今日頭條
官方微信
官方抖音
案例頻道★蔡麗麗中衡特爾維檢測技術(北京)有限公司
關鍵詞:數字化;智能化;工業控制系統;風險評估
1 引言
黨的二十大報告提出,到2035年基本實現新型工業化。在推動新階段新型工業化進程中,數字化、智能化成為工業企業技改升級的重要抓手。繼工業互聯網賦能之后,工業企業圍繞“數字化轉型”“智能化升級”,加強新一代信息技術與工業生產的集成應用,加速發展新質生產力。網絡化是數字化、智能化的基礎資源保障和數據要素來源,經典工業控制系統模型在網絡化背景下已發生改變,能否針對工業控制系統實施信息安全風險控制、防范化解網絡和數據安全風險隱患,成為工業企業順利實現轉型升級的關鍵因素。
2 新型工業化背景下的工業控制系統風險
經典的工業控制系統層次結構圖,從上到下依次為企業資源層、生產管理層、過程監控層、現場控制層和現場設備層。隨著工業互聯網的發展,以及企業的數字化轉型、智能化升級提速,該層次已不能完全適用。新技術、新裝備的使用,以及工業企業上云等,使得對應風險評估的資產、脆弱性和威脅也發生了變化。
(1)新型工業化背景下的工業控制系統風險現狀
經典工業控制系統通常包括SCADA(監控和數采系統)、DCS(分布式控制系統)、PLC(可編程邏輯控制器)等,應用環境封閉、獨立,信息安全隱患不足為慮。我國大部分工業控制系統建設較早,在信息技術欠發達時代考慮的信息安全較少,且并沒有隨著科技發展而升級,導致其自身安全能力不足[1]。隨著新技術如云計算、大數據、人工智能、邊緣計算等在工業生產中的應用,以及越來越多的軟硬件設施包括智能終端、采集設備等接入網絡,打破了相對封閉可信的傳統工業控制系統環境,OT、IT、DT、CT緊密融合,安全邊界逐漸模糊,互聯網的威脅進入工業控制系統,工業控制系統的脆弱性被黑客瞄準。與此同時,邊緣計算平臺、云平臺接入工業控制系統,匯聚了海量的多源異構數據,使得數據處理和利用不斷促進數字化、智能化,但也引入了數據安全風險。所以傳統的僅針對工業控制系統的信息安全風險評估在新形勢下的適用性、有效性大幅下降,從而催生了新型工業化背景下的工業控制系統信息安全風險評估,進而為數智升級提供可靠保障。
(2)工業企業上云導致的風險
《2023上半年云安全態勢報告》顯示,工業云是遭受攻擊最多的三大行業之一[2]。在數字化轉型過程中,工業企業使用工業互聯網平臺、邊緣計算平臺存儲、處理數據。對于工業互聯網平臺,涉及到如MES(生產過程執行系統)、PLM(產品生命周期管理系統)等系統的云化部署、本地部署的常規工業控制系統數據上云。對于邊緣計算平臺,通過控制器、網關或服務器連接大量的現場設備、機床或產線,使得存儲和計算下移。工業互聯網平臺、邊緣計算平臺帶來的其自身的風險評估情況、接入安全風險及公有云安全風險管理,都將成為工業控制系統信息安全風險評估考量的因素。
(3)智能資產導致的風險
在智能化升級過程中,智能裝備如數控機床、數控電氣,智能設備如工業機器人、智能車載等資產的廣泛使用,使得工業控制系統呈現新的風險因素。智能資產系統可能存在漏洞及后門,攻擊者可以通過漏洞控制設備、通過后門竊取數據,造成工業企業的損失。另外,智能資產所在的網絡區域,若未使用防火墻、網閘等邊界安全設備,同時又使用智能終端通過互聯網對其進行遠程監測時,IT和OT的邊界消失,極易遭受來自IT端的網絡攻擊。因此,智能資產的信息安全風險評估成為工業控制系統風險評估的一部分。
(4)供應鏈安全導致的風險
新型工業化背景下,工業企業應用固件、軟件、組件和系統越來越多,軟件或系統封裝層級越來越高,針對供應鏈各個環節的攻擊急劇上升,導致整體供應鏈安全威脅越來越大。針對供應鏈的安全攻擊事件呈快速增長態勢,Gartner曾預測,到2025年全球至少45%的企業機構將遭遇軟件供應鏈攻擊。再者軟件開發工具,若植入惡意代碼,將會編譯出缺陷代碼。曾疑似IOS開發工具Xcode被植入了惡意代碼,用該工具編譯的App會泄漏手機隱私信息。因此開展供應鏈安全風險評估,是對新型工業化背景下工業控制系統要求的細化,可以幫助企業識別供應鏈安全弱點、實施控制措施、提升其關鍵環節的安全防護能力。
3 新型工業化背景下的工業控制系統信息安全風險評估依據
我國高度重視工業控制系統信息安全風險評估,多部法律法規提出了風險評估要求,多項國家標準對風險評估實施過程提供了指導,針對風險評估進行已有安全措施確認。新階段的工業企業風險評估不能僅遵守工業控制系統相關的風險評估,而應能更適應聯網化、數字化、智能化的發展趨勢,為企業數智升級提供安全保障。
(1)法律法規對工業控制系統風險評估的規定
《中華人民共和國網絡安全法》規定:國家實行網絡安全等級保護制度,國家網信部門協調有關部門建立健全網絡安全風險評估和應急工作機制,國家推進網絡安全社會化服務體系建設,鼓勵有關企業、機構開展網絡安全認證、檢測和風險評估等安全服務。《中華人民共和國數據安全法》規定:國家支持有關部門、行業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防范、處置等方面開展協作;重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。
《工業控制系統網絡安全防護指南》提出,新建或升級工業控制系統上線前、工業控制網絡與企業管理網或互聯網連接前,應開展安全風險評估。《工業互聯網企業網絡安全分類分級指南(試行)》規定:三級工業互聯網企業應當至少每年進行一次網絡安全風險評估與審計。《工業和信息化領域數據安全管理辦法(試行)》規定:工業和信息化領域重要數據和核心數據處理者應當自行或委托第三方評估機構,每年對其數據處理活動至少開展一次風險評估,及時整改風險問題,并向本地區行業監管部門報送風險評估報告;中央企業應當督促指導所屬企業,在重要數據和核心數據目錄備案、核心數據跨主體處理風險評估、風險信息上報、年度數據安全事件處置報告、重要數據和核心數據風險評估等工作中履行屬地管理要求。
(2)工業控制系統風險評估的參考標準
GB/T20984-2022《信息安全技術信息安全風險評估方法》是工業互聯網企業針對工業控制系統實施風險評估的核心依據,它從資產、脆弱性、威脅、已有安全措施四個方面進行風險識別,通過風險分析計算事件發生的可能性、評估對象的損失、系統資產面臨的風險值,最終計算出業務風險值。GB/T36466-2018《信息安全技術工業控制系統風險評估實施指南》根據工業控制系統的資產安全特性,分析威脅、脆弱性和保障能力,通過風險計算完成綜合分析與評價,最后根據判定結果及企業自身情況進行殘留風險處置。GB/T31722-2015《信息技術安全技術信息安全風險管理》提供了信息安全風險管理指導,可用于工業企業。當前該標準正在升級轉版,新標準名稱定為《信息安全技術信息安全風險管理指導》。
(3)已有安全措施確認的標準依據
針對工業控制系統網絡安全進行測評的標準,涵蓋網絡安全等級保護2.0標準體系,包括GB/T22239-2019《網絡安全等級保護基本要求》、GB/T28448-2019《網絡安全等級保護測評要求》等;工業互聯網企業網絡安全系列標準包括GB/T44462.1-2024《工業互聯網企業網絡安全第1部分:應用工業互聯網的工業企業防護要求》、GB/T44462.2-2024《工業互聯網企業網絡安全第2部分:平臺企業防護要求》等。這些標準可以用于企業對工業控制系統已有安全措施進行有效性確認。企業采取的防護措施包括防火墻、入侵檢測、數據加密、訪問控制等,是降低脆弱性并抵御威脅的手段,可通過配置核查、漏洞掃描、滲透測試等技術手段驗證防護措施的有效性。
4 結語
由于風險評估涉及的企業多樣、人員差異等因素,導致其結果存在一定的不確定性,因此在開展工業控制信息系統信息全風險評估過程中要盡量考慮全面,并定期實施。
(1)工業控制系統風險評估面臨的問題
一是,工業控制系統應用于多種類型的工業企業,如鋼鐵、有色、石化等,企業類型及規模大小不同,其風險評估側重也有所不同;二是,風險評估具有主觀性,工控系統風險評估無論依賴于第三方還是自身,都有其盲區,評估者的視角和經驗都會影響評估結果;三是,風險評估的方法并不一致,智能資產、云平臺或關鍵部件若單獨進行風險評估,評估方法一致性是工業控制系統信息安全風險評估結果準確性的重要因素。
(2)定期開展工業控制系統信息安全風險評估
由于工業控制系統相關的資產、脆弱性和威脅不是一成不變的,因此工業企業需要通過定期開展信息安全風險評估,全面了解自身的網絡和數據安全水平,根據評估結果優化防護措施,及時消除不可接受的風險隱患,將風險控制在可接受范圍內,為企業數智升級提供保障,為實現新型工業化目標打下基礎。
作者簡介
蔡麗麗(1990-),女,河北張家口人,助理工程師,學士,現就職于中衡特爾維檢測技術(北京)有限公司,主要從事信息系統安全性維護、信息系統測試、質量管理等方面的研究。
參考文獻:
[1] 張真愷. 煙廠制絲車間工業控制系統信息安全風險評估研究[D]. 昆明: 云南大學, 2022.
[2] 工業級大模型應用是一把“雙刃劍”? [EB/OL].
摘自《自動化博覽》2025年1月刊
北京市公安局海淀分局備案號:11010802023656號