摘要：本文從工業(yè)控制系統(tǒng)信息安全的現(xiàn)狀入手，簡要總結和分析了我國工控安全的相關政策，根據(jù)工控系統(tǒng)的三層結構，梳理了工控信息安全專用產(chǎn)品的發(fā)展現(xiàn)狀，同時簡要介紹了工控信息安全領域標準化工作的開展情況，最后對我國工控信息安全工作提出了一些建議。

    關鍵詞：工業(yè)控制系統(tǒng)；信息安全；政策；產(chǎn)品；標準

    Abstract: This paper briefly summarized and analyzed the China's industrial safety policiesbased on the current situation of ICS's Information Security. According to 3-Level model of ICS，this paper introduced the development status of ICS information security products and discussed the development of ICS standardized affairs. Finally some
recommendations to China industrial information security are given.

    Key words: ICS; Information security; Policy; Products; Criterion 

    1　引言

    近年來，自動化領域?qū)I(yè)控制系統(tǒng)（ICS）的需求不斷提升，特別是兩化融合以來，對工業(yè)控制系統(tǒng)的實時性、可交互性等要求越來越高。以往的工業(yè)控制系統(tǒng)是孤立、封閉的信息系統(tǒng)，而隨著工業(yè)控制系統(tǒng)本身對控制實時響應速度的要求不斷提高，工業(yè)控制系統(tǒng)的大型化和多個工業(yè)控制系統(tǒng)之間互聯(lián)互通、整體協(xié)調(diào)需求的提出，工業(yè)控制系統(tǒng)逐漸向信息技術（IT）發(fā)展，從基于現(xiàn)場總線的單層過程控制網(wǎng)絡發(fā)展到了通過工業(yè)以太網(wǎng)與工程師工作站所在的過程管理網(wǎng)絡再到和企業(yè)辦公網(wǎng)絡互聯(lián)的多層結構的復雜網(wǎng)絡。

    然而，由于工業(yè)控制系統(tǒng)在開發(fā)初期主要關注可用性和可靠性，而對保密性和安全性要求不高，不可避免地存在較多的安全缺陷。據(jù)相關統(tǒng)計，自2010年專門針對工業(yè)控制系統(tǒng)進行攻擊的“震網(wǎng)”病毒被發(fā)現(xiàn)以來，工業(yè)控制系統(tǒng)的信息安全問題不斷凸顯，被公開披露的工業(yè)控制系統(tǒng)的漏洞呈井噴式的增長。相應的，工控信息安全專用產(chǎn)品也得到了越來越多的重視，研發(fā)生產(chǎn)、應用、測試、評價標準的制定等工作也在相關政策的支持下快速地開展起來。

    2　我國工控安全的現(xiàn)狀和相關政策

    隨著工控信息安全問題的日益凸顯，我國相關職能部門也陸續(xù)出臺了針對性的政策，提高業(yè)界的重視度，規(guī)范和引領工控安全領域技術、產(chǎn)品和系統(tǒng)的研發(fā)，以提高我國工控信息安全水平。今年8月8日，工信部正式發(fā)布了《2014年工業(yè)控制系統(tǒng)信息安全藍皮書》，指出目前國內(nèi)工控信息安全市場規(guī)模不到2億元，僅占信息安全整體市場1%，主要以工業(yè)防火墻和工業(yè)隔離網(wǎng)關等硬件產(chǎn)品為主，專用殺毒軟件有一定應用，嵌入式模塊產(chǎn)品有少量應用，安全服務尚處在初步導入期。其它比如入侵防護、安全審計、現(xiàn)場運維管理平臺、工控可靠性安全管理平臺等產(chǎn)品處于產(chǎn)品布局期。

    但是，與之相對應的是我國工控安全嚴峻的現(xiàn)狀，與歐美國家相比，國內(nèi)工控安全水平、發(fā)展速度與歐美發(fā)達國家相比差距仍非常大。我國工控安全相關領域的工作起步比較晚，2011年工信部發(fā)布《關于加強工業(yè)與控制系統(tǒng)信息安全管理的通知》（工信部協(xié)[2011]451號，以下簡稱“451號文”），451號文指出了工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性，點明了我國工業(yè)控制領域信息安全工作的問題和不足，明確重點領域工業(yè)控制系統(tǒng)信息安全管理要求，提出要建立工業(yè)控制系統(tǒng)安全測評檢查和漏洞發(fā)布制度。2012年，溫家寶總理主持召開國務院常務會議，審議通過了《國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)〔2012〕23號），其中明確提出要“保障工業(yè)控制系統(tǒng)信息安全”。2012年和2013年連續(xù)兩年的發(fā)改委國家信息安全專項中均有對工業(yè)控制信息安全領域相關產(chǎn)品的支持，包含了工控防火墻、工控系統(tǒng)異常行為審計、工控安管平臺、面向現(xiàn)場設備環(huán)境的邊界安全專用網(wǎng)關、面向集散控制系統(tǒng)（DCS）的異常監(jiān)測、安全采集遠程終端單元（RTU）和工業(yè)應用軟件漏洞掃描等多種類型的工業(yè)控制系統(tǒng)安全產(chǎn)品。

    可以看出，目前我國工控安全行業(yè)處于剛起步階段，很多方面都處于空白待探索的現(xiàn)狀，不過雖然規(guī)模小，但由于工控安全牽扯到工業(yè)生產(chǎn)運行安全、國家經(jīng)濟安全和人民生命財產(chǎn)安全，因此政策上的扶持力度非常大。

    3　工控信息安全專用產(chǎn)品和系統(tǒng)

     目前，一個典型的工業(yè)控制系統(tǒng)的結構如圖1所示，按照AMR組織提出的一個通用的制造企業(yè)信息傳遞的環(huán)節(jié)，企業(yè)的信息系統(tǒng)可以分為三層，依次為業(yè)務計劃層、制造執(zhí)行層和過程控制層，是決策細化下達和執(zhí)行結果匯總上傳的信息溝通模式。
 

    從網(wǎng)絡構成來說，業(yè)務計劃層是企業(yè)的辦公網(wǎng)，主要涉及企業(yè)級應用，如ERP、OA等；制造執(zhí)行層是監(jiān)控網(wǎng)絡，主要部署SCADA服務器、數(shù)據(jù)庫、生產(chǎn)調(diào)度系統(tǒng)等；過程控制系統(tǒng)部署的是比較典型的控制網(wǎng)絡，但也可以細分為工業(yè)以太網(wǎng)和工業(yè)總線網(wǎng)，其實也是最為復雜的網(wǎng)絡。細分下來，可以按照通信線路和協(xié)議類型區(qū)分，企業(yè)辦公網(wǎng)和工程師工作站通常使用傳統(tǒng)的以太網(wǎng)相互連接；工程師工作站和PLC之間的通訊通常使用工業(yè)以太網(wǎng)，目前常用的工業(yè)以太網(wǎng)協(xié)議有：Modbus TCP/IP、OPC、Profinet、Ethernet/IP、EtherCAT、Powerlink等；PLC與現(xiàn)場控制點、現(xiàn)場儀表等的連接由于目前以太網(wǎng)并不能完全勝任復雜的工控環(huán)境，無法保證通信的實時可靠，因此仍然大量使用傳統(tǒng)的現(xiàn)場總線。

    根據(jù)目前工控信息安全面臨的威脅以及可以采取的防護措施來看，和工控安全聯(lián)系最為緊密的是信息管理層、生產(chǎn)管理層、工業(yè)控制層三個層級之間的隔離，其中使用傳統(tǒng)以太網(wǎng)互聯(lián)的信息管理層和生產(chǎn)管理層之間可以部署常規(guī)的網(wǎng)絡隔離設備和工控安全設備，包括防火墻、工控漏洞掃描、工控專用殺毒軟件、工控安管平臺，用于對與外部互聯(lián)網(wǎng)通訊的數(shù)據(jù)進行過濾，同時對整個執(zhí)行制造層和過程控制層進行監(jiān)控和管理；使用工業(yè)以太網(wǎng)互聯(lián)的生產(chǎn)管理層和工業(yè)控制層之間通常部署工控防火墻、現(xiàn)場環(huán)境邊界安全專用網(wǎng)關和工控異常行為監(jiān)測與審計，主要用于防范在工程師工作站通過不安全的移動設備未授權接入帶來的病毒和木馬，同時對工控網(wǎng)絡進行安全審計，及時發(fā)現(xiàn)異常情況并報警。

    此外，作為信息安全中不可或缺的一部分，工業(yè)控制系統(tǒng)的信息安全還需要安全服務的支撐，包括風險評估、安全審計、咨詢培訓、安全管理等多個方面，目前這部分的工作仍然基本處于空白。

    4　工控安全相關標準

    工控信息安全專用產(chǎn)品作為剛起步的信息安全產(chǎn)品類別，尚沒有完善的標準體系，但是相關的標準制定工作已經(jīng)開展。我國的相關標準制定工作起步較晚，目前國際上較為完善的工業(yè)控制信息安全標準體系為IEC62443工業(yè)通信網(wǎng)絡信息安全系列標準，是由IEC/TC65/WG10(工業(yè)過程測量、控制與自動化/網(wǎng)絡與系統(tǒng)信息安全工作組)與國際自動化協(xié)會ISA99成立的聯(lián)合工作組共同制定的，并在2011年對標準體系進行了優(yōu)化，定名為《工業(yè)過程測量、控制和自動化網(wǎng)絡與系統(tǒng)信息安全》，包含了通用、信息安全程序、系統(tǒng)技術和部件技術4部分共12個文檔，對資產(chǎn)所有者、系統(tǒng)集成商、組件供應商進行了相關信息安全的要求。

    目前，制定我國工控信息安全相關標準的組織主要有全國信息安全標準化技術委員會（TC260）和全國工業(yè)過程測量和控制標準化技術委員會（TC124），對工業(yè)控制系統(tǒng)信息安全的基礎標準、安全管理、安全策略和應用標準開展制定工作。其中包含了工業(yè)控制系統(tǒng)的安全防護要求、等級保護、網(wǎng)絡安全防護、風險評估和安全產(chǎn)品和系統(tǒng)測評相關工作的標準。此外，在行業(yè)標準方面，電力系統(tǒng)最早關注工控信息安全，其標準化進度也相對較為領先；而公安行業(yè)標準近兩年也開始制定相關工控安全標準，主要關注專用的信息安全防護產(chǎn)品，涉及工控防火墻、工控審計產(chǎn)品、工控安全隔離與信息交換系統(tǒng)、工控安全管理平臺和工控入侵檢測系統(tǒng)等。在發(fā)改委組織實施的2012、2013年國家信息安全專項中，工控領域的安全產(chǎn)品已經(jīng)形成了較為完善的行業(yè)標準和相應的測評方案。

    5　對我國工控安全工作的建議

    目前，國外的工控信息安全領域經(jīng)過十多年的發(fā)展，已經(jīng)形成了一套含風險信息發(fā)布、共享、風險漏洞處理、安全態(tài)勢預警感知和響應多個環(huán)節(jié)在內(nèi)的完善信息安全事件響應隊伍和具有強大的漏洞驗證分析和技術支撐能力的機構；對于工控信息安全產(chǎn)品和系統(tǒng)的測試與評估，也有較為完善的標準、評估體系和豐富的評估測試工具。

    對比國外的發(fā)展趨勢，我國的工控安全工作應該在以下幾個方面進行借鑒和思考：

    （1）對風險處理機制進一步完善，共享工控安全風險信息；

    （2）檢測審計工控安全異常數(shù)據(jù)，關聯(lián)分析構成預警體系；

    （3）相關研究機構成立響應小組，打造應急相應技術團隊；

    （4）加強工控信息安全標準制定，規(guī)范產(chǎn)品系統(tǒng)測試評估；

    （5）對重點行業(yè)定期檢查和認證，構建我國工控安全認證。

    6　結語

    工業(yè)控制系統(tǒng)信息安全作為近年來越來越受到重視和政策支持的領域，充滿了挑戰(zhàn)和機遇，從工控系統(tǒng)的設計規(guī)劃到運行維護必須將信息安全考慮在每一個環(huán)節(jié)之中；工控信息安全專用產(chǎn)品和安全服務作為工控信息安全系統(tǒng)的重要組成部分，仍然處于起步階段且缺少完善的標準體系和評價方法；因此，我國的工控安全工作仍然需要進一步的加強，逐步形成成熟的體系和產(chǎn)業(yè)化，為我國的工業(yè)生產(chǎn)安全保駕護航。

    參考文獻

    [1] 工信部. 關于加強工業(yè)與控制系統(tǒng)信息安全管理的通知.

    [2] 工信部電子科學技術情報研究所. 2014年工業(yè)控制系統(tǒng)信息安全藍皮書[R]. 2014.

    [3] 沈清泓. 工業(yè)控制系統(tǒng)三層網(wǎng)絡的信息安全檢測與認證[J].自動化博覽, 2014 (7) : 68-71.

    [4] 歐陽勁松, 丁露.IEC62443工控網(wǎng)絡與系統(tǒng)信息安全標準綜述[J].信息技術與標準化, 2012 (3) : 24-27.

    [5] 王斌. 工業(yè)控制系統(tǒng)信息安全的安全保障－Achilles認證[J].自動化博覽, 2014 (1) : 50-52.

    [6] 王婷, 向憧, 韓雷峰, 彭勇. 2013年工業(yè)控制系統(tǒng)信息安全觀察與思考[J]. 2014 (4) : 114-115.


    作者簡介

    田原（1988-），遼寧昌圖人，碩士，畢業(yè)于西安交通大學，現(xiàn)就職于公安部第三研究所，主要從事計算機信息安全產(chǎn)品檢測等工作。