今日頭條
官方微信
官方抖音
資訊頻道1 引言
為了符合工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)要求和產(chǎn)品功能要求,工業(yè)控制系統(tǒng)供應(yīng)商正在為工業(yè)控制系統(tǒng)產(chǎn)品開發(fā)信息安全軟件,以滿足當(dāng)今主流市場工業(yè)用戶的迫切需求,從而達(dá)到其產(chǎn)品在市場的主導(dǎo)地位。由于工控信息安全事故頻發(fā),工業(yè)控制系統(tǒng)供應(yīng)商也在為其工控產(chǎn)品開發(fā)一些更好的、更深層次的信息安全軟件,同時,為工業(yè)用戶方便進(jìn)行工業(yè)控制系統(tǒng)運(yùn)作管理及其信息安全運(yùn)作管理,工業(yè)控制系統(tǒng)供應(yīng)商正努力應(yīng)對并開發(fā)出相應(yīng)的工業(yè)控制系統(tǒng)信息安全監(jiān)控軟件。因此,在市場上開始涌現(xiàn)各種各樣工業(yè)控制系統(tǒng)供應(yīng)商的信息安全監(jiān)控軟件。
隨著網(wǎng)絡(luò)安全的快速推進(jìn),工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)安全的重要組成部分,已經(jīng)引起人們的高度關(guān)注,工業(yè)控制系統(tǒng)供應(yīng)商在這方面也是短板,因此,傳統(tǒng)的信息安全產(chǎn)品供應(yīng)商憑借其網(wǎng)絡(luò)安全專業(yè)優(yōu)勢,正快速進(jìn)入工業(yè)控制系統(tǒng)領(lǐng)域,為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)開發(fā)出相應(yīng)的信息安全產(chǎn)品和信息安全軟件。最初,這些信息安全產(chǎn)品供應(yīng)商為滿足工業(yè)控制系統(tǒng)用戶信息安全要求,為工業(yè)控制系統(tǒng)安裝必要的網(wǎng)絡(luò)隔離設(shè)備,為用戶配置相應(yīng)的監(jiān)控軟件。其次,為擴(kuò)展工業(yè)控制系統(tǒng)整個網(wǎng)絡(luò)的監(jiān)控,他們與工業(yè)控制系統(tǒng)供應(yīng)商展開合作,共同開發(fā),既擴(kuò)展原網(wǎng)絡(luò)隔離設(shè)備的監(jiān)控,又整合工業(yè)控制系統(tǒng)供應(yīng)商各個控制網(wǎng)絡(luò)各設(shè)備的部分事件、網(wǎng)絡(luò)報警記錄,使得工業(yè)控制系統(tǒng)整個網(wǎng)絡(luò)的監(jiān)控成為可能。于是,工業(yè)安全監(jiān)測審計平臺、工業(yè)安全管控平臺等軟件監(jiān)控逐漸出現(xiàn),從而滿足工業(yè)控制系統(tǒng)用戶的信息安全要求。
同時我們還應(yīng)該看到,工業(yè)控制系統(tǒng)供應(yīng)商為工業(yè)控制系統(tǒng)產(chǎn)品開發(fā)信息安全軟件,信息安全產(chǎn)品商為工業(yè)控制系統(tǒng)開發(fā)網(wǎng)絡(luò)隔離設(shè)備、工業(yè)安全監(jiān)測審計平臺、工業(yè)安全管控平臺等軟件監(jiān)控,這基本能夠滿足一般工業(yè)控制系統(tǒng)用戶的信息安全需求。然而,工業(yè)控制系統(tǒng)用戶的快速發(fā)展,大型的工業(yè)控制系統(tǒng)用戶不斷發(fā)展壯大,對于大型廠級的企業(yè)用戶或者集團(tuán)公司級的用戶,需要對各個工廠工業(yè)控制系統(tǒng)信息安全進(jìn)行有效管理,那么在廠級或集團(tuán)級也需要這些信息安全信息。為此,一些專門從事企業(yè)資源計劃(ERP)管理軟件供應(yīng)商也開始考慮如何在原有ERP軟件產(chǎn)品中增加這些工業(yè)控制系統(tǒng)信息安全信息, 于是,GRC(Governance, Risk and ComplianceManagement)企業(yè)管控、風(fēng)險與符合性管理軟件正開始走進(jìn)大眾的視野,也就是說,大型廠級集團(tuán)級企業(yè)用戶的工業(yè)控制系統(tǒng)信息安全管理可以納入GRC企業(yè)管控、風(fēng)險與符合性管理軟件平臺。
工業(yè)控制系統(tǒng)供應(yīng)商、信息安全產(chǎn)品供應(yīng)商、企業(yè)管控軟件供應(yīng)商等通過相互合作,共同推進(jìn)工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控技術(shù)的發(fā)展,為工業(yè)控制系統(tǒng)用戶提供更多的信息安全管控選擇。其中,工業(yè)控制系統(tǒng)供應(yīng)商、信息安全產(chǎn)品供應(yīng)商的軟件與監(jiān)控是必備配置,而企業(yè)管控軟件供應(yīng)商的軟件與監(jiān)控則要視企業(yè)自身規(guī)模和管理要求選擇配置。
下面將對工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控架構(gòu)進(jìn)行介紹,對工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控進(jìn)行詳細(xì)分析,并對工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控趨勢進(jìn)行分析。
2 工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控架構(gòu)
工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控架構(gòu)按照ANSI/ISA-99.00.01企業(yè)分層模型,可繪制典型工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控架構(gòu),示意圖如圖1所示。
圖1 典型工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控架構(gòu)示意圖
典型的工業(yè)控制系統(tǒng)包括現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層、制造執(zhí)行系統(tǒng)層、企業(yè)管理層和外部網(wǎng)絡(luò)。那么,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控,需要考慮在現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層、制造執(zhí)行系統(tǒng)層和企業(yè)管理層的部署。從圖1中可以看出,在現(xiàn)場設(shè)備層和現(xiàn)場控制層,工業(yè)控制系統(tǒng)供應(yīng)商需要為其產(chǎn)品配置相應(yīng)的工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控;在過程監(jiān)控層和制造執(zhí)行系統(tǒng)層,工業(yè)控制系統(tǒng)供應(yīng)商和信息安全產(chǎn)品供應(yīng)商需要為各自產(chǎn)品配置相應(yīng)的工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控;在企業(yè)管理層,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控則由企業(yè)管控軟件供應(yīng)商配置,當(dāng)然,若企業(yè)規(guī)模較小,也可以由網(wǎng)絡(luò)信息安全產(chǎn)品供應(yīng)商配置。
在圖1中,每個設(shè)備都是作為一個端點(diǎn)來考慮,每個網(wǎng)絡(luò)都必須考慮。因此,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控必須考慮所有端點(diǎn)和所有網(wǎng)絡(luò)。早期,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控主要集中在各端點(diǎn)上,近幾年,控制網(wǎng)絡(luò)、信息網(wǎng)絡(luò)的軟件監(jiān)控也逐步形成。
3 工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控分析
為便于分析工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控,本節(jié)按照現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層、制造執(zhí)行系統(tǒng)層、企業(yè)管理層的劃分,對各層中出現(xiàn)的工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控進(jìn)行詳細(xì)分析。
3.1 現(xiàn)場設(shè)備層信息安全軟件與監(jiān)控
在現(xiàn)場設(shè)備層,需要對總線型現(xiàn)場設(shè)備、無線設(shè)備和RTU進(jìn)行一些信息安全軟件配置。
3.1.1 總線型現(xiàn)場設(shè)備
對于總線型現(xiàn)場設(shè)備,需要按照端點(diǎn)來保護(hù)。通常,這種端點(diǎn)保護(hù)包括以下兩個方面:
(1)現(xiàn)場設(shè)備補(bǔ)丁軟件;
(2)總線訪問控制軟件。(注:目前還在開發(fā)中)
3.1.2 無線設(shè)備
對于無線設(shè)備,需要按照端點(diǎn)來保護(hù)。通常這種端點(diǎn)保護(hù)包括以下幾個方面:
(1)無線設(shè)備補(bǔ)丁軟件;
(2)數(shù)據(jù)傳輸加密軟件協(xié)議WPA2;
(3)無線通信設(shè)備規(guī)范要求的軟件。
3.1.3 RTU
對于RTU,需要按照端點(diǎn)來保護(hù)。通常這種端點(diǎn)保護(hù)包括以下幾個方面:
(1)RTU補(bǔ)丁軟件;
(2)監(jiān)視、控制與數(shù)據(jù)采集要求的軟件。(注:這點(diǎn)與下面提到的端點(diǎn)保護(hù)類似)
3.2 現(xiàn)場控制層信息安全軟件與監(jiān)控
在現(xiàn)場控制層,需要對包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分散型控制系統(tǒng)(DCS)、安全儀表控制系統(tǒng)(SIS)、可編程邏輯控制系統(tǒng)(PLC)的控制器或控制站進(jìn)行一些信息安全軟件配置。
對于每個控制器或控制站,均需要按照端點(diǎn)來保護(hù)。通常,這種端點(diǎn)保護(hù)包括以下幾個方面:
(1)補(bǔ)丁軟件
工業(yè)控制系統(tǒng)供應(yīng)商應(yīng)提供合格的相關(guān)補(bǔ)丁,包括產(chǎn)品用到的操作系統(tǒng)制造商和工業(yè)控制系統(tǒng)應(yīng)用軟件的安全補(bǔ)丁。
(2)風(fēng)暴保護(hù)
對于控制器和通信模塊,一旦出現(xiàn)網(wǎng)絡(luò)風(fēng)暴,可以通過網(wǎng)絡(luò)過濾,阻止不支持的流量并保護(hù)各控制節(jié)點(diǎn)。
3.3 過程監(jiān)控層信息安全軟件與監(jiān)控
在過程監(jiān)控層,需要對包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分散型控制系統(tǒng)(DCS)、安全儀表控制系統(tǒng)(SIS)、可編程邏輯控制器(PLC)的工程師站、操作站、OPC服務(wù)器、實時數(shù)據(jù)庫、監(jiān)控中心等進(jìn)行信息安全軟件與監(jiān)控配置,可分為各端點(diǎn)保護(hù)和工業(yè)安全監(jiān)測審計平臺。
3.3.1 各端點(diǎn)保護(hù)
對于工程師站、操作站、服務(wù)器等,均需要按照端點(diǎn)來保護(hù)。通常,這種端點(diǎn)保護(hù)包括以下三個方面軟件:
(1)內(nèi)置型軟件
·補(bǔ)丁和防病毒軟件
工業(yè)控制系統(tǒng)供應(yīng)商應(yīng)提供合格的相關(guān)補(bǔ)丁,包括產(chǎn)品用到的操作系統(tǒng)制造商和工業(yè)控制系統(tǒng)應(yīng)用軟件的安全補(bǔ)丁,對此層各端點(diǎn)也是適用的。
防毒軟件進(jìn)行定時查毒和殺毒,發(fā)揮入侵檢測和預(yù)防的作用,確保各端點(diǎn)的安全。目前常見的防毒軟件有McAfee、Symantec等。
·訪問與賬戶管理軟件
訪問與賬戶管理通常采用基于用戶、角色、位置的訪問與賬戶管理,也可基于對象和屬性等級進(jìn)行訪問與賬戶管理。
·主機(jī)型防火墻軟件
基于主機(jī)的防火墻技術(shù)是部署在工作站或控制器的軟件解決方案,用于控制進(jìn)出特定設(shè)備的流量。
·備份與恢復(fù)軟件
通過有效的災(zāi)難性恢復(fù),避免由于事故導(dǎo)致系統(tǒng)數(shù)據(jù)和應(yīng)用數(shù)據(jù)的大量丟失。同時通過系統(tǒng)管理特點(diǎn),可選擇全部備份與恢復(fù)、部分備份與恢復(fù)。
(2)基本型軟件
·審計跟蹤軟件
審計跟蹤(audit trail),是系統(tǒng)活動的流水記錄。該記錄按事件從始至終的途徑,順序檢查審計跟蹤記錄、審查和檢驗每個事件的環(huán)境及活動。審計跟蹤通過日志方式提供應(yīng)負(fù)責(zé)任人員的活動證據(jù)以支持職能的實現(xiàn)。審計跟蹤記錄系統(tǒng)活動和用戶活動。系統(tǒng)活動包括操作系統(tǒng)和應(yīng)用程序進(jìn)程的活動;用戶活動包括用戶在操作系統(tǒng)中和應(yīng)用程序中的活動。通過借助適當(dāng)?shù)墓ぞ吆鸵?guī)程,審計跟蹤可以發(fā)現(xiàn)違反安全策略的活動、影響運(yùn)行效率的問題以及程序中的錯誤。
通常,審計日志包含信息如操作的時間與日期、操作的節(jié)點(diǎn)、操作的用戶名稱、操作的類型、受操作影響的對象和屬性、涉及系統(tǒng)的其他信息。
·工作站、網(wǎng)絡(luò)和軟件監(jiān)控軟件
工作站、網(wǎng)絡(luò)設(shè)備的正確運(yùn)行直接影響到控制系統(tǒng)的運(yùn)行和可靠性,通過連續(xù)監(jiān)控這些設(shè)備,可以主動發(fā)現(xiàn)一些異常行為,優(yōu)化系統(tǒng)的可用性。
·移動介質(zhì)和設(shè)備信息安全軟件
移動介質(zhì)和移動設(shè)備的使用,直接影響系統(tǒng)的安全。通過掃描和監(jiān)控這些移動介質(zhì)和設(shè)備,可以主動阻止對系統(tǒng)的攻擊。
(3)增強(qiáng)型軟件
·數(shù)字簽名軟件
系統(tǒng)可以為一些配置信息、報表或控制運(yùn)用定義為某個用戶簽名,從而保證這些信息不會輕易修改。
·白名單軟件
通過白名單策略,在用戶端和服務(wù)器端阻止未批準(zhǔn)的軟件運(yùn)行。
·高級訪問控制軟件
為方便后期維修支持,提供高級訪問控制,實現(xiàn)安全遠(yuǎn)程訪問。
3.3.2 工控審計與監(jiān)測平臺
工控審計與監(jiān)測平臺是一款專門針對工業(yè)控制系統(tǒng)的審計和威脅監(jiān)測平臺。其主要功能包括:
(1)檢測針對工業(yè)控制協(xié)議的網(wǎng)絡(luò)攻擊、工控協(xié)議畸形報文、用戶異常操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播,并實時報警。
(2)支持對工控系統(tǒng)通訊記錄的回溯,便于后續(xù)的事故調(diào)查。
(3)與工業(yè)控制系統(tǒng)供應(yīng)商進(jìn)行整合,提取其設(shè)備運(yùn)行日志信息。
工控審計與監(jiān)測平臺與下面講到的管控平臺是獨(dú)立運(yùn)作且信息共享的關(guān)系。一方面,監(jiān)測審計平臺為管控平臺提供日志及分析數(shù)據(jù),助其更好的監(jiān)管全網(wǎng)系統(tǒng)與安全設(shè)備。另一方面,管控平臺也為監(jiān)測審計平臺更好地運(yùn)行提供監(jiān)控助力,保證其運(yùn)行穩(wěn)定、數(shù)據(jù)真實可信。
工控審計與監(jiān)測平臺已開始出現(xiàn)并投入使用,其典型工控審計與監(jiān)測平臺信息示意圖如圖2所示。
圖2 典型工控審計與監(jiān)測平臺信息示意圖
3.4 制造執(zhí)行系統(tǒng)(MES)層信息安全軟件與監(jiān)控
在制造執(zhí)行系統(tǒng)(MES)層,需要對包括工廠信息管理系統(tǒng)(PIMS)、先進(jìn)控制系統(tǒng)(APC)、歷史數(shù)據(jù)庫、計劃排產(chǎn)、倉儲管理等進(jìn)行信息安全軟件與監(jiān)控配置,通常可分為各端點(diǎn)保護(hù)和工業(yè)安全管控平臺。
3.4.1 各端點(diǎn)保護(hù)
對于服務(wù)器等,均需要按照端點(diǎn)來保護(hù)。通常,這種端點(diǎn)保護(hù)軟件與第3.3節(jié)提到的各端點(diǎn)保護(hù)軟件類似,在此不再展開分析。
3.4.2 工業(yè)安全管控平臺
工業(yè)安全管控平臺是一種對工業(yè)控制生產(chǎn)網(wǎng)和管理網(wǎng)中部署的系統(tǒng)和工控安全設(shè)備進(jìn)行監(jiān)控、配置和運(yùn)維的產(chǎn)品。主要通過行為審計、事件追蹤、日志管理和安全域管理等功能,感知和分析網(wǎng)絡(luò)中的安全風(fēng)險態(tài)勢,提升網(wǎng)絡(luò)安全事件的預(yù)判能力,以便于及時遏制可能的威脅。
其主要功能有:
(1)統(tǒng)一的安全設(shè)備及信息資產(chǎn)管理;
(2)全網(wǎng)網(wǎng)絡(luò)及安全設(shè)備態(tài)勢監(jiān)視、整體安全感知;
(3)閉環(huán)流程的事件處理管控。
工業(yè)安全管控平臺已開始出現(xiàn)并投入使用,其典型工業(yè)安全管控平臺示意圖如圖3所示。
圖3 某系統(tǒng)工業(yè)安全管控平臺示意圖
3.5 企業(yè)管理層信息安全軟件與監(jiān)控
在企業(yè)管理層,需要對包括財務(wù)管理、銷售管理、人事管理、供應(yīng)鏈管理等進(jìn)行信息安全軟件與監(jiān)控配置,這些均需信息技術(shù)部門負(fù)責(zé)。由于工業(yè)安全管控平臺并不能完全滿足大型廠級集團(tuán)級企業(yè)用戶對工業(yè)控制系統(tǒng)信息安全管理的需求,這時它們可以接入GRC企業(yè)管控平臺。因此,在這層的信息安全軟件與監(jiān)控配置,一般可分為工業(yè)安全管控平臺和GRC企業(yè)管控平臺。
3.5.1 工業(yè)安全管控平臺
通常,這種工業(yè)安全管控平臺軟件與第3.4節(jié)提到的工業(yè)安全管控平臺軟件相同,在此不再展開分析。
3.5.2 GRC企業(yè)管控平臺
GRC(Governance, Risk and ComplianceManagement)的概念在國內(nèi)才剛剛興起,但其在國外已經(jīng)發(fā)展相當(dāng)長時間。GRC以美國安然、法國興業(yè)銀行等一系列反面教材為觸發(fā)點(diǎn),以《薩班斯法案》(Sarbanes-Oxley Act ,簡稱SOX法案)為源泉,貫穿企業(yè)治理、風(fēng)險管理和合規(guī)經(jīng)營等各方面。隨著企業(yè)的發(fā)展,以整體管控、戰(zhàn)略執(zhí)行為目標(biāo),實現(xiàn)企業(yè)管控、風(fēng)險規(guī)避、戰(zhàn)略績效、業(yè)務(wù)流程管理及包括質(zhì)量、安全、環(huán)境等在內(nèi)各種符合性管理,服務(wù)于管理層和決策層的GRC管控系統(tǒng)被認(rèn)為是企業(yè)在日益復(fù)雜的競爭環(huán)境下賴以生存和發(fā)展的必然和有效選擇 。
中國經(jīng)濟(jì)快速增長帶動中國企業(yè)不斷做大、做強(qiáng),并邁出國門,但在擴(kuò)張并走向世界的過程中,中國企業(yè)逐漸暴露出低效率低績效、管控能力薄弱、不合規(guī)不透明等諸多管控問題,不少企業(yè)也因此遭受了重大損失,GRC正是很好解決這些問題的管理方法與工具。
(1)GRC完整定義
GRC是在企業(yè)的各經(jīng)營業(yè)務(wù)之上,以戰(zhàn)略為中心,以流程管理為基礎(chǔ),通過績效管理和風(fēng)險內(nèi)控管理措施,對各項經(jīng)營管理過程進(jìn)行管理和控制,保障戰(zhàn)略和經(jīng)營目標(biāo)達(dá)成的管理方法和工具的總稱。GRC涉及以下三個組成部分:
·Governance(治理/管控):建立完整的制度安排和治理框架,公平對待各利益相干者,制定公司戰(zhàn)略目標(biāo)和政策,監(jiān)督績效,遵從法律及制度規(guī)定,透明和披露經(jīng)營狀況,對各項經(jīng)營管理過程本身進(jìn)一步進(jìn)行管理和監(jiān)督。
·Risk Management(風(fēng)險管理):對所有業(yè)務(wù)和法規(guī)風(fēng)險進(jìn)行結(jié)構(gòu)化的識別、評估、緩解、監(jiān)視和控制。
·Compliance Management(符合性管理):通過內(nèi)部控制管理機(jī)制和體系,確保各項制度和法規(guī)得以遵從、政策得以貫徹、各項經(jīng)營和管理目標(biāo)得以有效達(dá)成。
(2)GRC治理模型
GRC管控的主要目的是保障基于企業(yè)管控和治理的戰(zhàn)略執(zhí)行,因此企業(yè)治理是一個結(jié)果,更是一個手段。而對齊戰(zhàn)略目標(biāo),以業(yè)務(wù)運(yùn)營為基礎(chǔ),注重業(yè)務(wù)執(zhí)行與監(jiān)控,關(guān)注防范風(fēng)險與合規(guī),并引入績效考核的企業(yè)管控閉環(huán)(如圖4所示)保證了企業(yè)管控的有效性,也保證了企業(yè)治理的持續(xù)性。
圖4 企業(yè)管控閉環(huán)模型圖
(3)GRC與工業(yè)控制系統(tǒng)信息安全
針對快速崛起與發(fā)展的中國企業(yè)來說,GRC是用于改善企業(yè)做強(qiáng)、做大過程中所面對突出管理問題(如經(jīng)營績效、集團(tuán)管控、合規(guī)透明)的管理方法體系和工具集合。
GRC管控軟件是一個集成化的解決方案,其大致可以包含決策支持(集團(tuán)管控、董事會治理、領(lǐng)導(dǎo)交辦、領(lǐng)導(dǎo)駕駛艙、辦公平臺、決策系統(tǒng)等)、戰(zhàn)略績效管理(業(yè)務(wù)戰(zhàn)略體系、全面預(yù)算管理、平衡計分卡、戰(zhàn)略監(jiān)控、戰(zhàn)略報告、績效管理、人力資源管理、報告管理等)、流程管理(業(yè)務(wù)流程管理、流程績效、工作任務(wù)管理、協(xié)同管理等)、風(fēng)險管理(風(fēng)險管理、審計管理、合同管理、安全管理、質(zhì)量管理等)、合規(guī)管理(SOX合規(guī)、行業(yè)合規(guī)、內(nèi)控系統(tǒng)等)、信息安全管理(信息安全合規(guī)、信息安全風(fēng)險管理、訪問控制管理、信息安全服務(wù)、安全與目錄管理、策略管理等)及展現(xiàn)(門戶、與其它業(yè)務(wù)系統(tǒng)的集成等)等幾大類。通常,GRC的集合視圖如圖5所示。
圖5 GRC的集合視圖
工業(yè)控制系統(tǒng)信息安全,作為信息安全管理的重要組成部分,基于定義商業(yè)影響、理解常規(guī)和運(yùn)作風(fēng)險、流程化處理等方面考慮,在GRC管控平臺信息安全管理模塊中,提供以下解決方案:
· 建立信息安全策略和標(biāo)準(zhǔn);
· 檢測和響應(yīng)攻擊;
· 識別和更正信息安全缺陷;
· 執(zhí)行風(fēng)險評估和監(jiān)控。
通過以上解決方案,實現(xiàn)降低整個信息安全風(fēng)險,盡可能降低由信息安全事件和符合性帶來的成本開銷,以及精簡識別、測量和監(jiān)控信息安全流程。
一般地,GRC企業(yè)管控平臺中關(guān)于信息安全管理的主要內(nèi)容包括以下幾點(diǎn):
· 信息安全問題管理;
· 信息安全與策略程序管理;
· 信息安全常規(guī)管理;
· 信息安全控制保障;
· 信息安全漏洞程序;
· 信息安全事件管理;
· 信息安全運(yùn)作與違規(guī)管理;
· 信息安全風(fēng)險管理;
· 外設(shè)部件互連(PCI)管理。
GRC企業(yè)管控平臺中信息安全管理的監(jiān)控畫面有多種,取決于用戶信息安全管理的需求。 GRC-信息安全風(fēng)險管理示意圖如圖6所示。
圖6 GRC-信息安全風(fēng)險管理示意圖
(4)GRC產(chǎn)品供應(yīng)商
· 國外GRC服務(wù)廠商及解決方案
國外GRC市場中處于引領(lǐng)者地位的主要有Axentis、BWise、MetricStream、OpenPages、Thomson Reuters、Oracle等。這些GRC廠商通過持續(xù)更新,提升GRC理念和技術(shù)產(chǎn)品水平,贏得越來越廣泛的市場和越來越龐大的客戶群體;這些廠商不僅在其技術(shù)實力方面占有絕對領(lǐng)先地位,而且通過理念研究和戰(zhàn)略指導(dǎo)等也正在塑造其GRC領(lǐng)導(dǎo)者的角色。
國外GRC市場中僅隨其后開始向引領(lǐng)地位沖擊的主要有Archer、Cura、Mega、Methodware、 Protiviti、Strategic Thought等。在過去兩年,這些廠商GRC理念與產(chǎn)品取得大幅改善,他們逐漸向世界領(lǐng)先企業(yè)提供GRC各個領(lǐng)域的優(yōu)秀解決方案和產(chǎn)品;雖然理念水平、技術(shù)平臺及市場占有率等還沒有達(dá)到領(lǐng)導(dǎo)者的地位,但他們?nèi)匀粫诜彪s的GRC市場中繼續(xù)保持強(qiáng)勁的競爭地位。
國外GRC市場中還有SAI Global、SAP、Trintech、Aline、IDS Scheer、CA、Compliance360、DoubleCheck、Neohapsis、List Group、Optial、Sword Achiever、Trintech、Xactium等參與者。這些廠商對于GRC理念的研究大多基于自己原有解決方案,GRC產(chǎn)品也限定在其本身產(chǎn)品線相關(guān)的某GRC領(lǐng)域。雖然目前他們的解決方案還不夠全面,市場份額還不夠大,但其長期積累的客戶群體和強(qiáng)大的技術(shù)實力也將幫助他們在GRC市場中快速成長。
· 國內(nèi)GRC服務(wù)廠商及解決方案
國內(nèi)對于GRC理論和實踐的研究相對較晚,國內(nèi)廠商的管理經(jīng)驗和客戶積累與國外也存在一定差距,所以國內(nèi)GRC管控軟件提供商的GRC解決方案大多是基于原有解決方案的擴(kuò)展,而很少有形成涉及GRC領(lǐng)域全方位的解決方案集合。目前國內(nèi)提供GRC領(lǐng)域服務(wù)的廠商主要有慧點(diǎn)科技、用友、博科資訊、炎黃盈動、第一會達(dá)等。
4 工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控趨勢
工業(yè)控制系統(tǒng)信息安全已然引起工業(yè)控制系統(tǒng)用戶密切關(guān)注,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控是工業(yè)控制系統(tǒng)信息安全必不可少的環(huán)節(jié)。在工業(yè)現(xiàn)代化快速發(fā)展的今天,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控顯得尤為重要,工業(yè)控制系統(tǒng)供應(yīng)商、網(wǎng)絡(luò)信息安全產(chǎn)品供應(yīng)商、企業(yè)管控軟件供應(yīng)商、工業(yè)控制系統(tǒng)用戶都必須認(rèn)真對待工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控。
從工業(yè)控制系統(tǒng)市場發(fā)展和市場出現(xiàn)的來自不同工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控來看,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控產(chǎn)品正逐步走向規(guī)范化、集成化和產(chǎn)品更完善的趨勢。
4.1 信息安全軟件與監(jiān)控規(guī)范化
工業(yè)控制系統(tǒng)信息安全事件的頻繁發(fā)生以及其導(dǎo)致的嚴(yán)重后果,必然引起各國政府和相關(guān)工業(yè)控制系統(tǒng)用戶的高度重視,如何有效推進(jìn)工業(yè)控制系統(tǒng)信息安全,加強(qiáng)管理工業(yè)控制系統(tǒng)信息安全,應(yīng)用軟件與監(jiān)控產(chǎn)品是大勢所趨。那么,這必將對軟件與監(jiān)控產(chǎn)品提出規(guī)范化的要求。
正如前文所述,工業(yè)控制系統(tǒng)供應(yīng)商、信息安全產(chǎn)品供應(yīng)商和企業(yè)管控軟件供應(yīng)商都在努力開發(fā)這些工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控產(chǎn)品,目前市場上的軟件與監(jiān)控產(chǎn)品種類繁多,對于工業(yè)控制系統(tǒng)用戶而言,如何正確選擇配置是關(guān)鍵,因此,市場上也需要更加規(guī)范化的要求。顯然,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控產(chǎn)品規(guī)范化是必然的大趨勢。
4.2 信息安全軟件與監(jiān)控集成化
由于工業(yè)控制系統(tǒng)中的產(chǎn)品和網(wǎng)絡(luò)多種多樣,工業(yè)控制系統(tǒng)供應(yīng)商會為其工控產(chǎn)品開發(fā)自身設(shè)備的軟件與監(jiān)控,信息安全產(chǎn)品供應(yīng)商會為其網(wǎng)絡(luò)產(chǎn)品開發(fā)自身設(shè)備的軟件與監(jiān)控,那么,工控產(chǎn)品和網(wǎng)絡(luò)產(chǎn)品信息安全軟件與監(jiān)控只有做好集成,才可以統(tǒng)一集成至企業(yè)管控軟件供應(yīng)商的監(jiān)控平臺。因此,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控必須集成設(shè)計。
同時,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控是由工業(yè)控制系統(tǒng)供應(yīng)商、信息安全產(chǎn)品供應(yīng)商和企業(yè)管控軟件供應(yīng)商各自開發(fā)設(shè)計,如何將這些軟件與監(jiān)控整合在一起,這是對工業(yè)控制系統(tǒng)信息安全有效管理提出的要求,也是工業(yè)控制系統(tǒng)用戶提出的要求。
4.3 信息安全軟件與監(jiān)控更完善
從上面幾節(jié)介紹可以看出,目前出現(xiàn)的工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控還在起步階段,隨著工業(yè)控制系統(tǒng)信息安全技術(shù)的深入開發(fā),其軟件與監(jiān)控將走向更完善。
(1)信息安全技術(shù)軟件更完善
工業(yè)控制系統(tǒng)信息安全技術(shù)有很多種類,目前市場上出現(xiàn)的工業(yè)控制系統(tǒng)信息安全技術(shù)軟件還是比較有限的。因此,工業(yè)控制系統(tǒng)信息安全軟件將有待于進(jìn)一步推進(jìn)和完善。
(2)信息安全監(jiān)控更完善目前,工業(yè)控制系統(tǒng)信息安全監(jiān)控市場紛繁復(fù)雜,需要工業(yè)控制系統(tǒng)供應(yīng)商、網(wǎng)絡(luò)信息安全產(chǎn)品供應(yīng)商和企業(yè)管控軟件供應(yīng)商各自開放并兼容設(shè)計,努力建立一個統(tǒng)一的信息安全監(jiān)控,為工業(yè)控制系統(tǒng)用戶節(jié)約時間、人力和物力,實現(xiàn)工業(yè)控制系統(tǒng)信息安全的集中監(jiān)控。因此,工業(yè)控制系統(tǒng)信息安全監(jiān)控需要工業(yè)控制系統(tǒng)供應(yīng)商、信息安全產(chǎn)品供應(yīng)商和企業(yè)管控軟件供應(yīng)商通力合作,并不斷走向完善。
5 結(jié)語
通過上述工業(yè)控制系統(tǒng)信息安全軟件和監(jiān)控分析可知,工業(yè)控制系統(tǒng)信息安全軟件和監(jiān)控已逐漸形成,在整個工業(yè)控制系統(tǒng)信息安全方案部署中,是不可缺少的部分。只有認(rèn)真而系統(tǒng)地學(xué)習(xí)和運(yùn)用這些軟件與監(jiān)控,才能有效解決工業(yè)控制系統(tǒng)信息安全事件頻發(fā),保證工業(yè)控制系統(tǒng)正常運(yùn)行,為國民經(jīng)濟(jì)建設(shè)和發(fā)展保駕護(hù)航。
同時,我們也應(yīng)該看到,工業(yè)控制系統(tǒng)信息安全軟件和監(jiān)控部署還剛剛起步。隨著工業(yè)控制系統(tǒng)不斷發(fā)展和廣泛運(yùn)用,其信息安全軟件和監(jiān)控必將快速推進(jìn)。因此,我們應(yīng)對工業(yè)控制系統(tǒng)信息安全軟件和監(jiān)控統(tǒng)籌兼顧,積極運(yùn)用和部署,真正做好工業(yè)控制系統(tǒng)信息安全建設(shè)。
作者簡介
肖建榮(1969-),男,高級工程師,現(xiàn)就職于巴斯夫(中國)有限公司,從事工業(yè)自動化儀表的工程設(shè)計、調(diào)試、運(yùn)行維護(hù)工作,先后完成多個國內(nèi)、國際項目的工程設(shè)計、調(diào)試工作。
參考文獻(xiàn):
[1] http://www.smartdot.com / [EB / OL].
[2] https://new.abb.com / control-systems / system-800xa / cyber-security [EB / OL].
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號