前言:想要寫出一篇引人入勝的文章?我們特意為您整理了工業(yè)控制系統(tǒng)信息安全檢查方法范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。
摘要:工業(yè)控制系統(tǒng)是涉及到國(guó)家重要關(guān)鍵基礎(chǔ)設(shè)施的組成部分,其信息安全問(wèn)題關(guān)系到經(jīng)濟(jì)平穩(wěn)發(fā)展、社會(huì)和諧穩(wěn)定及國(guó)家安全的各個(gè)方面。由于是信息化與工業(yè)化的深度融合,使得工業(yè)控制系統(tǒng)正逐步使用通用協(xié)議、通用操作系統(tǒng)、通用硬件和軟件,通過(guò)多種方式與管理網(wǎng)、因特網(wǎng)等公共網(wǎng)絡(luò)連接,甚至整個(gè)工業(yè)控制系統(tǒng)與遠(yuǎn)程終端可以進(jìn)行互連互通,使得工業(yè)控制系統(tǒng)極易遭受攻擊者的入侵,并帶來(lái)病毒、木馬等威脅,增加了工業(yè)控制系統(tǒng)的信息安全風(fēng)險(xiǎn)?;诠I(yè)控制系統(tǒng)信息安全檢查工作實(shí)踐,對(duì)檢查方法進(jìn)行新的研究。
關(guān)鍵詞:工業(yè)控制系統(tǒng),信息安全檢查,內(nèi)外結(jié)合順序,生產(chǎn)業(yè)務(wù)流程
1按內(nèi)外結(jié)合順序檢查
現(xiàn)階段,在現(xiàn)場(chǎng)開展工業(yè)控制系統(tǒng)信息安全檢查工作時(shí),按照相關(guān)的檢查表單逐一地對(duì)每項(xiàng)內(nèi)容進(jìn)行檢查,未對(duì)工業(yè)控制系統(tǒng)安全情況按照內(nèi)外結(jié)合的方式系統(tǒng)性地開展安全檢查工作,不能有效地發(fā)現(xiàn)工業(yè)控制系統(tǒng)中存在的安全隱患以及可能造成的其他安全威脅?!皟?nèi)外結(jié)合順序”的檢查方式方法可以根據(jù)需求借鑒ISO/IEC62264-2013的層次結(jié)構(gòu)模型中的企業(yè)資源層、生產(chǎn)管理層、過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層的內(nèi)容按照內(nèi)外結(jié)合順序開展安全檢查。在工業(yè)控制系統(tǒng)信息安全檢查中,首先需要進(jìn)行的是從外到內(nèi)的檢查,通過(guò)模擬攻擊者的行為對(duì)工業(yè)控制系統(tǒng)中涉及的企業(yè)資源層、生產(chǎn)管理層、過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層實(shí)施模擬攻擊,以發(fā)現(xiàn)各個(gè)模型層中存在的安全風(fēng)險(xiǎn)和從外到內(nèi)可能存在的攻擊路徑。同時(shí),還需從工業(yè)控制系統(tǒng)內(nèi)部開始,模擬攻擊者的行為對(duì)各個(gè)模型層開展安全檢查并實(shí)施安全測(cè)試,以發(fā)現(xiàn)工業(yè)控制系統(tǒng)內(nèi)部中所存在的安全風(fēng)險(xiǎn)。從外到內(nèi)開展工業(yè)控制系統(tǒng)信息安全檢查工作,類似于“黑盒”測(cè)試,它是通過(guò)測(cè)試來(lái)檢查每個(gè)模型層中的系統(tǒng)功能是否都能正常使用。在檢查中,把模型層看作是一個(gè)不能打開的黑盒子,在完全不考慮程序內(nèi)部結(jié)構(gòu)和內(nèi)部特性的情況下,對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)環(huán)境、防護(hù)設(shè)備、安全配置等進(jìn)行檢查測(cè)試,檢查系統(tǒng)的程序功能是否按照管理要求的規(guī)定正常使用,是否能夠適當(dāng)?shù)亟邮蛰斎霐?shù)據(jù)而產(chǎn)生正確的輸出信息。從外到內(nèi)檢查是以外來(lái)者的角度,從輸入數(shù)據(jù)與輸出數(shù)據(jù)的對(duì)應(yīng)關(guān)系出發(fā)進(jìn)行檢查。由此,通過(guò)此種檢查方法發(fā)現(xiàn)各個(gè)模型層的安全要求是否存在不完善之處,是否能夠?qū)ν鈦?lái)者的安全狀況進(jìn)行仔細(xì)、全面地排查。從內(nèi)到外開展工業(yè)控制系統(tǒng)信息安全檢查工作,類似于“白盒”測(cè)試。它是通過(guò)了解工業(yè)控制系統(tǒng)現(xiàn)有的安全環(huán)境,對(duì)各個(gè)模型層中的系統(tǒng)功能進(jìn)行檢查。在檢查中,需要結(jié)合生產(chǎn)中的內(nèi)部環(huán)境和內(nèi)部特性,對(duì)工業(yè)控制系統(tǒng)的管理規(guī)范、網(wǎng)絡(luò)環(huán)境、防護(hù)設(shè)備、安全配置、物理環(huán)境等進(jìn)行檢查測(cè)試,檢查系統(tǒng)的各項(xiàng)安全要求是否按照管理要求規(guī)定進(jìn)行正常操作,是否對(duì)正常檢查的數(shù)據(jù)產(chǎn)生正常的輸出信息。從內(nèi)到外檢查是以內(nèi)部人員的角度,從日常生產(chǎn)操作流程中對(duì)各項(xiàng)數(shù)據(jù)的合規(guī)性進(jìn)行檢查。通過(guò)此種檢查方法發(fā)現(xiàn)各個(gè)模型層中現(xiàn)有的工業(yè)控制系統(tǒng)信息安全要求是否存在不合規(guī)之處,是否能夠?qū)?nèi)部人員的安全操作進(jìn)行檢查。在內(nèi)外結(jié)合的方式下,檢查企業(yè)資源層是否建立工廠基本生產(chǎn)制度、材料使用記錄、運(yùn)輸監(jiān)測(cè)、庫(kù)存數(shù)量以及人員操作管理等;檢查生產(chǎn)管理層是否有工作流程控制生產(chǎn)期望的產(chǎn)品、維護(hù)記錄和優(yōu)化生產(chǎn)過(guò)程、調(diào)度生產(chǎn)、細(xì)化調(diào)度過(guò)程等,以保證生產(chǎn)的可靠性;檢查過(guò)程監(jiān)控層是否對(duì)管理控制和自動(dòng)控制生產(chǎn)過(guò)程、使用的軟件和設(shè)備進(jìn)行了監(jiān)控;檢查現(xiàn)場(chǎng)控制層是否利用控制單元對(duì)數(shù)據(jù)采集和生產(chǎn)過(guò)程進(jìn)行安全控制;檢查現(xiàn)場(chǎng)設(shè)備層是否對(duì)設(shè)備的數(shù)據(jù)傳輸和操作過(guò)程進(jìn)行安全監(jiān)控。在開展工業(yè)控制系統(tǒng)信息安全檢查時(shí),需要明確檢查各個(gè)模型層中的工業(yè)控制系統(tǒng)對(duì)象是哪些,檢查場(chǎng)所、范圍是如何界定,檢查時(shí)間是否符合生產(chǎn)的安全要素,檢查人員是否具備相關(guān)能力實(shí)施檢查,檢查方式是否會(huì)對(duì)原有生產(chǎn)線產(chǎn)生其他影響等。在對(duì)工業(yè)控制系統(tǒng)檢查工作調(diào)查研究的基礎(chǔ)上,對(duì)檢查過(guò)程中涉及的檢查內(nèi)容、檢查人員、檢查地點(diǎn)、檢查時(shí)間、檢查方式逐一進(jìn)行確認(rèn),以達(dá)到企業(yè)開展工業(yè)控制系統(tǒng)信息安全檢查的目標(biāo)。同時(shí),在檢查過(guò)程中,對(duì)發(fā)現(xiàn)能夠排除的某道管理或生產(chǎn)上的工序進(jìn)行取消;對(duì)發(fā)現(xiàn)的多道重復(fù)工序進(jìn)行合并以改善生產(chǎn)安全并提高效率;對(duì)發(fā)現(xiàn)的管理流程和生產(chǎn)流程順序是否滿足安全要求進(jìn)行重排,使其能有最佳的順序、除去重復(fù);對(duì)復(fù)雜的管理和生產(chǎn)流程進(jìn)行簡(jiǎn)化,在滿足安全要求的前提下,采用最簡(jiǎn)單的方法及設(shè)備,以節(jié)省人力、時(shí)間及費(fèi)用,并能提高效率。工業(yè)控制系統(tǒng)信息安全檢查工作通過(guò)內(nèi)外結(jié)合的方式方法,能夠全方位地詳盡發(fā)現(xiàn)企業(yè)生產(chǎn)和管理中存在的風(fēng)險(xiǎn)隱患,促使企業(yè)能夠安全穩(wěn)定生產(chǎn)。
2按生產(chǎn)業(yè)務(wù)流程檢查
業(yè)務(wù)流程的基本構(gòu)成單元是業(yè)務(wù)活動(dòng),不同的節(jié)點(diǎn)狀態(tài)變化將對(duì)業(yè)務(wù)活動(dòng)狀態(tài)產(chǎn)生不同的影響。隨著工業(yè)控制系統(tǒng)信息安全檢查工作逐漸深入,對(duì)工業(yè)控制系統(tǒng)的業(yè)務(wù)目標(biāo)、性能、功能、成本、安全性等因素的詳細(xì)了解,對(duì)每一個(gè)業(yè)務(wù)環(huán)節(jié)的輸入輸出數(shù)據(jù)進(jìn)行檢查,精確度量工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn),使其在一定程度上能直接反映信息安全對(duì)業(yè)務(wù)的影響;同時(shí),結(jié)合業(yè)務(wù)的發(fā)展,確定未來(lái)的安全需求,包括安全策略、安全體系結(jié)構(gòu)、安全管理、安全功能和安全設(shè)備等方面的改進(jìn)需求,更能促進(jìn)檢查的作用和效果。按照生產(chǎn)業(yè)務(wù)流程開展工業(yè)控制系統(tǒng)信息安全檢查工作,可以根據(jù)業(yè)務(wù)的先后順序、內(nèi)容、方式、責(zé)任等,在不同活動(dòng)在不同崗位角色之間進(jìn)行防護(hù)的工業(yè)控制系統(tǒng)是否符合安全要求,從執(zhí)行者、管理者、決策者之間共同發(fā)現(xiàn)存在的安全隱患,從采購(gòu)、生產(chǎn)、銷售等各個(gè)環(huán)節(jié)保障工業(yè)控制系統(tǒng)信息安全,以降低企業(yè)的運(yùn)營(yíng)成本,提高對(duì)安全需求的響應(yīng)速度?;诠I(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)的考慮,檢查工作可以通過(guò)安全分級(jí)重點(diǎn)檢查、監(jiān)測(cè)平臺(tái)常態(tài)化檢查、仿真測(cè)試深層次檢查等方式進(jìn)行,以在日常運(yùn)維中和重要敏感時(shí)期有針對(duì)性地通過(guò)檢查工作保障工業(yè)控制系統(tǒng)安全、穩(wěn)定運(yùn)行。
3安全分級(jí)重點(diǎn)檢查
工業(yè)控制系統(tǒng)信息安全分級(jí)檢查是基于工業(yè)控制系統(tǒng)存在的信息安全風(fēng)險(xiǎn)進(jìn)行劃分,根據(jù)工業(yè)控制系統(tǒng)資產(chǎn)重要程度、受侵害后潛在影響程度、需抵御的信息安全威脅程度等三個(gè)要素進(jìn)行分級(jí)。檢查工業(yè)控制系統(tǒng)資產(chǎn)重要程度,其可以反映工業(yè)控制系統(tǒng)所在工業(yè)生產(chǎn)行業(yè)領(lǐng)域的重要性,工業(yè)控制系統(tǒng)在企業(yè)生產(chǎn)過(guò)程中業(yè)務(wù)使命的重要性,工業(yè)控制系統(tǒng)及其相關(guān)生產(chǎn)裝置以及相關(guān)生產(chǎn)總值等資產(chǎn)綜合價(jià)值;檢查工業(yè)控制系統(tǒng)受侵害后潛在影響程度,其可以反映工業(yè)控制系統(tǒng)信息安全受到侵害后產(chǎn)生的直接損失和間接損失,包括對(duì)工業(yè)控制系統(tǒng)及其相關(guān)生產(chǎn)裝置的影響,檢查其對(duì)工業(yè)生產(chǎn)運(yùn)行安全的影響,以及對(duì)其他受侵害對(duì)象的影響,如公民、企業(yè)、其他組織的合法權(quán)益及重要財(cái)產(chǎn)安全,環(huán)境安全、社會(huì)秩序、公共利益和人員生命安全,國(guó)家安全、國(guó)家經(jīng)濟(jì)安全等;檢查工業(yè)控制系統(tǒng)需抵御的信息安全威脅程度,其可以反映對(duì)工業(yè)控制系統(tǒng)信息安全可能進(jìn)行侵害的主要威脅及其強(qiáng)度;在工業(yè)控制系統(tǒng)客觀存在的眾多威脅中,依據(jù)工業(yè)控制系統(tǒng)、相關(guān)生產(chǎn)裝置以及所屬企業(yè)或行業(yè)本身的固有脆弱性及其可利用性,信息安全事件發(fā)生的可能性,檢查確定實(shí)際需要抵御的信息安全威脅,并選擇其中最高的威脅程度。對(duì)工業(yè)控制系統(tǒng)進(jìn)行信息安全分級(jí)重點(diǎn)檢查,其對(duì)象既可以是一個(gè)具體的完整的工業(yè)控制系統(tǒng),也可以是工業(yè)控制系統(tǒng)中相對(duì)獨(dú)立的一部分。一個(gè)具體的完整的工業(yè)控制系統(tǒng)包括:應(yīng)以企業(yè)工業(yè)自動(dòng)化生產(chǎn)過(guò)程為基礎(chǔ),屬于企業(yè)的一個(gè)自動(dòng)化生產(chǎn)全過(guò)程或一個(gè)工業(yè)自動(dòng)化生產(chǎn)裝置的工業(yè)控制系統(tǒng);工業(yè)控制系統(tǒng)中相對(duì)獨(dú)立的一部分包括:以企業(yè)工業(yè)自動(dòng)化生產(chǎn)過(guò)程的局部環(huán)節(jié)為基礎(chǔ),屬于企業(yè)的一個(gè)自動(dòng)化生產(chǎn)全過(guò)程或一個(gè)工業(yè)自動(dòng)化生產(chǎn)裝置的工業(yè)控制系統(tǒng)中的相對(duì)獨(dú)立的且物理邊界清晰的某個(gè)安全區(qū)域或通信網(wǎng)絡(luò)環(huán)境等。通常,對(duì)一個(gè)具體的、完整的工業(yè)控制系統(tǒng)分級(jí)檢查可偏重于信息安全管理的需要,對(duì)工業(yè)控制系統(tǒng)中相對(duì)獨(dú)立的一部分進(jìn)行分級(jí)檢查可偏重于信息安全技術(shù)防護(hù)設(shè)計(jì)的需要。根據(jù)具體需要可對(duì)一個(gè)具體的、完整的工業(yè)控制系統(tǒng)和其中相對(duì)獨(dú)立的一部分分別進(jìn)行分級(jí)。一般情況下,工業(yè)控制系統(tǒng)中相對(duì)獨(dú)立的一部分的信息安全等級(jí)不應(yīng)高于其整體的工業(yè)控制系統(tǒng)的信息安全等級(jí)。對(duì)工業(yè)控制系統(tǒng)進(jìn)行安全分級(jí)重點(diǎn)檢查能夠在國(guó)家重大時(shí)期及敏感時(shí)間有針對(duì)性地開展安全檢查工作,以保障重要工業(yè)控制系統(tǒng)的信息安全,為國(guó)家安全和人民生活安全提供保障。
4監(jiān)測(cè)平臺(tái)常態(tài)化檢查
通過(guò)工業(yè)控制系統(tǒng)互聯(lián)網(wǎng)監(jiān)測(cè)平臺(tái)對(duì)暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)進(jìn)行實(shí)時(shí)掃描檢查,能夠及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)。全天候全方位監(jiān)測(cè)暴露在互聯(lián)網(wǎng)上工業(yè)控制系統(tǒng),主動(dòng)檢查發(fā)現(xiàn)風(fēng)險(xiǎn),對(duì)工業(yè)控制系統(tǒng)信息進(jìn)行深度挖掘,收集與整合互聯(lián)網(wǎng)工業(yè)控制系統(tǒng)的威脅情報(bào),結(jié)合威脅情報(bào),通過(guò)整合分析攻擊信息,有針對(duì)性地提出指導(dǎo)性建議和整改措施;結(jié)合國(guó)家工業(yè)控制系統(tǒng)漏洞庫(kù),對(duì)互聯(lián)網(wǎng)工業(yè)控制系統(tǒng)安全進(jìn)行評(píng)估、預(yù)警,對(duì)重點(diǎn)區(qū)域、企業(yè)工業(yè)控制系統(tǒng)安全態(tài)勢(shì)進(jìn)行重點(diǎn)監(jiān)視檢查,并指導(dǎo)其做好安全防護(hù)措施,降低工業(yè)控制系統(tǒng)被攻擊的風(fēng)險(xiǎn)。通過(guò)互聯(lián)網(wǎng)工業(yè)控制系統(tǒng)信息安全監(jiān)測(cè)平臺(tái),實(shí)現(xiàn)7*24全天候聯(lián)網(wǎng)監(jiān)控、重點(diǎn)企業(yè)工控生產(chǎn)現(xiàn)場(chǎng)開展工業(yè)控制系統(tǒng)信息安全檢查等各類在線或離線的安全監(jiān)測(cè)和檢查,通過(guò)在線采集、主動(dòng)預(yù)警工業(yè)控制網(wǎng)絡(luò)狀態(tài)和安全風(fēng)險(xiǎn)情況,深度挖掘現(xiàn)有的搜索引擎主要針對(duì)常規(guī)路由器、服務(wù)器等Web設(shè)備,搜索接入互聯(lián)網(wǎng)的工控設(shè)備,對(duì)工控信息進(jìn)行深度挖掘分析,掌握更多工控相關(guān)信息;檢查多數(shù)搜索引擎對(duì)工控協(xié)議、工控廠商的支持?jǐn)?shù)目,查找接入互聯(lián)網(wǎng)的工控設(shè)備。對(duì)平臺(tái)檢查掃描到的工控系統(tǒng)、設(shè)備做出威脅態(tài)勢(shì)評(píng)估,提出指導(dǎo)性整改意見,做到事先預(yù)警、有效防護(hù),提升對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施工控安全事件的監(jiān)管和應(yīng)急響應(yīng)能力,加強(qiáng)互聯(lián)網(wǎng)工業(yè)控制系統(tǒng)安全保護(hù),提高安全監(jiān)管效率,保障工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行。
5仿真測(cè)試深層次檢查
在現(xiàn)場(chǎng)實(shí)際工業(yè)控制系統(tǒng)信息安全檢查工作中,經(jīng)常會(huì)遇到企業(yè)正在運(yùn)行的工業(yè)控制生產(chǎn)系統(tǒng)不能深入地進(jìn)行檢查或安全測(cè)試,存在的安全風(fēng)險(xiǎn)無(wú)法被及時(shí)發(fā)現(xiàn)。通過(guò)構(gòu)建完整的貼合生產(chǎn)現(xiàn)場(chǎng)運(yùn)行環(huán)境的工業(yè)控制系統(tǒng)環(huán)境,合理規(guī)劃以實(shí)現(xiàn)不同品牌、型號(hào)工控設(shè)備的互聯(lián),并提供組態(tài)軟件實(shí)現(xiàn)實(shí)時(shí)監(jiān)控、遠(yuǎn)程操作的任務(wù)環(huán)境,建立針對(duì)不同廠家、不同工業(yè)控制協(xié)議和設(shè)備的專業(yè)的漏洞挖掘系統(tǒng),協(xié)助工作人員開展工業(yè)控制系統(tǒng)信息安全檢查工作提供了強(qiáng)有力的技術(shù)基礎(chǔ)。通過(guò)工業(yè)控制系統(tǒng)仿真環(huán)境的搭建,能夠?qū)ιa(chǎn)系統(tǒng)中存在的漏洞進(jìn)行深度檢查和測(cè)試,包括防火墻規(guī)則、訪問(wèn)控制、網(wǎng)絡(luò)配置、密碼強(qiáng)度、人員意識(shí)等安全。搭建仿真測(cè)試環(huán)境能夠直觀體現(xiàn)工控、網(wǎng)絡(luò)設(shè)備的可靠性和整體檢測(cè)分析工控設(shè)備及其網(wǎng)絡(luò)的性能,在整合國(guó)內(nèi)外先進(jìn)技術(shù)的基礎(chǔ)上對(duì)復(fù)雜工業(yè)控制系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行安全測(cè)試研究,深入發(fā)現(xiàn)工業(yè)控制系統(tǒng)安全威脅,并對(duì)其進(jìn)行及時(shí)排查和修復(fù),保障工業(yè)控制系統(tǒng)信息安全。
6結(jié)束語(yǔ)
我國(guó)的工控信息安全檢查工作還處于起步階段,安全落后于建設(shè),檢查管理機(jī)制、標(biāo)準(zhǔn)規(guī)范、評(píng)價(jià)機(jī)制、技術(shù)對(duì)策、安全產(chǎn)品等亟待加強(qiáng)。結(jié)合國(guó)外的做法和國(guó)內(nèi)的實(shí)際情況,通過(guò)完善檢查管理體系、加強(qiáng)技術(shù)創(chuàng)新、發(fā)揮產(chǎn)業(yè)力量等方面著手,逐步提高我國(guó)工業(yè)控制系統(tǒng)信息安全檢查能力,更細(xì)致更深入地發(fā)現(xiàn)工業(yè)控制系統(tǒng)中潛在的安全風(fēng)險(xiǎn)并進(jìn)行及時(shí)排除。工業(yè)控制系統(tǒng)信息安全檢查工作需建立在融合實(shí)際業(yè)務(wù)特征與工業(yè)控制系統(tǒng)信息安全技術(shù)的特性基礎(chǔ)上,同時(shí)滿足業(yè)務(wù)運(yùn)行保障的需求,并符合實(shí)際工業(yè)環(huán)境特點(diǎn),才能真正保障工業(yè)控制系統(tǒng)的信息安全。
參考文獻(xiàn)
[1]尹麗波.我國(guó)亟需建立工控安全保障體系[J].中國(guó)信息安全,2016(4):56
[2]佟鑫,江典盛,張利.美國(guó)電力行業(yè)信息安全工作綜述[J].中國(guó)信息安全,2012(8):83
[3]凡,宋志慧,周密.美國(guó)加強(qiáng)工業(yè)控制系統(tǒng)安全建設(shè)的主要舉措探究[J].信息安全與通信保密,2014(6):48
作者:楊帆 高瑞 李俊 魏玉峰 楊睿超 單位:陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):Caj-cd規(guī)范獲獎(jiǎng)期刊
級(jí)別:北大期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:CSSCI南大期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤版)全文收錄期刊