為切實(shí)提升我國(guó)工業(yè)企業(yè)安全防護(hù)水平,工業(yè)和信息化部先后發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》(以下簡(jiǎn)稱《防護(hù)指南》)和《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估方法》(以下簡(jiǎn)稱《評(píng)估方法》)等指導(dǎo)性文件,并在全國(guó)范圍內(nèi)主持開(kāi)展工業(yè)控制系統(tǒng)年度企業(yè)自查、地區(qū)抽查、遴選評(píng)估等針對(duì)工業(yè)企業(yè)的多方位、多層次信息安全防護(hù)能力評(píng)估工作,對(duì)我國(guó)工業(yè)信息安全防護(hù)水平的提升起到了實(shí)質(zhì)性推動(dòng)作用。
參照《評(píng)估方法》的有關(guān)要求,在執(zhí)行工業(yè)信息安全檢查評(píng)估工作中,相關(guān)工作組以量化評(píng)估的方式選取了國(guó)內(nèi) 32 家具有代表性的工業(yè)企業(yè)開(kāi)展了調(diào)研評(píng)估工作。評(píng)估內(nèi)容針對(duì)工業(yè)企業(yè)工業(yè)控制系統(tǒng)的規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等全生命周期安全防護(hù)能力等,并形成工業(yè)企業(yè)信息安全防護(hù)評(píng)估結(jié)果。評(píng)估結(jié)果表明,大多數(shù)工業(yè)企業(yè)信息安全防護(hù)水平已達(dá)到“基本合格”的狀態(tài),但存在明顯短板,亟需進(jìn)一步提升。
一、工業(yè)企業(yè)信息安全評(píng)估結(jié)果分析
通過(guò)分析 32 家重點(diǎn)行業(yè)工業(yè)企業(yè)信息安全評(píng)估數(shù)據(jù),工業(yè)企業(yè)信息安全防護(hù)水平基本情況反映如下。
?。ㄒ唬┙顺晒I(yè)企業(yè)的信息安全防護(hù)水平已滿足基線要求,但整體防護(hù)水平仍有待提升
從整體數(shù)據(jù)(見(jiàn)圖 1)來(lái)看,21.87% 的(7 家)工業(yè)企業(yè)評(píng)估結(jié)果為“不合格”,46.87% 的(15 家)工業(yè)企業(yè)評(píng)估結(jié)果為“基本合格”,15.63% 的(5 家)工業(yè)企業(yè)評(píng)估結(jié)果為“一般”,15.63% 的(5 家)工業(yè)企業(yè)評(píng)估結(jié)果為“良好”,尚無(wú)企業(yè)被評(píng)估為“優(yōu)秀”?!斗雷o(hù)指南》作為工業(yè)企業(yè)信息安全評(píng)估的基線要求,被評(píng)估為“良好”及“優(yōu)秀”水平的工業(yè)企業(yè)占比不足兩成,工業(yè)企業(yè)信息安全防護(hù)工作有待進(jìn)一步強(qiáng)化。
圖 1 工業(yè)企業(yè)信息安全防護(hù)能力評(píng)估結(jié)果
?。ǘ┕た匕踩雷o(hù)工作存在明顯短板
從各項(xiàng)得分情況來(lái)看(見(jiàn)圖 2),工業(yè)企業(yè)在“配置和補(bǔ)丁管理”和“安全軟件選擇與管理”兩方面得分率不足 60%,分別為 49.28% 和 58.70%。“安全監(jiān)測(cè)和應(yīng)急預(yù)案演練”“數(shù)據(jù)安全”和“供應(yīng)鏈管理”得分率分別為 60.22%、61.66% 和 61.96%,均處于較低水平。工業(yè)企業(yè)在技術(shù)防護(hù)方面存在明顯短板,系統(tǒng)日常安全維護(hù)缺失,生產(chǎn)網(wǎng)絡(luò)安全狀態(tài)無(wú)法確定,終端安全防護(hù)不足,在安全策略配置和主機(jī)缺陷修復(fù)方面未采取有效措施,無(wú)法保證工控系統(tǒng)安全穩(wěn)定運(yùn)行。
圖 2 各指標(biāo)項(xiàng)得分結(jié)果
(三)工業(yè)企業(yè)數(shù)據(jù)安全、供應(yīng)鏈管理等管理體系不健全
工業(yè)企業(yè)在數(shù)據(jù)安全、供應(yīng)鏈等方面管理不足,未對(duì)數(shù)據(jù)按照重要程度進(jìn)行分級(jí)分類(lèi)管理,無(wú)法形成以數(shù)據(jù)為核心的安全防護(hù)體系,在數(shù)據(jù)安全防護(hù)方面存在缺失;供應(yīng)鏈管理方面僅在與供應(yīng)商的合同中體現(xiàn)部分內(nèi)容,如系統(tǒng)自身功能無(wú)法正常使用,企業(yè)對(duì)因系統(tǒng)、設(shè)備缺陷導(dǎo)致的信息安全事件責(zé)任劃分不明晰,工控系統(tǒng)后期安全維護(hù)方面關(guān)注較少。對(duì)于工控自研系統(tǒng),安全防護(hù)能力更為薄弱。工業(yè)企業(yè)在數(shù)據(jù)安全、供應(yīng)鏈管理方面管理制度明顯缺失,無(wú)法對(duì)工業(yè)數(shù)據(jù)、工控系統(tǒng)形成有效的安全保障。
二、我國(guó)工業(yè)企業(yè)信息安全防護(hù)短板原因分析
?。ㄒ唬┻B續(xù)型生產(chǎn)作業(yè)給工業(yè)企業(yè)配置和補(bǔ)丁管理工作帶來(lái)挑戰(zhàn)
工業(yè)企業(yè)鋼鐵、石油、化工等多個(gè)行業(yè)現(xiàn)場(chǎng)主機(jī)因業(yè)務(wù)連續(xù)性無(wú)法停止進(jìn)行安全修復(fù),導(dǎo)致工業(yè)控制系統(tǒng)“帶病”運(yùn)行。以乙烯生產(chǎn)工藝為例,工業(yè)控制系統(tǒng)在設(shè)計(jì)階段未同步進(jìn)行安全保障建設(shè),系統(tǒng)天然缺少安全防護(hù)體系;在上線前未進(jìn)行安全評(píng)估檢測(cè),無(wú)法確定工業(yè)控制系統(tǒng)的安全防護(hù)狀態(tài);上線后開(kāi)車(chē)連續(xù)運(yùn)行時(shí)間通常 3 至 4 年,任何非計(jì)劃內(nèi)的停機(jī)或設(shè)備重啟都會(huì)對(duì)整個(gè)生產(chǎn)線造成經(jīng)濟(jì)損失,企業(yè)無(wú)法接受設(shè)備頻繁更新升級(jí)操作。當(dāng)工控設(shè)備出現(xiàn)新的安全漏洞時(shí),缺少相適應(yīng)的維護(hù)保障機(jī)制,較難通過(guò)更新升級(jí)等方式來(lái)消除設(shè)備自身的安全威脅。此外,工業(yè)企業(yè)的生產(chǎn)任務(wù)繁重,停車(chē)檢修一般分工段分期進(jìn)行,較少出現(xiàn)全流程停車(chē)檢修。由于流程行業(yè)的工控系統(tǒng)一般涉及大量生產(chǎn)工藝設(shè)備,存在跨設(shè)備、跨系統(tǒng)、跨工段的現(xiàn)象,因此僅利用檢修窗口期完成對(duì)于工控系統(tǒng)的安全補(bǔ)丁測(cè)試、驗(yàn)證和安裝工作較難完成。
?。ǘ﹪?guó)產(chǎn)安全軟件兼容適配問(wèn)題制約工業(yè)企業(yè)安全防護(hù)能力的提升
安全軟件通常部署在工業(yè)控制系統(tǒng)的工程師站、操作員站及數(shù)據(jù)庫(kù)服務(wù)器中。雖然部分企業(yè)已安裝傳統(tǒng)安全軟件,但傳統(tǒng)安全軟件只能針對(duì)常規(guī)的病毒進(jìn)行防護(hù),并不完全適用于工控環(huán)境。且部分傳統(tǒng)軟件由于兼容性測(cè)試工作不足,影響工業(yè)軟件相關(guān)配置文件、支持組件等正常運(yùn)轉(zhuǎn),影響工控系統(tǒng)的穩(wěn)定運(yùn)行。現(xiàn)場(chǎng)核查中發(fā)現(xiàn),國(guó)外安全廠商與橫河電機(jī)、西門(mén)子等工控廠商的深度合作,使其安全軟件在合作的工業(yè)企業(yè)應(yīng)用中效果良好。相比國(guó)外安全廠商的快速發(fā)展,國(guó)內(nèi)安全廠商任重道遠(yuǎn)。
(三)工控安全組織架構(gòu)不明晰,管理體系不完善,安全管理難以落地
工業(yè)企業(yè)未設(shè)置專(zhuān)職工控安全管理部門(mén),工控安全管理職責(zé)由信息化或設(shè)備生產(chǎn)等部門(mén)代管,將信息化管理制度落實(shí)在工業(yè)控制系統(tǒng)層面,導(dǎo)致制度與管理對(duì)象不匹配,無(wú)法有效落實(shí)管理,使得工業(yè)控制系統(tǒng)數(shù)據(jù)安全、供應(yīng)鏈安全無(wú)法得到安全保障。企業(yè)生產(chǎn)現(xiàn)場(chǎng)按照信息化標(biāo)準(zhǔn)管理或僅對(duì)業(yè)務(wù)生產(chǎn)進(jìn)行管理,對(duì)數(shù)據(jù)安全和供應(yīng)鏈環(huán)節(jié)未進(jìn)行規(guī)范化要求,導(dǎo)致出現(xiàn)管理短板,無(wú)法形成對(duì)工業(yè)控制系統(tǒng)數(shù)據(jù)、供應(yīng)鏈等安全保障體系,不利于工業(yè)控制系統(tǒng)信息安全防護(hù)。
三、下一步工作建議
?。ㄒ唬┰鷮?shí)推進(jìn)工控安全防護(hù)貫標(biāo)工作,量化工控安全防護(hù)現(xiàn)狀
定期開(kāi)展多層次的工控安全防護(hù)能力評(píng)估貫標(biāo)工作,聯(lián)合地方主管部門(mén)組織開(kāi)展各省市工業(yè)企業(yè)的工控安全防護(hù)培訓(xùn)工作,充分調(diào)動(dòng)地方工業(yè)信息安全資源,形成多級(jí)聯(lián)動(dòng)的技術(shù)支撐體系,增強(qiáng)企業(yè)安全責(zé)任意識(shí),針對(duì)企業(yè)安全短板整理歸納安全解決方案,全面提升企業(yè)安全防護(hù)能力,依靠貫標(biāo)真正解決企業(yè)工控安全防護(hù)難題;依托《網(wǎng)絡(luò)安全法》《評(píng)估方法》《工業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南(試行)》,指導(dǎo)企業(yè)完善工控企業(yè)數(shù)據(jù)安全、供應(yīng)鏈管理方面的管理體系,并對(duì)各行業(yè)工業(yè)企業(yè)信息安全保障能力進(jìn)行量化,依托大數(shù)據(jù)分析方法分析我國(guó)工業(yè)企業(yè)工控安全現(xiàn)狀,進(jìn)一步細(xì)化各行業(yè)工業(yè)信息安全平均線,有針對(duì)性地解決工業(yè)企業(yè)面臨的共性問(wèn)題,為工業(yè)信息安全行業(yè)監(jiān)管提供科學(xué)指導(dǎo)。
(二)推動(dòng)工業(yè)控制系統(tǒng)全生命周期安全檢測(cè)及評(píng)估
按照信息系統(tǒng)安全“三同步”原則,推動(dòng)工業(yè)控制系統(tǒng)與安全保障措施同步設(shè)計(jì)、 同步建設(shè)、同步運(yùn)行,完善工業(yè)控制系統(tǒng)安全防護(hù)體系;在工業(yè)控制系統(tǒng)上線前進(jìn)行安全評(píng)估,檢驗(yàn)系統(tǒng)上線前的安全狀態(tài),健全系統(tǒng)因無(wú)法維護(hù)或漏洞修復(fù)引起的安全隱患;根據(jù)工業(yè)控制系統(tǒng)業(yè)務(wù)持續(xù)情況,合理安排維護(hù)管理策略,針對(duì)系統(tǒng)運(yùn)行特點(diǎn),在停車(chē)檢修期間修復(fù)系統(tǒng)內(nèi)存在的安全缺陷,完善系統(tǒng)內(nèi)設(shè)備、終端等安全策略,健全系統(tǒng)的安全防護(hù)體系。
?。ㄈ┩苿?dòng)國(guó)產(chǎn)安全軟件的適配工作,提升工控企業(yè)終端防護(hù)能力
推動(dòng)國(guó)內(nèi)安全廠商與工控企業(yè)的深度合作,在鋼鐵、石油、化工等多個(gè)行業(yè)進(jìn)行試點(diǎn),集中力量加強(qiáng)安全軟件的研發(fā)及測(cè)試,完善工控控制系統(tǒng)安全軟件的兼容性,提升安全軟件在不同工控環(huán)境下的可靠性和可用性,切實(shí)解決工業(yè)企業(yè)安全軟件供給不足的問(wèn)題。同時(shí),建立國(guó)產(chǎn)安全軟件的供應(yīng)鏈管理體系,在安全軟件投入使用前需經(jīng)過(guò)第三方權(quán)威機(jī)構(gòu)的安全測(cè)試,從供應(yīng)鏈源頭保障工業(yè)控制系統(tǒng)的安全。