以貫標(biāo)提升工業(yè)控制系統(tǒng)信息安全防護(hù)水平

1引言

制造業(yè)是立國之本、強國之基，是實體經(jīng)濟的核心構(gòu)成。工業(yè)控制系統(tǒng)作為制造業(yè)的“神經(jīng)中樞”，其安全防護(hù)事關(guān)工業(yè)生產(chǎn)穩(wěn)定運行，事關(guān)人民生命財產(chǎn)安全。近年來，針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊呈現(xiàn)出顯著的政治、軍事和經(jīng)濟意圖，工業(yè)控制系統(tǒng)逐漸成為網(wǎng)絡(luò)空間對抗的主戰(zhàn)場。為切實提升工業(yè)控制系統(tǒng)信息安全（以下簡稱：工控安全）防護(hù)能力，工業(yè)和信息化部陸續(xù)發(fā)布《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（工信軟函〔2016〕338號）、《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估工作管理辦法》（工信軟函〔2018〕188號）等系列政策文件，為建立工控安全防護(hù)體系指明方向。中國電子技術(shù)標(biāo)準(zhǔn)化研究院以標(biāo)準(zhǔn)為抓手，推進(jìn)《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》（報批稿）、《信息安全技術(shù)工業(yè)控制系統(tǒng)安全管理基本要求》（GB/T36323-2018）等工控安全國家標(biāo)準(zhǔn)的研制發(fā)布，為工控安全防護(hù)提出相關(guān)要求。2工控安全防護(hù)能力貫標(biāo)簡介2021年1月，中電標(biāo)協(xié)工控安全推進(jìn)分會（以下簡稱：ICSP）成立，其是由測評機構(gòu)、工業(yè)企業(yè)、安全企業(yè)等組成的全國性、行業(yè)性、非營利性社會組織，旨在研究工控安全防護(hù)關(guān)鍵技術(shù)，開展工控安全防護(hù)能力貫標(biāo)，提升全行業(yè)工控安全防護(hù)能力水平。2.1工控安全防護(hù)能力貫標(biāo)模型工控安全防護(hù)能力貫標(biāo)模型包括能力成熟度等級、安全能力要素和能力建設(shè)過程，如圖1所示。圖1工控安全防護(hù)能力貫標(biāo)內(nèi)容工控安全防護(hù)能力成熟度等級劃分為五級，具體包括：1級是基礎(chǔ)建設(shè)級，包括45項安全要求；2級是規(guī)范防護(hù)級，包括167項安全要求；3級是集成管控級，包括259項安全要求；4級是綜合協(xié)同級，包括320項安全要求；5級是智能優(yōu)化級，包括365項安全要求。工控安全防護(hù)能力要素包括機構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力。工控安全防護(hù)能力建設(shè)過程由核心保護(hù)對象安全和通用安全兩部分組成。核心保護(hù)對象安全包含工業(yè)設(shè)備安全、工業(yè)主機安全、工業(yè)網(wǎng)絡(luò)邊界安全、工業(yè)控制軟件安全和工業(yè)數(shù)據(jù)安全，通用安全包含安全規(guī)劃與機構(gòu)、人員管理與培訓(xùn)、物理與環(huán)境安全、監(jiān)測預(yù)警與應(yīng)急響應(yīng)和供應(yīng)鏈安全保障。2.2工控安全防護(hù)能力貫標(biāo)流程工控安全防護(hù)能力貫標(biāo)分為啟動、宣貫、設(shè)計、實施、核驗和發(fā)證6個階段，如圖2所示。在啟動階段，成立貫標(biāo)工作組，制定貫標(biāo)工作方案。在宣貫階段，開展核心標(biāo)準(zhǔn)培訓(xùn)，工業(yè)企業(yè)實施自對標(biāo)、自診斷和自評估。在設(shè)計階段，依據(jù)自評估結(jié)果，為工業(yè)企業(yè)設(shè)計工控安全防護(hù)能力提升方案。在實施階段，選取最優(yōu)技術(shù)路線，組織實施安全防護(hù)提升方案。在核驗階段，工業(yè)企業(yè)選取核驗機構(gòu)，開展貫標(biāo)核驗。在發(fā)證階段，針對貫標(biāo)結(jié)果開展合規(guī)性審核，為核驗通過的工業(yè)企業(yè)頒發(fā)證書。圖2工控安全防護(hù)能力貫標(biāo)階段2.3工控安全防護(hù)能力貫標(biāo)公共服務(wù)平臺工控安全防護(hù)能力貫標(biāo)公共服務(wù)平臺是ICSP開展企業(yè)貫標(biāo)過程中，公開發(fā)布標(biāo)準(zhǔn)規(guī)范、核驗人員、核驗結(jié)果等信息的唯一平臺，為貫標(biāo)提供全流程支撐，保證貫標(biāo)順利開展，規(guī)范貫標(biāo)工作流程，確保貫標(biāo)過程和結(jié)果可溯源、可核查，如圖3所示。

圖3工控安全防護(hù)能力貫標(biāo)公共服務(wù)平臺3工控安全防護(hù)能力貫標(biāo)要點3.1增強企業(yè)員工安全意識目前，我國工業(yè)企業(yè)信息化部門員工普遍重視工控安全防護(hù)工作，但仍有較多非信息化部門員工的安全意識不足。工控安全防護(hù)能力建設(shè)是每位員工的責(zé)任，提升自身工控安全防護(hù)意識是每位員工的義務(wù)。保障工控安全，既是保護(hù)工業(yè)企業(yè)，也是保護(hù)員工自身。貫標(biāo)案例：在自對標(biāo)和核驗過程中發(fā)現(xiàn)，部分企業(yè)在具有較完善工控安全防護(hù)規(guī)章制度的情況下，仍存在使用工業(yè)主機外設(shè)接口為個人電子設(shè)備充電、工業(yè)控制系統(tǒng)登錄密碼違規(guī)存放、工業(yè)主機連接互聯(lián)網(wǎng)等問題。案例分析：違規(guī)使用工業(yè)主機外設(shè)接口將為病毒、木馬、蠕蟲等惡意軟件的入侵提供便利條件，也會導(dǎo)致重要工業(yè)數(shù)據(jù)的丟失。違規(guī)存放登錄密碼會使工業(yè)控制設(shè)備、軟件的“大門”向黑客等非法人員敞開。工業(yè)主機與互聯(lián)網(wǎng)相連將導(dǎo)致工業(yè)控制系統(tǒng)直接暴露于外網(wǎng)，被“攻擊”風(fēng)險大幅增加。千里之堤潰于蟻穴，只有每一位員工都樹立信息安全觀念、增強信息安全意識，企業(yè)才能構(gòu)建起堅固的安全城墻。根據(jù)工控安全防護(hù)能力貫標(biāo)模型中人員管理與培訓(xùn)的相關(guān)要求，工業(yè)企業(yè)需建立工業(yè)信息安全教育培訓(xùn)制度，定期開展教育培訓(xùn)活動，提升員工的工控安全風(fēng)險識別能力，使員工能夠識別工業(yè)控制系統(tǒng)存在的異常行為。3.2提高企業(yè)安全管理手段現(xiàn)階段，我國工業(yè)企業(yè)普遍認(rèn)識到工控安全防護(hù)工作的重要性，但部分企業(yè)對政策和標(biāo)準(zhǔn)的落實仍不到位，工控安全管理制度不夠完善。貫標(biāo)案例：在自對標(biāo)和核驗過程中發(fā)現(xiàn)，某工業(yè)企業(yè)制定了工控安全管理制度，設(shè)立了工控安全管理崗位，并積極實施安全防護(hù)策略，將工業(yè)控制網(wǎng)絡(luò)置于“防護(hù)罩”內(nèi)。核驗人員對該企業(yè)工業(yè)控制網(wǎng)絡(luò)發(fā)起模擬攻擊，經(jīng)多輪次測試，發(fā)現(xiàn)“防護(hù)罩”存在明顯薄弱區(qū)域，突破后即可進(jìn)入企業(yè)內(nèi)網(wǎng)和工業(yè)控制網(wǎng)絡(luò)。按照攻擊路徑溯源，顯示有一套新部署的工業(yè)控制系統(tǒng)位于“防護(hù)罩”之外，原因是企業(yè)的設(shè)備部門部署該系統(tǒng)時未與工控安全管理部門對接，導(dǎo)致已建立的工控安全防護(hù)體系被破壞。案例分析：工業(yè)企業(yè)為工控安全防護(hù)投入了相應(yīng)的成本和精力，但由于管理制度存在缺陷，工控安全管理部門與其他部門聯(lián)動不足，導(dǎo)致企業(yè)工控安全防護(hù)仍存在嚴(yán)重隱患。在未與工控安全管理部門溝通的情況下，企業(yè)新增的工業(yè)控制設(shè)備引起網(wǎng)絡(luò)結(jié)構(gòu)的變化，造成工控安全防護(hù)措施的失效。制定和執(zhí)行全面、完善的工控安全管理制度是工控安全防護(hù)體系的重要組成部分。根據(jù)工控安全防護(hù)能力貫標(biāo)模型中安全規(guī)劃與架構(gòu)、物理環(huán)境與安全、供應(yīng)鏈安全保障等的相關(guān)要求，工業(yè)企業(yè)需建立工控安全管理機制，成立由企業(yè)負(fù)責(zé)人牽頭，信息化、生產(chǎn)管理、設(shè)備管理等相關(guān)部門組成的信息安全協(xié)調(diào)小組，統(tǒng)籌協(xié)調(diào)工控安全相關(guān)工作。3.3強化工控安全防護(hù)技術(shù)當(dāng)前，國內(nèi)多數(shù)工業(yè)企業(yè)均已構(gòu)建不同水平的工控安全防護(hù)技術(shù)體系，通過劃分網(wǎng)絡(luò)隔離區(qū)域、安裝安全防護(hù)設(shè)備等方式保護(hù)自身核心控制設(shè)備。貫標(biāo)案例：在自對標(biāo)和核驗過程中，通過滲透測試等模擬攻擊手段發(fā)現(xiàn)部分工業(yè)企業(yè)存在以下情況：企業(yè)已在工業(yè)控制網(wǎng)絡(luò)邊界部署工業(yè)防火墻，管理員表示已配置完整安全策略，經(jīng)測試，實際配置未滿足安全要求；少量應(yīng)封閉的工業(yè)主機端口，管理員表示已封閉處理，經(jīng)測試，實際未封閉；企業(yè)表示，工業(yè)控制網(wǎng)絡(luò)與其它網(wǎng)絡(luò)區(qū)域是物理隔離，經(jīng)測試，工業(yè)控制網(wǎng)絡(luò)與其它網(wǎng)絡(luò)存在部分連接問題等。案例分析：核驗人員赴工業(yè)企業(yè)現(xiàn)場，通過文檔查閱、人員訪談、現(xiàn)場核查和滲透測試等方式協(xié)助企業(yè)發(fā)現(xiàn)諸多安全風(fēng)險。安全策略配置不完整造成安全防護(hù)設(shè)備不能發(fā)揮安全功效，核驗人員可以輕易突破企業(yè)安全防線。工業(yè)主機端口應(yīng)封未封，核驗人員可利用特定端口進(jìn)行模擬攻擊，通過搶占IP地址欺騙防火墻，從而進(jìn)入工業(yè)控制網(wǎng)絡(luò)，造成極大安全隱患。系統(tǒng)補丁更新不及時，核驗人員可采用SQL注入漏洞，非法獲取系統(tǒng)密碼，從而獲取該企業(yè)工業(yè)控制系統(tǒng)詳細(xì)數(shù)據(jù)信息，可能造成嚴(yán)重的數(shù)據(jù)泄露。工控安全防護(hù)能力貫標(biāo)模型中的核心保護(hù)對象安全包括針對工業(yè)設(shè)備、工業(yè)主機、工業(yè)網(wǎng)絡(luò)邊界、工業(yè)控制軟件和