JB/T 11962-2014 标准规范下载简介
JB/T 11962-2014 工业通信网络 网络和系统安全 工业自动化和控制系统信息安全技术.pdf一个VDS系统要实现它的功能就必须安装、全时运行,并只能维护目前已知的攻击方式和有效载 荷,特别是在一次新攻击的几个小时后,VDS核心向导将释放补丁、升级系统、在整个系统环境中进 行侦查,隔离新的攻击。 管理组织不能确保安装的所有VDS系统都是最新版的,或与最新的易于被利用的系统机理相 致。 考虑到病毒检测计划方案的程度和范围,需要做一个权衡。依托于安装了软件的主机的功能,商业 软件包可被配置为执行一系列任务。例如典型的工作站有一个实施监查和保护的配置。 防止病毒在引导扇区启动; ·文件共享病毒传播; 附着有病毒的网络及邮件。 这个权衡就是指配置扫描系统、应用程序和数据文件所需的最小频率和范围,提供最佳的保护,避
免性能降低,这项工作是很有必要的
8.3.4在工业自动化和控制系统环境中使用的评
在IACS环境中,工作站和服务器通常是专用于与设备运行有关的某些任务中的,包括了运行程序 审查,配方和实验室管理、记录以及移位报告等任务。此外,例如先进的控制技术,符合规定性及规定 的过程控制等关键任务都可以运行共同的商业操作系统,如WindowsXP以及Linux的一些品牌系统在 商业级机器上应用。随着整合这些系统在一起使用的技术甘12G11:钢筋混凝土剪力墙边缘构件.pdf,例如OPC技术开放标准的使用,恶意代码 将有更多的机会迅速传播到过去那些高度专用的系统中。 鉴于现有的商业工具的功能,IACS的管理团队应该对使用一个主动VDS中不可避免的性能损失与 中急所士的平产代机松测洗顶时的保护递自单之间临山机缩平
文件,寻找表明入侵者已经进入系统或正企图 系统的签名。这些系统可确保任何不寻常的活动,例 如新开放的端口,不寻常的交通模式,或者关键操作系统文件的变化可以引起相关安全人员的注意。 传统意义上IDS有两种类型: 网络入侵检测系统(NIDS):当它们确定某个通信模式是攻击行为时,监视其网络通信、报警 及做出响应的系统。 主机入侵检测系统(HIDS):监视系统或应用程序日志文件的软件。当用户试图获得未经授权 的数据、文件或者服务时,这些系统就会响应报警或者启用对抗措施。 入侵检测市场创造了一个新兴的产品分类,称为入侵防御。这些产品类似于传统的NIDS和HIDS 不同之处在于通过在损害发生之前自动阻止恶意活动,从而在一瞬间检测到攻击。 IDS技术采用了两种基本的互补分类的入侵检测: 。基于知识的系统:这一类的IDS产品适用于对特定的攻击和系统脆弱性的知识积累; 。基于行为的系统:这些产品认为可以通过观察系统或者用户的正常或者预期行为的偏差来进行
8.4.2此技术针对的信息安全脆弱性
IDS作为主动监视,类似于警卫和视频监视网站办公场所的方式。它可以避免计算机或计算机网络 误用内网或者外网。 这项技术提供了IACS环境下的安全保护,可以通过以下行为来执行: ? 监视进出网络的情况; 记录对于通信监视及威胁分析有用的信息; 检测、报警、响应或者防止网络或者网络上计算机的攻击
有三种方式可以部署在所有的IDS分类中: a)NIDS:通过子网中混杂端口的被动膜探。此端口可以观察到IDS连接的特定子网的所有通信, 并且通过规则对这些通信进行了比较,这套规则是用来确定通信是否指示了攻击。这种技术是 部署NIDS的主要方法。 b)NIDS:对于作用在计算机通信转发路径NIDS进行内联部署。这个过程是指处理嵌入在路由器、 防火墙及独立的NIDS家电中的NIDS代码。 c)HIDS:入侵检测系统安装在每台机器上,用于监视和审计计算机上的行为,并将这些行为与 HIDS策略进行比较。 NIDS担当起了防御设备的作用,它可以监视利用已知的网络中计算机的脆弱性进行威胁行为的网 络流量。NIDS可以通过提供针对这些脆弱性的攻击报警和捕获触发报警的攻击通信,从而实现重要的 记录和审计功能。NIDS在混杂模式下可以有多种响应行为,包括执行防火墙、路由器和交换机的分块 策略,以及对承载攻击的传输控制协议(TCP)会话进行重置。内线部署的NIDS还获得降低符合攻击 签名的流量及防止利用此脆弱性进行攻击的能力。这种新的能力也反映了“入侵预防系统”这个术语正 被引入市场中。 HIDS涉及了在计算机上加载软件,该软件可以执行多种功能,以便及时发现和防止计算机上的攻 击。HIDS系统含有不同的入侵检测技术。典型应用包括: ·监视进出计算机的通信; ·执行文件的完整性检查; :监视可疑的用户或者应用程序行为。 一些统称为“入侵防御”系统的HIDS,也可以使用这些技术来防止攻击。最佳做法建议在有效的 入侵检测系统中部署主机以及网络IDS
8.4.4已知问题和弱点
IDS只能保护网络及在其上安装的工作站。在许多情况下,IDS不是在网络内的每一个子网或计算 机上都安装。总成本通常成为在大规模下部署IDS的限制因素。总成本包括IDS本身、鉴别和部署成 本、有效地监视和维护IDS的运营费用。 如果IDS的配置正确,它是进行检测、反应或防止攻击的有效手段。但是,IDS也可以受到单点的 攻击。通过技巧,黑客能够: ·通过端口扫描或者由IDS阻止攻击确定一个IDS; · 创建一个拒绝服务攻击IDS; 通过多种技术,包括加密、条块分割或者字符串混淆/操纵来逃避IDS。 使用IDS的其他问题包括: 过滤误报的成本:当IDS发送一个警报,把一种良性的活动报告为恶意的,并要求响应时误报
就发生了; :误伤:一个IDS的响应行为要求高精确度,以确保只有恶意活动被封锁,并且合法通信获得通 过; :在高带宽网络下一个NIDS的检测能力可能会超过范围; ·缺乏标准化测试程序会导致依赖于测试中使用的通信配置文件的IDS的性能差异较大。 IDS技术将是安全的灵丹妙药,这可能会给人以虚假的安全感。IDS应该被看作是更大的网络安全 方法的一个组成部分。部署IDS并不意味着执行其他网络安全的最佳做法就不需要了,例如实行准入 策略(防火墙)、内部网络的软件控制(防病毒)或适当的主机安全服务器(补丁、验证和授权)。操作 人员应当有能力轻松地配置和监视IDS使之有效。开发有效的IDS部署、监视、响应行为要求IT专业 人士有网络安全问题及控制系统网络的专门培训。
在IACS环境中,NIDS最经常部署于PCN和带有防火墙的企业局域网之间。HIDS最常用于使用 通用的操作系统或者应用程序的计算机上。正确配置IDS可以大大提高安全管理队伍检测攻击进入或 离开系统的能力,从而提高了安全性。它们还可以通过检测进出网络的非必要的通信潜在地提高PCN 的效率。 其他可能的部署,包括运行个别控制设备之前使用HIDS或者NIDS。 在工业自动化和控制系统环境中部署IDS时所面临的问题包括以下内容: 缺乏可用于非基于IP的协议,如FoundationFieldbus、PROFIBUS或任何基于串行网络的IDS 产品; 缺乏建立于PLCs、RTUs及DCSs之上的基于控制器操作系统的典型HIDS产品; ,HIDS产品与WindoWs或者UNIX的控制系统软件不兼容; 缺乏CIPTM或Modbus/TCP等IACS应用层协议支持的IDS产品; 缺乏IDS策略及适用于工业应用的IDS操作方面的设计经验; 在广泛分散的系统中,例如典型的SCADA环境中管理IDS的潜在重大开销
用于保护控制系统的IDSs应首先进 使它们没有传入或传出通信的响应行为。只有
8.4.8信息源和参考材料
方括弧中列出的参考材料见参考文献。
报告机制:列出在每个系统上发现的脆弱性, 提供母不问领的准情: 并给出解决已识别出的安 全问题的建议。该报告中还包括用户账户 打开的端口及在每台主机上运行的服务等信息。
8.5.2此技术针对的信息安全脆弱性
脆弱性扫描检查以下三类在计算机系统上存在的安全问题: 安全策略的不足:可以在单独的系统上被改变,但是与服务或应用程序的配置和软件缺陷无关。 这些问题可以通过改变每个主机上的安全策略得到解决。这些不足包括主机审计的缺失,密钥 安全策略的错误,用户访问控制和用户权力控制的缺乏。 错误配置:该脆弱性是由服务程序、应用程序及部分操作系统的不正确的配置引起的。这种错 误可以通过改正相应软件在每个主机上运行的方式得到纠正。这类错误配置脆弱性的例子包括 在系统上安装不需要的组件或在系统上运行不必要的服务程序, :软件缺陷:这是在操作系统、应用程序或固件设计中真实存在的问题。解决这类脆弱性的唯一 途径就是安装补丁文件或者安装由供应商发布的相关更新文件或者使用一种外部保护,如分组 洗涤器,以阻止访问脆弱性。常见的例子包括内存攻击,如操作系统上的缓冲区溢出或攻击数 据库。
信息技术安全人员通常将脆弱性扫描和设备扫描作为常规脆弱性检测和安全评估的一部分。这些扫 描是用来确定安全态势和策略违背的,如无效使用安全补丁,进行不安全的配置。 安全需要的级别和类型(贯穿于整个企业的常规标准安全,实现对高危主机深度定制的保护)确定 车网络上运行哪种类型的扫描及如何控制扫描 企业扫描使用基于主机代理的部署是满足网络标准安全等级需要,集中安全管理、安全报告,以及 部署补丁性能的最佳方式。在没有代理商进行系统安全等级的评估和验证的情况下,脆弱性扫描将是评 估像控制系统这类高危系统的最佳方式
8.5.4已知问题和弱点
当前脆弱性扫描的最大局限是缺少高度娴熟的安全管理员和系统管理员。正确扫描主机并给出相应 吉果的解释,然后在不中断服务程序或开放的环境下进行脆弱性修复。 管理员需要以下特性进行新的脆弱性扫描: :熟悉操作系统及它的网络组件; :很好地理解应用程序及环境的前提条件; 知道如何修补应用程序和操作系统及升级可能带来的后果。 另一个关心的问题是偶然拒绝对设备和网络服务。脆弱性扫描常常试图通过广泛的探索和实施一种 对网络和设备有代表性的攻击来确定脆弱性。因为目前的脆弱性扫描没有定制的控制系统环境,所以这 中扫描方式可能会导致系统关闭或失效。 在报告中可能会产生误报或丢失的情况。例如当脆弱性不存在是扫描报告有脆弱性存在,这叫误报 当真的有脆弱性存在是扫描却报告系统无脆弱性存在,这叫丢失。因此脆弱性扫描的报告可能会不准确。
8.5.5在工业自动化和控制系统环境中使用的评估
理想情况下,为了评估扫描的影响,对没有使用代理商的有针对性的脆弱性扫描,首先应该在 测试控制系统网络中运行,与生产机器隔离开。在测试完备份系统后,应该仔细认真地对生产网 扫描。然而不管是信息技术的计算机还是控制系统的计算机,这一建议对扫描任一类重要系统来 简单的、最佳的商业实践。
使用脆弱性扫描进行补丁修复或软件更新的方法是不被推荐的。主要有两个原因。首先,不管是用 户还是供应商对补丁管理和软件部署都没有充分的已执行的策略和技术。只有这个问题解决了,脆弱性 扫描软件才会部署重要补丁。第二,脆弱性扫描应该是要识别在高危系统下主机的安全而不是补丁的部 署管理。补丁的部署和脆弱性的评估应该留给单独的、需要更高安全等级的计算机来处理。
脆弱性数据库和已经发布的工业设备上的脆弱性是目前关于特定的IACS脆弱性的有限信息。信息 的缺乏将进一步限制在IT操作系统和应用程序上扫描识别脆弱性的效力。然而,鉴于这种产业向标准 T操作系统和应用程序转移,并远离那些独立的专用系统,扫描系统能够帮助提高这些IT组件的安全 级别。为控制系统特定的脆弱性测试最终可以加入扫描内容中
8.5.8信息源和参考材料
方括弧中列出的参考材料见参考文献, [Her]; [anon09],[anon31],[anon34],[anon36]; [FS]; [And].
8.6取证和分析工具(FAT)
8.6.2此技术针对的信息安全脆弱性
8.6.4已知问题和弱点
GTCC-022-2018标准下载8.6.5在工业自动化和控制系统环境中使用的
FAT暂时还不支持工业协议。因此,它们在IACS环境中的便用受到了通过以太网连接的、基于传 统IT协议的工作站的限制。当它们使用在可操作的IACS网络中时必须很小心。
种类型的数据流以使生产环境更为通用。 这种在工业上用来解决复杂问题的高级数据分析技术,例如推理感知、控制系统模式识别等,可以 玻应用到基于IACS环境的FAT中。例如,对控制系统的攻击行为可能诱骗一个或多个现场仪表使一大 片设备停机。基于统计分析、神经网络或者其他的推导技术的取证工具可以被用来辨识那些仪器无法读 取的数据组合并且识别攻击源。 其他的一些基于网络分析的、需要被应用到FAT来管理大规模的数据增长的高级工具,例如在线 分析处理数据库,将会变得越来越复杂。一个激活的IDS可在攻击刚启动时,通过向FAT提供触发器 和实时配置变换来进行取证数据的收集。 最后,隐私和反恐法律将界定系统管理员在可预见的将来所要承受的义务。
FAT应始终和激活的IDS串联部署。针对IDS的配置逻辑也能被应用到FAT。IDS所面临的威胁环 境将始终为有效部署FAT提供所需的数据子集。因此,系统管理员应该为FAT部署准备全面的威胁评估。 使用FAT时,最难决策的是如何权衡数据量的大小及其来源。存留空间需要收集足够的信息来重 建攻击和事故,而数据精简技术则被用来管理持续数据的速率和质量。 当收集并存储关于IACS或其使用者的重要取证数据时,要确认并复审这些收集的数据在隐私法或 其他法律中是否有效。收集数据的多少是否被视为非法取决于行业,系统的使用及当时生效的法律。
8.6.8信息源和参考材料
方括弧中列出的参考材料见参考文献。 [KW]; [Gar].
8.7主机配置管理工具(HCM)
8.7.2此技术针对的信息安全脆弱性
HCM工具没有与IACS和网络有关的特定缺陷。使用HCM软件是一项预防措施室外道路、给水、中水、雨污水工程施工组织设计,因为它能对安 全和管理策略提供一种授权和强制执行的方法。