久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

    1　工控系統(tǒng)信息安全分級勢在必行

    信息通信技術(shù)的飛速發(fā)展促進(jìn)了信息化與工業(yè)化的深度融合，各種通用協(xié)議、通用硬件和軟件正廣泛地應(yīng)用于數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等諸多工業(yè)控制系統(tǒng)產(chǎn)品中。然而，以太網(wǎng)、物聯(lián)網(wǎng)等高新技術(shù)在工業(yè)控制系統(tǒng)中的廣泛應(yīng)用使得病毒、木馬等諸多安全隱患延伸到工業(yè)控制系統(tǒng)，從而對傳統(tǒng)工控系統(tǒng)的信息安全提出了新的挑戰(zhàn)。

    工業(yè)控制系統(tǒng)信息安全分級思路研究

    由于SCADA、DCS和PLC等工控系統(tǒng)廣泛地存在于工業(yè)、能源、交通、水利以及市政等領(lǐng)域，用于控制生產(chǎn)設(shè)備的運(yùn)行，因此工控系統(tǒng)的信息安全事件直接影響公共基礎(chǔ)設(shè)施的安全，關(guān)乎工業(yè)生產(chǎn)運(yùn)行、國家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全，其造成的損失可能非常巨大，甚至不可估量。另一方面，早期的工控系統(tǒng)是運(yùn)行于工業(yè)控制現(xiàn)場的自成體系且封閉獨(dú)立的系統(tǒng)，不存在受外部介入與攻擊的可能性。較少工控產(chǎn)品和設(shè)備為自身的信息安全提供一定的防護(hù)措施，這就為病毒入侵等安全事故的發(fā)生提供了可乘之機(jī)。因此，工控系統(tǒng)信息安全隱患巨大。

    從管理學(xué)的角度講，不同的工業(yè)行業(yè)，同行業(yè)中的不同系統(tǒng)或者部件對于信息安全的需求并不一致。為了能夠加強(qiáng)工業(yè)控制系統(tǒng)的信息安全管理，可以對工業(yè)控制系統(tǒng)信息安全采取等級化管理，為各工控系統(tǒng)提供信息安全分級保護(hù)措施和要求，綜合平衡安全風(fēng)險(xiǎn)和成本，從而實(shí)現(xiàn)信息安全資源的優(yōu)化配置。
 

    2　現(xiàn)有信息系統(tǒng)分級方法分析

    國際上，IEC TC65已經(jīng)在制定工控系統(tǒng)安全分級標(biāo)準(zhǔn)。美國國家標(biāo)準(zhǔn)和技術(shù)研究院制定的《聯(lián)邦信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)》(FIPS-199)中對信息和信息系統(tǒng)進(jìn)行了分類。該標(biāo)準(zhǔn)從機(jī)密性、完整性和可用性三個(gè)方面對不同類型信息的等級進(jìn)行評定，將信息的等級劃分為高、中、低三類，并以此為根據(jù)對信息系統(tǒng)進(jìn)行分級評判?！堵?lián)邦信息系統(tǒng)最小安全控制標(biāo)準(zhǔn)》(FIPS-200)規(guī)定了總共17個(gè)領(lǐng)域中美國聯(lián)邦信息與信息系統(tǒng)所必須達(dá)到的最低安全要求。

    目前美國業(yè)界對于信息的分級存在多樣性，但基本思路是一致的，只不過考慮的因素各有不同。例如，F(xiàn)IPS-199和NIST800-37等文件中采用資產(chǎn)等級評判系統(tǒng)等級的重要因素；IATF采用威脅的等級作為判定系統(tǒng)等級的重要因素；FIPS-199和IATF等同樣將信息系統(tǒng)被破壞后對國家、社會公共利益等方面的影響作為系統(tǒng)等級重要因素來為系統(tǒng)進(jìn)行定級。針對不同級別的信息系統(tǒng)，文件NIST 800-53中對各級別的系統(tǒng)推薦了不同強(qiáng)度的安全控制集，并裁剪了安全控制基線這一概念，針對基本、中和高三類系統(tǒng)級別列出了三套基線安全控制集。雖然美國的信息分級保護(hù)進(jìn)程僅實(shí)施十年左右，但同樣積累了一些成熟的經(jīng)驗(yàn)，并形成了一套完整的體系，可以作為我國推行等級保護(hù)的基礎(chǔ)經(jīng)驗(yàn)。

    我國在信息系統(tǒng)安全等級保護(hù)、保密系統(tǒng)分級保護(hù)、電信互聯(lián)網(wǎng)等級保護(hù)等領(lǐng)域制定大量標(biāo)準(zhǔn)，推動信息系統(tǒng)安全分級應(yīng)用，對行業(yè)發(fā)展起到重要推動作用。

    3　我國工控系統(tǒng)信息安全分級方法研究建議

    工業(yè)控制系統(tǒng)被廣泛應(yīng)用于國民經(jīng)濟(jì)以及公民日常生活的各個(gè)方面，關(guān)系著國家切實(shí)利益和社會長治久安。受近年來“震網(wǎng)”等一系列工業(yè)控制系統(tǒng)安全事件的影響，我國工控系統(tǒng)的信息安全分級管理勢在必行。在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會的指導(dǎo)下，中國電子技術(shù)標(biāo)準(zhǔn)化研究院成立工控系統(tǒng)信息安全標(biāo)準(zhǔn)工作組，組織國內(nèi)工控行業(yè)骨干企業(yè)、科研院所，開展工控系統(tǒng)信息安全分級標(biāo)準(zhǔn)的研究。提出了從信息安全和功能安全出發(fā)，根據(jù)不同區(qū)域和部件受侵害程度對工控系統(tǒng)進(jìn)行安全定級。從工控系統(tǒng)七項(xiàng)基本安全需求出發(fā)，對每項(xiàng)需求根據(jù)受侵害程度劃分為五級。劃分系統(tǒng)區(qū)域和管道，根據(jù)定級依據(jù)設(shè)定系統(tǒng)和各部件的設(shè)計(jì)安全等級，系統(tǒng)建設(shè)完成后，對系統(tǒng)進(jìn)行評估得到實(shí)際安全等級，并與設(shè)計(jì)安全等級進(jìn)行對比，制定安全策略，調(diào)整系統(tǒng)安全配置。

    在此基礎(chǔ)上，將這三個(gè)定級要素根據(jù)各自特點(diǎn)進(jìn)一步細(xì)化為若干關(guān)鍵指標(biāo)，從而更為精確地評判工控系統(tǒng)信息安全等級。例如，工控系統(tǒng)重要性程度可細(xì)化為業(yè)務(wù)使命和行業(yè)領(lǐng)域兩個(gè)關(guān)鍵要素。其中，工控系統(tǒng)的行業(yè)領(lǐng)域要素分為關(guān)鍵領(lǐng)域、重點(diǎn)領(lǐng)域、一般領(lǐng)域。與國家安全、國家經(jīng)濟(jì)安全緊密相關(guān)的工業(yè)生產(chǎn)領(lǐng)域作為關(guān)鍵領(lǐng)域；與國計(jì)民生緊密相關(guān)的工業(yè)生產(chǎn)領(lǐng)域，作為重點(diǎn)領(lǐng)域；上述領(lǐng)域之外的其它工業(yè)生產(chǎn)領(lǐng)域作為一般領(lǐng)域。

    工控系統(tǒng)信息安全分級可以根據(jù)信息系統(tǒng)的重要程度以及實(shí)際安全需求，將各種信息系統(tǒng)進(jìn)行分類，有利于提供從細(xì)節(jié)到全局，從技術(shù)到管理，從設(shè)備到人員等多方面的安全防護(hù)措施，從而保障工業(yè)控制信息系統(tǒng)的正常運(yùn)行，維護(hù)國家利益、公共權(quán)益和社會穩(wěn)定。與國外現(xiàn)有技術(shù)和標(biāo)準(zhǔn)相比，我國工控系統(tǒng)信息安全分級標(biāo)準(zhǔn)綜合考慮工控行業(yè)和國家、社會生產(chǎn)生活的諸多因素，力圖制定更加準(zhǔn)確合理的工控信息系統(tǒng)安全分級策略。

    作者簡介

    范科峰（1978-），男，陜西禮泉人，高級工程師，博士，博士后出站，碩士導(dǎo)師，研究方向?yàn)樾畔踩?、信號處理、信息技術(shù)標(biāo)準(zhǔn)化等。目前負(fù)責(zé)工控安全技術(shù)標(biāo)準(zhǔn)與測評等工作，在信息安全等領(lǐng)域獲得省部級科技獎勵6項(xiàng)，榮獲第3屆中央國家機(jī)關(guān)青年五四獎?wù)隆?br/>
    李琳（1983-），男，山東濟(jì)南人，博士研究生，研究方向?yàn)閺?fù)雜網(wǎng)絡(luò)，網(wǎng)絡(luò)內(nèi)容安全。

    摘自 工業(yè)控制系統(tǒng)信息安全專刊