今日頭條
官方微信
官方抖音
資訊頻道自從2011年9月《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號(hào))文件發(fā)布之后,國(guó)內(nèi)各行各業(yè)對(duì)工業(yè)控制系統(tǒng)信息安全的認(rèn)識(shí)都達(dá)到了一個(gè)新的高度,電力、石化、制造、煙草等多個(gè)行業(yè),陸續(xù)制定了相應(yīng)的指導(dǎo)性文件,來(lái)指導(dǎo)相應(yīng)行業(yè)安全檢查與整改活動(dòng)。451號(hào)文填補(bǔ)了國(guó)內(nèi)工業(yè)控制系統(tǒng)信息安全的政策空白,由此拉開(kāi)了行業(yè)發(fā)展的帷幕。
然而,隨著國(guó)家信息安全機(jī)構(gòu)職能的調(diào)整,工控安全管理工作在后續(xù)一段時(shí)間基本處于暫停狀態(tài)。直到中編辦對(duì)工信部在2015年9月16日發(fā)布的新“三定”職責(zé)中明確:“擬定工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與信息安全規(guī)劃、政策、標(biāo)準(zhǔn)并組織實(shí)施,加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全審查”,工控安全相關(guān)工作正式納入工信部的職責(zé)范圍之后,工信部以信息化和軟件服務(wù)司為主管司局,開(kāi)始加快工控安全的保障工作。今年5月20日,《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》(國(guó)發(fā)〔2016〕28號(hào))文件明確提出:“以提升工業(yè)信息安全監(jiān)測(cè)、評(píng)估、驗(yàn)證和應(yīng)急處置等能力為重點(diǎn),依托現(xiàn)有科研機(jī)構(gòu),建設(shè)國(guó)家工業(yè)信息安全保障中心,為制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展提供安全支撐。”今年7月25日,工業(yè)和信息化部懷進(jìn)鵬副部長(zhǎng)在山東威海組織召開(kāi)全國(guó)信息化和軟件服務(wù)業(yè)工作座談會(huì)上明確提出:“推進(jìn)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》(下文簡(jiǎn)稱《指南》)的宣貫落實(shí),提升工業(yè)信息系統(tǒng)安全保障能力”,這是工信部第一次在公開(kāi)途徑發(fā)布《指南》的有關(guān)消息。千呼萬(wàn)煥,2016年10月17日,在451號(hào)文件發(fā)布的5年后,《指南》終于正式印發(fā)。
該《指南》的印發(fā)是對(duì)習(xí)總書(shū)記在“4.19”講話精神中明確強(qiáng)調(diào)“采取有效措施,切實(shí)做好國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)”的貫徹落實(shí),也充分體現(xiàn)了11月7日發(fā)布的《國(guó)家網(wǎng)絡(luò)安全法》中的有關(guān)條款要求。《指南》的及時(shí)發(fā)布,為工業(yè)企業(yè)和地方主管部門(mén)提供了一個(gè)有力的上位文件指導(dǎo),為工業(yè)企業(yè)如何開(kāi)展工業(yè)控制系統(tǒng)信息安全工作提供了可操作性的防護(hù)措施,并可進(jìn)一步提升相關(guān)人員的工業(yè)控制系統(tǒng)信息安全防護(hù)意識(shí),推進(jìn)產(chǎn)業(yè)的整體良性發(fā)展,切實(shí)提升國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施控制系統(tǒng)的安全防護(hù)水平。
同時(shí),也從另一個(gè)角度也可以體現(xiàn)國(guó)家對(duì)工業(yè)控制系統(tǒng)信息安全的重視。近兩年,從公開(kāi)信息統(tǒng)計(jì),國(guó)家對(duì)工業(yè)控制系統(tǒng)信息安全項(xiàng)目投資逐漸提高。各部委(發(fā)改委、工信部、科技部等)在工業(yè)控制系統(tǒng)信息安全方面累計(jì)建設(shè)和產(chǎn)業(yè)化投資已超過(guò)10億元。行業(yè)進(jìn)入了快速發(fā)展階段,各行業(yè)協(xié)會(huì)、產(chǎn)業(yè)聯(lián)盟、軟/硬服務(wù)廠商等積極參與到產(chǎn)業(yè)發(fā)展當(dāng)中,成果顯著。本《指南》明確了適用于工業(yè)控制系統(tǒng)信息安全的防護(hù)技術(shù)、管理體系,對(duì)工業(yè)控制系統(tǒng)信息安全如何防護(hù)、培訓(xùn)指導(dǎo)、技術(shù)研發(fā)、責(zé)任落實(shí)、應(yīng)急響應(yīng)等,都有了明確的內(nèi)容指導(dǎo)。
本文將就《指南》在實(shí)際應(yīng)用中如何快速落地進(jìn)行解讀,并閘述了如何利用《指南》去開(kāi)展工業(yè)控制系統(tǒng)信息安全工作,制訂建設(shè)方案,以及相關(guān)產(chǎn)業(yè)、產(chǎn)品如何受益等。
《指南》共分為11個(gè)大項(xiàng)30個(gè)條目,涵蓋了安全技術(shù)體系和安全管理體系。
1 安全技術(shù)體系
工業(yè)控制系統(tǒng)信息安全事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全。近年來(lái),隨著新一代信息技術(shù)對(duì)工業(yè)生產(chǎn)活動(dòng)各業(yè)務(wù)環(huán)節(jié)的不斷滲透,工業(yè)控制系統(tǒng)從單機(jī)走向互聯(lián),從封閉走向開(kāi)放,從自動(dòng)化走向智能化。在生產(chǎn)力顯著提高的同時(shí),工業(yè)控制系統(tǒng)面臨著日益嚴(yán)峻的信息安全威脅。
其中,安全技術(shù)體系設(shè)計(jì)是工業(yè)控制系統(tǒng)信息安全防護(hù)的重要部分和核心,其思想主要是:構(gòu)建集安全防護(hù)能力、安全風(fēng)險(xiǎn)監(jiān)測(cè)能力、 應(yīng)急響應(yīng)能力和災(zāi)難恢復(fù)能力于一體的安全技術(shù)保障體系,切實(shí)保障工控系統(tǒng)信息安全。安全技術(shù)體系由應(yīng)用安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、物理安全防護(hù)、主機(jī)安全防護(hù)和數(shù)據(jù)安全防護(hù)等環(huán)節(jié)構(gòu)成。
1.1 應(yīng)用安全防護(hù)
應(yīng)用安全防護(hù)在《指南》中體現(xiàn)在第一、二條,主要強(qiáng)調(diào)了對(duì)病毒防護(hù)和惡意軟件及配置和補(bǔ)丁的管理。
在實(shí)際應(yīng)用中,具體措施為:在工業(yè)主機(jī)應(yīng)用程序多且復(fù)雜的情況下,選擇防病毒軟件;在工業(yè)主機(jī)應(yīng)用程序少且簡(jiǎn)單的情況下,選擇應(yīng)用程序白名單軟件(application whitelisting)。應(yīng)用白名單在管理上過(guò)于復(fù)雜,業(yè)務(wù)流程和應(yīng)用存在不斷增長(zhǎng)的復(fù)雜性和互連性,需要謹(jǐn)慎使用。需要建立工控系統(tǒng)防病毒和惡意軟件入侵管理機(jī)制,并保證機(jī)制執(zhí)行的一套制度。管理制度應(yīng)包括:防病毒和惡意軟件入侵管理的總體思路,防病毒軟件的選擇、安裝、升級(jí)及維護(hù),發(fā)現(xiàn)病毒與惡意軟件的處理措施,對(duì)工控系統(tǒng)、臨時(shí)接入設(shè)備、移動(dòng)設(shè)備等。
在新建工業(yè)控制系統(tǒng)時(shí),要求工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的供應(yīng)商提供推薦的安全配置,建立安全配置清單;工業(yè)企業(yè)存量的工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備也可以由供應(yīng)商推廣安全配置清單或者由第三方安全服務(wù)供應(yīng)商經(jīng)過(guò)嚴(yán)謹(jǐn)測(cè)試后提供安全配置清單。建立了安全配置清單,工業(yè)企業(yè)需要定期對(duì)工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備進(jìn)行安全審計(jì)。在重大配置變更時(shí),需要制定嚴(yán)謹(jǐn)?shù)淖兏?jì)劃。首先在離線環(huán)境進(jìn)行安全測(cè)試,進(jìn)行影響分析;重要控制系統(tǒng),需要在檢修期間再進(jìn)行變更操作,同時(shí)進(jìn)行影響測(cè)試觀察,保證控制系統(tǒng)無(wú)影響運(yùn)行。關(guān)注專業(yè)或權(quán)威機(jī)構(gòu)發(fā)布的工業(yè)控制系統(tǒng)信息安全漏洞或工控系統(tǒng)供應(yīng)商的補(bǔ)丁發(fā)布,其中權(quán)威機(jī)構(gòu)的清單可參考plcscan.org上發(fā)表的《工業(yè)控制系統(tǒng)信息安全資源匯總(國(guó)內(nèi)篇)》和《工業(yè)控制系統(tǒng)信息安全資源匯總(國(guó)外篇)》。建議工業(yè)企業(yè)采用第三方工業(yè)控制系統(tǒng)信息安全服務(wù)商對(duì)現(xiàn)場(chǎng)工控軟硬件匹配性安全漏洞通報(bào)及加固方案推薦。工業(yè)企業(yè)自身有安全服務(wù)能力的情況下,可以自行對(duì)升級(jí)補(bǔ)丁進(jìn)行嚴(yán)格安全評(píng)估與測(cè)試驗(yàn)證;服務(wù)能力不足的情況下,可以選擇專業(yè)的工業(yè)控制系統(tǒng)信息安全服務(wù)商協(xié)助進(jìn)行補(bǔ)丁的安全評(píng)估與測(cè)試驗(yàn)證。配置和補(bǔ)丁管理詳細(xì)的落地措施可以參考國(guó)標(biāo)GB/T 32919-2016《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》的安全控制族配置管理(CM)和安全控制項(xiàng)SI-2,其中補(bǔ)丁評(píng)估與驗(yàn)證方法還可參考CISSP的補(bǔ)丁與漏洞管理或IEC 62443-2-3的《Patch management in the IACS environment 》。
工控補(bǔ)丁管理流程
可能受益的產(chǎn)品或廠商包括:桌面防病毒軟件(360、安天、賽門(mén)鐵克等),應(yīng)用白名單軟件(匡恩、威努特、谷神星等),安全配置核查工具(綠盟科技、啟明星辰等)。
1.2 網(wǎng)絡(luò)安全防護(hù)
網(wǎng)絡(luò)安全防護(hù)方面,《指南》側(cè)重說(shuō)明了邊界安全防護(hù),重點(diǎn)寫(xiě)明了開(kāi)發(fā)、測(cè)試環(huán)境和生產(chǎn)環(huán)境之間、控制網(wǎng)與互聯(lián)網(wǎng)或企業(yè)網(wǎng)之間、控制網(wǎng)不同區(qū)域之間的邊界防護(hù)問(wèn)題。
工業(yè)控制系統(tǒng)的開(kāi)發(fā)、測(cè)試環(huán)境與生產(chǎn)環(huán)境的安全要求不同,執(zhí)行不一樣的安全控制措施,需要將安全要求不同的環(huán)境分離出來(lái),比如物理隔離或其它安全隔離手段。開(kāi)發(fā)測(cè)試環(huán)境需要經(jīng)常變動(dòng)配置,應(yīng)用各種工具,接入各種外設(shè),如果與生產(chǎn)環(huán)境沒(méi)有分離,可能對(duì)生產(chǎn)環(huán)境造成干擾及威脅引入。
工控控制網(wǎng)絡(luò)邊界安全防護(hù)設(shè)備包括工業(yè)防火墻、工業(yè)網(wǎng)閘、單向隔離設(shè)備及企業(yè)定制的邊界安全防護(hù)網(wǎng)關(guān)。工控網(wǎng)絡(luò)與企業(yè)網(wǎng)互連,根據(jù)工控網(wǎng)絡(luò)的重要性及現(xiàn)場(chǎng)需求來(lái)選擇工業(yè)防火墻、工業(yè)網(wǎng)閘、單向隔離設(shè)備及邊界安全防護(hù)網(wǎng)關(guān)。工控網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連,建議選擇單向隔離設(shè)備,如果對(duì)現(xiàn)場(chǎng)業(yè)務(wù)有影響,盡量選擇安全級(jí)別高的設(shè)備進(jìn)行安全防護(hù)。具體選擇哪種隔離設(shè)備,可以通過(guò)第三方安全評(píng)估單位對(duì)現(xiàn)場(chǎng)進(jìn)行評(píng)估后,給出適合現(xiàn)場(chǎng)需要的邊界隔離方案。
工控網(wǎng)絡(luò)安全區(qū)域之間的安全防護(hù),建議根據(jù)區(qū)域重要性和業(yè)務(wù)需求來(lái)選擇使用工業(yè)防火墻、網(wǎng)閘還是其它安全隔離裝置。可以通過(guò)第三方安全評(píng)估單位對(duì)現(xiàn)場(chǎng)進(jìn)行評(píng)估后,給出適合現(xiàn)場(chǎng)需要的區(qū)域隔離方案。
可能受益的產(chǎn)品或廠商包括:工業(yè)防火墻(海天煒業(yè)、三零衛(wèi)士、中科網(wǎng)威、匡恩、威努特等),工業(yè)網(wǎng)閘(力控華康、啟明星辰、網(wǎng)神等),單向隔離網(wǎng)關(guān)(珠海鴻瑞、科東、南瑞、東方電子等)。
工業(yè)企業(yè)具體選擇工業(yè)防火墻、網(wǎng)閘、單向隔離設(shè)備和邊界安全網(wǎng)關(guān)等供應(yīng)商時(shí),可參考計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可服務(wù)平臺(tái):http://www.ispl.com.cn/ispl/jsp/common/ProductList_Public.jsp。
1.3 物理安全防護(hù)
物理安全防護(hù):包括物理位置的選擇、物理訪問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)。具體措施為工控系統(tǒng)的機(jī)房和辦公場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi);機(jī)房各出入口應(yīng)安排專人值守或配置電子門(mén)禁系統(tǒng),控制、鑒別和記錄人員的進(jìn)出情況;對(duì)機(jī)房設(shè)置視頻監(jiān)控和報(bào)警系統(tǒng);機(jī)房建筑設(shè)置避雷裝置,建立備用供電系統(tǒng)等。
對(duì)重要工控資產(chǎn)所在區(qū)域,需要采取雙因子防護(hù)措施,比如門(mén)禁加視頻監(jiān)控、專人值守登記加門(mén)禁等,進(jìn)入重要區(qū)域?qū)崿F(xiàn)先備案,可被審計(jì)或追溯。
對(duì)常規(guī)工業(yè)主機(jī)上的USB、光驅(qū)、無(wú)線等接口進(jìn)行拆除或封閉。確需使用,可以使用終端外設(shè)統(tǒng)一接入方式進(jìn)行管理或?qū)τ型庠O(shè)的主機(jī)實(shí)行隔離存放,使用需要經(jīng)過(guò)審批及訪問(wèn)控制才能接觸。工業(yè)企業(yè)需要定期對(duì)工業(yè)主機(jī)的外設(shè)配置及使用情況進(jìn)行審計(jì),發(fā)現(xiàn)并消除風(fēng)險(xiǎn)。
可能受益的產(chǎn)品或廠商包括:工業(yè)終端管理(中電瑞鎧、匡恩、威努特等)。
1.4 主機(jī)安全防護(hù)
主機(jī)安全防護(hù)主要體現(xiàn)在第五條的身份認(rèn)證和第六條的遠(yuǎn)程訪問(wèn)安全。包括主機(jī)安全、身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制。具體措施為對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別。對(duì)工業(yè)主機(jī)、應(yīng)用服務(wù)資源、工業(yè)云平臺(tái)等訪問(wèn)或使用過(guò)程中使用身份認(rèn)證管理,對(duì)不支持身份認(rèn)證管理的資產(chǎn),進(jìn)行物理上的訪問(wèn)控制。對(duì)于關(guān)鍵資源的訪問(wèn)需要根據(jù)重要性級(jí)別實(shí)行多因素訪問(wèn)。工業(yè)企業(yè)工控系統(tǒng)賬戶權(quán)限采用申請(qǐng)制,以滿足工作要求的最小權(quán)限原則來(lái)進(jìn)行賬戶權(quán)限分配,并定期審計(jì)分配的權(quán)限是否超出工作需要。對(duì)工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等需要登錄賬戶及密碼的情況,可以采用供應(yīng)商推薦的密碼強(qiáng)度,工業(yè)企業(yè)也可以根據(jù)資產(chǎn)重要性采取不同強(qiáng)度的賬戶及密碼,并避免使用默認(rèn)口令或弱口令。對(duì)資產(chǎn)的登陸賬戶及密碼的保存,需要采取嚴(yán)密的統(tǒng)一管理措施,并定期對(duì)賬戶及密碼進(jìn)行審計(jì)與更新。身份認(rèn)證證書(shū)在不同系統(tǒng)或網(wǎng)絡(luò)環(huán)境下分別使用,保護(hù)證書(shū)暴露后對(duì)系統(tǒng)和網(wǎng)絡(luò)的影響范圍。重要的身份認(rèn)證證書(shū),可以采用USB key的方式進(jìn)行保護(hù)。
工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)互連需要進(jìn)行邊界安全防護(hù),并關(guān)閉通用的網(wǎng)絡(luò)服務(wù)。由于許多工業(yè)控制產(chǎn)品在設(shè)計(jì)之初只考慮了應(yīng)用的功能需求,而并未考慮安全需求,開(kāi)放了通用網(wǎng)絡(luò)服務(wù),而這些服務(wù)存在嚴(yán)重的安全漏洞。如果一定需要通用網(wǎng)絡(luò)服務(wù),需要設(shè)置DMZ區(qū)域,將通用網(wǎng)絡(luò)服務(wù)放置在此區(qū)域,并且DMZ區(qū)域與工控系統(tǒng)采用嚴(yán)格的邊界安全防護(hù)措施。需要進(jìn)行遠(yuǎn)程訪問(wèn)的,需要在邊界上使用單向隔離裝置,并對(duì)訪問(wèn)時(shí)限進(jìn)行備案控制,保證在數(shù)據(jù)訪問(wèn)時(shí),遠(yuǎn)程訪問(wèn)側(cè)不允許對(duì)單向隔離裝置進(jìn)行配置變更,只允許控制網(wǎng)側(cè)進(jìn)行配置變更。另外,使用需要遠(yuǎn)程維護(hù)的,可以采用專網(wǎng)或VPN進(jìn)行遠(yuǎn)程接入,對(duì)接入賬號(hào)實(shí)行專人專號(hào),并對(duì)接入賬戶進(jìn)行操作記錄審計(jì)。也可以考慮在工控設(shè)備前端使用專用的VPN設(shè)備連接網(wǎng)絡(luò)。對(duì)工控系統(tǒng)相關(guān)訪問(wèn)日志進(jìn)行保護(hù),定期對(duì)訪問(wèn)日志進(jìn)行異地備份,并對(duì)操作過(guò)程進(jìn)行合規(guī)性審計(jì)。
可能受益的產(chǎn)品或廠商包括:VPN接入設(shè)備(珠海鴻瑞、T-BOX、MOXA、研華、東土等)。
1.5 數(shù)據(jù)安全防護(hù)
包括數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)。具體措施為:能夠檢測(cè)到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中完整性受到破壞, 并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施; 采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸和存儲(chǔ)的保密性; 提供數(shù)據(jù)本地備份與恢復(fù)功能,保證完全數(shù)據(jù)定期備份,備份介質(zhì)場(chǎng)外存放; 提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的高可用性。對(duì)工控系統(tǒng)的測(cè)試數(shù)據(jù)需要進(jìn)行保護(hù),比如委托的第三方服務(wù)機(jī)構(gòu),需要簽訂保密協(xié)議,并對(duì)測(cè)試數(shù)據(jù)進(jìn)行回收保護(hù)。
2 安全管理體系
工控系統(tǒng)安全管理體系是一個(gè)不斷完善、不斷改進(jìn)的過(guò)程,隨著外部情況及內(nèi)部條件的改變,需要對(duì)管理體系的內(nèi)容及范圍做相應(yīng)的調(diào)整, 以適應(yīng)變化。最終達(dá)到管理體系為工控系統(tǒng)安全的成功實(shí)施起 到保駕護(hù)航的作用。在《指南》中,安全管理防護(hù)體系由系統(tǒng)運(yùn)維管理、系統(tǒng)建設(shè)管理、安全制度和機(jī)構(gòu)管理等部分組成。
2.1 系統(tǒng)運(yùn)維管理
系統(tǒng)運(yùn)維管理強(qiáng)調(diào)對(duì)異常行為監(jiān)測(cè)和應(yīng)急預(yù)案演練的管理體系建設(shè)。包括網(wǎng)絡(luò)攻擊監(jiān)測(cè)、異常行為監(jiān)測(cè)、工業(yè)協(xié)議深度包檢測(cè)、監(jiān)控管理和安全管理中心、安全事件處置、應(yīng)急預(yù)案管理等,各環(huán)節(jié)應(yīng)符合國(guó)家及行業(yè)標(biāo)準(zhǔn)的要求。
其中,如果部署監(jiān)測(cè)管理設(shè)備,需要能即時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或異常風(fēng)險(xiǎn),及時(shí)告警,并推薦風(fēng)險(xiǎn)解決方案,工業(yè)企業(yè)需要及時(shí)處理風(fēng)險(xiǎn)或委托第三方安全服務(wù)商進(jìn)行快速處理。
在重要工控設(shè)備前端推薦部署帶有深度包檢測(cè)功能的防護(hù)設(shè)備,限制對(duì)重要設(shè)備的寫(xiě)操作,同時(shí)防護(hù)設(shè)備本身不能因?yàn)樵O(shè)置過(guò)濾規(guī)則過(guò)多而造成誤過(guò)濾,影響業(yè)務(wù)連續(xù)性。
工業(yè)企業(yè)需要自主或委托第三方工業(yè)控制系統(tǒng)信息安全服務(wù)廠商制定工業(yè)控制系統(tǒng)信息安全事件應(yīng)急響應(yīng)預(yù)案,當(dāng)遭受安全威脅導(dǎo)致工控系統(tǒng)出現(xiàn)異常或故障時(shí),第一時(shí)間恢復(fù)業(yè)務(wù),并對(duì)現(xiàn)場(chǎng)進(jìn)行保護(hù),方便取證。企業(yè)需要針對(duì)自身業(yè)務(wù)特點(diǎn),起草應(yīng)急響應(yīng)方案,并定期模擬、演練。
2.2 系統(tǒng)建設(shè)管理
系統(tǒng)建設(shè)管理主要體現(xiàn)為第八條和第十條,即資產(chǎn)管理和供應(yīng)鏈管理。資產(chǎn)管理包括資產(chǎn)管理、介質(zhì)管理、設(shè)備管理等,建立工控軟、硬件資產(chǎn)清單,明確資產(chǎn)責(zé)任人,定期對(duì)資產(chǎn)進(jìn)行安全巡檢,審計(jì)對(duì)資產(chǎn)的操作記錄,并檢查資產(chǎn)的運(yùn)行狀態(tài),及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)。對(duì)工控系統(tǒng)中的關(guān)鍵組件進(jìn)行冗余配置,包括端口冗余、網(wǎng)絡(luò)冗余、設(shè)備冗余、軟件冗余等,根據(jù)業(yè)務(wù)需要選擇冷備份與熱備份或同時(shí)運(yùn)行的方式。
供應(yīng)鏈管理需要統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)方案, 并形成配套文件。組織相關(guān)部門(mén)和有關(guān)安全技術(shù)專家進(jìn)行論證和審定,并經(jīng)過(guò)行業(yè)監(jiān)管機(jī)構(gòu)、上級(jí)信息安全主管部門(mén)和相應(yīng)生產(chǎn)調(diào)度機(jī)構(gòu)的審核。在選擇工控系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維或評(píng)估服務(wù)商時(shí),優(yōu)先考慮有工業(yè)控制系統(tǒng)信息安全防護(hù)經(jīng)驗(yàn)的服務(wù)商,工業(yè)企業(yè)在選擇工控系統(tǒng)安全防護(hù)建設(shè)、運(yùn)維或評(píng)估等服務(wù)商時(shí),也是要優(yōu)先考慮具備工業(yè)控制系統(tǒng)信息安全防護(hù)與服務(wù)經(jīng)驗(yàn)的服務(wù)商,并以合同等方式明確服務(wù)商應(yīng)承擔(dān)的信息安全責(zé)任與義務(wù),比如保密義務(wù)、安全防護(hù)義務(wù)等。服務(wù)商需要以保密協(xié)議的方式為工業(yè)企業(yè)的業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備清單等接觸到的一切工業(yè)企業(yè)信息進(jìn)行保密,尤其是通過(guò)普查、調(diào)研、檢查、審計(jì)等獲取的企業(yè)敏感數(shù)據(jù),對(duì)外部人員允許訪問(wèn)的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)進(jìn)行書(shū)面的規(guī)定,并按照規(guī)定執(zhí)行。
2.3 安全管理制度和機(jī)構(gòu)
明確由主管安全生產(chǎn)的領(lǐng)導(dǎo)作為工控系統(tǒng)安全防護(hù)的主要責(zé)任人, 成立指導(dǎo)和管理信息安全工作的協(xié)調(diào)小組或委員會(huì);設(shè)立信息安全管理工作的職能部門(mén);制定文件明確安全管理機(jī)構(gòu)各個(gè)部門(mén)和崗位的職責(zé)、分工和技能要求。嚴(yán)格規(guī)范人員錄用過(guò)程,對(duì)被錄用人員的 身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查,對(duì)其所具有的技術(shù)技能進(jìn)行考核;與安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員等關(guān)鍵崗位的人員簽署保密協(xié)議; 定期對(duì)各個(gè)崗位的人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)及安全認(rèn)知的考核。逐步建立重要工業(yè)控制系統(tǒng)信息安全漏洞和事件的通報(bào)、推送和共享機(jī)制。部署工業(yè)控制系統(tǒng)信息安全防護(hù)管理與技術(shù)措施,逐步建立工業(yè)控制系統(tǒng)信息安全企業(yè)保障體系。
總結(jié):對(duì)應(yīng)美國(guó)國(guó)土安全部的工業(yè)控制系統(tǒng)信息安全“七步驟”,該指南更加詳細(xì)、全面,突顯了服務(wù)保障理念,兼顧了技術(shù)體系和管理體系,為政府、企業(yè)、科研機(jī)構(gòu)和用戶等相關(guān)產(chǎn)業(yè)部門(mén)提供參考。當(dāng)然,該指南還只是指導(dǎo)性文件,未來(lái)產(chǎn)業(yè)如何進(jìn)一步發(fā)展,還需要相關(guān)執(zhí)行標(biāo)準(zhǔn)的進(jìn)一步健全、完善和落地,從而全面保障關(guān)鍵信息基礎(chǔ)設(shè)施安全。
本文由燈塔實(shí)驗(yàn)室(plcscan.org)和工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟(icsisia.com)聯(lián)合發(fā)布,特別感謝《指南》的牽頭編制單位工信部電子一所(電子科學(xué)技術(shù)情報(bào)研究所)的大力指導(dǎo)。由于《指南》發(fā)布不久,管窺之見(jiàn),未盡事宜,歡迎來(lái)函指正。
參考文獻(xiàn):
【1】Seven Steps to Effectively Defend Industrial Control Systems_S508C.
https://ics-cert.us-cert.gov/sites/default/files/documents/Seven%20Steps%20to%20Effectively%20Defend%20Industrial%20Control%20Systems_S508C.pdf,
【2】CISSP認(rèn)證考試指南(第六版).
【3】IEC 62443-2-3.
【4】PLCSCAN.ORG.
【5】工業(yè)控制系統(tǒng)信息安全防護(hù)體系研究 《工業(yè)控制計(jì)算機(jī)》2013 年第 26 卷第 10 期.
【6】GB/T 32919-2016《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》.
北京市公安局海淀分局備案號(hào):11010802023656號(hào)