王玉敏 機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所

１　概述

近幾年來， 在工業(yè)的各個(gè)領(lǐng)域， 有很多的安全廠商針對(duì)工業(yè)自動(dòng)化和控制系統(tǒng)（Industrial Automation and Control System，IACS）都提供了包括安全審計(jì)、流量監(jiān)控等在內(nèi)的防護(hù)工具、措施和策略。但是從實(shí)際上看，針對(duì)工業(yè)自動(dòng)化和控制系統(tǒng)的信息安全事件也在不斷惡化，由原來比較多針對(duì)電力系統(tǒng)（烏克蘭的電網(wǎng)事件）發(fā)展到包括化工、冶金以及軌道交通等各個(gè)關(guān)鍵領(lǐng)域的工控系統(tǒng)。這也充分說明了工業(yè)控制系統(tǒng)安全僅依靠安全廠商的解決方案，不能完全解決安全防護(hù)的問題，還需要和安全相關(guān)的各方組織一起來努力。

實(shí)際上，國際組織也發(fā)布了針對(duì)工業(yè)自動(dòng)化和控制系統(tǒng)信息安全的IEC62443系列標(biāo)準(zhǔn)，圖1表示了如何使用這個(gè)系列標(biāo)準(zhǔn)的各部分以及各個(gè)部分標(biāo)準(zhǔn)之間的關(guān)系。

圖1 服務(wù)提供商的能力范圍

圖1可以看到工業(yè)自動(dòng)化和控制系統(tǒng)安全包括了兩大部分：產(chǎn)品安全和系統(tǒng)的安全，其實(shí)產(chǎn)品安全主要獨(dú)立于工業(yè)自動(dòng)化和控制系統(tǒng)環(huán)境，是產(chǎn)品從設(shè)計(jì)到實(shí)現(xiàn)的整個(gè)開發(fā)過程中需要考慮的安全能力；工業(yè)自動(dòng)化和控制系統(tǒng)環(huán)境下，主要是考慮系統(tǒng)安全，包括了資產(chǎn)所有者以及系統(tǒng)集成商。

其中資產(chǎn)所有者根據(jù)IEC62443-2系列的內(nèi)容來制定工業(yè)自動(dòng)化和控制系統(tǒng)的操作和維護(hù)方面的策略和規(guī)程；系統(tǒng)集成商根據(jù)IEC62443-3系列的內(nèi)容來設(shè)計(jì)和部署系統(tǒng)的能力，系統(tǒng)包括了基本過程控制系統(tǒng)，也可以包括安全儀表系統(tǒng)和補(bǔ)充的軟硬件等；產(chǎn)品供應(yīng)商根據(jù)IEC62443-4系列的內(nèi)容，在開發(fā)和實(shí)現(xiàn)過程中針對(duì)控制系統(tǒng)的產(chǎn)品來實(shí)現(xiàn)產(chǎn)品的安全能力，產(chǎn)品包括了支持應(yīng)用程序的產(chǎn)品、嵌入式設(shè)備、網(wǎng)絡(luò)組件或主機(jī)設(shè)備等。

本文主要討論現(xiàn)場服務(wù)提供商，標(biāo)準(zhǔn)的主要依據(jù)是IEC62443-2-4。IEC62443-2-4 定義了在自動(dòng)化解決方案的集成和維護(hù)活動(dòng)中IACS服務(wù)提供商可以向資產(chǎn)所有者提供的安全能力的要求。這個(gè)標(biāo)準(zhǔn)在作為技術(shù)標(biāo)準(zhǔn)推薦給廣大工業(yè)自動(dòng)化和控制系統(tǒng)相關(guān)方作為實(shí)現(xiàn)依據(jù)的同時(shí)，IECEE（國際電工委員會(huì)電工產(chǎn)品合格測試與認(rèn)證組織）也成立工作組將本標(biāo)準(zhǔn)作為工業(yè)自動(dòng)化和控制系統(tǒng)信息安全服務(wù)提供商進(jìn)行認(rèn)證的依據(jù)在進(jìn)行推廣。

2　現(xiàn)場服務(wù)提供商的分類

我們常說的工業(yè)自動(dòng)化和控制系統(tǒng)主要指工業(yè)過程運(yùn)行中包括的人員、硬件、軟件、規(guī)程和策略的集合，并且能夠影響或改變其（功能）安全、（信息）安全和可靠運(yùn)行。通常指分布式控制系統(tǒng)（DCS）、監(jiān)控和數(shù)據(jù)采集（SCADA）系統(tǒng)等。現(xiàn)場服務(wù)提供商分為集成服務(wù)提供商和維護(hù)服務(wù)提供商。

2.1　集成服務(wù)提供商

集成服務(wù)提供商是指能夠提供用于自動(dòng)化解決方案的包括設(shè)計(jì)、安裝、組態(tài)、測試、試車和交接在內(nèi)的集成活動(dòng)。

IACS集成服務(wù)提供商通常與資產(chǎn)所有者分離，也可以是資產(chǎn)所有者的組織內(nèi)的一部分。并按照合同、根據(jù)資產(chǎn)所有者的要求提供實(shí)現(xiàn)/部署自動(dòng)化解決方案的能力。集成服務(wù)提供商的活動(dòng)通常從設(shè)計(jì)階段開始，在自動(dòng)化解決方案交接到資產(chǎn)所有者時(shí)結(jié)束。

IACS集成服務(wù)提供商的活動(dòng)通常包括：

（1）分析自動(dòng)化解決方案所控制的物理、電氣或機(jī)械環(huán)境（例如用于生產(chǎn)、精煉和制藥過程的受控物理過程）；

（2）開發(fā)自動(dòng)化解決方案架構(gòu)，包括設(shè)備、控制回路及其與工程師站和操作員站間的互連，可能還包含安全儀表系統(tǒng)（SIS）；

（3）定義如何將自動(dòng)化解決方案與外部（例如車間）網(wǎng)絡(luò)連接；

（4）安裝、配置、修補(bǔ)、備份以及測試，使自動(dòng)化解決方案交接給資產(chǎn)所有者；

（5）就活動(dòng)執(zhí)行期間制定的決策和產(chǎn)生的輸出獲得資產(chǎn)所有者的批準(zhǔn)。

對(duì)集成服務(wù)提供商活動(dòng)的描述，可能會(huì)排除或包括自動(dòng)化解決方案交接之前的某些活動(dòng)。這些活動(dòng)也包括與資產(chǎn)所有者合作以確保滿足資產(chǎn)所有者的要求。

從IEC62443的角度講，希望集成服務(wù)提供商參與自動(dòng)化解決方案的安全風(fēng)險(xiǎn)評(píng)估，或使用資產(chǎn)所有者提供的評(píng)估結(jié)果。也希望服務(wù)提供商在其安全程序中使用62443-2-4所要求的能力來解決這些風(fēng)險(xiǎn)。

2.2　維護(hù)服務(wù)提供商

維護(hù)服務(wù)提供商是指能夠在交接后為自動(dòng)化解決方案提供支持活動(dòng)。通常認(rèn)為維護(hù)與運(yùn)行是有區(qū)別的（例如，常用的口語中，通常假定自動(dòng)化解決方案或者是運(yùn)行中，或者是維護(hù)中）。維護(hù)服務(wù)提供商能夠在運(yùn)行中執(zhí)行支持活動(dòng)，如管理用戶帳戶，安全監(jiān)視和安全評(píng)價(jià)。

IACS維護(hù)服務(wù)提供商通常與資產(chǎn)所有者分離，也可以是資產(chǎn)所有者的一部分，有時(shí)也會(huì)有幾個(gè)維護(hù)服務(wù)商一起為資產(chǎn)所有者提供服務(wù)，并按照合同、根據(jù)資產(chǎn)所有者的要求執(zhí)行維護(hù)和服務(wù)活動(dòng)。

維護(hù)活動(dòng)與自動(dòng)化解決方案操作活動(dòng)是分開的，一般分為兩類，一類專用于維護(hù)自動(dòng)化解決方案的安全，另一類用于維護(hù)自動(dòng)化解決方案的其他方面，例如儀器和設(shè)備維護(hù)，但有責(zé)任確保安全性不會(huì)由于這些活動(dòng)而降低。

維護(hù)活動(dòng)通常在自動(dòng)化解決方案移交給資產(chǎn)所有者后開始，可能持續(xù)到資產(chǎn)所有者不再需要時(shí)。維護(hù)活動(dòng)通常短暫并頻繁發(fā)生的，通常包括以下的一種或幾種：

（1）補(bǔ)丁和反病毒更新；

（2）設(shè)備升級(jí)和維護(hù)，包括與控制算法不直接相關(guān)的工程小調(diào)整；

（3）組件和系統(tǒng)遷移；

（4）變更管理；

（5）應(yīng)急計(jì)劃管理。

無論是否與安全直接相關(guān)，所有維護(hù)活動(dòng)都包括某種程度的安全意識(shí)。任何活動(dòng)在結(jié)束后都不應(yīng)降低安全態(tài)勢。

對(duì)維護(hù)活動(dòng)的描述可能包括其它通常在自動(dòng)化解決方案交接后的活動(dòng)。這些活動(dòng)也包括與資產(chǎn)所有者協(xié)作以確保資產(chǎn)所有者的要求得到滿足。

從IEC62443系列的角度看，期望維護(hù)服務(wù)提供商，像集成服務(wù)提供商，參與自動(dòng)化解決方案的安全風(fēng)險(xiǎn)評(píng)估（例如提出修改）或使用資產(chǎn)所有者提供的評(píng)估結(jié)果。也期望服務(wù)提供商在其安全程序中使用IEC62443-2-4所要求的能力來解決這些風(fēng)險(xiǎn)。

2.3　能力域值

服務(wù)提供商需要提供的能力如表1 所示。SP（security program安全程序）請求包括了13項(xiàng)能力。這些能力也是IEC62443-3-3能力中和服務(wù)相關(guān)的具體補(bǔ)充。

表1　服務(wù)提供商需要提供的能力

2.4　主關(guān)鍵字

表1中每一個(gè)能力都可能映射到不同的主題詞，也稱為主關(guān)鍵詞。主要內(nèi)容如表2所示。

表2 主關(guān)鍵詞列表

例如：能力“SIS”SP.05.XX的主題詞包括了“風(fēng)險(xiǎn)評(píng)估”、“網(wǎng)絡(luò)設(shè)計(jì)”、“設(shè)備-工作站”、“設(shè)備-無線”、“用戶界面”等。

2.5　副關(guān)鍵字

副關(guān)鍵字是在主關(guān)鍵字的基礎(chǔ)上對(duì)技術(shù)內(nèi)容的進(jìn)一步描述。主要內(nèi)容如表3所示。

表3 副關(guān)鍵詞列表

3　總結(jié)

對(duì)集成和維護(hù)服務(wù)提供商的安全程序所支持的安全能力的要求見前文2.1和2.2。支持這些能力意味著服務(wù)提供商可以應(yīng)資產(chǎn)所有者的要求來提供這些能力。另外，IACS服務(wù)提供商可以將IEC62443-2-4與IEC62443-3-3以及IEC62443-4-2聯(lián)合使用與下層控制系統(tǒng)/組件的供應(yīng)商共同工作。這種協(xié)作可以幫助服務(wù)提供商開發(fā)有關(guān)系統(tǒng)/組件能力的策略和規(guī)程，例如根據(jù)系統(tǒng)/組件的供應(yīng)商的建議來進(jìn)行備份和恢復(fù)。

預(yù)計(jì)實(shí)現(xiàn)這些要求的安全程序?qū)ⅹ?dú)立于嵌入到自動(dòng)化解決方案里的控制系統(tǒng)的不同版本。即控制系統(tǒng)產(chǎn)品的新版本不一定要求改變服務(wù)提供商的安全程序。但是，當(dāng)下層控制系統(tǒng)的改變使現(xiàn)有的安全程序不滿足IEC62443-2-4的要求時(shí)，需要改變安全程序。

例如，服務(wù)提供商可能熟悉一個(gè)特定的控制系統(tǒng)產(chǎn)品線。該產(chǎn)品線的開發(fā)策略和規(guī)程基于產(chǎn)品供應(yīng)商的建議及產(chǎn)品線的能力。因此，當(dāng)產(chǎn)品的備份和恢復(fù)能力改變了，服務(wù)提供商的安全程序（對(duì)應(yīng)于SP.12.XX）的相應(yīng)能力可能也要改變，以便與更新后的產(chǎn)品能力保持一致。另一方面，服務(wù)提供商在保密協(xié)議或個(gè)人背景調(diào)查方面的策略和規(guī)程（對(duì)應(yīng)于SP.01.03和SP.01.04）上很可能獨(dú)立于自動(dòng)化解決方案中使用的控制系統(tǒng)產(chǎn)品。

這種協(xié)作也可以用來改善這些系統(tǒng)/組件的安全。第一，服務(wù)提供商可以向系統(tǒng)/組件供應(yīng)商推薦新的或更新后的安全特性。第二，服務(wù)提供商可以學(xué)到關(guān)于系統(tǒng)/組件的知識(shí)，使之可以在部署或維護(hù)期間向自動(dòng)化解決方案中添加自己的補(bǔ)償安全措施。

作者簡介

王玉敏，女，教授級(jí)高工，碩士，畢業(yè)于北京郵電大學(xué)，現(xiàn)就職于機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所，自2006年開始主要研究方向?yàn)楣I(yè)控制系統(tǒng)信息安全。

參考文獻(xiàn)：

[1] IEC62443-2-4(2015): 工業(yè)自動(dòng)化和控制系統(tǒng)安全 第2-4部分：IACS服務(wù)提供商的安全程序要求[S].

摘自《工業(yè)控制系統(tǒng)信息安全》專刊第四輯