唐安明，袁曉舒，趙 偉

(1.東方電氣集團(tuán)科學(xué)技術(shù)研究院有限公司，四川 成都 611731；2.陸軍裝備部駐重慶地區(qū)軍事代表局，重慶 400000)

0 引言

工業(yè)自動化和控制系統(tǒng)(IACS)是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，隨著工業(yè)信息化、工業(yè)互聯(lián)網(wǎng)進(jìn)程的快速推進(jìn)，信息、網(wǎng)絡(luò)技術(shù)在工控領(lǐng)域得到了廣泛應(yīng)用，同時工控系統(tǒng)所面臨的網(wǎng)絡(luò)安全威脅和風(fēng)險也日益加劇。

為實(shí)現(xiàn)工業(yè)自動化和控制系統(tǒng)的網(wǎng)絡(luò)安全，工業(yè)過程測量、控制與自動化、網(wǎng)絡(luò)與系統(tǒng)信息安全工作組(IEC/TC65/WG10)與國際自動化協(xié)會(ISA 99)的聯(lián)合工作組經(jīng)過多年工作，制定出IEC 62443《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標(biāo)準(zhǔn)[1]。該系列標(biāo)準(zhǔn)針對工業(yè)生產(chǎn)過程中涉及的網(wǎng)絡(luò)安全問題，充分考慮了各參與方(資產(chǎn)所有者、系統(tǒng)集成商、系統(tǒng)供應(yīng)商)的不同需求。

參照工控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，結(jié)合工控系統(tǒng)安全需求的實(shí)際情況，分析系統(tǒng)面臨的安全威脅和風(fēng)險。評估系統(tǒng)安全能力水平對系統(tǒng)集成商和系統(tǒng)供應(yīng)商都十分重要。通過工控系統(tǒng)網(wǎng)絡(luò)安全測評，查找突出問題和薄弱環(huán)節(jié)，有針對性地采取安全防范對策和改進(jìn)措施，能有效提高工控系統(tǒng)網(wǎng)絡(luò)安全的保障能力。

1 工控網(wǎng)絡(luò)安全測評研究

1.1 IEC 62443系列標(biāo)準(zhǔn)簡介

IEC 62443系列標(biāo)準(zhǔn)是針對工業(yè)自動化和控制系統(tǒng)(IACS)信息安全的標(biāo)準(zhǔn)，根據(jù)系統(tǒng)集成商、系統(tǒng)供應(yīng)商、資產(chǎn)所有者等不同的對象，分13個子標(biāo)準(zhǔn)，分別描述了工控系統(tǒng)網(wǎng)絡(luò)與信息安全相關(guān)的管理和技術(shù)手段[2]。IEC 62443標(biāo)準(zhǔn)體系如圖1所示。

IEC 62443系列標(biāo)準(zhǔn)提供了一個靈活的框架，具備對工控系統(tǒng)的產(chǎn)品開發(fā)、集成、實(shí)施和運(yùn)維等全生命周期環(huán)節(jié)中實(shí)現(xiàn)和評價相關(guān)角色的網(wǎng)絡(luò)安全能力，有助于解決工控系統(tǒng)已知和未知的系統(tǒng)脆弱性[3]。

IEC 63443-1系列包含4個標(biāo)準(zhǔn)，主要是概念和模型的定義，包括安全目標(biāo)、風(fēng)險評估、全生命周期、安全成熟度模型。

IEC 62443-2系列包含4個標(biāo)準(zhǔn)，主要介紹在集成、實(shí)施和運(yùn)維中如何實(shí)現(xiàn)網(wǎng)絡(luò)安全，目標(biāo)對象主要是業(yè)主和系統(tǒng)服務(wù)商。

IEC 62443-3系列包含3個標(biāo)準(zhǔn)，主要介紹產(chǎn)品級的系統(tǒng)集成如何實(shí)現(xiàn)網(wǎng)絡(luò)安全，包括產(chǎn)品系統(tǒng)集成的安全工具、技術(shù)措施等如何去滿足安全等級，目標(biāo)對象主要是系統(tǒng)集成商。

圖1 IEC 62443標(biāo)準(zhǔn)體系

IEC 62443-4系列包含2個標(biāo)準(zhǔn)，主要介紹單個產(chǎn)品或者獨(dú)立組件如何實(shí)現(xiàn)網(wǎng)絡(luò)安全，包括產(chǎn)品開發(fā)和技術(shù)設(shè)計上的網(wǎng)絡(luò)安全要求，比如主機(jī)、嵌入式裝置等，目標(biāo)對象是單個產(chǎn)品或者獨(dú)立組件的制造商和供應(yīng)商。

1.2 IACS組件安全技術(shù)要求

IACS單個產(chǎn)品或者獨(dú)立組件的安全能力是系統(tǒng)集成商采購、選型的重要指標(biāo)，同時也能指導(dǎo)產(chǎn)品制造商在開發(fā)時進(jìn)行合理規(guī)劃和設(shè)計。

IEC 62443-4-2作為IEC 62443系列標(biāo)準(zhǔn)的一部分，主要規(guī)定了系統(tǒng)組件在技術(shù)設(shè)計上的網(wǎng)絡(luò)安全要求，目標(biāo)對象是單個產(chǎn)品或者獨(dú)立組件的制造商和供應(yīng)商[4]。

IEC 62443-4-2標(biāo)準(zhǔn)為IACS定義了4個組件類型和7個基本要求。4個組件類型為主機(jī)設(shè)備、嵌入式設(shè)備、網(wǎng)絡(luò)設(shè)備、軟件應(yīng)用程序。7個基本要求(FR)為標(biāo)識和鑒別控制(IAC)、使用控制(UC)、系統(tǒng)完整性(SI)、數(shù)據(jù)保密性(DC)、受限數(shù)據(jù)流(RDF)、事件的及時響應(yīng)(TRE)、資源可用性(RA)，這7個基本要求是定義控制系統(tǒng)安全能力級別的基礎(chǔ)[5]。

7個基本要求(FR)映射到組件能力安全等級SL1～SL4，控制系統(tǒng)能力安全等級0被隱含地定義為沒有要求，SL4表示最高安全等級。4個安全等級定義如下[6]。

1)SL1：防止竊聽或不經(jīng)意的暴露導(dǎo)致的未經(jīng)授權(quán)的信息披露。

2)SL2：防止未經(jīng)授權(quán)地將信息泄露給通過少量資源、通用技能和低動機(jī)的簡單手段主動進(jìn)行信息搜索的實(shí)體。

3)SL3：防止未經(jīng)授權(quán)地將信息泄露給通過中度資源、IACS特殊技能和中度動機(jī)的復(fù)雜手段主動進(jìn)行信息搜索的實(shí)體。

4)SL4：防止未經(jīng)授權(quán)地將信息泄露給通過擴(kuò)展資源、IACS特殊技能和高動機(jī)的復(fù)雜手段主動進(jìn)行信息搜索的實(shí)體。

1.3 測評系統(tǒng)需求分析

IEC 62443-4-2標(biāo)準(zhǔn)主要是對產(chǎn)品安全防護(hù)功能的要求，對應(yīng)FR1-FR7 7項(xiàng)基本要求、SL1-SL4四項(xiàng)安全等級要求，對于個別組件還有增強(qiáng)要求，整個標(biāo)準(zhǔn)所覆蓋的測評項(xiàng)目眾多，測評過程數(shù)據(jù)、結(jié)果數(shù)據(jù)龐大。依靠測評人員對照標(biāo)準(zhǔn)進(jìn)行測評，工作量大、效率低，常出現(xiàn)以下問題。

1)單個測評項(xiàng)目，測評條款較多，容易出現(xiàn)漏評、漏測。

2)測評項(xiàng)目對應(yīng)的過程數(shù)據(jù)容易出現(xiàn)丟失或與實(shí)測項(xiàng)目不一致。

3)測評結(jié)果顯示不直觀、測評報告不規(guī)范、結(jié)果可追溯性差。

4)不便于多個測評項(xiàng)目并行開展測評結(jié)果對比統(tǒng)計；對測評人員專業(yè)化要求高，測評效率低。

為了解決以上問題，本文基于IEC 62443-4-2標(biāo)準(zhǔn)，研究測評業(yè)務(wù)工作流程，進(jìn)行工控系統(tǒng)網(wǎng)絡(luò)安全測評系統(tǒng)的開發(fā)與設(shè)計。

2 測評系統(tǒng)的設(shè)計

2.1 總體架構(gòu)設(shè)計

基于測評工作的客觀性和可重復(fù)性原則，嚴(yán)格參照IEC 62443-4-2標(biāo)準(zhǔn)，根據(jù)測評軟件的需求分析，測評軟件設(shè)計了測評計劃管理、測評報告、結(jié)果分析、知識庫管理、工具管理、人員管理6大功能模塊，系統(tǒng)總體架構(gòu)如圖2所示。

系統(tǒng)采用B/S架構(gòu)設(shè)計(見圖3)。用戶通過瀏覽器登錄、進(jìn)入測評系統(tǒng)，按照測評業(yè)務(wù)流程，進(jìn)行測評計劃執(zhí)行、測評報告導(dǎo)出、測評結(jié)果分析等工作。測評標(biāo)準(zhǔn)、測評報告、測評過程數(shù)據(jù)等均在數(shù)據(jù)庫進(jìn)行存儲。同時，考慮系統(tǒng)的兼容性和擴(kuò)展性，用戶除可以直接打開第三方工具軟件，還可通過測評系統(tǒng)進(jìn)行工具軟件的調(diào)用和管理。

圖2 系統(tǒng)總體架構(gòu)

圖3 系統(tǒng)網(wǎng)絡(luò)架構(gòu)

2.2 系統(tǒng)功能設(shè)計

2.2.1 測評計劃管理

測評計劃管理包含了新建、編輯、刪除、復(fù)制、執(zhí)行功能。測評計劃表單包含測評計劃名稱、系統(tǒng)名稱、測評標(biāo)準(zhǔn)等信息，如表1所示。

表1 測評計劃表單

新建測評計劃時，依次填寫表格信息。對已建計劃進(jìn)行再次編輯時，除測評標(biāo)準(zhǔn)、測評等級外其他項(xiàng)目可進(jìn)行編輯。完成測評計劃創(chuàng)建后，可執(zhí)行測評計劃，開始測評工作。

2.2.2 測評報告

測評報告模塊包含了測評報告導(dǎo)出和過程記錄導(dǎo)出兩項(xiàng)功能。用戶可在完成項(xiàng)目測評后導(dǎo)出預(yù)設(shè)模板的測評報告，提交給送測方或內(nèi)部存檔。項(xiàng)目完整的測評過程數(shù)據(jù)也可根據(jù)需求進(jìn)行導(dǎo)出操作。

2.2.3 知識庫管理

知識庫管理作為測評標(biāo)準(zhǔn)和報告模板的管理平臺，用戶可進(jìn)行編輯、上傳、下載等操作?？紤]測評軟件的擴(kuò)展性和通用性，系統(tǒng)初始內(nèi)置IEC 62443-4-2標(biāo)準(zhǔn)，同時提供測評要素表單供用戶進(jìn)行自定義編輯，可在一個測評計劃里完成多個標(biāo)準(zhǔn)的測評工作。

2.2.4 人員管理

人員管理模塊采用用戶分組、權(quán)限分級設(shè)計，從高到低依次為管理、測評、查看。管理權(quán)限可進(jìn)行人員管理操作，包含用戶新建、編輯、刪除。

2.2.5 結(jié)果分析

結(jié)果分析模塊具備結(jié)果匯總和風(fēng)險分析功能，以柱狀圖的形式顯示測評統(tǒng)計結(jié)果以及風(fēng)險比例情況。

2.2.6 工具管理

進(jìn)行安全測評時，通常會借助網(wǎng)絡(luò)抓包、滲透測試、漏洞挖掘等網(wǎng)絡(luò)安全常用工具、軟件。工具管理模塊作為系統(tǒng)擴(kuò)展接口，提供給用戶管理外部測評軟件、測評工具。用戶在測評需要時，可選擇、調(diào)用相應(yīng)工具軟件。

3 測評系統(tǒng)的實(shí)現(xiàn)

3.1 軟件開發(fā)編程

本文基于IntelliJ IDEA環(huán)境采用Java編程語言進(jìn)行測評軟件開發(fā)(見圖4)。IntelliJ IDEA作為一款高效的Java開發(fā)工具，整合了開發(fā)過程中很多的實(shí)用功能，具備智能選取、編碼輔助、代碼檢查、代碼分析、重構(gòu)等功能，并支持PHP、MySQL、Python等多種編程語言。

根據(jù)IEC 62443標(biāo)準(zhǔn)的安全能力評價矢量模型：FR { IAC、UC、SI、DC、RDF、TRE、RA }，設(shè)計62443-4-2測評要素表單[7]。以測評用戶的標(biāo)識和鑒別控制為例(見表2)。CR1.1定義了組件的基本安全要求，RE(1)、RE(2)定義了組件的增強(qiáng)要求，分別對應(yīng)的安全等級也不同。根據(jù)被測組件的安全等級要求，進(jìn)行相應(yīng)的安全測評。

根據(jù)總體架構(gòu)及系統(tǒng)功能設(shè)計，逐一進(jìn)行各個功能模塊界面顯示、功能按鈕開發(fā)編程，如圖5所示。

3.2 系統(tǒng)運(yùn)行測試

IACS測評系統(tǒng)經(jīng)過總體設(shè)計、功能設(shè)計、開發(fā)編程，運(yùn)行界面如圖6～8所示。

該測評系統(tǒng)已完成內(nèi)部測試和提交第三方單位測評試用，測評業(yè)務(wù)流程清晰、測評項(xiàng)目準(zhǔn)確、過程數(shù)據(jù)完整、測評報告規(guī)范，整體使用反饋良好。

圖4 軟件編程環(huán)境

表2 測評要素表單

圖5 軟件開發(fā)編程

圖6 測評系統(tǒng)主界面

圖7 新建測評計劃

圖8 執(zhí)行測評項(xiàng)目

4 結(jié)語

在充分研究IEC 62443-4-2標(biāo)準(zhǔn)以及測評業(yè)務(wù)工作流程的基礎(chǔ)上，設(shè)計并實(shí)現(xiàn)了工控網(wǎng)絡(luò)安全測評系統(tǒng)。該系統(tǒng)具備測評計劃管理、測評報告、結(jié)果分析、知識庫管理、工具管理、人員管理功能。經(jīng)運(yùn)行測試，測評系統(tǒng)操作簡便、流程規(guī)范、可擴(kuò)展性好，極大提高了測評效率，能較好地滿足測評人員的使用需求，在工控網(wǎng)絡(luò)安全測評領(lǐng)域具備一定的市場推廣價值。