今日頭條
官方微信
官方抖音
資訊頻道1 引言
制造業(yè)是立國之本、強國之基,是實體經(jīng)濟的核心構(gòu)成。工業(yè)控制系統(tǒng)作為制造業(yè)的“神經(jīng)中樞”,其安全防護事關(guān)工業(yè)生產(chǎn)穩(wěn)定運行,事關(guān)人民生命財產(chǎn)安全。近年來,針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊呈現(xiàn)出顯著的政治、軍事和經(jīng)濟意圖,工業(yè)控制系統(tǒng)逐漸成為網(wǎng)絡(luò)空間對抗的主戰(zhàn)場[1]。
為切實提升工業(yè)控制系統(tǒng)信息安全(以下簡稱:工控安全)防護能力,工業(yè)和信息化部陸續(xù)發(fā)布《工業(yè)控制系統(tǒng)信息安全防護指南》(工信軟函〔2016〕338號)、《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》(工信軟函〔2018〕188號)等系列政策文件,為建立工控安全防護體系指明方向。中國電子技術(shù)標準化研究院以標準為抓手,推進《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》(報批稿)、《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全管理基本要求》(GB/T 36323-2018)等工控安全國家標準的研制發(fā)布,為工控安全防護提出相關(guān)要求。
2 工控安全防護能力貫標簡介
2021年1月,中電標協(xié)工控安全推進分會(以下簡稱:ICSP)成立,其是由測評機構(gòu)、工業(yè)企業(yè)、安全企業(yè)等組成的全國性、行業(yè)性、非營利性社會組織,旨在研究工控安全防護關(guān)鍵技術(shù),開展工控安全防護能力貫標,提升全行業(yè)工控安全防護能力水平。
2.1 工控安全防護能力貫標模型
工控安全防護能力貫標模型包括能力成熟度等級、安全能力要素和能力建設(shè)過程,如圖1所示。
圖1 工控安全防護能力貫標內(nèi)容
護能力成熟度等級劃分為五級,具體包括:1級是基礎(chǔ)建設(shè)級,包括45項安全要求;2級是規(guī)范防護級,包括167項安全要求;3級是集成管控級,包括259項安全要求;4級是綜合協(xié)同級,包括320項安全要求;5級是智能優(yōu)化級,包括365項安全要求。
工控安全防護能力要素包括機構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力。
工控安全防護能力建設(shè)過程由核心保護對象安全和通用安全兩部分組成。核心保護對象安全包含工業(yè)設(shè)備安全、工業(yè)主機安全、工業(yè)網(wǎng)絡(luò)邊界安全、工業(yè)控制軟件安全和工業(yè)數(shù)據(jù)安全,通用安全包含安全規(guī)劃與機構(gòu)、人員管理與培訓(xùn)、物理與環(huán)境安全、監(jiān)測預(yù)警與應(yīng)急響應(yīng)和供應(yīng)鏈安全保障。
2.2 工控安全防護能力貫標流程
工控安全防護能力貫標分為啟動、宣貫、設(shè)計、實施、核驗和發(fā)證6個階段,如圖2所示。在啟動階段,成立貫標工作組,制定貫標工作方案。在宣貫階段,開展核心標準培訓(xùn),工業(yè)企業(yè)實施自對標、自診斷和自評估。在設(shè)計階段,依據(jù)自評估結(jié)果,為工業(yè)企業(yè)設(shè)計工控安全防護能力提升方案。在實施階段,選取最優(yōu)技術(shù)路線,組織實施安全防護提升方案。在核驗階段,工業(yè)企業(yè)選取核驗機構(gòu),開展貫標核驗。在發(fā)證階段,針對貫標結(jié)果開展合規(guī)性審核,為核驗通過的工業(yè)企業(yè)頒發(fā)證書。
圖2 工控安全防護能力貫標階段
2.3 工控安全防護能力貫標公共服務(wù)平臺
工控安全防護能力貫標公共服務(wù)平臺是ICSP開展企業(yè)貫標過程中,公開發(fā)布標準規(guī)范、核驗人員、核驗結(jié)果等信息的唯一平臺,為貫標提供全流程支撐,保證貫標順利開展,規(guī)范貫標工作流程,確保貫標過程和結(jié)果可溯源、可核查,如圖3所示。
圖3 工控安全防護能力貫標公共服務(wù)平臺
3 工控安全防護能力貫標要點
3.1 增強企業(yè)員工安全意識
目前,我國工業(yè)企業(yè)信息化部門員工普遍重視工控安全防護工作,但仍有較多非信息化部門員工的安全意識不足。工控安全防護能力建設(shè)是每位員工的責(zé)任,提升自身工控安全防護意識是每位員工的義務(wù)。保障工控安全,既是保護工業(yè)企業(yè),也是保護員工自身。
貫標案例:在自對標和核驗過程中發(fā)現(xiàn),部分企業(yè)在具有較完善工控安全防護規(guī)章制度的情況下,仍存在使用工業(yè)主機外設(shè)接口為個人電子設(shè)備充電、工業(yè)控制系統(tǒng)登錄密碼違規(guī)存放、工業(yè)主機連接互聯(lián)網(wǎng)等問題。
案例分析:違規(guī)使用工業(yè)主機外設(shè)接口將為病毒、木馬、蠕蟲等惡意軟件的入侵提供便利條件,也會導(dǎo)致重要工業(yè)數(shù)據(jù)的丟失。違規(guī)存放登錄密碼會使工業(yè)控制設(shè)備、軟件的“大門”向黑客等非法人員敞開。工業(yè)主機與互聯(lián)網(wǎng)相連將導(dǎo)致工業(yè)控制系統(tǒng)直接暴露于外網(wǎng),被“攻擊”風(fēng)險大幅增加。千里之堤潰于蟻穴,只有每一位員工都樹立信息安全觀念、增強信息安全意識,企業(yè)才能構(gòu)建起堅固的安全城墻。
根據(jù)工控安全防護能力貫標模型中人員管理與培訓(xùn)的相關(guān)要求,工業(yè)企業(yè)需建立工業(yè)信息安全教育培訓(xùn)制度,定期開展教育培訓(xùn)活動,提升員工的工控安全風(fēng)險識別能力,使員工能夠識別工業(yè)控制系統(tǒng)存在的異常行為。
3.2 提高企業(yè)安全管理手段
現(xiàn)階段,我國工業(yè)企業(yè)普遍認識到工控安全防護工作的重要性,但部分企業(yè)對政策和標準的落實仍不到位,工控安全管理制度不夠完善。
貫標案例:在自對標和核驗過程中發(fā)現(xiàn),某工業(yè)企業(yè)制定了工控安全管理制度,設(shè)立了工控安全管理崗位,并積極實施安全防護策略,將工業(yè)控制網(wǎng)絡(luò)置于“防護罩”內(nèi)。核驗人員對該企業(yè)工業(yè)控制網(wǎng)絡(luò)發(fā)起模擬攻擊,經(jīng)多輪次測試,發(fā)現(xiàn)“防護罩”存在明顯薄弱區(qū)域,突破后即可進入企業(yè)內(nèi)網(wǎng)和工業(yè)控制網(wǎng)絡(luò)。按照攻擊路徑溯源,顯示有一套新部署的工業(yè)控制系統(tǒng)位于“防護罩”之外,原因是企業(yè)的設(shè)備部門部署該系統(tǒng)時未與工控安全管理部門對接,導(dǎo)致已建立的工控安全防護體系被破壞。
案例分析:工業(yè)企業(yè)為工控安全防護投入了相應(yīng)的成本和精力,但由于管理制度存在缺陷,工控安全管理部門與其他部門聯(lián)動不足,導(dǎo)致企業(yè)工控安全防護仍存在嚴重隱患。在未與工控安全管理部門溝通的情況下,企業(yè)新增的工業(yè)控制設(shè)備引起網(wǎng)絡(luò)結(jié)構(gòu)的變化,造成工控安全防護措施的失效。制定和執(zhí)行全面、完善的工控安全管理制度是工控安全防護體系的重要組成部分。
根據(jù)工控安全防護能力貫標模型中安全規(guī)劃與架構(gòu)、物理環(huán)境與安全、供應(yīng)鏈安全保障等的相關(guān)要求,工業(yè)企業(yè)需建立工控安全管理機制,成立由企業(yè)負責(zé)人牽頭,信息化、生產(chǎn)管理、設(shè)備管理等相關(guān)部門組成的信息安全協(xié)調(diào)小組,統(tǒng)籌協(xié)調(diào)工控安全相關(guān)工作[2]。
3.3 強化工控安全防護技術(shù)
當(dāng)前,國內(nèi)多數(shù)工業(yè)企業(yè)均已構(gòu)建不同水平的工控安全防護技術(shù)體系,通過劃分網(wǎng)絡(luò)隔離區(qū)域、安裝安全防護設(shè)備等方式保護自身核心控制設(shè)備。
貫標案例:在自對標和核驗過程中,通過滲透測試等模擬攻擊手段發(fā)現(xiàn)部分工業(yè)企業(yè)存在以下情況:企業(yè)已在工業(yè)控制網(wǎng)絡(luò)邊界部署工業(yè)防火墻,管理員表示已配置完整安全策略,經(jīng)測試,實際配置未滿足安全要求;少量應(yīng)封閉的工業(yè)主機端口,管理員表示已封閉處理,經(jīng)測試,實際未封閉;企業(yè)表示,工業(yè)控制網(wǎng)絡(luò)與其它網(wǎng)絡(luò)區(qū)域是物理隔離,經(jīng)測試,工業(yè)控制網(wǎng)絡(luò)與其它網(wǎng)絡(luò)存在部分連接問題等。
案例分析:核驗人員赴工業(yè)企業(yè)現(xiàn)場,通過文檔查閱、人員訪談、現(xiàn)場核查和滲透測試等方式協(xié)助企業(yè)發(fā)現(xiàn)諸多安全風(fēng)險。安全策略配置不完整造成安全防護設(shè)備不能發(fā)揮安全功效,核驗人員可以輕易突破企業(yè)安全防線。工業(yè)主機端口應(yīng)封未封,核驗人員可利用特定端口進行模擬攻擊,通過搶占IP地址欺騙防火墻,從而進入工業(yè)控制網(wǎng)絡(luò),造成極大安全隱患。系統(tǒng)補丁更新不及時,核驗人員可采用SQL注入漏洞,非法獲取系統(tǒng)密碼,從而獲取該企業(yè)工業(yè)控制系統(tǒng)詳細數(shù)據(jù)信息,可能造成嚴重的數(shù)據(jù)泄露。
工控安全防護能力貫標模型中的核心保護對象安全包括針對工業(yè)設(shè)備、工業(yè)主機、工業(yè)網(wǎng)絡(luò)邊界、工業(yè)控制軟件和工業(yè)數(shù)據(jù)等方面的188項技術(shù)要求,指導(dǎo)工業(yè)企業(yè)提升網(wǎng)絡(luò)防御、風(fēng)險管控等能力。
4 結(jié)束語
工業(yè)控制系統(tǒng)信息安全是實施制造強國和網(wǎng)絡(luò)強國戰(zhàn)略的重要基礎(chǔ),是推動制造業(yè)質(zhì)量變革、效率提升的重要支撐。通過工控安全防護貫標,進一步提升工業(yè)企業(yè)安全管理能力,完善綜合技術(shù)防護體系,扎實提升我國工控安全防護整體水平。
作者簡介:
夏 冀(1992-),男,河南駐馬店人,助理工程師,碩士,現(xiàn)就職于中國電子技術(shù)標準化研究院網(wǎng)絡(luò)安全研究中心,主要研究方向為工業(yè)信息安全。
趙梓桐(1992-),男,遼寧大連人,助理工程師,碩士,現(xiàn)就職于中國電子技術(shù)標準化研究院網(wǎng)絡(luò)安全研究中心,主要研究方向為工業(yè)信息安全。
甘俊杰(1993-),男,江西景德鎮(zhèn)人,工程師,碩士,現(xiàn)就職于中國電子技術(shù)標準化研究院網(wǎng)絡(luò)安全研究中心,主要研究方向為工業(yè)信息安全標準化。
參考文獻:
[1] 王建偉. 夯實工控安全防護基礎(chǔ), 助力制造業(yè)高質(zhì)量發(fā)展[J]. 中國信息化, 2019 (11) : 5 - 6.
[2] 王斯梁, 尹一樺. 工業(yè)控制系統(tǒng)安全防護技術(shù)研究[J]. 通信技術(shù), 2014, 47 (002) : 205 - 209.
摘自《自動化博覽》2021年7月刊
北京市公安局海淀分局備案號:11010802023656號