亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        工業(yè)信息安全標(biāo)準(zhǔn)概述

        2014-09-10 01:05:18隋愛芬西門子中國有限公司北京100102
        自動化博覽 2014年10期
        關(guān)鍵詞:信息安全可靠性標(biāo)準(zhǔn)化

        隋愛芬(西門子(中國)有限公司,北京 100102)

        工業(yè)自動化控制系統(tǒng)(IACS,Industrial Automation Control System)構(gòu)成了現(xiàn)代工業(yè)基礎(chǔ)設(shè)施的神經(jīng)系統(tǒng)。傳統(tǒng)上,工業(yè)自動化控制系統(tǒng)多為采用專用技術(shù)的封閉網(wǎng)絡(luò),對外沒有互聯(lián)互通,其面臨的信息安全威脅不突出。但近幾十年來,各種工業(yè)自動化控制系統(tǒng)正快速地從封閉、孤立的系統(tǒng)走向互聯(lián),并開始廣泛采用開放和通用技術(shù),隨之帶來了工業(yè)控制系統(tǒng)所面臨的信息安全威脅也日益嚴(yán)重。工業(yè)自動化控制系統(tǒng)的安全直接關(guān)系到各重點(diǎn)工業(yè)行業(yè)的生產(chǎn)安全,因而近年來成為工業(yè)自動化以及信息安全研究重點(diǎn)、熱點(diǎn)領(lǐng)域。

        標(biāo)準(zhǔn)化作為推動行業(yè)發(fā)展和行業(yè)互認(rèn)的有力工具,可以為工業(yè)信息安全建設(shè)提供重要依據(jù)。本文在分析了工業(yè)信息安全威脅和需求基礎(chǔ)上,對目前主要的工業(yè)信息安全規(guī)范做了調(diào)研,并重點(diǎn)介紹了IEC62443工業(yè)控制系統(tǒng)信息安全規(guī)范,從中可以看出主要國際標(biāo)準(zhǔn)組織對工業(yè)信息安全的應(yīng)對思路。

        1 工業(yè)信息安全威脅與需求

        傳統(tǒng)上,工業(yè)自動化控制系統(tǒng)多為采用專用技術(shù)的封閉網(wǎng)絡(luò),對外沒有互聯(lián)互通,其面臨的信息安全威脅不突出。相應(yīng)地,各種工業(yè)控制設(shè)備、應(yīng)用、系統(tǒng)、通信協(xié)議都主要針對專有的封閉環(huán)境而設(shè)計。由于沒有現(xiàn)實(shí)的信息安全威脅,工業(yè)自動化控制系統(tǒng)在設(shè)計、實(shí)現(xiàn)與部署過程中,其主要指標(biāo)是可用性、功能、性能、(物理)安全性、實(shí)時性等,而無須過多考慮網(wǎng)絡(luò)攻擊、信息安全等問題。

        但近幾十年來,各種工業(yè)自動化控制系統(tǒng)正快速地從封閉、孤立的系統(tǒng)走向互聯(lián),例如自動化網(wǎng)絡(luò)與IT網(wǎng)絡(luò)相連,為實(shí)現(xiàn)遠(yuǎn)程維護(hù)與Internet連接等。并開始廣泛采用開放和通用技術(shù),采用以太網(wǎng)、TCP/IP網(wǎng)絡(luò)作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施;采用包括IWLAN、GPRS等在內(nèi)的各種無線網(wǎng)絡(luò),廣泛采用標(biāo)準(zhǔn)的Windows等商用操作系統(tǒng)、設(shè)備、中間件與各種通用技術(shù)。典型的工業(yè)自動化控制系統(tǒng)SCADA(Supervisory Control And Data Acquisition,數(shù)據(jù)采集與監(jiān)控系統(tǒng))、DCS(Distributed Control System,分布式控制系統(tǒng))、PLC(Programmable Logic Controller,可編程邏輯控制器)等正日益變得開放、通用和標(biāo)準(zhǔn)化。

        由于長期缺乏安全需求的推動,對網(wǎng)絡(luò)環(huán)境下廣泛存在的安全威脅缺乏充分認(rèn)識,現(xiàn)有工業(yè)自動化控制系統(tǒng)過去在設(shè)計、研發(fā)中沒有充分考慮安全問題,在部署、運(yùn)維中又缺乏安全意識、管理、流程、策略與相關(guān)專業(yè)技術(shù)的支撐,導(dǎo)致許多工業(yè)自動化控制系統(tǒng)中存在著這樣或那樣的安全問題,一旦被無意或惡意利用,就會造成各種安全事件。例如由于病毒、惡意軟件等導(dǎo)致的工廠停產(chǎn);惡意操縱工控數(shù)據(jù)或應(yīng)用軟件;對工控系統(tǒng)功能未經(jīng)授權(quán)的訪問,工業(yè)制造的核心數(shù)據(jù)、配方被竊取等。越來越多的安全事件揭示出自動化工廠存在安全脆弱性。

        但是現(xiàn)有IT安全措施不能直接應(yīng)用于工業(yè)領(lǐng)域,工控系統(tǒng)的信息安全和IT系統(tǒng)的信息安全是有顯著區(qū)別。首先信息安全需求不同。信息安全需求可以概括為CIA,C(con fi dentiality)表示機(jī)密性,I(integrity)表示完整性,A(availability)表示可用性。IT環(huán)境,最有可能發(fā)生的情況就是機(jī)密信息的丟失,但是不會造成人員、設(shè)備與環(huán)境的直接損失,安全需求的優(yōu)先級通常是機(jī)密性、完整性、可用性。但是對于工業(yè)環(huán)境來講,如果生產(chǎn)參數(shù)不能及時監(jiān)控,或者參數(shù)被惡意篡改,可能會造成嚴(yán)重后果,因此其安全需求首先是可用性,在生產(chǎn)可持續(xù)的前提之下,要求數(shù)據(jù)是完整的不被篡改,機(jī)密性的要求相對不突出。工業(yè)生產(chǎn)系統(tǒng)的整個生命周期通常有10~20年,甚至更長的時間,而一般辦公系統(tǒng)的生命周期通常只有3年。工業(yè)控制系統(tǒng)采用了大量嵌入式設(shè)備、以及存儲和處理能力有限的設(shè)備。這些特殊之處都對信息安全提出了新的挑戰(zhàn)和要求,而正在涌現(xiàn)的工業(yè)安全事件使得要求更加迫切。

        標(biāo)準(zhǔn)化作為推動行業(yè)發(fā)展和行業(yè)互認(rèn)的有力工具,可以為工業(yè)信息安全建設(shè)提供重要依據(jù)。隨著越來越多工業(yè)領(lǐng)域信息安全事件的出現(xiàn),全球加速了工業(yè)信息安全標(biāo)準(zhǔn)化的進(jìn)程。

        2 工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)化概述

        對于工業(yè)領(lǐng)域,標(biāo)準(zhǔn)化是戰(zhàn)略性的和基礎(chǔ)性的工作。隨著越來越多工業(yè)領(lǐng)域信息安全事件的出現(xiàn),全球加速了工業(yè)信息安全標(biāo)準(zhǔn)化的進(jìn)程。

        國際上,包括美國、歐洲在內(nèi)的西方國家也早已意識到工業(yè)自動化控制系統(tǒng)信息安全的重要性,在上個世紀(jì)90年代左右就開始了相關(guān)的研究與標(biāo)準(zhǔn)化方面的工作。IEC TC65在ISA工作基礎(chǔ)上,借鑒了ISO27000、WIB M-2784等標(biāo)準(zhǔn)和規(guī)范制定了IEC62443系列標(biāo)準(zhǔn)[2-6],對信息安全管理、工業(yè)控制系統(tǒng)、工業(yè)控制組件提出了需求。NIST SP800-82《工業(yè)控制系統(tǒng)信息安全指南》[12]分析了ICS面臨的威脅與漏洞特征,提供了解決安全風(fēng)險的建議對策;并提供適合工業(yè)控制網(wǎng)絡(luò)的安全控制基線措施。NERC CIP《關(guān)鍵基礎(chǔ)設(shè)施防護(hù)的可靠性標(biāo)準(zhǔn)》[14]規(guī)定了北美電力關(guān)鍵資產(chǎn)保護(hù)框架。

        中國政府對工業(yè)信息安全給予高度重視。2011年工業(yè)與信息化部發(fā)布“關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知”[1],明確了重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求,并強(qiáng)調(diào)了“誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則,對連接管理、組網(wǎng)管理、配置管理、設(shè)備選擇與升級管理、數(shù)據(jù)管理、應(yīng)急管理等等提出了明確要求。同時國家標(biāo)準(zhǔn)委員會也加快標(biāo)準(zhǔn)化的制定工作。

        3 IEC 62443工業(yè)控制系統(tǒng)安全規(guī)范

        IEC62443是在 ISA-99的基礎(chǔ)上制定的。ISA99由International Society of Automation(ISA)WG4工作組負(fù)責(zé)制定,面向各種工業(yè)行業(yè)的工業(yè)自動化控制系統(tǒng)的安全。由于IEC 62443充分考慮了工業(yè)領(lǐng)域的不同的參與方(自動化產(chǎn)品廠商、系統(tǒng)/產(chǎn)品提供商、系統(tǒng)集成商、終端用戶)的不同安全需求,比較符合各工業(yè)行業(yè)的對信息安全標(biāo)準(zhǔn)的需要。

        IEC62443分4個部分,第一部分是總述[2],定義了術(shù)語概念和模型以及系統(tǒng)安全度量。第二部分是策略和規(guī)程[3],規(guī)定了創(chuàng)建工業(yè)自動化控制系統(tǒng)安全計劃、補(bǔ)丁管理、安全策略和實(shí)踐。第三部分是對系統(tǒng)的要求[4-6],定義了工業(yè)自動化控制系統(tǒng)的安全技術(shù),以及系統(tǒng)安全要求和安全保障等級。第四部分是對組件(部件)的要求[7],規(guī)定了產(chǎn)品開發(fā)要求、產(chǎn)品安全技術(shù)要求。對系統(tǒng)和組件,分別從管理層面和技術(shù)層面提出了要求。

        圖1 IEC62443架構(gòu)

        我國積極參與IEC62443標(biāo)準(zhǔn)的制定和推廣工作。SAC TC124作為IEC TC65在國內(nèi)的鏡像標(biāo)準(zhǔn)委員會,目前正在將IEC62443已發(fā)布標(biāo)準(zhǔn)引入國內(nèi)。其中工業(yè)過程和控制安全第3部分:網(wǎng)絡(luò)和系統(tǒng)信息安全(IEC62443-3: 2008 Security for industrial process measurement and control - network and system security)、工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第1-1部分:概念和模型(IEC62443-1-1: 2009 Industrial communication networks - network and system security - Part 1-1: Terminology, concepts and models) 、工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第3-1部分:工業(yè)自動化和控制系統(tǒng)用安全技術(shù)(IEC62443-1-1: 2009 Industrial communication networks - network and system security - Part 3-1: Security technologies for industrial automation and control systems) 已被等同采標(biāo)為行業(yè)標(biāo)準(zhǔn)。工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第2-1部分:建立工業(yè)自動化和控制系統(tǒng)信息安全程序(IEC 62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program)正在被等同轉(zhuǎn)化為國標(biāo)。

        同時,TC124基于IEC62443制定了“工業(yè)控制系統(tǒng)信息安全第1部分:評估規(guī)范”[16]和“工業(yè)控制系統(tǒng)信息安全第2部分:驗(yàn)收規(guī)范”[17],并正在進(jìn)一步制定PLC和DCS相關(guān)安全國家標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)將為我國工業(yè)信息安全的評估、建設(shè)提供重要依據(jù)。

        4 其他工業(yè)安全相關(guān)國際標(biāo)準(zhǔn)

        除IEC和ISA外,還有很多國際標(biāo)準(zhǔn)組織和行業(yè)協(xié)會制定了工業(yè)信息安全相關(guān)的規(guī)范和指導(dǎo)文件。例如NIST在聯(lián)邦信息系統(tǒng)安全要求[9-10]和信息系統(tǒng)安全控制措施[11]基礎(chǔ)上,制定了工業(yè)控制系統(tǒng)安全指南;北美電力可靠性公司NERC (North American Electric Reliability Corporation)負(fù)責(zé)建立和強(qiáng)制實(shí)施大型電力系統(tǒng)的可靠性標(biāo)準(zhǔn);化學(xué)信息技術(shù)中心(ChemITC)制定了化學(xué)領(lǐng)域的信息安全項(xiàng)目,并對關(guān)鍵技術(shù)問題進(jìn)行了規(guī)定。本章選取NIST SP800-82和NERC CIP做簡要介紹。

        4.1 NIST SP800-82《工業(yè)控制系統(tǒng)信息安全指南》

        NIST在聯(lián)邦信息系統(tǒng)安全要求[9-10]和信息系統(tǒng)安全控制措施[11]基礎(chǔ)上,制定了工業(yè)控制系統(tǒng)安全指南。其中FIPS 200和FIPS199是NIST制定的強(qiáng)制標(biāo)準(zhǔn),F(xiàn)IPS200約束了信息系統(tǒng)所需滿足的最低安全要求,F(xiàn)IPS 199為信息系統(tǒng)安全級別分類提供了標(biāo)準(zhǔn)和方法 ,NIST SP800-53為信息系統(tǒng)滿足FIPS200提供了具體的、差異化的安全控制基線措施,NIST SP800-82分析了ICS面臨的威脅與漏洞特征,提供了解決安全風(fēng)險的建議對策;并提供適合工業(yè)控制網(wǎng)絡(luò)的安全控制基線措施。

        NIST SP800-82規(guī)定的安全控制措施框架如圖2所示,可以大致分為管理控制措施、運(yùn)維控制措施和技術(shù)控制措施。

        4.2 NERC CIP《關(guān)鍵基礎(chǔ)設(shè)施防護(hù)的可靠性標(biāo)準(zhǔn)》

        NERC (North American Electric Reliability Corporation)是由FERC (Federal Energy Regulatory Commission) 認(rèn)證的電力可靠性組織,NERC前身北美電力可靠性委員會,由電力工業(yè)創(chuàng)建于1968年,負(fù)責(zé)建立和強(qiáng)制實(shí)施大型電力系統(tǒng)的可靠性標(biāo)準(zhǔn)。

        圖2 NIST SP800-82工業(yè)控制網(wǎng)絡(luò)安全控制措施框架

        CIP (Critical Infrastructure Protection)由NERC負(fù)責(zé)制定,包括9個部分:CIP-001規(guī)定了破壞事件的上報機(jī)制,CIP-002至CIP-009規(guī)定了北美電力關(guān)鍵資產(chǎn)保護(hù)框架,如圖3所示。

        從2009年6月30日起,所有大型電力系統(tǒng)中的高壓電力傳輸和配電(T&D)從業(yè)人員必須符合北美電力可靠性委員會的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)(NERC CIP)。發(fā)電站業(yè)主和從業(yè)人員的時間期限在6個月之后。

        圖3 NERC CIP《關(guān)鍵基礎(chǔ)設(shè)施防護(hù)的可靠性標(biāo)準(zhǔn)》框架

        5 總結(jié)

        近年來,工業(yè)自動化控制系統(tǒng)自動化、數(shù)字化、網(wǎng)絡(luò)化程度的不斷提高,工業(yè)自動化控制系統(tǒng)與IT網(wǎng)絡(luò)的互聯(lián)、互通大大增加,并越來越多的采用通用和開放技術(shù),隨之帶來了工業(yè)控制系統(tǒng)所面臨的信息安全威脅也日益嚴(yán)重。

        對于工業(yè)領(lǐng)域,標(biāo)準(zhǔn)化是戰(zhàn)略性的和基礎(chǔ)性的工作。隨著工業(yè)領(lǐng)域信息安全事件的出現(xiàn),全球加速了工業(yè)信息安全標(biāo)準(zhǔn)化的進(jìn)程。IEC TC65在ISA工作基礎(chǔ)上,借鑒了ISO27000、WIB M-2784、NIST等標(biāo)準(zhǔn)和規(guī)范制定了IEC62443系列標(biāo)準(zhǔn),對信息安全管理、工業(yè)控制系統(tǒng)、工業(yè)控制組件提出了需求。我國政府對工業(yè)信息安全給予高度重視,2011年工業(yè)與信息化部發(fā)布“關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知”,國家標(biāo)準(zhǔn)委員會也加快了相關(guān)標(biāo)準(zhǔn)化的制定工作,在IEC62443的基礎(chǔ)上,制定了工業(yè)控制系統(tǒng)信息安全評估規(guī)范和驗(yàn)收規(guī)范,并正在進(jìn)一步制定PLC和DCS相關(guān)安全國家標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)將為我國工業(yè)信息安全的建設(shè)和評估提供重要依據(jù)。

        [1]工業(yè)與信息化部. 關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知. 2011.

        [2]IEC62443-1-1. 2009 Industrial communication networks - network and system security - Part 1-1: Terminology, concepts and models[S].

        [3]IEC 62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program[S].

        [4]IEC62443-3: 2008 Security for industrial process measurement and control -network and system security[S].

        [5]IEC62443-3-1: 2009 Industrial communication networks - network and system security - Part 3-1: Security technologies for industrial automation and control systems[S].

        [6]ISA-62443.03.03 (99.03.03):Security for industrial automation and control systems, sytem security requirements and security levels[S].

        [7]IEC/NP 62443-4-2: Industrial communication networks-Network and system security-Part 4-2: Techinical security requirements for IACS components[S].

        [8]ISO/IEC27002:2007, IDT, Information technology-Security techniques-Code of practice for information security management[S].

        [9]FIPS 200. Minimum security requirements for Federal Information and Information System[S].

        [10]FIPS 199. Standards for security categorization of Federal Information and Information Systems[S].

        [11]NIST SP800-53. Recommended security controls for Federal Information Systems[S].

        [12]NIST SP800-82. Guide to industrial control systems (ICS) security[S].

        [13]WIB M-2784. Process control domain-security requirements for vendors[S].2010

        [14]NERC CIP. Critical Infrastructure Protection[S].

        [15]Chemical Information Technology Center. Chemical sector cyber security program-key technology issues[S].

        [16]SAC/TC124. 工業(yè)控制系統(tǒng)信息安全第1部分:評估規(guī)范(報批稿) [S].

        [17]SAC/TC124. 工業(yè)控制系統(tǒng)信息安全第2部分:驗(yàn)收規(guī)范(報批稿) [S].

        猜你喜歡
        信息安全可靠性標(biāo)準(zhǔn)化
        標(biāo)準(zhǔn)化簡述
        可靠性管理體系創(chuàng)建與實(shí)踐
        保護(hù)信息安全要滴水不漏
        高校信息安全防護(hù)
        標(biāo)準(zhǔn)化是綜合交通運(yùn)輸?shù)谋U稀庾x《交通運(yùn)輸標(biāo)準(zhǔn)化體系》
        中國公路(2017年9期)2017-07-25 13:26:38
        電子制作(2017年2期)2017-05-17 03:55:06
        保護(hù)個人信息安全刻不容緩
        論汽車維修診斷標(biāo)準(zhǔn)化(上)
        基于可靠性跟蹤的薄弱環(huán)節(jié)辨識方法在省級電網(wǎng)可靠性改善中的應(yīng)用研究
        電測與儀表(2015年6期)2015-04-09 12:01:18
        可靠性比一次采購成本更重要
        風(fēng)能(2015年9期)2015-02-27 10:15:24
        香蕉久久夜色精品国产2020| 国精产品一区一区二区三区mba| 亚洲av日韩av天堂久久| 又爆又大又粗又硬又黄的a片| 中出高潮了中文字幕| 在线亚洲精品中文字幕美乳色| 一边摸一边抽搐一进一出视频| 国产精品老熟女露脸视频| 中文亚洲爆乳av无码专区| 一区二区三区观看在线视频| 人妻精品在线手机观看| 中文字幕v亚洲日本| 日韩av在线毛片| 久久精品日韩免费视频| 国精产品一区一区二区三区mba| 久久国产热这里只有精品| 国产综合第一夜| 在线亚洲精品中文字幕美乳色| 在线观看免费无码专区| 美女大量吞精在线观看456| 国产AV秘 无码一区二区三区| 国内自拍视频一区二区三区| 久久www免费人成精品| 国产免费资源高清小视频在线观看| 国产三级国产精品国产专区| 日本中文字幕有码网站| 久久精品国产69国产精品亚洲| 加勒比黑人在线| 日本免费看一区二区三区| 牛牛在线视频| 国产精品成人va| 国产亚洲精品高清视频| 公和我做好爽添厨房| 在线va免费看成| 日韩偷拍视频一区二区三区| 青草久久婷婷亚洲精品| 亚洲av无码国产精品色午夜洪| 久久精品爱国产免费久久| 一本色道精品亚洲国产一区| av永久天堂一区二区三区| 青草热久精品视频在线观看|