關(guān)鍵詞：工業(yè)控制系統；成熟度模型；信息安全

1　引言

隨著(zhù)信息技術(shù)的快速發(fā)展，工業(yè)控制系統面臨著(zhù)越來(lái)越多的信息安全威脅，保護工控系統免受惡意攻擊和未授權訪(fǎng)問(wèn)的影響變得越來(lái)越關(guān)鍵。因此，工業(yè)控制系統信息安全防護的重要性日益凸顯，提高工業(yè)控制系統的信息安全防護能力變得至關(guān)重要。為提升企業(yè)工業(yè)控制系統信息安全領(lǐng)域綜合防護能力，并貫徹落實(shí)《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見(jiàn)》有關(guān)要求，中國電子技術(shù)標準化研究院聯(lián)合“產(chǎn)學(xué)研用測”41家單位通過(guò)對現有的信息安全技術(shù)和工業(yè)控制系統的特點(diǎn)進(jìn)行綜合考量，歷時(shí)多年共同研制發(fā)布了《成熟度模型》國家標準。

《成熟度模型》標準從機構建設、制度流程、技術(shù)工具和人員能力4個(gè)方面對企業(yè)所處的防護水平進(jìn)行了指標評價(jià)，為企業(yè)評估和提升工業(yè)控制系統信息安全防護能力提供了科學(xué)的依據和方法，對企業(yè)工業(yè)控制系統信息安全建設極具參考價(jià)值。

2　標準綜述

《成熟度模型》給出了工業(yè)控制系統信息安全防護能力成熟度模型，規定了核心保護對象安全和通用安全的成熟度等級要求，提出了能力成熟度等級核驗方法，適用于工業(yè)控制系統設計、建設、運維等相關(guān)方進(jìn)行工業(yè)控制系統信息安全防護能力建設，以及對企業(yè)工業(yè)控制系統信息安全防護能力成熟度等級進(jìn)行核驗。

該成熟度模型是對企業(yè)的能力成熟度進(jìn)行度量的一個(gè)模型，為企業(yè)衡量其當前的實(shí)踐、流程、方法的能力水平提供了參考基準。該模型包括安全能力要素、能力成熟度等級和能力建設過(guò)程三個(gè)維度，如圖1所示。

圖1 成熟度模型架構

（1）安全能力要素

安全能力要素從機構建設、制度流程、技術(shù)工具和人員能力四個(gè)方面對企業(yè)工業(yè)控制系統信息安全防護過(guò)程應具備的安全能力進(jìn)行了量化，是客觀(guān)評價(jià)企業(yè)工控安全防護能力的主要評價(jià)指標。

機構建設是確保工業(yè)控制系統信息安全的基礎，它涉及到信息安全機構的設立、職責分配、溝通協(xié)作等多個(gè)方面。通過(guò)明確組織結構和職責分配，企業(yè)可以更好地實(shí)施信息安全策略，應對各種信息安全威脅和挑戰。

制度流程的核心作用是保障企業(yè)構建并維持一套健全、系統的安全管理體系及操作流程，以此規范企業(yè)人員的安全操作行為，保證信息安全措施得以切實(shí)執行，并促進(jìn)持續優(yōu)化以適應不斷演進(jìn)的安全挑戰。

技術(shù)工具的主要作用是通過(guò)有效的技術(shù)手段和產(chǎn)品工具來(lái)落實(shí)安全要求，保護工業(yè)控制系統免受各種安全威脅，旨在提高系統的安全性、可靠性和韌性，確保工業(yè)控制系統的正常運行和生產(chǎn)安全。

人員能力的主要作用是確保企業(yè)具備足夠的專(zhuān)業(yè)技能和知識，以便有效執行信息安全防護工作，并持續提升人員的安全防護水平。

（2）能力成熟度等級

能力成熟度等級根據安全能力要素所處能力水平，自低向高將企業(yè)工控安全防護能力定義為基礎建設級、規范防護級、集成管控級、綜合協(xié)同級、智能優(yōu)化級5個(gè)不同級別。能力成熟度等級的劃分可以更加精確地評估企業(yè)在信息安全防護方面的能力和水平。通過(guò)劃分等級，可以為企業(yè)提供明確的安全防護目標和方向，指導其逐步提升安全防護能力。

（3）能力建設過(guò)程

能力建設過(guò)程對核心保護對象和通用保護對象共計10個(gè)過(guò)程類(lèi)提出了相應的安全防護要求，為工業(yè)控制系統信息安全防護提供了一套系統化、分層次的實(shí)施框架，以指導和評估工業(yè)企業(yè)在信息安全防護方面的能力建設，確保工業(yè)控制系統的信息安全防護能力得到全面提升和持續優(yōu)化。

3　基于成熟度模型架構的防護建設淺析

3.1　能力成熟度模型等級分析

工業(yè)控制系統信息安全防護能力建設過(guò)程維度共包含10個(gè)過(guò)程類(lèi)、40個(gè)過(guò)程域，共計365個(gè)基本實(shí)踐。其中10個(gè)過(guò)程類(lèi)分別從核心保護對象和通用安全進(jìn)行了劃分。具體過(guò)程類(lèi)與過(guò)程域的內容可參考圖2所示。

圖2 成熟度模型過(guò)程類(lèi)與過(guò)程域

依據對這10個(gè)過(guò)程類(lèi)在安全能力要素維度的基本實(shí)踐要求，下文分別對各成熟等級的安全防護要求進(jìn)行了分析。

（1）能力成熟度等級1—基礎建設級

該等級主要基于企業(yè)的特定業(yè)務(wù)場(chǎng)景和知識經(jīng)驗水平，在現有的工控安全防護的技術(shù)基礎和條件上，開(kāi)展工業(yè)控制系統信息安全防護能力建設，如表1所示。

表1 基礎建設級要求解析

該等級建設還未形成規范化、流程化的工作方式，相關(guān)工作多依賴(lài)信息安全人員主觀(guān)經(jīng)驗，建設過(guò)程對于文檔形式記錄也未要求，無(wú)法對安全建設工作進(jìn)行再復制。

（2）能力成熟度等級2—規范防護級

該等級的企業(yè)可以建立并記錄工控安全防護能力建設工作，可以涵蓋工業(yè)控制設備、工業(yè)主機、工業(yè)網(wǎng)絡(luò )和工業(yè)數據等關(guān)鍵領(lǐng)域，并可以使企業(yè)能夠以重復的方式執行。該等級的企業(yè)還可以通過(guò)采用數字化裝備、信息技術(shù)手段等，有針對性地開(kāi)展安全防護，在各個(gè)層面構建起獨立且可復制的安全防護能力，如表2所示。

表2 規范防護級要求解析

（3）能力成熟度等級3—集成管控級

該等級的企業(yè)在已實(shí)施的規范防護措施基礎上，進(jìn)一步利用集成化工具與系統，對工業(yè)控制系統中的設備、主機、系統、網(wǎng)絡(luò )及數據等實(shí)施集中統一的管控。同時(shí)，該等級的企業(yè)整合并優(yōu)化相關(guān)防護規章制度，構建體系化的管理制度，以增強企業(yè)內部工控安全在集中管理和統一控制方面的能力，如表3所示。該等級與規范防護級的主要區別在于其使用集成化工具來(lái)策劃和管理工業(yè)控制系統信息安全，提高了工作效率和防護能力。

表3 集成管控級要求解析

（4）能力成熟度等級4—綜合協(xié)同級

該等級的企業(yè)在面對不同產(chǎn)線(xiàn)、廠(chǎng)區、工廠(chǎng)以及產(chǎn)業(yè)鏈上下游相關(guān)單位時(shí)，可以綜合考量安全風(fēng)險需求，開(kāi)展安全防護建設工作，并可以建立一個(gè)多層次、協(xié)同工作的安全管理架構，利用態(tài)勢感知、集中管理等技術(shù)，實(shí)現對安全威脅的快速響應和有效防御，達成綜合決策、協(xié)調防護的安全能力，如表4所示。該等級與集成管控級的主要區別在于其強化了執行過(guò)程的綜合決策和協(xié)調防護要求。

表4 綜合協(xié)同級要求解析

（5）能力成熟度等級5—智能優(yōu)化級

該等級的企業(yè)可運用人工智能、主動(dòng)防御、內生安全等先進(jìn)技術(shù)，使其與已有的安全防護設備、系統、制度體系深度融合，從而構建能夠智能化演進(jìn)的安全防護系統，打造自我進(jìn)化、自我優(yōu)化的安全防護體系，如表5所示。與綜合協(xié)同級的主要區別在于其執行過(guò)程的智能優(yōu)化和演進(jìn)能力，能夠實(shí)現自動(dòng)優(yōu)化和適應性改進(jìn)。

表5 智能優(yōu)化級要求解析

基于對工業(yè)控制系統信息安全防護能力成熟度模型五個(gè)等級要求的深入分析，本文提出了從機構建設、制度流程、技術(shù)工具和人員能力四個(gè)關(guān)鍵安全要素出發(fā)的能力建設思路。借助這四個(gè)安全要素的能力建設，推動(dòng)工業(yè)企業(yè)整體工控安全防護能力逐步提升。

3.2　防護能力建設思路

（1）機構建設

建立一個(gè)健全、務(wù)實(shí)、有效、統一指揮、統一步調的完善的安全管理機構，明確機構成員的安全職責，是安全管理得以實(shí)施、推廣的基礎。

企業(yè)應設置專(zhuān)門(mén)的工業(yè)控制系統安全管理機構，成立由企業(yè)負責人牽頭，信息化、生產(chǎn)管理、設備管理等相關(guān)部門(mén)組成的信息安全協(xié)調小組。各相關(guān)部門(mén)在信息安全協(xié)調小組的指導下，按照管理機制，明確工控安全管理責任人，落實(shí)工控安全責任制，部署工控安全防護措施。通過(guò)管理機制，企業(yè)實(shí)現對工業(yè)控制系統信息安全防護人員的角色及其職責分配，并建立有效的工作考核機制。

（2）安全管理制度

網(wǎng)絡(luò )安全管理制度是開(kāi)展工業(yè)控制系統安全建設、運行、運維以及安全管理工作必須遵從的管理辦法、規范、細則；網(wǎng)絡(luò )安全管理制度體系文件可以采取多級模式，構建層次清晰、功能相對獨立的管理制度體系，便于企業(yè)參照并開(kāi)展制度體系建設。具體管理制度體系可參考圖3所示。

圖3 多級模式管理制度體系

（3）技術(shù)工具

圖4 工業(yè)控制系統信息安全防護技術(shù)框架

根據《成熟度模型》中10個(gè)過(guò)程類(lèi)中的5個(gè)成熟度等級的技術(shù)工具部分的要求，本文構建了一個(gè)全面的工業(yè)控制系統信息安全防護技術(shù)框架，如圖4所示。該框架詳細闡述了為滿(mǎn)足技術(shù)工具要求所需采取的關(guān)鍵技術(shù)措施，并推薦了相應的安全產(chǎn)品和服務(wù)。企業(yè)可參照此框架，結合自身評估的成熟度等級，選擇適宜的技術(shù)措施和推薦的安全產(chǎn)品及服務(wù)，以確保符合國家標準的成熟度等級要求，實(shí)現信息安全的系統化管理和防護。

（4）人員能力

企業(yè)可以通過(guò)對相關(guān)技術(shù)人員進(jìn)行相應的培訓或者組織相關(guān)人員通過(guò)考取相關(guān)的防護資質(zhì)，來(lái)達到人員能力的提升。通過(guò)人員能力的提升，可以使企業(yè)的相關(guān)人員具備工業(yè)控制系統信息安全防護資質(zhì)和工程實(shí)踐經(jīng)驗，充分理解企業(yè)在工業(yè)控制系統信息安全防護過(guò)程中面臨的安全風(fēng)險，具備風(fēng)險控制和改進(jìn)方案的能力。

4　企業(yè)應用成熟度模型步驟

基于上文對成熟度模型架構及其防護建設深度的分析，企業(yè)可以依據自身的成熟度等級，有效運用該成熟度模型來(lái)加強工業(yè)控制系統的信息安全防護能力。實(shí)際的應用流程如圖5所示，為企業(yè)提供了分步驟實(shí)施的具體指導。

圖5 成熟度模型使用步驟

（1）選擇適合的成熟度等級

在使用成熟度模型時(shí)，企業(yè)首先需要根據工業(yè)控制系統信息安全防護能力成熟度等級的定義，并結合業(yè)務(wù)實(shí)際情況，通過(guò)自我評估自身的工業(yè)控制系統信息安全防護能力，可以從機構建設、制度流程、技術(shù)工具和人員能力等方面進(jìn)行自我評估。企業(yè)根據自我評估結果選擇擬達到的工業(yè)控制系統信息安全防護能力成熟度等級。

（2）選擇適用的安全域

在確定擬達到的能力成熟度等級后，企業(yè)根據工業(yè)控制系統核心保護對象所覆蓋的業(yè)務(wù)場(chǎng)景防護要求，選取適用于自身的工業(yè)控制系統信息安全防護過(guò)程域。對于不適用于企業(yè)目前的業(yè)務(wù)場(chǎng)景防護要求，可以直接將其刪除，無(wú)需進(jìn)行相應等級核驗。

（3）進(jìn)行成熟度等級核驗

企業(yè)基于對能力成熟度模型各過(guò)程域內容的理解，進(jìn)行成熟度等級核驗，看等級評估是否準確。

（4）識別與核驗等級的差距

根據選擇的安全域的安全要求與自身的安全現狀對比，企業(yè)識別工業(yè)控制系統信息安全防護能力現狀并分析與核驗等級之間的差異，根據識別的結果，確定要改進(jìn)的具體目標和內容。

（5）制定防護能力提升計劃

在識別的基礎上，企業(yè)制定工業(yè)控制系統信息安全防護能力提升的具體的行動(dòng)計劃，通過(guò)依據行動(dòng)計劃逐步實(shí)施改進(jìn)措施，并定期進(jìn)行復審，以確保安全措施得到有效執行，并根據最新的安全威脅和技術(shù)發(fā)展進(jìn)行相應的措施調整。

伴隨著(zhù)企業(yè)業(yè)務(wù)的發(fā)展變化，企業(yè)可定期復核、明確適合的能力成熟度等級，按照成熟度模型使用步驟，重新進(jìn)行等級確定、安全過(guò)程域選擇等，逐步提升其工業(yè)控制系統信息安全防護能力。至此，從識別目標成熟度等級開(kāi)始，到最終的實(shí)施和復核，構成了一個(gè)全面的循環(huán)體系。通過(guò)這個(gè)“5步法”的閉環(huán)流程確保了企業(yè)能夠有條不紊地增強其工業(yè)控制系統的信息安全防護能力，以使企業(yè)持續改進(jìn)及不斷適應新的安全挑戰。

5　結語(yǔ)

《成熟度模型》為企業(yè)的工業(yè)控制系統信息安全建設提供了全面、系統的指導框架。通過(guò)遵循國家標準，結合企業(yè)實(shí)際情況，企業(yè)可以構建起一套科學(xué)、有效的信息安全防護體系，從而保障工業(yè)控制系統的安全穩定運行。本文通過(guò)對成熟度模型框架各等級要求進(jìn)行深入研究和分析，并在此基礎上從安全能力要素的維度提出了企業(yè)工業(yè)控制系統安全防護建設思路，為企業(yè)在網(wǎng)絡(luò )安全體系建設方面提供了一定參考。

作者簡(jiǎn)介

張　蕓（1986-）女，河北邯鄲人，碩士，現就職于北京天融信網(wǎng)絡(luò )安全技術(shù)有限公司，主要從事工業(yè)控制系統安全、工業(yè)互聯(lián)網(wǎng)安全方面的研究。

參考文獻：

[1] NIST. SP 800-53 Rev.5. Security and privacy controls for information systems and organizations[EB/OL]. (2021-08-01).

[2] NIST. SP 800-82 Rev.2. Guide to industrial control systems (ICS) security[EB/OL]. (2021-08-15).

[3] Cybersecurity and infrastructure security agency. Shifing the balance of cyber-security risk: principles and approaches for security by design and default[R].

2023.

[4] 朱琳, 陸明. 信息系統建設者視角下生命周期安全管理研究[J]. 信息安全研究, 2020, 6 (12) : 1139 - 1144.

[5] 姚相振, 趙梓桐, 周?？? 等. 《信息安全技術(shù)工業(yè)控制系統信息安全防護能力成熟度模型》國家標準解讀[J]. 國家標準解讀信息安全報, 2020: 48 - 52.

摘自《自動(dòng)化博覽》2025年1月刊