《工业控制系统安全指南》(NIST-SP800-82) - 图文

更新时间：2024-01-07 04:11:01 阅读量：教育文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

工业控制系统安全等级推荐度：
相关推荐

《工业控制系统安全指南》

NIST SP800-82

摘要 ................................................................................................................................................... 5 1. 简介 .............................................................................................................................................. 9 1.1管理机构 ....................................................................................................................................... 9 1.2目的和范围 ................................................................................................................................... 9 1.3读者 ............................................................................................................................................. 10 1.4文档结构 ..................................................................................................................................... 10 2. 工业控制系统概述 ..................................................................................................................... 11 2.1 SCADA，DCS，PLC的概述 ................................................................................................... 12 2.2 ICS的操作 .................................................................................................................................. 13 2.3 主要ICS元件 ............................................................................................................................ 15 2.3.1 控制元件 .............................................................................................................................. 15 2.3.2 网络组件 .............................................................................................................................. 16 2.4 SCADA系统 .................................................................................................................................. 17 2.5 分布式控制系统（DCS） ........................................................................................................ 22 2.6 可编程逻辑控制器（PLC） ..................................................................................................... 24 2.7 工业部门和他们的相互依存性 ................................................................................................. 24 3. ICS特性，威胁和脆弱性 ............................................................................................................. 25 3.1 ICS和IT系统的比较 ................................................................................................................... 26 3.2 威胁 ............................................................................................................................................. 30 3.3 ICS系统潜在的脆弱性 ............................................................................................................. 32 3.3.1策略和程序方面的脆弱性 ................................................................................................. 33 3.3.2平台方面的脆弱性 ............................................................................................................. 34 3.3.3 网络方面的脆弱性 ............................................................................................................ 40 3.4 风险因素 .................................................................................................................................... 44 3.4.1 标准的协议和技术 ............................................................................................................ 44 3.4.2 网络连接扩大 .................................................................................................................... 45 3.4.3 不安全和恶意的连接 ........................................................................................................ 46 3.4.4. 公开的信息 ...................................................................................................................... 46 3.5安全事件举例 ............................................................................................................................. 47 3.6 安全事故来源 ............................................................................................................................ 48 3.7 收录的安全事件 ........................................................................................................................ 50 3.7.1内部有目标攻击事件 ......................................................................................................... 50 3.7.2无意特定目标的攻击事件 ................................................................................................. 51 3.7.3内部无明确攻击目标的事件 ............................................................................................. 52 4.ICS系统安全程序开发与部署 .................................................................................................... 53 4.1业务影响分析 ............................................................................................................................. 53 4.1.1 收益 .................................................................................................................................... 54 4.1.2 潜在影响 ............................................................................................................................ 54 4.1.3 业务影响分析的关键组成部分 ........................................................................................ 55

4.1.4 业务影响分析的资源 ........................................................................................................ 56 4.1.5 向领导介绍商业案例 ........................................................................................................ 57 4.2 开发一套综合的安全程序文件 ................................................................................................ 57 4.2.1 高层管理者的支持 ............................................................................................................ 58 4.2.2 建立和训练一支跨职能的团队 ........................................................................................ 58 4.2.3 定义纲领和范围 ................................................................................................................ 59 4.2.4 定义ICS详细的安全策略和程序 .................................................................................... 59 4.2.5 定义ICS系统和网络资产清单目录 ................................................................................ 60 4.2.6 进行漏洞与风险评估 ........................................................................................................ 60 4.2.7 定义风险缓解控制措施 .................................................................................................... 62 4.2.8 提供培训机会，加强安全意识 ........................................................................................ 63 5.网络结构 ..................................................................................................................................... 63 5.1.防火墙 ........................................................................................................................................ 64 5.2逻辑分割控制网络 ..................................................................................................................... 65 5.3.网络隔离 .................................................................................................................................... 66 5.3.1双宿主机/两个网络接口卡 ............................................................................................... 66 5.3.2 办公网和控制网络之间的防火墙 .................................................................................... 66 5.3.3 办公网和控制网络之间的防火墙和路由器 .................................................................... 68 5.3.4 办公网和控制网络之间带DMZ(隔离区)的防火墙 ......................................................... 69 5.3.5 办公网和控制网络之间成对的防火墙 ............................................................................ 71 5.3.6 网络隔离总述 .................................................................................................................... 72 5.4.深度防御架构 ............................................................................................................................ 73 5.5.ICS普遍的防火墙策略 ............................................................................................................. 74 5.6.针对特定服务的防火墙规则 .................................................................................................... 76 5.6.1 域名系统 ............................................................................................................................ 77 5.6.2 超文本传输协议(HTTP) .................................................................................................... 77 5.6.3 FTP和TFTP ........................................................................................................................ 77 5.6.4 Telnet ................................................................................................................................ 78 5.6.5 简单邮件传输协议(SMTP) ................................................................................................ 78 5.6.6 简单网络管理协议(SNMP) ................................................................................................ 78 5.6.7分布式对象组件模型(DCOM) ............................................................................................. 78 5.6.8 SCADA和工业协议 ............................................................................................................. 79 5.7.网络地址转换(NAT) .................................................................................................................. 79 5.8 ICS和防火墙的一些具体问题 ................................................................................................. 80 5.8.1 海量数据记录系统 ............................................................................................................ 80 5.8.2 远程登录 ............................................................................................................................ 80 5.8.3 组播 .................................................................................................................................... 81 5.9 单点失败 .................................................................................................................................... 82 5.10 冗余和容错 .............................................................................................................................. 82 5.11 预防中间人攻击 ...................................................................................................................... 82 6.ICS安全控制 ............................................................................................................................... 84 6.1 管理控制 .................................................................................................................................... 85 6.1.1 安全评估和授权 ................................................................................................................ 85

6.1.2 计划 .................................................................................................................................... 86 6.1.4 系统和服务获取 ................................................................................................................ 88 6.1.5 程序管理 ............................................................................................................................ 88 6.2 操作控制 .................................................................................................................................... 88 6.2.1 人员安全 ............................................................................................................................ 89 6.2.2 物理及环境的保护 ............................................................................................................ 90 6.2.3应急预案 ............................................................................................................................. 92

6.2.3.1业务持续预案................................................................................................................................ 93 6.2.3.2灾害恢复计划................................................................................................................................ 94

6.2.4参数管理 ............................................................................................................................... 95 6.2.5维护....................................................................................................................................... 95 6.2.6系统和信息保存 ................................................................................................................... 96

6.2.6.1恶意代码攻击................................................................................................................................ 96 6.2.6.2入侵检测和防护 ............................................................................................................................ 97 6.2.6.3补丁管理 ....................................................................................................................................... 98

6.2.7介质保护 ............................................................................................................................... 99 6.2.8事件响应 ............................................................................................................................. 100 6.2.9意识和培训 ......................................................................................................................... 102 6.3技术控制 .................................................................................................................................... 102 6.3.1识别和授权 ......................................................................................................................... 103

6.3.1.1密码授权 ..................................................................................................................................... 104 6.3.1.2挑战-应答鉴定 ............................................................................................................................ 106 6.3.1.3物理标志授权.............................................................................................................................. 106 6.3.1.4生物授权 ..................................................................................................................................... 107

6.3.2访问控制 ............................................................................................................................. 108

6.3.2.1基于角色的访问控制(RBAC) ....................................................................................................... 109 6.3.2.2WEB服务器 .................................................................................................................................. 109 6.3.2.3虚拟本地局域网络(VLAN)........................................................................................................... 109 6.3.2.4拨号调制解调器 .......................................................................................................................... 110 6.3.2.5无线 ............................................................................................................................................. 111

6.3.3审计..................................................................................................................................... 113 6.3.4系统和交流保护 ................................................................................................................. 114

6.3.4.1加密 ............................................................................................................................................. 114 6.3.4.2虚拟专用网络 (VPN) .................................................................................................................. 116

摘要

此文件提供建立安全的工业控制系统（ICS）的指导。这些ICS包括监控和数据采集（SCADA）系统，分布式控制系统（DCS），和其他控制系统，如在工业部门和关键基础设施中经常可以看到的撬装式的可编程逻辑控制器（PLC）。ICS通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等行业。这些控制系统是美国关键基础设施运作的关键，通常是高度相互关联和相互依存的系统。要注意的是大约有90％的国家关键基础设施是私人拥有和经营的。联邦机构也经营了上面提到的许多工业流程；其他例子包括空中交通管制和材料处理（例如，邮政邮件处理）。本文提供了对这些ICS及典型系统技术的概述，识别对这些系统的典型威胁和脆弱性，并提供安全对策建议，以减轻相关风险。

最初，ICS与传统的信息技术（IT）系统几乎没有一点相似，因为ICS是孤立的系统，使用专门的硬件和软件来运行专有的控制协议。而现在广泛使用的、低成本的互联网协议（IP）设备正在取代专有的解决方案，从而增加了网络安全漏洞和事故的可能性。由于ICS采用IT解决方案以提升企业业务系统的连接和远程访问能力，并被设计为可使用工业标准的计算机、操作系统（OS）和网络协议，它们已经开始类似于IT系统了。这种集成支持新的IT能力，但它为ICS提供的与外界的隔离明显比原先的系统少多了，这就产生了更多的安全保护需求。虽然在典型的IT系统中已经设计了安全解决方案来处理这些安全问题，但是在将这些相同的解决方案引入ICS环境时，必须采取特殊的预防措施。在某些情况下，需要为ICS环境量身定制的新的安全解决方案。

虽然有些特征是相似的，ICS还有与传统的信息处理系统不同的特点。这些差异来自于在ICS中的逻辑执行会直接影响物理世界这一事实。这些特征包括对人类的健康和生命安全的重大风险，对环境的严重破坏，以及严重的财务问题如生产损失，对一个国家的经济产生负面影响，妥协的所有权信息。 ICS具有独特的性能和可靠性要求，并经常使用的操作系统和应用程序可能对典型的IT人员而言被认为是标新立异的。此外，有时安全和效率的目标会与在控制系统的设计和操作中的安全性相冲突。

最初ICS主要面对的是本地威胁，因为它们的许多组件都连接在被物理保护的区域中，并没有连接到IT网络或系统。然而，将ICS系统集成到IT网络中的趋势显著减少了ICS与外界的隔离，从而产生了更多的保护这些系统对抗远程、外部威胁的需求。此外，越来越多的无线网络应用使ICS实现要面临更多的来自某些敌人的风险，这类人与设备在物理上比较接近，但又没有直接的物理连接。控制系统面临的威胁可以来自多个方面，包括敌对政府，恐怖组织，心怀不满的员工，恶意入侵者，复杂性，事故，自然灾害以及由内部的恶意或意外行为。 ICS安全目标通常按照可用性、完整性和保密性的优先顺序排列。

一个ICS可能面临的事故包括：

阻止或延迟通过ICS网络的信息流，这可能会破坏ICS的运作

对命令、指示或报警阈值非授权的更改，可能损坏、禁用或关闭设备，产生对环境的影响，和/或危及人类生命

不准确的信息被发送到系统操作员，或者是掩饰非授权的更改，或导致操作者发起不适当的行动，均可能产生不同的负面影响

ICS软件或配置参数被修改，或ICS软件感染恶意软件，都会产生不同的负面影响

干扰安全系统的运行，可能危及人类生命。 ICS实施的重要安全目标应包括以下内容：

限制对ICS网络的逻辑访问和网络活动。这包括使用防火墙的一个非军事区（DMZ）的网络架构，以防止网络流量在企业网络和ICS网络之间直接传递，并对企业网络用户和ICS网络用户分别提供独立的身份验证机制和凭证。ICS还应使用多层的网络拓扑结构，使最关键的通信发生在最安全和最可靠的层面。

限制对ICS网络和设备的物理访问。对组件的非授权的物理访问可能会导致对ICS功能的严重扰乱。应采用组合的物理访问控制机制，如锁、智能卡阅读器和/或警卫。

保护单个的ICS组件免受暴露。这包括尽可能迅速地部署安全补丁，一旦在它们在现场条件下通过测试后；禁用所有未使用的端口和服务；限制ICS的用户权限，只开放每个人的角色所需要的权限；跟踪和监测审计踪迹；在技术上可行的地方使用如防病毒软件和文件完整性检查软件等安全控制措施来预防、阻止、

检测和减少恶意软件。

在不利条件下保持功能。这涉及到设计ICS以使每个关键组件都有冗余。此外，如果一个组件失败，它应该不会在ICS或其他网络上产生不必要的流量，或不会在其他地方引起另一个问题，如级联事件。

事件发生后，恢复系统。事故是不可避免的，事件响应计划是必不可少的。一个良好的安全计划的主要特点是一个事件发生后，可以以最快的速度恢复系统。

为在ICS中妥善地解决安全问题，必须有一个跨部门的网络安全团队，分享他们在不同领域的知识和经验，评估和减轻ICS的风险。网络安全团队成员至少应包括组织的IT人员、控制工程师、控制系统操作员、网络和系统安全专家、管理层成员和物理安全部门。为保持连续性和完整性，网络安全团队应向控制系统供应商和/或系统集成商进行咨询。网络安全小组应直接向场站管理者（例如，工厂主管）或公司的CIO / CSO报告，后者应对ICS网络安全承担全部的责任和问责。一个有效的ICS网络安全方案应使用“纵深防御”战略，即分层的安全机制，例如任何一个机制失败的影响被最小化。

在一个典型的ICS中的“纵深防御”战略包括：

? 制定专门适用于ICS的安全策略，程序，培训和教育材料。

? 基于国土安全咨询系统威胁级别来考虑ICS的安全策略和程序，随着威胁程度的增加部署逐渐增强的安全机制。

? 解决从架构设计到采购到安装到维护退役的ICS整个生命周期的安全。 ? 为ICS实施多层网络拓扑结构，在最安全和最可靠的层进行最重要的通信。 ? 提供企业网络和ICS网络之间的逻辑分离（例如，在网络之间架设状态检测防火墙）。 ? 采用DMZ网络体系结构（即，防止企业和ICS网络之间的直接通信）。 ? 确保关键部件和网络冗余。

? 为关键系统设计优雅降级（容错），以防止灾难性的级联事件。 ? 禁用ICS设备中经测试后确保不会影响ICS运作的未使用的端口和服务。 ? 限制对ICS网络和设备的物理访问。

? 限制ICS的用户权限，只开放为执行每个人的工作所必须的权限（即建立基于角色

的访问控制和基于最小特权原则配置每个角色）。

? 考虑为ICS网络和企业网络的用户分别使用独立的身份验证机制和凭据（即ICS网络帐户不使用企业网络的用户帐户）。

? 利用现代技术，如智能卡的个人身份验证（PIV）。

? 在技术上可行的情况下实施安全控制，如入侵检测软件、杀毒软件和文件完整性检查软件，预防、阻止、检测和减少恶意软件的侵入、曝露和传播，无论是针对或来自ICS，或在其内部。

? 在确定适当的地方对ICS的数据存储和通信应用安全技术，如加密和/或加密哈希。 ? 在现场条件下进行了所有安全补丁包测试后，如果可能的话，在安装到ICS之前先迅速部署到测试系统上。

? 在ICS的关键领域跟踪和监测审计踪迹。

NIST与公共和私营部门的ICS团体合作创建了工业控制系统安全项目，为将NIST SP 800-53“联邦信息系统和组织安全控制建议”中的安全控制应用于ICS开发了具体的指南。

虽然在NIST SP 800-53的附录F中描述的大部分控制适用于ICS，一些控制确实需要通过增加以下一项或多项来提供ICS专用的解释和/或增强：

ICS补充指南为组织就NIST SP 800-53附录F中的安全控制在ICS及这些专门系统运行的其他环境中的应用和增强提供了附加的信息。补充指南还提供了一些信息，关于为什么一个特定的安全控制或控制增强可能不适用于某些ICS环境，而可能是一个候选项（即，适用范围指南和/或补偿控制）。ICS补充指南不会取代原来在NIST SP 800-53附录F中的补充指南。

ICS增强（一个或多个），对一些ICS原来可能需要的控制提供了增强增扩。 ICS增强版补充指南，就控制增强如何适用于或不适用于ICS环境提供指导。

这份ICS专用指南包含在NIST SP 800-53，第3修订版，附录一：“工业控制系统 - 安全控制，增强和补充指南”中。该文件的第6条还为800-53安全控制如何应用于ICS提供了初步指导意见。如果有初步建议和指导的话，会出现在每节的概述框中。NIST计划在2011年12月出一个NIST SP 800-53更新版（NIST SP 800-53，第4修订版），包括当前在工业控制系统领域中的安全控制，控制增强，补充指导，以及剪裁和补充指南的更新。

此外，本文件的附录C对许多当前正在联邦机构、标准组织、产业集团和自动化系统供应商中进行的许多活动提供了一个概述，以便为ICS领域的安全提供有效的建议做法。

确保ICS安全的最成功的方法是，收集业界建议的做法，在管理层、控制工程师和操作员、IT组织和一个可信的自动化顾问之间发起一个积极的、协同的努力。这支团队应从联邦政府、行业组织、厂商、标准化组织正在进行的附录C所列的活动中提取丰富的可用信息。

1. 简介

1.1管理机构

国家标准与技术研究院（NIST）的开发推进其法定职责，本文件根据联邦信息安全管理法案（FISMA）2002年，公共法107-347和国土安全总统指令（HSPD - 7）2003年7 。

NIST发展的标准和准则，包括的最低要求，所有机构的业务和资产提供足够的信息安全负责，但这些标准和准则不适用于国家安全系统。这一方针的管理和预算办公室（OMB）通告A - 130，第8B（3）办公室的要求是一致的，“保证机构信息系统”，在A - 130的分析，附录四：对重点路段的分析的安全。 A - 130，附录三提供参考信息。

这一方针已准备为联邦机构使用。它可用于在自愿基础上的非政府组织，并不受版权保护，虽然归属需要。

在这个文件中的任何内容，应采取相矛盾的标准和准则方面对联邦机构的强制性和约束力，由商务部根据法定权限局长，也不应改变或取代现有的主管部门，工商及科技局局长主任解释这些准则行政管理和预算局，或任何其他联邦官员。

1.2目的和范围

本文件的目的是为工业控制系统（ICS）的安全保障提供指导，包括监控和数据采集（SCADA）系统、分布式控制系统（DCS）及其他执行控制功能的系统。该文件提供了一个对ICS和典型系统拓扑的概述，确定了这些系统的典型威胁和

漏洞，并提供建议的安全对策，以减轻相关的风险。因为有许多不同类型的ICS，具有不同程度的潜在风险和影响，该文件为ICS安全提供了许多不同的方法和技术。该文件不应该单纯的被用作一个保护特定系统的清单。我们鼓励读者在他们的系统中执行风险评估，并对建议的指导方针和解决方案进行裁剪，以满足其特定的安全、业务和运营要求。

本文件的范围包括通常在电、水和污水处理、石油和天然气、化工、制药、纸浆和造纸、食品和饮料以及离散制造（汽车、航空航天和耐用品）等行业应用的ICS。

1.3读者

本文档涵盖了ICS的具体细节。该文件在本质上是技术性的，但是，它提供了必要的背景，了解所讨论的议题。

目标受众是多种多样的，包括以下内容：

? 控制工程师，集成商和建筑师设计或实施安全IC

? 系统管理员，工程师和其他信息技术（IT）专业人员谁管理，补丁或安

全IC

? 执行ICS的安全评估和渗透测试的安全顾问 ? 负责为ICS的经理人

? 高级管理人员正试图了解影响和后果，因为他们的理由和适用的ICS网

络安全方案，以帮助减轻影响的业务功能

? 研究人员和分析师们正试图了解ICS的独特的安全需求 ? 厂商正在开发的产品将作为一个ICS的一部分部署

本文档假定读者熟悉与一般计算机安全的概念，如在网络和使用基于Web的检索信息的方法使用的通信协议。

1.4文档结构

本指南的其余部分分为以下主要章节：

第2章提供对SCADA和其他ICS的概述，及其安全需求的重要性。

第3章提供对ICS和IT系统之间的差异的讨论，以及威胁、漏洞和事件。第4章提供对开发和部署一个ICS安全计划的概述，以减轻由于第3章中确认的漏洞而引起的风险。

第5章提供将安全集成到典型ICS网络架构中的建议，重点是网络隔离实践。第6章提供对NIST特别出版物800-53“联邦信息系统和组织安全控制建议”中定义的管理、运作以及技术控制的汇总，并就如何将这些安全控制应用于ICS提供了初步指南。

该指南还包含几个附录与辅助材料，具体如下：附录A提供了本文档中使用的缩略语和缩写列表。附录B提供了本文档中使用的术语表。

附录C提供了一些当前ICS安全活动的清单和简短描述。附录D提供了一些正在为ICS开发的新兴安全功能的清单。

附录E提供FISMA实施项目的概述和配套文档，以及FISMA与ICS的相关性。附录F提供了一个用于开发本文件的引用列表。

2. 工业控制系统概述

工业控制系统（ICS）是几种类型控制系统的总称，包括监控和数据采集（SCADA）系统、分布式控制系统（DCS）和其它控制系统，如在工业部门和关键基础设施中经常可以看到的撬装式的可编程逻辑控制器（PLC）。ICS通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等行业。这些控制系统是美国关键基础设施运作的关键，通常是高度相互关联和相互依存的系统。要注意的是大约有90％的国家关键基础设施是私人拥有和经营的。联邦机构也经营了上面提到的许多工业流程；其他例子包括空中交通管制和材料处理（例如，邮政邮件处理）。本节提供对SCADA、DCS、PLC系统的概览，包括典型的架构和组件。还有一些插图用于描绘网络连接和每个系统的典型部件，以帮助了解这些系

统。请记住，ICS通过整合DCS和SCADA系统的属性而模糊了两者之间的差异，因此实际实现中可能是混合的。请注意，本节中的图并不代表一个安全的ICS。架构安全和安全控制分别是在本文件的第5章和第6章讨论。

2.1 SCADA，DCS，PLC的概述

SCADA系统是用来控制地理上分散的资产的高度分布式的系统，往往分散数千平方公里，其中集中的数据采集和控制是系统运行的关键。它们被用于分配系统，如供水和污水收集系统，石油和天然气管道，电力电网，以及铁路运输系统。一个SCADA控制中心对跨长途通信网络的场站执行集中的监视和控制，包括监测报警和处理状态数据，在现场的。根据从远程站点收到的信息，自动化或操作员驱动的监督指令可以被推送到远程站点的控制装置上，后者通常被称为现场设备。现场设备控制本地操作，如打开和关闭阀门和断路器，从传感器系统收集数据，以及监测本地环境的报警条件。

DCS被用来控制工业生产过程，如发电、炼油、水和废水处理、化工、食品、汽车生产。DCS被集成为一个控制架构，包含一个监督级别的控制，监督多个、集成的子系统，负责控制本地化过程的细节。产品和过程控制通常是通过部署反馈或前馈控制回路实现的，关键产品和/或过程条件被自动保持在一个所需的设置点周围。为了实现所需的产品和/或过程围绕一个指定设定点的公差，在场地部署特定的PLC，并在PLC上的比例、积分和/或微分设置被调整为提供所需的公差，以及在过程干扰期间的自我校正率。DCS系统被广泛应用于基于过程的产业。

PLC是基于计算机的固态装置，控制工业设备和过程。虽然PLC是整个SCADA和DCS系统中使用的控制系统组件，它们通常在较小的控制系统配置中作为主要组件，用于提供离散过程的操作控制，如汽车装配生产线和电厂吹灰控制。PLC被广泛应用于几乎所有的工业生产过程。

基于过程的制造业通常利用两个主要过程：

连续制造过程。这些过程连续运行，往往会转换以制造不同档次的产品。典型的连续制造过程包括电厂、炼油厂的石油和化工厂的蒸馏过程中的燃料或蒸汽流量。

批量制造过程。这些过程有不同的处理步骤，在大量的物料上进行。有一个批处理过程的明显开始和结束步骤，可能在中间步骤中有简短的稳态操作过程。典型的批量制造过程包括食品制造业。

离散制造业通常在单个设备上执行一系列步骤，创造的最终产品。电子和机械部件装配和零件加工是这种类型的行业的典型例子。

基于过程和基于离散的行业都使用相同类型的控制系统、传感器和网络。有些设施是一个基于离散和过程制造的混合。

虽然在分销和制造业使用的控制系统的运作非常相似，他们在某些方面有所不同。主要区别之一是，与地理上分散的SCADA场站相比，DCS或PLC控制系统通常在位于一个更密闭的工厂或工厂为中心的区域。 DCS和PLC通信通常使用局域网（LAN）的技术，与SCADA系统通常所使用的长途通信系统相比，更可靠和高速。事实上，SCADA系统是专门设计用来处理长途通信带来的挑战，如使用各种通信媒体产生的延迟和数据丢失。DCS和PLC系统通常采用比SCADA系统更大程度的闭环控制，因为工业过程的控制通常比分配过程的监督控制更为复杂。就本文件的范围而言，这些差异可以被视为极微妙的，因为这里我们关注的是如何将IT安全集成到这些系统中。在本文件的后续部分，SCADA系统、DCS和PLC系统将被称为ICS，除非特定的参考是特别为其中某一个系统定制的（例如，用于SCADA系统的现场设备）。

2.2 ICS的操作

一个ICS的基本操作如图2-1所示。

图2-1 ICS操作

其关键组件包括以下内容：

控制回路。控制回路包括测量传感器，控制器硬件如PLC，执行器如控制阀，断路器，开关和电机，以及变量间的通信。控制变量被从传感器传送到控制器。控制器解释信号，并根据它传送到执行器的设置点产生相应的调节变量。干扰引起控制过程变化，产生新的传感器信号，确定过程的状态为被再次传送到控制器。

人机界面（HMI）。操作员和工程师使用HMI来监控和配置设置点，控制算法，并在控制器中调整和建立参数。HMI还显示进程状态信息和历史信息。

远程诊断和维护工具。用于预防、识别和恢复运行异常或故障的诊断和维护工具。

一个典型ICS由控制回路、人机界面、远程诊断和维护工具组成，并使用分层的网络架构上的网络协议集合来构建。有时，这些控制回路是嵌套和/或级联的，也就是说一个循环的设置点是建立在由另一个循环确定的过程变量的基础上的。督导级循环和低层次循环在一个具有从几毫秒到几分钟不等的周期时间的过程期间连续运行。

2.3 主要ICS元件

为了支持随后的讨论，本节定义用于控制和联网的关键ICS组件。其中一些组件可以被笼统地描述为可使用在SCADA系统、DCS和PLC中，有的则是唯一针对其中某一个。附录B中的条款汇编包含了一个更详细的控制和网络组件列表。此外，第2.4节的图2-5和图2-6显示了采用这些组件的SCADA实施的例子，在2.5节的图2-7显示了一个DCS实现的例子，在第2.6节的图2-8显示PLC系统实现的例子。

2.3.1 控制元件

以下是一个ICS的主要控制元件清单：

控制服务器。控制服务器承载与较低级别的控制设备进行通信的DCS或PLC监控软件。控制服务器通过ICS网络访问下属的控制模块。

SCADA服务器或主终端单元（MTU）。 SCADA服务器担任SCADA系统的主设备。远程终端单元和PLC设备（如下所述）位于远程场站，通常作为从设备。

远程终端装置（RTU）。RTU，也称为遥测遥控装置，是特殊用途的数据采集和控制单元，被设计为支持SCADA远程站点。RTU是现场设备，往往配备无线电接口以支持有线通信不可用的远程站点。有时，PLC被实现为现场设备，担任RTU的工作；在这种情况下，PLC通常就被称为一个RTU。

可编程逻辑控制器（PLC）。 PLC是一种小型工业计算机，最初设计为执行由电器硬件（继电器，开关，机械定时器/计数器）执行的逻辑功能。PLC已经演变成为控制器，具有控制复杂过程的能力，它们被大量地用在SCADA系统和DCS中。在现场级别使用的其他控制器为过程控制器和RTU；它们提供与PLC相同的控制，但是为特定的控制应用而设计的。在SCADA环境中，PLC是经常被用来作为现场设备，因为它们比特殊用途的RTU更经济，多用途，灵活和易配置。

智能电子设备（IED）。IED是一种“智能”传感器/执行器，包含采集数据、与其他设备通信和执行本地过程和控制所需的智能。IED可以组合一个模拟输入传感器，模拟输出，低层次的控制能力，通信系统，以及一台设备中的程序存储器。在SCADA和DCS系统中使用IED，可以在本地级别实现自动化控制。

人机界面（HMI）。HMI是一套软件和硬件，允许操作人员监控一个处于控制下的过程的状态，修改控制设置以更改控制目标，并在发生紧急情况时手动取代自动控制操作。HMI还允许控制工程师或操作员配置控制器中的设置点或控制算法和参数。HMI还向操作员、管理员、经理、业务伙伴和其他授权用户显示过程状态信息、历史信息、报告和其他信息。位置、平台和接口可能相差很大。例如，HMI可以是控制中心的专用平台，无线局域网上的笔记本电脑，或连接到互联网的任何系统上的浏览器。

历史数据。历史数据是一个集中的数据库，记录ICS内的所有过程信息。在这个数据库中存储的信息可以被访问，以支持各种分析，从统计过程控制到企业层面的规划。

输入/输出（IO）服务器。 IO服务器作为一个控制组件，负责收集、缓冲来自控制子元件如PLC、RTU和IED等的过程信息，并提供对过程信息的访问。一个IO服务器可以驻留在控制服务器上或一个单独的计算机平台上。IO服务器也可用于与第三方控制元件的接口，如HMI和控制服务器。

2.3.2 网络组件

在控制系统层次结构内部的每一层上都有不同的网络特性。跨越不同ICS实现的网络拓扑结构，与使用基于互联网的IT和企业一体化战略的现代系统是不同的。控制网络已经与企业网络合并，让控制工程师可以从控制系统网络外部监测和控制系统。该连接也可以让企业高层决策者获得对过程数据的访问。以下是一个ICS网络的主要组成部分的清单，无论使用何种网络拓扑：

现场总线网络。现场总线网络将传感器和其他设备连接到PLC或其他控制器。现场总线技术的使用，消除了对控制器和每个设备之间的点到点连线的需要。设备使用各种协议与现场总线控制器进行通信。在传感器和控制器之间发送的消息可唯一确定每个传感器。

控制网络。控制网络负责连接监控级别的控制模块与较低级别的控制模块。通讯路由器。路由器是一种通信设备，在两个网络之间传输消息。路由器常见用途包括将一个局域网连接到广域网，为SCADA通信将MTU和RTU连接到远程网络介质。

防火墙。防火墙可以保护网络上的设备，通过监测和控制通信数据包，使用预定义的过滤策略。防火墙也有助于管理ICS网络的隔离策略。

调制解调器。调制解调器是用于串行数字数据和适用于通过电话线传输设备进行通信的信号之间的转换设备。调制解调器通常用在SCADA系统中，以建立远程MTU和远程现场设备之间的串行通信。它们还用在SCADA系统、DCS和PLC中以获得对运行和维护功能的远程访问，如输入命令或修改参数，以及用于诊断的目的。

远程接入点。远程接入点是控制网络的不同设备、区域和位置，为了远程配置控制系统和访问过程数据。例子包括使用个人数字助理（PDA）通过一个无线接入点访问局域网上的数据，并使用一台笔记本电脑和调制解调器连接并远程访问ICS系统。

2.4 SCADA系统

SCADA系统被用来控制分散的资产，对其而言，集中的数据采集与控制一样重要。这些系统被用于配水系统和污水收集系统，石油和天然气管道，电力设施的输电和配电系统，以及铁路和其他公共交通系统。SCADA系统将数据采集系统与数据传输系统和HMI软件集成起来，为大量的过程输入输出提供集中的监控系统。SCADA系统被设计为收集现场的信息，传输到中央计算机设施，并向操作员显示图形或文字的信息，从而使操作员能够从一个中央位置实时监视或控制整个系统。根据单个系统的复杂性和设置，对任何单独系统的控制、操作或任务都可自动进行或遵照操作员的命令执行。

SCADA系统包括硬件和软件两方面。典型的硬件包括放置在控制中心的MTU，通信设备（例如，广播、电话线、电缆或卫星），以及一个或多个由控制执行器和/或监视传感器的RTU或PLC构成的地理上分散的场站。MTU的存储和处理由RTU输入和输出的信息，而RTU或PLC控制本地过程。通信硬件实现MTU与RTU或PLC之间的信息和数据的来回传输。其软件部分告诉系统监视什么和何时监视，什么参数范围是可以接受的的，当参数变化超出可接受的值时启动什么响应。IED，例如一种保护继电器，可直接与SCADA服务器通信，或者一个本地的RTU可以轮询IED以收集数据，并把数据传递给SCADA服务器。IED提供直接的接口来控制

和监视设备和传感器。IED可直接接受SCADA服务器的轮询和控制，且在大多数情况下具有本地程序，允许IED在没有SCADA控制中心的直接指示时也能进行工作。 SCADA系统通常被设计为容错系统，在系统架构中内置了显著的冗余。

图2-2显示了SCADA系统的组件和总体配置。控制中心设有一个SCADA服务器（MTU）和通信路由器。其他控制中心组件包括HMI（人机界面），工程师工作站和历史数据等，都通过局域网进行连接。控制中心收集并记录场站收集到的信息，在HMI上显示信息，并可能会基于检测到的事件产生行动。控制中心还负责集中告警，趋势分析和报告。场站负责对执行器的本地控制的和对传感器的监视。场站往往配备远程访问能力，使场站操作员通常可以在一个单独的拨号调制解调器或广域网连接上执行远程诊断和维修。在串行通信上运行的标准和专有的通信协议是用于在控制中心和场站之间传输信息的，使用如电话线、电缆、光纤、无线电频率如广播、微波和卫星等遥测技术。

图2-2 SCADA系统总体结构

MTU - RTU通讯架构在不同的具体实现上有所差异。可使用的不同架构，包括点对点、串行、串行-星型、多节点等，如图2-3所示。点对点是最简单的功能类型，但是，它是昂贵的，因为每个连接都需要独立的通道。在一个串行配置中，使用的通道数量减少了；然而，通道共享会对SCADA系统操作的效率和复杂性产生影响。同样，串行-星型和多节点配置为每个设备使用一个通道也会导致效率下降和系统复杂性增加。

图2-3 基本的SCADA通信拓扑

如图2-3所示的四个基本架构，可以通过使用专用通讯设备来管理通信交换以及消息交换和缓冲而得到进一步增强。大型SCADA系统，包含了数百个RTU，通常会部署子MTU以减轻主MTU的负担。这种类型的拓扑结构如图2-4所示。

图2-4 大型SCADA通信拓扑

图2-5显示了SCADA系统实现的一个例子。这个SCADA系统由一个主控制中心和3个场站构成。第二个备份控制中心提供主控制中心故障时的冗余。所有的控制中心和场站之间的通信采用点对点连接，其中有两个连接使用无线电遥测。第三个场站是在控制中心本地，使用广域网（WAN）进行通信。位于主控制中心上方的一个区域控制中心提供一个更高级别的监督控制。企业网络可以通过广域网访问所有控制中心，并且场站也可以被远程访问以进行故障排除和维护操作。主控制中心按定义的时间间隔（如5秒、60秒）轮询场站设备的数据，并可以根据需要发送新的设置点给现场设备。除了轮询和发布高层次的命令，SCADA服务器也监视来自场站报警系统的优先中断。

图2-5 SCADA系统实现举例 (分布式监控)

图2-6显示了一个对铁路监测和控制的实现示例。这个例子中包括了一个部署了SCADA系统的铁路控制中心和铁路系统的三个路段。SCADA系统轮询铁路路段以获得列车、信号系统、牵引电气化系统、自动售票机等的状态信息。这些信息也被传递到位于铁路控制中心的HMI站点的操作员控制台上。SCADA系统还监控铁路控制中心的操作员的输入并分发高级操作员命令给铁路路段组件。此外，SCADA系统监视个别铁路路段的条件，并根据这些条件发出指令（例如，关闭一辆列车以防止它进入一个已经确定被洪水淹没的区域或被另一列火车占用的区域）。

图2-6 SCADA系统实现举例(铁路监控)

2.5 分布式控制系统（DCS）

DCS系统用于控制在同一地理位置的生产系统，如炼油厂，水和污水处理，发电设备，化学品制造工厂，和医药加工设施等行业。这些系统通常是过程控制或分立部分的控制系统。一个DCS使用一个集中的监控回路来调解一组分担着贯穿整个生产过程的全部任务的本地控制器。通过将生产系统模块化，DCS降低了单一故障对整个系统的影响。在许多现代系统中，DCS是与企业网络的接口，为企业的运营者提供生产视图。

图2-7描述了一个DCS实现的例子，显示了DCS的组件和总体配置。这个DCS包括从底层生产过程到公司或企业层面的整个设施。在这个例子中，监督控制器（控制服务器）通过控制网络与其下属通信。监控台发送设置点给分布的场站控制器，并向后者请求数据。分布式控制器根据控制服务器的命令和过程传感器的反馈控制它们的过程执行器。

图2-7 DCS实现举例

图2-7给出了一个DCS系统上的低级控制器的例子。图中所示的现场控制设备包括一个PLC，一个过程控制器，一个单回路控制器和一台机器控制器。单回路控制器的接口传感器和执行器使用点对点连线，而其他三个现场设备集成到现场总线网络上，与过程传感器和执行器进行连接。现场总线网络消除了控制器和单个现场传感器和执行器之间的点对点接线需要。此外，现场总线允许比控制更多的功能，包括现场设备的诊断，并可以实现在现场总线内的控制算法，从而避免了每个控制操作到PLC的信号回路。由工业集团设计的标准工业通信协议，如Modbus和Fieldbus往往被用在控制网络和现场总线网络上。

除了监管级和现场级控制回路，中间级别的控制也可能存在。例如，在一个DCS控制一个独立部件制造工厂的情况下，可以为厂房内的每个单元格设置一个中间级监控器。该监控器将包括一个制造单元，包含处理一个部件的机器控制器和处理原料库存和最终产品的机器人控制器。可能有几个这样的单元在主DCS监控环路下管理现场级控制器。

2.6 可编程逻辑控制器（PLC）

PLC可用在SCADA和DCS系统中，作为整个分级系统的控制部件，通过如在上节中所述的反馈控制，提供对过程的本地管理。当用在SCADA系统中时，它们提供与RTU相同的功能。当用在DCS中时，PLC被实现为监控机制内的本地控制器。PLC也被实现为更小的控制系统配置的主要组件。PLC具有一个用户可编程的存储器，用于存储指令以实现特定功能，如I / O控制、逻辑、定时、计数、三种模式的比例-积分-微分（PID）控制、通信、算术以及数据和文件处理。图2-8显示的制造过程由PLC通过现场总线网络控制。PLC可通过工程师工作站上的一个编程接口访问，数据存储在一个历史数据库中，全部通过LAN连接。

图2-8 PLC 控制系统实现举例

2.7 工业部门和他们的相互依存性

电力输配电网络行业利用地理上分散的SCADA控制技术操作高度相互关联的和动态的系统，包括数以千计的公共和私营机构和农村合作社，从而为最终用

户供电。SCADA系统通过在一个集中的位置从远程现场控制站点收集数据，并发向其出指令，从而实现对电力配送的监视和控制。SCADA系统也可用于监测和控制水、油和天然气的配送，包括管道、船舶、卡车、铁路系统以及污水收集系统。

SCADA系统和DCS往往是通过网络连接在一起。这种情况出现在电力控制中心和发电厂。虽然发电厂的运作是由DCS控制，但DCS必须与SCADA系统通信，协调产量与输配电需求。

美国关键基础设施通常被称为一个“系统的系统”，因为其各工业部门之间存在的相互依赖性以及业务合作伙伴之间的互连。关键基础设施是高度互联的，并以复杂的方式互相依赖着，不仅在物理上，也通过信息和通信技术的主机。在一个基础设施中发生的事件，可以通过级联和故障升级等直接或间接影响其他基础设施。

电力通常被认为是相互依存的关键基础设施中最普遍的中断来源之一。举一个例子，一个级联故障，可以因为一个用于电力传输SCADA系统的微波通信网络的中断而触发。监测和控制能力的缺乏可能会导致大型发电单位不得不采取脱机，事件将导致传输变电所的功率损耗。这种损失可能会导致严重的不平衡，引发整个电网级联故障。这可能会导致大面积停电，可能会潜在影响依赖于电力网格的石油和天然气生产、炼油业务、水处理系统、污水收集系统和管道运输系统。

3. ICS特性，威胁和脆弱性

在今天使用的很多ICS是多年前开发的，在公共和私人网络、桌面计算或互联网成为业务运营的通用组件之前很长时间。这些系统被设计为满足性能、可靠性、安全性和灵活性的要求。在大多数情况下，他们是与外部网络物理隔离的，基于专有硬件、软件和通信协议，它们包括基本的错误检测和纠错能力，但缺乏在今天的互联系统中所需的安全通信能力。虽然有人关注可靠性、可维护性和可用性（RMA），但在解决统计性能和故障时，对这些系统内的网络安全措施的需求是没有预料到的。当时，ICS安全就意味着物理上保护对网络和控制系统的控制台的访问。

ICS的发展平行于1980年代和1990年代的微处理器、个人电脑和网络技术

的演进，在1990年代后期基于互联网的技术开始进入到ICS的设计中。这些ICS的变化将它们暴露给新的威胁类型，并显著增加了ICS受到损害的可能性。本节介绍了ICS的独特的安全特性，在ICS实现中的漏洞，和ICS可能面临的威胁和事故。3.7节会介绍几个实际的ICS网络安全事故的例子。

3.1 ICS和IT系统的比较

最初，ICS与IT系统没有一点相似之处，ICS是运行专有控制协议、使用专门硬件和软件孤立的系统。现在用广泛使用的、低成本的互联网协议（IP）设备取代专有的解决方案，从而增加了网络安全漏洞和事故的可能性。随着ICS采用这种解决方案，以促进企业连接和远程访问能力，并正在使用行业标准的计算机、操作系统（OS）和网络协议进行设计和实施，它们已经开始类似于IT系统了。这种集成支持新的IT能力，但相比原先的系统，它对ICS提供的与外界的隔离大大减少，产生了保护这些系统的更大需求。虽然安全解决方案已经被设计来处理这些典型的IT系统安全问题，但是在引进这些相同的解决方案到ICS环境中时，必须采取特殊的防护措施。在某些情况下，需要为ICS环境量身定制新的安全解决方案。

ICS有许多区别于传统IT系统的特点，包括不同的风险和优先级别。其中包括对人类健康和生命安全的重大风险，对环境的严重破坏，以及金融问题如生产损失和对国家经济的负面影响。 ICS有不同的性能和可靠性要求，其使用的操作系统和应用程序对典型的IT支持人员而言可能被认为是不方便的。此外，安全和效率的目标有时会与控制系统的设计和操作的安全性发生冲突（如，需要密码验证和授权不应妨碍或干扰ICS的紧急行动。）下面列出了一些ICS的特殊安全考虑：

性能要求。ICS通常是时间要求紧迫的，关注由单个安装所指示的延迟和抖动的可接受水平标准。有些系统要求确定性的响应。高吞吐量对ICS通常是没有必要的。相比之下，IT系统通常需要高吞吐量，但通常可以承受某种程度的延时和抖动。

可用性要求。许多ICS过程在本质上是连续的。控制工业生产过程系统的意外停电是不能接受的。停电往往必须有计划且提前预定时间（天/周）。全面的部

署前测试是必不可少的，以确保ICS的高可用性。除意外停电外，许多控制系统也不能做到在不影响生产的情况下轻易地停止和启动。在某些情况下，正在生产的产品或正在使用的设备比被转达的信息更重要。因此，典型的IT战略，如重新启动一个组件，由于其ICS的高可用性、可靠性和可维护性要求的不利影响，通常是不被接受的解决方案。一些ICS会采用冗余组件，且常常并行运行，当主要组件不可用时保证连续性。

风险管理要求。在一个典型的IT系统中，数据保密性和完整性通常是被关心的首要问题。对于ICS而言，人身安全和容错（以防止损害生命或危害公众健康或信心），合规性，设备的损失，知识产权损失，以及产品的丢失或损坏等，才是主要的关注点。负责操作、保护和维护ICS的人员必须了解safety和security之间的重要联系。

体系架构安全焦点。在一个典型的IT系统中，安全的首要重点是保护IT资产的运行，无论是集中的或分散的，还有就是在这些资产中存储或相互之间传输的信息。在某些体系架构中，集中存储和处理的信息是更为关键的，要给予更多的保护。而对于ICS，边缘客户端（如PLC，操作员工作站，DCS控制器）更需要仔细保护，因为它们是对结束过程的控制直接负责任的。ICS中央服务器的保护仍然是非常重要的，因为中央服务器可能对每一个边缘设备产生不利影响。

物理相互作用。在一个典型的IT系统中，没有物理与环境之间的互动。ICS可以与在ICS域中的物理过程和后果有非常复杂的相互作用，这可以体现在物理事件中。必须测试所有被集成到ICS中的安全功能（例如，在一个可参照的ICS上的离线），以证明它们不损害ICS的正常功能。

时间要求紧迫的响应。在一个典型的IT系统中，不需要太考虑数据流就可以实现访问控制。对于一些ICS而言，自动响应时间或对人机交互的系统响应是非常关键的。例如，在HMI上要求提供密码认证和授权时必须不能妨碍或干扰ICS的紧急行动。信息流必须不被中断或受到影响。对这些系统的访问，必须有严格的物理安全控制。

系统操作。ICS的操作系统（OS）和应用程序可能无法容忍典型的IT安全实践。老系统特别容易受到资源不可用和计时中断的危害。控制网络往往比较复杂，需要不同层次的专业知识（例如，控制网络通常由控制工程师管理，而不是

IT人员）。软件和硬件都更难以在操作控制系统网络中升级。许多系统可能没有所需的功能，包括加密功能，错误记录，和密码保护。

资源的限制。ICS和它们的实时操作系统往往是资源受限的系统，通常不包括典型的IT安全功能。在ICS组件上可能没有计算资源用来在这些系统上加装流行的安全功能。此外，在某些情况下，不允许用第三方安全解决方案，是因为根据ICS供应商许可和服务协议，一旦在没有供应商的确认或批准下就安装了第三方的应用程序，可能会丢失服务支持。

通信。在ICS环境中用于现场设备控制和内部处理器通信的通信协议和媒体通常与通用的IT环境不同，可能是专有的。

变更管理。变更管理对维持IT和控制系统的完整性都是至关重要的。未打补丁的软件代表了系统的最大漏洞之一。IT系统的软件更新，包括安全补丁，根据适当的安全策略和程序，通常都是实时应用的。此外，这些程序往往是使用基于服务器的工具自动实现的。ICS的软件更新往往就无法及时实施，因为这些更新需要由工业控制应用程序的供应商和应用程序的最终用户充分测试后才能实施，而且ICS的中断往往必须是事先规划和预定好时间（天/周）的。作为更新过程的一部分，ICS可能还需要重新验证。另一个问题是，许多IC采用了旧版本的操作系统，而供应商不再提供支持。因此，可用的修补程序可能不适用。变更管理也适用于硬件和固件。当变更管理过程应用于ICS时，需要由ICS专家（例如，控制工程师）与安全和IT人员一起进行仔细评估。

管理的支持。典型的IT系统允许多元化的支持模式，也许支持不同的但相互关联的技术架构。对于ICS，服务支持通常是由一个单一的供应商提供，可能就没有多元化的和从其他供应商处获得的具有互操作性的支持解决方案。

组件寿命。典型的IT组件的寿命一般为3至5年，主要是由于技术的快速演变。对于ICS而言，在许多情况下，技术是为非常特殊的用户和实现而开发的，所部署的技术的生命周期通常在15至20年，有时甚至时间更长。

组件访问。典型的IT组件通常是本地的和容易访问的，而ICS组件可以分离、远程部署，并需要大量的物力以获得对它们的访问。

表3-1总结了一些IT系统和ICS之间的典型差异。

表3-1 IT系统和ICS的差异总结

分类信息技术系统工业控制系统性能需求非实时响应必须是一致的要求高吞吐量高延迟和抖动是可以接受的重新启动之类的响应是可以接受的的可用性的缺陷往往可以容忍的，当然要取决于系统的操作要求数据保密性和完整性是最重要的的容错是不太重要的 – 临时停机不是一个主要的风险主要的风险影响是业务操作的延迟实时响应是时间紧迫的适度的吞吐量是可以接受的高延迟和/或抖动是不能接受的重新启动之类的响应可能是不能接受的，因为过程的可用性要求可用性要求可能需要冗余系统中断必须有计划和提前预定时间（天/周）高可用性需要详尽的部署前测试人身安全是最重要的的，其次是过程保护容错是必不可少的，即使是瞬间的停机也可能无法接受主要的风险影响是不合规，环境影响，生命、设备或生产损失首要目标是保护边缘客户端（例如，现场设备，如过程控制器）中央服务器的保护也很重要安全工具必须先测试（例如，在参考ICS上的离线），以确保它们不会影响ICS的正常运作对人和其他紧急交互的响应是关键应严格控制对ICS的访问，但不应妨碍或干扰人机交互可用性需求管理需求体系架构安全焦点首要焦点是保护IT资产，以及在这些资产上存储和相互之间传输的信息。中央服务器可能需要更多的保护未预期的后果安全解决方案围绕典型的IT系统进行设计时间紧迫的交互紧急交互不太重要可以根据必要的安全程度实施严格限制的访问控制系统操作系统被设计为使用典型的操作系统与众不同且可能是专有的操作系采用自动部署工具使得升级非常简统，往往没有内置的安全功能单软件变更必须小心进行，通常是由软件供应商操作，因其专用的控制算法，以及可能要修改相关的硬件和软件系统被指定足够的资源来支持附加系统被设计为支持预期的工业过的第三方应用程序如安全解决方案程，可能没有足够的内存和计算资源以支持附加的安全功能标准通信协议主要是有线网络，稍带一些本地化的无线功能的典型的IT网络实践许多专有的和标准的通讯协议使用多种类型的传播媒介，包括专用的有线和无线（无线电和卫星）网络是复杂的，有时需要控制工程师的专业知识资源限制通信变更管理在具有良好的安全策略和程序时，软件变更是及时应用的。往往是自动化的程序。软件变更必须进行彻底的测试，以递增方式部署到整个系统，以确保控制系统的完整性。 ICS的中断往往必须有计划，并提前预定时间（天/周）。 ICS可以使用不再被厂商支持的操作系统。服务支持通常是依赖单一供应商 15-20年的生存期组件可以是隔离的，远程的，需要大量的物力才能获得对其的访问管理支持允许多元化的支持模式组件生命周期 3-5年的生存期组件访问

组件通常在本地，可方便地访问 ICS可用的计算资源（包括CPU时间和内存）往往是非常有限的，因为这些系统，旨在最大限度地控制系统资源，很少甚至没有额外容量给第三方的网络安全解决方案。此外，在某些情况下，第三方安全解决方案根本不被允许，因为供应商的许可和服务协议，而且如果安装了第三方应用程序，可能发生服务支持的损失。另一个重要的考虑因素是IT网络安全和控制系统的专业知识通常不是属于同一组人员的。

综上所述，ICS和IT系统之间的业务和风险的差异，产生了在应用网络安全和业务战略时增长的复杂性需求。一个由控制工程师、控制系统运营商和IT安全专业人员构成的跨职能团队，应当紧密合作以理解安装、操作与维护与控制系统相关的安全解决方案时可能产生的影响。工作于ICS的IT专业人员在部署之前需要了解信息安全技术的可靠性影响。在ICS上运行的一些操作系统和应用可能无法正常运行商业现行（COTS）的IT网络安全解决方案，因其专用的ICS环境架构。

3.2 威胁

控制系统面临的威胁可以来自多种来源，包括对抗性来源如敌对政府、恐怖组织、工业间谍、心怀不满的员工、恶意入侵者，自然来源如从系统的复杂性、人为错误和意外事故、设备故障和自然灾害。为了防止对抗性的威胁（以及已知的自然威胁），需要为ICS创建一个纵深的防御策略。表3-2列出了针对ICS的可能的威胁。请注意此列表中是按字母顺序排列而不是按威胁大小。

表3-2 针对ICS的对抗性威胁

威胁代理 Attackers 攻击者描述攻击者入侵网络，只为获得挑战的快感或在攻击社团中吹牛的资本。虽然远程攻击曾经需要一定的技能或计算机知识，但是攻击者现在却可以从互联网上下载攻击脚本和协议，并向受害网站发动它们。因此，虽然攻击工具越来越高级，它们也变得更容易使用。许多攻击者并不具备必要的专业知识来威胁困难的目标如美国的关键网络。然而，攻击者遍布全球，构成了一个比较高的威胁，其造成的孤立的或短暂的中断可引起严重损害。僵尸网络操纵者即攻击者；然而，他们侵入系统不是为了挑战或炫耀，而是将多个系统联合起来发动攻击和散布钓鱼，垃圾邮件和恶意软件攻击。有时在地下市场可以获得被攻破的系统和网络的服务，例如，购买一次拒绝服务攻击或使用发送垃圾邮件或钓鱼式攻击的服务器。犯罪团伙试图攻击系统以获取钱财。具体来说，有组织的犯罪集团利用垃圾邮件，网络钓鱼，间谍软件/恶意软件进行身份盗窃和在线欺诈。国际企业间谍和有组织的犯罪集团也通过自己的能力进行工业间谍活动和大规模的货币盗窃，并聘请或发展攻击人才，从而构成对美国国家的威胁。一些犯罪团伙可能用网络攻击威胁某个组织从而试图勒索金钱。外国情报部门使用网络工具作为他们的信息收集和间谍活动的一部分。此外，一些国家正在积极发展信息战学说、程序和能力。这类能力使单一的实体就能造成显著的和严重的影响，通过扰乱供电、通信和支持军事力量的经济基础设施，其后果可能会影响美国公民的日常生活。心怀不满的内部人员是计算机犯罪的主要来源。内部人员可能并不需要大量的计算机入侵相关知识，因为他们对目标系统的了解，往往使他们能够不受限制地访问系统从而对系统造成损害或窃取系统数据。内部威胁还包括外包供应商以及员工意外地引入恶意软件到系统中。内部人员可能包括员工、承包商或商业合作伙伴。不适当的策略、程序和测试也会导致对ICS的影响。对ICS和现场设备的影响程度可以是从琐碎的到重大的损坏。来自内部的意外影响是发生概率最高的事件之一。钓鱼者是执行钓鱼计划的个人或小团体，企图窃取身份或信息以获取金钱。钓鱼者也可以使用垃圾邮件和间谍软件/恶意软件来实现其目标。垃圾邮件发送者包括个人或组织，他们散布不请自来的电子邮件，包含隐藏的或虚假的产品销售信息，进行网络钓鱼计划，散布间谍软件/恶意软件，或有组织的攻击（例如DoS）。具有恶意企图的个人或组织通过制作和散布间谍软件和恶意软件进行对用户的攻击。已经有一些破坏性的电脑病毒和蠕虫对文件和硬盘驱动器造成了损害，包括Melissa宏病毒，Explore.Zip蠕虫，CIH（切尔诺贝利）病毒，尼姆达，红色代码，SlammerBot-network operators 僵尸网络操纵者 Criminal groups 犯罪集团 Foreign intelligence services 外国情报服务 Insiders 内部人员 Phishers 钓鱼者 Spammers 垃圾邮件发送者 Spyware/malware authors 间谍/恶意软件作者（地狱），和Blaster（冲击波）。 Terrorists 恐怖份子恐怖份子试图破坏、中断或利用关键基础设施来威胁国家安全，造成大量人员伤亡，削弱美国经济，并损害公众的士气和信心。恐怖分子可能使用网络钓鱼或间谍软件/恶意软件，以筹集资金或收集敏感信息。恐怖分子可能袭击一个目标，以从其他目标上转移视线或资源。工业间谍活动，旨在通过秘密的方法获得知识产权和技术诀窍 Industrial spies 工业间谍

3.3 ICS系统潜在的脆弱性

本章所列举一些脆弱性是在工业控制系统（ICS）中可能会遇到的，这些脆弱性排列的先后顺序不代表发生的可能性或影响的级别大小。为了有助于信息安全决策，这些脆弱性被划分成策略与程序类、平台类和网络类脆弱性，大多数在工业控制系统中常出现的一些脆弱性都可与归集到这几类中，但也有一些例外，对于一些特殊的工业控制系统脆弱性，也可能不包含在以上分类中。关于工业控制系统中出现的漏洞的详细信息，在美国计算机应急小组（US-CERT）控制系统网站上有详细的研究。

在研究安全漏洞时，容易全身心投入并非常有兴致地去研究并发布一些漏洞信息，但到最后可能会发现这些漏洞的影响很小。如附件E中所述，FIPS199标准中已对信息和信息系统进行了安全事件分类，分类的依据是根据对信息和信息系统的影响程度，这些信息和信息系统是组织完成业务使命所依赖的，也是组织需要保护和日常维护的。

对于工业控制系统安全漏洞带来的风险需要有一套风险评估的方法，安全风险的大小，同黑客挖掘到漏洞并找到针对该漏洞的攻击程序的可能性，以及一旦发生攻击行为后对信息资产的影响大小密切相关，此外，该漏洞造成的风险大小还同以下一些因素相关，包括：

? 计算机、网络架构及环境条件 ? 已部署的安全防护措施 ? 黑客发起攻击的技术难度 ? 内部嗅探的可能性

? 事故的后果 ? 事故的成本

这些风险评估的细节在后续的第4-6章中有进一步详述。

3.3.1策略和程序方面的脆弱性

安全漏洞在工业控制系统中常见到，主要是由于安全策略及程序文件不完全、不适合或文件的缺失，包括安全策略及实施指南（实施程序）等。安全策略程序文档，包括管理支持等，是安全工作的基础，通过正确的引导与实施，企业安全策略的完善能够减少安全漏洞隐患，比如通过调制解调器连接到工业控制系统时口令的使用与维护要求。表3-3描述了工业控制系统中可能存在的策略与程序方面的安全漏洞：

表3-3 策略和程序上的脆弱性

漏洞描述工业控制系统安全策略不当对于工业控制系统，由于安全策略不当或策略不具体，造成安全漏洞常有发生。没有正式的工业控制系统安书面的、正式的安全培训以及安全意识培养设计全培训和安全意识培养的目的是为了使全体职员了解最新的计算机安全标准和最佳实践，并使组织的安全策略与程序同步更新。安全架构和设计不足安全管理工程师由于安全培训机会较少，对产品不够熟悉，直到目前为止供应商还没有把一些安全特征移植到产品中。对于工业控制系统，没有开发具体、书面的安全策略或程序文件应当制定并对出明确具体、书面的安全策略全体员工进行培训，这是一个正确的安全建设的或程序文件根基。工业控制系统设备操作指南设备操作指南应当及时更新并保持随时可用，这缺失或不足些操作指南是工业控制系统发生故障时安全恢复所必须的组成部分。安全执行中管理机制的缺失负有安全管理责任的员工应当对安全策略与程序文件的管理、实施负责。工业控制系统中很少或没有独立的安全审计人员应当检查和验证系统日志记安全审计录并主动判断安全控制措施是否充分，以保证合乎ICS安全策略与程序文件的规定。审计人员还应当经常检查ICS安全服务的缺失，并提出改进建议，这样能够使安全控制措施更有效。没有明确的ICS系统业务连组织应当准备业务连续性计划或灾难恢复计划并续性计划或灾难恢复计划进行定期演练，以防基础设施重大的软硬件故障发生，如果业务连续性计划或灾难恢复计划缺失，ICS系统可能会造成业务中断和生产数据丢失。没有明确具体的配置变更管ICS系统硬件、固件、软件的变更控制程序和相理程序关程序文件应当严格制定，以保证ICS系统得到实时保护，配置变更管理程序的缺失将导致安全脆弱性的发生，增大安全风险。

3.3.2平台方面的脆弱性

ICS系统由于程序瑕疵、配置不当或维护较少而出现一些安全的脆弱性，包括ICS系统硬件、操作软件和应用软件，通过各种安全控制措施的实施，可以缓解因安全脆弱性问题导致的安全风险，比如，操作系统和应用程序补丁，物理访问控制，安全防护软件（如病防护软件），下表是一些潜在的平台方面的脆弱性的描述。

? 表3-4.平台配置方面的脆弱性 ? 表3-5平台硬件方面的脆弱性 ? 表3-6.平台软件方面的脆弱性； ? 表3-7.平台恶意软件防护方面的脆弱性；

表3-4.平台配置方面的脆弱性

脆弱性描述操作系统安全漏洞被发现由于ICS系统软件及操作系统更新的复杂性，补丁后供应商可能没有开发出程序的更新必须面对广泛的回归测试，从测试到最相应的补丁程序终发布之间有较长的漏洞暴露周期。操作系统和应用软件补丁老版本的操作系统或应用软件可能存在最新发现程序没有及时安装的安全漏洞，组织的程序文件中应当明确如何维护补丁程序；操作系统和应用软件补丁操作系统和应用软件补丁程序没有进行广泛测试程序没有进行广泛测试就安装上线，可能会对ICS系统的正常运转产生影响，组织的程序文件中应当明确对新出现的补丁程序进行广泛测试；使用缺省配置如使用缺省配置可能会导致不安全或不必要的端口或服务没有关闭；关键配置文件没有存储备组织应当在程序文件中明确对配置文件进行存储份措施与备份，以防偶然事故的发生，防止黑客对配置文件进行更改，造成业务中断或业务数据的丢失。组织应当在程序文件中明确如何维护ICS系统的安全配置信息；移动设备数据未保护如果敏感数据（如密码，电话号码)被明文储存在手提设备例如笔记本电脑，掌上电脑等，这些设备被卡丢失或被盗，系统安全可能存在风险。需要建立政策、程序、机制来保护移动设备上的数据。密码策略不当在使用密码时需要定义密码策略，包括密码强度、更改周期等，如果没有密码策略，系统可能没有适当的密码控制措施，使未授权用户更可能擅自访问机密信息。考虑到ICS系统及员工处理复杂密码的能力，组织应当吧密码策略作为整体ICS安全策略的一个组成部分来制定。未设置密码在ICS各组件上应实施密码访问策略，以防止未经

网络设备配置文件未保存一旦网络发生偶然的或黑客发起的配置变更事件，或备份需要有可行的操作程序，以维护网络系统的高可用性，并防止业务数据的丢失。文件化的程序应制定来维护网络设备的配置设置。数据传输中口令未加密密码通过传输介质明文传输，易被黑客嗅探，并获得对网络设备的未授权访问。这样黑客可能破坏ICS的操作或监控ICS网络活动。网络设备密码长期未修改密码应定期更换，这样，如果未授权用户获得密码，也只有很短的时间访问网络设备。未定期更换密码可能使黑客破坏ICS的操作或监视器ICS的网络活动。访问控制措施不充分黑客未授权访问网络系统可能会破坏ICS的操作或监视器ICS的网络活动。

表3-9 网络硬件方面的脆弱性

脆弱性网络设备物理防护不足描述应该对网路设备的物理访问进行控制，以防止破坏网络设备。不安全的物理接口不安全的通用串行总线（USB）和PS / 2端口可以允许未经授权的拇指驱动器，键盘记录等外设的连接物理环境控制缺失环境控制的缺失可能会导致处理器过热。有些处理器会关闭，以保护自己，有的只是融化，如果他们的过热。非关键人员对设备和网络应只限于必要的人员对网络设备的物理访问。不当连接的访问访问网络设备可能会导致下列任何一项： ? 物理盗窃的数据和硬件 ? 数据和硬件的物理损坏或毁坏 ? 未经授权的更改（例如，改变ACL来允许攻击进入网络安全环境） ? 未经授权的截取和操纵的网络活动 ? 物理数据链路断线或未经授权的数据链接连接关键网络设备没有冗余备关键网络设备没有冗余备份措施可能导致单点故份措施

表3-10 网络边缘方面的脆弱性

脆弱性未定义网络边界描述如果没有一个明确的安全边界的界定，那么要确保必要的安全控制措施的正确部署和配置是不可能的，这可能会导致未经授权的对系统和数据的访问。未安装防火墙或防火墙策防火墙配置不当可能允许不必要的数据传输，这可略配置不当能会导致几个问题，包括允许攻击数据包和恶意软件在网络之间传播，容易监测/其他网络上的敏感数据，造成未经授权的系统访问。专网中存在非法流量合法和非法流量有不同的要求，如确定性和可靠性，所以在单一网络上有两种类型的流量，使得更难以配置网络，使其符合控制流量的要求。例如，非法流量可能会无意中消耗网络带宽资源，造成业务系统的中断。专网中没有运行专用网络专网中运行一些IT服务，如域名服务（DNS），动协议态主机配置协议（DHCP），这些协议常应用在IT网络中。专网中运行这些服务会导致ICS网络对IT网络的依赖较大，而IT网络对系统的可靠性和可用性要求没有ICS专网要求高。

障

表3-11 网络监控和日志方面的脆弱性

脆弱性描述防火墙和路由器日志未开如果没有合适、详细的日志信息，将不可能分析出启什么原因导致安全事件的发生。 ICS网络中没有安全监控设如果没有定期的安全监控，事故可能被忽视，导致备额外的破坏和/或中断。需要定期的安全监测，以确定安全控制的问题，如配置错误和失效，

表3-12 网络通信方面的脆弱性

脆弱性描述未识别关键监测点和控制非法连接ICS网络可能会在ICS网络中留下攻击后路径门采用了未加密的标准的、正黑客可以使用协议分析仪或其他设备对网络协议是的网络通信协议进行分析，以监控ICS网络活动，一些协议如Telnet，文件传输协议（FTP），网络文件系统（NFS）协议等容易被黑客进行解码分析。使用这样的协议更容易为对手进行攻击ICS和操纵ICS网络提供便利。用户、数据与设备认证手段许多ICS协议没有任何级别的身份验证措施。未经不足身份验证，黑客可能多次攻击并修改或伪造数据、设备，如伪造传感器和用户身份。网络通信数据完整性校验大多数工业控制协议中没有数据完整性校验，黑客不足可能操纵通信数据。为确保通信数据完整性，ICS可以使用较低层协议（如IPSec）提供数据完整性保护。

表3-13 无线网络连接方面的脆弱性

脆弱性描述无线客户端和接入点的认无线客户端和接入点之间需要很强的相互认证，以证措施不足确保客户端不连接到恶意接入点，也确保黑客无法连接到ICS网络。无线客户端和接入点之间无线客户端和接入点之间的敏感数据，应使用很强的数据传输保护措施不足的加密措施，以确保黑客无法获得未加密的数据进行未经授权的访问。

3.4 风险因素

目前有几个因素导致ICS控制系统风险的日益增加，这些在第3.4.1至3.4.4更详细讨论：

? 采用标准化的协议和技术，安全漏洞已知 ? 连接到其他网络控制系统 ? 不安全和非法的网络连接

? ICS系统相关技术信息的广泛普及。

3.4.1 标准的协议和技术

ICS的厂商已经开始开放其专有协议和发布他们的协议规范，使第三方厂商建立兼容的配件。组织也从专有系统迁移到更便宜的系统，如Microsoft Windows和Unix - like的操作系统以及常见的网络协议，如TCP / IP的标准化技术，以降低成本和提高性能。这种开放式系统的演变还由于另一种标准的OPC协议的使用，它使控制系统和基于PC的应用程序之间建立交互。使用这些开放的协议标准具有经济性和技术优势，但也增加了ICS的网络事件的脆弱性。这些标准化的协议和技术，很容易受到黑客挖掘漏洞并有效利用。

3.4.2 网络连接扩大

随着组织的信息系统管理模式的发展、业务及操作需求变化，ICS系统和企业的IT系统常出现互联现象。远程访问的需求，促使许多组织建立连接到ICS系统，这样ICS维护工程师和技术支持人可以远程监视和操控ICS系统。许多组织也增加了企业网络和ICS网络之间的连接，让组织的决策者，以获得有关其业务系统的状态的关键数据，并发送产品生产指令或分发指令。在早期的实践中，这可能通过客户应用程序软件或通过OPC服务器/网关来实现，然而，在过去十年里，已通过传输控制协议/ Internet协议（TCP / IP）网络和标准化IP的应用，如文件传输协议（FTP）或可扩展标记语言（XML）的数据交换来实现。通常情况下，这些连接是在没有相应的安全风险的充分认识情况下实施的。此外，企业的网络往往是战略合作伙伴网络和互联网连接。控制系统也使更多的广域网和互联网将数据传输到远程或本地站和单个设备。ICS系统网络与企业网络的连接增加了访问控制上的脆弱性。除非适当的安全设备的部署，这些漏洞可能把ICS网络架构的各个方面暴露给黑客组织，并可能导致来自互联网的各种安全威胁，包括蠕虫病毒、恶意软件等。例如在控制系统威胁的变化情况，一位不愿透露姓名的能源组织的内部调查结果如下：

? 大多数经营单位的管理者，相信他们的控制系统没有连接到企业网络。 ? 审计结果显示，大部分控制系统通过某些方式与企业网络连接。 ? 企业网络只能保障一般业务处理系统的安全，而不能保障安全性要求极

高的系统。

随着业务环境复杂性的增加，IT系统的目标和过程控制系统的目标有根本性的区别， IT系统通常将性能、保密性和数据完整性作为首要需求，而ICS系统则将人类和设备安全作为其首要责任，因此，系统的可用性和数据完整性的具有较高核心级。其他的区别，在3.1节的讨论，包括可靠性要求的差异，事件的影响，性能预期，操作系统，通信协议，以及系统架构。这可能意味着在安全建设实践存在显著差异。

3.4.3 不安全和恶意的连接

许多ICS供应商已经交付拨号调制解调器系统提供远程访问，以减轻技术支持人员进行远程维护的负担。有时远程访问提供了系统管理员级别的访问权限，如使用一个电话号码，或访问控制凭据（例如，有效身份标识，和/或密码）。黑客可能使用战争拨号器进行暴力破解，寻找破解密码的手段以获得远程访问系统。用于远程访问的密码往往设置比较简单，且用户可能长时间没有更改。这些类型的连接可能使系统变得非常脆弱，因为远程用户可以通过供应商安装的调制解调器以较高级别的身份访问ICS系统。

组织往往在不经意间留下的访问链接，如拨号调制解调器进行远程诊断，维护，和监测。此外，控制系统越来越多地利用无线通信系统，它可能是脆弱的。没有采取认证和/或加密保护的访问链接可能给远程访问控制系统增加安全风险。这会导致用户在数据的完整性以及系统的可用性之间做平衡和折中，这两者都可能对公众及ICS设施安全性产生影响。在部署加密之前，首先要确定加密是否是一种专用IC应用合适的解决方案。第6.3.4.1章节对 ICS环境中使用加密提供了更多的信息。

企业网络和ICS之间互连需要许多不同的通信标准的集成，其结果往往是在两个独立的系统中设计了可以进行数据传输的基础设施通道。由于集成不同的系统的复杂性，控制工程师们往往很难承受因评估安全风险而增加的工作量。许多控制工程师几乎没有任何安全培训，ICS组织中也常缺乏IT安全人员参与设计。因此，未保护企业网络免受未经授权的访问的安全访问控制措施经常是比较少的。此外，底层协议的机制可能不能很好地理解，从而漏洞可能存在，甚至可能会抵消安全措施的防护效果。如TCP / IP协议及其他协议没有进行分析，这可能导致在网络层或应用层的安全事件的发生。

3.4.4. 公开的信息

信息公开主要指IC设计，维护，通信等很容易在互联网上获得信息，如在产品选择上，开放标准的使用等。 ICS的供应商也卖工具包，以帮助第三方开发软件，实现了在ICS环境中使用各种公开标准。也有许多前雇员，供应商，承

包商和其他最终用户使用过相同的ICS设备，他们了解ICS系统内部运作机制。例如，有人利用自己对ICS系统的深层了解制造了Maroochy Shire污水外溢事件，众多ICS网络安全事件之一，该事件的其它信息在3.7节中油描述。

信息和资源提供给潜在的对手和来自世界各地的入侵者，有了这些信息，攻击者可能用很少的控制系统的知识，采用自动攻击和数据挖掘工具，使用出厂设置的默认密码，就可以获得未经授权的访问控制系统的控制权，这些默认密码是从来没有改变过的。

3.5安全事件举例

对ICS系统有一些可能的安全事件的例子，比如：

? 通过延迟或阻塞通过企业或控制网络的信息流以控制系统的运转，从而

对控制系统网络的可用性进行影响，或者通过对一些本地服务发起拒绝服务攻击以中断数据流，IT本地服务（如DNS）；

? 未经授权更变PLC的编程指令，远程终端装置（RTU），DCS系统或SCADA

控制器，报警阈值等，从而可能导致设备损坏（如果超出容错极限），未经授权的更改，过早关闭进程（如过早关闭传输线），造成环境的事件，甚至禁用控制设备。

? 虚假信息发送到控制系统的操作者，要么导致未经授权的更改，或操作

者采取不合适的手段；

? 控制系统软件和配置信息被篡改，产生不可预知的结果； ? 安全系统运转受到干扰；

? 恶意软件（如病毒、蠕虫、木马等）传播到ICS系统；

? 关键信息（如生产产品的原料和指南）或工作指令被更改后对产品、设

备或人员带来损害。

此外，ICS控制系统覆盖了广泛的地理区域，该区域往往没有工作人员值守，没有监控手段。如果这种远程系统在物理上暴露，黑客可能建立一个连接返回到控制网络。

以下是两个有待证实的ICS安全事故的案例：

? 使用战争拨号器，简单的计算机程序连续拨号，寻找网络上的调制解调

器，黑客发现连接在电力传动控制系统上的可编程断路器，破解密码，获得对断路器的访问控制，并更改控制器的设置从而导致当地停电和设备损坏。黑客降低了一些断路器的设置，从500安培（A）到200A，停止这些线路的服务，并分流到邻近线的线路上。与此同时，黑客提高了临近的控制设备的设置到900A，防止断路器跳闸，从而使线路超负荷运转。这将导致变压器等关键设备的重大损坏，造成在漫长的修复时间而中断。

? 一个服务大都市区的电厂已经和企业网络进行了隔离，并安装了最先进

的防火墙，部署了入侵检测和保护措施。一名工程师轻易在当地一所大学继续教育研讨会网站下载文件并无意中引入了ICS控制网络中，就在早上业务高峰时间，操作员屏幕变为空白，系统关闭。

虽然这些情景是假设的，他们所代表的ICS潜在事故场景。 3.7节提供了几个实际的ICS事件摘要。

3.6 安全事故来源

关于ICS控制系统安全事件的准确的统计数据很难统计。然而，在行业内大家都注意到这样一个现实，在传统的IT系统中漏洞增长的趋势和在工业控制系统中发现的漏洞增长趋势有一些相似之处。有一个安全组织（RISI）3，其目的是跟踪网络安全性质的事件，直接影响ICS和流程库。这包括，如意外的网络相关的事件，以及未经授权的远程访问，DoS攻击和恶意软件渗透，如恶意事件。收集数据，通过研究为公众所知的事件，并从各成员组织未公开报告中收集数据，这些成员组织都希望能够远程访问数据库。每个安全事故案例都是根据可靠程度进行调查和评估过。

收集到得数据包括以下一些内容： ? 事件标题 ? 事件日期

? 报告的可靠性

? 事件类型（例如，事故，病毒） ? 行业（如石油，汽车）

? 事件来源（如互联网，无线，调制解调器） ? 报告人

? 系统和硬件类型的影响 ? 事件的简要说明 ? 对组织的影响 ? 采取措施，以防止复发 ? 引用。

截至2006年6月，119起事件案例已调查核实并记录在数据库中，15起事件仍有待调查。其中，13起事件标记为恶作剧或不太可能发生的事件，并从研究数据中删除。图3-1显示了1982年至2006年事件的趋势，这表明在2001年左右开始的事件急剧增加。现代ICS系统的复杂性留下了许多漏洞以及攻击向量。攻击可能来自许多地方，包括通过企业网络或间接直接通过互联网，虚拟专用网（VPN），无线网络，以及拨号调制解调器。

其他来源的事件信息显示ICS控制系统事件在增加。目前尚不清楚是否有更多的事件发生或只是更多的事件被发现和报告。

图3-1 ICS系统每年安全事件统计

ICS系统安全事件主要有以下几类：

? 故意有针对性的攻击，如未经授权访问文件，执行拒绝服务，或欺骗的

电子邮件（即伪造电子邮件发送者的身份）

? 非故意后果或设备损害，来自蠕虫，病毒或控制系统故障

? 无意的内部安全的后果，如不适当的测试业务系统或未经授权的系统配

置的变化。

三类安全事件中，有针对性的攻击发生的频率最少。有目标的攻击可能是最具破坏性的，但还需要详细了解系统及基础配套设施。因此，最有可能的威胁类型是无意威胁和心怀不满的员工，前雇员，或组织工作的人。

3.7 收录的安全事件

正如在3.6节中提到的，有三大类的ICS事故，包括蓄意攻击，无意攻击或蠕虫，病毒或控制系统发生故障，无意的内部安全损害，如不适当的测试业务系统或未经授权的系统配置的变化，从这些类别的事件的报道包括以下内容： 3.7.1内部有目标攻击事件

? 伍斯特空中交通通讯事故。 1997年3月，一个马萨诸塞州伍斯特市少