今日頭條
官方微信
官方抖音
資訊頻道
摘要:隨著信息通信技術在工業控制系統(以下簡稱工控系統)中的廣泛應用,使得傳統工控系統逐漸面臨著諸多潛在信息安全隱患。近年來,世界各地頻繁發生的工控系統信息安全事故導致這些潛在安全隱患逐漸凸顯,而工控系統信息安全分級管理則是應對該領域各種安全威脅的重要手段之一。
關鍵詞:工業控制系統;信息安全;分級標準
Abstract: With the widely application of the Ethernet and the internet in the Industrial control system (ICS), the traditional ICSs are facing many potential threats in information security. In recent years, many information security accidents happened in the world which emerge these threats.Hierarchy management in the information security of the ICS is an importantway to handle kinds of threats in thisfield.
Key words: Industrial control system; Information security; Standards for security categorization
1 工控系統信息安全分級勢在必行
信息通信技術的飛速發展促進了信息化與工業化的深度融合,各種通用協議、通用硬件和軟件正廣泛地應用于數據采集與監控(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)等諸多工業控制系統產品中。然而,以太網、物聯網等高新技術在工業控制系統中的廣泛應用使得病毒、木馬等諸多安全隱患延伸到工業控制系統,從而對傳統工控系統的信息安全提出了新的挑戰。
由于SCADA、DCS和PLC等工控系統廣泛地存在于工業、能源、交通、水利以及市政等領域,用于控制生產設備的運行,因此工控系統的信息安全事件直接影響公共基礎設施的安全,關乎工業生產運行、國家經濟安全和人民生命財產安全,其造成的損失可能非常巨大,甚至不可估量。另一方面,早期的工控系統是運行于工業控制現場的自成體系且封閉獨立的系統,不存在受外部介入與攻擊的可能性。較少工控產品和設備為自身的信息安全提供一定的防護措施,這就為病毒入侵等安全事故的發生提供了可乘之機。因此,工控系統信息安全隱患巨大。
從管理學的角度講,不同的工業行業,同行業中的不同系統或者部件對于信息安全的需求并不一致。為了能夠加強工業控制系統的信息安全管理,可以對工業控制系統信息安全采取等級化管理,為各工控系統提供信息安全分級保護措施和要求,綜合平衡安全風險和成本,從而實現信息安全資源的優化配置。
2 現有信息系統分級方法分析
國際上,IEC TC65已經在制定工控系統安全分級標準。美國國家標準和技術研究院制定的《聯邦信息和信息系統安全分類標準》(FIPS-199)中對信息和信息系統進行了分類。該標準從機密性、完整性和可用性三個方面對不同類型信息的等級進行評定,將信息的等級劃分為高、中、低三類,并以此為根據對信息系統進行分級評判。《聯邦信息系統最小安全控制標準》(FIPS-200)規定了總共17個領域中美國聯邦信息與信息系統所必須達到的最低安全要求。
目前美國業界對于信息的分級存在多樣性,但基本思路是一致的,只不過考慮的因素各有不同。例如,FIPS-199和NIST800-37等文件中采用資產等級評判系統等級的重要因素;IATF采用威脅的等級作為判定系統等級的重要因素;FIPS-199和IATF等同樣將信息系統被破壞后對國家、社會公共利益等方面的影響作為系統等級重要因素來為系統進行定級。針對不同級別的信息系統,文件NIST 800-53中對各級別的系統推薦了不同強度的安全控制集,并裁剪了安全控制基線這一概念,針對基本、中和高三類系統級別列出了三套基線安全控制集。雖然美國的信息分級保護進程僅實施十年左右,但同樣積累了一些成熟的經驗,并形成了一套完整的體系,可以作為我國推行等級保護的基礎經驗。
我國在信息系統安全等級保護、保密系統分級保護、電信互聯網等級保護等領域制定大量標準,推動信息系統安全分級應用,對行業發展起到重要推動作用。
3 我國工控系統信息安全分級方法研究建議
工業控制系統被廣泛應用于國民經濟以及公民日常生活的各個方面,關系著國家切實利益和社會長治久安。受近年來“震網”等一系列工業控制系統安全事件的影響,我國工控系統的信息安全分級管理勢在必行。在全國信息安全標準化技術委員會的指導下,中國電子技術標準化研究院成立工控系統信息安全標準工作組,組織國內工控行業骨干企業、科研院所,開展工控系統信息安全分級標準的研究。提出了從信息安全和功能安全出發,根據不同區域和部件受侵害程度對工控系統進行安全定級。從工控系統七項基本安全需求出發,對每項需求根據受侵害程度劃分為五級。劃分系統區域和管道,根據定級依據設定系統和各部件的設計安全等級,系統建設完成后,對系統進行評估得到實際安全等級,并與設計安全等級進行對比,制定安全策略,調整系統安全配置。
在此基礎上,將這三個定級要素根據各自特點進一步細化為若干關鍵指標,從而更為精確地評判工控系統信息安全等級。例如,工控系統重要性程度可細化為業務使命和行業領域兩個關鍵要素。其中,工控系統的行業領域要素分為關鍵領域、重點領域、一般領域。與國家安全、國家經濟安全緊密相關的工業生產領域作為關鍵領域;與國計民生緊密相關的工業生產領域,作為重點領域;上述領域之外的其它工業生產領域作為一般領域。
工控系統信息安全分級可以根據信息系統的重要程度以及實際安全需求,將各種信息系統進行分類,有利于提供從細節到全局,從技術到管理,從設備到人員等多方面的安全防護措施,從而保障工業控制信息系統的正常運行,維護國家利益、公共權益和社會穩定。與國外現有技術和標準相比,我國工控系統信息安全分級標準綜合考慮工控行業和國家、社會生產生活的諸多因素,力圖制定更加準確合理的工控信息系統安全分級策略。
作者簡介
范科峰(1978-),男,陜西禮泉人,高級工程師,博士,博士后出站,碩士導師,研究方向為信息安全、信號處理、信息技術標準化等。目前負責工控安全技術標準與測評等工作,在信息安全等領域獲得省部級科技獎勵6項,榮獲第3屆中央國家機關青年五四獎章。
李琳(1983-),男,山東濟南人,博士研究生,研究方向為復雜網絡,網絡內容安全。
北京市公安局海淀分局備案號:11010802023656號