什么是ICS网络安全防护的生命周期?提到生命周期这个概念,是因为ICS网络安全防护是一项持续的、贯穿整个ICS系统的生命周期的行为。
基本上,ICS网络安全防护可分为三个阶段:评估阶段、实施阶段和维护阶段。其中,评估阶段主要是识别和量化当前的ICS风险,允许资源偏向高风险的项目。实施阶段包括工程设计、调试和启动工作。这个阶段的重点是通过技术手段的设计和实施来降低风险,尤其是那些无法接受的高风险。这个阶段也包括在上线前对系统的安全性进行验证和测试。维护阶段,包括系统的日常运行和维护阶段。规划日常维护非常重要,因为几乎每天都有新的安全漏洞/威胁出现。另外,贯穿整个ICS网络安全防护三个阶段的是网络安全管理计划,如制定策略、程序以及部署培训计划等等,对于保障ICS网络安全具有长远意义。
一、ICS网络安全管理计划
如前所述,ICS网络安全管理计划指长期实行的策略、程序以及培训和宣传计划等。这些策略、程序、培训等在ICS网络安全防护生命周期的各个阶段都有效。
1、策略
对企业来说,建立安全防护策略是非常重要的。它有助于确保员工和供应商理解和实现企业的期望值;有助于体现管理支持以及规划安全漏洞的应对措施。有效的策略应该阐述要达到的目标,而不是如何实现目标。也就是说,ICS网络安全防护策略关注的不是技术,而是哪些方面需要完成。
2、培训
除了有效的防护策略,直接影响系统安全性的就是人员的意识了。通常来说,员工或供应商并不能完全理解违反策略的行为以及社会工程可能带来的潜在威胁。所以,确保员工、承包方以及与控制系统接触的其他人员清楚到ICS到底是什么、系统存在的风险和威胁有哪些以及为什么要正视这些风险和威胁是非常重要的。企业应定期培训相关人员,包括领导层,以加深安全防护意识,消除错误观念。
二、评估阶段
评估阶段包括范围和定义、系统风险和漏洞评估和文档要求等部分。
1、范围定义和项目设置
该部分定义项目参数,并清楚列明需要评估的内容。总体来说,这部分的主要目标包括:
●识别和明确项目范围
●识别项目的约束条件
●搜集并归纳相关信息
●定义角色和职责
●制定培训要求等。
2、漏洞评估、风险评估以及实现目标
该部分识别系统的漏洞和风险,并确定风险降低的目标。目的是根据对ICS系统的影响级别(环境、人员安全、设备安全、业务持续性等)将风险进行分类。在漏洞评估之后应及时进行风险评估,以量化风险,并确保这些风险已分配有适当的资源。这部分的主要目标包括:
●识别并划分关键网络资产
●识别和量化漏洞、威胁和后果
●风险评估
●制定风险降低目标
其中,进行漏洞评估需要掌握并分析网络架构图、网络设备配置信息(路由器、交换机、防火墙等)、主机设备配置信息(服务器、工作站等)、访问控制策略以及软/硬件版本等重要信息。
风险评估就是识别威胁和漏洞,并分析它们受攻击的概率以及带来后果的严重性。总体来说,威胁主要来自授权人员、非授权人员、外部人员以及恶意软件等四个方面。
3、系统模型、文档要求
可按照ISA/IEC 62443-1-1的分区和信道模板建立系统模型,定义安全区域以及区域间的通信方式。可划分的区域可以包括企业/业务区、处理信息区、生产运行区、过程安全区、过程控制区和过程度量区等。网络安全防护文档中应包括如下内容:
●系统范围和目的
●物理和环境安全要求
●一般网络安全要求
●区域和信道特殊要求,如名称及/或唯一性识别、逻辑边界、物理边界、所有接入点和相关边界设备清单、接入点相关数据流信息、连接区域或通信方式、资产及相关后果清单、防护级别、应用安全策略等。
三、实施阶段
实施阶段包括概念设计和详细设计两部分。
概念设计主要对以下方面进行检查和评估:纵深防御策略、对策选择、修正区域和信道模型、更新后的结构图和访问控制策略。其中,降低风险的对策包括:
●物理访问控制
●逻辑访问控制
●可移动介质管理
●恶意代码防护
●组织和生产控制
●通信过滤
●数据加密等。
在选择合适的对策后,应验证新的安全设计是否达到目标。有效的验证方式就是根据实施的安全手段重新进行风险评估,如果新的设计目标达到了,那么应将评估后的风险级别降为可接受的水平。
详细设计主要关注对新设计的测试。风险级别降低后,应及时制定测试计划。一个完备的测试计划应包括测试目标和基于网络安全防护和设计规范要求的测试计划。测试应包括对系统接入点的极限测试,一方面检测系统是否正常运行,一方面检测安全措施是否能被攻破。可采用穿透性测试工具模拟极限测试。总之,对系统进行严格的测试可确保系统安全以及企业和员工的总体安全。
四、维护阶段
维护阶段处在ICS网络安全防护生命周期的最后阶段。这个阶段包括对实施对策、安全监控、系统变更以及定期评估的维护。
如上文所述,系统所处的威胁环境是不断变化的,几乎每天都有新的漏洞出现。所以,需要持续地监控和保护系统安全。比如监控补丁、防病毒软件和系统日志等。监控系统日志可以检测非常规事件以及可能的入侵行为。也可以采用入侵检测设备监控入侵行为。
在监控系统的同时还应正确规划安全事件的响应措施。通常,应在安全事件发生前建立事件响应机制。
随着时间的推移,攻击手段层出不穷,新的防护技术也不断提升,原有的防护措施逐渐落伍,因此定期审计也是安全维护的重要组成部分。如果审计过程中决定对某个环节进行变更,那么变更后应返回到生命周期的某个阶段重新评估系统。具体哪个阶段取决于变更的严重程度和影响大小。这个过程可能会重复几次,以确保系统运行具备最及时、有效的安全防护。
对ICS网络采用生命周期的方法进行安全防护可以确保系统在其生命周期内都具备充足有效的安全防御能力。