今日頭條
官方微信
官方抖音
資訊頻道
摘要:本文從工業(yè)控制系統(tǒng)信息安全的現(xiàn)狀入手,簡(jiǎn)要總結(jié)和分析了我國(guó)工控安全的相關(guān)政策,根據(jù)工控系統(tǒng)的三層結(jié)構(gòu),梳理了工控信息安全專用產(chǎn)品的發(fā)展現(xiàn)狀,同時(shí)簡(jiǎn)要介紹了工控信息安全領(lǐng)域標(biāo)準(zhǔn)化工作的開(kāi)展情況,最后對(duì)我國(guó)工控信息安全工作提出了一些建議。
關(guān)鍵詞:工業(yè)控制系統(tǒng);信息安全;政策;產(chǎn)品;標(biāo)準(zhǔn)
Abstract: This paper briefly summarized and analyzed the China's industrial safety policiesbased on the current situation of ICS's Information Security. According to 3-Level model of ICS,this paper introduced the development status of ICS information security products and discussed the development of ICS standardized affairs. Finally some
recommendations to China industrial information security are given.
Key words: ICS; Information security; Policy; Products; Criterion
1 引言
近年來(lái),自動(dòng)化領(lǐng)域?qū)I(yè)控制系統(tǒng)(ICS)的需求不斷提升,特別是兩化融合以來(lái),對(duì)工業(yè)控制系統(tǒng)的實(shí)時(shí)性、可交互性等要求越來(lái)越高。以往的工業(yè)控制系統(tǒng)是孤立、封閉的信息系統(tǒng),而隨著工業(yè)控制系統(tǒng)本身對(duì)控制實(shí)時(shí)響應(yīng)速度的要求不斷提高,工業(yè)控制系統(tǒng)的大型化和多個(gè)工業(yè)控制系統(tǒng)之間互聯(lián)互通、整體協(xié)調(diào)需求的提出,工業(yè)控制系統(tǒng)逐漸向信息技術(shù)(IT)發(fā)展,從基于現(xiàn)場(chǎng)總線的單層過(guò)程控制網(wǎng)絡(luò)發(fā)展到了通過(guò)工業(yè)以太網(wǎng)與工程師工作站所在的過(guò)程管理網(wǎng)絡(luò)再到和企業(yè)辦公網(wǎng)絡(luò)互聯(lián)的多層結(jié)構(gòu)的復(fù)雜網(wǎng)絡(luò)。
然而,由于工業(yè)控制系統(tǒng)在開(kāi)發(fā)初期主要關(guān)注可用性和可靠性,而對(duì)保密性和安全性要求不高,不可避免地存在較多的安全缺陷。據(jù)相關(guān)統(tǒng)計(jì),自2010年專門針對(duì)工業(yè)控制系統(tǒng)進(jìn)行攻擊的“震網(wǎng)”病毒被發(fā)現(xiàn)以來(lái),工業(yè)控制系統(tǒng)的信息安全問(wèn)題不斷凸顯,被公開(kāi)披露的工業(yè)控制系統(tǒng)的漏洞呈井噴式的增長(zhǎng)。相應(yīng)的,工控信息安全專用產(chǎn)品也得到了越來(lái)越多的重視,研發(fā)生產(chǎn)、應(yīng)用、測(cè)試、評(píng)價(jià)標(biāo)準(zhǔn)的制定等工作也在相關(guān)政策的支持下快速地開(kāi)展起來(lái)。
2 我國(guó)工控安全的現(xiàn)狀和相關(guān)政策
隨著工控信息安全問(wèn)題的日益凸顯,我國(guó)相關(guān)職能部門也陸續(xù)出臺(tái)了針對(duì)性的政策,提高業(yè)界的重視度,規(guī)范和引領(lǐng)工控安全領(lǐng)域技術(shù)、產(chǎn)品和系統(tǒng)的研發(fā),以提高我國(guó)工控信息安全水平。今年8月8日,工信部正式發(fā)布了《2014年工業(yè)控制系統(tǒng)信息安全藍(lán)皮書(shū)》,指出目前國(guó)內(nèi)工控信息安全市場(chǎng)規(guī)模不到2億元,僅占信息安全整體市場(chǎng)1%,主要以工業(yè)防火墻和工業(yè)隔離網(wǎng)關(guān)等硬件產(chǎn)品為主,專用殺毒軟件有一定應(yīng)用,嵌入式模塊產(chǎn)品有少量應(yīng)用,安全服務(wù)尚處在初步導(dǎo)入期。其它比如入侵防護(hù)、安全審計(jì)、現(xiàn)場(chǎng)運(yùn)維管理平臺(tái)、工控可靠性安全管理平臺(tái)等產(chǎn)品處于產(chǎn)品布局期。
但是,與之相對(duì)應(yīng)的是我國(guó)工控安全嚴(yán)峻的現(xiàn)狀,與歐美國(guó)家相比,國(guó)內(nèi)工控安全水平、發(fā)展速度與歐美發(fā)達(dá)國(guó)家相比差距仍非常大。我國(guó)工控安全相關(guān)領(lǐng)域的工作起步比較晚,2011年工信部發(fā)布《關(guān)于加強(qiáng)工業(yè)與控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號(hào),以下簡(jiǎn)稱“451號(hào)文”),451號(hào)文指出了工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性,點(diǎn)明了我國(guó)工業(yè)控制領(lǐng)域信息安全工作的問(wèn)題和不足,明確重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求,提出要建立工業(yè)控制系統(tǒng)安全測(cè)評(píng)檢查和漏洞發(fā)布制度。2012年,溫家寶總理主持召開(kāi)國(guó)務(wù)院常務(wù)會(huì)議,審議通過(guò)了《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》(國(guó)發(fā)〔2012〕23號(hào)),其中明確提出要“保障工業(yè)控制系統(tǒng)信息安全”。2012年和2013年連續(xù)兩年的發(fā)改委國(guó)家信息安全專項(xiàng)中均有對(duì)工業(yè)控制信息安全領(lǐng)域相關(guān)產(chǎn)品的支持,包含了工控防火墻、工控系統(tǒng)異常行為審計(jì)、工控安管平臺(tái)、面向現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)、面向集散控制系統(tǒng)(DCS)的異常監(jiān)測(cè)、安全采集遠(yuǎn)程終端單元(RTU)和工業(yè)應(yīng)用軟件漏洞掃描等多種類型的工業(yè)控制系統(tǒng)安全產(chǎn)品。
可以看出,目前我國(guó)工控安全行業(yè)處于剛起步階段,很多方面都處于空白待探索的現(xiàn)狀,不過(guò)雖然規(guī)模小,但由于工控安全牽扯到工業(yè)生產(chǎn)運(yùn)行安全、國(guó)家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全,因此政策上的扶持力度非常大。
3 工控信息安全專用產(chǎn)品和系統(tǒng)
目前,一個(gè)典型的工業(yè)控制系統(tǒng)的結(jié)構(gòu)如圖1所示,按照AMR組織提出的一個(gè)通用的制造企業(yè)信息傳遞的環(huán)節(jié),企業(yè)的信息系統(tǒng)可以分為三層,依次為業(yè)務(wù)計(jì)劃層、制造執(zhí)行層和過(guò)程控制層,是決策細(xì)化下達(dá)和執(zhí)行結(jié)果匯總上傳的信息溝通模式。
從網(wǎng)絡(luò)構(gòu)成來(lái)說(shuō),業(yè)務(wù)計(jì)劃層是企業(yè)的辦公網(wǎng),主要涉及企業(yè)級(jí)應(yīng)用,如ERP、OA等;制造執(zhí)行層是監(jiān)控網(wǎng)絡(luò),主要部署SCADA服務(wù)器、數(shù)據(jù)庫(kù)、生產(chǎn)調(diào)度系統(tǒng)等;過(guò)程控制系統(tǒng)部署的是比較典型的控制網(wǎng)絡(luò),但也可以細(xì)分為工業(yè)以太網(wǎng)和工業(yè)總線網(wǎng),其實(shí)也是最為復(fù)雜的網(wǎng)絡(luò)。細(xì)分下來(lái),可以按照通信線路和協(xié)議類型區(qū)分,企業(yè)辦公網(wǎng)和工程師工作站通常使用傳統(tǒng)的以太網(wǎng)相互連接;工程師工作站和PLC之間的通訊通常使用工業(yè)以太網(wǎng),目前常用的工業(yè)以太網(wǎng)協(xié)議有:Modbus TCP/IP、OPC、Profinet、Ethernet/IP、EtherCAT、Powerlink等;PLC與現(xiàn)場(chǎng)控制點(diǎn)、現(xiàn)場(chǎng)儀表等的連接由于目前以太網(wǎng)并不能完全勝任復(fù)雜的工控環(huán)境,無(wú)法保證通信的實(shí)時(shí)可靠,因此仍然大量使用傳統(tǒng)的現(xiàn)場(chǎng)總線。
根據(jù)目前工控信息安全面臨的威脅以及可以采取的防護(hù)措施來(lái)看,和工控安全聯(lián)系最為緊密的是信息管理層、生產(chǎn)管理層、工業(yè)控制層三個(gè)層級(jí)之間的隔離,其中使用傳統(tǒng)以太網(wǎng)互聯(lián)的信息管理層和生產(chǎn)管理層之間可以部署常規(guī)的網(wǎng)絡(luò)隔離設(shè)備和工控安全設(shè)備,包括防火墻、工控漏洞掃描、工控專用殺毒軟件、工控安管平臺(tái),用于對(duì)與外部互聯(lián)網(wǎng)通訊的數(shù)據(jù)進(jìn)行過(guò)濾,同時(shí)對(duì)整個(gè)執(zhí)行制造層和過(guò)程控制層進(jìn)行監(jiān)控和管理;使用工業(yè)以太網(wǎng)互聯(lián)的生產(chǎn)管理層和工業(yè)控制層之間通常部署工控防火墻、現(xiàn)場(chǎng)環(huán)境邊界安全專用網(wǎng)關(guān)和工控異常行為監(jiān)測(cè)與審計(jì),主要用于防范在工程師工作站通過(guò)不安全的移動(dòng)設(shè)備未授權(quán)接入帶來(lái)的病毒和木馬,同時(shí)對(duì)工控網(wǎng)絡(luò)進(jìn)行安全審計(jì),及時(shí)發(fā)現(xiàn)異常情況并報(bào)警。
此外,作為信息安全中不可或缺的一部分,工業(yè)控制系統(tǒng)的信息安全還需要安全服務(wù)的支撐,包括風(fēng)險(xiǎn)評(píng)估、安全審計(jì)、咨詢培訓(xùn)、安全管理等多個(gè)方面,目前這部分的工作仍然基本處于空白。
4 工控安全相關(guān)標(biāo)準(zhǔn)
工控信息安全專用產(chǎn)品作為剛起步的信息安全產(chǎn)品類別,尚沒(méi)有完善的標(biāo)準(zhǔn)體系,但是相關(guān)的標(biāo)準(zhǔn)制定工作已經(jīng)開(kāi)展。我國(guó)的相關(guān)標(biāo)準(zhǔn)制定工作起步較晚,目前國(guó)際上較為完善的工業(yè)控制信息安全標(biāo)準(zhǔn)體系為IEC62443工業(yè)通信網(wǎng)絡(luò)信息安全系列標(biāo)準(zhǔn),是由IEC/TC65/WG10(工業(yè)過(guò)程測(cè)量、控制與自動(dòng)化/網(wǎng)絡(luò)與系統(tǒng)信息安全工作組)與國(guó)際自動(dòng)化協(xié)會(huì)ISA99成立的聯(lián)合工作組共同制定的,并在2011年對(duì)標(biāo)準(zhǔn)體系進(jìn)行了優(yōu)化,定名為《工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信息安全》,包含了通用、信息安全程序、系統(tǒng)技術(shù)和部件技術(shù)4部分共12個(gè)文檔,對(duì)資產(chǎn)所有者、系統(tǒng)集成商、組件供應(yīng)商進(jìn)行了相關(guān)信息安全的要求。
目前,制定我國(guó)工控信息安全相關(guān)標(biāo)準(zhǔn)的組織主要有全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)和全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC124),對(duì)工業(yè)控制系統(tǒng)信息安全的基礎(chǔ)標(biāo)準(zhǔn)、安全管理、安全策略和應(yīng)用標(biāo)準(zhǔn)開(kāi)展制定工作。其中包含了工業(yè)控制系統(tǒng)的安全防護(hù)要求、等級(jí)保護(hù)、網(wǎng)絡(luò)安全防護(hù)、風(fēng)險(xiǎn)評(píng)估和安全產(chǎn)品和系統(tǒng)測(cè)評(píng)相關(guān)工作的標(biāo)準(zhǔn)。此外,在行業(yè)標(biāo)準(zhǔn)方面,電力系統(tǒng)最早關(guān)注工控信息安全,其標(biāo)準(zhǔn)化進(jìn)度也相對(duì)較為領(lǐng)先;而公安行業(yè)標(biāo)準(zhǔn)近兩年也開(kāi)始制定相關(guān)工控安全標(biāo)準(zhǔn),主要關(guān)注專用的信息安全防護(hù)產(chǎn)品,涉及工控防火墻、工控審計(jì)產(chǎn)品、工控安全隔離與信息交換系統(tǒng)、工控安全管理平臺(tái)和工控入侵檢測(cè)系統(tǒng)等。在發(fā)改委組織實(shí)施的2012、2013年國(guó)家信息安全專項(xiàng)中,工控領(lǐng)域的安全產(chǎn)品已經(jīng)形成了較為完善的行業(yè)標(biāo)準(zhǔn)和相應(yīng)的測(cè)評(píng)方案。
5 對(duì)我國(guó)工控安全工作的建議
目前,國(guó)外的工控信息安全領(lǐng)域經(jīng)過(guò)十多年的發(fā)展,已經(jīng)形成了一套含風(fēng)險(xiǎn)信息發(fā)布、共享、風(fēng)險(xiǎn)漏洞處理、安全態(tài)勢(shì)預(yù)警感知和響應(yīng)多個(gè)環(huán)節(jié)在內(nèi)的完善信息安全事件響應(yīng)隊(duì)伍和具有強(qiáng)大的漏洞驗(yàn)證分析和技術(shù)支撐能力的機(jī)構(gòu);對(duì)于工控信息安全產(chǎn)品和系統(tǒng)的測(cè)試與評(píng)估,也有較為完善的標(biāo)準(zhǔn)、評(píng)估體系和豐富的評(píng)估測(cè)試工具。
對(duì)比國(guó)外的發(fā)展趨勢(shì),我國(guó)的工控安全工作應(yīng)該在以下幾個(gè)方面進(jìn)行借鑒和思考:
(1)對(duì)風(fēng)險(xiǎn)處理機(jī)制進(jìn)一步完善,共享工控安全風(fēng)險(xiǎn)信息;
(2)檢測(cè)審計(jì)工控安全異常數(shù)據(jù),關(guān)聯(lián)分析構(gòu)成預(yù)警體系;
(3)相關(guān)研究機(jī)構(gòu)成立響應(yīng)小組,打造應(yīng)急相應(yīng)技術(shù)團(tuán)隊(duì);
(4)加強(qiáng)工控信息安全標(biāo)準(zhǔn)制定,規(guī)范產(chǎn)品系統(tǒng)測(cè)試評(píng)估;
(5)對(duì)重點(diǎn)行業(yè)定期檢查和認(rèn)證,構(gòu)建我國(guó)工控安全認(rèn)證。
6 結(jié)語(yǔ)
工業(yè)控制系統(tǒng)信息安全作為近年來(lái)越來(lái)越受到重視和政策支持的領(lǐng)域,充滿了挑戰(zhàn)和機(jī)遇,從工控系統(tǒng)的設(shè)計(jì)規(guī)劃到運(yùn)行維護(hù)必須將信息安全考慮在每一個(gè)環(huán)節(jié)之中;工控信息安全專用產(chǎn)品和安全服務(wù)作為工控信息安全系統(tǒng)的重要組成部分,仍然處于起步階段且缺少完善的標(biāo)準(zhǔn)體系和評(píng)價(jià)方法;因此,我國(guó)的工控安全工作仍然需要進(jìn)一步的加強(qiáng),逐步形成成熟的體系和產(chǎn)業(yè)化,為我國(guó)的工業(yè)生產(chǎn)安全保駕護(hù)航。
參考文獻(xiàn)
[1] 工信部. 關(guān)于加強(qiáng)工業(yè)與控制系統(tǒng)信息安全管理的通知.
[2] 工信部電子科學(xué)技術(shù)情報(bào)研究所. 2014年工業(yè)控制系統(tǒng)信息安全藍(lán)皮書(shū)[R]. 2014.
[3] 沈清泓. 工業(yè)控制系統(tǒng)三層網(wǎng)絡(luò)的信息安全檢測(cè)與認(rèn)證[J].自動(dòng)化博覽, 2014 (7) : 68-71.
[4] 歐陽(yáng)勁松, 丁露.IEC62443工控網(wǎng)絡(luò)與系統(tǒng)信息安全標(biāo)準(zhǔn)綜述[J].信息技術(shù)與標(biāo)準(zhǔn)化, 2012 (3) : 24-27.
[5] 王斌. 工業(yè)控制系統(tǒng)信息安全的安全保障-Achilles認(rèn)證[J].自動(dòng)化博覽, 2014 (1) : 50-52.
[6] 王婷, 向憧, 韓雷峰, 彭勇. 2013年工業(yè)控制系統(tǒng)信息安全觀察與思考[J]. 2014 (4) : 114-115.
作者簡(jiǎn)介
田原(1988-),遼寧昌圖人,碩士,畢業(yè)于西安交通大學(xué),現(xiàn)就職于公安部第三研究所,主要從事計(jì)算機(jī)信息安全產(chǎn)品檢測(cè)等工作。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)