今日頭條
官方微信
官方抖音
資訊頻道1 前言
工業(yè)控制系統(tǒng)信息安全認證對于保護工業(yè)控制系統(tǒng)信息安全有著極其重要的意義,它能幫助工業(yè)控制系統(tǒng)產(chǎn)業(yè)的進步與成熟;幫助工業(yè)控制系統(tǒng)及安全產(chǎn)品的供應商及時發(fā)現(xiàn)問題,用更高更嚴的標準規(guī)范產(chǎn)品開發(fā)流程,提高工業(yè)控制系統(tǒng)及其安全產(chǎn)品的市場競爭力;有利于國家對工業(yè)控制系統(tǒng)及其安全產(chǎn)品的市場準入進行管理,保證工業(yè)控制系統(tǒng)運營單位采購產(chǎn)品的安全性;幫助工業(yè)控制系統(tǒng)運營單位強化員工的信息安全意識,規(guī)范組織信息安全行為,減少潛在的風險隱患。鑒于工業(yè)控制系統(tǒng)信息安全認證的重要意義,各國政府、行業(yè)協(xié)會、學術(shù)機構(gòu)及相關(guān)企業(yè)等單位都積極推動此項工作的開展,依托現(xiàn)有工業(yè)控制系統(tǒng)信息安全標準,推進認證項目,設計認證制度。ISASecure嵌入式設備安全保障認證(Embedded Device Security Assurance,EDSA)、全球工業(yè)網(wǎng)絡安全專業(yè)認證(GlobalIndustrial Cyber Security Professional, GICSP)是目前工業(yè)控制系統(tǒng)信息安全領(lǐng)域已推出的且得到普遍認可的信息安全認證。
2 ISASecure嵌入式設備安全保障認證(EDSA)
ISA安全兼容協(xié)會(ISA Security Compliance Institute, ISCI)成立于2007年,致力于為工業(yè)控制系統(tǒng)的網(wǎng)絡安全提供保障。ISCI通過推行ISASecure項目開發(fā)ISASecure認證規(guī)范,ISASecure認證規(guī)范均由工業(yè)控制系統(tǒng)運營單位、行業(yè)協(xié)會、用戶、學術(shù)界、政府和監(jiān)管機構(gòu)合作共同審核,幫助工業(yè)控制系統(tǒng)設備供應商和運營單位識別網(wǎng)絡安全產(chǎn)品及實踐。EDSA作為第一個ISASecure認證,目的在于促進工業(yè)行業(yè)加強工業(yè)控制系統(tǒng)網(wǎng)絡安全。
嵌入式設備主要由嵌入式處理器、相關(guān)支撐硬件和嵌入式軟件組成,是集軟硬件于一體的可獨立工作的器件。嵌入式設備具備便利靈活、性價比高及嵌入性強等特點,廣泛應用于工業(yè)控制系統(tǒng)中,直接監(jiān)視、控制或執(zhí)行工業(yè)過程。EDSA提供了一套通用的設備及過程規(guī)范,從設備開發(fā)、生產(chǎn)、采購等各階段保障嵌入式設備安全。
基于不斷發(fā)展的工業(yè)設備安全趨勢,EDSA提供安全保障要求逐級提高的三個設備認證級別:級別1、級別2和級別3。三個級別都對以下技術(shù)要素進行認證:軟件開發(fā)安全性評估(Software Development Security Assessment,SDSA)、功能安全性評估(Functional Security Assessment, FSA)、通訊健壯性測試(Communication Robustness Testing, CRT)。SDSA用于檢測設備在開發(fā)過程中的安全性,F(xiàn)SA用于審查設備功能的安全性,CRT測試設備在從正常到極高網(wǎng)絡速率下遭受正常和異常網(wǎng)絡流量時保證必要服務的能力。級別2和3對于SDSA和FSA的要求是逐級遞增的,CRT標準適用于各個級別。EDSA架構(gòu)如圖1所示。
圖1 EDSA架構(gòu)
2.1 軟件開發(fā)安全性評估( SDSA)
對于嵌入式設備開發(fā)的整個生命周期,SDSA的認證要求包括:安全性管理流程、安全要求規(guī)范、軟件架構(gòu)設計、安全風險評估和威脅建模、詳細的軟件設計、文檔安全指引、軟件模塊執(zhí)行和核查、安全集成測試、安全過程驗證、安全響應中心規(guī)劃、安全性驗證測試、安全響應執(zhí)行。
SDSA的基本標準適用于所有認證級別,隨著認證級別的遞增,認證要求逐漸嚴格。例如,所有級別的ISASecure嵌入式設備需要確立書面的安全要求與指定的適用范圍。再如:所有認證級別要求改變管理過程,然而級別2和級別3會對這一過程提出更多的要求。
2.2 功能安全性評估( FSA)
FSA從安全功能和執(zhí)行準確性的角度來測試嵌入式設備。安全功能可能由嵌入式設備本身或系統(tǒng)環(huán)境中支持該設備的更高級別組件來決定,例如,在某些情況下,特定設置的防火墻需與其它設備一起部署才能實現(xiàn)安全性。FSA的組織形式遵照ISA-99.03.03系統(tǒng)安全要求和安全保障級別所公認的ISA99基金會要求,涉及范圍包括:訪問控制、使用控制、數(shù)據(jù)完整性、數(shù)據(jù)可信度、數(shù)據(jù)流量限制、及時響應事件、網(wǎng)絡資源的可用性。
FSA的基本標準適用于各級別認證,隨著認證級別的遞增,F(xiàn)SA的標準會相應提高。例如:各級別的ISASecure設備必須支持自動執(zhí)行基于授權(quán)用戶的訪問控制,除非此功能被明確分配給更高級別的系統(tǒng)結(jié)構(gòu)中的組件。
2.3 通訊健壯性測試( CRT)
CRT用于測試嵌入式設備或其它關(guān)聯(lián)設備在非正常或惡意的網(wǎng)絡通訊流量的情況下執(zhí)行網(wǎng)絡協(xié)議的情況,測試又可稱為“協(xié)議模糊測試”。在不同的流量速率下,生成無效的消息和消息序列發(fā)送至嵌入式設備,設備對于每種協(xié)議已知攻擊的對抗程度也是本測試的一部分內(nèi)容。
當出現(xiàn)不正常的信息響應或設備無法繼續(xù)保證基本服務時,表明設備存在潛在的安全漏洞,CRT不檢查執(zhí)行的正確性或是否符合強制性控制協(xié)議標準的規(guī)定。因此,ISASecure CRT的一個關(guān)鍵定義是“充分保證必要的服務”,以下是必要的服務:過程控制/安全回路、過程視圖、命令(變化如設定點的過程控制參數(shù))和過程警報。要通過ISASecure CRT,過程控制/安全回路需要適應所有網(wǎng)絡流量條件,然而可以允許一些必要服務,如提供關(guān)鍵過程的歷史信息,對等控制通訊因為網(wǎng)絡接口的大流量而不是由于其它網(wǎng)絡流量條件的干擾而丟失。ISCI為圖2中的協(xié)議開發(fā)CRT規(guī)范,按照優(yōu)先級將協(xié)議分組,其中,組1的優(yōu)先級最高。
圖2 ISASecure通訊健壯性測試協(xié)議
滿足ISASecure認證規(guī)范的嵌入式設備可以獲得ISASeucre EDSA的認證證書,擁有該認證的產(chǎn)品即擁有了一個標志,證明其產(chǎn)品在安全特性和功能上得到了承認。目前,已有一些工業(yè)控制系統(tǒng)設備獲得了ISASecure嵌入式設備安全保障認證,如:霍尼韋爾安全管理器、Experion C300分布式控制系統(tǒng)、Experion現(xiàn)場總線接口模塊、橫河電機CENTUM .VP生產(chǎn)控制系統(tǒng)等。
3 全球工業(yè)網(wǎng)絡安全專業(yè)認證(GICSP)
全球信息安全認證(Global Information Assurance Certification,GIAC)是全球領(lǐng)先的網(wǎng)絡安全認證,針對關(guān)鍵基礎(chǔ)設施老化、技術(shù)過時、安全做法落后以及缺乏專業(yè)培訓等現(xiàn)狀,GIAC從提升個人技能和知識水平入手,旨在幫助設計、部署、操作和維護工業(yè)自動化和控制系統(tǒng)基礎(chǔ)設施的機構(gòu)落實最佳做法。2013年5月在得克薩斯州的休斯敦市,GIAC及行業(yè)領(lǐng)導者成立了一個由行業(yè)專家組成的小組,該小組完成一份工作任務分析的調(diào)查問卷,并發(fā)送給各個關(guān)鍵基礎(chǔ)設施參與商以確保認證能夠與其工作職責相符,確定符合GICSP認證目標所必備的知識、技術(shù)和能力范圍。同年9月,GIAC推出了全球工業(yè)網(wǎng)絡安全專業(yè)認證(GICSP)。
針對關(guān)鍵基礎(chǔ)設施攻擊的警告已經(jīng)持續(xù)多年,但是近幾年來,真正的威脅開始被確定,并給關(guān)鍵基礎(chǔ)設施
資產(chǎn)和系統(tǒng)帶來可識別性的影響。關(guān)鍵基礎(chǔ)設施,如電廠、石油天然氣等,其工業(yè)控制系統(tǒng)的安全保障水平直接關(guān)系到國家公眾利益、經(jīng)濟秩序和國家安全,一旦受到威脅和破壞,所造成的直接和間接損失是無法估量和難以接受的。工業(yè)控制系統(tǒng)安全與每個參與系統(tǒng)相關(guān)的工作人員(實際操作設備的工程師、管理和配置控制系統(tǒng)的過程控制工程師、SCADA系統(tǒng)技術(shù)支持和網(wǎng)絡安全專家等)對于安全部署和維護過程控制系統(tǒng)的知識、技能和能力是息息相關(guān)的。GICSP認證的主要目標是為工業(yè)控制系統(tǒng)工程師和網(wǎng)絡專家提供一個橋梁,將他們的專業(yè)知識進行融合,教育和認證系統(tǒng)供應商、項目工程承包商、運營商、IT服務供應商和維護支持人員,要求其具備IT、工程和網(wǎng)絡安全技能方面的復合知識體系,以確保工業(yè)控制系統(tǒng)信息安全。
GICSP項目計劃建立一個有關(guān)過程控制設計和信息技術(shù)安全的開放的知識體系,集合IT、工程和網(wǎng)絡安全技能以保障工業(yè)控制系統(tǒng)從設計之初到淘汰下線期間的安全。預計GICSP將成為全球范圍內(nèi)工業(yè)控制系統(tǒng)在網(wǎng)絡安全領(lǐng)域的網(wǎng)關(guān)認證。
4 建議
目前,我國工業(yè)控制系統(tǒng)信息安全形勢非常嚴峻,信息安全防護水平遠遠落后于發(fā)達國家,缺乏相關(guān)標準和完善的認證體系。工業(yè)控制系統(tǒng)信息安全認證作為保障工業(yè)控制系統(tǒng)安全的有效手段,迫切需要國家主管部門從政策和科研層面積極部署,企業(yè)、科研機構(gòu)等相關(guān)單位積極參與對認證標準和方法進行完善。工業(yè)自動化與控制產(chǎn)品供應商應不斷加強自身的信息安全意識和行動,運營單位完善管理制度對重要控制系統(tǒng)進行審核認證,共同提升工業(yè)控制系統(tǒng)信息安全保障水平。
作者簡介
郭嫻(1984-),湖北人,工程師,工學博士,畢業(yè)于中國科學院高能物理研究所計算機應用技術(shù)專業(yè),現(xiàn)就職于工業(yè)和信息化部電子科學技術(shù)情報研究所,主要從事工業(yè)控制系統(tǒng)信息安全相關(guān)研究工作。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號