今日頭條
官方微信
官方抖音
案例頻道★蔡麗麗中衡特爾維檢測(cè)技術(shù)(北京)有限公司
關(guān)鍵詞:數(shù)字化;智能化;工業(yè)控制系統(tǒng);風(fēng)險(xiǎn)評(píng)估
1 引言
黨的二十大報(bào)告提出,到2035年基本實(shí)現(xiàn)新型工業(yè)化。在推動(dòng)新階段新型工業(yè)化進(jìn)程中,數(shù)字化、智能化成為工業(yè)企業(yè)技改升級(jí)的重要抓手。繼工業(yè)互聯(lián)網(wǎng)賦能之后,工業(yè)企業(yè)圍繞“數(shù)字化轉(zhuǎn)型”“智能化升級(jí)”,加強(qiáng)新一代信息技術(shù)與工業(yè)生產(chǎn)的集成應(yīng)用,加速發(fā)展新質(zhì)生產(chǎn)力。網(wǎng)絡(luò)化是數(shù)字化、智能化的基礎(chǔ)資源保障和數(shù)據(jù)要素來(lái)源,經(jīng)典工業(yè)控制系統(tǒng)模型在網(wǎng)絡(luò)化背景下已發(fā)生改變,能否針對(duì)工業(yè)控制系統(tǒng)實(shí)施信息安全風(fēng)險(xiǎn)控制、防范化解網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn)隱患,成為工業(yè)企業(yè)順利實(shí)現(xiàn)轉(zhuǎn)型升級(jí)的關(guān)鍵因素。
2 新型工業(yè)化背景下的工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)
經(jīng)典的工業(yè)控制系統(tǒng)層次結(jié)構(gòu)圖,從上到下依次為企業(yè)資源層、生產(chǎn)管理層、過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,以及企業(yè)的數(shù)字化轉(zhuǎn)型、智能化升級(jí)提速,該層次已不能完全適用。新技術(shù)、新裝備的使用,以及工業(yè)企業(yè)上云等,使得對(duì)應(yīng)風(fēng)險(xiǎn)評(píng)估的資產(chǎn)、脆弱性和威脅也發(fā)生了變化。
(1)新型工業(yè)化背景下的工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)現(xiàn)狀
經(jīng)典工業(yè)控制系統(tǒng)通常包括SCADA(監(jiān)控和數(shù)采系統(tǒng))、DCS(分布式控制系統(tǒng))、PLC(可編程邏輯控制器)等,應(yīng)用環(huán)境封閉、獨(dú)立,信息安全隱患不足為慮。我國(guó)大部分工業(yè)控制系統(tǒng)建設(shè)較早,在信息技術(shù)欠發(fā)達(dá)時(shí)代考慮的信息安全較少,且并沒(méi)有隨著科技發(fā)展而升級(jí),導(dǎo)致其自身安全能力不足[1]。隨著新技術(shù)如云計(jì)算、大數(shù)據(jù)、人工智能、邊緣計(jì)算等在工業(yè)生產(chǎn)中的應(yīng)用,以及越來(lái)越多的軟硬件設(shè)施包括智能終端、采集設(shè)備等接入網(wǎng)絡(luò),打破了相對(duì)封閉可信的傳統(tǒng)工業(yè)控制系統(tǒng)環(huán)境,OT、IT、DT、CT緊密融合,安全邊界逐漸模糊,互聯(lián)網(wǎng)的威脅進(jìn)入工業(yè)控制系統(tǒng),工業(yè)控制系統(tǒng)的脆弱性被黑客瞄準(zhǔn)。與此同時(shí),邊緣計(jì)算平臺(tái)、云平臺(tái)接入工業(yè)控制系統(tǒng),匯聚了海量的多源異構(gòu)數(shù)據(jù),使得數(shù)據(jù)處理和利用不斷促進(jìn)數(shù)字化、智能化,但也引入了數(shù)據(jù)安全風(fēng)險(xiǎn)。所以傳統(tǒng)的僅針對(duì)工業(yè)控制系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估在新形勢(shì)下的適用性、有效性大幅下降,從而催生了新型工業(yè)化背景下的工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估,進(jìn)而為數(shù)智升級(jí)提供可靠保障。
(2)工業(yè)企業(yè)上云導(dǎo)致的風(fēng)險(xiǎn)
《2023上半年云安全態(tài)勢(shì)報(bào)告》顯示,工業(yè)云是遭受攻擊最多的三大行業(yè)之一[2]。在數(shù)字化轉(zhuǎn)型過(guò)程中,工業(yè)企業(yè)使用工業(yè)互聯(lián)網(wǎng)平臺(tái)、邊緣計(jì)算平臺(tái)存儲(chǔ)、處理數(shù)據(jù)。對(duì)于工業(yè)互聯(lián)網(wǎng)平臺(tái),涉及到如MES(生產(chǎn)過(guò)程執(zhí)行系統(tǒng))、PLM(產(chǎn)品生命周期管理系統(tǒng))等系統(tǒng)的云化部署、本地部署的常規(guī)工業(yè)控制系統(tǒng)數(shù)據(jù)上云。對(duì)于邊緣計(jì)算平臺(tái),通過(guò)控制器、網(wǎng)關(guān)或服務(wù)器連接大量的現(xiàn)場(chǎng)設(shè)備、機(jī)床或產(chǎn)線,使得存儲(chǔ)和計(jì)算下移。工業(yè)互聯(lián)網(wǎng)平臺(tái)、邊緣計(jì)算平臺(tái)帶來(lái)的其自身的風(fēng)險(xiǎn)評(píng)估情況、接入安全風(fēng)險(xiǎn)及公有云安全風(fēng)險(xiǎn)管理,都將成為工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估考量的因素。
(3)智能資產(chǎn)導(dǎo)致的風(fēng)險(xiǎn)
在智能化升級(jí)過(guò)程中,智能裝備如數(shù)控機(jī)床、數(shù)控電氣,智能設(shè)備如工業(yè)機(jī)器人、智能車載等資產(chǎn)的廣泛使用,使得工業(yè)控制系統(tǒng)呈現(xiàn)新的風(fēng)險(xiǎn)因素。智能資產(chǎn)系統(tǒng)可能存在漏洞及后門(mén),攻擊者可以通過(guò)漏洞控制設(shè)備、通過(guò)后門(mén)竊取數(shù)據(jù),造成工業(yè)企業(yè)的損失。另外,智能資產(chǎn)所在的網(wǎng)絡(luò)區(qū)域,若未使用防火墻、網(wǎng)閘等邊界安全設(shè)備,同時(shí)又使用智能終端通過(guò)互聯(lián)網(wǎng)對(duì)其進(jìn)行遠(yuǎn)程監(jiān)測(cè)時(shí),IT和OT的邊界消失,極易遭受來(lái)自IT端的網(wǎng)絡(luò)攻擊。因此,智能資產(chǎn)的信息安全風(fēng)險(xiǎn)評(píng)估成為工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的一部分。
(4)供應(yīng)鏈安全導(dǎo)致的風(fēng)險(xiǎn)
新型工業(yè)化背景下,工業(yè)企業(yè)應(yīng)用固件、軟件、組件和系統(tǒng)越來(lái)越多,軟件或系統(tǒng)封裝層級(jí)越來(lái)越高,針對(duì)供應(yīng)鏈各個(gè)環(huán)節(jié)的攻擊急劇上升,導(dǎo)致整體供應(yīng)鏈安全威脅越來(lái)越大。針對(duì)供應(yīng)鏈的安全攻擊事件呈快速增長(zhǎng)態(tài)勢(shì),Gartner曾預(yù)測(cè),到2025年全球至少45%的企業(yè)機(jī)構(gòu)將遭遇軟件供應(yīng)鏈攻擊。再者軟件開(kāi)發(fā)工具,若植入惡意代碼,將會(huì)編譯出缺陷代碼。曾疑似IOS開(kāi)發(fā)工具Xcode被植入了惡意代碼,用該工具編譯的App會(huì)泄漏手機(jī)隱私信息。因此開(kāi)展供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估,是對(duì)新型工業(yè)化背景下工業(yè)控制系統(tǒng)要求的細(xì)化,可以幫助企業(yè)識(shí)別供應(yīng)鏈安全弱點(diǎn)、實(shí)施控制措施、提升其關(guān)鍵環(huán)節(jié)的安全防護(hù)能力。
3 新型工業(yè)化背景下的工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估依據(jù)
我國(guó)高度重視工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估,多部法律法規(guī)提出了風(fēng)險(xiǎn)評(píng)估要求,多項(xiàng)國(guó)家標(biāo)準(zhǔn)對(duì)風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程提供了指導(dǎo),針對(duì)風(fēng)險(xiǎn)評(píng)估進(jìn)行已有安全措施確認(rèn)。新階段的工業(yè)企業(yè)風(fēng)險(xiǎn)評(píng)估不能僅遵守工業(yè)控制系統(tǒng)相關(guān)的風(fēng)險(xiǎn)評(píng)估,而應(yīng)能更適應(yīng)聯(lián)網(wǎng)化、數(shù)字化、智能化的發(fā)展趨勢(shì),為企業(yè)數(shù)智升級(jí)提供安全保障。
(1)法律法規(guī)對(duì)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的規(guī)定
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定:國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,國(guó)家網(wǎng)信部門(mén)協(xié)調(diào)有關(guān)部門(mén)建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制,國(guó)家推進(jìn)網(wǎng)絡(luò)安全社會(huì)化服務(wù)體系建設(shè),鼓勵(lì)有關(guān)企業(yè)、機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)和風(fēng)險(xiǎn)評(píng)估等安全服務(wù)。《中華人民共和國(guó)數(shù)據(jù)安全法》規(guī)定:國(guó)家支持有關(guān)部門(mén)、行業(yè)組織、企業(yè)、教育和科研機(jī)構(gòu)、有關(guān)專業(yè)機(jī)構(gòu)等在數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、防范、處置等方面開(kāi)展協(xié)作;重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。
《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》提出,新建或升級(jí)工業(yè)控制系統(tǒng)上線前、工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)連接前,應(yīng)開(kāi)展安全風(fēng)險(xiǎn)評(píng)估。《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)指南(試行)》規(guī)定:三級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)至少每年進(jìn)行一次網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與審計(jì)。《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》規(guī)定:工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當(dāng)自行或委托第三方評(píng)估機(jī)構(gòu),每年對(duì)其數(shù)據(jù)處理活動(dòng)至少開(kāi)展一次風(fēng)險(xiǎn)評(píng)估,及時(shí)整改風(fēng)險(xiǎn)問(wèn)題,并向本地區(qū)行業(yè)監(jiān)管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告;中央企業(yè)應(yīng)當(dāng)督促指導(dǎo)所屬企業(yè),在重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案、核心數(shù)據(jù)跨主體處理風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)信息上報(bào)、年度數(shù)據(jù)安全事件處置報(bào)告、重要數(shù)據(jù)和核心數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估等工作中履行屬地管理要求。
(2)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的參考標(biāo)準(zhǔn)
GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》是工業(yè)互聯(lián)網(wǎng)企業(yè)針對(duì)工業(yè)控制系統(tǒng)實(shí)施風(fēng)險(xiǎn)評(píng)估的核心依據(jù),它從資產(chǎn)、脆弱性、威脅、已有安全措施四個(gè)方面進(jìn)行風(fēng)險(xiǎn)識(shí)別,通過(guò)風(fēng)險(xiǎn)分析計(jì)算事件發(fā)生的可能性、評(píng)估對(duì)象的損失、系統(tǒng)資產(chǎn)面臨的風(fēng)險(xiǎn)值,最終計(jì)算出業(yè)務(wù)風(fēng)險(xiǎn)值。GB/T36466-2018《信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》根據(jù)工業(yè)控制系統(tǒng)的資產(chǎn)安全特性,分析威脅、脆弱性和保障能力,通過(guò)風(fēng)險(xiǎn)計(jì)算完成綜合分析與評(píng)價(jià),最后根據(jù)判定結(jié)果及企業(yè)自身情況進(jìn)行殘留風(fēng)險(xiǎn)處置。GB/T31722-2015《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》提供了信息安全風(fēng)險(xiǎn)管理指導(dǎo),可用于工業(yè)企業(yè)。當(dāng)前該標(biāo)準(zhǔn)正在升級(jí)轉(zhuǎn)版,新標(biāo)準(zhǔn)名稱定為《信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指導(dǎo)》。
(3)已有安全措施確認(rèn)的標(biāo)準(zhǔn)依據(jù)
針對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行測(cè)評(píng)的標(biāo)準(zhǔn),涵蓋網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系,包括GB/T22239-2019《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、GB/T28448-2019《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》等;工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全系列標(biāo)準(zhǔn)包括GB/T44462.1-2024《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第1部分:應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)防護(hù)要求》、GB/T44462.2-2024《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全第2部分:平臺(tái)企業(yè)防護(hù)要求》等。這些標(biāo)準(zhǔn)可以用于企業(yè)對(duì)工業(yè)控制系統(tǒng)已有安全措施進(jìn)行有效性確認(rèn)。企業(yè)采取的防護(hù)措施包括防火墻、入侵檢測(cè)、數(shù)據(jù)加密、訪問(wèn)控制等,是降低脆弱性并抵御威脅的手段,可通過(guò)配置核查、漏洞掃描、滲透測(cè)試等技術(shù)手段驗(yàn)證防護(hù)措施的有效性。
4 結(jié)語(yǔ)
由于風(fēng)險(xiǎn)評(píng)估涉及的企業(yè)多樣、人員差異等因素,導(dǎo)致其結(jié)果存在一定的不確定性,因此在開(kāi)展工業(yè)控制信息系統(tǒng)信息全風(fēng)險(xiǎn)評(píng)估過(guò)程中要盡量考慮全面,并定期實(shí)施。
(1)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估面臨的問(wèn)題
一是,工業(yè)控制系統(tǒng)應(yīng)用于多種類型的工業(yè)企業(yè),如鋼鐵、有色、石化等,企業(yè)類型及規(guī)模大小不同,其風(fēng)險(xiǎn)評(píng)估側(cè)重也有所不同;二是,風(fēng)險(xiǎn)評(píng)估具有主觀性,工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估無(wú)論依賴于第三方還是自身,都有其盲區(qū),評(píng)估者的視角和經(jīng)驗(yàn)都會(huì)影響評(píng)估結(jié)果;三是,風(fēng)險(xiǎn)評(píng)估的方法并不一致,智能資產(chǎn)、云平臺(tái)或關(guān)鍵部件若單獨(dú)進(jìn)行風(fēng)險(xiǎn)評(píng)估,評(píng)估方法一致性是工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果準(zhǔn)確性的重要因素。
(2)定期開(kāi)展工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估
由于工業(yè)控制系統(tǒng)相關(guān)的資產(chǎn)、脆弱性和威脅不是一成不變的,因此工業(yè)企業(yè)需要通過(guò)定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估,全面了解自身的網(wǎng)絡(luò)和數(shù)據(jù)安全水平,根據(jù)評(píng)估結(jié)果優(yōu)化防護(hù)措施,及時(shí)消除不可接受的風(fēng)險(xiǎn)隱患,將風(fēng)險(xiǎn)控制在可接受范圍內(nèi),為企業(yè)數(shù)智升級(jí)提供保障,為實(shí)現(xiàn)新型工業(yè)化目標(biāo)打下基礎(chǔ)。
作者簡(jiǎn)介
蔡麗麗(1990-),女,河北張家口人,助理工程師,學(xué)士,現(xiàn)就職于中衡特爾維檢測(cè)技術(shù)(北京)有限公司,主要從事信息系統(tǒng)安全性維護(hù)、信息系統(tǒng)測(cè)試、質(zhì)量管理等方面的研究。
參考文獻(xiàn):
[1] 張真愷. 煙廠制絲車間工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估研究[D]. 昆明: 云南大學(xué), 2022.
[2] 工業(yè)級(jí)大模型應(yīng)用是一把“雙刃劍”? [EB/OL].
摘自《自動(dòng)化博覽》2025年1月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)