今日頭條
官方微信
官方抖音
資訊頻道
1 引言
眾所周知,工業(yè)控制系統(tǒng)信息安全問(wèn)題涉及石油、化工、電力、核設(shè)施、交通、冶金、水處理、生產(chǎn)制造等行業(yè),直接關(guān)系到國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和國(guó)民經(jīng)濟(jì)。由于工業(yè)控制系統(tǒng)安全事故頻發(fā)并呈逐年上升趨勢(shì),工業(yè)控制系統(tǒng)信息安全的嚴(yán)峻形勢(shì)引起了國(guó)內(nèi)外的高度關(guān)注。
工業(yè)控制系統(tǒng)信息安全,是資產(chǎn)擁有者(有時(shí)也稱組織機(jī)構(gòu),即用戶)、工程公司、設(shè)計(jì)院、施工單位、工業(yè)控制系統(tǒng)產(chǎn)品制造商、工業(yè)控制系統(tǒng)集成商、相關(guān)職能部門等共同關(guān)心的話題。那么,在這些單位和部門之間,如何做好工業(yè)控制系統(tǒng)信息安全工作?在組織機(jī)構(gòu)內(nèi),自動(dòng)化專業(yè)組、IT專業(yè)組、HSE專業(yè)組和生產(chǎn)運(yùn)營(yíng)組等如何協(xié)作?做好工業(yè)控制系統(tǒng)信息安全,需要了解哪些標(biāo)準(zhǔn)規(guī)范、掌握哪些專業(yè)理論知識(shí)和具備哪些專業(yè)實(shí)務(wù)?鑒于這些問(wèn)題,本文將分析目前工業(yè)控制系統(tǒng)信息安全現(xiàn)狀,闡述工業(yè)控制系統(tǒng)信息安全重要性,并詳細(xì)介紹工業(yè)控制系統(tǒng)信息安全系統(tǒng)學(xué)習(xí)。筆者期待與各位專業(yè)同行探討,共同推進(jìn)工業(yè)控制系統(tǒng)信息安全的全面建設(shè)。
2 工業(yè)控制系統(tǒng)信息系統(tǒng)安全發(fā)展現(xiàn)狀及其重要性
2.1 工業(yè)控制系統(tǒng)信息安全發(fā)展現(xiàn)狀
信息化與工業(yè)化的融合,智能制造,已成為我國(guó)工業(yè)制造業(yè)發(fā)展趨勢(shì)。這種趨勢(shì)給我們的工業(yè)控制系統(tǒng)提出更高的要求,同時(shí)也帶來(lái)前所未有的信息安全挑戰(zhàn)。在工業(yè)化、信息化、智能化發(fā)展過(guò)程中,現(xiàn)有工控系統(tǒng)的軟硬件、通信協(xié)議,以及管理環(huán)節(jié)往往都存在信息安全隱患風(fēng)險(xiǎn)。近年來(lái),工控系統(tǒng)信息安全事件逐年增加,嚴(yán)重影響國(guó)家和地區(qū)的重要基礎(chǔ)設(shè)施安全,造成的損失和危害越來(lái)越嚴(yán)重,安全形勢(shì)刻不容緩。
目前,我國(guó)工業(yè)控制系統(tǒng)信息安全現(xiàn)狀主要表現(xiàn)為以下幾方面:
(1)工業(yè)控制系統(tǒng)信息安全意識(shí)有待提高。通過(guò)分析,許多工控安全事件與企業(yè)或員工信息安全意識(shí)不強(qiáng)密不可分。養(yǎng)成良好的工業(yè)控制系統(tǒng)信息安全意識(shí),員工可以有效避免誤操作,主動(dòng)發(fā)現(xiàn)和及時(shí)處理漏洞;企業(yè)可以加強(qiáng)信息安全管理,直至定期對(duì)企業(yè)員工進(jìn)行信息安全事故演練,模擬在面對(duì)工控安全突發(fā)事件時(shí)的應(yīng)急響應(yīng)。
(2)工業(yè)控制系統(tǒng)信息安全要求和標(biāo)準(zhǔn)有待熟悉。國(guó)家相關(guān)部門針對(duì)工業(yè)控制系統(tǒng)信息安全發(fā)出通知,相關(guān)單位組織專家建立了相應(yīng)的國(guó)標(biāo)和行業(yè)標(biāo)準(zhǔn),國(guó)際標(biāo)準(zhǔn)組織也制定和發(fā)布了一些標(biāo)準(zhǔn)和規(guī)范。我們需要對(duì)這些通知要求和標(biāo)準(zhǔn)盡快熟悉,才能在工作中進(jìn)行運(yùn)用。
(3)工業(yè)控制系統(tǒng)信息安全新知識(shí)有待學(xué)習(xí)。工控系統(tǒng)信息安全作為新的領(lǐng)域,必然會(huì)有一些新的專業(yè)知識(shí)和理論需要我們不斷學(xué)習(xí)和探索。工業(yè)用戶、工程公司、設(shè)計(jì)院、施工單位、工業(yè)控制系統(tǒng)產(chǎn)品制造商、工業(yè)控制系統(tǒng)集成商、相關(guān)職能部門等都需要及時(shí)補(bǔ)上這個(gè)短板。
2.2 工業(yè)控制系統(tǒng)信息安全重要性
工業(yè)控制系統(tǒng)信息安全直接影響工業(yè)控制系統(tǒng)用戶的人員安全、生產(chǎn)和效益,間接關(guān)系到工業(yè)企業(yè)的名譽(yù)、社會(huì)責(zé)任和發(fā)展戰(zhàn)略。因此,工業(yè)控制系統(tǒng)信息安全是工業(yè)企業(yè)的健康、安全和環(huán)境(HSE)管理體系的基本組成部分。
工業(yè)控制系統(tǒng)信息安全關(guān)系到國(guó)家的信息安全、環(huán)境保護(hù)、經(jīng)濟(jì)建設(shè)和戰(zhàn)略部署。因此,工業(yè)控制系統(tǒng)信息安全已經(jīng)上升至國(guó)家層面,是國(guó)家網(wǎng)絡(luò)安全的重要組成部分。
工業(yè)控制系統(tǒng)信息安全是現(xiàn)代工業(yè)發(fā)展的必然要求。兩化融合和智能制造,必然對(duì)工控系統(tǒng)信息保護(hù)提出越來(lái)越高的要求。因此,工業(yè)控制系統(tǒng)信息安全,是現(xiàn)代工業(yè)發(fā)展不可或缺的部分。
3 工業(yè)控制系統(tǒng)信息安全系統(tǒng)學(xué)習(xí)
根據(jù)目前出版的《工業(yè)控制系統(tǒng)信息安全》一書和目前發(fā)表的相關(guān)專業(yè)技術(shù)論文來(lái)看,工業(yè)控制系統(tǒng)信息安全系統(tǒng)學(xué)習(xí)應(yīng)包括工業(yè)控制系統(tǒng)信息安全概念和標(biāo)準(zhǔn)體系、工業(yè)控制系統(tǒng)架構(gòu)和漏洞分析、工業(yè)控制系統(tǒng)信息安全技術(shù)與方案部署、工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估、工業(yè)控制系統(tǒng)信息安全生命周期、工業(yè)控制系統(tǒng)信息安全管理體系、工業(yè)控制系統(tǒng)信息安全項(xiàng)目工程、工業(yè)控制系統(tǒng)信息安全產(chǎn)品認(rèn)證、工業(yè)控制系統(tǒng)入侵檢測(cè)與入侵防護(hù)、工業(yè)控制系統(tǒng)補(bǔ)丁管理、工業(yè)控制系統(tǒng)信息安全應(yīng)用實(shí)例和未來(lái)展望。
3.1 工業(yè)控制系統(tǒng)信息安全簡(jiǎn)介
做好工業(yè)控制系統(tǒng)信息安全,需要了解其現(xiàn)狀、威脅與趨勢(shì),知道工業(yè)控制系統(tǒng)信息安全定義與要求,還需熟悉相關(guān)國(guó)內(nèi)外規(guī)范要求。
3.1.1 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀、威脅與趨勢(shì)
工業(yè)控制系統(tǒng)信息安全現(xiàn)狀,前面已介紹,在此不進(jìn)行闡述。工業(yè)控制系統(tǒng)信息安全的威脅主要來(lái)自敵對(duì)因素、偶然因素、系統(tǒng)結(jié)構(gòu)因素和環(huán)境因素。工業(yè)控制系統(tǒng)信息安全趨勢(shì)主要有三個(gè):分布式全行業(yè)覆蓋趨勢(shì)、經(jīng)濟(jì)越發(fā)達(dá)安全事件越多趨勢(shì)和日益增多趨勢(shì)。
3.1.2 工業(yè)控制系統(tǒng)信息安全定義與要求
在IEC 62443中對(duì)工業(yè)信息安全的定義是:(1)保護(hù)系統(tǒng)所采取的措施;(2)由建立和維護(hù)保護(hù)系統(tǒng)的措施所得到的系統(tǒng)狀態(tài);(3)能夠免于對(duì)系統(tǒng)資源的非授權(quán)訪問(wèn)和非授權(quán)或意外的變更、破壞或者損失;(4)基于計(jì)算機(jī)系統(tǒng)的能力,能夠保證非授權(quán)人員和系統(tǒng)既無(wú)法修改軟件及其數(shù)據(jù)又無(wú)法訪問(wèn)系統(tǒng)功能,卻保證授權(quán)人員和系統(tǒng)不被阻止;(5)防止對(duì)工業(yè)控制系統(tǒng)的非法或有害入侵,或者干擾其正確和計(jì)劃的操作。
工業(yè)控制系統(tǒng)信息安全的三個(gè)基本要求依次為:可用性、完整性和保密性。
同時(shí)我們應(yīng)該看到,工業(yè)控制系統(tǒng)信息安全與信息技術(shù)系統(tǒng)安全比較,兩者有明顯的不同。
3.1.3 工業(yè)控制系統(tǒng)信息安全要求和標(biāo)準(zhǔn)體系
國(guó)務(wù)院、工業(yè)和信息化部、國(guó)家發(fā)改委、電力行業(yè)等已發(fā)布有關(guān)工業(yè)控制系統(tǒng)信息安全管理的通知、要求和文件。
IEC 62443《工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信息安全》、IEC 62351《電力系統(tǒng)管理與相關(guān)信息交互數(shù)據(jù)和通信信息安全》、IEC 62278《軌道交通可靠性、可用性、可維修性和安全性規(guī)范及示例》、ISO/IEC 27000《信息安全管理系統(tǒng)》等國(guó)際標(biāo)準(zhǔn)體系已建立或逐步建立。
GB/T 30976.1-2014《工控系統(tǒng)信息安全 第1部分:評(píng)估規(guī)范》、GB/T 30976.2-2014《工控系統(tǒng)信息安全 第2部分:驗(yàn)收規(guī)范》、GB/Z 25320《電力系統(tǒng)管理及其信息交換 數(shù)據(jù)和通信安全》系列、GB/T 13284.1-2008《核電廠安全系統(tǒng) 第1部分 設(shè)計(jì)準(zhǔn)則》、GB/T 13629-2008《核電廠安全系統(tǒng)中數(shù)字計(jì)算機(jī)的適用準(zhǔn)則》、JB/T 11960-2014 《工業(yè)過(guò)程測(cè)量和控制安全網(wǎng)絡(luò)和系統(tǒng)安全》(IEC/TR62443-3:2008)、JB/T 11961-2014《工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全術(shù)語(yǔ)、概念和模型》(IEC /TS62443-1-1:2009)、JB/T 11962-2014 《工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全 工業(yè)自動(dòng)化和控制系統(tǒng)信息安全技術(shù)》(IEC/TR62443-3-1:2009)、HAD102-16 《核電廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件》等國(guó)內(nèi)標(biāo)準(zhǔn)體系已經(jīng)建立。
這些有關(guān)工業(yè)控制系統(tǒng)信息安全的通知、要求、文件、國(guó)際標(biāo)準(zhǔn)、國(guó)內(nèi)標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),給我們的工業(yè)控制系統(tǒng)信息安全工作提供明確的指導(dǎo)。同時(shí),使得工業(yè)控制系統(tǒng)信息安全工作開(kāi)展有章可循。
3.2 工業(yè)控制系統(tǒng)架構(gòu)與漏洞分析
做好工業(yè)控制系統(tǒng)信息安全,要了解工業(yè)控制系統(tǒng)架構(gòu),要分析工業(yè)控制系統(tǒng)漏洞。
(1)工業(yè)控制系統(tǒng)架構(gòu)
按照ANSI/ISA-95.00.01企業(yè)分層模型,可繪制企業(yè)典型分層架構(gòu)圖,如圖1所示。典型的企業(yè)生產(chǎn)或制造系統(tǒng)包括現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、過(guò)程監(jiān)控層、制造執(zhí)行系統(tǒng)(MES)層、企業(yè)管理層和外部網(wǎng)絡(luò)。由圖1可以看出,以制造執(zhí)行系統(tǒng)(MES)層分界,向上為通用IT領(lǐng)域,向下為工業(yè)控制系統(tǒng)領(lǐng)域。
圖1 企業(yè)典型分層架構(gòu)圖
(2) 工業(yè)控制系統(tǒng)漏洞分析
分析工業(yè)控制系統(tǒng)漏洞,要詳細(xì)了解工業(yè)控制系統(tǒng)技術(shù)演變,詳細(xì)比較工業(yè)控制系統(tǒng)與通用信息系統(tǒng),挖掘工業(yè)控制系統(tǒng)信息安全問(wèn)題根源,直至詳細(xì)分析出工業(yè)控制系統(tǒng)漏洞。
3.3 工業(yè)控制系統(tǒng)信息安全技術(shù)與方案部署
做好工業(yè)控制系統(tǒng)信息安全,要全面理解工業(yè)控制系統(tǒng)信息安全技術(shù),要掌握工業(yè)控制系統(tǒng)信息安全方案部署。
(1)工業(yè)控制系統(tǒng)信息安全技術(shù)簡(jiǎn)介
目前,工業(yè)控制系統(tǒng)信息安全技術(shù)有五大類,包括鑒別與授權(quán)技術(shù)類;過(guò)濾、阻止、訪問(wèn)控制技術(shù)類;編碼技術(shù)與數(shù)據(jù)確認(rèn)技術(shù)類;管理、審計(jì)、測(cè)量、監(jiān)控和檢測(cè)技術(shù)類;物理安全控制技術(shù)類。
工業(yè)控制系統(tǒng)信息安全技術(shù)每個(gè)類別又包含多種技術(shù),具體分類如圖2所示。
圖2 工業(yè)控制系統(tǒng)信息安全技術(shù)分類圖
(2)工業(yè)控制系統(tǒng)信息安全方案部署(即網(wǎng)絡(luò)隔離)
公司管理網(wǎng)絡(luò)與工業(yè)控制系統(tǒng)網(wǎng)絡(luò)之間,通過(guò)采用不同的架構(gòu)進(jìn)行網(wǎng)絡(luò)隔離,加強(qiáng)網(wǎng)絡(luò)信息安全。
工業(yè)控制系統(tǒng)信息安全方案部署,有時(shí)也稱為網(wǎng)絡(luò)隔離,通常包括雙宿主計(jì)算機(jī)、防火墻位于公司網(wǎng)與控制網(wǎng)間、防火墻與路由器位于公司網(wǎng)與控制網(wǎng)間、防火墻帶DMZ位于公司網(wǎng)與控制網(wǎng)間、雙防火墻位于公司網(wǎng)與控制網(wǎng)間等五種架構(gòu)。我們應(yīng)仔細(xì)分析各種架構(gòu)優(yōu)缺點(diǎn),從而找出適用于工業(yè)控制系統(tǒng)的安全架構(gòu)。
3.4 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估
做好工業(yè)控制系統(tǒng)信息安全,要對(duì)工業(yè)控制系統(tǒng)進(jìn)行識(shí)別,要理解區(qū)域和管道兩個(gè)概念,要掌握信息安全等級(jí),要熟悉風(fēng)險(xiǎn)評(píng)估過(guò)程,要學(xué)會(huì)相應(yīng)的評(píng)估方法。
(1)系統(tǒng)識(shí)別。工業(yè)企業(yè)應(yīng)考慮工業(yè)控制系統(tǒng)信息安全的范圍、邊界、設(shè)備和所有控制系統(tǒng)的訪問(wèn)點(diǎn)。
(2)區(qū)域與管道定義。理解區(qū)域和管道的定義,以便工業(yè)控制系統(tǒng)各個(gè)子系統(tǒng)進(jìn)行分段管理,并找出相應(yīng)的模板。
(3)信息安全等級(jí)(SL)。根據(jù)信息安全控制實(shí)用規(guī)則(ISO27002)的管理要求和過(guò)程自動(dòng)化用戶協(xié)會(huì)(WIB)的推薦要求,通過(guò)管理評(píng)估,將管理等級(jí)劃分為三級(jí),分別為ML1、ML2和ML3,由低到高分別對(duì)應(yīng)低級(jí)、中級(jí)和高級(jí)。基于IEC62443-3-3技術(shù)要求,通過(guò)系統(tǒng)能力(技術(shù))評(píng)估,將系統(tǒng)能力等級(jí)分為四級(jí),由小到大分別對(duì)應(yīng)系統(tǒng)能力等級(jí)的CL1、CL2、CL3和CL4。根據(jù)管理評(píng)估和系統(tǒng)能力評(píng)估的結(jié)果,可以得到工業(yè)控制系統(tǒng)的評(píng)估結(jié)果,即信息安全等級(jí),其等級(jí)劃分為四級(jí),由低到高分別對(duì)應(yīng)為SL1、SL2、SL3和SL4,如表1所示。
(4)風(fēng)險(xiǎn)評(píng)估過(guò)程。詳細(xì)的風(fēng)險(xiǎn)評(píng)估流程包括四步:準(zhǔn)備評(píng)估、開(kāi)展評(píng)估、溝通結(jié)果、維護(hù)評(píng)估。
(5)風(fēng)險(xiǎn)評(píng)估方法。風(fēng)險(xiǎn)評(píng)估方法主要有定性和定量風(fēng)險(xiǎn)評(píng)估方法、基于場(chǎng)景和資產(chǎn)風(fēng)險(xiǎn)評(píng)估方法、詳細(xì)風(fēng)險(xiǎn)評(píng)估方法、高層次風(fēng)險(xiǎn)評(píng)估方法。每種風(fēng)險(xiǎn)評(píng)估方法有不同的要求和不同的使用場(chǎng)合,因此,確定某種風(fēng)險(xiǎn)評(píng)估方法一般需要進(jìn)行篩選、選擇、驗(yàn)證和確定等四個(gè)步驟。
3.5 工業(yè)控制系統(tǒng)信息安全生命周期
做好工業(yè)控制系統(tǒng)信息安全,要理解工業(yè)控制系統(tǒng)生命周期,要熟悉工業(yè)控制系統(tǒng)信息安全程序成熟周期,要學(xué)會(huì)分析工業(yè)控制系統(tǒng)信息安全等級(jí)生命周期。
(1)工業(yè)控制系統(tǒng)生命周期
工業(yè)控制系統(tǒng)通用生命周期通常包括策劃階段、采購(gòu)階段、實(shí)施階段、運(yùn)行階段和報(bào)廢階段,其通用生命周期如圖3所示。
圖3 通用生命周期示意圖
(2)工業(yè)控制系統(tǒng)安全生命周期
工業(yè)控制系統(tǒng)安全生命周期通常用圖4所示的安全周期V模型圖來(lái)表述。
圖4 工業(yè)控制系統(tǒng)安全生命周期V模型圖
(3)工業(yè)控制系統(tǒng)信息安全程序成熟周期
一般地,工業(yè)控制系統(tǒng)信息安全程序成熟生命周期由多個(gè)階段組成,而每個(gè)階段又可以由一步或幾步組成,具體階段與步驟如圖5所示。
圖5 工業(yè)控制系統(tǒng)信息安全成熟周期圖
(4)工業(yè)控制系統(tǒng)信息安全等級(jí)生命周期
工業(yè)控制系統(tǒng)信息安全等級(jí)生命周期包括評(píng)估階段生命周期、開(kāi)發(fā)與實(shí)施階段生命周期和維護(hù)階段生命周期。工業(yè)控制系統(tǒng)信息安全等級(jí)生命周期如圖6所示。
圖6 工業(yè)控制系統(tǒng)信息安全等級(jí)生命周期圖
3.6 工業(yè)控制系統(tǒng)信息安全管理體系
做好工業(yè)控制系統(tǒng)信息安全,要掌握(PDCA)模型,建立工業(yè)控制系統(tǒng)信息安全管理體系。
(1)工業(yè)控制系統(tǒng)信息安全管理體系模型
目前,國(guó)際上普遍采用“規(guī)劃(Plan) - 實(shí)施(Do) - 檢查(Check) - 處置(Act)”(PDCA)模型來(lái)建立工業(yè)控制系統(tǒng)信息安全管理體系過(guò)程,其模型圖如圖7所示。
圖7 應(yīng)用于工業(yè)控制系統(tǒng)信息安全管理體系過(guò)程的PDCA模型圖
(2)工業(yè)控制系統(tǒng)信息安全管理體系內(nèi)容
工業(yè)控制系統(tǒng)信息安全管理體系通常包括的內(nèi)容有安全方針、組織與合作團(tuán)隊(duì)、資產(chǎn)管理、人力資源安全、物理與環(huán)境管理、通信與操作管理、訪問(wèn)控制、信息獲取與開(kāi)發(fā)維護(hù)、信息安全事件管理、業(yè)務(wù)連續(xù)性管理及符合性。
每個(gè)工業(yè)控制系統(tǒng)的組織機(jī)構(gòu)可以根據(jù)自身的實(shí)際情況,合理地選擇這些內(nèi)容,建立一套全面而有效的工業(yè)控制系統(tǒng)信息安全管理體系。
3.7 工業(yè)控制系統(tǒng)信息安全項(xiàng)目工程
做好工業(yè)控制系統(tǒng)信息安全,要理解和熟練工業(yè)控制系統(tǒng)信息安全項(xiàng)目工程流程。
(1)工業(yè)項(xiàng)目工程。工業(yè)項(xiàng)目工程一般包括規(guī)劃階段、工程設(shè)計(jì)階段、施工階段和調(diào)試運(yùn)行階段。
(2)工業(yè)控制系統(tǒng)信息安全項(xiàng)目工程。盡管我們不能把信息安全當(dāng)做一個(gè)有開(kāi)始和結(jié)束日期的項(xiàng)目來(lái)處理,但是新建的工業(yè)項(xiàng)目包括工業(yè)控制系統(tǒng)部分。因此,我們需要按照新建工業(yè)項(xiàng)目的要求和流程,做好新建工業(yè)控制系統(tǒng)信息安全建設(shè)。
一個(gè)典型的工業(yè)控制系統(tǒng)信息安全通常包括規(guī)劃與初步設(shè)計(jì)階段、詳細(xì)設(shè)計(jì)階段、施工調(diào)試階段、運(yùn)行維護(hù)階段和升級(jí)優(yōu)化階段,其典型項(xiàng)目階段示意圖如圖8所示。
圖8 典型工業(yè)控制系統(tǒng)信息安全項(xiàng)目階段示意圖
3.8 工業(yè)控制系統(tǒng)信息安全產(chǎn)品認(rèn)證
做好工業(yè)控制系統(tǒng)信息安全,要了解產(chǎn)品認(rèn)證的機(jī)構(gòu),了解產(chǎn)品認(rèn)證的流程,了解產(chǎn)品認(rèn)證的趨勢(shì)。
(1)產(chǎn)品認(rèn)證機(jī)構(gòu)
目前工業(yè)控制系統(tǒng)信息安全領(lǐng)域已推出且得到業(yè)界普遍認(rèn)可的信息安全認(rèn)證國(guó)外機(jī)構(gòu)有ISA安全符合性研究院(ISCI)、Exida LLC、Wurldtech、JAB、Codenomicon、全球工業(yè)網(wǎng)絡(luò)安全專業(yè)認(rèn)證(Global Industrial Cyber Security Professional,GICSP)等。
目前國(guó)內(nèi)產(chǎn)品認(rèn)證機(jī)構(gòu)有公安部第三研究所公安部信息安全產(chǎn)品檢驗(yàn)中心、中國(guó)信息安全測(cè)評(píng)中心、中國(guó)信息安全認(rèn)證中心等。
(2)產(chǎn)品認(rèn)證
目前,工業(yè)控制系統(tǒng)信息安全產(chǎn)品認(rèn)證有工業(yè)防火墻認(rèn)證、嵌入式設(shè)備安全保障(EDSA)認(rèn)證、安全開(kāi)發(fā)生命周期保障(SDLA)認(rèn)證、系統(tǒng)安全保障(SSA)認(rèn)證等。
(3)產(chǎn)品認(rèn)證趨勢(shì)
從工業(yè)控制系統(tǒng)市場(chǎng)發(fā)展和市場(chǎng)出現(xiàn)來(lái)自不同認(rèn)證機(jī)構(gòu)的產(chǎn)品認(rèn)證來(lái)看,工業(yè)控制系統(tǒng)信息安全產(chǎn)品認(rèn)證正逐步走向準(zhǔn)入機(jī)制和產(chǎn)品認(rèn)證級(jí)別大趨勢(shì)。
3.9 工業(yè)控制系統(tǒng)入侵檢測(cè)與防護(hù)
做好工業(yè)控制系統(tǒng)信息安全,需要具備一定的工業(yè)控制系統(tǒng)入侵檢測(cè)與防護(hù)的基本知識(shí)。
(1)入侵檢測(cè)系統(tǒng)(IDS)
工業(yè)控制系統(tǒng)入侵檢測(cè),需要理解入侵檢測(cè)系統(tǒng)的定義、入侵檢測(cè)系統(tǒng)的功能、入侵檢測(cè)系統(tǒng)的分類、入侵檢測(cè)系統(tǒng)的不足、入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)、入侵檢測(cè)系統(tǒng)的部署等。
(2)入侵防護(hù)系統(tǒng)(IPS)
工業(yè)控制系統(tǒng)入侵防護(hù),需要理解入侵防護(hù)系統(tǒng)的定義、入侵防護(hù)系統(tǒng)的分類、入侵防護(hù)系統(tǒng)的原理、入侵防護(hù)系統(tǒng)的關(guān)鍵技術(shù)等。
3.10 工業(yè)控制系統(tǒng)補(bǔ)丁管理
做好工業(yè)控制系統(tǒng)信息安全,要理解補(bǔ)丁基本知識(shí),了解工業(yè)控制系統(tǒng)補(bǔ)丁基本知識(shí),建立工業(yè)控制系統(tǒng)補(bǔ)丁管理。
(1)補(bǔ)丁基本知識(shí)。補(bǔ)丁基本知識(shí)包括補(bǔ)丁定義、補(bǔ)丁分類、補(bǔ)丁作用等。
(2)工業(yè)控制系統(tǒng)補(bǔ)丁基本知識(shí)。工業(yè)控制系統(tǒng)補(bǔ)丁基本知識(shí)包括工業(yè)控制系統(tǒng)補(bǔ)丁定義、工業(yè)控制系統(tǒng)補(bǔ)丁問(wèn)題、工業(yè)控制系統(tǒng)補(bǔ)丁與IT系統(tǒng)補(bǔ)丁比較等。
(3)工業(yè)控制系統(tǒng)補(bǔ)丁管理系統(tǒng)設(shè)計(jì)。工業(yè)控制系統(tǒng)補(bǔ)丁管理系統(tǒng)設(shè)計(jì)包括工業(yè)控制系統(tǒng)補(bǔ)丁管理系統(tǒng)架構(gòu)、工業(yè)控制系統(tǒng)補(bǔ)丁管理系統(tǒng)要求、工業(yè)控制系統(tǒng)補(bǔ)丁管理特性、工業(yè)控制系統(tǒng)補(bǔ)丁管理范圍和任務(wù)等。
(4)工業(yè)控制系統(tǒng)補(bǔ)丁管理程序。基于微軟推薦的IT系統(tǒng)補(bǔ)丁管理運(yùn)作程序,同時(shí)結(jié)合工業(yè)控制系統(tǒng)的特性、用戶生產(chǎn)的要求及對(duì)環(huán)境的要求,工業(yè)控制系統(tǒng)補(bǔ)丁管理流程如圖9所示,其補(bǔ)丁管理流程分為評(píng)估、測(cè)試、部署、核實(shí)與報(bào)告、設(shè)備數(shù)據(jù)管理五個(gè)階段。
圖9 工業(yè)控制系統(tǒng)補(bǔ)丁管理流程圖
(5)工業(yè)控制系統(tǒng)補(bǔ)丁管理實(shí)施。工業(yè)控制系統(tǒng)補(bǔ)丁管理實(shí)施要注意變更管理、停機(jī)時(shí)間安排、新設(shè)備增加、安全加固等。
3.11 工業(yè)控制系統(tǒng)信息安全應(yīng)用實(shí)例
工業(yè)控制系統(tǒng)信息安全應(yīng)用實(shí)例,常見(jiàn)的有工廠信息管理系統(tǒng)(PIMS)、遠(yuǎn)程訪問(wèn)系統(tǒng)(RAS)等。
(1)工廠信息管理系統(tǒng)(PIMS)
工廠信息管理系統(tǒng)(PIMS)是工業(yè)控制系統(tǒng)與信息技術(shù)系統(tǒng)相結(jié)合的系統(tǒng),是新型的工業(yè)信息系統(tǒng)工程提供的完整解決方案。它能有效集成全廠生產(chǎn)信息,形成安全可靠的實(shí)時(shí)數(shù)據(jù)庫(kù),填補(bǔ)企業(yè)經(jīng)營(yíng)管理系統(tǒng)和工業(yè)控制系統(tǒng)之間的信息鴻溝,并實(shí)現(xiàn)了企業(yè)網(wǎng)絡(luò)環(huán)境下的實(shí)時(shí)數(shù)據(jù)采集、實(shí)時(shí)流程查看、實(shí)時(shí)趨勢(shì)瀏覽、報(bào)警記錄與查看、開(kāi)關(guān)量變位記錄與查看、報(bào)表數(shù)據(jù)存儲(chǔ)、歷史趨勢(shì)存儲(chǔ)與查看、生產(chǎn)過(guò)程報(bào)表生成、生產(chǎn)統(tǒng)計(jì)報(bào)表生成等功能,從而實(shí)現(xiàn)企業(yè)過(guò)程控制系統(tǒng)與信息系統(tǒng)的網(wǎng)絡(luò)集成、綜合管理,使管理層能夠及時(shí)、準(zhǔn)確地了解生產(chǎn)情況,發(fā)現(xiàn)生產(chǎn)中的問(wèn)題,并為先進(jìn)控制軟件提供應(yīng)用平臺(tái)。它使得辦公室和生產(chǎn)現(xiàn)場(chǎng)的信息溝通變得方便快捷,是企業(yè)信息化建設(shè)中不可缺少的組成部分。工廠信息管理系統(tǒng)設(shè)計(jì)(PIMS)包括方案部署、系統(tǒng)功能、系統(tǒng)應(yīng)用開(kāi)發(fā)、信息安全設(shè)置等。
(2)遠(yuǎn)程訪問(wèn)系統(tǒng)(RAS)
隨著公司努力減少不斷增長(zhǎng)的成本壓力,工廠生產(chǎn)裝置可靠性越來(lái)越重要。為此,對(duì)于公司生產(chǎn)裝置的運(yùn)行和維修人員來(lái)說(shuō),如何快速查找生產(chǎn)裝置中的薄弱環(huán)節(jié),如何快速排除生產(chǎn)設(shè)備的故障,如何查找工作中所急需的專業(yè)知識(shí),如何快捷地找到正確的能幫助你的人等,都可以借助遠(yuǎn)程訪問(wèn)技術(shù)來(lái)實(shí)現(xiàn)。同時(shí),遠(yuǎn)程訪問(wèn)系統(tǒng)可以有利于公司市場(chǎng)營(yíng)銷的品牌建立和提升,獲得潛在客戶等需求。遠(yuǎn)程訪問(wèn)系統(tǒng)的應(yīng)用還可以拓展到員工、供應(yīng)商之間的協(xié)同工作領(lǐng)域,并能提高企業(yè)的運(yùn)營(yíng)效率。同樣,遠(yuǎn)程訪問(wèn)系統(tǒng)(RAS)包括方案部署、訪問(wèn)機(jī)制、信息安全設(shè)置等。
3.12 工業(yè)控制系統(tǒng)信息安全未來(lái)展望
做好工業(yè)控制系統(tǒng)信息安全,需要對(duì)工業(yè)發(fā)展趨勢(shì)有所預(yù)測(cè),需要對(duì)工業(yè)控制系統(tǒng)發(fā)展趨勢(shì)有所預(yù)測(cè),需要對(duì)工業(yè)控制系統(tǒng)信息安全未來(lái)趨勢(shì)有所預(yù)測(cè)。
(1)工業(yè)發(fā)展趨勢(shì)。工業(yè)發(fā)展趨勢(shì)有工業(yè)數(shù)字化、工業(yè)智能化、工業(yè)信息化等。
(2)工業(yè)控制系統(tǒng)發(fā)展趨勢(shì)。工業(yè)控制系統(tǒng)正走向開(kāi)放、走向互聯(lián)以及無(wú)線技術(shù)的廣泛應(yīng)用。
(3)工業(yè)控制系統(tǒng)信息安全展望。工業(yè)控制系統(tǒng)信息安全形勢(shì)將更加嚴(yán)峻,信息安全標(biāo)準(zhǔn)體系將更加完善,信息安全技術(shù)將快速推進(jìn),并且信息安全產(chǎn)品將建立準(zhǔn)入機(jī)制。
4 結(jié)語(yǔ)
通過(guò)分析目前工業(yè)控制系統(tǒng)信息安全現(xiàn)狀和工業(yè)控制系統(tǒng)信息安全重要性,以及詳細(xì)介紹工業(yè)控制系統(tǒng)信息安全系統(tǒng)學(xué)習(xí),我們可以看出,工業(yè)控制系統(tǒng)信息安全是一門相對(duì)較成熟的跨專業(yè)學(xué)科。只有認(rèn)真而系統(tǒng)地學(xué)習(xí)這些專業(yè)知識(shí),才能有效避免工業(yè)控制系統(tǒng)信息安全事件頻發(fā),保證工業(yè)控制系統(tǒng)正常運(yùn)行,為國(guó)民經(jīng)濟(jì)建設(shè)和發(fā)展保駕護(hù)航。
同時(shí),我們也應(yīng)該看到,工業(yè)控制系統(tǒng)信息安全是一門不斷深入發(fā)展的學(xué)科。隨著工業(yè)控制系統(tǒng)不斷發(fā)展和廣泛運(yùn)用,其信息安全必將面臨更加嚴(yán)峻的挑戰(zhàn),其信息安全的研究開(kāi)發(fā)必將快速推進(jìn)。因此,我們對(duì)工業(yè)控制系統(tǒng)信息安全的工作需要未雨綢繆,積極參與,務(wù)實(shí)推進(jìn)。
參考文獻(xiàn):
[1] 肖建榮. 工業(yè)控制系統(tǒng)信息安全[M]. 北京: 電子工業(yè)出版社, 2015.
[2] 肖建榮. 工業(yè)控制系統(tǒng)信息安全技術(shù)分析與探討[J].自動(dòng)化博覽, 2015,(6).
作者簡(jiǎn)介
肖建榮(1969-),男,高級(jí)工程師,從事工業(yè)自動(dòng)化儀表的工程設(shè)計(jì)、調(diào)試、運(yùn)行維護(hù)工作,先后完成多個(gè)國(guó)內(nèi)、國(guó)際項(xiàng)目的工程設(shè)計(jì)、調(diào)試工作。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)