NIST SP800-82:ICS指南的发展史(一)

日期: 2014-11-06 作者:Ernie Hayden翻译:邹铮 来源:TechTarget中国 英文

如果你是专注于工业控制系统(ICS)安全的网络安全专业人员,请看看你的书架,然后告诉我你看到了什么,除了Shon Harris、Krutz、Vines以及Peter Gregory的网络经典著作,你可能还收集了一些ICS安全书籍,其中有些页面可能已经破损或者被你贴上标签。其中你可能收藏的一套书是国家标准与技术研究院(NIST)特别刊物,标题为SP800-82《工业控制系统(ICS)安全指南》。SP800-82在2006年第一次发行,然后是第一次修订版,现在第二次修订版处于草案阶段。 SP800-82系列的发展是怎样的?修订版2已经出来,但800-82是从何而来?是谁的想法带来了这一系列非常有用……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

如果你是专注于工业控制系统(ICS)安全的网络安全专业人员,请看看你的书架,然后告诉我你看到了什么,除了Shon Harris、Krutz、Vines以及Peter Gregory的网络经典著作,你可能还收集了一些ICS安全书籍,其中有些页面可能已经破损或者被你贴上标签。其中你可能收藏的一套书是国家标准与技术研究院(NIST)特别刊物,标题为SP800-82《工业控制系统(ICS)安全指南》。SP800-82在2006年第一次发行,然后是第一次修订版,现在第二次修订版处于草案阶段。

SP800-82系列的发展是怎样的?修订版2已经出来,但800-82是从何而来?是谁的想法带来了这一系列非常有用的指南?是什么在推动NIST专注于ICS安全性?

在这篇文章中,我们将介绍到NIST的Keith Stouffer,他的工作对ICS安全指南有着很大的影响。我们花了一些时间采访Stouffer有关SP800-82指南的历史,并问他为什么会产生这些来自NIST的最畅销刊物。

NIST关注ICS安全性的开始

大约在2000年,Keith Stouffer和另外几个人开始关注关键基础设施的安全问题。具体来说,Stouffer当时在NIST的机械工程实验室(Mechanical Engineering Lab)工作,他对“过程控制系统”(当时是这样的名称)特别感兴趣。于是,在2001年春天,一组相关专业人士聚集在过程控制安全要求论坛(Process Control Security Requirements Forum,PCSRF)。

PCSRF的目的是为过程控制系统明确安全要求,随后该系统被称为工业控制系统。该组织的主要重点是提高制造工业中使用的计算控制系统的IT安全性,这些工业包括电力公用事业、石油(石油和天然气)、水力、废弃物、化学用品、药品、纸浆和造纸、金属和采矿,其中重点工业是被视为国家关键基础设施组成部分。当时,PCSRF非常努力地查看信息技术安全通用评估标准(The Common Criteria for Information Technology Security Evaluation,也被称为ISO/IEC 15408)的内容,试图以通用标准保护安全规范的形式来记录他们的工作。

2004年10月,在Stouffer的领导下,PCSRF所产生的主要文档之一是《系统保护轮廓--工业控制系统》,该文档的目的是为采购新的过程控制系统提供有凝聚力的跨行业的基本安全要求。它同时也作为一个起点,推动着针对监控和数据采集(SCADA)或分布式控制系统(DCS)的更具体的系统保护轮廓。当时,PCSRF更侧重于市场上出现的新的工业控制系统,而不是传统系统。

PCSRF与Stouffer及其在NIST的同事们开始填补ICS相关的安全知识与指南的空白,并为未来的NIST SP800-82文档埋下了种子。到2006年,PCSRF已经从不到20人发展到超过1000人。除了建立PCSRF,该团队的活动还涉及在国际自动化协会(ISA,以前被称为美国仪器、系统与自动化协会)一些并行工作,ISA在2002年秋天形成了制造业和控制系统安全委员会,这最终演变成ISA-99委员会。

NIST SP800-82的诞生

2005年左右,Stouffer及其同事们开始编写NIST SP800-82。在这个特别刊物的第一次出版的过程中发生了几个有趣的故事。首先是该文档标题的故事,其次是关于该指南的内容受到来自联邦电力机构的巨大压力。

SP 800-82第一个发行版的标题是“SCADA和ICS安全指南”。SCADA和ICS之间有区别,这两者放在一个标题中可能会导致更专业的ICS安全专业人员的异议。Stouffer联想到当SP800-82文档第一次编写时,受到很多来自美国国会的压力,美国国会认为SCADA需要受到保护,因此,“SCADA”被放入SP800-82标题。然而,随后的SP800-82系列的主标题不再包含“SCADA”。

关于第一版SP800-82的第二个故事是涉及来自总检察长的压力,他们认为应该把重点放在使用NIST SP800-53《联邦信息系统和组织的安全与隐私控制》作为联邦政府拥有和运营的ICS的基本安全标准。然而,正如很多ICS安全专家所认为的—也与Stouffer的意见一致,NIST SP800-53专注于信息技术(IT)系统,而不是ICS—也被称为操作技术(OT)。这导致了与总检察长以及拥有和运营ICS的联邦机构的多次交涉,并产生了一个有趣的解决方案。

Stouffer及其同事认真查看了SP 800-53以及适用于ICS的特殊要求。其结果是,在2007年12月,800-53修订版2附录I作为800-53要求的增编,但具体是针对ICS。在2009年8月,NIST SP800-53修订版3又进行了更新。SP800-53附录I被用来作为新的ICS覆盖(NIST SP800-82修订版2附录G)的基础。

NIST SP800-82的最初草案在2006年形成。正式版本(修订版0)在2011年出版,在2013年修订版1(最终)发布后,修订版0最终在2014年4月被撤回。

自首次出版以来,NIST SP800-82文档下载量超过300万次。

NIST和ICS的可视化历史记录

NIST和ICS安全的可视化历史如下图所示:

 
请继续阅读NIST SP800-82:ICS指南的发展史(二)》

翻译

邹铮
邹铮

相关推荐