今日頭條
官方微信
官方抖音
資訊頻道
1 國際工控安全標準發展
1.1 國際工控安全標準
目前在國際上,工業控制系網絡安全標準的研究制定工作主要由IEC/TC 65(工業過程測量、控制和自動化)下的網絡和系統信息安全WG10和國際自動化協會(ISA 99)委員會組成的聯合工作組負責,該工作組目前主要制定了IEC 62443《工業過程測量、控制和自動化網絡與系統信息安全》系列標準。該系列標準如表1所示:
通用方面 | 政策與程序 | 系統 | 組件 |
1-1 術語、概念和模型 | 2-1 建立IACS信息安全程序 | 3-1 信息安全技術 | 4-1 產品開發要求 |
1-2 術語和縮略語 | 2-2 運行IACS信息安全程序 | 3-2 區域和通道的信息安全保障登記 | 4-2 對IACS產品的信息安全技術要求 |
1-3 系統信息安全符合性度量 | 2-3 IACS環境中的補丁更新管理 | 3-3 系統信息安全要求和信息安全保障等級 | |
2-4 對IACS制造商信息安全政策與實踐的認證 | |||
通用方面 | 用戶業主 | 系統集成商 | 產品制造商 |
表1
IEC 62443是專門針對工業自動化和工業安全的系列標準。該系列標準,旨在使系統集成商、產品供應商和服務提供商,可以通過使用該標準來評估他們的產品和服務,并依據評估結果判斷其產品或服務是否能夠為工業控制系統使用者提供有效的安全防護。IEC 62443的目標并不是提供詳細規范并建立一個安全的體系架構,其目標是定義一個通用的最小安全要求集,使目標工業控制系統達到各級SALS(Security Assurances Levels,SAL)的安全保障需求。
為了推廣IEC62443并搶占標準一致性測試市場,美國儀表協議于2010年成立了ISA信息安全符合性研究院ISCI(ISASecure)。目前開展了如下三項標準符合性測試認證:
(1)IEC 62443-3-3:系統安全保證(SSA)認證要求;
(2)IEC 62443-4-1:安全開發生命周期保證(SDLA)認證要求;
(3)IEC 62443-4-2:嵌入式設備安全保證(EDSA)認證要求;
(4)ISASecure認證需要使用通信健壯性測試(CRT)工具和漏洞識別測試工具。
目前ISCI認可測試工具如表2所示:
CRT測試工具 | 漏洞識別工具 |
CODENOMICON DEFENSIC X測試套件 HITACHI Raven ES測試工具 BEYOND security beSTORM EDSA測試工具 Wurldtech Achilles測試工具 | Tenable Nessus Vulnerability Scanner |
表2
1.2 美國工控安全標準
美國國土安全部(DHS)作為關鍵基礎設施安全(工控安全)的主管單位,為美國提供關鍵基礎設施安全的戰略指導,并與公共和私人合作伙伴合作,協調美國聯邦各個單位促進關鍵基礎實施的安全性和可恢復性。美國國家標準與技術研究院(NIST)作為美國工控安全國家標準的制定單位,為支持聯邦信息安全管理法案(FISMA)的執行,制定保護國家關鍵基礎設施主要標準,主要為NIST SP800-82和NIST SP800-53兩個標準。美國國土安全部發布CSET安全評估工具,推動工控安全標準的使用及對工控安全評估進行工具支撐。
組織分類 | 組織名稱 | 文件名稱 |
標準制定重要單位 | 美國國家標準與技術研究院(NIST) | 工業控制系統安全指南(NISTSP800-82) |
聯邦信息系統和組織的安全控制建議(NISTSP800-53) | ||
系統保護輪廓-工業控制系統(NISTIR7176) | ||
中等健壯環境下的SCADA系統現場設備保護概況 | ||
改善關鍵基礎設施網絡安全框架 | ||
智能電網安全指南(NISTIR7628) | ||
國土安全部(DHS) | 中小規模能源設施風險管理核查事項 | |
控制系統安全一覽表:標準推薦 | ||
SCADA和工業控制系統安全 | ||
工業控制系統安全評估指南(與CPNI聯合發布) | ||
工業控制系統遠程訪問配置管理指南(與CPNI聯合發布) | ||
標準制定行業單位 | 北美電力可靠性委員會(NERC) | 北美大電力系統可靠性規范(NERCCIP002–009) |
美國天然氣協會(AGA) | SCADA通信的加密保護(AGAReportNo.12) | |
美國石油協會(API) | 管道SCADA安全(API1164) | |
石油工業安全指南 | ||
美國能源部(DOE) | 提高SCADA系統網絡安全21步 | |
美國核管理委員會 | 核設施網絡安全措施(RegulatoryGuide5.71) |
從美國工控安全標準制定組織和成果可以看出,NIST制定工控安全主要標準,標準可跨行業,并且標準不停的滾動發布。從中可看到標準制定的有效經驗,第一步解決有無標準的問題,然后再解決標準高質量與普適性問題。從標準成果還可以看出,美國針對SCADA控制系統的安全標準比較多,主要因為SCADA的安全問題在控制系統中尤為突出。從中體現出美國標準制定以解決突出問題為導向,而不是胡子眉毛一把抓。
2 我國工控安全標準發展
2.1 我國已發布的工控安全標準
(1)國家標準
GB/T 26333-2010《工業控制網絡安全風險評估規范》
作為我國工控安全第一個國家標準,解決了我國工控安全標準空白的問題,實現了工控安全標準零的突破。此標準2011年發布實施,從發布時間上可以看出,我國關注工控安全的前輩們的高瞻遠矚。但是此標準并未推行起來,成為了事實上可有可無的標準,成為了工控安全標準界的先烈。究其原因,還是此標準無核心內容(核心內容都是直接引用其它標準),標準過于簡單,可操作性低,導致此標準落地困難。建議相關單位對此標準進行修訂。
GB/T 30976.1-2014《工業控制系統信息安全 第1部分:評估規范》
作為我國工控安全第一個有內容的國家標準,解決了我國工控安全無標準可依的窘境。《評估規范》分為管理評估和系統能力(技術)評估。管理評估宜對照風險接受準則和組織機構相關目標,識別、量化并區分風險的優先次序。風險評估的結果宜指導并確定適當的管理措施及其優先級,評估風險和選擇控制措施的過程需要執行多次,以覆蓋組織機構的不同部門或各個工業控制系統。管理評估分三個級別、系統能力(技術)評估分為四個級別。信息安全等級由系統能力等級和管理等級二維確定。
此評估標準實施過程中,還沒有一套有效的方法論來指導用戶單位確定自己需要的信息安全等級,或者政府未有一套信息安全等級評定的依據。目前階段只能根據用戶單位自己的自發需求來確定信息安全等級,然后根據用戶單位確認的等級開展評估活動。
GB/T 30976.2-2014《工業控制系統信息安全 第2部分:驗收規范》
此標準解決了我國工業控制系統信息安全驗收上的空白,解決了驗收有標準可依的困境。此標準的使用方是工業控制系統用戶方,《驗收規范》涉及到專業的安全測試,除電力和石油石化等大部分用戶方在能力上不足以完成驗收階段的安全測試。因此需要借助第三方的測評力量來驗收,就涉及到項目預算增加的問題。因此在做標準宣貫時,需要在立項階段就考慮驗收標準和費用的問題。
(2)行業標準
在工控安全領用,電力行業2005年頒布的電監會5號令《電力二次系統安全防護規定》,“安全分區、網絡專用、橫向隔離、縱向認證”十六字深入人心。其次是石化、核電及煙草行業也有相應標準。
電力行業:《電力二次系統安全防護規定》(電監會5號令)
我國工控安全的安全意識及優秀實踐,起初都是參考電力行業的,電力行業的控制系統安全經驗,對我國工控安全經驗積累功不可沒。《電力二次系統安全防護規定》(電監會5號令)于2014年9月1日廢除,同時頒布了《電力監控系統安全防護規定》(發改委14號令)。
石化行業:GB/T 50609-2010 《石油化工工廠信息系統設計規范》
此設計規范中要求網絡之間需要采用安全隔離,2010年頒布的行業標準,算比較早重視工控信息安全的行業。
核電行業:GB/T 13284.1-2008 《核電廠安全系統 第1部分 設計準則》
核電行業:GB/T 13629-2008 《核電廠安全系統中數字計算機的適用準則》
《設計準則》提供了有關核電廠安全設計應遵循的準則。標準中規定了核電廠安全系統動力源、儀表和控制部分最低限度的功能和設計要求,標準適用于為防止或減輕設計基準事件后果、保護公眾健康和安全所需要的那些系統。《適用準則》主要針對核電廠安全系統中數字計算機適用性制定的準則。
煙草行業:YC/T 494-2014 《煙草工業企業生產網與管理網網絡互聯安全規范》
此標準主要規范煙草工業企業生產網與管理網之間的聯網安全問題。
2.2 我國在研的工控安全標準
我國工業控制系統有如下在研標準:
標準類型 | 標準名字 | 歸口單位 |
ICS安全管理標準 | 《信息安全技術 工業控制系統安全管理基本要求》 | TC260 |
《信息安全技術 工業控制系統安全檢查指南》 | TC260 | |
《信息安全技術 工業控制系統安全分級指南》 | TC260 | |
《信息安全技術 工業控制系統安全控制應用指南》 | TC260 | |
ICS產品及系統信息安全標準 | 《集散控制系統(DCS)安全防護要求》 | TC124 |
《集散控制系統(DCS)安全管理要求》 | TC124 | |
《集散控制系統(DCS)安全評估指南》 | TC124 | |
《集散控制系統(DCS)風險與脆弱性檢測要求》 | TC124 | |
《可編程邏輯控制器(PLC)系統信息安全要求》 | TC124 | |
《信息安全技術 工業控制系統測控終端安全要求》 | TC260 | |
《工控控制系統產品信息安全通用評估準則》 | TC260 | |
工控安全等級保護標準系列 | TC260 | |
《信息安全技術 工業控制系統安全防護技術要求和測試評價方法》 | TC260 | |
ICS評估標準 | 《工業控制系統風險評估實施指南》 | TC260 |
防護技術要求與測評標準 | 《信息安全技術 工業控制系統網絡監測安全技術要求和測試評價方法》 | TC260 |
《信息安全技術 工業控制系統漏洞檢測技術要求》 | TC260 | |
《信息安全技術 工業控制網絡安全隔離與信息交換系統安全技術要求》 | TC260 | |
《信息安全技術 工業控制系統網絡審計產品安全技術要求》 | TC260 | |
《工業控制系統專用防火墻技術要求》 | TC260 |
我國目前在研的工控安全標準有19項之多,其中工控安全管理標準4項,工控產品及系統信息安全標準9項,工控安全評估標準1項,工控安全防護及檢測技術標準5項。在研標準基本涵蓋了行業監管單位、工控產品供應商、工控安全防護產品供應商、工控業主單位及測評機構的標準需求。為了做到工控安全真正有標準可依,需要加快標準研制過程,盡快發布。提供如下加快進度的建議:
(1)工控安全標準需要做到統一歸口,不能分散資源。在網信辦和工信部的協調與領導下,全國信息安全標準化技術委員會需要繼續發揮信息安全標準研制經驗優勢,加速工業控制系統信息安全標準的研制。
(2)工控安全標準研制相對復雜,需要加大投入。工控安全標準研制需要工控環境支撐及復合型人才的持續投入。建議政府決策部門給予工控安全標準研制提供更多的支持。
3 工控安全標準現狀思考
前面介紹了國際、美國和我國工控安全標準,從國外工控安全標準優勢方面對比,我們有如下差距:
(1)我國還未發布成熟的工控安全基本標準,比如安全指南、管理指南之類的標準(第一個基本標準《信息安全技術 工業控制系統安全控制應用指南》將于上半年發布);
(2)我國還未有像ISCI這類對工控安全標準符合性檢測及授權的組織,從目前我國標準制定來看,中國電子技術標準化研究院、中國信息安全測評中心、國家信息技術安全研究中心比較有優勢;
(3)我國已發布的幾個標準,缺乏標準宣貫的手段,或者沒有持續性的進行宣貫。如果長期不宣貫,就會成為可有可無的標準。
國外標準只能借鑒,不能完全照搬。對我國工控安全標準制定提供如下建議:
(1)信息安全標準是我國信息安全保障體系的重要組成部分,全國信息安全標準化技術委員會對我國信息安全標準的制定與推廣有著舉足輕重的作用。工業控制系統信息安全是國家網絡安全的重要組成部分,在工控安全國家標準制定中,信安標委需要繼續發揮標準制定的主導作用。
(2)工控安全標準研制,最好是有信息安全專家、工控專家、行業專家等多領域專家共同參與,才能真實反映既符合網絡安全要求又符合工控現場現狀。
(3)我國在研標準眾多,需要儲備進行工控安全標準符合性檢測及授權的技術能力,進一步推動已發布標準的落地及規模應用;
(4)對于已發布的工控安全標準,需要加緊宣貫,謹防成為下一個先烈。
北京市公安局海淀分局備案號:11010802023656號