今日頭條
官方微信
官方抖音
資訊頻道陳雪鴻 國家能源局信息中心,電力行業信息安全等級保護測評中心
石油石化行業是我國的支柱產業,是基礎性產業,它為農業、能源、交通、機械、電子、紡織、輕工、建筑、建材等工農業和人民日常生活提供配套和服務,在我國國民經濟的發展中起著舉足輕重的作用。我國已進入世界石油石化大國前列,通過科技創新,已擁有一批具有自主知識產權的核心技術和專有技術,具備依靠自有技術建設千萬噸級煉油、百萬噸級乙烯生產裝置的能力,裝置大型化、產業集中度不斷提高。隨著信息化與工業化不斷深入融合,信息技術深刻影響和改變著石油石化行業經營管理方式,信息技術在油田、煉油、化工、銷售全產業鏈上得到應用,信息系統已經成為各企業經營管理、生產運營、營銷服務的中樞神經,智能油氣田、智能煉化、銷售電商平臺、一體化客戶管理、全球供應鏈與物流等信息化工作取得初步進展,正在促進引領石油石化行業的發展。工業控制系統的定義是指由計算機與工業過程控制部件組成的自動控制系統[1]。本文所指的工業控制系統是指用于監視和控制石油石化行業生產及供應過程的、基于計算機及網絡技術的業務系統及智能設備,以及作為基礎支撐的通信及數據網絡等;存量工業控制系統是指已正式投入生產運行、尚無退運計劃的工業控制系統。
1 存量工業控制系統等級保護實施的擴展基本原則
存量工業控制系統等級保護實施工作除要遵守信息系統等級保護實施的“自主保護、重點保護、同步建設、動態調整”原則之外,還應按照國家和行業對信息安全等級保護的有關要求,堅持以下原則[2]:
1.1 結構優先原則
結構安全是存量工業控制系統的安全基礎。存量工業控制系統大多投運時間較早,在最初投運時缺乏安全功能設計,難以進行技術改造或改造成本巨大。通過優化結構,強化邊界防護,減少對威脅的暴露面,降低脆弱性的可利用性,設置多道防線,重點防護實時控制系統。在確保結構安全的前提下,通過規范內部物理和環境、網絡和通信、設備和計算、應用和數據安全,加強安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理,提高系統整體安全防護能力,保證存量工業控制系統運行及重要數據的安全。
1.2 聯合防護原則
存量工業控制系統安全除依靠運行單位外,還需依靠系統供應商和安全服務機構。同時,大多數存量工業控制系統隨著企業規模的壯大,數字化、集中化、自動化程度會越來越高,不同廠商的工業控制系統集成互聯,集控或者遠控功能不斷增強。存量工業控制系統還可能隸屬于不同責任主體。互聯的存量工業控制系統除需根據自身特點和安全保護等級要求,采取技術與管理措施提高自身防護能力之外,還應實行聯合防護,提高互聯對端的存量工業控制系統的安全。上位工控系統企業還可利用其資源和技術優勢,加強對下位工控系統的技術監督和指導。在應急工作中,也需要采用聯合應急方式。
1.3 安全可控原則
存量工業控制系統在進行系統設計、開發,關鍵設備選型時應滿足安全可控的原則。優先選擇經過國家網絡安全審查或者我國自主研發,具有自主知識產權的系統及設備,嚴格禁止選用經國家相關管理部門檢測認定并經有關部門通報存在漏洞和風險的系統及設備。
存量工業控制系統所使用的服務器、網絡設備、安全設備、安全服務等均應通過逐步淘汰選用符合國家及行業標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求。服務器、網絡設備、安全設備、安全服務的提供者不得設置惡意程序。發現服務器、網絡設備、安全設備、安全服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。
網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或者提供。
1.4 立體防御原則
存量工業控制系統安全防護工作應形成立體防御格局,在空間上,形成橫向(與本單位管理類信息系統的邊界)及縱向(不同責任主體或同一責任主體在不同地域的廣域網邊界)邊界防護的基礎上,將防護措施逐步深入到承載業務系統運行的主機、數據庫、網絡設備、安全設備等,加強安全基線和策略的配置,合理優化設備和系統的功能參數,提升系統本體安全防護能力,逐步形成柵格狀的縱深防御體系。在管理上,形成技術與管理互補格局,技術不足管理補,管理不足技術補,完善管理制度、落實各項措施,加強對人員和行為的管控。在時間上,形成全生命周期的立體防御,在系統設計、開發、建設、運行、退運等階段開展相應的安全技術及管理工作,在各個階段使系統的安全防護能力匹配于其所面臨的安全風險。
2 角色和職責
存量工業控制系統等級保護實施過程中涉及的主要角色有:國家管理部門(公安機關、國家保密部門、密碼管理部門、行業主管部門等),工控系統所屬單位或具有垂直管理關系上級單位的主管信息安全管理工作的部門,運行單位,信息安全服務機構、測評機構,信息安全產品供應商,上位工控系統運行單位或調度機構,設計單位和系統供應商。
2.1 信息安全產品供應商
信息安全產品供應商負責按照國家及行業網絡安全等級保護的管理規范和技術標準,開發符合等級保護相關要求的信息安全產品,接受安全測評;按照等級保護相關要求銷售信息安全產品并提供相關服務。
存量工業控制系統專用產品供應商除應做好上述工作外,還應當以合同條款或者保密協議的方式保證其所提供的設備及系統符合有關規定,在設備及系統的全生命周期內對其負責,并按照國家有關要求做好保密工作,禁止關鍵技術和設備的擴散。
2.2 存量工業控制系統供應商
存量工業控制系統供應商應按照存量工業控制系統安全等級保護的管理規范和技術標準,配合運行單位存量工業控制系統進行整改和重新部署,不得設置惡意程序。一旦發現其產品和服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施按照規定及時告知用戶并向有關主管部門報告。
存量工業控制系統供應商應當為其產品、服務持續提供安全維護;在規定的期限內,不得終止提供安全維護。
存量工業控制系統供應商提供的產品、服務具有數據采集功能的,應將所采集的數據類型和需求向運行單位說明,并取得同意后方可實施。
此外在設備選型及配置時,應當禁止選用經國家相關管理部門檢測認定并經國家能源局通報存在漏洞和風險的系統及設備;對于已投入運行的系統及設備,應按照國家能源局及其派出機構的要求及時配合運行單位進行整改。
2.3 存量工業控制系統設計單位
工業控制系統設計單位和供應商可能為不同單位。存量工業控制系統技改時,運行單位需協調系統原設計單位對技改部分進行安全確認,確保所實施的技改細節與原系統設計細節無沖突。存量工業控制系統設計單位規劃設計信息系統時,應明確系統的安全保護需求,設計合理的安全總體方案,制定安全實施計劃,負責信息系統安全建設工程的實施。在設計過程中,應充分考慮系統整體結構方面與存量工業控制系統安全防護原則的一致性,以及主機、網絡、應用、數據等方面與存量工業控制系統信息安全等級保護要求的一致性。
2.4 上位工控系統運行單位或調度機構
當本級工業控制系統與上位工控系統運行單位為不同單位時,上位工控系統運行單位或調度機構需對下位工控系統運行單位的等級保護工作實施技術監督。
本級工控系統安全防護實施方案需經本企業的上級專業管理部門和信息安全管理部門以及相應上位工控系統運行單位或調度機構的審核,方案實施完成后應當報請上述機構參與驗收工作。
接入上位工控系統網絡的設備和應用系統,其接入技術方案和安全防護措施必須經直接負責的上位工控系統或調度機構同意。
建立健全聯合防護和應急機制,制定專項應急預案。上位工控系統運行單位或調度機構負責統一指揮其接入或調度范圍內的工業控制系統安全應急處理。其它角色和職能參見國標《信息系統安全等級保護實施指南》(GB/T 25058-2010)。
圖1 劃為等級保護對象的工業控制系統定級階段工作流程
3 存量工業控制系統定級與備案
定級階段的目標是運行單位按照國家和行業有關標準和管理規范,確定劃入等級保護對象范圍內的工業控制系統的安全保護等級,經相關信息安全管理部門審核、批準后,報公安機關備案,獲取《信息系統安全等級保護備案證明》,行業主管部門有要求的,定級備案結果抄送行業主管部門備案[3]。
工業控制系統和等級保護對象均是個統稱。需對工業控制系統進行分析,劃分其需納入等級保護對象的范圍,在劃分了等級保護對象后,逐一對各工業控制系統進行分析,確定作為同一定級對象的工業控制系統的基本特征。應根據其承載業務和管理方式的變化動態、合理確定工業控制系統的定級對象。定級對象的基本特征為[3]:
(1)具有唯一確定的安全責任單位
作為定級對象的工業控制系統應能夠唯一地確定其安全責任單位。如果運行單位(如調度中心或工廠運行班組)負責系統安全建設、運行維護等過程的全部安全責任,則運行單位可以成為此系統的安全責任單位;如果一個單位中的不同下級單位分別承擔系統不同方面的安全責任,則該系統的安全責任單位應是這些下級單位共同所屬的單位,如班組1運行dcs1,班組2運行dcs2,dcs1和dcs2為同一供應商同一型號的產品,單位(如廠級層面)有意將dcs1和dcs2統一定級為一個系統,則其責任單位可由班組1和班組2的上級單位如安生部承擔。
(2)具有信息系統的基本要素
作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件,如服務器、終端、網絡設備等作為定級對象。在具體的工業控制系統中,PLC、RTU等所處理的業務是業務系統的一部分,其不具備信息系統的基本要素。
(3)承載單一或相對獨立的業務應用
定級對象承載“單一”的業務應用是指該業務應用的業務流程獨立,與其他業務應用沒有數據交換,且獨享所有信息處理設備。定級對象承載“相對獨立”的業務應用是指其業務應用的主要業務流程獨立,同時與其他業務應用有少量的數據交換,定級對象可能會與其他業務應用共享一些設備,尤其是網絡傳輸設備。
應避免單個裝置或設備(如PLC、RTU等)作為單個定級對象進行備案。同一安全區域同一安全責任單位同一等級的工業控制系統可以整合成一個系統進行備案。定級備案結果需相對合理,沒有絕對正確和絕對統一的定級備案結果。
4 存量工業控制系統等級測評與安全防護評估
等級測評是測評機構依據國家信息安全等級保護制度規定,按照有關管理規范和技術標準,對非涉及國家秘密信息系統安全等級保護狀況進行檢測評估的活動。工業控制系統安全防護評估[5]是評估機構依據國家標準或行業評估規范等,對工業控制系統的安全防護狀況進行評估的活動。等級測評和安全防護評估各有側重與優勢,宜同步開展測評與評估,有助于全面測評和評估單個已定級的工業控制系統自身的等級保護狀況和與之互聯或關聯的其它工業控制系統的整體安全防護狀況。等級測評與安全防護評估階段的目標是按照系統安全總體方案的要求,結合系統安全建設項目計劃,分期分步落實安全措施。
測評與評估階段的工作流程如圖2和圖3所示。
圖2 等級保護測評階段工作流程
圖3 安全防護評估階段工作流程
5 存量工業控制系統整改與實施
存量工業控制系統安全整改是等級保護工作的重要環節。本活動發生在存量工業控制系統等級測評、安全評估、安全自查、監督檢查等工作之后,主要是針對測評、評估、自查、檢查工作中發現的安全問題進行有計劃的建設整改或技術改造。
安全建設整改工作包括整改方案制定、安全整改實施、整改結果驗證等主要過程。安全建設整改階段的工作流程如圖4所示。
圖4 存量工業控制系統整改流程
存量工業控制系統的整改技術措施,應先在測試環境中測試和驗證通過后,再部署到實際生產環境中,并盡量選擇大小修期間、停機狀態進行,避免對生產過程造成影響。整改實施前應制定應急措施,并做好備份工作,確保即使出現問題系統也能夠回退并恢復到整改前的狀態。
短期內可進行整改的技術類問題需要運行單位、開發單位、設計單位共同參與;需添加設備,與其他單位聯合進行整改的安全問題,其整改周期較長,應列入技術改造計劃,聯合設計單位、開發單位、供應商以及其他運行單位共同進行。從開發單位、設備供應商獲得技術支持有難度的,應上報上級單位或行業主管部門統一規劃部署,依法依規協調督促系統和設備原廠提供商支持、配合系統單位的安全加固整改工作,有效落實網絡安全整改措施。
對于行業普遍存在的、整改難度較大的安全問題,可上報行業主管部門,在行業主管部門的指導下,聯合行業內其他單位共同選出典型單位,進行試點實施,形成經典案例,確認無誤后再在其他同類單位推廣應用。
整改過程中需采購新系統或新設備的,應當選擇使用經過國家檢測認證的系統及設備,禁止選用經國家相關管理部門檢測認定并經通報存在漏洞和風險的系統及設備。管理類安全問題的整改可與技術類安全問題的整改同步進行,確保盡快完善管理制度體系,并保證技術措施和管理措施相互促進、相互彌補。
作者簡介
陳雪鴻(1976-),女,高級工程師,碩士,現就職于國家能源局信息中心,主要研究方向為為電力信息化及其信息安全。
參考文獻:
[1] 國家發展和改革委員會令第14號. 電力監控系統安全防護規定 [Z]. 2014.
[2] 公通字[2007]43號. 信息安全等級保護管理辦法 [Z].
[3] GB/T 25058-2010, 信息系統安全等級保護實施指南 [S].
[4] GB/T 20984-2007, 信息安全風險評估規范 [S].
摘自《工業控制系統信息安全》專刊第四輯
北京市公安局海淀分局備案號:11010802023656號