信息化和工业化深度融合，使得工业自动化和控制系统（IACS）运行的环境越来越复杂。同时企业或组织机构越来越需要在其工控网络、业务网络和企业网络之间共享信息。然而，由于工业自动化和控制系统的设备是直接和某个工艺过程相连的，如果信息安全遭到破坏，其后果不仅是在信息传送过程中发生变化而丧失商业保密性，事故发生时，还可能带来潜在的人员或生产损失、破坏环境、违反法律法规等更严重的后果。这可能就会衍生出企业或组织所不期望的结果，甚至可能破坏所在地区或国家的基础设施。

产生信息安全问题的威胁源不仅来自外部，内部具有一定技术能力的人员恶意或无意的行为也可能导致严重信息安全风险。另外，工业自动化和控制系统还经常和其他业务系统相连，对运行系统的修改和测试还会对系统的运行产生没有意识到的影响。控制系统区域之外的人对系统所进行的信息安全测试，更加剧了这些影响和程度。综合上述因素，显而易见，潜在的对工业过程获得非法或破坏性访问的风险并不是微不足道的。

虽然技术变化和更多的合作伙伴关系可能对业务行为是有益的，但也增加了影响信息安全的潜在风险。正因为对于业务的威胁增加了，所以对于信息安全的需要也随之增加。

1　工业自动化和控制系统的现状

工业自动化和控制系统是从单个的、独立的、专用操作系统和网络向互联的系统和使用商用技术（即，操作系统和协议）的应用而逐渐演化的。工业自动化和控制系统正在通过各种通信网络与企业管理系统和其他业务应用集成。随着这种集成度的增加，带来了巨大的商业价值，例如：增加了工业自动化和控制系统各项活动的可见性（工作进程、设备状态、生产进度），从业务层面集成工业过程系统，可以提高分析的能力，从而降低成本，提高生产力；集成制造和生产系统，可以更直接获得商业信息，有利于形成具有快速响应能力的企业；通用的接口降低了总体维护成本，并允许对生产过程的远程支持；对过程控制系统的远程监视可以降低成本并有利于更快速地解决问题等。

通过标准化的定义模型和信息交换，使得工业自动化和控制系统以一致的方式分享信息成为可能。然而，这种交换信息的能力增加了有恶意企图的个人进行攻击或误操作的脆弱性，从而给使用工业自动化和控制系统的企业带来潜在的风险。在物理硬件、编程和通信方面，工业自动化和控制系统的配置非常复杂。

这种复杂性使得下列问题难以确定：授权谁可以访问电子信息；用户何时能访问信息；用户访问何种数据或功能；访问请求源的位置；如何请求访问等问题。

2　工业自动化和控制系统的防护能力

工业自动化和控制系统采取的技术防护措施不能丢失其基本服务和功能（包括应急程序），因此其安全目标重点集中在控制系统的可用性、工厂保护、工厂运行（即使在降级模式）和时间关键系统响应。IT安全目标可能更关心的是保护信息，而非有形资产。无论工厂集成的实现程度，这些不同的目标需要明确地表述为安全目标。国际上，大家目前比较关注的工业控制系统信息安全的IEC62443系列标准，其IEC62443-3-3：2013主要是系统的技术防护能力，因为到目前为止，工业自动化和控制系统还没有象IT领域的成熟的信息安全防护产品。基于此，对工控领域的防护还是以系统为考虑对象。通过下面几节介绍一下该标准的主要内容。

2.1　系统防护等级

工业自动化和控制系统将其防护分为四个信息安全等级（SL），分别为：

（1）SL 1：防止通过窃听或偶然曝光而引发的未经授权的信息泄露；

（2）SL 2：防止针对某实体采用通用方法、低资源、低动因的简单方式进行主动搜索，导致未经授权的信息泄露；

（3）SL 3：防止针对某实体，采用IACS特殊技能、一般资源、一般动因的复杂方式进行主动搜寻，导致未经授权的信息泄露；

（4）SL 4：防止针对某实体，采用IACS特殊技能、扩展性资源、高动因的复杂方式进行主动搜寻，导致未经授权的信息泄露。

2.2　系统防护的基本要求从技术实现上，系统防护的基本要求包括：

（1）标识和鉴别控制（IAC）；

（2）使用控制（UC）；

（3）系统完整性（SI）；

（4）数据保密性（DC）；

（5）受限的数据流（RDF）；

（6）对事件的及时响应（TRE）；

（7）资源可用性（RA）。

2.3　实现各个基本要求对应的系统要求

2.3.1　标识和鉴别控制（IAC）：

为了实现标准和鉴别控制（IAC），系统实现上，要满足以下要求：

（1）SR1.1：人员用户标识和鉴别控制；

（2）SR1.2：软件进程和设备标准鉴别；

（3）SR1.3：帐户管理；

（4）SR1.4：标识符管理；

（5）SR1.5：鉴别器管理；

（6）SR1.6：无线访问管理；

（7）SR1.7：基于口令的鉴别强度；

（8）SR1.8：公钥基础设施证书；

（9）SR1.9：公钥鉴别强度；

（10）SR1.10：鉴别器反馈；

（11）SR1.11：失败的登录尝试；

（12）SR1.12：系统使用提示；

（13）SR1.13：通过不可信网络的访问。

2.3.2　使用控制（FR）

为了实现使用控制（FR），系统实现上要满足以下要求：

（1）SR2.1：授权执行；

（2）SR2.2：无线使用控制；

（3）SR2.3：便携式和移动设备使用控制；

（4）SR2.4：移动代码；

（5）SR2.5：会话锁定；

（6）SR2.6：远程会话终止；

（7）SR2.7：并发会话控制；

（8）SR2.8：审计事件；

（9）SR2.9：审计存储容量；

（10）SR2.10：审计处理失败响应；

（11）SR2.11：时间戳；

（12）SR2.12：抗抵赖。

2.3.3　系统完整性（SI）

为了实现系统完整性（SI），系统实现上要满足以下要求：

（1）SR3.1：通信完整性；

（2）SR3.2：恶意代码防护；

（3）SR3.3：信息安全功能验证；

（4）SR3.4：软件和信息完整性；

（5）SR3.5：输入检验；

（6）SR3.6：确定性输出；

（7）SR3.7：出错处理；

（8）SR3.8：会话完整性；

（9）SR3.9：审计信息保护。

2.3.4　数据保密性（DC）

为了实现数据保密性（DC），系统实现上要满足以下要求：

（1）SR4.1：信息保密性；

（2）SR4.2：信息留存；

（3）SR4.3：加密使用。

2.3.5 受限的数据流（RDF）

为了实现受限的数据流（RDF），系统实现上要满足以下要求：

（1）SR5.1：网络分区；

（2）SR5.2：区域边界防护；

（3）SR5.3：通用目的的个人间通信限制；

（4）SR5.4：应用划分。

2.3.6 对事件的及时响应（TRE）

为了实现对事件的及时响应（TRE），系统实现上要满足以下要求：

（1）SR6.1：审计日志可访问性；

（2）SR6.2：连续监视。

2.3.7　资源可用性（RA）

为了实现资源可用性（RA），系统实现上要满足以下要求：

（1）SR7.1：拒绝服务保护；

（2）SR7.2：资源管理；

（3）SR7.3：控制系统备份；

（4）SR7.4：控制系统恢复和重构；

（5）SR7.5：应急电源；

（6）SR7.6：网络和安全配置设置；

（7）SR7.7：最小功能性；

（8）SR7.8：控制系统组件详细目录。

3　工业控制系统信息安全动态

工业自动化系统的防护能力主要介绍了IEC62443-3-3的技术能力要求，主要分为7个基本要求和实现基本要求的系统要求，同时标准中将技术能力根据分成的SL等级进行了划分，大家可以参看该标准的附录B。

目前， IEC6 2 4 4 3 - 4 系列是针对系统组件的两个标准，主要是要求产品生产商或软件设计商要根据软件能力成熟度（CMMI）的要求来实现产品或组件，以保证在组件或产品阶段实现系统要求的内容。同时，IEC/TC65技术委员会将成立工作组开展功能安全和信息安全融合方面的标准制定工作；ISA99工作组也在加快制定ISA62443系列标准制定的进程，以满足行业的需求，另外，ISASecure正在进行基于TCP/IP协议的自动化产品的安全认证工作；IECEE也于近期成立了工作组，将根据IEC62443系列标准的技术内容开展信息安全认证方面的标准化工作。

作者简介

王玉敏（1971-），女，河北人，教授级高工，硕士研究生，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为工业控制系统信息安全。

摘自《自动化博览》2015年11月刊