《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 歐美工控信息安全標(biāo)準(zhǔn)建設(shè)現(xiàn)狀及啟示

歐美工控信息安全標(biāo)準(zhǔn)建設(shè)現(xiàn)狀及啟示

2018-08-15

qkimagesxxaqxxaq201802xxaq20180209-1-l.jpg

qkimagesxxaqxxaq201802xxaq20180209-2-l.jpg

qkimagesxxaqxxaq201802xxaq20180209-3-l.jpg

  摘 要:近年,,全球工業(yè)控制系統(tǒng)面臨嚴(yán)峻的網(wǎng)絡(luò)攻擊:其針對性極強(qiáng),,直擊關(guān)鍵信息基礎(chǔ)設(shè)施;其破壞力度大,,造成工控系統(tǒng)癱瘓,;其攻擊范圍廣,,波及世界大量國家。文章通過分析歐美工控信息安全標(biāo)準(zhǔn)建設(shè)的現(xiàn)狀,,發(fā)現(xiàn)其特點(diǎn):國際工控信息安全標(biāo)準(zhǔn)以電力領(lǐng)域?yàn)榻裹c(diǎn),,美國工控信息安全標(biāo)準(zhǔn)以石油天然氣領(lǐng)域?yàn)橹攸c(diǎn),歐盟各國工控信息安全標(biāo)準(zhǔn)以通用標(biāo)準(zhǔn)為核心,。文章通過總結(jié)歐美工控信息安全標(biāo)準(zhǔn)建設(shè)經(jīng)驗(yàn),,對我國工控信息安全標(biāo)準(zhǔn)建設(shè)提出建議:借鑒歐美經(jīng)驗(yàn),建立健全我國工控信息安全國家標(biāo)準(zhǔn)體系;加快工控信息安全國家標(biāo)準(zhǔn)的制定,、修訂,,確保標(biāo)準(zhǔn)統(tǒng)一和連貫;制定重點(diǎn)領(lǐng)域工控信息安全標(biāo)準(zhǔn),,做到有章可循,;積極宣貫已有標(biāo)準(zhǔn),充分發(fā)揮標(biāo)準(zhǔn)作用,。

  The status quo and enlightenment of the construction of industrial control information security standard in the United States and EU.

  Abstract: In recent years,, the global industrial control systems have been facing serious cyberattack: They have fixed targets, directing to critical information infrastructures,; Their destruction is serious,, resulting in paralysis of industrial control systems; They destroy a wide range,, spreading to a large number of countries in the world. This article analyzes the status quo of the construction of industrial information security standards in the United States and EU and finds its characteristics: the international industrial information security standards focus on the field of electricity,, the United States industrial information security standards focus on the oil and gas field, the EU industrial information security standards focus on common standards. This paper summarizes the construction of industrial information security standards in the United States and EU,, and have proposed the construction of our country how to set up industrial information security standards recommendations: learning from Europe and the United States standards,, set up the formation of national standards system; speeding up the development of national standards,, amendments to ensure standard unity and consistency,; Acting the public standards, give full play to the role of the standards.

  Key words: industrial control system,; information security,; standard

  近年,全球工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)加劇,,我國工業(yè)控制系統(tǒng)更是受災(zāi)區(qū),,卡巴斯基實(shí)驗(yàn)室報(bào)告顯示,2016年7月至2017年6月期間我國工控系統(tǒng)受損占比57.1%,,排在全球第五位,。為加快我國工業(yè)控制系統(tǒng)信息安全保障體系建設(shè),提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全防護(hù)能力,,促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展,,2017年12月12日工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》(工信部信軟〔2017〕316號),提出“建立健全標(biāo)準(zhǔn)體系”,。本文通過分析全球工控信息安全挑戰(zhàn),,學(xué)習(xí)歐美等網(wǎng)絡(luò)強(qiáng)國在工控信息安全標(biāo)準(zhǔn)建設(shè)的經(jīng)驗(yàn),旨在促進(jìn)我國工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)建設(shè),。

  2 全球工控信息安全面臨嚴(yán)峻挑戰(zhàn)

  2.1針對性極強(qiáng),,直擊關(guān)鍵信息基礎(chǔ)設(shè)施

  近年全球工控信息安全形勢越發(fā)嚴(yán)峻,以色列、烏克蘭等一些國家關(guān)鍵信息基礎(chǔ)設(shè)施遭受嚴(yán)重的網(wǎng)絡(luò)攻擊,。2016年1月,,以色列電力供應(yīng)系統(tǒng)遭受有史以來最大的網(wǎng)絡(luò)攻擊,勒索軟件正是造成事故的直接原因,,據(jù)推測此次攻擊事件的幕后主導(dǎo)者很可能是恐怖組織,。2016年2月,烏克蘭礦業(yè)和鐵路系統(tǒng)遭受BlackEnergy攻擊,,對國家造成嚴(yán)重破壞,。其攻擊原因可能是攻擊者想通過持續(xù)地破壞電力,、礦業(yè)和交通運(yùn)輸?shù)仍O(shè)施,,達(dá)到破壞烏克蘭的穩(wěn)定的目的。2017年10月,,瑞典交通署信息系統(tǒng)遭黑客攻擊,,導(dǎo)致列車延誤,并伴隨道路和橋梁在內(nèi)的瑞典關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)的泄露,。從這些攻擊事件中可以看出,,網(wǎng)絡(luò)攻擊從虛擬世界轉(zhuǎn)向現(xiàn)實(shí)世界,關(guān)鍵性基礎(chǔ)設(shè)施已成為安全威脅的指向目標(biāo),,常摻雜著政治色彩,,嚴(yán)重影響國家和社會(huì)的安全。

  2.2 破壞力度大,,造成工控系統(tǒng)癱瘓

  隨著工控信息安全風(fēng)險(xiǎn)的升級,,工控信息安全事件的后果嚴(yán)重。2009年,,國際上發(fā)生的震網(wǎng)事件,,美國和以色列通過震網(wǎng)(Stuxnet)病毒秘密攻擊伊朗布什爾核電站,Stuxnet滲透至伊朗核電站的計(jì)算機(jī)系統(tǒng)并破壞了伊朗鈾濃縮離心機(jī),,造成五分之一的離心機(jī)報(bào)廢,。2017年12月,某國家支持的黑客入侵沙特阿拉伯能源工廠安全系統(tǒng)被入侵,,造成工廠停止運(yùn)行,。原因出現(xiàn)在施耐德工業(yè)安全技術(shù)Triconex上,然而Triconex已廣泛用于核工業(yè),,石油和天燃?xì)獾饶茉葱袠I(yè),。由此可見,工控系統(tǒng)一旦遭受攻擊,,受破壞程度巨大,,可導(dǎo)致工控系統(tǒng)癱瘓、設(shè)備的報(bào)廢、工廠停工,。

  2.3 攻擊范圍廣,,波及世界大量國家

  工控信息安全事件波及范圍廣,涉及世界多個(gè)國家的多個(gè)領(lǐng)域,。自2015年3月以來,,網(wǎng)絡(luò)犯罪團(tuán)伙對30余個(gè)國家的130家企業(yè)開展工業(yè)間諜活動(dòng),集中在2016年6月“食尸鬼行動(dòng)”行動(dòng),,攻擊者以工業(yè)領(lǐng)域的企業(yè)為目標(biāo),,覆蓋多領(lǐng)域,包括石油化工,、軍事,、航空航天、重型機(jī)械,、太陽能,、鋼鐵等領(lǐng)域,包括工程,、航運(yùn),、醫(yī)藥、制造,、貿(mào)易,、教育、旅游,、IT等,。2017年5月,全球爆發(fā)WannaCry勒索病毒攻擊,,至少150個(gè)國家,、30萬名用戶中招。全球知名的工業(yè)設(shè)施在遭受WannaCry后被干擾或出現(xiàn)故障,,羅馬尼亞汽車制造商達(dá)契亞因之而停產(chǎn),、雷諾汽車因之造成部分地區(qū)停產(chǎn)、尼桑的桑德蘭工廠和西班牙Iberdrola電力公司,、Gas Natural 天然氣公司也受到嚴(yán)重影響,。近年發(fā)生的工控信息安全事件影響范圍不僅僅是某個(gè)國家或地區(qū),也不僅僅是某個(gè)領(lǐng)域,,它已波及全球,,影響多領(lǐng)域多行業(yè),工控信息安全威脅愈演愈烈,。

  3 歐美工控信息安全標(biāo)準(zhǔn)建設(shè)特點(diǎn)

  3.1 國際工控信息安全標(biāo)準(zhǔn)以電力領(lǐng)域?yàn)榻裹c(diǎn)

  國際電工委員會(huì)(IEC),、電氣和電子工程師協(xié)會(huì)(IEEE)和國際自動(dòng)化協(xié)會(huì)(ISA)致力于工控信息安全國際標(biāo)準(zhǔn)建設(shè),。工控信息安全國際標(biāo)準(zhǔn)主要集中在電力系統(tǒng)信息安全領(lǐng)域:IEC于2003年發(fā)布了《電力系統(tǒng)控制和相關(guān)通信:數(shù)據(jù)和通信安全(IEC 62210)》,并于2005年發(fā)布《電力系統(tǒng)管理及信息交換:數(shù)據(jù)和通信安全性(IEC 62351)》,;IEEE于2007年發(fā)布《變電站IED網(wǎng)絡(luò)安全功能標(biāo)準(zhǔn)(IEEE 1686-2007)》,,并于2011年發(fā)布《變電站串行鏈路網(wǎng)絡(luò)安全的機(jī)密協(xié)議試行標(biāo)準(zhǔn)(IEEE P1711)》。此外,,通用的工控信息安全國際標(biāo)準(zhǔn)方面,,IEC和ISA積極研制《工業(yè)過程測量、控制和自動(dòng)化 網(wǎng)絡(luò)與系統(tǒng)信息安全(IEC 62443)》,,其中部分標(biāo)準(zhǔn)已經(jīng)發(fā)布,,如IEC 62443-1-1、IEC 62443-2-1等,。國際工控信息安全標(biāo)準(zhǔn)進(jìn)展情況如表1所示,。

  3.2 美國工控信息安全標(biāo)準(zhǔn)以石油天然氣領(lǐng)域?yàn)橹攸c(diǎn)

  美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)、美國國土安全部(DHS)等機(jī)構(gòu)致力于美國工控信息安全標(biāo)準(zhǔn)的建設(shè),。美國標(biāo)準(zhǔn)主要在三個(gè)領(lǐng)域:一是美國工控信息安全標(biāo)準(zhǔn)集中在石油天然氣領(lǐng)域,,美國能源部(DOE)于2002年發(fā)布《提高SCADA系統(tǒng)網(wǎng)絡(luò)安全21步》,,DHS于2005年發(fā)布《加強(qiáng)SCADA系統(tǒng)及工業(yè)控制系統(tǒng)的安全》,,NIST于2006年發(fā)布《中等健壯環(huán)境下的SCADA系統(tǒng)現(xiàn)場設(shè)備保護(hù)輪廓(NIST/PCSRF)》,同年,,美國天然氣協(xié)會(huì)(AGA)發(fā)布《SCADA通信加密保護(hù)規(guī)范(AGA Report NO.12)》,,2009年美國石油協(xié)會(huì)(API)發(fā)布《管道SCADA安全(API1164)》;二是美國針對電力,、核電領(lǐng)域工控系統(tǒng)信息安全出臺(tái)相應(yīng)的標(biāo)準(zhǔn),,NIST于2010年發(fā)布《智能電網(wǎng)安全指南(NIST IR7628)》,北美電力可靠性委員會(huì)(NERC)于2011年發(fā)布《北美大電力可靠性規(guī)范(NERCCIP002-009)》,;三是美國發(fā)布了一系列通用工控信息安全標(biāo)準(zhǔn),,美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST),2004年發(fā)布《系統(tǒng)保護(hù)輪廓——工業(yè)控制系統(tǒng)(NIST IR7176)》,,2007年發(fā)布《聯(lián)邦信息系統(tǒng)和組織建議的安全控制(NIST SP800-53)》,,2010年發(fā)布《工業(yè)控制系統(tǒng)安全指南(NIST SP800-82)》,2014年發(fā)布《改善監(jiān)管基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》,,美國國土安全部(DHS)也發(fā)布了一系列工業(yè)控制信息安全標(biāo)準(zhǔn),,2009年發(fā)布《控制系統(tǒng)安全一覽表:標(biāo)準(zhǔn)推薦》,2010年發(fā)布《工業(yè)控制系統(tǒng)安全評估指南》和《工業(yè)控制系統(tǒng)遠(yuǎn)程訪問配置管理指南》美國工控信息安全標(biāo)準(zhǔn)進(jìn)展情況如表2所示,。

  3.3 歐盟各國工控信息安全標(biāo)準(zhǔn)以通用標(biāo)準(zhǔn)為核心

  歐盟各國注重發(fā)展通用性的工控信息安全標(biāo)準(zhǔn),。荷蘭國際儀器用戶協(xié)會(huì)(WIB)2006年發(fā)布《過程控制域(PCD)——供應(yīng)商安全需求》,挪威石油工業(yè)協(xié)會(huì)(OLF)2009年發(fā)布《過程控制,、安全和支撐ICT系統(tǒng)的信息安全基線要求(OLF Guideline NO.104)》和《工程,、采購及試用階段中過程控制,、安全和支撐ICT系統(tǒng)的信息安全的實(shí)施(OLF Guideline NO.110)》,瑞典民防應(yīng)急局(MSB)2010年發(fā)布《工業(yè)控制系統(tǒng)安全加強(qiáng)指南》,。此外,,歐盟國家根據(jù)各自國情關(guān)注特定領(lǐng)域的工控信息安全標(biāo)準(zhǔn)建設(shè),例如德國關(guān)注制造業(yè)的信息安全問題,,德國國際工業(yè)流程自動(dòng)化用戶協(xié)會(huì)(NAMUR)2006年發(fā)布《工業(yè)自動(dòng)化系統(tǒng)的信息安全技術(shù):制造工業(yè)中采取的約束措施(NAMURNA115)》,。

  4 歐美工控信息安全標(biāo)準(zhǔn)建設(shè)對我國的啟示

  4.1 借鑒歐美工控信息安全標(biāo)準(zhǔn)建設(shè)經(jīng)驗(yàn),建立健全我國工控信息安全國家標(biāo)準(zhǔn)體系

  歐美國家在研制工控信息安全標(biāo)準(zhǔn)時(shí)注重借鑒和融合,。例如,,國際標(biāo)準(zhǔn)化組織IEC和ISA聯(lián)合發(fā)布的IEC 62443標(biāo)準(zhǔn),在研制過程中充分借鑒了荷蘭WIB制定的《過程控制域(PCD)——供應(yīng)商安全需求》,,而美國NIST在研制《改善監(jiān)管基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》時(shí)融合了國際標(biāo)準(zhǔn)化組織發(fā)布的IEC 62443標(biāo)準(zhǔn)中一些的技術(shù)要求,。

  我國工控信息安全標(biāo)準(zhǔn)起步較晚,工控信息安全標(biāo)準(zhǔn)體系尚未形成,。建立健全我國工控信息安全標(biāo)準(zhǔn)體系,,研制技術(shù)、產(chǎn)品,、系統(tǒng),、設(shè)施等新標(biāo)準(zhǔn),完善和修訂已有標(biāo)準(zhǔn),,學(xué)習(xí)歐美借鑒,、融合他國工控信息安全標(biāo)準(zhǔn)的經(jīng)驗(yàn),必要時(shí)實(shí)現(xiàn)部分工控信息安全標(biāo)準(zhǔn)的本土化,。學(xué)習(xí)借鑒國外工控信息安全標(biāo)準(zhǔn)的同時(shí),,切忌將國外工控信息安全標(biāo)準(zhǔn)的一部分硬塞到我國工控信息安全標(biāo)準(zhǔn)體系之中。

  4.2 加快工控信息安全國家標(biāo)準(zhǔn)的制定,、修訂,,確保標(biāo)準(zhǔn)統(tǒng)一和連貫

  美國工控信息安全建設(shè)雖然已形成體系,但仍然堅(jiān)持持續(xù)更新工控信息安全標(biāo)準(zhǔn),,而且注重保持標(biāo)準(zhǔn)之間的統(tǒng)一和連貫,。例如,NIST持續(xù)更新SP800-53標(biāo)準(zhǔn),,2007年在該標(biāo)準(zhǔn)基礎(chǔ)上補(bǔ)充了工業(yè)控制系統(tǒng)的安全控制要求,,2013年又發(fā)布了修訂版4;NIST于2011年發(fā)布SP800-82,,為保持與SP800-53修訂版的統(tǒng)一和連貫,,2014年SP800-82根據(jù)SP800-53的變更再次作出了修訂。

  我國工控安全標(biāo)準(zhǔn)制定之初,,缺乏整體規(guī)劃,、統(tǒng)籌協(xié)調(diào)較難,,很難確保標(biāo)準(zhǔn)之間的統(tǒng)一和連貫。借鑒歐美制定,、修訂標(biāo)準(zhǔn)的經(jīng)驗(yàn),,確立我國的工控信息安全國家標(biāo)準(zhǔn)體系框架、時(shí)間表和路線圖,,并在此基礎(chǔ)上,,根據(jù)輕重緩急,有組織,、有計(jì)劃,,有步驟地推進(jìn)標(biāo)準(zhǔn)制定工作。在基礎(chǔ)通用領(lǐng)域,,加緊制定推薦性工控信息安全國家標(biāo)準(zhǔn),,縮短工控信息安全國家標(biāo)準(zhǔn)的研制周期,加速發(fā)布進(jìn)程,。加快修訂已有的工控信息安全標(biāo)準(zhǔn),,保證標(biāo)準(zhǔn)之間的統(tǒng)一和連貫。

  4.3 制定重點(diǎn)領(lǐng)域工控信息安全標(biāo)準(zhǔn),,做到有章可循

  歐美根據(jù)工控信息安全問題的導(dǎo)向性制定相應(yīng)標(biāo)準(zhǔn),,加緊對重點(diǎn)領(lǐng)域加強(qiáng)信息安全標(biāo)準(zhǔn)建設(shè),歐美工控信息安全標(biāo)準(zhǔn)集中在電力,、石油天然氣,、核電,、制造業(yè),。其中,國際工控信息安全標(biāo)準(zhǔn)以電力為主,,美國工控信息安全標(biāo)準(zhǔn)以石油天然氣為主,,德國工控信息安全標(biāo)準(zhǔn)主要集中在制造業(yè)。

  我國已形成了一些通用的工控信息安全標(biāo)準(zhǔn),,并在一些重要領(lǐng)域建立了工控信息安全標(biāo)準(zhǔn),,其中我國電力領(lǐng)域起步較早。目前,,我國工控信息安全標(biāo)準(zhǔn)已覆蓋電力,、軌道交通、石油化工,、機(jī)械,、煙草等領(lǐng)域。然而,,隨著國工控系統(tǒng)信息安全形勢日益嚴(yán)峻,,亟需在國家關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域制定強(qiáng)制性工控信息安全國家標(biāo)準(zhǔn),,視情在行業(yè)特殊需求的領(lǐng)域制定推薦性工控信息安全行業(yè)標(biāo)準(zhǔn),使得重點(diǎn)領(lǐng)域的工控信息安全工作做到有章可循,。

  4.4 積極宣貫已有工控信息安全標(biāo)準(zhǔn),,充分發(fā)揮標(biāo)準(zhǔn)作用

  國際標(biāo)準(zhǔn)組織通過推出認(rèn)證計(jì)劃等方式推進(jìn)工控信息安全標(biāo)準(zhǔn)落地。例如,,為推進(jìn)IEC62443的實(shí)施,,ISA下屬安全合規(guī)性委員會(huì)(ISCI)推出ISASecure EDSA認(rèn)證計(jì)劃用于評估該標(biāo)準(zhǔn)的適用性,針對IEC62443-3-3進(jìn)行了系統(tǒng)安全保障(SSA)認(rèn)證,,針對IEC62443-3-3進(jìn)行了安全開發(fā)生命周期保障認(rèn)證,。美國通過發(fā)布相關(guān)政策、推出評估工具等方式推進(jìn)工控信息安全標(biāo)準(zhǔn)實(shí)施,,例如,,繼NIST發(fā)布《改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》標(biāo)準(zhǔn)之后,DHS實(shí)施的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)社區(qū)志愿計(jì)劃等措施,,免費(fèi)為參考該標(biāo)準(zhǔn)的組織提供支持,;DHS還推出了CSET(Cyber Security Evaluation Tool,網(wǎng)絡(luò)安全評估工具)以評估工控信息安全標(biāo)準(zhǔn)NIST SP800-53等,。

  我國應(yīng)及時(shí)推進(jìn)工控信息安全標(biāo)準(zhǔn)的貫徹落實(shí),。在發(fā)布工控信息安全相關(guān)的政策法規(guī)的同時(shí),發(fā)布工控信息安全標(biāo)準(zhǔn),,有利于政策落實(shí),,并為標(biāo)準(zhǔn)的貫徹提供依據(jù)。與此同時(shí),,需開發(fā)評估工具,、采取認(rèn)證方式等一系列手段切實(shí)推進(jìn)已有工控信息安全標(biāo)準(zhǔn)的落地,充分發(fā)揮已有標(biāo)準(zhǔn)的重要作用,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected],。