久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

關(guān)鍵詞：工業(yè)控制系統(tǒng)；成熟度模型；信息安全

1　引言

隨著信息技術(shù)的快速發(fā)展，工業(yè)控制系統(tǒng)面臨著越來越多的信息安全威脅，保護工控系統(tǒng)免受惡意攻擊和未授權(quán)訪問的影響變得越來越關(guān)鍵。因此，工業(yè)控制系統(tǒng)信息安全防護的重要性日益凸顯，提高工業(yè)控制系統(tǒng)的信息安全防護能力變得至關(guān)重要。為提升企業(yè)工業(yè)控制系統(tǒng)信息安全領(lǐng)域綜合防護能力，并貫徹落實《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》有關(guān)要求，中國電子技術(shù)標準化研究院聯(lián)合“產(chǎn)學(xué)研用測”41家單位通過對現(xiàn)有的信息安全技術(shù)和工業(yè)控制系統(tǒng)的特點進行綜合考量，歷時多年共同研制發(fā)布了《成熟度模型》國家標準。

《成熟度模型》標準從機構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力4個方面對企業(yè)所處的防護水平進行了指標評價，為企業(yè)評估和提升工業(yè)控制系統(tǒng)信息安全防護能力提供了科學(xué)的依據(jù)和方法，對企業(yè)工業(yè)控制系統(tǒng)信息安全建設(shè)極具參考價值。

2　標準綜述

《成熟度模型》給出了工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型，規(guī)定了核心保護對象安全和通用安全的成熟度等級要求，提出了能力成熟度等級核驗方法，適用于工業(yè)控制系統(tǒng)設(shè)計、建設(shè)、運維等相關(guān)方進行工業(yè)控制系統(tǒng)信息安全防護能力建設(shè)，以及對企業(yè)工業(yè)控制系統(tǒng)信息安全防護能力成熟度等級進行核驗。

該成熟度模型是對企業(yè)的能力成熟度進行度量的一個模型，為企業(yè)衡量其當前的實踐、流程、方法的能力水平提供了參考基準。該模型包括安全能力要素、能力成熟度等級和能力建設(shè)過程三個維度，如圖1所示。

圖1 成熟度模型架構(gòu)

（1）安全能力要素

安全能力要素從機構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力四個方面對企業(yè)工業(yè)控制系統(tǒng)信息安全防護過程應(yīng)具備的安全能力進行了量化，是客觀評價企業(yè)工控安全防護能力的主要評價指標。

機構(gòu)建設(shè)是確保工業(yè)控制系統(tǒng)信息安全的基礎(chǔ)，它涉及到信息安全機構(gòu)的設(shè)立、職責分配、溝通協(xié)作等多個方面。通過明確組織結(jié)構(gòu)和職責分配，企業(yè)可以更好地實施信息安全策略，應(yīng)對各種信息安全威脅和挑戰(zhàn)。

制度流程的核心作用是保障企業(yè)構(gòu)建并維持一套健全、系統(tǒng)的安全管理體系及操作流程，以此規(guī)范企業(yè)人員的安全操作行為，保證信息安全措施得以切實執(zhí)行，并促進持續(xù)優(yōu)化以適應(yīng)不斷演進的安全挑戰(zhàn)。

技術(shù)工具的主要作用是通過有效的技術(shù)手段和產(chǎn)品工具來落實安全要求，保護工業(yè)控制系統(tǒng)免受各種安全威脅，旨在提高系統(tǒng)的安全性、可靠性和韌性，確保工業(yè)控制系統(tǒng)的正常運行和生產(chǎn)安全。

人員能力的主要作用是確保企業(yè)具備足夠的專業(yè)技能和知識，以便有效執(zhí)行信息安全防護工作，并持續(xù)提升人員的安全防護水平。

（2）能力成熟度等級

能力成熟度等級根據(jù)安全能力要素所處能力水平，自低向高將企業(yè)工控安全防護能力定義為基礎(chǔ)建設(shè)級、規(guī)范防護級、集成管控級、綜合協(xié)同級、智能優(yōu)化級5個不同級別。能力成熟度等級的劃分可以更加精確地評估企業(yè)在信息安全防護方面的能力和水平。通過劃分等級，可以為企業(yè)提供明確的安全防護目標和方向，指導(dǎo)其逐步提升安全防護能力。

（3）能力建設(shè)過程

能力建設(shè)過程對核心保護對象和通用保護對象共計10個過程類提出了相應(yīng)的安全防護要求，為工業(yè)控制系統(tǒng)信息安全防護提供了一套系統(tǒng)化、分層次的實施框架，以指導(dǎo)和評估工業(yè)企業(yè)在信息安全防護方面的能力建設(shè)，確保工業(yè)控制系統(tǒng)的信息安全防護能力得到全面提升和持續(xù)優(yōu)化。

3　基于成熟度模型架構(gòu)的防護建設(shè)淺析

3.1　能力成熟度模型等級分析

工業(yè)控制系統(tǒng)信息安全防護能力建設(shè)過程維度共包含10個過程類、40個過程域，共計365個基本實踐。其中10個過程類分別從核心保護對象和通用安全進行了劃分。具體過程類與過程域的內(nèi)容可參考圖2所示。

圖2 成熟度模型過程類與過程域

依據(jù)對這10個過程類在安全能力要素維度的基本實踐要求，下文分別對各成熟等級的安全防護要求進行了分析。

（1）能力成熟度等級1—基礎(chǔ)建設(shè)級

該等級主要基于企業(yè)的特定業(yè)務(wù)場景和知識經(jīng)驗水平，在現(xiàn)有的工控安全防護的技術(shù)基礎(chǔ)和條件上，開展工業(yè)控制系統(tǒng)信息安全防護能力建設(shè)，如表1所示。

表1 基礎(chǔ)建設(shè)級要求解析

該等級建設(shè)還未形成規(guī)范化、流程化的工作方式，相關(guān)工作多依賴信息安全人員主觀經(jīng)驗，建設(shè)過程對于文檔形式記錄也未要求，無法對安全建設(shè)工作進行再復(fù)制。

（2）能力成熟度等級2—規(guī)范防護級

該等級的企業(yè)可以建立并記錄工控安全防護能力建設(shè)工作，可以涵蓋工業(yè)控制設(shè)備、工業(yè)主機、工業(yè)網(wǎng)絡(luò)和工業(yè)數(shù)據(jù)等關(guān)鍵領(lǐng)域，并可以使企業(yè)能夠以重復(fù)的方式執(zhí)行。該等級的企業(yè)還可以通過采用數(shù)字化裝備、信息技術(shù)手段等，有針對性地開展安全防護，在各個層面構(gòu)建起獨立且可復(fù)制的安全防護能力，如表2所示。

表2 規(guī)范防護級要求解析

（3）能力成熟度等級3—集成管控級

該等級的企業(yè)在已實施的規(guī)范防護措施基礎(chǔ)上，進一步利用集成化工具與系統(tǒng)，對工業(yè)控制系統(tǒng)中的設(shè)備、主機、系統(tǒng)、網(wǎng)絡(luò)及數(shù)據(jù)等實施集中統(tǒng)一的管控。同時，該等級的企業(yè)整合并優(yōu)化相關(guān)防護規(guī)章制度，構(gòu)建體系化的管理制度，以增強企業(yè)內(nèi)部工控安全在集中管理和統(tǒng)一控制方面的能力，如表3所示。該等級與規(guī)范防護級的主要區(qū)別在于其使用集成化工具來策劃和管理工業(yè)控制系統(tǒng)信息安全，提高了工作效率和防護能力。

表3 集成管控級要求解析

（4）能力成熟度等級4—綜合協(xié)同級

該等級的企業(yè)在面對不同產(chǎn)線、廠區(qū)、工廠以及產(chǎn)業(yè)鏈上下游相關(guān)單位時，可以綜合考量安全風險需求，開展安全防護建設(shè)工作，并可以建立一個多層次、協(xié)同工作的安全管理架構(gòu)，利用態(tài)勢感知、集中管理等技術(shù)，實現(xiàn)對安全威脅的快速響應(yīng)和有效防御，達成綜合決策、協(xié)調(diào)防護的安全能力，如表4所示。該等級與集成管控級的主要區(qū)別在于其強化了執(zhí)行過程的綜合決策和協(xié)調(diào)防護要求。

表4 綜合協(xié)同級要求解析

（5）能力成熟度等級5—智能優(yōu)化級

該等級的企業(yè)可運用人工智能、主動防御、內(nèi)生安全等先進技術(shù)，使其與已有的安全防護設(shè)備、系統(tǒng)、制度體系深度融合，從而構(gòu)建能夠智能化演進的安全防護系統(tǒng)，打造自我進化、自我優(yōu)化的安全防護體系，如表5所示。與綜合協(xié)同級的主要區(qū)別在于其執(zhí)行過程的智能優(yōu)化和演進能力，能夠?qū)崿F(xiàn)自動優(yōu)化和適應(yīng)性改進。

表5 智能優(yōu)化級要求解析

基于對工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型五個等級要求的深入分析，本文提出了從機構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力四個關(guān)鍵安全要素出發(fā)的能力建設(shè)思路。借助這四個安全要素的能力建設(shè)，推動工業(yè)企業(yè)整體工控安全防護能力逐步提升。

3.2　防護能力建設(shè)思路

（1）機構(gòu)建設(shè)

建立一個健全、務(wù)實、有效、統(tǒng)一指揮、統(tǒng)一步調(diào)的完善的安全管理機構(gòu)，明確機構(gòu)成員的安全職責，是安全管理得以實施、推廣的基礎(chǔ)。

企業(yè)應(yīng)設(shè)置專門的工業(yè)控制系統(tǒng)安全管理機構(gòu)，成立由企業(yè)負責人牽頭，信息化、生產(chǎn)管理、設(shè)備管理等相關(guān)部門組成的信息安全協(xié)調(diào)小組。各相關(guān)部門在信息安全協(xié)調(diào)小組的指導(dǎo)下，按照管理機制，明確工控安全管理責任人，落實工控安全責任制，部署工控安全防護措施。通過管理機制，企業(yè)實現(xiàn)對工業(yè)控制系統(tǒng)信息安全防護人員的角色及其職責分配，并建立有效的工作考核機制。

（2）安全管理制度

網(wǎng)絡(luò)安全管理制度是開展工業(yè)控制系統(tǒng)安全建設(shè)、運行、運維以及安全管理工作必須遵從的管理辦法、規(guī)范、細則；網(wǎng)絡(luò)安全管理制度體系文件可以采取多級模式，構(gòu)建層次清晰、功能相對獨立的管理制度體系，便于企業(yè)參照并開展制度體系建設(shè)。具體管理制度體系可參考圖3所示。

圖3 多級模式管理制度體系

（3）技術(shù)工具

圖4 工業(yè)控制系統(tǒng)信息安全防護技術(shù)框架

根據(jù)《成熟度模型》中10個過程類中的5個成熟度等級的技術(shù)工具部分的要求，本文構(gòu)建了一個全面的工業(yè)控制系統(tǒng)信息安全防護技術(shù)框架，如圖4所示。該框架詳細闡述了為滿足技術(shù)工具要求所需采取的關(guān)鍵技術(shù)措施，并推薦了相應(yīng)的安全產(chǎn)品和服務(wù)。企業(yè)可參照此框架，結(jié)合自身評估的成熟度等級，選擇適宜的技術(shù)措施和推薦的安全產(chǎn)品及服務(wù)，以確保符合國家標準的成熟度等級要求，實現(xiàn)信息安全的系統(tǒng)化管理和防護。

（4）人員能力

企業(yè)可以通過對相關(guān)技術(shù)人員進行相應(yīng)的培訓(xùn)或者組織相關(guān)人員通過考取相關(guān)的防護資質(zhì)，來達到人員能力的提升。通過人員能力的提升，可以使企業(yè)的相關(guān)人員具備工業(yè)控制系統(tǒng)信息安全防護資質(zhì)和工程實踐經(jīng)驗，充分理解企業(yè)在工業(yè)控制系統(tǒng)信息安全防護過程中面臨的安全風險，具備風險控制和改進方案的能力。

4　企業(yè)應(yīng)用成熟度模型步驟

基于上文對成熟度模型架構(gòu)及其防護建設(shè)深度的分析，企業(yè)可以依據(jù)自身的成熟度等級，有效運用該成熟度模型來加強工業(yè)控制系統(tǒng)的信息安全防護能力。實際的應(yīng)用流程如圖5所示，為企業(yè)提供了分步驟實施的具體指導(dǎo)。

圖5 成熟度模型使用步驟

（1）選擇適合的成熟度等級

在使用成熟度模型時，企業(yè)首先需要根據(jù)工業(yè)控制系統(tǒng)信息安全防護能力成熟度等級的定義，并結(jié)合業(yè)務(wù)實際情況，通過自我評估自身的工業(yè)控制系統(tǒng)信息安全防護能力，可以從機構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力等方面進行自我評估。企業(yè)根據(jù)自我評估結(jié)果選擇擬達到的工業(yè)控制系統(tǒng)信息安全防護能力成熟度等級。

（2）選擇適用的安全域

在確定擬達到的能力成熟度等級后，企業(yè)根據(jù)工業(yè)控制系統(tǒng)核心保護對象所覆蓋的業(yè)務(wù)場景防護要求，選取適用于自身的工業(yè)控制系統(tǒng)信息安全防護過程域。對于不適用于企業(yè)目前的業(yè)務(wù)場景防護要求，可以直接將其刪除，無需進行相應(yīng)等級核驗。

（3）進行成熟度等級核驗

企業(yè)基于對能力成熟度模型各過程域內(nèi)容的理解，進行成熟度等級核驗，看等級評估是否準確。

（4）識別與核驗等級的差距

根據(jù)選擇的安全域的安全要求與自身的安全現(xiàn)狀對比，企業(yè)識別工業(yè)控制系統(tǒng)信息安全防護能力現(xiàn)狀并分析與核驗等級之間的差異，根據(jù)識別的結(jié)果，確定要改進的具體目標和內(nèi)容。

（5）制定防護能力提升計劃

在識別的基礎(chǔ)上，企業(yè)制定工業(yè)控制系統(tǒng)信息安全防護能力提升的具體的行動計劃，通過依據(jù)行動計劃逐步實施改進措施，并定期進行復(fù)審，以確保安全措施得到有效執(zhí)行，并根據(jù)最新的安全威脅和技術(shù)發(fā)展進行相應(yīng)的措施調(diào)整。

伴隨著企業(yè)業(yè)務(wù)的發(fā)展變化，企業(yè)可定期復(fù)核、明確適合的能力成熟度等級，按照成熟度模型使用步驟，重新進行等級確定、安全過程域選擇等，逐步提升其工業(yè)控制系統(tǒng)信息安全防護能力。至此，從識別目標成熟度等級開始，到最終的實施和復(fù)核，構(gòu)成了一個全面的循環(huán)體系。通過這個“5步法”的閉環(huán)流程確保了企業(yè)能夠有條不紊地增強其工業(yè)控制系統(tǒng)的信息安全防護能力，以使企業(yè)持續(xù)改進及不斷適應(yīng)新的安全挑戰(zhàn)。

5　結(jié)語

《成熟度模型》為企業(yè)的工業(yè)控制系統(tǒng)信息安全建設(shè)提供了全面、系統(tǒng)的指導(dǎo)框架。通過遵循國家標準，結(jié)合企業(yè)實際情況，企業(yè)可以構(gòu)建起一套科學(xué)、有效的信息安全防護體系，從而保障工業(yè)控制系統(tǒng)的安全穩(wěn)定運行。本文通過對成熟度模型框架各等級要求進行深入研究和分析，并在此基礎(chǔ)上從安全能力要素的維度提出了企業(yè)工業(yè)控制系統(tǒng)安全防護建設(shè)思路，為企業(yè)在網(wǎng)絡(luò)安全體系建設(shè)方面提供了一定參考。

作者簡介

張　蕓（1986-）女，河北邯鄲人，碩士，現(xiàn)就職于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司，主要從事工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)安全方面的研究。

參考文獻：

[1] NIST. SP 800-53 Rev.5. Security and privacy controls for information systems and organizations[EB/OL]. (2021-08-01).

[2] NIST. SP 800-82 Rev.2. Guide to industrial control systems (ICS) security[EB/OL]. (2021-08-15).

[3] Cybersecurity and infrastructure security agency. Shifing the balance of cyber-security risk: principles and approaches for security by design and default[R].

2023.

[4] 朱琳, 陸明. 信息系統(tǒng)建設(shè)者視角下生命周期安全管理研究[J]. 信息安全研究, 2020, 6 (12) : 1139 - 1144.

[5] 姚相振, 趙梓桐, 周?？? 等. 《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》國家標準解讀[J]. 國家標準解讀信息安全報, 2020: 48 - 52.

摘自《自動化博覽》2025年1月刊