引导企业进行工控安全防护能力迭代升级
2019-01-16黄子河
黄子河
为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》,保障工业企业工业控制系统信息安全,工业和信息化部于2016年、2017年先后出台了《工业控制系统信息安全防护指南》(以下简称《防护指南》),以及《工业控制系统信息安全事件应急管理工作指南》《工业控制系统信息安全防护能力评估工作管理办法》和《工业控制系统信息安全行动计划》等多个政策性文件,对部分省市区工业和信息化主管部门相关同志和部分专业技术人员进行工业控制系统信息安全培训,并在一些工业企业开展工控系统安全防护能力验证工作,收到良好效果。
《防护指南》指导行业制定工作规范
《防护指南》在工业控制系统信息安全工作方面发挥了积极作用。
一是很好地指导了行业制定具有本行业特性的安全防护能力评估工作规范。不同行业的工控系统具有不同的工艺要求、生产流程、网络环境和上下游产业,对于工控系统信息安全工作也有不同的要求。以汽车制造行业为例,该行业涉及冲压、焊接、涂装、总装、机械零部件制造、电子零部件制造等生产环节,其工业控制系统具有智能化程度高、工业机器人应用广、上下游厂商数量多、生产分工细等特点。依据《防护指南》,行业用户可以进一步明确相关信息安全细则,合理控制、规避自身的工控系统安全风险。
二是很好地指导了第三方测评机构开展安全检查工作。第三方评测机构作为专业技术队伍,支撑工信部开展了工业控制系统信息安全检查工作,摸清了行业企业工业控制系统信息安全现状,发现了安全风险和隐患,提出了整改建议,协助行业企业提升了工业控制系统信息安全防护技术水平,为形成较完善的工业控制系统信息安全检查工作制度奠定了基础。评测机构通过查找典型行业工业控制系统信息安全问题,进一步了解和掌握了我国部分典型行业工业控制系统的信息安全现状,通过分析工业控制系统信息安全整体防护能力和安全防护水平,提出了有效的安全解决方案、对策措施以及下一步工业控制系统信息安全工作重点,为政府部门制定国家工业控制系统信息安全战略规划及政策法规提供了参考依据。
《防护指南》提供信息安全指导参考依据
《防护指南》为应对工业互联网、工业APP等工业新态势的信息安全工作提供了工业控制系统细分领域的信息安全指导参考依据。
一是为在工业互联网背景下的工控安全工作提供指导。工业互联网是支撑智能制造的关键综合信息基础设施,是将机器、人、控制系统与信息系统有效连接的网络信息系统,要求在安全可信的前提下,支撑实现单个机器到生产线、车间、工厂乃至整个工业體系的智能决策和动态优化。《防护指南》要求在工业云平台访问过程中使用身份认证管理,并明确了远程访问过程中的安全加固要求,提升了终端和数据传输过程中的安全防护能力。
二是为工业APP安全防护能力提供了安全指导参考依据。每个工业APP都承载了一定的工业知识和经验,关注于解决特定的工业问题,需要将多个工业APP组成一个有机整体,才能为工业企业提供完整的使用功能和解决方案。而这些可能来自于不同的开发者,也可能来自于工业企业的技术人员,也可能是在其他APP基础上二次开发形成的新APP,因此需要内部建立安全规范和防护体系。《防护指南》要求建立工业控制系统配置清单,在配置变更前进行严格安全测试,并分离工业控制系统的开发、测试和生产环境,从而保障工业APP在开发过程中的安全属性。
依据《防护指南》落实安全保障工作
中国电子信息产业发展研究院依据《防护指南》,落实了多项安全保障工作。一是参照指南要求,建设工控系统通信总线信息安全仿真测试平台,并基于该项目承担了工业控制系统智能化安全云服务平台测试等工作。二是参与编写了《工业控制系统信息安全防护能力评估工作实施细则》《油气管道SCADA信息安全管理办法》等规范。三是支撑工信部,按照《防护指南》要求,对石化化工、装备制造、汽车制造、能源、航空航天、烟草等重点行业企业进行工业控制系统信息安全检查。四是在石油石化、电力、轨道交通等大型行业企业开展了油气管道SCADA系统信息安全测评,为油田工业控制系统提供信息安全风险评估服务等数十项控制系统的安全测评服务,通过发现问题并提出整改建议,切实引导工业企业进行工业控制系统信息安全防护能力的迭代升级。
《防护指南》在过去三年内一直发挥着积极的作用。通过开展对工业控制系统信息安全自查、抽查工作,协助企业发现安全风险,提升了企业安全意识和防护水平以及专业技术队伍信息安全检查能力。在后续开展工业控制系统信息安全工作时,中国电子信息产业发展研究院将继续支撑工信部开展年度工控信息安全抽查、检查工作,参与《防护指南》相关标准的制修订工作,将《防护指南》的工作思路向各个重点行业推进并落实,进一步为工业控制系统、智能制造、工业互联网、人工智能与工业场景融合等新技术领域的信息安全工作提供信息安全的各项测评、咨询服务。