|
知识路径: > 网络安全风险评估技术原理与应用 > 网络安全风险评估技术应用 > 工业控制系统平台脆弱性识别参考 >
|
相关知识点:14个
|
|
|
|
本参考来自《信息安全技术工业控制系统风险评估实施指南》。工业控制系统平台是由工业控制系统硬件、操作系统及其应用软件组成的。平台脆弱性是由工业控制系统中软硬件本身存在的缺陷、配置不当和缺少必要的维护等问题造成的。平台脆弱性包括平台硬件、平台软件、平台配置和平台管理四个方面的脆弱性,如下图所示。
|
|
|
|
|
|
平台硬件脆弱性是指工业控制系统平台硬件设备存在的脆弱性。下表列出了工业控制系统的平台硬件通常可能存在的脆弱性。
|
|
|
|
|
|
(1)查看被评估方是否为平台硬件,尤其开启远程服务的设备配备运维人员。
|
|
|
(2)查看是否留有不安全的物理端口,是否将无用的USB、PS/2、远程接口、网络接口进行封堵,或采取其他技术措施进行监控。
|
|
|
(3)查看是否有对变更设备时的测试记录或者其他证明变更时进行过测试的证据。
|
|
|
(4)现场核查工业控制系统中是否存在调制解调器或专业远程连接设备,是否针对这些设备部署安全措施,并验证安全措施的有效性。
|
|
|
(5)现场核查是否仅必要人员可以物理访问工业控制系统设备。
|
|
|
(6)现场核查被评估方的资产清单中是否包括工业控制系统所有设备。
|
|
|
(7)现场查看被评估方是否对重要设备进行冗余设计,并按设计部署。
|
|
|
|
|
|
平台软件脆弱性是指工业控制系统平台软件存在的脆弱性。平台软件包括工业控制系统使用的操作系统、应用软件、防病毒软件等。在工业控制系统中,SCADA主机、操作站、工程师站、HMI、历史数据库、实时数据库等通常使用与IT行业相同的计算机、服务器以及操作系统(主要是Windows和UNIX)。下表列出了工业控制系统的平台软件通常可能存在的脆弱性。
|
|
|
|
|
|
(1)评估方查看平台中安装的操作系统版本及应用软件类型,例如Windows操作系统、嵌入式系统、Linux系统、程序下载软件、数据库软件、远程控制软件等。
|
|
|
(2)必要时在模拟仿真环境中对重要组件进行组件测试,识别其脆弱性。
|
|
|
(3)在模拟仿真环境中查看设备开启的端口,是否开启了不必要的端口服务。
|
|
|
|
(5)评估方查看平台是否安装病毒防护软件,病毒防护软件是否经过测试安装,病毒库是否定期更新,查看测试记录及病毒库更新记录。
|
|
|
(6)现场核查系统使用DCOM设备是否进行端口限定,是否对OPC及时修补升级。
|
|
|
(7)在模拟仿真环境中可以使用恶意代码针对OPC进行测试,识别其脆弱性。
|
|
|
(8)查看关键应用软件源代码,若关键应用软件为第三方供应商提供,则需与其联系,取得软件源代码,对其进行分析研判,识别其脆弱性。
|
|
|
(9)现场核查在远程访问控制设备时使用的专用设备及软件,在模拟仿真环境中对其进行技术检测,识别其脆弱性。
|
|
|
(10)现场核查并分析系统运行产生的历史数据,验证系统数据是否曾出现异常及出现异常的时间及原因。
|
|
|
(11)评估方查看程序下载软件固件的使用权限,下载程序是否加密认证,并验证其认证的有效性。
|
|
|
(12)评估方现场查看工业控制系统中使用的工控协议有哪些,其是否只用于工业控制系统控制网络中。
|
|
|
(13)在模拟仿真环境中对使用的工业控制系统协议进行分析,是否是明文传输。
|
|
|
(14)在模拟仿真环境中进行重放攻击,验证是否有数据校验,防篡改。
|
|
|
(15)在模拟仿真环境中进行模糊测试,验证平台是否存在拒绝服务等安全漏洞。
|
|
|
(16)评估方现场查看工业控制系统中重要数据存储是否进行加密或采取其他安全措施。
|
|
|
|
平台配置脆弱性是指工业控制系统平台软硬件的配置存在的脆弱性。下表列出了工业控制系统的平台配置通常可能存在的脆弱性。
|
|
|
|
|
|
|
(1)评估方现场核查重要配置是否备份,是否将敏感数据存储在便携设备中。
|
|
|
(2)评估方现场核查口令是否以明文的方式存储在本地系统或便携设备中,过去是否存在泄漏口令的事件,在模拟仿真环境中使用暴力破解等方法验证口令的可靠性。
|
|
|
(3)查看平台硬件设备口令更新周期及字符长度等配置。
|
|
|
(4)现场核查远程访问控制设备接入控制网络时是否需要用户验证。
|
|
|
(5)现场核查是否对远程访问进行审计,是否生成审计记录,或者使用其他替代安全措施。
|
|
|
(6)现场核实是否有远程访问记录,远程访问是否经过组织批准或认证,远程访问数据是否加密,或者采用其他防篡改、防泄密的措施。
|
|
|
(7)现场核查使用平台软硬件安装时的预设口令、空口令是否无法登录系统,账户口令是否属于弱口令。
|
|
|
(8)评估方查看工业控制的权限分配,是否责权分离,是否是所需的最小权限,管理员权限是否被评估方指定管理,是否使用缺省访问控制。验证配置访问控制的有效性。
|
|
|
(9)现场核查平台软硬件是否具有限制无效访问次数的能力,对任何用户(人、软件进程和设备)在可配置的时间周期内连续无效访问尝试的次数是否限制为一个可配置的数目,在可配置时间周期内未成功尝试次数超过上限时,在指定时间内是否拒绝其访问直到由最高权限者解锁。
|
|
|
(10)检查控制系统是否提供会话锁能力,在会话不活跃状态超过可配置的时间周期之后,检查会话锁是否启用,防止其进一步的访问,会话锁是否保持有效直到最高权限者使用适当的标识和认证规程重新建立访问。
|
|
|
(11)现场核查是否安装入侵检测和防御软件,或是否采用其他替代措施。
|
|
|
(12)现场核查可开启审计功能的软硬件是否开启相关功能,或是否采取替代措施。
|
|
|
|
平台管理脆弱性识别是指对组织的安全管理策略、制度、人员、运维管理等方面存在的脆弱性进行核查。下表列出了工业控制系统的平台管理通常可能存在的脆弱性。
|
|
|
|
|
|
(1)评估方查阅被评估方编制的安全管理和策略文档,是否恰当、明确、具体,与应用的法律、制度、政策、规章、标准和指南是否一致,并据此对有关人员进行培训。
|
|
|
(2)评估方审查培训的资料及培训记录,是否基于工作角色进行安全培训,是否提高工作人员的安全意识。
|
|
|
(3)评估方审查被评估方就工业控制系统签署的采购服务合同,合同中是否描述该工业控制系统及其部件和服务中所使用的那些安全控制措施的功能特性信息,及那些安全控制的设计和实现的详细信息。
|
|
|
(4)评估方审查被评估方是否对采购的设备进行过安全评估。
|
|
|
(5)评估方查看被评估方是否对工业控制系统供应链进行过安全评估。
|
|
|
(6)评估方现场查看工业控制系统的设备安装使用指导文件是否缺失。
|
|
|
(7)评估方现场查看被评估方的安全管理机构设置、职能部门设置、岗位设置、人员配置等是否合理,分工是否明确,职责是否清晰,工作是否落实,以及安全管理组织相关活动记录等文件。
|
|
|
(8)评估方审查人员离职及调离之后是否将与工业控制系统相关的物品归还,例如系统管理技术手册、密钥、身份标识卡等,并消除其访问权。被评估方与离职人员签署的离职协议是否有保密规定。
|
|
|
(9)评估方现场查看被评估方的应急计划、应急培训记录、应急预案等。
|
|
|
(10)评估方现场查看工业控制系统的备用存储和处理设备、系统备份及备份频率。被评估方是否将备份数据存储在异地灾备中心。
|
|
|
(11)评估方现场查看被评估方是否有系统恢复和重建实施方案,可以在规定的时间内恢复工业控制系统。
|
|
|
(12)评估方查看被评估方制定的审计范围和内容,是否明确指明对哪些工业控制系统组件进行审计。
|
|
|
(13)评估方查看被评估方是否对现场设备进行审计,审计是否包括:用户登录、退出、连接超时、配置变更、日期变更、密码创建和修改、通信异常等。
|
|
|
(14)评估方查看审计记录保存时间和审查存储空间,是否可以至少保留3个月,现场设备是否至少支持2048个事件记录,当空间不足时是否发出报警信息。
|
|
|
(15)评估方查看当审计失败时,是否可以及时地向相关人员发出警报,并有相应的应急措施。
|
|
|
(16)评估方查看访问审计信息的权限,是否仅有授权账户可以访问。
|
|
|
(17)评估方现场查看被评估方是否有配置管理文档支持配置管理的实施,例如配置管理计划、系统组件清单、配置管理范围等。
|
|
|
(18)组织的配置变更管理怎样实施,是否有配置变更申请表、变更记录、变更审计等。
|
|
|
(19)组织配置变更之后是否进行安全评估或安全影响分析,是否有评估报告或分析记录。
|
|
|
(20)评估方现场查看被评估方是否根据厂商供应商的规格说明以及被评估方的管理要求,对系统组件的维护和修理进行规划、实施、记录,并对维护和修理记录进行评审,并查看维修记录及评审记录。
|
|
|
|
(22)被评估方是否对已批准异地运维的设备,删除异地运维时的存储资料。
|
|
|
(23)评估方现场查看,采用远程运维方式时,被评估方是否对远程控制端口设置控制权限和控制时间窗。
|
|
|
|
(25)是否允许设备、信息或软件离开被评估方机构场所。
|
|
|