【1024】《工业控制系统安全指南》(NIST-SP800-82) 2016年6月7日 srxh 写评论 目 录 摘要…. 5 简介…. 9 1.1管理机构… 9 1.2目的和范围… 9 1.3读者… 10 1.4文档结构… 10 工业控制系统概述…. 11 2.1 SCADA,DCS,PLC的概述… 12 2.2 ICS的操作… 13 2.3 主要ICS元件… 15 2.3.1 控制元件… 15 2.3.2 网络组件… 16 2.4 SCADA系统… 17 2.5 分布式控制系统(DCS)… 22 2.6 可编程逻辑控制器(PLC)… 24 2.7 工业部门和他们的相互依存性… 24 ICS特性,威胁和脆弱性…. 25 3.1 ICS和IT系统的比较… 26 3.2 威胁… 30 3.3 ICS系统潜在的脆弱性… 32 3.3.1策略和程序方面的脆弱性… 33 3.3.2平台方面的脆弱性… 34 3.3.3 网络方面的脆弱性… 40 3.4 风险因素… 44 3.4.1 标准的协议和技术… 44 3.4.2 网络连接扩大… 45 3.4.3 不安全和恶意的连接… 46 3.4.4. 公开的信息… 46 3.5安全事件举例… 47 3.6 安全事故来源… 48 3.7 收录的安全事件… 50 3.7.1内部有目标攻击事件… 50 3.7.2无意特定目标的攻击事件… 51 3.7.3内部无明确攻击目标的事件… 52 4.ICS系统安全程序开发与部署…. 53 4.1业务影响分析… 53 4.1.1 收益… 54 4.1.2 潜在影响… 54 4.1.3 业务影响分析的关键组成部分… 55 4.1.4 业务影响分析的资源… 56 4.1.5 向领导介绍商业案例… 57 4.2 开发一套综合的安全程序文件… 57 4.2.1 高层管理者的支持… 58 4.2.2 建立和训练一支跨职能的团队… 58 4.2.3 定义纲领和范围… 59 4.2.4 定义ICS详细的安全策略和程序… 59 4.2.5 定义ICS系统和网络资产清单目录… 60 4.2.6 进行漏洞与风险评估… 60 4.2.7 定义风险缓解控制措施… 62 4.2.8 提供培训机会,加强安全意识… 63 5.网络结构…. 63 5.1.防火墙… 64 5.2逻辑分割控制网络… 65 5.3.网络隔离… 66 5.3.1双宿主机/两个网络接口卡… 66 5.3.2 办公网和控制网络之间的防火墙… 66 5.3.3 办公网和控制网络之间的防火墙和路由器… 68 5.3.4 办公网和控制网络之间带DMZ(隔离区)的防火墙… 69 5.3.5 办公网和控制网络之间成对的防火墙… 71 5.3.6 网络隔离总述… 72 5.4.深度防御架构… 73 5.5.ICS普遍的防火墙策略… 74 5.6.针对特定服务的防火墙规则… 76 5.6.1 域名系统… 77 5.6.2 超文本传输协议(HTTP). 77 5.6.3 FTP和TFTP. 77 5.6.4 Telnet. 78 5.6.5 简单邮件传输协议(SMTP). 78 5.6.6 简单网络管理协议(SNMP). 78 5.6.7分布式对象组件模型(DCOM). 78 5.6.8 SCADA和工业协议… 79 5.7.网络地址转换(NAT). 79 5.8 ICS和防火墙的一些具体问题… 80 5.8.1 海量数据记录系统… 80 5.8.2 远程登录… 80 5.8.3 组播… 81 5.9 单点失败… 82 5.10 冗余和容错… 82 5.11 预防中间人攻击… 82 6.ICS安全控制…. 84 6.1 管理控制… 85 6.1.1 安全评估和授权… 85 6.1.2 计划… 86 6.1.4 系统和服务获取… 88 6.1.5 程序管理… 88 6.2 操作控制… 88 6.2.1 人员安全… 89 6.2.2 物理及环境的保护… 90 6.2.3应急预案… 92 6.2.3.1业务持续预案… 93 6.2.3.2灾害恢复计划… 94 6.2.4参数管理… 95 6.2.5维护… 95 6.2.6系统和信息保存… 96 6.2.6.1恶意代码攻击… 96 6.2.6.2入侵检测和防护… 97 6.2.6.3补丁管理… 98 6.2.7介质保护… 99 6.2.8事件响应… 100 6.2.9意识和培训… 102 6.3技术控制… 102 6.3.1识别和授权… 103 6.3.1.1密码授权… 104 6.3.1.2挑战-应答鉴定… 106 6.3.1.3物理标志授权… 106 6.3.1.4生物授权… 107 6.3.2访问控制… 108 6.3.2.1基于角色的访问控制(RBAC) 109 6.3.2.2WEB服务器… 109 6.3.2.3虚拟本地局域网络(VLAN) 109 6.3.2.4拨号调制解调器… 110 6.3.2.5无线… 111 6.3.3审计… 113 6.3.4系统和交流保护… 114 6.3.4.1加密… 114 6.3.4.2虚拟专用网络 (VPN) 116 下载地址:链接: http://pan.baidu.com/s/1c1CQdES 密码: 96jv