李俊 孙军 张慧敏 工业和信息化部电子科学技术情报研究所

1　引言

工业是国民经济的主体，工业控制系统是工业生产的核心大脑。随着信息化和工业化融合的持续深入，工业控制系统正从封闭走向开放和互联，呈现出数字化、网络化和智能化等新特征，在不断提升工业生产效率的同时，也面临着严峻的信息安全挑战。工业控制系统信息安全已经成为护航经济发展、保障社会稳定、维护国家安全的基础和前提。作为世界头号工业强国和网络强国，美国7年前专门成立了工业控制系统网络应急响应小组（ICS-CERT），通过该国家级工业控制系统信息安全保障机构的设立，逐步形成了完备的工控安全保障工作机制，有力提升了美国工控安全保障水平。

2　ICS-CERT成立背景

2.1　启动控制系统安全计划

2003年12月17日，美国政府颁布了第7号国土安全总统令（HSPD-7）《关键基础设施标识、优先级和保护》，要求国土安全部（DHS）制定保护关键基础设施和重要资源（CIKR）的国家战略计划，并作为化工、关键制造、水利、国防工业基础、核反应堆与材料、应急服务等关键基础设施行业与领域的责任部门。认识到工业控制系统对关键基础设施的重要性后，DHS下属的国家防护与计划司（NPPD）于2004年5月启动了“控制系统安全计划（CSSP）”，旨在通过指导工业控制系统管理与运营部门和机构加强工业控制系统信息安全保护，减少国家关键基础设施的风险。同年8月，DHS在其下属的美国计算机应急准备小组（US-CERT）组建了“控制系统安全中心（CSSC）”。通过合同外包等方式，CSSC依托以爱达荷国家实验室（INL）为主的相关研究机构开展了部分工控系统漏洞与事件处理、风险评估等工作。

2.2　发布保障控制系统安全战略，专门组建ICS-CERT

基于US-CERT框架的CSSC在落实《控制系统安全保护计划》目标与任务的过程存在两方面的重大问题。一是专业能力严重不足。US-CERT的主要职能是“计算机应急准备”（computer emergency readiness），其工作重点在于计算机安全风险信息的监测通报，在工业控制系统信息安全保障方面既无技术队伍、也无专业能力，与工控安全相关的工作均采取外包的方式委托给美国能源部（DOE）下属的国家实验室。二是资源条件十分匮乏：US-CERT并不具备开展工控安全保障工作必须的现场测试条件、实验室环境、专家资源等，因此无法完成包括工业控制系统信息安全监测、预警、处置、恢复等在内的全流程、全方位的网络应急响应（cyber emergency response）任务。

在充分考虑到上述两方面问题的基础上，为“切实解决控制系统安全保护面临的具体问题”，2009年10月，DHS发布了《保障控制系统安全战略》。《战略》的核心内容主要涉及两项部署：一是建立工业控制系统联合工作组（ICSJWG）；二是明确ICS-CERT的职责范围。《战略》明确ICS-CERT的职责包括：ICS网络威胁、脆弱性与恶意软件分析；ICS安全事件响应与分析；与联邦、州、地方机构和组织、情报联合会、私营部门共享ICS相关安全事件与信息等。《战略》明确指出ICS的关注重点是关键基础设施控制系统与网络，ICS-CERT在控制系统安全技术与响应能力建设方面是对US-CERT的补充和支持，从而在职责范围界定上将US-CERT和ICS-CERT区分开来。《战略》为组建ICS-CERT提供了政策依据，2009年11月1号DHS正式依托INL国家实验室单独组建ICS-CERT，并在DHS各财年预算中列入相关运营经费预算。

2.3　DHS内部机构重组，ICS-CERT正式纳入NCCIC

2009年10月30日，DHS建立国家网络安全与通信集成中心（NCCIC）。当时ICS-CERT并未正式成为NCCIC的组成部分，而是作为《保障控制系统安全战略》的实施机构落实相关要求和部署。随着《保障控制系统安全战略》相关部署的持续推进，ICS-CERT在关键基础设施控制系统安全态势感知、信息共享、事件响应、风险消减及灾难恢复等方面发挥着越来越重要的作用，2013年，NCCIC进行机构重组，正式将ICS-CERT作为与US-CERT并列的四个组成机构之一。2014年，美国《国家网络安全保护法》确立了NCCIC的法律地位，为NCCIC开展信息共享、态势感知、风险监测、事件响应等提供了法律依据，并明确规定NCCIC的组成部分包括“NCCIC内开展网络安全和通信活动的机构”。由此，作为NCCIC重要组成部分的ICS-CERT也有了法定身份，其职责定位与相关工作的开展也有了法律依据。

3　ICS-CERT的主要工作职责

美国DHS负责工控系统信息安全的部门组织架构如图1所示。

图1 DHS负责工控系统信息安全的部门组织架构

从公开资料来看，目前ICS-CERT的主要职责有以下七个方面：

（1）技术分析。ICS-CERT在INL国家实验室建立了高级分析实验室（Advanced Analytical Laboratory,AAL），为ICS-CERT提供了技术分析能力。ICS-CERT与厂商配合，从检查、验证和潜在风险分析等方面开展漏洞分析工作，并在必要时协同厂商在AAL实验室进行研究分析。

（2）事件响应。对影响关键基础设施的信息安全事件进行响应和支持是ICS-CERT的重要职能。一般来说，ICS-CERT采用远程支持的方式响应事件。通过AAL实验室对关键基础设施运营者提供的恶意软件、登陆文件、硬盘、电子邮件等进行分析，评估事件是否已经造成损失、损失的深度和广度、关键基础设施潜在的后果。对于那些需要现场支持的严重事件，ICS-CERT也会派出响应小组进行现场分析。

（3）漏洞通报。工控系统与产品漏洞及脆弱性的报告、分析、协调和发布工作是ICS-CERT最主要的工作之一。在收到漏洞报告后，ICS-CERT将对上报的漏洞进行初步的分析，并与控制系统设备厂商建立安全、互信的合作伙伴关系，共同致力于缓解措施或补丁发布等解决方案，确保厂商有足够的时间让受影响的用户在漏洞公布之前有足够的时间获得、测试并应用解决方案。在与厂商协调并收集技术和风险信息后，ICSCERT将会把漏洞的相关信息通报给终端用户。

（4）实体协调。ICS-CERT建立了工业控制系统联合工作小组（ICSJWG）这一实体来加强与工控系统运营单位及相关行业之间的协调，加速工控系统的安全措施设计和部署。每年ICS-CERT会在春季和秋季召开两次会议，交流工控系统信息安全的研究与保障工作。

（5）态势感知。ICS-CERT通过与美国相关公司的合作，建立了工控系统态势感知能力，通过对互联网的监测和搜索掌握了接入美国网络的工控系统基本情况，并梳理了其中大量的关键基础设施。

（6）检查评估。对美国关键基础设施控制系统进行检查评估是ICS-CERT正在逐步强化的一项工作。ICSCERT已经自主开发了CSET、DAR和NAVV共3款专门用于工控系统信息安全检查评估的工具，依托这些工具ICSCERT赴企业现场开展检查评估工作，发现了大量安全问题，及时消减了美国关键基础设施控制系统的安全隐患。

（7）信息安全培训。ICS-CERT提供初、中、高三个级别的工控安全免费培训，帮助关键基础设施行业和控制系统运营单位更好地理解工控系统的安全风险。每年有数千人参加ICS-CERT培训，该培训会定期公开课程表，需要申请和审核，高级课程一般不允许外国人参加。

4　启示和建议

美国通过ICS-CERT这一综合性、专业化的国家级工业控制系统信息安全保障机构，开展了大量工控安全保障工作，进一步确保了美国在工控安全研究方面的世界领先地位。我国工控安全保障工作起步较晚，与发达国家相比在保障能力方面仍存在较大差距，应充分借鉴美国等发达国家的有关做法，建设综合性、专业化的国家级工控安全保障机构。2016年5月13日，国务院发布了《关于深化制造业和互联网融合发展的指导意见》（国发〔2016〕28号），明确提出“提升工业信息系统安全水平。……依托现有科研机构，建设国家工业信息安全保障中心”。我们要认真贯彻落实28号文件精神，加快推动国家工业信息安全保障中心的成立和挂牌运行，尽早形成完善的工控安全保障工作机制，为我国重要工控系统安全运行保驾护航。

作者简介

李俊（1986-），工学博士，现为工业和信息化部电子科学技术情报研究所工控安全实验室负责人，主要研究方向为工业信息安全感知、评估与防护保障技术。

摘自《工业控制系统信息安全》专刊第三辑