王玉敏 機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所

１　概述

近幾年來(lái)， 在工業(yè)的各個(gè)領(lǐng)域， 有很多的安全廠(chǎng)商針對工業(yè)自動(dòng)化和控制系統（Industrial Automation and Control System，IACS）都提供了包括安全審計、流量監控等在內的防護工具、措施和策略。但是從實(shí)際上看，針對工業(yè)自動(dòng)化和控制系統的信息安全事件也在不斷惡化，由原來(lái)比較多針對電力系統（烏克蘭的電網(wǎng)事件）發(fā)展到包括化工、冶金以及軌道交通等各個(gè)關(guān)鍵領(lǐng)域的工控系統。這也充分說(shuō)明了工業(yè)控制系統安全僅依靠安全廠(chǎng)商的解決方案，不能完全解決安全防護的問(wèn)題，還需要和安全相關(guān)的各方組織一起來(lái)努力。

實(shí)際上，國際組織也發(fā)布了針對工業(yè)自動(dòng)化和控制系統信息安全的IEC62443系列標準，圖1表示了如何使用這個(gè)系列標準的各部分以及各個(gè)部分標準之間的關(guān)系。

圖1 服務(wù)提供商的能力范圍

圖1可以看到工業(yè)自動(dòng)化和控制系統安全包括了兩大部分：產(chǎn)品安全和系統的安全，其實(shí)產(chǎn)品安全主要獨立于工業(yè)自動(dòng)化和控制系統環(huán)境，是產(chǎn)品從設計到實(shí)現的整個(gè)開(kāi)發(fā)過(guò)程中需要考慮的安全能力；工業(yè)自動(dòng)化和控制系統環(huán)境下，主要是考慮系統安全，包括了資產(chǎn)所有者以及系統集成商。

其中資產(chǎn)所有者根據IEC62443-2系列的內容來(lái)制定工業(yè)自動(dòng)化和控制系統的操作和維護方面的策略和規程；系統集成商根據IEC62443-3系列的內容來(lái)設計和部署系統的能力，系統包括了基本過(guò)程控制系統，也可以包括安全儀表系統和補充的軟硬件等；產(chǎn)品供應商根據IEC62443-4系列的內容，在開(kāi)發(fā)和實(shí)現過(guò)程中針對控制系統的產(chǎn)品來(lái)實(shí)現產(chǎn)品的安全能力，產(chǎn)品包括了支持應用程序的產(chǎn)品、嵌入式設備、網(wǎng)絡(luò )組件或主機設備等。

本文主要討論現場(chǎng)服務(wù)提供商，標準的主要依據是IEC62443-2-4。IEC62443-2-4 定義了在自動(dòng)化解決方案的集成和維護活動(dòng)中IACS服務(wù)提供商可以向資產(chǎn)所有者提供的安全能力的要求。這個(gè)標準在作為技術(shù)標準推薦給廣大工業(yè)自動(dòng)化和控制系統相關(guān)方作為實(shí)現依據的同時(shí)，IECEE（國際電工委員會(huì )電工產(chǎn)品合格測試與認證組織）也成立工作組將本標準作為工業(yè)自動(dòng)化和控制系統信息安全服務(wù)提供商進(jìn)行認證的依據在進(jìn)行推廣。

2　現場(chǎng)服務(wù)提供商的分類(lèi)

我們常說(shuō)的工業(yè)自動(dòng)化和控制系統主要指工業(yè)過(guò)程運行中包括的人員、硬件、軟件、規程和策略的集合，并且能夠影響或改變其（功能）安全、（信息）安全和可靠運行。通常指分布式控制系統（DCS）、監控和數據采集（SCADA）系統等?，F場(chǎng)服務(wù)提供商分為集成服務(wù)提供商和維護服務(wù)提供商。

2.1　集成服務(wù)提供商

集成服務(wù)提供商是指能夠提供用于自動(dòng)化解決方案的包括設計、安裝、組態(tài)、測試、試車(chē)和交接在內的集成活動(dòng)。

IACS集成服務(wù)提供商通常與資產(chǎn)所有者分離，也可以是資產(chǎn)所有者的組織內的一部分。并按照合同、根據資產(chǎn)所有者的要求提供實(shí)現/部署自動(dòng)化解決方案的能力。集成服務(wù)提供商的活動(dòng)通常從設計階段開(kāi)始，在自動(dòng)化解決方案交接到資產(chǎn)所有者時(shí)結束。

IACS集成服務(wù)提供商的活動(dòng)通常包括：

（1）分析自動(dòng)化解決方案所控制的物理、電氣或機械環(huán)境（例如用于生產(chǎn)、精煉和制藥過(guò)程的受控物理過(guò)程）；

（2）開(kāi)發(fā)自動(dòng)化解決方案架構，包括設備、控制回路及其與工程師站和操作員站間的互連，可能還包含安全儀表系統（SIS）；

（3）定義如何將自動(dòng)化解決方案與外部（例如車(chē)間）網(wǎng)絡(luò )連接；

（4）安裝、配置、修補、備份以及測試，使自動(dòng)化解決方案交接給資產(chǎn)所有者；

（5）就活動(dòng)執行期間制定的決策和產(chǎn)生的輸出獲得資產(chǎn)所有者的批準。

對集成服務(wù)提供商活動(dòng)的描述，可能會(huì )排除或包括自動(dòng)化解決方案交接之前的某些活動(dòng)。這些活動(dòng)也包括與資產(chǎn)所有者合作以確保滿(mǎn)足資產(chǎn)所有者的要求。

從IEC62443的角度講，希望集成服務(wù)提供商參與自動(dòng)化解決方案的安全風(fēng)險評估，或使用資產(chǎn)所有者提供的評估結果。也希望服務(wù)提供商在其安全程序中使用62443-2-4所要求的能力來(lái)解決這些風(fēng)險。

2.2　維護服務(wù)提供商

維護服務(wù)提供商是指能夠在交接后為自動(dòng)化解決方案提供支持活動(dòng)。通常認為維護與運行是有區別的（例如，常用的口語(yǔ)中，通常假定自動(dòng)化解決方案或者是運行中，或者是維護中）。維護服務(wù)提供商能夠在運行中執行支持活動(dòng)，如管理用戶(hù)帳戶(hù)，安全監視和安全評價(jià)。

IACS維護服務(wù)提供商通常與資產(chǎn)所有者分離，也可以是資產(chǎn)所有者的一部分，有時(shí)也會(huì )有幾個(gè)維護服務(wù)商一起為資產(chǎn)所有者提供服務(wù)，并按照合同、根據資產(chǎn)所有者的要求執行維護和服務(wù)活動(dòng)。

維護活動(dòng)與自動(dòng)化解決方案操作活動(dòng)是分開(kāi)的，一般分為兩類(lèi)，一類(lèi)專(zhuān)用于維護自動(dòng)化解決方案的安全，另一類(lèi)用于維護自動(dòng)化解決方案的其他方面，例如儀器和設備維護，但有責任確保安全性不會(huì )由于這些活動(dòng)而降低。

維護活動(dòng)通常在自動(dòng)化解決方案移交給資產(chǎn)所有者后開(kāi)始，可能持續到資產(chǎn)所有者不再需要時(shí)。維護活動(dòng)通常短暫并頻繁發(fā)生的，通常包括以下的一種或幾種：

（1）補丁和反病毒更新；

（2）設備升級和維護，包括與控制算法不直接相關(guān)的工程小調整；

（3）組件和系統遷移；

（4）變更管理；

（5）應急計劃管理。

無(wú)論是否與安全直接相關(guān)，所有維護活動(dòng)都包括某種程度的安全意識。任何活動(dòng)在結束后都不應降低安全態(tài)勢。

對維護活動(dòng)的描述可能包括其它通常在自動(dòng)化解決方案交接后的活動(dòng)。這些活動(dòng)也包括與資產(chǎn)所有者協(xié)作以確保資產(chǎn)所有者的要求得到滿(mǎn)足。

從IEC62443系列的角度看，期望維護服務(wù)提供商，像集成服務(wù)提供商，參與自動(dòng)化解決方案的安全風(fēng)險評估（例如提出修改）或使用資產(chǎn)所有者提供的評估結果。也期望服務(wù)提供商在其安全程序中使用IEC62443-2-4所要求的能力來(lái)解決這些風(fēng)險。

2.3　能力域值

服務(wù)提供商需要提供的能力如表1 所示。SP（security program安全程序）請求包括了13項能力。這些能力也是IEC62443-3-3能力中和服務(wù)相關(guān)的具體補充。

表1　服務(wù)提供商需要提供的能力

2.4　主關(guān)鍵字

表1中每一個(gè)能力都可能映射到不同的主題詞，也稱(chēng)為主關(guān)鍵詞。主要內容如表2所示。

表2 主關(guān)鍵詞列表

例如：能力“SIS”SP.05.XX的主題詞包括了“風(fēng)險評估”、“網(wǎng)絡(luò )設計”、“設備-工作站”、“設備-無(wú)線(xiàn)”、“用戶(hù)界面”等。

2.5　副關(guān)鍵字

副關(guān)鍵字是在主關(guān)鍵字的基礎上對技術(shù)內容的進(jìn)一步描述。主要內容如表3所示。

表3 副關(guān)鍵詞列表

3　總結

對集成和維護服務(wù)提供商的安全程序所支持的安全能力的要求見(jiàn)前文2.1和2.2。支持這些能力意味著(zhù)服務(wù)提供商可以應資產(chǎn)所有者的要求來(lái)提供這些能力。另外，IACS服務(wù)提供商可以將IEC62443-2-4與IEC62443-3-3以及IEC62443-4-2聯(lián)合使用與下層控制系統/組件的供應商共同工作。這種協(xié)作可以幫助服務(wù)提供商開(kāi)發(fā)有關(guān)系統/組件能力的策略和規程，例如根據系統/組件的供應商的建議來(lái)進(jìn)行備份和恢復。

預計實(shí)現這些要求的安全程序將獨立于嵌入到自動(dòng)化解決方案里的控制系統的不同版本。即控制系統產(chǎn)品的新版本不一定要求改變服務(wù)提供商的安全程序。但是，當下層控制系統的改變使現有的安全程序不滿(mǎn)足IEC62443-2-4的要求時(shí)，需要改變安全程序。

例如，服務(wù)提供商可能熟悉一個(gè)特定的控制系統產(chǎn)品線(xiàn)。該產(chǎn)品線(xiàn)的開(kāi)發(fā)策略和規程基于產(chǎn)品供應商的建議及產(chǎn)品線(xiàn)的能力。因此，當產(chǎn)品的備份和恢復能力改變了，服務(wù)提供商的安全程序（對應于SP.12.XX）的相應能力可能也要改變，以便與更新后的產(chǎn)品能力保持一致。另一方面，服務(wù)提供商在保密協(xié)議或個(gè)人背景調查方面的策略和規程（對應于SP.01.03和SP.01.04）上很可能獨立于自動(dòng)化解決方案中使用的控制系統產(chǎn)品。

這種協(xié)作也可以用來(lái)改善這些系統/組件的安全。第一，服務(wù)提供商可以向系統/組件供應商推薦新的或更新后的安全特性。第二，服務(wù)提供商可以學(xué)到關(guān)于系統/組件的知識，使之可以在部署或維護期間向自動(dòng)化解決方案中添加自己的補償安全措施。

作者簡(jiǎn)介

王玉敏，女，教授級高工，碩士，畢業(yè)于北京郵電大學(xué)，現就職于機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所，自2006年開(kāi)始主要研究方向為工業(yè)控制系統信息安全。

參考文獻：

[1] IEC62443-2-4(2015): 工業(yè)自動(dòng)化和控制系統安全 第2-4部分：IACS服務(wù)提供商的安全程序要求[S].

摘自《工業(yè)控制系統信息安全》專(zhuān)刊第四輯