1　前言

    工業(yè)控制系統信息安全認證對于保護工業(yè)控制系統信息安全有著(zhù)極其重要的意義，它能幫助工業(yè)控制系統產(chǎn)業(yè)的進(jìn)步與成熟；幫助工業(yè)控制系統及安全產(chǎn)品的供應商及時(shí)發(fā)現問(wèn)題，用更高更嚴的標準規范產(chǎn)品開(kāi)發(fā)流程，提高工業(yè)控制系統及其安全產(chǎn)品的市場(chǎng)競爭力；有利于國家對工業(yè)控制系統及其安全產(chǎn)品的市場(chǎng)準入進(jìn)行管理，保證工業(yè)控制系統運營(yíng)單位采購產(chǎn)品的安全性；幫助工業(yè)控制系統運營(yíng)單位強化員工的信息安全意識，規范組織信息安全行為，減少潛在的風(fēng)險隱患。鑒于工業(yè)控制系統信息安全認證的重要意義，各國政府、行業(yè)協(xié)會(huì )、學(xué)術(shù)機構及相關(guān)企業(yè)等單位都積極推動(dòng)此項工作的開(kāi)展，依托現有工業(yè)控制系統信息安全標準，推進(jìn)認證項目，設計認證制度。ISASecure嵌入式設備安全保障認證（Embedded Device Security Assurance，EDSA） 、全球工業(yè)網(wǎng)絡(luò )安全專(zhuān)業(yè)認證（ G l o b a lIndustrial Cyber Security Professional, GICSP）是目前工業(yè)控制系統信息安全領(lǐng)域已推出的且得到普遍認可的信息安全認證。

    2　ISASecure嵌入式設備安全保障認證（EDSA）

    ISA安全兼容協(xié)會(huì )（ISA Security ComplianceInstitute, ISCI）成立于2007年，致力于為工業(yè)控制系統的網(wǎng)絡(luò )安全提供保障。ISCI通過(guò)推行ISASecure項目開(kāi)發(fā)ISASecure認證規范，ISASecure認證規范均由工業(yè)控制系統運營(yíng)單位、行業(yè)協(xié)會(huì )、用戶(hù)、學(xué)術(shù)界、政府和監管機構合作共同審核，幫助工業(yè)控制系統設備供應商和運營(yíng)單位識別網(wǎng)絡(luò )安全產(chǎn)品及實(shí)踐。EDSA作為第一個(gè)ISASecure認證，目的在于促進(jìn)工業(yè)行業(yè)加強工業(yè)控制系統網(wǎng)絡(luò )安全。

    嵌入式設備主要由嵌入式處理器、相關(guān)支撐硬件和嵌入式軟件組成，是集軟硬件于一體的可獨立工作的器件。嵌入式設備具備便利靈活、性?xún)r(jià)比高及嵌入性強等特點(diǎn)，廣泛應用于工業(yè)控制系統中，直接監視、控制或執行工業(yè)過(guò)程。EDSA提供了一套通用的設備及過(guò)程規范，從設備開(kāi)發(fā)、生產(chǎn)、采購等各階段保障嵌入式設備安全。

    基于不斷發(fā)展的工業(yè)設備安全趨勢，EDSA提供安全保障要求逐級提高的三個(gè)設備認證級別：級別1、級別2和級別3。三個(gè)級別都對以下技術(shù)要素進(jìn)行認證：軟件開(kāi)發(fā)安全性評估（Software DevelopmentSecurity Assessment，SDSA）、功能安全性評估（Functional Security Assessment, FSA）、通訊健壯性測試（Communication Robustness Testing,CRT）。SDSA用于檢測設備在開(kāi)發(fā)過(guò)程中的安全性，FSA用于審查設備功能的安全性，CRT測試設備在從正常到極高網(wǎng)絡(luò )速率下遭受正常和異常網(wǎng)絡(luò )流量時(shí)保證必要服務(wù)的能力。級別2和3對于SDSA和FSA的要求是逐級遞增的，CRT標準適用于各個(gè)級別。EDSA架構如圖1所示。
 

圖1　EDSA架構

    2.1　軟件開(kāi)發(fā)安全性評估（SDSA）

    對于嵌入式設備開(kāi)發(fā)的整個(gè)生命周期，SDSA的認證要求包括：安全性管理流程、安全要求規范、軟件架構設計、安全風(fēng)險評估和威脅建模、詳細的軟件設計、文檔安全指引、軟件模塊執行和核查、安全集成測試、安全過(guò)程驗證、安全響應中心規劃、安全性驗證測試、安全響應執行。

    SDSA的基本標準適用于所有認證級別，隨著(zhù)認證級別的遞增，認證要求逐漸嚴格。例如，所有級別的ISASecure嵌入式設備需要確立書(shū)面的安全要求與指定的適用范圍。再如：所有認證級別要求改變管理過(guò)程，然而級別2和級別3會(huì )對這一過(guò)程提出更多的要求。

    2.2　功能安全性評估（FSA）

    FSA從安全功能和執行準確性的角度來(lái)測試嵌入式設備。安全功能可能由嵌入式設備本身或系統環(huán)境中支持該設備的更高級別組件來(lái)決定，例如，在某些情況下，特定設置的防火墻需與其它設備一起部署才能實(shí)現安全性。FSA的組織形式遵照ISA-99.03.03系統安全要求和安全保障級別所公認的ISA99基金會(huì )要求，涉及范圍包括：訪(fǎng)問(wèn)控制、使用控制、數據完整性、數據可信度、數據流量限制、及時(shí)響應事件、網(wǎng)絡(luò )資源的可用性。

    FSA的基本標準適用于各級別認證，隨著(zhù)認證級別的遞增，FSA的標準會(huì )相應提高。例如：各級別的ISASecure設備必須支持自動(dòng)執行基于授權用戶(hù)的訪(fǎng)問(wèn)控制，除非此功能被明確分配給更高級別的系統結構中的組件。

    2.3　通訊健壯性測試（CRT）

    CRT用于測試嵌入式設備或其它關(guān)聯(lián)設備在非正?；驉阂獾木W(wǎng)絡(luò )通訊流量的情況下執行網(wǎng)絡(luò )協(xié)議的情況，測試又可稱(chēng)為“協(xié)議模糊測試”。在不同的流量速率下，生成無(wú)效的消息和消息序列發(fā)送至嵌入式設備，設備對于每種協(xié)議已知攻擊的對抗程度也是本測試的一部分內容。
 

圖2　ISASecure通訊健壯性測試協(xié)議

    當出現不正常的信息響應或設備無(wú)法繼續保證基本服務(wù)時(shí)，表明設備存在潛在的安全漏洞，CRT不檢查執行的正確性或是否符合強制性控制協(xié)議標準的規定。因此，ISASecure CRT的一個(gè)關(guān)鍵定義是“充分保證必要的服務(wù)”，以下是必要的服務(wù)：過(guò)程控制/安全回路、過(guò)程視圖、命令（變化如設定點(diǎn)的過(guò)程控制參數）和過(guò)程警報。要通過(guò)ISASecure CRT，過(guò)程控制/安全回路需要適應所有網(wǎng)絡(luò )流量條件，然而可以允許一些必要服務(wù)，如提供關(guān)鍵過(guò)程的歷史信息，對等控制通訊因為網(wǎng)絡(luò )接口的大流量而不是由于其它網(wǎng)絡(luò )流量條件的干擾而丟失。

    ISCI為圖2中的協(xié)議開(kāi)發(fā)CRT規范，按照優(yōu)先級將協(xié)議分組，其中，組1的優(yōu)先級最高。

    滿(mǎn)足ISASecure認證規范的嵌入式設備可以獲得ISASeucre EDSA的認證證書(shū)，擁有該認證的產(chǎn)品即擁有了一個(gè)標志，證明其產(chǎn)品在安全特性和功能上得到了承認。目前，已有一些工業(yè)控制系統設備獲得了ISASecure嵌入式設備安全保障認證，如：霍尼韋爾安全管理器、Experion C300分布式控制系統、Experion現場(chǎng)總線(xiàn)接口模塊、橫河電機CENTUM?VP生產(chǎn)控制系統等。

    3 　全球工業(yè)網(wǎng)絡(luò )安全專(zhuān)業(yè)認證（GICSP）

    全球信息安全認證（ GlobalInformation Assurance Certification，GIAC）是全球領(lǐng)先的網(wǎng)絡(luò )安全認證，針對關(guān)鍵基礎設施老化、技術(shù)過(guò)時(shí)、安全做法落后以及缺乏專(zhuān)業(yè)培訓等現狀，GIAC從提升個(gè)人技能和知識水平入手，旨在幫助設計、部署、操作和維護工業(yè)自動(dòng)化和控制系統基礎設施的機構落實(shí)最佳做法。2013年5月在得克薩斯州的休斯敦市，GIAC及行業(yè)領(lǐng)導者成立了一個(gè)由行業(yè)專(zhuān)家組成的小組，該小組完成一份工作任務(wù)分析的調查問(wèn)卷，并發(fā)送給各個(gè)關(guān)鍵基礎設施參與商以確保認證能夠與其工作職責相符，確定符合GICSP認證目標所必備的知識、技術(shù)和能力范圍。同年9月，GIAC推出了全球工業(yè)網(wǎng)絡(luò )安全專(zhuān)業(yè)認證（GICSP）。

    針對關(guān)鍵基礎設施攻擊的警告已經(jīng)持續多年，但是近幾年來(lái)，真正的威脅開(kāi)始被確定，并給關(guān)鍵基礎設施資產(chǎn)和系統帶來(lái)可識別性的影響。關(guān)鍵基礎設施，如電廠(chǎng)、石油天然氣等，其工業(yè)控制系統的安全保障水平直接關(guān)系到國家公眾利益、經(jīng)濟秩序和國家安全，一旦受到威脅和破壞，所造成的直接和間接損失是無(wú)法估量和難以接受的。工業(yè)控制系統安全與每個(gè)參與系統相關(guān)的工作人員（實(shí)際操作設備的工程師、管理和配置控制系統的過(guò)程控制工程師、SCADA系統技術(shù)支持和網(wǎng)絡(luò )安全專(zhuān)家等）對于安全部署和維護過(guò)程控制系統的知識、技能和能力是息息相關(guān)的。GICSP認證的主要目標是為工業(yè)控制系統工程師和網(wǎng)絡(luò )專(zhuān)家提供一個(gè)橋梁，將他們的專(zhuān)業(yè)知識進(jìn)行融合，教育和認證系統供應商、項目工程承包商、運營(yíng)商、IT服務(wù)供應商和維護支持人員，要求其具備IT、工程和網(wǎng)絡(luò )安全技能方面的復合知識體系，以確保工業(yè)控制系統信息安全。

    GICSP項目計劃建立一個(gè)有關(guān)過(guò)程控制設計和信息技術(shù)安全的開(kāi)放的知識體系，集合IT、工程和網(wǎng)絡(luò )安全技能以保障工業(yè)控制系統從設計之初到淘汰下線(xiàn)期間的安全。預計GICSP將成為全球范圍內工業(yè)控制系統在網(wǎng)絡(luò )安全領(lǐng)域的網(wǎng)關(guān)認證。

    4　建議

    目前，我國工業(yè)控制系統信息安全形勢非常嚴峻，信息安全防護水平遠遠落后于發(fā)達國家，缺乏相關(guān)標準和完善的認證體系。工業(yè)控制系統信息安全認證作為保障工業(yè)控制系統安全的有效手段，迫切需要國家主管部門(mén)從政策和科研層面積極部署，企業(yè)、科研機構等相關(guān)單位積極參與對認證標準和方法進(jìn)行完善。工業(yè)自動(dòng)化與控制產(chǎn)品供應商應不斷加強自身的信息安全意識和行動(dòng)，運營(yíng)單位完善管理制度對重要控制系統進(jìn)行審核認證，共同提升工業(yè)控制系統信息安全保障水平。

    作者簡(jiǎn)介

    郭嫻（1984-），湖北人，工程師，工學(xué)博士，畢業(yè)于中國科學(xué)院高能物理研究所計算機應用技術(shù)專(zhuān)業(yè)，現就職于工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所，主要從事工業(yè)控制系統信息安全相關(guān)研究工作。

    摘自 工業(yè)控制系統信息安全專(zhuān)刊