信息化和工業(yè)化深度融合，使得工業(yè)自動(dòng)化和控制系統（IACS）運行的環(huán)境越來(lái)越復雜。同時(shí)企業(yè)或組織機構越來(lái)越需要在其工控網(wǎng)絡(luò )、業(yè)務(wù)網(wǎng)絡(luò )和企業(yè)網(wǎng)絡(luò )之間共享信息。然而，由于工業(yè)自動(dòng)化和控制系統的設備是直接和某個(gè)工藝過(guò)程相連的，如果信息安全遭到破壞，其后果不僅是在信息傳送過(guò)程中發(fā)生變化而喪失商業(yè)保密性，事故發(fā)生時(shí)，還可能帶來(lái)潛在的人員或生產(chǎn)損失、破壞環(huán)境、違反法律法規等更嚴重的后果。這可能就會(huì )衍生出企業(yè)或組織所不期望的結果，甚至可能破壞所在地區或國家的基礎設施。

產(chǎn)生信息安全問(wèn)題的威脅源不僅來(lái)自外部，內部具有一定技術(shù)能力的人員惡意或無(wú)意的行為也可能導致嚴重信息安全風(fēng)險。另外，工業(yè)自動(dòng)化和控制系統還經(jīng)常和其他業(yè)務(wù)系統相連，對運行系統的修改和測試還會(huì )對系統的運行產(chǎn)生沒(méi)有意識到的影響?？刂葡到y區域之外的人對系統所進(jìn)行的信息安全測試，更加劇了這些影響和程度。綜合上述因素，顯而易見(jiàn)，潛在的對工業(yè)過(guò)程獲得非法或破壞性訪(fǎng)問(wèn)的風(fēng)險并不是微不足道的。

雖然技術(shù)變化和更多的合作伙伴關(guān)系可能對業(yè)務(wù)行為是有益的，但也增加了影響信息安全的潛在風(fēng)險。正因為對于業(yè)務(wù)的威脅增加了，所以對于信息安全的需要也隨之增加。

1　工業(yè)自動(dòng)化和控制系統的現狀

工業(yè)自動(dòng)化和控制系統是從單個(gè)的、獨立的、專(zhuān)用操作系統和網(wǎng)絡(luò )向互聯(lián)的系統和使用商用技術(shù)（即，操作系統和協(xié)議）的應用而逐漸演化的。工業(yè)自動(dòng)化和控制系統正在通過(guò)各種通信網(wǎng)絡(luò )與企業(yè)管理系統和其他業(yè)務(wù)應用集成。隨著(zhù)這種集成度的增加，帶來(lái)了巨大的商業(yè)價(jià)值，例如：增加了工業(yè)自動(dòng)化和控制系統各項活動(dòng)的可見(jiàn)性（工作進(jìn)程、設備狀態(tài)、生產(chǎn)進(jìn)度），從業(yè)務(wù)層面集成工業(yè)過(guò)程系統，可以提高分析的能力，從而降低成本，提高生產(chǎn)力；集成制造和生產(chǎn)系統，可以更直接獲得商業(yè)信息，有利于形成具有快速響應能力的企業(yè)；通用的接口降低了總體維護成本，并允許對生產(chǎn)過(guò)程的遠程支持；對過(guò)程控制系統的遠程監視可以降低成本并有利于更快速地解決問(wèn)題等。

通過(guò)標準化的定義模型和信息交換，使得工業(yè)自動(dòng)化和控制系統以一致的方式分享信息成為可能。然而，這種交換信息的能力增加了有惡意企圖的個(gè)人進(jìn)行攻擊或誤操作的脆弱性，從而給使用工業(yè)自動(dòng)化和控制系統的企業(yè)帶來(lái)潛在的風(fēng)險。在物理硬件、編程和通信方面，工業(yè)自動(dòng)化和控制系統的配置非常復雜。

這種復雜性使得下列問(wèn)題難以確定：授權誰(shuí)可以訪(fǎng)問(wèn)電子信息；用戶(hù)何時(shí)能訪(fǎng)問(wèn)信息；用戶(hù)訪(fǎng)問(wèn)何種數據或功能；訪(fǎng)問(wèn)請求源的位置；如何請求訪(fǎng)問(wèn)等問(wèn)題。

2　工業(yè)自動(dòng)化和控制系統的防護能力

工業(yè)自動(dòng)化和控制系統采取的技術(shù)防護措施不能丟失其基本服務(wù)和功能（包括應急程序），因此其安全目標重點(diǎn)集中在控制系統的可用性、工廠(chǎng)保護、工廠(chǎng)運行（即使在降級模式）和時(shí)間關(guān)鍵系統響應。IT安全目標可能更關(guān)心的是保護信息，而非有形資產(chǎn)。無(wú)論工廠(chǎng)集成的實(shí)現程度，這些不同的目標需要明確地表述為安全目標。國際上，大家目前比較關(guān)注的工業(yè)控制系統信息安全的IEC62443系列標準，其IEC62443-3-3：2013主要是系統的技術(shù)防護能力，因為到目前為止，工業(yè)自動(dòng)化和控制系統還沒(méi)有象IT領(lǐng)域的成熟的信息安全防護產(chǎn)品?；诖?，對工控領(lǐng)域的防護還是以系統為考慮對象。通過(guò)下面幾節介紹一下該標準的主要內容。

2.1　系統防護等級

工業(yè)自動(dòng)化和控制系統將其防護分為四個(gè)信息安全等級（SL），分別為：

（1）SL 1：防止通過(guò)竊聽(tīng)或偶然曝光而引發(fā)的未經(jīng)授權的信息泄露；

（2）SL 2：防止針對某實(shí)體采用通用方法、低資源、低動(dòng)因的簡(jiǎn)單方式進(jìn)行主動(dòng)搜索，導致未經(jīng)授權的信息泄露；

（3）SL 3：防止針對某實(shí)體，采用IACS特殊技能、一般資源、一般動(dòng)因的復雜方式進(jìn)行主動(dòng)搜尋，導致未經(jīng)授權的信息泄露；

（4）SL 4：防止針對某實(shí)體，采用IACS特殊技能、擴展性資源、高動(dòng)因的復雜方式進(jìn)行主動(dòng)搜尋，導致未經(jīng)授權的信息泄露。

2.2　系統防護的基本要求從技術(shù)實(shí)現上，系統防護的基本要求包括：

（1）標識和鑒別控制（IAC）；

（2）使用控制（UC）；

（3）系統完整性（SI）；

（4）數據保密性（DC）；

（5）受限的數據流（RDF）；

（6）對事件的及時(shí)響應（TRE）；

（7）資源可用性（RA）。

2.3　實(shí)現各個(gè)基本要求對應的系統要求

2.3.1　標識和鑒別控制（IAC）：

為了實(shí)現標準和鑒別控制（IAC），系統實(shí)現上，要滿(mǎn)足以下要求：

（1）SR1.1：人員用戶(hù)標識和鑒別控制；

（2）SR1.2：軟件進(jìn)程和設備標準鑒別；

（3）SR1.3：帳戶(hù)管理；

（4）SR1.4：標識符管理；

（5）SR1.5：鑒別器管理；

（6）SR1.6：無(wú)線(xiàn)訪(fǎng)問(wèn)管理；

（7）SR1.7：基于口令的鑒別強度；

（8）SR1.8：公鑰基礎設施證書(shū)；

（9）SR1.9：公鑰鑒別強度；

（10）SR1.10：鑒別器反饋；

（11）SR1.11：失敗的登錄嘗試；

（12）SR1.12：系統使用提示；

（13）SR1.13：通過(guò)不可信網(wǎng)絡(luò )的訪(fǎng)問(wèn)。

2.3.2　使用控制（FR）

為了實(shí)現使用控制（FR），系統實(shí)現上要滿(mǎn)足以下要求：

（1）SR2.1：授權執行；

（2）SR2.2：無(wú)線(xiàn)使用控制；

（3）SR2.3：便攜式和移動(dòng)設備使用控制；

（4）SR2.4：移動(dòng)代碼；

（5）SR2.5：會(huì )話(huà)鎖定；

（6）SR2.6：遠程會(huì )話(huà)終止；

（7）SR2.7：并發(fā)會(huì )話(huà)控制；

（8）SR2.8：審計事件；

（9）SR2.9：審計存儲容量；

（10）SR2.10：審計處理失敗響應；

（11）SR2.11：時(shí)間戳；

（12）SR2.12：抗抵賴(lài)。

2.3.3　系統完整性（SI）

為了實(shí)現系統完整性（SI），系統實(shí)現上要滿(mǎn)足以下要求：

（1）SR3.1：通信完整性；

（2）SR3.2：惡意代碼防護；

（3）SR3.3：信息安全功能驗證；

（4）SR3.4：軟件和信息完整性；

（5）SR3.5：輸入檢驗；

（6）SR3.6：確定性輸出；

（7）SR3.7：出錯處理；

（8）SR3.8：會(huì )話(huà)完整性；

（9）SR3.9：審計信息保護。

2.3.4　數據保密性（DC）

為了實(shí)現數據保密性（DC），系統實(shí)現上要滿(mǎn)足以下要求：

（1）SR4.1：信息保密性；

（2）SR4.2：信息留存；

（3）SR4.3：加密使用。

2.3.5 受限的數據流（RDF）

為了實(shí)現受限的數據流（RDF），系統實(shí)現上要滿(mǎn)足以下要求：

（1）SR5.1：網(wǎng)絡(luò )分區；

（2）SR5.2：區域邊界防護；

（3）SR5.3：通用目的的個(gè)人間通信限制；

（4）SR5.4：應用劃分。

2.3.6 對事件的及時(shí)響應（TRE）

為了實(shí)現對事件的及時(shí)響應（TRE），系統實(shí)現上要滿(mǎn)足以下要求：

（1）SR6.1：審計日志可訪(fǎng)問(wèn)性；

（2）SR6.2：連續監視。

2.3.7　資源可用性（RA）

為了實(shí)現資源可用性（RA），系統實(shí)現上要滿(mǎn)足以下要求：

（1）SR7.1：拒絕服務(wù)保護；

（2）SR7.2：資源管理；

（3）SR7.3：控制系統備份；

（4）SR7.4：控制系統恢復和重構；

（5）SR7.5：應急電源；

（6）SR7.6：網(wǎng)絡(luò )和安全配置設置；

（7）SR7.7：最小功能性；

（8）SR7.8：控制系統組件詳細目錄。

3　工業(yè)控制系統信息安全動(dòng)態(tài)

工業(yè)自動(dòng)化系統的防護能力主要介紹了IEC62443-3-3的技術(shù)能力要求，主要分為7個(gè)基本要求和實(shí)現基本要求的系統要求，同時(shí)標準中將技術(shù)能力根據分成的SL等級進(jìn)行了劃分，大家可以參看該標準的附錄B。

目前， IEC6 2 4 4 3 - 4 系列是針對系統組件的兩個(gè)標準，主要是要求產(chǎn)品生產(chǎn)商或軟件設計商要根據軟件能力成熟度（CMMI）的要求來(lái)實(shí)現產(chǎn)品或組件，以保證在組件或產(chǎn)品階段實(shí)現系統要求的內容。同時(shí)，IEC/TC65技術(shù)委員會(huì )將成立工作組開(kāi)展功能安全和信息安全融合方面的標準制定工作；ISA99工作組也在加快制定ISA62443系列標準制定的進(jìn)程，以滿(mǎn)足行業(yè)的需求，另外，ISASecure正在進(jìn)行基于TCP/IP協(xié)議的自動(dòng)化產(chǎn)品的安全認證工作；IECEE也于近期成立了工作組，將根據IEC62443系列標準的技術(shù)內容開(kāi)展信息安全認證方面的標準化工作。

作者簡(jiǎn)介

王玉敏（1971-），女，河北人，教授級高工，碩士研究生，現就職于機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所，主要研究方向為工業(yè)控制系統信息安全。

摘自《自動(dòng)化博覽》2015年11月刊