隋愛芬（西門子（中國）有限公司，北京 100102）

工業(yè)自動化控制系統(tǒng)（IACS，Industrial Automation Control System）構(gòu)成了現(xiàn)代工業(yè)基礎(chǔ)設(shè)施的神經(jīng)系統(tǒng)。傳統(tǒng)上，工業(yè)自動化控制系統(tǒng)多為采用專用技術(shù)的封閉網(wǎng)絡(luò)，對外沒有互聯(lián)互通，其面臨的信息安全威脅不突出。但近幾十年來，各種工業(yè)自動化控制系統(tǒng)正快速地從封閉、孤立的系統(tǒng)走向互聯(lián)，并開始廣泛采用開放和通用技術(shù)，隨之帶來了工業(yè)控制系統(tǒng)所面臨的信息安全威脅也日益嚴(yán)重。工業(yè)自動化控制系統(tǒng)的安全直接關(guān)系到各重點(diǎn)工業(yè)行業(yè)的生產(chǎn)安全，因而近年來成為工業(yè)自動化以及信息安全研究重點(diǎn)、熱點(diǎn)領(lǐng)域。

標(biāo)準(zhǔn)化作為推動行業(yè)發(fā)展和行業(yè)互認(rèn)的有力工具，可以為工業(yè)信息安全建設(shè)提供重要依據(jù)。本文在分析了工業(yè)信息安全威脅和需求基礎(chǔ)上，對目前主要的工業(yè)信息安全規(guī)范做了調(diào)研，并重點(diǎn)介紹了IEC62443工業(yè)控制系統(tǒng)信息安全規(guī)范，從中可以看出主要國際標(biāo)準(zhǔn)組織對工業(yè)信息安全的應(yīng)對思路。

1 工業(yè)信息安全威脅與需求

傳統(tǒng)上，工業(yè)自動化控制系統(tǒng)多為采用專用技術(shù)的封閉網(wǎng)絡(luò)，對外沒有互聯(lián)互通，其面臨的信息安全威脅不突出。相應(yīng)地，各種工業(yè)控制設(shè)備、應(yīng)用、系統(tǒng)、通信協(xié)議都主要針對專有的封閉環(huán)境而設(shè)計。由于沒有現(xiàn)實(shí)的信息安全威脅，工業(yè)自動化控制系統(tǒng)在設(shè)計、實(shí)現(xiàn)與部署過程中，其主要指標(biāo)是可用性、功能、性能、（物理）安全性、實(shí)時性等，而無須過多考慮網(wǎng)絡(luò)攻擊、信息安全等問題。

但近幾十年來，各種工業(yè)自動化控制系統(tǒng)正快速地從封閉、孤立的系統(tǒng)走向互聯(lián)，例如自動化網(wǎng)絡(luò)與IT網(wǎng)絡(luò)相連，為實(shí)現(xiàn)遠(yuǎn)程維護(hù)與Internet連接等。并開始廣泛采用開放和通用技術(shù)，采用以太網(wǎng)、TCP/IP網(wǎng)絡(luò)作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施；采用包括IWLAN、GPRS等在內(nèi)的各種無線網(wǎng)絡(luò)，廣泛采用標(biāo)準(zhǔn)的Windows等商用操作系統(tǒng)、設(shè)備、中間件與各種通用技術(shù)。典型的工業(yè)自動化控制系統(tǒng)SCADA（Supervisory Control And Data Acquisition，數(shù)據(jù)采集與監(jiān)控系統(tǒng)）、DCS（Distributed Control System，分布式控制系統(tǒng)）、PLC（Programmable Logic Controller，可編程邏輯控制器）等正日益變得開放、通用和標(biāo)準(zhǔn)化。

由于長期缺乏安全需求的推動，對網(wǎng)絡(luò)環(huán)境下廣泛存在的安全威脅缺乏充分認(rèn)識，現(xiàn)有工業(yè)自動化控制系統(tǒng)過去在設(shè)計、研發(fā)中沒有充分考慮安全問題，在部署、運(yùn)維中又缺乏安全意識、管理、流程、策略與相關(guān)專業(yè)技術(shù)的支撐，導(dǎo)致許多工業(yè)自動化控制系統(tǒng)中存在著這樣或那樣的安全問題，一旦被無意或惡意利用，就會造成各種安全事件。例如由于病毒、惡意軟件等導(dǎo)致的工廠停產(chǎn)；惡意操縱工控數(shù)據(jù)或應(yīng)用軟件；對工控系統(tǒng)功能未經(jīng)授權(quán)的訪問，工業(yè)制造的核心數(shù)據(jù)、配方被竊取等。越來越多的安全事件揭示出自動化工廠存在安全脆弱性。

但是現(xiàn)有IT安全措施不能直接應(yīng)用于工業(yè)領(lǐng)域，工控系統(tǒng)的信息安全和IT系統(tǒng)的信息安全是有顯著區(qū)別。首先信息安全需求不同。信息安全需求可以概括為CIA，C（con fi dentiality）表示機(jī)密性，I（integrity）表示完整性，A（availability）表示可用性。IT環(huán)境，最有可能發(fā)生的情況就是機(jī)密信息的丟失，但是不會造成人員、設(shè)備與環(huán)境的直接損失，安全需求的優(yōu)先級通常是機(jī)密性、完整性、可用性。但是對于工業(yè)環(huán)境來講，如果生產(chǎn)參數(shù)不能及時監(jiān)控，或者參數(shù)被惡意篡改，可能會造成嚴(yán)重后果，因此其安全需求首先是可用性，在生產(chǎn)可持續(xù)的前提之下，要求數(shù)據(jù)是完整的不被篡改，機(jī)密性的要求相對不突出。工業(yè)生產(chǎn)系統(tǒng)的整個生命周期通常有10～20年，甚至更長的時間，而一般辦公系統(tǒng)的生命周期通常只有3年。工業(yè)控制系統(tǒng)采用了大量嵌入式設(shè)備、以及存儲和處理能力有限的設(shè)備。這些特殊之處都對信息安全提出了新的挑戰(zhàn)和要求，而正在涌現(xiàn)的工業(yè)安全事件使得要求更加迫切。

標(biāo)準(zhǔn)化作為推動行業(yè)發(fā)展和行業(yè)互認(rèn)的有力工具，可以為工業(yè)信息安全建設(shè)提供重要依據(jù)。隨著越來越多工業(yè)領(lǐng)域信息安全事件的出現(xiàn)，全球加速了工業(yè)信息安全標(biāo)準(zhǔn)化的進(jìn)程。

2 工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)化概述

對于工業(yè)領(lǐng)域，標(biāo)準(zhǔn)化是戰(zhàn)略性的和基礎(chǔ)性的工作。隨著越來越多工業(yè)領(lǐng)域信息安全事件的出現(xiàn)，全球加速了工業(yè)信息安全標(biāo)準(zhǔn)化的進(jìn)程。

國際上，包括美國、歐洲在內(nèi)的西方國家也早已意識到工業(yè)自動化控制系統(tǒng)信息安全的重要性，在上個世紀(jì)90年代左右就開始了相關(guān)的研究與標(biāo)準(zhǔn)化方面的工作。IEC TC65在ISA工作基礎(chǔ)上，借鑒了ISO27000、WIB M-2784等標(biāo)準(zhǔn)和規(guī)范制定了IEC62443系列標(biāo)準(zhǔn)[2-6]，對信息安全管理、工業(yè)控制系統(tǒng)、工業(yè)控制組件提出了需求。NIST SP800-82《工業(yè)控制系統(tǒng)信息安全指南》[12]分析了ICS面臨的威脅與漏洞特征，提供了解決安全風(fēng)險的建議對策；并提供適合工業(yè)控制網(wǎng)絡(luò)的安全控制基線措施。NERC CIP《關(guān)鍵基礎(chǔ)設(shè)施防護(hù)的可靠性標(biāo)準(zhǔn)》[14]規(guī)定了北美電力關(guān)鍵資產(chǎn)保護(hù)框架。

中國政府對工業(yè)信息安全給予高度重視。2011年工業(yè)與信息化部發(fā)布“關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知”[1]，明確了重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求，并強(qiáng)調(diào)了“誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，對連接管理、組網(wǎng)管理、配置管理、設(shè)備選擇與升級管理、數(shù)據(jù)管理、應(yīng)急管理等等提出了明確要求。同時國家標(biāo)準(zhǔn)委員會也加快標(biāo)準(zhǔn)化的制定工作。

3 IEC 62443工業(yè)控制系統(tǒng)安全規(guī)范

IEC62443是在 ISA-99的基礎(chǔ)上制定的。ISA99由International Society of Automation（ISA）WG4工作組負(fù)責(zé)制定，面向各種工業(yè)行業(yè)的工業(yè)自動化控制系統(tǒng)的安全。由于IEC 62443充分考慮了工業(yè)領(lǐng)域的不同的參與方（自動化產(chǎn)品廠商、系統(tǒng)/產(chǎn)品提供商、系統(tǒng)集成商、終端用戶）的不同安全需求，比較符合各工業(yè)行業(yè)的對信息安全標(biāo)準(zhǔn)的需要。

IEC62443分4個部分，第一部分是總述[2]，定義了術(shù)語概念和模型以及系統(tǒng)安全度量。第二部分是策略和規(guī)程[3]，規(guī)定了創(chuàng)建工業(yè)自動化控制系統(tǒng)安全計劃、補(bǔ)丁管理、安全策略和實(shí)踐。第三部分是對系統(tǒng)的要求[4-6]，定義了工業(yè)自動化控制系統(tǒng)的安全技術(shù)，以及系統(tǒng)安全要求和安全保障等級。第四部分是對組件（部件）的要求[7]，規(guī)定了產(chǎn)品開發(fā)要求、產(chǎn)品安全技術(shù)要求。對系統(tǒng)和組件，分別從管理層面和技術(shù)層面提出了要求。

圖1 IEC62443架構(gòu)

我國積極參與IEC62443標(biāo)準(zhǔn)的制定和推廣工作。SAC TC124作為IEC TC65在國內(nèi)的鏡像標(biāo)準(zhǔn)委員會，目前正在將IEC62443已發(fā)布標(biāo)準(zhǔn)引入國內(nèi)。其中工業(yè)過程和控制安全第3部分：網(wǎng)絡(luò)和系統(tǒng)信息安全（IEC62443-3: 2008 Security for industrial process measurement and control - network and system security）、工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第1-1部分：概念和模型（IEC62443-1-1: 2009 Industrial communication networks - network and system security - Part 1-1: Terminology, concepts and models) 、工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第3-1部分：工業(yè)自動化和控制系統(tǒng)用安全技術(shù)（IEC62443-1-1: 2009 Industrial communication networks - network and system security - Part 3-1: Security technologies for industrial automation and control systems) 已被等同采標(biāo)為行業(yè)標(biāo)準(zhǔn)。工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第2-1部分：建立工業(yè)自動化和控制系統(tǒng)信息安全程序（IEC 62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program）正在被等同轉(zhuǎn)化為國標(biāo)。

同時，TC124基于IEC62443制定了“工業(yè)控制系統(tǒng)信息安全第1部分：評估規(guī)范”[16]和“工業(yè)控制系統(tǒng)信息安全第2部分：驗(yàn)收規(guī)范”[17]，并正在進(jìn)一步制定PLC和DCS相關(guān)安全國家標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)將為我國工業(yè)信息安全的評估、建設(shè)提供重要依據(jù)。

4 其他工業(yè)安全相關(guān)國際標(biāo)準(zhǔn)

除IEC和ISA外，還有很多國際標(biāo)準(zhǔn)組織和行業(yè)協(xié)會制定了工業(yè)信息安全相關(guān)的規(guī)范和指導(dǎo)文件。例如NIST在聯(lián)邦信息系統(tǒng)安全要求[9-10]和信息系統(tǒng)安全控制措施[11]基礎(chǔ)上，制定了工業(yè)控制系統(tǒng)安全指南；北美電力可靠性公司NERC (North American Electric Reliability Corporation)負(fù)責(zé)建立和強(qiáng)制實(shí)施大型電力系統(tǒng)的可靠性標(biāo)準(zhǔn)；化學(xué)信息技術(shù)中心（ChemITC）制定了化學(xué)領(lǐng)域的信息安全項(xiàng)目，并對關(guān)鍵技術(shù)問題進(jìn)行了規(guī)定。本章選取NIST SP800-82和NERC CIP做簡要介紹。

4.1 NIST SP800-82《工業(yè)控制系統(tǒng)信息安全指南》

NIST在聯(lián)邦信息系統(tǒng)安全要求[9-10]和信息系統(tǒng)安全控制措施[11]基礎(chǔ)上，制定了工業(yè)控制系統(tǒng)安全指南。其中FIPS 200和FIPS199是NIST制定的強(qiáng)制標(biāo)準(zhǔn)，F(xiàn)IPS200約束了信息系統(tǒng)所需滿足的最低安全要求，F(xiàn)IPS 199為信息系統(tǒng)安全級別分類提供了標(biāo)準(zhǔn)和方法 ，NIST SP800-53為信息系統(tǒng)滿足FIPS200提供了具體的、差異化的安全控制基線措施，NIST SP800-82分析了ICS面臨的威脅與漏洞特征，提供了解決安全風(fēng)險的建議對策；并提供適合工業(yè)控制網(wǎng)絡(luò)的安全控制基線措施。

NIST SP800-82規(guī)定的安全控制措施框架如圖2所示，可以大致分為管理控制措施、運(yùn)維控制措施和技術(shù)控制措施。

4.2 NERC CIP《關(guān)鍵基礎(chǔ)設(shè)施防護(hù)的可靠性標(biāo)準(zhǔn)》

NERC (North American Electric Reliability Corporation)是由FERC (Federal Energy Regulatory Commission) 認(rèn)證的電力可靠性組織，NERC前身北美電力可靠性委員會，由電力工業(yè)創(chuàng)建于1968年，負(fù)責(zé)建立和強(qiáng)制實(shí)施大型電力系統(tǒng)的可靠性標(biāo)準(zhǔn)。

圖2 NIST SP800-82工業(yè)控制網(wǎng)絡(luò)安全控制措施框架

CIP (Critical Infrastructure Protection)由NERC負(fù)責(zé)制定，包括9個部分：CIP-001規(guī)定了破壞事件的上報機(jī)制，CIP-002至CIP-009規(guī)定了北美電力關(guān)鍵資產(chǎn)保護(hù)框架，如圖3所示。

從2009年6月30日起，所有大型電力系統(tǒng)中的高壓電力傳輸和配電（T&D）從業(yè)人員必須符合北美電力可靠性委員會的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（NERC CIP）。發(fā)電站業(yè)主和從業(yè)人員的時間期限在6個月之后。

圖3 NERC CIP《關(guān)鍵基礎(chǔ)設(shè)施防護(hù)的可靠性標(biāo)準(zhǔn)》框架

5 總結(jié)

近年來，工業(yè)自動化控制系統(tǒng)自動化、數(shù)字化、網(wǎng)絡(luò)化程度的不斷提高，工業(yè)自動化控制系統(tǒng)與IT網(wǎng)絡(luò)的互聯(lián)、互通大大增加，并越來越多的采用通用和開放技術(shù)，隨之帶來了工業(yè)控制系統(tǒng)所面臨的信息安全威脅也日益嚴(yán)重。

對于工業(yè)領(lǐng)域，標(biāo)準(zhǔn)化是戰(zhàn)略性的和基礎(chǔ)性的工作。隨著工業(yè)領(lǐng)域信息安全事件的出現(xiàn)，全球加速了工業(yè)信息安全標(biāo)準(zhǔn)化的進(jìn)程。IEC TC65在ISA工作基礎(chǔ)上，借鑒了ISO27000、WIB M-2784、NIST等標(biāo)準(zhǔn)和規(guī)范制定了IEC62443系列標(biāo)準(zhǔn)，對信息安全管理、工業(yè)控制系統(tǒng)、工業(yè)控制組件提出了需求。我國政府對工業(yè)信息安全給予高度重視，2011年工業(yè)與信息化部發(fā)布“關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知”，國家標(biāo)準(zhǔn)委員會也加快了相關(guān)標(biāo)準(zhǔn)化的制定工作，在IEC62443的基礎(chǔ)上，制定了工業(yè)控制系統(tǒng)信息安全評估規(guī)范和驗(yàn)收規(guī)范，并正在進(jìn)一步制定PLC和DCS相關(guān)安全國家標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)將為我國工業(yè)信息安全的建設(shè)和評估提供重要依據(jù)。

[1]工業(yè)與信息化部. 關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知. 2011.

[2]IEC62443-1-1. 2009 Industrial communication networks - network and system security - Part 1-1: Terminology, concepts and models[S].

[3]IEC 62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program[S].

[4]IEC62443-3: 2008 Security for industrial process measurement and control -network and system security[S].

[5]IEC62443-3-1: 2009 Industrial communication networks - network and system security - Part 3-1: Security technologies for industrial automation and control systems[S].

[6]ISA-62443.03.03 (99.03.03):Security for industrial automation and control systems, sytem security requirements and security levels[S].

[7]IEC/NP 62443-4-2: Industrial communication networks-Network and system security-Part 4-2: Techinical security requirements for IACS components[S].

[8]ISO/IEC27002:2007, IDT, Information technology-Security techniques-Code of practice for information security management[S].

[9]FIPS 200. Minimum security requirements for Federal Information and Information System[S].

[10]FIPS 199. Standards for security categorization of Federal Information and Information Systems[S].

[11]NIST SP800-53. Recommended security controls for Federal Information Systems[S].

[12]NIST SP800-82. Guide to industrial control systems (ICS) security[S].

[13]WIB M-2784. Process control domain-security requirements for vendors[S].2010

[14]NERC CIP. Critical Infrastructure Protection[S].

[15]Chemical Information Technology Center. Chemical sector cyber security program-key technology issues[S].

[16]SAC/TC124. 工業(yè)控制系統(tǒng)信息安全第1部分：評估規(guī)范(報批稿) [S].

[17]SAC/TC124. 工業(yè)控制系統(tǒng)信息安全第2部分：驗(yàn)收規(guī)范(報批稿) [S].