今日頭條
官方微信
官方抖音
資訊頻道1 工控系統(tǒng)信息安全分級勢在必行
信息通信技術的飛速發(fā)展促進了信息化與工業(yè)化的深度融合,各種通用協(xié)議、通用硬件和軟件正廣泛地應用于數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等諸多工業(yè)控制系統(tǒng)產(chǎn)品中。然而,以太網(wǎng)、物聯(lián)網(wǎng)等高新技術在工業(yè)控制系統(tǒng)中的廣泛應用使得病毒、木馬等諸多安全隱患延伸到工業(yè)控制系統(tǒng),從而對傳統(tǒng)工控系統(tǒng)的信息安全提出了新的挑戰(zhàn)。
由于SCADA、DCS和PLC等工控系統(tǒng)廣泛地存在于工業(yè)、能源、交通、水利以及市政等領域,用于控制生產(chǎn)設備的運行,因此工控系統(tǒng)的信息安全事件直接影響公共基礎設施的安全,關乎工業(yè)生產(chǎn)運行、國家經(jīng)濟安全和人民生命財產(chǎn)安全,其造成的損失可能非常巨大,甚至不可估量。另一方面,早期的工控系統(tǒng)是運行于工業(yè)控制現(xiàn)場的自成體系且封閉獨立的系統(tǒng),不存在受外部介入與攻擊的可能性。較少工控產(chǎn)品和設備為自身的信息安全提供一定的防護措施,這就為病毒入侵等安全事故的發(fā)生提供了可乘之機。因此,工控系統(tǒng)信息安全隱患巨大。
從管理學的角度講,不同的工業(yè)行業(yè),同行業(yè)中的不同系統(tǒng)或者部件對于信息安全的需求并不一致。為了能夠加強工業(yè)控制系統(tǒng)的信息安全管理,可以對工業(yè)控制系統(tǒng)信息安全采取等級化管理,為各工控系統(tǒng)提供信息安全分級保護措施和要求,綜合平衡安全風險和成本,從而實現(xiàn)信息安全資源的優(yōu)化配置。
2 現(xiàn)有信息系統(tǒng)分級方法分析
國際上,IEC TC65已經(jīng)在制定工控系統(tǒng)安全分級標準。美國國家標準和技術研究院制定的《聯(lián)邦信息和信息系統(tǒng)安全分類標準》(FIPS-199)中對信息和信息系統(tǒng)進行了分類。該標準從機密性、完整性和可用性三個方面對不同類型信息的等級進行評定,將信息的等級劃分為高、中、低三類,并以此為根據(jù)對信息系統(tǒng)進行分級評判。《聯(lián)邦信息系統(tǒng)最小安全控制標準》(FIPS-200)規(guī)定了總共17個領域中美國聯(lián)邦信息與信息系統(tǒng)所必須達到的最低安全要求。
目前美國業(yè)界對于信息的分級存在多樣性,但基本思路是一致的,只不過考慮的因素各有不同。例如,F(xiàn)IPS-199和NIST800-37等文件中采用資產(chǎn)等級評判系統(tǒng)等級的重要因素;IATF采用威脅的等級作為判定系統(tǒng)等級的重要因素;FIPS-199和IATF等同樣將信息系統(tǒng)被破壞后對國家、社會公共利益等方面的影響作為系統(tǒng)等級重要因素來為系統(tǒng)進行定級。針對不同級別的信息系統(tǒng),文件NIST 800-53中對各級別的系統(tǒng)推薦了不同強度的安全控制集,并裁剪了安全控制基線這一概念,針對基本、中和高三類系統(tǒng)級別列出了三套基線安全控制集。雖然美國的信息分級保護進程僅實施十年左右,但同樣積累了一些成熟的經(jīng)驗,并形成了一套完整的體系,可以作為我國推行等級保護的基礎經(jīng)驗。
我國在信息系統(tǒng)安全等級保護、保密系統(tǒng)分級保護、電信互聯(lián)網(wǎng)等級保護等領域制定大量標準,推動信息系統(tǒng)安全分級應用,對行業(yè)發(fā)展起到重要推動作用。
3 我國工控系統(tǒng)信息安全分級方法研究建議
工業(yè)控制系統(tǒng)被廣泛應用于國民經(jīng)濟以及公民日常生活的各個方面,關系著國家切實利益和社會長治久安。受近年來“震網(wǎng)”等一系列工業(yè)控制系統(tǒng)安全事件的影響,我國工控系統(tǒng)的信息安全分級管理勢在必行。在全國信息安全標準化技術委員會的指導下,中國電子技術標準化研究院成立工控系統(tǒng)信息安全標準工作組,組織國內(nèi)工控行業(yè)骨干企業(yè)、科研院所,開展工控系統(tǒng)信息安全分級標準的研究。提出了從信息安全和功能安全出發(fā),根據(jù)不同區(qū)域和部件受侵害程度對工控系統(tǒng)進行安全定級。從工控系統(tǒng)七項基本安全需求出發(fā),對每項需求根據(jù)受侵害程度劃分為五級。劃分系統(tǒng)區(qū)域和管道,根據(jù)定級依據(jù)設定系統(tǒng)和各部件的設計安全等級,系統(tǒng)建設完成后,對系統(tǒng)進行評估得到實際安全等級,并與設計安全等級進行對比,制定安全策略,調(diào)整系統(tǒng)安全配置。
在此基礎上,將這三個定級要素根據(jù)各自特點進一步細化為若干關鍵指標,從而更為精確地評判工控系統(tǒng)信息安全等級。例如,工控系統(tǒng)重要性程度可細化為業(yè)務使命和行業(yè)領域兩個關鍵要素。其中,工控系統(tǒng)的行業(yè)領域要素分為關鍵領域、重點領域、一般領域。與國家安全、國家經(jīng)濟安全緊密相關的工業(yè)生產(chǎn)領域作為關鍵領域;與國計民生緊密相關的工業(yè)生產(chǎn)領域,作為重點領域;上述領域之外的其它工業(yè)生產(chǎn)領域作為一般領域。
表1 現(xiàn)有信息安全分級方法一覽
工控系統(tǒng)信息安全分級可以根據(jù)信息系統(tǒng)的重要程度以及實際安全需求,將各種信息系統(tǒng)進行分類,有利于提供從細節(jié)到全局,從技術到管理,從設備到人員等多方面的安全防護措施,從而保障工業(yè)控制信息系統(tǒng)的正常運行,維護國家利益、公共權益和社會穩(wěn)定。與國外現(xiàn)有技術和標準相比,我國工控系統(tǒng)信息安全分級標準綜合考慮工控行業(yè)和國家、社會生產(chǎn)生活的諸多因素,力圖制定更加準確合理的工控信息系統(tǒng)安全分級策略。
作者簡介
范科峰(1978-),男,陜西禮泉人,高級工程師,博士,博士后出站,碩士導師,研究方向為信息安全、信號處理、信息技術標準化等。目前負責工控安全技術標準與測評等工作,在信息安全等領域獲得省部級科技獎勵6項,榮獲第3屆中央國家機關青年五四獎章。
李琳(1983-),男,山東濟南人,博士研究生,研究方向為復雜網(wǎng)絡,網(wǎng)絡內(nèi)容安全。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號