工業(yè)自動化和控制系統(tǒng)中IEC 62443 標準的解析及應用

肖曼茜，王劍亮

（工業(yè)和信息化部電子第五研究所，廣東 廣州 511370）

0 引言

工業(yè)自動化和控制系統(tǒng)（IACS：Industrial Automation and Control Systems）是指能夠影響或改變工業(yè)過程的安全、信息安全和可靠操作的人員、硬件和軟件的集合[1]。IACS 的設備通常是和工藝過程相連的，信息安全被破壞不僅會導致信息傳輸?shù)闹袛啵€會導致潛在的人員或生產(chǎn)的損失，甚至可能會對所在地區(qū)或國家的基礎設施造成破壞。

傳統(tǒng)的信息安全關注3 個目標，即：保密性、完整性和可用性[2]。一般用途的信息技術（IT）系統(tǒng)最關注的是機密信息泄露問題，所以保密性排在最前面。然而在IACS 中，這些目標的優(yōu)先級恰恰相反，IACS 最關注的是所有部件的可用性，在生產(chǎn)正常運行的情況下，需要保證生產(chǎn)數(shù)據(jù)完整且不泄露。例如：在核電站的環(huán)境中，數(shù)據(jù)的可用性（如核心的溫度）比其機密性更重要。IACS 和一般IT 系統(tǒng)的比較如圖1 所示。

圖1 IACS 和一般IT 系統(tǒng)的比較

IEC 62443 是一套國際公認的用于IACS 安全開發(fā)的標準，它提供了一套全面且系統(tǒng)的網(wǎng)絡安全建議，用于解決IACS 中目前和將來的安全漏洞，保護工業(yè)網(wǎng)絡免受網(wǎng)絡安全威脅。

1 IEC 62443 標準體系介紹

IEC 62443系列標準由通用、策略和規(guī)程、系統(tǒng)和組件4 個部分組成。

1.1 通用-其他標準的基礎

IEC/TS 62443-1-1：描述了用于IACS 信息安全的術語、概念和模型。其中，TS 表示技術規(guī)格書（Technical Specification）[2]。

1.2 策略和規(guī)程-面向資產(chǎn)所有者

a）IEC 62443-2-1：描述了在IACS 中建立網(wǎng)絡安全管理系統(tǒng)（CSMS）所需的元素，并且提供了如何開發(fā)這些元素的指南[3]。

b）IEC/TR 62443-2-3：描述了如何在IACS中進行補丁管理，目標受眾包括任何負責設計和實現(xiàn)補丁管理程序的人。其中，TR 表示技術報告（Technical Report）[4]。

c）IEC 62443-2-4：規(guī)定了IACS 服務提供商在自動化解決方案的集成或維護期間向資產(chǎn)所有者提供的一整套安全能力要求，并且IACS 服務提供商可以使用IEC 62443-2-4 來構建和改進其安全程序[5]。

1.3 系統(tǒng)-面向系統(tǒng)集成商

a）IEC/TR 62443-3-1：描述了各種網(wǎng)絡安全技術在IACS 環(huán)境中的應用[6]。

b）IEC 62443-3-2：描述了系統(tǒng)設計的安全風險評估，將IACS 考慮中的系統(tǒng)（SUC）劃分為區(qū)域和管道，評估每個區(qū)域和管道的風險，并建立其各自的目標安全等級，記錄安全要求[7]。

c）IEC 62443-3-3：規(guī)定了詳細技術類控制系統(tǒng)要求（SR）和控制系統(tǒng)安全能力等級（SL-C）要求[8]。

1.4 組件-面向組件供應商

a）IEC 62443-4-1：描述了IACS 所用產(chǎn)品的安全開發(fā)生命周期要求[9]。

b）IEC 62443-4-2：規(guī)定了詳細技術類控制系統(tǒng)組件要求（CR）和安全能力等級（SL-C）要求[10]。

目前部分IEC 62443 標準已經(jīng)轉化為國標并實施，如圖2 所示。

圖2 IEC63443 系列標準與對應國標

2 安全要求

IEC 62243 系列標準規(guī)定了工業(yè)自動化信息安全的7 個基本要求（FR：Foundational Requirement）。

a）FR1 標識和鑒別控制（IAC：Identification and Authentication Control），在允許訪問系統(tǒng)或資產(chǎn)之前，標識和鑒別所有使用者（人員，軟件進程和設備）。

b）FR2 使用控制（UC：Use Control），對已授權的使用者（人員、軟件進程或設備），強制指定權限以在IACS 中執(zhí)行所需動作，并監(jiān)視這些權限的使用。在允許使用者執(zhí)行操作之前驗證準予其必要的權限，保護控制系統(tǒng)資源免受未經(jīng)授權的操作。

c）FR3 系統(tǒng)完整性（SI：System Integrity），確保IACS 的完整性，防止非授權操控。一旦IACS運行，資產(chǎn)所有者有責任保持IACS 的完整性。在運行和非運行狀態(tài)下都宜保持物理資產(chǎn)的完整性。

d）FR4 數(shù)據(jù)保密性（DC：Data Confidentiality），確保通信信道和數(shù)據(jù)存儲庫的信息保密性，防止竊聽和未經(jīng)授權的訪問。

e）FR5 受限數(shù)據(jù) 流（RDF：Restricted Data Flow），通過區(qū)域與管道劃分，對控制系統(tǒng)進行分段來限制非必需的數(shù)據(jù)流。資產(chǎn)所有者需要使用風險評估的方法來確定必要的信息流量限制，進而確定傳遞信息的管道配置。

f）FR6 對事件的及時響應（TRE：Timely Response to Events），在事故被發(fā)現(xiàn)時，對安全違規(guī)的響應包括通知權利部門，匯報所需的安全違規(guī)證據(jù)，并及時采取糾正措施。

g）FR7 資源可用性（RA：Resource Availability），確保控制系統(tǒng)的可用性，以應對基本服務降級或被拒絕。

其中，IEC62443-3-3 標準基于IEC 62443-1-1 標準提出的7 個基本要求（FR），提出了相對應 的系統(tǒng)要求（SR）；IEC62443-4-2 標準基于IEC 62443-1-1 標準提出的7 個基本要求（FR），提出了相對應的組件要求（CR）。系統(tǒng)要求和組件要求大體上是一致的，只是IEC 62443-4-2 標準比IEC 62443-3-3 標準多了一些特有的組件安全技術要求。

3 安全等級

IEC62443 系列標準中將信息安全等級分為3種不同類型。

a）目標安全等級（SL-T），是特定系統(tǒng)中所需的信息安全等級，它們是根據(jù)系統(tǒng)風險評估（IEC 62243-3-2）的結果確定的，并且并記錄在網(wǎng)絡安全要求規(guī)范中。在IACS 安全生命周期的集成階段會使用SL-T 來選擇產(chǎn)品和設計額外的安全措施。

b）已實現(xiàn)的安全等級（SL-A），是特定自動化解決方案的實際安全級別，它們都是在自動化解決方案的調試和運行后進行測量的。

c）能力安全等級（SL-C），是系統(tǒng)（IEC 62243-3-3）或組件（IEC 62243-4-2）在合適配置的條件下可以提供的信息安全等級。這些等級表明，一個特定的系統(tǒng)或組件能夠在合適的配置條件下滿足SL-T，而無需額外的補償對抗措施。

對于一個工業(yè)控制系統(tǒng)來說，在系統(tǒng)設計階段需要確定SL-T，在系統(tǒng)開發(fā)階段，組織會根據(jù)SL-T 確定所選的系統(tǒng)和組件，再根據(jù)系統(tǒng)和組件的SL-C 進行評估和驗證，來確定所選系統(tǒng)和組件是否滿足對應的SL-T 要求（當這樣的系統(tǒng)和組件不可用時，可以補充使用具有補償對抗措施的系統(tǒng)或組件）；在系統(tǒng)運行階段，通過評估和驗證來確定SL-A，并與SL-T 相比，確保在任何時候SL-A大于或等于SL-T。

同時IEC 62443 系列標準還定義了5 種不同級別（0，1，2，3 和4）的SL，每個安全級別的安全要求逐步遞增。通常，SL0表示不需要進行特定的安全保護，SL1表示防止因為員工的錯誤而意外泄漏，SL2表示防止一些低級黑客的簡單攻擊，SL3表示防止精英黑客或恐怖分子的復雜攻擊，而SL4將防止來自國家層面上的具有最高水平的資源和動機的最復雜的攻擊。

4 基于IEC 62443-4-2 標準的檢測方法示例

IEC 62443-4-2 標準定義的IACS 的組件要求包括4 大類，即：軟件應用程序要求（SAR：Software Application Require ments）、主機設備要求（HDR：Host Device Requirements）、嵌入式設備要求（EDR：Embedded Device Requirements）和網(wǎng)絡設備要求（NDR：Network Device Requirements）[10]。大部分組件要求和增強要求適用于所有4 種類型的組件，只是某些組件要求和增強要求是特定類型的組件所獨有的。本文舉例說明標準中部分要求的檢測方法。

4.1 CR 3.5-輸入驗證

輸入驗證的要求包括驗證輸入數(shù)據(jù)的語法、長度和內容，檢測方法如下所述。

a）檢查是否存在輸入數(shù)據(jù)的有效語法的檢查規(guī)則，例如：設置檢查點，在輸入不合規(guī)數(shù)據(jù)時驗證該信息是否能被解析。不合規(guī)數(shù)據(jù)包括但不限于預定義字段值超出范圍、數(shù)據(jù)字段的無效字符、缺失或不完整的數(shù)據(jù)、緩沖區(qū)溢出或畸形數(shù)據(jù)包（通常由協(xié)議模糊器生成）。

b）使用專業(yè)的漏洞掃描工具（如：綠盟工控漏洞掃描系統(tǒng)）進行掃描，驗證組件是否對協(xié)議不合規(guī)數(shù)據(jù)包不響應。如圖3 所示，主機169.254.15.100 接收到協(xié)議不合規(guī)的數(shù)據(jù)包，由于所接收的數(shù)據(jù)與協(xié)議格式不符，所以其并沒有返回數(shù)據(jù)。

圖3 綠盟漏洞掃描結果示意圖

圖4 Wireshark 抓包結果示意圖

4.2 CR 4.1 信息保密性

信息保密性包括存儲的保密性和傳輸?shù)谋Ｃ苄浴?/p>

a）存儲保密性的檢測方法

1）識別支持明文讀取授權的所有存儲信息。

2）審查設計文檔，并驗證所有此類信息都包括保護機密性的方法，例如：加密數(shù)據(jù)或限制用戶訪問數(shù)據(jù)存儲位置。如果用戶可以通過某種方式配置或設置組件來保護機密性，需要驗證用戶手冊中是否清楚記錄了這一點。

3）嘗試訪問機密信息的樣本，以驗證未經(jīng)授權的用戶無法訪問該信息。

b）傳輸保密性的檢測方法

1）識別傳輸中支持明文讀取授權的所有信息。

2）審查設計文檔，并驗證所有此類信息包括保護機密性的方法，例如加密數(shù)據(jù)或限制用戶對用于傳輸?shù)奈锢斫橘|數(shù)據(jù)的訪問。

3）如果用戶可以訪問用于傳輸?shù)奈锢斫橘|，則在系統(tǒng)執(zhí)行正常操作時，使用網(wǎng)絡抓包分析工具（如Wireshark）查看通信采樣，通過分析抓包數(shù)據(jù)來確認網(wǎng)絡上看不到機密信息。

5 結束語

近年來IACS 正在經(jīng)歷呈指數(shù)級增長的網(wǎng)絡攻擊，為了應對各種網(wǎng)絡安全的威脅，相關行業(yè)制定了不少標準來保護IACS，其中IEC 62443 系列標準作為一套國際公認的標準，在工控系統(tǒng)中的重要性越來越明顯，因此對于IEC 62443 標準的研究和應用也是迫在眉睫。