近日,美国网络安全和基础设施安全局(CISA)与联邦调查局,联合英国、澳大利亚、加拿大、新西兰、荷兰的国家网络安全中心,以及德国联邦信息安全办公室等国网络安全机构,共同发布《创建和维护对运营技术(OT)架构的明确视图》(Creating and Maintaining a Definitive View of Your Operational Technology (OT) Architecture)联合指南。
指南以《OT网络安全基础:业主和运营商资产清单指南》(Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators)为基础,聚焦OT资产“最终记录”的构建与管理——即描述系统或系统元素的持续更新、准确和最新的视图。通过整合资产清单与多源数据,构建持续更新的OT架构核心档案,为组织全面评估风险、部署适配的安全防护措施提供关键支撑。从适用范围来看,指南主要面向两类主体:一是新建和存量改造OT部署场景中的网络安全专业人员,二是系统集成商与设备制造商。旨在引导他们将资产与配置管理能力融入解决方案设计。
指南通过五大核心原则,明确OT组织从“记录建立”到“风险管控”的全流程要求,构建起闭环式安全管理逻辑。
原则一:定义记录的建立与维护流程。OT系统记录的准确性与时效性,取决规范的信息收集、验证和变更管理机制。组织需优先明确三大关键问题,并落实相应流程。一是信息收集,指南明确多个核心信息来源,主要包括基础资产清单、设计与安全文档、专家知识沉淀、被动监控工具、配置信息、物料清单等。二是信息验证,指南提出要充分验证收集信息的完整性、准确性、一致性以及时间线。三是变更管理,为保障记录长期有效,需建立严格的变更审批与记录流程,确保任何OT资产的新增、修改或下线都能同步更新至最终记录,避免因信息滞后而产生安全盲区。
原则二:建立OT信息安全管理计划。最终记录整合了OT组织的架构、资产、风险等核心信息,是攻击者眼中的高价值目标。鉴于OT资产生命周期通常更长,一旦发生信息泄露,其风险时效性更为显著。因此,指南提出组织可以基于ISO/IEC27001标准,构建OT信息安全管理计划,并着重明确两个维度。其一为计划范围,该范围需涵盖所有与OT相关的信息。需详细记录组织持有或共享的所有OT关联信息,并明确标注其关键属性,包括信息目的、数据流图、访问权限、数据保留周期及格式等。指南将OT信息划分为设计信息、商业信息、身份与授权数据、运营数据以及网络安全与风险评估等五类,以确保无信息遗漏。其二为防护措施,需实施与信息价值相匹配的安全管控策略。针对不同类型的OT信息,需部署差异化的防护手段,如加密存储、最小化访问权限、传输加密等,以确保信息的机密性与完整性。
原则三:资产识别与分类,为风险导向决策提供有力支撑。OT系统组件功能差异显著,安全控制需“按需适配”,其核心前提在于准确界定资产的关键性、暴露度及可用性,从而为风险优先级排序提供科学依据。一是关键性评估。聚焦核心资产,从业务影响(故障是否会导致停产或减产)、安全影响(是否会危害人员、设备或环境)、系统影响(是否会引发不可接受的安全风险)这三个方面判断资产的重要性。并且,需结合系统整体连接关系进行综合评估,避免孤立判断。二是暴露度评估。识别外部攻击路径时,需综合考量访问时间(如全天候在线或按需访问)、连接类型(如公网直连与专用光纤链路)、通信流向(是否允许入站连接)等关键因素。同时,需系统评估纵深防御体系对暴露度的消减效应。三是可用性评估。平衡安全与业务连续性,记录三类核心信息:计划维护窗口(已知停机时段)、高可用架构(如冗余设备配置、自动故障切换机制)、滚动部署能力(是否支持无中断更新)。高可用系统可适当降低单个资产的可用性要求,为安全更新创造条件。
原则四:记录OT系统连接,阻断横向攻击路径。现代OT系统依靠外部连接来实现业务协同并提升运维效率,然而这也扩大了攻击面。指南要求组织围绕“连接安全”解答五大问题,构建精细化的连接管控体系。其一,明确资产通信对象及其依赖关系。记录每个资产的上下游依赖情况(例如所依赖的集中控制系统、远程数据库),并附上业务案例、变更管理依据以及定期审查流程。针对外部连接,需重点评估其业务必要性及安全控制完备性,并通过数据流图构建单一数据源,以减少管理冗余。其二,加强通信协议保护,提升传输层安全。构建集中化的协议台账,详细记录Modbus、DNP3、OPCUA等协议及其对应的TCP/UDP端口信息,以便为防火墙准入规则的配置提供依据。同时,需定期评估协议的安全性、系统的机密性和完整性,以有效防范潜在攻击。其三,评估架构安全控制的防护有效性。详细记录网络层的安全措施,并验证其覆盖范围,主要包括网络流量控制、持续监控与警报机制、集中式身份管理(如RBAC权限、多因素认证)、网络分段、协议中断、内容验证以及隔离计划等。其四,突破网络限制,避免安全措施部署瓶颈。识别可能制约安全控制的技术因素,包括带宽限制、无线暴露风险(如Wi-Fi/LTE面临的干扰或重放攻击)、延迟问题、冗余设计(备份通信路由的安全性考量)以及可用性等。其五,预判妥协风险和攻击绕过路径。评估外部连接受损后可能产生的影响,例如边缘路由器被攻破后的访问权限范围、不安全协议引发的数据篡改风险、旧无线通道存在的加密缺陷等,并据此制定针对性的缓解措施。
原则五:管控第三方风险,堵塞供应链漏洞。OT系统通常依赖制造商、集成商、托管服务提供商等第三方进行运维,然而其访问权限可能成为安全薄弱环节。指南要求依据NCSC供应链安全指南以及IEC62443系列标准,从三个方面对风险进行管控。 第一方面,外部连接实体与信任级别。依据信任度,可将连接划分为三类:高信任(例如处于同一威胁模型下的关键基础设施组织)、中信任(企业内部网络)、低信任(第三方服务商),并遵循“向下浏览”模型。高信任系统具备管理低信任系统的权限,反之则被严格禁止。若第三方有管理高信任系统的需求,需通过安全控制验证来建立信任关系。第二方面,第三方合同需平衡需求与安全。第三方常通过合同条款要求特殊访问权限(如全天候远程接入),此类要求可能限制组织安全措施的部署。针对此情况,应优先删除不合理条款。对于受监管的关键基础设施,应将第三方数据传输要求纳入隔离计划。针对持久连接,建议采用物理数据二极管或跨域解决方案。第三方面,第三方带外接入需消除隐形风险。需识别第三方安装设备中的带外通信渠道(如4G调制解调器、蓝牙/Wi-Fi配置接口、可移动媒体接口),应建立标准化流程评估第三方安装的新资产,并记录其可能对系统造成的风险。
指南的核心价值在于打破OT系统“重运维、轻记录”的固有模式,凭借“最终记录”构建OT安全的“认知基石”,并以五大原则为框架,把资产、连接、第三方风险等分散要素整合为一套系统化的管理体系。
文章参考来源 | CISA官网
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
