工業信息安全標準概述

隋愛芬（西門子（中國）有限公司，北京 100102）

工業自動化控制系統（IACS，Industrial Automation Control System）構成了現代工業基礎設施的神經系統。傳統上，工業自動化控制系統多為采用專用技術的封閉網絡，對外沒有互聯互通，其面臨的信息安全威脅不突出。但近幾十年來，各種工業自動化控制系統正快速地從封閉、孤立的系統走向互聯，并開始廣泛采用開放和通用技術，隨之帶來了工業控制系統所面臨的信息安全威脅也日益嚴重。工業自動化控制系統的安全直接關系到各重點工業行業的生產安全，因而近年來成為工業自動化以及信息安全研究重點、熱點領域。

標準化作為推動行業發展和行業互認的有力工具，可以為工業信息安全建設提供重要依據。本文在分析了工業信息安全威脅和需求基礎上，對目前主要的工業信息安全規范做了調研，并重點介紹了IEC62443工業控制系統信息安全規范，從中可以看出主要國際標準組織對工業信息安全的應對思路。

1 工業信息安全威脅與需求

傳統上，工業自動化控制系統多為采用專用技術的封閉網絡，對外沒有互聯互通，其面臨的信息安全威脅不突出。相應地，各種工業控制設備、應用、系統、通信協議都主要針對專有的封閉環境而設計。由于沒有現實的信息安全威脅，工業自動化控制系統在設計、實現與部署過程中，其主要指標是可用性、功能、性能、（物理）安全性、實時性等，而無須過多考慮網絡攻擊、信息安全等問題。

但近幾十年來，各種工業自動化控制系統正快速地從封閉、孤立的系統走向互聯，例如自動化網絡與IT網絡相連，為實現遠程維護與Internet連接等。并開始廣泛采用開放和通用技術，采用以太網、TCP/IP網絡作為網絡基礎設施；采用包括IWLAN、GPRS等在內的各種無線網絡，廣泛采用標準的Windows等商用操作系統、設備、中間件與各種通用技術。典型的工業自動化控制系統SCADA（Supervisory Control And Data Acquisition，數據采集與監控系統）、DCS（Distributed Control System，分布式控制系統）、PLC（Programmable Logic Controller，可編程邏輯控制器）等正日益變得開放、通用和標準化。

由于長期缺乏安全需求的推動，對網絡環境下廣泛存在的安全威脅缺乏充分認識，現有工業自動化控制系統過去在設計、研發中沒有充分考慮安全問題，在部署、運維中又缺乏安全意識、管理、流程、策略與相關專業技術的支撐，導致許多工業自動化控制系統中存在著這樣或那樣的安全問題，一旦被無意或惡意利用，就會造成各種安全事件。例如由于病毒、惡意軟件等導致的工廠停產；惡意操縱工控數據或應用軟件；對工控系統功能未經授權的訪問，工業制造的核心數據、配方被竊取等。越來越多的安全事件揭示出自動化工廠存在安全脆弱性。

但是現有IT安全措施不能直接應用于工業領域，工控系統的信息安全和IT系統的信息安全是有顯著區別。首先信息安全需求不同。信息安全需求可以概括為CIA，C（con fi dentiality）表示機密性，I（integrity）表示完整性，A（availability）表示可用性。IT環境，最有可能發生的情況就是機密信息的丟失，但是不會造成人員、設備與環境的直接損失，安全需求的優先級通常是機密性、完整性、可用性。但是對于工業環境來講，如果生產參數不能及時監控，或者參數被惡意篡改，可能會造成嚴重后果，因此其安全需求首先是可用性，在生產可持續的前提之下，要求數據是完整的不被篡改，機密性的要求相對不突出。工業生產系統的整個生命周期通常有10～20年，甚至更長的時間，而一般辦公系統的生命周期通常只有3年。工業控制系統采用了大量嵌入式設備、以及存儲和處理能力有限的設備。這些特殊之處都對信息安全提出了新的挑戰和要求，而正在涌現的工業安全事件使得要求更加迫切。

標準化作為推動行業發展和行業互認的有力工具，可以為工業信息安全建設提供重要依據。隨著越來越多工業領域信息安全事件的出現，全球加速了工業信息安全標準化的進程。

2 工業控制系統信息安全標準化概述

對于工業領域，標準化是戰略性的和基礎性的工作。隨著越來越多工業領域信息安全事件的出現，全球加速了工業信息安全標準化的進程。

國際上，包括美國、歐洲在內的西方國家也早已意識到工業自動化控制系統信息安全的重要性，在上個世紀90年代左右就開始了相關的研究與標準化方面的工作。IEC TC65在ISA工作基礎上，借鑒了ISO27000、WIB M-2784等標準和規范制定了IEC62443系列標準[2-6]，對信息安全管理、工業控制系統、工業控制組件提出了需求。NIST SP800-82《工業控制系統信息安全指南》[12]分析了ICS面臨的威脅與漏洞特征，提供了解決安全風險的建議對策；并提供適合工業控制網絡的安全控制基線措施。NERC CIP《關鍵基礎設施防護的可靠性標準》[14]規定了北美電力關鍵資產保護框架。

中國政府對工業信息安全給予高度重視。2011年工業與信息化部發布“關于加強工業控制系統信息安全管理的通知”[1]，明確了重點領域工業控制系統信息安全管理要求，并強調了“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，對連接管理、組網管理、配置管理、設備選擇與升級管理、數據管理、應急管理等等提出了明確要求。同時國家標準委員會也加快標準化的制定工作。

3 IEC 62443工業控制系統安全規范

IEC62443是在 ISA-99的基礎上制定的。ISA99由International Society of Automation（ISA）WG4工作組負責制定，面向各種工業行業的工業自動化控制系統的安全。由于IEC 62443充分考慮了工業領域的不同的參與方（自動化產品廠商、系統/產品提供商、系統集成商、終端用戶）的不同安全需求，比較符合各工業行業的對信息安全標準的需要。

IEC62443分4個部分，第一部分是總述[2]，定義了術語概念和模型以及系統安全度量。第二部分是策略和規程[3]，規定了創建工業自動化控制系統安全計劃、補丁管理、安全策略和實踐。第三部分是對系統的要求[4-6]，定義了工業自動化控制系統的安全技術，以及系統安全要求和安全保障等級。第四部分是對組件（部件）的要求[7]，規定了產品開發要求、產品安全技術要求。對系統和組件，分別從管理層面和技術層面提出了要求。

圖1 IEC62443架構

我國積極參與IEC62443標準的制定和推廣工作。SAC TC124作為IEC TC65在國內的鏡像標準委員會，目前正在將IEC62443已發布標準引入國內。其中工業過程和控制安全第3部分：網絡和系統信息安全（IEC62443-3: 2008 Security for industrial process measurement and control - network and system security）、工業通信網絡網絡和系統安全第1-1部分：概念和模型（IEC62443-1-1: 2009 Industrial communication networks - network and system security - Part 1-1: Terminology, concepts and models) 、工業通信網絡網絡和系統安全第3-1部分：工業自動化和控制系統用安全技術（IEC62443-1-1: 2009 Industrial communication networks - network and system security - Part 3-1: Security technologies for industrial automation and control systems) 已被等同采標為行業標準。工業通信網絡網絡和系統安全第2-1部分：建立工業自動化和控制系統信息安全程序（IEC 62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program）正在被等同轉化為國標。

同時，TC124基于IEC62443制定了“工業控制系統信息安全第1部分：評估規范”[16]和“工業控制系統信息安全第2部分：驗收規范”[17]，并正在進一步制定PLC和DCS相關安全國家標準。這些標準將為我國工業信息安全的評估、建設提供重要依據。

4 其他工業安全相關國際標準

除IEC和ISA外，還有很多國際標準組織和行業協會制定了工業信息安全相關的規范和指導文件。例如NIST在聯邦信息系統安全要求[9-10]和信息系統安全控制措施[11]基礎上，制定了工業控制系統安全指南；北美電力可靠性公司NERC (North American Electric Reliability Corporation)負責建立和強制實施大型電力系統的可靠性標準；化學信息技術中心（ChemITC）制定了化學領域的信息安全項目，并對關鍵技術問題進行了規定。本章選取NIST SP800-82和NERC CIP做簡要介紹。

4.1 NIST SP800-82《工業控制系統信息安全指南》

NIST在聯邦信息系統安全要求[9-10]和信息系統安全控制措施[11]基礎上，制定了工業控制系統安全指南。其中FIPS 200和FIPS199是NIST制定的強制標準，FIPS200約束了信息系統所需滿足的最低安全要求，FIPS 199為信息系統安全級別分類提供了標準和方法 ，NIST SP800-53為信息系統滿足FIPS200提供了具體的、差異化的安全控制基線措施，NIST SP800-82分析了ICS面臨的威脅與漏洞特征，提供了解決安全風險的建議對策；并提供適合工業控制網絡的安全控制基線措施。

NIST SP800-82規定的安全控制措施框架如圖2所示，可以大致分為管理控制措施、運維控制措施和技術控制措施。

4.2 NERC CIP《關鍵基礎設施防護的可靠性標準》

NERC (North American Electric Reliability Corporation)是由FERC (Federal Energy Regulatory Commission) 認證的電力可靠性組織，NERC前身北美電力可靠性委員會，由電力工業創建于1968年，負責建立和強制實施大型電力系統的可靠性標準。

圖2 NIST SP800-82工業控制網絡安全控制措施框架

CIP (Critical Infrastructure Protection)由NERC負責制定，包括9個部分：CIP-001規定了破壞事件的上報機制，CIP-002至CIP-009規定了北美電力關鍵資產保護框架，如圖3所示。

從2009年6月30日起，所有大型電力系統中的高壓電力傳輸和配電（T&D）從業人員必須符合北美電力可靠性委員會的網絡安全標準（NERC CIP）。發電站業主和從業人員的時間期限在6個月之后。

圖3 NERC CIP《關鍵基礎設施防護的可靠性標準》框架

5 總結

近年來，工業自動化控制系統自動化、數字化、網絡化程度的不斷提高，工業自動化控制系統與IT網絡的互聯、互通大大增加，并越來越多的采用通用和開放技術，隨之帶來了工業控制系統所面臨的信息安全威脅也日益嚴重。

對于工業領域，標準化是戰略性的和基礎性的工作。隨著工業領域信息安全事件的出現，全球加速了工業信息安全標準化的進程。IEC TC65在ISA工作基礎上，借鑒了ISO27000、WIB M-2784、NIST等標準和規范制定了IEC62443系列標準，對信息安全管理、工業控制系統、工業控制組件提出了需求。我國政府對工業信息安全給予高度重視，2011年工業與信息化部發布“關于加強工業控制系統信息安全管理的通知”，國家標準委員會也加快了相關標準化的制定工作，在IEC62443的基礎上，制定了工業控制系統信息安全評估規范和驗收規范，并正在進一步制定PLC和DCS相關安全國家標準，這些標準將為我國工業信息安全的建設和評估提供重要依據。

[1]工業與信息化部. 關于加強工業控制系統信息安全管理的通知. 2011.

[2]IEC62443-1-1. 2009 Industrial communication networks - network and system security - Part 1-1: Terminology, concepts and models[S].

[3]IEC 62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program[S].

[4]IEC62443-3: 2008 Security for industrial process measurement and control -network and system security[S].

[5]IEC62443-3-1: 2009 Industrial communication networks - network and system security - Part 3-1: Security technologies for industrial automation and control systems[S].

[6]ISA-62443.03.03 (99.03.03):Security for industrial automation and control systems, sytem security requirements and security levels[S].

[7]IEC/NP 62443-4-2: Industrial communication networks-Network and system security-Part 4-2: Techinical security requirements for IACS components[S].

[8]ISO/IEC27002:2007, IDT, Information technology-Security techniques-Code of practice for information security management[S].

[9]FIPS 200. Minimum security requirements for Federal Information and Information System[S].

[10]FIPS 199. Standards for security categorization of Federal Information and Information Systems[S].

[11]NIST SP800-53. Recommended security controls for Federal Information Systems[S].

[12]NIST SP800-82. Guide to industrial control systems (ICS) security[S].

[13]WIB M-2784. Process control domain-security requirements for vendors[S].2010

[14]NERC CIP. Critical Infrastructure Protection[S].

[15]Chemical Information Technology Center. Chemical sector cyber security program-key technology issues[S].

[16]SAC/TC124. 工業控制系統信息安全第1部分：評估規范(報批稿) [S].

[17]SAC/TC124. 工業控制系統信息安全第2部分：驗收規范(報批稿) [S].