今日頭條
官方微信
官方抖音
資訊頻道
摘要:本文從工業(yè)控制系統(tǒng)信息安全的現(xiàn)狀入手,簡要總結(jié)和分析了我國工控安全的相關(guān)政策,根據(jù)工控系統(tǒng)的三層結(jié)構(gòu),梳理了工控信息安全專用產(chǎn)品的發(fā)展現(xiàn)狀,同時簡要介紹了工控信息安全領(lǐng)域標(biāo)準(zhǔn)化工作的開展情況,最后對我國工控信息安全工作提出了一些建議。
關(guān)鍵詞:工業(yè)控制系統(tǒng);信息安全;政策;產(chǎn)品;標(biāo)準(zhǔn)
Abstract: This paper briefly summarized and analyzed the China's industrial safety policiesbased on the current situation of ICS's Information Security. According to 3-Level model of ICS,this paper introduced the development status of ICS information security products and discussed the development of ICS standardized affairs. Finally some
recommendations to China industrial information security are given.
Key words: ICS; Information security; Policy; Products; Criterion
1 引言
近年來,自動化領(lǐng)域?qū)I(yè)控制系統(tǒng)(ICS)的需求不斷提升,特別是兩化融合以來,對工業(yè)控制系統(tǒng)的實(shí)時性、可交互性等要求越來越高。以往的工業(yè)控制系統(tǒng)是孤立、封閉的信息系統(tǒng),而隨著工業(yè)控制系統(tǒng)本身對控制實(shí)時響應(yīng)速度的要求不斷提高,工業(yè)控制系統(tǒng)的大型化和多個工業(yè)控制系統(tǒng)之間互聯(lián)互通、整體協(xié)調(diào)需求的提出,工業(yè)控制系統(tǒng)逐漸向信息技術(shù)(IT)發(fā)展,從基于現(xiàn)場總線的單層過程控制網(wǎng)絡(luò)發(fā)展到了通過工業(yè)以太網(wǎng)與工程師工作站所在的過程管理網(wǎng)絡(luò)再到和企業(yè)辦公網(wǎng)絡(luò)互聯(lián)的多層結(jié)構(gòu)的復(fù)雜網(wǎng)絡(luò)。
然而,由于工業(yè)控制系統(tǒng)在開發(fā)初期主要關(guān)注可用性和可靠性,而對保密性和安全性要求不高,不可避免地存在較多的安全缺陷。據(jù)相關(guān)統(tǒng)計,自2010年專門針對工業(yè)控制系統(tǒng)進(jìn)行攻擊的“震網(wǎng)”病毒被發(fā)現(xiàn)以來,工業(yè)控制系統(tǒng)的信息安全問題不斷凸顯,被公開披露的工業(yè)控制系統(tǒng)的漏洞呈井噴式的增長。相應(yīng)的,工控信息安全專用產(chǎn)品也得到了越來越多的重視,研發(fā)生產(chǎn)、應(yīng)用、測試、評價標(biāo)準(zhǔn)的制定等工作也在相關(guān)政策的支持下快速地開展起來。
2 我國工控安全的現(xiàn)狀和相關(guān)政策
隨著工控信息安全問題的日益凸顯,我國相關(guān)職能部門也陸續(xù)出臺了針對性的政策,提高業(yè)界的重視度,規(guī)范和引領(lǐng)工控安全領(lǐng)域技術(shù)、產(chǎn)品和系統(tǒng)的研發(fā),以提高我國工控信息安全水平。今年8月8日,工信部正式發(fā)布了《2014年工業(yè)控制系統(tǒng)信息安全藍(lán)皮書》,指出目前國內(nèi)工控信息安全市場規(guī)模不到2億元,僅占信息安全整體市場1%,主要以工業(yè)防火墻和工業(yè)隔離網(wǎng)關(guān)等硬件產(chǎn)品為主,專用殺毒軟件有一定應(yīng)用,嵌入式模塊產(chǎn)品有少量應(yīng)用,安全服務(wù)尚處在初步導(dǎo)入期。其它比如入侵防護(hù)、安全審計、現(xiàn)場運(yùn)維管理平臺、工控可靠性安全管理平臺等產(chǎn)品處于產(chǎn)品布局期。
但是,與之相對應(yīng)的是我國工控安全嚴(yán)峻的現(xiàn)狀,與歐美國家相比,國內(nèi)工控安全水平、發(fā)展速度與歐美發(fā)達(dá)國家相比差距仍非常大。我國工控安全相關(guān)領(lǐng)域的工作起步比較晚,2011年工信部發(fā)布《關(guān)于加強(qiáng)工業(yè)與控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號,以下簡稱“451號文”),451號文指出了工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性,點(diǎn)明了我國工業(yè)控制領(lǐng)域信息安全工作的問題和不足,明確重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求,提出要建立工業(yè)控制系統(tǒng)安全測評檢查和漏洞發(fā)布制度。2012年,溫家寶總理主持召開國務(wù)院常務(wù)會議,審議通過了《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》(國發(fā)〔2012〕23號),其中明確提出要“保障工業(yè)控制系統(tǒng)信息安全”。2012年和2013年連續(xù)兩年的發(fā)改委國家信息安全專項(xiàng)中均有對工業(yè)控制信息安全領(lǐng)域相關(guān)產(chǎn)品的支持,包含了工控防火墻、工控系統(tǒng)異常行為審計、工控安管平臺、面向現(xiàn)場設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)、面向集散控制系統(tǒng)(DCS)的異常監(jiān)測、安全采集遠(yuǎn)程終端單元(RTU)和工業(yè)應(yīng)用軟件漏洞掃描等多種類型的工業(yè)控制系統(tǒng)安全產(chǎn)品。
可以看出,目前我國工控安全行業(yè)處于剛起步階段,很多方面都處于空白待探索的現(xiàn)狀,不過雖然規(guī)模小,但由于工控安全牽扯到工業(yè)生產(chǎn)運(yùn)行安全、國家經(jīng)濟(jì)安全和人民生命財產(chǎn)安全,因此政策上的扶持力度非常大。
3 工控信息安全專用產(chǎn)品和系統(tǒng)
目前,一個典型的工業(yè)控制系統(tǒng)的結(jié)構(gòu)如圖1所示,按照AMR組織提出的一個通用的制造企業(yè)信息傳遞的環(huán)節(jié),企業(yè)的信息系統(tǒng)可以分為三層,依次為業(yè)務(wù)計劃層、制造執(zhí)行層和過程控制層,是決策細(xì)化下達(dá)和執(zhí)行結(jié)果匯總上傳的信息溝通模式。
從網(wǎng)絡(luò)構(gòu)成來說,業(yè)務(wù)計劃層是企業(yè)的辦公網(wǎng),主要涉及企業(yè)級應(yīng)用,如ERP、OA等;制造執(zhí)行層是監(jiān)控網(wǎng)絡(luò),主要部署SCADA服務(wù)器、數(shù)據(jù)庫、生產(chǎn)調(diào)度系統(tǒng)等;過程控制系統(tǒng)部署的是比較典型的控制網(wǎng)絡(luò),但也可以細(xì)分為工業(yè)以太網(wǎng)和工業(yè)總線網(wǎng),其實(shí)也是最為復(fù)雜的網(wǎng)絡(luò)。細(xì)分下來,可以按照通信線路和協(xié)議類型區(qū)分,企業(yè)辦公網(wǎng)和工程師工作站通常使用傳統(tǒng)的以太網(wǎng)相互連接;工程師工作站和PLC之間的通訊通常使用工業(yè)以太網(wǎng),目前常用的工業(yè)以太網(wǎng)協(xié)議有:Modbus TCP/IP、OPC、Profinet、Ethernet/IP、EtherCAT、Powerlink等;PLC與現(xiàn)場控制點(diǎn)、現(xiàn)場儀表等的連接由于目前以太網(wǎng)并不能完全勝任復(fù)雜的工控環(huán)境,無法保證通信的實(shí)時可靠,因此仍然大量使用傳統(tǒng)的現(xiàn)場總線。
根據(jù)目前工控信息安全面臨的威脅以及可以采取的防護(hù)措施來看,和工控安全聯(lián)系最為緊密的是信息管理層、生產(chǎn)管理層、工業(yè)控制層三個層級之間的隔離,其中使用傳統(tǒng)以太網(wǎng)互聯(lián)的信息管理層和生產(chǎn)管理層之間可以部署常規(guī)的網(wǎng)絡(luò)隔離設(shè)備和工控安全設(shè)備,包括防火墻、工控漏洞掃描、工控專用殺毒軟件、工控安管平臺,用于對與外部互聯(lián)網(wǎng)通訊的數(shù)據(jù)進(jìn)行過濾,同時對整個執(zhí)行制造層和過程控制層進(jìn)行監(jiān)控和管理;使用工業(yè)以太網(wǎng)互聯(lián)的生產(chǎn)管理層和工業(yè)控制層之間通常部署工控防火墻、現(xiàn)場環(huán)境邊界安全專用網(wǎng)關(guān)和工控異常行為監(jiān)測與審計,主要用于防范在工程師工作站通過不安全的移動設(shè)備未授權(quán)接入帶來的病毒和木馬,同時對工控網(wǎng)絡(luò)進(jìn)行安全審計,及時發(fā)現(xiàn)異常情況并報警。
此外,作為信息安全中不可或缺的一部分,工業(yè)控制系統(tǒng)的信息安全還需要安全服務(wù)的支撐,包括風(fēng)險評估、安全審計、咨詢培訓(xùn)、安全管理等多個方面,目前這部分的工作仍然基本處于空白。
4 工控安全相關(guān)標(biāo)準(zhǔn)
工控信息安全專用產(chǎn)品作為剛起步的信息安全產(chǎn)品類別,尚沒有完善的標(biāo)準(zhǔn)體系,但是相關(guān)的標(biāo)準(zhǔn)制定工作已經(jīng)開展。我國的相關(guān)標(biāo)準(zhǔn)制定工作起步較晚,目前國際上較為完善的工業(yè)控制信息安全標(biāo)準(zhǔn)體系為IEC62443工業(yè)通信網(wǎng)絡(luò)信息安全系列標(biāo)準(zhǔn),是由IEC/TC65/WG10(工業(yè)過程測量、控制與自動化/網(wǎng)絡(luò)與系統(tǒng)信息安全工作組)與國際自動化協(xié)會ISA99成立的聯(lián)合工作組共同制定的,并在2011年對標(biāo)準(zhǔn)體系進(jìn)行了優(yōu)化,定名為《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》,包含了通用、信息安全程序、系統(tǒng)技術(shù)和部件技術(shù)4部分共12個文檔,對資產(chǎn)所有者、系統(tǒng)集成商、組件供應(yīng)商進(jìn)行了相關(guān)信息安全的要求。
目前,制定我國工控信息安全相關(guān)標(biāo)準(zhǔn)的組織主要有全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)和全國工業(yè)過程測量和控制標(biāo)準(zhǔn)化技術(shù)委員會(TC124),對工業(yè)控制系統(tǒng)信息安全的基礎(chǔ)標(biāo)準(zhǔn)、安全管理、安全策略和應(yīng)用標(biāo)準(zhǔn)開展制定工作。其中包含了工業(yè)控制系統(tǒng)的安全防護(hù)要求、等級保護(hù)、網(wǎng)絡(luò)安全防護(hù)、風(fēng)險評估和安全產(chǎn)品和系統(tǒng)測評相關(guān)工作的標(biāo)準(zhǔn)。此外,在行業(yè)標(biāo)準(zhǔn)方面,電力系統(tǒng)最早關(guān)注工控信息安全,其標(biāo)準(zhǔn)化進(jìn)度也相對較為領(lǐng)先;而公安行業(yè)標(biāo)準(zhǔn)近兩年也開始制定相關(guān)工控安全標(biāo)準(zhǔn),主要關(guān)注專用的信息安全防護(hù)產(chǎn)品,涉及工控防火墻、工控審計產(chǎn)品、工控安全隔離與信息交換系統(tǒng)、工控安全管理平臺和工控入侵檢測系統(tǒng)等。在發(fā)改委組織實(shí)施的2012、2013年國家信息安全專項(xiàng)中,工控領(lǐng)域的安全產(chǎn)品已經(jīng)形成了較為完善的行業(yè)標(biāo)準(zhǔn)和相應(yīng)的測評方案。
5 對我國工控安全工作的建議
目前,國外的工控信息安全領(lǐng)域經(jīng)過十多年的發(fā)展,已經(jīng)形成了一套含風(fēng)險信息發(fā)布、共享、風(fēng)險漏洞處理、安全態(tài)勢預(yù)警感知和響應(yīng)多個環(huán)節(jié)在內(nèi)的完善信息安全事件響應(yīng)隊(duì)伍和具有強(qiáng)大的漏洞驗(yàn)證分析和技術(shù)支撐能力的機(jī)構(gòu);對于工控信息安全產(chǎn)品和系統(tǒng)的測試與評估,也有較為完善的標(biāo)準(zhǔn)、評估體系和豐富的評估測試工具。
對比國外的發(fā)展趨勢,我國的工控安全工作應(yīng)該在以下幾個方面進(jìn)行借鑒和思考:
(1)對風(fēng)險處理機(jī)制進(jìn)一步完善,共享工控安全風(fēng)險信息;
(2)檢測審計工控安全異常數(shù)據(jù),關(guān)聯(lián)分析構(gòu)成預(yù)警體系;
(3)相關(guān)研究機(jī)構(gòu)成立響應(yīng)小組,打造應(yīng)急相應(yīng)技術(shù)團(tuán)隊(duì);
(4)加強(qiáng)工控信息安全標(biāo)準(zhǔn)制定,規(guī)范產(chǎn)品系統(tǒng)測試評估;
(5)對重點(diǎn)行業(yè)定期檢查和認(rèn)證,構(gòu)建我國工控安全認(rèn)證。
6 結(jié)語
工業(yè)控制系統(tǒng)信息安全作為近年來越來越受到重視和政策支持的領(lǐng)域,充滿了挑戰(zhàn)和機(jī)遇,從工控系統(tǒng)的設(shè)計規(guī)劃到運(yùn)行維護(hù)必須將信息安全考慮在每一個環(huán)節(jié)之中;工控信息安全專用產(chǎn)品和安全服務(wù)作為工控信息安全系統(tǒng)的重要組成部分,仍然處于起步階段且缺少完善的標(biāo)準(zhǔn)體系和評價方法;因此,我國的工控安全工作仍然需要進(jìn)一步的加強(qiáng),逐步形成成熟的體系和產(chǎn)業(yè)化,為我國的工業(yè)生產(chǎn)安全保駕護(hù)航。
參考文獻(xiàn)
[1] 工信部. 關(guān)于加強(qiáng)工業(yè)與控制系統(tǒng)信息安全管理的通知.
[2] 工信部電子科學(xué)技術(shù)情報研究所. 2014年工業(yè)控制系統(tǒng)信息安全藍(lán)皮書[R]. 2014.
[3] 沈清泓. 工業(yè)控制系統(tǒng)三層網(wǎng)絡(luò)的信息安全檢測與認(rèn)證[J].自動化博覽, 2014 (7) : 68-71.
[4] 歐陽勁松, 丁露.IEC62443工控網(wǎng)絡(luò)與系統(tǒng)信息安全標(biāo)準(zhǔn)綜述[J].信息技術(shù)與標(biāo)準(zhǔn)化, 2012 (3) : 24-27.
[5] 王斌. 工業(yè)控制系統(tǒng)信息安全的安全保障-Achilles認(rèn)證[J].自動化博覽, 2014 (1) : 50-52.
[6] 王婷, 向憧, 韓雷峰, 彭勇. 2013年工業(yè)控制系統(tǒng)信息安全觀察與思考[J]. 2014 (4) : 114-115.
作者簡介
田原(1988-),遼寧昌圖人,碩士,畢業(yè)于西安交通大學(xué),現(xiàn)就職于公安部第三研究所,主要從事計算機(jī)信息安全產(chǎn)品檢測等工作。
北京市公安局海淀分局備案號:11010802023656號