1　前言

    工业控制系统信息安全认证对于保护工业控制系统信息安全有着极其重要的意义，它能帮助工业控制系统产业的进步与成熟；帮助工业控制系统及安全产品的供应商及时发现问题，用更高更严的标准规范产品开发流程，提高工业控制系统及其安全产品的市场竞争力；有利于国家对工业控制系统及其安全产品的市场准入进行管理，保证工业控制系统运营单位采购产品的安全性；帮助工业控制系统运营单位强化员工的信息安全意识，规范组织信息安全行为，减少潜在的风险隐患。鉴于工业控制系统信息安全认证的重要意义，各国政府、行业协会、学术机构及相关企业等单位都积极推动此项工作的开展，依托现有工业控制系统信息安全标准，推进认证项目，设计认证制度。ISASecure嵌入式设备安全保障认证（Embedded Device Security Assurance，EDSA） 、全球工业网络安全专业认证（ G l o b a lIndustrial Cyber Security Professional, GICSP）是目前工业控制系统信息安全领域已推出的且得到普遍认可的信息安全认证。

    2　ISASecure嵌入式设备安全保障认证（EDSA）

    ISA安全兼容协会（ISA Security ComplianceInstitute, ISCI）成立于2007年，致力于为工业控制系统的网络安全提供保障。ISCI通过推行ISASecure项目开发ISASecure认证规范，ISASecure认证规范均由工业控制系统运营单位、行业协会、用户、学术界、政府和监管机构合作共同审核，帮助工业控制系统设备供应商和运营单位识别网络安全产品及实践。EDSA作为第一个ISASecure认证，目的在于促进工业行业加强工业控制系统网络安全。

    嵌入式设备主要由嵌入式处理器、相关支撑硬件和嵌入式软件组成，是集软硬件于一体的可独立工作的器件。嵌入式设备具备便利灵活、性价比高及嵌入性强等特点，广泛应用于工业控制系统中，直接监视、控制或执行工业过程。EDSA提供了一套通用的设备及过程规范，从设备开发、生产、采购等各阶段保障嵌入式设备安全。

    基于不断发展的工业设备安全趋势，EDSA提供安全保障要求逐级提高的三个设备认证级别：级别1、级别2和级别3。三个级别都对以下技术要素进行认证：软件开发安全性评估（Software DevelopmentSecurity Assessment，SDSA）、功能安全性评估（Functional Security Assessment, FSA）、通讯健壮性测试（Communication Robustness Testing,CRT）。SDSA用于检测设备在开发过程中的安全性，FSA用于审查设备功能的安全性，CRT测试设备在从正常到极高网络速率下遭受正常和异常网络流量时保证必要服务的能力。级别2和3对于SDSA和FSA的要求是逐级递增的，CRT标准适用于各个级别。EDSA架构如图1所示。
 

图1　EDSA架构

    2.1　软件开发安全性评估（SDSA）

    对于嵌入式设备开发的整个生命周期，SDSA的认证要求包括：安全性管理流程、安全要求规范、软件架构设计、安全风险评估和威胁建模、详细的软件设计、文档安全指引、软件模块执行和核查、安全集成测试、安全过程验证、安全响应中心规划、安全性验证测试、安全响应执行。

    SDSA的基本标准适用于所有认证级别，随着认证级别的递增，认证要求逐渐严格。例如，所有级别的ISASecure嵌入式设备需要确立书面的安全要求与指定的适用范围。再如：所有认证级别要求改变管理过程，然而级别2和级别3会对这一过程提出更多的要求。

    2.2　功能安全性评估（FSA）

    FSA从安全功能和执行准确性的角度来测试嵌入式设备。安全功能可能由嵌入式设备本身或系统环境中支持该设备的更高级别组件来决定，例如，在某些情况下，特定设置的防火墙需与其它设备一起部署才能实现安全性。FSA的组织形式遵照ISA-99.03.03系统安全要求和安全保障级别所公认的ISA99基金会要求，涉及范围包括：访问控制、使用控制、数据完整性、数据可信度、数据流量限制、及时响应事件、网络资源的可用性。

    FSA的基本标准适用于各级别认证，随着认证级别的递增，FSA的标准会相应提高。例如：各级别的ISASecure设备必须支持自动执行基于授权用户的访问控制，除非此功能被明确分配给更高级别的系统结构中的组件。

    2.3　通讯健壮性测试（CRT）

    CRT用于测试嵌入式设备或其它关联设备在非正常或恶意的网络通讯流量的情况下执行网络协议的情况，测试又可称为“协议模糊测试”。在不同的流量速率下，生成无效的消息和消息序列发送至嵌入式设备，设备对于每种协议已知攻击的对抗程度也是本测试的一部分内容。
 

图2　ISASecure通讯健壮性测试协议

    当出现不正常的信息响应或设备无法继续保证基本服务时，表明设备存在潜在的安全漏洞，CRT不检查执行的正确性或是否符合强制性控制协议标准的规定。因此，ISASecure CRT的一个关键定义是“充分保证必要的服务”，以下是必要的服务：过程控制/安全回路、过程视图、命令（变化如设定点的过程控制参数）和过程警报。要通过ISASecure CRT，过程控制/安全回路需要适应所有网络流量条件，然而可以允许一些必要服务，如提供关键过程的历史信息，对等控制通讯因为网络接口的大流量而不是由于其它网络流量条件的干扰而丢失。

    ISCI为图2中的协议开发CRT规范，按照优先级将协议分组，其中，组1的优先级最高。

    满足ISASecure认证规范的嵌入式设备可以获得ISASeucre EDSA的认证证书，拥有该认证的产品即拥有了一个标志，证明其产品在安全特性和功能上得到了承认。目前，已有一些工业控制系统设备获得了ISASecure嵌入式设备安全保障认证，如：霍尼韦尔安全管理器、Experion C300分布式控制系统、Experion现场总线接口模块、横河电机CENTUM?VP生产控制系统等。

    3 　全球工业网络安全专业认证（GICSP）

    全球信息安全认证（ GlobalInformation Assurance Certification，GIAC）是全球领先的网络安全认证，针对关键基础设施老化、技术过时、安全做法落后以及缺乏专业培训等现状，GIAC从提升个人技能和知识水平入手，旨在帮助设计、部署、操作和维护工业自动化和控制系统基础设施的机构落实最佳做法。2013年5月在得克萨斯州的休斯敦市，GIAC及行业领导者成立了一个由行业专家组成的小组，该小组完成一份工作任务分析的调查问卷，并发送给各个关键基础设施参与商以确保认证能够与其工作职责相符，确定符合GICSP认证目标所必备的知识、技术和能力范围。同年9月，GIAC推出了全球工业网络安全专业认证（GICSP）。

    针对关键基础设施攻击的警告已经持续多年，但是近几年来，真正的威胁开始被确定，并给关键基础设施资产和系统带来可识别性的影响。关键基础设施，如电厂、石油天然气等，其工业控制系统的安全保障水平直接关系到国家公众利益、经济秩序和国家安全，一旦受到威胁和破坏，所造成的直接和间接损失是无法估量和难以接受的。工业控制系统安全与每个参与系统相关的工作人员（实际操作设备的工程师、管理和配置控制系统的过程控制工程师、SCADA系统技术支持和网络安全专家等）对于安全部署和维护过程控制系统的知识、技能和能力是息息相关的。GICSP认证的主要目标是为工业控制系统工程师和网络专家提供一个桥梁，将他们的专业知识进行融合，教育和认证系统供应商、项目工程承包商、运营商、IT服务供应商和维护支持人员，要求其具备IT、工程和网络安全技能方面的复合知识体系，以确保工业控制系统信息安全。

    GICSP项目计划建立一个有关过程控制设计和信息技术安全的开放的知识体系，集合IT、工程和网络安全技能以保障工业控制系统从设计之初到淘汰下线期间的安全。预计GICSP将成为全球范围内工业控制系统在网络安全领域的网关认证。

    4　建议

    目前，我国工业控制系统信息安全形势非常严峻，信息安全防护水平远远落后于发达国家，缺乏相关标准和完善的认证体系。工业控制系统信息安全认证作为保障工业控制系统安全的有效手段，迫切需要国家主管部门从政策和科研层面积极部署，企业、科研机构等相关单位积极参与对认证标准和方法进行完善。工业自动化与控制产品供应商应不断加强自身的信息安全意识和行动，运营单位完善管理制度对重要控制系统进行审核认证，共同提升工业控制系统信息安全保障水平。

    作者简介

    郭娴（1984-），湖北人，工程师，工学博士，毕业于中国科学院高能物理研究所计算机应用技术专业，现就职于工业和信息化部电子科学技术情报研究所，主要从事工业控制系统信息安全相关研究工作。

    摘自 工业控制系统信息安全专刊