久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

1　引言

工業(yè)自動(dòng)化和控制系統(tǒng)（Industrial Automationand Control Systems，IACS），簡稱工控系統(tǒng)，廣泛應(yīng)用于制造業(yè)、流程工業(yè)等工業(yè)領(lǐng)域，航空航天、軌道交通、樓宇等系統(tǒng)，電力、天然氣、自來水供給等公共設(shè)施中。工控系統(tǒng)是國民經(jīng)濟(jì)、人民生活正常運(yùn)轉(zhuǎn)的重要支撐。

隨著工控系統(tǒng)的進(jìn)一步開放互聯(lián)、數(shù)字化、網(wǎng)絡(luò)化甚至全面云化，工控系統(tǒng)自身的信息安全脆弱性和所面臨來自自然環(huán)境、人為失誤、設(shè)備故障、惡意軟件、工業(yè)間諜、犯罪組織、恐怖分子、境外國家力量等方面的威脅與日俱增。NATO（北約）已將網(wǎng)絡(luò)空間認(rèn)定為作戰(zhàn)域，視網(wǎng)絡(luò)攻防為新的戰(zhàn)場(chǎng)，許多西方信息安全公司也已將信息安全上升到軍事戰(zhàn)爭(zhēng)高度。對(duì)工控系統(tǒng)僅采用傳統(tǒng)的“封堵查殺”信息安全手段，已基本無法應(yīng)對(duì)系統(tǒng)性高強(qiáng)度的網(wǎng)絡(luò)攻擊（如APT攻擊）。

按照國家《網(wǎng)絡(luò)安全法》的規(guī)定，能源、交通、水利等國家重要行業(yè)和領(lǐng)域的工控系統(tǒng)，屬于關(guān)鍵信息基礎(chǔ)設(shè)施，其一旦遭到破壞、喪失功能或者關(guān)鍵數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生和公共利益。鑒于關(guān)鍵基礎(chǔ)設(shè)施工控系統(tǒng)對(duì)于國民經(jīng)濟(jì)和社會(huì)生活的重要性及其所面臨日趨嚴(yán)峻的環(huán)境，研發(fā)和構(gòu)建滿足關(guān)鍵基礎(chǔ)設(shè)施安全需求的新一代可信工控系統(tǒng)迫在眉睫。

2　可信工控系統(tǒng)概念及關(guān)鍵特性

2.1　概念

狹義的工控系統(tǒng)是指工業(yè)生產(chǎn)、交通運(yùn)輸、水電氣等公共設(shè)施中使用的自動(dòng)化和控制系統(tǒng)，包括分散控制系統(tǒng)（DCS）、監(jiān)督控制和數(shù)據(jù)采集系統(tǒng)（SCADA）及其它監(jiān)視和診斷系統(tǒng)，可編程邏輯控制器（PLC）、遠(yuǎn)程終端單元（RTU）及其它智能儀表或電子裝置等。隨著工廠數(shù)字化、網(wǎng)絡(luò)化、智能化的加速推進(jìn)，OT和IT的深度融合，新型的工控系統(tǒng)內(nèi)涵已擴(kuò)大不少。以智能電廠為例，如圖1所示，其工控系統(tǒng)不僅從原先單純的監(jiān)視和控制功能擴(kuò)充到包含模型、預(yù)測(cè)、優(yōu)化、管理等功能的控制域和運(yùn)維域，而且還擴(kuò)展到包括信息域、應(yīng)用域，甚至業(yè)務(wù)域（如其中的AMS資產(chǎn)管理系統(tǒng)）。習(xí)慣上，工控系統(tǒng)的安全依賴于物理隔離，系統(tǒng)不與外網(wǎng)和無線網(wǎng)互聯(lián)，將系統(tǒng)中脆弱性組件與網(wǎng)絡(luò)隔離，關(guān)鍵控制系統(tǒng)設(shè)計(jì)和訪問規(guī)則采取隱含或模糊原則等。但在泛在感知、泛在互聯(lián)、云-邊協(xié)同、工控/信息深度融合等發(fā)展背景下，傳統(tǒng)的安全措施已不能系統(tǒng)保護(hù)工控系統(tǒng)的信息安全，研發(fā)新一代可信工控系統(tǒng)的需求提上日程。

圖1 智能電廠工控系統(tǒng)架構(gòu)及信息流示意圖

所謂可信工控系統(tǒng)，是指在面臨環(huán)境干擾、人為錯(cuò)誤、系統(tǒng)故障和網(wǎng)絡(luò)攻擊時(shí)，系統(tǒng)在信息安全、功能安全、可靠性、韌性、私密性等關(guān)鍵系統(tǒng)特性方面的性能達(dá)到預(yù)期的工業(yè)自動(dòng)化和控制系統(tǒng)，如圖2所示。對(duì)于可信工控系統(tǒng)而言，從結(jié)構(gòu)視角來看，不僅構(gòu)成工控系統(tǒng)的I/O單元、控制器、交換機(jī)、服務(wù)器、操作員站等部件及其系統(tǒng)軟件、應(yīng)用軟件等建立在可信機(jī)制上，而且防火墻、網(wǎng)閘、DMZ（非軍事區(qū)）等網(wǎng)絡(luò)安全設(shè)備及其網(wǎng)管設(shè)備和軟件等也均建立于可信機(jī)制之上?？尚哦仁侵赶到y(tǒng)在面對(duì)環(huán)境干擾、人為錯(cuò)誤、系統(tǒng)故障和網(wǎng)絡(luò)攻擊時(shí)，人們對(duì)系統(tǒng)在所有關(guān)鍵系統(tǒng)特性方面的性能達(dá)到期望所具有的信心程度?？尚殴た叵到y(tǒng)的可信程度可以用可信度來進(jìn)行度量。

圖2 可信工控系統(tǒng)特性

2.2　關(guān)鍵特性

信息安全是指保護(hù)系統(tǒng)不受意外或未經(jīng)授權(quán)的訪問、變更或破壞，系統(tǒng)連續(xù)可靠正常運(yùn)行的狀態(tài)，其基本要素包括常稱之為CIA三角的機(jī)密性、完整性和可用性。功能安全是指系統(tǒng)運(yùn)行時(shí)，不會(huì)直接或間接引起人身健康或安全、環(huán)境破壞及資產(chǎn)財(cái)產(chǎn)損失方面不可接受風(fēng)險(xiǎn)的狀態(tài)?？煽啃允侵赶到y(tǒng)或部件在規(guī)定的條件和規(guī)定的時(shí)間內(nèi)執(zhí)行其所需功能的能力。韌性是指系統(tǒng)在完成分配的任務(wù)時(shí)能規(guī)避、承受和管理所面臨的動(dòng)態(tài)不利條件，并在遭受重大損失后仍能重建其運(yùn)行能力的行為方式，是系統(tǒng)的緊急屬性。私密性是指?jìng)€(gè)人或團(tuán)體控制或影響與之相關(guān)的信息哪些可被收集、處理和存儲(chǔ)，以及可由誰和向誰披露該信息的權(quán)利。

信息安全、功能安全、可靠性、韌性和私密性是判定一個(gè)工控系統(tǒng)是否可信的重要特征，因而將這五個(gè)特征稱之為可信工控系統(tǒng)的關(guān)鍵特征。系統(tǒng)的可擴(kuò)展性、可用性、可維護(hù)性、可移植性或可組合性等其它特性也很重要，但通常不被認(rèn)為是可信性的“關(guān)鍵特征”。

3　可信工控系統(tǒng)信息安全技術(shù)框架

可信工控系統(tǒng)信息安全技術(shù)框架可分為三層，如圖3所示，其最高層由基于可信機(jī)制的端點(diǎn)防護(hù)、通信&互聯(lián)防護(hù)、信息安全監(jiān)視&分析、信息安全配置&管理等四個(gè)核心安全功能組成，其支撐層由基于可信機(jī)制的數(shù)據(jù)防護(hù)層和覆蓋整個(gè)系統(tǒng)的信息安全模型&信息安全策略層構(gòu)成。

圖3 可信工控系統(tǒng)信息安全技術(shù)框架

3.1　最高層

最高層是可信工控系統(tǒng)信息安全的關(guān)鍵，其四個(gè)核心功能簡述如下：

（1）端點(diǎn)防護(hù)：對(duì)本地工控系統(tǒng)或采用云-邊架構(gòu)的工業(yè)互聯(lián)網(wǎng)系統(tǒng)的端點(diǎn)（端點(diǎn)是指具有計(jì)算和通信能力，實(shí)現(xiàn)某種功能的設(shè)備或部件，如工業(yè)互聯(lián)網(wǎng)中的邊緣設(shè)備、通信設(shè)施、云服務(wù)器等）進(jìn)行防護(hù)。又可細(xì)分為端點(diǎn)物理安全、端點(diǎn)可信根、端點(diǎn)身份識(shí)別、端點(diǎn)完整性防護(hù)、端點(diǎn)訪問控制、端點(diǎn)監(jiān)視&分析、端點(diǎn)安全配置&管理和端點(diǎn)信息安全模型&安全策略等。

（2）通信和互聯(lián)防護(hù)：通常端點(diǎn)間需相互通信，而通信可能是漏洞的來源，工控信息安全僅單靠端點(diǎn)防護(hù)是不夠的，通信和互聯(lián)防護(hù)的必要性顯而易見?；趯?duì)端點(diǎn)的身份鑒別、通信授權(quán)和加密，通信和互聯(lián)防護(hù)為端點(diǎn)到網(wǎng)絡(luò)的連接提供物理安全保障，保護(hù)網(wǎng)絡(luò)中的信息流，并對(duì)端點(diǎn)間的通信進(jìn)行加密保護(hù)。從功能劃分視角看，通信和互聯(lián)防護(hù)又可細(xì)分為互聯(lián)物理防護(hù)、通信端點(diǎn)防護(hù)、信息流防護(hù)、密碼防護(hù)、網(wǎng)絡(luò)配置&管理、網(wǎng)絡(luò)監(jiān)視&分析、通信&互聯(lián)防護(hù)的安全策略等。

（3）安全監(jiān)視&分析：以監(jiān)視-分析-行動(dòng)的循環(huán)周而復(fù)始進(jìn)行，首先是抓取端點(diǎn)及互聯(lián)通信、遠(yuǎn)程登錄、供應(yīng)鏈的全部狀態(tài)相關(guān)數(shù)據(jù)，然后對(duì)這些數(shù)據(jù)進(jìn)行行為分析和基于規(guī)則的分析或其它類別的基于機(jī)器學(xué)習(xí)的態(tài)勢(shì)分析，以探測(cè)或感知出可能的安全違規(guī)行為或潛在的系統(tǒng)漏洞、威脅、攻擊等。一旦探測(cè)或感知到上述狀態(tài)或行為，則立即按照系統(tǒng)安全策略等相關(guān)規(guī)定來執(zhí)行一系列動(dòng)作（如主動(dòng)、預(yù)測(cè)性的提前消除威脅；自動(dòng)響應(yīng)正在進(jìn)行的攻擊，減輕威脅，恢復(fù)正常狀態(tài)；根原因/取證分析、取證調(diào)查等）。

（4）安全配置和管理：負(fù)責(zé)工控系統(tǒng)運(yùn)營功能（包括可靠性和安全行為）及其網(wǎng)絡(luò)安全設(shè)備的變更控制和管理，以確保所有變更均以安全、受控和可信的方式執(zhí)行。

3.2　數(shù)據(jù)防護(hù)層

數(shù)據(jù)防護(hù)層包括端點(diǎn)數(shù)據(jù)防護(hù)、通信數(shù)據(jù)防護(hù)、配置數(shù)據(jù)防護(hù)、監(jiān)視數(shù)據(jù)防護(hù)、數(shù)據(jù)安全模型&安全策略等子功能，通過采用機(jī)密性控制、完整性控制、訪問控制、隔離和復(fù)制等手段，對(duì)靜態(tài)數(shù)據(jù)（指在數(shù)據(jù)庫服務(wù)器、控制器固態(tài)磁盤等存儲(chǔ)的數(shù)據(jù)）、在用數(shù)據(jù)（指放置在RAM、CPU緩存和寄存器等中的非持久性數(shù)據(jù)）、運(yùn)動(dòng)數(shù)據(jù)（指在端點(diǎn)間移動(dòng)的數(shù)據(jù)）等實(shí)施防護(hù)，以保護(hù)上述數(shù)據(jù)均不受未經(jīng)授權(quán)的訪問和不受控制的變更。

3.3　信息安全模型&策略層

信息安全模型和策略層負(fù)責(zé)對(duì)信息安全如何實(shí)施，以及用于確保工控系統(tǒng)在整個(gè)生命周期中的機(jī)密性、完整性和可用性等的信息安全策略進(jìn)行管理和控制。它協(xié)調(diào)整個(gè)信息安全體系中的所有功能元素協(xié)同工作，以使工控系統(tǒng)始終處于持續(xù)的符合要求的安全狀態(tài)。具體而言，該層首先是基于系統(tǒng)威脅分析和系統(tǒng)安全目標(biāo)，確立安全策略（該策略是動(dòng)態(tài)變化的而非固化一成不變的）和安全模型，再依次確立數(shù)據(jù)防護(hù)安全策略、端點(diǎn)防護(hù)安全策略、通信&互聯(lián)安全策略、監(jiān)視&分析安全策略、配置&管理安全策略等。

4　可信鏈

眾所周知，一件質(zhì)量優(yōu)良的產(chǎn)品主要是通過優(yōu)良的設(shè)計(jì)和制造而非校核和檢驗(yàn)得到。工控信息安全體系的構(gòu)建也是如此，只有基于可信機(jī)制建立的可信工控系統(tǒng)，才可以克服傳統(tǒng)的網(wǎng)絡(luò)安全基于普通設(shè)備而僅采用“封堵查殺”的不徹底性，從而從根本上系統(tǒng)解決工控系統(tǒng)的信息安全。

為了確保工控系統(tǒng)的全面安全，無論是網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備，還是工控主機(jī)、服務(wù)器或控制器及其軟件等，都必須是安全可信的。一個(gè)可信的安全對(duì)象的可信鏈?zhǔn)怯煽尚殴?yīng)鏈、可信根、可信操作系統(tǒng)、安全數(shù)據(jù)存儲(chǔ)、安全通信、應(yīng)用軟件完整性、安全設(shè)備管理等環(huán)節(jié)構(gòu)成，如圖4所示。各環(huán)節(jié)說明如下：

圖4 構(gòu)成可信對(duì)象的可信鏈

（1）可信供應(yīng)鏈：為建立可信工控系統(tǒng)，必須首先確保系統(tǒng)的全部構(gòu)成部件（包括硬件、固件、軟件等）的供應(yīng)鏈?zhǔn)强尚诺摹＞唧w研發(fā)及應(yīng)用中可按照ISO 28000系列國際標(biāo)準(zhǔn)的要求，建立相應(yīng)的可信安全供應(yīng)鏈。

（2）可信根：是本質(zhì)上可信的功能集，這些功能可以是硬件功能也可以是軟件功能，主要用于執(zhí)行鑒別、保護(hù)加密密鑰、軟件的測(cè)量或驗(yàn)證、探測(cè)及報(bào)告對(duì)程序或系統(tǒng)的未授權(quán)變更等。國際可信計(jì)算組織（由AMD、惠普、IBM、Intel、微軟等組建）確定了TPM（可信保護(hù)模塊）的規(guī)范和標(biāo)準(zhǔn)，國家密碼管理局也制定有TCM（可信密碼模塊）的相關(guān)標(biāo)準(zhǔn)和規(guī)范。TPM和TCM等都屬于硬件類可信根芯片，均屬于國際標(biāo)準(zhǔn)所對(duì)應(yīng)的TPM（可信平臺(tái)模塊）。關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)需采用如TPM、TCM類的硬件方法來對(duì)密鑰存儲(chǔ)提供最佳保護(hù)，其次，其供應(yīng)鏈也能受到較好的控制。若設(shè)備沒有可信根，則從設(shè)備發(fā)出的任何信息注定是不可信的。ISO/IEC 11889系列國際標(biāo)準(zhǔn)對(duì)可信平臺(tái)模塊的架構(gòu)、結(jié)構(gòu)、命令、算法和方法等進(jìn)行了規(guī)定。GB/T 38638國家標(biāo)準(zhǔn)對(duì)可信計(jì)算的體系結(jié)構(gòu)、可信部件等進(jìn)行了規(guī)定。密碼行業(yè)標(biāo)準(zhǔn)GM/T 0012、GM/T 0013、GM/T 0058、GM/T 0082等分別對(duì)TCM接口、TCM符合性檢測(cè)、TCM服務(wù)模塊接口、TCM保護(hù)輪廓等進(jìn)行了規(guī)范。

（3）可信操作系統(tǒng)：可提供安全的引導(dǎo)和安全的操作環(huán)境，具有主體行為的可信性，客體內(nèi)容的保密性、完整性和可信性，自身的完整性等特點(diǎn)?？尚挪僮飨到y(tǒng)具備提供存貯器和文件保護(hù)、I/O設(shè)備訪問控制、用戶鑒別、訪問控制、探測(cè)某些攻擊等功能。不可信的操作系統(tǒng)極易導(dǎo)致惡意代碼或其它攻擊。ISO/IEC 15408國際標(biāo)準(zhǔn)規(guī)定了安全操作環(huán)境的相關(guān)要求。GB/T 37935國家標(biāo)準(zhǔn)對(duì)可信軟件基的總體結(jié)構(gòu)、功能模塊、交互接口、工作流程、自身安全要求等進(jìn)行了規(guī)定。

（4）安全數(shù)據(jù)存儲(chǔ)：除應(yīng)對(duì)系統(tǒng)軟件進(jìn)行保護(hù)外，還需對(duì)應(yīng)用軟件和存儲(chǔ)在設(shè)備上的數(shù)據(jù)進(jìn)行保護(hù)。安全數(shù)據(jù)存儲(chǔ)的目標(biāo)就是確保存儲(chǔ)在設(shè)備上的數(shù)據(jù)只能由授權(quán)用戶和進(jìn)程進(jìn)行訪問，并提供相應(yīng)機(jī)制以確保數(shù)據(jù)不能被感染、篡改或損壞。

（5）安全通信：應(yīng)提供安全的網(wǎng)絡(luò)服務(wù)，便于設(shè)備之間的安全通信。安全通信通過采用恰當(dāng)?shù)募用?、身份識(shí)別、校驗(yàn)等措施，確保信息不被偽造、重放或損壞（如報(bào)文重復(fù)、丟失、插入、亂序、損壞、延遲等）。國際上主要的通信組織都制定有相應(yīng)的安全通信規(guī)約標(biāo)準(zhǔn)，如CIP Safety Specification（CIP安全通信規(guī)范）、IEC 61784-3等。

（6）軟件完整性：除采用可信操作系統(tǒng)外，也必須保護(hù)在設(shè)備上運(yùn)行的應(yīng)用軟件免受篡改或感染。軟件完整性即提供應(yīng)用軟件檢測(cè)和防護(hù)所需的功能、進(jìn)程和工具。

（7）安全設(shè)備管理：可信操作系統(tǒng)、安全數(shù)據(jù)存儲(chǔ)、安全通信、軟件完整性均是有助于設(shè)備保護(hù)的功能，但這些功能和模塊也必須接受安全管理。此外，還需對(duì)設(shè)備的安全生命周期進(jìn)行管理，確保其身份識(shí)別、證書和全部生命周期內(nèi)的安全。同理，需對(duì)用于保護(hù)設(shè)備的軟件和配置進(jìn)行安全管理。

5　端點(diǎn)安全等級(jí)

國際標(biāo)準(zhǔn)IEC 62443和國家標(biāo)準(zhǔn)GB/T 35673對(duì)工業(yè)自動(dòng)化和控制系統(tǒng)從低到高規(guī)定了SL0~SL4五個(gè)網(wǎng)絡(luò)安全防護(hù)等級(jí)：SL0指沒有特殊防護(hù)要求或不需要網(wǎng)絡(luò)安全防護(hù)；SL1要求能防止竊聽或不經(jīng)意的暴露所導(dǎo)致的未經(jīng)授權(quán)的信息披露；SL2要求能防止未經(jīng)授權(quán)地將信息泄露給通過少量資源、通用技能和低動(dòng)機(jī)的簡單手段主動(dòng)進(jìn)行信息搜索的實(shí)體；SL3要求能防止未經(jīng)授權(quán)地將信息泄露給通過一般資源、IACS特殊技能和一般動(dòng)機(jī)的復(fù)雜手段主動(dòng)進(jìn)行信息搜索的實(shí)體；SL4要求能防止未經(jīng)授權(quán)地將信息泄露給通過擴(kuò)展資源、IACS特殊技能和高動(dòng)機(jī)的復(fù)雜手段主動(dòng)進(jìn)行信息搜索的實(shí)體。當(dāng)忽略工控系統(tǒng)重要性程度、工控系統(tǒng)信息安全威脅兩個(gè)維度時(shí)，SL安全級(jí)別與“等保”網(wǎng)絡(luò)安全保護(hù)等級(jí)基本一致（國內(nèi)信息系統(tǒng)安全保護(hù)等級(jí)劃分為5級(jí)，實(shí)際使用的是1~4級(jí)）。SL1~SL4所對(duì)應(yīng)的需加以防護(hù)的攻擊者及特征如表1所示（從網(wǎng)絡(luò)安全角度看，SL0無實(shí)質(zhì)意義，故不考慮）。

表1 SL1~SL4需設(shè)防攻擊者及特征對(duì)比表

由此可見，對(duì)于要求具有SL2及以上等級(jí)安全防護(hù)的端點(diǎn)，應(yīng)針對(duì)性地采用具有相應(yīng)可信防護(hù)機(jī)制的端點(diǎn)產(chǎn)品。圖5~圖7分別為SL2~SL4等級(jí)的端點(diǎn)安全結(jié)構(gòu)體。

圖5 SL2等級(jí)的端點(diǎn)安全結(jié)構(gòu)

圖6 SL3等級(jí)的端點(diǎn)安全結(jié)構(gòu)

圖7 SL4等級(jí)的端點(diǎn)安全結(jié)構(gòu)

（1）可信根：每個(gè)端點(diǎn)中所包含的基于可信供應(yīng)鏈之上的可信根構(gòu)成了各個(gè)端點(diǎn)安全可信的基礎(chǔ)，可信根的強(qiáng)度決定了每個(gè)端點(diǎn)設(shè)備所能達(dá)到的可信度，故SL2級(jí)端點(diǎn)可采用基于軟件的可信根，但SL3和SL4級(jí)端點(diǎn)必須采用TCM類硬件可信根。

（2）安全引導(dǎo)：采用基于國密算法的密鑰等措施來確保固件、引導(dǎo)程序等的安全引導(dǎo)認(rèn)證，帶電時(shí)執(zhí)行不可變更的或加密防護(hù)的引導(dǎo)代碼，直到擴(kuò)展實(shí)現(xiàn)從引導(dǎo)到操作系統(tǒng)啟動(dòng)的平臺(tái)級(jí)證明，從而有助于防止通過空中或網(wǎng)絡(luò)的對(duì)固件、引導(dǎo)加載程序或引導(dǎo)映像等的非授權(quán)變更。

（3）端點(diǎn)身份：端點(diǎn)身份標(biāo)識(shí)是其他安全措施所必需的基礎(chǔ)，應(yīng)采用PKI（公鑰基礎(chǔ)設(shè)施）身份認(rèn)證系統(tǒng)或國家密碼管理局所規(guī)定的基于國密的其它身份認(rèn)證系統(tǒng)。

（4）密碼服務(wù)：要確保全面的端點(diǎn)安全，則需要從傳輸規(guī)約（運(yùn)動(dòng)數(shù)據(jù)），到存儲(chǔ)設(shè)備（靜態(tài)數(shù)據(jù)），再到各類應(yīng)用（在用數(shù)據(jù)）的全部環(huán)節(jié)均正確地利用密碼、實(shí)施加密，從而保護(hù)數(shù)據(jù)的機(jī)密性和完整性。因工控類端點(diǎn)部署后在役時(shí)間較長，考慮到量子計(jì)算的快速興起，所應(yīng)用的密碼算法應(yīng)易于在線升級(jí)，以適應(yīng)“后-量子”密碼部署的預(yù)期需求。

（5）安全通信：端點(diǎn)與端點(diǎn)間的通信需采用符合其安全等級(jí)要求的安全通信規(guī)約堆棧，通信前進(jìn)行可信驗(yàn)證，對(duì)SL3和SL4級(jí)端點(diǎn)的通信過程需進(jìn)行基于硬件密碼模塊的密碼運(yùn)算和密鑰管理。

（6）端點(diǎn)配置&管理：對(duì)端點(diǎn)的固件、操作系統(tǒng)、配置或應(yīng)用程序的任何遠(yuǎn)程或自動(dòng)更新等都必須進(jìn)行驗(yàn)證，在保證機(jī)密性和完整性的條件下實(shí)現(xiàn)端到端內(nèi)容的安全可靠交付。需對(duì)端點(diǎn)的配置及變更、應(yīng)用程序及控制活動(dòng)等進(jìn)行實(shí)時(shí)和連續(xù)監(jiān)視，以探測(cè)并防止如對(duì)固件、操作系統(tǒng)、已安裝應(yīng)用程序等未授權(quán)的變更，或探測(cè)并防止危及數(shù)據(jù)機(jī)密性或完整性的未經(jīng)授權(quán)的活動(dòng)。

（7）安全信息&事件管理：具備風(fēng)險(xiǎn)監(jiān)視、分配規(guī)則、觸發(fā)規(guī)則、行為分析、事件響應(yīng)、日志/事件記錄、減輕威脅、審計(jì)等能力。

6　結(jié)語

可信機(jī)制是工控系統(tǒng)信息安全最為重要的基石，只有建立在可信機(jī)制基礎(chǔ)之上的可信工控系統(tǒng)才能確保工控系統(tǒng)信息安全的系統(tǒng)性、徹底性。為此，我國應(yīng)加大對(duì)可信工控系統(tǒng)的研發(fā)，并在關(guān)鍵基礎(chǔ)設(shè)施中逐步推廣應(yīng)用可信工控系統(tǒng)。

作者簡介：

張晉賓（1967-），男，專業(yè)副總工程師，教授級(jí)高級(jí)工程師，現(xiàn)就職于電力規(guī)劃設(shè)計(jì)總院，從事發(fā)電自動(dòng)化、信息化工程設(shè)計(jì)、咨詢、研究及管理等工作。

參考文獻(xiàn)：

[1] Industrial Internet Consortium. Industrial Internet of Things Volume G4: Security Framework[R]. 2016.

[2] IEC 62443-3.3:2013. 工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全 第3-3部分：系統(tǒng)安全要求和安全等級(jí)[S].

[3] Industrial Internet Consortium. IIC Endpoint Security Best Practices[R]. 2018

[4] 張晉賓, 周四維. 工控系統(tǒng)信息安全體系的構(gòu)建[J]. 自動(dòng)化博覽, 2017, 40 - 45.

[5] 張晉賓. 電力工控網(wǎng)絡(luò)安全預(yù)測(cè)[J]. 自動(dòng)化博覽, 2018, (A02) : 24 - 26.

摘自《自動(dòng)化博覽》2021年4月刊