工业控制防护网络信息论文

全球范围内，针对能源、交通、医疗、装备制造等领域的关键信息基础设施频频遭受网络攻击，数据窃取与勒索事件时有发生，加强工业安全防护势在必行。我国是工业大国，工业控制系统应用广泛，但国内工控安全市场规模尚小，行业结构分布不均，企业的防护能力及人员配置均存有短板。下面小编整理了一些《工业控制防护网络信息论文(精选3篇)》，仅供参考，大家一起来看看吧。

工业控制防护网络信息论文 篇1：

工业互联网需要同步建设安全底座

国家大力推动新一代基础设施建设（以下简称“新基建”），将为我国数字经济的发展注入蓬勃动力，5G、人工智能、工业互联网、网络安全大脑等“基础型技术”的大规模应用，也将给大众生活带来便利。身处网络安全行业，既要看到机遇，更要看到挑战。

新基建的本质是数字化基建，其背后是产业、经济、政府、社会的全面数字化。它将进一步促进网络空间与物理空间的连通和融合，加快大安全时代的来临。网络安全不再只影响虚拟空间，而是扩展到了现实世界，对国家安全、社会安全、民众人身安全，都有可能造成严重影响。

网络安全是新基建的基建，将贯穿新基建的战略安全、技术安全、应用安全和运行安全的始终。其中，最突出的，是“一套关键基础设施”和“一个重度场景”的安全问题。

一套关键基础型设施指5G建设，5G的价值并不简单地的是让手机看视频更快，而是为整个产业互联网时代所打造;一个重度场景则指工业互联网，通过互联网攻击工业系统早已不是想象，而是不断发生的现实，伊朗核工厂、委内瑞拉电厂、沙特炼油厂等都被来自网络世界的攻击破坏过。

工业互联网是新基建最大的应用场景之一，保障新基建安全应重点“盯防”工业互联网安全。新基建需要同步建设安全基建，工业互联网需要同步筑牢安全底座。只有如此，才能让新基建与工业互联网的发展，走得更稳，走得更远。

一、新基建助推传统产业数字化转型

中国互联网历经20年发展，上一个10年，主要是消费场景的数字化，体现在老百姓的吃喝玩乐、衣食住行;下一个10年，产业互联网、工业互联网、车联网、智慧城市、智慧政府等面向政府、面向企业的领域，也都会像消费互联网一样，充分利用互联网技术进行数字化变革。

中央力推“新基建”，正是一项很有前瞻性的举措，短期内可以有效应对严峻的国内外经济形势，长远看更是有效助力我国产业升级和数字经济的发展。新基建的意义就像上个世纪90年代的“信息高速公路”，它能够产生和带动的是未来几十年的产业变革，经济发展模式变革，以及人们生活交往方式的变革。“在危机中育新机，于变局中开新局”，新基建就是这样的新机遇。

新基建的“新”，核心体现为数字化特征。关于数字化技术，可以“IMABC”为总结。“I”是IoT，即物联网技术;“M”是Mobile Communication，即移动通信技术，主要指5G通信协议;“A”是AI，即人工智能;“B”是Big Data，即大數据;“C”是Cloud computing，即云计算。

新基建就是用这五个主要技术，把过去的生产方式、城市治理和生活的方方面面都数字化。用IoT传感器采集大数据，通过5G通信协议传输到云端，在云端汇成海量大数据之后，再根据大数据建立各种各样的分析模型，然后再用AI进行分析判断，最后通过各种IoT设备反馈到城市治理和老百姓的生产生活中去。新基建必将带来又一次技术、产业和社会经济的变革。未来，如果传统的制造业、工业、城市管理等领域，都能够全面地采用“IMABC”这些 “数字化技术”，那一定能够帮助传统行业提升“内功”，迅速完成转型升级。

二、工业互联网面临严峻安全形势

伴随新基建的发展以及工业的全面数字化，未来世界会产生三大特征，即软件定义世界，万物皆可互联，数据驱动一切。在这种情况下，数字化也将带来前所未有的安全风险和挑战。

因此，安全不再是一个可有可无的辅助功能，而是变成了一个特别重要的基础。如果安全基础不牢，工业互联网就无法运转，甚至会崩塌。因此，要把网络安全当作工业互联网的“底座”，为工业互联网建设做好安全基础设施。

作为新基建最重要的应用场景之一，工业互联网面临的“大安全”挑战可能包含以下多个层面。

首先是“战场更大”。 软件定义世界意味着一切皆可编程，漏洞无处不在;万物皆可互联等于开放了更多攻击入口，一切皆可攻击;数据驱动一切意味通过篡改数据、下达数据指令就可以控制一切业务、流程和设备，影响业务安全，产生物理伤害。好莱坞科幻电影中远程控制汽车造成交通拥堵、控制机器杀人的场景将不再是科幻，而可能成为真实场景。所以，未来网络攻击能够贯穿到各个场景，不分国家、企业和个人，包括工业互联网在内的所有的领域都将面临来自网络世界的攻击。

其次是“对手”变了。杀毒时代已经成为历史，安全现在面对的不再是“白开心”“纯小偷”这样的炫技小子和个人玩家，而是变成了网络犯罪组织、网络恐怖主义和国家级黑客组织这样的“大玩家”。这样的对手相当于“正规军”，往往具有较高的“战术修养”和攻击资源，特别是国家级黑客组织和网军，成组织，成建制，有布局，有战术。一般的被攻击目标无法与之抗衡。

其三，可能攻击的目标范围也更广了。因为可攻击的目标越来越多，网络攻击的目标已经不再只是一般的企业和个人，而是瞄准企业重要资产、国家关键基础设施、重要政府部门，达到中断工业生产、瘫痪电力、交通、能源等关键基础设施的目的，工业互联网已成为高级别网络攻击的重要目标。在未来，数字基建必然是首选的攻击目标，一旦被攻击将影响工业运行安全，进而影响社会正常运转和老百姓安居乐业。

其四，网络攻击的布局更长远、更隐蔽。针对重要目标的攻击并非随机偶然，一定是有周密准备和复杂策略，并且为达目的长期潜伏、持续渗透。典型代表就是APT攻击，相比传统网络攻击更加狡猾和沉默，攻击链条复杂、持续时间长、隐蔽性强。为了达到这样的目的，在产品中预制后门，或者利用供应链发起攻击都已经是常规操作。所以，御敌人于国门之外已经很难做到，而是必须假设敌已在我，做最坏的打算。

其五，从网络攻击趋势看，攻击手法越来越高级化和多样化，暗战越来越多。除了后门，APT惯用的手法还包括0Day漏洞利用、定制化恶意代码，以及社会工程学这样针对人的攻击手法。实践表明，人往往是最薄弱的环节，利用线上渗透和线下情报、间谍手段结合，物理隔离都可以被打穿。因为攻击手法越来越高级，传统的单点检测、碎片化越来越无能为力。

其六，受攻击方的损失程度可能更加惊人。因为数字化的渗透性和关联性，一次网络攻击就可以造成重大损失，甚至造成物理伤害，动摇现实世界的基础。未来，最大的安全威脅不一定是来自物理空间，而是来自虚拟空间，对于网络安全产生的后果，要建立“底线思维”，避免黑天鹅事件发生。

由此可见，网络安全保护难度空前增大。一方面，防护对象扩大，防护难度增大。工业互联网安全已经从传统的互联网安全，扩展至数据安全和业务安全等新领域，新老安全问题交织，解决起来更加困难;另一方面，工业互联网协议种类繁多，加固难度大。工业互联网运行着超过1000种缺乏安全机制的工业控制、现场总线、工业通信等协议，且不同企业接口不一、较为封闭等特点加大了安全协议分析与加固的难度。总而言之，数字化时代，攻防严重不平衡，联网设备数以百亿计，一点突破就可以打穿整个网络，攻防资源向供给方倾斜，要发现、阻断和溯源网络攻击都面临更大难度，所以会出现“谁进来了不知道、是敌是友不知道、干了什么不知道”的被动局面。

三、保障工业互联网安全须打造安全大脑

面对严峻安全形势，传统的安全体系已经无力应对。因为传统的网络安全体系诞生于计算机安全时代，最大的问题是“头痛医头、脚痛医脚”，防护思路碎片化，面对不断增加的安全威胁只是不断地“堆盒子”，缺乏体系化思维。概括起来，传统安全体系的问题是“七个缺”：缺“能力导向”的正确意识、缺“体系化”的顶层设计、缺有效运营、缺能力积累、缺全局情报、缺“一体化作战”的协同联防、缺实战检验。

因此，保护工业互联网安全需要新的方法。为了解决未来的安全挑战，作为国内网络安全的龙头企业，360集团在十多年的网络攻防对抗中，不断抽象、沉淀了一套新的网络安全框架体系。

这套新的网络安全框架体系包括“6个1”。第一个“1”是一套网络安全互联标准，包括安全知识库标准、威胁情报标准、实网靶场标准等，解决目前各安全节点间互不相通的问题;第二个“1”是一套安全基础设施，整合现有安全节点能力，构造出一系列从应对威胁视角出发的能力中心，包括漏洞管理中心、情报运营中心、安全运营中心、实战评测中心等，作为安全体系的能力载体;第三个“1”是一个安全大脑，安全大脑的核心组成是安全大数据中台+全视检测分析引擎+全景安全知识库，它的作用相当于网络空间的预警机和反导系统，所以在新的框架体系中，安全大脑是整个体系的中枢，能够为安全基础设施进行情报、知识、漏洞、专家赋能;第四个“1”是一套安全运营战法，指导网络安全整体规划，以及网络安全风险识别、防御、响应、恢复、预测的全生命周期;第五个“1”是一套安全专家团队，网络安全的本质是对抗，对抗的根本在人。通过安全专家团队为工厂提供咨询规划、建设运营、应急响应、实网攻防、持续评估、教育培训等专业定制服务，形成安全生产力;第六个“1”是一套实战检验机制，网络安全讲百遍不如打一遍，实战才是检验安全能力的唯一标准，利用实战攻防积累经验教训，持续迭代能力。

此外，针对工业企业面临的具体安全问题，我认为，还需要在网络安全框架体系下做好以下两点。

首先，鼓励工业企业部署第三方网络安全系统和服务。不少工业企业出于成本、当下运行的稳定等考虑，对网络安全系统重视不够。很多工业互联网系统使用期已超过10年，但为了保证控制的稳定性和业务的连续性，没有采取必要的安全手段，安全隐患极大，一旦被网络攻击，造成的影响不可估量。建议国家出台相关政策，鼓励工业企业部署专业的第三方网络安全系统和服务，让工业互联网系统与网络安全系统融为一体，确保工业发展长治久安。

其次，推进工业控制系统制造企业、工业企业和网络安全企业间的深度合作。工业细分领域众多，每个领域都有其业务需求和建设、运营规范，这种巨大的差异性导致难以形成通用的网络安全解决方案。一方面，工业控制系统制造企业和工业企业多数不具备专业的网络安全知识和技术手段，应对复杂网络攻击的能力较弱;另一方面，很多网络安全专家也不具备工业细分领域的专业知识，在对工业互联网了解不深的情况下，推出的安全解决方案也难以满足需要。因此，建议制定促进工业控制系统制造企业、工业企业和网络安全企业合作的鼓励政策，协作研发高精尖安全解决方案，共同打造安全的工业互联网。

新基建的发展与工业互联网的建设，是未来国家在面临日益复杂的国内外环境时，企业转型升级的重要战略步骤。因此，一定要同步建设新基建的安全基建，夯实工业互联网的安全底座，这样才能保证新基建与工业互联网建设的长远发展。

作者：周鸿祎

工业控制防护网络信息论文 篇2：

工控安全解构新秩序

全球范围内，针对能源、交通、医疗、装备制造等领域的关键信息基础设施频频遭受网络攻击，数据窃取与勒索事件时有发生，加强工业安全防护势在必行。我国是工业大国，工业控制系统应用广泛，但国内工控安全市场规模尚小，行业结构分布不均，企业的防护能力及人员配置均存有短板。

当传统工业现场相对封闭可信的制造环境逐渐被打破，鉴于工控系统一定的脆弱性、工业应用场景较强的特殊性，传统网络安全防护手段难以满足工业控制系统的安全需求。唯有国家逐步推行关于工业控制系统安全的政策，加快实施相关标准，持续增加安全投入，才可为我国工业控制系统安全的发展提供良好的产业环境。

风险始终存在

工业控制系统信息安全并不是新鲜概念，其已有较长的演进历程，主要保障工业系统和设备、工业互联网平台、工业网络基础设施、工业数据等的安全。近年来大规模、高强度的工业信息安全事件频频发生，成为网络攻击的“重灾区”，世界各地屡有勒索事件爆出，去年8月，特斯拉内华达州工厂遭遇严重网络攻击，今年5月美国最大的成品油管道运营商ColonialPipeline遭受攻击，被迫关闭关键燃油网络。我国也面临较为严峻的工控安全防护形势，工业和信息化部网络安全总局曾委托相关专业机构对20多家典型工业企业进行工业互联网平台企业安全检查评估，结果发现2000多项安全威胁，而据国家互联网应急中心报告指出，仅2019年就累计发现针对我国工业设备的恶意嗅探事件达5151万起。而且相当部分的工业控制设备为非自主可控的国外设备，近年来在实际运行中被发现的安全漏洞越来越多。

目前全球工控安全市场规模已近200亿美元，年复合增长率为9%，预计可在5年后超过300亿美元，区域方面北美和亚洲地区的市场增势最为强劲，年增长率均为15%左右。数据显示，2020年我国工控安全市场规模为27.3亿元，同比增长50%，虽然在整个网络安全领域中体量靠后，但前景被广为看好，预计复合年均增长率将达55.6%。如按细分行业再做梳理，电力、石油、天然气等能源领域的工控安全市场占比较高、发展较好，交通运输行业和水处理行业也呈快速上升态势，业内企业在工业控制信息安全领域的投入明显增加。

自动化、智能化、网联化是工业控制系统的大势所趋，据不完全统计，超过80%涉及国计民生的关键基础设施使用工业控制系统实现自动化作业，而加速普及的5G网络赋予工业物联网低延迟、高速率、多终端的交互能力，技术融合和政策指引的助推下，国内工业互联网进入快速发展期，但相关企业在获得巨大发展动能的同时，新的安全隐患也逐渐出现。一般工业控制系统在设计时更多考虑系统的可用性，对安全性问题的考虑相对不足，且没有制订完善的工业控制系统安全政策、管理制度以及对人员的安全意识培养，相关人员安全意识淡薄，当大量工控系统及设备暴露于互联网，迅速成为工业信息安全的软肋。国家工业信息安全发展研究中心标准质量处处长陈雪鸿指出，“随着企业数字化转型逐步实现，工业互联网数据是驱动智能化生产的‘引擎’、实现智能化运营的动力、工业互联网创新发展的‘血液’，然而在开放海量互联的复杂环境下，工业互联网数据威胁不断加剧，对工业互联网数据进行分类分级防护刻不容缓。”

安防迭代升级

2016年我国发布的《网络安全法》将工控安全纳入国家安全战略的一部分，确立为国家推进智能制造和工业互联网的重要前提条件。随后工业和信息化部出台《工业控制系统信息安全防护指南》《工业控制系统信息安全事件应急管理工作指南》《工业控制系统信息安全防护能力评估工作管理办法》和《工业控制系统信息安全行动计划》等多个政策性文件，相关防护标准也相继出台，为工业企业、安全服务企业、地方主管部门围绕工业控制系统开展安全防护工作指明正确方向，为工业领域提升数据管理能力、保障数据安全、发挥数据价值、促进数据共享，健全和完善数据生产要素参与分配机制提供基本依据。

企业的工控安全防护能力正在迭代升级，越来越多的企业开始从技术和管理双重维度部署安全防护工作。有专家从专业角度呼吁构筑工控系统主动免疫安全防御体系，“工业网络安全应基于可信计算等主动防御技术，通过控制系统内嵌可信计算防护体系，实现主动识别、主动度量和主动保护功能，增强自身防护能力。”事实上，工控安全防护并不能以某种单一产品或工具保障整个安全环境，真正有效的安全防控需在一定规则标准之内整合多种产品，实现多个厂商的协同联动。正如上海工业自动化仪表研究院有限公司总经理徐建平所言，“信息安全是一个系统性的问题，也是工业化与信息化深度融合、可持续发展智能制造的核心关键技术，涉及工业控制系统全生命周期各个环节，需要社會协同建立一个完整的体系，才能解决事前、事中、事后不同阶段的支撑条件和保障措施。”

工控安全市场的产业生态与市场结构处于动态完善的过程中，随着市场规模快速扩容，产品类与服务类的占比逐渐均衡，从以往产品类一枝独秀到如今服务类正逐渐赶上。最新的《网络安全等级保护基本要求》即提出，工业企业在工控安全方面需要满足安全软件选择与管理、边界安全防护、远程访问安全、安全监测和应急预案演练等11项要求。可见，在产业转型升级过程中，需要完备的工控安全服务保驾护航，特别是正在驶向快车道的制造业等产业不能因为安全问题突然刹车乃至停滞不前，积极应变、完善安全措施是当务之急。

作者：薛纹

工业控制防护网络信息论文 篇3：

工业控制信息安全产品测试评价体系

摘 要：工业控制系统的信息安全问题日益凸显，严重影响了社会和国家安全。但工业控制系统的特殊性，也使其与传统信息系统在所面临的安全威胁、安全问题及所需要考虑的安全防护措施等方面存在较大的不同。传统的信息安全产品无法适用于工业控制领域，因此出现了专用的工控信息安全产品，但缺少专业规范的工控信息安全测评体系，无法保证工控信息安全产品的基本安全。详细分析了工业控制系统与传统信息系统的区别，梳理了目前广泛使用的工控信息安全产品，建立了工控信息安全产品测试评价体系，并将该体系应用到实际的产品测试中，进一步推动工控信息安全的发展。

关键词：工业控制系统；信息安全；测试

Testing and Evaluation System for Information Security Products of Industrial Control Systems

SHEN Qing-hong，ZOU Chun-ming，LU Zhen，TIAN Yuan，MENG Shuang

（The Third Research Institute of Ministry of Public Security，Shanghai 200031，China）

Key words：industrial control system；information security；testing

1 引 言

工業控制系统（Industrial Control Systems，ICS）是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件，共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统[1]。现代的ICS网络，越来越依靠于商业IT和Internet领域的操作系统、开放协议和通信技术，这些技术已被证明存在着脆弱性。通过将ICS连接到互联网或其他公共网络，ICS脆弱性就暴露给潜在的攻击者[2]。

为了提高工业控制系统的安全性，现在一般从两方面考虑：一方面是提高工业控制系统的自身安全性，从设计阶段就开始安全性架构，并落实在工控系统的研发、部署、运行的各个阶段；另一方面是通过附加信息安全保障手段（如在系统中部署信息安全专用产品）在一定程度上弥补系统本身的安全漏洞。由于工业控制系统对高稳定性和高可用性的要求，通过附加信息安全保障的方式来提升工控安全性是目前最容易实现和被接受的方式。

工业控制系统本质上是一类信息系统，因此工控系统的安全性问题是信息系统安全性与工业控制系统的特点相结合产生的。美国国家安全局（National Security Agency，NSA）针对信息系统的安全保障陆续制定了多个版本的信息保障技术框架（Information Assurance Technical Framework，IATF）[3]，成为信息安全保障的权威架构。IATF把信息安全保障分为四个环节：防护（Protection）、检测（Detection）、响应（Response）和恢复（Recovery）。首先采取各种措施对需要保护的对象进行安全防护，然后利用相应的检测手段对安全保护对象进行安全跟踪和检测以随时了解其安全状态。如果发现安全保护对象的安全状态发生改变，特别是由安全变为不安全，则马上采取应急措施对其进行响应处理，直至恢复安全保护对象的安全状态。这四个部分相辅相成，缺一不可，构成了公认的PDRR模型，如图1所示。

从PDDR模型的“检测”环节入手，对工业控制系统的信息安全产品进行测试与评估，建立工控信息安全产品测试评价体系，为工业控制系统信息安全测评提供专业化的理论支撑和实践引领，一方面有效帮助供应商大力提升其产品和系统的安全保障能力，另一方面为用户选购工控系统信息安全产品，提高工控系统安全性提供支持。通过对安全测评结果的综合分析，为相关主管部门提供真实、全面的安全态势分析报告，促进工业控制领域信息安全保障工作的开展。

2 工业控制系统的信息安全要求

工业控制系统有许多区别于传统信息系统的特点，包括不同的风险和优先级别。其中包括对人类健康和生命安全的重大风险，对环境的严重破坏，以及金融问题如生产损失和对国家经济的负面影响。工业控制系统有不同的性能和可靠性要求，其使用的操作系统和应用程序对典型的IT支持人员而言可能被认为是不方便的。此外，安全和效率的目标有时会与控制系统的设计和操作的安全性发生冲突（如，需要密码验证和授权不应妨碍或干扰ICS的紧急行动）。

美国NIST发布的《工业控制系统信息安全指南》[4]对ICS与IT的差异进行了全面的总结，这些显著差异的存在导致工业控制系统与传统信息系统在通信、主机应用、外联访问等方面采取了不同的策略。

传统信息系统的信息安全通常都将保密性放在首位、完整性放在第二位、可用性则放在最后。工控系统安全目标优先级顺序则恰好相反。其首要考虑的是所有系统部件的可用性、完整性则在第二位、保密性通常都在最后考虑，这些需求体现如下：

（1）工控系统的可用性则直接影响到企业生产，生产线停机或者误动都可能导致巨大经济损失，甚至是人员生命危险和社会安全破坏。

（2）工控系统的实时性要求很高，系统要求响应时间大多在毫秒级或更快等级，而通用管理系统能够接受秒级或更慢的等级。

（3）工控系统对持续稳定可靠运行指标要求很高，信息安全必须具备保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期安全支持。

3 工控信息安全产品

由于工控系统的自身特点以及对可用性的高度要求，适用于工业控制系统的信息安全产品也需要着重考虑工控系统的特点。目前使用相对比较广泛的工控信息安全产品主要包括工控防火墙、工控安全审计、工控隔离、工控主机防护等类型。

3.1 工控防火墙

工控防火墙根据防护的需要，在工控系统中部署的位置存在多种情况，通常用于各层级之间、各区域之间的访问控制，也可能部署在单个或一组控制器前方提供保护。工控防火墙采用单机架构，主要对基于TCP/IP工业控制协议进行防护。通过链路层、网络层、传输层及应用层的过滤规则分别实现对MAC地址、IP地址、传输协议（TCP、UDP）和端口，以及工控协议的控制命令和参数的访问控制。

工控防火墙从形态来说主要分两种，一类是在传统IT防火墙的基础上增加工控防护功能模块，对工控协议做深度检查及过滤。还有一类工控防火墙是参考多芬诺工业防火墙的模式来实现的。

3.2 工控安全审计

工控安全审计产品通过镜像接口分析网络流量，或者通过代理及设备的通用接口进行探测等方式工作，及时发现网络流量或设备的异常情况并告警，通常不会主动去阻断通信。

这类产品自身的故障不会直接影响工控系统的正常运行，也更容易让用户接受。

3.3 工控隔离

工控隔离产品主要部署在工控系统中控制网与管理网之间。包括协议隔离产品，采用双机架构，两机之间不使用传统的TCP/IP进行通信，而是对协议进行剥离，仅将原始数据以私有协议（非TCP/IP）格式进行传输。其次还有网闸，除了进行协议剥离，两机中间还有一个摆渡模块，使得内外网之间在同一时间是不联通的，比较典型的是OPC网闸，主要还是传输监测数据，传输控制命令的网闸还相当少。另外还有单向导入设备，主要采用单向光纤、VGA视频信号等方式从物理上保证传输的单向性，其缺点是不能保证传输数据的完整性，但对于将控制网中的监测数据传输到企业办公网还是可行的。

总体来说，由于隔离类产品采用双机架构，中间私有协议通信，即使外端机被攻击者控制，也无法侵入内端机，其安全性要高于防火墙设备。

3.4 工控主机安全防护

工控系统中会部署一定数量的主机设备，如工程师站、操作员站等。这些设备往往是工控系统的风险点，病毒的入侵、人为的误操作等威胁主要都是通过主机设备进入工控系统。因此，这些主机有必要进行一定的防护。

目前主要有两种针对主机设备的防护产品：一种为铠甲式防护产品，通过接管主机设备的鼠标/键盘输入、USB等外围接口来保证主机的安全；另一种就是白名单产品，通过在主机上安装代理程序，限制只有可信的程序、进程才允许运行，防止恶意程序的侵入。

4 工控信息安全产品测试评价体系

工控信息安全产品测试评价体系涵盖测试环境、测评技术和评价服务三部分。测试环境主要由适用于工业控制系统信息安全产品的测试平台组成，测评技术主要涉及测试工具、测试方法、基础库和相关的标准及规范，评价服务提供工业控制系统的安全测评服务的能力。

4.1 总体架构

以工业控制系统相关的新一代信息技术为对象，从研究工控信息安全产品的安全功能要求、自身安全要求和性能要求出发，结合信息系統的威胁分析、系统脆弱性检测和风险评价的方法和技术，建立了工控信息安全产品测试评价体系，总体架构如图2所示。

其中，测试环境体系包括基础环境和实验环境，测评技术体系包括测试方法、测试工具、基础库和关键标准，评价服务体系包括服务流程和组织管理。

4.2 测试环境

根据测评机构质量体系建设等相关要求，通过对现有资源进行整合、改进和升级，形成实验室必要的物理基础设施，主要包括机房建设、硬件设备和软件购置，从而为工控信息安全产品测试评价提供基础条件。

测试环境主要包括以下两部分：

（1）基础环境：进行实验室机房装修和改造，作为测试评价体系的实施基础。

（2）实验环境：实验室基础网络和测试仪表。

4.2.1 基础环境

基础环境主要通过对现有资源的整合、升级，着力建设测评环境所急需的物理基础设施，包括机房改建和扩建、硬件设备和软件购置、测评实验环境建立等内容，最终形成工控专用安全产品测试所需的必要基础条件。

基础环境包括4个测试（性能测试环境、攻击测试环境、功能测试环境和协议测试环境）隔断环境、1个演示环境和1个测试机房组成。

4.2.2 实验环境

实验室环境主要是针对工业控制系统信息安全产品的检测需要，搭建典型的工业控制环境，包括测试平台和演示环境两部分。其中测试平台又包括功能测试平台、协议测试平台、攻击平台和性能测试平台四个系统。

4.2.2.1 测试平台

测试平台包括功能测试平台、协议测试平台、攻击平台和性能测试平台四个方面。由于每个测试平台的测试重点和测试环境的要求各不相同，所以四个平台分别独立部署。

（1）功能测试平台

功能测试平台是一套典型的小规模工业控制系统，包含工业控制领域主流工业设备、工控协议交换设备、工业控制模拟软件系统。功能测试平台的工业设备包含行业主流，并支持工业控制主要协议的设备（包括西门子、施耐德、和利时及信捷等）的一至两种型号，能夠实现常用的工业控制功能及数据监测功能，具备支持多种常见的工业控制协议（支持ModBusTCP、DNP3.0、OPC、Profinet/Profibus、IEC61850、IEC104等）的能力。

（2）协议测试平台

工控信息安全产品包括工控防火墙、工控隔离、工控审计、工控主机防护等。无论该设备在实际部署时串接接入，还是旁路接入工控网络，则该设备都需要进行协议测试，测试目地在于验证该设备是否能支持现有常用的工业控制协议。

（3）攻击测试平台

攻击测试平台主要针对常用的工控信息安全产品，用以验证安全产品是否能够抵御来自网络，压力，碎片等攻击。对于旁路接入的工控信息安全设备，测试目的在于验证系统能否能记录攻击行为（工控审计类产品）；对于串行接入的工控信息安全设备，测试目的在于验证系统能否能抵御并拦截攻击行为（工控防火墙类产品）。

（4）性能测试平台

如果工控信息安全产品为串接部署则需要进行性能测试，用以验证该设备的引入是否会对现有的工业网络造成如通信延时增加、网络带宽降低等情况、安全设备的安全防护能力下降等影响。

4.2.2.2 演示环境

演示环境是工控系统运行的展示，以简单明了的形式来表征工控系统运行的状态，包括正常运行和承受攻击时的运行状态。不同的工业控制产品自身的漏洞是各不相同的，所以为了直观的演示不同的攻击对不同的工业控制设备造成的影响，我们需要在工业控制协议及工业控制厂商进行尽量的覆盖。

演示环境包含高仿真沙盘模型和可视化工控系统拓扑结构展板。

沙盘由底座、台面和台面模型组成，沙盘内部完成所有动态的设计和线路的连接，台面模型根据具体设计和布局陈列，体现完整的工艺流程，各模型单体形状和比例与真实系统一致。沙盘涉及化工生产、污水处理、环境监测、智能楼宇等多个应用实景。

展板由展架和展板封面组成，展板上按层次集成工控设备、网络设备，并由灯带组成复杂的网络路径。实际演示过程中，将由不同色灯光表现正常网络数据流和受攻击后异常数据流。展板上各控制系统和交换机预留相应接口，可方便接入典型的工业控制防护设备或专用测试工具。

4.3 测评技术

测评技术包括测试方法和测试工具的研究、改进和应用，基础库的建设以及相关标准的编制。

4.3.1 测试方法

工控系统的安全性测试方法按照安全技术要求可以分为安全功能、安全保证、环境适应性和性能要求四个大类。根据各大类对系统的要求，分别进行测试方法的研究。

鉴于工控系统与传统信息系统在安全性要求上的区别，工控系统的信息安全目标通常都在最后考虑，因此工控系统的安全技术要求又有其特殊性。安全功能要求是对工控信息安全产品应具备的安全功能提出的具体要求，工控信息产品安全功能的具体要求包括身份鉴别、访问控制、安全管理、不可旁路、抗攻击、审计以及配置数据保护和运行状态监测等；安全保证要求针对工控信息安全产品的开发和使用文档的内容提出具体的要求，例如配置管理、交付和运行、开发过程、指导性文档和生命周期支持等；环境适应性要求是对工控信息安全产品的应用环境提出具体的具体要求，例如IPv6环境适应性，OPC环境适应性等；性能要求则是对工控系统和工控产品应达到的性能指标做出的规定，例如去抖动、交换速率和硬件切换时间等。此外，针对工控系统和设备的操作系统层面的漏洞进行分析挖掘，形成攻击测试集。

针对以上要去分别深入研究相关的测试方法，并应用于实际的测试工作中。

4.3.2 测试工具

为确保工业控制系统信息安全产品和系统测评服务的专业化，开发了一批方便易用的测评工具和分析工具。其目的一是减少测评或评估人员的工作负担，二是减少测评和评估人员因能力和经验造成的测评或评估误差，保证测评和评估服务结果的准确性和科学性，提高专业化的服务能力。通过测试软件来模拟正常和异常协议，可检测工业控制系统信息安全产品的功能实现，以及对异常协议的抵御能力。

本体系配套了工控协议模拟测试软件，集成Modbus、DNP、IEC104、IEC61850等工控协议，用于工控信息安全专用产品和工控设备的测试。该软件的运行方式是单机运行，适用的操作系统为windows NT，windows xp，windows 7 x86平台。该软件主要分为四个模块：ModBus模块、DNP模块、IEC61850MMS模块和IEC104模块。

4.3.3 基础库

基础库主要包括知识库、测评指标库、测评方法库、测评用例库和测评数据库。

知识库的主要内容包括工业控制系统信息安全领域的基础技术知识、测试案例、法律法规、安全事件/技术手段等的统一描述方法、国内外安全事件、知识库的管理和维护方法、智能化数据挖掘方法等。

指标库保证各个被测系统之间测评结果的一致性。通过为工业控制系统安全测评服务建立统一的测评指标库，保证测评结果的唯一性和公正性。指标库由功能指标库、性能指标库和安全性评价指标库等构成，可根据需要对指标库进行扩展和维护。

测评方法库用以在每种信息安全专业化服务的标准编制和测评方法研究的基础上，明确具体的技术要求，从而提供有效的服务。

測评用例库是在测评方法库建设的基础上，加强测试的复用，提高安全测试的效率。根据厂家提供的说明书和测评人员的经验，深入解析相关技术要求的内涵，为每种具体服务建立测评用例库。

本体系的基础库由两部分构成，第一部分包括了知识库和漏洞库，设计成门户网站模式，直接对外开放，其中收集了4000余条安全事件、3万余条安全漏洞以及相关的法规政策、技术知识、工具等；第二部分涵盖了指标库、测评方法库、测评用例库、测评数据库等，运用于测评实战，检测人员可以在其中依据指标、测评方法、测试用例对实际的产品或系统进行测试记录。

4.3.4 关键标准

工控系统与互联网信息系统采用传统信息安全产品难以满足相关要求，工控系统对持续稳定可靠运行指标要求很高，信息安全必须具备保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期安全支持。因此，有必要为应用于工控系统的关键信息安全产品，以及工控系统安全提出专门的标准，并研究相应的测试技术与方法。

本体系在工控领域制定了信息安全产品标准体系，以规范和支撑产品测试。主要包括：

（1）《信息安全技术 工业控制系统专用防火墙技术要求》；

（2）《信息安全技术 工业控制系统网络审计产品安全技术要求》；

（3）《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》；

（4）《信息安全技术 工业控制系统安全管理平台安全技术要求》；

（5）《信息安全技术 工业控制系统入侵检测产品安全技术要求》

（6）《信息安全技术 工业控制系统边界安全专用网关产品安全技术要求》；

（7）《信息安全技术 工业控制系统软件脆弱性扫描产品安全技术要求》；

（8）《信息安全技术 安全采集远程终端单元（RTU）安全技术要求》。

4.4 评价服务

评价服务包括服务流程和组织管理。服务流程基于现有的服务流程，深入挖掘工业控制系统信息安全产品的特点，融入服务流程，提升服务质量；组织管理主要规范服务的相关制度，充分合理利用各方面的资源，提高服务效率。

4.4.1 服务流程

服务采购单位提出自己的系统需求，测评机构经过沟通协调确定服务目标，签订服务合同，成立测评项目组；项目组根据采购单位提出的需求信息，分析需求是否充分；当需求不够充分时，需和服务采购单位进行沟通，补充需求并最终确认；当需求足够充分时，依据相关标准进行服务方案的总体设计，并由专家对方案进行评审；通过初步方案评审后，由测评人员对服务方案进行详细设计，再交由专家对方案进行评审，并提交方案；如方案需进行修改，需重新设计或晚上详细的服务方案，再由专家进行方案评审，如此类推；当提交的服务方案不需要进行修改时，形成安全的服务方案；一方面由专家对安全的服务方案进行审批，并形成标准化管理；另一方面测评人员根据安全服务方案进行测评工作，测评结束后，形成文档，并归档。

4.4.2 组织管理

为了保障整套服务流程的顺利实施，本体系还建立信息安全产品及系统服务的组织架构，如图8所示。

通过成立领导办公室、管理部、技术部和检测部，分别从组织、管理和技术等方面对服务的流程进行控制。管理部主要按照相关的管理规定负责服务申请的受理、产品测评流程的控制、检验报告或测评报告的审核、客户满意度的回访等；技术部主要负责测评相关技术研究工作；检测部负责具体检测工作的实施，根据检测数据整理出具检验报告或测评报告初稿。

5 结 论

由于工控信息安全及相关产品的应用还处于快速发展阶段，对其的安全性测评还属于一个全新的领域，国内仅少数几个检测机构部分开展了相关测评工作。本文提出的工控信息安全产品测试评价体系已经在实际测评服务工作中得到了大力推广应用，为我国相关产业的健康发展提供了安全保障。

参考文献

[1] STOUFFER K，Guide to industrial control systems （ICS） security[R]，NIST Special Publication，2008，800-82.

[2] SMITH C J.Connection to public communications in-creases danger of cyber-attacks [J].Pipeline & gas journal，2003，230：20-24.

[3] Information Assurance Technical Framework （3rd edition） [R]，NSA，2000.http：//www.iatf.net.

[4] STOUFFER K A，FALCO J A，SCARFONE K A.NIST SP-800-82 Rev 1Publication Citation：Guide to Industrial Control Systems （ICS） Security[S] NIST，2013.

[5] 邹春明.工业控制系统信息安全产品标准及测评方法[J].自动化博览，2016，（4）：62-65.

[6] AMIN S，LITRICO X，SASTRY S，et al.Cyber Security of Water SCADA Systems—Part I：Analysis and Experimentation of Stealthy Deception Attacks [J].IEEE Transactions on Control Systems Technology，2013，21（5）：1963-1970.

[7] AMIN S，LITRICO X，SASTRY S，et al.Cyber Security of Water SCADA Systems—Part II：Attack Detection Using Enhanced Hydrodynamic Models [J].IEEE Transactions on Control Systems Technology，2013，21（5）：1979-1693.

[8] 沈清泓.工业控制系统三层网络的信息安全检测与认证[J].自动化博览，2014，（7）：68-71.

[9] 田原.工业控制系统信息安全浅析[J].自动化博览，2014，（11）：68-70.

[10] COHEN F.A reference architecture approach to ICS security [J].Resilient Control Systems，2011（8）：9-11.

[11] RISI.The Repository of Industrial Security Incidents [OL].http：//www.securityincidents.org/.

[12] 張帅.工业控制系统安全风险分析[J].信息安全与通信保密，2012，（3）：15-19.

[13] IEC.Industrial communication networks-Network and system security-Part 2-1：Establishing an industrial automation and control system security program[S].IEC 62443-2-1Edition 1.0.2010.

[14] IEC.Industrial communication networks-Network and system security-Part 3-1：Security technologies for industrial automation and control systems[S].IEC/TR 62443-3-1Edition 1.0.2009.

[15] Industrial communication networks-network andsystem security-part 1-1：term inology，concepters and models[S].IEC/TS 62443-1-1.2009

[16] 夏春明，刘涛，王华忠，等.工业控制系统信息安全现状及发展趋势[J].信息安全与技术，2013，（2）：13-18.

[17] 田原，沈清泓.基于P2DR2模型的工控信息系统等级保护体系[J].计算机工程与应用，2015，（6）：91-93.

[18] 朱毅明.工业控制系统信息安全业务发展思路[J].自动化博览，2014，（10）：78-79.

作者：沈清泓 邹春明 陆臻 田原 孟双