1　引言

    近年來(lái)，自動(dòng)化領(lǐng)域對工業(yè)控制系統（ICS）的需求不斷提升，特別是兩化融合以來(lái)，對工業(yè)控制系統的實(shí)時(shí)性、可交互性等要求越來(lái)越高。以往的工業(yè)控制系統是孤立、封閉的信息系統，而隨著(zhù)工業(yè)控制系統本身對控制實(shí)時(shí)響應速度的要求不斷提高，工業(yè)控制系統的大型化和多個(gè)工業(yè)控制系統之間互聯(lián)互通、整體協(xié)調需求的提出，工業(yè)控制系統逐漸向信息技術(shù)（IT）發(fā)展，從基于現場(chǎng)總線(xiàn)的單層過(guò)程控制網(wǎng)絡(luò )發(fā)展到了通過(guò)工業(yè)以太網(wǎng)與工程師工作站所在的過(guò)程管理網(wǎng)絡(luò )再到和企業(yè)辦公網(wǎng)絡(luò )互聯(lián)的多層結構的復雜網(wǎng)絡(luò )。

    然而，由于工業(yè)控制系統在開(kāi)發(fā)初期主要關(guān)注可用性和可靠性，而對保密性和安全性要求不高，不可避免地存在較多的安全缺陷。據相關(guān)統計，自2010年專(zhuān)門(mén)針對工業(yè)控制系統進(jìn)行攻擊的“震網(wǎng)”病毒被發(fā)現以來(lái)，工業(yè)控制系統的信息安全問(wèn)題不斷凸顯，被公開(kāi)披露的工業(yè)控制系統的漏洞呈井噴式的增長(cháng)。相應的，工控信息安全專(zhuān)用產(chǎn)品也得到了越來(lái)越多的重視，研發(fā)生產(chǎn)、應用、測試、評價(jià)標準的制定等工作也在相關(guān)政策的支持下快速地開(kāi)展起來(lái)。

    2　我國工控安全的現狀和相關(guān)政策

    隨著(zhù)工控信息安全問(wèn)題的日益凸顯，我國相關(guān)職能部門(mén)也陸續出臺了針對性的政策，提高業(yè)界的重視度，規范和引領(lǐng)工控安全領(lǐng)域技術(shù)、產(chǎn)品和系統的研發(fā)，以提高我國工控信息安全水平。今年8月8日，工信部正式發(fā)布了《2014年工業(yè)控制系統信息安全藍皮書(shū)》，指出目前國內工控信息安全市場(chǎng)規模不到2億元，僅占信息安全整體市場(chǎng)1%，主要以工業(yè)防火墻和工業(yè)隔離網(wǎng)關(guān)等硬件產(chǎn)品為主，專(zhuān)用殺毒軟件有一定應用，嵌入式模塊產(chǎn)品有少量應用，安全服務(wù)尚處在初步導入期。其它比如入侵防護、安全審計、現場(chǎng)運維管理平臺、工控可靠性安全管理平臺等產(chǎn)品處于產(chǎn)品布局期。

    但是，與之相對應的是我國工控安全嚴峻的現狀，與歐美國家相比，國內工控安全水平、發(fā)展速度與歐美發(fā)達國家相比差距仍非常大。我國工控安全相關(guān)領(lǐng)域的工作起步比較晚，2011年工信部發(fā)布《關(guān)于加強工業(yè)與控制系統信息安全管理的通知》（工信部協(xié)[2011]451號，以下簡(jiǎn)稱(chēng)“451號文”），451號文指出了工業(yè)控制系統信息安全的重要性和緊迫性，點(diǎn)明了我國工業(yè)控制領(lǐng)域信息安全工作的問(wèn)題和不足，明確重點(diǎn)領(lǐng)域工業(yè)控制系統信息安全管理要求，提出要建立工業(yè)控制系統安全測評檢查和漏洞發(fā)布制度。2012年，溫家寶總理主持召開(kāi)國務(wù)院常務(wù)會(huì )議，審議通過(guò)了《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》（國發(fā)〔2012〕23號），其中明確提出要“保障工業(yè)控制系統信息安全”。2012年和2013年連續兩年的發(fā)改委國家信息安全專(zhuān)項中均有對工業(yè)控制信息安全領(lǐng)域相關(guān)產(chǎn)品的支持，包含了工控防火墻、工控系統異常行為審計、工控安管平臺、面向現場(chǎng)設備環(huán)境的邊界安全專(zhuān)用網(wǎng)關(guān)、面向集散控制系統（DCS）的異常監測、安全采集遠程終端單元（RTU）和工業(yè)應用軟件漏洞掃描等多種類(lèi)型的工業(yè)控制系統安全產(chǎn)品。

    可以看出，目前我國工控安全行業(yè)處于剛起步階段，很多方面都處于空白待探索的現狀，不過(guò)雖然規模小，但由于工控安全牽扯到工業(yè)生產(chǎn)運行安全、國家經(jīng)濟安全和人民生命財產(chǎn)安全，因此政策上的扶持力度非常大。

    3　工控信息安全專(zhuān)用產(chǎn)品和系統

    目前，一個(gè)典型的工業(yè)控制系統的結構如圖1所示，按照AMR組織提出的一個(gè)通用的制造企業(yè)信息傳遞的環(huán)節，企業(yè)的信息系統可以分為三層，依次為業(yè)務(wù)計劃層、制造執行層和過(guò)程控制層，是決策細化下達和執行結果匯總上傳的信息溝通模式。

    從網(wǎng)絡(luò )構成來(lái)說(shuō)，業(yè)務(wù)計劃層是企業(yè)的辦公網(wǎng)，主要涉及企業(yè)級應用，如ERP、OA等；制造執行層是監控網(wǎng)絡(luò )，主要部署SCADA服務(wù)器、數據庫、生產(chǎn)調度系統等；過(guò)程控制系統部署的是比較典型的控制網(wǎng)絡(luò )，但也可以細分為工業(yè)以太網(wǎng)和工業(yè)總線(xiàn)網(wǎng)，其實(shí)也是最為復雜的網(wǎng)絡(luò )。細分下來(lái)，可以按照通信線(xiàn)路和協(xié)議類(lèi)型區分，企業(yè)辦公網(wǎng)和工程師工作站通常使用傳統的以太網(wǎng)相互連接；工程師工作站和PLC之間的通訊通常使用工業(yè)以太網(wǎng)，目前常用的工業(yè)以太網(wǎng)協(xié)議有：Modbus TCP/IP、OPC、Profinet、Ethernet/IP、EtherCAT、Powerlink等；PLC與現場(chǎng)控制點(diǎn)、現場(chǎng)儀表等的連接由于目前以太網(wǎng)并不能完全勝任復雜的工控環(huán)境，無(wú)法保證通信的實(shí)時(shí)可靠，因此仍然大量使用傳統的現場(chǎng)總線(xiàn)。

    根據目前工控信息安全面臨的威脅以及可以采取的防護措施來(lái)看，和工控安全聯(lián)系最為緊密的是信息管理層、生產(chǎn)管理層、工業(yè)控制層三個(gè)層級之間的隔離，其中使用傳統以太網(wǎng)互聯(lián)的信息管理層和生產(chǎn)管理層之間可以部署常規的網(wǎng)絡(luò )隔離設備和工控安全設備，包括防火墻、工控漏洞掃描、工控專(zhuān)用殺毒軟件、工控安管平臺，用于對與外部互聯(lián)網(wǎng)通訊的數據進(jìn)行過(guò)濾，同時(shí)對整個(gè)執行制造層和過(guò)程控制層進(jìn)行監控和管理；使用工業(yè)以太網(wǎng)互聯(lián)的生產(chǎn)管理層和工業(yè)控制層之間通常部署工控防火墻、現場(chǎng)環(huán)境邊界安全專(zhuān)用網(wǎng)關(guān)和工控異常行為監測與審計，主要用于防范在工程師工作站通過(guò)不安全的移動(dòng)設備未授權接入帶來(lái)的病毒和木馬，同時(shí)對工控網(wǎng)絡(luò )進(jìn)行安全審計，及時(shí)發(fā)現異常情況并報警。

    此外，作為信息安全中不可或缺的一部分，工業(yè)控制系統的信息安全還需要安全服務(wù)的支撐，包括風(fēng)險評估、安全審計、咨詢(xún)培訓、安全管理等多個(gè)方面，目前這部分的工作仍然基本處于空白。
 

    4　工控安全相關(guān)標準

    工控信息安全專(zhuān)用產(chǎn)品作為剛起步的信息安全產(chǎn)品類(lèi)別，尚沒(méi)有完善的標準體系，但是相關(guān)的標準制定工作已經(jīng)開(kāi)展。我國的相關(guān)標準制定工作起步較晚，目前國際上較為完善的工業(yè)控制信息安全標準體系為IEC62443工業(yè)通信網(wǎng)絡(luò )信息安全系列標準，是由IEC/TC65/WG10(工業(yè)過(guò)程測量、控制與自動(dòng)化/網(wǎng)絡(luò )與系統信息安全工作組)與國際自動(dòng)化協(xié)會(huì )ISA99成立的聯(lián)合工作組共同制定的，并在2011年對標準體系進(jìn)行了優(yōu)化，定名為《工業(yè)過(guò)程測量、控制和自動(dòng)化網(wǎng)絡(luò )與系統信息安全》，包含了通用、信息安全程序、系統技術(shù)和部件技術(shù)4部分共12個(gè)文檔，對資產(chǎn)所有者、系統集成商、組件供應商進(jìn)行了相關(guān)信息安全的要求。

    目前，制定我國工控信息安全相關(guān)標準的組織主要有全國信息安全標準化技術(shù)委員會(huì )（TC260）和全國工業(yè)過(guò)程測量和控制標準化技術(shù)委員會(huì )（TC124），對工業(yè)控制系統信息安全的基礎標準、安全管理、安全策略和應用標準開(kāi)展制定工作。其中包含了工業(yè)控制系統的安全防護要求、等級保護、網(wǎng)絡(luò )安全防護、風(fēng)險評估和安全產(chǎn)品和系統測評相關(guān)工作的標準。此外，在行業(yè)標準方面，電力系統最早關(guān)注工控信息安全，其標準化進(jìn)度也相對較為領(lǐng)先；而公安行業(yè)標準近兩年也開(kāi)始制定相關(guān)工控安全標準，主要關(guān)注專(zhuān)用的信息安全防護產(chǎn)品，涉及工控防火墻、工控審計產(chǎn)品、工控安全隔離與信息交換系統、工控安全管理平臺和工控入侵檢測系統等。在發(fā)改委組織實(shí)施的2012、2013年國家信息安全專(zhuān)項中，工控領(lǐng)域的安全產(chǎn)品已經(jīng)形成了較為完善的行業(yè)標準和相應的測評方案。

    5　對我國工控安全工作的建議

    目前，國外的工控信息安全領(lǐng)域經(jīng)過(guò)十多年的發(fā)展，已經(jīng)形成了一套含風(fēng)險信息發(fā)布、共享、風(fēng)險漏洞處理、安全態(tài)勢預警感知和響應多個(gè)環(huán)節在內的完善信息安全事件響應隊伍和具有強大的漏洞驗證分析和技術(shù)支撐能力的機構；對于工控信息安全產(chǎn)品和系統的測試與評估，也有較為完善的標準、評估體系和豐富的評估測試工具。

    對比國外的發(fā)展趨勢，我國的工控安全工作應該在以下幾個(gè)方面進(jìn)行借鑒和思考：

    （1）對風(fēng)險處理機制進(jìn)一步完善，共享工控安全風(fēng)險信息；

    （2）檢測審計工控安全異常數據，關(guān)聯(lián)分析構成預警體系；

    （3）相關(guān)研究機構成立響應小組，打造應急相應技術(shù)團隊；

    （4）加強工控信息安全標準制定，規范產(chǎn)品系統測試評估；

    （5）對重點(diǎn)行業(yè)定期檢查和認證，構建我國工控安全認證。

     6　結語(yǔ)

    工業(yè)控制系統信息安全作為近年來(lái)越來(lái)越受到重視和政策支持的領(lǐng)域，充滿(mǎn)了挑戰和機遇，從工控系統的設計規劃到運行維護必須將信息安全考慮在每一個(gè)環(huán)節之中；工控信息安全專(zhuān)用產(chǎn)品和安全服務(wù)作為工控信息安全系統的重要組成部分，仍然處于起步階段且缺少完善的標準體系和評價(jià)方法；因此，我國的工控安全工作仍然需要進(jìn)一步的加強，逐步形成成熟的體系和產(chǎn)業(yè)化，為我國的工業(yè)生產(chǎn)安全保駕護航。

    作者簡(jiǎn)介

    田原（1988-），遼寧昌圖人，碩士，畢業(yè)于西安交通大學(xué)，現就職于公安部第三研究所，主要從事計算機信息安全產(chǎn)品檢測等工作。

    摘自 工業(yè)控制系統信息安全專(zhuān)刊