今日頭條
官方微信
官方抖音
資訊頻道1 引言
制造業(yè)是立國(guó)之本、強(qiáng)國(guó)之基,是實(shí)體經(jīng)濟(jì)的核心構(gòu)成。工業(yè)控制系統(tǒng)作為制造業(yè)的“神經(jīng)中樞”,其安全防護(hù)事關(guān)工業(yè)生產(chǎn)穩(wěn)定運(yùn)行,事關(guān)人民生命財(cái)產(chǎn)安全。近年來,針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊呈現(xiàn)出顯著的政治、軍事和經(jīng)濟(jì)意圖,工業(yè)控制系統(tǒng)逐漸成為網(wǎng)絡(luò)空間對(duì)抗的主戰(zhàn)場(chǎng)[1]。
為切實(shí)提升工業(yè)控制系統(tǒng)信息安全(以下簡(jiǎn)稱:工控安全)防護(hù)能力,工業(yè)和信息化部陸續(xù)發(fā)布《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》(工信軟函〔2016〕338號(hào))、《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》(工信軟函〔2018〕188號(hào))等系列政策文件,為建立工控安全防護(hù)體系指明方向。中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院以標(biāo)準(zhǔn)為抓手,推進(jìn)《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》(報(bào)批稿)、《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全管理基本要求》(GB/T 36323-2018)等工控安全國(guó)家標(biāo)準(zhǔn)的研制發(fā)布,為工控安全防護(hù)提出相關(guān)要求。
2 工控安全防護(hù)能力貫標(biāo)簡(jiǎn)介
2021年1月,中電標(biāo)協(xié)工控安全推進(jìn)分會(huì)(以下簡(jiǎn)稱:ICSP)成立,其是由測(cè)評(píng)機(jī)構(gòu)、工業(yè)企業(yè)、安全企業(yè)等組成的全國(guó)性、行業(yè)性、非營(yíng)利性社會(huì)組織,旨在研究工控安全防護(hù)關(guān)鍵技術(shù),開展工控安全防護(hù)能力貫標(biāo),提升全行業(yè)工控安全防護(hù)能力水平。
2.1 工控安全防護(hù)能力貫標(biāo)模型
工控安全防護(hù)能力貫標(biāo)模型包括能力成熟度等級(jí)、安全能力要素和能力建設(shè)過程,如圖1所示。
圖1 工控安全防護(hù)能力貫標(biāo)內(nèi)容
護(hù)能力成熟度等級(jí)劃分為五級(jí),具體包括:1級(jí)是基礎(chǔ)建設(shè)級(jí),包括45項(xiàng)安全要求;2級(jí)是規(guī)范防護(hù)級(jí),包括167項(xiàng)安全要求;3級(jí)是集成管控級(jí),包括259項(xiàng)安全要求;4級(jí)是綜合協(xié)同級(jí),包括320項(xiàng)安全要求;5級(jí)是智能優(yōu)化級(jí),包括365項(xiàng)安全要求。
工控安全防護(hù)能力要素包括機(jī)構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力。
工控安全防護(hù)能力建設(shè)過程由核心保護(hù)對(duì)象安全和通用安全兩部分組成。核心保護(hù)對(duì)象安全包含工業(yè)設(shè)備安全、工業(yè)主機(jī)安全、工業(yè)網(wǎng)絡(luò)邊界安全、工業(yè)控制軟件安全和工業(yè)數(shù)據(jù)安全,通用安全包含安全規(guī)劃與機(jī)構(gòu)、人員管理與培訓(xùn)、物理與環(huán)境安全、監(jiān)測(cè)預(yù)警與應(yīng)急響應(yīng)和供應(yīng)鏈安全保障。
2.2 工控安全防護(hù)能力貫標(biāo)流程
工控安全防護(hù)能力貫標(biāo)分為啟動(dòng)、宣貫、設(shè)計(jì)、實(shí)施、核驗(yàn)和發(fā)證6個(gè)階段,如圖2所示。在啟動(dòng)階段,成立貫標(biāo)工作組,制定貫標(biāo)工作方案。在宣貫階段,開展核心標(biāo)準(zhǔn)培訓(xùn),工業(yè)企業(yè)實(shí)施自對(duì)標(biāo)、自診斷和自評(píng)估。在設(shè)計(jì)階段,依據(jù)自評(píng)估結(jié)果,為工業(yè)企業(yè)設(shè)計(jì)工控安全防護(hù)能力提升方案。在實(shí)施階段,選取最優(yōu)技術(shù)路線,組織實(shí)施安全防護(hù)提升方案。在核驗(yàn)階段,工業(yè)企業(yè)選取核驗(yàn)機(jī)構(gòu),開展貫標(biāo)核驗(yàn)。在發(fā)證階段,針對(duì)貫標(biāo)結(jié)果開展合規(guī)性審核,為核驗(yàn)通過的工業(yè)企業(yè)頒發(fā)證書。
圖2 工控安全防護(hù)能力貫標(biāo)階段
2.3 工控安全防護(hù)能力貫標(biāo)公共服務(wù)平臺(tái)
工控安全防護(hù)能力貫標(biāo)公共服務(wù)平臺(tái)是ICSP開展企業(yè)貫標(biāo)過程中,公開發(fā)布標(biāo)準(zhǔn)規(guī)范、核驗(yàn)人員、核驗(yàn)結(jié)果等信息的唯一平臺(tái),為貫標(biāo)提供全流程支撐,保證貫標(biāo)順利開展,規(guī)范貫標(biāo)工作流程,確保貫標(biāo)過程和結(jié)果可溯源、可核查,如圖3所示。
圖3 工控安全防護(hù)能力貫標(biāo)公共服務(wù)平臺(tái)
3 工控安全防護(hù)能力貫標(biāo)要點(diǎn)
3.1 增強(qiáng)企業(yè)員工安全意識(shí)
目前,我國(guó)工業(yè)企業(yè)信息化部門員工普遍重視工控安全防護(hù)工作,但仍有較多非信息化部門員工的安全意識(shí)不足。工控安全防護(hù)能力建設(shè)是每位員工的責(zé)任,提升自身工控安全防護(hù)意識(shí)是每位員工的義務(wù)。保障工控安全,既是保護(hù)工業(yè)企業(yè),也是保護(hù)員工自身。
貫標(biāo)案例:在自對(duì)標(biāo)和核驗(yàn)過程中發(fā)現(xiàn),部分企業(yè)在具有較完善工控安全防護(hù)規(guī)章制度的情況下,仍存在使用工業(yè)主機(jī)外設(shè)接口為個(gè)人電子設(shè)備充電、工業(yè)控制系統(tǒng)登錄密碼違規(guī)存放、工業(yè)主機(jī)連接互聯(lián)網(wǎng)等問題。
案例分析:違規(guī)使用工業(yè)主機(jī)外設(shè)接口將為病毒、木馬、蠕蟲等惡意軟件的入侵提供便利條件,也會(huì)導(dǎo)致重要工業(yè)數(shù)據(jù)的丟失。違規(guī)存放登錄密碼會(huì)使工業(yè)控制設(shè)備、軟件的“大門”向黑客等非法人員敞開。工業(yè)主機(jī)與互聯(lián)網(wǎng)相連將導(dǎo)致工業(yè)控制系統(tǒng)直接暴露于外網(wǎng),被“攻擊”風(fēng)險(xiǎn)大幅增加。千里之堤潰于蟻穴,只有每一位員工都樹立信息安全觀念、增強(qiáng)信息安全意識(shí),企業(yè)才能構(gòu)建起堅(jiān)固的安全城墻。
根據(jù)工控安全防護(hù)能力貫標(biāo)模型中人員管理與培訓(xùn)的相關(guān)要求,工業(yè)企業(yè)需建立工業(yè)信息安全教育培訓(xùn)制度,定期開展教育培訓(xùn)活動(dòng),提升員工的工控安全風(fēng)險(xiǎn)識(shí)別能力,使員工能夠識(shí)別工業(yè)控制系統(tǒng)存在的異常行為。
3.2 提高企業(yè)安全管理手段
現(xiàn)階段,我國(guó)工業(yè)企業(yè)普遍認(rèn)識(shí)到工控安全防護(hù)工作的重要性,但部分企業(yè)對(duì)政策和標(biāo)準(zhǔn)的落實(shí)仍不到位,工控安全管理制度不夠完善。
貫標(biāo)案例:在自對(duì)標(biāo)和核驗(yàn)過程中發(fā)現(xiàn),某工業(yè)企業(yè)制定了工控安全管理制度,設(shè)立了工控安全管理崗位,并積極實(shí)施安全防護(hù)策略,將工業(yè)控制網(wǎng)絡(luò)置于“防護(hù)罩”內(nèi)。核驗(yàn)人員對(duì)該企業(yè)工業(yè)控制網(wǎng)絡(luò)發(fā)起模擬攻擊,經(jīng)多輪次測(cè)試,發(fā)現(xiàn)“防護(hù)罩”存在明顯薄弱區(qū)域,突破后即可進(jìn)入企業(yè)內(nèi)網(wǎng)和工業(yè)控制網(wǎng)絡(luò)。按照攻擊路徑溯源,顯示有一套新部署的工業(yè)控制系統(tǒng)位于“防護(hù)罩”之外,原因是企業(yè)的設(shè)備部門部署該系統(tǒng)時(shí)未與工控安全管理部門對(duì)接,導(dǎo)致已建立的工控安全防護(hù)體系被破壞。
案例分析:工業(yè)企業(yè)為工控安全防護(hù)投入了相應(yīng)的成本和精力,但由于管理制度存在缺陷,工控安全管理部門與其他部門聯(lián)動(dòng)不足,導(dǎo)致企業(yè)工控安全防護(hù)仍存在嚴(yán)重隱患。在未與工控安全管理部門溝通的情況下,企業(yè)新增的工業(yè)控制設(shè)備引起網(wǎng)絡(luò)結(jié)構(gòu)的變化,造成工控安全防護(hù)措施的失效。制定和執(zhí)行全面、完善的工控安全管理制度是工控安全防護(hù)體系的重要組成部分。
根據(jù)工控安全防護(hù)能力貫標(biāo)模型中安全規(guī)劃與架構(gòu)、物理環(huán)境與安全、供應(yīng)鏈安全保障等的相關(guān)要求,工業(yè)企業(yè)需建立工控安全管理機(jī)制,成立由企業(yè)負(fù)責(zé)人牽頭,信息化、生產(chǎn)管理、設(shè)備管理等相關(guān)部門組成的信息安全協(xié)調(diào)小組,統(tǒng)籌協(xié)調(diào)工控安全相關(guān)工作[2]。
3.3 強(qiáng)化工控安全防護(hù)技術(shù)
當(dāng)前,國(guó)內(nèi)多數(shù)工業(yè)企業(yè)均已構(gòu)建不同水平的工控安全防護(hù)技術(shù)體系,通過劃分網(wǎng)絡(luò)隔離區(qū)域、安裝安全防護(hù)設(shè)備等方式保護(hù)自身核心控制設(shè)備。
貫標(biāo)案例:在自對(duì)標(biāo)和核驗(yàn)過程中,通過滲透測(cè)試等模擬攻擊手段發(fā)現(xiàn)部分工業(yè)企業(yè)存在以下情況:企業(yè)已在工業(yè)控制網(wǎng)絡(luò)邊界部署工業(yè)防火墻,管理員表示已配置完整安全策略,經(jīng)測(cè)試,實(shí)際配置未滿足安全要求;少量應(yīng)封閉的工業(yè)主機(jī)端口,管理員表示已封閉處理,經(jīng)測(cè)試,實(shí)際未封閉;企業(yè)表示,工業(yè)控制網(wǎng)絡(luò)與其它網(wǎng)絡(luò)區(qū)域是物理隔離,經(jīng)測(cè)試,工業(yè)控制網(wǎng)絡(luò)與其它網(wǎng)絡(luò)存在部分連接問題等。
案例分析:核驗(yàn)人員赴工業(yè)企業(yè)現(xiàn)場(chǎng),通過文檔查閱、人員訪談、現(xiàn)場(chǎng)核查和滲透測(cè)試等方式協(xié)助企業(yè)發(fā)現(xiàn)諸多安全風(fēng)險(xiǎn)。安全策略配置不完整造成安全防護(hù)設(shè)備不能發(fā)揮安全功效,核驗(yàn)人員可以輕易突破企業(yè)安全防線。工業(yè)主機(jī)端口應(yīng)封未封,核驗(yàn)人員可利用特定端口進(jìn)行模擬攻擊,通過搶占IP地址欺騙防火墻,從而進(jìn)入工業(yè)控制網(wǎng)絡(luò),造成極大安全隱患。系統(tǒng)補(bǔ)丁更新不及時(shí),核驗(yàn)人員可采用SQL注入漏洞,非法獲取系統(tǒng)密碼,從而獲取該企業(yè)工業(yè)控制系統(tǒng)詳細(xì)數(shù)據(jù)信息,可能造成嚴(yán)重的數(shù)據(jù)泄露。
工控安全防護(hù)能力貫標(biāo)模型中的核心保護(hù)對(duì)象安全包括針對(duì)工業(yè)設(shè)備、工業(yè)主機(jī)、工業(yè)網(wǎng)絡(luò)邊界、工業(yè)控制軟件和工業(yè)數(shù)據(jù)等方面的188項(xiàng)技術(shù)要求,指導(dǎo)工業(yè)企業(yè)提升網(wǎng)絡(luò)防御、風(fēng)險(xiǎn)管控等能力。
4 結(jié)束語(yǔ)
工業(yè)控制系統(tǒng)信息安全是實(shí)施制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的重要基礎(chǔ),是推動(dòng)制造業(yè)質(zhì)量變革、效率提升的重要支撐。通過工控安全防護(hù)貫標(biāo),進(jìn)一步提升工業(yè)企業(yè)安全管理能力,完善綜合技術(shù)防護(hù)體系,扎實(shí)提升我國(guó)工控安全防護(hù)整體水平。
作者簡(jiǎn)介:
夏 冀(1992-),男,河南駐馬店人,助理工程師,碩士,現(xiàn)就職于中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心,主要研究方向?yàn)楣I(yè)信息安全。
趙梓桐(1992-),男,遼寧大連人,助理工程師,碩士,現(xiàn)就職于中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心,主要研究方向?yàn)楣I(yè)信息安全。
甘俊杰(1993-),男,江西景德鎮(zhèn)人,工程師,碩士,現(xiàn)就職于中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)絡(luò)安全研究中心,主要研究方向?yàn)楣I(yè)信息安全標(biāo)準(zhǔn)化。
參考文獻(xiàn):
[1] 王建偉. 夯實(shí)工控安全防護(hù)基礎(chǔ), 助力制造業(yè)高質(zhì)量發(fā)展[J]. 中國(guó)信息化, 2019 (11) : 5 - 6.
[2] 王斯梁, 尹一樺. 工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)研究[J]. 通信技術(shù), 2014, 47 (002) : 205 - 209.
摘自《自動(dòng)化博覽》2021年7月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)