《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 國外工業(yè)控制系統(tǒng)信息安全保障工作概述

國外工業(yè)控制系統(tǒng)信息安全保障工作概述

2018-08-15
關鍵詞: 信息安全 保障能力

  1 引言

  當前,,工業(yè)控制系統(tǒng)信息安全已成為信息安全領域的新興研究熱點之一,。隨著網絡與信息技術迅猛發(fā)展,,云計算,、大數(shù)據(jù),、物聯(lián)網,、人工智能等新興技術的快速發(fā)展,,使得諸多信息化,、自動化,、智能化技術逐步應用于傳統(tǒng)工業(yè)領域的工業(yè)控制系統(tǒng)之中,工業(yè)控制系統(tǒng)逐漸變得智能高效,。與此同時,,工業(yè)控制系統(tǒng)的安全問題越發(fā)凸顯,特別是電力,、電網,、石油、化工,、冶金,、交通、民航,、水利,、供水等關鍵行業(yè)工業(yè)控制系統(tǒng)的安全,更成為事關國家命脈和國民經濟興衰的重大戰(zhàn)略問題,。隨著近年來“震網”病毒,、“火焰”病毒等專門針對工業(yè)控制系統(tǒng)病毒的出現(xiàn),APT攻擊,、AET攻擊,、后門/漏洞攻擊等攻擊方式在工業(yè)控制系統(tǒng)中不斷發(fā)展,各種圍繞工業(yè)控制系統(tǒng)的安全事件屢屢發(fā)生,,國家層面的網絡對抗日益加劇,,工業(yè)控制系統(tǒng)已成為各種勢力攻擊破壞和實施網絡戰(zhàn)的首選目標,。

  面對工業(yè)控制系統(tǒng)信息安全的嚴峻形勢,以美國為代表的發(fā)達國家逐步重視工業(yè)控制系統(tǒng)信息安全問題,,從頂層設計,、標準體系、技術保障等方面開展了大量工控安全保障工作,。如美國已采取了一系列措施推進工業(yè)控制系統(tǒng)的安全防護,,以確保其工業(yè)控制系統(tǒng)的運行,包括:明確工業(yè)控制系統(tǒng)信息安全的重要地位,,納入國家戰(zhàn)略規(guī)劃,;制定相關法規(guī)標準,規(guī)范安全防護工作,;建立多個工業(yè)控制系統(tǒng)安全中心,,協(xié)調安全防護活動;開發(fā)工業(yè)控制系統(tǒng)安全防護關鍵技術,,增強防護對抗能力,;成立多個國家實驗室,啟動國家SCADA測試床計劃,;組織對抗演習,,檢驗安全防護能力。

  2 國外工業(yè)控制系統(tǒng)信息安全政策規(guī)劃

  面對日益嚴峻的工業(yè)控制系統(tǒng)信息安全形勢,,積極應對工業(yè)控制系統(tǒng)信息安全面臨的新形勢和新挑戰(zhàn),,歐美等發(fā)達國家在構建關鍵基礎設施保護體系過程中,將工業(yè)控制系統(tǒng)信息安全作為國家信息安全的重要組成部分,,先后制定一系列相關的戰(zhàn)略,、法律和政策。2001年,,美國發(fā)布了第13231號行政令《信息時代的關鍵基礎設施保護》,,宣布成立“總統(tǒng)關鍵基礎設施保護委員會”,簡稱PCIPB,,代表政府全面負責國家的網絡空間安全工作,。2003年,美國發(fā)布《保護網絡空間的國家戰(zhàn)略》以及《關鍵基礎設施標識,、優(yōu)先級和保護》,,明確了工控安全的部門分工、法律責任和重點領域,。2013年發(fā)布了《關于提高關鍵基礎設施網絡安全的行政命令》,,進一步明確了聯(lián)邦政府和私營部門在工控安全信息共享、分析的權利,、責任和義務,。2008年1月2日,,美國發(fā)布國家安全總統(tǒng)令54/國土安全總統(tǒng)令23,提出了國家網絡安全綜合計劃,。該計劃提出需建立三道信息安全防線,,并明確了關鍵基礎設施、可信互聯(lián)網連接等十二項任務,。在歐洲,,歐盟于2007年和2013年先后發(fā)布了《歐洲關鍵基礎設施保護戰(zhàn)略》和《工業(yè)控制系統(tǒng)網絡安全白皮書》,,指導歐盟各國加強工控安全的部門協(xié)作,、能力建設和應急響應。2009年6月,,英國發(fā)布首個國家《網絡安全戰(zhàn)略》,,宣布成立“網絡安全辦公室”和“網絡安全運行中心”,提出建立新的網絡管理機構的具體措施,。德國于1997年建立部際關鍵基礎設施工作組,,2005年出臺《信息基礎設施保護計劃》和《關鍵基礎設施保護的基線保護概念》。法國在2003年由總理辦公室提出《強化信息系統(tǒng)安全國家計劃》并得到政府批準實施,,明確了確保國家領導通信安全,、確保政府信息通信安全、建立計算機反攻擊能力,、將法國信息系統(tǒng)安全納入歐盟安全政策范圍四大目標,。

  3 國外工業(yè)控制系統(tǒng)信息安全實驗室建設

  為了構建風險發(fā)現(xiàn)、分析,、防范等工控安全保障能力,,美、日,、歐等組建了多個國家級研究機構,,實施了工控測試靶場、測試床等多項重大工程,。美國依托愛達荷國家實驗室(INL),、橡樹嶺國家實驗室(ORNL)等6家國家實驗室建立了多個工控系統(tǒng)測試床,實施了關鍵基礎設施測試靶場(CITR)專項計劃,,開展了漏洞挖掘,、安全防護、風險分析等一系列研究,,有力支撐了美國工控安全信息共享,、應急響應、風險評估等相關保障工作,。

 ?。?)愛達荷國家實驗室

  愛達荷國家工程和環(huán)境實驗室(Idaho Notional Laboratory,,以下簡稱INL)主要研究領域包括核能源、國土安全以及能源與環(huán)境,。INL開展了工業(yè)控制系統(tǒng)漏洞識別和漏洞消減技術研究,,旨在幫助能源部門和設備供應商挖掘測試控制系統(tǒng)軟硬件漏洞,并評估工業(yè)控制系統(tǒng)安全性,。目前INL已經完成了37家控制系統(tǒng)和組件的網絡脆弱性評估,,包括14家控制系統(tǒng)組件評估、15家控制系統(tǒng)評估,,以及8家基礎設施系統(tǒng)的現(xiàn)場評估,。基礎設施系統(tǒng)的現(xiàn)場評估使研究人員能夠評估運營環(huán)境的脆弱性,,并可以驗證測試床評估后的修正措施,,為控制系統(tǒng)提供安全修補程序。

 ?。?)桑迪亞國家實驗室

  桑迪亞國家實驗室(Sandia National Laboratories,,以下簡稱SNL)主要研究領域為核武器、防擴散和材料控制,、能源和關鍵基礎設施以及國家安全,。SNL設有專門針對工業(yè)信息安全的研究方向,并開發(fā)搭建了若干個測試床,,這些測試床可以對工業(yè)信息安全問題進行建模,、分析和驗證。目前該實驗室已攻克了電流控制系統(tǒng)的重大安全問題,,并著手研發(fā)新一代安全控制系統(tǒng),,形成了SCADA信息安全風險評估及SCADA安全工程解決方案咨詢等實際業(yè)務能力。

 ?。?)橡樹嶺國家實驗室

  橡樹嶺國家實驗室(Oak Ridge National Laboratory, 以下簡稱ORNL)是隸屬于美國能源部的大型國家實驗室,,成立于1943年,最初為支撐美國曼哈頓計劃而提出,,以生產和分離鈾和钚為主要方向,,2000年4月以后,由田納西大學和Battelle紀念研究所共同管理,。截至目前,,橡樹嶺國家實驗室針對SCADA系統(tǒng),利用小型測試儀和協(xié)議分析工具,,對典型的工業(yè)控制系統(tǒng)協(xié)議等方面,,進行信息安全測試,同時,,在智能電網通信網絡方面,,開展研究工作,。

  (4)阿貢國家實驗室

  阿貢國家實驗室(Argonne National Laboratory,,以下簡稱ANL)作為美國政府最早建立的一批國家實驗室,,是美國政府眾多科研機構中規(guī)模最大、歷史最悠久的科研機構之一,,隸屬于美國能源部和芝加哥大學,,主要研究方向為基礎科學、科學設施,、能源資源計劃,、環(huán)境管理和國家安全。ANL關于工業(yè)信息安全的研究主要集中在SCADA系統(tǒng)領域,,并聚焦于美國天然氣管道運輸?shù)腟CADA系統(tǒng),。ANL已經開展SCADA系統(tǒng)調查和評估研究,,并研發(fā)出了相關安全評估工具,、評估技術和評估方法,用于評估和改進SCADA系統(tǒng),。同時,,ANL還特別為天然氣管道運輸系統(tǒng)設計了SCADA遠程設施安全控制方案。

 ?。?)西北太平洋國家實驗室

  西北太平洋國家實驗室(Pacific Northwest National Laboratory,,以下簡稱PNNL)是美國能源部科學辦公室管理的十大國家實驗室之一,主要研究方向為能源,、環(huán)境和國家安全問題,,研究領域包括環(huán)境、衛(wèi)生,、能源,、計算機科學與安全。在工業(yè)控制系統(tǒng)信息安全方面,,PNNL提出了SCADA安全通信協(xié)議概念,,用于解決SCADA系統(tǒng)各組件間數(shù)據(jù)和信息傳輸過程中的協(xié)議數(shù)據(jù)的完整性、有效性和防篡改性,。目前,,根據(jù)當前工業(yè)控制系統(tǒng)信息安全技術發(fā)展現(xiàn)狀,重點側重于構建能源行業(yè)安全通信架構,、現(xiàn)場設備安全管理軟件應用,、加密信任管理軟件應用以及研發(fā)協(xié)議安全性分析工具等方面。

 ?。?)洛斯阿拉莫斯國家實驗室

  隸屬于美國能源部的洛斯阿拉莫斯國家實驗室(Los Alamos National Laboratory,,以下簡稱LANL),,其重點研究領域包括國家安全、空間探索,、醫(yī)藥,、納米技術和超級計算機等。截至目前,,LANL在工業(yè)控制系統(tǒng)信息安全方面開展SCADA通信安全相關研究,,通過開發(fā)一個詳細的成本/效益建模工具,為已有和下一代SCADA提出全新的通信安全架構,,以便運維人員能夠為網絡節(jié)點或系統(tǒng)選擇適當?shù)陌踩ㄐ偶夹g,。

  (7)日本控制系統(tǒng)安全中心(CSSC)

  日本經濟產業(yè)?。∕ETI)于2012年與橫河,、日立等8個工控系統(tǒng)廠商組建了控制系統(tǒng)安全中心(CSSC),建立了污水處理,、化工,、電力等9個工控安全測試床,并針對工控安全的攻擊和防護技術開展深入研究,。CSSC針對電力,、化工、汽車制造等工業(yè)領域,,建立了7種類型的控制裝置和系統(tǒng),,用于網絡安全攻防技術研究和攻防演練對抗。通過前期技術積累,,CSSC提出了工業(yè)網絡惡意攻擊防御技術,,創(chuàng)造了可信賴的防御和認證機制,為日本國家關鍵信息基礎設施保護提供了堅實的技術支撐,。

  4 國外工業(yè)控制系統(tǒng)信息安全保障組織機構

  面對當前工業(yè)控制系統(tǒng)信息安全技術發(fā)展現(xiàn)狀,,為確保工業(yè)控制系統(tǒng)的信息安全,抵御信息安全風險隱患,,國外發(fā)達國家均建立了工業(yè)控制系統(tǒng)信息安全保障機構,。

  (1)美國工控系統(tǒng)網絡應急響應小組(ICSCERT)

  ICS-CERT隸屬于美國國土安全部,,致力于聯(lián)合聯(lián)邦,、州、地方一級美國執(zhí)法機構和情報機構,,協(xié)調工業(yè)控制系統(tǒng)的所有者和供應商,,共同降低關鍵基礎設施面臨的網絡安全風險。同時,為相關安全事件提供消減網絡安全風險的措施和建議,。

 ?。?)法國信息系統(tǒng)安全局(ANSSI)

  法國信息系統(tǒng)安全局(ANSSI)的核心任務是檢測網絡安全攻擊事件,并作出風險消減反應,,建立國家信息安全保障和預防體系,,為政府和關鍵基礎設施運營商提供保護國家關鍵基礎設施信息系統(tǒng)的建議和意見。

 ?。?)英國國家基礎設施保護中心(CPNI)

  英國國家基礎設施保護中心(CPNI)的主要任務是為英國國家安全提供網絡安全保障建議,。從物理安全,人員安全和網絡安全等角度,,制定國家關鍵基礎設施和重要工業(yè)系統(tǒng)的網絡安全保障策略規(guī)劃,。

  5 國外工業(yè)控制系統(tǒng)信息安全標準

  當前,國際上針對工業(yè)控制系統(tǒng)信息安全標準進行研究的組織很多,,其中包括國際標準化組織,,如國際電工委員會(IEC)、國際自動化協(xié)會(ISA)和電氣與電子工程師協(xié)會(IEEE),,以及歐美等發(fā)達國家的標準技術研究院及行業(yè)協(xié)會等,。

  (1)美國工業(yè)控制系統(tǒng)信息安全標準

  美國國家標準技術研究院(NIST)發(fā)布的SP800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》,,是一份針對包括SCADA,、DCS 和其他控制系統(tǒng)組件如PLC在內的工業(yè)控制系統(tǒng)的安全指南,該指南專門分析了工業(yè)控制系統(tǒng)的特點,、面臨的威脅和存在的漏洞,提出了其安全要求,,說明了如何開發(fā)和部署一個工業(yè)控制系統(tǒng)的安全項目,,并基于SP800-53(聯(lián)邦信息系統(tǒng)推薦安全控制)針對FIPS199 所定義的不同級別系統(tǒng),推薦了不同強度的安全控制集(包括管理,、技術和運行類),,對工業(yè)控制系統(tǒng)提出了建議和指導。SP800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》適用于電力,、水利,、化工、交通,、石油等行業(yè)的工業(yè)控制系統(tǒng)中,。

  美國國土安全部發(fā)布的面向化工設施反恐怖標準(CFATS)概述了確保化工設施網絡系統(tǒng)安全的多項控制,。特別是其基于風險的性能標準(RBPS)明確了針對安全策略,、訪問控制、人員安全、系統(tǒng)開發(fā)與獲取等的安全控制,。

 ?。?)國際電工委員會(IEC)工控安全相關標準

  截至目前,IEC的多個技術委員會或其下屬工作組都在從事工業(yè)控制系統(tǒng)信息安全方面的標準化工作,。IEC在信息安全方面的主要貢獻有:《IEC 62443工業(yè)通訊網絡——網絡和系統(tǒng)安全》,,《IEC 62351電力系統(tǒng)管理及信息交換——數(shù)據(jù)和通信安全性》?!禝EC 62443工業(yè)通訊網絡——網絡和系統(tǒng)安全》是為實現(xiàn)工業(yè)控制系統(tǒng)的安全保護而制定的標準,,旨在提出一整套建立工業(yè)自動化系統(tǒng)的安全保障措施,涉及安全規(guī)程的建立和運行,,對工業(yè)自動化控制系統(tǒng)的安全技術要求,,明確可采用的安全技術及應用方法。該系列標準對通用基礎標準,、系統(tǒng)安全程序設計要求,、系統(tǒng)技術要求和系統(tǒng)組件技術要求等做出規(guī)范?!禝EC62351電力系統(tǒng)管理及信息交換——數(shù)據(jù)和通信安全性》是為保障電力系統(tǒng)安全運行,,針對有關通信協(xié)議而制定的數(shù)據(jù)和通信安全標準。

  6 結語

  隨著工業(yè)控制系統(tǒng)與外界互聯(lián)越來越密切,,這就給工業(yè)控制系統(tǒng)的信息安全提出越來越高的要求,。工業(yè)控制系統(tǒng)一般都應用于重要行業(yè)和領域,所以一旦發(fā)生事故,,不僅后果嚴重而且影響廣泛,。本文從政策規(guī)劃、實驗室建設,、保障機構組建,、標準制定等方面,梳理總結了當前國外發(fā)達國家工業(yè)控制系統(tǒng)信息安全保障相關工作的發(fā)展現(xiàn)狀,,可為我國工業(yè)控制系統(tǒng)信息安全防護工作相關方開展工作提供參考,。


本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,,并不代表本網站贊同其觀點,。轉載的所有的文章、圖片,、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容,、版權和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]