如果你是专注于工业控制系统(ICS)安全的网络安全专业人员,请看看你的书架,然后告诉我你看到了什么,除了Shon Harris、Krutz、Vines以及Peter Gregory的网络经典著作,你可能还收集了一些ICS安全书籍,其中有些页面可能已经破损或者被你贴上标签。其中你可能收藏的一套书是国家标准与技术研究院(NIST)特别刊物,标题为SP800-82《工业控制系统(ICS)安全指南》。SP800-82在2006年第一次发行,然后是第一次修订版,现在第二次修订版处于草案阶段。
SP800-82系列的发展是怎样的?修订版2已经出来,但800-82是从何而来?是谁的想法带来了这一系列非常有用的指南?是什么在推动NIST专注于ICS安全性?
在这篇文章中,我们将介绍到NIST的Keith Stouffer,他的工作对ICS安全指南有着很大的影响。我们花了一些时间采访Stouffer有关SP800-82指南的历史,并问他为什么会产生这些来自NIST的最畅销刊物。
NIST关注ICS安全性的开始
大约在2000年,Keith Stouffer和另外几个人开始关注关键基础设施的安全问题。具体来说,Stouffer当时在NIST的机械工程实验室(Mechanical Engineering Lab)工作,他对“过程控制系统”(当时是这样的名称)特别感兴趣。于是,在2001年春天,一组相关专业人士聚集在过程控制安全要求论坛(Process Control Security Requirements Forum,PCSRF)。
PCSRF的目的是为过程控制系统明确安全要求,随后该系统被称为工业控制系统。该组织的主要重点是提高制造工业中使用的计算控制系统的IT安全性,这些工业包括电力公用事业、石油(石油和天然气)、水力、废弃物、化学用品、药品、纸浆和造纸、金属和采矿,其中重点工业是被视为国家关键基础设施组成部分。当时,PCSRF非常努力地查看信息技术安全通用评估标准(The Common Criteria for Information Technology Security Evaluation,也被称为ISO/IEC 15408)的内容,试图以通用标准保护安全规范的形式来记录他们的工作。
2004年10月,在Stouffer的领导下,PCSRF所产生的主要文档之一是《系统保护轮廓--工业控制系统》,该文档的目的是为采购新的过程控制系统提供有凝聚力的跨行业的基本安全要求。它同时也作为一个起点,推动着针对监控和数据采集(SCADA)或分布式控制系统(DCS)的更具体的系统保护轮廓。当时,PCSRF更侧重于市场上出现的新的工业控制系统,而不是传统系统。
PCSRF与Stouffer及其在NIST的同事们开始填补ICS相关的安全知识与指南的空白,并为未来的NIST SP800-82文档埋下了种子。到2006年,PCSRF已经从不到20人发展到超过1000人。除了建立PCSRF,该团队的活动还涉及在国际自动化协会(ISA,以前被称为美国仪器、系统与自动化协会)一些并行工作,ISA在2002年秋天形成了制造业和控制系统安全委员会,这最终演变成ISA-99委员会。#p#
NIST SP800-82的诞生
2005年左右,Stouffer及其同事们开始编写NIST SP800-82。在这个特别刊物的第一次出版的过程中发生了几个有趣的故事。首先是该文档标题的故事,其次是关于该指南的内容受到来自联邦电力机构的巨大压力。
SP 800-82第一个发行版的标题是“SCADA和ICS安全指南”。SCADA和ICS之间有区别,这两者放在一个标题中可能会导致更专业的ICS安全专业人员的异议。Stouffer联想到当SP800-82文档第一次编写时,受到很多来自美国国会的压力,美国国会认为SCADA需要受到保护,因此,“SCADA”被放入SP800-82标题。然而,随后的SP800-82系列的主标题不再包含“SCADA”。
关于第一版SP800-82的第二个故事是涉及来自总检察长的压力,他们认为应该把重点放在使用NIST SP800-53《联邦信息系统和组织的安全与隐私控制》作为联邦政府拥有和运营的ICS的基本安全标准。然而,正如很多ICS安全专家所认为的—也与Stouffer的意见一致,NIST SP800-53专注于信息技术(IT)系统,而不是ICS—也被称为操作技术(OT)。这导致了与总检察长以及拥有和运营ICS的联邦机构的多次交涉,并产生了一个有趣的解决方案。
Stouffer及其同事认真查看了SP 800-53以及适用于ICS的特殊要求。其结果是,在2007年12月,800-53修订版2附录I作为800-53要求的增编,但具体是针对ICS。在2009年8月,NIST SP800-53修订版3又进行了更新。SP800-53附录I被用来作为新的ICS覆盖(NIST SP800-82修订版2附录G)的基础。
NIST SP800-82的最初草案在2006年形成。正式版本(修订版0)在2011年出版,在2013年修订版1(最终)发布后,修订版0最终在2014年4月被撤回。
自首次出版以来,NIST SP800-82文档下载量超过300万次。
NIST和ICS的可视化历史记录
NIST和ICS安全的可视化历史如下图所示:
#p#
NIST SP800-82 修订版2(草案)
在2014年5月14日,NIST发布修订版2,添加到SP800-82指南系列。Keith Stouffer再次作为这一工作的领导者。SP800-82文档已经在信息的深度和广度方面进行了扩展,正如下面的页面数量可看出:
NIST SP800-82, 修订版0155 页
NIST SP 800-82, 修订版1170页 (+9.6%)
NIST SP 800-82, 修订版2(草案)255页 (+50.0%)
总结来看,修订版2包括以下内容:
• 更新了ICS威胁和漏洞
• 更新了ICS风险管理、推荐做法和架构
• 更新了ICS安全的当前活动
• 更新了用于ICS的安全功能和工具
• 结合其他ICS安全和指南,特别是英国国家基础设施保护中心(CPNI)和ISA-62443
• 针对NIST SP800-53修订版4安全控制的新的指南,包括引入网络覆盖。
• 针对NIST SP800-53修订版4安全控制的ICS覆盖,为低、中、高影响ICS提供量身定制的安全控制基线
这个ICS覆盖是对SP800-53修订版4中控制和控制基线的部分调整,其中增加了专门针对ICS的补充指南。这个ICS覆盖旨在适用于所有工业部门的所有ICS系统;它可以用来提供结构化的方法来帮助企业量身定制安全控制基线,以及开发特定安全计划来适用于特定任务/业务功能、操作环境和/或技术。随着威胁推动的控制和目录中控制增强的数量的增加,以及企业需要开发风险管理战略来在特定风险容忍范围内解决其特定保护需求,这种针对性方法很重要。
现在,修订版2(最初公开草案)评论期已经在2014年7月18日结束。不过,最终公开草案将会在2014年秋天公布,届时将提供30天的评论期,该文档计划在2015年年初定稿。在学习ICS安全、制定ICS安全计划、程序、政策、流程和指南时,这个文档可以直接使用作为很好的参考。
此外,修订版2(草案)参考文献附录F很好地列出了ICS网络安全专业人员以及学生可以作为安全紧急救援的资源。
NIST的下一步是什么?
NIST的团队正在考虑ICS安全的下一步工作。首先,他们仍然关注ICS安全在中小企业的部署情况。其次,NIST正在扩展试验场,以更好地了解网络安全威胁和解决方案。这些试验场包括:
• 机器人/机器人制造
• 添加剂制造
• 化学工艺
• 智能运输
Stouffer的团队还会看看在这些系统和其他ICS系统部署NIST 800-82和ISA-62443标准要求,以衡量和更好地了解在这些时间关键型系统部署安全要求带来的性能影响。
未来研究可能包括设计弹性控制系统,甚至整合安全内容自动化协议(SCAP)到ICS安全。
最后,Stouffer表示,NIST及其团队在2014年秋天的某个时候开展关于网络物理系统(CPS)安全的未来研讨会。
