今日頭條
官方微信
官方抖音
案例頻道關鍵詞:工業控制系統;成熟度模型;信息安全
1 引言
隨著信息技術的快速發展,工業控制系統面臨著越來越多的信息安全威脅,保護工控系統免受惡意攻擊和未授權訪問的影響變得越來越關鍵。因此,工業控制系統信息安全防護的重要性日益凸顯,提高工業控制系統的信息安全防護能力變得至關重要。為提升企業工業控制系統信息安全領域綜合防護能力,并貫徹落實《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》有關要求,中國電子技術標準化研究院聯合“產學研用測”41家單位通過對現有的信息安全技術和工業控制系統的特點進行綜合考量,歷時多年共同研制發布了《成熟度模型》國家標準。
《成熟度模型》標準從機構建設、制度流程、技術工具和人員能力4個方面對企業所處的防護水平進行了指標評價,為企業評估和提升工業控制系統信息安全防護能力提供了科學的依據和方法,對企業工業控制系統信息安全建設極具參考價值。
2 標準綜述
《成熟度模型》給出了工業控制系統信息安全防護能力成熟度模型,規定了核心保護對象安全和通用安全的成熟度等級要求,提出了能力成熟度等級核驗方法,適用于工業控制系統設計、建設、運維等相關方進行工業控制系統信息安全防護能力建設,以及對企業工業控制系統信息安全防護能力成熟度等級進行核驗。
該成熟度模型是對企業的能力成熟度進行度量的一個模型,為企業衡量其當前的實踐、流程、方法的能力水平提供了參考基準。該模型包括安全能力要素、能力成熟度等級和能力建設過程三個維度,如圖1所示。
圖1 成熟度模型架構
(1)安全能力要素
安全能力要素從機構建設、制度流程、技術工具和人員能力四個方面對企業工業控制系統信息安全防護過程應具備的安全能力進行了量化,是客觀評價企業工控安全防護能力的主要評價指標。
機構建設是確保工業控制系統信息安全的基礎,它涉及到信息安全機構的設立、職責分配、溝通協作等多個方面。通過明確組織結構和職責分配,企業可以更好地實施信息安全策略,應對各種信息安全威脅和挑戰。
制度流程的核心作用是保障企業構建并維持一套健全、系統的安全管理體系及操作流程,以此規范企業人員的安全操作行為,保證信息安全措施得以切實執行,并促進持續優化以適應不斷演進的安全挑戰。
技術工具的主要作用是通過有效的技術手段和產品工具來落實安全要求,保護工業控制系統免受各種安全威脅,旨在提高系統的安全性、可靠性和韌性,確保工業控制系統的正常運行和生產安全。
人員能力的主要作用是確保企業具備足夠的專業技能和知識,以便有效執行信息安全防護工作,并持續提升人員的安全防護水平。
(2)能力成熟度等級
能力成熟度等級根據安全能力要素所處能力水平,自低向高將企業工控安全防護能力定義為基礎建設級、規范防護級、集成管控級、綜合協同級、智能優化級5個不同級別。能力成熟度等級的劃分可以更加精確地評估企業在信息安全防護方面的能力和水平。通過劃分等級,可以為企業提供明確的安全防護目標和方向,指導其逐步提升安全防護能力。
(3)能力建設過程
能力建設過程對核心保護對象和通用保護對象共計10個過程類提出了相應的安全防護要求,為工業控制系統信息安全防護提供了一套系統化、分層次的實施框架,以指導和評估工業企業在信息安全防護方面的能力建設,確保工業控制系統的信息安全防護能力得到全面提升和持續優化。
3 基于成熟度模型架構的防護建設淺析
3.1 能力成熟度模型等級分析
工業控制系統信息安全防護能力建設過程維度共包含10個過程類、40個過程域,共計365個基本實踐。其中10個過程類分別從核心保護對象和通用安全進行了劃分。具體過程類與過程域的內容可參考圖2所示。
圖2 成熟度模型過程類與過程域
依據對這10個過程類在安全能力要素維度的基本實踐要求,下文分別對各成熟等級的安全防護要求進行了分析。
(1)能力成熟度等級1—基礎建設級
該等級主要基于企業的特定業務場景和知識經驗水平,在現有的工控安全防護的技術基礎和條件上,開展工業控制系統信息安全防護能力建設,如表1所示。
表1 基礎建設級要求解析
該等級建設還未形成規范化、流程化的工作方式,相關工作多依賴信息安全人員主觀經驗,建設過程對于文檔形式記錄也未要求,無法對安全建設工作進行再復制。
(2)能力成熟度等級2—規范防護級
該等級的企業可以建立并記錄工控安全防護能力建設工作,可以涵蓋工業控制設備、工業主機、工業網絡和工業數據等關鍵領域,并可以使企業能夠以重復的方式執行。該等級的企業還可以通過采用數字化裝備、信息技術手段等,有針對性地開展安全防護,在各個層面構建起獨立且可復制的安全防護能力,如表2所示。
表2 規范防護級要求解析
(3)能力成熟度等級3—集成管控級
該等級的企業在已實施的規范防護措施基礎上,進一步利用集成化工具與系統,對工業控制系統中的設備、主機、系統、網絡及數據等實施集中統一的管控。同時,該等級的企業整合并優化相關防護規章制度,構建體系化的管理制度,以增強企業內部工控安全在集中管理和統一控制方面的能力,如表3所示。該等級與規范防護級的主要區別在于其使用集成化工具來策劃和管理工業控制系統信息安全,提高了工作效率和防護能力。
表3 集成管控級要求解析
(4)能力成熟度等級4—綜合協同級
該等級的企業在面對不同產線、廠區、工廠以及產業鏈上下游相關單位時,可以綜合考量安全風險需求,開展安全防護建設工作,并可以建立一個多層次、協同工作的安全管理架構,利用態勢感知、集中管理等技術,實現對安全威脅的快速響應和有效防御,達成綜合決策、協調防護的安全能力,如表4所示。該等級與集成管控級的主要區別在于其強化了執行過程的綜合決策和協調防護要求。
表4 綜合協同級要求解析
(5)能力成熟度等級5—智能優化級
該等級的企業可運用人工智能、主動防御、內生安全等先進技術,使其與已有的安全防護設備、系統、制度體系深度融合,從而構建能夠智能化演進的安全防護系統,打造自我進化、自我優化的安全防護體系,如表5所示。與綜合協同級的主要區別在于其執行過程的智能優化和演進能力,能夠實現自動優化和適應性改進。
表5 智能優化級要求解析
基于對工業控制系統信息安全防護能力成熟度模型五個等級要求的深入分析,本文提出了從機構建設、制度流程、技術工具和人員能力四個關鍵安全要素出發的能力建設思路。借助這四個安全要素的能力建設,推動工業企業整體工控安全防護能力逐步提升。
3.2 防護能力建設思路
(1)機構建設
建立一個健全、務實、有效、統一指揮、統一步調的完善的安全管理機構,明確機構成員的安全職責,是安全管理得以實施、推廣的基礎。
企業應設置專門的工業控制系統安全管理機構,成立由企業負責人牽頭,信息化、生產管理、設備管理等相關部門組成的信息安全協調小組。各相關部門在信息安全協調小組的指導下,按照管理機制,明確工控安全管理責任人,落實工控安全責任制,部署工控安全防護措施。通過管理機制,企業實現對工業控制系統信息安全防護人員的角色及其職責分配,并建立有效的工作考核機制。
(2)安全管理制度
網絡安全管理制度是開展工業控制系統安全建設、運行、運維以及安全管理工作必須遵從的管理辦法、規范、細則;網絡安全管理制度體系文件可以采取多級模式,構建層次清晰、功能相對獨立的管理制度體系,便于企業參照并開展制度體系建設。具體管理制度體系可參考圖3所示。
圖3 多級模式管理制度體系
(3)技術工具
圖4 工業控制系統信息安全防護技術框架
根據《成熟度模型》中10個過程類中的5個成熟度等級的技術工具部分的要求,本文構建了一個全面的工業控制系統信息安全防護技術框架,如圖4所示。該框架詳細闡述了為滿足技術工具要求所需采取的關鍵技術措施,并推薦了相應的安全產品和服務。企業可參照此框架,結合自身評估的成熟度等級,選擇適宜的技術措施和推薦的安全產品及服務,以確保符合國家標準的成熟度等級要求,實現信息安全的系統化管理和防護。
(4)人員能力
企業可以通過對相關技術人員進行相應的培訓或者組織相關人員通過考取相關的防護資質,來達到人員能力的提升。通過人員能力的提升,可以使企業的相關人員具備工業控制系統信息安全防護資質和工程實踐經驗,充分理解企業在工業控制系統信息安全防護過程中面臨的安全風險,具備風險控制和改進方案的能力。
4 企業應用成熟度模型步驟
基于上文對成熟度模型架構及其防護建設深度的分析,企業可以依據自身的成熟度等級,有效運用該成熟度模型來加強工業控制系統的信息安全防護能力。實際的應用流程如圖5所示,為企業提供了分步驟實施的具體指導。
圖5 成熟度模型使用步驟
(1)選擇適合的成熟度等級
在使用成熟度模型時,企業首先需要根據工業控制系統信息安全防護能力成熟度等級的定義,并結合業務實際情況,通過自我評估自身的工業控制系統信息安全防護能力,可以從機構建設、制度流程、技術工具和人員能力等方面進行自我評估。企業根據自我評估結果選擇擬達到的工業控制系統信息安全防護能力成熟度等級。
(2)選擇適用的安全域
在確定擬達到的能力成熟度等級后,企業根據工業控制系統核心保護對象所覆蓋的業務場景防護要求,選取適用于自身的工業控制系統信息安全防護過程域。對于不適用于企業目前的業務場景防護要求,可以直接將其刪除,無需進行相應等級核驗。
(3)進行成熟度等級核驗
企業基于對能力成熟度模型各過程域內容的理解,進行成熟度等級核驗,看等級評估是否準確。
(4)識別與核驗等級的差距
根據選擇的安全域的安全要求與自身的安全現狀對比,企業識別工業控制系統信息安全防護能力現狀并分析與核驗等級之間的差異,根據識別的結果,確定要改進的具體目標和內容。
(5)制定防護能力提升計劃
在識別的基礎上,企業制定工業控制系統信息安全防護能力提升的具體的行動計劃,通過依據行動計劃逐步實施改進措施,并定期進行復審,以確保安全措施得到有效執行,并根據最新的安全威脅和技術發展進行相應的措施調整。
伴隨著企業業務的發展變化,企業可定期復核、明確適合的能力成熟度等級,按照成熟度模型使用步驟,重新進行等級確定、安全過程域選擇等,逐步提升其工業控制系統信息安全防護能力。至此,從識別目標成熟度等級開始,到最終的實施和復核,構成了一個全面的循環體系。通過這個“5步法”的閉環流程確保了企業能夠有條不紊地增強其工業控制系統的信息安全防護能力,以使企業持續改進及不斷適應新的安全挑戰。
5 結語
《成熟度模型》為企業的工業控制系統信息安全建設提供了全面、系統的指導框架。通過遵循國家標準,結合企業實際情況,企業可以構建起一套科學、有效的信息安全防護體系,從而保障工業控制系統的安全穩定運行。本文通過對成熟度模型框架各等級要求進行深入研究和分析,并在此基礎上從安全能力要素的維度提出了企業工業控制系統安全防護建設思路,為企業在網絡安全體系建設方面提供了一定參考。
作者簡介
張 蕓(1986-)女,河北邯鄲人,碩士,現就職于北京天融信網絡安全技術有限公司,主要從事工業控制系統安全、工業互聯網安全方面的研究。
參考文獻:
[1] NIST. SP 800-53 Rev.5. Security and privacy controls for information systems and organizations[EB/OL]. (2021-08-01).
[2] NIST. SP 800-82 Rev.2. Guide to industrial control systems (ICS) security[EB/OL]. (2021-08-15).
[3] Cybersecurity and infrastructure security agency. Shifing the balance of cyber-security risk: principles and approaches for security by design and default[R].
2023.
[4] 朱琳, 陸明. 信息系統建設者視角下生命周期安全管理研究[J]. 信息安全研究, 2020, 6 (12) : 1139 - 1144.
[5] 姚相振, 趙梓桐, 周睿康, 等. 《信息安全技術工業控制系統信息安全防護能力成熟度模型》國家標準解讀[J]. 國家標準解讀信息安全報, 2020: 48 - 52.
摘自《自動化博覽》2025年1月刊
北京市公安局海淀分局備案號:11010802023656號