【国际视野】美国网络安全和基础设施安全局联邦调查局、国家安全局、澳大利亚安全中心等多机构联合发布《运营技术网络安全原则》指南

由于关键基础设施组织的技术环境中广泛集成了OT，而且这些环境结构复杂，因此很难确定业务决策会如何影响OT的网络安全，包括某项决策的具体风险。决策可能包括在环境中引入新系统、流程或服务；选择供应商或产品以支持技术环境；以及制定业务连续性和安全相关计划和操作手册。本文档旨在帮助组织制定设计、实施和管理OT 环境的决策，以确保OT 环境安全可靠，并保证关键服务的业务连续性。

网络安全和基础设施安全局(CISA)、国家安全局(NSA)、联邦调查局(FBI)、多国信息共享和分析中心(MSISAC)、英国国家网络安全中心(NCSC-UK)、加拿大网络安全中心(Cyber)、新西兰国家网络安全中心(NCSC-NZ)、德国联邦信息安全办公室(BSI Germany)、 荷兰国家网络安全中心 (NCSC-NL)、日本国家网络安全事故准备和战略中心(NISC) 和国家警察厅(NPA)、大韩民国国家情报局(NIS) 和 NIS国家网络安全中心(NCSC) 描述了指导创建和维护安全可靠的关键基础设施OT 环境的六项原则：

这些原则是与澳大利亚关键基础设施运营商共同制定的。

建议OT 决策者应用本文档中介绍的六项原则，以帮助确定所做决策是否可能对OT 环境的网络安全造成不利影响。如果一项决策影响或破坏了本文档中概述的一项或多项OT 网络安全原则，那么它很可能会给OT环境带来漏洞。因此，需要对此类决策进行更仔细的审查，以确保实施正确的网络安全控制措施，并确保实施控制措施后的残余风险是可接受的，或者重新考虑提案。在设计、实施和管理OT 环境时，快速筛选决策以确定影响OT 安全的决策，将有助于做出稳健、明智和全面的决策，从而促进安全、安保和业务连续性。

建议OT 决策者阅读并理解每项原则。本文件旨在为所有需要过滤影响OT决策的人员提供帮助，上至组织领导层（包括做出战略决策的高管和董事会成员），下至做出战术和运营决策的技术人员。

在物理环境中，安全至关重要。在企业信息技术系统中，领导者优先考虑创新和快速发展，而不考虑对生命的威胁，相比之下，业务网络物理系统的领导者在日常决策中必须考虑对生命的威胁。来自关键基础设施的一阶危害包括高压、压力释放或易燃爆炸、动能冲击（如超速行驶的火车）以及化学或生物危害（如水处理过程中的化学或生物危害）。此外，如果能源和饮用水供应等基本服务质量下降或中断，还会对公民的生活方式造成影响。关键基础设施相互关联的性质意味着，无论是人为失误还是通过网络手段恶意破坏造成的故障，都可能对社会的日常运作产生广泛和不可预见的影响。

在讨论安全问题时，不妨考虑人的生命安全；工厂、设备和环境的安全；以及关键基础设施服务的可靠性和正常运行时间。根据所考虑的环境和系统，这可能意味着要求引入环境中的任何网络安全系统、流程和服务都是确定和可预测的，包括工程师对系统弱点的深入了解，并确保故障以预期和可管理的方式发生。同样，安全也需要从网络安全和对威胁环境的了解中获得信息。根据服务的关键性，可能需要确保引入环境中的任何网络安全系统、流程或服务都符合黑启动标准，这意味着它们不会妨碍完全断电后的重新启动，并且能够在尽量不依赖其他系统的情况下运行和恢复。

安全第一"的原则意味着以下事件响应问题非常重要：

人的生命安全、工厂设备的安全、环境的安全以及保持可靠性和正常运行时间的需要，都是必要的系统性思维方式，需要渗透到所有任务中，甚至是可能被认为无关紧要的基本和常见的网络卫生任务，例如：如何备份？

企业对自身的了解越多，就越能更好地防范、准备和应对网络事件。组织内对网络风险（尤其是对OT 系统的风险）的了解、可见性和报告程度越高，结果就越好。

所有关键基础设施组织都应确保符合以下基准：

人们普遍认为，网络安全的当务之急是了解需要保护的内容。首先要了解哪些业务要素对企业提供关键服务至关重要。第二部分是了解受保护的系统和流程。这可能包括（但不限于）：系统工程图纸、资产清单、网络图、了解谁可以连接到什么以及从哪里连接、恢复程序、软件供应商、服务和设备，并尽可能了解软件物料清单和所需的配置状态。

要想知道业务的哪些部分对提供关键服务至关重要，就必须同时具备自上而下和自下而上的思维。自上而下的思维方式历来导致许多组织试图将OT 与 IT分离开来。自下而上的思维方式为企业提供了一个机会，使其能够更进一步，发现关键功能所需的最低限度的OT设备。例如，为了能够发电，根据发电机的不同，最低要求可能是发电机、控制面板中的控制器和合适的燃料供应。对于关键基础设施实体来说，了解保护绝对核心功能（保持水流和灯火通明）所需的条件，就能指导网络安全控制措施的有效分层。这对设备和文件的架构、保护、检测和备份都有影响。

必须将针对 OT的事件响应计划和操作手册整合到组织的其他应急和危机管理计划、业务连续性计划、操作手册和强制性网络事件报告要求中。流程工程师的参与非常重要，无论是在制定计划和流程手册时，还是在任何调查、控制或恢复流程中都是如此。此外，还需要在第三方参与之前或参与时向其提供信息包，使其快速了解情况。第三方信息包应包括联系人、服务器命名规则、数据源、部署的工具以及可接受部署的工具等内容。所有计划、操作手册和第三方包都必须定期执行，由包括法律在内的所有相关方进行更新，并因其对对手的价值而受到保护。

还应考虑帮助工作人员了解OT系统的实际方面。这可能包括对电缆进行颜色编码，在现有电缆上绑上彩色带，或以高度可见的方式标记允许在OT 环境中使用的设备。只有经过授权的设备才能连接到OT 环境，以帮助确保只有经过授权的代码才能引入OT环境。直观的视觉提示可让企业通过识别未经授权的设备更好地保护环境，并让企业在应对网络或基于情报的事件时迅速做出正确决策。此类标记需要定期评估和验证，以确保准确性和时效性。

了解OT 系统的业务背景对于评估OT故障和网络安全漏洞的影响和重要性至关重要。这对于确定重大事故期间的恢复优先级也至关重要。对于依赖OT 提供关键服务的组织而言，综合OT网络安全功能是业务的必要组成部分。虽然不要求运行时网络安全人员像电气、化学或工艺工程师那样对物理系统有深入的了解，但他们应具备工厂运行方面的工作知识，最重要的是与组织中负责物理工厂的人员保持工作关系。这种关系对于任何网络增强项目的成功以及在需要应对网络事件时都至关重要。

从对手的角度来看，了解系统的配置方式（包括使用的设备和协议）是非常有价值的，因为OT环境很少发生变化。这种级别的信息使坏人能够创建和测试有针对性的恶意软件，从而促成更多可能的恶意结果。

尤其重要的是工程配置数据，如网络图、有关操作顺序的任何文档、逻辑图和示意图（例如，知道地址1250 是断路器，或了解组织对特定类型设备的DNP3地址约定）。这些信息不太可能在五年内发生变化，可能会持续20年或更长时间。因此，工程配置数据具有持久的价值，对敌方来说非常宝贵。对手深入了解OT 系统的工作原理，可以比作企业IT 环境中的预先部署概念，特别是在重要性和响应需求方面。

同样重要的是更短暂的运行时数据，如电压或压力水平，因为这些数据可以让人深入了解组织或其客户正在做什么，或者控制系统是如何工作的。确保运行时数据的安全对于保护知识产权(IP) 和个人身份信息(PII)也很重要，例如电力、燃气或水的计量，或医疗领域的病人记录。这些其他类型的OT 数据，如短暂的OT 值、IP和PII，也需要得到保护。然而，OT个人还应该保护工程配置数据，这些数据对运营至关重要，对恶意行为者也很有价值，但却经常被忽视。

组织应定义和设计如何存储OT 数据，以便对其进行控制和保护。虽然OT 系统通常与企业IT 系统分割和隔离，但对手往往不需要访问受保护程度更高的OT 系统就能获取所有必要的OT 数据。企业可能需要改变业务流程，以尽量减少OT数据的分布和存储位置，包括企业系统内部，例如要求员工将OT配置文件存储在企业文档管理系统中的流程。理想情况下，关键的OT 数据始终受到OT系统级别的保护，因此应存储在受保护的存储库中，并与企业环境和互联网分割和隔离。

OT网络应将数据推出网络，而不是外部网络从OT 拉入数据。在寻求确定关键OT数据的位置时，指示性问题包括：

除了保护OT数据的机密性、完整性和可用性之外，组织还应努力做得更多。理想的情况是，当OT数据被查看或外泄时，它们就会发出警报，可能是通过实施金丝雀令牌，其中可能包括在某些文件被触及时对其做出响应。此外，他们还应该考虑对手已经可以访问哪些数据，以及是否可以更改这些数据。这包括默认密码。如果更改了默认密码，最好确保有办法捕获失败的登录尝试，并对其进行调查。

原则4：将OT 从所有其他网络中分离出来

数十年来，将更重要的功能和网络进行分隔和隔离一直是常见的建议。以前的许多出版物中都有这方面的建议。各实体应将OT 网络与互联网和IT 网络分割和隔离，因为企业IT网络通常因其互联网连接以及电子邮件和网页浏览等服务而被评估为具有更高的外泄风险。我们在两个主要方面对之前的建议进行了补充而非修改。

第一个额外领域涉及确保关键基础设施组织的OT 网络与其他组织的OT 网络之间的连接安全。这些来自其他组织的OT 网络连接可能成为进入关键资产的后门，有可能绕过保护OT 网络免受企业IT 和互联网影响的安全级别。

关键基础设施组织应将其OT 与所有其他网络分割和隔离。近来，保护和限制OT 网络不受供应商影响的必要性已得到相当程度的理解。自2017 年的Hatman恶意软件事件以来，人们也充分认识到，需要将更关键的OT 网络（如对安全至关重要的网络）与不太关键的OT 网络隔离开来。较少为人熟知的是，需要保护和限制OT 网络与上下游的对等网络和服务，如下例所示.

例如，一家电力传输公司可能在自己的OT 网络与其他电力传输公司（同业）的OT 网络之间建立连接。输电公司的OT 网络与发电公司（上游）的OT 网络之间也可能存在连接。输电公司的OT 网络可能与配电公司和大客户的OT 网络（下游）相连。

许多关键基础设施分部门发生的中断，使不同组织之间长期存在的OT互联问题变得更加复杂。例如，在发电分部门，大型单体发电机正在被许多小型发电机和存储设备所取代。运行这些小型发电机和存储设备的机构可能在海外设有控制室，并将其OT 网络永久连接到海外供应商。

从工程可靠性到网络安全的一个重要思维转变是，无论连接的组织规模如何，只要存在连接，就必须确保安全。也就是说，从工程可靠性的角度来看，与2GW 发电站的连接比与5MW太阳能发电场的连接更为重要。然而，从网络安全的角度来看，从攻击向量进入输电组织的OT 网络，与5 兆瓦太阳能发电站控制系统的网络连接与与2 千兆瓦发电站控制系统的网络连接具有相同的关键性。

组织不能假定其他组织与自己的组织具有相同的网络风险偏好、网络卫生和网络安全标准。如果一个组织的OT 网络与另一个组织的OT网络之间没有足够的保护，包括日志记录和警报等常规考虑因素，那么OT网络的安全边界就包括另一个组织。了解第三方风险至关重要。

如果资产和流程的重要程度不同，或环境的信任程度不同，则必须在OT网络内进行分段。例如，配电网络中的杆顶基础设施可能只用挂锁来保护，并可能使用不受信任的蜂窝网络。这种基础设施的信任级别较低，应与区域变电站内的基础设施隔离，后者受到强大安全措施和完全加密通信路径的保护。

这一原则还建立在有关运行时系统和服务的行政和管理建议的基础之上。典型的建议包括从逻辑和物理上将OT 网络与IT网络分割和隔离。除此之外，组织还应明确考虑系统管理和管理服务的位置，并确保管理和管理界面与其IT环境对应界面充分分离。如果管理和行政账户或系统受到破坏，它们所管理的系统也会受到破坏。关键的OT 系统不应依赖IT 系统运行。

防火墙通常被放置在企业IT 网络和OT 网络之间，因为企业IT网络通常被认为具有更高的入侵风险。然而，恶意网络行为者一旦进入网络，其共同目标就是寻求权限升级。如果恶意网络行为者入侵了企业IT 网络并实现了权限升级，而防火墙是由IT 端通过有权限的IT 账户进行管理的，那么IT 和OT 之间的防火墙可能就不再能为OT环境提供所需的保护级别。当两个环境的信任和安全级别不同时，总是需要这种架构：绝不能从关键性较低的环境管理关键性较高的环境，而且应始终从具有相同或更高安全态势的网络进行管理。

在许多其他情况下，管理和管理系统都是至关重要的，因此需要进行适当的分段。例如，正如微软所指出的，Active Directory（AD）域不能作为AD Forest 内部的安全区边界。如果OT 环境与IT 环境位于同一AD 域内，或者存在信任关系，则可能无法为OT 环境提供所需的保护级别和操作分隔。

同样，虚拟化在许多OT 环境中也越来越常见。考虑一下由企业域特权账户管理OT基础设施或组件虚拟化的情况。如果企业环境通过勒索软件或其他机制遭到破坏，即使虚拟化的OT 环境没有受到直接影响，也无法再访问管理OT 环境所需的特权IT 账户。

另一个重要的例子是备份。如果OT 环境的备份或备份基础设施是由企业IT特权账户管理的，那么同样可能无法提供所需的网络事故风险缓解水平。

长期以来，人们一直建议将网络分割和隔离作为降低OT环境网络风险的主要方法之一。除了更传统的物理和逻辑隔离问题外，行政和管理系统也是重点。正如上述重要行政和管理领域（包括网络安全、身份验证和访问控制、虚拟化和备份）的非详尽清单所示，组织有必要定期评估OT 环境中行政和管理系统与服务分离不足的风险。

提高供应链的安全性是一段时间以来的建议重点。许多以前和当前的出版物都提到了这一建议，包括需要为设备和软件供应商、供应商和托管服务提供商（MSP）制定供应链保证计划，特别是当他们有机会接触到OT以提供支持时。提高供应链安全性的要求通常会导致对企业OT环境中的主要供应商进行一定程度的严格评估。虽然企业仍应遵循现有建议，但我们呼吁企业在OT环境中应特别关注其他一些领域。

在供应商的关键性和风险暴露方面，需要转变思维。各组织应重新评估需要监督的系统范围，因为历史上往往只有大型供应商或从工程角度来看最重要的供应商才会受到审查。对于网络安全而言，规模和工程重要性往往并不重要。在OT环境中，网络通常相当开放。关键控制信息通常在几乎没有安全保障的情况下发送，例如没有加密。一些控制系统协议通过组播或广播信息进行通信，这些信息会发送到网络上的所有设备。因此，网络上的几乎所有设备都可以查看关键控制信息，并可创建和注入信息以导致不良行为，从而使所有设备的供应链变得至关重要。

在评估设备时，大多数组织都能做的一个小的技术检查是将设备与捕获流量的数据包分析仪连接起来，检查设备是否意外地试图与远程地址通信。

如果没有具备必要工具和培训的人员来创建防御系统和查找事件，就无法在OT 中预防或识别网络相关事件。一旦在OT中发现网络相关事件，就需要训练有素、能力出众的人员来应对。

以安全为基础的强大网络安全文化对持续保持OT系统的网络弹性至关重要。每个组织都需要将这些原则中的要求重新定义为工作场所安全要求，而不是网络安全要求。

员工，尤其是现场技术人员和所有其他操作人员，往往是组织防御和检测的前线。

示例和影响

要支持有效的OT网络安全实践，就必须由具有不同背景、不同技能、知识、经验和安全文化的人员组成。这包括来自基础设施和网络安全团队（常见于IT部门）的成员，以及控制系统工程师、现场操作人员和资产经理（常见于OT 部门）。

要发展具有凝聚力的OT 网络安全文化，就需要在整个组织内对OT原则进行总体协调。考虑到不同背景的成员会有一套不同的固有价值观和优先事项。例如，对于具有非工程或非关键基础设施背景的人员来说，OT网络安全的第一条原则 “安全至上 ”往往需要从根本上转变思维。让非工程背景的团队成员了解OT 面临的挑战，对于团队在OT 领域团结协作非常重要。

在从发电到水处理设施的大多数关键基础设施OT 场所，工作人员都是第一道防线。他们几乎肯定不是OT 网络安全专家，也不是企业IT部门的工作人员。现场操作人员很少接受正规的信息技术或网络安全培训和认证。通常情况下，由于现场运营对信息和通信技术基础设施以及基于IP的通信的依赖性越来越大，他们在工作中积累了有关工业控制系统(ICS) IT 组件的经验。

因此，需要高度重视网络安全意识的培养，将其作为现场安全文化的核心组成部分，使操作人员有信心并有能力提出潜在的网络问题，而不必担心受到嘲笑或评判。此外，还需要制定一个程序，以便快速提出与网络安全有关的意见，并形成一种知道意见会得到重视的文化。

在工作人员中培养安全意识和网络安全文化的潜在战略包括：