美国网络安全与基础设施安全局(CISA)与多国合作伙伴联合发布了一份名为《运营技术网络安全基础:资产清单指南(Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators)》的综合性文件,旨在加强关键基础设施领域的网络安全防护能力。
该文件强调,随着恶意网络攻击者日益频繁地针对能源、水务及制造业等行业的工业控制系统(ICS)、数据采集与监控系统(SCADA)以及可编程逻辑控制器(PLC)发起攻击,保持准确的运营技术(OT)资产清单显得尤为重要。
报告指出,攻击者常常利用传统系统存在的漏洞、薄弱的身份验证机制、缺乏有效的网络分段、不安全的OT通信协议(如Modbus和DNP3),以及被攻破的远程访问点来发起入侵。
要点总结
1. CISA联合8家机构发布OT网络安全指南,旨在保护关键基础设施安全。
2. 指南框架基于ISA/IEC 62443标准,提出资产分类及14项关键跟踪属性。
3. 引入威胁数据库,实现能源与水务等行业的实时安全监测。
OT资产管理指南
该指南提出了一套系统化的方法,基于ISA/IEC 62443标准框架的OT分类体系。文件要求组织对资产进行分类,划分为“区域”(Zones)——即具备相同安全需求的资产逻辑分组;以及“通道”(Conduits)——即在不同区域之间承担通信功能并具有共同网络安全要求的路径。
框架重点内容
该框架优先收集十四项高优先级资产属性,包括:MAC地址、IP地址、活跃通信协议、资产关键性等级、制造商与型号信息、操作系统、物理位置、端口与服务、用户账户以及日志功能等。
文件鼓励各组织结合基于关键性与基于功能的分类方法,以提升风险识别与漏洞管理能力。
CISA通过与能源行业(涵盖石油天然气与电力子行业)及水务与废水行业的14家机构开展协作研讨,形成了概念性分类体系。该体系将资产划分为:
-
高关键性:需实施严格的网络分段与基于角色的访问控制;
-
中关键性:需保持强有力的监控并定期更新;
-
低关键性:需采取基本安全防护措施。
指南强调与CISA的已知被利用漏洞(KEV)目录及MITRE的CVE漏洞数据库实现深度整合,以持续进行威胁评估。文件还建议组织将资产清单与MITRE的ICS ATT&CK矩阵进行交叉比对,并实时监控工艺变量,包括温度、压力与流量指标。
这一系统化方法有助于组织在关键基础设施环境中构建现代化、可防御的体系架构,同时保障运营连续性、符合安全合规与监管要求。
发表评论
您还未登录,请先登录。
登录