1 引言
1.1 当前我国工业控制系统信息安全形势依然严峻
随着两化融合进程的不断深化和工业互联网的快速发展,工业控制系统联网数量持续增长,工业控制系统与互联网的安全风险相互交织,新型安全问题层出不穷,传统的安全防护策略已难以有效应对日趋多元化的网络安全威胁。一是控制系统互联趋势明显,安全防护面临新挑战。随着工业智能设备的部署和应用日趋广泛,越来越多的工业控制系统和产品采用通用协议、硬件及软件,以各种方式接入互联网等公共网络。网络互联导致潜在攻击路径不断增多,漏洞、病毒等安全威胁不断向工业控制系统扩散蔓延。二是工业漏洞居高不下,高危风险占比较大。由于传统工业环境相对封闭可信,大多数存量工控系统安全设计考虑不足,安全技术融合应用深度不够,工业软硬件本身存在大量安全漏洞,易被攻击者利用。同时,据2021年美国工控系统网络应急响应小组(ICS-CERT)公布的389个工控安全漏洞分析显示,其中77%由于涉及范围广、影响程度深、安全危害大被认定为高危漏洞,亟需引起高度重视。三是网络攻击手段多样,安全影响持续升级。工业控制系统作为网络空间对抗的重点攻击目标之一,工业领域勒索病毒、“工业毁坏者”恶意软件、“熔断”漏洞、“幽灵”漏洞等安全威胁影响广泛,工控安全事件频繁发生,导致多家企业关键业务系统严重受损、生产停滞,其安全攻击经过精心策划,具有鲜明的目的性。
1.2 国外开展成熟度模型研究,提前布局新型安全防护体系
面对工控安全的严峻形势,为科学衡量企业工控安全防护能力水平,美国已率先启动网络安全成熟度评价工作,从政策文件、标准规范、技术工具等方面形成先发优势,提早布局新型网络安全综合防护体系。一是积极开展网络安全成熟度模型评估框架(CMCC Framework)研究。为科学衡量企业网络安全防护能力水平,提升国防工业基地相关部门及国防部供应链企业的网络安全防护能力,美国防部(DoD)于2020年3月18日研制发布CMMC框架(V1.02)要求。该框架将企业网络安全成熟度由低向高分为5等级(经验执行级、文档记录级、制度规范级、量化评估级、持续优化级),通过综合考虑被保护对象的类型和敏感度,以及相关威胁范围,形成多个网络安全标准、框架和参考文件的成熟流程及最佳实践。CMMC框架通过引入评估元素,采用第三方合规评估代替供应商网络安全自我证明,更加客观、准确地验证企业网络安全成熟度等级相关的流程与实践的实现程度。二是推动NIST系列基础标准规范研制及持续修订。围绕落实关键基础设施网络安全政策,美国NIST制定发布了《联邦信息系统的安全控制措施》(SP 800-53)、《工业控制系统信息安全指南》(SP 800-82)、《非联邦机构的受控非密信息保护》(SP 800-171)等系列标准,为CMMC框架落地实施提供标准化基础。三是研制发布网络安全成熟度配套评估工具(CSET)。ICS-CERT依托控制系统安全计划,研制发布新版网络安全评估工具CSET(v11.0.1.0),为提升网络安全成熟度评估框架实施效果提供了一种系统、规范且可重复的方式方法,可用于指导资产所有者、运营商逐步评估工业控制系统及传统信息系统的网络安全实践。
1.3 我国高度重视工控安全,初步建立工控安全防护能力成熟度模型
党中央国务院高度重视我国网络安全工作,习近平总书记强调网络安全博弈归根到底争的是标准制定权、规则主导权,要积极利用法律法规和标准规范引导新技术应用。工业和信息化部作为工业领域网络安全主管部门,出台了《加强工业互联网安全工作的指导意见》《工业控制系统信息安全防护指南》等政策文件。为落实相关政策要求,中国电子技术标准化研究院以标准为切入点,以服务平台为落脚点,初步建立了工控安全成熟度模型,进一步推动工控安全防护能力建设向可量化、可评价方向转变。一方面研制国家标准《成熟度模型》,将《工业控制系统信息安全防护指南》11项防护要求具体细化为10个过程类、40个过程域、365个基本实践,规定了针对核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法,并深入江苏国电、宇通客车、中天钢铁等重点行业企业开展贯标试验,赴江苏、浙江、四川等6省市开展贯标深度行,加强国家标准宣贯与培训工作。另一方面,依托我院“工业控制系统安全标准与测评工业和信息化部重点实验室”已有技术积累,依据《成熟度模型》国家标准,研发工控安全贯标公共服务平台,面向工控安全防护贯标全生命周期,为工业企业、咨询机构、核验机构提供企业自评、贯标审核、资产管理、数据统计等功能,形成了一站式公共服务能力,通过持续积累工业企业贯标数据信息,量化展示工控安全防护能力成熟度等级,为主管部门、行业组织和重点企业开展工控安全管理工作提供技术手段。
2 研制思路
我国工业信息安全国家标准由全国信息安全标准化技术委员会(以下简称:信安标委)归口管理。截至目前,信安标委共立项研制工控安全国家标准27项,范围涵盖工业控制系统安全分级、安全管理、安全实施、安全测评,以及典型工业控制系统、设备安全等领域,初步建立了工控安全标准体系。与已有标准相比,《成熟度模型》在标准化对象、安全防护能力、标准配套使用、相关政策落实等方面实现了进一步完善。
一是标准化对象由工控系统变为组织。当前已发布工控安全国家标准,多将工业控制系统或设备作为标准化对象,针对其安全需求,提出安全防护控制措施。《成熟度模型》重点面向运维工业控制系统的组织机构,针对其安全防护综合整体能力,提出过程域及基本实践,指导开展安全防护工作。
二是聚焦组织工控安全防护能力提升。《成熟度模型》标准,重点针对工业企业的机构建设、制度流程、技术工具、人员能力4个方面,综合指导其动态提升安全防护能力,并不局限于某一具体时间点的静态安全状态。
三是可与已有工控安全国家标准配套使用。《成熟度模型》基于风险评估、安全控制措施裁剪等思路,指导工业企业合理筛选适合自身实际安全需求的控制措施,可与《信息安全技术工业控制系统安全控制应用指南》《信息安全技术工业控制系统风险评估实施指南》和《信息安全技术工业控制系统现场测控设备通用安全功能要求》等标准配套使用。
四是可为相关政策落地实施提供技术支撑。《成熟度模型》依据《工业控制系统信息安全防护指南》《工业控制系统信息安全防护能力评估方法》等政策文件,结合当前工控安全防护发展现状,总结提炼形成过程域及基本实践,可指导工业企业依标落实相关政策文件。
3 标准内容解读
3.1 标准适用范围
该标准给出了工控安全防护能力成熟度模型,规定了核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法,适用于工业控制系统设计、建设、运维等相关方进行工控安全防护能力建设,以及对组织工控安全防护能力成熟度等级进行核验。
3.2 能力成熟度模型
工控安全防护能力成熟度模型由安全能力要素、能力成熟度等级和能力建设过程等3个维度构成,如图1所示。安全能力要素包括工业企业开展工控安全防护能力提升,所需涉及的机构建设、制度流程、技术工具和人员能力等4方面能力。能力成熟度等级根据安全能力要素所处能力水平,自低向高将企业工控安全防护能力定义为5个不同级别(1级基础建设级,2级规范防护级,3级集成管控级,4级综合协同级,5级智能优化级)。能力建设过程,依据IEC 62443关于工业控制系统层次模型定义,针对工业设备安全、工业主机安全、工业网络安全、工业软件安全、工业数据安全等5个方面,提出核心保护对象的过程域及配套基本实践,同时面向运维工业控制系统的组织,提出安全规划与架构、人员管理与培训、物理与环境安全、监测预警与应急响应、供应链安全保障等5方面的通用安全过程域及配套基本实践。
图1 工控安全防护能力成熟度模型
3.3 安全能力要素维度
工控安全防护能力要素是客观评价工业企业工控安全防护能力的主要要素指标,明确工控安全防护能力要素的组成部分,具体包括机构建设、制度流程、技术工具和人员能力4个方面。机构建设主要从工控安全防护架构对工业企业的适用性,工控安全工作责任的明确性,以及工控安全机构运作、沟通协调的有效性等方面对工控安全防护能力进行考核。制度流程围绕工控系统关键控制节点授权审批流程的明确性,相关制度流程制修订的规范性,以及制度流程实施的一致性和有效性等方面对工业企业安全防护制度流程建设和执行情况进行约束。技术工具重点围绕工控安全防护技术应用情况和安全风险应对能力,以及利用技术工具实现制度流程固化执行的实现能力进行了明确要求。人员能力对工业企业工控安全从业人员业务能力、安全意识及业务工艺与安全防护融合应用等方面,对工业企业提出了相应的能力约束要求。
3.4 能力成熟度等级维度
工业企业依据标准逐级开展安全防护的能力建设,自低向高分别是基础建设级、规范防护级、集成管控级、综合协同级和智能优化级。一是基础建设级,该级别要求企业能够依据工控安全防护的技术基础和条件开展基本保护工作,安全防护能力建设主要基于特定业务场景,尚未形成规范化、流程化的工作方式,相关工作多依赖信息安全人员主观经验,建设过程未要求以文档形式记录,无法形成可复制。二是规范防护级,该级别要求企业建立并记录工控安全防护能力建设工作,能够针对工业控制设备、工业主机、工业网络、工业数据等方面制定规范化安全防护制度、规章,使得企业能够以重复的方式执行,采用数字化装备、信息技术手段等,有针对性地开展安全防护,面向各方面形成独立、可复制的安全防护能力。三是集成管控级,要求企业能够对工业控制系统设备、主机、系统、网络、数据等方面,在规范防护已有工作基础上,通过集成化工具、系统等,对相对独立的单点防护设备进行集中统一管控,同时整合相关防护规章制度文件,形成体系化制度,提升企业内部工控安全的集中管理、统一控制的安全防护能力。四是综合协同级,要求企业能够面向不同产线、厂区、工厂及产业链上下游相关单位,统筹考虑安全风险需求,开展安全防护建设,建立多级协同的安全管理体系,并通过态势感知、统一管控等技术手段实现综合决策、协调防护的安全能力。五是智能优化级,要求企业能够采用人工智能、主动防御、内生安全等先进技术,与已有安全防护设备、系统、制度体系深度融合,使得可通过知识学习、智能建模分析等技术,构建可智能化演进的安全防护系统,形成具有自决策、自进化能力的安全防护体系。设计相应的能力成熟度检验流程如图2所示,相关的能力成熟度模型使用步骤如图3所示。
图2 能力成熟度等级核验流程
图3 推荐的能力成熟度模型使用步骤
3.5 能力建设过程维度
能力建设过程维度,重点面向工业企业开展工控安全防护能力建设过程中需关注的对象,提出相应的过程域及配套基本实践,以指导工业企业安全防护能力提升。工业企业作为工控安全防护能力建设提升的主体,在能力建设过程中,需重点关注被保护对象的安全及企业自身安全组织机构及配套管理制度的运行效果,并据此构建工控安全成熟度的过程域体系。该过程域体系包含核心保护对象安全、通用安全2部分,如图4所示。其中核心保护对象安全依据IEC 62443关于工业控制系统层次模型定义,涉及工业设备安全、工业主机安全、工业网络安全、工业软件安全、工业数据安全等5个过程域的集合,重点提出控制设备、现场测控设备、工业上位机、工业网络、控制软件及工业数据等对象的安全基本实践。针对运维工业控制系统的组织机构,面向其安全运维的实际需求,提出安全规划与架构、人员管理与培训、物理与环境安全、监测预警与应急响应、供应链安全保障等安全5个过程域的集合,支撑应急响应、数据安全、供应链安全等政策文件的落地实施。能力建设过程维度共包含10个过程类,40个过程域,共计365个基本实践。经过前期标准试点验证和应用研究分析,工业企业达到二级(规范防护级)要求,即可基本满足《工业控制系统信息安全防护指南》提出的11项安全防护要点。
图4 能力建设过程域
3.6 标准实施意义
该标准围绕落实《工业控制系统信息安全防护指南》等相关政策文件要求,根据新形势下工控安全防护重点,从工控安全防护设计、建设、运维全生命周期提出工控安全防护要求。标准的实施与应用有助于指导企业落实政策标准的有关要求,进一步引导工业企业统筹发展和安全,指导企业逐级提升工控安全防护能力,以较低成本建立有效的工控安全管理和技术防护体系,量化评价企业安全防护水平,着力防范化解重大安全风险。同时,该标准的实施推广,可支撑工控安全行业主管部门,全面了解当前我国工业企业工控安全防护能力水平,摸清本行业、本辖区工控安全底数,为工控安全管理工作开展,提供标准化基础。
4 总结与展望
目前,我国已初步开展工控安全成熟度相关标准研制及服务平台开发工作,但尚未形成法律、政策、标准相互衔接、互为补充的管理制度,后续在主管部门指导下,建议产学研用各方力量进一步聚焦管理体系构建、贯标工作推广、遴选试点示范、服务能力建设等方面持续开展相关工作,促进工业企业工控安全防护能力跃升。
一是深入推进工控安全政策标准的宣贯实施。结合前期网络安全相关贯标工作经验,在全国范围内开展工控安全防护能力成熟度模型国家标准及指南的宣贯工作,面向工业基础好、安全需求强、技术储备足的重点地区和行业,组织开展贯标试点工作,厘清全国工业企业工控安全防护能力底数,绘制重点地区和行业工控安全防护能力指数地图。
二是启动地区/行业工控安全防护能力示范工作。结合贯标试点工作基础,遴选一批工控安全防护贯标示范案例,逐步形成可复制、可推广的示范工程,引导企业将指南和工控安全防护能力成熟度模型有关要求,纳入企业信息化发展战略,形成典型示范效应,带动更多工业企业参与并实施贯标工作,引导地方和社会资源加大配套投入。
三是注重工控安全贯标公共服务能力建设。进一步完善工控安全贯标公共服务平台,组织研发标准符合性数据智能采集、内容合规性智能诊断等配套工具,为工业企业开展自对标、自诊断、自评价等工作提供技术支撑,降低企业实施工控安全贯标的资源消耗,提升贯标结果的客观性、准确性和科学性。