工业控制系统信息安全专业化服务体系建设研究论文.docVIP

工业控制系统信息安全专业化服务体系建设研究论文 　　 　　工业控制系统与传统IT系统相比在系统安全性、可靠性、稳定性和保密性等方面要求更高同时对系统安全服务也提出了新的要求本文围绕工业控制系统信息安全服务的服务能力、服务平台和支撑环境建设设计并提出工业控制系统信息安全专业化服务体系架构进一步完善安全测评与加固、技术研发、人才培养以及信息安全咨询等服务质量提高服务效率 　　 　　引言 　　 　　随着两化融合进程的不断推进及工业控制系统的逐渐开放无线传感网络、移动信息互联、物联网技术、精准定位授时等信息技术在能源、制造、化工、水利、交通等重要领域的控制系统中得到了深入的应用工业控制系统与IT系统逐步实现了协同工作和信息共享进一步提高了企业的运营管理水平但在企业综合效益提升的同时工业控制系统也开始面临IT系统面临的木马攻击、病毒入侵和信息窃取等安全威胁如果被敌对势力获取工业控制超级用户管理权限对核心设施进行恶意攻击的话不仅会造成经济损失也将会对人民生命安全造成严重的威胁[1] 　　 　　目前我国明确提出要做好重要工业基础设施信息安全保障工作这也对信息安全保障服务的专业化程度和服务体系的建设提出了更高的要求加强工业控制系统信息安全管理水平提高抵御外来攻击的能力降低工业控制系统造成破坏的概率和可能性以技术和管理手段改善工业控制信息安全现状保障国家安全与社会稳定已经刻不容缓[2]本文将围绕工业控制系统风险评估、等级保护测评、代码验证等核心环节设计并提出工业控制系统信息安全专业化服务体系架构进一步完善安全测评与加固、技术研发、人才培养以及信息安全咨询等服务质量提高服务效率 　　 　　1构建专业化服务体系 　　 　　目前我国的工业控制系统信息安全管理和服务的相关标准规范还在酝酿中仅部分行业部门出台了试行的安全评估、测评等相关服务规范整体安全服务工作还缺少依据[3]综合工业控制系统的共性特点、安全需求其需要的核心服务主要包括系统安全测评、代码检测与环境验证、系统建设与加固、人才培养、渗透测试和网络监测预警等服务以及能提供技术支撑的功能平台[4]对工业控制系统的安全服务需求进行梳理提出如下服务体系架构该架构围绕专业化服务项目、服务平台和支撑环境建设展开将为工控信息安全服务工作的开展提供组态化的解决方案其中服务项目是指服务机构或部门要具备的必须的技术能力和评估水平服务平台是为相关服务开展提供技术支持的功能性平台支撑环境是为服务的有效性提供验证和基础运行的必要条件 　　 　　2服务能力建设 　　 　　2.1内网监测与预警服务能力建设 　　 　　根据工业控制系统内部构成情况实现能够对内网非法入侵、恶意攻击、内常规网络木马、后门事件、常规蠕虫事件、僵尸网络事件、异常流量(端口流量、协议流量、IP流量等)事件进行监测预警的服务能力 　　 　　2.2安全咨询与培训能力建设 　　 　　信息安全咨询与培训能力建设包括对安全体系建设咨询、研究项目合作咨询、测评技术培训、系统安全体系培训等通过信息咨询服务体系定期发布重要工业控制系统最新漏洞、脆弱性、病毒等信息为提高工业控制系统信息安全提供技术参考同时针对工业企业的现场管理流程和规范对相关人员提供培训服务主要从培训课程与实验环境两个方面进行人才培养提升工业现场人员的安全管理能力和技术能力构建信息安全知识体系 　　 　　2.3系统建设与加固服务能力建设 　　 　　以工业控制系统实际运行情况为基础参照国际和国内的安全标准和规范充分利用成熟的信息安全理论成果为工业控制系统设计出兼顾整体性、可操作性并且融策略、组织、运作和技术为一体的安全解决方案安全技术建设的总体目标是：根据工控信息系统等级对应的信息安全要求建立一套可以满足和实现这些安全要求的安全管理措施安全管理措施包括适用的安全组织建设、安全策略建设和安全运行建设安全管理措施与具体的安全要求相对应在进行安全管理建设时针对各系统现状和安全要求的差距选择安全管理措施中对应的安全管理手段信息系统安全建设与加固的总体目标是：采用等级化和体系化的设计方法为工业企业订制一整套的工控系统信息安全保障体系根据安全体系的要求进行安全规划将安全体系中的各类安全措施进行打包形成多个系列的解决方案并落实安全实施项目规划和工作规划 　　 　　2.4系统渗透测试服务能力建设 　　 　　根据工业控制领域安全性需要组织工业控制系统渗透性测试能力建设以保障工业控制系统配置、系统漏洞、网络流量、网络信息定位等方面的安全所涉及到的技术不仅仅包括传统网络安全渗透测试技术还有工业控制系统渗透测试技术这些技术通过对传统技术框架的改进方式实现对工业控制系统硬件、软件和协议的支持 　　 　　2.5代码检测与环境验证服务能力建设 　　 　　针对工业控制系统的主要功能、性能指标进行检测检验