国内工业控制系统
标准概述在国内,自 2010 年前后已陆续开展工业控制系统信息安全相关标准的研究制定工作。截至目前, 全国已有多个相关标委会开展了该领域标准执行工作。全国工业过程测量和控制标准化技术委员会从自 动化领域入手,借鉴 IEC62443 等系列标准,研究制定了《工业通信网
络 -网络和系统安全 -第 2-1 部分: 建立工业自动化和控制系统信息安全程序》、《工业控制系统信息安全 第 1 部分:评估规范》、《工 业控制系统信息安全第 2 部分:验收规范》等工业控制系统的安全标准。全国信息安全标准化技术委员会(TC260)作为全国信息安全领域标准化归口组织,管理全国信息 安全领域的相关国家标准化工作。截至目前,已发布《信息安全技术 工业控制系统安全
控制应用指南》 等相关国家标准。部分国内工业控制系统标准如下表所示。
表 8.1 国内部分工业控制系统标准
序号 名称
1 《工业控制系统信息安全 第 1 部分:评估规范》
2 《工业控制系统信息安全 第 2 部分:验收规范》
3 《工业控制系统信息安全防护指南》
4 《信息安全技术 工业控制系统安全控制应用指南》
5 《信息安全技术 工业控制系统安全分级规范》
6 《信息安全技术 工业控制系统安全检查指南》
7 《信息安全技术 工业控制系统安全管理基本要求》
8 《信息安全技术 工业控制系统风险评估实施指南》
9 《信息安全技术 工业控制系统产品信息安全通用评估准则》
10 《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》
11 《信息安全技术 工业控制系统网络监测安全技术要求和测试评价方法》 12 《信息安全技术 工业控制系统漏洞检测技术要求及测试评价方法》
13 《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》 14 《信息安全技术 工业控制系统网络审计产品安全技术要求》
15 《信息安全技术 工业控制系统专用防火墙技术要求》
16 《信息安全技术 工业控制系统入侵检测产品安全技术要求》
17 《信息安全技术 数控网络安全技术要求》
序号 名称
18 《信息安全技术 工业控制系统测控终端安全要求》 19 《集散控制系统(DCS)安全防护要求》
20 《集散控制系统(DCS)安全管理要求》
21 《集散控制系统(DCS)安全评估指南》
22 《集散控制系统(DCS)风险与脆弱性检测要求》 23 《可编程逻辑控制器(PLC)系统信息安全要求》 24 《电力监控系统安全防护规定》
25 《电力监控系统安全防护总体方案》
26 《电力行业信息系统安全等级保护基本要求》
27 《电力行业信息系统安全等级保护基本要求》
28 《石油化工工厂信息系统设计规范》
29 《核电厂安全系统 第 1 部分 设计准则》
30 《核电厂安全系统中数字计算机的适用准则》
31 《烟草工业企业生产网与管理网网络互联安全规范》 32 《烟草行业工业控制系统网络安全基线技术规范》
选取部分标准做以简单概述。
《工业控制系统信息安全 第 1 部分:评估规范》作为我国工业控制安全第一个有内容的国家标准, 解决了我国工业控制安全无标准可依的窘境。《评估规范》分为管理评估和系统能力(技术)评估。管 理评估宜对照风险接受准则和组织机构相关目标,识别、量化并区分风险的优先次序。风险评估的结果 可指导并确定适当的管理措施及其优先级,评估风险和选择控制措施的过程需要执行多次,以覆盖组织 机构的不同部门或各个工业控制系统。管理评估分三个级别、系统能力(技术)评估分为四个级别。信 息安全等级由系统能力等级和管理等级二维确定。
《工业控制系统信息安全 第 2 部分:验收规范》此标准解决了我国工业控制系统信息安全验收上的 空白,解决了验收有标准可依的困境。此标准的使用方是工业控制系统用户方,《验收规范》涉及到专 业的安全测试,除电力和石油石化等大部分用户方在能力上不足以完成验收阶段的安全测试。因此需要 借助第三方的测评力量来验收,就涉及到项目预算增加的问题。因此在做标准宣贯时,需要在立项阶段 就考虑验收标准和费用的问题。
《信息安全技术工业控制系统安全检查指南》规定了工业控制系统信息安全检查的目的、范围、方式、 流程、方法和内容,适用于开展工业控制系统的信息安全监督检查、委托检查工作,同时也适用于各企 业在本集团(系统)范围内开展相关系统的信息安全自检查。
《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》规定了工业控制网络安全隔 离与信息交换系统的安全功能要求、安全保障要求和安全等级划分要求,适用于工业控制网络安全隔离 与信息交换系统的设计、开发及测试。
《信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法》规定了针对工业控制系统的 漏洞检测产品的技术要求和测试评价方法,包括安全功能要求、自身安全要求和安全保障要求,以及相 应的测试评价方法,适用于工业控制系统漏洞检测产品的设计、开发和测评。
《信息安全技术工业控制系统产品信息安全通用评估准则》定义了工业控制系统产品安全评估的通 用安全功能组件和安全保障组件集合,规定了工业控制系统产品的安全要求和评估准则,适用于工业控 制系统产品安全保障能力的评估,产品安全功能的设计、开发和测试也可参照使用。
《信息安全技术工业控制网络监测安全技术要求及测试评价方法》规定了工业控制网络监测产品的 安全技术要求和测试评价方法,适用于工业控制网络监测产品的设计生产方对其设计、开发及测评等提 供指导,同时也可为工业控制系统设计、建设和运维开展工业控制系统安全防护工作提供指导。
信息安全标准是我国信息安全保障体系的重要组成部分,工业控制系统信息安全是国家网络安全的 重要组成部分,在工业控制安全国家标准制定中,需要信息安全专家、工业控制专家、行业专家等多领 域专家共同参与,才能真实反映既符合网络安全要求又符合工业控制现场现状。
了解整个国内外工业控制系统的安全标准和相关法规,对于制定整体安全策略至关重要。但是这些 标准和法规只应该作为基本的安全基线,在参照的基础上真正的结合风险场景与成本预算和各类安全措 施,制定出经济、高效、持久的安全策略与措施才是企业真正的需求。
参考文档
• 《黑客大曝光 -工业控制系统安全》 【美】克林特(Clint E.Bodungen)等著 机械工业出版社
绿盟科技格物实验室
绿盟科技格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。实验室 以“格物致知”的问学态度,致力于以智能设备为中心的漏洞挖掘和安全分析,提供基于业务场 景的安全解决方案。积极与各方共建万物互联的安全生态,为企业和社会的数字化转型安全护航。
绿盟科技官方微信
随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制 系统产品越来越多地采用通用协议、通用硬件和通用软件,网络威胁正在由传统 IT领域向工业控制系 统扩散,工业控制系统信息安全问题日益突出,对工业生产运行,乃至国家经济安全造成重大隐患。如 何针对这些隐患制定出一套可行的检测与安全评估方法显得尤为重要,也是关键基础设施领域亟待解决 的问题。但由于每个企业的业务目标和运营环境多样化、复杂化,而制定一套“均码”的度量标准或者 规范是很艰难的,即使制定出该标准但实施与执行后的效果是否理想就不得而知。
安全评估存在的问题:
- 合规并不等于安全。
- 无法验证的脆弱性仅仅是主观推测的结果,需大胆设想,小心求证。 构建的理念:
在工业控制系统的功能安全、操作安全、安全防护措施以及脆弱性的基础上,构建整体性更强、综 合性更高的方法(风险场景构建),避免零散孤立的合规核查,对风险的“可能性”做出更为准确的解 释,形成可量化的标准,为制定有针对性的、高效的风险缓解措施奠定基础。
这里将尝试提出一种工业控制系统安全评估流程的方法论,从技术层面出发梳理评估步骤,针对涉 及到的技术点与方法进行归纳总结。本文所提出的安全评估的流程如下图所示:
目标定义与 资产评估
系统评定
业务/运营目标定义 资产识别 系统评定 资产分类
系统分类 网络拓扑审查 数据流审查
风险资产预筛
脆弱性评估 风险场景构建
安全策略脆弱性 威胁评估 架构与设计脆弱性 攻击向量评估 配置与维护脆弱性 威胁事件构建
物理环境脆弱性 风险场景构建 产品实现的脆弱性
通信与网络脆弱性
风险估算与 验证与测试
防护部署
风险计算 渗透测试 防护措施制定 (组件测试、 防护措施排序 系统测试)
\2. 目标定义与系统评定
目标定义与系统评定
- 目标定义
全面的安全评估需要了解系统的相关组成结构以及相关联的业务,从多个方面评估可能存在的风险, 并通过实施过程进行逐步验证,通过计算模型推导出可能形成的损失。如下图:
人员 信息 管理
系统 风险评估考虑因素:
- 人员(安全意识与安全能力)
- 管理(人员管理、生产管理、数据管理、运维管理等)
数据 通讯 终端 • 供应链(元件 / 设备引入安全风险)
系统 系统 系统 • 边界(不同区域的风险管理)
- 工艺(可靠性要求)
- 电磁辐射(侧信道攻击)
生产 • 环境(设备 / 系统针对不同环境的适应能力)
系统 • 数据传输与存储
- 设备老化或者异常运行
供应链
图 2.1 风险评估参考架构
制定适合自有系统的风险度量标准并对识别出的风险进行评分,对于工业控制系统来说,需要理清 如下问题:
- 企业生产什么 ?
- 工业控制系统运行 / 实现自动化的环节有哪些?
- 在生产环境中部署了哪些系统支持正常生产?
- 工业控制系统中哪些地方出现异常可能会造成较大的损失?
通过回答这些甚至更多问题,就可知道哪些系统对于实现业务 / 运营目标更为关键,哪些系统为辅 助性的,同时也明确了这些系统按计划停止运行后可能导致的后果是什么。
确定业务 / 运营目标过程:
- 多角色参与讨论,如业务经理 / 资产所有者 / 资产托管方 / 工程经理 / 工程师 / 所有其他利益相 关方。
- 从对业务 / 运营目标提供支持的系统及这些系统的故障导致潜在的后果这两个维度出发,对业 务 / 运营目标做出澄清。
输出:
- 清晰的业务 / 运营目标。
- 支撑目标的各类系统。
- 系统评定与分类
在工业控制系统环境中系统的概念为出于一个共同的业务 / 运营目标而协同工作的一组过程设备、 处理装置、计算机、调度策略、运行工艺和组织管理等。如 SIS(安全仪表系统)、SCADA(监控与数 据采集系统)、HSE(健康安全和环境管理系统)、FGS(火气系统)等。
系统评定与分类的过程按照以下顺序进行:
对目标系统做识别与判定 分析与系统相关联的潜在事件和后果 建立后果与业务/运营目标的关联关系 根据关键性对系统进行分类与优先级排序
图 2.2 系统评定与分类过程
输出内容为:
- 对支撑业务 / 运营目标的各类系统的分类。
- 根据关键性对各个系统的优先级排序。
7
\3. 资产评估
资产评估
- 资产识别与分类
尽可能全面地识别出被评估对象的所有资产,为后续的评估过程提供关键的信息,但是工业控制系 统中收集资产较为困难,往往会有遗漏,且目前采取的方法一般为访谈式和调查式,难以保证资产收集 的准确性。
可以尝试通过如下方法进行资产识别:
- 查询采购记录。
- 查询资产数据库。
- 初步的资产清单与最新的、最准确的网络拓扑进行交叉验证。
- 人工巡检、现场核查 ( 顾问访谈 / 问卷调查 )。
- 使用资产发现工具获取资产信息 ( 例如 :工业控制系统漏洞扫描工具 )。
依照如上方法对待评估系统识别出的资产做以列举,形成资产清单表。在列举工作中最好采用分类 的方式为资产进行归类整理,例如可以从如下维度进行。
表 3.1 资产参考表
**资产类别 资产品牌 资产型号 详细版本 其余信息 
**信息
软件
硬件
系统
人员 安全意识、安全操作技能等。
管理制度 人员培养制度、组织架构管理、操作站工作指导书、安全规定等。
应急体系 应急生产支撑体系、不可抗力故障支撑体系、突发性威胁响应体系等。
备注:在工业控制系统中使用主动扫描方式发现资产风险较大,建议使用被动扫描的方式或者无损 扫描方式进行。
- 网络拓扑审查
该步骤与资产识别步骤可以交叉、比对进行,尽可能详细地绘制出最新的、最准确的业务 / 运营目 标对象网络拓扑图,梳理清楚设备、组件等之间的连接关系。
- 数据流审查
对照网络拓扑,在其基础上添加数据流要素,形成一张动态的资产、网络元、数据交互的图谱,不 仅有助于发现现阶段业务 / 运营目标对象网络中的已知问题(例如信息泄露途径、非法接入等),还可 以作为应急响应分析过程中的重要输入资料。
- 风险资产预筛
对于资产预筛选的依据与标准可参照如下表,将资产关键性分为 5 个等级, 由高到低关键性依次减 弱。
表 3.2 资产等级及含义描述
| 等级 |
|---|
最低0.47元/天 解锁文章
扫一扫
3125
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
