工业信息安全标准概述

隋爱芬（西门子（中国）有限公司，北京 100102）

工业自动化控制系统（IACS，Industrial Automation Control System）构成了现代工业基础设施的神经系统。传统上，工业自动化控制系统多为采用专用技术的封闭网络，对外没有互联互通，其面临的信息安全威胁不突出。但近几十年来，各种工业自动化控制系统正快速地从封闭、孤立的系统走向互联，并开始广泛采用开放和通用技术，随之带来了工业控制系统所面临的信息安全威胁也日益严重。工业自动化控制系统的安全直接关系到各重点工业行业的生产安全，因而近年来成为工业自动化以及信息安全研究重点、热点领域。

标准化作为推动行业发展和行业互认的有力工具，可以为工业信息安全建设提供重要依据。本文在分析了工业信息安全威胁和需求基础上，对目前主要的工业信息安全规范做了调研，并重点介绍了IEC62443工业控制系统信息安全规范，从中可以看出主要国际标准组织对工业信息安全的应对思路。

1 工业信息安全威胁与需求

传统上，工业自动化控制系统多为采用专用技术的封闭网络，对外没有互联互通，其面临的信息安全威胁不突出。相应地，各种工业控制设备、应用、系统、通信协议都主要针对专有的封闭环境而设计。由于没有现实的信息安全威胁，工业自动化控制系统在设计、实现与部署过程中，其主要指标是可用性、功能、性能、（物理）安全性、实时性等，而无须过多考虑网络攻击、信息安全等问题。

但近几十年来，各种工业自动化控制系统正快速地从封闭、孤立的系统走向互联，例如自动化网络与IT网络相连，为实现远程维护与Internet连接等。并开始广泛采用开放和通用技术，采用以太网、TCP/IP网络作为网络基础设施；采用包括IWLAN、GPRS等在内的各种无线网络，广泛采用标准的Windows等商用操作系统、设备、中间件与各种通用技术。典型的工业自动化控制系统SCADA（Supervisory Control And Data Acquisition，数据采集与监控系统）、DCS（Distributed Control System，分布式控制系统）、PLC（Programmable Logic Controller，可编程逻辑控制器）等正日益变得开放、通用和标准化。

由于长期缺乏安全需求的推动，对网络环境下广泛存在的安全威胁缺乏充分认识，现有工业自动化控制系统过去在设计、研发中没有充分考虑安全问题，在部署、运维中又缺乏安全意识、管理、流程、策略与相关专业技术的支撑，导致许多工业自动化控制系统中存在着这样或那样的安全问题，一旦被无意或恶意利用，就会造成各种安全事件。例如由于病毒、恶意软件等导致的工厂停产；恶意操纵工控数据或应用软件；对工控系统功能未经授权的访问，工业制造的核心数据、配方被窃取等。越来越多的安全事件揭示出自动化工厂存在安全脆弱性。

但是现有IT安全措施不能直接应用于工业领域，工控系统的信息安全和IT系统的信息安全是有显著区别。首先信息安全需求不同。信息安全需求可以概括为CIA，C（con fi dentiality）表示机密性，I（integrity）表示完整性，A（availability）表示可用性。IT环境，最有可能发生的情况就是机密信息的丢失，但是不会造成人员、设备与环境的直接损失，安全需求的优先级通常是机密性、完整性、可用性。但是对于工业环境来讲，如果生产参数不能及时监控，或者参数被恶意篡改，可能会造成严重后果，因此其安全需求首先是可用性，在生产可持续的前提之下，要求数据是完整的不被篡改，机密性的要求相对不突出。工业生产系统的整个生命周期通常有10～20年，甚至更长的时间，而一般办公系统的生命周期通常只有3年。工业控制系统采用了大量嵌入式设备、以及存储和处理能力有限的设备。这些特殊之处都对信息安全提出了新的挑战和要求，而正在涌现的工业安全事件使得要求更加迫切。

标准化作为推动行业发展和行业互认的有力工具，可以为工业信息安全建设提供重要依据。随着越来越多工业领域信息安全事件的出现，全球加速了工业信息安全标准化的进程。

2 工业控制系统信息安全标准化概述

对于工业领域，标准化是战略性的和基础性的工作。随着越来越多工业领域信息安全事件的出现，全球加速了工业信息安全标准化的进程。

国际上，包括美国、欧洲在内的西方国家也早已意识到工业自动化控制系统信息安全的重要性，在上个世纪90年代左右就开始了相关的研究与标准化方面的工作。IEC TC65在ISA工作基础上，借鉴了ISO27000、WIB M-2784等标准和规范制定了IEC62443系列标准[2-6]，对信息安全管理、工业控制系统、工业控制组件提出了需求。NIST SP800-82《工业控制系统信息安全指南》[12]分析了ICS面临的威胁与漏洞特征，提供了解决安全风险的建议对策；并提供适合工业控制网络的安全控制基线措施。NERC CIP《关键基础设施防护的可靠性标准》[14]规定了北美电力关键资产保护框架。

中国政府对工业信息安全给予高度重视。2011年工业与信息化部发布“关于加强工业控制系统信息安全管理的通知”[1]，明确了重点领域工业控制系统信息安全管理要求，并强调了“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，对连接管理、组网管理、配置管理、设备选择与升级管理、数据管理、应急管理等等提出了明确要求。同时国家标准委员会也加快标准化的制定工作。

3 IEC 62443工业控制系统安全规范

IEC62443是在 ISA-99的基础上制定的。ISA99由International Society of Automation（ISA）WG4工作组负责制定，面向各种工业行业的工业自动化控制系统的安全。由于IEC 62443充分考虑了工业领域的不同的参与方（自动化产品厂商、系统/产品提供商、系统集成商、终端用户）的不同安全需求，比较符合各工业行业的对信息安全标准的需要。

IEC62443分4个部分，第一部分是总述[2]，定义了术语概念和模型以及系统安全度量。第二部分是策略和规程[3]，规定了创建工业自动化控制系统安全计划、补丁管理、安全策略和实践。第三部分是对系统的要求[4-6]，定义了工业自动化控制系统的安全技术，以及系统安全要求和安全保障等级。第四部分是对组件（部件）的要求[7]，规定了产品开发要求、产品安全技术要求。对系统和组件，分别从管理层面和技术层面提出了要求。

图1 IEC62443架构

我国积极参与IEC62443标准的制定和推广工作。SAC TC124作为IEC TC65在国内的镜像标准委员会，目前正在将IEC62443已发布标准引入国内。其中工业过程和控制安全第3部分：网络和系统信息安全（IEC62443-3: 2008 Security for industrial process measurement and control - network and system security）、工业通信网络网络和系统安全第1-1部分：概念和模型（IEC62443-1-1: 2009 Industrial communication networks - network and system security - Part 1-1: Terminology, concepts and models) 、工业通信网络网络和系统安全第3-1部分：工业自动化和控制系统用安全技术（IEC62443-1-1: 2009 Industrial communication networks - network and system security - Part 3-1: Security technologies for industrial automation and control systems) 已被等同采标为行业标准。工业通信网络网络和系统安全第2-1部分：建立工业自动化和控制系统信息安全程序（IEC 62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program）正在被等同转化为国标。

同时，TC124基于IEC62443制定了“工业控制系统信息安全第1部分：评估规范”[16]和“工业控制系统信息安全第2部分：验收规范”[17]，并正在进一步制定PLC和DCS相关安全国家标准。这些标准将为我国工业信息安全的评估、建设提供重要依据。

4 其他工业安全相关国际标准

除IEC和ISA外，还有很多国际标准组织和行业协会制定了工业信息安全相关的规范和指导文件。例如NIST在联邦信息系统安全要求[9-10]和信息系统安全控制措施[11]基础上，制定了工业控制系统安全指南；北美电力可靠性公司NERC (North American Electric Reliability Corporation)负责建立和强制实施大型电力系统的可靠性标准；化学信息技术中心（ChemITC）制定了化学领域的信息安全项目，并对关键技术问题进行了规定。本章选取NIST SP800-82和NERC CIP做简要介绍。

4.1 NIST SP800-82《工业控制系统信息安全指南》

NIST在联邦信息系统安全要求[9-10]和信息系统安全控制措施[11]基础上，制定了工业控制系统安全指南。其中FIPS 200和FIPS199是NIST制定的强制标准，FIPS200约束了信息系统所需满足的最低安全要求，FIPS 199为信息系统安全级别分类提供了标准和方法 ，NIST SP800-53为信息系统满足FIPS200提供了具体的、差异化的安全控制基线措施，NIST SP800-82分析了ICS面临的威胁与漏洞特征，提供了解决安全风险的建议对策；并提供适合工业控制网络的安全控制基线措施。

NIST SP800-82规定的安全控制措施框架如图2所示，可以大致分为管理控制措施、运维控制措施和技术控制措施。

4.2 NERC CIP《关键基础设施防护的可靠性标准》

NERC (North American Electric Reliability Corporation)是由FERC (Federal Energy Regulatory Commission) 认证的电力可靠性组织，NERC前身北美电力可靠性委员会，由电力工业创建于1968年，负责建立和强制实施大型电力系统的可靠性标准。

图2 NIST SP800-82工业控制网络安全控制措施框架

CIP (Critical Infrastructure Protection)由NERC负责制定，包括9个部分：CIP-001规定了破坏事件的上报机制，CIP-002至CIP-009规定了北美电力关键资产保护框架，如图3所示。

从2009年6月30日起，所有大型电力系统中的高压电力传输和配电（T&D）从业人员必须符合北美电力可靠性委员会的网络安全标准（NERC CIP）。发电站业主和从业人员的时间期限在6个月之后。

图3 NERC CIP《关键基础设施防护的可靠性标准》框架

5 总结

近年来，工业自动化控制系统自动化、数字化、网络化程度的不断提高，工业自动化控制系统与IT网络的互联、互通大大增加，并越来越多的采用通用和开放技术，随之带来了工业控制系统所面临的信息安全威胁也日益严重。

对于工业领域，标准化是战略性的和基础性的工作。随着工业领域信息安全事件的出现，全球加速了工业信息安全标准化的进程。IEC TC65在ISA工作基础上，借鉴了ISO27000、WIB M-2784、NIST等标准和规范制定了IEC62443系列标准，对信息安全管理、工业控制系统、工业控制组件提出了需求。我国政府对工业信息安全给予高度重视，2011年工业与信息化部发布“关于加强工业控制系统信息安全管理的通知”，国家标准委员会也加快了相关标准化的制定工作，在IEC62443的基础上，制定了工业控制系统信息安全评估规范和验收规范，并正在进一步制定PLC和DCS相关安全国家标准，这些标准将为我国工业信息安全的建设和评估提供重要依据。

[1]工业与信息化部. 关于加强工业控制系统信息安全管理的通知. 2011.

[2]IEC62443-1-1. 2009 Industrial communication networks - network and system security - Part 1-1: Terminology, concepts and models[S].

[3]IEC 62443-2-1: Industrial communication networks-Network and system security-Part2-1: establishing an industrial automation and control system security program[S].

[4]IEC62443-3: 2008 Security for industrial process measurement and control -network and system security[S].

[5]IEC62443-3-1: 2009 Industrial communication networks - network and system security - Part 3-1: Security technologies for industrial automation and control systems[S].

[6]ISA-62443.03.03 (99.03.03):Security for industrial automation and control systems, sytem security requirements and security levels[S].

[7]IEC/NP 62443-4-2: Industrial communication networks-Network and system security-Part 4-2: Techinical security requirements for IACS components[S].

[8]ISO/IEC27002:2007, IDT, Information technology-Security techniques-Code of practice for information security management[S].

[9]FIPS 200. Minimum security requirements for Federal Information and Information System[S].

[10]FIPS 199. Standards for security categorization of Federal Information and Information Systems[S].

[11]NIST SP800-53. Recommended security controls for Federal Information Systems[S].

[12]NIST SP800-82. Guide to industrial control systems (ICS) security[S].

[13]WIB M-2784. Process control domain-security requirements for vendors[S].2010

[14]NERC CIP. Critical Infrastructure Protection[S].

[15]Chemical Information Technology Center. Chemical sector cyber security program-key technology issues[S].

[16]SAC/TC124. 工业控制系统信息安全第1部分：评估规范(报批稿) [S].

[17]SAC/TC124. 工业控制系统信息安全第2部分：验收规范(报批稿) [S].