烽台科技 魏欽志
內容概述:隨著新漏洞的不斷出現或攻擊手段的提高, 現有設備及系統的安全防護能力將無法抵禦新的攻擊手段, 因此工業使用者需要進行現場測評和週期性評估, 以適應變化的安全環境, 通過評估結果呈現的風險趨勢, 並根據定制KPI安全指標綜合分析風險, 幫助工業用戶識別、控制、降低或消除安全風險。 本文基於持續“PDCA”的工控安全運維管理是依據國家相關標準、規範和指南要求, 面向企業使用者、針對工控網路與系統, 簡要介紹所開展的全生命週期安全運維管理。 通過循序漸進的評價和改進,
關鍵字:工控安全運維;PDCA;測試評估服務;工控安全風險
1 工控系統應用與安全風險的博弈
工業控制系統面臨的風險, 除了產品本身存在的出廠缺陷、軟體更新速度慢、防護策略缺失等因素外, 核心要素還是因為聯網而引發的不確定性。 但是技術發展的趨勢是不可逆的, 在面臨新技術、新應用、新模式衝擊的同時, 也接受著資訊化、網路化、智慧化所帶給我們的便利, 以及因開放、共用帶來的安全問題。 因此, 工控網路與資訊系統作為網路安全中的關鍵資訊基礎設施,
1.1 兩化融合、智慧製造的大趨勢
兩化融合的提出背景是人類社會經過多年發展, 進入了資訊文明階段。 人類社會文明走過了三個階段, 並與之相對應產生了三種文明形態。
第一是農業階段, 大家從一萬多年前形成了農業文明;第二從十七世紀末開始進入了工業文明, 與之相對應形成了工業文化。 那麼從20世紀50年代開始經過第三次浪潮的描述, 也就是說世界進入了資訊化階段。 在農業階段解決了人類的生存問題, 在工業階段解決了機器代替手工, 快速提高人類生活品質的問題。 在資訊化階段, 通過資訊通信技術實現了社會與經濟的融合,
工業化正經歷世界經濟的第三次革命, 隨著科學與技術革命的發展, 其內涵也在不斷的發生變化。 工業化經歷了三次的工業革命的劇變, 第一次工業革命以1775年, 蒸汽機發明為代表的大機器生產取代手工業生產, 極大提高了生產力。 第二次工業革命, 自然科學開始同技術生產緊密結合起來, 在提高生產力發展方面發揮更為重要的作用。 第三次工業革命, 是自動化技術快速發展提高了生產力, 帶來了全新的研發設計、生產製造和經營管理過程。 在第三次工業革命有這樣一些代表性的事件, 1952年第一台數控機床的出現, 1971年微處理晶片的發明, 80年代初電腦輔助設計的技術在產品設計中的應用。
1.2 資訊產業發展與安全行業監管的兩難境地
傳統資訊安全與工業控制資訊安全區別之一是對業務的整合能力。 傳統資訊安全在不同使用者之間所面臨的系統非常類似, 而工控系統在不同使用者、不同行業的應用方法存在很大差異, 資訊安全管理人員需要從企業生產和業務流程的視角, 理解風險與安全。
作為工業領域的資訊化決策者, 首先要保證的一定是生產運行的即時性、持續性和穩定性, 也就是資訊和網路系統的功能性和可用性。 資訊化決策是由企業最高決策層負責的, 俗稱資訊化工程皆為“一把手”工程,
雖然這些資訊化、智慧化技術提高了生產力並降低了成本, 但它們使關鍵任務系統暴露在新的風險中, 例如工業關鍵業務系統突然停機、上位機誤操作和竊取敏感資訊等, 這些風險直接威脅到工業用戶的業務增長和連續性。 無論是短暫還是長時間的停機, 在工業製造的操作環境中是至關重要的, 並且直接影響公司的收入流, 造成不可估量的損失。 例如, 在汽車行業業務的停機時間成本高達130萬美元每小時。 一旦攻擊者進入連續生產的製造業工控網路, 宕機的風險就會增加。 惡意攻擊者或可能的競爭對手可以關閉生產線, 甚至破壞昂貴的機器,造成重大損失。
可當資訊化系統遇到安全問題的時候,最高負責人普遍無法直接做出決策。一方面改善安全狀況需要複雜的應對策略,而安全性原則幾乎沒有固定的理論模型,只有依靠官方標準、行業經驗和政策指南等推導出的試探性的方法。另一方面,安全建設並不會直接產生生產效益,這就要求安全防護解決方案要具備有效性和及時性。
根據調查,在大多數工業企業,對於工業網路中安全的決策者通常為CISO(首席資訊安全官)或CSO(首席安全官),他們負責整個企業,包括傳統IT/企業網路/業務網路和工業製造/生產/ SCADA網路的安全。儘管CISO/CSO是決策者,但真正工業網路的完善防護解決方案,還是需要瞭解工業控制或智慧製造核心技術和業務流程的工作人員。因此,既保證資訊化系統的正常運維,又要不損害系統可用性的無擾式管理和維護方法至關重要,這對工業企業來說幾乎是極其困難的。因此,如何讓企業資訊化的各級參與者,都能夠投入到資訊安全的管理決策,是解決工業企業資訊安全規則設計和管理運維的有效方法。
圖1 分級需求管理
1.3 態勢分析與預警的必要性
隨著資訊和網路技術的深入應用,決策者開始由發生了什麼、為什麼發生,過渡到將要發生什麼、如何規避風險。現有的傳統IT資訊安全解決方案都不適合工業網路。傳統IT資訊安全解決方案通常是為某些特定入侵行為或活動而設計的防禦集合,它可能會為工業現場的流程化生產,增加不必要的管理風險,從而危及工業業務本身的連續性。此外,這些解決方案無法覆蓋複雜而又缺少公開資料的工業協定,因此無法在工業網路中最大限度地發揮它們的潛力。
對於工控安全的管理,除了需要引入“白名單”管理思想,還需要配合一定的態勢感知預警平臺,從而為各級決策部門提供主動風險監測、被動威脅發現、威脅情報收集與整合、威脅分析溯源等全方位、一體化態勢感知服務。同時這些服務可以説明控制工程師和工廠資訊化系統管理者保持警覺,匹配預警等級,提前知曉風險,防範事故。
圖2 決策進化的三個階段
1.4 監管與保障的思考
網路資訊安全問題不僅關乎廣大人民群眾工作生活,更與國家安全與國家發展息息相關。近些年,根據互聯網安全事件事項涉及的領域,國家中央網路安全和資訊化領導小組(以下簡稱“網信辦”)、工業和資訊化部、公安部等多家主要政府機構協同擔負著互聯網安全管理職能。
網信辦著眼于國家安全和長遠發展,統籌協調涉及經濟、政治、文化、社會及軍事等各個領域的網路安全和資訊化重大問題,研究制定網路安全和資訊化發展戰略、宏觀規劃和重大政策,推動國家網路安全和資訊化法治建設,不斷增強安全保障能力。
工信部承擔著通信網路安全及其資訊安全管理的責任,主要從宏觀層面負責協調、維護國家層面資訊安全,承擔國家資訊安全保障體系的建設,對政府部門、重點行業重要資訊系統與基礎資訊網路的安全保障工作進行指導監督,同時負責協調網路與資訊安全重大事件的處理。
公安部承擔著對電腦資訊系統安全保護工作進行監督、檢查、指導;對電腦資訊系統安全進行評估與審驗;對電腦違法犯罪案件依法查處等多項職責。
而針對工控安全的監管責任還不夠清晰,存在著“九龍治水”的現象,規模化工業企業往往面臨著基礎設施安全、等保測評和定期檢查評估等同時監管的壓力。ARC的一份市場調研顯示,工業企業的首要需求是如何提升生產效率、提高生產利潤,甚至很多工業企業才剛剛解決自動化和網路化的技術更新,在資訊化方面還處於探索階段。目前我國的工控安全領域發展與歐美發達國家相比尚有一定差距,但我國的市場有其特殊性和不可替代性,若有政府或相關機構組織站出來對行業適當保障和引導,避免無序發展,最終以行業應用推動市場發展,將催生更加龐大完善的市場。
如果政府過度參與,強制企業採取全方位的防護,成本會提到很高,對企業產生較大負擔。工信部發佈的《工業控制系統資訊安全防護指南》值得參考,它指出工業企業還是首先進行風險評估,根據資產的重要程度、安全問題出現的概率、影響程度來採取適當措施加以防護比較權宜。我們建議:
加強安全意識;
普及安全知識;
持續關注風險;
逐步推進防護;
推廣應用示範。
2 “PDCA”管理與對標服務體系
為使工業企業管理人員對關鍵資訊基礎設施樹立和保持安全意識,在適當的時間採取適當的措施,以及在長期的網路安全態勢中發現最新風險,需要一種持續的全生命週期管理方法來管理工控網路和工控系統,進而循序漸進地改進防護方案。我們引入了“PDCA”方法和“對標”思想來解決以上問題,結合主動監測、視覺化交互、被動威脅感知等技術,讓用戶能夠方便進行風險管理,在紛繁複雜的防護解決方案中做出經濟、適合、實用的決策。
2.1 “PDCA”循序漸進體系
PDCA管理迴圈,由美國品質管制專家戴明提出,又稱戴明環。它是全面品質管制所應遵循的科學程式。PDCA迴圈作為全面品質管制體系運轉的基本方法,其實施需要搜集大量資料資料,並綜合運用各種管理技術和方法。全面品質管制活動的全部過程,就是品質計畫的制訂和組織實現的過程,這個過程就是按照PDCA迴圈,不停頓地周而復始地運轉。
P(計畫 PLAN):從問題的定義到行動計畫;
D(實施 DO):實施行動計畫;
C(檢查 CHECK):評估結果;
A(處理 ACTION):標準化和進一步推廣。
圖3 PDCA的發展過程
(1)特點
PDCA迴圈,可以使我們的思想方法和工作步驟更加條理化、系統化、圖像化和科學化。它具有如下特點:
大環套小環,小環保大環,互相促進,推動大循環;
PDCA迴圈是爬樓梯上升式的迴圈,每轉動一周,品質就提高一步;
PDCA迴圈是綜合性迴圈,4個階段是相對的,它們之間不是截然分開的。
(2)八個步驟
步驟一:分析現狀,找出題目:強調的是對現狀的把握和發現題目的意識、能力,發掘題目是解決題目的第一步,是分析題目的條件。
步驟二:分析產生題目的原因:找准題目後分析產生題目的原因至關重要,運用頭腦風暴法等多種集思廣益的科學方法,把導致題目產生的所有原因統統找出來。
步驟三:要因確認:區分主因和次因是最有效解決題目的關鍵。
步驟四:擬定措施、制定計劃(5W1H)即:為什麼制定該措施(Why)?達到什麼目標(What)?在何處執行(Where)?由誰負責完成(Who)?什麼時間完成(when)?如何完成(How)?措施和計畫是執行力的基礎,盡可能使其具有可操性。
步驟五:執行措施、執行計畫:高效的執行力是組織完成目標的重要一環。
步驟六:檢查驗證、評估效果:“下屬只做你檢查的工作,不做你希望的工作”IBM的前CEO郭士納的這句話將檢查驗證、評估效果的重要性一語道破。
步驟七:標準化,固定成績:標準化是維持企業治理現狀不下滑,積累、沉澱經驗的最好方法,也是企業治理水準不斷提升的基礎。可以這樣說,標準化是企業治理系統的動力,沒有標準化,企業就不會進步,甚至下滑。
步驟八:處理遺留題目。所有題目不可能在一個PDCA迴圈中全部解決,遺留的題目會自動轉進下一個PDCA迴圈,如此,周而復始,螺旋上升。
2.2 標準與規範的選擇
2.2.1 工業控制系統安全控制應用指南GB/T32919-2016
安全(security)及其相關概念間的關係。其中的控制是指:應用於工業控制系統中管理、運行和技術上的保護措施和對策,以保護工業控制系統及其資訊的保密性、完整性和可用性等。應用這些控制的目的是,減少脆弱性或影響,抵禦工業控制系統所面臨的安全威脅,從而緩解工業控制系統的安全風險,以滿足利益相關者的安全需要。
圖4 安全(SECURITY)及其相關概念
工業控制系統安全是一項系統工程,單一的產品和技術不能有效地保護工業控制系統安全,組織應在充分挖掘工業控制系統安全需求的基礎上,制定滿足組織使命和業務功能需求的工業控制系統安全戰略。
圖5 安全控制基線完善過程
針對工業控制系統存在的脆弱性,分析工業控制系統面臨的威脅和風險,評估風險發生的可能性以及風險發生可能造成的影響和危害,制定風險處置原則和處置計畫,將工業控制系統安全風險控制在可接受的水準。
圖6 工業控制系統的安全控制的三個級別
2.2.2 工業控制系統資訊安全防護指南
2016年10月17日《工業控制系統資訊安全防護指南》正式印發,為工業企業如何開展工業控制系統資訊安全工作提供了可操作性的防護措施,並可進一步提升相關人員的工業控制系統資訊安全防護意識,推進產業的整體良性發展,切實提升國家關鍵資訊基礎設施控制系統的安全防護水準。
自從2011年9月《關於加強工業控制系統資訊安全管理的通知》(工信部協[2011]451號)檔發佈之後,國內各行各業對工業控制系統資訊安全的認識都達到了一個新的高度,電力、石化、製造、煙草等多個行業,陸續制定了相應的指導性檔,來指導相應行業安全檢查與整改活動。451號文填補了國內工業控制系統資訊安全的政策空白,由此拉開了行業發展的帷幕。
然而,隨著國家資訊安全機構職能的調整,工控安全管理工作在後續一段時間基本處於暫停狀態。直到中編辦對工信部在2015年9月16日發佈的新“三定”職責中明確:“擬定工業控制系統網路與資訊安全規劃、政策、標準並組織實施,加強工業控制系統網路安全審查”,工控安全相關工作正式納入工信部的職責範圍之後,工信部以資訊化和軟體服務司為主管司局,開始加快工控安全的保障工作。今年5月20日,《國務院關於深化製造業與互聯網融合發展的指導意見》(國發〔2016〕28號)檔明確提出:“以提升工業資訊安全監測、評估、驗證和應急處置等能力為重點,依託現有科研機構,建設國家工業資訊安全保障中心,為製造業與互聯網融合發展提供安全支撐。”《指南》共分為11個大項30個條目,涵蓋了安全技術體系和安全管理體系。
2.3 “對標”方法
2.3.1 分值評估法
依據《工業控制系統資訊安全防護指南》以及本方法中的評估內容及方法,明確了具體的評分方式,評價企業工業控制系統資訊安全的防護能力的情況,並給出量化的評分標準。本評分標準從11個方面設置了30個大項,61個小項,129個評分細項。
(1)評分方法。評估標準滿分為100分,評分採用扣分制,評分細項的分值作為評分的最小單元。
(2)高風險項。高風險項共25小項,其分值相對較高。高風險項是企業工控安全防護中基礎和關鍵的項,其不滿足要求可能造成較大資訊安全風險,建議限期整改。
(3)基於證據的方法。為了保證評估結果的公正和客觀,評分的判斷須有充分的證據,證據包括負責人談話、制度檔、運行記錄、核查結果和測試報告等。
圖7 資訊的跨平臺交互與共用
2.3.2 與業務系統的對應融合
在考慮“對標”打分項設計時,針對不同決策層級、複雜異構網路等問題,在考慮工控安全需求時,我們需要有針對性的解決方案。根據企業資訊化普遍存在的“由上至下”的決策流程和“自下至上”的資料獲取流程特點,我們需要將工控安全整體進行細緻化的拆分,再結合具體企業的自身特點,根據各環節對生產運行影響的危害程度,精准設計可實踐、可執行的資訊安全決策過程。
作者簡介:
魏欽志,烽台科技(北京)有限公司聯合發起人、董事長,燈塔實驗室執行合夥人。工業控制系統資訊安全產業聯盟副秘書長,電腦病毒防禦技術國家工程實驗室技術委員會委員,中國化工學會青年委員。在智慧製造、工業控制資訊化和自動化行業有十餘年工作經驗,六年工控安全經驗。參與並主導過工業資訊安全產品設計,被發改委納入資訊安全專項資金的支援計畫。帶領團隊參與和推動國內主要工控安全標準制訂與應用,面向行業使用者提供評估及保障服務。
摘自《自動化博覽》2017年9月刊
轉載請注明出處
可當資訊化系統遇到安全問題的時候,最高負責人普遍無法直接做出決策。一方面改善安全狀況需要複雜的應對策略,而安全性原則幾乎沒有固定的理論模型,只有依靠官方標準、行業經驗和政策指南等推導出的試探性的方法。另一方面,安全建設並不會直接產生生產效益,這就要求安全防護解決方案要具備有效性和及時性。
根據調查,在大多數工業企業,對於工業網路中安全的決策者通常為CISO(首席資訊安全官)或CSO(首席安全官),他們負責整個企業,包括傳統IT/企業網路/業務網路和工業製造/生產/ SCADA網路的安全。儘管CISO/CSO是決策者,但真正工業網路的完善防護解決方案,還是需要瞭解工業控制或智慧製造核心技術和業務流程的工作人員。因此,既保證資訊化系統的正常運維,又要不損害系統可用性的無擾式管理和維護方法至關重要,這對工業企業來說幾乎是極其困難的。因此,如何讓企業資訊化的各級參與者,都能夠投入到資訊安全的管理決策,是解決工業企業資訊安全規則設計和管理運維的有效方法。
圖1 分級需求管理
1.3 態勢分析與預警的必要性
隨著資訊和網路技術的深入應用,決策者開始由發生了什麼、為什麼發生,過渡到將要發生什麼、如何規避風險。現有的傳統IT資訊安全解決方案都不適合工業網路。傳統IT資訊安全解決方案通常是為某些特定入侵行為或活動而設計的防禦集合,它可能會為工業現場的流程化生產,增加不必要的管理風險,從而危及工業業務本身的連續性。此外,這些解決方案無法覆蓋複雜而又缺少公開資料的工業協定,因此無法在工業網路中最大限度地發揮它們的潛力。
對於工控安全的管理,除了需要引入“白名單”管理思想,還需要配合一定的態勢感知預警平臺,從而為各級決策部門提供主動風險監測、被動威脅發現、威脅情報收集與整合、威脅分析溯源等全方位、一體化態勢感知服務。同時這些服務可以説明控制工程師和工廠資訊化系統管理者保持警覺,匹配預警等級,提前知曉風險,防範事故。
圖2 決策進化的三個階段
1.4 監管與保障的思考
網路資訊安全問題不僅關乎廣大人民群眾工作生活,更與國家安全與國家發展息息相關。近些年,根據互聯網安全事件事項涉及的領域,國家中央網路安全和資訊化領導小組(以下簡稱“網信辦”)、工業和資訊化部、公安部等多家主要政府機構協同擔負著互聯網安全管理職能。
網信辦著眼于國家安全和長遠發展,統籌協調涉及經濟、政治、文化、社會及軍事等各個領域的網路安全和資訊化重大問題,研究制定網路安全和資訊化發展戰略、宏觀規劃和重大政策,推動國家網路安全和資訊化法治建設,不斷增強安全保障能力。
工信部承擔著通信網路安全及其資訊安全管理的責任,主要從宏觀層面負責協調、維護國家層面資訊安全,承擔國家資訊安全保障體系的建設,對政府部門、重點行業重要資訊系統與基礎資訊網路的安全保障工作進行指導監督,同時負責協調網路與資訊安全重大事件的處理。
公安部承擔著對電腦資訊系統安全保護工作進行監督、檢查、指導;對電腦資訊系統安全進行評估與審驗;對電腦違法犯罪案件依法查處等多項職責。
而針對工控安全的監管責任還不夠清晰,存在著“九龍治水”的現象,規模化工業企業往往面臨著基礎設施安全、等保測評和定期檢查評估等同時監管的壓力。ARC的一份市場調研顯示,工業企業的首要需求是如何提升生產效率、提高生產利潤,甚至很多工業企業才剛剛解決自動化和網路化的技術更新,在資訊化方面還處於探索階段。目前我國的工控安全領域發展與歐美發達國家相比尚有一定差距,但我國的市場有其特殊性和不可替代性,若有政府或相關機構組織站出來對行業適當保障和引導,避免無序發展,最終以行業應用推動市場發展,將催生更加龐大完善的市場。
如果政府過度參與,強制企業採取全方位的防護,成本會提到很高,對企業產生較大負擔。工信部發佈的《工業控制系統資訊安全防護指南》值得參考,它指出工業企業還是首先進行風險評估,根據資產的重要程度、安全問題出現的概率、影響程度來採取適當措施加以防護比較權宜。我們建議:
加強安全意識;
普及安全知識;
持續關注風險;
逐步推進防護;
推廣應用示範。
2 “PDCA”管理與對標服務體系
為使工業企業管理人員對關鍵資訊基礎設施樹立和保持安全意識,在適當的時間採取適當的措施,以及在長期的網路安全態勢中發現最新風險,需要一種持續的全生命週期管理方法來管理工控網路和工控系統,進而循序漸進地改進防護方案。我們引入了“PDCA”方法和“對標”思想來解決以上問題,結合主動監測、視覺化交互、被動威脅感知等技術,讓用戶能夠方便進行風險管理,在紛繁複雜的防護解決方案中做出經濟、適合、實用的決策。
2.1 “PDCA”循序漸進體系
PDCA管理迴圈,由美國品質管制專家戴明提出,又稱戴明環。它是全面品質管制所應遵循的科學程式。PDCA迴圈作為全面品質管制體系運轉的基本方法,其實施需要搜集大量資料資料,並綜合運用各種管理技術和方法。全面品質管制活動的全部過程,就是品質計畫的制訂和組織實現的過程,這個過程就是按照PDCA迴圈,不停頓地周而復始地運轉。
P(計畫 PLAN):從問題的定義到行動計畫;
D(實施 DO):實施行動計畫;
C(檢查 CHECK):評估結果;
A(處理 ACTION):標準化和進一步推廣。
圖3 PDCA的發展過程
(1)特點
PDCA迴圈,可以使我們的思想方法和工作步驟更加條理化、系統化、圖像化和科學化。它具有如下特點:
大環套小環,小環保大環,互相促進,推動大循環;
PDCA迴圈是爬樓梯上升式的迴圈,每轉動一周,品質就提高一步;
PDCA迴圈是綜合性迴圈,4個階段是相對的,它們之間不是截然分開的。
(2)八個步驟
步驟一:分析現狀,找出題目:強調的是對現狀的把握和發現題目的意識、能力,發掘題目是解決題目的第一步,是分析題目的條件。
步驟二:分析產生題目的原因:找准題目後分析產生題目的原因至關重要,運用頭腦風暴法等多種集思廣益的科學方法,把導致題目產生的所有原因統統找出來。
步驟三:要因確認:區分主因和次因是最有效解決題目的關鍵。
步驟四:擬定措施、制定計劃(5W1H)即:為什麼制定該措施(Why)?達到什麼目標(What)?在何處執行(Where)?由誰負責完成(Who)?什麼時間完成(when)?如何完成(How)?措施和計畫是執行力的基礎,盡可能使其具有可操性。
步驟五:執行措施、執行計畫:高效的執行力是組織完成目標的重要一環。
步驟六:檢查驗證、評估效果:“下屬只做你檢查的工作,不做你希望的工作”IBM的前CEO郭士納的這句話將檢查驗證、評估效果的重要性一語道破。
步驟七:標準化,固定成績:標準化是維持企業治理現狀不下滑,積累、沉澱經驗的最好方法,也是企業治理水準不斷提升的基礎。可以這樣說,標準化是企業治理系統的動力,沒有標準化,企業就不會進步,甚至下滑。
步驟八:處理遺留題目。所有題目不可能在一個PDCA迴圈中全部解決,遺留的題目會自動轉進下一個PDCA迴圈,如此,周而復始,螺旋上升。
2.2 標準與規範的選擇
2.2.1 工業控制系統安全控制應用指南GB/T32919-2016
安全(security)及其相關概念間的關係。其中的控制是指:應用於工業控制系統中管理、運行和技術上的保護措施和對策,以保護工業控制系統及其資訊的保密性、完整性和可用性等。應用這些控制的目的是,減少脆弱性或影響,抵禦工業控制系統所面臨的安全威脅,從而緩解工業控制系統的安全風險,以滿足利益相關者的安全需要。
圖4 安全(SECURITY)及其相關概念
工業控制系統安全是一項系統工程,單一的產品和技術不能有效地保護工業控制系統安全,組織應在充分挖掘工業控制系統安全需求的基礎上,制定滿足組織使命和業務功能需求的工業控制系統安全戰略。
圖5 安全控制基線完善過程
針對工業控制系統存在的脆弱性,分析工業控制系統面臨的威脅和風險,評估風險發生的可能性以及風險發生可能造成的影響和危害,制定風險處置原則和處置計畫,將工業控制系統安全風險控制在可接受的水準。
圖6 工業控制系統的安全控制的三個級別
2.2.2 工業控制系統資訊安全防護指南
2016年10月17日《工業控制系統資訊安全防護指南》正式印發,為工業企業如何開展工業控制系統資訊安全工作提供了可操作性的防護措施,並可進一步提升相關人員的工業控制系統資訊安全防護意識,推進產業的整體良性發展,切實提升國家關鍵資訊基礎設施控制系統的安全防護水準。
自從2011年9月《關於加強工業控制系統資訊安全管理的通知》(工信部協[2011]451號)檔發佈之後,國內各行各業對工業控制系統資訊安全的認識都達到了一個新的高度,電力、石化、製造、煙草等多個行業,陸續制定了相應的指導性檔,來指導相應行業安全檢查與整改活動。451號文填補了國內工業控制系統資訊安全的政策空白,由此拉開了行業發展的帷幕。
然而,隨著國家資訊安全機構職能的調整,工控安全管理工作在後續一段時間基本處於暫停狀態。直到中編辦對工信部在2015年9月16日發佈的新“三定”職責中明確:“擬定工業控制系統網路與資訊安全規劃、政策、標準並組織實施,加強工業控制系統網路安全審查”,工控安全相關工作正式納入工信部的職責範圍之後,工信部以資訊化和軟體服務司為主管司局,開始加快工控安全的保障工作。今年5月20日,《國務院關於深化製造業與互聯網融合發展的指導意見》(國發〔2016〕28號)檔明確提出:“以提升工業資訊安全監測、評估、驗證和應急處置等能力為重點,依託現有科研機構,建設國家工業資訊安全保障中心,為製造業與互聯網融合發展提供安全支撐。”《指南》共分為11個大項30個條目,涵蓋了安全技術體系和安全管理體系。
2.3 “對標”方法
2.3.1 分值評估法
依據《工業控制系統資訊安全防護指南》以及本方法中的評估內容及方法,明確了具體的評分方式,評價企業工業控制系統資訊安全的防護能力的情況,並給出量化的評分標準。本評分標準從11個方面設置了30個大項,61個小項,129個評分細項。
(1)評分方法。評估標準滿分為100分,評分採用扣分制,評分細項的分值作為評分的最小單元。
(2)高風險項。高風險項共25小項,其分值相對較高。高風險項是企業工控安全防護中基礎和關鍵的項,其不滿足要求可能造成較大資訊安全風險,建議限期整改。
(3)基於證據的方法。為了保證評估結果的公正和客觀,評分的判斷須有充分的證據,證據包括負責人談話、制度檔、運行記錄、核查結果和測試報告等。
圖7 資訊的跨平臺交互與共用
2.3.2 與業務系統的對應融合
在考慮“對標”打分項設計時,針對不同決策層級、複雜異構網路等問題,在考慮工控安全需求時,我們需要有針對性的解決方案。根據企業資訊化普遍存在的“由上至下”的決策流程和“自下至上”的資料獲取流程特點,我們需要將工控安全整體進行細緻化的拆分,再結合具體企業的自身特點,根據各環節對生產運行影響的危害程度,精准設計可實踐、可執行的資訊安全決策過程。
作者簡介:
魏欽志,烽台科技(北京)有限公司聯合發起人、董事長,燈塔實驗室執行合夥人。工業控制系統資訊安全產業聯盟副秘書長,電腦病毒防禦技術國家工程實驗室技術委員會委員,中國化工學會青年委員。在智慧製造、工業控制資訊化和自動化行業有十餘年工作經驗,六年工控安全經驗。參與並主導過工業資訊安全產品設計,被發改委納入資訊安全專項資金的支援計畫。帶領團隊參與和推動國內主要工控安全標準制訂與應用,面向行業使用者提供評估及保障服務。
摘自《自動化博覽》2017年9月刊
轉載請注明出處