1　引言

    现今，人类社会正不断由工业化、自动化向网络化、信息化、智能化、数字化转变，实现信息化、产业化、智能化已成为工业控制系统研究的热点。工业控制系统（Industrial Control System，ICS）将会面临着巨大的变革。首先是网络架构的变化，过去自成一体的工业控制系统正在以各种方式接入企业网和互联网；其次是通信协议的多样化，各种工业通信协议已经应用于工业生产中，主要包括无线工业通信协议WIA-PA、ISA100.11a、Wireless HART，以及有线工业通信协议Modbus、PROFIBUS、CAN总线等，传统的IT技术正在逐步渗入工业控制系统。

    随着“工业4.0”的提出，以智能制造为主导的第四次工业革命拉开帷幕。“工业4.0”已经成为德国的国家
战略，结合“工业4.0”的核心理念，我国提出了“中国制造2025”宏伟蓝图。然而，工业革命的飞快变革给工业控制系统带来了更多的信息安全问题和全新的挑战。

    本文从ICS的概念和安全分析入手，研究并描述了ICS架构模型和面临的安全威胁，通过分析国内外工业控制系统信息安全标准的制定情况，为工业控制系统的安全建设提供理论研究基础。

    2　工业控制系统现状与安全分析

    2.1　工业控制系统及其架构

    工业控制系统是一个总称，涵盖各种类型的控制系统，包括数据采集和监视控制系统（SCADA）、分布式控制系统（DCS）以及其它小型控制系统，如可编程逻辑控制器（PLC）的控制系统等。这些控制系统往往相互联系、相互依存，是国家关键基础设施正常运行的关键。

    典型的工业控制系统网络架构如图1所示^[1]。主要包括企业管理网络、过程控制网络和现场控制网络三部分。其中企业管理网络具备了传统IT网络的属性，主要负责与互联网和控制网络的信息交互管理；过程控制网络是企业网和现场控制网络的桥梁与纽带，主要设有实时服务器、海量历史数据服务器、工程师站和操作站等；现场控制网络位于工业控制系统的最底层，包括直接从事指令控制工作的PLC、远程终端设备、数据采集设备和执行控制器等控制部件。执行器数据采集设备与控制设备的连接可以采用目前主流的工业无线通信协议，也可以采用典型的工业有线通信协议。

图1 典型工业控制系统网络架构图
（注释：隔离区（DMZ）用于隔离企业网和控制网之间的直接通信，确保两网之间的通信安全。）

    2.2　工业控制系统安全现状

    如今，工业控制系统面临着许多安全威胁，以下详细列举近年来国内外发生的与工业控制系统相关的安全事故。

    2000年10月13日，二滩电厂由于控制系统死机造成机组甩负荷890MW，主要原因是控制系统网络和企业网络的直接互联，电厂控制系统受到黑客攻击导致系统死机。

    2003年8月14日，“蠕虫”病毒入侵加拿大安略省的供电系统，病毒通过阻碍恢复正常供电的进程运行，导致了美加大停电事故的发生。2010年7月， 伊朗布什尔核电站“ 震网病毒（Stuxnet）”事件曝光。由于tuxnet病毒的影响，布什尔核电站出现了大面积离心机故障，导致了严重的安全后果，该病毒感染了全球超过4万5千个网络，其影响力震惊全球。

    2011年7月23日，甬温线发生特别重大铁路交通事故，导致事故发生的主要原因是：列控中心设备存在严重设计缺陷和重大安全隐患，温州南站列控中心采集驱动单元采集电路电源回路中保险管遭雷击熔断，采集数据不再更新，错误地显示控制信号，最终导致列车发生追尾事故。

    这一切安全事故的发生，主要源于对ICS的信息安全问题不够重视，没有从本质上认识到工业控制系统存在的安全威胁。工业控制系统的安全甚至会关系到一个国家的战略安全。如何应对新形势下工业控制系统的安全威胁；如何寻求更加先进的安全技术来保护工业控制系统的安全；如何防范APT威胁；如何为工业控制系统提供安全管理制度，建立安全管理模型，已经逐渐成为现今需要考虑的重要问题。面对这些接踵而至的问题，我们需要切实加强工业控制系统信息安全预防与管理，以最终保障国家经济、人民生命财产和工业生产运行安全。

    2.3　工业控制系统的安全分析

    信息化、自动化的推进，在为社会带来巨大进步的同时，也使得工业控制系统所面临的安全威胁与日俱增。图2反映了ICS-CER（US-CERT下属的专门负责工业控制系统的应急响应小组）于2010年到2013年统计调查的工业控制系统安全事件发生的基本情况。数据显示，在四年的时间内，工控安全事件达到了632件，安全事件的四年增长率高达24%，而且其中能源行业占59%，关键制造行业占20%，这些数据表明，现有工业控制系统的信息安全问题不容乐观^[2,3]。

图2 ICS-CERT统计工业控制系统安全事件

   工业控制系统面临的安全威胁主要包括以下几点：

    （1）对抗性威胁

    对抗性威胁的来源包括敌对政府、恐怖组织、工业间谍、心怀不满的员工、恶意入侵者、自然灾害、人为事故等。为了防御对抗性威胁，需要在ICS中创建一个纵深的防御策略，用于防御对抗性威胁的发生。

    （2）标准化协议和技术的漏洞

    目前，ICS供应商已经开放其专有的工业控制系统协议，并公布了协议规范，但这些开放性的标准协议中不可避免地存在漏洞，甚至相关开发人员为了后期开发、维护的方便，留出了“后门”程序，这些漏洞无疑会给系统或产品本身带来巨大隐患。所以，只有不断地完善、修订、探索工业控制系统信息安全技术，才能研制出更加完善的标准化协议。同时，提高开发人员的个人素质和道德修养，也是保证ICS安全的一个重要途径。

    （3）网络管理缺失

    互联网已经成为了人类信息交流的核心，但其也频繁遭受到黑客的攻击。工业控制系统一旦接入互联网，便会直接受到黑客的非法入侵等。用户或者工厂工作人员有可能将企业信息直接发布到网上，而这恰恰给黑客高手提供了最基本的入侵信息。因此，提高员工安全意识，增强网络管理体制，定期检查设备接入信息，采取设备物理防护措施，是保证工业控制系统安全的重要方法。

    （4）移动存储设备的非法接入

    在许多工厂控制系统中，员工为了方便，经常使用非法移动存储设备接入控制系统中的主机，这无疑给控制系统带来严重的威胁。黑客经常在网页、应用软件中注入各种木马病毒，这些病毒的最为主要的传播途径便是移动存储设备。因此，提高员工相应安全意识，增强安全防范措施，制定移动存储设备的管理条例是防止病毒进入ICS的有力措施。

    （5）系统潜在的脆弱性

    系统潜在的脆弱性主要包括：策略和程序方面的脆弱性、平台方面的脆弱性、网络安全方面的脆弱性。其中，策略和程序方面的脆弱性主要源于ICS安全策略的制定不当、非正式的ICS安全培训和安全意识、安全架构设计的不足等原因造成；平台方面的脆弱性分为平台配置、软硬件、恶意软件防护的脆弱性；网络安全方面的脆弱性主要分为网络配置、软硬件、网络边界、网络监控和记录、通信/无线接入的脆弱性。

    3　工业控制系统信息安全标准化研究进展

    3.1　国外工业控制系统信息安全标准化

    （1）信息系统安全标准

    尽管现今存在着大量的信息安全标准，但是因为工业控制环境下的特殊安全需求，导致大部分的信息安全标准并不普通适用。本节将简单介绍分析国外的工业控制系统信息安全标准或指南，相关标准或指南包含了对工业控制系统的补充内容或补充指南，有的已经在工业控制系统风险管理中得到广泛的使用，有的则在一定范围内作为工业控制系统的安全规范被使用。

    首先是ISO/IEC 27000系列标准，该标准为用户提供了完整的信息系统安全实施指南，现阶段该标准依旧被不断地修改和完善。根据ENISA的研究表明^[4]，其子标准ISO/IEC 27002^[5]是被工业控制系统运用最多的标准，该标准描述了一种基于控制目标组件化的安全控制方式。值得注意的是，另一个基于27002进行编写的子标准ISO/IEC 27019:2013，提出了工业环境中信息系统安全管理指南和电源管理单元的建议。

    美国国防部（Department of Defense，DoD）提出了相应的信息安全认证系列标准（DIACAP）。其中8510.01^[6]标准定义了验证与认证过程，以确保DoD的系统（可能使用工业控制系统中的技术）在生命周期中的
信息安全。

    美国政府编写了FIPS系列标准，该标准主要集中于研究定义特定的安全技术（如密码技术）或过程处理技术（如FIPS 201-2^[7]个人身份验证）。在该系列标准中，与工业控制系统相关的标准主要为FIPS 199^[8]和FIPS 200^[9]。其中FIPS 199通过CIA的潜在影响对信息系统进行分类，它一定程度上提供了SCADA的分类实例。而FIPS 200定义了美国17个相关信息安全领域的最低安全要求。

    美国国家标准与技术研究所（National Institute of Standards and Technology，NIST）同样编写了一系列标准与指南，用于帮助机构，使其符合相应的信息安全管理法案，并提供了工业控制系统的附加应用指南^[10]。其中NIST SP 800-82^[11]的附录E中详细介绍了FISMA与工业控制系统之间的关系，同时NIST SP800-53^[12]提出了相应的安全控制指南。NIST SP 800-16（draft）^[13]着重于考虑工人的人身安全以及基于角色培训方案的制定。NIST SP 800-18^[14]提供了系统安全的部署与发展指南。NIST SP 800-37^[15]提出6层次的信息安全系统动态风险管理架构，用于替代传统认证与验证过程。尽管NIST标准数量巨大，工业控制系统的要求只集中于FISMA的附加内容，以及两个已出版的NISTSP 800-53和NIST 800-82标准中。

    （2）控制系统安全标准

    IEC/ISA-62443^[16]是由ISA-99委员会制定的工业控制系统安全系列标准。62443系列标准分为4大类，分别是：

    ·通用（概念和材料）；

    ·政策与程序（安全管理系统、补丁程序管理）；

    ·系统（系统安全需求）；

    ·部件（产品发展需求）。

    其中最常用的两个标准分别是ISA-62443-2-1^[17]和ISA-62443-3-2^[18]，前者描述安全管理系统的需求，并介绍了建立安全管理系统所需要的元素和流程。

    后者定义了区域和通道的架构以及安全保障等级，同时定义了工业控制系统安全保障等级的要求。

    英国国家基础设施保护中心（U.K.CPNI）已经制定了7部工业控制系统安全实施指南，这些指南涵盖安全管理的所有主题。它包括技术部分（如安全体系的实施）和非技术部分（如人为因素）。CPNI也制定了相应的行业标准，例如解决民航安全问题^[19]和提高电信系统的抗灾能力。

    NAMUR NA 115为德国标准，它根据现代系统的参考体系概括了工业控制系统安全控制。此外，另一个德国标准文档NAMUR NA 67，主要针对安全控制的应用问题，但目前该标准文档已经被撤回。

    瑞典紧急事务管理署（Swedish Emergency Management Agency，SEMA）为工业控制系统安全制定了通用实施指南^[20]，该指南可以分为两部分，第一部分主要针对管理层面的安全；第二部分主要针对操作层面的安全。同时该实施指南还对如何加强工业控制系统安全提出了15条建议。

    3.2　国内工业控制系统信息安全标准化

    国内工业控制系统信息安全标准的制定起步相对较晚，以下将从国内目前现有的工控标准研究机构介绍ICS标准的制定情况。

    （1）全国信息安全标准化技术委员会（TC260）

    全国信息安全标准技术委员会是在信息安全的专业领域内从事信息安全标准化工作的技术工作组。其工作任务是向国家标准化管理委员会提出本专业标准化工作的方针、政策和技术措施的建议。目前，TC260主要研制的有关ICS的标准如表1所示，在表1中我们重点从标准的研制状态进行分析描述。

    （2）全国电力系统管理及其信息交换标准化技术委员会（TC82）

    TC82是与IEC TC57对口的标准化技术委员会，其主要负责电力系统远动、远方保护、变电站自动化、配网自动化、能量管理系统应用程序接口、电力市场、分布能源通信、水电厂通信、数据通信和安全方面的标准化工作。以下将重点介绍TC82在电力工业控制系统中所制定的标准情况。

    · 《电力系统管理及其信息交换数据和通信安全第1部分：通信网络和系统安全安全问题介绍》（GB/Z 25320.1-2010），介绍了电力系统中信息安全知识与问题，为后续部分的基础。

    · 《电力系统管理及其信息交换数据和通信安全第2部分：术语》（GB/Z 25320.2-2013），包含了该标准中所有的术语与缩略语列表。

    · 《电力系统管理及其信息交换数据和通信安全第3部分：通信网络和系统安全包括TCP/IP的协议集》（GB/Z 25320.3-2010），规定了如何为SCADA和用TCP/IP作为消息传输层的远动协议提供机密性保护、篡改检测机制和消息认证。

    · 《电力系统管理及其信息交换数据和通信安全第4部分：包含MMS的协议集》（GB/Z 25320.4-2010），规定了过程、协议扩充和算法，描述了使用制造业报文规范MMS时应实现的一些强制的和可选的安全方案。

    · 《电力系统管理及其信息交换数据和通信安全第5部分：GB/T 18657等及其衍生标准的产生》（GB/Z25320.5-2013），规定了协议所用的消息格式、过程和算法。

    · 《电力系统管理及其信息交换数据和通信安全第6部分：IEC 61850的安全》（GB/Z 25320.6-2011），
为了对基于或派生于IEC 61850的所有协议的运行进行安全防护，本指导性技术文件规定了相应的消息格式、过程与算法。

    （3）全国工业过程测量和控制标准化技术委员会（TC124）TC124主要负责制定工业过程测量和控制用通信网络协议标准，各类仪器仪表、执行机构、控制设备标准和安全标准。目前其制定的工业信息安全标准如下：

    · 《工业通信网络 网络和系统安全 第1-1部分：术语、概念和模型》，该标准规范，定义了用于工业自动化和控制系统（IACS）信息安全的术语、概念和模型，是系列标准中其他标准的基础。

    · 《工业通信网络 网络和系统安全 第2-1部分：建立工业自动化和控制系统信息安全程序》，定义了相应工业自动化和控制系统建立要求与流程，并针对各建立要求提供对应的指南。

    · 《工业通信网络 网络和系统安全 第3-1部分:工业自动化和控制系统用安全技术》，提出了对工业自动化系统网络信息安全工具的测试标准，该标准可用于监控调节相应基础设施与产业。

    · 《工业控制系统信息安全第1部分：评估规范》（GB/T 30976.1-2014），该标准主要定义了工业控制系
统信息安全评估目标，内容，以及相应的实施过程等。

    · 《工业控制系统信息安全第2部分：验收规范》（GB/T 30976.2-2014），该标准主要针对工业控制系统的信息安全解决方案，定义了解决方案安全性的验收流程、测试内容、方法以及最终的测试指标。并能够通过增加设备或系统来提高安全性。

    · 分布式控制系统（DCS）安全防护标准（草案）。该标准定义了集散控制系统的安全防护区域的划分，并对每个区域的防护要点、防护设备以及防护技术提出了具体的要求。它主要用于集散控制系统各关键基础设施领域，也可作为系统设计的指导。

    · 分布式控制系统（DCS）风险与脆弱性检测标准（草案）：该标准定义了分布式控制系统（DCS）的风险和脆弱性检测。并重点针对于DCS软件、DCS以太网网络通信协议与工业控制网络协议的风险与脆弱性检测提出具体的要求。

    · 分布式控制系统（DCS）安全评估标准（草案）。该标准定义了分布式控制系统的安全评估等级划分、评估的对象及实施流程，包括对应用于DCS的所有产品及应用系统等进行评估。它主要用于各关键基础设施领域，也可由第三方机构对DCS系统的安全现状做出评估。

    · 分布式控制系统（DCS）安全管理标准（草案）：本标准提出，并定义了分布式控制系统信息安全管理体系及其相关安全管理要素的具体要求。

    · FORMTEXT可编程逻辑控制器（PLC）系统信息安全要求（工作组讨论稿）。该标准研究并罗列了可编程逻辑控制器（PLC）系统的信息安全要求，包括PLC通过网络（以太网、总线等）直接或间接与外部通信的信息安全要求。