今日頭條
官方微信
官方抖音
資訊頻道 1 前言
工業控制系統信息安全認證對于保護工業控制系統信息安全有著極其重要的意義,它能幫助工業控制系統產業的進步與成熟;幫助工業控制系統及安全產品的供應商及時發現問題,用更高更嚴的標準規范產品開發流程,提高工業控制系統及其安全產品的市場競爭力;有利于國家對工業控制系統及其安全產品的市場準入進行管理,保證工業控制系統運營單位采購產品的安全性;幫助工業控制系統運營單位強化員工的信息安全意識,規范組織信息安全行為,減少潛在的風險隱患。鑒于工業控制系統信息安全認證的重要意義,各國政府、行業協會、學術機構及相關企業等單位都積極推動此項工作的開展,依托現有工業控制系統信息安全標準,推進認證項目,設計認證制度。ISASecure嵌入式設備安全保障認證(Embedded Device Security Assurance,EDSA) 、全球工業網絡安全專業認證( G l o b a lIndustrial Cyber Security Professional, GICSP)是目前工業控制系統信息安全領域已推出的且得到普遍認可的信息安全認證。
2 ISASecure嵌入式設備安全保障認證(EDSA)
ISA安全兼容協會(ISA Security ComplianceInstitute, ISCI)成立于2007年,致力于為工業控制系統的網絡安全提供保障。ISCI通過推行ISASecure項目開發ISASecure認證規范,ISASecure認證規范均由工業控制系統運營單位、行業協會、用戶、學術界、政府和監管機構合作共同審核,幫助工業控制系統設備供應商和運營單位識別網絡安全產品及實踐。EDSA作為第一個ISASecure認證,目的在于促進工業行業加強工業控制系統網絡安全。
嵌入式設備主要由嵌入式處理器、相關支撐硬件和嵌入式軟件組成,是集軟硬件于一體的可獨立工作的器件。嵌入式設備具備便利靈活、性價比高及嵌入性強等特點,廣泛應用于工業控制系統中,直接監視、控制或執行工業過程。EDSA提供了一套通用的設備及過程規范,從設備開發、生產、采購等各階段保障嵌入式設備安全。
基于不斷發展的工業設備安全趨勢,EDSA提供安全保障要求逐級提高的三個設備認證級別:級別1、級別2和級別3。三個級別都對以下技術要素進行認證:軟件開發安全性評估(Software DevelopmentSecurity Assessment,SDSA)、功能安全性評估(Functional Security Assessment, FSA)、通訊健壯性測試(Communication Robustness Testing,CRT)。SDSA用于檢測設備在開發過程中的安全性,FSA用于審查設備功能的安全性,CRT測試設備在從正常到極高網絡速率下遭受正常和異常網絡流量時保證必要服務的能力。級別2和3對于SDSA和FSA的要求是逐級遞增的,CRT標準適用于各個級別。EDSA架構如圖1所示。
圖1 EDSA架構
2.1 軟件開發安全性評估(SDSA)
對于嵌入式設備開發的整個生命周期,SDSA的認證要求包括:安全性管理流程、安全要求規范、軟件架構設計、安全風險評估和威脅建模、詳細的軟件設計、文檔安全指引、軟件模塊執行和核查、安全集成測試、安全過程驗證、安全響應中心規劃、安全性驗證測試、安全響應執行。
SDSA的基本標準適用于所有認證級別,隨著認證級別的遞增,認證要求逐漸嚴格。例如,所有級別的ISASecure嵌入式設備需要確立書面的安全要求與指定的適用范圍。再如:所有認證級別要求改變管理過程,然而級別2和級別3會對這一過程提出更多的要求。
2.2 功能安全性評估(FSA)
FSA從安全功能和執行準確性的角度來測試嵌入式設備。安全功能可能由嵌入式設備本身或系統環境中支持該設備的更高級別組件來決定,例如,在某些情況下,特定設置的防火墻需與其它設備一起部署才能實現安全性。FSA的組織形式遵照ISA-99.03.03系統安全要求和安全保障級別所公認的ISA99基金會要求,涉及范圍包括:訪問控制、使用控制、數據完整性、數據可信度、數據流量限制、及時響應事件、網絡資源的可用性。
FSA的基本標準適用于各級別認證,隨著認證級別的遞增,FSA的標準會相應提高。例如:各級別的ISASecure設備必須支持自動執行基于授權用戶的訪問控制,除非此功能被明確分配給更高級別的系統結構中的組件。
2.3 通訊健壯性測試(CRT)
CRT用于測試嵌入式設備或其它關聯設備在非正常或惡意的網絡通訊流量的情況下執行網絡協議的情況,測試又可稱為“協議模糊測試”。在不同的流量速率下,生成無效的消息和消息序列發送至嵌入式設備,設備對于每種協議已知攻擊的對抗程度也是本測試的一部分內容。
圖2 ISASecure通訊健壯性測試協議
當出現不正常的信息響應或設備無法繼續保證基本服務時,表明設備存在潛在的安全漏洞,CRT不檢查執行的正確性或是否符合強制性控制協議標準的規定。因此,ISASecure CRT的一個關鍵定義是“充分保證必要的服務”,以下是必要的服務:過程控制/安全回路、過程視圖、命令(變化如設定點的過程控制參數)和過程警報。要通過ISASecure CRT,過程控制/安全回路需要適應所有網絡流量條件,然而可以允許一些必要服務,如提供關鍵過程的歷史信息,對等控制通訊因為網絡接口的大流量而不是由于其它網絡流量條件的干擾而丟失。
ISCI為圖2中的協議開發CRT規范,按照優先級將協議分組,其中,組1的優先級最高。
滿足ISASecure認證規范的嵌入式設備可以獲得ISASeucre EDSA的認證證書,擁有該認證的產品即擁有了一個標志,證明其產品在安全特性和功能上得到了承認。目前,已有一些工業控制系統設備獲得了ISASecure嵌入式設備安全保障認證,如:霍尼韋爾安全管理器、Experion C300分布式控制系統、Experion現場總線接口模塊、橫河電機CENTUM?VP生產控制系統等。
3 全球工業網絡安全專業認證(GICSP)
全球信息安全認證( GlobalInformation Assurance Certification,GIAC)是全球領先的網絡安全認證,針對關鍵基礎設施老化、技術過時、安全做法落后以及缺乏專業培訓等現狀,GIAC從提升個人技能和知識水平入手,旨在幫助設計、部署、操作和維護工業自動化和控制系統基礎設施的機構落實最佳做法。2013年5月在得克薩斯州的休斯敦市,GIAC及行業領導者成立了一個由行業專家組成的小組,該小組完成一份工作任務分析的調查問卷,并發送給各個關鍵基礎設施參與商以確保認證能夠與其工作職責相符,確定符合GICSP認證目標所必備的知識、技術和能力范圍。同年9月,GIAC推出了全球工業網絡安全專業認證(GICSP)。
針對關鍵基礎設施攻擊的警告已經持續多年,但是近幾年來,真正的威脅開始被確定,并給關鍵基礎設施資產和系統帶來可識別性的影響。關鍵基礎設施,如電廠、石油天然氣等,其工業控制系統的安全保障水平直接關系到國家公眾利益、經濟秩序和國家安全,一旦受到威脅和破壞,所造成的直接和間接損失是無法估量和難以接受的。工業控制系統安全與每個參與系統相關的工作人員(實際操作設備的工程師、管理和配置控制系統的過程控制工程師、SCADA系統技術支持和網絡安全專家等)對于安全部署和維護過程控制系統的知識、技能和能力是息息相關的。GICSP認證的主要目標是為工業控制系統工程師和網絡專家提供一個橋梁,將他們的專業知識進行融合,教育和認證系統供應商、項目工程承包商、運營商、IT服務供應商和維護支持人員,要求其具備IT、工程和網絡安全技能方面的復合知識體系,以確保工業控制系統信息安全。
GICSP項目計劃建立一個有關過程控制設計和信息技術安全的開放的知識體系,集合IT、工程和網絡安全技能以保障工業控制系統從設計之初到淘汰下線期間的安全。預計GICSP將成為全球范圍內工業控制系統在網絡安全領域的網關認證。
4 建議
目前,我國工業控制系統信息安全形勢非常嚴峻,信息安全防護水平遠遠落后于發達國家,缺乏相關標準和完善的認證體系。工業控制系統信息安全認證作為保障工業控制系統安全的有效手段,迫切需要國家主管部門從政策和科研層面積極部署,企業、科研機構等相關單位積極參與對認證標準和方法進行完善。工業自動化與控制產品供應商應不斷加強自身的信息安全意識和行動,運營單位完善管理制度對重要控制系統進行審核認證,共同提升工業控制系統信息安全保障水平。
作者簡介
郭嫻(1984-),湖北人,工程師,工學博士,畢業于中國科學院高能物理研究所計算機應用技術專業,現就職于工業和信息化部電子科學技術情報研究所,主要從事工業控制系統信息安全相關研究工作。
摘自 工業控制系統信息安全專刊
北京市公安局海淀分局備案號:11010802023656號