國內外工業控制系統信息安全標準研究

邸麗清 高 洋 謝 豐

(中國信息安全測評中心 北京 100085)

?

國內外工業控制系統信息安全標準研究

邸麗清 高 洋 謝 豐

(中國信息安全測評中心 北京 100085)

(dilq@itsec.gov.cn)

工業控制系統信息安全問題日益突出，工業控制系統信息安全的保障迫切需要完善的標準體系作為支撐，因此針對國內外工業控制系統信息安全標準體系的研究顯得尤為重要.首先通過研究國外工業控制系統信息安全相關標準、指南及行業規范，分析其體系框架及安全技術要求，總結了國外標準體系的特點；其次通過分析國內工業控制系統信息安全標準及行業規范的現狀和特點，提出了我國目前標準體系研究存在的一些不足，并有針對性地給出相關建議，為進一步完善國內工業控制系統信息安全標準體系提供參考.

工業控制系統；信息安全；標準體系；標準研究；標準綜述

工業控制系統作為“大腦”和“中樞”廣泛應用于電力、水處理、石化天然氣及交通運輸等國家關鍵基礎設施行業.隨著工業化和信息化的深度融合，工業控制系統逐漸從早期的封閉獨立狀態向開放化狀態轉變，大部分系統采用基于TCP/IP協議的以太網貫穿了控制系統的各個層次，實現了現場設備層到管理層的直接通信.工業控制系統的開放化及系統自身承擔的重要使命使其逐漸成為網絡攻擊的對象，“震網”病毒、“火焰”病毒以及烏克蘭電網遭受的木馬攻擊等信息安全事件足以證明工業控制系統面臨的信息安全威脅正日益升級.從當前國外工業控制系統信息安全現狀來看，歐美等發達國家已針對關鍵基礎設施保護和工業控制系統信息安全發布了一系列政策及法規，并在此基礎上形成了較為完善的管理及技術體系.目前，我國在工控系統信息安全方面已發布了相關指導文件，如工業和信息化部發布的《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)、國務院發布的《關于大力推進信息化發展和切實保障信息安全的若干意見》(國發〔2012〕23號)等，均對重點領域工業控制系統信息安全的管理提出了意見，要求建立國家信息安全保障體系.2015年出臺并正式實施的《國家安全法》將網絡和信息安全納入國家安全的范圍，并專門強調了實現關鍵基礎設施和重要領域信息系統及數據安全可控的重要戰略任務.如何建立工業控制系統信息安全保障體系成為當前的研究熱點，而標準化的制定工作作為保障體系研究的基礎一直以來備受關注，本文針對國內外工業控制系統信息安全標準研究現狀進行了綜述，為進一步建立和完善我國工控信息安全標準體系提供參考.

1 國外工業控制系統信息安全標準研究

1.1 已發布的標準、指南及法規

國際上針對工業控制系統信息安全標準進行研究的組織很多，其中包括國際標準化組織，如國際電工委員會(IEC)、國際自動化協會(ISA)和電氣與電子工程師協會(IEEE)，以及歐美等發達國家的標準技術研究院及行業協會等.目前歐美等發達國家在標準法規方面已經形成了從國家法規、標準、指南到行業規范等一系列規范性文件.表1總結了目前國外已發布的標準、指南及法規等文件[1-17].

其中由國際標準化組織IEC/TC65與ISA99聯合發布的IEC 62443標準備受關注[18].IEC 62443標準共包含了4個部分，其中第1部分(共4個文檔)作為IEC62443其他部分的基礎描述了信息安全的通用方面；第2部分(共4個文檔)主要描述整個信息安全系統的管理、人員和程序設計方面，是用戶在建立其信息安全程序時需要考慮的；第3部分(共3個文檔)主要針對系統集成商保護系統所需的技術性信息安全要求，它主要側重系統集成商把系統組裝到一起時需要處理的內容；第4部分(共2個文檔)針對產品供應商提供單個部件時的信息安全要求，主要包括產品或部件的技術性要求和開發與獲取這些技術性要求時的保障性要求.IEC62443系列標準涉及到所有的利益相關方，即資產所有者、系統集成商和產品供應商，試圖建立一套涵蓋信息安全管理體系、系統化標準及相關的產品化標準體系.目前已經正式發布的包含IEC 62443-1-1，IEC 62443-2-1，IEC 62443-2-3，IEC 62443-2-4，IEC 62443-3-1，IEC 62443-3-3六個標準，其余7個標準還在進行中.

1.2 國外工控信息安全標準研究特點

國外對工業控制系統信息安全標準的研究起步較早，從標準的發展看具備以下幾個特點：

1) 已發布的標準持續更新，且不同標準間的要求不斷在相互借鑒和融合

NIST SP800-53[3]《聯邦信息系統和組織建議的安全控制》在2007年補充了工業控制系統的安全控制要求后，于2013年又發布了修訂版4進行更新.而NIST SP800-82[2]《工業控制系統安全指南》在2011年正式發布后，于2014年發表的修訂版中結合了NIST SP800-53的部分工業控制系統的安全要求，并對其控制和控制基線進行了調整，增加了專門針對工控系統的補充指南.

IEC 62443[5]標準在建立和完善工業控制系統信息安全標準體系時，直接采納了由荷蘭國際儀器用戶協會(WIB)發布的《過程控制域(PCD)-供應商安全需求》[26]作為IEC 62443 2-4部分.而由NIST在2014年發布的《改善關鍵基礎設施網絡安全框架》中[4]，安全要求直接引用的既有的IEC 62443,NIST SP800-53,IEC 27001,COBIT等標準中的部分技術要求.

2) 從行業看，電力、石油天然氣及核設施等行業的標準研究處于領先地位

從已發布的標準看，除了通用的工業控制系統標準外，電力[6-7]及石油天然氣行業[10-11,15]的標準居多.一方面體現了這些行業的信息安全問題暴露較為突出，行業協會較早地著手出臺相關標準及法規建立信息安全保障體系；另一方面也體現了標準和法規的出臺更具有問題導向性和行業適用性.

3) 標準發布后積極發布政策法規推動標準的實施和落地

為了更好地推行IEC 62443標準，國際自動化協會(ISA)下屬安全合規性委員會(ISCI)推出了ISASecure EDSA認證計劃作為IEC 62443標準適用性的評估.目前開展的標準符合性測試認證包括①IEC 62443-3-3：系統安全保障(SSA)認證要求；②IEC 62443-4-1：安全開發生命周期保障(SDLA)認證要求；③IEC 62443-4-2：嵌入式設備安全保障(EDSA)認證要求.通過實踐來不斷修正IEC 62443標準的適用性.

美國國家標準技術研究院(NIST)于2014年2月正式發布了《改善關鍵基礎設施網絡安全框架》后，美國國土安全部(DHS)推出了關鍵基礎設施網絡社區(C3，即C立方)志愿計劃，為自愿參考本框架的組織機構提供免費支持，以增強基礎設施網絡安全系統的可靠性.同時，國土安全部(DHS)還推出了CSET安全評估工具，支持多個安全標準的評估，如NIST SP800-53和NIST SP800-82等.

2 我國工業控制系統信息安全標準研究

目前，國內工業控制系統信息安全標準化相關的組織主要包括全國信息安全標準化技術委員會(SAC/TC260)、全國工業過程測量與控制標準化技術委員會(SAC/TC124)、全國電力系統管理及其信息交換標準化技術委員會(SAC/TC82)和全國電力監管標準化技術委員會(SAC/TC296)等.為落實工信部協[2011]451號文件，各標準化技術委員會積極行動，針對我國工業控制系統信息安全標準化需求，開展相關研究，制定和完善標準體系[22-25].

2.1 通用的工控信息安全標準概況

目前，已正式發布的通用工業控制系統信息安全國家標準包括由TC124歸口的GB/T 26333—2010《工業控制網絡安全風險評估規范》[21]、由TC124和TC260共同歸口的GB/T 30976.1—2014《工業控制系統信息安全 第1部分：評估規范》[19]和GB/T 30976.2—2014《工業控制系統信息安全 第2部分：驗收規范》[20].GB/T 26333作為我國第1個工控信息安全相關標準，盡管填補了標準空白的問題，但由于各種原因使得標準并未得到很好的推廣和執行.GB/T 30976結合了國際標準IEC 62443中對系統管理和技術的思想，提出了符合國情的評估規范和驗收規范，目前正在積極推廣標準的執行.

隨著工控信息安全標準的完善和研究，在研的工控信息安全標準逐漸形成完善的體系，如表2所示.在研標準基本涵蓋了管理、系統、產品和評估等方面的要求.為工控系統和產品供應商和工控安全防護產品供應商以及業主單位及測評機構等都提供了依據.

2.2 與行業相關的工控信息安全標準概況

除了發布的適用于多個行業的通用工業控制系統信息安全標準外，各個行業也根據行業特點推出了適用的國家標準和行業標準.

1) 電力行業

電力行業工業控制系統信息安全防護工作起步較早.2002年6月，原經濟貿易委員會就發布了《電網和電廠計算機監控系統及調度數據網絡安全防護規定》(國家經貿委[2002]30號).原國家電力監管委員會于2005年2月發布了《電力二次系統安全防護規定》(電監會[2005]5號)，該規定提出了電力二次系統安全防護工作的總體方針，即“安全分區、網絡專用、橫向隔離、縱向認證”.2014年發改委在原有5號令基礎上發布了第14號令《電力監控系統安全防護規定》(國家發改委令第14號)，原有配套的防護方案也進行了相應的更新.2014年國家能源局發布了《電力行業網絡與信息安全管理辦法》(國能安全[2014]317號)和《電力行業信息安全等級保護管理辦法》(國能安全[2014]318號)2個管理辦法.除此以外，SAC/TC82歸口單位發布了國家標準GB/T 25320《電力系統管理及其信息交換 數據和通信安全》系列標準(等同采納IEC 62351)；SAC/TC296歸口單位發布了標準《電力信息系統信息安全檢查規范》(征求意見稿階段).

2) 軌道交通行業

上海申通地鐵集團有限公司2013年發布了《上海軌道交通信息安全技術架構》(滬地鐵信[2013]222號文)，2015年以222號文為指導文件，牽頭發布了企業標準《軌道交通信息安全技術建設指導意見》(2015，試行).同時針對軌道交通行業的工業控制系統信息安全標準草案也在制定中.

3) 機械行業

由SAC/TC124歸口發布的行業標準包括JB/T 11960—2014《工業過程測量和控制安全網絡和系統安全》(等同IEC PAS 62443-3：2008)、JB/T 11961—2014《工業通信網絡 網絡和系統安全術語、概念和模型》(等同IEC/TS 62443-1-1：2009)、JB/T 11962—2014《工業通信網絡 網絡和系統工業自動化和控制系統信息安全技術》(等同IEC/TR 62443-3-1：2009).對于IEC 62443-2-1：2010標準轉標工作已經進入報批稿階段.同時正在計劃對IEC 62443-3-3：2013進行轉標工作.

4) 石化行業

石化行業早在2010年就推出了國家標準GB/T 50609《石油化工工廠信息系統設計規范》，要求做到網絡間的安全隔離.目前正在制定針對在石化行業應用的工業控制系統信息安全方面標準.

5) 煙草行業

煙草行業推出了行業標準YC/T 494—2014《煙草工業企業生產網與管理網網絡互聯安全規范》來規范企業生產網與管理網之間的聯網安全問題.

3 我國工控信息安全標準研究思考與建議

國內相比歐美等發達國家在工業控制系統信息安全標準和法規方面起步較晚，但目前正在逐步形成完善的標準體系.國內的標準研究情況的主要特點如下：

1) 工業控制系統信息安全標準體系逐漸健全，但標準的發布仍不能滿足日益增長的需求.

從國內已發布和在研標準的統計情況看，工控信息安全標準已逐步形成涵蓋安全管理、系統安全防護、產品安全防護、風險評估、安全測評等一系列完善的標準體系.但目前國內已發布的正式標準屈指可數，大部分在研的標準遲遲未能發布，導致大部分行業及系統和產品供應商的信息安全保障需求得不到滿足，缺乏合理的依據.

2) 各行業開始重視工控系統信息安全問題，逐步推出適用于行業特點的標準及規范.

我國電力行業在工控信息安全問題研究方面起步較早，但從目前的發展趨勢看，其他行業也開始逐漸在國家標準的引領下建立適用于行業自身特點的國家標準和行業標準.

3) 標準的制定缺乏統一的協調和規劃確保標準間的一致性.

從已發布和在研的國家標準和行業規范看，我國標準歸口單位多，各自按照自己的體系研究標準，歸口單位之間缺乏一定的協調和規劃，標準體系的建設可能會存在標準間不一致的情況，如在系統等級劃分、技術要求等方面.

4) 已發布標準的落地推行力度不夠，導致很多標準并未被實施.

與國外相比，國內標準的落地推行力度不夠，國外為了推行標準的落地積極推出認證計劃和評估工具等，目前國內很多已發布的標準沒有得到很好的落地推行，部分標準成為可有可無的標準.

針對我國標準體系研究的特點，擬提出以下建議：

1) 加快在研工業控制系統信息安全標準的發布進度，早日健全工控信息安全標準保障體系，以使各行業工業控制系統的信息安全建設和評估有據可依；

2) 在標準研制時統籌考慮標準間的一致性，使得建立的工控信息安全標準體系具備一致性的原則；另外，要結合多領域的專家來共同探討，以使得標準具備更強的適用性，更容易對標準進行推行和落地；

3) 標準發布后要積極對標準進行宣貫，借助國家政策法規、合理測評以及評估手段推動標準的落地，使得標準的正確實施能從一定程度上保障工業控制系統的安全運行.

[1]彭勇, 江常青, 謝豐, 等. 工業控制系統信息安全研究進展[J]. 清華大學學報: 自然科學版, 2012, 52(10): 1396-1408

[2]NIST. SP800-82. Guide to Industrial Control System (ICS) Security[S]. Gaithersburg, USA: National Institute of Standards and Technology (NIST), 2014

[3]NIST. SP800-53. Recommended Security Controls for Federal Information Systems and Organizations[S]. Gaithersburg, USA: National Institute of Standards and Technology (NIST), 2013

[4]NIST. National Institute of Standards and Technology (NIST). Framework for Improving Critical Infrastructure Cybersecurity Version 1.0[R]. Gaithersburg, USA: National Institute of Standards and Technology (NIST), 2014

[5]IEC. IEC TC 65 WG 10. IEC 62443 Security for Industrial Automation and Control Systems[S]. Geneva, Switzerland: International Electrotechnical Commission (IEC), 2014

[6]IEC. IEC/TR 62210. Power System Control and Associated Communications—Data and Communication Security[S]. Geneva, Switzerland: International Electrotechnical Commission (IEC), 2003

[7]IEC. IEC 62351. Data and Communication Security[S]. Geneva, Switzerland: International Electrotechnical Commission (IEC), 2005

[8]DHS. Cyber Security Assessments of Industrial Control System[S]. Washington, USA: Department of Homeland Security (DHS), 2010

[9]DHS. National Infrastructure Protection Plan[R]. Washington, USA: Department of Homeland Security, 2009

[10]API. API Standard 1164. Pipeline SCADA Security Guideline[S]. New York, USA: American Petroleum Institute, 2009

[11]AGA. AGA-12. Cryptographic Protection of SCADA Communications General Recommendations[S]. Washington, USA: American Gas Association, 2004

[12]NRC Regulatory Guide 5. 71. Cyber Security Programs for Nuclear Facilities, Guideline/ Regulatory[S]. Washington, USA: US Nuclear Regulatory Commission, 2010

[13]BAL-001-0a. Reliability Standards for the Bulk Electric Systems in North America, Regulation[S]. Princeton, USA: North American Electric Reliability Council, 2011

[14]高洋, 彭勇, 謝豐. 美國工控安全保障管理的啟示[J]. 中國信息安全, 2012, 27(3): 44-47

[15]熊琦, 竟小偉, 詹峰. 美國石油天然氣行業ICS系統信息安全工作綜述及對我國的啟示[J]. 中國信息安全, 2012, 27(3): 80-83

[16]ANSI/ISA-99. Manufacturing and Control System Security, Standards and Guidelines[S]. Los Angeles, USA: American National Standards Institute (ANSI)/USA International Standards Authority (ISA), 2009

[17]Sommestad T, Ericsson G N, Nordlander J. SCADA system cyber security’s comparison of standards[C] //Proc of 2010 IEEE on Power and Energy Society General Meeting. Minneapolis, USA: IEEE Power & Energy Society, 2010: 1-8

[18]歐陽勁松. IEC 62443工控網絡與系統信息安全標準綜述[J]. 信息技術與標準化, 2012 (3): 24-27

[19]全國工業過程測量和控制標準化技術委員會(SAC/TC124)和全國信息安全標準化技術委員會(SAC/TC260). GB/T 30976.1—2014工業控制系統信息安全 第1部分: 評估規范[S]. 北京: 中國標準出版社, 2014

[20]全國工業過程測量和控制標準化技術委員會(SAC/TC124)和全國信息安全標準化技術委員會(SAC/TC260). GB/T 30976.2—2014工業控制系統信息安全 第2部分: 驗收規范[S]. 北京: 中國標準出版社, 2014

[21]全國工業過程測量和控制標準化技術委員會(SAC/TC124). GB/T 26333—2010工業控制網絡安全風險評估規范[S]. 北京: 中國標準出版社, 2010

[22]張敏, 張五一, 韓桂芬, 等. 國內外工業控制系統信息安全標準研究[C] //第十一屆中國標準化論壇論文集. 北京: 中國標準化協會, 2014: 964-968

[23]梅恪. 中國工控信息安全技術標準體系[J]. 自動化博覽, 2014 (11): 52-55

[24]李航. 建立健全我國工業控制系統信息安全體系[J]. 微型機與應用, 2015, 34(1): 13-16

[25]許東陽. 國內外工業控制系統信息安全標準及政策法規介紹[J]. 自動化博覽, 2013 (1): 31-31

[26]WIB. Process control domain-security requirements for vendors[R]. Hague, Netherlands: WIB, 2006

邸麗清

博士，副研究員，主要研究方向為工業控制系統信息安全.

dilq@itsec.gov.cn

高 洋

博士，副研究員，主要研究方向為工業控制系統信息安全.

gaoy@itsec.gov.cn

謝 豐

博士，研究員，主要研究方向為工業控制系統信息安全.

xief@itsec.gov.cn

Research on the Domestic and Foreign Standards for ICS Information Security

Di Liqing, Gao Yang, and Xie Feng

(ChinaInformationTechnologySecurityEvaluationCenter,Beijing100085)

Industrial control system (ICS) is widely used in various industries in electrical, petrochemical, water treatment, railway and so on. ICS gradually becomes the target of cyber-attacks due to the open and important mission of itself. Lots of cyber-attack events in recent years, such as "Stuxnet" virus, "Flame" virus and Trojan attack for Ukrainian power grid, have proven that the cyber-attack threats for ICS are increasingly upgraded. The perfect ICS information security standards system are urgently needed to build for the information security assurance of ICS as a support. So the research on the domestic and foreign information security standard system for ICS is particularly important. Firstly, the characteristics of foreign standard system are summarized through the study on the technical framework and technical requirements of the foreign ICS information security standards, guidelines and norms. Secondly, the characteristics of the domestic ICS information security standards and norms are analyzed by summarizing the development trends of the domestic ICS information security standards. Finally, some existing deficiencies of the current domestic research on the ICS information security standard system are presented, and some suggestions for the further improving domestic standard system are given.

industrial control system (ICS); information security; standards system; standards research; standards review

2016-04-19

TP273; TP309