工信部電子標準化研究院信息安全研究中心近期將面向智能制造的工業(yè)信息安全研制關(guān)鍵標準。實(shí)現總體目標是：研究制定智能制造領(lǐng)域亟需的信息安全標準，初步建立國家智能制造信息安全標準體系；搭建智能制造信息安全標準驗證環(huán)境，研發(fā)相關(guān)工具集，初步形成智能制造信息安全標準驗證能力；開(kāi)展標準試點(diǎn)示范工作，提高標準的科學(xué)性、合理性和可操作性，提升標準研制質(zhì)量。

工作有以下創(chuàng )新點(diǎn)：

（1）標準研制、測試驗證、應用試點(diǎn)緊密結合；

（2）全面的工業(yè)控制系統安全漏洞檢測技術(shù)；

（3）驗證平臺支持主流工業(yè)網(wǎng)絡(luò )協(xié)議解析；

（4）多源數據融合技術(shù)全面支持工控網(wǎng)絡(luò )監測。將要進(jìn)行的工作如下。

1　制訂以下標準

（1）信息安全技術(shù)——工業(yè)控制網(wǎng)絡(luò )監測安全技術(shù)要求和測試評價(jià)方法標準

工業(yè)網(wǎng)絡(luò )監測安全系統安全技術(shù)要求及評價(jià)測試方法主要涉及以下問(wèn)題：

·工業(yè)控制網(wǎng)絡(luò )監測安全系統功能；

·實(shí)時(shí)分析能力和處理；

·工業(yè)網(wǎng)絡(luò )監測安全系統性能；

·可靠和可用性；

·安全管理；

·部署方法；

·評價(jià)方法。該標準將涉及實(shí)時(shí)工業(yè)協(xié)議數據搜集和分析、基于工業(yè)控制網(wǎng)絡(luò )行為的白名單、工業(yè)系統漏洞庫、工業(yè)控制異常流量分析與預警、時(shí)鐘同步、快速模式匹配技術(shù)、審計和事件追溯、實(shí)時(shí)阻斷和其他安全設施聯(lián)動(dòng)、大量數據的存儲和特征數據挖掘、硬件的可靠性、旁路部署等內容。

標準將能夠為工業(yè)用戶(hù)在實(shí)際應用選型中提供參考、為工控安全產(chǎn)品供應商提供設計研發(fā)技術(shù)規范，幫助測評、認證機構制定具備可操作性的測試方案。

（2）信息安全技術(shù)——工業(yè)控制系統安全管理基本要求標準

工業(yè)控制系統安全管理基本要求擬包含三大類(lèi)，19種控制措施，共250個(gè)控制項。其中：

·風(fēng)險分析：戰略規劃（12個(gè)控制項）；風(fēng)險管理和評估（12個(gè)控制項）。

·風(fēng)險處理：15種控制措施，共203個(gè)控制項。包括：安全策略（1）、組織機構安全（6）、人員安全（9）、物理和環(huán)境安全（21）、采購系統和服務(wù)（14）、配置管理（11）、系統和通信保護（34）、信息和文檔管理（11）、系統開(kāi)發(fā)與維護（10）、安全意識和培訓（6）、應急響應（18）、存儲介質(zhì)保護（7）、系統和信息完整性（13）、訪(fǎng)問(wèn)控制（31）、安全計劃管理（11）。

·安全管理監控和復審：審計與問(wèn)責（17個(gè)控制項）；安全策略監控和復審（6個(gè)控制項）。

該標準是保障工業(yè)系統信息安全的基線(xiàn)，是實(shí)施工業(yè)系統風(fēng)險評估的前提條件，是智能制造信息安全標準體系中的核心標準。能夠為工業(yè)用戶(hù)提供安全建設指導，能夠為主管部門(mén)提供管理依據，同時(shí)還能夠為第三方測評機構提供風(fēng)險評估基礎。其內在聯(lián)系如圖1所示。

圖1 工業(yè)控制系統安全管理基本要求

（3）工業(yè)控制系統漏洞檢測技術(shù)要求標準其主要內容有：

·工業(yè)控制系統中漏洞檢測的概念模型和實(shí)現模型。

·工業(yè)控制系統漏洞檢測產(chǎn)品的技術(shù)要求，主要包括：功能要求、性能要求和安全保證要求。

·將工業(yè)控制系統漏洞檢測產(chǎn)品進(jìn)行分級。

本標準為工業(yè)控制系統漏洞檢測產(chǎn)品的研制、開(kāi)發(fā)、測評和采購提供技術(shù)支持和指導。使用符合本標準的工業(yè)控制系統漏洞檢測產(chǎn)品可對工業(yè)控制系統進(jìn)行脆弱性檢測，對發(fā)現的安全隱患提出解決建議，從而提高系統的安全性。

2　標準驗證

為了驗證智能制造工業(yè)控制系統信息安全標準，信安中心將搭建基于基礎工業(yè)設施的工業(yè)控制系統離線(xiàn)平臺。智能制造工業(yè)控制系統安全標準驗證共性平臺將開(kāi)發(fā)3個(gè)工具：網(wǎng)絡(luò )監測平臺、漏洞檢測和挖掘工具、網(wǎng)絡(luò )入侵檢測平臺。

“信息安全技術(shù)——工業(yè)控制系統網(wǎng)絡(luò )監測安全技術(shù)要求和測試評價(jià)方法”標準驗證包括：

·9項工業(yè)控制網(wǎng)絡(luò )協(xié)議分析驗證；

·10項安全分析及響應功能驗證；

·14項系統可擴展功能驗證。

3　標準試點(diǎn)應用

（1）第三方測評機構

電子標準化研究院信息安全研究中心將聯(lián)合第三方權威測評機構，依據“信息安全技術(shù)——工業(yè)控制系統網(wǎng)絡(luò )監測安全技術(shù)要求和測試評價(jià)方法”和“信息安全技術(shù)——工業(yè)控制系統漏洞檢測技術(shù)要求”開(kāi)展網(wǎng)絡(luò )監測和漏洞檢測產(chǎn)品的安全測試評估，出具測試報告，指導標準優(yōu)化關(guān)鍵指標項。

（2）合作伙伴

信息安全中心以智能制造信息安全標準化需求為抓手，緊密結合工控安全工作需要，與工控系統生產(chǎn)（集成）商、工控系統信息安全服務(wù)提供商、信息安全測評機構以及科研機構等開(kāi)展了全方位合作。特別在SCADA、DCS等工控系統安全設計、研發(fā)；PLC漏洞檢測；安全防護設備和安全芯片的設計、生產(chǎn)、部署、測試；工控系統安全測評；威脅自感知、安全協(xié)議設計、惡意行為檢測等方面，找到了若干信息安全標準研制、驗證的工作契合點(diǎn)。

在標準研制驗證工作推進(jìn)的同時(shí)，我們通過(guò)合作伙伴積極聯(lián)合工業(yè)企業(yè)，開(kāi)展標準試點(diǎn)工作，一方面針對《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò )監測安全技術(shù)要求和測試評價(jià)方法》以及《信息安全技術(shù)工業(yè)控制系統漏洞檢測技術(shù)要求》標準草案，指導用戶(hù)單位依據標準選取安全可靠的安全防護產(chǎn)品，另一方面針對《信息安全技術(shù)工業(yè)控制系統安全管理基本要求》標準草案的內容，設計人員訪(fǎng)談?dòng)媱澓团渲煤瞬榍鍐?，根據訪(fǎng)談結果和配置核查結果形成安全控制基線(xiàn)，指導甲方用戶(hù)單位建設安全保障能力，同時(shí)對標準指標項進(jìn)行完善，形成標準試點(diǎn)工作報告。

（文章整理自“ 2015第四屆工業(yè)控制系統信息安全峰會(huì )”第三站的報告）

作者簡(jiǎn)介

范科峰（1978-），男，陜西禮泉人，高級工程師，博士，博士后出站，碩士導師，研究方向為信息安全、信號處理、信息技術(shù)標準化等。目前負責工控安全技術(shù)標準與測評等工作，在信息安全等領(lǐng)域獲得省部級科技獎勵6項，榮獲第3屆中央國家機關(guān)青年五四獎?wù)隆?/p>

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第二輯）》