国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★中國電子技術標準化研究院姚相振，趙梓桐，周?？?，李琳

1 引言

1.1 當前我國工業控制系統信息安全形勢依然嚴峻

隨著兩化融合進程的不斷深化和工業互聯網的快速發展，工業控制系統聯網數量持續增長，工業控制系統與互聯網的安全風險相互交織，新型安全問題層出不窮，傳統的安全防護策略已難以有效應對日趨多元化的網絡安全威脅。一是控制系統互聯趨勢明顯，安全防護面臨新挑戰。隨著工業智能設備的部署和應用日趨廣泛，越來越多的工業控制系統和產品采用通用協議、硬件及軟件，以各種方式接入互聯網等公共網絡。網絡互聯導致潛在攻擊路徑不斷增多，漏洞、病毒等安全威脅不斷向工業控制系統擴散蔓延。二是工業漏洞居高不下，高危風險占比較大。由于傳統工業環境相對封閉可信，大多數存量工控系統安全設計考慮不足，安全技術融合應用深度不夠，工業軟硬件本身存在大量安全漏洞，易被攻擊者利用。同時，據2021年美國工控系統網絡應急響應小組（ICS-CERT）公布的389個工控安全漏洞分析顯示，其中77%由于涉及范圍廣、影響程度深、安全危害大被認定為高危漏洞，亟需引起高度重視。三是網絡攻擊手段多樣，安全影響持續升級。工業控制系統作為網絡空間對抗的重點攻擊目標之一，工業領域勒索病毒、“工業毀壞者”惡意軟件、“熔斷”漏洞、“幽靈”漏洞等安全威脅影響廣泛，工控安全事件頻繁發生，導致多家企業關鍵業務系統嚴重受損、生產停滯，其安全攻擊經過精心策劃，具有鮮明的目的性^[1]。

1.2 國外開展成熟度模型研究，提前布局新型安全防護體系

面對工控安全的嚴峻形勢，為科學衡量企業工控安全防護能力水平，美國已率先啟動網絡安全成熟度評價工作，從政策文件、標準規范、技術工具等方面形成先發優勢，提早布局新型網絡安全綜合防護體系。一是積極開展網絡安全成熟度模型評估框架（CMCC Framework）研究。為科學衡量企業網絡安全防護能力水平，提升國防工業基地相關部門及國防部供應鏈企業的網絡安全防護能力，美國防部（DoD）于2020年3月18日研制發布CMMC框架（V1.02）要求。該框架將企業網絡安全成熟度由低向高分為5等級（經驗執行級、文檔記錄級、制度規范級、量化評估級、持續優化級），通過綜合考慮被保護對象的類型和敏感度，以及相關威脅范圍，形成多個網絡安全標準、框架和參考文件的成熟流程及最佳實踐。CMMC框架通過引入評估元素，采用第三方合規評估代替供應商網絡安全自我證明，更加客觀、準確地驗證企業網絡安全成熟度等級相關的流程與實踐的實現程度。

二是推動NIST系列基礎標準規范研制及持續修訂。圍繞落實關鍵基礎設施網絡安全政策，美國NIST制定發布了《聯邦信息系統的安全控制措施》（SP 800-53）、《工業控制系統信息安全指南》（SP 800-82）、《非聯邦機構的受控非密信息保護》（SP 800-171）等系列標準，為CMMC框架落地實施提供標準化基礎^[2]。三是研制發布網絡安全成熟度配套評估工具（CSET）。ICS-CERT依托控制系統安全計劃，研制發布新版網絡安全評估工具CSET（v11.0.1.0），為提升網絡安全成熟度評估框架實施效果提供了一種系統、規范且可重復的方式方法，可用于指導資產所有者、運營商逐步評估工業控制系統及傳統信息系統的網絡安全實踐^[3]。

1.3 我國高度重視工控安全，初步建立工控安全防護能力成熟度模型

黨中央國務院高度重視我國網絡安全工作，習近平總書記強調網絡安全博弈歸根到底爭的是標準制定權、規則主導權，要積極利用法律法規和標準規范引導新技術應用。工業和信息化部作為工業領域網絡安全主管部門，出臺了《加強工業互聯網安全工作的指導意見》《工業控制系統信息安全防護指南》等政策文件。為落實相關政策要求，中國電子技術標準化研究院以標準為切入點，以服務平臺為落腳點，初步建立了工控安全成熟度模型，進一步推動工控安全防護能力建設向可量化、可評價方向轉變。一方面研制國家標準《成熟度模型》，將《工業控制系統信息安全防護指南》11項防護要求具體細化為10個過程類、40個過程域、365個基本實踐，規定了針對核心保護對象安全和通用安全的成熟度等級要求，提出了能力成熟度等級核驗方法，并深入江蘇國電、宇通客車、中天鋼鐵等重點行業企業開展貫標試驗，赴江蘇、浙江、四川等6省市開展貫標深度行，加強國家標準宣貫與培訓工作。另一方面，依托我院“工業控制系統安全標準與測評工業和信息化部重點實驗室”已有技術積累，依據《成熟度模型》國家標準，研發工控安全貫標公共服務平臺，面向工控安全防護貫標全生命周期，為工業企業、咨詢機構、核驗機構提供企業自評、貫標審核、資產管理、數據統計等功能，形成了一站式公共服務能力，通過持續積累工業企業貫標數據信息，量化展示工控安全防護能力成熟度等級，為主管部門、行業組織和重點企業開展工控安全管理工作提供技術手段。

2 研制思路

我國工業信息安全國家標準由全國信息安全標準化技術委員會（以下簡稱：信安標委）歸口管理。截至目前，信安標委共立項研制工控安全國家標準27項，范圍涵蓋工業控制系統安全分級、安全管理、安全實施、安全測評，以及典型工業控制系統、設備安全等領域，初步建立了工控安全標準體系。與已有標準相比，《成熟度模型》在標準化對象、安全防護能力、標準配套使用、相關政策落實等方面實現了進一步完善。

一是標準化對象由工控系統變為組織。當前已發布工控安全國家標準，多將工業控制系統或設備作為標準化對象，針對其安全需求，提出安全防護控制措施。《成熟度模型》重點面向運維工業控制系統的組織機構，針對其安全防護綜合整體能力，提出過程域及基本實踐，指導開展安全防護工作。

二是聚焦組織工控安全防護能力提升?！冻墒於饶Ｐ汀窐藴剩攸c針對工業企業的機構建設、制度流程、技術工具、人員能力4個方面，綜合指導其動態提升安全防護能力，并不局限于某一具體時間點的靜態安全狀態。

三是可與已有工控安全國家標準配套使用?！冻墒於饶Ｐ汀坊陲L險評估、安全控制措施裁剪等思路，指導工業企業合理篩選適合自身實際安全需求的控制措施，可與《信息安全技術工業控制系統安全控制應用指南》《信息安全技術工業控制系統風險評估實施指南》和《信息安全技術工業控制系統現場測控設備通用安全功能要求》等標準配套使用。

四是可為相關政策落地實施提供技術支撐?！冻墒於饶Ｐ汀芬罁豆I控制系統信息安全防護指南》《工業控制系統信息安全防護能力評估方法》等政策文件，結合當前工控安全防護發展現狀，總結提煉形成過程域及基本實踐，可指導工業企業依標落實相關政策文件。

3 標準內容解讀

3.1 標準適用范圍

該標準給出了工控安全防護能力成熟度模型，規定了核心保護對象安全和通用安全的成熟度等級要求，提出了能力成熟度等級核驗方法，適用于工業控制系統設計、建設、運維等相關方進行工控安全防護能力建設，以及對組織工控安全防護能力成熟度等級進行核驗。

3.2 能力成熟度模型

工控安全防護能力成熟度模型由安全能力要素、能力成熟度等級和能力建設過程等3個維度構成，如圖1所示。安全能力要素包括工業企業開展工控安全防護能力提升，所需涉及的機構建設、制度流程、技術工具和人員能力等4方面能力。能力成熟度等級根據安全能力要素所處能力水平，自低向高將企業工控安全防護能力定義為5個不同級別（1級基礎建設級，2級規范防護級，3級集成管控級，4級綜合協同級，5級智能優化級）。能力建設過程，依據IEC62443關于工業控制系統層次模型定義[4]，針對工業設備安全、工業主機安全、工業網絡安全、工業軟件安全、工業數據安全等5個方面，提出核心保護對象的過程域及配套基本實踐，同時面向運維工業控制系統的組織，提出安全規劃與架構、人員管理與培訓、物理與環境安全、監測預警與應急響應、供應鏈安全保障等5方面的通用安全過程域及配套基本實踐。

圖1 工控安全防護能力成熟度模型

3.3 安全能力要素維度

工控安全防護能力要素是客觀評價工業企業工控安全防護能力的主要要素指標，明確工控安全防護能力要素的組成部分，具體包括機構建設、制度流程、技術工具和人員能力4個方面。機構建設主要從工控安全防護架構對工業企業的適用性，工控安全工作責任的明確性，以及工控安全機構運作、溝通協調的有效性等方面對工控安全防護能力進行考核。制度流程圍繞工控系統關鍵控制節點授權審批流程的明確性，相關制度流程制修訂的規范性，以及制度流程實施的一致性和有效性等方面對工業企業安全防護制度流程建設和執行情況進行約束。技術工具重點圍繞工控安全防護技術應用情況和安全風險應對能力，以及利用技術工具實現制度流程固化執行的實現能力進行了明確要求。人員能力對工業企業工控安全從業人員業務能力、安全意識及業務工藝與安全防護融合應用等方面，對工業企業提出了相應的能力約束要求。

3.4 能力成熟度等級維度

工業企業依據標準逐級開展安全防護的能力建設，自低向高分別是基礎建設級、規范防護級、集成管控級、綜合協同級和智能優化級。一是基礎建設級，該級別要求企業能夠依據工控安全防護的技術基礎和條件開展基本保護工作，安全防護能力建設主要基于特定業務場景，尚未形成規范化、流程化的工作方式，相關工作多依賴信息安全人員主觀經驗，建設過程未要求以文檔形式記錄，無法形成可復制。二是規范防護級，該級別要求企業建立并記錄工控安全防護能力建設工作，能夠針對工業控制設備、工業主機、工業網絡、工業數據等方面制定規范化安全防護制度、規章，使得企業能夠以重復的方式執行，采用數字化裝備、信息技術手段等，有針對性地開展安全防護，面向各方面形成獨立、可復制的安全防護能力。三是集成管控級，要求企業能夠對工業控制系統設備、主機、系統、網絡、數據等方面，在規范防護已有工作基礎上，通過集成化工具、系統等，對相對獨立的單點防護設備進行集中統一管控，同時整合相關防護規章制度文件，形成體系化制度，提升企業內部工控安全的集中管理、統一控制的安全防護能力。四是綜合協同級，要求企業能夠面向不同產線、廠區、工廠及產業鏈上下游相關單位，統籌考慮安全風險需求，開展安全防護建設，建立多級協同的安全管理體系，并通過態勢感知、統一管控等技術手段實現綜合決策、協調防護的安全能力。五是智能優化級，要求企業能夠采用人工智能、主動防御、內生安全等先進技術，與已有安全防護設備、系統、制度體系深度融合，使得可通過知識學習、智能建模分析等技術，構建可智能化演進的安全防護系統，形成具有自決策、自進化能力的安全防護體系。設計相應的能力成熟度檢驗流程如圖2所示，相關的能力成熟度模型使用步驟如圖3所示。

圖2 能力成熟度等級核驗流程

圖3 推薦的能力成熟度模型使用步驟

3.5 能力建設過程維度

能力建設過程維度，重點面向工業企業開展工控安全防護能力建設過程中需關注的對象，提出相應的過程域及配套基本實踐，以指導工業企業安全防護能力提升。工業企業作為工控安全防護能力建設提升的主體，在能力建設過程中，需重點關注被保護對象的安全及企業自身安全組織機構及配套管理制度的運行效果，并據此構建工控安全成熟度的過程域體系。該過程域體系包含核心保護對象安全、通用安全2部分，如圖4所示。

圖4 能力建設過程域

其中核心保護對象安全依據IEC62443關于工業控制系統層次模型定義，涉及工業設備安全、工業主機安全、工業網絡安全、工業軟件安全、工業數據安全等5個過程域的集合，重點提出控制設備、現場測控設備、工業上位機、工業網絡、控制軟件及工業數據等對象的安全基本實踐。針對運維工業控制系統的組織機構，面向其安全運維的實際需求，提出安全規劃與架構、人員管理與培訓、物理與環境安全、監測預警與應急響應、供應鏈安全保障等安全5個過程域的集合，支撐應急響應、數據安全、供應鏈安全等政策文件的落地實施。能力建設過程維度共包含10個過程類，40個過程域，共計365個基本實踐。經過前期標準試點驗證和應用研究分析，工業企業達到二級（規范防護級）要求，即可基本滿足《工業控制系統信息安全防護指南》提出的11項安全防護要點。

3.6 標準實施意義

該標準圍繞落實《工業控制系統信息安全防護指南》等相關政策文件要求，根據新形勢下工控安全防護重點，從工控安全防護設計、建設、運維全生命周期提出工控安全防護要求。標準的實施與應用有助于指導企業落實政策標準的有關要求，進一步引導工業企業統籌發展和安全，指導企業逐級提升工控安全防護能力，以較低成本建立有效的工控安全管理和技術防護體系，量化評價企業安全防護水平，著力防范化解重大安全風險。同時，該標準的實施推廣，可支撐工控安全行業主管部門，全面了解當前我國工業企業工控安全防護能力水平，摸清本行業、本轄區工控安全底數，為工控安全管理工作開展，提供標準化基礎。

4 總結與展望

目前，我國已初步開展工控安全成熟度相關標準研制及服務平臺開發工作，但尚未形成法律、政策、標準相互銜接、互為補充的管理制度，后續在主管部門指導下，建議產學研用各方力量進一步聚焦管理體系構建、貫標工作推廣、遴選試點示范、服務能力建設等方面持續開展相關工作，促進工業企業工控安全防護能力躍升。

一是深入推進工控安全政策標準的宣貫實施。結合前期網絡安全相關貫標工作經驗，在全國范圍內開展工控安全防護能力成熟度模型國家標準及指南的宣貫工作，面向工業基礎好、安全需求強、技術儲備足的重點地區和行業，組織開展貫標試點工作，厘清全國工業企業工控安全防護能力底數，繪制重點地區和行業工控安全防護能力指數地圖。

二是啟動地區/行業工控安全防護能力示范工作。結合貫標試點工作基礎，遴選一批工控安全防護貫標示范案例，逐步形成可復制、可推廣的示范工程，引導企業將指南和工控安全防護能力成熟度模型有關要求，納入企業信息化發展戰略，形成典型示范效應，帶動更多工業企業參與并實施貫標工作，引導地方和社會資源加大配套投入。

三是注重工控安全貫標公共服務能力建設。進一步完善工控安全貫標公共服務平臺，組織研發標準符合性數據智能采集、內容合規性智能診斷等配套工具，為工業企業開展自對標、自診斷、自評價等工作提供技術支撐，降低企業實施工控安全貫標的資源消耗，提升貫標結果的客觀性、準確性和科學性。

作者簡介：

姚相振 （1984-），男，山東德州人，高級工程師，博士，現就職于中國電子技術標準化研究院，研究方向為網絡安全。

趙梓桐 （1992-），男，遼寧錦州人，工程師，碩士，現就職于中國電子技術標準化研究院，研究方向為網絡安全。

周睿康 （1990-），男，浙江東陽人，工程師，碩士，現就職于中國電子技術標準化研究院，研究方向為網絡安全、密碼學。

李琳 （1983-），男，山東濟南人，高級工程師，博士，現就職于中國電子技術標準化研究院，研究方向為網絡安全。

參考文獻：

[1]楊楠.網絡空間軍事化及其國際政治影響[J].外交評論(外交學院學報),2020,37(03):69–93,6-7.

[2]NIST.SP800-53Rev.5.SecurityandPrivacyControlsforInformationSystemsandOrganizations[EB/OL].[2021-08-01].

[3]NIST.SP800-82Rev.2.GuidetoIndustrialControlSystems(ICS)Security[EB/OL].[2021-08-15].[4]GB/T32919-2016,信息安全技術工業控制系統安全控制應用指南[S].

摘自《自動化博覽》2022年7月刊