他山之石促我國工控系統信息安全

楊帆 崔崢 張雷

2010年伊朗爆發的“震網”病毒，感染了

包括4萬5千多個工控系統網絡。這次事件給我們敲響了警鐘，說明大型關鍵工控系統的應用企業在保障工控系統信息安全方面仍然存在著嚴重漏洞，這對于工業生產運行和國家經濟安全構成了巨大威脅。在此形勢下，工信部曾于2011年下發了《關于加強工業控制系統信息安全管理的通知》（工信部協〔2011〕451號）。《通知》指出，從相關政府部門到各地區，包括核設施、制造業、鋼鐵、化工、石油石化、電力等關系國計民生的重要領域都應當充分認識到工控系統信息安全的重要性和緊迫性。

我國工控信息安全現狀

國家政策及標準

為加強工控系統信息安全的保障工作，我國政府先后出臺了《關于開展重要工業控制系統基本情況調查的通知》（工信廳協函〔2011〕1003號）、國務院《關于大力推進信息化發展和切實保障信息安全的若干意見》（國發〔2012〕23號）等文件，發布了GB/T 26333-2010《工業控制網絡安全風險評估規范》、GB/T 18272-2000《工業過程測量和控制系統評估中系統特性的評定》等推薦性的國家標準。由于工控系統涉及的行業眾多，各行業具體的管理要求和系統設備的工作環境不盡相同，因此，必須深入研究我國工業控制系統的行業特點和需求，才能有針對性地制定相關行業的工業控制系統信息安全保障標準。

相關機構及廠商

在工業控制系統信息安全機構保障方面，國家發改委曾在2012年啟動了工業控制系統安全技術國家工程實驗室的建設工作，實施工業控制系統安全模擬平臺建設，研究工業控制系統的安全防護策略及機制，開展工業控制系統監控軟件、嵌入式軟件、現場總線等方面的安全滲透與對抗、脆弱性檢測、安全評估、安全防護等關鍵技術研究。結合典型行業的工程應用與生產落實，研究推動工業控制系統信息安全標準體系的建立，研發用于保護工業控制系統的核心技術產品，為國家重要基礎設施的工業控制系統安全管理和防護提供技術支撐。

同時，我國成立了全國工業過程測量和控制標準化技術委員會（SAC/TC 124），并持續跟蹤國際上工業過程測量、控制和自動化標及準化技術委員會（IEC/TC65）的信息安全標準化活動。2009年SAC/TC124獲得工信部批準，正式立項啟動3項IEC 62443國際標準轉化為行業標準的制定工作，并成立工業控制系統信息安全起草工作組。為便于工業控制系統信息安全評估和驗收的實際操作，SAC/TC124又在2011年啟動了兩項國家標準（“工業控制系統信息安全第一部分：評估規范”和“工業控制系統信息安全第二部分：驗收要求”）的制定（現階段標準尚未發布），與國外同步開展相關工作，力求在國際標準化工作中爭取主動，保障我國工業控制系統信息安全。

在國內，一些優秀的安全廠商，如綠盟科技、三零衛士、中科網威、力控華康、和利時集團等，也在保障工業控制系統信息安全方面進行了一些積極探索和有益嘗試。

比對國外防護頂層設計差距

目前，國內外都已經紛紛開始著手工控系統信息安全領域內的分析和研究工作。如圖1所示，美國與歐盟在工控系統信息安全防護方面的起步較早，并且已經初步形成了包含計劃、標準、指南、計劃在內的涉及多個方面的規范化理論體系。與之相比，我國的研究進展還存在著較多不足，圖2列舉了目前我國與國外在工控系統信息安全方面的對比。

從世界范圍來看，由于美國的工業信息化程度較高并且曾多次遭受恐怖主義的威脅，因此美國從國家安全戰略層面出發制定了一系列政策措施來保障工控系統信息安全事業的推進落實。其中2002年7月，布什政府正式公布了美國歷史上第一份《國土安全國家戰略》報告，對美國國土安全政策作出了全局性、戰略性規劃。該報告第一次將國土安全涉及的任務歸為六大類，明確提出要保護關鍵基礎設施和重要資產，確保網絡安全。隨后，又頒布了《網絡空間保障國家安全戰略》、《反恐國家戰略》和《關鍵基礎設施與關鍵資產物理保障國家戰略》等一系列涉及基礎設施的安全保障政策，從而使工控系統信息安全上升到了國家安全戰略層面，并做到“有法可依”。

相比較而言，我國在此方面的相應的政策制定較少，目前含有“工控系統信息安全”的法律法規或政策規章僅有2011年工信部《關于加強工業控制系統信息安全管理的通知》（工信部協〔2011〕451號）和國務院的《關于大力推進信息化發展和切實保障信息安全的若干意見》兩個文件，并且兩個文件對工控系統信息安全僅僅從認識、要求、制度、組織領導等宏觀層面予以說明，沒有細化深入指出具體的應對措施和技術指標，并且法律約束相對較弱。1993年頒布的《中華人民共和國國家安全法》未涉及工業控制系統信息安全內容，相關法律政策有待加強。

比對國外其他防護措施差距

主管部門

對于工控系統信息安全的主管部門，美國主要以國土安全部為代表的職能部門來負責，整合了聯邦調查局、國防部、能源部、司法部等多個具體的職責部門，各部門間相互協作，各司其職。工控信息安全涉及多個領域，目前我國還沒有專門的針對工控系統信息安全的總體主管部門，僅由工信部進行工作指導協調，各行業主管部門進行各行業的監管，相對而言缺少國家層面的整體部署及協調工作，黨的十八屆三中全會決定設立的國家安全委員會有望填補這個空缺。

專項計劃

美國發布了《國家基礎設施保護計劃》（National Infrastructure Protection Plan，NIPP），并在隨后的一段時間內陸續發布了NIPP針對各個領域的詳細計劃，為美國各級政府機關和私營部門該如何管理國家重要基礎設施和關鍵資源提供了明確的職責劃分和實施框架。建立了涵蓋能源、電力、交通等14個行業的工控系統安全協調工作機制，包括建立優先級、目標和需求的協同方法，使各行業工控系統信息安全做到“分步驟、分階段、以此推進”。我國目前尚無此類計劃。

標準指南

標準是工控系統信息安全“有據可循”的主要內容，若無標準，則會陷入無處下手的尷尬境地。美國國家標準與技術研究院發布的《工控系統安全指南》（SP800-82）、美國國土安全部與英國國家基礎設施保護中心（CPNI）聯合發布的《工控系統安全評估指南》和《工控系統遠程訪問配置管理指南》都為工控系統信息安全評估及安全管理提供了具體指導，具有明確的定義及操作方法，使用對象涵蓋了企業的各類人員，具有可操作性。相對而言，適用于我國的相關標準暫時還未正式發布，相關的標準正在緊鑼密鼓地制定之中。

科研支撐

除了有政策、部門、計劃、標準之外，美國還有專門的技術支撐機構，如成立的工控系統應急響應小組（ICS-CERT）及工控系統聯合工作組（ICS-JWG）兩個工作組。這兩個小組全面負責與工控系統信息安全相關的安全問題，開展工控系統信息安全事件的預防、發現、預警和協調處置等工作，維護美國工控系統聯網環境的安全、保障其基礎設施工業的安全平穩運行。

在技術研究領域，美國擁有愛達荷國家實驗室（Idaho National Laboratory，INL）、桑地亞國家實驗室（Sandia National Laboratories，SNL）等諸多專門從事工控系統信息安全的國家及實驗室，從人力、物力、財力等方面全面支持有關工控信息安全的理論技術研究，為后續提供可持續的發展保證。

此外，美國國家Idaho實驗室已經建立了國家工控系統測試床（National SCADA Test Bed），其中模擬了大型工業控制設備的運行，并進行了大量測試。

而這些有關的技術支撐項目、科學實驗研究和模擬平臺建設，我國都還處在尚未明確或計劃建設中。

綜上所述，我國的工業控制系統信息安全工作現在仍然處于探索與起步階段，整體上的工作機制尚未完全建立，廠商、研究機構及企業各自為政，在國家層面缺乏系統化、體系化的計劃規范。因此，需要從全局的角度出發，找準著眼點，通過制定策略、頂層設計、確立標準、完善體系、探索方法、健全機制等手段，堅持以“政府主導、企業主體、機構支撐”為原則，通過多方協作、共同努力，共同推進工業控制系統信息安全工作，保障工業基礎設施安全穩定運行。

（作者單位：陜西省網絡與信息安全測評中心）