编者按
美国防部11月18日发布名为《运营技术零信任》的最新指导方针,提供了一套修订后的活动和成果,旨在促进美军在当前和未来在运营技术(OT)环境中采用零信任原则。
该指南指出,该文件以美国防部政策和权威指南以及美国国家标准与技术研究所相关标准为基础,代表了美国防部关于运营技术和控制系统零信任的权威指南,将在所有现有网络安全要求外予以实施;该文件以美国防部零信任指导性文件为基础,并根据运营技术环境的独特特征和挑战进行调整,同时与现有的运营技术和控制系统网络安全政策和指南保持一致;运营技术环境和控制系统通常运行在“对持续可靠运行有重大需求”的地方,其可靠性和安全性对于美国国家安全和经济稳定至关重要;该文件所提供的运营技术零信任活动和成果与体系级信息技术零信任活动和成果保持一致,以促进两者间的互操作性和一致性;该文件重点关注美国防部拥有的运营技术环境和控制系统,直至并包括分界点,涵盖设施相关控制系统、电网、水处理设施、安保和生命安全系统、能源管理系统、传输网络、物流处理和制造控制系统,其范围延伸至武器系统或国防关键基础设施的边界,例如为武器系统供电的配电系统;该文件并未具体阐述武器系统或国防关键基础设施中包含的运营技术组件,例如武器系统的内部目标瞄准或射击系统,美国防部将另行制定单独的指南。
该指南指出,将标准的信息技术安全方法应用于运营技术环境可能无效,甚至存在潜在危险;运营技术环境优先考虑运行可用性,并且由于其使用传统设备和各种不同的行业协议、流程关键性、安全标准以及定制化实施方案,与体系级信息技术环境截然不同;运营技术操作需要具备专业工程技术知识的人员,这与传统的信息技术安全团队有所区别;该文件零信任方案旨在解决上述关键差异,为在运营技术环境中实施零信任提供了一条切实有效的途径;零信任核心原则的实施和部署时间需要仔细考虑运营技术特有的限制和优先级,例如运营技术环境通常优先考虑可用性和安全性,而非机密性和完整性;运营技术和信息技术零信任实施方式可能截然不同,但两者紧密相连并都旨在实现类似的成果;运营技术环境中的零信任实施设计可能千差万别,但必须遵循基本的零信任原则,并实现该文件列明的结果。
该指南指出,已确定的运营技术系统参考架构基于分层模型,但该文件旨在为系统所有者提供高层次的需求,使其更具适应性和动态性,因此使用更高层次的抽象来描述运营技术环境比传统的五层拓扑结构更为便捷;为描述运营技术环境中的零信任原则,该文件将运营技术环境划分为运行层和过程控制层;运行层在概念上包括普渡模型的第4层和第5层,以及监控层和自动化层中的传统工具和功能,而过程控制层则包含模型第0层至第2层;上述对常用普渡模型的概括性描述是一种灵活且适应性强的方法,能够灵活适应各种未来的运营技术环境,并兼容不同的安全参考架构,从而允许根据具体的系统配置灵活地进行实施,避免死板地将组件、设备和用户拘泥于特定架构层。
具体来说,体系级信息技术层承载着通用业务系统,包括电子邮件服务器、采购和资产管理服务、SharePoint/Teams服务、Active Directory、身份凭证服务以及美国军体系级共享的其他服务,另外包含用于支持分析、威胁检测、凭证管理和生产力工具的服务;运行层包含的组件可能与体系层组件类似,但其支持的任务集截然不同,并且需要通过各种流程进行维护,具体包括互联网协议(IP)网络以及本地前端控制系统服务,如操作员工作站、网络交换机、过程控制服务器、数据历史记录器、防火墙和本地控制系统管理服务;过程控制层包含用于实现传感器、执行器、电机和其他机械设备本地操作的现场控制设备,包括基于IP的控制器以及数字和模拟安全仪表系统。
该指南指出,体系级信息技术和运营技术零信任指南均区分了目标级零信任活动和高级零信任活动;目标级零信任活动旨在共同提供全面的零信任能力,以防止环境中的横向移动;高级零信任活动是额外的长期目标,旨在提供适应性响应和全面的零信任功能,但不受目标级时间表的限制;目标级零信任活动可能需要在运营技术环境中进行大量的设计、开发和测试,这些活动被认为是可行且必要的,旨在防止敌方成功攻击并在这些环境中移动;达到高级级别并不意味着零信任成熟度的完成,随着威胁行为体不断调整其策略、技术和程序并利用新的攻击途径,必须不断发展安全控制和风险缓解策略。
该指南指出,该文件提供了一种网络安全方法,旨在保护运营技术环境和控制系统免受远程攻击,并主要侧重于技术网络安全措施;该框架并未规定具体的物理安全控制措施作为主要缓解策略,也未涉及防止物理访问的技术,因为这些措施属于物理安全管理人的职责范围和专业知识范畴;如果攻击者获得了物理访问权限,该文件中概述的网络安全控制措施可能不足以防止系统遭到破坏;各机构必须在网络安全团队和物理安全团队间进行协调,以确保提供全面的保护,既能应对远程网络威胁,又能应对物理访问漏洞;运营技术本质上是将数字环境和物理环境相结合,稳健的物理安全措施直接助力运营技术零信任成功实施;运营技术环境为利用强大的物理控制措施来补充数字安全措施提供了独特的机会,实施者应将物理环境和控制措施视为支持在运营技术环境中应用零信任原则的潜在途径;物理控制措施并非取代数字安全措施,而是在将零信任原则应用于运营技术时作为补充要素,从而助力增强关键运营技术环境的韧性。
该指南提供了可与信息技术领域相类比的四方面物理控制措施,包括:一是身份与访问管理物理类比管控,例如实施生物识别访问控制(类似于多因素身份验证)、使用近距离读卡器、使用访客管理系统、实施基于角色的物理访问;二是网络分段物理类比管控,例如在设施周围建立物理屏障(类似于防火墙)、将设施划分为具有不同安全级别的区域(类似于虚拟局域网)、利用密闭空间控制对高度敏感区域的访问(类似于微隔离);三是持续监测与检测物理类比管控,例如使用摄像头监控关键区域并录制视频(类似于安全信息和事件管理)、使用物理传感器(类似于网络入侵检测系统)、监控环境(类似于用户行为监测)、定期开展安全巡逻(类似于安全运营中心威胁狩猎);四是数据安全物理类比管控,例如锁定敏感文档和数据存储设备(类似于硬盘加密)、跟踪设备(类似于资产管理)。
奇安网情局编译有关情况,供读者参考。
执行摘要:运营技术零信任
01
运营技术领域的零信任
——范围和目的
美国战争部(DoW)首席信息官(CIO)设立了零信任(ZT)项目组合管理办公室(PfMO),旨在协调、同步并加速整个战争部体系采用零信任架构和网络安全框架。零信任安全模型摒弃了基于可信网络、主体和设备的模式,转而采用持续身份验证和细粒度策略执行的环境。2025年7月,美国战争部发布了第25-003号指令型备忘录文件《实施美国防部零信任战略》,该文件指示美国战争部各部门至少在所有非密和机密系统(包括国家安全系统)以及控制系统/运营技术(OT)中实现目标级别的零信任。
以下零信任指南以美国防部政策和权威指南(例如,美国防部指示8500 系列、美国防部网络安全参考架构、美国防部控制系统安全要求指南和美国防部风险管理框架控制系统覆盖)以及美国国家标准与技术研究所标准(例如,NIST 800-82 rev3)为基础。本指南代表美国防部关于运营技术(OT)和控制系统零信任的权威部门指南,预计将在所有现有网络安全要求之外予以实施。
美国战争部零信任路线图、美国战争部零信任参考架构和美国战争部零信任执行路线图定义并规划了各项能力、活动和成果的执行,旨在促进美国战争部内部通用的零信任实施。运营技术(OT)零信任活动和成果建立在这些零信任指导性文件之上,并根据运营技术(OT)环境的独特特征和挑战进行调整,同时与现有的控制系统/运营技术(OT)网络安全政策和指南保持一致。根据NIST SP 800-82 rev3(运营技术安全指南)的定义,运营技术(OT)涵盖了广泛的可编程系统和设备,这些系统和设备与物理环境交互或管理与物理环境交互的设备。这些系统和设备通过监控和/或控制设备、流程和事件来检测或直接引起变化。例如,工业控制系统、楼宇自动化系统、传输系统、物理访问控制系统、物理环境监控系统和物理环境测量系统。运营技术(OT)环境和控制系统通常在“对持续可靠运行有重大需求”的地方运行。因此,它们的可靠性和安全性对于美国国家安全和经济稳定至关重要。零信任要求是对现有美国战争部网络安全项目安全要求的补充和增强。美国战争部系统所有者有责任遵守所有适用的美国战争部网络安全项目指令,包括但不限于美国国防部指令(DoDI)中的要求,例如DoDI 8500.01、DoDI 8510.01、美国防部网络安全参考架构 5.0 (CSRA)以及美国防部控制系统安全要求指南及其先前版本(SRG)。
本指南提供了一套修订后的活动和成果,旨在促进当前和未来在运营技术(OT)环境中采用零信任原则,并考虑到信息技术(IT)和运营技术(OT)实践之间的显著差异。运营技术(OT)的零信任活动和成果与体系IT的零信任活动和成果保持一致,以促进两者之间的互操作性和一致性。本指南重点关注美国战争部拥有的运营技术(OT)环境和控制系统,直至并包括分界点,涵盖设施相关控制系统、电网、水处理设施、安保和生命安全系统、能源管理系统、传输网络、物流处理和制造控制系统。其范围延伸至任务所有者定义的武器系统(WS)或国防关键基础设施(DCI)的边界,并阐述与这些美国战争部拥有的系统相关的网络安全和运行风险。例如,本指南适用于为武器系统供电的配电系统,但不包括武器系统的内部目标瞄准或射击系统。武器系统和国防关键基础设施将分别制定单独的指南,但可能会借鉴本运营技术(OT)指南的相似之处。本指南并未具体阐述武器系统或国防关键基础设施中包含的运营技术(OT)组件。
02
为什么我们需要将零信任应用于
运营技术活动和结果评估?
将标准的信息技术(IT)安全方法应用于运营技术(OT)环境可能无效,甚至存在潜在危险。运营技术(OT)环境优先考虑运行可用性,并且由于其使用传统设备和各种不同的行业协议、流程关键性、安全标准以及定制化实施方案,与体系级信息技术(IT)环境截然不同。此外,运营技术(OT)操作需要具备专业工程技术知识的人员,这与传统的信息技术(IT)安全团队有所区别。运营技术(OT)活动和成果的零信任方案旨在解决这些关键差异,为在这些至关重要的环境中实施零信任提供了一条切实有效的途径。
零信任的核心原则——数据保护、强认证、网络分段和威胁监控——虽然也适用于运营技术(OT),但其实施和部署时间需要仔细考虑运营技术(OT)特有的限制和优先级。这些挑战使得在运营技术(OT)环境中采用零信任更加困难,并需要对活动和成果进行调整。对于底层过程控制器以及运营技术(OT)环境中的计算机、工作站、服务器和交换机而言,尤其如此。
例如,运营技术(OT)环境通常优先考虑可用性和安全性,而非机密性和完整性。在某些情况下,这是由严格的安全要求决定的;而在其他情况下,则取决于任务运行的关键性。因此,在运营技术(OT)环境中实施零信任需要在产品部署前进行全面的风险缓解,通常需要在模拟环境、测试平台或实际场景中进行测试。运营技术(OT)环境还使用不同的工业控制协议,例如DNP3、Modbus、BACnet和PROFINET,这些协议在安全控制方面的原生功能各不相同。
因此,信息技术(IT)和运营技术(OT)活动及成果的实现方式可能截然不同。虽然运营技术(OT)活动零信任与体系级信息技术(IT)零信任指南存在一些一致性,但运营技术(OT)零信任指南包含一些针对运营技术(OT)环境特定挑战和需求而量身定制的独特活动。尽管如此,信息技术(IT)和运营技术(OT)零信任活动及成果仍然紧密相连,每项活动都旨在实现类似的成果。信息技术(IT)和运营技术(OT)零信任指南之间的共性有助于促进两者实施之间的互操作性。例如,凭证管理、资产管理、威胁检测、主体角色和归属以及行为分析等功能最初可以部署在运营技术(OT)环境中;最终,它们将与相应的体系级信息技术(IT)工具和标准集成,从而在美国战争部组成机构和整个美国战争部中提供通用方法。
最后,建议只有对运营技术(OT)环境拥有权限的人员,在与运营技术(OT)操作员和安全专业人员密切合作的情况下,评估其特定环境中的每项活动,并考虑其组件和环境的操作限制及风险状况。运营技术(OT)活动的零信任目标和结果旨在具有足够的通用性,可广泛适用于所有类型的运营技术(OT)环境,因为零信任功能的基本原则是相同的。对于某些运营技术(OT)环境,系统所有者和操作员可能会发现某些活动不适用(例如,独立系统可能无法接收威胁流)。运营技术(OT)的零信任评估人员或设计人员应记录并报告理由,并从该特定系统的目标级别运营技术(OT)要求中移除运营技术(OT)零信任活动。运营技术(OT)环境中的实施设计可能千差万别,但必须遵循基本的零信任原则,并实现运营技术(OT)零信任指南的结果。
03
体系级信息技术环境
与运营技术环境的区别
已建立的运营技术(OT)系统参考架构,例如普渡模型(Purdue Model)、IEC 62443和UFC 4-010-06,是美国战争部内部运营技术(OT)系统分类的权威框架。如果发现与现有政策和指令存在冲突,必须上报给相应的任务负责人和/或授权官员,由其提交给美国战争部首席信息官(CIO)进行裁决和解决。这些架构基于分层模型,层与层之间界限清晰,且每个层都对应特定的设备。然而,运营技术(OT)零信任活动和成果旨在为系统所有者提供高层次的需求,使其更具适应性和动态性。因此,使用更高层次的抽象来描述运营技术(OT)环境比传统的五层拓扑结构更为便捷。为了描述运营技术(OT)环境中的零信任原则,我们将运营技术(OT)环境分为两层:运行层和过程控制层。运行层在概念上包括普渡模型的第4层和第5层,而过程控制层则包含第0层至第2层。该运行层在概念上还包括传统上在监控层(例如,运营技术环境中的应用服务、控制中心工作站、人机界面)以及自动化层(例如,运营技术环境中的控制器、无线网关)中找到的工具和功能。
这种对常用模型的概括性描述,使其能够灵活适应各种未来的运营技术(OT)环境,并兼容不同的安全参考架构。这种对常用普渡模型的概括性描述,使其能够灵活适应各种未来的运营技术(OT)环境,并兼容不同的安全参考架构。它还免去了指定零信任解决方案如何部署到特定层的需要,从而允许根据具体的系统配置灵活地进行实施。这种对运营技术(OT)环境的描述并非取代标准参考架构。相反,其目标是在描述零信任原则和解决方案时,提供一种灵活且适应性强的运营技术(OT)环境描述。
将运营技术(OT)环境划分为运行层和过程控制层,可以灵活地适应各种运营技术(OT)环境,而不会因将组件、设备和用户分配到特定架构层而过于死板。我们相信,这是一种灵活且适应性强的方法,能够更好地应用零信任原则。下图提供了一个通用饮用水系统的示例。
体系级信息技术(IT)层承载着通用业务系统,包括电子邮件服务器、采购和资产管理服务、SharePoint/Teams服务、Active Directory、身份凭证服务(例如,通用访问卡身份验证)以及美国战争部体系共享的其他服务。此外,它还包含用于支持分析、威胁检测、凭证管理和生产力工具的服务。运营技术(OT)环境可以在没有体系层的情况下运行,但其运行效率和效果通常会降低。
运行层包含的组件可能与体系层组件类似,但其支持的任务集截然不同,并且需要通过各种流程进行维护。这些组件包括互联网协议(IP)网络以及本地前端控制系统服务,例如操作员工作站、网络交换机、过程控制服务器、数据历史记录器、防火墙和本地控制系统管理服务(例如软件更新、扫描和补丁)。例如,运行层防火墙可能与体系信息技术(IT)层防火墙类似,但两者检查的协议和会话状态跟踪侧重于不同的操作。此外,许多组件基于旧版操作系统,这些操作系统配置为特定版本以支持过程控制环境。因此,这些组件与标准的体系补丁、扫描和防病毒服务隔离,因为更改和更新可能会破坏或中断环境。
过程控制层包含现场控制设备,用于实现传感器、执行器、电机和其他机械设备的本地操作。通常,该层包含基于IP的控制器,这些控制器向底层非IP或IP控制器发送命令,而底层控制器又可以向传感器、阀门、电机和其他机械设备发送串行或IP命令。该层还包括数字和模拟安全仪表系统(SIS),例如故障保护系统、熔断器或压力表。许多运营技术(OT)环境都是隔离的,与任何信息技术(IT)环境或外部网络都没有持久连接。即便如此,运营技术(OT)零信任活动和结果也同样适用于这些环境,因为内部威胁、临时设备连接、数据传输介质以及已安装的软件和硬件都可能成为攻击途径。在某种程度上,隔离系统会让人产生一种虚假的安全感,并依赖于物理隔离的边界,这使得零信任实施变得必要。
04
目标级和高级零信任活动
体系级信息技术(IT)和运营技术(OT)零信任指南均区分了目标级零信任活动和高级零信任活动。在美国战争部零信任战略文件中,“目标级零信任是指为保障美国战争的数据、应用程序、资产和服务(DAAS)安全,管理当前已知威胁风险所必需的最低零信任能力成果和活动集”,而“高级零信任能力包括已识别的全部零信任能力成果和活动集,这些成果和活动能够对网络安全风险和威胁做出适应性响应,并提供最高级别的保护”。目标级零信任活动旨在共同提供全面的零信任能力,以防止环境中的横向移动。高级活动是额外的长期目标,旨在提供适应性响应和全面的零信任功能,但不受目标级时间表的限制。高级活动也可能需要在严格的时间框架内实现的技术、程序或政策上不可行的能力。达到高级级别并不意味着零信任成熟度的完成;相反,随着威胁行为体不断调整其策略、技术和程序(TTP)并利用新的攻击途径,安全控制和风险缓解策略必须不断发展。
目标级零信任活动可能需要在运营技术(OT)环境中进行大量的设计、开发和测试,但这些活动被认为是可行且必要的,旨在防止敌方成功攻击并在这些环境中移动。目标级和高级级别的活动及成果描述中隐含的假设是,实施过程将维持可接受的过程控制和安全性能。这些活动并非运营技术(OT)实施指南,而是可以通过灵活方式实现的重点成果。
05
运营技术环境零信任的
物理安全注意事项
运营技术(OT)零信任活动及成果框架提供了一种网络安全方法,旨在保护OT环境和控制系统免受远程攻击,并主要侧重于技术网络安全措施。该框架并未规定具体的物理安全控制措施作为主要缓解策略,也未涉及防止物理访问的技术,因为这些措施属于物理安全管理人的职责范围和专业知识范畴。必须明确的是,如果攻击者获得了物理访问权限,本框架中概述的网络安全控制措施可能不足以防止系统遭到破坏。各组件需要应对物理漏洞,而这些漏洞必须通过适当的物理安全措施得到有效解决。各机构必须在网络安全团队和物理安全团队之间进行协调,以确保提供全面的保护,既能应对远程网络威胁,又能应对物理访问漏洞。
运营技术(OT)本质上是将数字环境和物理环境相结合。运营技术(OT)要素——包括运营中心、工作站、服务器机房、控制器、人机界面、模拟执行器和其他关键组件——通常分布在多个设施中,操作人员和运营技术(OT)环境操作范围外的人员均可访问这些设施。以上述示例为例,油井、储罐和泵可能分布在广阔的地理区域和偏远地区,并采取物理安全措施(例如,建筑物、门禁卡、围栏)来保护设备。
稳健的物理安全措施直接助力运营技术(OT)零信任活动和成果的成功实施。例如,控制对非人员实体(NPE,如人机界面或远程终端单元)访问的机制可以依赖于底层物理控制措施(例如,上锁的门、周界围栏、监控)。同样,在运营技术(OT)环境中,强制执行物理操作或使用令牌安全措施可以增强身份验证。实施者应清点现有的物理控制措施,并考虑任何数字访问管理计划,以提供全面的零信任方法。借鉴信息技术(IT)领域的访问控制方法,例如数字多因素身份验证(MFA),也可以与物理身份验证结合使用,以进一步增强会话身份验证。
为实现零信任在运营技术(OT)活动中定义的预期成果,建议采用分层方法。运营技术(OT)环境为利用强大的物理控制措施来补充数字安全措施提供了独特的机会。实施者应将物理环境和控制措施视为支持在运营技术(OT)环境中应用零信任原则的潜在途径。他们可以将以下示例视为与IT领域实施的控制措施类似,但应用于物理世界:
身份与访问管理(IAM)– 物理类比:
生物识别访问控制:关键区域采用指纹扫描仪、面部识别或虹膜扫描仪(类似于信息技术中的多因素身份验证)。
近距离读卡器:要求授权人员使用近距离卡进入限制区域(这是一种身份验证方式)。
访客管理系统:跟踪所有访客,验证其身份,并在访客在现场时陪同他们(类似于信息技术中的访客网络访问)。
基于角色的物理访问:访问级别是根据工作职能设计的(例如,工程师可以访问控制室,而维护人员可以访问设备区域)。
网络分段——物理类比:
周边围栏和屏障:在设施周围建立物理屏障(类似于防火墙)。
分区:将设施划分为具有不同安全级别的区域(类似于信息技术中的虚拟局域网)。
密闭空间:一个带有两扇互锁门的小空间,用于控制对高度敏感区域的访问(一种强大的微隔离形式)。
持续监测与检测——物理类比:
闭路电视监控:使用摄像头监控关键区域并录制视频(类似于信息技术中的安全信息和事件管理日志)。请注意,摄像头应覆盖所有出入口和盲区。
入侵检测系统(IDS)– 物理:运动传感器、门/窗传感器和玻璃破碎探测器(类似于网络入侵检测系统)。
环境监测:监测温度、湿度和其他可能表明安全漏洞的环境因素(类似于用户行为监测工具)
定期安全巡逻:定期巡逻设施,以发现和解决安全漏洞(类似于安全运营中心威胁狩猎)。
数据安全——物理类比:
安全存储:锁定敏感文档和数据存储设备(类似于硬盘加密)。
设备跟踪:实施一个系统来跟踪关键资产的位置(类似于信息技术中的资产管理)。
必须认识到,物理控制措施并非取代数字安全措施,而是在将零信任原则应用于运营技术(OT)时作为补充要素。实施者需要根据物理控制措施支持和增强“运营技术零信任活动和成果”所定义成果的能力来评估其有效性,同时要考虑到运营技术(OT)环境独特的运行限制和优先级。物理安全指南有助于全面有效地实施零信任,从而增强关键运营技术(OT)环境的韧性。
声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
