今日頭條
官方微信
官方抖音
資訊頻道1 引言
近年來,自動化領(lǐng)域?qū)I(yè)控制系統(tǒng)(ICS)的需求不斷提升,特別是兩化融合以來,對工業(yè)控制系統(tǒng)的實時性、可交互性等要求越來越高。以往的工業(yè)控制系統(tǒng)是孤立、封閉的信息系統(tǒng),而隨著工業(yè)控制系統(tǒng)本身對控制實時響應(yīng)速度的要求不斷提高,工業(yè)控制系統(tǒng)的大型化和多個工業(yè)控制系統(tǒng)之間互聯(lián)互通、整體協(xié)調(diào)需求的提出,工業(yè)控制系統(tǒng)逐漸向信息技術(shù)(IT)發(fā)展,從基于現(xiàn)場總線的單層過程控制網(wǎng)絡(luò)發(fā)展到了通過工業(yè)以太網(wǎng)與工程師工作站所在的過程管理網(wǎng)絡(luò)再到和企業(yè)辦公網(wǎng)絡(luò)互聯(lián)的多層結(jié)構(gòu)的復(fù)雜網(wǎng)絡(luò)。
然而,由于工業(yè)控制系統(tǒng)在開發(fā)初期主要關(guān)注可用性和可靠性,而對保密性和安全性要求不高,不可避免地存在較多的安全缺陷。據(jù)相關(guān)統(tǒng)計,自2010年專門針對工業(yè)控制系統(tǒng)進(jìn)行攻擊的“震網(wǎng)”病毒被發(fā)現(xiàn)以來,工業(yè)控制系統(tǒng)的信息安全問題不斷凸顯,被公開披露的工業(yè)控制系統(tǒng)的漏洞呈井噴式的增長。相應(yīng)的,工控信息安全專用產(chǎn)品也得到了越來越多的重視,研發(fā)生產(chǎn)、應(yīng)用、測試、評價標(biāo)準(zhǔn)的制定等工作也在相關(guān)政策的支持下快速地開展起來。
2 我國工控安全的現(xiàn)狀和相關(guān)政策
隨著工控信息安全問題的日益凸顯,我國相關(guān)職能部門也陸續(xù)出臺了針對性的政策,提高業(yè)界的重視度,規(guī)范和引領(lǐng)工控安全領(lǐng)域技術(shù)、產(chǎn)品和系統(tǒng)的研發(fā),以提高我國工控信息安全水平。
今年8月8日,工信部正式發(fā)布了《2014年工業(yè)控制系統(tǒng)信息安全藍(lán)皮書》,指出目前國內(nèi)工控信息安全市場規(guī)模不到2億元,僅占信息安全整體市場1%,主要以工業(yè)防火墻和工業(yè)隔離網(wǎng)關(guān)等硬件產(chǎn)品為主,專用殺毒軟件有一定應(yīng)用,嵌入式模塊產(chǎn)品有少量應(yīng)用,安全服務(wù)尚處在初步導(dǎo)入期。其它比如入侵防護(hù)、安全審計、現(xiàn)場運維管理平臺、工控可靠性安全管理平臺等產(chǎn)品處于產(chǎn)品布局期。
但是,與之相對應(yīng)的是我國工控安全嚴(yán)峻的現(xiàn)狀,與歐美國家相比,國內(nèi)工控安全水平、發(fā)展速度與歐美發(fā)達(dá)國家相比差距仍非常大。我國工控安全相關(guān)領(lǐng)域的工作起步比較晚,2011年工信部發(fā)布《關(guān)于加強工業(yè)與控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號,以下簡稱“451號文”),451號文指出了工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性,點明了我國工業(yè)控制領(lǐng)域信息安全工作的問題和不足,明確重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求,提出要建立工業(yè)控制系統(tǒng)安全測評檢查和漏洞發(fā)布制度。2012年,溫家寶總理主持召開國務(wù)院常務(wù)會議,審議通過了《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)〔2012〕23號),其中明確提出要“保障工業(yè)控制系統(tǒng)信息安全”。2012年和2013年連續(xù)兩年的發(fā)改委國家信息安全專項中均有對工業(yè)控制信息安全領(lǐng)域相關(guān)產(chǎn)品的支持,包含了工控防火墻、工控系統(tǒng)異常行為審計、工控安管平臺、面向現(xiàn)場設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)、面向集散控制系統(tǒng)(DCS)的異常監(jiān)測、安全采集遠(yuǎn)程終端單元(RTU)和工業(yè)應(yīng)用軟件漏洞掃描等多種類型的工業(yè)控制系統(tǒng)安全產(chǎn)品。
可以看出,目前我國工控安全行業(yè)處于剛起步階段,很多方面都處于空白待探索的現(xiàn)狀,不過雖然規(guī)模小,但由于工控安全牽扯到工業(yè)生產(chǎn)運行安全、國家經(jīng)濟安全和人民生命財產(chǎn)安全,因此政策上的扶持力度非常大。
3 工控信息安全專用產(chǎn)品和系統(tǒng)
目前,一個典型的工業(yè)控制系統(tǒng)的結(jié)構(gòu)如圖1所示,按照AMR組織提出的一個通用的制造企業(yè)信息傳遞的環(huán)節(jié),企業(yè)的信息系統(tǒng)可以分為三層,依次為業(yè)務(wù)計劃層、制造執(zhí)行層和過程控制層,是決策細(xì)化下達(dá)和執(zhí)行結(jié)果匯總上傳的信息溝通模式。
從網(wǎng)絡(luò)構(gòu)成來說,業(yè)務(wù)計劃層是企業(yè)的辦公網(wǎng),主要涉及企業(yè)級應(yīng)用,如ERP、OA等;制造執(zhí)行層是監(jiān)控網(wǎng)絡(luò),主要部署SCADA服務(wù)器、數(shù)據(jù)庫、生產(chǎn)調(diào)度系統(tǒng)等;過程控制系統(tǒng)部署的是比較典型的控制網(wǎng)絡(luò),但也可以細(xì)分為工業(yè)以太網(wǎng)和工業(yè)總線網(wǎng),其實也是最為復(fù)雜的網(wǎng)絡(luò)。細(xì)分下來,可以按照通信線路和協(xié)議類型區(qū)分,企業(yè)辦公網(wǎng)和工程師工作站通常使用傳統(tǒng)的以太網(wǎng)相互連接;工程師工作站和PLC之間的通訊通常使用工業(yè)以太網(wǎng),目前常用的工業(yè)以太網(wǎng)協(xié)議有:Modbus TCP/IP、OPC、Profinet、Ethernet/IP、EtherCAT、Powerlink等;PLC與現(xiàn)場控制點、現(xiàn)場儀表等的連接由于目前以太網(wǎng)并不能完全勝任復(fù)雜的工控環(huán)境,無法保證通信的實時可靠,因此仍然大量使用傳統(tǒng)的現(xiàn)場總線。
圖1 典型的工業(yè)控制系統(tǒng)及工控安全產(chǎn)品的預(yù)期部署
根據(jù)目前工控信息安全面臨的威脅以及可以采取的防護(hù)措施來看,和工控安全聯(lián)系最為緊密的是信息管理層、生產(chǎn)管理層、工業(yè)控制層三個層級之間的隔離,其中使用傳統(tǒng)以太網(wǎng)互聯(lián)的信息管理層和生產(chǎn)管理層之間可以部署常規(guī)的網(wǎng)絡(luò)隔離設(shè)備和工控安全設(shè)備,包括防火墻、工控漏洞掃描、工控專用殺毒軟件、工控安管平臺,用于對與外部互聯(lián)網(wǎng)通訊的數(shù)據(jù)進(jìn)行過濾,同時對整個執(zhí)行制造層和過程控制層進(jìn)行監(jiān)控和管理;使用工業(yè)以太網(wǎng)互聯(lián)的生產(chǎn)管理層和工業(yè)控制層之間通常部署工控防火墻、現(xiàn)場環(huán)境邊界安全專用網(wǎng)關(guān)和工控異常行為監(jiān)測與審計,主要用于防范在工程師工作站通過不安全的移動設(shè)備未授權(quán)接入帶來的病毒和木馬,同時對工控網(wǎng)絡(luò)進(jìn)行安全審計,及時發(fā)現(xiàn)異常情況并報警。
此外,作為信息安全中不可或缺的一部分,工業(yè)控制系統(tǒng)的信息安全還需要安全服務(wù)的支撐,包括風(fēng)險評估、安全審計、咨詢培訓(xùn)、安全管理等多個方面,目前這部分的工作仍然基本處于空白。
4 工控安全相關(guān)標(biāo)準(zhǔn)
工控信息安全專用產(chǎn)品作為剛起步的信息安全產(chǎn)品類別,尚沒有完善的標(biāo)準(zhǔn)體系,但是相關(guān)的標(biāo)準(zhǔn)制定工作已經(jīng)開展。我國的相關(guān)標(biāo)準(zhǔn)制定工作起步較晚,目前國際上較為完善的工業(yè)控制信息安全標(biāo)準(zhǔn)體系為IEC62443工業(yè)通信網(wǎng)絡(luò)信息安全系列標(biāo)準(zhǔn),是由IEC/TC65/WG10(工業(yè)過程測量、控制與自動化/網(wǎng)絡(luò)與系統(tǒng)信息安全工作組)與國際自動化協(xié)會ISA99成立的聯(lián)合工作組共同制定的,并在2011年對標(biāo)準(zhǔn)體系進(jìn)行了優(yōu)化,定名為《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》,包含了通用、信息安全程序、系統(tǒng)技術(shù)和部件技術(shù)4部分共12個文檔,對資產(chǎn)所有者、系統(tǒng)集成商、組件供應(yīng)商進(jìn)行了相關(guān)信息安全的要求。
目前,制定我國工控信息安全相關(guān)標(biāo)準(zhǔn)的組織主要有全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)和全國工業(yè)過程測量和控制標(biāo)準(zhǔn)化技術(shù)委員會(TC124),對工業(yè)控制系統(tǒng)信息安全的基礎(chǔ)標(biāo)準(zhǔn)、安全管理、安全策略和應(yīng)用標(biāo)準(zhǔn)開展制定工作。其中包含了工業(yè)控制系統(tǒng)的安全防護(hù)要求、等級保護(hù)、網(wǎng)絡(luò)安全防護(hù)、風(fēng)險評估和安全產(chǎn)品和系統(tǒng)測評相關(guān)工作的標(biāo)準(zhǔn)。此外,在行業(yè)標(biāo)準(zhǔn)方面,電力系統(tǒng)最早關(guān)注工控信息安全,其標(biāo)準(zhǔn)化進(jìn)度也相對較為領(lǐng)先;而公安行業(yè)標(biāo)準(zhǔn)近兩年也開始制定相關(guān)工控安全標(biāo)準(zhǔn),主要關(guān)注專用的信息安全防護(hù)產(chǎn)品,涉及工控防火墻、工控審計產(chǎn)品、工控安全隔離與信息交換系統(tǒng)、工控安全管理平臺和工控入侵檢測系統(tǒng)等。在發(fā)改委組織實施的2012、2013年國家信息安全專項中,工控領(lǐng)域的安全產(chǎn)品已經(jīng)形成了較為完善的行業(yè)標(biāo)準(zhǔn)和相應(yīng)的測評方案。
5 對我國工控安全工作的建議
目前,國外的工控信息安全領(lǐng)域經(jīng)過十多年的發(fā)展,已經(jīng)形成了一套含風(fēng)險信息發(fā)布、共享、風(fēng)險漏洞處理、安全態(tài)勢預(yù)警感知和響應(yīng)多個環(huán)節(jié)在內(nèi)的完善信息安全事件響應(yīng)隊伍和具有強大的漏洞驗證分析和技術(shù)支撐能力的機構(gòu);對于工控信息安全產(chǎn)品和系統(tǒng)的測試與評估,也有較為完善的標(biāo)準(zhǔn)、評估體系和豐富的評估測試工具。
對比國外的發(fā)展趨勢,我國的工控安全工作應(yīng)該在以下幾個方面進(jìn)行借鑒和思考:
(1)對風(fēng)險處理機制進(jìn)一步完善,共享工控安全風(fēng)險信息;
(2)檢測審計工控安全異常數(shù)據(jù),關(guān)聯(lián)分析構(gòu)成預(yù)警體系;
(3)相關(guān)研究機構(gòu)成立響應(yīng)小組,打造應(yīng)急相應(yīng)技術(shù)團(tuán)隊;
(4)加強工控信息安全標(biāo)準(zhǔn)制定,規(guī)范產(chǎn)品系統(tǒng)測試評估;
(5)對重點行業(yè)定期檢查和認(rèn)證,構(gòu)建我國工控安全認(rèn)證。
6 結(jié)語
工業(yè)控制系統(tǒng)信息安全作為近年來越來越受到重視和政策支持的領(lǐng)域,充滿了挑戰(zhàn)和機遇,從工控系統(tǒng)的設(shè)計規(guī)劃到運行維護(hù)必須將信息安全考慮在每一個環(huán)節(jié)之中;工控信息安全專用產(chǎn)品和安全服務(wù)作為工控信息安全系統(tǒng)的重要組成部分,仍然處于起步階段且缺少完善的標(biāo)準(zhǔn)體系和評價方法;因此,我國的工控安全工作仍然需要進(jìn)一步的加強,逐步形成成熟的體系和產(chǎn)業(yè)化,為我國的工業(yè)生產(chǎn)安全保駕護(hù)航。
作者簡介
田原(1988-),遼寧昌圖人,碩士,畢業(yè)于西安交通大學(xué),現(xiàn)就職于公安部第三研究所,主要從事計算機信息安全產(chǎn)品檢測等工作。
參考文獻(xiàn)
[1]工信部.關(guān)于加強工業(yè)與控制系統(tǒng)信息安全管理的通知.
[2]工信部電子科學(xué)技術(shù)情報研究所.2014年工業(yè)控制系統(tǒng)信息安全藍(lán)皮書[R]. 2014.
[3]沈清泓.工業(yè)控制系統(tǒng)三層網(wǎng)絡(luò)的信息安全檢測與認(rèn)證[J].自動化博覽, 2014 (7) : 68-71.
[4]歐陽勁松,丁露.IEC62443工控網(wǎng)絡(luò)與系統(tǒng)信息安全標(biāo)準(zhǔn)綜述[J].信息技術(shù)與標(biāo)準(zhǔn)化,2012 (3) : 24-27.
[5]王斌.工業(yè)控制系統(tǒng)信息安全的安全保障-Achilles認(rèn)證[J].自動化博覽, 2014 (1) : 50-52.
[6]王婷,向憧,韓雷峰,彭勇.2013年工業(yè)控制系統(tǒng)信息安全觀察與思考[J]. 2014 (4) : 114-115.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號