劉瑞+鄒春明

摘 要：工業(yè)控制系統(tǒng)是現(xiàn)代工業(yè)建設(shè)、國家重大工程和關(guān)鍵基礎(chǔ)設(shè)施的神經(jīng)中樞。隨著工業(yè)化和信息化的不斷發(fā)展和演進(jìn)，工控系統(tǒng)由傳統(tǒng)封閉式系統(tǒng)演變到開放式的網(wǎng)絡(luò)系統(tǒng)，同時，工控系統(tǒng)所面臨的問題越來越復(fù)雜?？紤]到適用于工業(yè)控制系統(tǒng)的等級保護(hù)制度即將推行，論文結(jié)合工控系統(tǒng)的特點，提出了基于PADIMEE安全模型的工控系統(tǒng)邊界防護(hù)設(shè)計，進(jìn)一步提高工控系統(tǒng)信息安全。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；PADIMEE安全模型；邊界防護(hù)

中圖分類號： TP273.5 文獻(xiàn)標(biāo)識碼：A

The Boundary Protection Design of ICS Based

on PADIMEE Security Model

Liu Rui， Zou Chun-ming

（The Third Research Institute of Ministry of Public Security， Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： Industrial control system （ICS） is the nerve center of modern industry construction， national important project and key infrastructure. With the continuous development and evolution of industrialization and information technology， ICS has evolved from traditional closed system to open network system. Meanwhile， the problems faced by ICS are becoming more and more complex. Taking into account the classified protection system for ICS to be implemented， combined with the characteristics of ICS， this paper put forward the boundary protection design of ICS based on the PADIMEE security model， and further improve the information safety of ICS.

Key words： Industrial Control System； PADIMEE Security Model； Boundary Protection

1 引言

隨著德國政府提出工業(yè)4.0的興起以及工業(yè)化和信息化的不斷融合，傳統(tǒng)的互聯(lián)網(wǎng)技術(shù)不斷應(yīng)用到工業(yè)自動化控制領(lǐng)域，例如航空航天、食品制造、醫(yī)藥和石化、交通運輸以及電力和水利等。目前，超過80%涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工控系統(tǒng)來實現(xiàn)自動化作業(yè)。自2010年的“震網(wǎng)”事件以來，一系列工控安全事件的發(fā)生表明工控系統(tǒng)正面臨著嚴(yán)重的攻擊威脅[1]，工控系統(tǒng)的安全問題日益凸顯。

國外較早就開始對工控系統(tǒng)的信息安全問題進(jìn)行了研究，2005年愛達(dá)荷國家實驗室的關(guān)鍵基礎(chǔ)設(shè)施測試靴場正式投入運行，其中關(guān)鍵基礎(chǔ)設(shè)施主要由SCADA和電力系統(tǒng)組成。同時，美國國土安全部制定了工控系統(tǒng)安全領(lǐng)域的專項計劃，例如國家SCADA測試床計劃（NSTB）。為了能夠順利開展工控系統(tǒng)安全工作，美國國土安全部成立了工控系統(tǒng)應(yīng)急響應(yīng)小組（ICS-CERT）致力于相關(guān)的技術(shù)研究。關(guān)于工控系統(tǒng)安全國家標(biāo)準(zhǔn)法規(guī)包括國家基礎(chǔ)設(shè)施保護(hù)計劃（NIPP）和《聯(lián)邦信息安全管理法》[2]，同時，國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布了一系列工控系統(tǒng)安全相關(guān)的指南，例如《聯(lián)邦信息系統(tǒng)和組織的安全控制推薦》[3]和《工業(yè)控制系統(tǒng)安全指南》[4]等。

在“震網(wǎng)”事件后，我國也開始重視工控系統(tǒng)的安全問題，2011年工信部率先發(fā)布了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》[5]。2012年，國務(wù)院正式發(fā)布了《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》[6]。此外，國家發(fā)展和改革委等部門也開始積極部署工控系統(tǒng)的安全保障工作，組織了多次國家信息安全專項，專項重點支持領(lǐng)域均包括了工業(yè)控制信息安全領(lǐng)域，在專項的支持下，出現(xiàn)了一批適用于工業(yè)控制系統(tǒng)的信息安全產(chǎn)品，如工控防火墻、工控安全網(wǎng)關(guān)等。2016年《中華人民共和國網(wǎng)絡(luò)安全法》發(fā)布，其中第31條規(guī)定了能源、交通等眾多與工業(yè)控制相關(guān)的重點行業(yè)以及關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點保護(hù)。同年，國務(wù)院發(fā)布了《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》[7]，明確把提高工業(yè)信息系統(tǒng)安全水平作為主要任務(wù)之一。2016年10月，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（工信軟函〔2016〕338號）[8]，把邊界安全防護(hù)作為提升工控安全防護(hù)工作的一個重要方面。

基于工控系統(tǒng)安全高度的戰(zhàn)略意義以及我國工業(yè)自動化控制領(lǐng)域和信息安全領(lǐng)域?qū)た叵到y(tǒng)安全技術(shù)研究不足的現(xiàn)狀，及時地開展工控系統(tǒng)邊界防護(hù)設(shè)計的研究，具有非常重要的現(xiàn)實意義。

2 工控系統(tǒng)網(wǎng)絡(luò)安全特點

傳統(tǒng)網(wǎng)絡(luò)主要用于數(shù)據(jù)處理和共享，而工控系統(tǒng)主要用于實現(xiàn)對工業(yè)自動化過程的實時控制、監(jiān)測和管理。由于傳統(tǒng)網(wǎng)絡(luò)和工控系統(tǒng)的適用場景不同，工控系統(tǒng)所面臨的安全問題有其獨有的特點[9]。

2.1 信息安全防護(hù)目標(biāo)不同endprint

傳統(tǒng)的IT信息系統(tǒng)重視數(shù)據(jù)的機密性，在一定程度上允許高的網(wǎng)絡(luò)延遲和阻塞，實現(xiàn)的主要安全目標(biāo)包括保密性、完整性和可用性，一般位于首位的是保密性，通過配置訪問控制策略來保護(hù)用戶信息的安全，其次是完整性，最后是可用性。工控系統(tǒng)的體系結(jié)構(gòu)與傳統(tǒng)IT系統(tǒng)全然不同，即使短暫的網(wǎng)絡(luò)故障都可能導(dǎo)致產(chǎn)品損害、生產(chǎn)中斷或?qū)θ撕蜋C器造成危險，對于工控系統(tǒng)而言，首先考慮的是可用性，然后才是完整性，最后是保密性。

2.2 安全威脅引入的途徑不同

傳統(tǒng)網(wǎng)絡(luò)具有開放性、互聯(lián)性等特點，安全威脅主要來自外部的網(wǎng)絡(luò)攻擊和惡意代碼植入等。工控系統(tǒng)涉及關(guān)鍵領(lǐng)域和企業(yè)運營的大量關(guān)鍵敏感數(shù)據(jù)，只能進(jìn)行有限受控的開放，并且在工控系統(tǒng)內(nèi)部使用的協(xié)議、指令對字段的要求非常嚴(yán)格，來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊不易造成嚴(yán)重的威脅。對于工控系統(tǒng)而言，多數(shù)安全事件來自內(nèi)部人員的誤操作、外部不安全的設(shè)備接入等。

2.3 網(wǎng)絡(luò)通訊協(xié)議不同

由于工業(yè)化和信息化的不斷融合，管理網(wǎng)絡(luò)和工控網(wǎng)絡(luò)之間的數(shù)據(jù)互聯(lián)也變得常態(tài)化，目前越來越多的工控協(xié)議逐漸開始支持TCP/IP底層協(xié)議通過以太網(wǎng)通信，如常見的Modbus TCP和OPC協(xié)議等，這就要求工控系統(tǒng)的網(wǎng)絡(luò)邊界能夠進(jìn)行支持工控協(xié)議的應(yīng)用層深度解析能力，有效攔截攻擊或誤操作的數(shù)據(jù)包。另一方面，由于工控協(xié)議不同于傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用協(xié)議，目前針對工控協(xié)議的漏洞掃描系統(tǒng)和漏洞庫都亟待發(fā)展。

3 常見的安全模型

網(wǎng)絡(luò)信息安全并不是通過簡單的信息安全產(chǎn)品的堆砌就能解決防護(hù)問題，而是需要遵循一定的網(wǎng)絡(luò)信息安全理念來進(jìn)行控制和保障。網(wǎng)絡(luò)的發(fā)展是動態(tài)的，不斷有新的協(xié)議、操作系統(tǒng)、應(yīng)用軟件發(fā)布和應(yīng)用、伴隨出現(xiàn)的有大量新的漏洞、病毒、攻擊程序，因此目前國際上普遍認(rèn)為網(wǎng)絡(luò)信息安全應(yīng)該是一個動態(tài)的、不斷完善的過程，并做了大量研究工作，形成了各類信息安全模型，如基于時間的PDR模型、P2DR模型[10]、全網(wǎng)動態(tài)安全體系A(chǔ)PPDRR模型、安氏的PADIMEE模型[11]等。

PDR模型包括Protection、Detection、Response三個基本部分。保護(hù)是安全的第一步，采取了保護(hù)措施不一定完全保證網(wǎng)絡(luò)安全，網(wǎng)絡(luò)是不斷發(fā)展的，需要及時檢測才能發(fā)現(xiàn)問題，如果出現(xiàn)問題便需要進(jìn)行及時響應(yīng)。PDR模型建立了一個基于時間的安全模型。

P2DR模型是一種動態(tài)的網(wǎng)絡(luò)安全體系，包括四個主要的部分：Policy、Protection、Detection、Response，在這個模型中，Policy是整體的核心，相對于PDR模型，P2DR對安全問題提出了明確的方向，提高系統(tǒng)的防護(hù)時間，降低檢測和響應(yīng)時間。

APPDRR模型描述了網(wǎng)絡(luò)安全的動態(tài)螺旋上升過程，認(rèn)為網(wǎng)絡(luò)安全由Assessment、Policy、Preotection、Detection、Reactoin、Restoration六部分完成。通過風(fēng)險評估，掌握所面臨的風(fēng)險信息，進(jìn)而采取必要的措施，使得信息系統(tǒng)的安全水平呈現(xiàn)動態(tài)螺旋上升的趨勢。

在實際應(yīng)用中，我們還需要考慮整體的安全生命周期和工程實施，而PADIMEE模型便是一個常用的工程安全模型，主要包括幾個主要部分：Policy、Assessment、Design、Implementation、Management/Monitor、Emergency Response和Education。PADIMEE模型以安全策略為中心，安全教育為基礎(chǔ)，通過評估、設(shè)計、實現(xiàn)、管理以及緊急響應(yīng)，將安全實施變成一個不斷改進(jìn)的呈生命周期的循環(huán)過程。

4 基于PADIMEE安全模型的工控系統(tǒng)邊界防護(hù)設(shè)計

4.1 工控系統(tǒng)邊界分析

工控系統(tǒng)（ICS）是一個由工業(yè)過程控制組件和自動化組件組成，過程控制組件負(fù)責(zé)對現(xiàn)場設(shè)備進(jìn)行數(shù)據(jù)采集和監(jiān)控，使得整個工業(yè)生產(chǎn)環(huán)境能夠自動化進(jìn)行。工控系統(tǒng)的核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、現(xiàn)場總線控制系統(tǒng)（FCS）等[12]，圖1是工控系統(tǒng)中的一個實例。

如圖1所示，工控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)分為企業(yè)管理網(wǎng)絡(luò)、生產(chǎn)監(jiān)控網(wǎng)絡(luò)和現(xiàn)場控制網(wǎng)絡(luò)。

企業(yè)管理網(wǎng)絡(luò)中包括企業(yè)ERP系統(tǒng)和MES系統(tǒng)，一般采用傳統(tǒng)信息系統(tǒng)架構(gòu)，網(wǎng)絡(luò)通信以以太網(wǎng)為主。企業(yè)管理網(wǎng)絡(luò)和互聯(lián)網(wǎng)間的邊界中要處理的主要是來自外部的管理數(shù)據(jù)，因此對數(shù)據(jù)保密性要求較高。此外，該邊界還需負(fù)責(zé)抵御來自外部的攻擊，防止內(nèi)部網(wǎng)絡(luò)受到影響。

生產(chǎn)監(jiān)控網(wǎng)絡(luò)中部署了SCADA服務(wù)器、OPC設(shè)備和系統(tǒng)監(jiān)控站等上位機系統(tǒng)，向上與企業(yè)管理網(wǎng)絡(luò)進(jìn)行互聯(lián)，向下通過現(xiàn)場控制網(wǎng)絡(luò)對現(xiàn)場設(shè)備進(jìn)行數(shù)據(jù)采集。生產(chǎn)監(jiān)控網(wǎng)絡(luò)和企業(yè)管理網(wǎng)絡(luò)間的邊界涉及到的數(shù)據(jù)包括來自上層網(wǎng)絡(luò)中的任務(wù)下發(fā)等生產(chǎn)管理數(shù)據(jù)，同時不允許企業(yè)管理網(wǎng)絡(luò)不相關(guān)的任何流量和報文傳到生產(chǎn)網(wǎng)絡(luò)中。在生產(chǎn)監(jiān)控網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間的邊界處由于涉及數(shù)據(jù)的雙向交互，需對數(shù)據(jù)流進(jìn)行訪問控制限制。

現(xiàn)場控制網(wǎng)絡(luò)主要是由PLC、RTU、分布式I/O站、智能儀器等組成，通信方式有Modbus、Profinet、Profibus等?，F(xiàn)場控制網(wǎng)絡(luò)是工控系統(tǒng)中最重要的網(wǎng)絡(luò)，在現(xiàn)場控制網(wǎng)絡(luò)和生產(chǎn)監(jiān)控網(wǎng)絡(luò)間的邊界要處理的是現(xiàn)場控制和監(jiān)測數(shù)據(jù)，具有很高的實時性、可靠性等要求。

4.2 基于PADIMEE安全模型的工控邊界防護(hù)

由于工業(yè)控制系統(tǒng)要求必須保證持續(xù)的可用性及穩(wěn)定的系統(tǒng)訪問、系統(tǒng)性能、專用工業(yè)控制系統(tǒng)安全保護(hù)技術(shù)以及全生命周期的安全支持，因此在進(jìn)行工業(yè)邊界防護(hù)設(shè)計的時候，更應(yīng)該考慮工程實施的整個安全生命周期中的系統(tǒng)動態(tài)防護(hù)，PADIMEE安全模型提供了一個長期持續(xù)的全生命周期安全防護(hù)，適用于工業(yè)控制系統(tǒng)，本文提出了一種基于PADIMEE安全模型的工控邊界防護(hù)。endprint

4.2.1策略制定階段

工控系統(tǒng)在不同行業(yè)具有廣泛的應(yīng)用，針對不同應(yīng)用的工控系統(tǒng)，根據(jù)實際適用環(huán)境和需求確定邊界防護(hù)的安全策略和安全目標(biāo)。

工控控制系統(tǒng)與企業(yè)管理系統(tǒng)之間的邊界應(yīng)采取有效的隔離技術(shù)手段，禁止任何穿越邊界的通用網(wǎng)絡(luò)服務(wù)數(shù)據(jù)。工控系統(tǒng)內(nèi)生產(chǎn)管理層和現(xiàn)場設(shè)備層之間的邊界應(yīng)提供身份認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸?shù)裙δ?。針對要求實時傳輸數(shù)據(jù)的工控控制系統(tǒng)，應(yīng)獨立組網(wǎng)，物理上與其他網(wǎng)絡(luò)進(jìn)行隔離；工控系統(tǒng)內(nèi)部網(wǎng)絡(luò)不同區(qū)域間應(yīng)采用VLAN或防火墻等技術(shù)進(jìn)行訪問控制。

對于設(shè)備接入控制網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)需要采取管理措施加技術(shù)有段相結(jié)合方式進(jìn)行管理。

為了確保工控系統(tǒng)穩(wěn)定運行，所有的邊界防護(hù)應(yīng)不能影響系統(tǒng)功能。

4.2.2評估分析階段

這個階段主要從技術(shù)層面和管理層面對工控系統(tǒng)的邊界進(jìn)行評估分析。技術(shù)層面是針對邊界上存在的安全技術(shù)風(fēng)險評估和分析，包括網(wǎng)絡(luò)設(shè)備、工控設(shè)備以及相關(guān)應(yīng)用系統(tǒng)等方面。

通過分析發(fā)現(xiàn)企業(yè)管理網(wǎng)絡(luò)和互聯(lián)網(wǎng)間的邊界、生產(chǎn)監(jiān)控網(wǎng)絡(luò)和企業(yè)管理網(wǎng)絡(luò)間的邊界對實時性相對較低，對數(shù)據(jù)保密性要求較高，面臨的風(fēng)險有數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊；現(xiàn)場控制網(wǎng)絡(luò)和生產(chǎn)監(jiān)控網(wǎng)絡(luò)間的邊界和生產(chǎn)監(jiān)控網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間的邊界對數(shù)據(jù)的實時性要求較高，面臨的風(fēng)險有設(shè)備延遲過大影響系統(tǒng)運行、網(wǎng)絡(luò)攻擊和操作人員誤操作等。由于誤操作會導(dǎo)致工控系統(tǒng)中斷、癱瘓、設(shè)備損壞或人員傷亡等嚴(yán)重后果，要求邊界設(shè)備廣泛采用白名單技術(shù)進(jìn)行數(shù)據(jù)的交換控制。

管理層面是從工控系統(tǒng)涉及的組織人員、組織結(jié)構(gòu)、管理制度等角度分析運維和管理方面的安全缺陷。

4.2.3 設(shè)計/方案階段

根據(jù)總體工控系統(tǒng)邊界防護(hù)的安全策略和安全目標(biāo)，結(jié)合評估分析階段進(jìn)行的風(fēng)險評估，制定與之相對應(yīng)的方法、步驟和加固措施，進(jìn)而形成一套完整的工控系統(tǒng)邊界防護(hù)解決方案。

在企業(yè)管理網(wǎng)絡(luò)和工業(yè)控制網(wǎng)絡(luò)的邊界可以通過部署不同強度的安全設(shè)備進(jìn)行有效的安全隔離和數(shù)據(jù)交互。例如防病毒網(wǎng)關(guān)和工控防火墻，在進(jìn)行數(shù)據(jù)交換時設(shè)置訪問控制策略，僅開啟必要的數(shù)據(jù)交換鏈路。針對特定應(yīng)用可部署工控網(wǎng)閘或工控單向?qū)氲雀綦x設(shè)備，采用信息擺渡技術(shù)等進(jìn)行工控網(wǎng)絡(luò)與管理網(wǎng)絡(luò)之間的數(shù)據(jù)交換。

在工業(yè)控制網(wǎng)絡(luò)內(nèi)部不同安全分區(qū)之間涉及到工控系統(tǒng)最重要的控制和監(jiān)測數(shù)據(jù)等，對實時性要求很高，可以部署工業(yè)防火墻，配置應(yīng)用白名單過濾機制，對具有以太網(wǎng)接口的I/O設(shè)備和控制器上的進(jìn)出數(shù)據(jù)進(jìn)行深度包過濾。為了防止安全設(shè)備單點故障影響系統(tǒng)的運行，一般要求使用的工業(yè)防火墻具有Bypass功能。為了能夠避免因設(shè)備聯(lián)網(wǎng)而形成的干擾、惡意代碼攻擊、DDoS攻擊和廣播風(fēng)暴等，在不同安全分區(qū)之間部署入侵檢測系統(tǒng)等。

對外部設(shè)備接入的邊界，要采取必要的有效防范措施。例如制定外部設(shè)備接入工控系統(tǒng)的管理制度，設(shè)備接入前通過安全檢測技術(shù)確保接入設(shè)備的安全可靠，接入操作需進(jìn)行審批、登記，便于事后進(jìn)行審計。

在進(jìn)行工業(yè)控制系統(tǒng)邊界防護(hù)設(shè)計的時候，還需考慮部署一套完善的審計系統(tǒng)，針對操作人員的各類行為進(jìn)行詳細(xì)的審計并生成日志，以便發(fā)生安全事故時能夠及時進(jìn)行溯源定位。

4.2.4 實施/實現(xiàn)階段

在實施階段，我們根據(jù)安全策略和評估報告，基于工控系統(tǒng)邊界防護(hù)解決方案，為不同網(wǎng)絡(luò)邊界中選取合適類型與型號的安全設(shè)備和網(wǎng)絡(luò)設(shè)備，尤其是部署在生產(chǎn)環(huán)境中的設(shè)備應(yīng)具備低時延和良好的環(huán)境適應(yīng)性，并且對所有設(shè)備進(jìn)行策略配置、安全加固等。

運行維護(hù)階段：當(dāng)工控系統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)建立之后，為了保障工控系統(tǒng)安全持續(xù)的運行，需要對工控系統(tǒng)進(jìn)行有效運行維護(hù)。針對重要的工控系統(tǒng)，部署網(wǎng)絡(luò)監(jiān)控系統(tǒng)，對其網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計，生成統(tǒng)計報表，方便定期分析。在工控系統(tǒng)中亦存在與傳統(tǒng)互聯(lián)網(wǎng)類似的木馬和惡意代碼等，在各個邊界定期對系統(tǒng)內(nèi)設(shè)備進(jìn)行掃描檢測，及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的漏洞與威脅，并且采取修復(fù)措施進(jìn)行加固。

4.2.5 緊急響應(yīng)階段

緊急響應(yīng)階段是在安全事故發(fā)生時能夠盡快恢復(fù)工控系統(tǒng)的運作和減少數(shù)據(jù)的丟失，一般可以分為響應(yīng)和恢復(fù)兩大環(huán)節(jié)。

（1）響應(yīng)環(huán)節(jié)。當(dāng)發(fā)生入侵事件時，要求入侵檢測系統(tǒng)能夠快速發(fā)現(xiàn)并發(fā)出告警信息通知相關(guān)人員，并配合聯(lián)動設(shè)備，如工業(yè)防火墻等阻止入侵行為的持續(xù)進(jìn)行。對于工控系統(tǒng)，高的可靠性也是響應(yīng)環(huán)節(jié)中的一個關(guān)鍵要素。系統(tǒng)內(nèi)部關(guān)鍵參數(shù)應(yīng)設(shè)定閾值，當(dāng)參數(shù)超過閾值時應(yīng)及時告警；邊界中關(guān)鍵網(wǎng)絡(luò)設(shè)備應(yīng)采取雙機熱備的部署方式，防止單點故障引起的網(wǎng)絡(luò)癱瘓。

（2）恢復(fù)環(huán)節(jié)。對于網(wǎng)絡(luò)邊界中關(guān)鍵配置文件和審計記錄等數(shù)據(jù)進(jìn)行定期在線、離線備份，保證工控系統(tǒng)網(wǎng)絡(luò)發(fā)生故障后能夠迅速，進(jìn)行問題追蹤和網(wǎng)絡(luò)恢復(fù)。

與此同時，還應(yīng)建立規(guī)范的安全應(yīng)急響應(yīng)機制，制定應(yīng)急預(yù)案，定期進(jìn)行應(yīng)急演練 。

4.2.6 教育培訓(xùn)階段

教育培訓(xùn)是貫穿在工控邊界防護(hù)建立和維護(hù)的整個生命周期內(nèi)的工作，在不同時期不同階段，需要對所有相關(guān)人員進(jìn)行安全教育培訓(xùn)，可以通過各種方式定期或者不定期開展網(wǎng)絡(luò)安全的知識講座和論壇，提高網(wǎng)絡(luò)安全意識。

基于工控系統(tǒng)安全狀況的脆弱性以及攻擊威脅的嚴(yán)重性，工控系統(tǒng)的安全問題已經(jīng)提升到國家戰(zhàn)略的高度。做好工控系統(tǒng)邊界的防護(hù)，將攻擊和威脅拒之門外，為工控系統(tǒng)的持續(xù)運行提供有效的保障。本文通過分析工控系統(tǒng)所面臨安全問題的特殊性，提出了一種基于PADIMEE安全模型的工控系統(tǒng)邊界防護(hù)設(shè)計，從整個工控系統(tǒng)運行的生命周期內(nèi)，持續(xù)不斷地完善和鞏固系統(tǒng)的邊界，切實保障工業(yè)生產(chǎn)的正常運轉(zhuǎn)。隨著工業(yè)系統(tǒng)漸漸走向開放以及等保2.0時代的到來，工控系統(tǒng)所面臨的安全問題將愈加嚴(yán)峻，同時針對工控系統(tǒng)的安全要求也越來越高，針對工控系統(tǒng)邊界防護(hù)的研究仍需進(jìn)一步研究。endprint

項目基金：

2014年上?？莆萍紕?chuàng)新行動計劃技術(shù)標(biāo)準(zhǔn)項目：云計算信息安全檢測技術(shù)標(biāo)準(zhǔn)研究（項目編號：14DZ0502600）。

參考文獻(xiàn)

[1] 烏爾里?！は５吕眨秽嚸?，李現(xiàn)明，譯.工業(yè)4.0 即將來襲的第四次工業(yè)革命[M].北京：機械工業(yè)出版社， 2014. 20-50.

[2] Hulitt E， Vaughn R. B. Information system security compliance to FISMA standard： a quantitative measure[J]. Telecommunication Systems， 2010， 45（2-3）： 139-152.

[3] NIST S P.800-53[J]. Recommended Security Controls for Federal Information Systems， 2003： 800-53

[4] NIST S P.800-82[J]. Guide to Industrial Control Systems（ICS） Security， Final Public Draft， National Institute of Standards and Technology， 2008.

[5] 工信部. 關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知[Z]. 2011.

[6] W.ZF. 《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》下發(fā)[J]. 軍民兩用技術(shù)與產(chǎn)品， 2012（8）： 5-5.

[7] 國務(wù)院.國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見[Z]. 2016.

[8] 工信部.工業(yè)控制系統(tǒng)信息安全防護(hù)指南[Z]. 2016.

[9] 王文宇， 劉玉紅.工控系統(tǒng)安全威脅分析及防護(hù)研究[J].信息安全與保密通信， 2012（2）： 33-35.

[10] 田原， 沈清泓.基于P2DR2模型的工控信息系統(tǒng)等級保護(hù)體系[C].第四屆全國信息安全等級保護(hù)技術(shù)大會論文集.北京： 2015， 91-93.

[11] 安式互聯(lián)網(wǎng)安全系統(tǒng)（中國）有限公司.安氏中國—安全服務(wù)理念與標(biāo)準(zhǔn)PADIMEE模型[EB/OL]. http：//bj.is-one.net/solution/padimee.shtml. 2004.

[12] 沈清泓.工業(yè)控制系統(tǒng)三層網(wǎng)絡(luò)的信息安全檢測與認(rèn)證[J].自動化博覽， 2014（7）： 68-71.endprint