《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 國外工業(yè)控制系統(tǒng)信息安全保障工作概述

國外工業(yè)控制系統(tǒng)信息安全保障工作概述

2018-08-15
關鍵詞: 信息安全 保障能力

  1 引言

  當前,工業(yè)控制系統(tǒng)信息安全已成為信息安全領域的新興研究熱點之一,。隨著網(wǎng)絡與信息技術(shù)迅猛發(fā)展,,云計算,、大數(shù)據(jù),、物聯(lián)網(wǎng),、人工智能等新興技術(shù)的快速發(fā)展,,使得諸多信息化,、自動化,、智能化技術(shù)逐步應用于傳統(tǒng)工業(yè)領域的工業(yè)控制系統(tǒng)之中,工業(yè)控制系統(tǒng)逐漸變得智能高效,。與此同時,,工業(yè)控制系統(tǒng)的安全問題越發(fā)凸顯,,特別是電力、電網(wǎng),、石油,、化工、冶金,、交通,、民航、水利,、供水等關鍵行業(yè)工業(yè)控制系統(tǒng)的安全,,更成為事關國家命脈和國民經(jīng)濟興衰的重大戰(zhàn)略問題。隨著近年來“震網(wǎng)”病毒,、“火焰”病毒等專門針對工業(yè)控制系統(tǒng)病毒的出現(xiàn),,APT攻擊、AET攻擊,、后門/漏洞攻擊等攻擊方式在工業(yè)控制系統(tǒng)中不斷發(fā)展,,各種圍繞工業(yè)控制系統(tǒng)的安全事件屢屢發(fā)生,國家層面的網(wǎng)絡對抗日益加劇,,工業(yè)控制系統(tǒng)已成為各種勢力攻擊破壞和實施網(wǎng)絡戰(zhàn)的首選目標,。

  面對工業(yè)控制系統(tǒng)信息安全的嚴峻形勢,以美國為代表的發(fā)達國家逐步重視工業(yè)控制系統(tǒng)信息安全問題,,從頂層設計,、標準體系、技術(shù)保障等方面開展了大量工控安全保障工作,。如美國已采取了一系列措施推進工業(yè)控制系統(tǒng)的安全防護,,以確保其工業(yè)控制系統(tǒng)的運行,包括:明確工業(yè)控制系統(tǒng)信息安全的重要地位,,納入國家戰(zhàn)略規(guī)劃;制定相關法規(guī)標準,,規(guī)范安全防護工作,;建立多個工業(yè)控制系統(tǒng)安全中心,協(xié)調(diào)安全防護活動,;開發(fā)工業(yè)控制系統(tǒng)安全防護關鍵技術(shù),,增強防護對抗能力;成立多個國家實驗室,,啟動國家SCADA測試床計劃,;組織對抗演習,檢驗安全防護能力,。

  2 國外工業(yè)控制系統(tǒng)信息安全政策規(guī)劃

  面對日益嚴峻的工業(yè)控制系統(tǒng)信息安全形勢,,積極應對工業(yè)控制系統(tǒng)信息安全面臨的新形勢和新挑戰(zhàn),,歐美等發(fā)達國家在構(gòu)建關鍵基礎設施保護體系過程中,將工業(yè)控制系統(tǒng)信息安全作為國家信息安全的重要組成部分,,先后制定一系列相關的戰(zhàn)略,、法律和政策。2001年,,美國發(fā)布了第13231號行政令《信息時代的關鍵基礎設施保護》,,宣布成立“總統(tǒng)關鍵基礎設施保護委員會”,簡稱PCIPB,,代表政府全面負責國家的網(wǎng)絡空間安全工作,。2003年,美國發(fā)布《保護網(wǎng)絡空間的國家戰(zhàn)略》以及《關鍵基礎設施標識,、優(yōu)先級和保護》,,明確了工控安全的部門分工、法律責任和重點領域,。2013年發(fā)布了《關于提高關鍵基礎設施網(wǎng)絡安全的行政命令》,,進一步明確了聯(lián)邦政府和私營部門在工控安全信息共享、分析的權(quán)利,、責任和義務,。2008年1月2日,美國發(fā)布國家安全總統(tǒng)令54/國土安全總統(tǒng)令23,,提出了國家網(wǎng)絡安全綜合計劃,。該計劃提出需建立三道信息安全防線,并明確了關鍵基礎設施,、可信互聯(lián)網(wǎng)連接等十二項任務,。在歐洲,歐盟于2007年和2013年先后發(fā)布了《歐洲關鍵基礎設施保護戰(zhàn)略》和《工業(yè)控制系統(tǒng)網(wǎng)絡安全白皮書》,,指導歐盟各國加強工控安全的部門協(xié)作,、能力建設和應急響應。2009年6月,,英國發(fā)布首個國家《網(wǎng)絡安全戰(zhàn)略》,,宣布成立“網(wǎng)絡安全辦公室”和“網(wǎng)絡安全運行中心”,提出建立新的網(wǎng)絡管理機構(gòu)的具體措施,。德國于1997年建立部際關鍵基礎設施工作組,,2005年出臺《信息基礎設施保護計劃》和《關鍵基礎設施保護的基線保護概念》。法國在2003年由總理辦公室提出《強化信息系統(tǒng)安全國家計劃》并得到政府批準實施,,明確了確保國家領導通信安全,、確保政府信息通信安全、建立計算機反攻擊能力,、將法國信息系統(tǒng)安全納入歐盟安全政策范圍四大目標,。

  3 國外工業(yè)控制系統(tǒng)信息安全實驗室建設

  為了構(gòu)建風險發(fā)現(xiàn),、分析、防范等工控安全保障能力,,美,、日、歐等組建了多個國家級研究機構(gòu),,實施了工控測試靶場,、測試床等多項重大工程。美國依托愛達荷國家實驗室(INL),、橡樹嶺國家實驗室(ORNL)等6家國家實驗室建立了多個工控系統(tǒng)測試床,,實施了關鍵基礎設施測試靶場(CITR)專項計劃,開展了漏洞挖掘,、安全防護,、風險分析等一系列研究,有力支撐了美國工控安全信息共享,、應急響應,、風險評估等相關保障工作。

 ?。?)愛達荷國家實驗室

  愛達荷國家工程和環(huán)境實驗室(Idaho Notional Laboratory,,以下簡稱INL)主要研究領域包括核能源、國土安全以及能源與環(huán)境,。INL開展了工業(yè)控制系統(tǒng)漏洞識別和漏洞消減技術(shù)研究,,旨在幫助能源部門和設備供應商挖掘測試控制系統(tǒng)軟硬件漏洞,并評估工業(yè)控制系統(tǒng)安全性,。目前INL已經(jīng)完成了37家控制系統(tǒng)和組件的網(wǎng)絡脆弱性評估,,包括14家控制系統(tǒng)組件評估、15家控制系統(tǒng)評估,,以及8家基礎設施系統(tǒng)的現(xiàn)場評估,。基礎設施系統(tǒng)的現(xiàn)場評估使研究人員能夠評估運營環(huán)境的脆弱性,,并可以驗證測試床評估后的修正措施,,為控制系統(tǒng)提供安全修補程序。

 ?。?)桑迪亞國家實驗室

  桑迪亞國家實驗室(Sandia National Laboratories,以下簡稱SNL)主要研究領域為核武器,、防擴散和材料控制,、能源和關鍵基礎設施以及國家安全。SNL設有專門針對工業(yè)信息安全的研究方向,,并開發(fā)搭建了若干個測試床,,這些測試床可以對工業(yè)信息安全問題進行建模,、分析和驗證。目前該實驗室已攻克了電流控制系統(tǒng)的重大安全問題,,并著手研發(fā)新一代安全控制系統(tǒng),,形成了SCADA信息安全風險評估及SCADA安全工程解決方案咨詢等實際業(yè)務能力。

 ?。?)橡樹嶺國家實驗室

  橡樹嶺國家實驗室(Oak Ridge National Laboratory, 以下簡稱ORNL)是隸屬于美國能源部的大型國家實驗室,,成立于1943年,最初為支撐美國曼哈頓計劃而提出,,以生產(chǎn)和分離鈾和钚為主要方向,,2000年4月以后,由田納西大學和Battelle紀念研究所共同管理,。截至目前,,橡樹嶺國家實驗室針對SCADA系統(tǒng),利用小型測試儀和協(xié)議分析工具,,對典型的工業(yè)控制系統(tǒng)協(xié)議等方面,,進行信息安全測試,同時,,在智能電網(wǎng)通信網(wǎng)絡方面,,開展研究工作。

 ?。?)阿貢國家實驗室

  阿貢國家實驗室(Argonne National Laboratory,,以下簡稱ANL)作為美國政府最早建立的一批國家實驗室,是美國政府眾多科研機構(gòu)中規(guī)模最大,、歷史最悠久的科研機構(gòu)之一,,隸屬于美國能源部和芝加哥大學,主要研究方向為基礎科學,、科學設施,、能源資源計劃、環(huán)境管理和國家安全,。ANL關于工業(yè)信息安全的研究主要集中在SCADA系統(tǒng)領域,,并聚焦于美國天然氣管道運輸?shù)腟CADA系統(tǒng)。ANL已經(jīng)開展SCADA系統(tǒng)調(diào)查和評估研究,,并研發(fā)出了相關安全評估工具,、評估技術(shù)和評估方法,用于評估和改進SCADA系統(tǒng),。同時,,ANL還特別為天然氣管道運輸系統(tǒng)設計了SCADA遠程設施安全控制方案。

  (5)西北太平洋國家實驗室

  西北太平洋國家實驗室(Pacific Northwest National Laboratory,,以下簡稱PNNL)是美國能源部科學辦公室管理的十大國家實驗室之一,,主要研究方向為能源、環(huán)境和國家安全問題,,研究領域包括環(huán)境,、衛(wèi)生、能源,、計算機科學與安全,。在工業(yè)控制系統(tǒng)信息安全方面,PNNL提出了SCADA安全通信協(xié)議概念,,用于解決SCADA系統(tǒng)各組件間數(shù)據(jù)和信息傳輸過程中的協(xié)議數(shù)據(jù)的完整性,、有效性和防篡改性。目前,,根據(jù)當前工業(yè)控制系統(tǒng)信息安全技術(shù)發(fā)展現(xiàn)狀,,重點側(cè)重于構(gòu)建能源行業(yè)安全通信架構(gòu)、現(xiàn)場設備安全管理軟件應用,、加密信任管理軟件應用以及研發(fā)協(xié)議安全性分析工具等方面,。

  (6)洛斯阿拉莫斯國家實驗室

  隸屬于美國能源部的洛斯阿拉莫斯國家實驗室(Los Alamos National Laboratory,,以下簡稱LANL),,其重點研究領域包括國家安全、空間探索,、醫(yī)藥,、納米技術(shù)和超級計算機等。截至目前,,LANL在工業(yè)控制系統(tǒng)信息安全方面開展SCADA通信安全相關研究,,通過開發(fā)一個詳細的成本/效益建模工具,為已有和下一代SCADA提出全新的通信安全架構(gòu),,以便運維人員能夠為網(wǎng)絡節(jié)點或系統(tǒng)選擇適當?shù)陌踩ㄐ偶夹g(shù),。

  (7)日本控制系統(tǒng)安全中心(CSSC)

  日本經(jīng)濟產(chǎn)業(yè)?。∕ETI)于2012年與橫河,、日立等8個工控系統(tǒng)廠商組建了控制系統(tǒng)安全中心(CSSC),建立了污水處理,、化工,、電力等9個工控安全測試床,并針對工控安全的攻擊和防護技術(shù)開展深入研究,。CSSC針對電力,、化工、汽車制造等工業(yè)領域,建立了7種類型的控制裝置和系統(tǒng),,用于網(wǎng)絡安全攻防技術(shù)研究和攻防演練對抗。通過前期技術(shù)積累,,CSSC提出了工業(yè)網(wǎng)絡惡意攻擊防御技術(shù),,創(chuàng)造了可信賴的防御和認證機制,為日本國家關鍵信息基礎設施保護提供了堅實的技術(shù)支撐,。

  4 國外工業(yè)控制系統(tǒng)信息安全保障組織機構(gòu)

  面對當前工業(yè)控制系統(tǒng)信息安全技術(shù)發(fā)展現(xiàn)狀,,為確保工業(yè)控制系統(tǒng)的信息安全,抵御信息安全風險隱患,,國外發(fā)達國家均建立了工業(yè)控制系統(tǒng)信息安全保障機構(gòu),。

  (1)美國工控系統(tǒng)網(wǎng)絡應急響應小組(ICSCERT)

  ICS-CERT隸屬于美國國土安全部,,致力于聯(lián)合聯(lián)邦,、州、地方一級美國執(zhí)法機構(gòu)和情報機構(gòu),,協(xié)調(diào)工業(yè)控制系統(tǒng)的所有者和供應商,,共同降低關鍵基礎設施面臨的網(wǎng)絡安全風險。同時,,為相關安全事件提供消減網(wǎng)絡安全風險的措施和建議,。

  (2)法國信息系統(tǒng)安全局(ANSSI)

  法國信息系統(tǒng)安全局(ANSSI)的核心任務是檢測網(wǎng)絡安全攻擊事件,,并作出風險消減反應,,建立國家信息安全保障和預防體系,為政府和關鍵基礎設施運營商提供保護國家關鍵基礎設施信息系統(tǒng)的建議和意見,。

 ?。?)英國國家基礎設施保護中心(CPNI)

  英國國家基礎設施保護中心(CPNI)的主要任務是為英國國家安全提供網(wǎng)絡安全保障建議。從物理安全,,人員安全和網(wǎng)絡安全等角度,,制定國家關鍵基礎設施和重要工業(yè)系統(tǒng)的網(wǎng)絡安全保障策略規(guī)劃。

  5 國外工業(yè)控制系統(tǒng)信息安全標準

  當前,,國際上針對工業(yè)控制系統(tǒng)信息安全標準進行研究的組織很多,,其中包括國際標準化組織,如國際電工委員會(IEC),、國際自動化協(xié)會(ISA)和電氣與電子工程師協(xié)會(IEEE),,以及歐美等發(fā)達國家的標準技術(shù)研究院及行業(yè)協(xié)會等。

 ?。?)美國工業(yè)控制系統(tǒng)信息安全標準

  美國國家標準技術(shù)研究院(NIST)發(fā)布的SP800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》,,是一份針對包括SCADA、DCS 和其他控制系統(tǒng)組件如PLC在內(nèi)的工業(yè)控制系統(tǒng)的安全指南,該指南專門分析了工業(yè)控制系統(tǒng)的特點,、面臨的威脅和存在的漏洞,,提出了其安全要求,說明了如何開發(fā)和部署一個工業(yè)控制系統(tǒng)的安全項目,,并基于SP800-53(聯(lián)邦信息系統(tǒng)推薦安全控制)針對FIPS199 所定義的不同級別系統(tǒng),,推薦了不同強度的安全控制集(包括管理、技術(shù)和運行類),,對工業(yè)控制系統(tǒng)提出了建議和指導,。SP800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》適用于電力、水利,、化工,、交通、石油等行業(yè)的工業(yè)控制系統(tǒng)中,。

  美國國土安全部發(fā)布的面向化工設施反恐怖標準(CFATS)概述了確?;ぴO施網(wǎng)絡系統(tǒng)安全的多項控制。特別是其基于風險的性能標準(RBPS)明確了針對安全策略,、訪問控制,、人員安全、系統(tǒng)開發(fā)與獲取等的安全控制,。

 ?。?)國際電工委員會(IEC)工控安全相關標準

  截至目前,IEC的多個技術(shù)委員會或其下屬工作組都在從事工業(yè)控制系統(tǒng)信息安全方面的標準化工作,。IEC在信息安全方面的主要貢獻有:《IEC 62443工業(yè)通訊網(wǎng)絡——網(wǎng)絡和系統(tǒng)安全》,,《IEC 62351電力系統(tǒng)管理及信息交換——數(shù)據(jù)和通信安全性》?!禝EC 62443工業(yè)通訊網(wǎng)絡——網(wǎng)絡和系統(tǒng)安全》是為實現(xiàn)工業(yè)控制系統(tǒng)的安全保護而制定的標準,,旨在提出一整套建立工業(yè)自動化系統(tǒng)的安全保障措施,涉及安全規(guī)程的建立和運行,,對工業(yè)自動化控制系統(tǒng)的安全技術(shù)要求,,明確可采用的安全技術(shù)及應用方法。該系列標準對通用基礎標準,、系統(tǒng)安全程序設計要求,、系統(tǒng)技術(shù)要求和系統(tǒng)組件技術(shù)要求等做出規(guī)范?!禝EC62351電力系統(tǒng)管理及信息交換——數(shù)據(jù)和通信安全性》是為保障電力系統(tǒng)安全運行,,針對有關通信協(xié)議而制定的數(shù)據(jù)和通信安全標準。

  6 結(jié)語

  隨著工業(yè)控制系統(tǒng)與外界互聯(lián)越來越密切,,這就給工業(yè)控制系統(tǒng)的信息安全提出越來越高的要求,。工業(yè)控制系統(tǒng)一般都應用于重要行業(yè)和領域,,所以一旦發(fā)生事故,不僅后果嚴重而且影響廣泛,。本文從政策規(guī)劃,、實驗室建設、保障機構(gòu)組建,、標準制定等方面,,梳理總結(jié)了當前國外發(fā)達國家工業(yè)控制系統(tǒng)信息安全保障相關工作的發(fā)展現(xiàn)狀,可為我國工業(yè)控制系統(tǒng)信息安全防護工作相關方開展工作提供參考,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。