工控安全相關(guān)定義和標準

2018-11-07 09:04:58雷遠東

網(wǎng)絡(luò)安全和信息化 2018年6期

傳統(tǒng)IT安全與工控安全

傳統(tǒng)信息安全一般要實現(xiàn)保密性、完整性和可用性三個目標，并且將保密性放在第一位，可用性置于最后。但是對于工業(yè)控制系統(tǒng)來說，目標優(yōu)先級的順序恰好相反，如圖4所示。

圖4 工控系統(tǒng)和通用IT系統(tǒng)實現(xiàn)目標優(yōu)先級的比較

工控系統(tǒng)信息安全首要考慮的是所有系統(tǒng)部件的可用性，保密性通常都在最后考慮，因為工業(yè)數(shù)據(jù)都是原始格式，需要配合有關(guān)使用環(huán)境進行分析才能獲取其價值，而系統(tǒng)的可用性則直接影響到企業(yè)的經(jīng)營和生產(chǎn)，生產(chǎn)線停機或者誤操作都可能導(dǎo)致巨大的經(jīng)濟損失，甚至是人員的生命危險和環(huán)境的破壞。當工業(yè)控制系統(tǒng)安全保護層被突破后仍必須保證生產(chǎn)過程的安全，盡量降低對人員、環(huán)境、資產(chǎn)的破壞。除此之外，工控系統(tǒng)的實時性指標也非常重要，控制系統(tǒng)要求響應(yīng)時間大多在1毫秒以內(nèi)，而通用IT業(yè)務(wù)系統(tǒng)能夠接受1秒或數(shù)秒內(nèi)完成。工業(yè)控制系統(tǒng)信息安全還要求必須保證持續(xù)的可操作性及穩(wěn)定的系統(tǒng)訪問、系統(tǒng)性能、專用工業(yè)控制系統(tǒng)安全保護技術(shù)，以及全生命周期的安全支持，這些要求都是在保證信息安全的同時也必須滿足的。

國際定義和標準

針對工控系統(tǒng)信息安全，IEC/TC65/WG10（工業(yè) 過程測量、控制自動化/網(wǎng)絡(luò)與系統(tǒng)信息安全工作組）與國際自動化協(xié)會ISA 99成立聯(lián)合工作組，共同制定IEC 62443《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標準。IEC 62443是在國際上被廣泛采納和認可的工控系統(tǒng)標準，各國、各行業(yè)制定工控相關(guān)標準政策都會參考和吸收該標準提供的概念、方法、模型，不論是想系統(tǒng)地了解工控系統(tǒng)安全問題及其應(yīng)對措施，還是想了解其中部分內(nèi)容，都可以從該標準入手。

一般來說，工業(yè)領(lǐng)域的安全可以分為三類，即功能安全、物理安全和信息安全。功能安全是為了實現(xiàn)設(shè)備和工廠安全功能，受保護的安全相關(guān)部分必須正確執(zhí)行其功能，而且當失效或故障發(fā)生時，設(shè)備或系統(tǒng)必須仍能保持安全條件或進入到安全狀態(tài)。物理安全是減少由于電擊、著火、輻射、機械危險、化學(xué)危險等因素造成的危害。信息安全范圍很大，大到國家軍事政治等機密安全、小到防范企業(yè)機密泄露、個人信息泄露等。ISO/IEC 27002中對信息安全的定義是“保持信息的保密性、完整性、可用性；另外也可包括例如真實性、可核查性、不可否認性和可靠性等?！?/p>

縱觀國際工控安全的發(fā)展態(tài)勢，美國是最早開始研究和執(zhí)行工控安全標準的國家，歐洲已經(jīng)按照WIB標準來檢測工控產(chǎn)品安全，日本基于IEC 62443要求結(jié)合阿基里斯認證要求，從2013年起規(guī)定所有工控產(chǎn)品必須通過國家標準認證才能在國內(nèi)使用；以色列已成立國家級工控產(chǎn)品安全檢測中心，用于工控安全產(chǎn)品入網(wǎng)前的安全檢測。

國內(nèi)工控安全發(fā)展

從國內(nèi)發(fā)展情況來看，在2011年工信部就已出臺了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，第一次對工控安全管理工作提出了具體要求；2016年10月，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》，其中指出，工業(yè)控制系統(tǒng)應(yīng)用企業(yè)應(yīng)從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認證、遠程訪問安全、安全監(jiān)測和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實責任11個方面做好工控安全防護工作；2017年12月，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020年）》，行動計劃提出，到2020年，全系統(tǒng)工控安全管理工作體系基本建立，全社會工控安全意識明顯增強，建成全國在線監(jiān)測網(wǎng)絡(luò)，應(yīng)急資源庫，仿真測試、信息共享、信息通報平臺（一網(wǎng)一庫三平臺），態(tài)勢感知、安全防護、應(yīng)急處置能力顯著提升，培育一批影響力大、競爭力強的龍頭骨干企業(yè)，創(chuàng)建3-5個國家新型工業(yè)化產(chǎn)業(yè)示范基地（工業(yè)信息安全），產(chǎn)業(yè)創(chuàng)新發(fā)展能力大幅提高。