工業(yè)控制系統信息安全專(zhuān)業(yè)化服務(wù)體系建設研究論文

　　工業(yè)控制系統與傳統IT系統相比，在系統安全性、可靠性、穩定性和保密性等方面要求更高，同時(shí)，對系統安全服務(wù)也提出了新的要求。本文圍繞工業(yè)控制系統信息安全服務(wù)的服務(wù)能力、服務(wù)平臺和支撐環(huán)境建設，設計并提出工業(yè)控制系統信息安全專(zhuān)業(yè)化服務(wù)體系架構，進(jìn)一步完善安全測評與加固、技術(shù)研發(fā)、人才培養以及信息安全咨詢(xún)等服務(wù)質(zhì)量，提高服務(wù)效率。

　　引言

　　隨著(zhù)兩化融合進(jìn)程的不斷推進(jìn)及工業(yè)控制系統的逐漸開(kāi)放，無(wú)線(xiàn)傳感網(wǎng)絡(luò )、移動(dòng)信息互聯(lián)、物聯(lián)網(wǎng)技術(shù)、精準定位授時(shí)等信息技術(shù)，在能源、制造、化工、水利、交通等重要領(lǐng)域的控制系統中得到了深入的應用，工業(yè)控制系統與IT系統逐步實(shí)現了協(xié)同工作和信息共享，進(jìn)一步提高了企業(yè)的運營(yíng)管理水平。但在企業(yè)綜合效益提升的同時(shí)，工業(yè)控制系統也開(kāi)始面臨IT系統面臨的木馬攻擊、病毒入侵和信息竊取等安全威脅，如果被敵對勢力獲取工業(yè)控制超級用戶(hù)管理權限，對核心設施進(jìn)行惡意攻擊的話(huà)，不僅會(huì )造成經(jīng)濟損失，也將會(huì )對人民生命安全造成嚴重的威脅[1]。

　　目前，我國明確提出要做好重要工業(yè)基礎設施信息安全保障工作，這也對信息安全保障服務(wù)的專(zhuān)業(yè)化程度和服務(wù)體系的建設提出了更高的要求，加強工業(yè)控制系統信息安全管理水平，提高抵御外來(lái)攻擊的能力，降低工業(yè)控制系統造成破壞的概率和可能性，以技術(shù)和管理手段改善工業(yè)控制信息安全現狀，保障國家安全與社會(huì )穩定，已經(jīng)刻不容緩[2]。本文將圍繞工業(yè)控制系統風(fēng)險評估、等級保護測評、代碼驗證等核心環(huán)節，設計并提出工業(yè)控制系統信息安全專(zhuān)業(yè)化服務(wù)體系架構，進(jìn)一步完善安全測評與加固、技術(shù)研發(fā)、人才培養以及信息安全咨詢(xún)等服務(wù)質(zhì)量，提高服務(wù)效率。

　　1 構建專(zhuān)業(yè)化服務(wù)體系

　　目前，我國的工業(yè)控制系統信息安全管理和服務(wù)的相關(guān)標準規范還在醞釀中，僅部分行業(yè)部門(mén)出臺了試行的安全評估、測評等相關(guān)服務(wù)規范，整體安全服務(wù)工作還缺少依據[3]。綜合工業(yè)控制系統的共性特點(diǎn)、安全需求，其需要的核心服務(wù)主要包括系統安全測評、代碼檢測與環(huán)境驗證、系統建設與加固、人才培養、滲透測試和網(wǎng)絡(luò )監測預警等服務(wù)，以及能提供技術(shù)支撐的功能平臺[4]。對工業(yè)控制系統的安全服務(wù)需求進(jìn)行梳理，提出如下服務(wù)體系架構，該架構圍繞專(zhuān)業(yè)化服務(wù)項目、服務(wù)平臺和支撐環(huán)境建設展開(kāi)，將為工控信息安全服務(wù)工作的開(kāi)展提供組態(tài)化的解決方案。其中，服務(wù)項目是指服務(wù)機構或部門(mén)要具備的必須的技術(shù)能力和評估水平，服務(wù)平臺是為相關(guān)服務(wù)開(kāi)展提供技術(shù)支持的功能性平臺，支撐環(huán)境是為服務(wù)的有效性提供驗證和基礎運行的必要條件。

　　2 服務(wù)能力建設

　　2.1 內網(wǎng)監測與預警服務(wù)能力建設

　　根據工業(yè)控制系統內部構成情況，實(shí)現能夠對內網(wǎng)非法入侵、惡意攻擊、內常規網(wǎng)絡(luò )木馬、后門(mén)事件、常規蠕蟲(chóng)事件、僵尸網(wǎng)絡(luò )事件、異常流量(端口流量、協(xié)議流量、IP流量等)事件進(jìn)行監測預警的服務(wù)能力。

　　2.2 安全咨詢(xún)與培訓能力建設

　　信息安全咨詢(xún)與培訓能力建設包括對安全體系建設咨詢(xún)、研究項目合作咨詢(xún)、測評技術(shù)培訓、系統安全體系培訓等。通過(guò)信息咨詢(xún)服務(wù)體系定期發(fā)布重要工業(yè)控制系統最新漏洞、脆弱性、病毒等信息，為提高工業(yè)控制系統信息安全提供技術(shù)參考。同時(shí)，針對工業(yè)企業(yè)的現場(chǎng)管理流程和規范，對相關(guān)人員提供培訓服務(wù)，主要從培訓課程與實(shí)驗環(huán)境兩個(gè)方面進(jìn)行人才培養，提升工業(yè)現場(chǎng)人員的安全管理能力和技術(shù)能力，構建信息安全知識體系。

　　2.3 系統建設與加固服務(wù)能力建設

　　以工業(yè)控制系統實(shí)際運行情況為基礎，參照國際和國內的安全標準和規范，充分利用成熟的信息安全理論成果，為工業(yè)控制系統設計出兼顧整體性、可操作性，并且融策略、組織、運作和技術(shù)為一體的安全解決方案。安全技術(shù)建設的總體目標是：根據工控信息系統等級對應的信息安全要求，建立一套可以滿(mǎn)足和實(shí)現這些安全要求的安全管理措施。安全管理措施包括適用的安全組織建設、安全策略建設和安全運行建設。安全管理措施與具體的安全要求相對應，在進(jìn)行安全管理建設時(shí)，針對各系統現狀和安全要求的差距選擇安全管理措施中對應的安全管理手段。信息系統安全建設與加固的總體目標是：采用等級化和體系化的設計方法，為工業(yè)企業(yè)訂制一整套的工控系統信息安全保障體系。根據安全體系的要求進(jìn)行安全規劃，將安全體系中的各類(lèi)安全措施進(jìn)行打包，形成多個(gè)系列的解決方案，并落實(shí)安全實(shí)施項目規劃和工作規劃。

　　2.4 系統滲透測試服務(wù)能力建設

　　根據工業(yè)控制領(lǐng)域安全性需要，組織工業(yè)控制系統滲透性測試能力建設，以保障工業(yè)控制系統配置、系統漏洞、網(wǎng)絡(luò )流量、網(wǎng)絡(luò )信息定位等方面的安全。所涉及到的技術(shù)不僅僅包括傳統網(wǎng)絡(luò )安全滲透測試技術(shù)還有工業(yè)控制系統滲透測試技術(shù)，這些技術(shù)通過(guò)對傳統技術(shù)框架的改進(jìn)方式，實(shí)現對工業(yè)控制系統硬件、軟件和協(xié)議的支持。

　　2.5 代碼檢測與環(huán)境驗證服務(wù)能力建設

　　針對工業(yè)控制系統的主要功能、性能指標進(jìn)行檢測，檢驗系統是否在連續性、實(shí)時(shí)性等方面滿(mǎn)足工業(yè)要求，并提供穩定性驗證服務(wù)以及實(shí)時(shí)性驗證服務(wù)。

　　(1)穩定性驗證服務(wù)。通過(guò)并發(fā)訪(fǎng)問(wèn)、單人多線(xiàn)登錄、壓力測試等方法對系統的穩定性進(jìn)行評價(jià)，驗證系統的穩定性是否符合工業(yè)生產(chǎn)要求。

　　(2)實(shí)時(shí)性驗證服務(wù)。通過(guò)數據完整性、保密性、可用性檢測，對工業(yè)控制系統內傳輸數據的時(shí)間數量級進(jìn)行記錄和評估，根據本行業(yè)的工業(yè)生產(chǎn)標準，驗證系統實(shí)時(shí)性是否能夠滿(mǎn)足生產(chǎn)要求。

　　2.6 人才培養能力建設

　　從工控安全理論研究、技術(shù)研發(fā)等實(shí)驗方面以及工控系統安全服務(wù)兩方面培養高層次信息安全專(zhuān)業(yè)人才，力爭將實(shí)驗室建成一流信息安全人才培養基地。利用實(shí)驗室的優(yōu)厚技術(shù)條件，進(jìn)行實(shí)際演練，掌握工業(yè)控制系統信息安全領(lǐng)域的關(guān)鍵技術(shù)，成為精通信息安全理論與技術(shù)的尖端人才。同時(shí)與各工控安全權威機構聯(lián)合，通過(guò)共同開(kāi)發(fā)與研究項目的形式，利用工業(yè)控制系統模擬環(huán)境，提供項目的實(shí)驗與開(kāi)發(fā)環(huán)境，保證技術(shù)領(lǐng)先性，培養可以從事信息安全研究的專(zhuān)業(yè)隊伍，為實(shí)現工業(yè)企業(yè)的信息安全保障輸送高質(zhì)量人才。

　　2.7 系統安全測評服務(wù)能力建設

　　測評服務(wù)能力是指為工業(yè)控制信息系統提供安全測評服務(wù)，集風(fēng)險評估、等級保護測評等功能于一體。通過(guò)安全測評服務(wù)能力的建設，完善工業(yè)控制系統信息安全產(chǎn)品測評能力與手段，充實(shí)工業(yè)控制系統信息安全相關(guān)資源庫，在工控系統物理安全、網(wǎng)絡(luò )安全、主機安全和管理安全等方面，為系統應用和控制過(guò)程提供最優(yōu)的安全尺度、安全層面、安全平臺。

　　3 服務(wù)平臺建設

　　服務(wù)平臺是服務(wù)開(kāi)展的重要技術(shù)環(huán)境，平臺的建設將進(jìn)一步完善工業(yè)控制領(lǐng)域信息安全服務(wù)體制，提升工業(yè)控制領(lǐng)域信息安全服務(wù)效能，信息安全測評驗證服務(wù)體系，逐步形成工業(yè)控制安全領(lǐng)域的產(chǎn)業(yè)多層次、多渠道、多元化的綜合服務(wù)體系。平臺架構如圖2所示。

　　代碼檢測與環(huán)境驗證子平臺：通過(guò)為工業(yè)控制系統提供代碼檢測和環(huán)境驗證等服務(wù)，將對工業(yè)控制嵌入式操作系統、應用軟件進(jìn)行代碼安全性驗證，找出軟件代碼的潛在威脅所在，加以防護，提高軟件應用的安全性。將代碼檢測和環(huán)境驗證平臺作為技術(shù)支撐，實(shí)現工業(yè)控制系統PLC系統安全檢測和嵌入式系統測試服務(wù)。

　　內網(wǎng)監控與預警子平臺：對工業(yè)控制系統內部網(wǎng)絡(luò )中的安全事件包括：惡意攻擊、非法入侵、內網(wǎng)病毒、端口流量異常等進(jìn)行監控，當安全事件發(fā)生時(shí)發(fā)出預警信息。

　　工控系統業(yè)務(wù)管理子系統平臺：對測評、評估等服務(wù)項目提供全生命周期的過(guò)程管理，包括服務(wù)隊伍建立、需求分析、資產(chǎn)識別、威脅分析和脆弱性識別等過(guò)程的管理，并可以通過(guò)內建的知識庫為服務(wù)人員提供技術(shù)支持和信息查詢(xún)。

　　工控系統安全測評服務(wù)子平臺：結合網(wǎng)絡(luò )安全建設和發(fā)展的實(shí)際情況，綜合漏洞挖掘、安全評估、掃描分析和管理體系評估等多種手段，建設對于工業(yè)控制系統提供專(zhuān)項安全測評、檢測服務(wù)、風(fēng)險評估等服務(wù)。

　　4 支撐環(huán)境建設

　　4.1 工控模擬實(shí)驗模擬環(huán)境建設

　　工業(yè)控制系統模擬環(huán)境是根據工業(yè)控制系統現場(chǎng)實(shí)際情況搭建的仿真模擬測試環(huán)境，是開(kāi)展安全技術(shù)理論研究、漏洞驗證、滲透測試、代碼測試環(huán)境驗證以等研究的基礎，同時(shí)也是工具集研發(fā)的技術(shù)環(huán)境依托。模擬環(huán)境將以SCADA、DCS等為核心，結合無(wú)線(xiàn)、微波等網(wǎng)絡(luò )技術(shù)，針對工業(yè)控制系統安全現狀，將搭建電力、水利、燃氣等重要工業(yè)控制領(lǐng)域的模擬環(huán)境，為開(kāi)展攻防實(shí)驗、技術(shù)研究等奠定基礎。

　　4.2 軟硬件支撐環(huán)境

　　軟硬件支撐環(huán)境是整個(gè)服務(wù)體系的基礎支撐環(huán)境，能夠為模擬環(huán)境建設、服務(wù)平臺建設以及服務(wù)能力建設提供必要的基礎環(huán)境。軟硬件基礎環(huán)境主要包括基礎網(wǎng)絡(luò )環(huán)境、數據存儲和服務(wù)系統和實(shí)現平臺自身安全的防病毒、防入侵等安全措施。

　　5 結語(yǔ)

　　工業(yè)控制系統信息安全的需求和目標特性，決定了安全服務(wù)提供方式要區別于傳統的IT系統，非體系化的服務(wù)不僅收效甚微，還很有可能會(huì )對工業(yè)現場(chǎng)帶來(lái)安全威脅。本文構建的服務(wù)體系圍繞服務(wù)能力、服務(wù)平臺和技術(shù)支撐建設，面向工業(yè)控制系統信息安全專(zhuān)業(yè)化服務(wù)，進(jìn)一步實(shí)現工控系統信息安全服務(wù)的過(guò)程和類(lèi)別進(jìn)行體系化，為工業(yè)信息全測評、產(chǎn)品測試、工具研發(fā)和攻防實(shí)驗等工作提供思路和依據，為工業(yè)控制系統信息安全保障工作的實(shí)施提供了參考思路。

【工業(yè)控制系統信息安全專(zhuān)業(yè)化服務(wù)體系建設研究論文】相關(guān)文章：

關(guān)于物聯(lián)網(wǎng)的信息安全技術(shù)研究論文09-29

網(wǎng)絡(luò )信息安全與防范論文05-23

網(wǎng)絡(luò )信息安全與防范論文11-05

工業(yè)建設實(shí)施方案04-18

計算機信息安全論文09-15

信息安全管理論文06-20

信息安全管理論文11-10

計算機信息安全論文05-21

網(wǎng)絡(luò )信息安全與防范論文[合集]05-25

校園文化建設研究論文范文04-07