一、国外工业控制系统信息安全标准研究

为解决ICS（工业控制系统 Industrial Control Systems)面临的信息安全问题，一方面，以国际电工委员会（IEC，International Electro Technical Commission）和美国国家标准和技术研究院（NIST，National Institute of Standards and Technology）为代表的标准化组织及机构，已经开展了针对ICS的信息安全标准研究制定工作。另一方面，荷兰、法国、德国、挪威、瑞典等欧盟国家，也从本国ICS信息安全标准化需求出发，在安全控制实施、供应链安全、安全管理等方面开展了标准研究工作。其中，最具影响力的ICS信息安全标准包括：NIST SP 800-82、IEC 62443等。

IEC/TC 65（工业过程测量、控制和自动化）的网络和系统信息安全WG10和国际自动化协会（ISA 99）委员会组成的联合工作组负责，主要制定了IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》系列标准。

IEC 62443是专门针对工业自动化和工业安全的系列标准。该系列标准，旨在使系统集成商、产品供应商和服务提供商，可以通过使用该标准来评估他们的产品和服务，并依据评估结果判断其产品或服务是否能够为ICS使用者提供有效的安全防护。需要注意的是，IEC 62443的目标并不是提供详细规范并建立一个安全的体系架构。其目标是定义一个通用的最小安全要求集，使目标ICS达到各级SALS（Security Assurances Levels，SAL）的安全保障需求。

NIST SP 800-82为保障监控与数据采集系统(Supervisory Control And Data Acquisition, SCADA)、分布式控制系统(Distributed Control System, DCS)等工业系统信息安全提供指南。它概述了ICS的系统拓扑结构，指出了对于这些系统的典型威胁和脆弱点所在，为消减相关风险提供了建议性的安全对策。同时，根据ICS的潜在安全隐患，以及安全隐患影响水平的不同，指出了保障ICS网络安全的不同方法和技术手段。该指南适用于电力、水利、石化、交通、化工、制药等行业的工业控制系统。

二、我国工业控制系统信息安全管理标准研究

为做好ICS信息安全保障工作，我国全国信息安全标准化技术委员会（SAC/TC 260）目前正在制定ICS信息安全管理类标准，包括管理基础和安全监管类标准。其中，管理基础类标准明确了工业企业的信息安全管理基本要求，并提供了ICS安全管理框架和基本流程，是工业企业规范其信息安全管理的重要依据。

1.工业控制系统信息安全管理框架

由于ICS与传统的信息技术（IT）系统存在着诸多差异，如在功能、可用性、体系架构、风险管理、时间的关键性、非期望的后果、系统操作、资源约束、通信、变更管理、管理支持、组件寿命、对组件的访问方式等方面。因此，这些差异决定了应在规划和管理信息安全过程中考虑ICS自身的特点。参考传统信息安全管理体系，结合ICS自身特点，将安全性需求整合到ICS中，形成的ICS安全管理基本框架（如图1所示）。该框架参考信息安全管理体系循环模型，将ICS安全管理活动划分为规划、实施、检查和处置阶段。

2.工业控制系统信息安全管理流程

规划阶段

（1）获得管理层对ICS安全项目的批准

ICS安全计划的实施可以作为一个安全项目来规划和实施，组织中，启动ICS安全项目应获得管理层的批准。管理层对于ICS安全项目给予充分的资金支持和可见的顶层承诺，会使ICS安全项目开展更加顺畅、功能发挥更有效，也更易取得成功。同时，组织还宜制定初步的ICS安全项目实施计划。业务方案和初步ICS安全项目计划不仅是ICS安全管理的基础，而且也确保组织管理层对ICS安全项目实施所需资源的承诺和批准。
（2）组件/更新ICS安全管理团队

尽管ICS与IT系统变得越来越相似，但是ICS也有不同于传统IT系统的特征，包括对人类生活健康与安全的重大风险、对环境的严重破坏以及诸如产量损失、对国民经济的副作用等经济方面的问题。因此，ICS安全管理团队绝不仅仅是一个组织内信息化部门的责任。为了更好地保障ICS安全，建立一支跨部门跨职能的ICS安全管理团队，通过共享各自不同领域的专业技术知识和实践经验，共同应对和处理ICS风险，这一点十分重要。该安全管理团队应至少包括组织内的IT人员、控制工程师、控制系统操作员、网络和信息系统安全专家、管理层代表，以及物理安全部门代表。考虑到持续性和完整性，该团队应与控制系统厂商和系统集成商保持联系畅通，必要时及时进行咨询。该团队直接向现场管理人员（如设施负责人）或公司CIO/CSO报告，后者相应地对ICS安全负有全部责任。虽然控制工程师对于ICS安全而言能发挥重大作用，但必须获得IT部门和管理层的协作与支持。IT人员具有多年信息安全经验，这些经验也适用于ICS。由于控制工程师和IT人员的理念通常具有极大差异，对于协作性的安全设计与运行而言，跨理念的相互理解和不同理念的相互整合十分必要。

（3）明确ICS安全方针策略和范围

ICS安全方针策略规定了ICS安全的目标、规程、实施措施等内容，为工业控制系统信息安全的保障提供指导依据。ICS安全方针策略和ICS安全范围和边界的详细定义，以及管理层的认可与批准，是成功进行ICS安全管理的关键因素。因此，组织应制定ICS安全方针，明确ICS安全管理团队以及系统所有方和使用方的作用、责任与义务。该团队应确定ICS安全项目，并就ICS安全项目的目标、受影响业务部门、所涉及计算机系统和网络、预算与所需资源、责任划分等形成书面文件。范围应包括业务、培训、审计、法律和管理要求以及时间表与相关责任。安全策略与步骤是ICS安全方针落地的关键，也是成功的ICS安全项目的基础。组织应制定ICS安全策略，并确定ICS信息安全风险的优先顺序，从而有效消减各种威胁带来的风险。同时还应制定支持ICS安全策略的方法与具体实施步骤，以使ICS安全策略得以充分、正确地实施。安全步骤应形成文件，并经过测试，进行定期升级以适应安全策略与技术的变化。

（4）识别ICS安全管理范围内的系统等资产并对ICS定级

组织应明确ICS安全管理范围内涉及的所有系统和网络资产，综合考虑资产对ICS安全的关键程度和敏感性，建立资产分类机制，对资产进行分类管理，编制资产清单，并定期进行评估和更新。在识别ICS资产时，应明确ICS的具体应用及涉及的信息系统，以及ICS中的网络和与其交互的网络。关注点应当不仅是设备，还应包括系统，同时还有PLC、DCS、SCADA，以及使用像HMI（人机界面）这样的使用监控设备的基于工具的系统。在标识ICS系统与网络资产时，应标识其名称、所关联的活动（诸如创建、存储、传输和删除等）、对组织的关键程度（关键的、重要的和支持性的）、责任人、所属类别等信息。标示ICS系统与网络资产后，应综合考虑工业控制系统中资产重要性、面临威胁严重性、威胁发生可能性、自身脆弱性等方面，对工业控制系统进行等级划分管理，为工业控制系统安全控制基线的建立和控制措施的选取提供理论依据。

（5）评估安全风险与脆弱性

由于每个组织可用的资源有限，因此，应基于对组织内每个ICS系统的潜在影响而进行ICS系统风险评估，并利用其结果将ICS系统进行优先顺序排列。组织应对高优先级的系统进行详细的脆弱性评估，并在资源允许的情况下对低优先级的系统进行评估。脆弱性评估有助于识别系统中可能存在的弱点，保持系统和数据的可靠性、完整性和可用性，保证相关网络安全风险与消减方法的有效实施。

根据工业控制系统网络安全等级划分和风险评估结果，参照《信息安全技术 工业控制系统安全控制应用指南》，选择、裁剪、补偿和补充工业控制系统安全控制措施，形成适合组织需要的安全控制基线。

实施阶段

（1）实施安全控制

由于ICS的高实时性、可用性的特殊要求，使得针对ICS安全控制措施的选择应当考虑十分谨慎。在参照《信息安全技术 工业控制系统安全控制应用指南》，形成安全控制基线，获得安全控制措施清单后，应先获得管理层对实施安全控制措施的授权，进而根据已形成的安全控制基线，在目标ICS中实现具体安全控制措施。

（2）开展安全培训

安全意识是ICS事件预防的关键部分，特别是当涉及到社会工程威胁时。社会工程是一项用于操纵个体泄露私人信息的技术，如泄露口令。随后该口令信息被用来以某种方式损害安全的系统。实施ICS安全项目可能会改变人们对计算机程序、应用程序以及计算机桌面的访问方式。组织应制定有效的培训和意识教育计划和通信工具，来帮助雇员理解需要新的访问控制方法的原因，这些方法可以用来减轻风险的思路，以及如果不引入控制方法会给组织带来的影响等。培训计划还可以管理层对网络安全计划的承诺和认可。员工针对这类培训的反馈意见，对于精炼安全计划的宗旨和范围来说，是非常有价值的来源。

检查阶段

（1）持续监控ICS安全控制措施的实施

实施安全控制措施的ICS上线后，通常会持续运行一段时间，在此期间，应通过持续监控ICS已实施的安全控制措施，检测处理结果中的错误，识别安全违规事件，监测ICS中的安全异常事件的发生。

（2）安全审核和定期评估

应针对ICS的安全控制措施的执行以及安全事故结果等内容进行审核，记录审核内容，定期对审核的记录进行评审、分析并生成审计报告，同时还需提供措施审核信息和记录，形成文档。

处置阶段

制定应急响应和安全解决方案。组织应详细地分析ICS安全异常结果，针对具体安全事件，启动响应预案，并在规定的时间内，向组织的相关部门报告安全事件信息。组织应识别、评估，并形成合适的快速修复解决方案，以尽可能快地减少安全风险并获得快速收益。

三、 总结

工业控制系统信息安全管理标准是开展工业控制系统安全管理的重要手段，也是促进相关领域技术创新和产业健康发展的重要支撑。我们将广泛联合行业优势单位、协会联盟和专家队伍共同做好工业控制系统信息安全标准化工作。