1　引言

    現今，人類(lèi)社會(huì )正不斷由工業(yè)化、自動(dòng)化向網(wǎng)絡(luò )化、信息化、智能化、數字化轉變，實(shí)現信息化、產(chǎn)業(yè)化、智能化已成為工業(yè)控制系統研究的熱點(diǎn)。工業(yè)控制系統（Industrial Control System，ICS）將會(huì )面臨著(zhù)巨大的變革。首先是網(wǎng)絡(luò )架構的變化，過(guò)去自成一體的工業(yè)控制系統正在以各種方式接入企業(yè)網(wǎng)和互聯(lián)網(wǎng)；其次是通信協(xié)議的多樣化，各種工業(yè)通信協(xié)議已經(jīng)應用于工業(yè)生產(chǎn)中，主要包括無(wú)線(xiàn)工業(yè)通信協(xié)議WIA-PA、ISA100.11a、Wireless HART，以及有線(xiàn)工業(yè)通信協(xié)議Modbus、PROFIBUS、CAN總線(xiàn)等，傳統的IT技術(shù)正在逐步滲入工業(yè)控制系統。

    隨著(zhù)“工業(yè)4.0”的提出，以智能制造為主導的第四次工業(yè)革命拉開(kāi)帷幕?！肮I(yè)4.0”已經(jīng)成為德國的國家
戰略，結合“工業(yè)4.0”的核心理念，我國提出了“中國制造2025”宏偉藍圖。然而，工業(yè)革命的飛快變革給工業(yè)控制系統帶來(lái)了更多的信息安全問(wèn)題和全新的挑戰。

    本文從ICS的概念和安全分析入手，研究并描述了ICS架構模型和面臨的安全威脅，通過(guò)分析國內外工業(yè)控制系統信息安全標準的制定情況，為工業(yè)控制系統的安全建設提供理論研究基礎。

    2　工業(yè)控制系統現狀與安全分析

    2.1　工業(yè)控制系統及其架構

    工業(yè)控制系統是一個(gè)總稱(chēng)，涵蓋各種類(lèi)型的控制系統，包括數據采集和監視控制系統（SCADA）、分布式控制系統（DCS）以及其它小型控制系統，如可編程邏輯控制器（PLC）的控制系統等。這些控制系統往往相互聯(lián)系、相互依存，是國家關(guān)鍵基礎設施正常運行的關(guān)鍵。

    典型的工業(yè)控制系統網(wǎng)絡(luò )架構如圖1所示^[1]。主要包括企業(yè)管理網(wǎng)絡(luò )、過(guò)程控制網(wǎng)絡(luò )和現場(chǎng)控制網(wǎng)絡(luò )三部分。其中企業(yè)管理網(wǎng)絡(luò )具備了傳統IT網(wǎng)絡(luò )的屬性，主要負責與互聯(lián)網(wǎng)和控制網(wǎng)絡(luò )的信息交互管理；過(guò)程控制網(wǎng)絡(luò )是企業(yè)網(wǎng)和現場(chǎng)控制網(wǎng)絡(luò )的橋梁與紐帶，主要設有實(shí)時(shí)服務(wù)器、海量歷史數據服務(wù)器、工程師站和操作站等；現場(chǎng)控制網(wǎng)絡(luò )位于工業(yè)控制系統的最底層，包括直接從事指令控制工作的PLC、遠程終端設備、數據采集設備和執行控制器等控制部件。執行器數據采集設備與控制設備的連接可以采用目前主流的工業(yè)無(wú)線(xiàn)通信協(xié)議，也可以采用典型的工業(yè)有線(xiàn)通信協(xié)議。

圖1 典型工業(yè)控制系統網(wǎng)絡(luò )架構圖
（注釋?zhuān)焊綦x區（DMZ）用于隔離企業(yè)網(wǎng)和控制網(wǎng)之間的直接通信，確保兩網(wǎng)之間的通信安全。）

    2.2　工業(yè)控制系統安全現狀

    如今，工業(yè)控制系統面臨著(zhù)許多安全威脅，以下詳細列舉近年來(lái)國內外發(fā)生的與工業(yè)控制系統相關(guān)的安全事故。

    2000年10月13日，二灘電廠(chǎng)由于控制系統死機造成機組甩負荷890MW，主要原因是控制系統網(wǎng)絡(luò )和企業(yè)網(wǎng)絡(luò )的直接互聯(lián)，電廠(chǎng)控制系統受到黑客攻擊導致系統死機。

    2003年8月14日，“蠕蟲(chóng)”病毒入侵加拿大安略省的供電系統，病毒通過(guò)阻礙恢復正常供電的進(jìn)程運行，導致了美加大停電事故的發(fā)生。2010年7月， 伊朗布什爾核電站“ 震網(wǎng)病毒（Stuxnet）”事件曝光。由于tuxnet病毒的影響，布什爾核電站出現了大面積離心機故障，導致了嚴重的安全后果，該病毒感染了全球超過(guò)4萬(wàn)5千個(gè)網(wǎng)絡(luò )，其影響力震驚全球。

    2011年7月23日，甬溫線(xiàn)發(fā)生特別重大鐵路交通事故，導致事故發(fā)生的主要原因是：列控中心設備存在嚴重設計缺陷和重大安全隱患，溫州南站列控中心采集驅動(dòng)單元采集電路電源回路中保險管遭雷擊熔斷，采集數據不再更新，錯誤地顯示控制信號，最終導致列車(chē)發(fā)生追尾事故。

    這一切安全事故的發(fā)生，主要源于對ICS的信息安全問(wèn)題不夠重視，沒(méi)有從本質(zhì)上認識到工業(yè)控制系統存在的安全威脅。工業(yè)控制系統的安全甚至會(huì )關(guān)系到一個(gè)國家的戰略安全。如何應對新形勢下工業(yè)控制系統的安全威脅；如何尋求更加先進(jìn)的安全技術(shù)來(lái)保護工業(yè)控制系統的安全；如何防范APT威脅；如何為工業(yè)控制系統提供安全管理制度，建立安全管理模型，已經(jīng)逐漸成為現今需要考慮的重要問(wèn)題。面對這些接踵而至的問(wèn)題，我們需要切實(shí)加強工業(yè)控制系統信息安全預防與管理，以最終保障國家經(jīng)濟、人民生命財產(chǎn)和工業(yè)生產(chǎn)運行安全。

    2.3　工業(yè)控制系統的安全分析

    信息化、自動(dòng)化的推進(jìn)，在為社會(huì )帶來(lái)巨大進(jìn)步的同時(shí)，也使得工業(yè)控制系統所面臨的安全威脅與日俱增。圖2反映了ICS-CER（US-CERT下屬的專(zhuān)門(mén)負責工業(yè)控制系統的應急響應小組）于2010年到2013年統計調查的工業(yè)控制系統安全事件發(fā)生的基本情況。數據顯示，在四年的時(shí)間內，工控安全事件達到了632件，安全事件的四年增長(cháng)率高達24%，而且其中能源行業(yè)占59%，關(guān)鍵制造行業(yè)占20%，這些數據表明，現有工業(yè)控制系統的信息安全問(wèn)題不容樂(lè )觀(guān)^[2,3]。

圖2 ICS-CERT統計工業(yè)控制系統安全事件

   工業(yè)控制系統面臨的安全威脅主要包括以下幾點(diǎn)：

    （1）對抗性威脅

    對抗性威脅的來(lái)源包括敵對政府、恐怖組織、工業(yè)間諜、心懷不滿(mǎn)的員工、惡意入侵者、自然災害、人為事故等。為了防御對抗性威脅，需要在ICS中創(chuàng )建一個(gè)縱深的防御策略，用于防御對抗性威脅的發(fā)生。

    （2）標準化協(xié)議和技術(shù)的漏洞

    目前，ICS供應商已經(jīng)開(kāi)放其專(zhuān)有的工業(yè)控制系統協(xié)議，并公布了協(xié)議規范，但這些開(kāi)放性的標準協(xié)議中不可避免地存在漏洞，甚至相關(guān)開(kāi)發(fā)人員為了后期開(kāi)發(fā)、維護的方便，留出了“后門(mén)”程序，這些漏洞無(wú)疑會(huì )給系統或產(chǎn)品本身帶來(lái)巨大隱患。所以，只有不斷地完善、修訂、探索工業(yè)控制系統信息安全技術(shù)，才能研制出更加完善的標準化協(xié)議。同時(shí)，提高開(kāi)發(fā)人員的個(gè)人素質(zhì)和道德修養，也是保證ICS安全的一個(gè)重要途徑。

    （3）網(wǎng)絡(luò )管理缺失

    互聯(lián)網(wǎng)已經(jīng)成為了人類(lèi)信息交流的核心，但其也頻繁遭受到黑客的攻擊。工業(yè)控制系統一旦接入互聯(lián)網(wǎng)，便會(huì )直接受到黑客的非法入侵等。用戶(hù)或者工廠(chǎng)工作人員有可能將企業(yè)信息直接發(fā)布到網(wǎng)上，而這恰恰給黑客高手提供了最基本的入侵信息。因此，提高員工安全意識，增強網(wǎng)絡(luò )管理體制，定期檢查設備接入信息，采取設備物理防護措施，是保證工業(yè)控制系統安全的重要方法。

    （4）移動(dòng)存儲設備的非法接入

    在許多工廠(chǎng)控制系統中，員工為了方便，經(jīng)常使用非法移動(dòng)存儲設備接入控制系統中的主機，這無(wú)疑給控制系統帶來(lái)嚴重的威脅。黑客經(jīng)常在網(wǎng)頁(yè)、應用軟件中注入各種木馬病毒，這些病毒的最為主要的傳播途徑便是移動(dòng)存儲設備。因此，提高員工相應安全意識，增強安全防范措施，制定移動(dòng)存儲設備的管理條例是防止病毒進(jìn)入ICS的有力措施。

    （5）系統潛在的脆弱性

    系統潛在的脆弱性主要包括：策略和程序方面的脆弱性、平臺方面的脆弱性、網(wǎng)絡(luò )安全方面的脆弱性。其中，策略和程序方面的脆弱性主要源于ICS安全策略的制定不當、非正式的ICS安全培訓和安全意識、安全架構設計的不足等原因造成；平臺方面的脆弱性分為平臺配置、軟硬件、惡意軟件防護的脆弱性；網(wǎng)絡(luò )安全方面的脆弱性主要分為網(wǎng)絡(luò )配置、軟硬件、網(wǎng)絡(luò )邊界、網(wǎng)絡(luò )監控和記錄、通信/無(wú)線(xiàn)接入的脆弱性。

    3　工業(yè)控制系統信息安全標準化研究進(jìn)展

    3.1　國外工業(yè)控制系統信息安全標準化

    （1）信息系統安全標準

    盡管現今存在著(zhù)大量的信息安全標準，但是因為工業(yè)控制環(huán)境下的特殊安全需求，導致大部分的信息安全標準并不普通適用。本節將簡(jiǎn)單介紹分析國外的工業(yè)控制系統信息安全標準或指南，相關(guān)標準或指南包含了對工業(yè)控制系統的補充內容或補充指南，有的已經(jīng)在工業(yè)控制系統風(fēng)險管理中得到廣泛的使用，有的則在一定范圍內作為工業(yè)控制系統的安全規范被使用。

    首先是ISO/IEC 27000系列標準，該標準為用戶(hù)提供了完整的信息系統安全實(shí)施指南，現階段該標準依舊被不斷地修改和完善。根據ENISA的研究表明^[4]，其子標準ISO/IEC 27002^[5]是被工業(yè)控制系統運用最多的標準，該標準描述了一種基于控制目標組件化的安全控制方式。值得注意的是，另一個(gè)基于27002進(jìn)行編寫(xiě)的子標準ISO/IEC 27019:2013，提出了工業(yè)環(huán)境中信息系統安全管理指南和電源管理單元的建議。

    美國國防部（Department of Defense，DoD）提出了相應的信息安全認證系列標準（DIACAP）。其中8510.01^[6]標準定義了驗證與認證過(guò)程，以確保DoD的系統（可能使用工業(yè)控制系統中的技術(shù)）在生命周期中的
信息安全。

    美國政府編寫(xiě)了FIPS系列標準，該標準主要集中于研究定義特定的安全技術(shù)（如密碼技術(shù)）或過(guò)程處理技術(shù)（如FIPS 201-2^[7]個(gè)人身份驗證）。在該系列標準中，與工業(yè)控制系統相關(guān)的標準主要為FIPS 199^[8]和FIPS 200^[9]。其中FIPS 199通過(guò)CIA的潛在影響對信息系統進(jìn)行分類(lèi)，它一定程度上提供了SCADA的分類(lèi)實(shí)例。而FIPS 200定義了美國17個(gè)相關(guān)信息安全領(lǐng)域的最低安全要求。

    美國國家標準與技術(shù)研究所（National Institute of Standards and Technology，NIST）同樣編寫(xiě)了一系列標準與指南，用于幫助機構，使其符合相應的信息安全管理法案，并提供了工業(yè)控制系統的附加應用指南^[10]。其中NIST SP 800-82^[11]的附錄E中詳細介紹了FISMA與工業(yè)控制系統之間的關(guān)系，同時(shí)NIST SP800-53^[12]提出了相應的安全控制指南。NIST SP 800-16（draft）^[13]著(zhù)重于考慮工人的人身安全以及基于角色培訓方案的制定。NIST SP 800-18^[14]提供了系統安全的部署與發(fā)展指南。NIST SP 800-37^[15]提出6層次的信息安全系統動(dòng)態(tài)風(fēng)險管理架構，用于替代傳統認證與驗證過(guò)程。盡管NIST標準數量巨大，工業(yè)控制系統的要求只集中于FISMA的附加內容，以及兩個(gè)已出版的NISTSP 800-53和NIST 800-82標準中。

    （2）控制系統安全標準

    IEC/ISA-62443^[16]是由ISA-99委員會(huì )制定的工業(yè)控制系統安全系列標準。62443系列標準分為4大類(lèi)，分別是：

    ·通用（概念和材料）；

    ·政策與程序（安全管理系統、補丁程序管理）；

    ·系統（系統安全需求）；

    ·部件（產(chǎn)品發(fā)展需求）。

    其中最常用的兩個(gè)標準分別是ISA-62443-2-1^[17]和ISA-62443-3-2^[18]，前者描述安全管理系統的需求，并介紹了建立安全管理系統所需要的元素和流程。

    后者定義了區域和通道的架構以及安全保障等級，同時(shí)定義了工業(yè)控制系統安全保障等級的要求。

    英國國家基礎設施保護中心（U.K.CPNI）已經(jīng)制定了7部工業(yè)控制系統安全實(shí)施指南，這些指南涵蓋安全管理的所有主題。它包括技術(shù)部分（如安全體系的實(shí)施）和非技術(shù)部分（如人為因素）。CPNI也制定了相應的行業(yè)標準，例如解決民航安全問(wèn)題^[19]和提高電信系統的抗災能力。

    NAMUR NA 115為德國標準，它根據現代系統的參考體系概括了工業(yè)控制系統安全控制。此外，另一個(gè)德國標準文檔NAMUR NA 67，主要針對安全控制的應用問(wèn)題，但目前該標準文檔已經(jīng)被撤回。

    瑞典緊急事務(wù)管理署（Swedish Emergency Management Agency，SEMA）為工業(yè)控制系統安全制定了通用實(shí)施指南^[20]，該指南可以分為兩部分，第一部分主要針對管理層面的安全；第二部分主要針對操作層面的安全。同時(shí)該實(shí)施指南還對如何加強工業(yè)控制系統安全提出了15條建議。

    3.2　國內工業(yè)控制系統信息安全標準化

    國內工業(yè)控制系統信息安全標準的制定起步相對較晚，以下將從國內目前現有的工控標準研究機構介紹ICS標準的制定情況。

    （1）全國信息安全標準化技術(shù)委員會(huì )（TC260）

    全國信息安全標準技術(shù)委員會(huì )是在信息安全的專(zhuān)業(yè)領(lǐng)域內從事信息安全標準化工作的技術(shù)工作組。其工作任務(wù)是向國家標準化管理委員會(huì )提出本專(zhuān)業(yè)標準化工作的方針、政策和技術(shù)措施的建議。目前，TC260主要研制的有關(guān)ICS的標準如表1所示，在表1中我們重點(diǎn)從標準的研制狀態(tài)進(jìn)行分析描述。

    （2）全國電力系統管理及其信息交換標準化技術(shù)委員會(huì )（TC82）

    TC82是與IEC TC57對口的標準化技術(shù)委員會(huì )，其主要負責電力系統遠動(dòng)、遠方保護、變電站自動(dòng)化、配網(wǎng)自動(dòng)化、能量管理系統應用程序接口、電力市場(chǎng)、分布能源通信、水電廠(chǎng)通信、數據通信和安全方面的標準化工作。以下將重點(diǎn)介紹TC82在電力工業(yè)控制系統中所制定的標準情況。

    · 《電力系統管理及其信息交換數據和通信安全第1部分：通信網(wǎng)絡(luò )和系統安全安全問(wèn)題介紹》（GB/Z 25320.1-2010），介紹了電力系統中信息安全知識與問(wèn)題，為后續部分的基礎。

    · 《電力系統管理及其信息交換數據和通信安全第2部分：術(shù)語(yǔ)》（GB/Z 25320.2-2013），包含了該標準中所有的術(shù)語(yǔ)與縮略語(yǔ)列表。

    · 《電力系統管理及其信息交換數據和通信安全第3部分：通信網(wǎng)絡(luò )和系統安全包括TCP/IP的協(xié)議集》（GB/Z 25320.3-2010），規定了如何為SCADA和用TCP/IP作為消息傳輸層的遠動(dòng)協(xié)議提供機密性保護、篡改檢測機制和消息認證。

    · 《電力系統管理及其信息交換數據和通信安全第4部分：包含MMS的協(xié)議集》（GB/Z 25320.4-2010），規定了過(guò)程、協(xié)議擴充和算法，描述了使用制造業(yè)報文規范MMS時(shí)應實(shí)現的一些強制的和可選的安全方案。

    · 《電力系統管理及其信息交換數據和通信安全第5部分：GB/T 18657等及其衍生標準的產(chǎn)生》（GB/Z25320.5-2013），規定了協(xié)議所用的消息格式、過(guò)程和算法。

    · 《電力系統管理及其信息交換數據和通信安全第6部分：IEC 61850的安全》（GB/Z 25320.6-2011），
為了對基于或派生于IEC 61850的所有協(xié)議的運行進(jìn)行安全防護，本指導性技術(shù)文件規定了相應的消息格式、過(guò)程與算法。

    （3）全國工業(yè)過(guò)程測量和控制標準化技術(shù)委員會(huì )（TC124）TC124主要負責制定工業(yè)過(guò)程測量和控制用通信網(wǎng)絡(luò )協(xié)議標準，各類(lèi)儀器儀表、執行機構、控制設備標準和安全標準。目前其制定的工業(yè)信息安全標準如下：

    · 《工業(yè)通信網(wǎng)絡(luò ) 網(wǎng)絡(luò )和系統安全 第1-1部分：術(shù)語(yǔ)、概念和模型》，該標準規范，定義了用于工業(yè)自動(dòng)化和控制系統（IACS）信息安全的術(shù)語(yǔ)、概念和模型，是系列標準中其他標準的基礎。

    · 《工業(yè)通信網(wǎng)絡(luò ) 網(wǎng)絡(luò )和系統安全 第2-1部分：建立工業(yè)自動(dòng)化和控制系統信息安全程序》，定義了相應工業(yè)自動(dòng)化和控制系統建立要求與流程，并針對各建立要求提供對應的指南。

    · 《工業(yè)通信網(wǎng)絡(luò ) 網(wǎng)絡(luò )和系統安全 第3-1部分:工業(yè)自動(dòng)化和控制系統用安全技術(shù)》，提出了對工業(yè)自動(dòng)化系統網(wǎng)絡(luò )信息安全工具的測試標準，該標準可用于監控調節相應基礎設施與產(chǎn)業(yè)。

    · 《工業(yè)控制系統信息安全第1部分：評估規范》（GB/T 30976.1-2014），該標準主要定義了工業(yè)控制系
統信息安全評估目標，內容，以及相應的實(shí)施過(guò)程等。

    · 《工業(yè)控制系統信息安全第2部分：驗收規范》（GB/T 30976.2-2014），該標準主要針對工業(yè)控制系統的信息安全解決方案，定義了解決方案安全性的驗收流程、測試內容、方法以及最終的測試指標。并能夠通過(guò)增加設備或系統來(lái)提高安全性。

    · 分布式控制系統（DCS）安全防護標準（草案）。該標準定義了集散控制系統的安全防護區域的劃分，并對每個(gè)區域的防護要點(diǎn)、防護設備以及防護技術(shù)提出了具體的要求。它主要用于集散控制系統各關(guān)鍵基礎設施領(lǐng)域，也可作為系統設計的指導。

    · 分布式控制系統（DCS）風(fēng)險與脆弱性檢測標準（草案）：該標準定義了分布式控制系統（DCS）的風(fēng)險和脆弱性檢測。并重點(diǎn)針對于DCS軟件、DCS以太網(wǎng)網(wǎng)絡(luò )通信協(xié)議與工業(yè)控制網(wǎng)絡(luò )協(xié)議的風(fēng)險與脆弱性檢測提出具體的要求。

    · 分布式控制系統（DCS）安全評估標準（草案）。該標準定義了分布式控制系統的安全評估等級劃分、評估的對象及實(shí)施流程，包括對應用于DCS的所有產(chǎn)品及應用系統等進(jìn)行評估。它主要用于各關(guān)鍵基礎設施領(lǐng)域，也可由第三方機構對DCS系統的安全現狀做出評估。

    · 分布式控制系統（DCS）安全管理標準（草案）：本標準提出，并定義了分布式控制系統信息安全管理體系及其相關(guān)安全管理要素的具體要求。

    · FORMTEXT可編程邏輯控制器（PLC）系統信息安全要求（工作組討論稿）。該標準研究并羅列了可編程邏輯控制器（PLC）系統的信息安全要求，包括PLC通過(guò)網(wǎng)絡(luò )（以太網(wǎng)、總線(xiàn)等）直接或間接與外部通信的信息安全要求。