工业控制系统安全与实践 课件 第九章入侵响应

工业控制系统入侵响应技术第九章工业控制系统入侵响应技术123工控系统安全防御模型入侵响应及入侵响应系统本章小结及习题9.1工控系统安全防御模型从逻辑层面看，工控系统的安全防御和层次可划分为两大要素：技术和管理。管理层外属于管理要素，其它五个层次则属于技术要素。技术要素中的各种安全防御方法、防御工具是最有效的防御手段，而技术要素的准确有效的实施，则需要通过管理要素进行保障，因而模型中的管理要素是防御模型中其它各层的粘合剂，它组织协调各层的防御措施有序运作。工控系统安全防御模型管理层安全是从企业或组织的管理角度来保证工控系统的安全举措，包括工控系统在设计、建设、运行时遵循的国家或企业所要求的政策、法规及章程；包括系统建设运行和维护时采用的国际、国内或行业技术标准；还包括企业或组织日常运营ICS时的操作规程、安全管理制度以及为实现系统安全的诸多资源的保障措施等。管理层安全9.1工控系统安全防御模型在工控安全问题上，我们国家一直高度重视，颁布了一系列的国家层面或行业层面的法规，来指导和加强企业的信息安全建设。除了在政策法规方面的要求外，国内外相关机构或行业组织也都针对工控系统安全建立了一系列的与工控系统安全相关的通用或行业技术标准，用以指导工业系统的设计、建设及运维，实现保障和加强工控系统的安全的目的。具体可参考：IEC62443Industrialcommunicationnetworks-Networkandsystemsecurity,/wiki/IEC_62443此外针对具体行业不同，相关行业的国际组织也制定了一些行业国际标准，比如电力系统的IEC62351StandardsforSecuringPowerSystem、Communications、轨道交通相关的IEC62278/62279/62280等。管理层安全9.1工控系统安全防御模型

我们国家也非常重要标准体系的建设，目前除了发布的一系列通用信息化安全相关的标准外，正在定制和完善工业控制系统的国家和行业标准体系。这些国家或行业标准的发布实施，对企业或组织的信息安全建设起到了很好的指导和规范作用。右表列出了截止到2022年5月国家已经发布的部分工业控制系统安全相关的通用标准、电力和核工业的相关信息安全行业标准，标准的具体内容，可在国家标准全文公开系统网站查阅。国家标准全文公开系统管理层安全9.1工控系统安全防御模型物理层安全

物理层的安全，是通过物理层各要素的安全控制或安全管理，来阻止或限制对工业控制设备或系统的访问，保证工控系统的安全。9.1工控系统安全防御模型物理地点的安全:

尽量选择在不易遭受自然灾害的地点厂房和设施的安全:外围需要设置必要的隔离设施车辆出入口控制和人员出入口控制等物理层安全9.1工控系统安全防御模型基础设施的安全：物理设备的安全：一是指生产用的电力、供水、供气等基本生产设施的安全。二是指厂房中的防火防雷等安防设施物理层安全9.1工控系统安全防御模型网络层安全

网络层的安全是以ICS系统的数据安全和通信安全作为出发点的，从网络架构的角度来看，网络层安全有两个方面的主要内容：网络区域的分割和网络区域之间的边界保护。9.1工控系统安全防御模型网络层安全网络区域的分割即我们通常意义上说的子网划分或网络安全区域的划分。安全区域的划分的意义：一方面是为了增加网络的可管理性，可以限制网络广播的范围，减少由于广播产生的数据流量，节省网络带宽的占用；另一方面也是最主要的方面，是通过区域划分，借助防火墙来实现不同区域间的通讯隔离或访问控制。安全区域的划分可以是物理意义上的，也可以是逻辑意义上的。可以把同一物理场所的所有设备划分到同一安全区域，也可以把跨物理场所的同一类型ICS设备或安全要求相同的设备划分到同一个安全区域。安全区域内，又可以按照与生产过程的相关性或相似性划分成多个子安全区域或单元区域。9.1工控系统安全防御模型网络层安全ICS网络安全区域划分企业区：对应于工业控制系统模型中的企业信息层，该区域中的设备和系统承载了企业或组织的业务系统（生产调度系统、原材料流转系统、制造执行系统等）和办公系统（ERP、CRM、文档管理等）。隔离区：通常也称之为DMZ(DeMilitarizedZone)-非军事化区域，在工控系统中，我们称之为工业隔离区（IDMZ）。DMZ是系统安全区域与非安全区域之间设立的一个缓冲区，是系统需要对外提供数据访问与系统安全策略相冲突的一种方案。工业区：包含用于生产产品的设备和系统，包括自动化装置、仪器仪表、控制设备、服务器和信息终端等。9.1工控系统安全防御模型网络层安全企业区中的安全防护措施包括区域中各个信息终端设备的安全防护软件和防火墙。针对该区域中设备进行访问控制的防火墙有两类：对外互联网的外部防火墙和对内隔离区的内部防火墙，它们分别实施对外部和内部的访问控制。

隔离区中设备类型主要以提供对外及对内服务的应用服务器为主，它们安全防护主要靠内外部的两个防火墙、网络IDS、网络IPS等来实现，此外应用服务器中也可以单独使用基于主机安全防护设施，比如主机版的防火墙、病毒防护软件、主机版的IPS等来增加系统的安全性。工业区通常使用防火墙等网络安全设施进行同其它网络区域的通讯隔离及访问控制。工业区中的系统和设备还可以根据它们在生产过程中的任务共性、逻辑特性或地理位置，进一步划分为多个单元区域，以实现细粒度安全控制目的。9.1工控系统安全防御模型信息终端层安全信息终端层中的“信息终端”是狭义上的概念，只包括工业控制系统中接入工控系统网络的计算机、服务器、人机交互设备等网络终端。信息终端层的安全目标是防范已知和未知的威胁，保障各信息终端的C－机密性、I－完整性和A－可用性。9.1工控系统安全防御模型信息终端层安全物理措施：软件措施：信息终端中未使用到的设备接口，通过物理方式进行隔绝，以防止插入未经授权的设备对于生产过程中必需的设备接口，采用设备接口锁等形式加固，防止设备连接的意外中断及设备的非法切换安装防病毒/木马软件、HIDS或HIPS、主机版的防火墙等系统安全防护软件实施相应的操作系统安全策略9.1工控系统安全防御模型信息终端层安全典型案例：震网病毒9.1工控系统安全防御模型应用程序层安全

应用程序层安全是指运行于ICS系统信息终端上的完成工业生产活动所需的各类应用程序的安全。应用程序的合法性应用程序本身的安全9.1工控系统安全防御模型应用程序层安全

合法性是一方面指与完成组织机构的生产活动相关的应用程序，才能被允许在ICS系统的信息终端中运行。更进一步，要求与某一生产过程相关的应用程序仅能运行在对应的从属于该生产过程或单元域中的信息终端上，与该生产过程无关的其它合法的应用程序应排除在外。对应用程序进行数字签名认证对操作用户进行授权采用组策略限定能够运行的软件软件或系统的审计功能9.1工控系统安全防御模型应用程序层安全

应用程序本身的安全是从软件开发商的角度来考虑的，主要涉及到应用程序的设计、开发、测试和部署的各个方面。诸如，在软件设计时采用安全设计模式保证软件运行时的鲁棒性、在编码开发时不使用不安全的函数、测试时要做到全覆盖等。此外，对于软件交付运行后，软件开发商对于软件使用过程中发现的软件漏洞，要及时发布软件安全补丁，并通知客户及时、适时进行更新。9.1工控系统安全防御模型设备层安全

设备的安全是为了确保ICS系统中的各个设备都在可控的范围内被合法授权的用户所访问和操作。9.1工控系统安全防御模型9.2入侵响应系统IRS(IntrusionResponseSystem)前面章节介绍的入侵检测系统IDS和入侵预防系统IPS（IntrusionPreventionSystem）是属于事中防护手段。IDS用于检测当前正在发生的安全事件，IPS与IDS相比，在系统部署和检测方法方面类似，但它在发现入侵后能够采取一些响应措施来阻止检测到的入侵，从这个意义上来讲，IPS是跨界的，也可划分至事后防御措施类别中。

当IDS检测到安全事件后，为阻断安全事件的继续或为减弱安全事件造成的影响采取安全措施进行应对入侵响应系统IRS(IntrusionResponseSystem)，是事后防御手段。什么是IRS？IPS、IDS和IRS在安全体系中的逻辑关系IDS在检测到入侵后，基于入侵描述和攻击症状，可以将采取的响应措施可分为两类：积极响应（ActiveResponse）方式和消极响应(PassiveResponse)方式。消极响应方式的目标是将发现的入侵通知第三方安全保障实体，并依赖第三方采取的安全措施来阻止入侵积极响应方式可以在没有人为参与的情况下，对检测到的入侵自动采取入侵处置方案。积极响应方式的响应策略又可分为两种：预防处置方式（ProactiveOptions）和应对处置方式(ReactiveOptions)。9.2入侵响应系统IRS(IntrusionResponseSystem)通知响应系统：通过报警、电子邮件或控制台消息，发送入侵相关的信息手动响应系统：管理员会根据入侵的类型，预先定义一系列响应策略或响应措施集自动响应系统基于自适应的：在一个预定义的应对策略集的基础上，对检测到的入侵采取应对策略后，对应用策略的执行结果进行评估基于专家系统的：依赖于专家知识库，该知识库中由行业安全专家定义了一系列针对不同攻击及其应对策略的专家知识基于关联的：通常使用决策表的形式，每一个特定的攻击对应于一个特定的响应策略

IRS的分类9.2入侵响应系统IRS(IntrusionResponseSystem)成本敏感性:要求IRS能够对攻击和应对措施对系统产生的风险进行评估，能够对应对措施的实施代价进行评估自适应性:指IRS能够根据过往应对攻击的成策略例和失败策略，动态的选择最佳应对策略语义一致性:指IRS能够理解来自不同IDS的具有不同语法和语义的入侵通知和事件误警处理:针对IDS的报警的可信度和精确度问题响应决策参数的动态选择：依据攻击类型的差异，选择针对性的应对策略，提高IRS的自适应性IRS的特性9.2入侵响应系统IRS(IntrusionResponseSystem)响应模型静态映射模型动态映射模型成本敏感的映射模型安全策略预测能力调整能力响应评估语义一致性报警的可信度扩展性响应度量策略自适应性非自适应性静态方式动态方式网络性能突发响应追溯响应开发设计自动化IRS时需要考虑的响应参数9.2入侵响应系统IRS(IntrusionResponseSystem)（1）响应模型响应模型是指IRS采用什么样的方式来选择应对策略①静态映射模型：在这种模型中，每一个攻击报警对应一个预先定义好的应对策略，当检测到一个攻击报警时，该攻击映射的应对策略便会执行。②动态映射模型：动态映射模型通常是将一个攻击报警，映射至一个预先定义好的应对策略集。③成本敏感的映射模型：该模型的最大特点是在选择入侵响应策略时，需要平衡攻击损失代价与攻击响应成本。9.2入侵响应系统IRS(IntrusionResponseSystem)（2）安全策略

安全策略这个参数的主要目的是对入侵攻击进行分类，以便IRS在选择应对策略时，能够选出最优应对策略。

通常情况下安全策略一般使用CIA（C－机密性，I－完整性，A－可用性）模型来对入侵攻击进行分类（3）网络性能

IRS应对入侵攻击时，所采取的应对措施需要考虑对网络性能的影响，最理想的对应策略应该是执行后整个网络系统的性能没有丝毫的降低。9.2入侵响应系统IRS(IntrusionResponseSystem)（4）预测能力

预测能力是指IRS或IDS预测入侵攻击的能力，在恶意攻击出现前或刚刚出现时，IRS或IDS就能够检测到并采取应对措施阻止攻击。

主要目的是让IRS在恶意行为出现前能够被控制和被阻止，这就要求IRS的响应机制和IDS的检测过程能够高度的耦合。⑸、调整能力

IRS能够根据攻击的特性，重新调整应对策略或应对强度的能力我们称之为调整能力，这项能力主要对应于IRS的自适应性。9.2入侵响应系统IRS(IntrusionResponseSystem)（6）响应评估

响应评估是指对检测到入侵攻击实施应对策略后，对应对策略的执行结果进行评估，评估的目的，是为了改进针对该攻击的应对策略。⑺、语义一致性

依据响应评估方式的不同，应对策略的执行可划分两类：突发响应和追溯响应

语义的一致性还可以让IRS依靠详尽的语义信息，在一定程度上降低IDS传递来的误警率和消除IDS带来的不确定性。9.2入侵响应系统IRS(IntrusionResponseSystem)（8）报警的可信度误报率是评估IDS的精确度和决定IRS可信水平的指标之一。

如果IRS系统中没有误警的处理，对于误警的应对策略执行结果会对IRS的响应评估产生影响，增加系统的不确定性，后续对自适应策略的调整也会产生负面影响。（9）扩展性

IRS扩展性的含义是指无论网络中节点的数量多少，IRS能够针对节点的攻击进行实时的响应。IRS的扩展性还包含另一层含意，是指对IDS的扩展性，与IRS的语义一致性对应。9.2入侵响应系统IRS(IntrusionResponseSystem)（10）响应度量策略

响应度量策略是指在进行响应策略的选择过程中，使用哪些响应决策参数，来评估响应策略执行的结果。

响应度量策略分为静态方式和动态方式两种，在静态方式中，针对攻击的响应决策参数一旦确定之后，无论这类攻击特征后来是否发生变化通常是固定不变的。动态方式允许IRS根据攻击特征的变化，以灵活的方式，在一系列决策参数中选择最合适的决策参数。9.2入侵响应系统IRS(IntrusionResponseSystem)

本章从安全事件应对的时间顺序引出了入侵防护系统的基本概念，然后介绍了工控系统的安全防御模型，分别从物理层、网络层、信息终端层、应用程序层、设备层和管理层分析了安全要素的组成、原理和方式。

本章的第二部分，详细介绍了入侵响应系统的概念以及IRS、IDS、IP