导读:随着我国工业化和信息化的深度融合以及物联网的快速发展,SCADA、DCS、PLC等工业控制系统面临的信息安全问题日益严重,2011年9月,工信部还专门下发了《关于加强工业控制系统信息安全管理的通知》。近日,就工业控制系统安全问起,有媒体还专门采访了机械工业仪器仪表综合技术经济研究所所长欧阳劲松先生。
记者:2011年9月,工信部专门下发了《关于加强工业控制系统信息安全管理的通知》,以明确重点领域工业控制系统信息安全管理要求,加强对工业控制系统信息安全工作的组织领导。您觉得这份发文的必要性体现在哪里?
欧阳劲松:正如发文里提到的,数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于控制我国许多关键领域的生产设备的运行,例如核设施、钢铁、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。例如2010年伊朗爆发的“震网”病毒,它是一种专门针对工业控制系统的破坏性病毒,影响席卷工业界,造成伊朗核电站推迟发电,感染了包括中国在内的4万5千多个网络。这给我们敲响了警钟,也说明了这种大型关键控制产品应用企业在安全制度上仍存在严重漏洞,其对人身、资产、环境甚至国家安全的危害可想而知。工信部的这个发文也正是针对目前的严峻形势提出的。
记者:信息安全应该不是一个全新的话题,近年来,我国信息安全的管理在不断地发展和健全中,先后成立了全国信息安全标委会和若干信息安全评估机构。您认为工业控制系统的信息安全与传统IT领域的信息安全有什么不同?
欧阳劲松:传统IT信息安全一般是要实现三个目标,即保密性、完整性和可用性,通常都将保密性放在首位,并配以必要的访问控制,以保护用户信息的安全,防止信息盗取事件的发生。完整性放在第二位,而可用性则放在后。
对于工业自动化控制系统而言,目标优先级的顺序则正好相反。工控系统信息安全首要考虑的是所有系统部件的可用性。完整性则在第二位,保密性通常都在后考虑。因为工业数据都是原始格式,需要配合有关使用环境进行分析才能获取其价值。而系统的可用性则直接影响到企业生产,生产线停机或者误动作都可能导致巨大经济损失,甚至是人员生命危险和环境的破坏。
除此之外,工控系统的实时性指标也非常重要。控制系统要求响应时间大多在1毫秒以内,而通用商务系统能够接受1秒或几秒内完成。工业控制系统信息安全还要求必须保证持续的可操作性及稳定的系统访问、系统性能、专用工业控制系统安全保护技术,以及全生命周期的安全支持。这些要求都是在保证信息安全的同时也必须满足的。
记者:上在工业控制系统信息安全标准化方面的现状如何,取得了哪些进展?作为我国工业自动化领域的专业标准化机构,SAC/TC124目前已经开展了哪些工作?
欧阳劲松:在上IEC/TC65(工业过程测量、控制和自动化标准化技术委员会)负责制定控制领域用于工业测量与控制的系统以及元件方面的标准。为了有效解决工业自动化和控制系统的信息安全问题,IEC/TC65/WG10(网络与系统信息安全工作组)与自动化协会ISA99成立联合工作组,共同制定IEC62443《工业过程测量、控制和自动化网络与系统信息安全》系列标准。IEC62443系列标准分为通用、信息安全程序、系统技术和部件技术4个部分,共12个文档,每个文档描述了工业控制系统信息安全的不同方面。第1部分描述了信息安全的通用方面,作为IEC62443其它部分的基础。第2部分针对用户的信息安全程序,包括了整个信息安全系统的管理、人员和程序设计方面。第3部分主要面向系统集成商,包括了将整体工业自动化控制系统设计分配到各个区域和通道的方法,以及信息安全保障等级的定义和要求。第4部分包括系统的硬件、软件和信息部分,以及当制造商开发或获取这些类型的部件时需要考虑的特定技术性信息安全要求。其中,IEC62443第1-1部分、第2-1部分、第3-1部分已经正式发布IEC标准,第3-3部分目前处于委员会投票(CDV)阶段,第2-4部分刚通过新工作项目(NP)投票,其余部分都还在起草过程中。
在国内,工业信息安全也是我们一直关注和重视的领域。作为国内对口委员会,从2003年开始,我们就在跟踪IEC/TC65信息安全标准化活动。2009年全国工业过程测量和控制标准化技术委员会获工信部批准,正式立项启动3项IEC62443标准转化为行业标准的制定工作,并成立了专门的工业控制系统信息安全起草工作组。工作组专家近30名,来自国内自动化行业的核心制造商、主要用户、高校、研究院所。为了便于在实际操作过程中工业信息安全的评估和验收,标委会秘书处又在2011年启动了两项国家标准的制定,即“工业控制系统信息安全第1部分:评估规范”和“工业控制系统信息安全第2部分:验收要求”。这项工作得到了电力、核电、石化等众多行业用户和专家的积极响应和大力支持。
记者:既然提到安全,那么就必须考虑如何判断它是否是安全的。对于工业控制系统信息安全,安全等级是怎么划分的?如何去评价其安全等级?
欧阳劲松:IEC62443中引入了信息安全保障等级(SAL,Security Assurance Level)的概念,尝试用一种定量的方法来处理一个区域的信息安全。通过定义并比较用于信息安全生命周期的不同阶段的目标SAL、设计SAL、完成SAL和能力SAL,实现预期设计结果的安全性。它从身份和授权控制、使用控制、数据完整性、数据保密性、受限数据流、事件适时响应、资源可用性7个基本要求入手,将信息安全保障等级分为4个等级。
上,针对工业控制系统的信息安全评估和认证还处于起步阶段,尚未出现一个统一的评估规范。为了抢占市场,美国ISA组织于2010年成立了专门的测试机构ISCI(ISA信息安全符合性研究院),授权第三方测试实验室进行工业自动化信息安全认证,但目前仅针对嵌入式设备进行评估。工业信息安全认证评估不同于其他安全、质量认证评估,它直接涉及国家经济利益和安全生产。因此,我国应加速制定相应的工业自动化和控制系统评估及验收规范,与国外同步开展有关工作,以在标准化工作中争取主动,保障我国关键设施的安全掌握在自己手中。
记者:据我所知,您所在的研究所在功能安全方面已经做了多年工作,成立了专门的功能安全中心,并面向不同行业提供功能安全评估认证咨询服务。功能安全和信息安全同为安全保障,您认为两者的差异主要在什么地方?
欧阳劲松:我们通常将安全可以分成3类,即功能安全(FunctionalSafety)、物理安全(PhysicalSafety)和信息安全(Security)。功能安全是为了达到设备和工厂安全功能,受保护的、和控制设备的安全相关部分必须正确执行其功能,而且当失效或故障发生时,设备或系统必须仍能保持安全条件或进入到安全状态。物理安全是减少由于电击、着火、辐射、机械危险、化学危险等因素造成的危害。在IEC62443中针对工业控制系统对信息安全(security)的定义是:(1)保护系统所采取的措施;(2)由建立和维护保护系统的措施所得到的系统状态;(3)能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失;(4)基于计算机系统的能力,能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能,却保证授权人员和系统不被阻止;(5)防止对工业控制系统的非法或有害入侵,或者干扰其正确和计划的操作。可见三种安全在定义和内涵上有很大的差别。
功能安全系统使用安全完整性等级(SIL,SafetyIntegrityLevel)的概念已有近20年。它允许一个部件或系统的安全表示为单个数字,而这个数字是为了保障人员健康、生产安全和环境安全而提出的基于该部件或系统失效率的保护因子。工业控制系统信息安全的评估方法与功能安全的评估有所不同。虽然都是保障人员健康、生产安全或环境安全,但是功能安全使用安全完整性等级(SIL)是基于随机硬件失效的一个部件或系统失效的可能性计算得出的,而信息安全系统有着更为广阔的应用,以及更多可能的诱因和后果。影响信息安全的因数非常复杂,很难用一个简单的数字描述出来。然而,功能安全的全生命周期安全理念同样适用于信息安全,信息安全的管理和维护也须是周而复始不断进行的。
记者:您认为针对我国工业自动化行业的现状,急迫的事情是什么?下一步的工作应该从哪几方面入手?
欧阳劲松:尽管工业控制系统信息安全已成为一个性的问题,但是我国用户与发达国家相比,在安全意识和防范措施等方面仍存在着巨大的差距,标准与法规尚未健全,第三方认证机构没有得到系统管理。工业控制系统信息安全问题必须在国家的推动和贯彻下才能得到切实解决。在传统IT信息安全领域,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,2007年发布了《信息安全等级保护管理办法》,对信息系统分等级实行安全保护。同样地,为保障工业控制系统的信息安全,更加迫切地需要有关政府部门发布相关法令法规,引起各行业足够的重视,并规范行业实践。
工业控制系统涉及众多行业,例如石化、电力、核电等。各行业的具体管理要求和系统设备工作环境不尽相同。因此,我们必须深入研究我国工业控制系统的行业特点和需求,有针对性地制定相关行业信息安全保障应用行规。同时,以工业自动化标准化机构为先导,联合相关组织机构,研究我国工业信息安全标准体系,积极开展工业控制系统信息安全评估标准的制定工作,健全工业信息安全评估认证机制,建立有效的工业控制系统信息安全应急系统,形成我国自主的工业控制系统信息安全产业和管理体系。
