者通過(guò)ICS網(wǎng)絡(luò)進(jìn)行如電子郵件收發(fā)等辦公活動(dòng),ICS系統(tǒng)已經(jīng)不再可能保持其封閉、私有、隔離的特性,因此一些惡意入侵者攻擊可以通過(guò)網(wǎng)絡(luò)侵入到ICS系統(tǒng),實(shí)施物理破壞。
圖1 現(xiàn)代ICS系統(tǒng)體系結(jié)構(gòu)
同時(shí),以太網(wǎng)技術(shù)的普及和互聯(lián)網(wǎng)迅猛發(fā)展,越來(lái)越多的控制設(shè)備配備了以太網(wǎng)接口,盡管由于歷史原因,各控制系統(tǒng)廠商在通信協(xié)議方面標(biāo)準(zhǔn)不一,但在接口配置方面都預(yù)留了以太網(wǎng)接口,伴隨著工業(yè)以太網(wǎng)技術(shù)的出現(xiàn),以太網(wǎng)已經(jīng)延伸到了控制現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)。因此入侵者可以通過(guò)多種方式[9]侵入ICS系統(tǒng):
(1)通過(guò)企業(yè)辦公網(wǎng)接入
企業(yè)辦公網(wǎng)與ICS系統(tǒng)間通常部署有防火墻,入侵者通過(guò)反彈、代理、欺騙等手段可以穿透防火墻,最終接入ICS系統(tǒng)。
(2)通過(guò)遠(yuǎn)程連接方式接入
一些ICS設(shè)備廠商有遠(yuǎn)程安裝、維護(hù)設(shè)備的需求,遠(yuǎn)端PC通過(guò)Modem撥號(hào)網(wǎng)絡(luò)接入ICS系統(tǒng),入侵者可以利用弱口令漏洞侵入ICS系統(tǒng);另一種可能是入侵遠(yuǎn)端主機(jī),間接接入ICS系統(tǒng)。
(3)通過(guò)“可信任”的連接接入
一些用戶為得到控制系統(tǒng)供應(yīng)商或第三方的遠(yuǎn)程服務(wù)支持時(shí),會(huì)與其建立“可信任通道”,在使用過(guò)程中可能存在未遵循安全策略或第三方廠商缺乏安全管理策略而引入外部入侵。
(4)通過(guò)無(wú)線通信網(wǎng)絡(luò)接入
ICS系統(tǒng)大量使用無(wú)線技術(shù),允許距離相距較遠(yuǎn)的設(shè)備節(jié)點(diǎn)間以集中管理主機(jī)作為中繼進(jìn)行通信,無(wú)線網(wǎng)絡(luò)通信的開(kāi)放性也創(chuàng)造了更多的入侵[6]和信息竊取的機(jī)會(huì)。
(5)通過(guò)其他公共通信設(shè)施接入
SCADA系統(tǒng)組成部分之一的通信系統(tǒng),考慮到架設(shè)網(wǎng)絡(luò)的成本,除敏感度極強(qiáng)的系統(tǒng)外,通常都是依靠公共通信設(shè)施來(lái)構(gòu)建的,入侵者可以從一些通信中繼點(diǎn)實(shí)施對(duì)主終端單元或遠(yuǎn)程終端單元的入侵。
(6)通過(guò)SCADA遠(yuǎn)程終端單元接入
一些遠(yuǎn)程終端單元部署在較為暴露且無(wú)人值守的環(huán)境中,很可能成為入侵者利用的工具和入侵的入口,入侵者可以直接切入到現(xiàn)場(chǎng)層實(shí)施破壞。
對(duì)于不直接與外界相連的封閉ICS系統(tǒng),雖然可以免于被直接入侵,但仍可能受到通過(guò)可移動(dòng)存儲(chǔ)設(shè)備、便攜機(jī)、手機(jī)等途徑傳播的病毒、木馬等惡意軟件的威脅。通過(guò)惡意軟件攻擊ICS系統(tǒng)較直接入侵具有更大的隱蔽性,使攻擊者的行蹤不被暴露。
2.3 ICS系統(tǒng)潛在風(fēng)險(xiǎn)分析
在ICS設(shè)計(jì)之初,并沒(méi)有加入對(duì)安防理念的考慮,ICS系統(tǒng)內(nèi)部尤其是執(zhí)行機(jī)構(gòu)沒(méi)有任何安全防護(hù),所以一旦系統(tǒng)被攻克,受到影響的將是工業(yè)實(shí)體設(shè)施,而潛伏在控制系統(tǒng)各個(gè)層次中的漏洞隨時(shí)都可能被利用,這些漏洞按照運(yùn)行平臺(tái)分為通用平臺(tái)漏洞和專有平臺(tái)漏洞以及二者之間的通信網(wǎng)絡(luò)漏洞等[8]三大類。
2.3.1 通用平臺(tái)漏洞風(fēng)險(xiǎn)
現(xiàn)代ICS系統(tǒng)應(yīng)用程序、數(shù)據(jù)庫(kù)、人機(jī)交互接口都從原來(lái)的專有平臺(tái)轉(zhuǎn)移到了IT通用計(jì)算機(jī)平臺(tái),操作系統(tǒng)主要是基于Windows和類Unix操作系統(tǒng)(較少使用),因此IT通用計(jì)算機(jī)普遍存在的風(fēng)險(xiǎn)也被帶到了ICS中來(lái)。ICS系統(tǒng)由于其獨(dú)特的應(yīng)用性,一些安全風(fēng)險(xiǎn)甚至比IT系統(tǒng)更容易出現(xiàn),具體表現(xiàn)在以下方面:
(1)不升級(jí)導(dǎo)致已知漏洞無(wú)法及時(shí)修補(bǔ)
由于這些通用平臺(tái)不是專為ICS系統(tǒng)而設(shè)計(jì),其不斷的更新可能會(huì)對(duì)ICS應(yīng)用程序產(chǎn)生未知的影響,因此ICS系統(tǒng)廠商通常建議用戶使用其推薦的軟件版本,用戶在使用時(shí)也極少進(jìn)行操作系統(tǒng)的升級(jí)[4],導(dǎo)致漏洞無(wú)法及時(shí)修補(bǔ)而累積漏洞風(fēng)險(xiǎn)。
(2)軟件配置策略風(fēng)險(xiǎn)
ICS系統(tǒng)應(yīng)用程序運(yùn)行通常需要依賴于第三方提供的軟件、庫(kù)、服務(wù)等資源,這些資源在設(shè)計(jì)時(shí)會(huì)按照安全等級(jí)的不同,采用不用的配置策略。ICS系統(tǒng)廠商為了能夠?qū)崿F(xiàn)較好的兼容性或僅僅為了方便,有時(shí)會(huì)使用安全級(jí)別較低的配置策略,忽視了這些資源本身設(shè)計(jì)上的安全性考慮,因此會(huì)暴露出更多的安全問(wèn)題。
(3)系統(tǒng)和應(yīng)用服務(wù)漏洞
ICS系統(tǒng)為了實(shí)現(xiàn)更多的功能、接口等通常需要操作系統(tǒng)提供如Web、數(shù)據(jù)庫(kù)、遠(yuǎn)程過(guò)程調(diào)用(RPC)等服務(wù)。Windows是目前已知漏洞最多的操作系統(tǒng),在其漏洞爆發(fā)數(shù)量排名前十位的漏洞[30]中的前四位都是Windows系統(tǒng)服務(wù)漏洞,而其中一些服務(wù)是一般ICS系統(tǒng)應(yīng)用程序所必須依賴的,加之對(duì)這些服務(wù)的配置也可能存在問(wèn)題,可能會(huì)增添更多的安全風(fēng)險(xiǎn)。另外,在配置ICS軟件系統(tǒng)時(shí),通常只保證了ICS所需的系統(tǒng)服務(wù)的開(kāi)啟狀態(tài),卻沒(méi)有將不需要的服務(wù)關(guān)閉,導(dǎo)致一些系統(tǒng)默認(rèn)開(kāi)啟的服務(wù)可能成為入侵的后門(mén)。
2.3.2 專有平臺(tái)漏洞風(fēng)險(xiǎn)
專有平臺(tái)是相對(duì)于通用平臺(tái)而言不能使用通用PC作為平臺(tái)的主機(jī)或設(shè)備,主要是指控制器和現(xiàn)場(chǎng)智能設(shè)備等控制系統(tǒng)執(zhí)行機(jī)構(gòu),這些設(shè)備采用與PC不同的架構(gòu),硬件資源有限,且與現(xiàn)場(chǎng)環(huán)境緊密結(jié)合,是ICS系統(tǒng)中最重要也是最易受到攻擊的部分,其存在漏洞將直接暴露給滲透到現(xiàn)場(chǎng)層的入侵者,主要表現(xiàn)在以下方面:
(1)現(xiàn)場(chǎng)設(shè)備資源有限,安全防護(hù)能力弱,如控制器一般通過(guò)以太網(wǎng)與控制站主機(jī)通信,很容易受到基于現(xiàn)場(chǎng)層的拒絕服務(wù)(DoS)等網(wǎng)絡(luò)攻擊,導(dǎo)致負(fù)載過(guò)重,通信中斷,直接對(duì)現(xiàn)場(chǎng)控制產(chǎn)生影響;
(2)一些現(xiàn)場(chǎng)無(wú)線設(shè)備的安全,如無(wú)線傳感器網(wǎng)絡(luò),一方面是干擾的問(wèn)題[5]、通信擁塞,一些實(shí)時(shí)性要求較高的無(wú)線網(wǎng)絡(luò)設(shè)計(jì)很少包含對(duì)不可靠通信的容錯(cuò)以及在通信中斷情況下的本質(zhì)安全問(wèn)題。對(duì)于一些無(wú)線網(wǎng)絡(luò)設(shè)備的資源比較有限,電池容量也比較有限,一般不會(huì)增加加密等安全措施以節(jié)約耗電;另外,對(duì)無(wú)線節(jié)點(diǎn)的攻擊也可以采用一些不間斷的偽造通信等形式,使無(wú)線節(jié)點(diǎn)的電量耗盡,造成其失效;
(3)入侵者可以從遠(yuǎn)端PLC網(wǎng)絡(luò)直接接入現(xiàn)場(chǎng)層網(wǎng)絡(luò)或者通過(guò)植入現(xiàn)場(chǎng)層網(wǎng)絡(luò)主機(jī)的惡意程序?qū)嵤┚芙^服務(wù)攻擊、欺騙、通信劫持、偽造、篡改數(shù)據(jù)等;也可以向PLC、DCS等控制器直接下發(fā)錯(cuò)誤指令,使其執(zhí)行錯(cuò)誤的控制程序甚至故障。
2.3.3 網(wǎng)絡(luò)通信漏洞風(fēng)險(xiǎn)
工業(yè)通信網(wǎng)絡(luò)雖然在原理上基本符合一般計(jì)算機(jī)或者通信系統(tǒng)的通信原理,但也存在一些特殊性:
(1)ICS系統(tǒng)對(duì)數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性極其敏感,因此通信網(wǎng)絡(luò)上的任何干擾都可能產(chǎn)生影響,造成間接破壞;
(2)當(dāng)前的安全防護(hù)能力仍停留在LAN/WAN層面上的防護(hù),對(duì)現(xiàn)場(chǎng)設(shè)備通信的防護(hù)幾乎沒(méi)有涉及,特別是與控制現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)直接相關(guān)的Modbus、Profibus等現(xiàn)場(chǎng)總線協(xié)議都沒(méi)有包含安全特性;
(3)由于現(xiàn)場(chǎng)控制設(shè)備性能的限制和實(shí)時(shí)性的要求,ICS通信網(wǎng)絡(luò)上數(shù)據(jù)傳輸通常不加密或采用簡(jiǎn)單的加密算法,很容易破解,存在信息泄露或數(shù)據(jù)被偽造的風(fēng)險(xiǎn);
(4)缺少防護(hù)的網(wǎng)絡(luò)邊界風(fēng)險(xiǎn),網(wǎng)絡(luò)邊界包括一切可能接入ICS系統(tǒng)的主機(jī)或網(wǎng)絡(luò)設(shè)備,如果不對(duì)這些接入設(shè)備加以安全性定義和訪問(wèn)權(quán)限控制,可能導(dǎo)致攻擊者的直接入侵;
(5)ICS系統(tǒng)各個(gè)廠商產(chǎn)品標(biāo)準(zhǔn)不一,每個(gè)廠商的產(chǎn)品屬于一個(gè)封閉私有系統(tǒng),其不開(kāi)源的特性本身如同Windows系統(tǒng)一樣存在很多未知漏洞,由于從未經(jīng)受過(guò)網(wǎng)絡(luò)上的安全考驗(yàn),這些漏洞不能及時(shí)發(fā)現(xiàn)并修復(fù)。
2.4 目前ICS安全防護(hù)實(shí)施存在的問(wèn)題
(1)麻痹意識(shí)、疏于管理導(dǎo)致安全策略不能有效
實(shí)施ICS系統(tǒng)本身具有網(wǎng)絡(luò)分級(jí)管理、身份權(quán)限認(rèn)證或建議安裝第三方安全軟件等基本安全規(guī)則,但維護(hù)人員通常因?yàn)橄到y(tǒng)從未出現(xiàn)過(guò)問(wèn)題,而回避風(fēng)險(xiǎn)的存在,認(rèn)為系統(tǒng)是安全的,如在安全等級(jí)不同區(qū)域未加區(qū)分地共享工程文件、部分等級(jí)地設(shè)置用戶權(quán)限或設(shè)置弱口令等不規(guī)范的配置管理使入侵者很容易趁亂潛入。
在一些通用防火墻的配置上,由于控制系統(tǒng)工程師IT網(wǎng)絡(luò)知識(shí)不足,為了保證系統(tǒng)正常運(yùn)行,將安全策略配置的級(jí)別放寬,導(dǎo)致存在除控制系統(tǒng)正常通信通道之外的其他通路,給入侵者留下了可乘之機(jī)。
(2)缺乏ICS系統(tǒng)內(nèi)部安全防范
目前ICS系統(tǒng)安全防護(hù)通用的做法是在企業(yè)網(wǎng)和控制系統(tǒng)間添加防火墻或者起到隔離作用的網(wǎng)關(guān),而防火墻的單設(shè)備防御形式不能對(duì)ICS系統(tǒng)網(wǎng)絡(luò)內(nèi)部設(shè)備尤其是控制現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)產(chǎn)生任何防護(hù),這道防線一旦攻破或者通過(guò)其他途徑繞過(guò)防火墻,就相當(dāng)于將ICS系統(tǒng)完全暴露。
從Industrial Security Incident Database[11]的統(tǒng)計(jì)數(shù)據(jù)可以看出,來(lái)自企業(yè)內(nèi)部或所謂可信任連接的入侵占據(jù)了入侵總數(shù)的約80%,一個(gè)FBI的調(diào)查也顯示企業(yè)內(nèi)部員工直接或間接造成安全事故占總數(shù)的 71%[12],說(shuō)明從企業(yè)內(nèi)部[7]爆發(fā)的安全威脅應(yīng)該得到更多地重視,需要將網(wǎng)絡(luò)邊界系統(tǒng)和網(wǎng)絡(luò)內(nèi)部的安全防范能力提到同等重要的高度。
(3)現(xiàn)有安全措施無(wú)法有效地構(gòu)成防護(hù)體系
現(xiàn)有的ICS安全防護(hù)較為分散,安防設(shè)備與策略缺少統(tǒng)一規(guī)范、軟件與硬件不能有效配合、ICS系統(tǒng)廠商與安全設(shè)備廠商沒(méi)有統(tǒng)一的安全標(biāo)準(zhǔn)接口等,導(dǎo)致通用安全策略無(wú)法制定、實(shí)施。因此需要構(gòu)建具有通用性、兼容多種工業(yè)協(xié)議、層級(jí)間聯(lián)動(dòng)功能、強(qiáng)化內(nèi)部和邊界安全防護(hù),并能夠在事故發(fā)生后快速組織應(yīng)急響應(yīng)的ICS綜合安全體系。
(4)試圖通過(guò)協(xié)議私有化實(shí)現(xiàn)“隱性的安全”
工業(yè)控制系統(tǒng)廠商曾一度認(rèn)為工業(yè)控制通信協(xié)議如果是私有和專用的,入侵者沒(méi)有足夠的知識(shí)和能力實(shí)施入侵,控制系統(tǒng)便實(shí)現(xiàn)了“隱性的安全”,而今一些“感興趣的專家”可以通過(guò)破解、竊取等方式獲取內(nèi)部技術(shù)資料,使這些系統(tǒng)便直接暴露在威脅之下;而且隨著工業(yè)控制技術(shù)的開(kāi)放化和標(biāo)準(zhǔn)化,這類安全日益失去了作用,如果不對(duì)其進(jìn)行有效地防護(hù),入侵者就可以通過(guò)企業(yè)網(wǎng)絡(luò)和通信系統(tǒng)侵入到工業(yè)控制網(wǎng)絡(luò)。
(5)將IT網(wǎng)絡(luò)安全措施直接應(yīng)用到ICSIT網(wǎng)絡(luò)具有通用性和統(tǒng)一性,已基本形成了完善的安全防御體系,包括軟硬件相結(jié)合的安全策略,從多方面對(duì)網(wǎng)絡(luò)內(nèi)個(gè)人主機(jī)或服務(wù)器的數(shù)據(jù)進(jìn)行保護(hù),而ICS系統(tǒng)的核心是控制現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)和工業(yè)生產(chǎn)過(guò)程,其中存在具有強(qiáng)大破壞力的能量(電力、石油、天然氣等)或物質(zhì)(有毒化工原料、放射性物質(zhì)等),一旦失控就可能造成巨大的財(cái)產(chǎn)損失甚至人員傷亡,因此需要安全等級(jí)更高的防護(hù);而且ICS系統(tǒng)中各種控制器和執(zhí)行機(jī)構(gòu)不同于通用計(jì)算機(jī),也很難形成通用的設(shè)備安全防護(hù)手段;另外,IT網(wǎng)絡(luò)的通信協(xié)議是統(tǒng)一標(biāo)準(zhǔn)的TCP/IP協(xié)議族,而ICS系統(tǒng)通信標(biāo)準(zhǔn)各異,有些協(xié)議甚至是私有協(xié)議,因此也無(wú)法統(tǒng)一安防標(biāo)準(zhǔn)。
雖然以太網(wǎng)和TCP/IP技術(shù)應(yīng)用于工業(yè)領(lǐng)域可以大大節(jié)約成本,并且提供了可以與IT網(wǎng)絡(luò)互聯(lián)的接口,但是它的設(shè)計(jì)理念與工業(yè)的需求是截然不同的[13],在硬件、操作系統(tǒng)和應(yīng)用軟件上都有很大差異,將IT安全策略應(yīng)用到ICS系統(tǒng)非但不能起到保護(hù)作用,還可能影響到ICS系統(tǒng)的正常運(yùn)作。所以IT網(wǎng)絡(luò)安全防護(hù)策略不能直接應(yīng)用于ICS系統(tǒng)[14][15][16],考慮到工業(yè)控制的實(shí)時(shí)性、高可靠性、專有性等特殊需求[17],必須開(kāi)發(fā)出專門(mén)針對(duì)ICS系統(tǒng)的安全防護(hù)解決方案。
3 國(guó)外ICS安防發(fā)展現(xiàn)狀
自從上世紀(jì)末、本世紀(jì)初開(kāi)始,ICS安全問(wèn)題就引起了國(guó)際上的廣泛關(guān)注,以美國(guó)為代表的政府、組織正在采取積極行動(dòng),應(yīng)對(duì)ICS系統(tǒng)安全風(fēng)險(xiǎn)。
3.1 美國(guó)政府機(jī)構(gòu)公布的ICS安全法規(guī)及安防項(xiàng)目
(1)美國(guó)負(fù)責(zé)發(fā)展控制系統(tǒng)安全防護(hù)的能源部(Department of Energy)能源保證辦公室(Energy Assurance Office)在2003年公布了“改進(jìn)控制系統(tǒng)信息安全的21個(gè)步驟”報(bào)告[18],供各控制系統(tǒng)運(yùn)營(yíng)商參考應(yīng)用,其中貫穿并整合了21個(gè)步驟的核心內(nèi)容就是“建立一個(gè)嚴(yán)謹(jǐn)并持續(xù)進(jìn)行的風(fēng)險(xiǎn)管理程序”,主要包括認(rèn)識(shí)系統(tǒng)威脅所在、了解所能承受的風(fēng)險(xiǎn)范圍、衡量系統(tǒng)風(fēng)險(xiǎn)、根據(jù)需求分析測(cè)試系統(tǒng)、確認(rèn)風(fēng)險(xiǎn)在可接受范圍等。
(2)2010年7月,美國(guó)安全局(NSA)正式實(shí)施一個(gè)名為“完美公民”的計(jì)劃[19],重點(diǎn)基礎(chǔ)設(shè)施的控制系統(tǒng)網(wǎng)絡(luò)中部署一系列的傳感器,以監(jiān)測(cè)對(duì)經(jīng)營(yíng)如核電站等重點(diǎn)基礎(chǔ)設(shè)施的私有企業(yè)和國(guó)家機(jī)構(gòu)的網(wǎng)絡(luò)襲擊。如果有公司要求對(duì)其受到的網(wǎng)絡(luò)襲擊進(jìn)行調(diào)查時(shí),“完美公民”計(jì)劃可以提供相關(guān)監(jiān)測(cè)數(shù)據(jù)。
(3)隸屬于美國(guó)國(guó)土安全部(DHS)的計(jì)算機(jī)應(yīng)急準(zhǔn)備小組(US-CERT)正開(kāi)展著一個(gè)“美國(guó)控制系統(tǒng)安全項(xiàng)目—Control System Security Program(CSSP)”[20],針對(duì)所有國(guó)家重要基礎(chǔ)中的控制系統(tǒng),協(xié)調(diào)中央和地方政府、系統(tǒng)制造商、使用者進(jìn)行ICS安全方面的合作,提出了“縱深防御策略 (Defense-in-depth)” [21],制定了指導(dǎo)相關(guān)組織建設(shè)更安全的ICS系統(tǒng)的標(biāo)準(zhǔn)和參考。
(4)美國(guó)商務(wù)部通過(guò)其下的美國(guó)標(biāo)準(zhǔn)與技術(shù)研究所(NIST)制定了“工業(yè)控制系統(tǒng)防護(hù)概況”、“工業(yè)控制系統(tǒng)IT安全”[22]等一系列安全防護(hù)標(biāo)準(zhǔn)、規(guī)范,從ICS系統(tǒng)漏洞、風(fēng)險(xiǎn)、評(píng)估、防護(hù)等多個(gè)方面對(duì)安全防護(hù)體系都做了詳細(xì)敘述。
3.2 ICS安防標(biāo)準(zhǔn)
(1)在ICS安防標(biāo)準(zhǔn)研究方面,國(guó)際電工委員會(huì)IEC(International Electronical Commission)與儀器系統(tǒng)與自動(dòng)化協(xié)會(huì)ISA(Instrumentation, Systems and Automation Society)合作,積極研究ICS安防國(guó)際標(biāo)準(zhǔn)ANSI/ISA-99 [23]。該標(biāo)準(zhǔn)作為建立控制系統(tǒng)安全防護(hù)體系的依據(jù),定義了控制系統(tǒng)的安全生命周期模型,包含定義風(fēng)險(xiǎn)目標(biāo)和評(píng)估系統(tǒng)、設(shè)計(jì)和選擇安全對(duì)策等項(xiàng)目,提出了區(qū)級(jí)安全的概念。
(2)IEC 62351[24]是由國(guó)際電工委員會(huì)制定的多重標(biāo)準(zhǔn),全名是“電力系統(tǒng)管理及關(guān)聯(lián)的信息交換-數(shù)據(jù)和通信安全性”(Power systems management and associated information exchange – Data andcommunications security),主要包括TCP/IP平臺(tái)的安全性規(guī)范、TLS加密提供的保密性和完整性、對(duì)等通信平臺(tái)的安全性、基于角色的訪問(wèn)控制等多方面內(nèi)容,IEC 62351中所采用的主要安全機(jī)制包括數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)、信息摘要技術(shù)等,當(dāng)有新的更加安全可靠的技術(shù)和算法出現(xiàn)時(shí),也將引入到該標(biāo)準(zhǔn)中來(lái)。
(3)德國(guó)西門(mén)子針對(duì)PCS7/WinCC系統(tǒng)制定了“安全概念白皮書(shū)”[25],作為指導(dǎo)西門(mén)子產(chǎn)品的用戶部署安全工業(yè)網(wǎng)絡(luò)的建議,主要內(nèi)容包括理解安全概念信息、安全戰(zhàn)略和原則、安全戰(zhàn)略實(shí)施解決方案等,與一些國(guó)際標(biāo)準(zhǔn)不同的是,這份白皮書(shū)結(jié)合了西門(mén)子ICS產(chǎn)品,提出了具體可行安全實(shí)施方案。
(4)日本橫河電機(jī)的控制系統(tǒng)安全標(biāo)準(zhǔn)[26],重點(diǎn)規(guī)范針對(duì)橫河的ICS產(chǎn)品安全對(duì)策,可用于保護(hù)控制系統(tǒng)免受威脅,降低生產(chǎn)活動(dòng)相關(guān)資產(chǎn)的安全風(fēng)險(xiǎn),標(biāo)準(zhǔn)中的風(fēng)險(xiǎn)和措施在廣義的解釋上都引用了行業(yè)通用的安全技術(shù)和標(biāo)準(zhǔn)模型,并通過(guò)其他相關(guān)文件詳細(xì)描述了每個(gè)產(chǎn)品安全防護(hù)的執(zhí)行程序。
4 ICS實(shí)施安防可行性及關(guān)鍵策略
ICS系統(tǒng)安全防護(hù)策略可以概括為管理制度、業(yè)務(wù)程序和技術(shù)分析及產(chǎn)品三個(gè)層面。
4.1 將ICS安全防護(hù)作為戰(zhàn)略發(fā)展
國(guó)際現(xiàn)有研究成果為我國(guó)工業(yè)控制安全防護(hù)提供良好的范例,針對(duì)我國(guó)工業(yè)控制發(fā)展國(guó)情,實(shí)施安全防護(hù)策略體系需要從以下幾個(gè)方向著手:
(1)轉(zhuǎn)變ICS系統(tǒng)安全觀念意識(shí),完善安全策略和流程,加強(qiáng)工控領(lǐng)域人員的安全培訓(xùn),提高安全意識(shí)和能力;
(2)形成ICS系統(tǒng)安全產(chǎn)業(yè),從政策上重視,把安全作為一種生產(chǎn)服務(wù),納入到生產(chǎn)服務(wù)行業(yè);
(3)制定相應(yīng)法規(guī)、規(guī)范,并制定全行業(yè)的安全標(biāo)準(zhǔn),提升進(jìn)入市場(chǎng)的工控產(chǎn)品和安全產(chǎn)品的安全規(guī)格;
(4)制定具體到各個(gè)工業(yè)領(lǐng)域的安全策略。ICS系統(tǒng)在各個(gè)行業(yè)的不同應(yīng)用,需要分別制定相適應(yīng)的安全策略,以滿足自身行業(yè)和監(jiān)管環(huán)境的需求。
4.2 ICS安全防護(hù)體系重點(diǎn)內(nèi)容
(1)物理環(huán)境安全防護(hù)[27]
主要包括物理環(huán)境有形資產(chǎn)不受損壞、誤用或盜竊等,物理環(huán)境邊界的訪問(wèn)控制和監(jiān)視確保只有授權(quán)人員才允許訪問(wèn)控制系統(tǒng)現(xiàn)場(chǎng)設(shè)備,從實(shí)體和策略兩方面保證物理環(huán)境資產(chǎn)安全。
(2)系統(tǒng)通信安全
系統(tǒng)通信保障包括采取保護(hù)控制系統(tǒng)和系統(tǒng)組件之間的通信聯(lián)系,將其與潛在的網(wǎng)絡(luò)攻擊路徑做物理或邏輯上的隔離。
(3)系統(tǒng)的開(kāi)發(fā)與防護(hù)
通過(guò)持續(xù)改善控制系統(tǒng)設(shè)計(jì)規(guī)格來(lái)提高安全性是最為有效的,不僅包含系統(tǒng)功能上的優(yōu)化策略,整個(gè)系統(tǒng)生命周期的有效維護(hù)策略、使用過(guò)程中的配置及可操作性策略等都應(yīng)在設(shè)計(jì)時(shí)考慮到其中。
(4)訪問(wèn)控制
訪問(wèn)控制的重點(diǎn)是確保資源只允許被正確識(shí)別的適當(dāng)?shù)娜藛T和設(shè)備訪問(wèn),訪問(wèn)控制的第一步是創(chuàng)建分等級(jí)的訪問(wèn)權(quán)限的人員和設(shè)備訪問(wèn)控制列表,接下來(lái)是實(shí)現(xiàn)安全機(jī)制使控制列表生效。
(5)風(fēng)險(xiǎn)管理評(píng)估
風(fēng)險(xiǎn)管理是確保過(guò)程和控制系統(tǒng)安全的技術(shù)手段,重點(diǎn)討論風(fēng)險(xiǎn)和系統(tǒng)漏洞的關(guān)鍵環(huán)節(jié)。其中重要的一點(diǎn)是識(shí)別風(fēng)險(xiǎn)和安全措施分類,監(jiān)視控制系統(tǒng)安全防護(hù)的執(zhí)行情況,將風(fēng)險(xiǎn)限定在一個(gè)可控制的范圍內(nèi)。組織實(shí)施風(fēng)險(xiǎn)評(píng)估程序,將資產(chǎn)劃分成不同安全等級(jí),確定潛在的威脅和漏洞,確保能夠?qū)Σ煌燃?jí)的資產(chǎn)實(shí)施充分的防護(hù)。
(6)審計(jì)與問(wèn)責(zé)
定期審計(jì)ICS系統(tǒng)必須實(shí)施的安全防護(hù)機(jī)制,審查和檢驗(yàn)系統(tǒng)的記錄和活動(dòng),以確定系統(tǒng)的安全控制措施是否得當(dāng),并確保其符合既定的安全策略和程序。
(7)系統(tǒng)安全防護(hù)分析技術(shù)
對(duì)ICS系統(tǒng)的軟硬件進(jìn)行漏洞辨識(shí)與分析,特別要針對(duì)控制現(xiàn)場(chǎng)設(shè)備的安防分析,包含安全系統(tǒng)漏洞分析、計(jì)算機(jī)信息系統(tǒng)漏洞分析、軟件需求規(guī)格漏洞分析、代碼漏洞分析等。
(8)突發(fā)事件應(yīng)急響應(yīng)[29]
建立突發(fā)事件應(yīng)急響應(yīng)團(tuán)隊(duì),長(zhǎng)期跟蹤控制現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)運(yùn)行狀態(tài)及行為,定期發(fā)布狀態(tài)報(bào)告;規(guī)范突發(fā)事件管理和檢測(cè)機(jī)制,能從突發(fā)事件中迅速恢復(fù);突發(fā)事件事后分析與預(yù)測(cè),數(shù)據(jù)收集與總結(jié),避免再次發(fā)生類似事件;啟動(dòng)數(shù)據(jù)追蹤機(jī)制,持續(xù)追蹤ICS系統(tǒng)安全突發(fā)事件,包括攻擊事件和偶然性事件。
4.3 ICS產(chǎn)品安全性保障
(1)開(kāi)發(fā)ICS系統(tǒng)安全防護(hù)產(chǎn)品
包括軟硬件等一系列分布式的安全設(shè)備集群,開(kāi)發(fā)出擁有自主知識(shí)產(chǎn)權(quán)的創(chuàng)新性產(chǎn)品,全方位保證ICS系統(tǒng)特別是控制現(xiàn)場(chǎng)的安全;ICS系統(tǒng)安全防護(hù)產(chǎn)品在選擇、認(rèn)證、管制上應(yīng)按照共同標(biāo)準(zhǔn)的原則,由國(guó)家制定統(tǒng)一的行業(yè)認(rèn)證標(biāo)準(zhǔn)并由專業(yè)機(jī)構(gòu)進(jìn)行認(rèn)證通過(guò)后,方可進(jìn)入市場(chǎng)。
(2)對(duì)ICS系統(tǒng)控制產(chǎn)品本身的安全性加以規(guī)范
在ICS系統(tǒng)的開(kāi)發(fā)過(guò)程中加入安全性考慮,增強(qiáng)系統(tǒng)最末端的安全防護(hù),如軟硬件的自我防護(hù)與恢復(fù),開(kāi)發(fā)更安全的協(xié)議,測(cè)試階段增加安全性測(cè)試,集成異常狀態(tài)告警模塊、安全鎖和動(dòng)態(tài)加密等功能。
建立國(guó)家級(jí)ICS安全評(píng)估體系和ICS安全測(cè)試與評(píng)估實(shí)驗(yàn)室,針對(duì)我國(guó)基礎(chǔ)設(shè)施安全性要求,建立ICS安全評(píng)估標(biāo)準(zhǔn)體系和標(biāo)準(zhǔn),包括ICS軟、硬件產(chǎn)品安全性評(píng)估標(biāo)準(zhǔn)體系,ICS產(chǎn)品供應(yīng)與采購(gòu)安全性評(píng)估標(biāo)準(zhǔn)體系,ICS維護(hù)安全性評(píng)估以及ICS安全防護(hù)體系評(píng)估等。
(3)研究并設(shè)計(jì)一套主動(dòng)防護(hù)技術(shù)方案主動(dòng)防護(hù)技術(shù)利用內(nèi)嵌在網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全組件對(duì)終端系統(tǒng)在訪問(wèn)核心網(wǎng)絡(luò)之前進(jìn)行識(shí)別和控合ICS系統(tǒng)自身的特點(diǎn),建立起從人員到設(shè)備、從規(guī)范制,并觸發(fā)終端系統(tǒng)的可信性評(píng)估、評(píng)價(jià)機(jī)制,該機(jī)到產(chǎn)品、從評(píng)估到防范、從策略到標(biāo)準(zhǔn),與控制系統(tǒng)一制可以識(shí)別終端系統(tǒng)的軟硬件“指紋”來(lái)確定其使用體化的工業(yè)安全體系,將現(xiàn)代網(wǎng)絡(luò)安全的設(shè)計(jì)理念融入系統(tǒng)的安全性及漏洞所在,并判斷其是否存在或?qū)儆诘娇刂葡到y(tǒng)的設(shè)計(jì)當(dāng)中,使ICS系統(tǒng)從一個(gè)高危實(shí)體轉(zhuǎn)威脅,或是傳播威脅的媒介,劃分到具體的威脅類別變成為一個(gè)概念上安全的信息化系統(tǒng),把保護(hù)過(guò)程控制后,主動(dòng)對(duì)其實(shí)施預(yù)定的安全策略。
5 結(jié)語(yǔ)
如何提高已建成ICS系統(tǒng)的安全防護(hù)能力和如何設(shè)計(jì)并建立新的安全I(xiàn)CS系統(tǒng)是目前需要面對(duì)的兩大挑戰(zhàn),是需要工業(yè)控制領(lǐng)域、網(wǎng)絡(luò)信息安全領(lǐng)域、計(jì)算機(jī)技術(shù)領(lǐng)域多方合作,共同完成的使命。ICS系統(tǒng)安全是一個(gè)不斷迭代的過(guò)程,要吸取IT網(wǎng)絡(luò)安全的經(jīng)驗(yàn),結(jié)合ICS系統(tǒng)自身的特點(diǎn),建立起從人員到設(shè)備、從規(guī)范到產(chǎn)品、從評(píng)估到防范、從策略到標(biāo)準(zhǔn),與控制系統(tǒng)一體化的工業(yè)安全體系,將現(xiàn)代網(wǎng)絡(luò)安全的設(shè)計(jì)理念融入到控制系統(tǒng)的設(shè)計(jì)當(dāng)中,使ICS系統(tǒng)從一個(gè)高危實(shí)體轉(zhuǎn)變成為一個(gè)概念上安全的信息化系統(tǒng),把保護(hù)過(guò)程控制和業(yè)務(wù)通信的網(wǎng)絡(luò)環(huán)境作為一個(gè)戰(zhàn)略性要求,并將對(duì)ICS系統(tǒng)的安全防護(hù)納入到工業(yè)生產(chǎn)服務(wù)體系中,順應(yīng)“十三五”規(guī)劃經(jīng)濟(jì)增長(zhǎng)方式轉(zhuǎn)型的要求。
作者簡(jiǎn)介
王 迎(1981-),男,工程師,現(xiàn)就職于浙江國(guó)利網(wǎng)安科技有限公司,主要研究方向?yàn)楣た匕踩?/p>
許劍新(1984-),男,博士,現(xiàn)就職于浙江國(guó)利網(wǎng)安科技有限公司,主要研究方向?yàn)楣た匕踩?/p>
參考文獻(xiàn):
[1] Security Incidents Organization Releases Annual Report on Industrial Control System Malware Incidents [EB/OL]. https://www.prnewswire.com/news-releases/ security-incidents-organization-releases-annual-report-on-industrial-control-system-malware-incidents-117313363. html.
[2] Wikipedia. Stuxnet [EB/OL]. http://en.wikipedia.org /wiki /Stuxnet.
[3] Mariana Hentea. Improving Security for SCADA Control Systems[J]. Interdisciplinary Journal of Information Knowledge & Management, 2008, ( 3 ) : 73 – 86.
[4] Manuel Cheminod, Luca Durante, Adriano Valenzano. Review of Security Issues in Industrial Networks[J]. IEEE Transactions on Industrial Informatics, 2013, 9 ( 1 ) : 277 - 293.
[5] Dzung, Martin Naedele, Thomas P. Von Hoff, Mario Crevatin. Security for Industrial Communication Systems[J]. Proceedings of the IEEE, 2005, 93 ( 6 ) : 1152 – 1177.
[6] Leszczyna, R. Approaching secure industrial control systems[J]. IET Information Security, 2014, 9 ( 1 ) : 81 – 89.
[7] Lawrence A. Gordon, Martin P. Loeb, William Lucyshyn, Robert Richardson. CSI/FBI Computer Crime and Security Survey[R], San Francisco : Computer Security Institute, 2003.
[8] Department of Homeland Security. Common Cyber Security Vulnerabilities Observed in DHS Industrial Control Systems Assessments[Z].
[9] Eric Byres, David Leversage, Nate Kube. Security incidents and trends in SCADA and process industries[J]. THE INDUSTRIAL ETHERNETBOOK, 2007, 406.
[10] Kim, S. J., Cho, D. E., Yeo, S. S. Secure model against APT in m-connected SCADA network[J]. International Journal of Distributed Sensor Networks, 2014.
[11] Eric Byres, David Leversage. The Industrial Security Incident Database[J]. 2006.
[12] T. Stephanou. Assessing and exploiting the internal security of an organization[R], SANS Institute, 2001.
[13] E.J. Byres, J. Lowe. The Myths and Facts behind Cyber Security Risks for Industrial Control Systems[D]. Berlin : VDE Congress, 2004.
[14] Eric J. Byres, P. Eng. Lantzville. Cyber Security And The Pipeline Control System[J], Pipeline & Gas Journal, 2009.
[15] Eric Byres. Why IT Security Doesn't Work on the Plant Floor[M]. British : British Columbia Institute of Technology.
[16] Vollmer, T., Manic, M., Linda, O. Autonomic Intelligent Cyber-Sensor to Support Industrial Control Network Awareness[J]. IEEE Transactions on Industrial Informatics, 2014, 10 ( 2 ) : 1647 - 1658.
[17] K. Stouffer, J. Falco, K. Scarfone. Guide to industrial control systems (ICS) security[R]. U.S. : National Institute of Standards and Technology, 2008.
[18] Office of Energy Assurance. 21 steps to improve cyber security of SCADA networks[R]. U.S. : Dept. of Energy, USA, 2003.
[19] Siobhan Gorman. U.S. Plans Cyber Shield for Utilities, Companies [EB/OL]. http://online.wsj.com/article/SB10001424052748704545004575352983850463108. html, 2010.
[20] Homeland Security. Catalog of Systems Security: Recommendation for Standards Developers [EB/OL]. http://www.us-cert.gov/control_systems/index.htm, 2011.
[21] Kuipers, D., Fabro, M. Control Systems Cyber Security: Defense in Depth Strategies[R]. U.S. : Idaho National Laboratory, 2006.
[22] NIST Industrial Control System Security Activities [EB/OL]. http://www.isd.mel.nist.gov/projects/processcontrol/.
[23] IEC/TS 62443 – 1 – 2008, Industrial communication networks – Network and system security[S].
[24] IEC 62351 – 1 – 2005, Data and Communication Security, Introduction and Overview[S].
[25] Siemens Corporation. Security concept PCS 7 and WinCC - Basic document Whitepaper[Z].
[26] Yokogawa Electric Corporation. Yokogawa Security Standard of System (4th Edition) [Z].
[27] Department of Homeland Security. Catalog of Control Systems Security - Recommendations for Standards Developers[Z].
[28] Oleg Sheyner, Joshua Haines, Somesh Jha. Automated generation and analysis of attack graphs[J]. IEEE Symposium on Security & Privacy, 2002, 273 – 284.
[29] Department of Homeland Security. Recommended Practice: Developing an Industrial Control Systems Cybersecurity Incident Response Capability[Z].
[30] Top 10 Windows 10 Vulnerabilities and How to Fix Them [EB/OL]. https://www.upguard.com/articles/top-10-windows-10-security-vulnerabilities-and-how-to-fix-them.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)