APP下载

浅谈如何建立工业控制系统安全防护机制

2017-03-10关天龙

网络安全技术与应用 2017年12期
关键词:工控信息安全应急

◆关天龙

(山东新潮信息技术有限公司 山东 250000)

浅谈如何建立工业控制系统安全防护机制

◆关天龙

(山东新潮信息技术有限公司 山东 250000)

2016年10月10日第五届全国信息安全等级保护技术大会,公安部提出了为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,等级保护正式进入了2.0时代。随着等保进入2.0时代,工业控制系统的信息安全也重新提到了一个前所未有的高度,在大力发展信息产业的同时,建立完善的工业控制系统安全保护机制已成为工业控制系统应用企业及从事工业控制系统规划、设计、建设、运维、评估的企事业单位的重要工作之一。

边界安全防护;主机安全防护;监控;应急;管理

0 引言

随着信息技术的广泛应用和迅速发展,信息安全问题涉及的领域越来越多,做好信息安全工作是保障国家经济建设持续健康发展的当务之急。2003年9月,中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)指出要“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统”,此后国家不断加大信息安全工作力度,先后发布了很多加强信息安全保障工作的政策。

党的十七大报告中指出“发展现代产业体系,大力推进信息化与工业化融合”,这一方针对信息安全保障工作提出了更高要求。《中华人民共和国国民经济和社会发展第十一个五年规划纲要》中指出,“积极推进信息化,要坚持以信息化带动工业化,以工业化促进信息化,提高经济社会信息化水平”。要“强化信息安全保障”,“积极防御、综合防范,提高信息安全保障能力;强化安全监控、应急响应、密钥管理、网络信任等信息安全基础设施建设;加强基础信息网络和国家重要信息系统的安全防护;推进信息安全产品产业化;发展咨询、测评、灾备等专业化信息安全服务;健全安全等级保护、风险评估和安全准入制度”。

1 工业控制系统安全防护机制--技术防护机制

工业控制系统是运用控制理论、计算机科学、仪器仪表灯技术,对生产过程的各种信息采集、分析、处理,并进行优化控制和合理的调度、管理,已达到提高生产效率的一种先进的现代工业系统。工业控制系统相对于其他的信息系统来说,它是一套独立的网络、独立的系统,从目前的工业控制系统的安全风险主要是来自网络的脆弱性、主机的脆弱性以及缺乏安全的操作规程和流程。工业控制系统的安全防护机制以建立“纵深防御”策略为主要思想,确保工业控制系统中即使某一点发生网络安全事故,工业生产也能正常运行。同时,管理人员能够迅速的找到问题并进行处理,保证工业控制系统安全可用。

2 工业控制系统安全防护机制--管理防护机制

工业控制的安全防护机制还应考虑安全管理,从工业控制安全管理角度,应制定安全管理策略和操作流程,确保不会出现因为操作人员的误操作和管理制度的漏洞造成安全隐患。工业控制系统安全管理是指对工业控制系统中各个方面的安全技术和产品进行统一的管理和协调,进而从整体上提高信息系统的抗风险能力。解决工业控制系统的安全问题,成败通常取决于两个要素:技术和管理。安全管理是工业控制系统安全技术发挥功效的重要保障和支撑。如果说,安全技术是信息安全的构筑材料,那么,安全管理就是粘合剂和催化剂,只有将有效的安全管理贯彻落实于信息安全的方方面面,工业控制系统的安全才够长期和有效的得到保证。

2.1 安全管理体系框架

一般工业控制系统安全管理体系框架由三方面组成:

(1)工业控制系统生命周期:工业控制系统典型的生命周期模型分为计划组织、开发采购、实施交付、运行维护、废弃五个阶段,工业控制系统安全管理需要贯穿信息系统的全生命周期。

(2)工业控制系统安全管理的支撑和指导:工业控制系统安全策略和信息安全风险管理是所有工业控制系统安全保障管理活动的支撑基础,指导工业控制系统所有安全管理活动的实施。

(3)工业控制系统生命周期安全管理实践:工业控制系统生命周期安全管理实践是将信息安全管理同工业控制系统生命周期相结合,通过在工业控制系统生命周期的不同阶段进行不同的工业控制系统安全保障管理实践。

2.2 安全管理体系内容

一般来说,工控安全管理体系包含三个层次:安全策略-流程与管理制度-过程控制文件。为保证工控安全建设的统筹规划,全面防范,重点突出,正确执行,动态改进,建立以策略为核心的工控安全管理体系十分重要。

工控安全总体方针与总体策略是一切工控安全保障活动的基础和出发点,指导工控企业信息安全保障体系的开发和实施,为工控安全建设和实施指明方向,通过定义一套规则来规范工控安全体系的建设、运行和管理。流程与管理制度则是在策略指导下编写的下一层文件,用来具体规范人员行为,明确任务责任。在工控安全管理体系运作过程中还需要制定一系列的第三层过程控制文件,来帮助记录并明确过程实施步骤、内容、结果,并通过实施手册和指南定义具体操作内容和步骤,引导正确执行工作。

2.3 安全管理机制建设

考虑到管理体系建立需要工控企业设计工业控制系统安全体系,行政主管部门应制定工业控制系统的安全政策,工控企业根据安全政策制定正规、可备案的安全流程,制定工业控制系统设备安全部署实施指南,针对工业控制系统的业务连续性、灾难恢复计划及应急处置机制,定期聘请第三方全为的安全评审机构对工业控制系统的安全审计、漏洞进行检测,定期对工业控制系统操作人员进行安全培训。

2.4 安全监测和应急预案演练

首先,工控系统网络组成元素繁多,非法入侵、恶意代码、维修接入甚至是误操作都可能导致生产运行的瘫痪或功能丧失,通过部署工控安全监测设备,采用工控协议深度包解析等多种技术,对工业控制网络可能存在的病毒、蠕虫、木马及针对工控网络的攻击行为和误操作进行实时检测并告警。工控安全应急响应预案可提高工业控制系统应对突发事件的应急响应能力,最大限度减少工控系统的损失及影响,做到“第一时间发现问题,第一时间解决问题”。

其次,应急预案框架应包括应急计划的策略和规程、应急处理流程、系统恢复流程、事后教育和培训、系统备份、系统恢复重建等内容。同时预案需从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。在发生安全事件时,应根据应急预案流程采取安全防护措施,并按照应急预案规程,针对不同类型事件确定报告程序、时间和受理对象逐级上报至安全主管部门。同时,应对事故现场进行保护,便于事后调查取证。

最后,应急相应演练是为应对和处置工业控制系统突发事件,确保工业控制系统安全、稳定、持续运行,防止造成重大的损失和影响,进一步提高工业控制系统应急保障能力,应定期进行应急响应演练。通过开展应急演练工作,使各工控企业熟悉应急响应机制、熟练应急响应流程、提高应急响应的处置能力,同时检验应急响应预案的可行性、相关部门的协调与配合能力、相关工作的落实情况以及应急响应所需备用设备的完备情况等,在演练过程中学习并提高应急能力,同时应根据应急演练中遇到的问题,对应急演练方案进行及时修订。

2.5 安全培训

为了将安全隐患减少到最低,不仅需要对安全管理员进行专业性的安全技术培训,还需要加强对所有政府办公人员的安全知识的普及,让每一位员工都成为安全卫士,才能实现真正意义上的全方位的安全。

(1)安全管理员培训、考核管理规范

安全管理员水平的高低和责任心强弱决定了安全防护具体实施的是否有效,因此对安全管理员定期培训并进行严格的考核上岗显得非常重要,主要内容包括:培训对象确定;基于管理员角色定义前提下的技能要求;培训内容;培训组织、时间安排;培训效果考核、评价;后续培训计划。

(2)普通员工安全基础知识培训管理规范

普通员工侧重于基础知识和日常安全防范措施的实践性培训,主要内容包括:基本要求;培训内容;培训组织、时间安排;培训效果考核、评价;后续培训计划。

3 结束语

本文探讨了工业控制系统保护机制的建立,分别在技术层面以及管理层面阐述了构建成体系的工业控制系统安全管理保护机制。成体系的工业控制系统安全保护机制还需要不断的发展和建立,在日后的工业控制系统安全保护机制建设中要杜绝重技术轻管理以及重应用轻安全的思想,从根本上合理的对工业控制系统的安全保护机制进行建设。

猜你喜欢

工控信息安全应急
人民的期盼就是应急青年的使命
完善应急指挥机制融嵌应急准备、响应、处置全周期
信息安全专业人才培养探索与实践
保护信息安全要滴水不漏
应急管理部6个“怎么看”
高校信息安全防护
工控速派 一个工控技术服务的江湖
工控速浱 一个工控技术服务的江湖
国际新应急标准《核或辐射应急的准备与响应》的释疑
热点追踪 工控安全低调而不失重要