今日頭條
官方微信
官方抖音
資訊頻道
摘要:隨著信息通信技術(shù)在工業(yè)控制系統(tǒng)(以下簡稱工控系統(tǒng))中的廣泛應(yīng)用,使得傳統(tǒng)工控系統(tǒng)逐漸面臨著諸多潛在信息安全隱患。近年來,世界各地頻繁發(fā)生的工控系統(tǒng)信息安全事故導(dǎo)致這些潛在安全隱患逐漸凸顯,而工控系統(tǒng)信息安全分級管理則是應(yīng)對該領(lǐng)域各種安全威脅的重要手段之一。
關(guān)鍵詞:工業(yè)控制系統(tǒng);信息安全;分級標(biāo)準(zhǔn)
Abstract: With the widely application of the Ethernet and the internet in the Industrial control system (ICS), the traditional ICSs are facing many potential threats in information security. In recent years, many information security accidents happened in the world which emerge these threats.Hierarchy management in the information security of the ICS is an importantway to handle kinds of threats in thisfield.
Key words: Industrial control system; Information security; Standards for security categorization
1 工控系統(tǒng)信息安全分級勢在必行
信息通信技術(shù)的飛速發(fā)展促進(jìn)了信息化與工業(yè)化的深度融合,各種通用協(xié)議、通用硬件和軟件正廣泛地應(yīng)用于數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等諸多工業(yè)控制系統(tǒng)產(chǎn)品中。然而,以太網(wǎng)、物聯(lián)網(wǎng)等高新技術(shù)在工業(yè)控制系統(tǒng)中的廣泛應(yīng)用使得病毒、木馬等諸多安全隱患延伸到工業(yè)控制系統(tǒng),從而對傳統(tǒng)工控系統(tǒng)的信息安全提出了新的挑戰(zhàn)。
由于SCADA、DCS和PLC等工控系統(tǒng)廣泛地存在于工業(yè)、能源、交通、水利以及市政等領(lǐng)域,用于控制生產(chǎn)設(shè)備的運行,因此工控系統(tǒng)的信息安全事件直接影響公共基礎(chǔ)設(shè)施的安全,關(guān)乎工業(yè)生產(chǎn)運行、國家經(jīng)濟(jì)安全和人民生命財產(chǎn)安全,其造成的損失可能非常巨大,甚至不可估量。另一方面,早期的工控系統(tǒng)是運行于工業(yè)控制現(xiàn)場的自成體系且封閉獨立的系統(tǒng),不存在受外部介入與攻擊的可能性。較少工控產(chǎn)品和設(shè)備為自身的信息安全提供一定的防護(hù)措施,這就為病毒入侵等安全事故的發(fā)生提供了可乘之機(jī)。因此,工控系統(tǒng)信息安全隱患巨大。
從管理學(xué)的角度講,不同的工業(yè)行業(yè),同行業(yè)中的不同系統(tǒng)或者部件對于信息安全的需求并不一致。為了能夠加強(qiáng)工業(yè)控制系統(tǒng)的信息安全管理,可以對工業(yè)控制系統(tǒng)信息安全采取等級化管理,為各工控系統(tǒng)提供信息安全分級保護(hù)措施和要求,綜合平衡安全風(fēng)險和成本,從而實現(xiàn)信息安全資源的優(yōu)化配置。
2 現(xiàn)有信息系統(tǒng)分級方法分析
國際上,IEC TC65已經(jīng)在制定工控系統(tǒng)安全分級標(biāo)準(zhǔn)。美國國家標(biāo)準(zhǔn)和技術(shù)研究院制定的《聯(lián)邦信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)》(FIPS-199)中對信息和信息系統(tǒng)進(jìn)行了分類。該標(biāo)準(zhǔn)從機(jī)密性、完整性和可用性三個方面對不同類型信息的等級進(jìn)行評定,將信息的等級劃分為高、中、低三類,并以此為根據(jù)對信息系統(tǒng)進(jìn)行分級評判。《聯(lián)邦信息系統(tǒng)最小安全控制標(biāo)準(zhǔn)》(FIPS-200)規(guī)定了總共17個領(lǐng)域中美國聯(lián)邦信息與信息系統(tǒng)所必須達(dá)到的最低安全要求。
目前美國業(yè)界對于信息的分級存在多樣性,但基本思路是一致的,只不過考慮的因素各有不同。例如,F(xiàn)IPS-199和NIST800-37等文件中采用資產(chǎn)等級評判系統(tǒng)等級的重要因素;IATF采用威脅的等級作為判定系統(tǒng)等級的重要因素;FIPS-199和IATF等同樣將信息系統(tǒng)被破壞后對國家、社會公共利益等方面的影響作為系統(tǒng)等級重要因素來為系統(tǒng)進(jìn)行定級。針對不同級別的信息系統(tǒng),文件NIST 800-53中對各級別的系統(tǒng)推薦了不同強(qiáng)度的安全控制集,并裁剪了安全控制基線這一概念,針對基本、中和高三類系統(tǒng)級別列出了三套基線安全控制集。雖然美國的信息分級保護(hù)進(jìn)程僅實施十年左右,但同樣積累了一些成熟的經(jīng)驗,并形成了一套完整的體系,可以作為我國推行等級保護(hù)的基礎(chǔ)經(jīng)驗。
我國在信息系統(tǒng)安全等級保護(hù)、保密系統(tǒng)分級保護(hù)、電信互聯(lián)網(wǎng)等級保護(hù)等領(lǐng)域制定大量標(biāo)準(zhǔn),推動信息系統(tǒng)安全分級應(yīng)用,對行業(yè)發(fā)展起到重要推動作用。
3 我國工控系統(tǒng)信息安全分級方法研究建議
工業(yè)控制系統(tǒng)被廣泛應(yīng)用于國民經(jīng)濟(jì)以及公民日常生活的各個方面,關(guān)系著國家切實利益和社會長治久安。受近年來“震網(wǎng)”等一系列工業(yè)控制系統(tǒng)安全事件的影響,我國工控系統(tǒng)的信息安全分級管理勢在必行。在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會的指導(dǎo)下,中國電子技術(shù)標(biāo)準(zhǔn)化研究院成立工控系統(tǒng)信息安全標(biāo)準(zhǔn)工作組,組織國內(nèi)工控行業(yè)骨干企業(yè)、科研院所,開展工控系統(tǒng)信息安全分級標(biāo)準(zhǔn)的研究。提出了從信息安全和功能安全出發(fā),根據(jù)不同區(qū)域和部件受侵害程度對工控系統(tǒng)進(jìn)行安全定級。從工控系統(tǒng)七項基本安全需求出發(fā),對每項需求根據(jù)受侵害程度劃分為五級。劃分系統(tǒng)區(qū)域和管道,根據(jù)定級依據(jù)設(shè)定系統(tǒng)和各部件的設(shè)計安全等級,系統(tǒng)建設(shè)完成后,對系統(tǒng)進(jìn)行評估得到實際安全等級,并與設(shè)計安全等級進(jìn)行對比,制定安全策略,調(diào)整系統(tǒng)安全配置。
在此基礎(chǔ)上,將這三個定級要素根據(jù)各自特點進(jìn)一步細(xì)化為若干關(guān)鍵指標(biāo),從而更為精確地評判工控系統(tǒng)信息安全等級。例如,工控系統(tǒng)重要性程度可細(xì)化為業(yè)務(wù)使命和行業(yè)領(lǐng)域兩個關(guān)鍵要素。其中,工控系統(tǒng)的行業(yè)領(lǐng)域要素分為關(guān)鍵領(lǐng)域、重點領(lǐng)域、一般領(lǐng)域。與國家安全、國家經(jīng)濟(jì)安全緊密相關(guān)的工業(yè)生產(chǎn)領(lǐng)域作為關(guān)鍵領(lǐng)域;與國計民生緊密相關(guān)的工業(yè)生產(chǎn)領(lǐng)域,作為重點領(lǐng)域;上述領(lǐng)域之外的其它工業(yè)生產(chǎn)領(lǐng)域作為一般領(lǐng)域。
工控系統(tǒng)信息安全分級可以根據(jù)信息系統(tǒng)的重要程度以及實際安全需求,將各種信息系統(tǒng)進(jìn)行分類,有利于提供從細(xì)節(jié)到全局,從技術(shù)到管理,從設(shè)備到人員等多方面的安全防護(hù)措施,從而保障工業(yè)控制信息系統(tǒng)的正常運行,維護(hù)國家利益、公共權(quán)益和社會穩(wěn)定。與國外現(xiàn)有技術(shù)和標(biāo)準(zhǔn)相比,我國工控系統(tǒng)信息安全分級標(biāo)準(zhǔn)綜合考慮工控行業(yè)和國家、社會生產(chǎn)生活的諸多因素,力圖制定更加準(zhǔn)確合理的工控信息系統(tǒng)安全分級策略。
作者簡介
范科峰(1978-),男,陜西禮泉人,高級工程師,博士,博士后出站,碩士導(dǎo)師,研究方向為信息安全、信號處理、信息技術(shù)標(biāo)準(zhǔn)化等。目前負(fù)責(zé)工控安全技術(shù)標(biāo)準(zhǔn)與測評等工作,在信息安全等領(lǐng)域獲得省部級科技獎勵6項,榮獲第3屆中央國家機(jī)關(guān)青年五四獎?wù)隆?br />
李琳(1983-),男,山東濟(jì)南人,博士研究生,研究方向為復(fù)雜網(wǎng)絡(luò),網(wǎng)絡(luò)內(nèi)容安全。
北京市公安局海淀分局備案號:11010802023656號