第1章 工業(yè)控制系統(tǒng)信息安全簡介

第1章工業(yè)控制系統(tǒng)信息安全簡介《工業(yè)控制系統(tǒng)信息安全》2021/6/271第1章工業(yè)控制系統(tǒng)信息安全簡介1.1工業(yè)控制系統(tǒng)信息安全現狀、威脅與趨勢1.2工業(yè)控制系統(tǒng)信息安全定義1.3工業(yè)控制系統(tǒng)信息安全要求和標準體系2021/6/2721.1.1工業(yè)控制系統(tǒng)信息安全現狀

據權威工業(yè)安全事件信息庫（RepositoryofIndustrialSecurityIncidents，RISI）統(tǒng)計，截止到2011年10月，全球已發(fā)生200余起針對工業(yè)控制系統(tǒng)的攻擊事件。據美國ICS-CERT報告，2012年工控安全事件197起，2013年工控安全事件248起，其統(tǒng)計圖如圖1-1所示。圖1-1ICS-CERT工業(yè)控制系統(tǒng)信息安全事件統(tǒng)計圖2021/6/2731.1.1工業(yè)控制系統(tǒng)信息安全現狀1．能源行業(yè)1994年，美國亞利桑那州SaltRiverProject被黑客入侵。2000年，俄羅斯政府聲稱黑客成功控制了世界上最大的天然氣輸送管道網絡。2001年，黑客侵入了監(jiān)管加州多數電力傳輸系統(tǒng)的獨立運營商。2003年，美國俄亥俄州Davis-Besse的核電廠控制網絡內的一臺計算機被微軟的SQLServer蠕蟲所感染，導致其安全監(jiān)控系統(tǒng)停機將近5小時。2003年，龍泉、政平、鵝城換流站控制系統(tǒng)發(fā)現病毒，后發(fā)現是由外國工程師在系統(tǒng)調試中用筆記本電腦上網所致。2007年，在美國國土安全局的“Aurora”演習中，針對電力控制系統(tǒng)進行滲透測試，一臺發(fā)電機在其控制系統(tǒng)受到攻擊后被物理損壞。2010年，“網絡超級武器”Stuxnet病毒針對性地入侵工業(yè)控制系統(tǒng)，嚴重威脅到伊朗布什爾核電站核反應堆的安全運營。2012年，美國國土安全局下屬的ICS-CERT稱，自2011年12月以來，已發(fā)現多起試圖入侵幾大輸氣公司的黑客活動。2012年4月22日，伊朗石油部和國家石油公司內部計算機網絡遭病毒攻擊，為安全起見，伊朗方面暫時切斷了海灣附近哈爾克島石油設施的網絡連接。2021/6/2741.1.1工業(yè)控制系統(tǒng)信息安全現狀2．水利與水處理行業(yè)2000年，一個工程師在應聘澳大利亞的一家污水處理廠被多次拒絕后，遠程侵入該廠的污水處理控制系統(tǒng)，惡意造成污水處理泵站的故障，導致超過1000m3的污水被直接排入河流，導致了嚴重的環(huán)境災難。2001年，澳大利亞的一家污水處理廠由于內部工程師的多次網絡入侵，該廠發(fā)生了46次控制設備功能異常事件。2005年，美國水電溢壩事件。2006年，黑客從Internet攻破了美國哈里斯堡的一家污水處理廠的安全措施，在其系統(tǒng)內植入了能夠影響污水操作的惡意程序。2007年，攻擊者侵入加拿大的一個水利SCADA控制系統(tǒng)，通過安裝惡意軟件破壞了用于控制從Sacrmento河調水的控制計算機。2011年，黑客通過Internet操縱美國伊利諾伊州城市供水系統(tǒng)SCADA，使得其控制的供水泵遭到破壞。2021/6/2751.1.1工業(yè)控制系統(tǒng)信息安全現狀3．交通運輸行業(yè)1997年，一個十幾歲的少年侵入紐約NYNES系統(tǒng)，干擾了航空與地面通信，導致馬薩諸塞州的Worcester機場關閉6個小時。2003年，CSX運輸公司的計算機系統(tǒng)被病毒感染，導致華盛頓特區(qū)的客貨運輸中斷。2003年，19歲的AaronCaffrey侵入Houston渡口的計算機系統(tǒng)，導致該系統(tǒng)停機。2008年，攻擊者入侵波蘭某城市地鐵系統(tǒng)，通過電視遙控器改變軌道扳道器，導致四節(jié)車廂脫軌。2021/6/2761.1.1工業(yè)控制系統(tǒng)信息安全現狀4．制造行業(yè)2005年，在Zotob蠕蟲安全事件中，盡管在Internet與企業(yè)網、控制網之間部署了防火墻，還是有13個美國汽車廠由于被蠕蟲感染而被迫關閉，50，000生產線工人被迫停止工作，預計經濟損失超過1，400，000美元。2010年我國某石化、2011年某煉油廠的某裝置控制系統(tǒng)分別感染Conficker病毒，都造成了控制系統(tǒng)服務器與控制器通信不同程度地中斷。2014年，某鋼鐵廠遭到攻擊，攻擊者的行為導致工控系統(tǒng)的控制組件和整個生產線被迫停止運轉，造成重大破壞。2021/6/2771.1.1工業(yè)控制系統(tǒng)信息安全現狀5．跨行業(yè)2011年，微軟警告稱最新發(fā)現的Duqu病毒可從工業(yè)控制系統(tǒng)制造商那里收集情報數據。2012年，發(fā)現攻擊多個中東國家的惡意程序Flame火焰病毒，它能收集各行業(yè)的敏感信息。2021/6/2781.1.2工業(yè)控制系統(tǒng)信息安全威脅1．敵對因素敵對因素可以是來自內部或外部的個體、專門的組織或政府，通常采用包括黑客攻擊、數據操縱（DataManipulation）、間諜（Espionage）、病毒、蠕蟲、特洛伊木馬和僵尸網絡等進行攻擊。

黑客攻擊是通過攻擊自動化系統(tǒng)的要害或弱點，使得工業(yè)網絡信息的保密性、完整性、可靠性、可控性、可用性等受到傷害，造成不可估量的損失。

來自外部的攻擊包括非授權訪問，是指一個非授權用戶的入侵；拒絕服務（DenialofService，DoS）攻擊，即黑客想辦法讓目標設備停止提供服務或資源訪問。

高級持續(xù)威脅（AdvancedPersistenceThreat，APT）不斷出現。攻擊者有一個基于特定戰(zhàn)略的縝密計劃，即使他們使用的是相對簡單的機制。其攻擊對象是大中型企業(yè)、政府、重要機構。攻擊者使用社會上的工程技術和/或招募內部人員來獲取有效登錄憑證。2021/6/2791.1.2工業(yè)控制系統(tǒng)信息安全威脅2．偶然因素偶然因素可以是來自內部或外部的專業(yè)人員、運行維護人員或管理員。由于技術水平的局限性及經驗的不足，這些人員可能會出現各種意想不到的操作失誤，勢必對系統(tǒng)或信息安全產生較大的影響。3．系統(tǒng)結構因素系統(tǒng)結構因素可以是來自系統(tǒng)設備、安裝環(huán)境和運行軟件。由于老化、資源不足或其他情況造成系統(tǒng)設備故障、安裝環(huán)境失控及軟件故障，對系統(tǒng)或信息安全產生較大的影響。4．環(huán)境因素環(huán)境因素可以是來自自然或人為災害、非正常的自然事件（如太陽黑子等）和基礎設施破壞。這些自然災害、人為災害、非正常的自然事件和基礎設施破壞，對工業(yè)控制系統(tǒng)信息安全產生較大的影響。2021/6/27101.1.3工業(yè)控制系統(tǒng)信息安全趨勢1．全行業(yè)覆蓋趨勢目前，工業(yè)控制系統(tǒng)廣泛應用于我國電力、冶金、安防、水利、污水處理、石油天然氣、化工、交通運輸、制藥，以及大型制造等行業(yè)中，據不完全統(tǒng)計，超過80%涉及國計民生的關鍵基礎設施是依靠工業(yè)控制系統(tǒng)來實現自動化作業(yè)的，工業(yè)控制系統(tǒng)已是國家安全戰(zhàn)略的重要組成部分。因此，工業(yè)控制系統(tǒng)信息安全有全行業(yè)覆蓋的趨勢。2．經濟越發(fā)達安全事件越多趨勢國家經濟越發(fā)達，工業(yè)控制系統(tǒng)應用越廣泛；國家經濟越發(fā)達，工業(yè)管理要求更高，工廠信息化建設越多。因此，工業(yè)控制系統(tǒng)信息安全有國家經濟越發(fā)達工業(yè)控制系統(tǒng)安全事件就越多的趨勢。2021/6/27111.1.3工業(yè)控制系統(tǒng)信息安全趨勢3．日益增多趨勢新技術新應用層出不窮，云計算、移動互聯網、大數據、衛(wèi)星互聯網等領域的新技術新應用帶來了新的信息安全問題。因此，工業(yè)控制系統(tǒng)信息安全有日益增多的趨勢。2021/6/2712第1章工業(yè)控制系統(tǒng)信息安全簡介1.1工業(yè)控制系統(tǒng)信息安全現狀、威脅與趨勢1.2工業(yè)控制系統(tǒng)信息安全定義1.3工業(yè)控制系統(tǒng)信息安全要求和標準體系2021/6/27131.2.1IEC對工業(yè)控制系統(tǒng)信息安全的定義在IEC62443中對工業(yè)信息安全的定義：①保護系統(tǒng)所采取的措施；②由建立和維護保護系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)；③能夠免于對系統(tǒng)資源的非授權訪問和非授權或意外的變更、破壞或者損失；④基于計算機系統(tǒng)的能力，能夠保證非授權人員和系統(tǒng)既無法修改軟件及其數據又無法訪問系統(tǒng)功能，卻保證授權人員和系統(tǒng)不被阻止；⑤防止對工業(yè)控制系統(tǒng)的非法或有害入侵，或者干擾其正確和計劃的操作。2021/6/27141.2.2工業(yè)控制系統(tǒng)信息安全需求1．可用性工業(yè)控制系統(tǒng)信息安全必須確保所有控制系統(tǒng)部件可用，運行正常及功能正常。工業(yè)控制系統(tǒng)的過程是連續(xù)的，工業(yè)過程控制系統(tǒng)不能接受意外中斷。2．完整性工業(yè)控制系統(tǒng)信息安全必須確保所有控制系統(tǒng)信息的完整性和一致性。（1）數據完整性，即未被未授權篡改或者損壞。（2）系統(tǒng)完整性，即系統(tǒng)未被非法操縱，按既定的目標運行。3．保密性工業(yè)控制系統(tǒng)信息安全必須確保所有控制系統(tǒng)信息安全，配置必要的授權訪問，防止工業(yè)信息盜取事件的發(fā)生。除上面3個基本需求外，工業(yè)控制系統(tǒng)信息安全還有其他方面的需求，這些需求將在第2章介紹。2021/6/27151.2.3工業(yè)控制系統(tǒng)信息安全與

信息技術系統(tǒng)安全比較圖1-2工業(yè)控制系統(tǒng)安全與信息技術系統(tǒng)安全比較圖2021/6/2716第1章工業(yè)控制系統(tǒng)信息安全簡介1.1工業(yè)控制系統(tǒng)信息安全現狀、威脅與趨勢1.2工業(yè)控制系統(tǒng)信息安全定義1.3工業(yè)控制系統(tǒng)信息安全要求和標準體系2021/6/27171.3.1國家部委、行業(yè)通知2011年9月，工業(yè)和信息化部發(fā)布《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（[2011]451號），通知明確了工業(yè)控制系統(tǒng)信息安全管理的組織領導、技術保障、規(guī)章制度等方面的要求。并在工業(yè)控制系統(tǒng)的連接、組網、配置、設備選擇與升級、數據、應急管理等六個方面提出了明確的具體要求。文中明確指出：“全國信息安全標準化技術委員會抓緊制定工業(yè)控制系統(tǒng)關鍵設備信息安全規(guī)范和技術標準，明確設備安全技術要求。”2012年6月28日，國務院《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見（國發(fā)〔2012〕23號）》明確要求：保障工業(yè)控制系統(tǒng)安全。加強核設施、航空航天、先進制造、石油石化、油氣管網、電力系統(tǒng)、交通運輸、水利樞紐、城市設施等重要領域工業(yè)控制系統(tǒng)，定期開展安全檢查和風險評估。重點對可能危及生命和公共財產安全的工業(yè)控制系統(tǒng)加強監(jiān)管。對重點領域使用的關鍵產品開展安全測評，實行安全風險和漏洞通報制度。2021/6/27181.3.1國家部委、行業(yè)通知2013年8月12日，在國家發(fā)改委《關于組織實施2013年國家信息安全專項有關事項的通知》中，工控安全成為四大安全專項之一，國家在政策層面給予工控安全大力的支持。

電力行業(yè)已陸續(xù)發(fā)布《電力二次系統(tǒng)安全防護規(guī)定》、《電力二次系統(tǒng)安全防護總體要求》等一系列文件。2021/6/27191.3.2國際標準體系1．IEC/ISA1）IEC62443《工業(yè)過程測量、控制和自動化網絡與系統(tǒng)信息安全》IEC62443一共分為四個系列共13個標準，第一系列是通用標準，第二系列是策略和規(guī)程，第三系列提出系統(tǒng)級的措施，第四系列提出組件級的措施。在這13個標準中，其中4個標準已完成，其他9個標準在投票或制定過程中，其詳細架構圖如圖1-3所示。2021/6/27201.3.2國際標準體系圖1-3IEC62443/ISA-99架構圖2021/6/27211.3.2國際標準體系1．IEC/ISA2）IEC62351《電力系統(tǒng)管理與相關信息交互數據和通信信息安全》IEC62351是IEC第57技術委員會WG15工作組為電力系統(tǒng)安全運行針對有關通信協議（IEC60870-5、IEC60870-6、IEC61850、IEC61970、IEC61968系列和DNP3）而開發(fā)的數據和通信安全標準。IEC62351標準的全名為電力系統(tǒng)管理及關聯的信息交換-數據和通信安全性（PowerSystemsManagementandAssociatedInformationExchange-DataandCommunicationsSecurity），它由八個部分組成。2021/6/27221.3.2國際標準體系1．IEC/ISA3）IEC62278《軌道交通可靠性、可用性、可維修性和安全性規(guī)范及示例》本標準定義了RAMS各要素（可靠性、可用性、可維修性和安全性）及其相互作用，規(guī)定了一個以系統(tǒng)生命周期及其工作為基礎、用于管理RAMS的流程，使RAMS各個要素間的矛盾得以有效地控制和管理。2021/6/27231.3.2國際標準體系2．ISO/IECISO/IEC27000《信息安全管理系統(tǒng)》包含了信息安保標準，由國際標準化組織（ISO）和國際電工委員會（IEC）共同頒布。ISO/IEC27000—信息安保管理系統(tǒng)-概述和詞匯。ISO/IEC27001—信息安保管理系統(tǒng)-要求。ISO/IEC27002—用于信息安保管理實踐的規(guī)則。ISO/IEC27003—信息安保管理系統(tǒng)實施指南。ISO/IEC27004—信息安保管理-測量。ISO/IEC27005—信息安保危險管理。ISO/IEC27006—對信息安保管理系統(tǒng)提供審計和認證機構的要求。ISO/IEC27011—基于ISO/IEC27002電信組織的信息安保管理指南。ISO/IEC27033-1—網絡安保概述和概念。2021/6/27241.3.3國內標準體系1．全國工業(yè)過程測量和控制標準化技術委員會1）GB/T30976.1-2014《工控系統(tǒng)信息安全第1部分：評估規(guī)范》該規(guī)范規(guī)定了工業(yè)控制系統(tǒng)（SCADA、DCS、PLC、PCS等）信息安全評估的目標、評估的內容、實施過程等。該規(guī)范適用于系統(tǒng)設計方、設備生產商、系統(tǒng)集成商、工程公司、用戶、資產所有人，以及評估認證機構等對工業(yè)控制系統(tǒng)的信息安全進行評估時使用。該規(guī)范包括術語、定義和縮略語，工業(yè)控制系統(tǒng)信息安全概述，組織機構管理評估，系統(tǒng)能力（技術）評估，評估程序，工業(yè)控制系統(tǒng)生命周期各階段的風險評估，以及評估報告的格式要求等內容。該規(guī)范于2015年2月1日正式實施。2021/6/27251.3.3國內標準體系1．全國工業(yè)過程測量和控制標準化技術委員會2）GB/T30976.2-2014《工控系統(tǒng)信息安全第2部分：驗收規(guī)范》該規(guī)范規(guī)定了對實施安全解決方案的工業(yè)控制系統(tǒng)信息安全能力進行驗收的驗收流程、測試內容、方法及應達到的要求。這些測試是為了證明工業(yè)控制系統(tǒng)在增加安全解決方案后滿足對安全性的要求，并且保證其主要性能指標在允許范圍內。該規(guī)范的各項內容可作為實際工作中的指導，適用于各種工藝裝置、工廠和控制系統(tǒng)。該規(guī)范包括術語和定義、概述、驗收準備階段、風險分析與處置階段，以及能力確認階段等內容。該規(guī)范于2015年2月1日正式實施。2021/6/27261.3.3國內標準體系2．全國電力系統(tǒng)管理及其信息交換標準化技術委員會1）GB/Z25320.1-2010《電力系統(tǒng)管理及其信息交換數據和通信安全第1部分：通信網絡和系統(tǒng)安全安全問題介紹》本部分范圍是電力系統(tǒng)控制運行的信息安全。本部分的主要目的是“為IECTC57制定的通信協議的安全,特別是IEC60870-5、IEC60870-6、IEC61850、IEC61970和IEC61968的安全,承擔標準的制定；承擔有關端對端安全的標準和技術報告的制定”。2）GB/Z25320.2-2013《電力系統(tǒng)管理及其信息交換數據和通信安全第2部分：術語》本部分包括了在GB/Z25320中所使用的關鍵術語，然而并不意味這是一個由它定義的術語列表。用于計算機安全的大多數術語已由其他標準組織正式定義，因此，在這里通過對原始定義術語出處的引用，可以包括這些術語。2021/6/27271.3.3國內標準體系2．全國電力系統(tǒng)管理及其信息交換標準化技術委員會3）GB/Z25320.3-2010《電力系統(tǒng)管理及其信息交換數據和通信安全第3部分：通信網絡和系統(tǒng)安全包括TCP/IP的協議集》本部分規(guī)定如何為SCADA和用TCP/IP作為信息傳輸層的遠動協議，提供機密性、篡改檢測和信息層面認證。4）GB/Z25320.4-2010《電力系統(tǒng)管理及其信息交換數據和通信安全第4部分：包含MMS的協議集》為了對基于GB/T16720（ISO9506）制造報文規(guī)范（ManufacturingMessageSpecification，MMS）的應用進行安全防護，本部分規(guī)定了過程、協議擴充和算法。其他IECTC57標準如需要以安全的方式使用MMS，可以引用本部分作為其規(guī)范性引用文件。本部分描述了在使用GB/T16720（ISO/IEC9508）制造業(yè)報文規(guī)范MMS時應實現的一些強制的和可選的安全規(guī)范。2021/6/27281.3.3國內標準體系2．全國電力系統(tǒng)管理及其信息交換標準化技術委員會5）GB/Z25320.5-2013《電力系統(tǒng)管理及其信息交換數據和通信安全第5部分：GB/T18657及其衍生標準的安全》為了對基于或衍生于IEC60870-5（GB/T18657《遠動沒備及系統(tǒng)第5部分：傳輸規(guī)約》）的所有協議的運行進行安全防護，本部分規(guī)定了所用的信息、過程和算法。根據IEC第57委員會第3工作組的指令，IEC62351的本部分僅關注應用層認證和由此認證所產生的安全防護問題。安全防護涉及的其他問題，特別是通過加密的使用來防止竊聽和中間人攻擊，被認為超出本部分的范圍。通過本部分和其他規(guī)范一起使用，可以增加加密功能。6）GB/Z25320.6-2011《電力系統(tǒng)管理及其信息交換數據和通信安全第6部分：IEC61850的安全》為了對基于或派生于IEC61850的所有協議的運行進行安全防護，本指導性技術文件規(guī)定了相應的信息、過程與算法。2021/6/27291.3.3國內標準體系3．全國核電行業(yè)管理及其信息交換標準化技術委員會1）GB/T13284.1-2008《核電廠安全系統(tǒng)第1部分設計準則》GB/T13284.1-2008是為代替舊版本的GB/T13284-1998而制定的國家標準，該標準提供了有關核電廠安全設計應遵循的準則。標準中規(guī)定了核電廠安全系統(tǒng)動力源、儀表和控制部分最低限度的功能和設計要求，標準適用于為防止或減輕設計基準事件后果、保護公眾健康和安全所需要的系統(tǒng)。同樣適用于保護整個核電廠安全所需的所有與安全有關的系統(tǒng)、構筑物及設備。標準主要引用了GB/T及EJ/T系列標準和準則，主要從安全系統(tǒng)的設計準則、安全系統(tǒng)準則、檢測指令設備的功能和要求、執(zhí)行裝置的功能和設計要求及對動力源的要求這幾個方面對核工廠安全系統(tǒng)設計規(guī)范進行了較為詳細的規(guī)范。2021/6/27301.3.3國內標準體系3．全國核電行業(yè)管理及其信息交換標準化技術委員會2）GB/T13629-2008《核電廠安全系統(tǒng)中數字計算機的適用準則》GB/T13629-2008準則是2008年7月2日發(fā)布的，主要針對核電廠安全系統(tǒng)中數字計算機適用性制定的準則，用于代替原有的GB/T13629-1998《核電廠安全系統(tǒng)中數字計算機的適用準則》。該準則主要參考IEEEStd7-4.3.2-2003《核電廠安全系統(tǒng)中數字計算機的使用準則》進行修改，將其中的美國標準改為相應的中國標準。標準規(guī)定了計算機用做核電廠安全系統(tǒng)設備時的一般原則，規(guī)范主要引用了GB/T、EJ/T、HAF及IEEE的相關標準。2021/6/27311.3.3國內標準體系4．行業(yè)標準和導則1）JB/T11960-2014《工