今日頭條
官方微信
官方抖音
資訊頻道李巍,周睿康,王秉政,李琳 中國電子技術(shù)標準化研究院
1 引言
當(dāng)前,工業(yè)控制系統(tǒng)信息安全已成為信息安全領(lǐng)域的新興研究熱點之一。隨著網(wǎng)絡(luò)與信息技術(shù)迅猛發(fā)展,云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新興技術(shù)的快速發(fā)展,使得諸多信息化、自動化、智能化技術(shù)逐步應(yīng)用于傳統(tǒng)工業(yè)領(lǐng)域的工業(yè)控制系統(tǒng)之中,工業(yè)控制系統(tǒng)逐漸變得智能高效。與此同時,工業(yè)控制系統(tǒng)的安全問題越發(fā)凸顯,特別是電力、電網(wǎng)、石油、化工、冶金、交通、民航、水利、供水等關(guān)鍵行業(yè)工業(yè)控制系統(tǒng)的安全,更成為事關(guān)國家命脈和國民經(jīng)濟興衰的重大戰(zhàn)略問題。隨著近年來“震網(wǎng)”病毒、“火焰”病毒等專門針對工業(yè)控制系統(tǒng)病毒的出現(xiàn),APT攻擊、AET攻擊、后門/漏洞攻擊等攻擊方式在工業(yè)控制系統(tǒng)中不斷發(fā)展,各種圍繞工業(yè)控制系統(tǒng)的安全事件屢屢發(fā)生,國家層面的網(wǎng)絡(luò)對抗日益加劇,工業(yè)控制系統(tǒng)已成為各種勢力攻擊破壞和實施網(wǎng)絡(luò)戰(zhàn)的首選目標。
面對工業(yè)控制系統(tǒng)信息安全的嚴峻形勢,以美國為代表的發(fā)達國家逐步重視工業(yè)控制系統(tǒng)信息安全問題,從頂層設(shè)計、標準體系、技術(shù)保障等方面開展了大量工控安全保障工作。如美國已采取了一系列措施推進工業(yè)控制系統(tǒng)的安全防護,以確保其工業(yè)控制系統(tǒng)的運行,包括:明確工業(yè)控制系統(tǒng)信息安全的重要地位,納入國家戰(zhàn)略規(guī)劃;制定相關(guān)法規(guī)標準,規(guī)范安全防護工作;建立多個工業(yè)控制系統(tǒng)安全中心,協(xié)調(diào)安全防護活動;開發(fā)工業(yè)控制系統(tǒng)安全防護關(guān)鍵技術(shù),增強防護對抗能力;成立多個國家實驗室,啟動國家SCADA測試床計劃;組織對抗演習(xí),檢驗安全防護能力。
2 國外工業(yè)控制系統(tǒng)信息安全政策規(guī)劃
面對日益嚴峻的工業(yè)控制系統(tǒng)信息安全形勢,積極應(yīng)對工業(yè)控制系統(tǒng)信息安全面臨的新形勢和新挑戰(zhàn),歐美等發(fā)達國家在構(gòu)建關(guān)鍵基礎(chǔ)設(shè)施保護體系過程中,將工業(yè)控制系統(tǒng)信息安全作為國家信息安全的重要組成部分,先后制定一系列相關(guān)的戰(zhàn)略、法律和政策。2001年,美國發(fā)布了第13231號行政令《信息時代的關(guān)鍵基礎(chǔ)設(shè)施保護》,宣布成立“總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護委員會”,簡稱PCIPB,代表政府全面負責(zé)國家的網(wǎng)絡(luò)空間安全工作。2003年,美國發(fā)布《保護網(wǎng)絡(luò)空間的國家戰(zhàn)略》以及《關(guān)鍵基礎(chǔ)設(shè)施標識、優(yōu)先級和保護》,明確了工控安全的部門分工、法律責(zé)任和重點領(lǐng)域。2013年發(fā)布了《關(guān)于提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的行政命令》,進一步明確了聯(lián)邦政府和私營部門在工控安全信息共享、分析的權(quán)利、責(zé)任和義務(wù)。2008年1月2日,美國發(fā)布國家安全總統(tǒng)令54/國土安全總統(tǒng)令23,提出了國家網(wǎng)絡(luò)安全綜合計劃。該計劃提出需建立三道信息安全防線,并明確了關(guān)鍵基礎(chǔ)設(shè)施、可信互聯(lián)網(wǎng)連接等十二項任務(wù)。在歐洲,歐盟于2007年和2013年先后發(fā)布了《歐洲關(guān)鍵基礎(chǔ)設(shè)施保護戰(zhàn)略》和《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全白皮書》,指導(dǎo)歐盟各國加強工控安全的部門協(xié)作、能力建設(shè)和應(yīng)急響應(yīng)。2009年6月,英國發(fā)布首個國家《網(wǎng)絡(luò)安全戰(zhàn)略》,宣布成立“網(wǎng)絡(luò)安全辦公室”和“網(wǎng)絡(luò)安全運行中心”,提出建立新的網(wǎng)絡(luò)管理機構(gòu)的具體措施。德國于1997年建立部際關(guān)鍵基礎(chǔ)設(shè)施工作組,2005年出臺《信息基礎(chǔ)設(shè)施保護計劃》和《關(guān)鍵基礎(chǔ)設(shè)施保護的基線保護概念》。法國在2003年由總理辦公室提出《強化信息系統(tǒng)安全國家計劃》并得到政府批準實施,明確了確保國家領(lǐng)導(dǎo)通信安全、確保政府信息通信安全、建立計算機反攻擊能力、將法國信息系統(tǒng)安全納入歐盟安全政策范圍四大目標。
3 國外工業(yè)控制系統(tǒng)信息安全實驗室建設(shè)
為了構(gòu)建風(fēng)險發(fā)現(xiàn)、分析、防范等工控安全保障能力,美、日、歐等組建了多個國家級研究機構(gòu),實施了工控測試靶場、測試床等多項重大工程。美國依托愛達荷國家實驗室(INL)、橡樹嶺國家實驗室(ORNL)等6家國家實驗室建立了多個工控系統(tǒng)測試床,實施了關(guān)鍵基礎(chǔ)設(shè)施測試靶場(CITR)專項計劃,開展了漏洞挖掘、安全防護、風(fēng)險分析等一系列研究,有力支撐了美國工控安全信息共享、應(yīng)急響應(yīng)、風(fēng)險評估等相關(guān)保障工作。
(1)愛達荷國家實驗室
愛達荷國家工程和環(huán)境實驗室(Idaho Notional Laboratory,以下簡稱INL)主要研究領(lǐng)域包括核能源、國土安全以及能源與環(huán)境。INL開展了工業(yè)控制系統(tǒng)漏洞識別和漏洞消減技術(shù)研究,旨在幫助能源部門和設(shè)備供應(yīng)商挖掘測試控制系統(tǒng)軟硬件漏洞,并評估工業(yè)控制系統(tǒng)安全性。目前INL已經(jīng)完成了37家控制系統(tǒng)和組件的網(wǎng)絡(luò)脆弱性評估,包括14家控制系統(tǒng)組件評估、15家控制系統(tǒng)評估,以及8家基礎(chǔ)設(shè)施系統(tǒng)的現(xiàn)場評估。基礎(chǔ)設(shè)施系統(tǒng)的現(xiàn)場評估使研究人員能夠評估運營環(huán)境的脆弱性,并可以驗證測試床評估后的修正措施,為控制系統(tǒng)提供安全修補程序。
(2)桑迪亞國家實驗室
桑迪亞國家實驗室(Sandia National Laboratories,以下簡稱SNL)主要研究領(lǐng)域為核武器、防擴散和材料控制、能源和關(guān)鍵基礎(chǔ)設(shè)施以及國家安全。SNL設(shè)有專門針對工業(yè)信息安全的研究方向,并開發(fā)搭建了若干個測試床,這些測試床可以對工業(yè)信息安全問題進行建模、分析和驗證。目前該實驗室已攻克了電流控制系統(tǒng)的重大安全問題,并著手研發(fā)新一代安全控制系統(tǒng),形成了SCADA信息安全風(fēng)險評估及SCADA安全工程解決方案咨詢等實際業(yè)務(wù)能力。
(3)橡樹嶺國家實驗室
橡樹嶺國家實驗室(Oak Ridge National Laboratory, 以下簡稱ORNL)是隸屬于美國能源部的大型國家實驗室,成立于1943年,最初為支撐美國曼哈頓計劃而提出,以生產(chǎn)和分離鈾和钚為主要方向,2000年4月以后,由田納西大學(xué)和Battelle紀念研究所共同管理。截至目前,橡樹嶺國家實驗室針對SCADA系統(tǒng),利用小型測試儀和協(xié)議分析工具,對典型的工業(yè)控制系統(tǒng)協(xié)議等方面,進行信息安全測試,同時,在智能電網(wǎng)通信網(wǎng)絡(luò)方面,開展研究工作。
(4)阿貢國家實驗室
阿貢國家實驗室(Argonne National Laboratory,以下簡稱ANL)作為美國政府最早建立的一批國家實驗室,是美國政府眾多科研機構(gòu)中規(guī)模最大、歷史最悠久的科研機構(gòu)之一,隸屬于美國能源部和芝加哥大學(xué),主要研究方向為基礎(chǔ)科學(xué)、科學(xué)設(shè)施、能源資源計劃、環(huán)境管理和國家安全。ANL關(guān)于工業(yè)信息安全的研究主要集中在SCADA系統(tǒng)領(lǐng)域,并聚焦于美國天然氣管道運輸?shù)腟CADA系統(tǒng)。ANL已經(jīng)開展SCADA系統(tǒng)調(diào)查和評估研究,并研發(fā)出了相關(guān)安全評估工具、評估技術(shù)和評估方法,用于評估和改進SCADA系統(tǒng)。同時,ANL還特別為天然氣管道運輸系統(tǒng)設(shè)計了SCADA遠程設(shè)施安全控制方案。
(5)西北太平洋國家實驗室
西北太平洋國家實驗室(Pacific Northwest National Laboratory,以下簡稱PNNL)是美國能源部科學(xué)辦公室管理的十大國家實驗室之一,主要研究方向為能源、環(huán)境和國家安全問題,研究領(lǐng)域包括環(huán)境、衛(wèi)生、能源、計算機科學(xué)與安全。在工業(yè)控制系統(tǒng)信息安全方面,PNNL提出了SCADA安全通信協(xié)議概念,用于解決SCADA系統(tǒng)各組件間數(shù)據(jù)和信息傳輸過程中的協(xié)議數(shù)據(jù)的完整性、有效性和防篡改性。目前,根據(jù)當(dāng)前工業(yè)控制系統(tǒng)信息安全技術(shù)發(fā)展現(xiàn)狀,重點側(cè)重于構(gòu)建能源行業(yè)安全通信架構(gòu)、現(xiàn)場設(shè)備安全管理軟件應(yīng)用、加密信任管理軟件應(yīng)用以及研發(fā)協(xié)議安全性分析工具等方面。
(6)洛斯阿拉莫斯國家實驗室
隸屬于美國能源部的洛斯阿拉莫斯國家實驗室(Los Alamos National Laboratory,以下簡稱LANL),其重點研究領(lǐng)域包括國家安全、空間探索、醫(yī)藥、納米技術(shù)和超級計算機等。截至目前,LANL在工業(yè)控制系統(tǒng)信息安全方面開展SCADA通信安全相關(guān)研究,通過開發(fā)一個詳細的成本/效益建模工具,為已有和下一代SCADA提出全新的通信安全架構(gòu),以便運維人員能夠為網(wǎng)絡(luò)節(jié)點或系統(tǒng)選擇適當(dāng)?shù)陌踩ㄐ偶夹g(shù)。
(7)日本控制系統(tǒng)安全中心(CSSC)
日本經(jīng)濟產(chǎn)業(yè)省(METI)于2012年與橫河、日立等8個工控系統(tǒng)廠商組建了控制系統(tǒng)安全中心(CSSC),建立了污水處理、化工、電力等9個工控安全測試床,并針對工控安全的攻擊和防護技術(shù)開展深入研究。CSSC針對電力、化工、汽車制造等工業(yè)領(lǐng)域,建立了7種類型的控制裝置和系統(tǒng),用于網(wǎng)絡(luò)安全攻防技術(shù)研究和攻防演練對抗。通過前期技術(shù)積累,CSSC提出了工業(yè)網(wǎng)絡(luò)惡意攻擊防御技術(shù),創(chuàng)造了可信賴的防御和認證機制,為日本國家關(guān)鍵信息基礎(chǔ)設(shè)施保護提供了堅實的技術(shù)支撐。
4 國外工業(yè)控制系統(tǒng)信息安全保障組織機構(gòu)
面對當(dāng)前工業(yè)控制系統(tǒng)信息安全技術(shù)發(fā)展現(xiàn)狀,為確保工業(yè)控制系統(tǒng)的信息安全,抵御信息安全風(fēng)險隱患,國外發(fā)達國家均建立了工業(yè)控制系統(tǒng)信息安全保障機構(gòu)。
(1)美國工控系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICSCERT)
ICS-CERT隸屬于美國國土安全部,致力于聯(lián)合聯(lián)邦、州、地方一級美國執(zhí)法機構(gòu)和情報機構(gòu),協(xié)調(diào)工業(yè)控制系統(tǒng)的所有者和供應(yīng)商,共同降低關(guān)鍵基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全風(fēng)險。同時,為相關(guān)安全事件提供消減網(wǎng)絡(luò)安全風(fēng)險的措施和建議。
(2)法國信息系統(tǒng)安全局(ANSSI)
法國信息系統(tǒng)安全局(ANSSI)的核心任務(wù)是檢測網(wǎng)絡(luò)安全攻擊事件,并作出風(fēng)險消減反應(yīng),建立國家信息安全保障和預(yù)防體系,為政府和關(guān)鍵基礎(chǔ)設(shè)施運營商提供保護國家關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)的建議和意見。
(3)英國國家基礎(chǔ)設(shè)施保護中心(CPNI)
英國國家基礎(chǔ)設(shè)施保護中心(CPNI)的主要任務(wù)是為英國國家安全提供網(wǎng)絡(luò)安全保障建議。從物理安全,人員安全和網(wǎng)絡(luò)安全等角度,制定國家關(guān)鍵基礎(chǔ)設(shè)施和重要工業(yè)系統(tǒng)的網(wǎng)絡(luò)安全保障策略規(guī)劃。
5 國外工業(yè)控制系統(tǒng)信息安全標準
當(dāng)前,國際上針對工業(yè)控制系統(tǒng)信息安全標準進行研究的組織很多,其中包括國際標準化組織,如國際電工委員會(IEC)、國際自動化協(xié)會(ISA)和電氣與電子工程師協(xié)會(IEEE),以及歐美等發(fā)達國家的標準技術(shù)研究院及行業(yè)協(xié)會等。
(1)美國工業(yè)控制系統(tǒng)信息安全標準
美國國家標準技術(shù)研究院(NIST)發(fā)布的SP800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》,是一份針對包括SCADA、DCS 和其他控制系統(tǒng)組件如PLC在內(nèi)的工業(yè)控制系統(tǒng)的安全指南,該指南專門分析了工業(yè)控制系統(tǒng)的特點、面臨的威脅和存在的漏洞,提出了其安全要求,說明了如何開發(fā)和部署一個工業(yè)控制系統(tǒng)的安全項目,并基于SP800-53(聯(lián)邦信息系統(tǒng)推薦安全控制)針對FIPS199 所定義的不同級別系統(tǒng),推薦了不同強度的安全控制集(包括管理、技術(shù)和運行類),對工業(yè)控制系統(tǒng)提出了建議和指導(dǎo)。SP800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》適用于電力、水利、化工、交通、石油等行業(yè)的工業(yè)控制系統(tǒng)中。
美國國土安全部發(fā)布的面向化工設(shè)施反恐怖標準(CFATS)概述了確保化工設(shè)施網(wǎng)絡(luò)系統(tǒng)安全的多項控制。特別是其基于風(fēng)險的性能標準(RBPS)明確了針對安全策略、訪問控制、人員安全、系統(tǒng)開發(fā)與獲取等的安全控制。
(2)國際電工委員會(IEC)工控安全相關(guān)標準
截至目前,IEC的多個技術(shù)委員會或其下屬工作組都在從事工業(yè)控制系統(tǒng)信息安全方面的標準化工作。IEC在信息安全方面的主要貢獻有:《IEC 62443工業(yè)通訊網(wǎng)絡(luò)——網(wǎng)絡(luò)和系統(tǒng)安全》,《IEC 62351電力系統(tǒng)管理及信息交換——數(shù)據(jù)和通信安全性》。《IEC 62443工業(yè)通訊網(wǎng)絡(luò)——網(wǎng)絡(luò)和系統(tǒng)安全》是為實現(xiàn)工業(yè)控制系統(tǒng)的安全保護而制定的標準,旨在提出一整套建立工業(yè)自動化系統(tǒng)的安全保障措施,涉及安全規(guī)程的建立和運行,對工業(yè)自動化控制系統(tǒng)的安全技術(shù)要求,明確可采用的安全技術(shù)及應(yīng)用方法。該系列標準對通用基礎(chǔ)標準、系統(tǒng)安全程序設(shè)計要求、系統(tǒng)技術(shù)要求和系統(tǒng)組件技術(shù)要求等做出規(guī)范。《IEC62351電力系統(tǒng)管理及信息交換——數(shù)據(jù)和通信安全性》是為保障電力系統(tǒng)安全運行,針對有關(guān)通信協(xié)議而制定的數(shù)據(jù)和通信安全標準。
6 結(jié)語
隨著工業(yè)控制系統(tǒng)與外界互聯(lián)越來越密切,這就給工業(yè)控制系統(tǒng)的信息安全提出越來越高的要求。工業(yè)控制系統(tǒng)一般都應(yīng)用于重要行業(yè)和領(lǐng)域,所以一旦發(fā)生事故,不僅后果嚴重而且影響廣泛。本文從政策規(guī)劃、實驗室建設(shè)、保障機構(gòu)組建、標準制定等方面,梳理總結(jié)了當(dāng)前國外發(fā)達國家工業(yè)控制系統(tǒng)信息安全保障相關(guān)工作的發(fā)展現(xiàn)狀,可為我國工業(yè)控制系統(tǒng)信息安全防護工作相關(guān)方開展工作提供參考。
作者簡介
李巍(1985-),北京人,工程師,本科,現(xiàn)就職于中國電子技術(shù)標準化研究院,主要從事網(wǎng)絡(luò)安全標準、物聯(lián)網(wǎng)安全、工控安全等方面的研究。
摘自《工業(yè)控制系統(tǒng)信息安全》專刊第四輯
北京市公安局海淀分局備案號:11010802023656號