以贯标提升工业控制系统信息安全防护水平.docxVIP

PAGE 1 PAGE 1 以贯标提升工业控制系统信息安全防护水平  工业掌握系统作为工业核心组成部分，其安全事关工业生产运行、国家经济安全和人民生命财产安全。随着工业体系由自动化向数字化、智能化发展，打破传统工业掌握系统的封闭环境，传统信息安全风险加速向工业领域渗透，工业掌握系统渐渐成为网络攻击的主战场，提升我国工业掌握系统信息安全防护水平已成为实现制造业高质量发展的重要基础。  1引言  制造业是立国之本、强国之基，是实体经济的核心构成。工业掌握系统作为制造业的“神经中枢”，其安全防护事关工业生产稳定运行，事关人民生命财产安全。近年来，针对工业掌握系统的网络攻击呈现出显著的政治、军事和经济意图，工业掌握系统渐渐成为网络空间对抗的主战场。  为切实提升工业掌握系统信息安全（以下简称：工控安全）防护能力，工业和信息化部间续发布《工业掌握系统信息安全防护指南》（工信软函〔2016〕338号）、《工业掌握系统信息安全防护能力评估工作管理方法》（工信软函〔2018〕188号）等系列政策文件，为建立工控安全防护体系指明方向。中国电子技术标准化研究院以标准为抓手，推进《信息安全技术工业掌握系统信息安全防护能力成熟度模型》（报批稿）、《信息安全技术工业掌握系统安全管理基本要求》（GB/T36323-2018）等工控安全国家标准的研制发布，为工控安全防护提出相关要求。  2工控安全防护能力贯标简介  2021年1月，中电标协工控安全推进分会（以下简称：ICSP）成立，其是由测评机构、工业企业、安全企业等组成的全国性、行业性、非营利性社会组织，旨在研究工控安全防护关键技术，开展工控安全防护能力贯标，提升全行业工控安全防护能力水平。  2.1工控安全防护能力贯标模型  工控安全防护能力贯标模型包括能力成熟度等级、安全能力要素和能力建设过程，如图1所示。 图1工控安全防护能力贯标内容 防护能力成熟度等级划分为五级，详细包括：1级是基础建设级，包括45项安全要求；2级是规范防护级，包括167项安全要求；3级是集成管控级，包括259项安全要求；4级是综合协同级，包括320项安全要求；5级是智能优化级，包括365项安全要求。  工控安全防护能力要素包括机构建设、制度流程、技术工具和人员能力。  工控安全防护能力建设过程由核心保护对象安全和通用安全两部分组成。核心保护对象安全包含工业设备安全、工业主机安全、工业网络边界安全、工业掌握软件安全和工业数据安全，通用安全包含安全规划与机构、人员管理与培训、物理与环境安全、监测预警与应急响应和供应链安全保障。  2.2工控安全防护能力贯标流程  工控安全防护能力贯标分为启动、宣贯、设计、实施、核验和发证6个阶段，如图2所示。在启动阶段，成立贯标工作组，制定贯标工作方案。在宣贯阶段，开展核心标准培训，工业企业实施自对标、自诊断和自评估。在设计阶段，依据自评估结果，为工业企业设计工控安全防护能力提升方案。在实施阶段，选取最优技术路线，组织实施安全防护提升方案。在核验阶段，工业企业选取核验机构，开展贯标核验。在发证阶段，针对贯标结果开展合规性审核，为核验通过的工业企业颁发证书。 图2工控安全防护能力贯标阶段 2.3工控安全防护能力贯标公共服务平台  工控安全防护能力贯标公共服务平台是ICSP开展企业贯标过程中，公开发布标准规范、核验人员、核验结果等信息的唯一平台，为贯标供应全流程支撑，保证贯标顺当开展，规范贯标工作流程，确保贯标过程和结果可溯源、可核查，如图3所示。 图3工控安全防护能力贯标公共服务平台 3工控安全防护能力贯标要点  3.1增加企业员工安全意识  目前，我国工业企业信息化部门员工普遍重视工控安全防护工作，但仍有较多非信息化部门员工的安全意识不足。工控安全防护能力建设是每位员工的责任，提升自身工控安全防护意识是每位员工的义务。保障工控安全，既是保护工业企业，也是保护员工自身。  贯标案例：在自对标和核验过程中发觉，部分企业在具有较完善工控安全防护规章制度的状况下，仍存在使用工业主机外设接口为个人电子设备充电、工业掌握系统登录密码违规存放、工业主机连接互联网等问题。  案例分析：违规使用工业主机外设接口将为病毒、木马、蠕虫等恶意软件的入侵供应便利条件，也会导致重要工业数据的丢失。违规存放登录密码会使工业掌握设备、软件的“大门”向黑客等非法人员放开。工业主机与互联网相连将导致工业掌握系统直接暴露于外网，被“攻击”风险大幅增加。千里之堤溃于蚁穴，只有每一位员工都树立信息安全观念、增加信息安全意识，企业才能构建起结实的安全城墙。