摘要：隨著(zhù)信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統信息安全面臨著(zhù)嚴峻的形勢。工業(yè)控制系統信息安全認證作為保障工業(yè)控制系統信息安全的有效手段引起了各方重視。ISASecure嵌入式設備安全保障認證（EDSA）和全球工業(yè)網(wǎng)絡(luò )安全專(zhuān)業(yè)認證（GICSP）是已推出的兩種工業(yè)控制系統信息安全認證制度。

    關(guān)鍵詞：工業(yè)控制系統；信息安全認證；EDSA；GICSP

     Abstract: With the deep integration of information technology and industrialization and the rapid development of the Internet of Things， information security in Industrial control systemsis facing a severe situation. information security certification in Industrial control systems which is an effective means to protect the information security of the industrial control system has attracted public attention. ISASecure Embedded Device Security Assurance (EDSA) and Global Industrial Cyber Security Professional (GICSP）are two launched Information Security Certifications for Industrial Control Systems.

    Key words: Industry control systems; Information security certification; EDSA; GICSP 

    1　前言

    工業(yè)控制系統信息安全認證對于保護工業(yè)控制系統信息安全有著(zhù)極其重要的意義，它能幫助工業(yè)控制系統產(chǎn)業(yè)的進(jìn)步與成熟；幫助工業(yè)控制系統及安全產(chǎn)品的供應商及時(shí)發(fā)現問(wèn)題，用更高更嚴的標準規范產(chǎn)品開(kāi)發(fā)流程，提高工業(yè)控制系統及其安全產(chǎn)品的市場(chǎng)競爭力；有利于國家對工業(yè)控制系統及其安全產(chǎn)品的市場(chǎng)準入進(jìn)行管理，保證工業(yè)控制系統運營(yíng)單位采購產(chǎn)品的安全性；幫助工業(yè)控制系統運營(yíng)單位強化員工的信息安全意識，規范組織信息安全行為，減少潛在的風(fēng)險隱患。鑒于工業(yè)控制系統信息安全認證的重要意義，各國政府、行業(yè)協(xié)會(huì )、學(xué)術(shù)機構及相關(guān)企業(yè)等單位都積極推動(dòng)此項工作的開(kāi)展，依托現有工業(yè)控制系統信息安全標準，推進(jìn)認證項目，設計認證制度。ISASecure嵌入式設備安全保障認證（Embedded Device Security Assurance，E D S A ） 、全球工業(yè)網(wǎng)絡(luò )安全專(zhuān)業(yè)認證（ G l o b a l
Industrial Cyber Security Professional, GICSP）是目前工業(yè)控制系統信息安全領(lǐng)域已推出的且得到普遍認可的信息安全認證。

    2　ISASecure嵌入式設備安全保障認證（EDSA）

    ISA安全兼容協(xié)會(huì )（ISA Security Compliance Institute, ISCI）成立于2007年，致力于為工業(yè)控制系統的網(wǎng)絡(luò )安全提供保障。ISCI通過(guò)推行ISASecure項目開(kāi)發(fā)ISASecure認證規范，ISASecure認證規范均由工業(yè)控制系統運營(yíng)單位、行業(yè)協(xié)會(huì )、用戶(hù)、學(xué)術(shù)界、政府和監管機構合作共同審核，幫助工業(yè)控制系統設備供應商和運營(yíng)單位識別網(wǎng)絡(luò )安全產(chǎn)品及實(shí)踐。EDSA作為第一個(gè)ISASecure認證，目的在于促進(jìn)工業(yè)行業(yè)加強工業(yè)控制系統網(wǎng)絡(luò )安全。

    嵌入式設備主要由嵌入式處理器、相關(guān)支撐硬件和嵌入式軟件組成，是集軟硬件于一體的可獨立工作的器件。嵌入式設備具備便利靈活、性?xún)r(jià)比高及嵌入性強等特點(diǎn)，廣泛應用于工業(yè)控制系統中，直接監視、控制或執行工業(yè)過(guò)程。EDSA提供了一套通用的設備及過(guò)程規范，從設備開(kāi)發(fā)、生產(chǎn)、采購等各階段保障嵌入式設備安全。

    基于不斷發(fā)展的工業(yè)設備安全趨勢，EDSA提供安全保障要求逐級提高的三個(gè)設備認證級別：級別1、級別2和級別3。三個(gè)級別都對以下技術(shù)要素進(jìn)行認證：軟件開(kāi)發(fā)安全性評估（Software DevelopmentSecurity Assessment，SDSA）、功能安全性評估（Functional Security Assessment, FSA）、通訊健壯性測試（Communication Robustness Testing, CRT）。SDSA用于檢測設備在開(kāi)發(fā)過(guò)程中的安全性，FSA用于審查設備功能的安全性，CRT測試設備在從正常到極高網(wǎng)絡(luò )速率下遭受正常和異常網(wǎng)絡(luò )流量時(shí)保證必要服務(wù)的能力。級別2和3對于SDSA和FSA的要求是逐級遞增的，CRT標準適用于各個(gè)級別。EDSA架構如圖1所示。

 

     2.1　軟件開(kāi)發(fā)安全性評估（SDSA）

    對于嵌入式設備開(kāi)發(fā)的整個(gè)生命周期，SDSA的認證要求包括：安全性管理流程、安全要求規范、軟件架構設計、安全風(fēng)險評估和威脅建模、詳細的軟件設計、文檔安全指引、軟件模塊執行和核查、安全集成測試、安全過(guò)程驗證、安全響應中心規劃、安全性驗證測試、安全響應執行。

    SDSA的基本標準適用于所有認證級別，隨著(zhù)認證級別的遞增，認證要求逐漸嚴格。例如，所有級別的ISASecure嵌入式設備需要確立書(shū)面的安全要求與指定的適用范圍。再如：所有認證級別要求改變管理過(guò)程，然而級別2和級別3會(huì )對這一過(guò)程提出更多的要求。

    2.2　功能安全性評估（FSA）

    FSA從安全功能和執行準確性的角度來(lái)測試嵌入式設備。安全功能可能由嵌入式設備本身或系統環(huán)境中支持該設備的更高級別組件來(lái)決定，例如，在某些情況下，特定設置的防火墻需與其它設備一起部署才能實(shí)現安全性。FSA的組織形式遵照ISA-99.03.03系統安全要求和安全保障級別所公認的ISA99基金會(huì )要求，涉及范圍包括：訪(fǎng)問(wèn)控制、使用控制、數據完整性、數據可信度、數據流量限制、及時(shí)響應事件、網(wǎng)絡(luò )資源的可用性。

    FSA的基本標準適用于各級別認證，隨著(zhù)認證級別的遞增，FSA的標準會(huì )相應提高。例如：各級別的ISASecure設備必須支持自動(dòng)執行基于授權用戶(hù)的訪(fǎng)問(wèn)控制，除非此功能被明確分配給更高級別的系統結構中的組件。

    2.3　通訊健壯性測試（CRT）

    CRT用于測試嵌入式設備或其它關(guān)聯(lián)設備在非正?；驉阂獾木W(wǎng)絡(luò )通訊流量的情況下執行網(wǎng)絡(luò )協(xié)議的情況，測試又可稱(chēng)為“協(xié)議模糊測試”。在不同的流量速率下，生成無(wú)效的消息和消息序列發(fā)送至嵌入式設備，設備對于每種協(xié)議已知攻擊的對抗程度也是本測試的一部分內容。

    當出現不正常的信息響應或設備無(wú)法繼續保證基本服務(wù)時(shí)，表明設備存在潛在的安全漏洞，CRT不檢查執行的正確性或是否符合強制性控制協(xié)議標準的規定。因此，ISASecure CRT的一個(gè)關(guān)鍵定義是“充分保證必要的服務(wù)”，以下是必要的服務(wù)：過(guò)程控制/安全回路、過(guò)程視圖、命令（變化如設定點(diǎn)的過(guò)程控制參數）和過(guò)程警報。要通過(guò)ISASecure CRT，過(guò)程控制/安全回路需要適應所有網(wǎng)絡(luò )流量條件，然而可以允許一些必要服務(wù)，如提供關(guān)鍵過(guò)程的歷史信息，對等控制通訊因為網(wǎng)絡(luò )接口的大流量而不是由于其它網(wǎng)絡(luò )流量條件的干擾而丟失。
 

    ISCI為圖2中的協(xié)議開(kāi)發(fā)CRT規范，按照優(yōu)先級將協(xié)議分組，其中，組1的優(yōu)先級最高。

    滿(mǎn)足ISASecure認證規范的嵌入式設備可以獲得ISASeucre EDSA的認證證書(shū)，擁有該認證的產(chǎn)品即擁有了一個(gè)標志，證明其產(chǎn)品在安全特性和功能上得到了承認。目前，已有一些工業(yè)控制系統設備獲得了ISASecure嵌入式設備安全保障認證，如：霍尼韋爾安全管理器、Experion C300分布式控制系統、Experion現場(chǎng)總線(xiàn)接口模塊、橫河電機CENTUM®VP生產(chǎn)控制系統等。

    3 　全球工業(yè)網(wǎng)絡(luò )安全專(zhuān)業(yè)認證（GICSP）

     全球信息安全認證（ G l o b a l I n f o r m a t i o n Assurance Certification，GIAC）是全球領(lǐng)先的網(wǎng)絡(luò )安全認證，針對關(guān)鍵基礎設施老化、技術(shù)過(guò)時(shí)、安全做法落后以及缺乏專(zhuān)業(yè)培訓等現狀，GIAC從提升個(gè)人技能和知識水平入手，旨在幫助設計、部署、操作和維護工業(yè)自動(dòng)化和控制系統基礎設施的機構落實(shí)最佳做法。2013年5月在得克薩斯州的休斯敦市，GIAC及行業(yè)領(lǐng)導者成立了一個(gè)由行業(yè)專(zhuān)家組成的小組，該小組完成一份工作任務(wù)分析的調查問(wèn)卷，并發(fā)送給各個(gè)關(guān)鍵基礎設施參與商以確保認證能夠與其工作職責相符，確定符合GICSP認證目標所必備的知識、技術(shù)和能力范圍。同年9月，GIAC推出了全球工業(yè)網(wǎng)絡(luò )安全專(zhuān)業(yè)認證（GICSP）。

    針對關(guān)鍵基礎設施攻擊的警告已經(jīng)持續多年，但是近幾年來(lái)，真正的威脅開(kāi)始被確定，并給關(guān)鍵基礎設施資產(chǎn)和系統帶來(lái)可識別性的影響。關(guān)鍵基礎設施，如電廠(chǎng)、石油天然氣等，其工業(yè)控制系統的安全保障水平直接關(guān)系到國家公眾利益、經(jīng)濟秩序和國家安全，一旦受到威脅和破壞，所造成的直接和間接損失是無(wú)法估量和難以接受的。工業(yè)控制系統安全與每個(gè)參與系統相關(guān)的工作人員（實(shí)際操作設備的工程師、管理和配置控制系統的過(guò)程控制工程師、SCADA系統技術(shù)支持和網(wǎng)絡(luò )安全專(zhuān)家等）對于安全部署和維護過(guò)程控制系統的知識、技能和能力是息息相關(guān)的。GICSP認證的主要目標是為工業(yè)控制系統工程師和網(wǎng)絡(luò )專(zhuān)家提供一個(gè)橋梁，將他們的專(zhuān)業(yè)知識進(jìn)行融合，教育和認證系統供應商、項目工程承包商、運營(yíng)商、IT服務(wù)供應商和維護支持人員，要求其具備IT、工程和網(wǎng)絡(luò )安全技能方面的復合知識體系，以確保工業(yè)控制系統信息安全。

   GICSP項目計劃建立一個(gè)有關(guān)過(guò)程控制設計和信息技術(shù)安全的開(kāi)放的知識體系，集合IT、工程和網(wǎng)絡(luò )安全技能以保障工業(yè)控制系統從設計之初到淘汰下線(xiàn)期間的安全。預計GICSP將成為全球范圍內工業(yè)控制系統在網(wǎng)絡(luò )安全領(lǐng)域的網(wǎng)關(guān)認證。

    4　建議

    目前，我國工業(yè)控制系統信息安全形勢非常嚴峻，信息安全防護水平遠遠落后于發(fā)達國家，缺乏相關(guān)標準和完善的認證體系。工業(yè)控制系統信息安全認證作為保障工業(yè)控制系統安全的有效手段，迫切需要國家主管部門(mén)從政策和科研層面積極部署，企業(yè)、科研機構等相關(guān)單位積極參與對認證標準和方法進(jìn)行完善。工業(yè)自動(dòng)化與控制產(chǎn)品供應商應不斷加強自身的信息安全意識和行動(dòng)，運營(yíng)單位完善管理制度對重要控制系統進(jìn)行審核認證，共同提升工業(yè)控制系統信息安全保障水平。

   
    作者簡(jiǎn)介

    郭嫻（1984-），湖北人，工程師，工學(xué)博士，畢業(yè)于中國科學(xué)院高能物理研究所計算機應用技術(shù)專(zhuān)業(yè)，現就職于工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所，主要從事工業(yè)控制系統信息安全相關(guān)研究工作。