本文依据工控安全产业生态模型相关的政府主管部门、产业联盟、科研院所及国内外友商的研究及产品服务发展动态情况,主要讨论国内工控安全领域的总体发展态势。
国外发展动态概述
自从2010年震网事件之后,世界各国对工控系统的安全问题的关注被提升到一个新的高度。世界各国都在政策、标准、技术、方案等方面展开了积极应对[LYHC2012]。最近工业控制系统安全更成为备受工业和信息安全领域研究机构关注的研究热点。
作为信息产业发展的领导者,美国很早就十分重视工控系统的安全。2003年将其视为国家安全优先事项;2008年则将其列入国家需重点保护的关键基础设施范畴。2009年颁布《保护工业控制系统战略》,涵盖能源、电力、交通等14个行业工控系统的安全。同年,在CERT组织下面成立工业控制系统网络应急相应小组(ICS-CERT),专注于工业控制系统相关的安全事故监控、分析执行漏洞和恶意代码、为事故响应和取证分析提供现场支持;通过信息产品、安全通告以及漏洞及威胁信息的共享提供工业控制系统安全事件监控及行业安全态势分析,并以季度报告的方式公开发布[ICSCERT1] [ICSCERT2]。而且美国国土安全部(The U.S. Department of Homeland Securty,DHS)启动的控制系统安全计划(Control System Security Program,CSSP)则依托工业控制系统模拟仿真平台,综合采用现场检查测评与实验室测评相结合的测评方法[DHS2011],来实施针对工业控制系统产品的脆弱性分析与验证工作。而美国国家标准与技术研究院、能源局则分别发布了《工业控制系统安全指南》(SP800-82。2013年推出最新修订版本)[NIST]、《改进SCADA网络安全的21项措施》等相关的工控系统的安全建设标准指南或最佳实践文档。同时其国内的传统信息安全厂商赛门铁克、MCAFEE、思科以及传统工控厂商罗克韦尔、通用电气以及一些新兴的专业工控安全厂商在工控系统的安全防护及产品服务提供方面也都展开了深入研究、实践及产业化工作,并总体上处于领先的地位。
在欧洲则以德国西门子、法国施耐德电气为代表的工业控制系统提供商为主,为用户提供相应的安全产品、服务及相应的解决方案。例如,德国西门子研究院设有工控安全实验室(@CT China),可提供安全咨询服务、培训、漏洞及补丁的发布。产品方面则有工控防火墙及相应的工控安全解决方案。而在国内西门子的工作则主要侧重西门子工控系统的漏洞修补,应从属于其工控系统业务。同样施耐德电气公司在国内也多是配合客户的安全整改工作,修补其产品漏洞并结合其工控安全防火墙为用户提供必要的工控安全解决方案。但是在工控系统领域的许多行业,来自欧洲的西门子、施耐德电气多具有绝对的技术与市场优势,而工控系统的信息化、智能化以及所带来安全问题的解决离不开工控厂商的支持,自然西门子等企业的市场和技术优势也将奠定未来很长一段时间内其在工控安全领域的领先地位。
在专业的工控安全厂商方面,加拿大Tofino(多芬诺)公司曾以其业内著名的工控系统防火墙成为业内领先的工控系统安全的专业厂商,其产品在石化等多个行业应用广泛。科诺康公司(Codenomicon)则以其用于漏洞发现的fuzzing 测试工具而在工控系统安全领域拥有重要的地位。此外,还有一些开源组织提供相应的工控安全工具,例如Nessue,它分为专业版(收费)和免费评估测试版,其专业版可利用相应的工控系统安全插件,对SCADA系统或PLC的控制设备的脆弱性进行检测评估。
在工控安全的国际标准研究方面,除了美国NIST的NIST800-82之外,IEC62443标准也是工控安全研究者最为关注的工控安全标准,需要与NIST800-82的内容相对照,并结合企业自身的业务特点进行综合考虑的基础上,制定工控企业实用的工控安全防护方案。
国内政策法规动态
自从工信部451号文发布之后,国内各行各业都对工控系统安全的认识达到了一个新的高度,电力、石化、制造、烟草等多个行业,陆续制定了相应的指导性文件,来指导相应行业的安全检查与整改活动。国家标准相关的组织TC260、TC124等标准组也已经启动了相应标准的研究制定工作。具体情况如下:
1.政策法规
●工信部关于工控安全的451号文
●电监会的《电力二次系统安全防护规定》
●电监会2013年50号文,《电力工控信息安全专项监管工作方案》
●国家烟草局《烟草工业企业生产区与管理区网络互联安全规范》等
2.标准草案
这两年在信安标委的指导下,正在草拟的工控安全相关标准主要包括:
●《信息安全技术 工业控制系统安全管理基本要求》
●《安全可控信息系统 (电力系统)安全指标体系》
●《信息安全技术 工业控制系统信息安全检查指南》
●《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》
●《信息安全技术 工业控制系统信息安全分级规范》
●《信息安全技术 工业控制系统测控终端安全要求》
另外,其他主管部门牵头制定的标准还有:
●《工业控制系统信息安全等级保护设计技术指南》
国内产业联盟动态
2014年4月17日,“工业控制系统信息安全产业联盟”由中国电子技术标准化研究院信息安全研究中心、全国工业过程测量控制和自动化标准化技术委员会、公安部第三研究所、工信部电子科学技术情报研究所、中国软件评测中心、中国仪器仪表行业协会等涉及国家主管部门、工控系统厂商、信息安全厂商以及行业用户的24家单位共同发起,以“搭建政府、用户、企业、科研院所、大专院校之间的交流平台,发挥纽带与桥梁作用,共同推进我国工业控制系统信息安全产业发展,保障关键基础设施安全稳定运行,支撑中国工业健康可持续发展”为宗旨,致力于为我国工业控制系统信息安全在体系建设、等级保护、风险评估、标准制定、产品开发和评测等方面迅速有效地取得积极成效而搭建一个交流平台。(内容摘自:2014绿盟科技工控系统安全态势报告)
