《工业控制系统信息安全》专刊第二辑连载
——面向智能制造的工业信息安全关键标准研制和验证平台建设

作者:工信部电子标准化研究院信息安全研究中心 范科峰
  点击数:953  发布时间:2016-01-07 09:32


    工信部电子标准化研究院信息安全研究中心近期将面向智能制造的工业信息安全研制关键标准。实现总体目标是:研究制定智能制造领域亟需的信息安全标准,初步建立国家智能制造信息安全标准体系;搭建智能制造信息安全标准验证环境,研发相关工具集,初步形成智能制造信息安全标准验证能力;开展标准试点示范工作,提高标准的科学性、合理性和可操作性,提升标准研制质量。

    工作有以下创新点:

    (1)标准研制、测试验证、应用试点紧密结合;

    (2)全面的工业控制系统安全漏洞检测技术;

    (3)验证平台支持主流工业网络协议解析;

    (4)多源数据融合技术全面支持工控网络监测。

    将要进行的工作如下。

    1 制订以下标准

    (1)信息安全技术——工业控制网络监测安全技术要求和测试评价方法标准

    工业网络监测安全系统安全技术要求及评价测试方法主要涉及以下问题:

    ·工业控制网络监测安全系统功能;

    ·实时分析能力和处理;

    ·工业网络监测安全系统性能;

    ·可靠和可用性;

    ·安全管理;

    ·部署方法;

    ·评价方法。

    该标准将涉及实时工业协议数据搜集和分析、基于工业控制网络行为的白名单、工业系统漏洞库、工业控制异常流量分析与预警、时钟同步、快速模式匹配技术、审计和事件追溯、实时阻断和其他安全设施联动、大量数据的存储和特征数据挖掘、硬件的可靠性、旁路部署等内容。

    标准将能够为工业用户在实际应用选型中提供参考、为工控安全产品供应商提供设计研发技术规范,帮助测评、认证机构制定具备可操作性的测试方案。

    (2)信息安全技术——工业控制系统安全管理基本要求标准

    工业控制系统安全管理基本要求拟包含三大类,19种控制措施,共250个控制项。其中:

    ·风险分析:战略规划(12个控制项);风险管理和评估(12个控制项)。

    ·风险处理:15种控制措施,共203个控制项。包括:安全策略(1)、组织机构安全(6)、人员安全(9)、物理和环境安全(21)、采购系统和服务(14)、配置管理(11)、系统和通信保护(34)、信息和文档管理(11)、系统开发与维护(10)、安全意识和培训(6)、应急响应(18)、存储介质保护(7)、系统和信息完整性(13)、访问控制(31)、安全计划管理(11)。

    ·安全管理监控和复审:审计与问责(17个控制项);安全策略监控和复审(6个控制项)。

    该标准是保障工业系统信息安全的基线,是实施工业系统风险评估的前提条件,是智能制造信息安全标准体系中的核心标准。能够为工业用户提供安全建设指导,能够为主管部门提供管理依据,同时还能够为第三方测评机构提供风险评估基础。其内在联系如图1所示。

    (3)工业控制系统漏洞检测技术要求标准

    其主要内容有:

    ·工业控制系统中漏洞检测的概念模型和实现模型。

    ·工业控制系统漏洞检测产品的技术要求,主要包括:功能要求、性能要求和安全保证要求。

    ·将工业控制系统漏洞检测产品进行分级。本标准为工业控制系统漏洞检测产品的研制、开发、测评和采购提供技术支持和指导。使用符合本标准的工业控制系统漏洞检测产品可对工业控制系统进行脆弱性检测,对发现的安全隐患提出解决建议,从而提高系统的安全性。

    2 标准验证

    为了验证智能制造工业控制系统信息安全标准,信安中心将搭建基于基础工业设施的工业控制系统离线平台。智能制造工业控制系统安全标准验证共性平台将开发3个工具:网络监测平台、漏洞检测和挖掘工具、网络入侵检测平台。

    “信息安全技术——工业控制系统网络监测安全技术要求和测试评价方法”标准验证包括:

    ·9项工业控制网络协议分析验证;

    ·10项安全分析及响应功能验证;

    ·14项系统可扩展功能验证。

    3 标准试点应用

    (1)第三方测评机构

    电子标准化研究院信息安全研究中心将联合第三方权威测评机构,依据“信息安全技术——工业控制系统网络监测安全技术要求和测试评价方法”和“信息安全技术——工业控制系统漏洞检测技术要求”开展网络监测和漏洞检测产品的安全测试评估,出具测试报告,指导标准优化关键指标项。

    (2)合作伙伴

    信息安全中心以智能制造信息安全标准化需求为抓手,紧密结合工控安全工作需要,与工控系统生产(集成)商、工控系统信息安全服务提供商、信息安全测评机构以及科研机构等开展了全方位合作。特别在SCADA、DCS等工控系统安全设计、研发;PLC漏洞检测;安全防护设备和安全芯片的设计、生产、部署、测试;工控系统安全测评;威胁自感知、安全协议设计、恶意行为检测等方面,找到了若干信息安全标准研制、验证的工作契合点。

    在标准研制验证工作推进的同时,我们通过合作伙伴积极联合工业企业,开展标准试点工作,一方面针对《信息安全技术工业控制网络监测安全技术要求和测试评价方法》以及《信息安全技术工业控制系统漏洞检测技术要求》标准草案,指导用户单位依据标准选取安全可靠的安全防护产品,另一方面针对《信息安全技术工业控制系统安全管理基本要求》标准草案的内容,设计人员访谈计划和配置核查清单,根据访谈结果和配置核查结果形成安全控制基线,指导甲方用户单位建设安全保障能力,同时对标准指标项进行完善,形成标准试点工作报告。

    (文章整理自“2015第四届工业控制系统信息安全峰会”第三站的报告)


作者简介

范科峰(1978-),男,陕西礼泉人,高级工程师,博士,博士后出站,硕士导师,研究方向为信息安全、信号处理、信息技术标准化等。目前负责工控安全技术标准与测评等工作,在信息安全等领域获得省部级科技奖励6项,荣获第3届中央国家机关青年五四奖章。



热点新闻
推荐产品