以贯标提升工业控制系统信息安全防护水平
摘要:工业控制系统作为工业核心组成部分,其安全事关工业生产运行、国家经济安全和人民生命财产安全。随着工业体系由自动化向数字化、智能化发展,打破传统工业控制系统的封闭环境,传统信息安全风险加速向工业领域渗透,工业控制系统逐渐成为网络攻击的主战场,提升我国工业控制系统信息安全防护水平已成为实现制造业高质量发展的重要基础。
关键词:贯标;工业控制系统;信息安全
1、引言
制造业是立国之本、强国之基,是实体经济的核心构成。工业控制系统作为制造业的“神经中枢”,其安全防护事关工业生产稳定运行,事关人民生命财产安全。近年来,针对工业控制系统的网络攻击呈现出显著的政治、军事和经济意图,工业控制系统逐渐成为网络空间对抗的主战场[1]。
为切实提升工业控制系统信息安全(以下简称:工控安全)防护能力,工业和信息化部陆续发布《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)、《工业控制系统信息安全防护能力评估工作管理办法》(工信软函〔2018〕188号)等系列政策文件,为建立工控安全防护体系指明方向。中国电子技术标准化研究院以标准为抓手,推进《信息安全技术工业控制系统信息安全防护能力成熟度模型》(报批稿)、《信息安全技术 工业控制系统安全管理基本要求》(GB/T 36323-2018)等工控安全国家标准的研制发布,为工控安全防护提出相关要求。
2、工控安全防护能力贯标简介
2021年1月,中电标协工控安全推进分会(以下简称:ICSP)成立,其是由测评机构、工业企业、安全企业等组成的全国性、行业性、非营利性社会组织,旨在研究工控安全防护关键技术,开展工控安全防护能力贯标,提升全行业工控安全防护能力水平。
2.1 工控安全防护能力贯标模型
工控安全防护能力贯标模型包括能力成熟度等级、安全能力要素和能力建设过程,如图1所示。
图1 工控安全防护能力贯标内容
工控安全防护能力成熟度等级划分为五级,具体包括:1级是基础建设级,包括45项安全要求;2级是规范防护级,包括167项安全要求;3级是集成管控级,包括259项安全要求;4级是综合协同级,包括320项安全要求;5级是智能优化级,包括365项安全要求。
工控安全防护能力要素包括机构建设、制度流程、技术工具和人员能力。
工控安全防护能力建设过程由核心保护对象安全和通用安全两部分组成。核心保护对象安全包含工业设备安全、工业主机安全、工业网络边界安全、工业控制软件安全和工业数据安全,通用安全包含安全规划与机构、人员管理与培训、物理与环境安全、监测预警与应急响应和供应链安全保障。
2.2 工控安全防护能力贯标流程
工控安全防护能力贯标分为启动、宣贯、设计、实施、核验和发证6个阶段,如图2所示。在启动阶段,成立贯标工作组,制定贯标工作方案。在宣贯阶段,开展核心标准培训,工业企业实施自对标、自诊断和自评估。在设计阶段,依据自评估结果,为工业企业设计工控安全防护能力提升方案。在实施阶段,选取最优技术路线,组织实施安全防护提升方案。在核验阶段,工业企业选取核验机构,开展贯标核验。在发证阶段,针对贯标结果开展合规性审核,为核验通过的工业企业颁发证书。
图2 工控安全防护能力贯标阶段
2.3 工控安全防护能力贯标公共服务平台
工控安全防护能力贯标公共服务平台是ICSP开展企业贯标过程中,公开发布标准规范、核验人员、核验结果等信息的唯一平台,为贯标提供全流程支撑,保证贯标顺利开展,规范贯标工作流程,确保贯标过程和结果可溯源、可核查,如图3所示。
图3 工控安全防护能力贯标公共服务平台
3、工控安全防护能力贯标要点
3.1 增强企业员工安全意识
目前,我国工业企业信息化部门员工普遍重视工控安全防护工作,但仍有较多非信息化部门员工的安全意识不足。工控安全防护能力建设是每位员工的责任,提升自身工控安全防护意识是每位员工的义务。保障工控安全,既是保护工业企业,也是保护员工自身。
贯标案例:在自对标和核验过程中发现,部分企业在具有较完善工控安全防护规章制度的情况下,仍存在使用工业主机外设接口为个人电子设备充电、工业控制系统登录密码违规存放、工业主机连接互联网等问题。
案例分析:违规使用工业主机外设接口将为病毒、木马、蠕虫等恶意软件的入侵提供便利条件,也会导致重要工业数据的丢失。违规存放登录密码会使工业控制设备、软件的“大门”向黑客等非法人员敞开。工业主机与互联网相连将导致工业控制系统直接暴露于外网,被“攻击”风险大幅增加。千里之堤溃于蚁穴,只有每一位员工都树立信息安全观念、增强信息安全意识,企业才能构建起坚固的安全城墙。
根据工控安全防护能力贯标模型中人员管理与培训的相关要求,工业企业需建立工业信息安全教育培训制度,定期开展教育培训活动,提升员工的工控安全风险识别能力,使员工能够识别工业控制系统存在的异常行为。
3.2 提高企业安全管理手段
现阶段,我国工业企业普遍认识到工控安全防护工作的重要性,但部分企业对政策和标准的落实仍不到位,工控安全管理制度不够完善。
贯标案例:在自对标和核验过程中发现,某工业企业制定了工控安全管理制度,设立了工控安全管理岗位,并积极实施安全防护策略,将工业控制网络置于“防护罩”内。核验人员对该企业工业控制网络发起模拟攻击,经多轮次测试,发现“防护罩”存在明显薄弱区域,突破后即可进入企业内网和工业控制网络。按照攻击路径溯源,显示有一套新部署的工业控制系统位于“防护罩”之外,原因是企业的设备部门部署该系统时未与工控安全管理部门对接,导致已建立的工控安全防护体系被破坏。
案例分析:工业企业为工控安全防护投入了相应的成本和精力,但由于管理制度存在缺陷,工控安全管理部门与其他部门联动不足,导致企业工控安全防护仍存在严重隐患。在未与工控安全管理部门沟通的情况下,企业新增的工业控制设备引起网络结构的变化,造成工控安全防护措施的失效。制定和执行全面、完善的工控安全管理制度是工控安全防护体系的重要组成部分。根据工控安全防护能力贯标模型中安全规划与架构、物理环境与安全、供应链安全保障等的相关要求,工业企业需建立工控安全管理机制,成立由企业负责人牵头,信息化、生产管理、设备管理等相关部门组成的信息安全协调小组,统筹协调工控安全相关工作[2]。
3.3 强化工控安全防护技术
当前,国内多数工业企业均已构建不同水平的工控安全防护技术体系,通过划分网络隔离区域、安装安全防护设备等方式保护自身核心控制设备。
贯标案例:在自对标和核验过程中,通过渗透测试等模拟攻击手段发现部分工业企业存在以下情况:企业已在工业控制网络边界部署工业防火墙,管理员表示已配置完整安全策略,经测试,实际配置未满足安全要求;少量应封闭的工业主机端口,管理员表示已封闭处理,经测试,实际未封闭;企业表示,工业控制网络与其它网络区域是物理隔离,经测试,工业控制网络与其它网络存在部分连接问题等。
案例分析:核验人员赴工业企业现场,通过文档查阅、人员访谈、现场核查和渗透测试等方式协助企业发现诸多安全风险。安全策略配置不完整造成安全防护设备不能发挥安全功效,核验人员可以轻易突破企业安全防线。工业主机端口应封未封,核验人员可利用特定端口进行模拟攻击,通过抢占IP地址欺骗防火墙,从而进入工业控制网络,造成极大安全隐患。系统补丁更新不及时,核验人员可采用SQL注入漏洞,非法获取系统密码,从而获取该企业工业控制系统详细数据信息,可能造成严重的数据泄露。
工控安全防护能力贯标模型中的核心保护对象安全包括针对工业设备、工业主机、工业网络边界、工业控制软件和工业数据等方面的188项技术要求,指导工业企业提升网络防御、风险管控等能力。
4、结束语
工业控制系统信息安全是实施制造强国和网络强国战略的重要基础,是推动制造业质量变革、效率提升的重要支撑。通过工控安全防护贯标,进一步提升工业企业安全管理能力,完善综合技术防护体系,扎实提升我国工控安全防护整体水平。
