今日頭條
官方微信
官方抖音
資訊頻道★中國電子技術(shù)標(biāo)準(zhǔn)化研究院姚相振,趙梓桐,周睿康,李琳
1 引言
1.1 當(dāng)前我國工業(yè)控制系統(tǒng)信息安全形勢(shì)依然嚴(yán)峻
隨著兩化融合進(jìn)程的不斷深化和工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)聯(lián)網(wǎng)數(shù)量持續(xù)增長,工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)相互交織,新型安全問題層出不窮,傳統(tǒng)的安全防護(hù)策略已難以有效應(yīng)對(duì)日趨多元化的網(wǎng)絡(luò)安全威脅。一是控制系統(tǒng)互聯(lián)趨勢(shì)明顯,安全防護(hù)面臨新挑戰(zhàn)。隨著工業(yè)智能設(shè)備的部署和應(yīng)用日趨廣泛,越來越多的工業(yè)控制系統(tǒng)和產(chǎn)品采用通用協(xié)議、硬件及軟件,以各種方式接入互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)。網(wǎng)絡(luò)互聯(lián)導(dǎo)致潛在攻擊路徑不斷增多,漏洞、病毒等安全威脅不斷向工業(yè)控制系統(tǒng)擴(kuò)散蔓延。二是工業(yè)漏洞居高不下,高危風(fēng)險(xiǎn)占比較大。由于傳統(tǒng)工業(yè)環(huán)境相對(duì)封閉可信,大多數(shù)存量工控系統(tǒng)安全設(shè)計(jì)考慮不足,安全技術(shù)融合應(yīng)用深度不夠,工業(yè)軟硬件本身存在大量安全漏洞,易被攻擊者利用。同時(shí),據(jù)2021年美國工控系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)公布的389個(gè)工控安全漏洞分析顯示,其中77%由于涉及范圍廣、影響程度深、安全危害大被認(rèn)定為高危漏洞,亟需引起高度重視。三是網(wǎng)絡(luò)攻擊手段多樣,安全影響持續(xù)升級(jí)。工業(yè)控制系統(tǒng)作為網(wǎng)絡(luò)空間對(duì)抗的重點(diǎn)攻擊目標(biāo)之一,工業(yè)領(lǐng)域勒索病毒、“工業(yè)毀壞者”惡意軟件、“熔斷”漏洞、“幽靈”漏洞等安全威脅影響廣泛,工控安全事件頻繁發(fā)生,導(dǎo)致多家企業(yè)關(guān)鍵業(yè)務(wù)系統(tǒng)嚴(yán)重受損、生產(chǎn)停滯,其安全攻擊經(jīng)過精心策劃,具有鮮明的目的性[1]。
1.2 國外開展成熟度模型研究,提前布局新型安全防護(hù)體系
面對(duì)工控安全的嚴(yán)峻形勢(shì),為科學(xué)衡量企業(yè)工控安全防護(hù)能力水平,美國已率先啟動(dòng)網(wǎng)絡(luò)安全成熟度評(píng)價(jià)工作,從政策文件、標(biāo)準(zhǔn)規(guī)范、技術(shù)工具等方面形成先發(fā)優(yōu)勢(shì),提早布局新型網(wǎng)絡(luò)安全綜合防護(hù)體系。一是積極開展網(wǎng)絡(luò)安全成熟度模型評(píng)估框架(CMCC Framework)研究。為科學(xué)衡量企業(yè)網(wǎng)絡(luò)安全防護(hù)能力水平,提升國防工業(yè)基地相關(guān)部門及國防部供應(yīng)鏈企業(yè)的網(wǎng)絡(luò)安全防護(hù)能力,美國防部(DoD)于2020年3月18日研制發(fā)布CMMC框架(V1.02)要求。該框架將企業(yè)網(wǎng)絡(luò)安全成熟度由低向高分為5等級(jí)(經(jīng)驗(yàn)執(zhí)行級(jí)、文檔記錄級(jí)、制度規(guī)范級(jí)、量化評(píng)估級(jí)、持續(xù)優(yōu)化級(jí)),通過綜合考慮被保護(hù)對(duì)象的類型和敏感度,以及相關(guān)威脅范圍,形成多個(gè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、框架和參考文件的成熟流程及最佳實(shí)踐。CMMC框架通過引入評(píng)估元素,采用第三方合規(guī)評(píng)估代替供應(yīng)商網(wǎng)絡(luò)安全自我證明,更加客觀、準(zhǔn)確地驗(yàn)證企業(yè)網(wǎng)絡(luò)安全成熟度等級(jí)相關(guān)的流程與實(shí)踐的實(shí)現(xiàn)程度。
二是推動(dòng)NIST系列基礎(chǔ)標(biāo)準(zhǔn)規(guī)范研制及持續(xù)修訂。圍繞落實(shí)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全政策,美國NIST制定發(fā)布了《聯(lián)邦信息系統(tǒng)的安全控制措施》(SP 800-53)、《工業(yè)控制系統(tǒng)信息安全指南》(SP 800-82)、《非聯(lián)邦機(jī)構(gòu)的受控非密信息保護(hù)》(SP 800-171)等系列標(biāo)準(zhǔn),為CMMC框架落地實(shí)施提供標(biāo)準(zhǔn)化基礎(chǔ)[2]。三是研制發(fā)布網(wǎng)絡(luò)安全成熟度配套評(píng)估工具(CSET)。ICS-CERT依托控制系統(tǒng)安全計(jì)劃,研制發(fā)布新版網(wǎng)絡(luò)安全評(píng)估工具CSET(v11.0.1.0),為提升網(wǎng)絡(luò)安全成熟度評(píng)估框架實(shí)施效果提供了一種系統(tǒng)、規(guī)范且可重復(fù)的方式方法,可用于指導(dǎo)資產(chǎn)所有者、運(yùn)營商逐步評(píng)估工業(yè)控制系統(tǒng)及傳統(tǒng)信息系統(tǒng)的網(wǎng)絡(luò)安全實(shí)踐[3]。
1.3 我國高度重視工控安全,初步建立工控安全防護(hù)能力成熟度模型
黨中央國務(wù)院高度重視我國網(wǎng)絡(luò)安全工作,習(xí)近平總書記強(qiáng)調(diào)網(wǎng)絡(luò)安全博弈歸根到底爭的是標(biāo)準(zhǔn)制定權(quán)、規(guī)則主導(dǎo)權(quán),要積極利用法律法規(guī)和標(biāo)準(zhǔn)規(guī)范引導(dǎo)新技術(shù)應(yīng)用。工業(yè)和信息化部作為工業(yè)領(lǐng)域網(wǎng)絡(luò)安全主管部門,出臺(tái)了《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等政策文件。為落實(shí)相關(guān)政策要求,中國電子技術(shù)標(biāo)準(zhǔn)化研究院以標(biāo)準(zhǔn)為切入點(diǎn),以服務(wù)平臺(tái)為落腳點(diǎn),初步建立了工控安全成熟度模型,進(jìn)一步推動(dòng)工控安全防護(hù)能力建設(shè)向可量化、可評(píng)價(jià)方向轉(zhuǎn)變。一方面研制國家標(biāo)準(zhǔn)《成熟度模型》,將《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》11項(xiàng)防護(hù)要求具體細(xì)化為10個(gè)過程類、40個(gè)過程域、365個(gè)基本實(shí)踐,規(guī)定了針對(duì)核心保護(hù)對(duì)象安全和通用安全的成熟度等級(jí)要求,提出了能力成熟度等級(jí)核驗(yàn)方法,并深入江蘇國電、宇通客車、中天鋼鐵等重點(diǎn)行業(yè)企業(yè)開展貫標(biāo)試驗(yàn),赴江蘇、浙江、四川等6省市開展貫標(biāo)深度行,加強(qiáng)國家標(biāo)準(zhǔn)宣貫與培訓(xùn)工作。另一方面,依托我院“工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)與測(cè)評(píng)工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室”已有技術(shù)積累,依據(jù)《成熟度模型》國家標(biāo)準(zhǔn),研發(fā)工控安全貫標(biāo)公共服務(wù)平臺(tái),面向工控安全防護(hù)貫標(biāo)全生命周期,為工業(yè)企業(yè)、咨詢機(jī)構(gòu)、核驗(yàn)機(jī)構(gòu)提供企業(yè)自評(píng)、貫標(biāo)審核、資產(chǎn)管理、數(shù)據(jù)統(tǒng)計(jì)等功能,形成了一站式公共服務(wù)能力,通過持續(xù)積累工業(yè)企業(yè)貫標(biāo)數(shù)據(jù)信息,量化展示工控安全防護(hù)能力成熟度等級(jí),為主管部門、行業(yè)組織和重點(diǎn)企業(yè)開展工控安全管理工作提供技術(shù)手段。
2 研制思路
我國工業(yè)信息安全國家標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(以下簡稱:信安標(biāo)委)歸口管理。截至目前,信安標(biāo)委共立項(xiàng)研制工控安全國家標(biāo)準(zhǔn)27項(xiàng),范圍涵蓋工業(yè)控制系統(tǒng)安全分級(jí)、安全管理、安全實(shí)施、安全測(cè)評(píng),以及典型工業(yè)控制系統(tǒng)、設(shè)備安全等領(lǐng)域,初步建立了工控安全標(biāo)準(zhǔn)體系。與已有標(biāo)準(zhǔn)相比,《成熟度模型》在標(biāo)準(zhǔn)化對(duì)象、安全防護(hù)能力、標(biāo)準(zhǔn)配套使用、相關(guān)政策落實(shí)等方面實(shí)現(xiàn)了進(jìn)一步完善。
一是標(biāo)準(zhǔn)化對(duì)象由工控系統(tǒng)變?yōu)榻M織。當(dāng)前已發(fā)布工控安全國家標(biāo)準(zhǔn),多將工業(yè)控制系統(tǒng)或設(shè)備作為標(biāo)準(zhǔn)化對(duì)象,針對(duì)其安全需求,提出安全防護(hù)控制措施。《成熟度模型》重點(diǎn)面向運(yùn)維工業(yè)控制系統(tǒng)的組織機(jī)構(gòu),針對(duì)其安全防護(hù)綜合整體能力,提出過程域及基本實(shí)踐,指導(dǎo)開展安全防護(hù)工作。
二是聚焦組織工控安全防護(hù)能力提升。《成熟度模型》標(biāo)準(zhǔn),重點(diǎn)針對(duì)工業(yè)企業(yè)的機(jī)構(gòu)建設(shè)、制度流程、技術(shù)工具、人員能力4個(gè)方面,綜合指導(dǎo)其動(dòng)態(tài)提升安全防護(hù)能力,并不局限于某一具體時(shí)間點(diǎn)的靜態(tài)安全狀態(tài)。
三是可與已有工控安全國家標(biāo)準(zhǔn)配套使用。《成熟度模型》基于風(fēng)險(xiǎn)評(píng)估、安全控制措施裁剪等思路,指導(dǎo)工業(yè)企業(yè)合理篩選適合自身實(shí)際安全需求的控制措施,可與《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》《信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》和《信息安全技術(shù)工業(yè)控制系統(tǒng)現(xiàn)場測(cè)控設(shè)備通用安全功能要求》等標(biāo)準(zhǔn)配套使用。
四是可為相關(guān)政策落地實(shí)施提供技術(shù)支撐。《成熟度模型》依據(jù)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估方法》等政策文件,結(jié)合當(dāng)前工控安全防護(hù)發(fā)展現(xiàn)狀,總結(jié)提煉形成過程域及基本實(shí)踐,可指導(dǎo)工業(yè)企業(yè)依標(biāo)落實(shí)相關(guān)政策文件。
3 標(biāo)準(zhǔn)內(nèi)容解讀
3.1 標(biāo)準(zhǔn)適用范圍
該標(biāo)準(zhǔn)給出了工控安全防護(hù)能力成熟度模型,規(guī)定了核心保護(hù)對(duì)象安全和通用安全的成熟度等級(jí)要求,提出了能力成熟度等級(jí)核驗(yàn)方法,適用于工業(yè)控制系統(tǒng)設(shè)計(jì)、建設(shè)、運(yùn)維等相關(guān)方進(jìn)行工控安全防護(hù)能力建設(shè),以及對(duì)組織工控安全防護(hù)能力成熟度等級(jí)進(jìn)行核驗(yàn)。
3.2 能力成熟度模型
工控安全防護(hù)能力成熟度模型由安全能力要素、能力成熟度等級(jí)和能力建設(shè)過程等3個(gè)維度構(gòu)成,如圖1所示。安全能力要素包括工業(yè)企業(yè)開展工控安全防護(hù)能力提升,所需涉及的機(jī)構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力等4方面能力。能力成熟度等級(jí)根據(jù)安全能力要素所處能力水平,自低向高將企業(yè)工控安全防護(hù)能力定義為5個(gè)不同級(jí)別(1級(jí)基礎(chǔ)建設(shè)級(jí),2級(jí)規(guī)范防護(hù)級(jí),3級(jí)集成管控級(jí),4級(jí)綜合協(xié)同級(jí),5級(jí)智能優(yōu)化級(jí))。能力建設(shè)過程,依據(jù)IEC62443關(guān)于工業(yè)控制系統(tǒng)層次模型定義[4],針對(duì)工業(yè)設(shè)備安全、工業(yè)主機(jī)安全、工業(yè)網(wǎng)絡(luò)安全、工業(yè)軟件安全、工業(yè)數(shù)據(jù)安全等5個(gè)方面,提出核心保護(hù)對(duì)象的過程域及配套基本實(shí)踐,同時(shí)面向運(yùn)維工業(yè)控制系統(tǒng)的組織,提出安全規(guī)劃與架構(gòu)、人員管理與培訓(xùn)、物理與環(huán)境安全、監(jiān)測(cè)預(yù)警與應(yīng)急響應(yīng)、供應(yīng)鏈安全保障等5方面的通用安全過程域及配套基本實(shí)踐。
圖1 工控安全防護(hù)能力成熟度模型
3.3 安全能力要素維度
工控安全防護(hù)能力要素是客觀評(píng)價(jià)工業(yè)企業(yè)工控安全防護(hù)能力的主要要素指標(biāo),明確工控安全防護(hù)能力要素的組成部分,具體包括機(jī)構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力4個(gè)方面。機(jī)構(gòu)建設(shè)主要從工控安全防護(hù)架構(gòu)對(duì)工業(yè)企業(yè)的適用性,工控安全工作責(zé)任的明確性,以及工控安全機(jī)構(gòu)運(yùn)作、溝通協(xié)調(diào)的有效性等方面對(duì)工控安全防護(hù)能力進(jìn)行考核。制度流程圍繞工控系統(tǒng)關(guān)鍵控制節(jié)點(diǎn)授權(quán)審批流程的明確性,相關(guān)制度流程制修訂的規(guī)范性,以及制度流程實(shí)施的一致性和有效性等方面對(duì)工業(yè)企業(yè)安全防護(hù)制度流程建設(shè)和執(zhí)行情況進(jìn)行約束。技術(shù)工具重點(diǎn)圍繞工控安全防護(hù)技術(shù)應(yīng)用情況和安全風(fēng)險(xiǎn)應(yīng)對(duì)能力,以及利用技術(shù)工具實(shí)現(xiàn)制度流程固化執(zhí)行的實(shí)現(xiàn)能力進(jìn)行了明確要求。人員能力對(duì)工業(yè)企業(yè)工控安全從業(yè)人員業(yè)務(wù)能力、安全意識(shí)及業(yè)務(wù)工藝與安全防護(hù)融合應(yīng)用等方面,對(duì)工業(yè)企業(yè)提出了相應(yīng)的能力約束要求。
3.4 能力成熟度等級(jí)維度
工業(yè)企業(yè)依據(jù)標(biāo)準(zhǔn)逐級(jí)開展安全防護(hù)的能力建設(shè),自低向高分別是基礎(chǔ)建設(shè)級(jí)、規(guī)范防護(hù)級(jí)、集成管控級(jí)、綜合協(xié)同級(jí)和智能優(yōu)化級(jí)。一是基礎(chǔ)建設(shè)級(jí),該級(jí)別要求企業(yè)能夠依據(jù)工控安全防護(hù)的技術(shù)基礎(chǔ)和條件開展基本保護(hù)工作,安全防護(hù)能力建設(shè)主要基于特定業(yè)務(wù)場景,尚未形成規(guī)范化、流程化的工作方式,相關(guān)工作多依賴信息安全人員主觀經(jīng)驗(yàn),建設(shè)過程未要求以文檔形式記錄,無法形成可復(fù)制。二是規(guī)范防護(hù)級(jí),該級(jí)別要求企業(yè)建立并記錄工控安全防護(hù)能力建設(shè)工作,能夠針對(duì)工業(yè)控制設(shè)備、工業(yè)主機(jī)、工業(yè)網(wǎng)絡(luò)、工業(yè)數(shù)據(jù)等方面制定規(guī)范化安全防護(hù)制度、規(guī)章,使得企業(yè)能夠以重復(fù)的方式執(zhí)行,采用數(shù)字化裝備、信息技術(shù)手段等,有針對(duì)性地開展安全防護(hù),面向各方面形成獨(dú)立、可復(fù)制的安全防護(hù)能力。三是集成管控級(jí),要求企業(yè)能夠?qū)I(yè)控制系統(tǒng)設(shè)備、主機(jī)、系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)等方面,在規(guī)范防護(hù)已有工作基礎(chǔ)上,通過集成化工具、系統(tǒng)等,對(duì)相對(duì)獨(dú)立的單點(diǎn)防護(hù)設(shè)備進(jìn)行集中統(tǒng)一管控,同時(shí)整合相關(guān)防護(hù)規(guī)章制度文件,形成體系化制度,提升企業(yè)內(nèi)部工控安全的集中管理、統(tǒng)一控制的安全防護(hù)能力。四是綜合協(xié)同級(jí),要求企業(yè)能夠面向不同產(chǎn)線、廠區(qū)、工廠及產(chǎn)業(yè)鏈上下游相關(guān)單位,統(tǒng)籌考慮安全風(fēng)險(xiǎn)需求,開展安全防護(hù)建設(shè),建立多級(jí)協(xié)同的安全管理體系,并通過態(tài)勢(shì)感知、統(tǒng)一管控等技術(shù)手段實(shí)現(xiàn)綜合決策、協(xié)調(diào)防護(hù)的安全能力。五是智能優(yōu)化級(jí),要求企業(yè)能夠采用人工智能、主動(dòng)防御、內(nèi)生安全等先進(jìn)技術(shù),與已有安全防護(hù)設(shè)備、系統(tǒng)、制度體系深度融合,使得可通過知識(shí)學(xué)習(xí)、智能建模分析等技術(shù),構(gòu)建可智能化演進(jìn)的安全防護(hù)系統(tǒng),形成具有自決策、自進(jìn)化能力的安全防護(hù)體系。設(shè)計(jì)相應(yīng)的能力成熟度檢驗(yàn)流程如圖2所示,相關(guān)的能力成熟度模型使用步驟如圖3所示。
圖2 能力成熟度等級(jí)核驗(yàn)流程
圖3 推薦的能力成熟度模型使用步驟
3.5 能力建設(shè)過程維度
能力建設(shè)過程維度,重點(diǎn)面向工業(yè)企業(yè)開展工控安全防護(hù)能力建設(shè)過程中需關(guān)注的對(duì)象,提出相應(yīng)的過程域及配套基本實(shí)踐,以指導(dǎo)工業(yè)企業(yè)安全防護(hù)能力提升。工業(yè)企業(yè)作為工控安全防護(hù)能力建設(shè)提升的主體,在能力建設(shè)過程中,需重點(diǎn)關(guān)注被保護(hù)對(duì)象的安全及企業(yè)自身安全組織機(jī)構(gòu)及配套管理制度的運(yùn)行效果,并據(jù)此構(gòu)建工控安全成熟度的過程域體系。該過程域體系包含核心保護(hù)對(duì)象安全、通用安全2部分,如圖4所示。
圖4 能力建設(shè)過程域
其中核心保護(hù)對(duì)象安全依據(jù)IEC62443關(guān)于工業(yè)控制系統(tǒng)層次模型定義,涉及工業(yè)設(shè)備安全、工業(yè)主機(jī)安全、工業(yè)網(wǎng)絡(luò)安全、工業(yè)軟件安全、工業(yè)數(shù)據(jù)安全等5個(gè)過程域的集合,重點(diǎn)提出控制設(shè)備、現(xiàn)場測(cè)控設(shè)備、工業(yè)上位機(jī)、工業(yè)網(wǎng)絡(luò)、控制軟件及工業(yè)數(shù)據(jù)等對(duì)象的安全基本實(shí)踐。針對(duì)運(yùn)維工業(yè)控制系統(tǒng)的組織機(jī)構(gòu),面向其安全運(yùn)維的實(shí)際需求,提出安全規(guī)劃與架構(gòu)、人員管理與培訓(xùn)、物理與環(huán)境安全、監(jiān)測(cè)預(yù)警與應(yīng)急響應(yīng)、供應(yīng)鏈安全保障等安全5個(gè)過程域的集合,支撐應(yīng)急響應(yīng)、數(shù)據(jù)安全、供應(yīng)鏈安全等政策文件的落地實(shí)施。能力建設(shè)過程維度共包含10個(gè)過程類,40個(gè)過程域,共計(jì)365個(gè)基本實(shí)踐。經(jīng)過前期標(biāo)準(zhǔn)試點(diǎn)驗(yàn)證和應(yīng)用研究分析,工業(yè)企業(yè)達(dá)到二級(jí)(規(guī)范防護(hù)級(jí))要求,即可基本滿足《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》提出的11項(xiàng)安全防護(hù)要點(diǎn)。
3.6 標(biāo)準(zhǔn)實(shí)施意義
該標(biāo)準(zhǔn)圍繞落實(shí)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等相關(guān)政策文件要求,根據(jù)新形勢(shì)下工控安全防護(hù)重點(diǎn),從工控安全防護(hù)設(shè)計(jì)、建設(shè)、運(yùn)維全生命周期提出工控安全防護(hù)要求。標(biāo)準(zhǔn)的實(shí)施與應(yīng)用有助于指導(dǎo)企業(yè)落實(shí)政策標(biāo)準(zhǔn)的有關(guān)要求,進(jìn)一步引導(dǎo)工業(yè)企業(yè)統(tǒng)籌發(fā)展和安全,指導(dǎo)企業(yè)逐級(jí)提升工控安全防護(hù)能力,以較低成本建立有效的工控安全管理和技術(shù)防護(hù)體系,量化評(píng)價(jià)企業(yè)安全防護(hù)水平,著力防范化解重大安全風(fēng)險(xiǎn)。同時(shí),該標(biāo)準(zhǔn)的實(shí)施推廣,可支撐工控安全行業(yè)主管部門,全面了解當(dāng)前我國工業(yè)企業(yè)工控安全防護(hù)能力水平,摸清本行業(yè)、本轄區(qū)工控安全底數(shù),為工控安全管理工作開展,提供標(biāo)準(zhǔn)化基礎(chǔ)。
4 總結(jié)與展望
目前,我國已初步開展工控安全成熟度相關(guān)標(biāo)準(zhǔn)研制及服務(wù)平臺(tái)開發(fā)工作,但尚未形成法律、政策、標(biāo)準(zhǔn)相互銜接、互為補(bǔ)充的管理制度,后續(xù)在主管部門指導(dǎo)下,建議產(chǎn)學(xué)研用各方力量進(jìn)一步聚焦管理體系構(gòu)建、貫標(biāo)工作推廣、遴選試點(diǎn)示范、服務(wù)能力建設(shè)等方面持續(xù)開展相關(guān)工作,促進(jìn)工業(yè)企業(yè)工控安全防護(hù)能力躍升。
一是深入推進(jìn)工控安全政策標(biāo)準(zhǔn)的宣貫實(shí)施。結(jié)合前期網(wǎng)絡(luò)安全相關(guān)貫標(biāo)工作經(jīng)驗(yàn),在全國范圍內(nèi)開展工控安全防護(hù)能力成熟度模型國家標(biāo)準(zhǔn)及指南的宣貫工作,面向工業(yè)基礎(chǔ)好、安全需求強(qiáng)、技術(shù)儲(chǔ)備足的重點(diǎn)地區(qū)和行業(yè),組織開展貫標(biāo)試點(diǎn)工作,厘清全國工業(yè)企業(yè)工控安全防護(hù)能力底數(shù),繪制重點(diǎn)地區(qū)和行業(yè)工控安全防護(hù)能力指數(shù)地圖。
二是啟動(dòng)地區(qū)/行業(yè)工控安全防護(hù)能力示范工作。結(jié)合貫標(biāo)試點(diǎn)工作基礎(chǔ),遴選一批工控安全防護(hù)貫標(biāo)示范案例,逐步形成可復(fù)制、可推廣的示范工程,引導(dǎo)企業(yè)將指南和工控安全防護(hù)能力成熟度模型有關(guān)要求,納入企業(yè)信息化發(fā)展戰(zhàn)略,形成典型示范效應(yīng),帶動(dòng)更多工業(yè)企業(yè)參與并實(shí)施貫標(biāo)工作,引導(dǎo)地方和社會(huì)資源加大配套投入。
三是注重工控安全貫標(biāo)公共服務(wù)能力建設(shè)。進(jìn)一步完善工控安全貫標(biāo)公共服務(wù)平臺(tái),組織研發(fā)標(biāo)準(zhǔn)符合性數(shù)據(jù)智能采集、內(nèi)容合規(guī)性智能診斷等配套工具,為工業(yè)企業(yè)開展自對(duì)標(biāo)、自診斷、自評(píng)價(jià)等工作提供技術(shù)支撐,降低企業(yè)實(shí)施工控安全貫標(biāo)的資源消耗,提升貫標(biāo)結(jié)果的客觀性、準(zhǔn)確性和科學(xué)性。
作者簡介:
姚相振 (1984-),男,山東德州人,高級(jí)工程師,博士,現(xiàn)就職于中國電子技術(shù)標(biāo)準(zhǔn)化研究院,研究方向?yàn)榫W(wǎng)絡(luò)安全。
趙梓桐 (1992-),男,遼寧錦州人,工程師,碩士,現(xiàn)就職于中國電子技術(shù)標(biāo)準(zhǔn)化研究院,研究方向?yàn)榫W(wǎng)絡(luò)安全。
周睿康 (1990-),男,浙江東陽人,工程師,碩士,現(xiàn)就職于中國電子技術(shù)標(biāo)準(zhǔn)化研究院,研究方向?yàn)榫W(wǎng)絡(luò)安全、密碼學(xué)。
李琳 (1983-),男,山東濟(jì)南人,高級(jí)工程師,博士,現(xiàn)就職于中國電子技術(shù)標(biāo)準(zhǔn)化研究院,研究方向?yàn)榫W(wǎng)絡(luò)安全。
參考文獻(xiàn):
[1]楊楠.網(wǎng)絡(luò)空間軍事化及其國際政治影響[J].外交評(píng)論(外交學(xué)院學(xué)報(bào)),2020,37(03):69–93,6-7.
[2]NIST.SP800-53Rev.5.SecurityandPrivacyControlsforInformationSystemsandOrganizations[EB/OL].[2021-08-01].
[3]NIST.SP800-82Rev.2.GuidetoIndustrialControlSystems(ICS)Security[EB/OL].[2021-08-15].[4]GB/T32919-2016,信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南[S].
摘自《自動(dòng)化博覽》2022年7月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)