范科峰:工業控制系統信息安全標準研究制定及應用進展
責編:rhliu |2016-11-10 13:27:44范科峰(中國電子技術標準化研究院信息安全研究中心副主任):
主題:工業控制系統信息安全標準研究制定及應用進展
大家上午好,利用這個機會我想把我們前期標準的研究情況和標準的實施進展情況給大家做一個匯報。
工控安全現在成為行業熱點的關注對象,現有的工控系統、軟硬件、通信協議、管理環節往往存在安全隱患,工控系統安全事件近年來逐漸增加,造成的危害非常大、形勢也非常嚴峻。
最后工業化和互聯網的融合,原先的工控從自主體系、獨立封閉逐漸走向開放互聯,帶來了很多安全的風險,與傳統的IT的系統相比,工控更注重可用性、實時性和可靠性。這也對我們的工作提出了新的挑戰。
從國際來看,美國在工控安全方面走的比較領先,尤其在戰略方面采取一系列的措施來保障國家的關鍵性的基礎設施的安全。包括美國發布的國家的工控安全相關的法規戰略,制訂了工控系統安全路線圖,這個路線圖在十年前已經發布了,另外也制訂了工控信息安全深度防御戰略,開展工控系統安全檢查和評估工作。
美國也成立了專門面向ICS工控系統的ICS—CERT,開展了常規性的檢查,也成立了一系列的評估實驗室,主要是對特定廠商特定的產品和服務進行測評。也指導這些實驗室開展現場評估,包括對工控系統外部連接、防火墻配置、安全監測。歐盟也非常重視工控安全的相關工作,包括從05年就發布了《保護信息時代社會安全戰略》,也成立了工控應急響應小組,開展了應急處理和信息共享的工作。
我國政府部門也非常重視工控的工作,也制訂了大量的政策,出臺了文件。早在2011年工信部發布了451號文《關于加強工業控制系統信息安全管理的通知》,指導今天它仍然發揮著作用。工信部也開展了關于智能制造試點示范的通知。我們最近通過的《網絡安全法》專門強化了關于國家關鍵信息基礎設施的保護。
從我們國家工控信息安全現狀來看,我們總結有四個方面:
一方面,目前工控系統網絡安全產業規模,已經初具規模,但是還不夠大、不夠強。
第二方面,我們在工控系統領域制訂了大量的標準,安全防護、管理評估的標準,但是還需要進一步完善。
第三方面,我們已經在政府部門和行業的推動下開展了PRC典型測評系統的建設。但是面臨一些新的趨勢,尤其是在網絡安全測試方面還有待進一步加強。
第四方面,網絡安全全面的管理、防護和測評能力還需要進一步提升。
我們標準院信息安全中心也是在工控安全方面做了很多的工作,包括在技術、戰略、政策規劃、標準的研制和驗證,以及監測服務方面做了很多工作,包括技術戰略開展了工控安全的攻防、中央網信辦、工信部也制訂了工控安全的管理辦法,包括防護指南、相關的政府文件。標準制訂這一塊,重點制訂了工控安全的管理要求包括安全控制指南。監測制訂,最近也在開展標準評估工作。
目前我們獲得了中央網信辦頒布的云服務網絡安全評估第三方機構,2014年成為國內規模最大、用戶單位最多的工控安全優秀單位。今年新近獲得了工信部皮膚的工業部測評重點實驗室,也承擔了國家的智能制造專項,在PLC等典型的方面也積累了很多的技術資源。也承擔了工信部工業領域的網絡安全評估工作和中央網信辦國家關鍵基礎性技術設施的任務。在工控安全標準方面,我們對國際的IEC等等進行了重點的梳理和研究。
美國的NIST是比較接近工控特點的規范,它對工控安全的系統和架構,包括信息系統的區別,以及工控系統典型的安全威脅進行了一個詳細的分析和規定。同時也提出了工控系統安全的架構參考模型。在我們工控行業,經常會提到6243標準,這個標準是由IEC、TC65、ISA99共同結合制訂的,它是從工業控制的角度來考慮工業控制安全的,對我們從事工控安全標準化的網絡工作有借鑒意義。
我這里重點談的就是我們處正在做的14項重要標準,我們在工控安全的管理、安全控制、網絡監測、工控檢測、安全隔離等等領域,在標準化方面都做了很多的工作。我們對工業領域的網絡安全模型點。
現在我們的工業行業非常的廣泛,包括石化、機械制造、冶金等等領域都面臨著一些安全的威脅,這些領域有一些調研的基礎。同時針對現在智能工廠的發展趨勢,根據他的六層模型,現場設計、現場控制、過程監控、市場執行、管理、決策網絡六個層面出發,考慮到它的標準化的需求,從信息安全的技術、管理、產品和服務四個層面提出他整個的工業領域的信息安全模型。這個模型的提出對我們工業廠商,包括用戶單位建立安全的防護體系是具有一定的指導作用的。工控安全等級的劃分、安全要求、安全評分、安全測評四個標準來共同發揮作用,共同形成一個閉環的體系。
我們重點現在在推進和執行的標準,一個是《工控系統安全管理的要求》,也剛剛發布了《工控系統安全控制應用指南》。我們從工控安全網絡角度來看,這兩個是相輔相成的關系,他都是在工控安全保障的不同層面進行的問題,工控系統安全管理要求主要針對工控的基本要求,定義相關初始的安全,《工控系統安全控制應用指南》主要是從工控的前期、控制應用指南、控制的步驟、控制范圍來規范。對于一個工控系統安全保障,這兩個標準配合起來,可以解決相應的問題。亦莊開發區已經建成了安全實驗室,已經建立了面向軌道交通行業的工控安全測試平臺,可以實現一些典型漏洞挖掘等等方面的研究。
同時我們的實驗室里面也做了很多開發的工作和典型的模糊測試的工具,也發現了一些典型工控系統的典型的問題。目前利用這個平臺可以實現部分廠商的漏洞驗證,手工oday發現以及應用。目前也搜集了典型廠商的工控安全的漏洞,同時,對一些重點行業,比如說能源、鋼鐵以及重點行業的工控系數、工控系統外延的管理系數,及時發現,和廠商共同整改。
另外一個工作的內容就是,我們也在研究開發自主知識產權的工控安全標準符合性檢測平臺。各個平臺可以對一般的工控企業和典型的工控網絡的特控結構進行分析,對他的資產管理和安全等級可以進行在線的分析和劃分。此外,還可以開展工控系統脆弱性的分析、共同評估、完整評估的業務。
前面主要把我們做的標準的情況簡單進行介紹。標準制訂是一個過程,最核心的還是要推廣應用,真正的去宣貫和實施。目前依據32919標準我們編制了一個解讀實施的教材,本月底在科技出版社正式出版。這個標準主要定義了安全管理、安全技術、安全服務等186個安全控制措施,依據這186個措施,我們開發了SSET這個評估工具,可以對一些常見的、典型的工控系統進行標準符合性的評估,目前已經正式開展的工作包括浙能集團臺州第二電廠、中車株洲電力機車,沈陽昆明機床。也在河北經信委、山西經信委地方組織的活動上進行了宣貫。后面我們還會大面積的進行宣貫。
我們依據這個標準整體做評估,我們劃分了六大階段,包括規劃、評估、設計、運行、實施、驗收。首先是對標準進行了培訓,和我們用戶單位、廠商進行溝通。我們評估人員和他們的系統進行信息資產的搜集、梳理、制訂系統評估方案、準備相關的評估材料。有了這些評估材料和基本數據,依據我們開發的ICSEP平臺對現場的數據實地的進行評估和檢查接受的工作,也要進行人員訪談、證據搜集等工作進行測試驗證。
通過這些工作之后最終形成評估報告,包括評估的過程、評估的結果、證明材料、下一步整改的建議,應該是非常完善的一個報告。這是我們11月2號在上海公共安全高峰論壇上,臺二電廠通過評估進行授牌的儀式。
以上是對我們規范性標準和標準型評估的介紹。大家有興趣也可以來找我們,我們可以繼續探討一下。我們標準最新的進展和下一步要做評估的工作。我們一塊來共同努力。
關于下一步的工作,因為工控安全涉及到國家關鍵信息基礎設施安全保護,也涉及到我們國家2025戰略方針也是緊密相關的。我們要從大局出發,這兩塊都要進行全方面的考慮,一方面是要加快重點工控安全標準的制訂,以及報批和發布,同時也要加快標準的宣貫和實施。在一些重點領域開展標準的試點應用和評估工作,前期在電廠還有一些智能制造的行業也開展了一些工作,下一步想在石化等等一些重點行業進一步的拓展工作。
工控安全已經不是過去的工控設備、工控系統本身的安全,它和工業云、工業大數據、數控機床、數控網絡都是緊密相關的,我們的標準范圍也要做拓展,最終形成面向國家信息系統保護的規范。
謝謝大家!