基于PDCA循环的工业控制系统网络安全管理研究与实践
2021-02-27赖金志
赖金志
(广东轻工职业技术学院,广东 广州 510300)
1 引言
工业控制系统是实现工业生产自动化的系统总称,广泛应用于能源、电力、石油、石化、交通和航空等关键基础设施领域,是工业生产运行的核心大脑,也是智能制造的基石与生命线。据统计,80%以上的国家关键信息基础设施及智慧城市业务系统依赖工业控制系统进行控制[1]。随着工业控制系统与物联网、互联网日益深度融合,在大幅提升智能化、信息化程度的同时,也带来了层出不穷的各类新型攻击技术和手段。工业控制系统一旦被成功攻击,轻则造成停工停产、业务中断,重则将危害人员生命健康,不仅直接带来巨大的经济损失,还将威胁产业发展的安全基础,对国家安全、经济发展和社会稳定等产生严重影响。因此工业控制系统网络安全是实施制造强国和网络强国战略的重要保障[2]。
2 工业控制系统网络安全风险分析
2.1 安全漏洞风险
安全漏洞是工业控制系统面临的首要安全问题。工业控制系统一般基于计算机操作系统开发,因此与传统信息系统一样,也存在各种安全漏洞,且漏洞数量连年成高发态势,其中半数以上为高危漏洞,涉及能源、制造、商业设施、水务、市政等重点领域。根据我国国家信息安全漏洞共享平台(CNVD)统计数据,如图1所示,2020年共收录工业控制系统行业漏洞706个,较上一年增长159%,和2016年相比更是增长了4倍有余[3]。然而与传统信息系统不同,工业控制系统追求的是高可靠性、可用性和实时性,由于升级维护成本高、周期长,可能影响企业生产安全和生产稳定性,部分系统设备自投入运行后直至下线都没有进行一次更新升级,导致很多工业控制系统都是带着安全漏洞运行,存在巨大的安全风险。
图1 2016-2020年CNVD工业控制系统行业漏洞收录情况
2.2 安全防护能力不足
传统的工业控制系统基于IT(Information Technology信息技术)和OT(Operation Technology操作技术)技术相对隔离的基础上进行设计,更侧重于功能安全,对网络安全考虑不足,普遍缺乏有效的网络安全防护和数据通信保密措施,存在身份鉴别和访问控制不严格、配置维护不足、病毒库防御功能滞后、加密算法过时等诸多安全隐患;并且由于工业控制系统一般处于相对孤立工作的模式下,在设计之初并未考虑在复杂网络环境中的安全性,在基于工业互联网的工业控制系统开始朝向更深层次网络化、集成化方向发展的今天,设备联网机制缺乏安全保障。
2.3 安全管理风险
工业控制系统网络安全管理普遍存在以下问题:对于网络安全的重视程度有待加强,工控企业没有建立合理有效的网络安全组织体系和制度保障,缺乏完整有效的安全策略与管理流程,在研发、设计、施工和运维中,缺少对安全的控制和执行基本的安全管理规定,例如在缺少运维审计机制的情况下,运维人员在调试过程中可能出现设备随意接入、人员误操作、非法外联、病毒传播等情况,带来较大安全风险,2010年震网病毒入侵伊朗纳坦兹核工厂就是通过U盘传播进去的;网络安全教育培训不足,导致人员网络安全意识和技术水平较为薄弱,如社会工程学相关的定向钓鱼攻击可能使重要岗位人员沦为外部威胁入侵的跳板。
3 工业控制系统网络安全管理研究
长期以来,业内对保障网络安全的手段更偏重于依靠技术。厂商在安全技术和产品的研发上不遗余力,新技术和新产品不断涌现;消费者也更加相信安全产品,把主要的预算也都投入到安全产品的采购上。然而,仅仅依靠技术和产品保障网络安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠安全产品是无法消除的。调查显示,在所有的网络安全事件中,有70%以上是由于管理方面的原因造成的,其中人是最重要的因素[4],而这些安全问题中的绝大部分是可以通过完善的网络安全管理来避免。在做好技术防护的基础上,工业控制系统网络安全保障归根到底还是要依托管理的完善,并最终落实到人员的执行效果上。
3.1 基于PDCA模型的网络安全管理
网络安全管理总体而言包含建章立制、规范操作、落实责任、强化培训、整改隐患等主要环节,长效化、常态化开展日常工作,使各个环节、时时处处的网络安全工作安排专人负责执行,按照管理办法落实并符合要求,从而实现网络安全。网络安全管理不是一次性的静态过程,而是人员、制度、执行三者紧密结合的系统工程,是不断演进、循环发展的动态过程,遵循管理的一般模式——PDCA模型,如图1所示,即计划(Plan)、实施(Do)、检查(Check)和措施(Act),是一种持续改进的管理模式[5]。
图2 PDCA循环图
计划(Plan)——根据等级保护要求、风险评估结果、自身业务需求来制定安全目标和管理措施;
实施(Do)——实施所规划的安全管理措施;
检查(Check)——根据策略、制度和标准,对安全管理措施的实施情况进行符合性检查;
措施(Action)——根据检查结果采取应对措施,改进安全管理现状。
以上四个过程不是运行一次就结束,而是周而复始地进行,一个循环执行结束解决一些问题,而未解决的问题进入下一个循环,不断循环,持续改进。
3.2 制度的落实执行是网络安全管理的关键
在网络安全管理工作中,健全的管理制度体系以及良好的执行效果是一个组织网络安全得以保障及维系的关键因素。《网络安全法》规定,网络运营者应当按照网络安全等级保护制度的要求,制定内部安全管理制度和操作规程。工业控制系统的运营者基本建立了较为完备的管理制度体系以满足等级保护的要求,但在具体落实执行上则普遍存在以下问题:部分制度的条款是为了满足等级保护要求而制定,空喊口号提要求,实际可操作性不强;部分条款由于人力和管理成本等客观原因所限,在当前情况下无法按照要求来执行,无法完全落地;由于对管理制度的落实执行情况没有周期性的考核,存在部分运维人员存在对制度不学习、不知道、不执行、不遵守的现象。
因此笔者在开展A公司工业控制系统网络安全管理实践项目中,以管理制度为抓手,以落实执行为核心,基于上述PDCA模型覆盖网络安全管理周期。
4 A公司工业控制系统网络安全管理实践
4.1 工作总体思路
首先对A公司发布的网络安全相关管理制度进行全面梳理,构建管理制度体系框架,对应PDCA模型中的计划阶段(Plan)。建立完整的管理制度库,对制度进行统一管理;对现有制度条款进行修订和完善;分析制度条款的可操作性,对于重要环节制定标准化的表格、文档等执行记录,作为制度执行情况审查的依据;对应实施阶段(Do)。定期开展网络安全管理自查,根据对管理制度的执行情况进行检查的结果,对管理制度体系的合理性和适用性进行审定,再进行相应的修订和完善,对应检查(Check)和措施(Action)阶段。如此完成一次PDCA循环过程。通过不断循环,不断改进,最终实现持续的网络安全。
图3 基于PDCA模型的网络安全管理工作思路
4.2 构建管理制度体系框架
参考等级保护安全管理方面的要求,结合A公司日常工作实际情况,形成一个相对完整的管理制度体系框架,覆盖物理、网络、主机系统、数据、应用、人员、应急、建设和运维等方面应建设的管理制度。全面梳理A公司历年来发布的与网络安全相关的管理制度,完成分析归类,将现有制度全部纳入到制度体系框架中,建立完整的管理制度库。
长期以来A公司管理制度的发布、修订和废止主要通过内部办公系统发文,形式较为分散,网络安全相关的制度没有汇总,查询和管理较为不便,有时需要查询某一事项相关的制度,要在办公系统通过关键词进行搜索,不但很容易遗漏,也不利于对制度的学习和落实。此外,存在有些制度发布之后,除了参与制定的人员之外没有人知道它的内容,更不用说按照条款规定来执行。为此在构建管理制度体系框架的基础上,在A公司办公系统建立网络安全管理制度库,将网络安全所有相关管理制度进行汇总展示,按照体系框架的各个方面进行分类,建立包含制度名称、内容、发布时间、文号、发布范围、责任部门、关键词等内容的索引,便于查询和管理,作为今后对制度进行新增、评审和修订的支撑。同时设立专职网络安全管理员对制度库进行管理,规范流程,严格版本管理,涉及制度的发布、修订和废止必须同步在管理制度库进行更新。
4.3 对现有制度进行评审和修订
在对A公司现有制度的梳理过程中发现,网络安全相关制度数量多、时间跨度长。由于之前没有进行统一的版本管理,部分年代久远的制度已不适应当前的工作现状,部分制度有新版本发布却又没有明确被废止,部分制度可以进行整合,部分制度中所述部门名称因为公司机构调整的原因已发生变化,部分制度与等级保护要求对照存在内容遗漏、不规范和可操作性不强的问题。因此通过组织相关部门人员开展制度的评审和修订工作,对已不适用和已有新版本发布的制度发文明确进行废止,对同类型同事项的制度进行整合,对制度条款中与当前实际情况不符合的内容进行修订,对与等级保护要求存在差距的内容进行制度的补充和完善。通过完成上述工作,使得各项制度更贴近实际,更具可操作性。
4.4 抓好制度的落实执行
管理制度的关键在于执行。再完善的制度条款,如果没有可操作性,不能得到良好的执行和落实,则只会是停留在一纸空文,达不到预期管理规范的目的。在A公司的实践过程中引入PPT分析法(图4)来对制度条款的可操作性进行分析和评估。当制度条款内容能确认由谁来执行、执行的流程和需要什么技术手段这三个要素的,则为“实”,具备可操作性,否则为“虚”,需要进行修订。有了完善的制度,更要有良好的执行。除了通过教育培训等方式增强业务人员执行制度要求的自觉性,更需要通过管理手段来进行监督和审查。对于网络安全工作中数据备份和恢复、场地环境监测等关键环节,根据制度条款规定内容制定标准化的表格、文档等执行记录,由相关人员按照要求填写,作为制度落实情况的审查依据。
图4 PPT分析法
4.5 定期开展网络安全管理自查
在A公司建立网络安全管理定期自查机制,重点以上文中所述关键环节的执行记录作为主要依据,对管理制度的执行情况进行检查,对执行不到位的地方进行整改,对因实际条件所限确系不能执行的制度要求,对相应内容进行删减,杜绝有制度无落实的情况。通过对管理制度的执行情况进行检查,从而对管理制度体系的合理性和适用性进行评审,建立行之有效的良性循环。
5 结语
工业控制系统的网络安全问题是当前面临的重大挑战。本文研究了基于PDCA管理模型,通过构建网络安全管理制度体系框架,建立完整的管理制度库进行统一管理,对现有制度条款进行修订和完善,对于关键环节制定制度执行情况审查的依据,定期对管理制度的执行情况进行检查,从而对管理制度体系的合理性和适用性进行评审。这样持续改进的管理模式在A公司工业控制系统日常网络安全工作实践中收到了良好成效,建立和完善了科学有效的网络安全制度管理体系,促进了管理制度制定、发布、执行、检查、修订和废止工作的程序化、规范化,制度条款要求得到了良好的执行和落实,各项工作有据可依,有据可查,实现了持续的网络安全。
