工業(yè)控制系統(tǒng)信息安全專業(yè)化服務體系建設研究論文.doc

工業(yè)控制系統(tǒng)信息安全專業(yè)化服務體系建設研究論文 工業(yè)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)相比在系統(tǒng)安全性、可靠性、穩(wěn)定性和保密性等方面要求更高同時對系統(tǒng)安全服務也提出了新的要求本文圍繞工業(yè)控制系統(tǒng)信息安全服務的服務能力、服務平臺和支撐環(huán)境建設設計并提出工業(yè)控制系統(tǒng)信息安全專業(yè)化服務體系架構進一步完善安全測評與加固、技術研發(fā)、人才培養(yǎng)以及信息安全咨詢等服務質量提高服務效率 引言 隨著兩化融合進程的不斷推進及工業(yè)控制系統(tǒng)的逐漸開放無線傳感網(wǎng)絡、移動信息互聯(lián)、物聯(lián)網(wǎng)技術、精準定位授時等信息技術在能源、制造、化工、水利、交通等重要領域的控制系統(tǒng)中得到了深入的應用工業(yè)控制系統(tǒng)與IT系統(tǒng)逐步實現(xiàn)了協(xié)同工作和信息共享進一步提高了企業(yè)的運營管理水平但在企業(yè)綜合效益提升的同時工業(yè)控制系統(tǒng)也開始面臨IT系統(tǒng)面臨的木馬攻擊、病毒入侵和信息竊取等安全威脅如果被敵對勢力獲取工業(yè)控制超級用戶管理權限對核心設施進行惡意攻擊的話不僅會造成經(jīng)濟損失也將會對人民生命安全造成嚴重的威脅1 目前我國明確提出要做好重要工業(yè)基礎設施信息安全保障工作這也對信息安全保障服務的專業(yè)化程度和服務體系的建設提出了更高的要求加強工業(yè)控制系統(tǒng)信息安全管理水平提高抵御外來攻擊的能力降低工業(yè)控制系統(tǒng)造成破壞的概率和可能性以技術和管理手段改善工業(yè)控制信息安全現(xiàn)狀保障國家安全與社會穩(wěn)定已經(jīng)刻不容緩2本文將圍繞工業(yè)控制系統(tǒng)風險評估、等級保護測評、代碼驗證等核心環(huán)節(jié)設計并提出工業(yè)控制系統(tǒng)信息安全專業(yè)化服務體系架構進一步完善安全測評與加固、技術研發(fā)、人才培養(yǎng)以及信息安全咨詢等服務質量提高服務效率 1構建專業(yè)化服務體系 目前我國的工業(yè)控制系統(tǒng)信息安全管理和服務的相關標準規(guī)范還在醞釀中僅部分行業(yè)部門出臺了試行的安全評估、測評等相關服務規(guī)范整體安全服務工作還缺少依據(jù)3綜合工業(yè)控制系統(tǒng)的共性特點、安全需求其需要的核心服務主要包括系統(tǒng)安全測評、代碼檢測與環(huán)境驗證、系統(tǒng)建設與加固、人才培養(yǎng)、滲透測試和網(wǎng)絡監(jiān)測預警等服務以及能提供技術支撐的功能平臺4對工業(yè)控制系統(tǒng)的安全服務需求進行梳理提出如下服務體系架構該架構圍繞專業(yè)化服務項目、服務平臺和支撐環(huán)境建設展開將為工控信息安全服務工作的開展提供組態(tài)化的解決方案其中服務項目是指服務機構或部門要具備的必須的技術能力和評估水平服務平臺是為相關服務開展提供技術支持的功能性平臺支撐環(huán)境是為服務的有效性提供驗證和基礎運行的必要條件 2服務能力建設 2.1內網(wǎng)監(jiān)測與預警服務能力建設 根據(jù)工業(yè)控制系統(tǒng)內部構成情況實現(xiàn)能夠對內網(wǎng)非法入侵、惡意攻擊、內常規(guī)網(wǎng)絡木馬、后門事件、常規(guī)蠕蟲事件、僵尸網(wǎng)絡事件、異常流量(端口流量、協(xié)議流量、IP流量等)事件進行監(jiān)測預警的服務能力 2.2安全咨詢與培訓能力建設 信息安全咨詢與培訓能力建設包括對安全體系建設咨詢、研究項目合作咨詢、測評技術培訓、系統(tǒng)安全體系培訓等通過信息咨詢服務體系定期發(fā)布重要工業(yè)控制系統(tǒng)最新漏洞、脆弱性、病毒等信息為提高工業(yè)控制系統(tǒng)信息安全提供技術參考同時針對工業(yè)企業(yè)的現(xiàn)場管理流程和規(guī)范對相關人員提供培訓服務主要從培訓課程與實驗環(huán)境兩個方面進行人才培養(yǎng)提升工業(yè)現(xiàn)場人員的安全管理能力和技術能力構建信息安全知識體系 2.3系統(tǒng)建設與加固服務能力建設 以工業(yè)控制系統(tǒng)實際運行情況為基礎參照國際和國內的安全標準和規(guī)范充分利用成熟的信息安全理論成果為工業(yè)控制系統(tǒng)設計出兼顧整體性、可操作性并且融策略、組織、運作和技術為一體的安全解決方案安全技術建設的總體目標是：根據(jù)工控信息系統(tǒng)等級對應的信息安全要求建立一套可以滿足和實現(xiàn)這些安全要求的安全管理措施安全管理措施包括適用的安全組織建設、安全策略建設和安全運行建設安全管理措施與具體的安全要求相對應在進行安全管理建設時針對各系統(tǒng)現(xiàn)狀和安全要求的差距選擇安全管理措施中對應的安全管理手段信息系統(tǒng)安全建設與加固的總體目標是：采用等級化和體系化的設計方法為工業(yè)企業(yè)訂制一整套的工控系統(tǒng)信息安全保障體系根據(jù)安全體系的要求進行安全規(guī)劃將安全體系中的各類安全措施進行打包形成多個系列的解決方案并落實安全實施項目規(guī)劃和工作規(guī)劃 2.4系統(tǒng)滲透測試服務能力建設 根據(jù)工業(yè)控制領域安全性需要組織工業(yè)控制系統(tǒng)滲透性測試能力建設以保障工業(yè)控制系統(tǒng)配置、系統(tǒng)漏洞、網(wǎng)絡流量、網(wǎng)絡信息定位等方面的安全所涉及到的技術不僅僅包括傳統(tǒng)網(wǎng)絡安全滲透測試技術還有工業(yè)控制系統(tǒng)滲透測試技術這些技術通過對傳統(tǒng)技術框架的改進方式實現(xiàn)對工業(yè)控制系統(tǒng)硬件、軟件和協(xié)議的支持 2.5代碼檢測與環(huán)境驗證服務能力建設 針對工業(yè)控制系統(tǒng)的主要功能、性能指標進行檢測檢驗系統(tǒng)是否在連續(xù)性、實時性等方面滿足工業(yè)要求并提供穩(wěn)定性驗證服務以及實時性驗證服務 (1)穩(wěn)定性驗證服務通過并發(fā)訪問、單人多線登錄、壓力測試等方法對系統(tǒng)的穩(wěn)定性進行評價驗證系統(tǒng)的穩(wěn)定性是否符合工業(yè)生產要求 (2)實時性驗證服務通過數(shù)據(jù)完整性、保密性、可用性檢測對工業(yè)控制系統(tǒng)內傳輸數(shù)據(jù)的時間數(shù)量級進行記錄和評估根據(jù)本行業(yè)的工業(yè)生產標準驗證系統(tǒng)實時性是否能夠滿足生產要求 2.6人才培養(yǎng)能力建設 從工控安全理論研究、技術研發(fā)等實驗方面以及工控系統(tǒng)安全服務兩方面培養(yǎng)高層次信息安全專業(yè)人才力爭將實驗室建成一流信息安全人才培養(yǎng)基地利用實驗室的優(yōu)厚技術條件進行實際演練掌握工業(yè)控制系統(tǒng)信息安全領域的關鍵技術成為精通信息安全理論與技術的尖端人才同時與各工控安全權威機構聯(lián)合通過共同開發(fā)與研究項目的形式利用工業(yè)控制系統(tǒng)模擬環(huán)境提供項目的實驗與開發(fā)環(huán)境保證技術領先性培養(yǎng)可以從事信息安全研究的專業(yè)隊伍為實現(xiàn)工業(yè)企業(yè)的信息安全保障輸送高質量人才 2.7系統(tǒng)安全測評服務能力建設 測評服務能力是指為工業(yè)控制信息系統(tǒng)提供安全測評服務集風險評估、等級保護測評等功能于一體通過安全測評服務能力的建設完善工業(yè)控制系統(tǒng)信息安全產品測評能力與手段充實工業(yè)控制系統(tǒng)信息安全相關資源庫在工控系統(tǒng)物理安全、網(wǎng)絡安全、主機安全和管理安全等方面為系統(tǒng)應用和控制過程提供最優(yōu)的安全尺度、安全層面、安全平臺 3服務平臺建設 服務平臺是服務開展的重要技術環(huán)境平臺的建設將進一步完善工業(yè)控制領域信息安全服務體制提升工業(yè)控制領域信息安全服務效能信息安全測評驗證服務體系逐步形成工業(yè)控制安全領域的產業(yè)多層次、多渠道、多元化的綜合服務體系平臺架構如圖2所示 代碼檢測與環(huán)境驗證子平臺：通過為工業(yè)控制系統(tǒng)提供代碼檢測和環(huán)境驗證等服務將對工業(yè)控制嵌入式操作系統(tǒng)、應用軟件進行代碼安全性驗證找出軟件代碼的潛在威脅所在加以防護提高軟件應用的安全性將代碼檢測和環(huán)境驗證平臺作為技術支撐實現(xiàn)工業(yè)控制系統(tǒng)PLC系統(tǒng)安全檢測和嵌入式系統(tǒng)測試服務 內網(wǎng)監(jiān)控與預警子平臺：對工業(yè)控制系統(tǒng)內部網(wǎng)絡中的安全事件包括：惡意攻擊、非法入侵、內網(wǎng)病毒、端口流量異常等進行監(jiān)控當安全事件發(fā)生時發(fā)出預警信息 工控系統(tǒng)業(yè)務管理子系統(tǒng)平臺：對測評、評估等服務項目提供全生命周期的過程管理包括服務隊伍建立、需求分析、資產識別、威脅分析和脆弱性識別等過程的管理并可以通過內建的知識庫為服務人員提供技術支持和信息查詢 工控系統(tǒng)安全測評服務子平臺：結合網(wǎng)絡安全建設和發(fā)展的實際情況綜合漏洞挖掘、安全評估、掃描分析和管理體系評估等多種手段建設對于工業(yè)控制系統(tǒng)提供專項安全測評、檢測服務、風險評估等服務 4支撐環(huán)境建設 4.1工控模擬實驗模擬環(huán)境建設 工業(yè)控制系統(tǒng)模擬環(huán)境是根據(jù)工業(yè)控制系統(tǒng)現(xiàn)場實際情況搭建的仿真模擬測試環(huán)境是開展安全技術理論研究、漏洞驗證、滲透測試、代碼測試環(huán)境驗證以等研究的基礎同時也是工具集研發(fā)的技術環(huán)境依托模擬環(huán)境將以SCADA、DCS等為核心結合無線、微波等網(wǎng)絡技術針對工業(yè)控制系統(tǒng)安全現(xiàn)狀將搭建電力、水利、燃氣等重要工業(yè)控制領域的模擬環(huán)境為開展攻防實驗、技術研究等奠定基礎 4.2軟硬件支撐環(huán)境 軟硬件支撐環(huán)境是整個服務體系的基礎支撐環(huán)境能夠為模擬環(huán)境建設、服務平臺建設以及服務能力建設提供必要的基礎環(huán)境軟硬件基礎環(huán)境主要包括基礎網(wǎng)絡環(huán)境、數(shù)據(jù)存儲和服務系統(tǒng)和實現(xiàn)平臺自身安全的防病毒、防入侵等安全措施 5結語 工業(yè)控制系統(tǒng)信息安全的需求和目標特性決定了安全服