沈清泓+鄒春明+陸臻+田原+孟雙

摘 要：工業(yè)控制系統(tǒng)的信息安全問題日益凸顯，嚴重影響了社會和國家安全。但工業(yè)控制系統(tǒng)的特殊性，也使其與傳統(tǒng)信息系統(tǒng)在所面臨的安全威脅、安全問題及所需要考慮的安全防護措施等方面存在較大的不同。傳統(tǒng)的信息安全產(chǎn)品無法適用于工業(yè)控制領(lǐng)域，因此出現(xiàn)了專用的工控信息安全產(chǎn)品，但缺少專業(yè)規(guī)范的工控信息安全測評體系，無法保證工控信息安全產(chǎn)品的基本安全。詳細分析了工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的區(qū)別，梳理了目前廣泛使用的工控信息安全產(chǎn)品，建立了工控信息安全產(chǎn)品測試評價體系，并將該體系應(yīng)用到實際的產(chǎn)品測試中，進一步推動工控信息安全的發(fā)展。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；信息安全；測試

中圖分類號：TP39 文獻標志碼：A

Testing and Evaluation System for Information Security Products of Industrial Control Systems

SHEN Qing-hong，ZOU Chun-ming，LU Zhen，TIAN Yuan，MENG Shuang

（The Third Research Institute of Ministry of Public Security，Shanghai 200031，China）

Abstract：The problem of information security for industrial control systems （ICS） has become increasingly prominent，and it seriously affects the social and national security.However，because of the features of ICS，it faces much more differences in parts of security threats，security issues and security measures.This paper deeply analysis the differences between ICS and traditional information systems，and then lists the information security products widely used in the field of industrial control.The testing and evaluation system for information security products of industrial control systems is established and applied in the actual products testing work to further promote the industrial information security development.

Key words：industrial control system；information security；testing

1 引 言

工業(yè)控制系統(tǒng)（Industrial Control Systems，ICS）是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件，共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)[1]。現(xiàn)代的ICS網(wǎng)絡(luò)，越來越依靠于商業(yè)IT和Internet領(lǐng)域的操作系統(tǒng)、開放協(xié)議和通信技術(shù)，這些技術(shù)已被證明存在著脆弱性。通過將ICS連接到互聯(lián)網(wǎng)或其他公共網(wǎng)絡(luò)，ICS脆弱性就暴露給潛在的攻擊者[2]。

為了提高工業(yè)控制系統(tǒng)的安全性，現(xiàn)在一般從兩方面考慮：一方面是提高工業(yè)控制系統(tǒng)的自身安全性，從設(shè)計階段就開始安全性架構(gòu)，并落實在工控系統(tǒng)的研發(fā)、部署、運行的各個階段；另一方面是通過附加信息安全保障手段（如在系統(tǒng)中部署信息安全專用產(chǎn)品）在一定程度上彌補系統(tǒng)本身的安全漏洞。由于工業(yè)控制系統(tǒng)對高穩(wěn)定性和高可用性的要求，通過附加信息安全保障的方式來提升工控安全性是目前最容易實現(xiàn)和被接受的方式。

工業(yè)控制系統(tǒng)本質(zhì)上是一類信息系統(tǒng)，因此工控系統(tǒng)的安全性問題是信息系統(tǒng)安全性與工業(yè)控制系統(tǒng)的特點相結(jié)合產(chǎn)生的。美國國家安全局（National Security Agency，NSA）針對信息系統(tǒng)的安全保障陸續(xù)制定了多個版本的信息保障技術(shù)框架（Information Assurance Technical Framework，IATF）[3]，成為信息安全保障的權(quán)威架構(gòu)。IATF把信息安全保障分為四個環(huán)節(jié)：防護（Protection）、檢測（Detection）、響應(yīng)（Response）和恢復(fù)（Recovery）。首先采取各種措施對需要保護的對象進行安全防護，然后利用相應(yīng)的檢測手段對安全保護對象進行安全跟蹤和檢測以隨時了解其安全狀態(tài)。如果發(fā)現(xiàn)安全保護對象的安全狀態(tài)發(fā)生改變，特別是由安全變?yōu)椴话踩瑒t馬上采取應(yīng)急措施對其進行響應(yīng)處理，直至恢復(fù)安全保護對象的安全狀態(tài)。這四個部分相輔相成，缺一不可，構(gòu)成了公認的PDRR模型，如圖1所示。

從PDDR模型的“檢測”環(huán)節(jié)入手，對工業(yè)控制系統(tǒng)的信息安全產(chǎn)品進行測試與評估，建立工控信息安全產(chǎn)品測試評價體系，為工業(yè)控制系統(tǒng)信息安全測評提供專業(yè)化的理論支撐和實踐引領(lǐng)，一方面有效幫助供應(yīng)商大力提升其產(chǎn)品和系統(tǒng)的安全保障能力，另一方面為用戶選購工控系統(tǒng)信息安全產(chǎn)品，提高工控系統(tǒng)安全性提供支持。通過對安全測評結(jié)果的綜合分析，為相關(guān)主管部門提供真實、全面的安全態(tài)勢分析報告，促進工業(yè)控制領(lǐng)域信息安全保障工作的開展。

2 工業(yè)控制系統(tǒng)的信息安全要求

工業(yè)控制系統(tǒng)有許多區(qū)別于傳統(tǒng)信息系統(tǒng)的特點，包括不同的風(fēng)險和優(yōu)先級別。其中包括對人類健康和生命安全的重大風(fēng)險，對環(huán)境的嚴重破壞，以及金融問題如生產(chǎn)損失和對國家經(jīng)濟的負面影響。工業(yè)控制系統(tǒng)有不同的性能和可靠性要求，其使用的操作系統(tǒng)和應(yīng)用程序?qū)Φ湫偷腎T支持人員而言可能被認為是不方便的。此外，安全和效率的目標有時會與控制系統(tǒng)的設(shè)計和操作的安全性發(fā)生沖突（如，需要密碼驗證和授權(quán)不應(yīng)妨礙或干擾ICS的緊急行動）。endprint

美國NIST發(fā)布的《工業(yè)控制系統(tǒng)信息安全指南》[4]對ICS與IT的差異進行了全面的總結(jié)，這些顯著差異的存在導(dǎo)致工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)在通信、主機應(yīng)用、外聯(lián)訪問等方面采取了不同的策略。

傳統(tǒng)信息系統(tǒng)的信息安全通常都將保密性放在首位、完整性放在第二位、可用性則放在最后。工控系統(tǒng)安全目標優(yōu)先級順序則恰好相反。其首要考慮的是所有系統(tǒng)部件的可用性、完整性則在第二位、保密性通常都在最后考慮，這些需求體現(xiàn)如下：

（1）工控系統(tǒng)的可用性則直接影響到企業(yè)生產(chǎn)，生產(chǎn)線停機或者誤動都可能導(dǎo)致巨大經(jīng)濟損失，甚至是人員生命危險和社會安全破壞。

（2）工控系統(tǒng)的實時性要求很高，系統(tǒng)要求響應(yīng)時間大多在毫秒級或更快等級，而通用管理系統(tǒng)能夠接受秒級或更慢的等級。

（3）工控系統(tǒng)對持續(xù)穩(wěn)定可靠運行指標要求很高，信息安全必須具備保證持續(xù)的可操作性及穩(wěn)定的系統(tǒng)訪問、系統(tǒng)性能以及全生命周期安全支持。

3 工控信息安全產(chǎn)品

由于工控系統(tǒng)的自身特點以及對可用性的高度要求，適用于工業(yè)控制系統(tǒng)的信息安全產(chǎn)品也需要著重考慮工控系統(tǒng)的特點。目前使用相對比較廣泛的工控信息安全產(chǎn)品主要包括工控防火墻、工控安全審計、工控隔離、工控主機防護等類型。

3.1 工控防火墻

工控防火墻根據(jù)防護的需要，在工控系統(tǒng)中部署的位置存在多種情況，通常用于各層級之間、各區(qū)域之間的訪問控制，也可能部署在單個或一組控制器前方提供保護。工控防火墻采用單機架構(gòu)，主要對基于TCP/IP工業(yè)控制協(xié)議進行防護。通過鏈路層、網(wǎng)絡(luò)層、傳輸層及應(yīng)用層的過濾規(guī)則分別實現(xiàn)對MAC地址、IP地址、傳輸協(xié)議（TCP、UDP）和端口，以及工控協(xié)議的控制命令和參數(shù)的訪問控制。

工控防火墻從形態(tài)來說主要分兩種，一類是在傳統(tǒng)IT防火墻的基礎(chǔ)上增加工控防護功能模塊，對工控協(xié)議做深度檢查及過濾。還有一類工控防火墻是參考多芬諾工業(yè)防火墻的模式來實現(xiàn)的。

3.2 工控安全審計

工控安全審計產(chǎn)品通過鏡像接口分析網(wǎng)絡(luò)流量，或者通過代理及設(shè)備的通用接口進行探測等方式工作，及時發(fā)現(xiàn)網(wǎng)絡(luò)流量或設(shè)備的異常情況并告警，通常不會主動去阻斷通信。

這類產(chǎn)品自身的故障不會直接影響工控系統(tǒng)的正常運行，也更容易讓用戶接受。

3.3 工控隔離

工控隔離產(chǎn)品主要部署在工控系統(tǒng)中控制網(wǎng)與管理網(wǎng)之間。包括協(xié)議隔離產(chǎn)品，采用雙機架構(gòu)，兩機之間不使用傳統(tǒng)的TCP/IP進行通信，而是對協(xié)議進行剝離，僅將原始數(shù)據(jù)以私有協(xié)議（非TCP/IP）格式進行傳輸。其次還有網(wǎng)閘，除了進行協(xié)議剝離，兩機中間還有一個擺渡模塊，使得內(nèi)外網(wǎng)之間在同一時間是不聯(lián)通的，比較典型的是OPC網(wǎng)閘，主要還是傳輸監(jiān)測數(shù)據(jù)，傳輸控制命令的網(wǎng)閘還相當少。另外還有單向?qū)朐O(shè)備，主要采用單向光纖、VGA視頻信號等方式從物理上保證傳輸?shù)膯蜗蛐裕淙秉c是不能保證傳輸數(shù)據(jù)的完整性，但對于將控制網(wǎng)中的監(jiān)測數(shù)據(jù)傳輸?shù)狡髽I(yè)辦公網(wǎng)還是可行的。

總體來說，由于隔離類產(chǎn)品采用雙機架構(gòu)，中間私有協(xié)議通信，即使外端機被攻擊者控制，也無法侵入內(nèi)端機，其安全性要高于防火墻設(shè)備。

3.4 工控主機安全防護

工控系統(tǒng)中會部署一定數(shù)量的主機設(shè)備，如工程師站、操作員站等。這些設(shè)備往往是工控系統(tǒng)的風(fēng)險點，病毒的入侵、人為的誤操作等威脅主要都是通過主機設(shè)備進入工控系統(tǒng)。因此，這些主機有必要進行一定的防護。

目前主要有兩種針對主機設(shè)備的防護產(chǎn)品：一種為鎧甲式防護產(chǎn)品，通過接管主機設(shè)備的鼠標/鍵盤輸入、USB等外圍接口來保證主機的安全；另一種就是白名單產(chǎn)品，通過在主機上安裝代理程序，限制只有可信的程序、進程才允許運行，防止惡意程序的侵入。

4 工控信息安全產(chǎn)品測試評價體系

工控信息安全產(chǎn)品測試評價體系涵蓋測試環(huán)境、測評技術(shù)和評價服務(wù)三部分。測試環(huán)境主要由適用于工業(yè)控制系統(tǒng)信息安全產(chǎn)品的測試平臺組成，測評技術(shù)主要涉及測試工具、測試方法、基礎(chǔ)庫和相關(guān)的標準及規(guī)范，評價服務(wù)提供工業(yè)控制系統(tǒng)的安全測評服務(wù)的能力。

4.1 總體架構(gòu)

以工業(yè)控制系統(tǒng)相關(guān)的新一代信息技術(shù)為對象，從研究工控信息安全產(chǎn)品的安全功能要求、自身安全要求和性能要求出發(fā)，結(jié)合信息系統(tǒng)的威脅分析、系統(tǒng)脆弱性檢測和風(fēng)險評價的方法和技術(shù)，建立了工控信息安全產(chǎn)品測試評價體系，總體架構(gòu)如圖2所示。

其中，測試環(huán)境體系包括基礎(chǔ)環(huán)境和實驗環(huán)境，測評技術(shù)體系包括測試方法、測試工具、基礎(chǔ)庫和關(guān)鍵標準，評價服務(wù)體系包括服務(wù)流程和組織管理。

4.2 測試環(huán)境

根據(jù)測評機構(gòu)質(zhì)量體系建設(shè)等相關(guān)要求，通過對現(xiàn)有資源進行整合、改進和升級，形成實驗室必要的物理基礎(chǔ)設(shè)施，主要包括機房建設(shè)、硬件設(shè)備和軟件購置，從而為工控信息安全產(chǎn)品測試評價提供基礎(chǔ)條件。

測試環(huán)境主要包括以下兩部分：

（1）基礎(chǔ)環(huán)境：進行實驗室機房裝修和改造，作為測試評價體系的實施基礎(chǔ)。

（2）實驗環(huán)境：實驗室基礎(chǔ)網(wǎng)絡(luò)和測試儀表。

4.2.1 基礎(chǔ)環(huán)境

基礎(chǔ)環(huán)境主要通過對現(xiàn)有資源的整合、升級，著力建設(shè)測評環(huán)境所急需的物理基礎(chǔ)設(shè)施，包括機房改建和擴建、硬件設(shè)備和軟件購置、測評實驗環(huán)境建立等內(nèi)容，最終形成工控專用安全產(chǎn)品測試所需的必要基礎(chǔ)條件。

基礎(chǔ)環(huán)境包括4個測試（性能測試環(huán)境、攻擊測試環(huán)境、功能測試環(huán)境和協(xié)議測試環(huán)境）隔斷環(huán)境、1個演示環(huán)境和1個測試機房組成。

4.2.2 實驗環(huán)境

實驗室環(huán)境主要是針對工業(yè)控制系統(tǒng)信息安全產(chǎn)品的檢測需要，搭建典型的工業(yè)控制環(huán)境，包括測試平臺和演示環(huán)境兩部分。其中測試平臺又包括功能測試平臺、協(xié)議測試平臺、攻擊平臺和性能測試平臺四個系統(tǒng)。endprint

4.2.2.1 測試平臺

測試平臺包括功能測試平臺、協(xié)議測試平臺、攻擊平臺和性能測試平臺四個方面。由于每個測試平臺的測試重點和測試環(huán)境的要求各不相同，所以四個平臺分別獨立部署。

（1）功能測試平臺

功能測試平臺是一套典型的小規(guī)模工業(yè)控制系統(tǒng)，包含工業(yè)控制領(lǐng)域主流工業(yè)設(shè)備、工控協(xié)議交換設(shè)備、工業(yè)控制模擬軟件系統(tǒng)。功能測試平臺的工業(yè)設(shè)備包含行業(yè)主流，并支持工業(yè)控制主要協(xié)議的設(shè)備（包括西門子、施耐德、和利時及信捷等）的一至兩種型號，能夠?qū)崿F(xiàn)常用的工業(yè)控制功能及數(shù)據(jù)監(jiān)測功能，具備支持多種常見的工業(yè)控制協(xié)議（支持ModBusTCP、DNP3.0、OPC、Profinet/Profibus、IEC61850、IEC104等）的能力。

（2）協(xié)議測試平臺

工控信息安全產(chǎn)品包括工控防火墻、工控隔離、工控審計、工控主機防護等。無論該設(shè)備在實際部署時串接接入，還是旁路接入工控網(wǎng)絡(luò)，則該設(shè)備都需要進行協(xié)議測試，測試目地在于驗證該設(shè)備是否能支持現(xiàn)有常用的工業(yè)控制協(xié)議。

（3）攻擊測試平臺

攻擊測試平臺主要針對常用的工控信息安全產(chǎn)品，用以驗證安全產(chǎn)品是否能夠抵御來自網(wǎng)絡(luò)，壓力，碎片等攻擊。對于旁路接入的工控信息安全設(shè)備，測試目的在于驗證系統(tǒng)能否能記錄攻擊行為（工控審計類產(chǎn)品）；對于串行接入的工控信息安全設(shè)備，測試目的在于驗證系統(tǒng)能否能抵御并攔截攻擊行為（工控防火墻類產(chǎn)品）。

（4）性能測試平臺

如果工控信息安全產(chǎn)品為串接部署則需要進行性能測試，用以驗證該設(shè)備的引入是否會對現(xiàn)有的工業(yè)網(wǎng)絡(luò)造成如通信延時增加、網(wǎng)絡(luò)帶寬降低等情況、安全設(shè)備的安全防護能力下降等影響。

4.2.2.2 演示環(huán)境

演示環(huán)境是工控系統(tǒng)運行的展示，以簡單明了的形式來表征工控系統(tǒng)運行的狀態(tài)，包括正常運行和承受攻擊時的運行狀態(tài)。不同的工業(yè)控制產(chǎn)品自身的漏洞是各不相同的，所以為了直觀的演示不同的攻擊對不同的工業(yè)控制設(shè)備造成的影響，我們需要在工業(yè)控制協(xié)議及工業(yè)控制廠商進行盡量的覆蓋。

演示環(huán)境包含高仿真沙盤模型和可視化工控系統(tǒng)拓撲結(jié)構(gòu)展板。

沙盤由底座、臺面和臺面模型組成，沙盤內(nèi)部完成所有動態(tài)的設(shè)計和線路的連接，臺面模型根據(jù)具體設(shè)計和布局陳列，體現(xiàn)完整的工藝流程，各模型單體形狀和比例與真實系統(tǒng)一致。沙盤涉及化工生產(chǎn)、污水處理、環(huán)境監(jiān)測、智能樓宇等多個應(yīng)用實景。

展板由展架和展板封面組成，展板上按層次集成工控設(shè)備、網(wǎng)絡(luò)設(shè)備，并由燈帶組成復(fù)雜的網(wǎng)絡(luò)路徑。實際演示過程中，將由不同色燈光表現(xiàn)正常網(wǎng)絡(luò)數(shù)據(jù)流和受攻擊后異常數(shù)據(jù)流。展板上各控制系統(tǒng)和交換機預(yù)留相應(yīng)接口，可方便接入典型的工業(yè)控制防護設(shè)備或?qū)Ｓ脺y試工具。

4.3 測評技術(shù)

測評技術(shù)包括測試方法和測試工具的研究、改進和應(yīng)用，基礎(chǔ)庫的建設(shè)以及相關(guān)標準的編制。

4.3.1 測試方法

工控系統(tǒng)的安全性測試方法按照安全技術(shù)要求可以分為安全功能、安全保證、環(huán)境適應(yīng)性和性能要求四個大類。根據(jù)各大類對系統(tǒng)的要求，分別進行測試方法的研究。

鑒于工控系統(tǒng)與傳統(tǒng)信息系統(tǒng)在安全性要求上的區(qū)別，工控系統(tǒng)的信息安全目標通常都在最后考慮，因此工控系統(tǒng)的安全技術(shù)要求又有其特殊性。安全功能要求是對工控信息安全產(chǎn)品應(yīng)具備的安全功能提出的具體要求，工控信息產(chǎn)品安全功能的具體要求包括身份鑒別、訪問控制、安全管理、不可旁路、抗攻擊、審計以及配置數(shù)據(jù)保護和運行狀態(tài)監(jiān)測等；安全保證要求針對工控信息安全產(chǎn)品的開發(fā)和使用文檔的內(nèi)容提出具體的要求，例如配置管理、交付和運行、開發(fā)過程、指導(dǎo)性文檔和生命周期支持等；環(huán)境適應(yīng)性要求是對工控信息安全產(chǎn)品的應(yīng)用環(huán)境提出具體的具體要求，例如IPv6環(huán)境適應(yīng)性，OPC環(huán)境適應(yīng)性等；性能要求則是對工控系統(tǒng)和工控產(chǎn)品應(yīng)達到的性能指標做出的規(guī)定，例如去抖動、交換速率和硬件切換時間等。此外，針對工控系統(tǒng)和設(shè)備的操作系統(tǒng)層面的漏洞進行分析挖掘，形成攻擊測試集。

針對以上要去分別深入研究相關(guān)的測試方法，并應(yīng)用于實際的測試工作中。

4.3.2 測試工具

為確保工業(yè)控制系統(tǒng)信息安全產(chǎn)品和系統(tǒng)測評服務(wù)的專業(yè)化，開發(fā)了一批方便易用的測評工具和分析工具。其目的一是減少測評或評估人員的工作負擔(dān)，二是減少測評和評估人員因能力和經(jīng)驗造成的測評或評估誤差，保證測評和評估服務(wù)結(jié)果的準確性和科學(xué)性，提高專業(yè)化的服務(wù)能力。通過測試軟件來模擬正常和異常協(xié)議，可檢測工業(yè)控制系統(tǒng)信息安全產(chǎn)品的功能實現(xiàn)，以及對異常協(xié)議的抵御能力。

本體系配套了工控協(xié)議模擬測試軟件，集成Modbus、DNP、IEC104、IEC61850等工控協(xié)議，用于工控信息安全專用產(chǎn)品和工控設(shè)備的測試。該軟件的運行方式是單機運行，適用的操作系統(tǒng)為windows NT，windows xp，windows 7 x86平臺。該軟件主要分為四個模塊：ModBus模塊、DNP模塊、IEC61850MMS模塊和IEC104模塊。

4.3.3 基礎(chǔ)庫

基礎(chǔ)庫主要包括知識庫、測評指標庫、測評方法庫、測評用例庫和測評數(shù)據(jù)庫。

知識庫的主要內(nèi)容包括工業(yè)控制系統(tǒng)信息安全領(lǐng)域的基礎(chǔ)技術(shù)知識、測試案例、法律法規(guī)、安全事件/技術(shù)手段等的統(tǒng)一描述方法、國內(nèi)外安全事件、知識庫的管理和維護方法、智能化數(shù)據(jù)挖掘方法等。

指標庫保證各個被測系統(tǒng)之間測評結(jié)果的一致性。通過為工業(yè)控制系統(tǒng)安全測評服務(wù)建立統(tǒng)一的測評指標庫，保證測評結(jié)果的唯一性和公正性。指標庫由功能指標庫、性能指標庫和安全性評價指標庫等構(gòu)成，可根據(jù)需要對指標庫進行擴展和維護。

測評方法庫用以在每種信息安全專業(yè)化服務(wù)的標準編制和測評方法研究的基礎(chǔ)上，明確具體的技術(shù)要求，從而提供有效的服務(wù)。endprint

測評用例庫是在測評方法庫建設(shè)的基礎(chǔ)上，加強測試的復(fù)用，提高安全測試的效率。根據(jù)廠家提供的說明書和測評人員的經(jīng)驗，深入解析相關(guān)技術(shù)要求的內(nèi)涵，為每種具體服務(wù)建立測評用例庫。

本體系的基礎(chǔ)庫由兩部分構(gòu)成，第一部分包括了知識庫和漏洞庫，設(shè)計成門戶網(wǎng)站模式，直接對外開放，其中收集了4000余條安全事件、3萬余條安全漏洞以及相關(guān)的法規(guī)政策、技術(shù)知識、工具等；第二部分涵蓋了指標庫、測評方法庫、測評用例庫、測評數(shù)據(jù)庫等，運用于測評實戰(zhàn)，檢測人員可以在其中依據(jù)指標、測評方法、測試用例對實際的產(chǎn)品或系統(tǒng)進行測試記錄。

4.3.4 關(guān)鍵標準

工控系統(tǒng)與互聯(lián)網(wǎng)信息系統(tǒng)采用傳統(tǒng)信息安全產(chǎn)品難以滿足相關(guān)要求，工控系統(tǒng)對持續(xù)穩(wěn)定可靠運行指標要求很高，信息安全必須具備保證持續(xù)的可操作性及穩(wěn)定的系統(tǒng)訪問、系統(tǒng)性能以及全生命周期安全支持。因此，有必要為應(yīng)用于工控系統(tǒng)的關(guān)鍵信息安全產(chǎn)品，以及工控系統(tǒng)安全提出專門的標準，并研究相應(yīng)的測試技術(shù)與方法。

本體系在工控領(lǐng)域制定了信息安全產(chǎn)品標準體系，以規(guī)范和支撐產(chǎn)品測試。主要包括：

（1）《信息安全技術(shù) 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》；

（2）《信息安全技術(shù) 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品安全技術(shù)要求》；

（3）《信息安全技術(shù) 工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》；

（4）《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全管理平臺安全技術(shù)要求》；

（5）《信息安全技術(shù) 工業(yè)控制系統(tǒng)入侵檢測產(chǎn)品安全技術(shù)要求》

（6）《信息安全技術(shù) 工業(yè)控制系統(tǒng)邊界安全專用網(wǎng)關(guān)產(chǎn)品安全技術(shù)要求》；

（7）《信息安全技術(shù) 工業(yè)控制系統(tǒng)軟件脆弱性掃描產(chǎn)品安全技術(shù)要求》；

（8）《信息安全技術(shù) 安全采集遠程終端單元（RTU）安全技術(shù)要求》。

4.4 評價服務(wù)

評價服務(wù)包括服務(wù)流程和組織管理。服務(wù)流程基于現(xiàn)有的服務(wù)流程，深入挖掘工業(yè)控制系統(tǒng)信息安全產(chǎn)品的特點，融入服務(wù)流程，提升服務(wù)質(zhì)量；組織管理主要規(guī)范服務(wù)的相關(guān)制度，充分合理利用各方面的資源，提高服務(wù)效率。

4.4.1 服務(wù)流程

服務(wù)采購單位提出自己的系統(tǒng)需求，測評機構(gòu)經(jīng)過溝通協(xié)調(diào)確定服務(wù)目標，簽訂服務(wù)合同，成立測評項目組；項目組根據(jù)采購單位提出的需求信息，分析需求是否充分；當需求不夠充分時，需和服務(wù)采購單位進行溝通，補充需求并最終確認；當需求足夠充分時，依據(jù)相關(guān)標準進行服務(wù)方案的總體設(shè)計，并由專家對方案進行評審；通過初步方案評審后，由測評人員對服務(wù)方案進行詳細設(shè)計，再交由專家對方案進行評審，并提交方案；如方案需進行修改，需重新設(shè)計或晚上詳細的服務(wù)方案，再由專家進行方案評審，如此類推；當提交的服務(wù)方案不需要進行修改時，形成安全的服務(wù)方案；一方面由專家對安全的服務(wù)方案進行審批，并形成標準化管理；另一方面測評人員根據(jù)安全服務(wù)方案進行測評工作，測評結(jié)束后，形成文檔，并歸檔。

4.4.2 組織管理

為了保障整套服務(wù)流程的順利實施，本體系還建立信息安全產(chǎn)品及系統(tǒng)服務(wù)的組織架構(gòu)，如圖8所示。

通過成立領(lǐng)導(dǎo)辦公室、管理部、技術(shù)部和檢測部，分別從組織、管理和技術(shù)等方面對服務(wù)的流程進行控制。管理部主要按照相關(guān)的管理規(guī)定負責(zé)服務(wù)申請的受理、產(chǎn)品測評流程的控制、檢驗報告或測評報告的審核、客戶滿意度的回訪等；技術(shù)部主要負責(zé)測評相關(guān)技術(shù)研究工作；檢測部負責(zé)具體檢測工作的實施，根據(jù)檢測數(shù)據(jù)整理出具檢驗報告或測評報告初稿。

5 結(jié) 論

由于工控信息安全及相關(guān)產(chǎn)品的應(yīng)用還處于快速發(fā)展階段，對其的安全性測評還屬于一個全新的領(lǐng)域，國內(nèi)僅少數(shù)幾個檢測機構(gòu)部分開展了相關(guān)測評工作。本文提出的工控信息安全產(chǎn)品測試評價體系已經(jīng)在實際測評服務(wù)工作中得到了大力推廣應(yīng)用，為我國相關(guān)產(chǎn)業(yè)的健康發(fā)展提供了安全保障。

參考文獻

[1] STOUFFER K，Guide to industrial control systems （ICS） security[R]，NIST Special Publication，2008，800-82.

[2] SMITH C J.Connection to public communications in-creases danger of cyber-attacks [J].Pipeline & gas journal，2003，230：20-24.

[3] Information Assurance Technical Framework （3rd edition） [R]，NSA，2000.http：//www.iatf.net.

[4] STOUFFER K A，F(xiàn)ALCO J A，SCARFONE K A.NIST SP-800-82 Rev 1Publication Citation：Guide to Industrial Control Systems （ICS） Security[S] NIST，2013.

[5] 鄒春明.工業(yè)控制系統(tǒng)信息安全產(chǎn)品標準及測評方法[J].自動化博覽，2016，（4）：62-65.

[6] AMIN S，LITRICO X，SASTRY S，et al.Cyber Security of Water SCADA Systems—Part I：Analysis and Experimentation of Stealthy Deception Attacks [J].IEEE Transactions on Control Systems Technology，2013，21（5）：1963-1970.

[7] AMIN S，LITRICO X，SASTRY S，et al.Cyber Security of Water SCADA Systems—Part II：Attack Detection Using Enhanced Hydrodynamic Models [J].IEEE Transactions on Control Systems Technology，2013，21（5）：1979-1693.endprint

[8] 沈清泓.工業(yè)控制系統(tǒng)三層網(wǎng)絡(luò)的信息安全檢測與認證[J].自動化博覽，2014，（7）：68-71.

[9] 田原.工業(yè)控制系統(tǒng)信息安全淺析[J].自動化博覽，2014，（11）：68-70.

[10] COHEN F.A reference architecture approach to ICS security [J].Resilient Control Systems，2011（8）：9-11.

[11] RISI.The Repository of Industrial Security Incidents [OL].http：//www.securityincidents.org/.

[12] 張帥.工業(yè)控制系統(tǒng)安全風(fēng)險分析[J].信息安全與通信保密，2012，（3）：15-19.

[13] IEC.Industrial communication networks-Network and system security-Part 2-1：Establishing an industrial automation and control system security program[S].IEC 62443-2-1Edition 1.0.2010.

[14] IEC.Industrial communication networks-Network and system security-Part 3-1：Security technologies for industrial automation and control systems[S].IEC/TR 62443-3-1Edition 1.0.2009.

[15] Industrial communication networks-network andsystem security-part 1-1：term inology，concepters and models[S].IEC/TS 62443-1-1.2009

[16] 夏春明，劉濤，王華忠，等.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及發(fā)展趨勢[J].信息安全與技術(shù)，2013，（2）：13-18.

[17] 田原，沈清泓.基于P2DR2模型的工控信息系統(tǒng)等級保護體系[J].計算機工程與應(yīng)用，2015，（6）：91-93.

[18] 朱毅明.工業(yè)控制系統(tǒng)信息安全業(yè)務(wù)發(fā)展思路[J].自動化博覽，2014，（10）：78-79.endprint