今日頭條
官方微信
官方抖音
案例頻道烽臺(tái)科技 魏欽志
內(nèi)容概述:隨著新漏洞的不斷出現(xiàn)或攻擊手段的提高,現(xiàn)有設(shè)備及系統(tǒng)的安全防護(hù)能力將無法抵御新的攻擊手段,因此工業(yè)用戶需要進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)和周期性評(píng)估,以適應(yīng)變化的安全環(huán)境,通過評(píng)估結(jié)果呈現(xiàn)的風(fēng)險(xiǎn)趨勢(shì),并根據(jù)定制KPI安全指標(biāo)綜合分析風(fēng)險(xiǎn),幫助工業(yè)用戶識(shí)別、控制、降低或消除安全風(fēng)險(xiǎn)。本文基于持續(xù)“PDCA”的工控安全運(yùn)維管理是依據(jù)國家相關(guān)標(biāo)準(zhǔn)、規(guī)范和指南要求,面向企業(yè)用戶、針對(duì)工控網(wǎng)絡(luò)與系統(tǒng),簡(jiǎn)要介紹所開展的全生命周期安全運(yùn)維管理。通過循序漸進(jìn)的評(píng)價(jià)和改進(jìn),統(tǒng)計(jì)隱患和潛在的工控安全隱患的實(shí)時(shí)趨勢(shì),持續(xù)提供風(fēng)險(xiǎn)分析報(bào)告及安全整改建議,幫助企業(yè)發(fā)現(xiàn)漏洞,降低工業(yè)企業(yè)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)。
關(guān)鍵詞:工控安全運(yùn)維;PDCA;測(cè)試評(píng)估服務(wù);工控安全風(fēng)險(xiǎn)
1 工控系統(tǒng)應(yīng)用與安全風(fēng)險(xiǎn)的博弈
工業(yè)控制系統(tǒng)面臨的風(fēng)險(xiǎn),除了產(chǎn)品本身存在的出廠缺陷、軟件更新速度慢、防護(hù)策略缺失等因素外,核心要素還是因?yàn)槁?lián)網(wǎng)而引發(fā)的不確定性。但是技術(shù)發(fā)展的趨勢(shì)是不可逆的,在面臨新技術(shù)、新應(yīng)用、新模式?jīng)_擊的同時(shí),也接受著信息化、網(wǎng)絡(luò)化、智能化所帶給我們的便利,以及因開放、共享帶來的安全問題。因此,工控網(wǎng)絡(luò)與信息系統(tǒng)作為網(wǎng)絡(luò)安全中的關(guān)鍵信息基礎(chǔ)設(shè)施,信息管理人員必須做好防護(hù)工作,以保障“兩化融合”發(fā)展過程的快速、持續(xù)和穩(wěn)定。
1.1 兩化融合、智能制造的大趨勢(shì)
兩化融合的提出背景是人類社會(huì)經(jīng)過多年發(fā)展,進(jìn)入了信息文明階段。人類社會(huì)文明走過了三個(gè)階段,并與之相對(duì)應(yīng)產(chǎn)生了三種文明形態(tài)。
第一是農(nóng)業(yè)階段,大家從一萬多年前形成了農(nóng)業(yè)文明;第二從十七世紀(jì)末開始進(jìn)入了工業(yè)文明,與之相對(duì)應(yīng)形成了工業(yè)文化。那么從20世紀(jì)50年代開始經(jīng)過第三次浪潮的描述,也就是說世界進(jìn)入了信息化階段。在農(nóng)業(yè)階段解決了人類的生存問題,在工業(yè)階段解決了機(jī)器代替手工,快速提高人類生活品質(zhì)的問題。在信息化階段,通過信息通信技術(shù)實(shí)現(xiàn)了社會(huì)與經(jīng)濟(jì)的融合,將信息化貫穿了人類生活的方方面面。
工業(yè)化正經(jīng)歷世界經(jīng)濟(jì)的第三次革命,隨著科學(xué)與技術(shù)革命的發(fā)展,其內(nèi)涵也在不斷的發(fā)生變化。工業(yè)化經(jīng)歷了三次的工業(yè)革命的劇變,第一次工業(yè)革命以1775年,蒸汽機(jī)發(fā)明為代表的大機(jī)器生產(chǎn)取代手工業(yè)生產(chǎn),極大提高了生產(chǎn)力。第二次工業(yè)革命,自然科學(xué)開始同技術(shù)生產(chǎn)緊密結(jié)合起來,在提高生產(chǎn)力發(fā)展方面發(fā)揮更為重要的作用。第三次工業(yè)革命,是自動(dòng)化技術(shù)快速發(fā)展提高了生產(chǎn)力,帶來了全新的研發(fā)設(shè)計(jì)、生產(chǎn)制造和經(jīng)營(yíng)管理過程。在第三次工業(yè)革命有這樣一些代表性的事件,1952年第一臺(tái)數(shù)控機(jī)床的出現(xiàn),1971年微處理芯片的發(fā)明,80年代初計(jì)算機(jī)輔助設(shè)計(jì)的技術(shù)在產(chǎn)品設(shè)計(jì)中的應(yīng)用。那么第三次工業(yè)革命在不同的時(shí)期又可以分為數(shù)字化、網(wǎng)絡(luò)化、智能化階段。
1.2 信息產(chǎn)業(yè)發(fā)展與安全行業(yè)監(jiān)管的兩難境地
傳統(tǒng)信息安全與工業(yè)控制信息安全區(qū)別之一是對(duì)業(yè)務(wù)的整合能力。傳統(tǒng)信息安全在不同用戶之間所面臨的系統(tǒng)非常類似,而工控系統(tǒng)在不同用戶、不同行業(yè)的應(yīng)用方法存在很大差異,信息安全管理人員需要從企業(yè)生產(chǎn)和業(yè)務(wù)流程的視角,理解風(fēng)險(xiǎn)與安全。
作為工業(yè)領(lǐng)域的信息化決策者,首先要保證的一定是生產(chǎn)運(yùn)行的實(shí)時(shí)性、持續(xù)性和穩(wěn)定性,也就是信息和網(wǎng)絡(luò)系統(tǒng)的功能性和可用性。信息化決策是由企業(yè)最高決策層負(fù)責(zé)的,俗稱信息化工程皆為“一把手”工程,從決策主體的角度,保障了信息化和企業(yè)經(jīng)營(yíng)發(fā)展的高度一致。
雖然這些信息化、智能化技術(shù)提高了生產(chǎn)力并降低了成本,但它們使關(guān)鍵任務(wù)系統(tǒng)暴露在新的風(fēng)險(xiǎn)中,例如工業(yè)關(guān)鍵業(yè)務(wù)系統(tǒng)突然停機(jī)、上位機(jī)誤操作和竊取敏感信息等,這些風(fēng)險(xiǎn)直接威脅到工業(yè)用戶的業(yè)務(wù)增長(zhǎng)和連續(xù)性。無論是短暫還是長(zhǎng)時(shí)間的停機(jī),在工業(yè)制造的操作環(huán)境中是至關(guān)重要的,并且直接影響公司的收入流,造成不可估量的損失。例如,在汽車行業(yè)業(yè)務(wù)的停機(jī)時(shí)間成本高達(dá)130萬美元每小時(shí)。一旦攻擊者進(jìn)入連續(xù)生產(chǎn)的制造業(yè)工控網(wǎng)絡(luò),宕機(jī)的風(fēng)險(xiǎn)就會(huì)增加。惡意攻擊者或可能的競(jìng)爭(zhēng)對(duì)手可以關(guān)閉生產(chǎn)線,甚至破壞昂貴的機(jī)器,造成重大損失。
可當(dāng)信息化系統(tǒng)遇到安全問題的時(shí)候,最高負(fù)責(zé)人普遍無法直接做出決策。一方面改善安全狀況需要復(fù)雜的應(yīng)對(duì)策略,而安全策略幾乎沒有固定的理論模型,只有依靠官方標(biāo)準(zhǔn)、行業(yè)經(jīng)驗(yàn)和政策指南等推導(dǎo)出的試探性的方法。另一方面,安全建設(shè)并不會(huì)直接產(chǎn)生生產(chǎn)效益,這就要求安全防護(hù)解決方案要具備有效性和及時(shí)性。
根據(jù)調(diào)查,在大多數(shù)工業(yè)企業(yè),對(duì)于工業(yè)網(wǎng)絡(luò)中安全的決策者通常為CISO(首席信息安全官)或CSO(首席安全官),他們負(fù)責(zé)整個(gè)企業(yè),包括傳統(tǒng)IT/企業(yè)網(wǎng)絡(luò)/業(yè)務(wù)網(wǎng)絡(luò)和工業(yè)制造/生產(chǎn)/ SCADA網(wǎng)絡(luò)的安全。盡管CISO/CSO是決策者,但真正工業(yè)網(wǎng)絡(luò)的完善防護(hù)解決方案,還是需要了解工業(yè)控制或智能制造核心技術(shù)和業(yè)務(wù)流程的工作人員。因此,既保證信息化系統(tǒng)的正常運(yùn)維,又要不損害系統(tǒng)可用性的無擾式管理和維護(hù)方法至關(guān)重要,這對(duì)工業(yè)企業(yè)來說幾乎是極其困難的。因此,如何讓企業(yè)信息化的各級(jí)參與者,都能夠投入到信息安全的管理決策,是解決工業(yè)企業(yè)信息安全規(guī)則設(shè)計(jì)和管理運(yùn)維的有效方法。
圖1 分級(jí)需求管理
1.3 態(tài)勢(shì)分析與預(yù)警的必要性
隨著信息和網(wǎng)絡(luò)技術(shù)的深入應(yīng)用,決策者開始由發(fā)生了什么、為什么發(fā)生,過渡到將要發(fā)生什么、如何規(guī)避風(fēng)險(xiǎn)。現(xiàn)有的傳統(tǒng)IT信息安全解決方案都不適合工業(yè)網(wǎng)絡(luò)。傳統(tǒng)IT信息安全解決方案通常是為某些特定入侵行為或活動(dòng)而設(shè)計(jì)的防御集合,它可能會(huì)為工業(yè)現(xiàn)場(chǎng)的流程化生產(chǎn),增加不必要的管理風(fēng)險(xiǎn),從而危及工業(yè)業(yè)務(wù)本身的連續(xù)性。此外,這些解決方案無法覆蓋復(fù)雜而又缺少公開資料的工業(yè)協(xié)議,因此無法在工業(yè)網(wǎng)絡(luò)中最大限度地發(fā)揮它們的潛力。
對(duì)于工控安全的管理,除了需要引入“白名單”管理思想,還需要配合一定的態(tài)勢(shì)感知預(yù)警平臺(tái),從而為各級(jí)決策部門提供主動(dòng)風(fēng)險(xiǎn)監(jiān)測(cè)、被動(dòng)威脅發(fā)現(xiàn)、威脅情報(bào)收集與整合、威脅分析溯源等全方位、一體化態(tài)勢(shì)感知服務(wù)。同時(shí)這些服務(wù)可以幫助控制工程師和工廠信息化系統(tǒng)管理者保持警覺,匹配預(yù)警等級(jí),提前知曉風(fēng)險(xiǎn),防范事故。
圖2 決策進(jìn)化的三個(gè)階段
1.4 監(jiān)管與保障的思考
網(wǎng)絡(luò)信息安全問題不僅關(guān)乎廣大人民群眾工作生活,更與國家安全與國家發(fā)展息息相關(guān)。近些年,根據(jù)互聯(lián)網(wǎng)安全事件事項(xiàng)涉及的領(lǐng)域,國家中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組(以下簡(jiǎn)稱“網(wǎng)信辦”)、工業(yè)和信息化部、公安部等多家主要政府機(jī)構(gòu)協(xié)同擔(dān)負(fù)著互聯(lián)網(wǎng)安全管理職能。
網(wǎng)信辦著眼于國家安全和長(zhǎng)遠(yuǎn)發(fā)展,統(tǒng)籌協(xié)調(diào)涉及經(jīng)濟(jì)、政治、文化、社會(huì)及軍事等各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題,研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策,推動(dòng)國家網(wǎng)絡(luò)安全和信息化法治建設(shè),不斷增強(qiáng)安全保障能力。
工信部承擔(dān)著通信網(wǎng)絡(luò)安全及其信息安全管理的責(zé)任,主要從宏觀層面負(fù)責(zé)協(xié)調(diào)、維護(hù)國家層面信息安全,承擔(dān)國家信息安全保障體系的建設(shè),對(duì)政府部門、重點(diǎn)行業(yè)重要信息系統(tǒng)與基礎(chǔ)信息網(wǎng)絡(luò)的安全保障工作進(jìn)行指導(dǎo)監(jiān)督,同時(shí)負(fù)責(zé)協(xié)調(diào)網(wǎng)絡(luò)與信息安全重大事件的處理。
公安部承擔(dān)著對(duì)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作進(jìn)行監(jiān)督、檢查、指導(dǎo);對(duì)計(jì)算機(jī)信息系統(tǒng)安全進(jìn)行評(píng)估與審驗(yàn);對(duì)計(jì)算機(jī)違法犯罪案件依法查處等多項(xiàng)職責(zé)。
而針對(duì)工控安全的監(jiān)管責(zé)任還不夠清晰,存在著“九龍治水”的現(xiàn)象,規(guī)模化工業(yè)企業(yè)往往面臨著基礎(chǔ)設(shè)施安全、等保測(cè)評(píng)和定期檢查評(píng)估等同時(shí)監(jiān)管的壓力。ARC的一份市場(chǎng)調(diào)研顯示,工業(yè)企業(yè)的首要需求是如何提升生產(chǎn)效率、提高生產(chǎn)利潤(rùn),甚至很多工業(yè)企業(yè)才剛剛解決自動(dòng)化和網(wǎng)絡(luò)化的技術(shù)更新,在信息化方面還處于探索階段。目前我國的工控安全領(lǐng)域發(fā)展與歐美發(fā)達(dá)國家相比尚有一定差距,但我國的市場(chǎng)有其特殊性和不可替代性,若有政府或相關(guān)機(jī)構(gòu)組織站出來對(duì)行業(yè)適當(dāng)保障和引導(dǎo),避免無序發(fā)展,最終以行業(yè)應(yīng)用推動(dòng)市場(chǎng)發(fā)展,將催生更加龐大完善的市場(chǎng)。
如果政府過度參與,強(qiáng)制企業(yè)采取全方位的防護(hù),成本會(huì)提到很高,對(duì)企業(yè)產(chǎn)生較大負(fù)擔(dān)。工信部發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》值得參考,它指出工業(yè)企業(yè)還是首先進(jìn)行風(fēng)險(xiǎn)評(píng)估,根據(jù)資產(chǎn)的重要程度、安全問題出現(xiàn)的概率、影響程度來采取適當(dāng)措施加以防護(hù)比較權(quán)宜。我們建議:
加強(qiáng)安全意識(shí);
普及安全知識(shí);
持續(xù)關(guān)注風(fēng)險(xiǎn);
逐步推進(jìn)防護(hù);
推廣應(yīng)用示范。
2 “PDCA”管理與對(duì)標(biāo)服務(wù)體系
為使工業(yè)企業(yè)管理人員對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施樹立和保持安全意識(shí),在適當(dāng)?shù)臅r(shí)間采取適當(dāng)?shù)拇胧约霸陂L(zhǎng)期的網(wǎng)絡(luò)安全態(tài)勢(shì)中發(fā)現(xiàn)最新風(fēng)險(xiǎn),需要一種持續(xù)的全生命周期管理方法來管理工控網(wǎng)絡(luò)和工控系統(tǒng),進(jìn)而循序漸進(jìn)地改進(jìn)防護(hù)方案。我們引入了“PDCA”方法和“對(duì)標(biāo)”思想來解決以上問題,結(jié)合主動(dòng)監(jiān)測(cè)、可視化交互、被動(dòng)威脅感知等技術(shù),讓用戶能夠方便進(jìn)行風(fēng)險(xiǎn)管理,在紛繁復(fù)雜的防護(hù)解決方案中做出經(jīng)濟(jì)、適合、實(shí)用的決策。
2.1 “PDCA”循序漸進(jìn)體系
PDCA管理循環(huán),由美國質(zhì)量管理專家戴明提出,又稱戴明環(huán)。它是全面質(zhì)量管理所應(yīng)遵循的科學(xué)程序。PDCA循環(huán)作為全面質(zhì)量管理體系運(yùn)轉(zhuǎn)的基本方法,其實(shí)施需要搜集大量數(shù)據(jù)資料,并綜合運(yùn)用各種管理技術(shù)和方法。全面質(zhì)量管理活動(dòng)的全部過程,就是質(zhì)量計(jì)劃的制訂和組織實(shí)現(xiàn)的過程,這個(gè)過程就是按照PDCA循環(huán),不停頓地周而復(fù)始地運(yùn)轉(zhuǎn)。
P(計(jì)劃 PLAN):從問題的定義到行動(dòng)計(jì)劃;
D(實(shí)施 DO):實(shí)施行動(dòng)計(jì)劃;
C(檢查 CHECK):評(píng)估結(jié)果;
A(處理 ACTION):標(biāo)準(zhǔn)化和進(jìn)一步推廣。
圖3 PDCA的發(fā)展過程
(1)特點(diǎn)
PDCA循環(huán),可以使我們的思想方法和工作步驟更加條理化、系統(tǒng)化、圖像化和科學(xué)化。它具有如下特點(diǎn):
大環(huán)套小環(huán),小環(huán)保大環(huán),互相促進(jìn),推動(dòng)大循環(huán);
PDCA循環(huán)是爬樓梯上升式的循環(huán),每轉(zhuǎn)動(dòng)一周,質(zhì)量就提高一步;
PDCA循環(huán)是綜合性循環(huán),4個(gè)階段是相對(duì)的,它們之間不是截然分開的。
(2)八個(gè)步驟
步驟一:分析現(xiàn)狀,找出題目:強(qiáng)調(diào)的是對(duì)現(xiàn)狀的把握和發(fā)現(xiàn)題目的意識(shí)、能力,發(fā)掘題目是解決題目的第一步,是分析題目的條件。
步驟二:分析產(chǎn)生題目的原因:找準(zhǔn)題目后分析產(chǎn)生題目的原因至關(guān)重要,運(yùn)用頭腦風(fēng)暴法等多種集思廣益的科學(xué)方法,把導(dǎo)致題目產(chǎn)生的所有原因統(tǒng)統(tǒng)找出來。
步驟三:要因確認(rèn):區(qū)分主因和次因是最有效解決題目的關(guān)鍵。
步驟四:擬定措施、制定計(jì)劃(5W1H)即:為什么制定該措施(Why)?達(dá)到什么目標(biāo)(What)?在何處執(zhí)行(Where)?由誰負(fù)責(zé)完成(Who)?什么時(shí)間完成(when)?如何完成(How)?措施和計(jì)劃是執(zhí)行力的基礎(chǔ),盡可能使其具有可操性。
步驟五:執(zhí)行措施、執(zhí)行計(jì)劃:高效的執(zhí)行力是組織完成目標(biāo)的重要一環(huán)。
步驟六:檢查驗(yàn)證、評(píng)估效果:“下屬只做你檢查的工作,不做你希望的工作”IBM的前CEO郭士納的這句話將檢查驗(yàn)證、評(píng)估效果的重要性一語道破。
步驟七:標(biāo)準(zhǔn)化,固定成績(jī):標(biāo)準(zhǔn)化是維持企業(yè)治理現(xiàn)狀不下滑,積累、沉淀經(jīng)驗(yàn)的最好方法,也是企業(yè)治理水平不斷提升的基礎(chǔ)。可以這樣說,標(biāo)準(zhǔn)化是企業(yè)治理系統(tǒng)的動(dòng)力,沒有標(biāo)準(zhǔn)化,企業(yè)就不會(huì)進(jìn)步,甚至下滑。
步驟八:處理遺留題目。所有題目不可能在一個(gè)PDCA循環(huán)中全部解決,遺留的題目會(huì)自動(dòng)轉(zhuǎn)進(jìn)下一個(gè)PDCA循環(huán),如此,周而復(fù)始,螺旋上升。
2.2 標(biāo)準(zhǔn)與規(guī)范的選擇
2.2.1 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南GB/T32919-2016
安全(security)及其相關(guān)概念間的關(guān)系。其中的控制是指:應(yīng)用于工業(yè)控制系統(tǒng)中管理、運(yùn)行和技術(shù)上的保護(hù)措施和對(duì)策,以保護(hù)工業(yè)控制系統(tǒng)及其信息的保密性、完整性和可用性等。應(yīng)用這些控制的目的是,減少脆弱性或影響,抵御工業(yè)控制系統(tǒng)所面臨的安全威脅,從而緩解工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn),以滿足利益相關(guān)者的安全需要。
圖4 安全(SECURITY)及其相關(guān)概念
工業(yè)控制系統(tǒng)安全是一項(xiàng)系統(tǒng)工程,單一的產(chǎn)品和技術(shù)不能有效地保護(hù)工業(yè)控制系統(tǒng)安全,組織應(yīng)在充分挖掘工業(yè)控制系統(tǒng)安全需求的基礎(chǔ)上,制定滿足組織使命和業(yè)務(wù)功能需求的工業(yè)控制系統(tǒng)安全戰(zhàn)略。
圖5 安全控制基線完善過程
針對(duì)工業(yè)控制系統(tǒng)存在的脆弱性,分析工業(yè)控制系統(tǒng)面臨的威脅和風(fēng)險(xiǎn),評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性以及風(fēng)險(xiǎn)發(fā)生可能造成的影響和危害,制定風(fēng)險(xiǎn)處置原則和處置計(jì)劃,將工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)控制在可接受的水平。
圖6 工業(yè)控制系統(tǒng)的安全控制的三個(gè)級(jí)別
2.2.2 工業(yè)控制系統(tǒng)信息安全防護(hù)指南
2016年10月17日《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》正式印發(fā),為工業(yè)企業(yè)如何開展工業(yè)控制系統(tǒng)信息安全工作提供了可操作性的防護(hù)措施,并可進(jìn)一步提升相關(guān)人員的工業(yè)控制系統(tǒng)信息安全防護(hù)意識(shí),推進(jìn)產(chǎn)業(yè)的整體良性發(fā)展,切實(shí)提升國家關(guān)鍵信息基礎(chǔ)設(shè)施控制系統(tǒng)的安全防護(hù)水平。
自從2011年9月《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號(hào))文件發(fā)布之后,國內(nèi)各行各業(yè)對(duì)工業(yè)控制系統(tǒng)信息安全的認(rèn)識(shí)都達(dá)到了一個(gè)新的高度,電力、石化、制造、煙草等多個(gè)行業(yè),陸續(xù)制定了相應(yīng)的指導(dǎo)性文件,來指導(dǎo)相應(yīng)行業(yè)安全檢查與整改活動(dòng)。451號(hào)文填補(bǔ)了國內(nèi)工業(yè)控制系統(tǒng)信息安全的政策空白,由此拉開了行業(yè)發(fā)展的帷幕。
然而,隨著國家信息安全機(jī)構(gòu)職能的調(diào)整,工控安全管理工作在后續(xù)一段時(shí)間基本處于暫停狀態(tài)。直到中編辦對(duì)工信部在2015年9月16日發(fā)布的新“三定”職責(zé)中明確:“擬定工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與信息安全規(guī)劃、政策、標(biāo)準(zhǔn)并組織實(shí)施,加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全審查”,工控安全相關(guān)工作正式納入工信部的職責(zé)范圍之后,工信部以信息化和軟件服務(wù)司為主管司局,開始加快工控安全的保障工作。今年5月20日,《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》(國發(fā)〔2016〕28號(hào))文件明確提出:“以提升工業(yè)信息安全監(jiān)測(cè)、評(píng)估、驗(yàn)證和應(yīng)急處置等能力為重點(diǎn),依托現(xiàn)有科研機(jī)構(gòu),建設(shè)國家工業(yè)信息安全保障中心,為制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展提供安全支撐。”《指南》共分為11個(gè)大項(xiàng)30個(gè)條目,涵蓋了安全技術(shù)體系和安全管理體系。
2.3 “對(duì)標(biāo)”方法
2.3.1 分值評(píng)估法
依據(jù)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》以及本方法中的評(píng)估內(nèi)容及方法,明確了具體的評(píng)分方式,評(píng)價(jià)企業(yè)工業(yè)控制系統(tǒng)信息安全的防護(hù)能力的情況,并給出量化的評(píng)分標(biāo)準(zhǔn)。本評(píng)分標(biāo)準(zhǔn)從11個(gè)方面設(shè)置了30個(gè)大項(xiàng),61個(gè)小項(xiàng),129個(gè)評(píng)分細(xì)項(xiàng)。
(1)評(píng)分方法。評(píng)估標(biāo)準(zhǔn)滿分為100分,評(píng)分采用扣分制,評(píng)分細(xì)項(xiàng)的分值作為評(píng)分的最小單元。
(2)高風(fēng)險(xiǎn)項(xiàng)。高風(fēng)險(xiǎn)項(xiàng)共25小項(xiàng),其分值相對(duì)較高。高風(fēng)險(xiǎn)項(xiàng)是企業(yè)工控安全防護(hù)中基礎(chǔ)和關(guān)鍵的項(xiàng),其不滿足要求可能造成較大信息安全風(fēng)險(xiǎn),建議限期整改。
(3)基于證據(jù)的方法。為了保證評(píng)估結(jié)果的公正和客觀,評(píng)分的判斷須有充分的證據(jù),證據(jù)包括負(fù)責(zé)人談話、制度文件、運(yùn)行記錄、核查結(jié)果和測(cè)試報(bào)告等。
圖7 信息的跨平臺(tái)交互與共享
2.3.2 與業(yè)務(wù)系統(tǒng)的對(duì)應(yīng)融合
在考慮“對(duì)標(biāo)”打分項(xiàng)設(shè)計(jì)時(shí),針對(duì)不同決策層級(jí)、復(fù)雜異構(gòu)網(wǎng)絡(luò)等問題,在考慮工控安全需求時(shí),我們需要有針對(duì)性的解決方案。根據(jù)企業(yè)信息化普遍存在的“由上至下”的決策流程和“自下至上”的數(shù)據(jù)采集流程特點(diǎn),我們需要將工控安全整體進(jìn)行細(xì)致化的拆分,再結(jié)合具體企業(yè)的自身特點(diǎn),根據(jù)各環(huán)節(jié)對(duì)生產(chǎn)運(yùn)行影響的危害程度,精準(zhǔn)設(shè)計(jì)可實(shí)踐、可執(zhí)行的信息安全決策過程。
作者簡(jiǎn)介:
魏欽志,烽臺(tái)科技(北京)有限公司聯(lián)合發(fā)起人、董事長(zhǎng),燈塔實(shí)驗(yàn)室執(zhí)行合伙人。工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟副秘書長(zhǎng),計(jì)算機(jī)病毒防御技術(shù)國家工程實(shí)驗(yàn)室技術(shù)委員會(huì)委員,中國化工學(xué)會(huì)青年委員。在智能制造、工業(yè)控制信息化和自動(dòng)化行業(yè)有十余年工作經(jīng)驗(yàn),六年工控安全經(jīng)驗(yàn)。參與并主導(dǎo)過工業(yè)信息安全產(chǎn)品設(shè)計(jì),被發(fā)改委納入信息安全專項(xiàng)資金的支持計(jì)劃。帶領(lǐng)團(tuán)隊(duì)參與和推動(dòng)國內(nèi)主要工控安全標(biāo)準(zhǔn)制訂與應(yīng)用,面向行業(yè)用戶提供評(píng)估及保障服務(wù)。
摘自《自動(dòng)化博覽》2017年9月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)