美澳德加荷新六国联合发布运营技术 (OT) 网络安全指南

2025年8月14日，美国网络安全与基础设施安全局（CISA）、美国环境保护署（EPA）、美国国家安全局（NSA）、美国联邦调查局（FBI）、澳大利亚信号局下属澳大利亚网络安全中心（ASD’s ACSC）、加拿大网络安全中心、德国联邦信息安全办公室（BSI）、荷兰国家网络安全中心（NCSC-NL）、新西兰国家网络安全中心（NCSC-NZ）联合发布了有关运营技术（OT）网络安全的指南。该指南适用于所有关键基础设施部门的OT所有者和运营商，特别是能源、水处理、石油和天然气以及电力组织。该政策要求组织实施系统的五步框架来制定资产清单和分类法。这包括创建具有14个高优先级属性（包括通信协议、资产关键性和IP地址）的OT系统定期更新列表。它还强调，组织必须使用区域和管道方法基于ISA/IEC 62443标准开发分类系统。他们还必须建立生命周期管理策略，并与漏洞数据库（如CISA的已知被利用漏洞目录）进行交叉引用清单。该指南要求建立实时监测系统，并包括通过行业合作开发的特定行业分类法。

本文件题为《OT网络安全基础：资产清单指南（针对所有者和运营商）》，由美国网络安全和基础设施安全局(CISA)、美国环境保护署(EPA)、美国国家安全局(NSA)、美国联邦调查局(FBI)以及澳大利亚信号局的澳大利亚网络安全中心(ASD’s ACSC)、加拿大网络安全中心(Cyber Centre)、德国联邦信息安全局(BSI)、荷兰国家网络安全中心(NCSC-NL)和新西兰国家网络安全中心(NCSC-NZ)等多国机构联合发布。该指南于2025年8月13日首次发布，并被标记为TLP:CLEAR，这意味着信息披露不受限制，因为其误用风险极小或可预见。

本指南旨在为关键基础设施领域的运营技术（OT）所有者和运营商提供详细指导，帮助他们创建并维护OT资产清单，并辅以OT分类系统（OT Taxonomy）。通过运用这些工具，组织可以有效地识别其环境中需要保护的资产，并据此构建防御体系，从而“降低网络安全事件对组织使命和服务连续性造成的风险”。

一、执行摘要与引言：构建现代化防御架构的基石

执行摘要开宗明义地指出了构建现代化防御架构的核心要点，即OT所有者和运营商必须建立OT资产清单并辅以OT分类系统。资产清单被定义为“组织系统、硬件和软件的有序、定期更新的列表”。而OT分类系统则是“一种对OT资产进行组织和优先排序的分类系统，通过基于功能和关键性的分类，有助于风险识别、漏洞管理和事件响应”。指南详细阐述了创建这些工具的系统方法，包括定义范围和目标、识别资产、收集属性、创建分类系统、管理数据以及实施资产生命周期管理。此外，它还指出了如何通过网络安全与风险管理、维护与可靠性、绩效监控与报告、培训与意识以及持续改进等措施来维护、改进和利用资产清单，以“增强整体安全态势，确保OT环境的可靠性和安全性”。

引言部分进一步强调了OT在关键基础设施服务中的核心地位。运营技术（OT）“包括过程自动化、仪表、网络物理操作和工业控制系统（ICS）等广泛技术”。这些系统对能源生产和分配、水和废水处理等关键服务至关重要。由于OT系统日益与业务运营和应用程序连接，如果未安全地组装和集成，这些连接可能会“引入网络攻击者在网络之间移动的路径”。这使得OT成为恶意网络攻击者试图“扰乱或破坏系统和服务或进行其他恶意活动，例如勒索”的“主要目标”。OT网络事件可能导致严重的后果，包括“财务损失、运营中断以及环境、健康和人类安全的妥协”。

文档列举了网络攻击者可能利用的多种方式来引发事件，包括：

•“利用有缺陷或过时软件/固件中的漏洞获取OT系统访问权限”。

•“利用弱身份验证机制获取OT系统未经授权的访问权限”。

•“利用网络分段不足从IT环境横向移动到OT环境以及在OT系统之间移动”。

•“利用不安全的OT协议拦截通信、注入恶意命令以及扰乱或操纵工业过程”。

•“利用不安全的远程访问点获取OT系统访问权限，从而实现横向移动或命令与控制”。

因此，创建资产清单被认为是“构建现代化防御架构所必需的”，并且是CISA网络安全绩效目标（CPGs）之一。现代化防御架构旨在通过深思熟虑的系统设计和实施来“减轻风险，使OT网络防御者能够识别、预防和响应网络威胁，同时确保可靠性、运营连续性、安全性和符合监管要求”。OT资产清单是设计这种架构的“基础”，因为“没有清单，组织就不知道自己拥有什么以及应该保护什么”。

本指南由多个机构合作编写，强调了“主动规划、IT和OT团队之间的协作，以及在可能和适当的情况下，集成尖端技术以领先于潜在威胁的重要性”。值得注意的是，本指南“并非旨在提供所有可能OT资产的全面视图”，而是“旨在补充组织现有的OT资产清单资源”。

二、OT分类系统：应对复杂性的关键

维护一个准确、最新的OT资产清单是复杂的，因为OT环境通常包含“各种资产，例如遗留系统、专用设备、传感器和仪表”，并且这些资产使用“各种专有协议进行通信”。所有者和运营商需要了解组件在物理过程监控和控制中的作用，这可能需要他们“物理审查和检查资产及相关过程区域”。

为了应对这种复杂性，本指南强调将OT分类系统纳入资产清单流程。一个有效的OT分类系统可以为组件和系统提供分类方法，从而“简化资产清单的创建和维护”。通过OT分类系统来构建OT资产清单，可以带来多项关键益处：

•改进组织与管理：“结构良好的OT分类系统能够有效地对各种资产、过程和数据进行分类和组织。这使得信息管理和检索变得更容易，从而提高操作效率”。

•增强沟通：“标准化术语和分类有助于确保所有人使用相同的语言。这减少了误解，并改善了不同团队和部门之间的协作”。

•更好的决策：“清晰地了解不同资产和过程之间的关系和依赖性，组织可以做出更明智的决策。这包括优化资源分配、规划维护和实施升级”。

•成本节约：“通过优化资产管理和减少低效率，OT分类系统可以显著节约成本，最大限度地减少停机时间，并提高整体运营效率”。

•数据分析与洞察：“结构化的OT分类系统通过提供清晰的框架来组织和分析数据，从而实现更好的数据分析。这带来了有价值的洞察力，可以推动持续改进和创新”。

三、开发OT资产清单和分类系统的步骤

本指南推荐了以下五个步骤来开发OT资产清单和分类系统：

1.定义范围和目标

•定义资产管理的治理：确定需要创建OT资产清单的权限机构，并明确组织内负责或受益于建立和维护清单的部门或职位[25a]。

•分配角色：为数据收集和验证分配明确的角色和职责[25b]。

•定义范围：设定程序的边界（例如，特定的区域、设施、系统和开发时间表），并确定为了清单目的，什么构成了“资产”[25c]。

2.识别资产并收集属性

•识别资产：进行“物理检查和逻辑调查”，收集关于系统组件的详细数字和基于网络的信息，并编制OT资产和网络基础设施依赖项的全面列表。资产清单的范围应考虑文档和物理检查中识别的资产[26a]。

•收集资产属性：这些属性应作为字段包含在清单中，描述资产。指南强调优先收集以下“高优先级属性”[26b,27]：

◦活动/支持的通信协议：“对于分析网络流量很有用”。

◦资产关键性：“能够根据其运营角色、安全影响和/或风险暴露来管理资产”。

◦资产编号：“组织分配给资产的唯一标识符”。

◦资产角色/类型：“有助于理解资产在网络中的上下文和功能”，例如工程工作站、可编程逻辑控制器（PLC）、历史数据库、网络交换机/路由器、虚拟化主机。

◦主机名：“如果包含在主机命名约定中，可能有助于理解资产的上下文和功能”。

◦IP地址：“在分析网络流量中很有用”。

◦日志记录：“提供关于如何收集资产日志以实现潜在恶意活动的检测和调查的详细信息”。

◦MAC地址：“用于确定制造商，如果未另行指定”。

◦制造商：“用于确定已知漏洞”。

◦型号：“用于确定已知漏洞”。

◦操作系统（OS）：“用于确定已知漏洞（如果适用）”。

◦物理位置/地址：“提供查找资产位置的详细信息”。

◦端口/服务：“有助于验证角色和确定攻击面，但开发和维护极其耗时”。

◦用户账户：“有助于了解哪些用户账户预计最活跃，或者资产预计会被许多不同用户访问”。

◦除了高优先级属性外，附录A还列出了中优先级（如备份频率/类型、基线镜像、部门/所有者、经销商、固件/软件版本、OS版本、物理或虚拟、VLAN）和低优先级属性（如防病毒/端点保护、制造日期、虚拟机监控程序、本地时区、虚拟机监控程序内位置、网络监控、备注/描述、主要通信方法、序列号、时间源）。

3.创建分类系统以分类资产

•a.分类资产：常见的OT资产分类方法是基于关键性或功能。

◦基于关键性的分类：“资产根据其对组织运营、安全和任务的重要性进行分类。关键资产是指其故障或受损将产生最显著影响的资产”[29i]。

◦基于功能的分类：“资产根据其在OT环境中的角色或暴露程度进行分组，例如控制系统、通信设备、监控工具、工程、维护或管理功能。这种方法有助于理解依赖性和互连性”[29ii]。

•b.对资产及其通信路径进行分类（组织）：文档指出组织资产、通信路径等有多种模型和标准，这由组织自行决定。国际自动化协会（ISA）/国际电工委员会（IEC）62443系列标准被CISA用于开发附录B、C、D中的分类系统，该标准将资产组织成“区域（Zones）”和“通道（Conduits）”。

◦区域（Zone）：“是逻辑或物理资产的组合（例如，控制资产、安全资产、非军事区[DMZ]中的资产），它们基于关键性和后果等因素共享共同的安全要求”。区域有助于将重点放在保护相似资产上，并将当前安全能力与既定要求进行比较。

◦通道（Conduit）：“由专门用于通信的网络资产组合组成，并共享相同的网络安全要求”。它们确保只有授权数据或流量才能在区域之间通过。为了确定通道，组织应绘制区域之间的通信路径，包括数据流分析、协议识别和二层/三层网络详细信息。

•c.组织结构和关系：识别过程依赖性（例如，操作序列或控制流）；采用一致的资产命名约定；创建详细的文档，包括命名约定方法论、结构和偏差；记录与资产交互的角色和职责（例如操作员、技术员、供应商、集成商等）。

•d.验证和可视化：交叉检查收集到的清单的准确性和完整性；创建图表来表示资产类别（例如，区域和通道）；使用表格或图表显示资产关系和依赖性。

•e.定期审查和更新：定期审查和更新分类系统以反映技术和操作的变化；收集利益相关者的反馈，以确保分类系统满足其需求并准确表示OT环境。

4.管理和收集数据

•识别其他资产信息来源：识别每个资产的数据来源（例如，集成商协议、供应商手册和指南、维护记录、记录的操作数据和配置规范），这些可能增强清单，并进行包含它们的成本效益分析[35a]。

•存储数据：建立集中式数据库或资产管理系统来存储和管理其他资产数据，并实施安全控制措施，以确保数据保护和对网络威胁的弹性[36b]。

5.实施生命周期管理

•定义生命周期阶段：定义每个资产生命周期的阶段（例如，采购、部署、调试、维护和退役）[366a]。

•制定生命周期政策：制定管理资产整个生命周期的政策，包括维护计划、更换计划和备份策略。这包括遵循组织的变更管理流程，并要求在所有情况下，即使在紧急变更权限下，设备引入或移除系统时都要更新资产清单[36b]。

四、清单和分类系统开发后的行动

本指南概述了OT所有者和运营商在完成资产清单和分类系统开发后应采取的关键行动：

1.OT网络安全和风险管理：

◦“识别已知漏洞、可用补丁、更新以及针对供应商系统和应用程序的加固指南”。

◦“将清单与已建立的漏洞数据库进行交叉引用”，例如CISA的已知利用漏洞（KEV）目录和MITRE的常见漏洞和暴露（CVE）数据库。

◦“持续探索针对无法立即修补或已终止生命周期的供应商系统和应用程序中已知OT漏洞的安全控制”。

◦“优先处理关键资产和系统，并详细说明冗余计划以及在关键资产和系统中的漏洞被攻击时操作的能力”。

◦“实施实时监控以检测新出现的威胁和漏洞”。

◦“使用KEV目录作为漏洞管理优先级框架的权威输入”。

◦“通过将潜在攻击模式映射到已知威胁情报来源（如MITRE ATT&CK Matrix for ICS和MITRE的CAPEC:Industrial Control System Patterns）来优先处理威胁因素”。

◦“通过设计包含有效控制措施（如分段、访问管理和监控）的安全架构来加强安全态势”。

2.维护和可靠性：

◦“审查维护计划，考虑漏洞评估结果和缓解措施”。

◦“比较潜在停机或服务降级的成本与更换这些易受攻击系统（如果是遗留系统）或部署补偿性控制措施的成本”。

◦“通过使用网络信息工程原则和安全设计指南，在采购新系统和工程设计中嵌入安全性来实施更安全的系统”。

◦“分析OT备件库存，以确定OT组件的备件库存是否足以覆盖清单中识别的关键资产，以确保操作可靠性”。

3.绩效监控和报告：

◦“持续监控资产性能和状态”；优先进行过程变量监控（例如温度、压力或流量），以检测性能问题或维护需求；以及网络和系统诊断监控，利用持续监控工具分析通信健康状况、设备连接性和过程流完整性。

◦“开发报告机制，以跟踪资产性能、维护活动和政策合规性”。

◦“识别资产清单所有者，以监督更新和验证资产分类，确保OT资产清单的持续准确性、维护和报告”。

4.培训和意识：

◦“培训员工掌握资产管理实践、工具和程序”。

◦“实施意识计划，确保所有利益相关者理解资产管理的重要性”。

5.持续改进：

◦“实施反馈循环，从资产管理活动中收集洞察力并识别改进领域”。

◦“使用变更管理流程准确跟踪OT资产的修改、添加和退役”。

◦“定期审查清单和资产管理计划的审计，以确保其保持有效并符合组织目标”。

五、附录：概念性分类系统的案例

为了帮助组织开发其特定的资产分类系统，CISA通过与能源部门（包括石油和天然气、电力组织）和水与废水处理部门的组织进行工作会议，开发了概念性分类系统。这些分类系统并非针对这些行业的“权威性指令”，而是旨在“帮助指导缺乏广泛采用的OT资产分类方法的行业特定组织”。

•附录A：资产清单字段：详细列出了在资产清单中应捕获的建议字段、属性以及优先级，解释了每个属性的潜在好处。高优先级属性包括通信协议、资产关键性、资产编号、角色/类型、主机名、IP地址、日志记录、MAC地址、制造商、型号、操作系统、物理位置/地址、端口/服务和用户账户。

•附录B：石油和天然气组织分类系统：展示了一个虚拟练习的成果，其中CISA生成了一个假设的石油和天然气资产列表，并根据关键性（高、中、低）将功能区域的资产分类到不同的区域中，例如高关键性资产包括“主要生产系统”（如钻井平台、井口、海底设备）、“安全系统”（如紧急关停系统、火灾和气体探测系统、防喷器）、“控制系统”（如DCS、关键过程PLC）和“电力系统”（如备用发电机、UPS）。文档指出，后续的“组织资产及其通信路径”、“组织结构和关系”以及“验证和可视化”步骤在虚拟练习中未完成，因为它们需要识别的资产、部署的通信路径和过程依赖性知识。

•附录C：电力组织分类系统：同样是虚拟练习的产物，展示了电力组织的假设资产列表和基于关键性的分类示例。高关键性资产包括“主要设备”（如电力变压器、断路器、开关设备、母线）、“保护系统”（如保护继电器、故障检测和隔离机制）、“控制系统”（如DCS、管理关键功能的PLC、SCADA系统）和“电力供应系统”（如备用发电机、关键设备的UPS）。与石油和天然气部分类似，后续的组织结构和可视化步骤也未完成。

•附录D：水和废水处理分类系统：该附录提供了水和废水处理部门的虚拟练习成果，包括假设资产列表和基于关键性的分类。高关键性资产包括“初级处理系统”（如泵、筛网、澄清池）、“二级处理系统”（如曝气系统、生物处理反应器）、“安全和环境系统”（如紧急关停系统、pH控制或消毒化学加药系统、溢油围堵系统）、“控制系统”（如SCADA系统、核心过程的DCS、OT通信基础设施）和“电力系统”（如备用发电机、UPS）。同样，涉及物理站点知识的后续步骤在此虚拟练习中未完成。

六、总结

总而言之，这份联合指南《OT网络安全基础：资产清单指南（针对所有者和运营商）》是OT所有者和运营商在日益复杂的网络威胁环境中加强OT环境网络安全态势的综合蓝图。它不仅强调了OT资产清单和分类系统作为“现代化防御架构基础”的重要性，还提供了一个清晰、多步骤的开发和维护流程，涵盖了从定义范围到生命周期管理的全过程。通过详细阐述OT分类系统的益处、资产属性的重要性，并提供了能源和水处理部门的具体概念性分类系统示例，本指南为关键基础设施组织提供了可操作的指导和宝贵的资源，以更好地“识别、保护和管理其关键OT资产”，从而“确保运营连续性、安全性和弹性”。它还强调了在清单和分类系统开发后采取持续行动的重要性，包括风险管理、维护、监控、培训和持续改进，以应对不断演变的OT威胁格局。

声明：本文来自清华大学智能法治研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。