工業(yè)控制系統(tǒng)安全與實(shí)踐 課件 第九章入侵響應(yīng)

工業(yè)控制系統(tǒng)入侵響應(yīng)技術(shù)第九章工業(yè)控制系統(tǒng)入侵響應(yīng)技術(shù)123工控系統(tǒng)安全防御模型入侵響應(yīng)及入侵響應(yīng)系統(tǒng)本章小結(jié)及習(xí)題9.1工控系統(tǒng)安全防御模型從邏輯層面看，工控系統(tǒng)的安全防御和層次可劃分為兩大要素：技術(shù)和管理。管理層外屬于管理要素，其它五個層次則屬于技術(shù)要素。技術(shù)要素中的各種安全防御方法、防御工具是最有效的防御手段，而技術(shù)要素的準(zhǔn)確有效的實(shí)施，則需要通過管理要素進(jìn)行保障，因而模型中的管理要素是防御模型中其它各層的粘合劑，它組織協(xié)調(diào)各層的防御措施有序運(yùn)作。工控系統(tǒng)安全防御模型管理層安全是從企業(yè)或組織的管理角度來保證工控系統(tǒng)的安全舉措，包括工控系統(tǒng)在設(shè)計(jì)、建設(shè)、運(yùn)行時遵循的國家或企業(yè)所要求的政策、法規(guī)及章程；包括系統(tǒng)建設(shè)運(yùn)行和維護(hù)時采用的國際、國內(nèi)或行業(yè)技術(shù)標(biāo)準(zhǔn)；還包括企業(yè)或組織日常運(yùn)營ICS時的操作規(guī)程、安全管理制度以及為實(shí)現(xiàn)系統(tǒng)安全的諸多資源的保障措施等。管理層安全9.1工控系統(tǒng)安全防御模型在工控安全問題上，我們國家一直高度重視，頒布了一系列的國家層面或行業(yè)層面的法規(guī)，來指導(dǎo)和加強(qiáng)企業(yè)的信息安全建設(shè)。除了在政策法規(guī)方面的要求外，國內(nèi)外相關(guān)機(jī)構(gòu)或行業(yè)組織也都針對工控系統(tǒng)安全建立了一系列的與工控系統(tǒng)安全相關(guān)的通用或行業(yè)技術(shù)標(biāo)準(zhǔn)，用以指導(dǎo)工業(yè)系統(tǒng)的設(shè)計(jì)、建設(shè)及運(yùn)維，實(shí)現(xiàn)保障和加強(qiáng)工控系統(tǒng)的安全的目的。具體可參考：IEC62443Industrialcommunicationnetworks-Networkandsystemsecurity,/wiki/IEC_62443此外針對具體行業(yè)不同，相關(guān)行業(yè)的國際組織也制定了一些行業(yè)國際標(biāo)準(zhǔn)，比如電力系統(tǒng)的IEC62351StandardsforSecuringPowerSystem、Communications、軌道交通相關(guān)的IEC62278/62279/62280等。管理層安全9.1工控系統(tǒng)安全防御模型

我們國家也非常重要標(biāo)準(zhǔn)體系的建設(shè)，目前除了發(fā)布的一系列通用信息化安全相關(guān)的標(biāo)準(zhǔn)外，正在定制和完善工業(yè)控制系統(tǒng)的國家和行業(yè)標(biāo)準(zhǔn)體系。這些國家或行業(yè)標(biāo)準(zhǔn)的發(fā)布實(shí)施，對企業(yè)或組織的信息安全建設(shè)起到了很好的指導(dǎo)和規(guī)范作用。右表列出了截止到2022年5月國家已經(jīng)發(fā)布的部分工業(yè)控制系統(tǒng)安全相關(guān)的通用標(biāo)準(zhǔn)、電力和核工業(yè)的相關(guān)信息安全行業(yè)標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的具體內(nèi)容，可在國家標(biāo)準(zhǔn)全文公開系統(tǒng)網(wǎng)站查閱。國家標(biāo)準(zhǔn)全文公開系統(tǒng)管理層安全9.1工控系統(tǒng)安全防御模型物理層安全

物理層的安全，是通過物理層各要素的安全控制或安全管理，來阻止或限制對工業(yè)控制設(shè)備或系統(tǒng)的訪問，保證工控系統(tǒng)的安全。9.1工控系統(tǒng)安全防御模型物理地點(diǎn)的安全:

盡量選擇在不易遭受自然災(zāi)害的地點(diǎn)廠房和設(shè)施的安全:外圍需要設(shè)置必要的隔離設(shè)施車輛出入口控制和人員出入口控制等物理層安全9.1工控系統(tǒng)安全防御模型基礎(chǔ)設(shè)施的安全：物理設(shè)備的安全：一是指生產(chǎn)用的電力、供水、供氣等基本生產(chǎn)設(shè)施的安全。二是指廠房中的防火防雷等安防設(shè)施物理層安全9.1工控系統(tǒng)安全防御模型網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層的安全是以ICS系統(tǒng)的數(shù)據(jù)安全和通信安全作為出發(fā)點(diǎn)的，從網(wǎng)絡(luò)架構(gòu)的角度來看，網(wǎng)絡(luò)層安全有兩個方面的主要內(nèi)容：網(wǎng)絡(luò)區(qū)域的分割和網(wǎng)絡(luò)區(qū)域之間的邊界保護(hù)。9.1工控系統(tǒng)安全防御模型網(wǎng)絡(luò)層安全網(wǎng)絡(luò)區(qū)域的分割即我們通常意義上說的子網(wǎng)劃分或網(wǎng)絡(luò)安全區(qū)域的劃分。安全區(qū)域的劃分的意義：一方面是為了增加網(wǎng)絡(luò)的可管理性，可以限制網(wǎng)絡(luò)廣播的范圍，減少由于廣播產(chǎn)生的數(shù)據(jù)流量，節(jié)省網(wǎng)絡(luò)帶寬的占用；另一方面也是最主要的方面，是通過區(qū)域劃分，借助防火墻來實(shí)現(xiàn)不同區(qū)域間的通訊隔離或訪問控制。安全區(qū)域的劃分可以是物理意義上的，也可以是邏輯意義上的。可以把同一物理場所的所有設(shè)備劃分到同一安全區(qū)域，也可以把跨物理場所的同一類型ICS設(shè)備或安全要求相同的設(shè)備劃分到同一個安全區(qū)域。安全區(qū)域內(nèi)，又可以按照與生產(chǎn)過程的相關(guān)性或相似性劃分成多個子安全區(qū)域或單元區(qū)域。9.1工控系統(tǒng)安全防御模型網(wǎng)絡(luò)層安全I(xiàn)CS網(wǎng)絡(luò)安全區(qū)域劃分企業(yè)區(qū)：對應(yīng)于工業(yè)控制系統(tǒng)模型中的企業(yè)信息層，該區(qū)域中的設(shè)備和系統(tǒng)承載了企業(yè)或組織的業(yè)務(wù)系統(tǒng)（生產(chǎn)調(diào)度系統(tǒng)、原材料流轉(zhuǎn)系統(tǒng)、制造執(zhí)行系統(tǒng)等）和辦公系統(tǒng)（ERP、CRM、文檔管理等）。隔離區(qū)：通常也稱之為DMZ(DeMilitarizedZone)-非軍事化區(qū)域，在工控系統(tǒng)中，我們稱之為工業(yè)隔離區(qū)（IDMZ）。DMZ是系統(tǒng)安全區(qū)域與非安全區(qū)域之間設(shè)立的一個緩沖區(qū)，是系統(tǒng)需要對外提供數(shù)據(jù)訪問與系統(tǒng)安全策略相沖突的一種方案。工業(yè)區(qū)：包含用于生產(chǎn)產(chǎn)品的設(shè)備和系統(tǒng)，包括自動化裝置、儀器儀表、控制設(shè)備、服務(wù)器和信息終端等。9.1工控系統(tǒng)安全防御模型網(wǎng)絡(luò)層安全企業(yè)區(qū)中的安全防護(hù)措施包括區(qū)域中各個信息終端設(shè)備的安全防護(hù)軟件和防火墻。針對該區(qū)域中設(shè)備進(jìn)行訪問控制的防火墻有兩類：對外互聯(lián)網(wǎng)的外部防火墻和對內(nèi)隔離區(qū)的內(nèi)部防火墻，它們分別實(shí)施對外部和內(nèi)部的訪問控制。

隔離區(qū)中設(shè)備類型主要以提供對外及對內(nèi)服務(wù)的應(yīng)用服務(wù)器為主，它們安全防護(hù)主要靠內(nèi)外部的兩個防火墻、網(wǎng)絡(luò)IDS、網(wǎng)絡(luò)IPS等來實(shí)現(xiàn)，此外應(yīng)用服務(wù)器中也可以單獨(dú)使用基于主機(jī)安全防護(hù)設(shè)施，比如主機(jī)版的防火墻、病毒防護(hù)軟件、主機(jī)版的IPS等來增加系統(tǒng)的安全性。工業(yè)區(qū)通常使用防火墻等網(wǎng)絡(luò)安全設(shè)施進(jìn)行同其它網(wǎng)絡(luò)區(qū)域的通訊隔離及訪問控制。工業(yè)區(qū)中的系統(tǒng)和設(shè)備還可以根據(jù)它們在生產(chǎn)過程中的任務(wù)共性、邏輯特性或地理位置，進(jìn)一步劃分為多個單元區(qū)域，以實(shí)現(xiàn)細(xì)粒度安全控制目的。9.1工控系統(tǒng)安全防御模型信息終端層安全信息終端層中的“信息終端”是狹義上的概念，只包括工業(yè)控制系統(tǒng)中接入工控系統(tǒng)網(wǎng)絡(luò)的計(jì)算機(jī)、服務(wù)器、人機(jī)交互設(shè)備等網(wǎng)絡(luò)終端。信息終端層的安全目標(biāo)是防范已知和未知的威脅，保障各信息終端的C－機(jī)密性、I－完整性和A－可用性。9.1工控系統(tǒng)安全防御模型信息終端層安全物理措施：軟件措施：信息終端中未使用到的設(shè)備接口，通過物理方式進(jìn)行隔絕，以防止插入未經(jīng)授權(quán)的設(shè)備對于生產(chǎn)過程中必需的設(shè)備接口，采用設(shè)備接口鎖等形式加固，防止設(shè)備連接的意外中斷及設(shè)備的非法切換安裝防病毒/木馬軟件、HIDS或HIPS、主機(jī)版的防火墻等系統(tǒng)安全防護(hù)軟件實(shí)施相應(yīng)的操作系統(tǒng)安全策略9.1工控系統(tǒng)安全防御模型信息終端層安全典型案例：震網(wǎng)病毒9.1工控系統(tǒng)安全防御模型應(yīng)用程序?qū)影踩?/p>

應(yīng)用程序?qū)影踩侵高\(yùn)行于ICS系統(tǒng)信息終端上的完成工業(yè)生產(chǎn)活動所需的各類應(yīng)用程序的安全。應(yīng)用程序的合法性應(yīng)用程序本身的安全9.1工控系統(tǒng)安全防御模型應(yīng)用程序?qū)影踩?/p>

合法性是一方面指與完成組織機(jī)構(gòu)的生產(chǎn)活動相關(guān)的應(yīng)用程序，才能被允許在ICS系統(tǒng)的信息終端中運(yùn)行。更進(jìn)一步，要求與某一生產(chǎn)過程相關(guān)的應(yīng)用程序僅能運(yùn)行在對應(yīng)的從屬于該生產(chǎn)過程或單元域中的信息終端上，與該生產(chǎn)過程無關(guān)的其它合法的應(yīng)用程序應(yīng)排除在外。對應(yīng)用程序進(jìn)行數(shù)字簽名認(rèn)證對操作用戶進(jìn)行授權(quán)采用組策略限定能夠運(yùn)行的軟件軟件或系統(tǒng)的審計(jì)功能9.1工控系統(tǒng)安全防御模型應(yīng)用程序?qū)影踩?/p>

應(yīng)用程序本身的安全是從軟件開發(fā)商的角度來考慮的，主要涉及到應(yīng)用程序的設(shè)計(jì)、開發(fā)、測試和部署的各個方面。諸如，在軟件設(shè)計(jì)時采用安全設(shè)計(jì)模式保證軟件運(yùn)行時的魯棒性、在編碼開發(fā)時不使用不安全的函數(shù)、測試時要做到全覆蓋等。此外，對于軟件交付運(yùn)行后，軟件開發(fā)商對于軟件使用過程中發(fā)現(xiàn)的軟件漏洞，要及時發(fā)布軟件安全補(bǔ)丁，并通知客戶及時、適時進(jìn)行更新。9.1工控系統(tǒng)安全防御模型設(shè)備層安全

設(shè)備的安全是為了確保ICS系統(tǒng)中的各個設(shè)備都在可控的范圍內(nèi)被合法授權(quán)的用戶所訪問和操作。9.1工控系統(tǒng)安全防御模型9.2入侵響應(yīng)系統(tǒng)IRS(IntrusionResponseSystem)前面章節(jié)介紹的入侵檢測系統(tǒng)IDS和入侵預(yù)防系統(tǒng)IPS（IntrusionPreventionSystem）是屬于事中防護(hù)手段。IDS用于檢測當(dāng)前正在發(fā)生的安全事件，IPS與IDS相比，在系統(tǒng)部署和檢測方法方面類似，但它在發(fā)現(xiàn)入侵后能夠采取一些響應(yīng)措施來阻止檢測到的入侵，從這個意義上來講，IPS是跨界的，也可劃分至事后防御措施類別中。

當(dāng)IDS檢測到安全事件后，為阻斷安全事件的繼續(xù)或?yàn)闇p弱安全事件造成的影響采取安全措施進(jìn)行應(yīng)對入侵響應(yīng)系統(tǒng)IRS(IntrusionResponseSystem)，是事后防御手段。什么是IRS？IPS、IDS和IRS在安全體系中的邏輯關(guān)系IDS在檢測到入侵后，基于入侵描述和攻擊癥狀，可以將采取的響應(yīng)措施可分為兩類：積極響應(yīng)（ActiveResponse）方式和消極響應(yīng)(PassiveResponse)方式。消極響應(yīng)方式的目標(biāo)是將發(fā)現(xiàn)的入侵通知第三方安全保障實(shí)體，并依賴第三方采取的安全措施來阻止入侵積極響應(yīng)方式可以在沒有人為參與的情況下，對檢測到的入侵自動采取入侵處置方案。積極響應(yīng)方式的響應(yīng)策略又可分為兩種：預(yù)防處置方式（ProactiveOptions）和應(yīng)對處置方式(ReactiveOptions)。9.2入侵響應(yīng)系統(tǒng)IRS(IntrusionResponseSystem)通知響應(yīng)系統(tǒng)：通過報警、電子郵件或控制臺消息，發(fā)送入侵相關(guān)的信息手動響應(yīng)系統(tǒng)：管理員會根據(jù)入侵的類型，預(yù)先定義一系列響應(yīng)策略或響應(yīng)措施集自動響應(yīng)系統(tǒng)基于自適應(yīng)的：在一個預(yù)定義的應(yīng)對策略集的基礎(chǔ)上，對檢測到的入侵采取應(yīng)對策略后，對應(yīng)用策略的執(zhí)行結(jié)果進(jìn)行評估基于專家系統(tǒng)的：依賴于專家知識庫，該知識庫中由行業(yè)安全專家定義了一系列針對不同攻擊及其應(yīng)對策略的專家知識基于關(guān)聯(lián)的：通常使用決策表的形式，每一個特定的攻擊對應(yīng)于一個特定的響應(yīng)策略

IRS的分類9.2入侵響應(yīng)系統(tǒng)IRS(IntrusionResponseSystem)成本敏感性:要求IRS能夠?qū)艉蛻?yīng)對措施對系統(tǒng)產(chǎn)生的風(fēng)險進(jìn)行評估，能夠?qū)?yīng)對措施的實(shí)施代價進(jìn)行評估自適應(yīng)性:指IRS能夠根據(jù)過往應(yīng)對攻擊的成策略例和失敗策略，動態(tài)的選擇最佳應(yīng)對策略語義一致性:指IRS能夠理解來自不同IDS的具有不同語法和語義的入侵通知和事件誤警處理:針對IDS的報警的可信度和精確度問題響應(yīng)決策參數(shù)的動態(tài)選擇：依據(jù)攻擊類型的差異，選擇針對性的應(yīng)對策略，提高IRS的自適應(yīng)性IRS的特性9.2入侵響應(yīng)系統(tǒng)IRS(IntrusionResponseSystem)響應(yīng)模型靜態(tài)映射模型動態(tài)映射模型成本敏感的映射模型安全策略預(yù)測能力調(diào)整能力響應(yīng)評估語義一致性報警的可信度擴(kuò)展性響應(yīng)度量策略自適應(yīng)性非自適應(yīng)性靜態(tài)方式動態(tài)方式網(wǎng)絡(luò)性能突發(fā)響應(yīng)追溯響應(yīng)開發(fā)設(shè)計(jì)自動化IRS時需要考慮的響應(yīng)參數(shù)9.2入侵響應(yīng)系統(tǒng)IRS(IntrusionResponseSystem)（1）響應(yīng)模型響應(yīng)模型是指IRS采用什么樣的方式來選擇應(yīng)對策略①靜態(tài)映射模型：在這種模型中，每一個攻擊報警對應(yīng)一個預(yù)先定義好的應(yīng)對策略，當(dāng)檢測到一個攻擊報警時，該攻擊映射的應(yīng)對策略便會執(zhí)行。②動態(tài)映射模型：動態(tài)映射模型通常是將一個攻擊報警，映射至一個預(yù)先定義好的應(yīng)對策略集。③成本敏感的映射模型：該模型的最大特點(diǎn)是在選擇入侵響應(yīng)策略時，需要平衡攻擊損失代價與攻擊響應(yīng)成本。9.2入侵響應(yīng)系統(tǒng)IRS(IntrusionResponseSystem)（2）安全策略

安全策略這個參數(shù)的主要目的是對入侵攻擊進(jìn)行分類，以便IRS在選擇應(yīng)對策略時，能夠選出最優(yōu)應(yīng)對策略。

通常情況下安全策略一般使用CIA（C－機(jī)密性，I－完整性，A－可用性）模型來對入侵攻擊進(jìn)行分類（3）網(wǎng)絡(luò)性能

IRS應(yīng)對入侵攻擊時，所采取的應(yīng)對措施需要考慮對網(wǎng)絡(luò)性能的影響，最理想的對應(yīng)策略應(yīng)該是執(zhí)行后整個網(wǎng)絡(luò)系統(tǒng)的性能沒有絲毫的降低。9.2入侵響應(yīng)系統(tǒng)IRS(IntrusionResponseSystem)（4）預(yù)測能力

預(yù)測能力是指IRS或IDS預(yù)測入侵攻擊的能力，在惡意攻擊出現(xiàn)前或剛剛出現(xiàn)時，IRS或IDS就能夠檢測到并采取應(yīng)對措施阻止攻擊。

主要目的是讓IRS在惡意行為出現(xiàn)前能夠被控制和被阻止，這就要求IRS的響應(yīng)機(jī)制和IDS的檢測過程能夠高度的耦合。⑸、調(diào)整能力

IRS能夠根據(jù)攻擊的特性，重新調(diào)整應(yīng)對策略或應(yīng)對強(qiáng)度的能力我們稱之為調(diào)整能力，這項(xiàng)能力主要對應(yīng)于IRS的自適應(yīng)性。9.2入侵響應(yīng)系統(tǒng)IRS(IntrusionResponseSystem)（6）響應(yīng)評估

響應(yīng)評估是指對檢測到入侵攻擊實(shí)施應(yīng)對策略后，對應(yīng)對策略的執(zhí)行結(jié)果進(jìn)行評估，評估的目的，是為了改進(jìn)針對該攻擊的應(yīng)對策略。⑺、語義一致性

依據(jù)響應(yīng)評估方式的不同，應(yīng)對策略的執(zhí)行可劃分兩類：突發(fā)響應(yīng)和追溯響應(yīng)

語義的一致性還可以讓IRS依靠詳盡的語義信息，在一定程度上降低IDS傳遞來的誤警率和消除IDS帶來的不確定性。9.2入侵響應(yīng)系統(tǒng)IRS(IntrusionResponseSystem)（8）報警的可信度誤報率是評估IDS的精確度和決定IRS可信水平的指標(biāo)之一。

如果IRS系統(tǒng)中沒有誤警的處理，對于誤警的應(yīng)對策略執(zhí)行結(jié)果會對IRS的響應(yīng)評估產(chǎn)生影響，增加系統(tǒng)的不確定性，后續(xù)對自適應(yīng)策略的調(diào)整也會產(chǎn)生負(fù)面影響。（9）擴(kuò)展性

IRS擴(kuò)展性的含義是指無論網(wǎng)絡(luò)中節(jié)點(diǎn)的數(shù)量多少，IRS能夠針對節(jié)點(diǎn)的攻擊進(jìn)行實(shí)時的響應(yīng)。IRS的擴(kuò)展性還包含另一層含意，是指對IDS的擴(kuò)展性，與IRS的語義一致性對應(yīng)。9.2入侵響應(yīng)系統(tǒng)IRS(IntrusionResponseSystem)（10）響應(yīng)度量策略

響應(yīng)度量策略是指在進(jìn)行響應(yīng)策略的選擇過程中，使用哪些響應(yīng)決策參數(shù)，來評估響應(yīng)策略執(zhí)行的結(jié)果。

響應(yīng)度量策略分為靜態(tài)方式和動態(tài)方式兩種，在靜態(tài)方式中，針對攻擊的響應(yīng)決策參數(shù)一旦確定之后，無論這類攻擊特征后來是否發(fā)生變化通常是固定不變的。動態(tài)方式允許IRS根據(jù)攻擊特征的變化，以靈活的方式，在一系列決策參數(shù)中選擇最合適的決策參數(shù)。9.2入侵響應(yīng)系統(tǒng)IRS(IntrusionResponseSystem)

本章從安全事件應(yīng)對的時間順序引出了入侵防護(hù)系統(tǒng)的基本概念，然后介紹了工控系統(tǒng)的安全防御模型，分別從物理層、網(wǎng)絡(luò)層、信息終端層、應(yīng)用程序?qū)?、設(shè)備層和管理層分析了安全要素的組成、原理和方式。

本章的第二部分，詳細(xì)介紹了入侵響應(yīng)系統(tǒng)的概念以及IRS、IDS、IP