今日頭條
官方微信
官方抖音
資訊頻道1 引言
近年來,自動化領域對工業控制系統(ICS)的需求不斷提升,特別是兩化融合以來,對工業控制系統的實時性、可交互性等要求越來越高。以往的工業控制系統是孤立、封閉的信息系統,而隨著工業控制系統本身對控制實時響應速度的要求不斷提高,工業控制系統的大型化和多個工業控制系統之間互聯互通、整體協調需求的提出,工業控制系統逐漸向信息技術(IT)發展,從基于現場總線的單層過程控制網絡發展到了通過工業以太網與工程師工作站所在的過程管理網絡再到和企業辦公網絡互聯的多層結構的復雜網絡。
然而,由于工業控制系統在開發初期主要關注可用性和可靠性,而對保密性和安全性要求不高,不可避免地存在較多的安全缺陷。據相關統計,自2010年專門針對工業控制系統進行攻擊的“震網”病毒被發現以來,工業控制系統的信息安全問題不斷凸顯,被公開披露的工業控制系統的漏洞呈井噴式的增長。相應的,工控信息安全專用產品也得到了越來越多的重視,研發生產、應用、測試、評價標準的制定等工作也在相關政策的支持下快速地開展起來。
2 我國工控安全的現狀和相關政策
隨著工控信息安全問題的日益凸顯,我國相關職能部門也陸續出臺了針對性的政策,提高業界的重視度,規范和引領工控安全領域技術、產品和系統的研發,以提高我國工控信息安全水平。
今年8月8日,工信部正式發布了《2014年工業控制系統信息安全藍皮書》,指出目前國內工控信息安全市場規模不到2億元,僅占信息安全整體市場1%,主要以工業防火墻和工業隔離網關等硬件產品為主,專用殺毒軟件有一定應用,嵌入式模塊產品有少量應用,安全服務尚處在初步導入期。其它比如入侵防護、安全審計、現場運維管理平臺、工控可靠性安全管理平臺等產品處于產品布局期。
但是,與之相對應的是我國工控安全嚴峻的現狀,與歐美國家相比,國內工控安全水平、發展速度與歐美發達國家相比差距仍非常大。我國工控安全相關領域的工作起步比較晚,2011年工信部發布《關于加強工業與控制系統信息安全管理的通知》(工信部協[2011]451號,以下簡稱“451號文”),451號文指出了工業控制系統信息安全的重要性和緊迫性,點明了我國工業控制領域信息安全工作的問題和不足,明確重點領域工業控制系統信息安全管理要求,提出要建立工業控制系統安全測評檢查和漏洞發布制度。2012年,溫家寶總理主持召開國務院常務會議,審議通過了《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》(國發〔2012〕23號),其中明確提出要“保障工業控制系統信息安全”。2012年和2013年連續兩年的發改委國家信息安全專項中均有對工業控制信息安全領域相關產品的支持,包含了工控防火墻、工控系統異常行為審計、工控安管平臺、面向現場設備環境的邊界安全專用網關、面向集散控制系統(DCS)的異常監測、安全采集遠程終端單元(RTU)和工業應用軟件漏洞掃描等多種類型的工業控制系統安全產品。
可以看出,目前我國工控安全行業處于剛起步階段,很多方面都處于空白待探索的現狀,不過雖然規模小,但由于工控安全牽扯到工業生產運行安全、國家經濟安全和人民生命財產安全,因此政策上的扶持力度非常大。
3 工控信息安全專用產品和系統
目前,一個典型的工業控制系統的結構如圖1所示,按照AMR組織提出的一個通用的制造企業信息傳遞的環節,企業的信息系統可以分為三層,依次為業務計劃層、制造執行層和過程控制層,是決策細化下達和執行結果匯總上傳的信息溝通模式。
從網絡構成來說,業務計劃層是企業的辦公網,主要涉及企業級應用,如ERP、OA等;制造執行層是監控網絡,主要部署SCADA服務器、數據庫、生產調度系統等;過程控制系統部署的是比較典型的控制網絡,但也可以細分為工業以太網和工業總線網,其實也是最為復雜的網絡。細分下來,可以按照通信線路和協議類型區分,企業辦公網和工程師工作站通常使用傳統的以太網相互連接;工程師工作站和PLC之間的通訊通常使用工業以太網,目前常用的工業以太網協議有:Modbus TCP/IP、OPC、Profinet、Ethernet/IP、EtherCAT、Powerlink等;PLC與現場控制點、現場儀表等的連接由于目前以太網并不能完全勝任復雜的工控環境,無法保證通信的實時可靠,因此仍然大量使用傳統的現場總線。
圖1 典型的工業控制系統及工控安全產品的預期部署
根據目前工控信息安全面臨的威脅以及可以采取的防護措施來看,和工控安全聯系最為緊密的是信息管理層、生產管理層、工業控制層三個層級之間的隔離,其中使用傳統以太網互聯的信息管理層和生產管理層之間可以部署常規的網絡隔離設備和工控安全設備,包括防火墻、工控漏洞掃描、工控專用殺毒軟件、工控安管平臺,用于對與外部互聯網通訊的數據進行過濾,同時對整個執行制造層和過程控制層進行監控和管理;使用工業以太網互聯的生產管理層和工業控制層之間通常部署工控防火墻、現場環境邊界安全專用網關和工控異常行為監測與審計,主要用于防范在工程師工作站通過不安全的移動設備未授權接入帶來的病毒和木馬,同時對工控網絡進行安全審計,及時發現異常情況并報警。
此外,作為信息安全中不可或缺的一部分,工業控制系統的信息安全還需要安全服務的支撐,包括風險評估、安全審計、咨詢培訓、安全管理等多個方面,目前這部分的工作仍然基本處于空白。
4 工控安全相關標準
工控信息安全專用產品作為剛起步的信息安全產品類別,尚沒有完善的標準體系,但是相關的標準制定工作已經開展。我國的相關標準制定工作起步較晚,目前國際上較為完善的工業控制信息安全標準體系為IEC62443工業通信網絡信息安全系列標準,是由IEC/TC65/WG10(工業過程測量、控制與自動化/網絡與系統信息安全工作組)與國際自動化協會ISA99成立的聯合工作組共同制定的,并在2011年對標準體系進行了優化,定名為《工業過程測量、控制和自動化網絡與系統信息安全》,包含了通用、信息安全程序、系統技術和部件技術4部分共12個文檔,對資產所有者、系統集成商、組件供應商進行了相關信息安全的要求。
目前,制定我國工控信息安全相關標準的組織主要有全國信息安全標準化技術委員會(TC260)和全國工業過程測量和控制標準化技術委員會(TC124),對工業控制系統信息安全的基礎標準、安全管理、安全策略和應用標準開展制定工作。其中包含了工業控制系統的安全防護要求、等級保護、網絡安全防護、風險評估和安全產品和系統測評相關工作的標準。此外,在行業標準方面,電力系統最早關注工控信息安全,其標準化進度也相對較為領先;而公安行業標準近兩年也開始制定相關工控安全標準,主要關注專用的信息安全防護產品,涉及工控防火墻、工控審計產品、工控安全隔離與信息交換系統、工控安全管理平臺和工控入侵檢測系統等。在發改委組織實施的2012、2013年國家信息安全專項中,工控領域的安全產品已經形成了較為完善的行業標準和相應的測評方案。
5 對我國工控安全工作的建議
目前,國外的工控信息安全領域經過十多年的發展,已經形成了一套含風險信息發布、共享、風險漏洞處理、安全態勢預警感知和響應多個環節在內的完善信息安全事件響應隊伍和具有強大的漏洞驗證分析和技術支撐能力的機構;對于工控信息安全產品和系統的測試與評估,也有較為完善的標準、評估體系和豐富的評估測試工具。
對比國外的發展趨勢,我國的工控安全工作應該在以下幾個方面進行借鑒和思考:
(1)對風險處理機制進一步完善,共享工控安全風險信息;
(2)檢測審計工控安全異常數據,關聯分析構成預警體系;
(3)相關研究機構成立響應小組,打造應急相應技術團隊;
(4)加強工控信息安全標準制定,規范產品系統測試評估;
(5)對重點行業定期檢查和認證,構建我國工控安全認證。
6 結語
工業控制系統信息安全作為近年來越來越受到重視和政策支持的領域,充滿了挑戰和機遇,從工控系統的設計規劃到運行維護必須將信息安全考慮在每一個環節之中;工控信息安全專用產品和安全服務作為工控信息安全系統的重要組成部分,仍然處于起步階段且缺少完善的標準體系和評價方法;因此,我國的工控安全工作仍然需要進一步的加強,逐步形成成熟的體系和產業化,為我國的工業生產安全保駕護航。
作者簡介
田原(1988-),遼寧昌圖人,碩士,畢業于西安交通大學,現就職于公安部第三研究所,主要從事計算機信息安全產品檢測等工作。
參考文獻
[1]工信部.關于加強工業與控制系統信息安全管理的通知.
[2]工信部電子科學技術情報研究所.2014年工業控制系統信息安全藍皮書[R]. 2014.
[3]沈清泓.工業控制系統三層網絡的信息安全檢測與認證[J].自動化博覽, 2014 (7) : 68-71.
[4]歐陽勁松,丁露.IEC62443工控網絡與系統信息安全標準綜述[J].信息技術與標準化,2012 (3) : 24-27.
[5]王斌.工業控制系統信息安全的安全保障-Achilles認證[J].自動化博覽, 2014 (1) : 50-52.
[6]王婷,向憧,韓雷峰,彭勇.2013年工業控制系統信息安全觀察與思考[J]. 2014 (4) : 114-115.
摘自《工業控制系統信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號