工業(yè)控制信息安全產(chǎn)品測試評(píng)價(jià)體系

沈清泓+鄒春明+陸臻+田原+孟雙

摘 要：工業(yè)控制系統(tǒng)的信息安全問題日益凸顯，嚴(yán)重影響了社會(huì)和國家安全。但工業(yè)控制系統(tǒng)的特殊性，也使其與傳統(tǒng)信息系統(tǒng)在所面臨的安全威脅、安全問題及所需要考慮的安全防護(hù)措施等方面存在較大的不同。傳統(tǒng)的信息安全產(chǎn)品無法適用于工業(yè)控制領(lǐng)域，因此出現(xiàn)了專用的工控信息安全產(chǎn)品，但缺少專業(yè)規(guī)范的工控信息安全測評(píng)體系，無法保證工控信息安全產(chǎn)品的基本安全。詳細(xì)分析了工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的區(qū)別，梳理了目前廣泛使用的工控信息安全產(chǎn)品，建立了工控信息安全產(chǎn)品測試評(píng)價(jià)體系，并將該體系應(yīng)用到實(shí)際的產(chǎn)品測試中，進(jìn)一步推動(dòng)工控信息安全的發(fā)展。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；信息安全；測試

中圖分類號(hào)：TP39 文獻(xiàn)標(biāo)志碼：A

Testing and Evaluation System for Information Security Products of Industrial Control Systems

SHEN Qing-hong，ZOU Chun-ming，LU Zhen，TIAN Yuan，MENG Shuang

（The Third Research Institute of Ministry of Public Security，Shanghai 200031，China）

Abstract：The problem of information security for industrial control systems （ICS） has become increasingly prominent，and it seriously affects the social and national security.However，because of the features of ICS，it faces much more differences in parts of security threats，security issues and security measures.This paper deeply analysis the differences between ICS and traditional information systems，and then lists the information security products widely used in the field of industrial control.The testing and evaluation system for information security products of industrial control systems is established and applied in the actual products testing work to further promote the industrial information security development.

Key words：industrial control system；information security；testing

1 引 言

工業(yè)控制系統(tǒng)（Industrial Control Systems，ICS）是由各種自動(dòng)化控制組件以及對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測的過程控制組件，共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)[1]?，F(xiàn)代的ICS網(wǎng)絡(luò)，越來越依靠于商業(yè)IT和Internet領(lǐng)域的操作系統(tǒng)、開放協(xié)議和通信技術(shù)，這些技術(shù)已被證明存在著脆弱性。通過將ICS連接到互聯(lián)網(wǎng)或其他公共網(wǎng)絡(luò)，ICS脆弱性就暴露給潛在的攻擊者[2]。

為了提高工業(yè)控制系統(tǒng)的安全性，現(xiàn)在一般從兩方面考慮：一方面是提高工業(yè)控制系統(tǒng)的自身安全性，從設(shè)計(jì)階段就開始安全性架構(gòu)，并落實(shí)在工控系統(tǒng)的研發(fā)、部署、運(yùn)行的各個(gè)階段；另一方面是通過附加信息安全保障手段（如在系統(tǒng)中部署信息安全專用產(chǎn)品）在一定程度上彌補(bǔ)系統(tǒng)本身的安全漏洞。由于工業(yè)控制系統(tǒng)對(duì)高穩(wěn)定性和高可用性的要求，通過附加信息安全保障的方式來提升工控安全性是目前最容易實(shí)現(xiàn)和被接受的方式。

工業(yè)控制系統(tǒng)本質(zhì)上是一類信息系統(tǒng)，因此工控系統(tǒng)的安全性問題是信息系統(tǒng)安全性與工業(yè)控制系統(tǒng)的特點(diǎn)相結(jié)合產(chǎn)生的。美國國家安全局（National Security Agency，NSA）針對(duì)信息系統(tǒng)的安全保障陸續(xù)制定了多個(gè)版本的信息保障技術(shù)框架（Information Assurance Technical Framework，IATF）[3]，成為信息安全保障的權(quán)威架構(gòu)。IATF把信息安全保障分為四個(gè)環(huán)節(jié)：防護(hù)（Protection）、檢測（Detection）、響應(yīng)（Response）和恢復(fù)（Recovery）。首先采取各種措施對(duì)需要保護(hù)的對(duì)象進(jìn)行安全防護(hù)，然后利用相應(yīng)的檢測手段對(duì)安全保護(hù)對(duì)象進(jìn)行安全跟蹤和檢測以隨時(shí)了解其安全狀態(tài)。如果發(fā)現(xiàn)安全保護(hù)對(duì)象的安全狀態(tài)發(fā)生改變，特別是由安全變?yōu)椴话踩?，則馬上采取應(yīng)急措施對(duì)其進(jìn)行響應(yīng)處理，直至恢復(fù)安全保護(hù)對(duì)象的安全狀態(tài)。這四個(gè)部分相輔相成，缺一不可，構(gòu)成了公認(rèn)的PDRR模型，如圖1所示。

從PDDR模型的“檢測”環(huán)節(jié)入手，對(duì)工業(yè)控制系統(tǒng)的信息安全產(chǎn)品進(jìn)行測試與評(píng)估，建立工控信息安全產(chǎn)品測試評(píng)價(jià)體系，為工業(yè)控制系統(tǒng)信息安全測評(píng)提供專業(yè)化的理論支撐和實(shí)踐引領(lǐng)，一方面有效幫助供應(yīng)商大力提升其產(chǎn)品和系統(tǒng)的安全保障能力，另一方面為用戶選購工控系統(tǒng)信息安全產(chǎn)品，提高工控系統(tǒng)安全性提供支持。通過對(duì)安全測評(píng)結(jié)果的綜合分析，為相關(guān)主管部門提供真實(shí)、全面的安全態(tài)勢分析報(bào)告，促進(jìn)工業(yè)控制領(lǐng)域信息安全保障工作的開展。

2 工業(yè)控制系統(tǒng)的信息安全要求

工業(yè)控制系統(tǒng)有許多區(qū)別于傳統(tǒng)信息系統(tǒng)的特點(diǎn)，包括不同的風(fēng)險(xiǎn)和優(yōu)先級(jí)別。其中包括對(duì)人類健康和生命安全的重大風(fēng)險(xiǎn)，對(duì)環(huán)境的嚴(yán)重破壞，以及金融問題如生產(chǎn)損失和對(duì)國家經(jīng)濟(jì)的負(fù)面影響。工業(yè)控制系統(tǒng)有不同的性能和可靠性要求，其使用的操作系統(tǒng)和應(yīng)用程序?qū)Φ湫偷腎T支持人員而言可能被認(rèn)為是不方便的。此外，安全和效率的目標(biāo)有時(shí)會(huì)與控制系統(tǒng)的設(shè)計(jì)和操作的安全性發(fā)生沖突（如，需要密碼驗(yàn)證和授權(quán)不應(yīng)妨礙或干擾ICS的緊急行動(dòng)）。endprint

美國NIST發(fā)布的《工業(yè)控制系統(tǒng)信息安全指南》[4]對(duì)ICS與IT的差異進(jìn)行了全面的總結(jié)，這些顯著差異的存在導(dǎo)致工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)在通信、主機(jī)應(yīng)用、外聯(lián)訪問等方面采取了不同的策略。

傳統(tǒng)信息系統(tǒng)的信息安全通常都將保密性放在首位、完整性放在第二位、可用性則放在最后。工控系統(tǒng)安全目標(biāo)優(yōu)先級(jí)順序則恰好相反。其首要考慮的是所有系統(tǒng)部件的可用性、完整性則在第二位、保密性通常都在最后考慮，這些需求體現(xiàn)如下：

（1）工控系統(tǒng)的可用性則直接影響到企業(yè)生產(chǎn)，生產(chǎn)線停機(jī)或者誤動(dòng)都可能導(dǎo)致巨大經(jīng)濟(jì)損失，甚至是人員生命危險(xiǎn)和社會(huì)安全破壞。

（2）工控系統(tǒng)的實(shí)時(shí)性要求很高，系統(tǒng)要求響應(yīng)時(shí)間大多在毫秒級(jí)或更快等級(jí)，而通用管理系統(tǒng)能夠接受秒級(jí)或更慢的等級(jí)。

（3）工控系統(tǒng)對(duì)持續(xù)穩(wěn)定可靠運(yùn)行指標(biāo)要求很高，信息安全必須具備保證持續(xù)的可操作性及穩(wěn)定的系統(tǒng)訪問、系統(tǒng)性能以及全生命周期安全支持。

3 工控信息安全產(chǎn)品

由于工控系統(tǒng)的自身特點(diǎn)以及對(duì)可用性的高度要求，適用于工業(yè)控制系統(tǒng)的信息安全產(chǎn)品也需要著重考慮工控系統(tǒng)的特點(diǎn)。目前使用相對(duì)比較廣泛的工控信息安全產(chǎn)品主要包括工控防火墻、工控安全審計(jì)、工控隔離、工控主機(jī)防護(hù)等類型。

3.1 工控防火墻

工控防火墻根據(jù)防護(hù)的需要，在工控系統(tǒng)中部署的位置存在多種情況，通常用于各層級(jí)之間、各區(qū)域之間的訪問控制，也可能部署在單個(gè)或一組控制器前方提供保護(hù)。工控防火墻采用單機(jī)架構(gòu)，主要對(duì)基于TCP/IP工業(yè)控制協(xié)議進(jìn)行防護(hù)。通過鏈路層、網(wǎng)絡(luò)層、傳輸層及應(yīng)用層的過濾規(guī)則分別實(shí)現(xiàn)對(duì)MAC地址、IP地址、傳輸協(xié)議（TCP、UDP）和端口，以及工控協(xié)議的控制命令和參數(shù)的訪問控制。

工控防火墻從形態(tài)來說主要分兩種，一類是在傳統(tǒng)IT防火墻的基礎(chǔ)上增加工控防護(hù)功能模塊，對(duì)工控協(xié)議做深度檢查及過濾。還有一類工控防火墻是參考多芬諾工業(yè)防火墻的模式來實(shí)現(xiàn)的。

3.2 工控安全審計(jì)

工控安全審計(jì)產(chǎn)品通過鏡像接口分析網(wǎng)絡(luò)流量，或者通過代理及設(shè)備的通用接口進(jìn)行探測等方式工作，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量或設(shè)備的異常情況并告警，通常不會(huì)主動(dòng)去阻斷通信。

這類產(chǎn)品自身的故障不會(huì)直接影響工控系統(tǒng)的正常運(yùn)行，也更容易讓用戶接受。

3.3 工控隔離

工控隔離產(chǎn)品主要部署在工控系統(tǒng)中控制網(wǎng)與管理網(wǎng)之間。包括協(xié)議隔離產(chǎn)品，采用雙機(jī)架構(gòu)，兩機(jī)之間不使用傳統(tǒng)的TCP/IP進(jìn)行通信，而是對(duì)協(xié)議進(jìn)行剝離，僅將原始數(shù)據(jù)以私有協(xié)議（非TCP/IP）格式進(jìn)行傳輸。其次還有網(wǎng)閘，除了進(jìn)行協(xié)議剝離，兩機(jī)中間還有一個(gè)擺渡模塊，使得內(nèi)外網(wǎng)之間在同一時(shí)間是不聯(lián)通的，比較典型的是OPC網(wǎng)閘，主要還是傳輸監(jiān)測數(shù)據(jù)，傳輸控制命令的網(wǎng)閘還相當(dāng)少。另外還有單向?qū)朐O(shè)備，主要采用單向光纖、VGA視頻信號(hào)等方式從物理上保證傳輸?shù)膯蜗蛐?，其缺點(diǎn)是不能保證傳輸數(shù)據(jù)的完整性，但對(duì)于將控制網(wǎng)中的監(jiān)測數(shù)據(jù)傳輸?shù)狡髽I(yè)辦公網(wǎng)還是可行的。

總體來說，由于隔離類產(chǎn)品采用雙機(jī)架構(gòu)，中間私有協(xié)議通信，即使外端機(jī)被攻擊者控制，也無法侵入內(nèi)端機(jī)，其安全性要高于防火墻設(shè)備。

3.4 工控主機(jī)安全防護(hù)

工控系統(tǒng)中會(huì)部署一定數(shù)量的主機(jī)設(shè)備，如工程師站、操作員站等。這些設(shè)備往往是工控系統(tǒng)的風(fēng)險(xiǎn)點(diǎn)，病毒的入侵、人為的誤操作等威脅主要都是通過主機(jī)設(shè)備進(jìn)入工控系統(tǒng)。因此，這些主機(jī)有必要進(jìn)行一定的防護(hù)。

目前主要有兩種針對(duì)主機(jī)設(shè)備的防護(hù)產(chǎn)品：一種為鎧甲式防護(hù)產(chǎn)品，通過接管主機(jī)設(shè)備的鼠標(biāo)/鍵盤輸入、USB等外圍接口來保證主機(jī)的安全；另一種就是白名單產(chǎn)品，通過在主機(jī)上安裝代理程序，限制只有可信的程序、進(jìn)程才允許運(yùn)行，防止惡意程序的侵入。

4 工控信息安全產(chǎn)品測試評(píng)價(jià)體系

工控信息安全產(chǎn)品測試評(píng)價(jià)體系涵蓋測試環(huán)境、測評(píng)技術(shù)和評(píng)價(jià)服務(wù)三部分。測試環(huán)境主要由適用于工業(yè)控制系統(tǒng)信息安全產(chǎn)品的測試平臺(tái)組成，測評(píng)技術(shù)主要涉及測試工具、測試方法、基礎(chǔ)庫和相關(guān)的標(biāo)準(zhǔn)及規(guī)范，評(píng)價(jià)服務(wù)提供工業(yè)控制系統(tǒng)的安全測評(píng)服務(wù)的能力。

4.1 總體架構(gòu)

以工業(yè)控制系統(tǒng)相關(guān)的新一代信息技術(shù)為對(duì)象，從研究工控信息安全產(chǎn)品的安全功能要求、自身安全要求和性能要求出發(fā)，結(jié)合信息系統(tǒng)的威脅分析、系統(tǒng)脆弱性檢測和風(fēng)險(xiǎn)評(píng)價(jià)的方法和技術(shù)，建立了工控信息安全產(chǎn)品測試評(píng)價(jià)體系，總體架構(gòu)如圖2所示。

其中，測試環(huán)境體系包括基礎(chǔ)環(huán)境和實(shí)驗(yàn)環(huán)境，測評(píng)技術(shù)體系包括測試方法、測試工具、基礎(chǔ)庫和關(guān)鍵標(biāo)準(zhǔn)，評(píng)價(jià)服務(wù)體系包括服務(wù)流程和組織管理。

4.2 測試環(huán)境

根據(jù)測評(píng)機(jī)構(gòu)質(zhì)量體系建設(shè)等相關(guān)要求，通過對(duì)現(xiàn)有資源進(jìn)行整合、改進(jìn)和升級(jí)，形成實(shí)驗(yàn)室必要的物理基礎(chǔ)設(shè)施，主要包括機(jī)房建設(shè)、硬件設(shè)備和軟件購置，從而為工控信息安全產(chǎn)品測試評(píng)價(jià)提供基礎(chǔ)條件。

測試環(huán)境主要包括以下兩部分：

（1）基礎(chǔ)環(huán)境：進(jìn)行實(shí)驗(yàn)室機(jī)房裝修和改造，作為測試評(píng)價(jià)體系的實(shí)施基礎(chǔ)。

（2）實(shí)驗(yàn)環(huán)境：實(shí)驗(yàn)室基礎(chǔ)網(wǎng)絡(luò)和測試儀表。

4.2.1 基礎(chǔ)環(huán)境

基礎(chǔ)環(huán)境主要通過對(duì)現(xiàn)有資源的整合、升級(jí)，著力建設(shè)測評(píng)環(huán)境所急需的物理基礎(chǔ)設(shè)施，包括機(jī)房改建和擴(kuò)建、硬件設(shè)備和軟件購置、測評(píng)實(shí)驗(yàn)環(huán)境建立等內(nèi)容，最終形成工控專用安全產(chǎn)品測試所需的必要基礎(chǔ)條件。

基礎(chǔ)環(huán)境包括4個(gè)測試（性能測試環(huán)境、攻擊測試環(huán)境、功能測試環(huán)境和協(xié)議測試環(huán)境）隔斷環(huán)境、1個(gè)演示環(huán)境和1個(gè)測試機(jī)房組成。

4.2.2 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)室環(huán)境主要是針對(duì)工業(yè)控制系統(tǒng)信息安全產(chǎn)品的檢測需要，搭建典型的工業(yè)控制環(huán)境，包括測試平臺(tái)和演示環(huán)境兩部分。其中測試平臺(tái)又包括功能測試平臺(tái)、協(xié)議測試平臺(tái)、攻擊平臺(tái)和性能測試平臺(tái)四個(gè)系統(tǒng)。endprint

4.2.2.1 測試平臺(tái)

測試平臺(tái)包括功能測試平臺(tái)、協(xié)議測試平臺(tái)、攻擊平臺(tái)和性能測試平臺(tái)四個(gè)方面。由于每個(gè)測試平臺(tái)的測試重點(diǎn)和測試環(huán)境的要求各不相同，所以四個(gè)平臺(tái)分別獨(dú)立部署。

（1）功能測試平臺(tái)

功能測試平臺(tái)是一套典型的小規(guī)模工業(yè)控制系統(tǒng)，包含工業(yè)控制領(lǐng)域主流工業(yè)設(shè)備、工控協(xié)議交換設(shè)備、工業(yè)控制模擬軟件系統(tǒng)。功能測試平臺(tái)的工業(yè)設(shè)備包含行業(yè)主流，并支持工業(yè)控制主要協(xié)議的設(shè)備（包括西門子、施耐德、和利時(shí)及信捷等）的一至兩種型號(hào)，能夠?qū)崿F(xiàn)常用的工業(yè)控制功能及數(shù)據(jù)監(jiān)測功能，具備支持多種常見的工業(yè)控制協(xié)議（支持ModBusTCP、DNP3.0、OPC、Profinet/Profibus、IEC61850、IEC104等）的能力。

（2）協(xié)議測試平臺(tái)

工控信息安全產(chǎn)品包括工控防火墻、工控隔離、工控審計(jì)、工控主機(jī)防護(hù)等。無論該設(shè)備在實(shí)際部署時(shí)串接接入，還是旁路接入工控網(wǎng)絡(luò)，則該設(shè)備都需要進(jìn)行協(xié)議測試，測試目地在于驗(yàn)證該設(shè)備是否能支持現(xiàn)有常用的工業(yè)控制協(xié)議。

（3）攻擊測試平臺(tái)

攻擊測試平臺(tái)主要針對(duì)常用的工控信息安全產(chǎn)品，用以驗(yàn)證安全產(chǎn)品是否能夠抵御來自網(wǎng)絡(luò)，壓力，碎片等攻擊。對(duì)于旁路接入的工控信息安全設(shè)備，測試目的在于驗(yàn)證系統(tǒng)能否能記錄攻擊行為（工控審計(jì)類產(chǎn)品）；對(duì)于串行接入的工控信息安全設(shè)備，測試目的在于驗(yàn)證系統(tǒng)能否能抵御并攔截攻擊行為（工控防火墻類產(chǎn)品）。

（4）性能測試平臺(tái)

如果工控信息安全產(chǎn)品為串接部署則需要進(jìn)行性能測試，用以驗(yàn)證該設(shè)備的引入是否會(huì)對(duì)現(xiàn)有的工業(yè)網(wǎng)絡(luò)造成如通信延時(shí)增加、網(wǎng)絡(luò)帶寬降低等情況、安全設(shè)備的安全防護(hù)能力下降等影響。

4.2.2.2 演示環(huán)境

演示環(huán)境是工控系統(tǒng)運(yùn)行的展示，以簡單明了的形式來表征工控系統(tǒng)運(yùn)行的狀態(tài)，包括正常運(yùn)行和承受攻擊時(shí)的運(yùn)行狀態(tài)。不同的工業(yè)控制產(chǎn)品自身的漏洞是各不相同的，所以為了直觀的演示不同的攻擊對(duì)不同的工業(yè)控制設(shè)備造成的影響，我們需要在工業(yè)控制協(xié)議及工業(yè)控制廠商進(jìn)行盡量的覆蓋。

演示環(huán)境包含高仿真沙盤模型和可視化工控系統(tǒng)拓?fù)浣Y(jié)構(gòu)展板。

沙盤由底座、臺(tái)面和臺(tái)面模型組成，沙盤內(nèi)部完成所有動(dòng)態(tài)的設(shè)計(jì)和線路的連接，臺(tái)面模型根據(jù)具體設(shè)計(jì)和布局陳列，體現(xiàn)完整的工藝流程，各模型單體形狀和比例與真實(shí)系統(tǒng)一致。沙盤涉及化工生產(chǎn)、污水處理、環(huán)境監(jiān)測、智能樓宇等多個(gè)應(yīng)用實(shí)景。

展板由展架和展板封面組成，展板上按層次集成工控設(shè)備、網(wǎng)絡(luò)設(shè)備，并由燈帶組成復(fù)雜的網(wǎng)絡(luò)路徑。實(shí)際演示過程中，將由不同色燈光表現(xiàn)正常網(wǎng)絡(luò)數(shù)據(jù)流和受攻擊后異常數(shù)據(jù)流。展板上各控制系統(tǒng)和交換機(jī)預(yù)留相應(yīng)接口，可方便接入典型的工業(yè)控制防護(hù)設(shè)備或?qū)Ｓ脺y試工具。

4.3 測評(píng)技術(shù)

測評(píng)技術(shù)包括測試方法和測試工具的研究、改進(jìn)和應(yīng)用，基礎(chǔ)庫的建設(shè)以及相關(guān)標(biāo)準(zhǔn)的編制。

4.3.1 測試方法

工控系統(tǒng)的安全性測試方法按照安全技術(shù)要求可以分為安全功能、安全保證、環(huán)境適應(yīng)性和性能要求四個(gè)大類。根據(jù)各大類對(duì)系統(tǒng)的要求，分別進(jìn)行測試方法的研究。

鑒于工控系統(tǒng)與傳統(tǒng)信息系統(tǒng)在安全性要求上的區(qū)別，工控系統(tǒng)的信息安全目標(biāo)通常都在最后考慮，因此工控系統(tǒng)的安全技術(shù)要求又有其特殊性。安全功能要求是對(duì)工控信息安全產(chǎn)品應(yīng)具備的安全功能提出的具體要求，工控信息產(chǎn)品安全功能的具體要求包括身份鑒別、訪問控制、安全管理、不可旁路、抗攻擊、審計(jì)以及配置數(shù)據(jù)保護(hù)和運(yùn)行狀態(tài)監(jiān)測等；安全保證要求針對(duì)工控信息安全產(chǎn)品的開發(fā)和使用文檔的內(nèi)容提出具體的要求，例如配置管理、交付和運(yùn)行、開發(fā)過程、指導(dǎo)性文檔和生命周期支持等；環(huán)境適應(yīng)性要求是對(duì)工控信息安全產(chǎn)品的應(yīng)用環(huán)境提出具體的具體要求，例如IPv6環(huán)境適應(yīng)性，OPC環(huán)境適應(yīng)性等；性能要求則是對(duì)工控系統(tǒng)和工控產(chǎn)品應(yīng)達(dá)到的性能指標(biāo)做出的規(guī)定，例如去抖動(dòng)、交換速率和硬件切換時(shí)間等。此外，針對(duì)工控系統(tǒng)和設(shè)備的操作系統(tǒng)層面的漏洞進(jìn)行分析挖掘，形成攻擊測試集。

針對(duì)以上要去分別深入研究相關(guān)的測試方法，并應(yīng)用于實(shí)際的測試工作中。

4.3.2 測試工具

為確保工業(yè)控制系統(tǒng)信息安全產(chǎn)品和系統(tǒng)測評(píng)服務(wù)的專業(yè)化，開發(fā)了一批方便易用的測評(píng)工具和分析工具。其目的一是減少測評(píng)或評(píng)估人員的工作負(fù)擔(dān)，二是減少測評(píng)和評(píng)估人員因能力和經(jīng)驗(yàn)造成的測評(píng)或評(píng)估誤差，保證測評(píng)和評(píng)估服務(wù)結(jié)果的準(zhǔn)確性和科學(xué)性，提高專業(yè)化的服務(wù)能力。通過測試軟件來模擬正常和異常協(xié)議，可檢測工業(yè)控制系統(tǒng)信息安全產(chǎn)品的功能實(shí)現(xiàn)，以及對(duì)異常協(xié)議的抵御能力。

本體系配套了工控協(xié)議模擬測試軟件，集成Modbus、DNP、IEC104、IEC61850等工控協(xié)議，用于工控信息安全專用產(chǎn)品和工控設(shè)備的測試。該軟件的運(yùn)行方式是單機(jī)運(yùn)行，適用的操作系統(tǒng)為windows NT，windows xp，windows 7 x86平臺(tái)。該軟件主要分為四個(gè)模塊：ModBus模塊、DNP模塊、IEC61850MMS模塊和IEC104模塊。

4.3.3 基礎(chǔ)庫

基礎(chǔ)庫主要包括知識(shí)庫、測評(píng)指標(biāo)庫、測評(píng)方法庫、測評(píng)用例庫和測評(píng)數(shù)據(jù)庫。

知識(shí)庫的主要內(nèi)容包括工業(yè)控制系統(tǒng)信息安全領(lǐng)域的基礎(chǔ)技術(shù)知識(shí)、測試案例、法律法規(guī)、安全事件/技術(shù)手段等的統(tǒng)一描述方法、國內(nèi)外安全事件、知識(shí)庫的管理和維護(hù)方法、智能化數(shù)據(jù)挖掘方法等。

指標(biāo)庫保證各個(gè)被測系統(tǒng)之間測評(píng)結(jié)果的一致性。通過為工業(yè)控制系統(tǒng)安全測評(píng)服務(wù)建立統(tǒng)一的測評(píng)指標(biāo)庫，保證測評(píng)結(jié)果的唯一性和公正性。指標(biāo)庫由功能指標(biāo)庫、性能指標(biāo)庫和安全性評(píng)價(jià)指標(biāo)庫等構(gòu)成，可根據(jù)需要對(duì)指標(biāo)庫進(jìn)行擴(kuò)展和維護(hù)。

測評(píng)方法庫用以在每種信息安全專業(yè)化服務(wù)的標(biāo)準(zhǔn)編制和測評(píng)方法研究的基礎(chǔ)上，明確具體的技術(shù)要求，從而提供有效的服務(wù)。endprint

測評(píng)用例庫是在測評(píng)方法庫建設(shè)的基礎(chǔ)上，加強(qiáng)測試的復(fù)用，提高安全測試的效率。根據(jù)廠家提供的說明書和測評(píng)人員的經(jīng)驗(yàn)，深入解析相關(guān)技術(shù)要求的內(nèi)涵，為每種具體服務(wù)建立測評(píng)用例庫。

本體系的基礎(chǔ)庫由兩部分構(gòu)成，第一部分包括了知識(shí)庫和漏洞庫，設(shè)計(jì)成門戶網(wǎng)站模式，直接對(duì)外開放，其中收集了4000余條安全事件、3萬余條安全漏洞以及相關(guān)的法規(guī)政策、技術(shù)知識(shí)、工具等；第二部分涵蓋了指標(biāo)庫、測評(píng)方法庫、測評(píng)用例庫、測評(píng)數(shù)據(jù)庫等，運(yùn)用于測評(píng)實(shí)戰(zhàn)，檢測人員可以在其中依據(jù)指標(biāo)、測評(píng)方法、測試用例對(duì)實(shí)際的產(chǎn)品或系統(tǒng)進(jìn)行測試記錄。

4.3.4 關(guān)鍵標(biāo)準(zhǔn)

工控系統(tǒng)與互聯(lián)網(wǎng)信息系統(tǒng)采用傳統(tǒng)信息安全產(chǎn)品難以滿足相關(guān)要求，工控系統(tǒng)對(duì)持續(xù)穩(wěn)定可靠運(yùn)行指標(biāo)要求很高，信息安全必須具備保證持續(xù)的可操作性及穩(wěn)定的系統(tǒng)訪問、系統(tǒng)性能以及全生命周期安全支持。因此，有必要為應(yīng)用于工控系統(tǒng)的關(guān)鍵信息安全產(chǎn)品，以及工控系統(tǒng)安全提出專門的標(biāo)準(zhǔn)，并研究相應(yīng)的測試技術(shù)與方法。

本體系在工控領(lǐng)域制定了信息安全產(chǎn)品標(biāo)準(zhǔn)體系，以規(guī)范和支撐產(chǎn)品測試。主要包括：

（1）《信息安全技術(shù) 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》；

（2）《信息安全技術(shù) 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求》；

（3）《信息安全技術(shù) 工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》；

（4）《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全管理平臺(tái)安全技術(shù)要求》；

（5）《信息安全技術(shù) 工業(yè)控制系統(tǒng)入侵檢測產(chǎn)品安全技術(shù)要求》

（6）《信息安全技術(shù) 工業(yè)控制系統(tǒng)邊界安全專用網(wǎng)關(guān)產(chǎn)品安全技術(shù)要求》；

（7）《信息安全技術(shù) 工業(yè)控制系統(tǒng)軟件脆弱性掃描產(chǎn)品安全技術(shù)要求》；

（8）《信息安全技術(shù) 安全采集遠(yuǎn)程終端單元（RTU）安全技術(shù)要求》。

4.4 評(píng)價(jià)服務(wù)

評(píng)價(jià)服務(wù)包括服務(wù)流程和組織管理。服務(wù)流程基于現(xiàn)有的服務(wù)流程，深入挖掘工業(yè)控制系統(tǒng)信息安全產(chǎn)品的特點(diǎn)，融入服務(wù)流程，提升服務(wù)質(zhì)量；組織管理主要規(guī)范服務(wù)的相關(guān)制度，充分合理利用各方面的資源，提高服務(wù)效率。

4.4.1 服務(wù)流程

服務(wù)采購單位提出自己的系統(tǒng)需求，測評(píng)機(jī)構(gòu)經(jīng)過溝通協(xié)調(diào)確定服務(wù)目標(biāo)，簽訂服務(wù)合同，成立測評(píng)項(xiàng)目組；項(xiàng)目組根據(jù)采購單位提出的需求信息，分析需求是否充分；當(dāng)需求不夠充分時(shí)，需和服務(wù)采購單位進(jìn)行溝通，補(bǔ)充需求并最終確認(rèn)；當(dāng)需求足夠充分時(shí)，依據(jù)相關(guān)標(biāo)準(zhǔn)進(jìn)行服務(wù)方案的總體設(shè)計(jì)，并由專家對(duì)方案進(jìn)行評(píng)審；通過初步方案評(píng)審后，由測評(píng)人員對(duì)服務(wù)方案進(jìn)行詳細(xì)設(shè)計(jì)，再交由專家對(duì)方案進(jìn)行評(píng)審，并提交方案；如方案需進(jìn)行修改，需重新設(shè)計(jì)或晚上詳細(xì)的服務(wù)方案，再由專家進(jìn)行方案評(píng)審，如此類推；當(dāng)提交的服務(wù)方案不需要進(jìn)行修改時(shí)，形成安全的服務(wù)方案；一方面由專家對(duì)安全的服務(wù)方案進(jìn)行審批，并形成標(biāo)準(zhǔn)化管理；另一方面測評(píng)人員根據(jù)安全服務(wù)方案進(jìn)行測評(píng)工作，測評(píng)結(jié)束后，形成文檔，并歸檔。

4.4.2 組織管理

為了保障整套服務(wù)流程的順利實(shí)施，本體系還建立信息安全產(chǎn)品及系統(tǒng)服務(wù)的組織架構(gòu)，如圖8所示。

通過成立領(lǐng)導(dǎo)辦公室、管理部、技術(shù)部和檢測部，分別從組織、管理和技術(shù)等方面對(duì)服務(wù)的流程進(jìn)行控制。管理部主要按照相關(guān)的管理規(guī)定負(fù)責(zé)服務(wù)申請(qǐng)的受理、產(chǎn)品測評(píng)流程的控制、檢驗(yàn)報(bào)告或測評(píng)報(bào)告的審核、客戶滿意度的回訪等；技術(shù)部主要負(fù)責(zé)測評(píng)相關(guān)技術(shù)研究工作；檢測部負(fù)責(zé)具體檢測工作的實(shí)施，根據(jù)檢測數(shù)據(jù)整理出具檢驗(yàn)報(bào)告或測評(píng)報(bào)告初稿。

5 結(jié) 論

由于工控信息安全及相關(guān)產(chǎn)品的應(yīng)用還處于快速發(fā)展階段，對(duì)其的安全性測評(píng)還屬于一個(gè)全新的領(lǐng)域，國內(nèi)僅少數(shù)幾個(gè)檢測機(jī)構(gòu)部分開展了相關(guān)測評(píng)工作。本文提出的工控信息安全產(chǎn)品測試評(píng)價(jià)體系已經(jīng)在實(shí)際測評(píng)服務(wù)工作中得到了大力推廣應(yīng)用，為我國相關(guān)產(chǎn)業(yè)的健康發(fā)展提供了安全保障。

參考文獻(xiàn)

[1] STOUFFER K，Guide to industrial control systems （ICS） security[R]，NIST Special Publication，2008，800-82.

[2] SMITH C J.Connection to public communications in-creases danger of cyber-attacks [J].Pipeline & gas journal，2003，230：20-24.

[3] Information Assurance Technical Framework （3rd edition） [R]，NSA，2000.http：//www.iatf.net.

[4] STOUFFER K A，F(xiàn)ALCO J A，SCARFONE K A.NIST SP-800-82 Rev 1Publication Citation：Guide to Industrial Control Systems （ICS） Security[S] NIST，2013.

[5] 鄒春明.工業(yè)控制系統(tǒng)信息安全產(chǎn)品標(biāo)準(zhǔn)及測評(píng)方法[J].自動(dòng)化博覽，2016，（4）：62-65.

[6] AMIN S，LITRICO X，SASTRY S，et al.Cyber Security of Water SCADA Systems—Part I：Analysis and Experimentation of Stealthy Deception Attacks [J].IEEE Transactions on Control Systems Technology，2013，21（5）：1963-1970.

[7] AMIN S，LITRICO X，SASTRY S，et al.Cyber Security of Water SCADA Systems—Part II：Attack Detection Using Enhanced Hydrodynamic Models [J].IEEE Transactions on Control Systems Technology，2013，21（5）：1979-1693.endprint

[8] 沈清泓.工業(yè)控制系統(tǒng)三層網(wǎng)絡(luò)的信息安全檢測與認(rèn)證[J].自動(dòng)化博覽，2014，（7）：68-71.

[9] 田原.工業(yè)控制系統(tǒng)信息安全淺析[J].自動(dòng)化博覽，2014，（11）：68-70.

[10] COHEN F.A reference architecture approach to ICS security [J].Resilient Control Systems，2011（8）：9-11.

[11] RISI.The Repository of Industrial Security Incidents [OL].http：//www.securityincidents.org/.

[12] 張帥.工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)分析[J].信息安全與通信保密，2012，（3）：15-19.

[13] IEC.Industrial communication networks-Network and system security-Part 2-1：Establishing an industrial automation and control system security program[S].IEC 62443-2-1Edition 1.0.2010.

[14] IEC.Industrial communication networks-Network and system security-Part 3-1：Security technologies for industrial automation and control systems[S].IEC/TR 62443-3-1Edition 1.0.2009.

[15] Industrial communication networks-network andsystem security-part 1-1：term inology，concepters and models[S].IEC/TS 62443-1-1.2009

[16] 夏春明，劉濤，王華忠，等.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及發(fā)展趨勢[J].信息安全與技術(shù)，2013，（2）：13-18.

[17] 田原，沈清泓.基于P2DR2模型的工控信息系統(tǒng)等級(jí)保護(hù)體系[J].計(jì)算機(jī)工程與應(yīng)用，2015，（6）：91-93.

[18] 朱毅明.工業(yè)控制系統(tǒng)信息安全業(yè)務(wù)發(fā)展思路[J].自動(dòng)化博覽，2014，（10）：78-79.endprint