工信部電子標準化研究院信息安全研究中心近期將面向智能制造的工業信息安全研制關鍵標準。實現總體目標是:研究制定智能制造領域亟需的信息安全標準,初步建立國家智能制造信息安全標準體系;搭建智能制造信息安全標準驗證環境,研發相關工具集,初步形成智能制造信息安全標準驗證能力;開展標準試點示范工作,提高標準的科學性、合理性和可操作性,提升標準研制質量。
工作有以下創新點:
(1)標準研制、測試驗證、應用試點緊密結合;
(2)全面的工業控制系統安全漏洞檢測技術;
(3)驗證平臺支持主流工業網絡協議解析;
(4)多源數據融合技術全面支持工控網絡監測。將要進行的工作如下。
1 制訂以下標準
(1)信息安全技術——工業控制網絡監測安全技術要求和測試評價方法標準
工業網絡監測安全系統安全技術要求及評價測試方法主要涉及以下問題:
·工業控制網絡監測安全系統功能;
·實時分析能力和處理;
·工業網絡監測安全系統性能;
·可靠和可用性;
·安全管理;
·部署方法;
·評價方法。該標準將涉及實時工業協議數據搜集和分析、基于工業控制網絡行為的白名單、工業系統漏洞庫、工業控制異常流量分析與預警、時鐘同步、快速模式匹配技術、審計和事件追溯、實時阻斷和其他安全設施聯動、大量數據的存儲和特征數據挖掘、硬件的可靠性、旁路部署等內容。
標準將能夠為工業用戶在實際應用選型中提供參考、為工控安全產品供應商提供設計研發技術規范,幫助測評、認證機構制定具備可操作性的測試方案。
(2)信息安全技術——工業控制系統安全管理基本要求標準
工業控制系統安全管理基本要求擬包含三大類,19種控制措施,共250個控制項。其中:
·風險分析:戰略規劃(12個控制項);風險管理和評估(12個控制項)。
·風險處理:15種控制措施,共203個控制項。包括:安全策略(1)、組織機構安全(6)、人員安全(9)、物理和環境安全(21)、采購系統和服務(14)、配置管理(11)、系統和通信保護(34)、信息和文檔管理(11)、系統開發與維護(10)、安全意識和培訓(6)、應急響應(18)、存儲介質保護(7)、系統和信息完整性(13)、訪問控制(31)、安全計劃管理(11)。
·安全管理監控和復審:審計與問責(17個控制項);安全策略監控和復審(6個控制項)。
該標準是保障工業系統信息安全的基線,是實施工業系統風險評估的前提條件,是智能制造信息安全標準體系中的核心標準。能夠為工業用戶提供安全建設指導,能夠為主管部門提供管理依據,同時還能夠為第三方測評機構提供風險評估基礎。其內在聯系如圖1所示。
圖1 工業控制系統安全管理基本要求
(3)工業控制系統漏洞檢測技術要求標準其主要內容有:
·工業控制系統中漏洞檢測的概念模型和實現模型。
·工業控制系統漏洞檢測產品的技術要求,主要包括:功能要求、性能要求和安全保證要求。
·將工業控制系統漏洞檢測產品進行分級。
本標準為工業控制系統漏洞檢測產品的研制、開發、測評和采購提供技術支持和指導。使用符合本標準的工業控制系統漏洞檢測產品可對工業控制系統進行脆弱性檢測,對發現的安全隱患提出解決建議,從而提高系統的安全性。
2 標準驗證
為了驗證智能制造工業控制系統信息安全標準,信安中心將搭建基于基礎工業設施的工業控制系統離線平臺。智能制造工業控制系統安全標準驗證共性平臺將開發3個工具:網絡監測平臺、漏洞檢測和挖掘工具、網絡入侵檢測平臺。
“信息安全技術——工業控制系統網絡監測安全技術要求和測試評價方法”標準驗證包括:
·9項工業控制網絡協議分析驗證;
·10項安全分析及響應功能驗證;
·14項系統可擴展功能驗證。
3 標準試點應用
(1)第三方測評機構
電子標準化研究院信息安全研究中心將聯合第三方權威測評機構,依據“信息安全技術——工業控制系統網絡監測安全技術要求和測試評價方法”和“信息安全技術——工業控制系統漏洞檢測技術要求”開展網絡監測和漏洞檢測產品的安全測試評估,出具測試報告,指導標準優化關鍵指標項。
(2)合作伙伴
信息安全中心以智能制造信息安全標準化需求為抓手,緊密結合工控安全工作需要,與工控系統生產(集成)商、工控系統信息安全服務提供商、信息安全測評機構以及科研機構等開展了全方位合作。特別在SCADA、DCS等工控系統安全設計、研發;PLC漏洞檢測;安全防護設備和安全芯片的設計、生產、部署、測試;工控系統安全測評;威脅自感知、安全協議設計、惡意行為檢測等方面,找到了若干信息安全標準研制、驗證的工作契合點。
在標準研制驗證工作推進的同時,我們通過合作伙伴積極聯合工業企業,開展標準試點工作,一方面針對《信息安全技術工業控制網絡監測安全技術要求和測試評價方法》以及《信息安全技術工業控制系統漏洞檢測技術要求》標準草案,指導用戶單位依據標準選取安全可靠的安全防護產品,另一方面針對《信息安全技術工業控制系統安全管理基本要求》標準草案的內容,設計人員訪談計劃和配置核查清單,根據訪談結果和配置核查結果形成安全控制基線,指導甲方用戶單位建設安全保障能力,同時對標準指標項進行完善,形成標準試點工作報告。
(文章整理自“ 2015第四屆工業控制系統信息安全峰會”第三站的報告)
作者簡介
范科峰(1978-),男,陜西禮泉人,高級工程師,博士,博士后出站,碩士導師,研究方向為信息安全、信號處理、信息技術標準化等。目前負責工控安全技術標準與測評等工作,在信息安全等領域獲得省部級科技獎勵6項,榮獲第3屆中央國家機關青年五四獎章。
摘自《工業控制系統信息安全專刊(第二輯)》
