文│ 国家工业信息安全发展研究中心 赵冉 张晓菲 董良遇

为切实提升我国工业企业安全防护水平,工业和信息化部先后发布了《工业控制系统信息安全防护指南》(以下简称《防护指南》)和《工业控制系统信息安全防护能力评估方法》(以下简称《评估方法》)等指导性文件,并在全国范围内主持开展工业控制系统年度企业自查、地区抽查、遴选评估等针对工业企业的多方位、多层次信息安全防护能力评估工作,对我国工业信息安全防护水平的提升起到了实质性推动作用。

参照《评估方法》的有关要求,在执行工业信息安全检查评估工作中,相关工作组以量化评估的方式选取了国内 32 家具有代表性的工业企业开展了调研评估工作。评估内容针对工业企业工业控制系统的规划、设计、建设、运行、维护等全生命周期安全防护能力等,并形成工业企业信息安全防护评估结果。评估结果表明,大多数工业企业信息安全防护水平已达到“基本合格”的状态,但存在明显短板,亟需进一步提升。

一、工业企业信息安全评估结果分析

通过分析 32 家重点行业工业企业信息安全评估数据,工业企业信息安全防护水平基本情况反映如下。

(一)近八成工业企业的信息安全防护水平已满足基线要求,但整体防护水平仍有待提升

从整体数据(见图 1)来看,21.87% 的(7 家)工业企业评估结果为“不合格”,46.87% 的(15 家)工业企业评估结果为“基本合格”,15.63% 的(5 家)工业企业评估结果为“一般”,15.63% 的(5 家)工业企业评估结果为“良好”,尚无企业被评估为“优秀”。《防护指南》作为工业企业信息安全评估的基线要求,被评估为“良好”及“优秀”水平的工业企业占比不足两成,工业企业信息安全防护工作有待进一步强化。

图 1 工业企业信息安全防护能力评估结果

(二)工控安全防护工作存在明显短板

从各项得分情况来看(见图 2),工业企业在“配置和补丁管理”和“安全软件选择与管理”两方面得分率不足 60%,分别为 49.28% 和 58.70%。“安全监测和应急预案演练”“数据安全”和“供应链管理”得分率分别为 60.22%、61.66% 和 61.96%,均处于较低水平。工业企业在技术防护方面存在明显短板,系统日常安全维护缺失,生产网络安全状态无法确定,终端安全防护不足,在安全策略配置和主机缺陷修复方面未采取有效措施,无法保证工控系统安全稳定运行。

图 2 各指标项得分结果

(三)工业企业数据安全、供应链管理等管理体系不健全

工业企业在数据安全、供应链等方面管理不足,未对数据按照重要程度进行分级分类管理,无法形成以数据为核心的安全防护体系,在数据安全防护方面存在缺失;供应链管理方面仅在与供应商的合同中体现部分内容,如系统自身功能无法正常使用,企业对因系统、设备缺陷导致的信息安全事件责任划分不明晰,工控系统后期安全维护方面关注较少。对于工控自研系统,安全防护能力更为薄弱。工业企业在数据安全、供应链管理方面管理制度明显缺失,无法对工业数据、工控系统形成有效的安全保障。

二、我国工业企业信息安全防护短板原因分析

(一)连续型生产作业给工业企业配置和补丁管理工作带来挑战

工业企业钢铁、石油、化工等多个行业现场主机因业务连续性无法停止进行安全修复,导致工业控制系统“带病”运行。以乙烯生产工艺为例,工业控制系统在设计阶段未同步进行安全保障建设,系统天然缺少安全防护体系;在上线前未进行安全评估检测,无法确定工业控制系统的安全防护状态;上线后开车连续运行时间通常 3 至 4 年,任何非计划内的停机或设备重启都会对整个生产线造成经济损失,企业无法接受设备频繁更新升级操作。当工控设备出现新的安全漏洞时,缺少相适应的维护保障机制,较难通过更新升级等方式来消除设备自身的安全威胁。此外,工业企业的生产任务繁重,停车检修一般分工段分期进行,较少出现全流程停车检修。由于流程行业的工控系统一般涉及大量生产工艺设备,存在跨设备、跨系统、跨工段的现象,因此仅利用检修窗口期完成对于工控系统的安全补丁测试、验证和安装工作较难完成。

(二)国产安全软件兼容适配问题制约工业企业安全防护能力的提升

安全软件通常部署在工业控制系统的工程师站、操作员站及数据库服务器中。虽然部分企业已安装传统安全软件,但传统安全软件只能针对常规的病毒进行防护,并不完全适用于工控环境。且部分传统软件由于兼容性测试工作不足,影响工业软件相关配置文件、支持组件等正常运转,影响工控系统的稳定运行。现场核查中发现,国外安全厂商与横河电机、西门子等工控厂商的深度合作,使其安全软件在合作的工业企业应用中效果良好。相比国外安全厂商的快速发展,国内安全厂商任重道远。

(三)工控安全组织架构不明晰,管理体系不完善,安全管理难以落地

工业企业未设置专职工控安全管理部门,工控安全管理职责由信息化或设备生产等部门代管,将信息化管理制度落实在工业控制系统层面,导致制度与管理对象不匹配,无法有效落实管理,使得工业控制系统数据安全、供应链安全无法得到安全保障。企业生产现场按照信息化标准管理或仅对业务生产进行管理,对数据安全和供应链环节未进行规范化要求,导致出现管理短板,无法形成对工业控制系统数据、供应链等安全保障体系,不利于工业控制系统信息安全防护。

三、下一步工作建议

(一)扎实推进工控安全防护贯标工作,量化工控安全防护现状

定期开展多层次的工控安全防护能力评估贯标工作,联合地方主管部门组织开展各省市工业企业的工控安全防护培训工作,充分调动地方工业信息安全资源,形成多级联动的技术支撑体系,增强企业安全责任意识,针对企业安全短板整理归纳安全解决方案,全面提升企业安全防护能力,依靠贯标真正解决企业工控安全防护难题;依托《网络安全法》《评估方法》《工业数据分类分级指南(试行)》,指导企业完善工控企业数据安全、供应链管理方面的管理体系,并对各行业工业企业信息安全保障能力进行量化,依托大数据分析方法分析我国工业企业工控安全现状,进一步细化各行业工业信息安全平均线,有针对性地解决工业企业面临的共性问题,为工业信息安全行业监管提供科学指导。

(二)推动工业控制系统全生命周期安全检测及评估

按照信息系统安全“三同步”原则,推动工业控制系统与安全保障措施同步设计、 同步建设、同步运行,完善工业控制系统安全防护体系;在工业控制系统上线前进行安全评估,检验系统上线前的安全状态,健全系统因无法维护或漏洞修复引起的安全隐患;根据工业控制系统业务持续情况,合理安排维护管理策略,针对系统运行特点,在停车检修期间修复系统内存在的安全缺陷,完善系统内设备、终端等安全策略,健全系统的安全防护体系。

(三)推动国产安全软件的适配工作,提升工控企业终端防护能力

推动国内安全厂商与工控企业的深度合作,在钢铁、石油、化工等多个行业进行试点,集中力量加强安全软件的研发及测试,完善工控控制系统安全软件的兼容性,提升安全软件在不同工控环境下的可靠性和可用性,切实解决工业企业安全软件供给不足的问题。同时,建立国产安全软件的供应链管理体系,在安全软件投入使用前需经过第三方权威机构的安全测试,从供应链源头保障工业控制系统的安全。

(本文刊登于《中国信息安全》杂志2021年第7期)