范科峰:工业控制系统信息安全标准研究制定及应用进展

范科峰(中国电子技术标准化研究院信息安全研究中心副主任):
主题:工业控制系统信息安全标准研究制定及应用进展

大家上午好,利用这个机会我想把我们前期标准的研究情况和标准的实施进展情况给大家做一个汇报。
工控安全现在成为行业热点的关注对象,现有的工控系统、软硬件、通信协议、管理环节往往存在安全隐患,工控系统安全事件近年来逐渐增加,造成的危害非常大、形势也非常严峻。

最后工业化和互联网的融合,原先的工控从自主体系、独立封闭逐渐走向开放互联,带来了很多安全的风险,与传统的IT的系统相比,工控更注重可用性、实时性和可靠性。这也对我们的工作提出了新的挑战。

从国际来看,美国在工控安全方面走的比较领先,尤其在战略方面采取一系列的措施来保障国家的关键性的基础设施的安全。包括美国发布的国家的工控安全相关的法规战略,制订了工控系统安全路线图,这个路线图在十年前已经发布了,另外也制订了工控信息安全深度防御战略,开展工控系统安全检查和评估工作。

美国也成立了专门面向ICS工控系统的ICS—CERT,开展了常规性的检查,也成立了一系列的评估实验室,主要是对特定厂商特定的产品和服务进行测评。也指导这些实验室开展现场评估,包括对工控系统外部连接、防火墙配置、安全监测。欧盟也非常重视工控安全的相关工作,包括从05年就发布了《保护信息时代社会安全战略》,也成立了工控应急响应小组,开展了应急处理和信息共享的工作。

我国政府部门也非常重视工控的工作,也制订了大量的政策,出台了文件。早在2011年工信部发布了451号文《关于加强工业控制系统信息安全管理的通知》,指导今天它仍然发挥着作用。工信部也开展了关于智能制造试点示范的通知。我们最近通过的《网络安全法》专门强化了关于国家关键信息基础设施的保护。

从我们国家工控信息安全现状来看,我们总结有四个方面:
一方面,目前工控系统网络安全产业规模,已经初具规模,但是还不够大、不够强。

第二方面,我们在工控系统领域制订了大量的标准,安全防护、管理评估的标准,但是还需要进一步完善。

第三方面,我们已经在政府部门和行业的推动下开展了PRC典型测评系统的建设。但是面临一些新的趋势,尤其是在网络安全测试方面还有待进一步加强。

第四方面,网络安全全面的管理、防护和测评能力还需要进一步提升。

我们标准院信息安全中心也是在工控安全方面做了很多的工作,包括在技术、战略、政策规划、标准的研制和验证,以及监测服务方面做了很多工作,包括技术战略开展了工控安全的攻防、中央网信办、工信部也制订了工控安全的管理办法,包括防护指南、相关的政府文件。标准制订这一块,重点制订了工控安全的管理要求包括安全控制指南。监测制订,最近也在开展标准评估工作。

目前我们获得了中央网信办颁布的云服务网络安全评估第三方机构,2014年成为国内规模最大、用户单位最多的工控安全优秀单位。今年新近获得了工信部皮肤的工业部测评重点实验室,也承担了国家的智能制造专项,在PLC等典型的方面也积累了很多的技术资源。也承担了工信部工业领域的网络安全评估工作和中央网信办国家关键基础性技术设施的任务。在工控安全标准方面,我们对国际的IEC等等进行了重点的梳理和研究。

美国的NIST是比较接近工控特点的规范,它对工控安全的系统和架构,包括信息系统的区别,以及工控系统典型的安全威胁进行了一个详细的分析和规定。同时也提出了工控系统安全的架构参考模型。在我们工控行业,经常会提到6243标准,这个标准是由IEC、TC65、ISA99共同结合制订的,它是从工业控制的角度来考虑工业控制安全的,对我们从事工控安全标准化的网络工作有借鉴意义。

我这里重点谈的就是我们处正在做的14项重要标准,我们在工控安全的管理、安全控制、网络监测、工控检测、安全隔离等等领域,在标准化方面都做了很多的工作。我们对工业领域的网络安全模型点。

现在我们的工业行业非常的广泛,包括石化、机械制造、冶金等等领域都面临着一些安全的威胁,这些领域有一些调研的基础。同时针对现在智能工厂的发展趋势,根据他的六层模型,现场设计、现场控制、过程监控、市场执行、管理、决策网络六个层面出发,考虑到它的标准化的需求,从信息安全的技术、管理、产品和服务四个层面提出他整个的工业领域的信息安全模型。这个模型的提出对我们工业厂商,包括用户单位建立安全的防护体系是具有一定的指导作用的。工控安全等级的划分、安全要求、安全评分、安全测评四个标准来共同发挥作用,共同形成一个闭环的体系。

我们重点现在在推进和执行的标准,一个是《工控系统安全管理的要求》,也刚刚发布了《工控系统安全控制应用指南》。我们从工控安全网络角度来看,这两个是相辅相成的关系,他都是在工控安全保障的不同层面进行的问题,工控系统安全管理要求主要针对工控的基本要求,定义相关初始的安全,《工控系统安全控制应用指南》主要是从工控的前期、控制应用指南、控制的步骤、控制范围来规范。对于一个工控系统安全保障,这两个标准配合起来,可以解决相应的问题。亦庄开发区已经建成了安全实验室,已经建立了面向轨道交通行业的工控安全测试平台,可以实现一些典型漏洞挖掘等等方面的研究。

同时我们的实验室里面也做了很多开发的工作和典型的模糊测试的工具,也发现了一些典型工控系统的典型的问题。目前利用这个平台可以实现部分厂商的漏洞验证,手工oday发现以及应用。目前也搜集了典型厂商的工控安全的漏洞,同时,对一些重点行业,比如说能源、钢铁以及重点行业的工控系数、工控系统外延的管理系数,及时发现,和厂商共同整改。

另外一个工作的内容就是,我们也在研究开发自主知识产权的工控安全标准符合性检测平台。各个平台可以对一般的工控企业和典型的工控网络的特控结构进行分析,对他的资产管理和安全等级可以进行在线的分析和划分。此外,还可以开展工控系统脆弱性的分析、共同评估、完整评估的业务。

前面主要把我们做的标准的情况简单进行介绍。标准制订是一个过程,最核心的还是要推广应用,真正的去宣贯和实施。目前依据32919标准我们编制了一个解读实施的教材,本月底在科技出版社正式出版。这个标准主要定义了安全管理、安全技术、安全服务等186个安全控制措施,依据这186个措施,我们开发了SSET这个评估工具,可以对一些常见的、典型的工控系统进行标准符合性的评估,目前已经正式开展的工作包括浙能集团台州第二电厂、中车株洲电力机车,沈阳昆明机床。也在河北经信委、山西经信委地方组织的活动上进行了宣贯。后面我们还会大面积的进行宣贯。

我们依据这个标准整体做评估,我们划分了六大阶段,包括规划、评估、设计、运行、实施、验收。首先是对标准进行了培训,和我们用户单位、厂商进行沟通。我们评估人员和他们的系统进行信息资产的搜集、梳理、制订系统评估方案、准备相关的评估材料。有了这些评估材料和基本数据,依据我们开发的ICSEP平台对现场的数据实地的进行评估和检查接受的工作,也要进行人员访谈、证据搜集等工作进行测试验证。

通过这些工作之后最终形成评估报告,包括评估的过程、评估的结果、证明材料、下一步整改的建议,应该是非常完善的一个报告。这是我们11月2号在上海公共安全高峰论坛上,台二电厂通过评估进行授牌的仪式。

以上是对我们规范性标准和标准型评估的介绍。大家有兴趣也可以来找我们,我们可以继续探讨一下。我们标准最新的进展和下一步要做评估的工作。我们一块来共同努力。

关于下一步的工作,因为工控安全涉及到国家关键信息基础设施安全保护,也涉及到我们国家2025战略方针也是紧密相关的。我们要从大局出发,这两块都要进行全方面的考虑,一方面是要加快重点工控安全标准的制订,以及报批和发布,同时也要加快标准的宣贯和实施。在一些重点领域开展标准的试点应用和评估工作,前期在电厂还有一些智能制造的行业也开展了一些工作,下一步想在石化等等一些重点行业进一步的拓展工作。

工控安全已经不是过去的工控设备、工控系统本身的安全,它和工业云、工业大数据、数控机床、数控网络都是紧密相关的,我们的标准范围也要做拓展,最终形成面向国家信息系统保护的规范。
谢谢大家!

上一篇:四川大学陈兴蜀:云计算服务持续监管探讨

下一篇:洪延青:个人信息保护标准的路径选择