NIST网络安全框架制造篇-低影响性示例实施指南-第1卷-总体指导-中文版.pdf


《NIST网络安全框架制造篇》与制造业的目标和行业最佳实践保持一致,为制造商管理网络安全风险提供了思路。可作为规划方案,指导读者如何识别机会,改善制造系统的网络安全状况。它根据特定的业务/任务目标,为安全活动划分了优先级,同时确定了哪些安全实践具有可操作性,可以为关键业务/任务目标提供支撑。 《低影响性示例实施指南》包含总体指导(第1卷)和概念验证(PoC)方案示例,展示在制造环境中如何按照《网络安全框架制造篇》中的低影响性要求来部署使用开源产品和商用现成(COTS)品。PoC方案示例为流程型制造环境(第2卷)和离散型制造环境(第3卷)提供了可量化的网络、设备和业务性能影响指标。 该指南的目标受众包括:

  • 设计或实施安全制造系统的控制工程师、集成人员和架构师;
  • 管理、修复或保护制造系统的系统管理员、工程师等专业信息技术(IT)人员;
  • 负责管理制造系统的人员;
  • 高级管理人员,这部分人群为证明有必要实施制造系统网络安全计划以减轻对业务运行的影响而须了解前因后果;以及
  • 欲了解制造系统独特安全需求的研究人员、学术机构和分析师。

在指南第1卷-总体指导中:

  • 第1节概述了《网络安全框架制造篇》目的与使用范围;
  • 第2节简要介绍了制造系统;
  • 第3节介绍了《网络安全框架制造篇》内容;
  • 第4节阐述了该项目的《网络安全框架制造篇》实施方法;
  • 第5节概述了满足《网络安全框架制造篇》中“低影响性”要求所需的政策和程序文件;
  • 第6节介绍了满足《网络安全框架制造篇》中“低影响性”要求所需的技术能力;
  • 第7节讨论了满足《网络安全框架制造篇》中“低影响性”要求的可能方案;
  • 第8节概述了实施方案的实验室环境。

1. 目的与使用范围

许多中小型制造商表示,实施基于标准的网络安全计划颇具挑战性。本文档提供了总体指导(第1 卷)和概念验证(PoC)方案示例,展示在制造环境中如何按照《网络安全框架制造篇》[8]中的低影响性要求来部署使用开源产品和商用现成品(COTS)。制造系统的完整性、可用性或机密性被破坏后,若预期对生产运营、制成品、资产、品牌形象、财务、人员、公众或环境仅会造成有限的负面影响,则该类系统的潜在影响级别为低。“有限的负面影响”指完整性、可用性或机密性被破坏后,可能会:

  • 导致任务能力在一定时间内有一定程度的下降,系统仍可执行主要功能,但执行效果明显降低;
  • 对运营资产造成较小损害;
  • 造成轻微的财务损失;或
  • 对个人造成轻微伤害。

PoC 方案示例分别针对流程型制造环境(第2 卷)和离散型制造环境(第3卷),描述了实施方案对网络、设备和业务性能的影响。各制造商应自行确定实施哪些方案内容。实施时应虑及的重要因素包括:公司规模、网络安全专业能力、风险承受能力及威胁态势。

2. 制造系统概述

制造业是一个庞杂的工业部门。制造业分为三类:流程型离散型和兼具两者的混合型。
流程型制造业通常使用两种主要流程:

  • 连续制造流程。这类流程连续进行,通常分为不同阶段,经过不同程度的加工,最终形成产品。典型的连续制造流程包括电厂的燃油或蒸汽流、炼油厂的石油提炼和化工厂的蒸馏。
  • 批量制造流程。这类流程具有清晰的处理步骤,可对一定数量的原料进行批量处理。批处理过程有明显的开始和结束动作,其间可能会有短暂的稳态操作。典型的批量制造流程包括食品、饮料和生物技术生产。

离散型制造业为生产某种产品通常会进行一系列操作,如电子和机械零件组装以及零件加工。流程型和离散型行业使用类似的控制系统、传感器和网络。此外,有些工厂同时使用离散型和流程型制造方法。
制造系统通常位于工厂内部或以工厂为中心的区域内。制造业一般使用可靠的高速现场总线和局域网(LAN)技术进行通信。无线网络技术在制造业中也开始流行。现场总线包括DeviceNet、Modbus和控制器局域网(CAN)总线。
关键基础设施领域的制造业包括公私营所有者和运营商等实体。关键基础设施组织利用工业控制系统(ICS)和信息技术(IT)来实现功能。由于依赖技术、通信以及ICS/IT互连性,潜在的漏洞发生了变化并越来越多,制造系统业务的潜在风险也随之增长。

3. 《网络安全框架制造篇》概述

《制造篇》为在制造系统及其环境实施网络安全控制措施提供了可行方法。第7节中的子类描述源自NIST特刊(SP)800-53(修订版4)中的安全控制措施,并参考相关信息针对制造领域进行了修改。《网络安全框架》中提及的一般性参考文献ISA/IEC 62443也列在“参考资料”中。800-53文件中若无相关信息,子类描述则以COBIT 5为参考。其他输入来源还包括NIST SP 800-82(修订版2)的6.2节(ICS安全控制应用指南)和附录G(工控系统安全控制包)。对于参考一系列或全套控制措施的情况(例如,ID.GV-1子类对所有“政策和程序”控制措施的参考),采用了包含全系列/套控制措施的整体方法。
《制造篇》针对制造系统环境对网络安全控制措施进行了修改,说明在应用《网络安全框架》中的大类和子类时,考虑到了特定领域的具体情况、业务驱动因素、风险评估和制造商优先级。《制造篇》用户还可以根据需要添加大类和子类,以应对特定或自身特有的风险。

4. 《网络安全框架制造篇》实施方法

在实现《制造篇》子类要求时,可根据特定的子类定义来制定、实施政策和程序并/或实施技术方案。
低影响性示例实施指南:第1卷-总体指导-连载1 - 图1
图4-1 技术网络安全能力的识别、规划与实施方法
图4-1展示了技术网络安全能力的识别、规划与实施方法,同时定义了辅助性网络安全流程与程序。《网络安全框架制造篇》作为主要资源,描述了NIST的两种制造业测试场景下的期望网络安全结果。《制造篇》中所述结果基于工控系统所有者和运营商相关标准中的网络安全控制措施并与之互为参照。
在该规划流程的第一步,重点研究实现特定结果或《制造篇》子类所需的网络安全相关工具、配置和最佳实践。通过《制造篇》子类和相应网络安全控制措施的描述,组织可深入了解测试环境中需要实现的各类技术能力。基于这些粗略的能力分类,NIST研究人员确定了适用于这些分类的商业产品和开源工具并编制了列表,接下来,参考方案列表来落实规划并选取特定方案、工具和产品用于测试环境。选用技术时应考虑以下因素:测试技术知识、解决方案成本、可用性、成熟度、实施和管理所需的专业知识水平、实验室IT管理员的专业知识。
在大多数情况下,技术方案与《制造篇》子类并非一对一精确对应。在规划过程中会发现,实施某项技术能力多半只能部分满足子类要求,在某些情况下,需要实施多项技术能力才能实现《制造篇》某个子类所描述的结果。有些《制造篇》子类(如RP.DS-3)要求在实施某项技术能力的同时,还要补充实施网络安全政策或程序。虽然该匹配过程增加了规划过程的复杂性,但有助于系统所有者了解可使用哪些技术方案实现最多的子类结果。可以根据组织的具体任务和业务目标划分优先级。

5. 政策/程序能力概述

为实施这两个用例,为每个用例各开发了六份政策和程序文件:

5.1 网络安全计划文件

网络安全计划文件为组织启动、实施、维护和改进信息安全管理提供了指导方针和原则,包括安全政策、程序、指南和标准等一系列文件。网络安全计划旨在保护信息资源的机密性、完整性和可用性。

5.2 网络安全政策文件

网络安全政策文件规定了在本组织恰当、安全地使用信息技术服务的网络安全要求,目的是最大限度地保护组织及其用户免受可能危及其完整性、隐私、声誉和业务结果的网络安全威胁。

5.3 网络安全操作文件

网络安全操作文件制定了操作步骤,让管理人员及员工响应制造系统内发生的事件时有标准可循。实际操作中应时常提及本文件内容,确保制造系统内的所有员工和个人熟悉网络安全操作。

5.4 风险管理文件

风险管理策略文件阐述了如何识别、分析与管理组织所面临的风险。该文件概述了组织的风险管理策略,提供了标准术语、明确的角色和责任以及风险管理流程的详细信息管理层可基于本文件了解风险、预估影响并确定问题响应措施。文件旨在为项目团队和利益相关者提供指导。

5.5 事件响应计划文件

事件响应计划文件阐述了组织内部响应信息安全事件的计划。它定义了参与者的角色和职责、事件特征、与其他政策和程序的关系以及报告要求。本计划的目的是检测和应对网络安全事件,确定其范围和风险,对事件做出恰当响应,将结果和风险告知所有的利益相关者,并降低事件再次发生的可能性。

5.6 系统恢复计划文件

系统恢复计划旨在确保发生网络安全事件时,重要的制造/业务流程不会中断,该计划利用与组织的IT和OT环境相关的基础设施存量和配置信息,为响应网络安全事件提供结构化方法,恢复运营能力。
系统恢复计划用以实现以下目标:

  • 最大程度地缩短制造中断时间,控制损失;
  • 评估损失,修复损坏,恢复制造系统;
  • 有序、高效地管理恢复操作;及
  • 安排人员在系统恢复场景下有效响应。

    此篇连载内容为第6节:技术能力概述 本节主要探讨需要哪些技术能力来满足《制造篇》的要求,这些能力由团队筛选确定。对于每项技术能力,均进行了概述,列出了实施该能力的安全效益,讨论了该能力可能对制造系统产生的潜在系统影响,并列出了实施该能力所满足的《制造篇》子类。

《制造篇》子类与技术能力对应关系表
低影响性示例实施指南:第1卷-总体指导-连载1 - 图2

6.1 硬件存量管理

利用硬件存量管理工具,制造商可跟踪制造系统中的计算和网络设备,包括设备详细信息和位置信息。

6.1.1 安全效益

硬件存量管理工具用于跟踪制造系统中的物理计算和网络设备,检测新设备或未授权设备,监测设备删除情况,跟踪特定设备的详细信息。只有对环境中存在的计算和网络设备完整记录,才能全面部署网络安全防护措施。

6.1.2 潜在系统影响

硬件存量管理工具进行主动扫描时可能会对制造系统产生影响。在使用这些工具检测业务系统上的制造系统设备时务必谨慎。造成影响的原因可能是信息性质,也可能是网络流量。建议在计划停机期间用硬件存量管理工具进行主动扫描,收集详细的数据。要对制造系统进行持续监控,可使用被动硬件存量管理工具。

6.1.3 《制造篇》子类

ID.AM-1, PR.DS-3, DE.CM-7

6.2 软件/固件存量管理

利用软件/固件存量管理工具,制造商可跟踪安装在制造系统计算和网络设备中的软件和固件,包括标识、版本号和位置信息。

6.2.1 安全效益

利用软件/固件存量管理工具,制造商可跟踪制造系统内系统上安装的软件和固件,检测新软件或未授权软件,跟踪软件版本,远程删除软件。有些软件存量管理工具还可将扫描扩展到系统本身(即扫描系统外围设备、已安装的RAM和处理器以及网络配置)。

6.2.2 潜在系统影响

软件/固件存量管理工具进行主动扫描时可能会对制造系统产生影响。在业务系统上使用这些工具务必谨慎。造成影响的原因可能是信息性质,也可能是网络流量。建议在计划停机期间用软件/固件存量管理工具进行主动扫描。

6.2.3 《制造篇》子类

ID.AM-2, PR.DS-3, DE.CM-7

6.3 系统开发生命周期管理

利用系统开发生命周期管理工具,制造商可跟踪制造系统软硬件组件的活动范围,包括各组件的启动、开发与获取、实现、运维以及其最终停用和处置。

6.3.1 安全效益

系统开发生命周期管理工具对软硬件进行从购买/安装到移除/停用的全流程跟踪。对固件、BIOS、驱动程序、软件和补丁等更新进行跟踪,可确保更有效地防范已知和未知漏洞,让制造商更好地了解其系统风险。

6.3.2 潜在系统影响

系统开发生命周期管理工具通常不在制造系统上安装或操作,应不会影响制造系统。

6.3.3 《制造篇》子类

PR.DS-3, PR.IP-1, PR.IP-2, PR.IP-6, DE.CM-7

6.4 网络架构文档

利用网络架构文档工具,制造商可识别、记录和绘制联网制造系统设备、企业网络和其他外部网络连接之间的互连关系。

6.4.1 安全效益

有关制造环境的网络设备和互连关系的详细文档是《制造篇》的重要组成部分。只有全面了解环境内部的互连关系,才能部署好网络安全控制措施。这种信息对于有效监测同样重要。

6.4.2 潜在系统影响

网络架构文档工具使用自动拓扑发现技术时可能会影响制造系统。在业务系统上使用这些工具务必谨慎。造成影响的原因可能是信息性质,也可能是网络流量。建议在计划停机期间使用网络架构文档工具进行自动拓扑发现。在为网络架构编写文档时,特别是在网络规模不大或不复杂的情况下,也可以对网络连接进行物理检查或对网络日志进行分析。

6.4.3 《制造篇》子类

ID.AM-3, ID.AM-4

6.5 配置管理

利用配置管理工具,制造商可控制整个系统开发生命周期中的组件配置初始化、变更、监控和审核流程,构建和维护制造系统软硬件组件的完整性。

6.5.1 安全效益

借助配置管理,系统可安全部署并保持一致性,且在整个生命周期中始终保持这种状态。配置管理可提高系统的可见性,跟踪变更,降低由于配置问题和安全漏洞而导致的停机风险。此外,它还能检测和修正可能对性能或安全产生负面影响的错误配置,改善员工的体验。

6.5.2 潜在系统影响

配置管理工具可能会影响制造系统。这些工具在制造系统网络中传输各种类型的数据,数量可能会很庞大,还可能尝试更改配置或操控设备中的活动文件,影响制造系统运行。可在部署前和计划维护停机期间验证配置,最大限度地减少此类影响。

6.5.3 《制造篇》子类

ID.AM-3, ID.AM-4, PR.IP-1, PR.IP-4, PR.MA-1

6.6 建立基线

制造商可利用基线建立工具对制造系统基线配置进行管理。这些工具跟踪制造系统组件信息(例如软件许可证信息、软件版本号、人机界面(HMI)和其他ICS组件的应用程序、软件、操作系统;操作系统和应用程序的当前版本号和补丁信息;配置设置/参数)、网络拓扑,以及这些组件在系统架构中的逻辑位置。

6.6.1 安全效益

基线是一种自动化配置管理方法。具有安全基线且安全部署的系统对网络安全威胁具有更强的抵御能力。基线化提高了变更管理效率,在发生中断或网络安全事件时可加速恢复。

6.6.2 潜在系统影响

基线建立工具进行主动扫描时可能会对制造系统产生影响。在业务系统上使用这些工具务必谨慎。造成影响的原因可能是信息性质,也可能是网络流量。建议在计划停机期间使用基线建立工具进行主动扫描。

6.6.3 《制造篇》子类

ID.AM-3, PR.IP-1, DE.AE-1, DE-CM-7

6.7 变更控制

利用变更控制工具,制造商可记录、跟踪和协调制造系统软硬件组件的变更。

6.7.1 安全效益

变更常伴有意想不到的副作用,导致停机或业务中断。合理的配置和更改控制计划可防止频繁停机。变更控制流程确保变更记录在案,由相关人员审批。

6.7.2 潜在系统影响

创建、修改和保存变更控制文档和程序不会影响制造系统。

6.7.3 《制造篇》子类

PR.IP-1, PR.IP-3, PR.MA-1, DE.CM-7

6.8 配置备份

利用配置备份工具,制造商可收集制造系统中的软硬件组件配置设置,并以组件的原始设备制造商(OEM)指定的数据格式进行存档。

6.8.1 安全效益

备份配置后,制造商可将设备的配置设置还原到特定时间点的已知正常状态。这样,在事故发生时,可快速恢复到之前的运行状态。

6.8.2 潜在系统影响

备份工具和方法在获取配置备份时可能会占用过多的处理能力或网络带宽,有时还需要对设备进行物理访问,因而给制造系统带来潜在影响。配置备份应根据计划停机时间进行规划。

6.8.3 《制造篇》子类

PR.IP-1, PR.IP-4

6.9 数据备份

利用数据备份工具,制造商可收集和保存制造系统中的文件和程序,以便在发生事故后进行恢复。

6.9.1 安全效益

备份数据后,可还原之前某一时间点的数据,帮助组织从事件中恢复。在发生勒索软件事件或硬件故障时,这些备份提供了额外保障,确保关键数据有备份并被离线保存。此外,从备份中恢复的数据还可用于取证调查。

6.9.2 潜在系统影响

备份工具和方法在获取数据备份时可能会占用过多的处理能力或网络带宽,有时还需要对设备进行物理访问,因而给制造系统带来潜在影响。远程备份通常需要在设备上安装软件代理。配置软件代理时,应尽可能使其占用最小处理能力,保证正常运行即可。配置基于网络的数据备份时,应尽可能使其占用最小网络带宽,保证正常运行即可。数据备份应根据计划停机时间(若有)进行规划。

6.9.3 《制造篇》子类

PR.IP-4

6.10 数据复制

制造商可使用数据复制工具将备份数据复制和传输到制造系统外部的物理位置。

6.10.1 安全效益

通过复制数据,组织可将数据存储在多个位置。物理分离和离线存储可进一步保证数据的完整性,这可以通过硬件级和软件级加密工具实现,保证组织的数据不会受到非法访问。
将数据复制到远程位置后,即便发生火灾、洪水或其他自然或人为灾害时,数据也会安然无恙。

6.10.2 潜在系统影响

数据复制和配置备份通常独立于制造系统,应不会影响制造系统。

6.10.3 《制造篇》子类

PR.IP-4

6.11 网络分段与隔离

利用网络分段与隔离方案,制造商可将制造系统网络与其他网络(如企业网、访客网络)分隔,将内部制造系统网络分割成更小的网络,控制特定主机和服务之间的通信。

6.11.1 安全效益

对网络进行合理分段可增强访问控制,方便IT管理员限制和监控用户对系统的访问。网络分段与隔离可最大程度地减少广播域流量,有助于限制事件的影响范围,提高网络性能。

6.11.2 潜在系统影响

网络分段与隔离可能会对制造系统产生潜在影响,在规划和部署网络分段与隔离时务必谨慎。根据网络设备的拓扑、硬件和配置,网络分段与隔离可能会造成不同程度的网络延迟。

6.11.3 《制造篇》子类

PR.AC-5

6.12 网络边界防护

制造商可利用网络边界防护方案限制进出制造系统网络的数据通信流量。网络边界防护功能包括但不限于使用防火墙、非军事区(DMZ)以及入侵检测和预防系统。

6.12.1 安全效益

组织可使用防火墙对其网络进行分段,仅允许授权连接访问网络。防火墙监控和记录访问或试图访问网络的流量,为响应和恢复活动提供了至关重要的取证数据。更高级的防火墙(通常称为“下一代防火墙”(NGFW))包括防病毒和恶意软件保护,数据集不断升级以检测最新威胁。这些NGFW还提供其他高级安全防护,如入侵检测、深度包检测、虚拟专用网(VPN)服务和拒绝服务防护。DMZ的物理和逻辑隔离特性非常重要,因为它们只允许访问指定的服务器和隔离DMZ中存储的信息,而不会直接暴露敏感的制造网络。DMZ网络可减少并控制从组织外部对内部系统的访问。入侵检测和防御系统可监控、检测、分析和阻止对网络或系统的非法访问。

6.12.2 潜在系统影响

网络边界防护方案对制造系统有潜在影响,在规划和部署这些方案时务必谨慎。串联部署边界防护设备(如防火墙)可能会加大网络延迟,特别是当设备和网络的能力不匹配时(例如,1G网络上部署100M以太网设备)。

6.12.3 《制造篇》子类

PR.AC-5, PR.PT-4, DE.CM-1

6.13 远程安全接入

利用远程安全接入方案,制造商可建立安全信道,通过不可信网络(包括互联网等公共网络)传输信息。

6.13.1 安全效益

通过建立安全信道或加密隧道,制造商可向外部实体授予对制造系统中敏感组件的访问权限,以便获取厂商升级包、技术支持或允许员工远程访问等。制造系统中的数据经过加密,可通过VPN这样的安全信道访问,防止被潜在的恶意用户获取。
在实现该功能时,更高级的情况是使用基于安全套接字层(SSL)的VPN,对远程访问设备执行安全运行状况检查,确保受感染机器不会访问关键的系统组件。

6.13.2 潜在系统影响

远程安全接入方案可能会影响制造系统,制造系统运行时进行远程接入务必谨慎。通过远程访问连接进行操作时可能会产生过多网络流量,应严格控制通过远程访问进行运维,须基于计划停机时间规划此类活动。

6.13.3 《制造篇》子类

PR.AC-5, PR.MA-2

6.14 管理网络接口

利用管理网络接口方案,制造商可控制通过网络设备的物理端口收发的连接和信息。

6.14.1 安全效益

管理网络接口控制对特定网络的连接,加大了未授权设备进入网络的难度。当未授权设备插入网络接口时,只有在配置端口后,管理接口才会发送流量。这样,管理接口就确保了只有已识别的设备才能通过网络发送流量。

6.14.2 潜在系统影响

管理网络接口方案可能会影响制造系统,增加运维活动(例如升级网络组件、将维护计算机连接到本地网络等)的难度。

6.14.3 《制造篇》子类

PR.AC-5

6.15 绘制数据流

制造商可利用数据流图了解制造系统联网组件之间的数据流动情况。

6.15.1 安全效益

通过记录数据流,组织能够了解预期网络行为。知悉设备的通信情况对故障排除以及随后的响应和恢复活动均有意义。可在取证活动中使用这些信息,也可以通过分析这些信息来识别异常情况。

6.15.2 潜在系统影响

数据流绘制工具在使用主动扫描或要求使用网络监控工具(例如串联部署的网络探针)时可能会影响制造系统。使用这些工具检测业务系统上的数据流时务必谨慎。信息性质、网络流量或制造系统组件与网络的瞬间断开都可能会造成影响。建议在计划停机期间利用数据流绘制工具进行检测。

6.15.3 《制造篇》子类

ID.AM-3, ID.AM-4, PR.AC-5, DE.AE-1

6.16 时间同步

制造商可使用时间同步方案同步制造系统所有组件的时间,生成准确的时间戳。

6.16.1 安全效益

时间同步可防止重放攻击,对于Kerberos等身份验证协议至关重要。在进行调查时,时间同步对于关联事件或日志也颇有意义。

6.16.2 潜在系统影响

时间同步应不会影响制造系统,但未同步的时间或错误配置可能会影响需要时间同步的服务。

6.16.3 《制造篇》子类

PR.PT-1

6.17 凭证管理

利用凭证管理工具,制造商可管理用户认证和授权凭证的生命周期。

6.17.1 安全效益

使用凭证管理工具,制造商可安全地存储凭证,对凭证执行生命周期管理活动,例如要求更改密码、为各用户定义权限级别以及撤消凭证。有些凭证管理方案取消了静态和长期权限,最大程度地减少了攻击面。

6.17.2 潜在系统影响

凭证管理工具通常不在制造系统上安装或操作,应不会影响制造系统。制造系统运行时,不应更新凭证。方案若可自动轮换凭证,应配置为仅在计划维护停机期间更改凭证。

6.17.3 《制造篇》子类

PR.AC-1, PR.MA-1, PR.MA-2

6.18 认证授权

制造商可使用认证授权工具验证用户身份,实施最小权限原则。利用支持认证授权的工具和技术,制造商能够设置用户权限,确定用户是否具有访问系统资源的权限。在可行情况下,将集中认证授权机制集成至系统架构。

6.18.1 安全效益

有了集中认证系统,用户仅通过一套登录凭证便可访问系统。此外,单一平台上的集中认证授权功能为授权管理员提供了统一的用户访问管理方法。最小权限确保用户和程序只获得执行其任务所需的权限。

6.18.2 潜在系统影响

认证授权工具可能会影响制造系统。这些工具通常需要在设备上安装软件代理,或者需要使用网络进程,导致时延或中断制造过程。建议备份认证授权服务器,防止操作人员“消失”(Loss of View)和“失控”(Loss of Control)事件。制造商应出于性能、安全或可靠性原因,划定认证授权的不适用范围。

6.18.3 《制造篇》子类

PR.AC-1, PR.MA-1, PR.MA-2, PR-PT-3, PR.PT-4, DE.CM-3

6.19 防病毒/恶意软件

利用防病毒/恶意软件工具,制造商可监控计算设备,检测主流恶意软件,防止或遏制恶意软件事件。

6.19.1 安全效益

对许多制造商来说,恶意软件是最常见的威胁。反病毒/恶意软件工具可保护设备,防止设备受到恶意软件(如勒索软件、病毒、蠕虫、木马和恶意移动代码)感染。

6.19.2 潜在系统影响

防病毒/恶意软件工具可能需要在设备上安装软件代理,或者在认证后执行网络扫描,对制造系统造成潜在影响。配置这些工具时,应尽可能使其占用最小处理能力,保证正常运行即可。防病毒/恶意软件工具在经过认证进行网络扫描时,可能会产生过多的网络流量。配置这些工具时,应尽可能使其占用最小网络带宽,保证正常运行即可。建议根据计划停机时间规划扫描。

6.19.3 《制造篇》子类

DE.CM-4

6.20 风险评估

制造商可使用风险评估工具评估制造系统的风险。

6.20.1 安全效益

风险评估会从内外部威胁来评估组织的安全态势,识别当前安全漏洞、控制差距和不合规情况。实施风险评估时,可通过调查、讨论和/或问卷进行。风险评估是整个风险管理流程中的一部分,为高管提供必要信息,以确定应对已知风险的合理行动方案。这些评估结果可用于培养员工的安全意识,也可作为培训工具。定期进行风险评估可减少工作场所中的网络安全事故。

6.20.2 潜在系统影响

风险评估工具的访问、运行一般独立于制造系统,应不会对制造系统产生影响。

6.20.3 《制造篇》子类

ID.RA-1

6.21 漏洞扫描

利用漏洞扫描工具,制造商可扫描、检测和识别软件缺陷或错误配置,防止制造系统出现漏洞。

6.21.1 安全效益

识别制造网络中存在哪些已知安全漏洞,补丁管理才能有的放矢。

6.21.2 潜在系统影响

漏洞扫描工具会影响业务系统。漏洞扫描工具可能需要在设备上安装软件代理,或者在认证后通过网络进行扫描。漏洞扫描工具可能会产生过多网络流量,在极端情况下,甚至会由于扫描时使用了侵入性方法而导致设备故障。配置这些工具时,应尽可能使其占用最小网络带宽,保证正常运行即可。建议基于计划停机时间规划扫描,避免在制造系统运行时进行扫描。

6.21.3 《制造篇》子类

ID.RA-1, DE.CM-8

6.22 漏洞管理

利用漏洞管理工具,制造商可记录、管理、缓解制造系统中的漏洞。

6.22.1 安全效益

制造商可使用漏洞管理工具对系统进行安全更新,并找出需要采取补充控制措施的地方以保护无法更新的设备。

6.22.2 潜在系统影响

漏洞管理工具可能会影响制造系统。补丁程序可消除漏洞,但也会从生产或安全角度引入风险。
修补漏洞可能还会改变操作系统或应用程序的运行方式。建议咨询产品厂商,确认是否具有已批准补丁列表和漏洞管理流程。建议基于计划停机时间规划漏洞管理,并将其融入系统开发生命周期、配置管理和更改管理流程。

6.22.3 《制造篇》子类

ID.RA-1, DE.CM-4, RS.MI-3

6.23 安全事件管理

利用安全事件管理工具,制造商可记录、跟踪和协调制造系统设备或网络中的恶性事件缓解活动。

6.23.1 安全效益

安全事件管理工具让制造商能够最大程度地减少安全事件引起的停机时间,提高制造系统的效率和生产力。制造商可参考安全事件处理过程中获得的信息,做好准备,应对未来可能出现的其他安全事件。组织可制定事件响应计划,在事件发生前主动或事件发生后立即采取行动,降低事件的影响。

6.23.2 潜在系统影响

安全事件管理工具的访问、运行一般独立于制造系统,应不会对制造系统产生影响。

6.23.3 《制造篇》子类

RS.MI-2, RS.MI-3

6.24 网络监控

利用网络监控工具,制造商可捕获、保存和检查来自制造系统网络的网络流量,并持续监控,发现潜在网络安全事件迹象。

6.24.1 安全效益

制造商可利用网络监控工具识别可疑流量和其他威胁向量,对事件做出快速响应。这些工具有助于减少人为错误、配置问题和其他环境因素引起的安全事件。有效的网络监控能够促进网络性能问题的检测、诊断和解决,通过主动识别威胁和瓶颈减少安全事件。

6.24.2 潜在系统影响

网络监控工具的访问、运行一般独立于制造系统,应不会对制造系统产生影响。然而,某些网络流量抓包方法(例如串联部署的网络探针、镜像端口)会加大网络设备负载,加大网络延迟。

6.24.3 《制造篇》子类

PR.DS-5, PR.MA-2, PR.PT-4, DE.CM-1, DE.CM-6, DE.CM-7

6.25 系统操作监控

通过系统操作监控方案,制造商能够监控、保存、检查和限制制造系统用户的活动。

6.25.1 安全效益

监控制造系统内的系统和用户可确保其行为符合预期。此功能还能识别出问题发生时对系统进行操作的用户,为故障排除提供有用信息。监控还有助于发现制造系统中的错误配置或其他潜在错误。

6.25.2 潜在系统影响

系统操作监控工具可能会影响制造系统。这些工具通常需要在设备上安装软件代理,因此会占用处理能力和网络带宽。配置软件代理时,应尽可能使其占用最小处理能力,保证正常运行即可。

6.25.3 《制造篇》子类

PR.AC-1, PR.DS-5, PR.MA-2, DE.CM-3

6.26 维护跟踪

利用维护跟踪方案,制造商能够对制造系统计算设备的维护和维修活动进行规划、跟踪、授权、监控和检查。

6.26.1 安全效益

对制造系统内设备的变更进行跟踪可确保所有的维护或变更操作均妥善记录在案。跟踪这些事件可形成审计线索,为故障排除、响应和恢复提供有用信息。通过维护跟踪,制造商可了解组件应何时维修,并就何时停产做出明智决策。这种类型的跟踪还可以实现提前协调,以免在制造系统内造成中断。

6.26.2 潜在系统影响

维护跟踪工具的访问、运行一般独立于制造系统,应该不会对制造系统产生影响。

6.26.3 《制造篇》子类

PR.MA-1, PR.MA-2

6.27 物理访问控制

制造商可利用物理访问控制方案拒绝或限制个人非法访问制造系统。

6.27.1 安全效益

限制物理访问权限可以防止未经授权的恶意用户访问关键组件,进而保护制造系统。此外,这也有助于防止意外损坏或无心之失。

6.27.2 潜在系统影响

物理访问控制工具不会影响制造系统。

6.27.3 《制造篇》子类

PR.AC-2, PR.DS-5, PR.MA-1

6.28 物理访问监控

利用物理访问监控方案,制造商可记录、监控、存档和检查所有个人对制造系统的物理访问。

6.28.1 安全效益

通过记录、监控、存档和检查个人对制造设施和位置的物理访问,制造商能够了解制造系统内的物理访问情况。关联这类日志后,还能识别恶意威胁源起方及其他恶意活动。

6.28.2 潜在系统影响

物理访问监控工具不会影响制造系统。

6.28.3 《制造篇》子类

PR.AC-2, PR.PT-1, DE.CM-2, DE.CM-3

6.29 端口和服务锁定

利用端口和服务锁定方案,制造商能够发现并禁用非必要的物理和逻辑网络端口及服务。

6.29.1 安全效益

发现并禁用制造系统中的无用物理端口可阻止恶意设备连接到网络,避免为恶意威胁源起方大开方便之门。搞清楚网络中正在使用哪些逻辑端口以及需要哪些服务,这属于纵深防御,恰似添加了一道额外屏障。

6.29.2 潜在系统影响

端口和服务锁定可能会影响制造系统。在禁用所有端口和服务之前,都必须弄清它们的作用,确认它们非制造系统所需。

6.29.3 《制造篇》子类

PR.IP-1, PR.PT-3

6.30 媒体防护

制造商可利用媒体防护方案限制在制造系统中使用移动媒体。

6.30.1 安全效益

有了媒体防护方案,未知和潜在恶意设备很难连接到制造系统设备,相关威胁相应降低。

6.30.2 潜在系统影响

媒体防护方案对制造系统有潜在影响,针对特权用户的媒体防护限制了特权用户对制造系统事件或事故的响应能力,因而可能会对制造系统有一定影响。务必确认特权用户具有执行其角色功能所需的访问权限。

6.30.3 《制造篇》子类

PR.PT-2

6.31 加密

制造商可利用加密方案保护敏感的制造系统数据,将其访问权限局限于授权用户。

6.31.1 安全效益

加密是将明文转换为密文的过程,只有输入正确密钥才能查看,这就确保了数据在使用/传输时和静止状态的机密性。在数据被窃取或泄露时,加密可将敏感信息的泄露风险降至最低。

6.31.2 潜在系统影响

使用加密工具可能会影响制造系统,因为加解密数据时的运算需要处理能力和内存。若在嵌入式设备上执行加密,影响则更为严重。加解密方法的选用也可能会对具有时效性的数据通信造成影响。此外,用于加密设备之间通信的物理网络硬件可能会加大网络延迟。加密可有效保护数据机密性和完整性,但必须认真规划实施过程,以尽量减少对制造过程的潜在干扰。

6.31.3 《制造篇》子类

PR.DS-5

6.32 数据泄露防护

制造商可利用数据泄露防护方案检测并防止非法访问和传输敏感的制造系统数据。

6.32.1 安全效益

检测并防止泄露网络设备中的敏感信息。

6.32.2 潜在系统影响

基于网络的数据泄露防护工具在监控、检测数据泄露时通常不会影响制造系统。基于端点的数据泄露防护工具会占用处理能力和/或网络带宽,进而影响制造系统。配置这些工具时,应尽可能使其占用最小处理能力,保证正常运行即可。

6.32.3 《制造篇》子类

PR.DS-5

6.33 媒体过滤

媒体过滤方案确保媒体中的数据无法恢复。

6.33.1 安全效益

媒体过滤方案可确保机密信息从包含存储介质(如USB闪存驱动、内外置硬盘、存储卡)的设备中删除或销毁。设备淘汰后,若其中信息未经妥善处理可能会带来安全问题。

6.33.2 潜在系统影响

媒体过滤工具一般独立于制造系统运行,应不会对制造系统产生影响。相关流程应与配置和变更管理流程集成,保证组件有源可查,有责可究。

6.33.3 《制造篇》子类

PR.DS-3, PR-IP-6

6.34 事件日志

利用事件日志方案,制造商可捕获、保存、存档和检查制造系统及其网络中发生的事件。

6.34.1 安全效益

事件日志提供系统操作方面的重要信息。这些信息可用于优化报告、日志收集、分析,有助于防止安全入侵事件。日志功能若足够强大,不仅能减少安全事件的影响,还能助力组织的合规建设。

6.34.2 潜在系统影响

事件日志方案对制造系统有潜在影响。事件记录器要正常工作,制造系统中的设备必须生成消息,发送给记录器。发送这些消息会消耗网络带宽,流量大小取决于主机数量和配置的日志级别(如严重错误、警告、调试等)。在占用网络带宽和目标日志级别之间须有所取舍,基于风险做出决策。在向事件记录器发送大量消息时,设备负载可能会加重。

6.34.3 《制造篇》子类

PR.PT-1, DE.AE-3, DE.CM-1, DE.CM-6, DE.DP-3, RS.AN-3

6.35 取证

制造商可利用取证方案对制造系统中的数据进行识别、收集、检查和分析,查明事件原因。

6.35.1 安全效益

通过收集网络环境中的取证数据,组织可对网络数据进行检查,为识别恶意活动和查明潜在攻击者提供更多的数据支撑。基于设备和网络日志,组织可追究威胁源起方责任。若需外部事件响应公司协助调查事件,取证数据也非常有用。

6.35.2 潜在系统影响

取证工具一般独立于制造系统运行,因此应不会对制造系统产生影响。