美國內(nèi)政部監(jiān)察長辦公室最近公布一份報告，報告對美國墾務(wù)局(USBR)運營的5座水電站大壩進行了評估，并將這些大壩認定為“關(guān)鍵基礎(chǔ)設(shè)施”。

[[235474]]

USBR是美國第二大水力發(fā)電生產(chǎn)商，其水電站供應(yīng)著美國350萬家庭的生產(chǎn)生活用電。有鑒于USBR的服務(wù)規(guī)模，針對他們的網(wǎng)絡(luò)威脅也就可能導(dǎo)致深遠的影響了。尤其是控制著大壩物理輸出的ICS，一旦遭到破壞性網(wǎng)絡(luò)攻擊，甚至可能危及國家安全。

這份評估報告的一個關(guān)鍵發(fā)現(xiàn)是，水電站大壩面臨的主要風(fēng)險并非來自于外部網(wǎng)絡(luò)攻擊活動，而是出自內(nèi)部因素。換句話說，這些水利大壩最大的網(wǎng)絡(luò)威脅是他們的員工和前員工。

該為這些漏洞負直接責(zé)任的，是USBR的賬戶管理和人員安全操作，這其中存在與ICS系統(tǒng)管理員訪問權(quán)限、口令安全及背景核查上的諸多問題。即便ICS與公網(wǎng)和公司業(yè)務(wù)系統(tǒng)斷開，此類內(nèi)部威脅仍可對ICS造成極大安全風(fēng)險。

系統(tǒng)管理員訪問權(quán)限

水利大壩ICS系統(tǒng)的主要問題之一，來自其管理員訪問權(quán)限的控制與監(jiān)視方式。評估發(fā)現(xiàn)，USBR運營中心25名員工中的大多數(shù)，都至少掌握有一個不在其職權(quán)范圍內(nèi)的ICS賬戶;有系統(tǒng)管理員權(quán)限的13名員工中僅5人身負官方認定的ICS管理職責(zé)。

根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)局(NIST)設(shè)立的原則，為保證最高級別的內(nèi)部安全性，應(yīng)實施“最小權(quán)限”原則(意味著僅有身負相關(guān)工作職責(zé)的員工才可以擁有相應(yīng)訪問權(quán)限)。

另外，USBR授權(quán)了近20個ICS組賬戶，每一個都具有系統(tǒng)管理員權(quán)限，但卻沒有任何一個按照NIST的強制要求實現(xiàn)了持續(xù)監(jiān)視。

弄到了組權(quán)限的惡意攻擊者完全可以更改關(guān)鍵系統(tǒng)程序和日志，獲取ICS訪問權(quán)，安裝上惡意軟件。

口令安全

員工未遵守部門強制規(guī)定每60天更改一次口令，是本次評估中發(fā)現(xiàn)的另一個主要威脅。這倒是暗合了對口令安全知之甚少也懶得學(xué)習(xí)網(wǎng)絡(luò)安全最佳實踐的美國大多數(shù)民眾的標(biāo)準(zhǔn)做法。

被評估的30個ICS管理員賬戶中，有10個一年多來未修改過其口令。另外，30個ICS管理員賬戶的9個和18個組賬戶的7個至少有1年未被使用過了。沒有及時注銷未使用賬戶可能會讓這些賬戶成為網(wǎng)絡(luò)攻擊的切入點。

定期口令更改的缺乏，有部分原因在于使用了太多組賬戶;在所有用戶間協(xié)調(diào)共享賬戶訪問權(quán)限相當(dāng)困難，因而往往直接被無視。更糟的是，員工離職時，與其賬戶及組賬戶相關(guān)的口令也未修改，又增可被利用的額外漏洞。

背景核查

水利大壩ICS風(fēng)險的又一主要因素，是缺乏足夠的背景核查與人員安全操作。具系統(tǒng)管理員權(quán)限的13名USBR員工中，僅11名完成了2級背景調(diào)查，而USBR的人員安全手冊要求的是所有此類員工必須通過至少該級別的背景調(diào)查。

而且，一旦入職，被賦予了ICS管理員權(quán)限的用戶就不再接受2012年聯(lián)邦調(diào)查標(biāo)準(zhǔn)中規(guī)定的持續(xù)評估了。

接下來怎么做

USBR的ICS安全出現(xiàn)了很多漏洞是事實，但仍可采取措施來緩解風(fēng)險，比如報告中列出的這些：

• 根據(jù)職責(zé)所需控制ICS管理員權(quán)限的發(fā)放。
• 刪除所有具ICS管理員權(quán)限的組賬戶并確保不再創(chuàng)建非必要的組賬戶。
• 員工離職或崗位調(diào)動時刪除其ICS管理員賬戶。
• 確保員工定期修改其ICS賬戶口令。
• 強化背景審查過程并推進后續(xù)定期審查。

只要實現(xiàn)了上述措施，水利大壩及其用戶的安全性都會得到顯著提升，國家安全也會獲得相應(yīng)的保障。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文