今日頭條
官方微信
官方抖音
資訊頻道1 前言
工業(yè)控制系統(tǒng)信息安全認(rèn)證對于保護(hù)工業(yè)控制系統(tǒng)信息安全有著極其重要的意義,它能幫助工業(yè)控制系統(tǒng)產(chǎn)業(yè)的進(jìn)步與成熟;幫助工業(yè)控制系統(tǒng)及安全產(chǎn)品的供應(yīng)商及時發(fā)現(xiàn)問題,用更高更嚴(yán)的標(biāo)準(zhǔn)規(guī)范產(chǎn)品開發(fā)流程,提高工業(yè)控制系統(tǒng)及其安全產(chǎn)品的市場競爭力;有利于國家對工業(yè)控制系統(tǒng)及其安全產(chǎn)品的市場準(zhǔn)入進(jìn)行管理,保證工業(yè)控制系統(tǒng)運營單位采購產(chǎn)品的安全性;幫助工業(yè)控制系統(tǒng)運營單位強化員工的信息安全意識,規(guī)范組織信息安全行為,減少潛在的風(fēng)險隱患。鑒于工業(yè)控制系統(tǒng)信息安全認(rèn)證的重要意義,各國政府、行業(yè)協(xié)會、學(xué)術(shù)機構(gòu)及相關(guān)企業(yè)等單位都積極推動此項工作的開展,依托現(xiàn)有工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn),推進(jìn)認(rèn)證項目,設(shè)計認(rèn)證制度。ISASecure嵌入式設(shè)備安全保障認(rèn)證(Embedded Device Security Assurance,EDSA)、全球工業(yè)網(wǎng)絡(luò)安全專業(yè)認(rèn)證(GlobalIndustrial Cyber Security Professional, GICSP)是目前工業(yè)控制系統(tǒng)信息安全領(lǐng)域已推出的且得到普遍認(rèn)可的信息安全認(rèn)證。
2 ISASecure嵌入式設(shè)備安全保障認(rèn)證(EDSA)
ISA安全兼容協(xié)會(ISA Security Compliance Institute, ISCI)成立于2007年,致力于為工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全提供保障。ISCI通過推行ISASecure項目開發(fā)ISASecure認(rèn)證規(guī)范,ISASecure認(rèn)證規(guī)范均由工業(yè)控制系統(tǒng)運營單位、行業(yè)協(xié)會、用戶、學(xué)術(shù)界、政府和監(jiān)管機構(gòu)合作共同審核,幫助工業(yè)控制系統(tǒng)設(shè)備供應(yīng)商和運營單位識別網(wǎng)絡(luò)安全產(chǎn)品及實踐。EDSA作為第一個ISASecure認(rèn)證,目的在于促進(jìn)工業(yè)行業(yè)加強工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全。
嵌入式設(shè)備主要由嵌入式處理器、相關(guān)支撐硬件和嵌入式軟件組成,是集軟硬件于一體的可獨立工作的器件。嵌入式設(shè)備具備便利靈活、性價比高及嵌入性強等特點,廣泛應(yīng)用于工業(yè)控制系統(tǒng)中,直接監(jiān)視、控制或執(zhí)行工業(yè)過程。EDSA提供了一套通用的設(shè)備及過程規(guī)范,從設(shè)備開發(fā)、生產(chǎn)、采購等各階段保障嵌入式設(shè)備安全。
基于不斷發(fā)展的工業(yè)設(shè)備安全趨勢,EDSA提供安全保障要求逐級提高的三個設(shè)備認(rèn)證級別:級別1、級別2和級別3。三個級別都對以下技術(shù)要素進(jìn)行認(rèn)證:軟件開發(fā)安全性評估(Software Development Security Assessment,SDSA)、功能安全性評估(Functional Security Assessment, FSA)、通訊健壯性測試(Communication Robustness Testing, CRT)。SDSA用于檢測設(shè)備在開發(fā)過程中的安全性,F(xiàn)SA用于審查設(shè)備功能的安全性,CRT測試設(shè)備在從正常到極高網(wǎng)絡(luò)速率下遭受正常和異常網(wǎng)絡(luò)流量時保證必要服務(wù)的能力。級別2和3對于SDSA和FSA的要求是逐級遞增的,CRT標(biāo)準(zhǔn)適用于各個級別。EDSA架構(gòu)如圖1所示。
圖1 EDSA架構(gòu)
2.1 軟件開發(fā)安全性評估( SDSA)
對于嵌入式設(shè)備開發(fā)的整個生命周期,SDSA的認(rèn)證要求包括:安全性管理流程、安全要求規(guī)范、軟件架構(gòu)設(shè)計、安全風(fēng)險評估和威脅建模、詳細(xì)的軟件設(shè)計、文檔安全指引、軟件模塊執(zhí)行和核查、安全集成測試、安全過程驗證、安全響應(yīng)中心規(guī)劃、安全性驗證測試、安全響應(yīng)執(zhí)行。
SDSA的基本標(biāo)準(zhǔn)適用于所有認(rèn)證級別,隨著認(rèn)證級別的遞增,認(rèn)證要求逐漸嚴(yán)格。例如,所有級別的ISASecure嵌入式設(shè)備需要確立書面的安全要求與指定的適用范圍。再如:所有認(rèn)證級別要求改變管理過程,然而級別2和級別3會對這一過程提出更多的要求。
2.2 功能安全性評估( FSA)
FSA從安全功能和執(zhí)行準(zhǔn)確性的角度來測試嵌入式設(shè)備。安全功能可能由嵌入式設(shè)備本身或系統(tǒng)環(huán)境中支持該設(shè)備的更高級別組件來決定,例如,在某些情況下,特定設(shè)置的防火墻需與其它設(shè)備一起部署才能實現(xiàn)安全性。FSA的組織形式遵照ISA-99.03.03系統(tǒng)安全要求和安全保障級別所公認(rèn)的ISA99基金會要求,涉及范圍包括:訪問控制、使用控制、數(shù)據(jù)完整性、數(shù)據(jù)可信度、數(shù)據(jù)流量限制、及時響應(yīng)事件、網(wǎng)絡(luò)資源的可用性。
FSA的基本標(biāo)準(zhǔn)適用于各級別認(rèn)證,隨著認(rèn)證級別的遞增,F(xiàn)SA的標(biāo)準(zhǔn)會相應(yīng)提高。例如:各級別的ISASecure設(shè)備必須支持自動執(zhí)行基于授權(quán)用戶的訪問控制,除非此功能被明確分配給更高級別的系統(tǒng)結(jié)構(gòu)中的組件。
2.3 通訊健壯性測試( CRT)
CRT用于測試嵌入式設(shè)備或其它關(guān)聯(lián)設(shè)備在非正常或惡意的網(wǎng)絡(luò)通訊流量的情況下執(zhí)行網(wǎng)絡(luò)協(xié)議的情況,測試又可稱為“協(xié)議模糊測試”。在不同的流量速率下,生成無效的消息和消息序列發(fā)送至嵌入式設(shè)備,設(shè)備對于每種協(xié)議已知攻擊的對抗程度也是本測試的一部分內(nèi)容。
當(dāng)出現(xiàn)不正常的信息響應(yīng)或設(shè)備無法繼續(xù)保證基本服務(wù)時,表明設(shè)備存在潛在的安全漏洞,CRT不檢查執(zhí)行的正確性或是否符合強制性控制協(xié)議標(biāo)準(zhǔn)的規(guī)定。因此,ISASecure CRT的一個關(guān)鍵定義是“充分保證必要的服務(wù)”,以下是必要的服務(wù):過程控制/安全回路、過程視圖、命令(變化如設(shè)定點的過程控制參數(shù))和過程警報。要通過ISASecure CRT,過程控制/安全回路需要適應(yīng)所有網(wǎng)絡(luò)流量條件,然而可以允許一些必要服務(wù),如提供關(guān)鍵過程的歷史信息,對等控制通訊因為網(wǎng)絡(luò)接口的大流量而不是由于其它網(wǎng)絡(luò)流量條件的干擾而丟失。ISCI為圖2中的協(xié)議開發(fā)CRT規(guī)范,按照優(yōu)先級將協(xié)議分組,其中,組1的優(yōu)先級最高。
圖2 ISASecure通訊健壯性測試協(xié)議
滿足ISASecure認(rèn)證規(guī)范的嵌入式設(shè)備可以獲得ISASeucre EDSA的認(rèn)證證書,擁有該認(rèn)證的產(chǎn)品即擁有了一個標(biāo)志,證明其產(chǎn)品在安全特性和功能上得到了承認(rèn)。目前,已有一些工業(yè)控制系統(tǒng)設(shè)備獲得了ISASecure嵌入式設(shè)備安全保障認(rèn)證,如:霍尼韋爾安全管理器、Experion C300分布式控制系統(tǒng)、Experion現(xiàn)場總線接口模塊、橫河電機CENTUM .VP生產(chǎn)控制系統(tǒng)等。
3 全球工業(yè)網(wǎng)絡(luò)安全專業(yè)認(rèn)證(GICSP)
全球信息安全認(rèn)證(Global Information Assurance Certification,GIAC)是全球領(lǐng)先的網(wǎng)絡(luò)安全認(rèn)證,針對關(guān)鍵基礎(chǔ)設(shè)施老化、技術(shù)過時、安全做法落后以及缺乏專業(yè)培訓(xùn)等現(xiàn)狀,GIAC從提升個人技能和知識水平入手,旨在幫助設(shè)計、部署、操作和維護(hù)工業(yè)自動化和控制系統(tǒng)基礎(chǔ)設(shè)施的機構(gòu)落實最佳做法。2013年5月在得克薩斯州的休斯敦市,GIAC及行業(yè)領(lǐng)導(dǎo)者成立了一個由行業(yè)專家組成的小組,該小組完成一份工作任務(wù)分析的調(diào)查問卷,并發(fā)送給各個關(guān)鍵基礎(chǔ)設(shè)施參與商以確保認(rèn)證能夠與其工作職責(zé)相符,確定符合GICSP認(rèn)證目標(biāo)所必備的知識、技術(shù)和能力范圍。同年9月,GIAC推出了全球工業(yè)網(wǎng)絡(luò)安全專業(yè)認(rèn)證(GICSP)。
針對關(guān)鍵基礎(chǔ)設(shè)施攻擊的警告已經(jīng)持續(xù)多年,但是近幾年來,真正的威脅開始被確定,并給關(guān)鍵基礎(chǔ)設(shè)施
資產(chǎn)和系統(tǒng)帶來可識別性的影響。關(guān)鍵基礎(chǔ)設(shè)施,如電廠、石油天然氣等,其工業(yè)控制系統(tǒng)的安全保障水平直接關(guān)系到國家公眾利益、經(jīng)濟(jì)秩序和國家安全,一旦受到威脅和破壞,所造成的直接和間接損失是無法估量和難以接受的。工業(yè)控制系統(tǒng)安全與每個參與系統(tǒng)相關(guān)的工作人員(實際操作設(shè)備的工程師、管理和配置控制系統(tǒng)的過程控制工程師、SCADA系統(tǒng)技術(shù)支持和網(wǎng)絡(luò)安全專家等)對于安全部署和維護(hù)過程控制系統(tǒng)的知識、技能和能力是息息相關(guān)的。GICSP認(rèn)證的主要目標(biāo)是為工業(yè)控制系統(tǒng)工程師和網(wǎng)絡(luò)專家提供一個橋梁,將他們的專業(yè)知識進(jìn)行融合,教育和認(rèn)證系統(tǒng)供應(yīng)商、項目工程承包商、運營商、IT服務(wù)供應(yīng)商和維護(hù)支持人員,要求其具備IT、工程和網(wǎng)絡(luò)安全技能方面的復(fù)合知識體系,以確保工業(yè)控制系統(tǒng)信息安全。
GICSP項目計劃建立一個有關(guān)過程控制設(shè)計和信息技術(shù)安全的開放的知識體系,集合IT、工程和網(wǎng)絡(luò)安全技能以保障工業(yè)控制系統(tǒng)從設(shè)計之初到淘汰下線期間的安全。預(yù)計GICSP將成為全球范圍內(nèi)工業(yè)控制系統(tǒng)在網(wǎng)絡(luò)安全領(lǐng)域的網(wǎng)關(guān)認(rèn)證。
4 建議
目前,我國工業(yè)控制系統(tǒng)信息安全形勢非常嚴(yán)峻,信息安全防護(hù)水平遠(yuǎn)遠(yuǎn)落后于發(fā)達(dá)國家,缺乏相關(guān)標(biāo)準(zhǔn)和完善的認(rèn)證體系。工業(yè)控制系統(tǒng)信息安全認(rèn)證作為保障工業(yè)控制系統(tǒng)安全的有效手段,迫切需要國家主管部門從政策和科研層面積極部署,企業(yè)、科研機構(gòu)等相關(guān)單位積極參與對認(rèn)證標(biāo)準(zhǔn)和方法進(jìn)行完善。工業(yè)自動化與控制產(chǎn)品供應(yīng)商應(yīng)不斷加強自身的信息安全意識和行動,運營單位完善管理制度對重要控制系統(tǒng)進(jìn)行審核認(rèn)證,共同提升工業(yè)控制系統(tǒng)信息安全保障水平。
作者簡介
郭嫻(1984-),湖北人,工程師,工學(xué)博士,畢業(yè)于中國科學(xué)院高能物理研究所計算機應(yīng)用技術(shù)專業(yè),現(xiàn)就職于工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所,主要從事工業(yè)控制系統(tǒng)信息安全相關(guān)研究工作。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號