今日頭條
官方微信
官方抖音
資訊頻道1 工控系統(tǒng)信息安全分級(jí)勢(shì)在必行
信息通信技術(shù)的飛速發(fā)展促進(jìn)了信息化與工業(yè)化的深度融合,各種通用協(xié)議、通用硬件和軟件正廣泛地應(yīng)用于數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過(guò)程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等諸多工業(yè)控制系統(tǒng)產(chǎn)品中。然而,以太網(wǎng)、物聯(lián)網(wǎng)等高新技術(shù)在工業(yè)控制系統(tǒng)中的廣泛應(yīng)用使得病毒、木馬等諸多安全隱患延伸到工業(yè)控制系統(tǒng),從而對(duì)傳統(tǒng)工控系統(tǒng)的信息安全提出了新的挑戰(zhàn)。
由于SCADA、DCS和PLC等工控系統(tǒng)廣泛地存在于工業(yè)、能源、交通、水利以及市政等領(lǐng)域,用于控制生產(chǎn)設(shè)備的運(yùn)行,因此工控系統(tǒng)的信息安全事件直接影響公共基礎(chǔ)設(shè)施的安全,關(guān)乎工業(yè)生產(chǎn)運(yùn)行、國(guó)家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全,其造成的損失可能非常巨大,甚至不可估量。另一方面,早期的工控系統(tǒng)是運(yùn)行于工業(yè)控制現(xiàn)場(chǎng)的自成體系且封閉獨(dú)立的系統(tǒng),不存在受外部介入與攻擊的可能性。較少工控產(chǎn)品和設(shè)備為自身的信息安全提供一定的防護(hù)措施,這就為病毒入侵等安全事故的發(fā)生提供了可乘之機(jī)。因此,工控系統(tǒng)信息安全隱患巨大。
從管理學(xué)的角度講,不同的工業(yè)行業(yè),同行業(yè)中的不同系統(tǒng)或者部件對(duì)于信息安全的需求并不一致。為了能夠加強(qiáng)工業(yè)控制系統(tǒng)的信息安全管理,可以對(duì)工業(yè)控制系統(tǒng)信息安全采取等級(jí)化管理,為各工控系統(tǒng)提供信息安全分級(jí)保護(hù)措施和要求,綜合平衡安全風(fēng)險(xiǎn)和成本,從而實(shí)現(xiàn)信息安全資源的優(yōu)化配置。
2 現(xiàn)有信息系統(tǒng)分級(jí)方法分析
國(guó)際上,IEC TC65已經(jīng)在制定工控系統(tǒng)安全分級(jí)標(biāo)準(zhǔn)。美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院制定的《聯(lián)邦信息和信息系統(tǒng)安全分類(lèi)標(biāo)準(zhǔn)》(FIPS-199)中對(duì)信息和信息系統(tǒng)進(jìn)行了分類(lèi)。該標(biāo)準(zhǔn)從機(jī)密性、完整性和可用性三個(gè)方面對(duì)不同類(lèi)型信息的等級(jí)進(jìn)行評(píng)定,將信息的等級(jí)劃分為高、中、低三類(lèi),并以此為根據(jù)對(duì)信息系統(tǒng)進(jìn)行分級(jí)評(píng)判。《聯(lián)邦信息系統(tǒng)最小安全控制標(biāo)準(zhǔn)》(FIPS-200)規(guī)定了總共17個(gè)領(lǐng)域中美國(guó)聯(lián)邦信息與信息系統(tǒng)所必須達(dá)到的最低安全要求。
目前美國(guó)業(yè)界對(duì)于信息的分級(jí)存在多樣性,但基本思路是一致的,只不過(guò)考慮的因素各有不同。例如,F(xiàn)IPS-199和NIST800-37等文件中采用資產(chǎn)等級(jí)評(píng)判系統(tǒng)等級(jí)的重要因素;IATF采用威脅的等級(jí)作為判定系統(tǒng)等級(jí)的重要因素;FIPS-199和IATF等同樣將信息系統(tǒng)被破壞后對(duì)國(guó)家、社會(huì)公共利益等方面的影響作為系統(tǒng)等級(jí)重要因素來(lái)為系統(tǒng)進(jìn)行定級(jí)。針對(duì)不同級(jí)別的信息系統(tǒng),文件NIST 800-53中對(duì)各級(jí)別的系統(tǒng)推薦了不同強(qiáng)度的安全控制集,并裁剪了安全控制基線(xiàn)這一概念,針對(duì)基本、中和高三類(lèi)系統(tǒng)級(jí)別列出了三套基線(xiàn)安全控制集。雖然美國(guó)的信息分級(jí)保護(hù)進(jìn)程僅實(shí)施十年左右,但同樣積累了一些成熟的經(jīng)驗(yàn),并形成了一套完整的體系,可以作為我國(guó)推行等級(jí)保護(hù)的基礎(chǔ)經(jīng)驗(yàn)。
我國(guó)在信息系統(tǒng)安全等級(jí)保護(hù)、保密系統(tǒng)分級(jí)保護(hù)、電信互聯(lián)網(wǎng)等級(jí)保護(hù)等領(lǐng)域制定大量標(biāo)準(zhǔn),推動(dòng)信息系統(tǒng)安全分級(jí)應(yīng)用,對(duì)行業(yè)發(fā)展起到重要推動(dòng)作用。
3 我國(guó)工控系統(tǒng)信息安全分級(jí)方法研究建議
工業(yè)控制系統(tǒng)被廣泛應(yīng)用于國(guó)民經(jīng)濟(jì)以及公民日常生活的各個(gè)方面,關(guān)系著國(guó)家切實(shí)利益和社會(huì)長(zhǎng)治久安。受近年來(lái)“震網(wǎng)”等一系列工業(yè)控制系統(tǒng)安全事件的影響,我國(guó)工控系統(tǒng)的信息安全分級(jí)管理勢(shì)在必行。在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的指導(dǎo)下,中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院成立工控系統(tǒng)信息安全標(biāo)準(zhǔn)工作組,組織國(guó)內(nèi)工控行業(yè)骨干企業(yè)、科研院所,開(kāi)展工控系統(tǒng)信息安全分級(jí)標(biāo)準(zhǔn)的研究。提出了從信息安全和功能安全出發(fā),根據(jù)不同區(qū)域和部件受侵害程度對(duì)工控系統(tǒng)進(jìn)行安全定級(jí)。從工控系統(tǒng)七項(xiàng)基本安全需求出發(fā),對(duì)每項(xiàng)需求根據(jù)受侵害程度劃分為五級(jí)。劃分系統(tǒng)區(qū)域和管道,根據(jù)定級(jí)依據(jù)設(shè)定系統(tǒng)和各部件的設(shè)計(jì)安全等級(jí),系統(tǒng)建設(shè)完成后,對(duì)系統(tǒng)進(jìn)行評(píng)估得到實(shí)際安全等級(jí),并與設(shè)計(jì)安全等級(jí)進(jìn)行對(duì)比,制定安全策略,調(diào)整系統(tǒng)安全配置。
在此基礎(chǔ)上,將這三個(gè)定級(jí)要素根據(jù)各自特點(diǎn)進(jìn)一步細(xì)化為若干關(guān)鍵指標(biāo),從而更為精確地評(píng)判工控系統(tǒng)信息安全等級(jí)。例如,工控系統(tǒng)重要性程度可細(xì)化為業(yè)務(wù)使命和行業(yè)領(lǐng)域兩個(gè)關(guān)鍵要素。其中,工控系統(tǒng)的行業(yè)領(lǐng)域要素分為關(guān)鍵領(lǐng)域、重點(diǎn)領(lǐng)域、一般領(lǐng)域。與國(guó)家安全、國(guó)家經(jīng)濟(jì)安全緊密相關(guān)的工業(yè)生產(chǎn)領(lǐng)域作為關(guān)鍵領(lǐng)域;與國(guó)計(jì)民生緊密相關(guān)的工業(yè)生產(chǎn)領(lǐng)域,作為重點(diǎn)領(lǐng)域;上述領(lǐng)域之外的其它工業(yè)生產(chǎn)領(lǐng)域作為一般領(lǐng)域。
表1 現(xiàn)有信息安全分級(jí)方法一覽
工控系統(tǒng)信息安全分級(jí)可以根據(jù)信息系統(tǒng)的重要程度以及實(shí)際安全需求,將各種信息系統(tǒng)進(jìn)行分類(lèi),有利于提供從細(xì)節(jié)到全局,從技術(shù)到管理,從設(shè)備到人員等多方面的安全防護(hù)措施,從而保障工業(yè)控制信息系統(tǒng)的正常運(yùn)行,維護(hù)國(guó)家利益、公共權(quán)益和社會(huì)穩(wěn)定。與國(guó)外現(xiàn)有技術(shù)和標(biāo)準(zhǔn)相比,我國(guó)工控系統(tǒng)信息安全分級(jí)標(biāo)準(zhǔn)綜合考慮工控行業(yè)和國(guó)家、社會(huì)生產(chǎn)生活的諸多因素,力圖制定更加準(zhǔn)確合理的工控信息系統(tǒng)安全分級(jí)策略。
作者簡(jiǎn)介
范科峰(1978-),男,陜西禮泉人,高級(jí)工程師,博士,博士后出站,碩士導(dǎo)師,研究方向?yàn)樾畔踩⑿盘?hào)處理、信息技術(shù)標(biāo)準(zhǔn)化等。目前負(fù)責(zé)工控安全技術(shù)標(biāo)準(zhǔn)與測(cè)評(píng)等工作,在信息安全等領(lǐng)域獲得省部級(jí)科技獎(jiǎng)勵(lì)6項(xiàng),榮獲第3屆中央國(guó)家機(jī)關(guān)青年五四獎(jiǎng)?wù)隆?/p>
李琳(1983-),男,山東濟(jì)南人,博士研究生,研究方向?yàn)閺?fù)雜網(wǎng)絡(luò),網(wǎng)絡(luò)內(nèi)容安全。
摘自《工業(yè)控制系統(tǒng)信息安全專(zhuān)刊(第一輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)