工业控制系统信息安全专业化服务体系建设研究论文.docVIP

工业控制系统信息安全专业化服务体系建设研究论文 工业控制系统与传统IT系统相比在系统安全性、可靠性、稳定性和保密性等方面要求更高同时对系统安全服务也提出了新的要求本文围绕工业控制系统信息安全服务的服务能力、服务平台和支撑环境建设设计并提出工业控制系统信息安全专业化服务体系架构进一步完善安全测评与加固、技术研发、人才培养以及信息安全咨询等服务质量提高服务效率 引言 随着两化融合进程的不断推进及工业控制系统的逐渐开放无线传感网络、移动信息互联、物联网技术、精准定位授时等信息技术在能源、制造、化工、水利、交通等重要领域的控制系统中得到了深入的应用工业控制系统与IT系统逐步实现了协同工作和信息共享进一步提高了企业的运营管理水平但在企业综合效益提升的同时工业控制系统也开始面临IT系统面临的木马攻击、病毒入侵和信息窃取等安全威胁如果被敌对势力获取工业控制超级用户管理权限对核心设施进行恶意攻击的话不仅会造成经济损失也将会对人民生命安全造成严重的威胁1 目前我国明确提出要做好重要工业基础设施信息安全保障工作这也对信息安全保障服务的专业化程度和服务体系的建设提出了更高的要求加强工业控制系统信息安全管理水平提高抵御外来攻击的能力降低工业控制系统造成破坏的概率和可能性以技术和管理手段改善工业控制信息安全现状保障国家安全与社会稳定已经刻不容缓2本文将围绕工业控制系统风险评估、等级保护测评、代码验证等核心环节设计并提出工业控制系统信息安全专业化服务体系架构进一步完善安全测评与加固、技术研发、人才培养以及信息安全咨询等服务质量提高服务效率 1构建专业化服务体系 目前我国的工业控制系统信息安全管理和服务的相关标准规范还在酝酿中仅部分行业部门出台了试行的安全评估、测评等相关服务规范整体安全服务工作还缺少依据3综合工业控制系统的共性特点、安全需求其需要的核心服务主要包括系统安全测评、代码检测与环境验证、系统建设与加固、人才培养、渗透测试和网络监测预警等服务以及能提供技术支撑的功能平台4对工业控制系统的安全服务需求进行梳理提出如下服务体系架构该架构围绕专业化服务项目、服务平台和支撑环境建设展开将为工控信息安全服务工作的开展提供组态化的解决方案其中服务项目是指服务机构或部门要具备的必须的技术能力和评估水平服务平台是为相关服务开展提供技术支持的功能性平台支撑环境是为服务的有效性提供验证和基础运行的必要条件 2服务能力建设 2.1内网监测与预警服务能力建设 根据工业控制系统内部构成情况实现能够对内网非法入侵、恶意攻击、内常规网络木马、后门事件、常规蠕虫事件、僵尸网络事件、异常流量(端口流量、协议流量、IP流量等)事件进行监测预警的服务能力 2.2安全咨询与培训能力建设 信息安全咨询与培训能力建设包括对安全体系建设咨询、研究项目合作咨询、测评技术培训、系统安全体系培训等通过信息咨询服务体系定期发布重要工业控制系统最新漏洞、脆弱性、病毒等信息为提高工业控制系统信息安全提供技术参考同时针对工业企业的现场管理流程和规范对相关人员提供培训服务主要从培训课程与实验环境两个方面进行人才培养提升工业现场人员的安全管理能力和技术能力构建信息安全知识体系 2.3系统建设与加固服务能力建设 以工业控制系统实际运行情况为基础参照国际和国内的安全标准和规范充分利用成熟的信息安全理论成果为工业控制系统设计出兼顾整体性、可操作性并且融策略、组织、运作和技术为一体的安全解决方案安全技术建设的总体目标是：根据工控信息系统等级对应的信息安全要求建立一套可以满足和实现这些安全要求的安全管理措施安全管理措施包括适用的安全组织建设、安全策略建设和安全运行建设安全管理措施与具体的安全要求相对应在进行安全管理建设时针对各系统现状和安全要求的差距选择安全管理措施中对应的安全管理手段信息系统安全建设与加固的总体目标是：采用等级化和体系化的设计方法为工业企业订制一整套的工控系统信息安全保障体系根据安全体系的要求进行安全规划将安全体系中的各类安全措施进行打包形成多个系列的解决方案并落实安全实施项目规划和工作规划 2.4系统渗透测试服务能力建设 根据工业控制领域安全性需要组织工业控制系统渗透性测试能力建设以保障工业控制系统配置、系统漏洞、网络流量、网络信息定位等方面的安全所涉及到的技术不仅仅包括传统网络安全渗透测试技术还有工业控制系统渗透测试技术这些技术通过对传统技术框架的改进方式实现对工业控制系统硬件、软件和协议的支持 2.5代码检测与环境验证服务能力建设 针对工业控制系统的主要功能、性能指标进行检测检验系统是否在连续性、实时性等方面满足工业要求并提供稳定性验证服务以及实时性验证服务 (1)稳定性验证服务通过并发访问、单人多线登录、压力测试等方法对系统的稳定性进行评价验证系统的稳定性是否符合工业生产要求 (2)实时性验证服务通过数据完整性、保密性、可用性检测对工业控制系统内传输数据的时间数量级进行记录和评估根据本行业的工业生产标准验证系统实时性是否能够满足生产要求 2.6人才培养能力建设 从工控安全理论研究、技术研发等实验方面以及工控系统安全服务两方面培养高层次信息安全专业人才力争将实验室建成一流信息安全人才培养基地利用实验室的优厚技术条件进行实际演练掌握工业控制系统信息安全领域的关键技术成为精通信息安全理论与技术的尖端人才同时与各工控安全权威机构联合通过共同开发与研究项目的形式利用工业控制系统模拟环境提供项目的实验与开发环境保证技术领先性培养可以从事信息安全研究的专业队伍为实现工业企业的信息安全保障输送高质量人才 2.7系统安全测评服务能力建设 测评服务能力是指为工业控制信息系统提供安全测评服务集风险评估、等级保护测评等功能于一体通过安全测评服务能力的建设完善工业控制系统信息安全产品测评能力与手段充实工业控制系统信息安全相关资源库在工控系统物理安全、网络安全、主机安全和管理安全等方面为系统应用和控制过程提供最优的安全尺度、安全层面、安全平台 3服务平台建设 服务平台是服务开展的重要技术环境平台的建设将进一步完善工业控制领域信息安全服务体制提升工业控制领域信息安全服务效能信息安全测评验证服务体系逐步形成工业控制安全领域的产业多层次、多渠道、多元化的综合服务体系平台架构如图2所示 代码检测与环境验证子平台：通过为工业控制系统提供代码检测和环境验证等服务将对工业控制嵌入式操作系统、应用软件进行代码安全性验证找出软件代码的潜在威胁所在加以防护提高软件应用的安全性将代码检测和环境验证平台作为技术支撑实现工业控制系统PLC系统安全检测和嵌入式系统测试服务 内网监控与预警子平台：对工业控制系统内部网络中的安全事件包括：恶意攻击、非法入侵、内网病毒、端口流量异常等进行监控当安全事件发生时发出预警信息 工控系统业务管理子系统平台：对测评、评估等服务项目提供全生命周期的过程管理包括服务队伍建立、需求分析、资产识别、威胁分析和脆弱性识别等过程的管理并可以通过内建的知识库为服务人员提供技术支持和信息查询 工控系统安全测评服务子平台：结合网络安全建设和发展的实际情况综合漏洞挖掘、安全评估、扫描分析和管理体系评估等多种手段建设对于工业控制系统提供专项安全测评、检测服务、风险评估等服务 4支撑环境建设 4.1工控模拟实验模拟环境建设 工业控制系统模拟环境是根据工业控制系统现场实际情况搭建的仿真模拟测试环境是开展安全技术理论研究、漏洞验证、渗透测试、代码测试环境验证以等研究的基础同时也是工具集研发的技术环境依托模拟环境将以SCADA、DCS等为核心结合无线、微波等网络技术针对工业控制系统安全现状将搭建电力、水利、燃气等重要工业控制领域的模拟环境为开展攻防实验、技术研究等奠定基础 4.2软硬件支撑环境 软硬件支撑环境是整个服务体系的基础支撑环境能够为模拟环境建设、服务平台建设以及服务能力建设提供必要的基础环境软硬件基础环境主要包括基础网络环境、数据存储和服务系统和实现平台自身安全的防病毒、防入侵等安全措施 5结语 工业控制系统信息安全的需求和目标特性决定了安全服