《以贯标提升工业控制系统信息安全防护水平.docx》由会员分享,可在线阅读,更多相关《以贯标提升工业控制系统信息安全防护水平.docx(9页珍藏版)》请在第一文库网上搜索。
1、以贯标提升工业控制系统信息安全防护水平目录摘要工业控制系统作为工业核心组成部分,其安全事关工业生产运行、国家经济安全和人民生命财产安全。随着工业体系由自动化向数字化、智能化发展,打破传统工业控制系统的封闭环境,传统信息安全风险加速向工业领域渗透,工业控制系统逐渐成为网络攻击的主战场,提升我国工业控制系统信息安全防护水平已成为实现制造业高质量发展的重要基础。关键词:贯标;工业控制系统;信息安全1 .引言制造业是立国之本、强国之基,是实体经济的核心构成。工业控制系统作为制造业的神经中枢,其安全防护事关工业生产稳定运行,事关人民生命财产安全。近年来,针对工业控制系统的网络攻击呈现出显著的政治、军事和
2、经济意图,工业控制系统逐渐成为网络空间对抗的主战场口。为切实提升工业控制系统信息安全(以下简称:工控安全)防护能力,工业和信息化部陆续发布工业控制系统信息安全防护指南(工信软函(2016)338号)、工业控制系统信息安全防护能力评估工作管理办法(工信软函(2018)188号)等系列政策文件,为建立工控安全防护体系指明方向。中国电子技术标准化研究院以标准为抓手,推进信息安全技术工业控制系统信息安全防护能力成熟度模型(报批稿)、信息安全技术工业控制系统安全管理基本要求(GB/T36323.2018)等工控安全国家标准的研制发布,为工控安全防护提出相关要求。2 .工控安全防护能力贯标简介2021年1
3、月,中电标协工控安全推进分会(以下简称:ICSP)成立,其是由测评机构、工业企业、安全企业等组成的全国性、行业性、非营利性社会组织,旨在研究工控安全防护关键技术,开展工控安全防护能力贯标,提升全行业工控安全防护能力水平。2.1. 工控安全防护能力贯标模型工控安全防护能力贯标模型包括能力成熟度等级、安全能力要素和能力建设过程,如图1所示。安全能力要素5级:智能优化4级:综合协同3级:集成管控2级:规范防护1级:基晦设能力成熟度等级图1工控安全防护能力贯标内容工业安全安业战盟工控安全防护能力成熟度等级划分为五级,具体包括:1级是基础建设级,包括45项安全要求;2级是规范防护级,包括167项安全要求
4、;3级是集成管控级,包括259项安全要求;4级是综合协同级,包括320项安全要求;5级是智能优化级,包括365项安全要求。工控安全防护能力要素包括机构建设、制度流程、技术工具和人员能力。工控安全防护能力建设过程由核心保护对象安全和通用安全两部分组成。核心保护对象安全包含工业设备安全、工业主机安全、工业网络边界安全、工业控制软件安全和工业数据安全,通用安全包含安全规划与机构、人员管理与培训、物理与环境安全、监测预警与应急响应和供应链安全保障。2.2. 工控安全防护能力贯标流程工控安全防护能力贯标分为启动、宣贯、设计、实施、核验和发证6个阶段,如图2所示。在启动阶段,成立贯标工作组,制定贯标工作方
5、案。在宣贯阶段,开展核心标准培训,工业企业实施自对标、自诊断和自评估。在设计阶段,依据自评估结果,为工业企业设计工控安全防护能力提升方案。在实施阶段,选取最优技术路线,组织实施安全防护提升方案。在核验阶段,工业企业选取核验机构,开展贯标核验。在发证阶段,针对贯标结果开展合规性审核,为核验通过的工业企业颁发证书。图2工控安全防护能力贯标阶段2.3. 工控安全防护能力贯标公共服务平台工控安全防护能力贯标公共服务平台是icsp开展企业贯标过程中,公开发布标准规范、核验人员、核验结果等信息的唯一平台,为贯标提供全流程支撑,保证贯标顺利开展,规范贯标工作流程,确保贯标过程和结果可溯源、可核查,如图3所示
6、。门用工亚柠物贯标支撑图3工控安全防护能力贯标公共服务平台公口姐皿8快懵多氐华于H术气“化呻3长电子a产虫m却官方查询标准解读3 .工业控制系统信息安全防护指南形成规范化安全保障工业控制系统是冶金、石油/石化、电力、核电、轨道交通、水处理.、公共卫生等重点领域的核心中枢,是国家关键信息基础设施的重要组成部分。工业控制系统信息安全(以下简称工控安全)是实施制造强国和网络强国战略的重要保障,是关系到国家安全、经济发展和社会稳定的关键因素。近年来,随着两化融合走向深入,工业数字化、网络化、智能化快速发展,大量工业系统和生产设备与工业互联网连接。以往由物理环境的封闭性和专用性所带来的安全性将不复存在,
7、关系到国计民生的诸多重要工业领域成为网络攻击的主要目标,针对能源、交通、制造业等重要领域的网络攻击事件频发。3.1. 为提升工控安全防护能力提供专业服务随着信息化和工业化深度融合,工业控制系统从单机走向互联、从封闭走向开放、从自动化走向智能化,为实现制造业数字化转型,不断提升制造业数字化、网络化、智能化发展水平,为推动我国制造业高质量发展提供了重要支撑。在显著提高生产力的同时,工业控制系统也面临着口益严峻的信息安全威胁。工业和信息化部于2016年10月印发了工业控制系统信息安全防护指南,并组织编制了工业控制系统信息安全防护建设实施规范)标准,指导企业提升安全防护水平,为我国制造业高质量发展保驾
8、护航。工业和信息化部电子第五研究所(以下简称五所)持续开展贯标和评估服务,帮助各行业企业落实工业控制系统信息安全防护指南相关要求。3.2. 推动工业控制系统信息安全防护指南落地3.2.1. 开展工控安全评估贯标自工业控制系统信息安全防护指南发布三周年以来,五所通过开展一系列工业控制系统信息安全(以下简称工控安全)防护能力评估、检测、贯标工作,进一步推动工业控制系统信息安全防护指南落地,并且围绕工业控制系统信息安全防护指南内容不断提升工控安全技术和服务能力,为企业提升工控安全防护能力提供更加专业的服务。一是参照工业控制系统信息安全防护指南开展工控安全评估贯标服务。围绕落实工业控制系统信息安全防护
9、指南的有关要求,五所扎实推进工控安全防护能力贯标工作,开展工控安全防护能力评估和工控安全抽查工作。三年来,在电力、石化、汽车、船舶、轨道交通、重型机械等领域开展了针对工业控制系统信息安全防护指南的工控安全评估,帮助企业按照政策标准要求,建立了有效的工控安全管理和技术防护体系,切实提升安全防护水平。二是依托工业控制系统信息安全防护指南培育工控安全技术服务团队。五所认证中心是全国首批信息安全管理体系认证机构之一,在信息安全领域积累了丰富的理论基础和实践经验。在此基础上,依托工业控制系统信息安全防护指南贯标和评估工作的开展,不断梳理总结贯标评估经验,在提升工控安全服务能力方面持续深入研究,并将成果用
10、以培养工控安全人才,形成了博士和高级工程师牵头的人才队伍。三是围绕工业控制系统信息安全防护指南内容开展工控安全技术积累。围绕工业控制系统信息安全防护指南提出的工业控制系统全生命周期安全防护要求,五所建立了典型工业控制系统信息安全检测评估环境,开展了工业控制系统漏洞分析、脆弱性检测、风险评估、防护技术等方面的研究工作,形成了工业控制系统漏洞库、评估案例库、防护方案库等积累。3.3. 建立有效体系,形成规范化安全保障工控安全防护能力贯标是在落实工业控制系统信息安全防护指南要求的基础上,形成对工业控制系统信息安全防护指南的有效补充。从工控安全防护设计、建设、运维全生命周期出发,帮助企业按照标准有关要
11、求建立有效的工控安全管理和技术防护体系,形成规范化、体系化的安全保障,对推动两化深度融合、保障制造业高质量发展具有重要意义。一是统一思想,提高认识。要充分认识开展工控安全防护贯标既是国家安全体系总体部署的要求,也是企业持续健康发展的基础。企业高层务必高度重视,统一思想,提高认识。全员参与,提升全员贯标意识,做到贯标工作人人有责,推行贯标人人尽责。二是通力协作,加强沟通。工控安全防护能力贯标既涉及技术层面的物理与环境安全、数据安全防护、监测预警与态势感知等内容,也涉及管理层面的安全规划与机构建设、人员管理及培训、访问控制与审计等内容,要做到全面贯彻落实标准内容,必须做到技术部门和管理部门通力协作
12、、生产部门和IT部门充分沟通。三是梳理对标,有的放矢。在实施贯标工作前,企业必须充分梳理自身的需求,找到与标准之间的差距,在贯标过程中才能做到有的放矢,切实开展和落实纠正措施、预防措施等改进机制。在贯标完成后,通过不断检查和持续改进,确保各项措施得到正确的执行,才能保证贯标工作取得实实在在的效果。四是借助力量,增强合作。企业在面对一个新的标准体系时,难免会遇到标准理解不深入的问题,此时,可以借助政府行业指导经验、科研院所研究能力、技术服务提供商技术能力等专业机构力量,加强政产学研合作,加大与科研院所和技术服务提供商的对接,在其专业指导下开展贯标工作。3.4. 提升防护能力,构建良性发展格局面对
13、复杂多变的网络安全新形势,应当坚定不移地坚持以习近平新时代中国特色社会主义思想为指导,以工业企业安全防护能力提升为主线,调动政产学研各方资源,加强顶层设计、培育产业环境,加快推进工控安全保障体系建设,形成政策指导、标准支撑、产业创新的良性发展格局。一是应用方示范,引领贯标工作扎实落地实施。各行业、各地区相关主管部门需加大工控安全贯标指导力度,结合本行业、本地区特点,推动工控安全防护能力本质贯标。通过培育工控安全防护典型成功案例,切实发挥示范带动作用,引领工控安全工作高质量落地落实。二是需求侧牵引,切实提升工控防护本质安全。工业企业在开展本质贯标的过程中,加强工业控制系统及相关产品的安全性评价和
14、筛选,从本质安全角度减少企业所面临的工控安全风险隐患。同时,推动工控厂商加快开展产学研用联合攻关,形成强安全性的工业控制系统和解决方案。三是服务方推动,促进企业贯标能力广泛提升。各行业组织应加大力度推动工控安全标准的研制、验证和宣贯培训,引导企业开展自评估、自诊断和自对标;贯标服务机构加强服务能力建设,为工业企业提供有力的技术支撑、信息发布和测评服务。新形势下,制造业高质量发展需要信息化与安全双轮驱动,以正确的安全防护观念为引导,构建多方参与、协同保护的发展格局。五所将继续加大投入,进一步提升工控安全技术水平和服务能力,发挥桥梁纽带作用推动政产学研用各方携手共进,推动工业控制系统信息安全防护指
15、南落地落实,广泛提高我国工业企业工控安全防护水平,为制造业高质量发展提供坚实保障。3.5. 中控科技集团:安全防护应贯穿工控系统全生命周期中控科技集团在工业控制系统信息安全防护指南发布后,针对两化融合之后日益复杂的工业信息安全风险,通过对相关国际、国内标准的研究,并结合自身丰富的工程实践经验,提出了内建安全、纵深防御、全生命周期管理综合工控系统深度安全防护体系,突破安全隔离、内核自主可控等关键技术,从内在机理上逐步规避信息安全风险。经过实践,中控工控信息安全整体解决方案及产品在各种大型项目中进行应用,并取得了良好的效果。工业控制系统信息安全防护指南发布前,工控安全防护聚焦于工控系统的边界防护,事实证明这种单一的防护模式无法完全保障工控系统的安全运行。在工业控制系统信息安全防护指南发布后,工控安全技术向多元化发展,基于纵深防御、适用于工控现场环境的解决方案被普遍提出。同时,越来越多的工控安全厂商认识到,工控安全不同于传统的信息安全,其要求是对工控系统核心部件一一控制设备的有效
免费区 
