隋愛芬（西門子（中國）有限公司，北京 100102）

工業(yè)自動化控制系統(tǒng)（IACS，Industrial Automation Control System）構(gòu)成了現(xiàn)代工業(yè)基礎設施的神經(jīng)系統(tǒng)。傳統(tǒng)上，工業(yè)自動化控制系統(tǒng)多為采用專用技術(shù)的封閉網(wǎng)絡，對外沒有互聯(lián)互通，其面臨的信息安全威脅不突出。但近幾十年來，各種工業(yè)自動化控制系統(tǒng)正快速地從封閉、孤立的系統(tǒng)走向互聯(lián)，并開始廣泛采用開放和通用技術(shù)，隨之帶來了工業(yè)控制系統(tǒng)所面臨的信息安全威脅也日益嚴重。工業(yè)自動化控制系統(tǒng)的安全直接關系到各重點工業(yè)行業(yè)的生產(chǎn)安全，因而近年來成為工業(yè)自動化以及信息安全研究重點、熱點領域。

標準化作為推動行業(yè)發(fā)展和行業(yè)互認的有力工具，可以為工業(yè)信息安全建設提供重要依據(jù)。本文在分析了工業(yè)信息安全威脅和需求基礎上，對目前主要的工業(yè)信息安全規(guī)范做了調(diào)研，并重點介紹了IEC62443工業(yè)控制系統(tǒng)信息安全規(guī)范，從中可以看出主要國際標準組織對工業(yè)信息安全的應對思路。

1 工業(yè)信息安全威脅與需求

傳統(tǒng)上，工業(yè)自動化控制系統(tǒng)多為采用專用技術(shù)的封閉網(wǎng)絡，對外沒有互聯(lián)互通，其面臨的信息安全威脅不突出。相應地，各種工業(yè)控制設備、應用、系統(tǒng)、通信協(xié)議都主要針對專有的封閉環(huán)境而設計。由于沒有現(xiàn)實的信息安全威脅，工業(yè)自動化控制系統(tǒng)在設計、實現(xiàn)與部署過程中，其主要指標是可用性、功能、性能、（物理）安全性、實時性等，而無須過多考慮網(wǎng)絡攻擊、信息安全等問題。

但近幾十年來，各種工業(yè)自動化控制系統(tǒng)正快速地從封閉、孤立的系統(tǒng)走向互聯(lián)，例如自動化網(wǎng)絡與IT網(wǎng)絡相連，為實現(xiàn)遠程維護與Internet連接等。并開始廣泛采用開放和通用技術(shù)，采用以太網(wǎng)、TCP/IP網(wǎng)絡作為網(wǎng)絡基礎設施；采用包括IWLAN、GPRS等在內(nèi)的各種無線網(wǎng)絡，廣泛采用標準的Windows等商用操作系統(tǒng)、設備、中間件與各種通用技術(shù)。典型的工業(yè)自動化控制系統(tǒng)SCADA（Supervisory Control And Data Acquisition，數(shù)據(jù)采集與監(jiān)控系統(tǒng)）、DCS（Distributed Control System，分布式控制系統(tǒng)）、PLC（Programmable Logic Controller，可編程邏輯控制器）等正日益變得開放、通用和標準化。

由于長期缺乏安全需求的推動，對網(wǎng)絡環(huán)境下廣泛存在的安全威脅缺乏充分認識，現(xiàn)有工業(yè)自動化控制系統(tǒng)過去在設計、研發(fā)中沒有充分考慮安全問題，在部署、運維中又缺乏安全意識、管理、流程、策略與相關專業(yè)技術(shù)的支撐，導致許多工業(yè)自動化控制系統(tǒng)中存在著這樣或那樣的安全問題，一旦被無意或惡意利用，就會造成各種安全事件。例如由于病毒、惡意軟件等導致的工廠停產(chǎn)；惡意操縱工控數(shù)據(jù)或應用軟件；對工控系統(tǒng)功能未經(jīng)授權(quán)的訪問，工業(yè)制造的核心數(shù)據(jù)、配方被竊取等。越來越多的安全事件揭示出自動化工廠存在安全脆弱性。

但是現(xiàn)有IT安全措施不能直接應用于工業(yè)領域，工控系統(tǒng)的信息安全和IT系統(tǒng)的信息安全是有顯著區(qū)別。首先信息安全需求不同。信息安全需求可以概括為CIA，C（con fi dentiality）表示機密性，I（integrity）表示完整性，A（availability）表示可用性。IT環(huán)境，最有可能發(fā)生的情況就是機密信息的丟失，但是不會造成人員、設備與環(huán)境的直接損失，安全需求的優(yōu)先級通常是機密性、完整性、可用性。但是對于工業(yè)環(huán)境來講，如果生產(chǎn)參數(shù)不能及時監(jiān)控，或者參數(shù)被惡意篡改，可能會造成嚴重后果，因此其安全需求首先是可用性，在生產(chǎn)可持續(xù)的前提之下，要求數(shù)據(jù)是完整的不被篡改，機密性的要求相對不突出。工業(yè)生產(chǎn)系統(tǒng)的整個生命周期通常有10～20年，甚至更長的時間，而一般辦公系統(tǒng)的生命周期通常只有3年。工業(yè)控制系統(tǒng)采用了大量嵌入式設備、以及存儲和處理能力有限的設備。這些特殊之處都對信息安全提出了新的挑戰(zhàn)和要求，而正在涌現(xiàn)的工業(yè)安全事件使得要求更加迫切。

標準化作為推動行業(yè)發(fā)展和行業(yè)互認的有力工具，可以為工業(yè)信息安全建設提供重要依據(jù)。隨著越來越多工業(yè)領域信息安全事件的出現(xiàn)，全球加速了工業(yè)信息安全標準化的進程。

2 工業(yè)控制系統(tǒng)信息安全標準化概述

對于工業(yè)領域，標準化是戰(zhàn)略性的和基礎性的工作。隨著越來越多工業(yè)領域信息安全事件的出現(xiàn)，全球加速了工業(yè)信息安全標準化的進程。

國際上，包括美國、歐洲在內(nèi)的西方國家也早已意識到工業(yè)自動化控制系統(tǒng)信息安全的重要性，在上個世紀90年代左右就開始了相關的研究與標準化方面的工作。IEC TC65在ISA工作基礎上，借鑒了ISO27000、WIB M-2784等標準和規(guī)范制定了IEC62443系列標準[2-6]，對信息安全管理、工業(yè)控制系統(tǒng)、工業(yè)控制組件提出了需求。NIST SP800-82《工業(yè)控制系統(tǒng)信息安全指南》[12]分析了ICS面臨的威脅與漏洞特征，提供了解決安全風險的建議對策；并提供適合工業(yè)控制網(wǎng)絡的安全控制基線措施。NERC CIP《關鍵基礎設施防護的可靠性標準》[14]規(guī)定了北美電力關鍵資產(chǎn)保護框架。

中國政府對工業(yè)信息安全給予高度重視。2011年工業(yè)與信息化部發(fā)布“關于加強工業(yè)控制系統(tǒng)信息安全管理的通知”[1]，明確了重點領域工業(yè)控制系統(tǒng)信息安全管理要求，并強調(diào)了“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，對連接管理、組網(wǎng)管理、配置管理、設備選擇與升級管理、數(shù)據(jù)管理、應急管理等等提出了明確要求。同時國家標準委員會也加快標準化的制定工作。

3 IEC 62443工業(yè)控制系統(tǒng)安全規(guī)范

IEC62443是在 ISA-99的基礎上制定的。ISA99由International Society of Automation（ISA）WG4工作組負責制定，面向各種工業(yè)行業(yè)的工業(yè)自動化控制系統(tǒng)的安全。由于IEC 62443充分考慮了工業(yè)領域的不同的參與方（自動化產(chǎn)品廠商、系統(tǒng)/產(chǎn)品提供商、系統(tǒng)集成商、終端用戶）的不同安全需求，比較符合各工業(yè)行業(yè)的對信息安全標準的需要。

IEC62443分4個部分，第一部分是總述[2]，定義了術(shù)語概念和模型以及系統(tǒng)安全度量。第二部分是策略和規(guī)程[3]，規(guī)定了創(chuàng)建工業(yè)自動化控制系統(tǒng)安全計劃、補丁管理、安全策略和實踐。第三部分是對系統(tǒng)的要求[4-6]，定義了工業(yè)自動化控制系統(tǒng)的安全技術(shù)，以及系統(tǒng)安全要求和安全保障等級。第四部分是對組件（部件）的要求[7]，規(guī)定了產(chǎn)品開發(fā)要求、產(chǎn)品安全技術(shù)要求。對系統(tǒng)和組件，分別從管理層面和技術(shù)層面提出了要求。

圖1 IEC62443架構(gòu)

我國積極參與IEC62443標準的制定和推廣工作。SAC TC124作為IEC TC65在國內(nèi)的鏡像標準委員會，目前正在將IEC62443已發(fā)布標準引入國內(nèi)。其中工業(yè)過程和控制安全第3部分：網(wǎng)絡和系統(tǒng)信息安全（IEC62443-3: 2008 Security for industrial process measurement and control - network and system security）、工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全第1-1部分：概念和模型（IEC62443-1-1: 2009 Industrial communication networks - network and system security - Part 1-1: Terminology, concepts and models) 、工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全第3-1部分：工業(yè)自動化和控制系統(tǒng)用安全技術(shù)（IEC62443-1-1: 2009 Industrial communication networks - network and system security - Part 3-1: Security technologies for industrial automation and control systems) 已被等同采標為行業(yè)標準。工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全第2-1部分：建立工業(yè)自動化和控制系統(tǒng)信息安全程序（IEC 62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program）正在被等同轉(zhuǎn)化為國標。

同時，TC124基于IEC62443制定了“工業(yè)控制系統(tǒng)信息安全第1部分：評估規(guī)范”[16]和“工業(yè)控制系統(tǒng)信息安全第2部分：驗收規(guī)范”[17]，并正在進一步制定PLC和DCS相關安全國家標準。這些標準將為我國工業(yè)信息安全的評估、建設提供重要依據(jù)。

4 其他工業(yè)安全相關國際標準

除IEC和ISA外，還有很多國際標準組織和行業(yè)協(xié)會制定了工業(yè)信息安全相關的規(guī)范和指導文件。例如NIST在聯(lián)邦信息系統(tǒng)安全要求[9-10]和信息系統(tǒng)安全控制措施[11]基礎上，制定了工業(yè)控制系統(tǒng)安全指南；北美電力可靠性公司NERC (North American Electric Reliability Corporation)負責建立和強制實施大型電力系統(tǒng)的可靠性標準；化學信息技術(shù)中心（ChemITC）制定了化學領域的信息安全項目，并對關鍵技術(shù)問題進行了規(guī)定。本章選取NIST SP800-82和NERC CIP做簡要介紹。

4.1 NIST SP800-82《工業(yè)控制系統(tǒng)信息安全指南》

NIST在聯(lián)邦信息系統(tǒng)安全要求[9-10]和信息系統(tǒng)安全控制措施[11]基礎上，制定了工業(yè)控制系統(tǒng)安全指南。其中FIPS 200和FIPS199是NIST制定的強制標準，F(xiàn)IPS200約束了信息系統(tǒng)所需滿足的最低安全要求，F(xiàn)IPS 199為信息系統(tǒng)安全級別分類提供了標準和方法 ，NIST SP800-53為信息系統(tǒng)滿足FIPS200提供了具體的、差異化的安全控制基線措施，NIST SP800-82分析了ICS面臨的威脅與漏洞特征，提供了解決安全風險的建議對策；并提供適合工業(yè)控制網(wǎng)絡的安全控制基線措施。

NIST SP800-82規(guī)定的安全控制措施框架如圖2所示，可以大致分為管理控制措施、運維控制措施和技術(shù)控制措施。

4.2 NERC CIP《關鍵基礎設施防護的可靠性標準》

NERC (North American Electric Reliability Corporation)是由FERC (Federal Energy Regulatory Commission) 認證的電力可靠性組織，NERC前身北美電力可靠性委員會，由電力工業(yè)創(chuàng)建于1968年，負責建立和強制實施大型電力系統(tǒng)的可靠性標準。

圖2 NIST SP800-82工業(yè)控制網(wǎng)絡安全控制措施框架

CIP (Critical Infrastructure Protection)由NERC負責制定，包括9個部分：CIP-001規(guī)定了破壞事件的上報機制，CIP-002至CIP-009規(guī)定了北美電力關鍵資產(chǎn)保護框架，如圖3所示。

從2009年6月30日起，所有大型電力系統(tǒng)中的高壓電力傳輸和配電（T&D）從業(yè)人員必須符合北美電力可靠性委員會的網(wǎng)絡安全標準（NERC CIP）。發(fā)電站業(yè)主和從業(yè)人員的時間期限在6個月之后。

圖3 NERC CIP《關鍵基礎設施防護的可靠性標準》框架

5 總結(jié)

近年來，工業(yè)自動化控制系統(tǒng)自動化、數(shù)字化、網(wǎng)絡化程度的不斷提高，工業(yè)自動化控制系統(tǒng)與IT網(wǎng)絡的互聯(lián)、互通大大增加，并越來越多的采用通用和開放技術(shù)，隨之帶來了工業(yè)控制系統(tǒng)所面臨的信息安全威脅也日益嚴重。

對于工業(yè)領域，標準化是戰(zhàn)略性的和基礎性的工作。隨著工業(yè)領域信息安全事件的出現(xiàn)，全球加速了工業(yè)信息安全標準化的進程。IEC TC65在ISA工作基礎上，借鑒了ISO27000、WIB M-2784、NIST等標準和規(guī)范制定了IEC62443系列標準，對信息安全管理、工業(yè)控制系統(tǒng)、工業(yè)控制組件提出了需求。我國政府對工業(yè)信息安全給予高度重視，2011年工業(yè)與信息化部發(fā)布“關于加強工業(yè)控制系統(tǒng)信息安全管理的通知”，國家標準委員會也加快了相關標準化的制定工作，在IEC62443的基礎上，制定了工業(yè)控制系統(tǒng)信息安全評估規(guī)范和驗收規(guī)范，并正在進一步制定PLC和DCS相關安全國家標準，這些標準將為我國工業(yè)信息安全的建設和評估提供重要依據(jù)。

[1]工業(yè)與信息化部. 關于加強工業(yè)控制系統(tǒng)信息安全管理的通知. 2011.

[2]IEC62443-1-1. 2009 Industrial communication networks - network and system security - Part 1-1: Terminology, concepts and models[S].

[3]IEC 62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program[S].

[4]IEC62443-3: 2008 Security for industrial process measurement and control -network and system security[S].

[5]IEC62443-3-1: 2009 Industrial communication networks - network and system security - Part 3-1: Security technologies for industrial automation and control systems[S].

[6]ISA-62443.03.03 (99.03.03):Security for industrial automation and control systems, sytem security requirements and security levels[S].

[7]IEC/NP 62443-4-2: Industrial communication networks-Network and system security-Part 4-2: Techinical security requirements for IACS components[S].

[8]ISO/IEC27002:2007, IDT, Information technology-Security techniques-Code of practice for information security management[S].

[9]FIPS 200. Minimum security requirements for Federal Information and Information System[S].

[10]FIPS 199. Standards for security categorization of Federal Information and Information Systems[S].

[11]NIST SP800-53. Recommended security controls for Federal Information Systems[S].

[12]NIST SP800-82. Guide to industrial control systems (ICS) security[S].

[13]WIB M-2784. Process control domain-security requirements for vendors[S].2010

[14]NERC CIP. Critical Infrastructure Protection[S].

[15]Chemical Information Technology Center. Chemical sector cyber security program-key technology issues[S].

[16]SAC/TC124. 工業(yè)控制系統(tǒng)信息安全第1部分：評估規(guī)范(報批稿) [S].

[17]SAC/TC124. 工業(yè)控制系統(tǒng)信息安全第2部分：驗收規(guī)范(報批稿) [S].