王玉敏 机械工业仪器仪表综合技术经济研究所

１　概述

近几年来， 在工业的各个领域， 有很多的安全厂商针对工业自动化和控制系统（Industrial Automation and Control System，IACS）都提供了包括安全审计、流量监控等在内的防护工具、措施和策略。但是从实际上看，针对工业自动化和控制系统的信息安全事件也在不断恶化，由原来比较多针对电力系统（乌克兰的电网事件）发展到包括化工、冶金以及轨道交通等各个关键领域的工控系统。这也充分说明了工业控制系统安全仅依靠安全厂商的解决方案，不能完全解决安全防护的问题，还需要和安全相关的各方组织一起来努力。

实际上，国际组织也发布了针对工业自动化和控制系统信息安全的IEC62443系列标准，图1表示了如何使用这个系列标准的各部分以及各个部分标准之间的关系。

图1 服务提供商的能力范围

图1可以看到工业自动化和控制系统安全包括了两大部分：产品安全和系统的安全，其实产品安全主要独立于工业自动化和控制系统环境，是产品从设计到实现的整个开发过程中需要考虑的安全能力；工业自动化和控制系统环境下，主要是考虑系统安全，包括了资产所有者以及系统集成商。

其中资产所有者根据IEC62443-2系列的内容来制定工业自动化和控制系统的操作和维护方面的策略和规程；系统集成商根据IEC62443-3系列的内容来设计和部署系统的能力，系统包括了基本过程控制系统，也可以包括安全仪表系统和补充的软硬件等；产品供应商根据IEC62443-4系列的内容，在开发和实现过程中针对控制系统的产品来实现产品的安全能力，产品包括了支持应用程序的产品、嵌入式设备、网络组件或主机设备等。

本文主要讨论现场服务提供商，标准的主要依据是IEC62443-2-4。IEC62443-2-4 定义了在自动化解决方案的集成和维护活动中IACS服务提供商可以向资产所有者提供的安全能力的要求。这个标准在作为技术标准推荐给广大工业自动化和控制系统相关方作为实现依据的同时，IECEE（国际电工委员会电工产品合格测试与认证组织）也成立工作组将本标准作为工业自动化和控制系统信息安全服务提供商进行认证的依据在进行推广。

2　现场服务提供商的分类

我们常说的工业自动化和控制系统主要指工业过程运行中包括的人员、硬件、软件、规程和策略的集合，并且能够影响或改变其（功能）安全、（信息）安全和可靠运行。通常指分布式控制系统（DCS）、监控和数据采集（SCADA）系统等。现场服务提供商分为集成服务提供商和维护服务提供商。

2.1　集成服务提供商

集成服务提供商是指能够提供用于自动化解决方案的包括设计、安装、组态、测试、试车和交接在内的集成活动。

IACS集成服务提供商通常与资产所有者分离，也可以是资产所有者的组织内的一部分。并按照合同、根据资产所有者的要求提供实现/部署自动化解决方案的能力。集成服务提供商的活动通常从设计阶段开始，在自动化解决方案交接到资产所有者时结束。

IACS集成服务提供商的活动通常包括：

（1）分析自动化解决方案所控制的物理、电气或机械环境（例如用于生产、精炼和制药过程的受控物理过程）；

（2）开发自动化解决方案架构，包括设备、控制回路及其与工程师站和操作员站间的互连，可能还包含安全仪表系统（SIS）；

（3）定义如何将自动化解决方案与外部（例如车间）网络连接；

（4）安装、配置、修补、备份以及测试，使自动化解决方案交接给资产所有者；

（5）就活动执行期间制定的决策和产生的输出获得资产所有者的批准。

对集成服务提供商活动的描述，可能会排除或包括自动化解决方案交接之前的某些活动。这些活动也包括与资产所有者合作以确保满足资产所有者的要求。

从IEC62443的角度讲，希望集成服务提供商参与自动化解决方案的安全风险评估，或使用资产所有者提供的评估结果。也希望服务提供商在其安全程序中使用62443-2-4所要求的能力来解决这些风险。

2.2　维护服务提供商

维护服务提供商是指能够在交接后为自动化解决方案提供支持活动。通常认为维护与运行是有区别的（例如，常用的口语中，通常假定自动化解决方案或者是运行中，或者是维护中）。维护服务提供商能够在运行中执行支持活动，如管理用户帐户，安全监视和安全评价。

IACS维护服务提供商通常与资产所有者分离，也可以是资产所有者的一部分，有时也会有几个维护服务商一起为资产所有者提供服务，并按照合同、根据资产所有者的要求执行维护和服务活动。

维护活动与自动化解决方案操作活动是分开的，一般分为两类，一类专用于维护自动化解决方案的安全，另一类用于维护自动化解决方案的其他方面，例如仪器和设备维护，但有责任确保安全性不会由于这些活动而降低。

维护活动通常在自动化解决方案移交给资产所有者后开始，可能持续到资产所有者不再需要时。维护活动通常短暂并频繁发生的，通常包括以下的一种或几种：

（1）补丁和反病毒更新；

（2）设备升级和维护，包括与控制算法不直接相关的工程小调整；

（3）组件和系统迁移；

（4）变更管理；

（5）应急计划管理。

无论是否与安全直接相关，所有维护活动都包括某种程度的安全意识。任何活动在结束后都不应降低安全态势。

对维护活动的描述可能包括其它通常在自动化解决方案交接后的活动。这些活动也包括与资产所有者协作以确保资产所有者的要求得到满足。

从IEC62443系列的角度看，期望维护服务提供商，像集成服务提供商，参与自动化解决方案的安全风险评估（例如提出修改）或使用资产所有者提供的评估结果。也期望服务提供商在其安全程序中使用IEC62443-2-4所要求的能力来解决这些风险。

2.3　能力域值

服务提供商需要提供的能力如表1 所示。SP（security program安全程序）请求包括了13项能力。这些能力也是IEC62443-3-3能力中和服务相关的具体补充。

表1　服务提供商需要提供的能力

2.4　主关键字

表1中每一个能力都可能映射到不同的主题词，也称为主关键词。主要内容如表2所示。

表2 主关键词列表

例如：能力“SIS”SP.05.XX的主题词包括了“风险评估”、“网络设计”、“设备-工作站”、“设备-无线”、“用户界面”等。

2.5　副关键字

副关键字是在主关键字的基础上对技术内容的进一步描述。主要内容如表3所示。

表3 副关键词列表

3　总结

对集成和维护服务提供商的安全程序所支持的安全能力的要求见前文2.1和2.2。支持这些能力意味着服务提供商可以应资产所有者的要求来提供这些能力。另外，IACS服务提供商可以将IEC62443-2-4与IEC62443-3-3以及IEC62443-4-2联合使用与下层控制系统/组件的供应商共同工作。这种协作可以帮助服务提供商开发有关系统/组件能力的策略和规程，例如根据系统/组件的供应商的建议来进行备份和恢复。

预计实现这些要求的安全程序将独立于嵌入到自动化解决方案里的控制系统的不同版本。即控制系统产品的新版本不一定要求改变服务提供商的安全程序。但是，当下层控制系统的改变使现有的安全程序不满足IEC62443-2-4的要求时，需要改变安全程序。

例如，服务提供商可能熟悉一个特定的控制系统产品线。该产品线的开发策略和规程基于产品供应商的建议及产品线的能力。因此，当产品的备份和恢复能力改变了，服务提供商的安全程序（对应于SP.12.XX）的相应能力可能也要改变，以便与更新后的产品能力保持一致。另一方面，服务提供商在保密协议或个人背景调查方面的策略和规程（对应于SP.01.03和SP.01.04）上很可能独立于自动化解决方案中使用的控制系统产品。

这种协作也可以用来改善这些系统/组件的安全。第一，服务提供商可以向系统/组件供应商推荐新的或更新后的安全特性。第二，服务提供商可以学到关于系统/组件的知识，使之可以在部署或维护期间向自动化解决方案中添加自己的补偿安全措施。

作者简介

王玉敏，女，教授级高工，硕士，毕业于北京邮电大学，现就职于机械工业仪器仪表综合技术经济研究所，自2006年开始主要研究方向为工业控制系统信息安全。

参考文献：

[1] IEC62443-2-4(2015): 工业自动化和控制系统安全 第2-4部分：IACS服务提供商的安全程序要求[S].

摘自《工业控制系统信息安全》专刊第四辑