綜述基于IEC6244系列標準的信息安全

來源:用戶上傳      作者:

　　摘 要 本文簡述了IEC62443系列標準的框架和主要內容，同時基于該系列標準，簡述了部分工業自動化和控制系統信息安全的基本概念。
　　關鍵詞 工業自動化控制系統;信息安全;標準框架
　　引言
　　傳統上，工業自動化控制系統多為采用專用技術的封閉網絡，其面臨的信息安全威脅并不突出。但近幾十年來，各種工業自動化控制系統正快速地從封閉、孤立的系統走向互聯，典型的工業自動化控制系統SCADA、DCS、PLC等正日益變得開放、通用和標準化。隨著越來越多工業領域信息安全事件的出現，全球加速了工業信息安全標準化的進程。
　　1 IEC 62443系列標準
　　IEC62443是在ISA-99的基礎上制定的，面向各種工業行業的工業自動化控制系統的安全。由于該標準充分考慮了工業領域的不同參與方（自動化產品廠商、系統/產品提供商、系統集成商、終端用戶）的不同安全需求，比較符合各工業行業對信息安全標準的需要。
　　IEC62443分為4個部分，第一部分是總述，定義了術語概念和模型以及系統安全度量。1-1介紹了信息安全的基本概念，包括7個基本要求的安全等級;1-2主要是本系列標準中使用的術語和縮略語;1-3主要是系統的安全符合性指標，從七個基本方面分別介紹了信息安全系統能力的等級[1]。
　　第二部分是策略和規程，規定了創建工業自動化控制系統安全計劃、補丁管理、安全策略和實踐。2-1介紹了如何在一個運行著的工業自動化控制系統中建立一個信息安全程序，以實現對系統信息的保護; 2-2介紹的是如何操作工業自動化和控制系統的信息安全程序;2-3介紹了在工業自動化和控制系統環境下，如何進行補丁管理，這部分有別于IT系統環境下的補丁管理;2-4介紹了工業自動化和控制系統供應商信息安全策略和規程，分別從系統管理，系統能力，系統驗收以及系統維護方面提出需要滿足的要求。
　　第三部分是對系統的要求，定義了工業自動化控制系統的安全技術，以及系統安全要求和安全等級。3-1介紹了當前所用的各種信息安全工具，以便有效地應用到基于工業控制系統的設施上，從而規范和監視各系統和關鍵設施;3-2描述了在工業自動化和控制系統環境下，如何定義和劃分系統區域和管道，以及系統在技術實現時信息安全等級的要求;3-3描述了與7個基本要求相關的系統信息安全要求，以及對要實現的系統如何分配系統信息安全等級。
　　第四部分是對組件（部件）的要求，規定了產品開發要求、產品安全技術要求。對系統和組件，分別從管理層面和技術層面提出了要求。4-1介紹了產品開發時實現信息安全的要求;4-2描述了工業自動化和控制系統產品，例如嵌入式設備，基于主機的產品等具體產品在技術實現上的信息安全要求。
　　2 信息安全基本概念
　　信息安全的基本概念主要包含信息安全目標、基本要求、縱深防御、威脅風險評估、安全程序成熟度、策略、安全區域、管道、信息安全等級等內容?；贗EC62443系列標準，概述如下：
　　2.1 信息安全目標
　　信息安全主要關注三個目標是否達到，即保密性、完整性和可用性。在工業自動化和控制系統的環境下，系統的信息安全最關注維持系統所有部件的可用性，完整性其次，而通常保密性的重要性最低。
　　2.2 基本要求
　　工業自動化和控制系統信息安全的基本要求為：訪問控制（AC）、使用控制（UC）、數據完整性（DI）、數據保密性（DC）、限制數據流（RDF）、事件及時響應（TRE）和資源可用性（RA）。
　　2.3 縱深防御
　　一般通過單一措施或技術很難達到信息安全的目標。比較高級的方法是使用縱深防御的概念，即通過分層或步進的方式采用多重措施。例如，入侵檢測系統可以用來通知防火墻已被突破[2]。
　　2.4 威脅風險評估
　　當資產受到風險影響時，可以在威脅風險評估過程中通過采取對抗措施降低風險，對抗措施應針對可能被不同威脅利用的弱點?；镜娘L險評估過程包括三步：風險初始評估;實施風險緩解對抗措施;評估剩余風險。
　　2.5 安全程序成熟度
　　一個成熟的安全程序的目標是集成計算機安全的所有方面，包括桌面和商業計算系統以及工業自動化和控制系統，開發并且實現整個組織范圍內的網絡安全管理系統，包括采取糾正措施防止隨著時間推移安全等級下降的趨勢以及評估風險的程序元素。
　　2.6 策略
　　安全策略使得一個組織能夠為了維持一個可接受的安全水平而遵循一個一致的程序。所謂安全策略是指定或規定一個組織如何保護其敏感、關鍵系統資源的規則。組織的安全策略也將法律法規以及合同義務考慮在內。
　　2.7 安全區域
　　對于大的或復雜的系統，對所有組成部分都采取同樣等級的安全性是不實際的或不必要的。安全區域是具用相同安全需求的物理、信息、應用資產的邏輯編組。設置安全區域可以提供分層的安全性，提供縱深防御并且解決多層次安全性需求。
　　2.8 管道
　　信息需要在安全區域內流入與流出。為涵蓋通信的安全方面以及提供包括通信特殊要求的結構，“通信管道”被單獨定義出來。管道是一種特殊類型的安全區域，成組信息按邏輯被編成信息組在區域內或在區域外流動。管道可能是單個服務或由多個數據載體組成。與區域一樣，管道由物理與邏輯兩種結構組成。管道可連接區域內的實體，或連接不同區域的實體。
　　2.9 信息安全等級
　　信息安全等級可以被定義為以下三種不同的類型：SL-目標：區域或管道的目標信息安全等級;SL-達到的：區域或管道已實現的信息安全等級;SL-能力：與區域或管道相關的對抗措施的信息安全等級能力，或區域、管道內的設備或系統固有的信息安全等級能力[3]。
　　3 結束語
　　對于工業領域，標準化是戰略性的和基礎性的工作。本文主要介紹了IEC62443系列標準的框架以及信息安全的部分基本概念。
　　參考文獻
　　[1] IEC 62443-1-1工業通信網絡-網絡和系統安全：術語、概念和模型[S].北京：中國標準出版社，2009.
　　[2] 王玉敏.IEC 62443系列標準概述和SAL介紹[J].儀器儀表標準化與計量，2012，（1）：32-36.
　　[3] 隋愛芬.工業信息安全標準概述[J].自動化博覽，2014，（10）：94-97.
轉載注明來源:http://www.hailuomaifang.com/1/view-14900775.htm