內容簡介
關鍵基礎設施作為國家經濟、社會運行的神經中樞,一旦遭到物理或網路攻擊,將會嚴重危害國家安全和國計民生。因此,許多國家都已經將關鍵基礎設施安全作為一個國家安全戰略問題來對待。本書介紹了美國在關鍵基礎設施安全防護領域的布局,歸納了相關研究項目的技術報告,提煉出了關鍵技術,總結了先進經驗。這些技術和經驗,對於我國開展關鍵基礎設施安全防護工作具有重要參考價值。
本書可供高等院校信息安全相關專業的學生、教師,各級政府部門的決策者及企業技術主管等閱讀參考。
圖書目錄
第1章關鍵基礎設施安全概述
1.1關鍵基礎設施含義
1.1.2中國政府相關檔案
1.1.3美國政府關鍵基礎設施安全布局
1.2典型安全事件
1.3攻擊動機與方式
1.4美國政府安全政策
1.5本書組織
2.1國土安全部職責
2.2網路風暴演習
2.2.1網路風暴Ⅰ
2.2.2網路風暴Ⅱ
2.2.3網路風暴Ⅲ
2.2.4網路風暴Ⅳ
2.2.5網路風暴Ⅴ
2.3.1主要職責
2.3.22009年度網路安全報告
2.3.32010年度網路安全報告
2.3.42011年度網路安全報告
2.3.52012年度網路安全報告
2.3.62013年度網路安全報告
2.3.72014年度網路安全報告
2.3.82015年度網路安全報告
2.3.92016年度網路安全報告
美國關鍵基礎設施安全防護體系與策略[ ]2.4網路安全部門項目
2.4.3移動目標防禦
2.4.4防禦技術實驗研究試驗台
2.5其他典型項目
2.5.1國家基礎設施保護計畫項目
參考文獻第3章美國能源部
3.1美國能源部國家實驗室基本情況
3.2能源行業控制系統安全防護技術路線
3.2.12006年技術路線
3.2.22011年技術路線
3.3國家SCADA測試床NSTB
3.3.1NSTB研究內容
3.3.2NSTB項目實驗室分工
3.3.3NSTB實驗室具體情況
3.3.4NSTB承擔項目
3.4小結
4.1國家標準與技術研究院及典型項目簡介
4.2提高關鍵基礎設施網路安全的框架規範
4.2.1規範簡介
4.2.2框架核心
4.2.3框架實現層級
4.2.4框架配置檔案
4.2.5框架使用方法
4.2.6規範小結
4.3.1ICS特性
4.3.2ICS系統安全程式開發與部署
4.3.3深度防禦架構
4.3.4ICS安全控制
4.4工業控制系統網路安全性能測試床
4.5小結
5.1美國國家科學基金會簡介
5.2關鍵基礎設施安全建設
5.3CRISP項目介紹
5.3.1總體目標
5.3.2課題介紹
5.4小結
6.1美國國防高級研究計畫局簡介
6.2網路空間項目Plan X介紹
6.2.1Plan X背景介紹
6.2.2Plan X的特點
6.2.3Plan X網路作戰空間定義
6.2.4Plan X技術領域
6.3小結
參考文獻附錄A名詞及縮寫詞列表附錄B美國關鍵基礎設施安全之物聯網安全調研
B.1.1介紹和概覽
B.1.2戰略安全保障原則
B.1.3結論
B.2美國國家安全電信委員會物聯網報告簡介
B.2.1報告綜述
B.2.2物聯網概論
B.2.3NS/EP中物聯網影響的思考
B.3美國寬頻網際網路技術諮詢組物聯網安全和隱私建議報告簡介
B.3.1簡介
B.3.2什麼是物聯網
B.3.3為什麼IoT安全和隱私特別重要
B.3.4許多設備不循序安全和隱私最佳原則
B.3.5IoT安全和隱私問題觀察
B.3.6家庭網路技術的可能作用
B.3.7建議
B.3.8其他小組
小結
參考文獻
圖圖21美國國土安全部組織架構26
圖22工業控制系統應急回響小組在國土安全部隸屬關係圖43
圖23企業網和控制網隔離的傳統架構46
圖24企業網和控制網融合的主流架構46
圖25網路縱深防禦策略47
圖26系統脆弱性分層防禦框架(例如緩衝區溢出漏洞)48
圖27通用安全分區49
圖28用防火牆來保護安全分區50
圖29部署DMZ的框架51
圖210部署了入侵檢測系統後的縱深防禦完整框架圖52
圖211根據安全事件報告主體劃分2014年事件報告(總計245)61
圖212根據安全事件發生行業劃分2014年事件報告(總計245)62
圖213根據攻擊類型劃分2014年事件報告(總計245)62
圖214在2014年由ICSCERT統計各個州線上評估數量63
圖215CSET特點調查66
圖216按區域劃分的2015財年網路事件,共295件67
圖217按試圖感染途徑劃分的2015財年網路事件,共295件67
圖218ICSCERT 2016年對19個州開展安全評估情況圖68
圖219NIPP關鍵基礎設施安全和恢復基本框架圖86
圖220關鍵基礎設施相互依賴關係87
圖32美國能源部17個國家實驗室地理分布圖98
圖33美國國家SCADA測試床項目架構101
圖34NSTB計畫涉及的範圍104
圖35NSTB項目架構圖106
圖36NSTB項目參與實驗室107
美國關鍵基礎設施安全防護體系與策略[ ]圖
圖37INL SCADA 測試床108
圖38INL 電網測試床110
圖39INL網路安全測試床111
圖310
過程控制系統中的通用信息基礎設施的理想化模型112
圖311LOGIIC測試床環境113
圖312LOGIIC安全系統架構114
圖314PNNL提出的通用控制系統架構115
圖315PNNL PowerNet測試床116
圖316下一代控制系統里程碑和性能目標122
圖317DATES測試床結構圖125
圖318Invensys DCS與VCSE之間的配置及數據傳輸關係圖125
圖319DATES測試床IDS部署位置示意圖126
圖320DDoS攻擊結果圖127
圖321電網3層架構圖128
圖3224種安全代理位置示意圖128
圖323綜合風險分析里程碑和性能目標130
圖324信息物理系統典型系統圖132
圖325VCSE工具箱132
圖326小型煉油廠在遭受網路攻擊前和攻擊後的VCSE模型圖133
圖327電力配電系統在遭受網路攻擊前和攻擊後的VCSE模型圖134
圖328PLC控制下的燃燒爐在遭受網路攻擊前和攻擊後的VCSE模型圖134
圖329通過虛假IP位址發起的網路攻擊135
圖330定義在CMT用戶接口中,用於構建屬性樹的影響分類圖136
圖331定義在CMT用戶接口中,用於構建屬性樹的性能測試圖137
圖332定義在CMT用戶接口中,用於構建屬性樹的構建尺度圖137
圖333CMT用戶界面概覽圖138
圖334CMT系統架構概覽139
圖335CMT系統設定界面139
圖336系統脆弱性評估項目里程碑141
圖337通用的IT安全目標與ICS安全目標對比圖151
圖338NSTB評估安全脆弱性類型所占百分比的結果151
圖339NSTB測試發現的SCADA組件類別百分比結果153
圖340NSTB測試分析得到的組件功能百分比結果153
圖341ISA SCADA 架構154
圖342NSTB測試得到的ICS功能級別結果155
圖41信息安全防護體系框架166
圖42框架核心167
圖43框架核心及其包含的類168
圖44識別功能及其包含的類和子類168
圖45保護功能及其包含的類和子類169
圖46檢測功能及其包含的類和子類170
圖47回響功能及其包含的類和子類170
圖48恢復功能及其包含的類和子類171
圖49風險管理的信息與決策流程模型174
圖410ICS操作177
圖411SCADA系統總體結構178
圖412DCS系統實例179
圖413ICS系統潛在的脆弱性182
圖414安全業務方案182
圖415綜合安全程式的開發184
圖416CSSP建議的深度防禦架構185
圖417ICS安全控制186
圖419TE過程網路結構圖189
圖420機器人組裝系統網路架構圖190
圖421機器人平台節點級軟體框架191
圖422ISA/IEC62443標準文檔歸類193
圖61DARPA組織架構213
圖62DARPA Plan X項目負責研發人員展示Oculus網路戰仿真215表表11美國近幾屆政府典型政策、戰略計畫一覽表16
表21網路風暴Ⅳ當中的演習項目一覽表38
表22ICSCERT近幾年活動對比表57
表23分領域顯示每財年的線上評估領域數量58
表24根據評估類型劃分的線上評估數量63
表25不同領域評估情況表65
表26不同評估工具統計表65
表27ICSCERT近幾年活動對比表68
表28不同領域評估統計表69
表29MTD關鍵技術特點76
表210MTD DETER測試床目前進行的項目78
表211關鍵基礎設施部門的相互依賴性87
表212關鍵基礎設施管理結構88
表213金融領域的未來規劃目標和措施89
表214交通領域的未來規劃目標和措施90
表215能源領域的未來規劃目標和措施90
表216通信領域的未來規劃目標和措施92
表31美國能源部17個國家實驗室管理方式一覽表99
表32NSTB承擔項目概況表119
表33CMT性能測試表140
表34CVSS基礎測量表142
表35CVSS 暫態測量表143
表36CVSS 環境測量表143
表3710個最關鍵的ICS脆弱性143
表38未修復的已公開系統脆弱性的安全特徵總結表144
表39遠程顯示協定的安全特徵總結表145
美國關鍵基礎設施安全防護體系與策略[ ]表
表310ICS網頁套用安全特徵總結表146
表312ICS套用中不恰當的認證方式147
表313不恰當的訪問控制147
表314明文認證協定安全特徵總結表148
表315ICS套用中未經保護的用戶憑證傳輸149
表316ICS網路協定安全特徵總結表149
表317SQL注入特徵總結表150
表318可以訪問到SCADA系統核心功能的系統脆弱性類型及
相應的攻擊目標152
表319SCADA製造商減少系統脆弱性的措施155
表320SCADA擁有者減少系統脆弱性的措施155
表321常見SCADA編程錯誤156
表41IT系統和ICS的差異總結179
表42工業過程分類192
表43連續過程的性能指標193
表44離散過程的性能指標194
表45測量系統性能的指標194
表46系統性能的標稱指標195
表47測量網路性能的指標195
表51NSF戰略規劃總覽表199
表52CRISP課題基本信息表201