★中國電子技術(shù)標準化研究院姚相振，趙梓桐，周?？?，李琳

1 引言

1.1 當前我國工業(yè)控制系統信息安全形勢依然嚴峻

隨著(zhù)兩化融合進(jìn)程的不斷深化和工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統聯(lián)網(wǎng)數量持續增長(cháng)，工業(yè)控制系統與互聯(lián)網(wǎng)的安全風(fēng)險相互交織，新型安全問(wèn)題層出不窮，傳統的安全防護策略已難以有效應對日趨多元化的網(wǎng)絡(luò )安全威脅。一是控制系統互聯(lián)趨勢明顯，安全防護面臨新挑戰。隨著(zhù)工業(yè)智能設備的部署和應用日趨廣泛，越來(lái)越多的工業(yè)控制系統和產(chǎn)品采用通用協(xié)議、硬件及軟件，以各種方式接入互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )。網(wǎng)絡(luò )互聯(lián)導致潛在攻擊路徑不斷增多，漏洞、病毒等安全威脅不斷向工業(yè)控制系統擴散蔓延。二是工業(yè)漏洞居高不下，高危風(fēng)險占比較大。由于傳統工業(yè)環(huán)境相對封閉可信，大多數存量工控系統安全設計考慮不足，安全技術(shù)融合應用深度不夠，工業(yè)軟硬件本身存在大量安全漏洞，易被攻擊者利用。同時(shí)，據2021年美國工控系統網(wǎng)絡(luò )應急響應小組（ICS-CERT）公布的389個(gè)工控安全漏洞分析顯示，其中77%由于涉及范圍廣、影響程度深、安全危害大被認定為高危漏洞，亟需引起高度重視。三是網(wǎng)絡(luò )攻擊手段多樣，安全影響持續升級。工業(yè)控制系統作為網(wǎng)絡(luò )空間對抗的重點(diǎn)攻擊目標之一，工業(yè)領(lǐng)域勒索病毒、“工業(yè)毀壞者”惡意軟件、“熔斷”漏洞、“幽靈”漏洞等安全威脅影響廣泛，工控安全事件頻繁發(fā)生，導致多家企業(yè)關(guān)鍵業(yè)務(wù)系統嚴重受損、生產(chǎn)停滯，其安全攻擊經(jīng)過(guò)精心策劃，具有鮮明的目的性^[1]。

1.2 國外開(kāi)展成熟度模型研究，提前布局新型安全防護體系

面對工控安全的嚴峻形勢，為科學(xué)衡量企業(yè)工控安全防護能力水平，美國已率先啟動(dòng)網(wǎng)絡(luò )安全成熟度評價(jià)工作，從政策文件、標準規范、技術(shù)工具等方面形成先發(fā)優(yōu)勢，提早布局新型網(wǎng)絡(luò )安全綜合防護體系。一是積極開(kāi)展網(wǎng)絡(luò )安全成熟度模型評估框架（CMCC Framework）研究。為科學(xué)衡量企業(yè)網(wǎng)絡(luò )安全防護能力水平，提升國防工業(yè)基地相關(guān)部門(mén)及國防部供應鏈企業(yè)的網(wǎng)絡(luò )安全防護能力，美國防部（DoD）于2020年3月18日研制發(fā)布CMMC框架（V1.02）要求。該框架將企業(yè)網(wǎng)絡(luò )安全成熟度由低向高分為5等級（經(jīng)驗執行級、文檔記錄級、制度規范級、量化評估級、持續優(yōu)化級），通過(guò)綜合考慮被保護對象的類(lèi)型和敏感度，以及相關(guān)威脅范圍，形成多個(gè)網(wǎng)絡(luò )安全標準、框架和參考文件的成熟流程及最佳實(shí)踐。CMMC框架通過(guò)引入評估元素，采用第三方合規評估代替供應商網(wǎng)絡(luò )安全自我證明，更加客觀(guān)、準確地驗證企業(yè)網(wǎng)絡(luò )安全成熟度等級相關(guān)的流程與實(shí)踐的實(shí)現程度。

二是推動(dòng)NIST系列基礎標準規范研制及持續修訂。圍繞落實(shí)關(guān)鍵基礎設施網(wǎng)絡(luò )安全政策，美國NIST制定發(fā)布了《聯(lián)邦信息系統的安全控制措施》（SP 800-53）、《工業(yè)控制系統信息安全指南》（SP 800-82）、《非聯(lián)邦機構的受控非密信息保護》（SP 800-171）等系列標準，為CMMC框架落地實(shí)施提供標準化基礎^[2]。三是研制發(fā)布網(wǎng)絡(luò )安全成熟度配套評估工具（CSET）。ICS-CERT依托控制系統安全計劃，研制發(fā)布新版網(wǎng)絡(luò )安全評估工具CSET（v11.0.1.0），為提升網(wǎng)絡(luò )安全成熟度評估框架實(shí)施效果提供了一種系統、規范且可重復的方式方法，可用于指導資產(chǎn)所有者、運營(yíng)商逐步評估工業(yè)控制系統及傳統信息系統的網(wǎng)絡(luò )安全實(shí)踐^[3]。

1.3 我國高度重視工控安全，初步建立工控安全防護能力成熟度模型

黨中央國務(wù)院高度重視我國網(wǎng)絡(luò )安全工作，習近平總書(shū)記強調網(wǎng)絡(luò )安全博弈歸根到底爭的是標準制定權、規則主導權，要積極利用法律法規和標準規范引導新技術(shù)應用。工業(yè)和信息化部作為工業(yè)領(lǐng)域網(wǎng)絡(luò )安全主管部門(mén)，出臺了《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見(jiàn)》《工業(yè)控制系統信息安全防護指南》等政策文件。為落實(shí)相關(guān)政策要求，中國電子技術(shù)標準化研究院以標準為切入點(diǎn)，以服務(wù)平臺為落腳點(diǎn)，初步建立了工控安全成熟度模型，進(jìn)一步推動(dòng)工控安全防護能力建設向可量化、可評價(jià)方向轉變。一方面研制國家標準《成熟度模型》，將《工業(yè)控制系統信息安全防護指南》11項防護要求具體細化為10個(gè)過(guò)程類(lèi)、40個(gè)過(guò)程域、365個(gè)基本實(shí)踐，規定了針對核心保護對象安全和通用安全的成熟度等級要求，提出了能力成熟度等級核驗方法，并深入江蘇國電、宇通客車(chē)、中天鋼鐵等重點(diǎn)行業(yè)企業(yè)開(kāi)展貫標試驗，赴江蘇、浙江、四川等6省市開(kāi)展貫標深度行，加強國家標準宣貫與培訓工作。另一方面，依托我院“工業(yè)控制系統安全標準與測評工業(yè)和信息化部重點(diǎn)實(shí)驗室”已有技術(shù)積累，依據《成熟度模型》國家標準，研發(fā)工控安全貫標公共服務(wù)平臺，面向工控安全防護貫標全生命周期，為工業(yè)企業(yè)、咨詢(xún)機構、核驗機構提供企業(yè)自評、貫標審核、資產(chǎn)管理、數據統計等功能，形成了一站式公共服務(wù)能力，通過(guò)持續積累工業(yè)企業(yè)貫標數據信息，量化展示工控安全防護能力成熟度等級，為主管部門(mén)、行業(yè)組織和重點(diǎn)企業(yè)開(kāi)展工控安全管理工作提供技術(shù)手段。

2 研制思路

我國工業(yè)信息安全國家標準由全國信息安全標準化技術(shù)委員會(huì )（以下簡(jiǎn)稱(chēng)：信安標委）歸口管理。截至目前，信安標委共立項研制工控安全國家標準27項，范圍涵蓋工業(yè)控制系統安全分級、安全管理、安全實(shí)施、安全測評，以及典型工業(yè)控制系統、設備安全等領(lǐng)域，初步建立了工控安全標準體系。與已有標準相比，《成熟度模型》在標準化對象、安全防護能力、標準配套使用、相關(guān)政策落實(shí)等方面實(shí)現了進(jìn)一步完善。

一是標準化對象由工控系統變?yōu)榻M織。當前已發(fā)布工控安全國家標準，多將工業(yè)控制系統或設備作為標準化對象，針對其安全需求，提出安全防護控制措施?！冻墒於饶Ｐ汀分攸c(diǎn)面向運維工業(yè)控制系統的組織機構，針對其安全防護綜合整體能力，提出過(guò)程域及基本實(shí)踐，指導開(kāi)展安全防護工作。

二是聚焦組織工控安全防護能力提升?！冻墒於饶Ｐ汀窐藴?，重點(diǎn)針對工業(yè)企業(yè)的機構建設、制度流程、技術(shù)工具、人員能力4個(gè)方面，綜合指導其動(dòng)態(tài)提升安全防護能力，并不局限于某一具體時(shí)間點(diǎn)的靜態(tài)安全狀態(tài)。

三是可與已有工控安全國家標準配套使用?！冻墒於饶Ｐ汀坊陲L(fēng)險評估、安全控制措施裁剪等思路，指導工業(yè)企業(yè)合理篩選適合自身實(shí)際安全需求的控制措施，可與《信息安全技術(shù)工業(yè)控制系統安全控制應用指南》《信息安全技術(shù)工業(yè)控制系統風(fēng)險評估實(shí)施指南》和《信息安全技術(shù)工業(yè)控制系統現場(chǎng)測控設備通用安全功能要求》等標準配套使用。

四是可為相關(guān)政策落地實(shí)施提供技術(shù)支撐?！冻墒於饶Ｐ汀芬罁豆I(yè)控制系統信息安全防護指南》《工業(yè)控制系統信息安全防護能力評估方法》等政策文件，結合當前工控安全防護發(fā)展現狀，總結提煉形成過(guò)程域及基本實(shí)踐，可指導工業(yè)企業(yè)依標落實(shí)相關(guān)政策文件。

3 標準內容解讀

3.1 標準適用范圍

該標準給出了工控安全防護能力成熟度模型，規定了核心保護對象安全和通用安全的成熟度等級要求，提出了能力成熟度等級核驗方法，適用于工業(yè)控制系統設計、建設、運維等相關(guān)方進(jìn)行工控安全防護能力建設，以及對組織工控安全防護能力成熟度等級進(jìn)行核驗。

3.2 能力成熟度模型

工控安全防護能力成熟度模型由安全能力要素、能力成熟度等級和能力建設過(guò)程等3個(gè)維度構成，如圖1所示。安全能力要素包括工業(yè)企業(yè)開(kāi)展工控安全防護能力提升，所需涉及的機構建設、制度流程、技術(shù)工具和人員能力等4方面能力。能力成熟度等級根據安全能力要素所處能力水平，自低向高將企業(yè)工控安全防護能力定義為5個(gè)不同級別（1級基礎建設級，2級規范防護級，3級集成管控級，4級綜合協(xié)同級，5級智能優(yōu)化級）。能力建設過(guò)程，依據IEC62443關(guān)于工業(yè)控制系統層次模型定義[4]，針對工業(yè)設備安全、工業(yè)主機安全、工業(yè)網(wǎng)絡(luò )安全、工業(yè)軟件安全、工業(yè)數據安全等5個(gè)方面，提出核心保護對象的過(guò)程域及配套基本實(shí)踐，同時(shí)面向運維工業(yè)控制系統的組織，提出安全規劃與架構、人員管理與培訓、物理與環(huán)境安全、監測預警與應急響應、供應鏈安全保障等5方面的通用安全過(guò)程域及配套基本實(shí)踐。

圖1 工控安全防護能力成熟度模型

3.3 安全能力要素維度

工控安全防護能力要素是客觀(guān)評價(jià)工業(yè)企業(yè)工控安全防護能力的主要要素指標，明確工控安全防護能力要素的組成部分，具體包括機構建設、制度流程、技術(shù)工具和人員能力4個(gè)方面。機構建設主要從工控安全防護架構對工業(yè)企業(yè)的適用性，工控安全工作責任的明確性，以及工控安全機構運作、溝通協(xié)調的有效性等方面對工控安全防護能力進(jìn)行考核。制度流程圍繞工控系統關(guān)鍵控制節點(diǎn)授權審批流程的明確性，相關(guān)制度流程制修訂的規范性，以及制度流程實(shí)施的一致性和有效性等方面對工業(yè)企業(yè)安全防護制度流程建設和執行情況進(jìn)行約束。技術(shù)工具重點(diǎn)圍繞工控安全防護技術(shù)應用情況和安全風(fēng)險應對能力，以及利用技術(shù)工具實(shí)現制度流程固化執行的實(shí)現能力進(jìn)行了明確要求。人員能力對工業(yè)企業(yè)工控安全從業(yè)人員業(yè)務(wù)能力、安全意識及業(yè)務(wù)工藝與安全防護融合應用等方面，對工業(yè)企業(yè)提出了相應的能力約束要求。

3.4 能力成熟度等級維度

工業(yè)企業(yè)依據標準逐級開(kāi)展安全防護的能力建設，自低向高分別是基礎建設級、規范防護級、集成管控級、綜合協(xié)同級和智能優(yōu)化級。一是基礎建設級，該級別要求企業(yè)能夠依據工控安全防護的技術(shù)基礎和條件開(kāi)展基本保護工作，安全防護能力建設主要基于特定業(yè)務(wù)場(chǎng)景，尚未形成規范化、流程化的工作方式，相關(guān)工作多依賴(lài)信息安全人員主觀(guān)經(jīng)驗，建設過(guò)程未要求以文檔形式記錄，無(wú)法形成可復制。二是規范防護級，該級別要求企業(yè)建立并記錄工控安全防護能力建設工作，能夠針對工業(yè)控制設備、工業(yè)主機、工業(yè)網(wǎng)絡(luò )、工業(yè)數據等方面制定規范化安全防護制度、規章，使得企業(yè)能夠以重復的方式執行，采用數字化裝備、信息技術(shù)手段等，有針對性地開(kāi)展安全防護，面向各方面形成獨立、可復制的安全防護能力。三是集成管控級，要求企業(yè)能夠對工業(yè)控制系統設備、主機、系統、網(wǎng)絡(luò )、數據等方面，在規范防護已有工作基礎上，通過(guò)集成化工具、系統等，對相對獨立的單點(diǎn)防護設備進(jìn)行集中統一管控，同時(shí)整合相關(guān)防護規章制度文件，形成體系化制度，提升企業(yè)內部工控安全的集中管理、統一控制的安全防護能力。四是綜合協(xié)同級，要求企業(yè)能夠面向不同產(chǎn)線(xiàn)、廠(chǎng)區、工廠(chǎng)及產(chǎn)業(yè)鏈上下游相關(guān)單位，統籌考慮安全風(fēng)險需求，開(kāi)展安全防護建設，建立多級協(xié)同的安全管理體系，并通過(guò)態(tài)勢感知、統一管控等技術(shù)手段實(shí)現綜合決策、協(xié)調防護的安全能力。五是智能優(yōu)化級，要求企業(yè)能夠采用人工智能、主動(dòng)防御、內生安全等先進(jìn)技術(shù)，與已有安全防護設備、系統、制度體系深度融合，使得可通過(guò)知識學(xué)習、智能建模分析等技術(shù)，構建可智能化演進(jìn)的安全防護系統，形成具有自決策、自進(jìn)化能力的安全防護體系。設計相應的能力成熟度檢驗流程如圖2所示，相關(guān)的能力成熟度模型使用步驟如圖3所示。

圖2 能力成熟度等級核驗流程

圖3 推薦的能力成熟度模型使用步驟

3.5 能力建設過(guò)程維度

能力建設過(guò)程維度，重點(diǎn)面向工業(yè)企業(yè)開(kāi)展工控安全防護能力建設過(guò)程中需關(guān)注的對象，提出相應的過(guò)程域及配套基本實(shí)踐，以指導工業(yè)企業(yè)安全防護能力提升。工業(yè)企業(yè)作為工控安全防護能力建設提升的主體，在能力建設過(guò)程中，需重點(diǎn)關(guān)注被保護對象的安全及企業(yè)自身安全組織機構及配套管理制度的運行效果，并據此構建工控安全成熟度的過(guò)程域體系。該過(guò)程域體系包含核心保護對象安全、通用安全2部分，如圖4所示。

圖4 能力建設過(guò)程域

其中核心保護對象安全依據IEC62443關(guān)于工業(yè)控制系統層次模型定義，涉及工業(yè)設備安全、工業(yè)主機安全、工業(yè)網(wǎng)絡(luò )安全、工業(yè)軟件安全、工業(yè)數據安全等5個(gè)過(guò)程域的集合，重點(diǎn)提出控制設備、現場(chǎng)測控設備、工業(yè)上位機、工業(yè)網(wǎng)絡(luò )、控制軟件及工業(yè)數據等對象的安全基本實(shí)踐。針對運維工業(yè)控制系統的組織機構，面向其安全運維的實(shí)際需求，提出安全規劃與架構、人員管理與培訓、物理與環(huán)境安全、監測預警與應急響應、供應鏈安全保障等安全5個(gè)過(guò)程域的集合，支撐應急響應、數據安全、供應鏈安全等政策文件的落地實(shí)施。能力建設過(guò)程維度共包含10個(gè)過(guò)程類(lèi)，40個(gè)過(guò)程域，共計365個(gè)基本實(shí)踐。經(jīng)過(guò)前期標準試點(diǎn)驗證和應用研究分析，工業(yè)企業(yè)達到二級（規范防護級）要求，即可基本滿(mǎn)足《工業(yè)控制系統信息安全防護指南》提出的11項安全防護要點(diǎn)。

3.6 標準實(shí)施意義

該標準圍繞落實(shí)《工業(yè)控制系統信息安全防護指南》等相關(guān)政策文件要求，根據新形勢下工控安全防護重點(diǎn)，從工控安全防護設計、建設、運維全生命周期提出工控安全防護要求。標準的實(shí)施與應用有助于指導企業(yè)落實(shí)政策標準的有關(guān)要求，進(jìn)一步引導工業(yè)企業(yè)統籌發(fā)展和安全，指導企業(yè)逐級提升工控安全防護能力，以較低成本建立有效的工控安全管理和技術(shù)防護體系，量化評價(jià)企業(yè)安全防護水平，著(zhù)力防范化解重大安全風(fēng)險。同時(shí)，該標準的實(shí)施推廣，可支撐工控安全行業(yè)主管部門(mén)，全面了解當前我國工業(yè)企業(yè)工控安全防護能力水平，摸清本行業(yè)、本轄區工控安全底數，為工控安全管理工作開(kāi)展，提供標準化基礎。

4 總結與展望

目前，我國已初步開(kāi)展工控安全成熟度相關(guān)標準研制及服務(wù)平臺開(kāi)發(fā)工作，但尚未形成法律、政策、標準相互銜接、互為補充的管理制度，后續在主管部門(mén)指導下，建議產(chǎn)學(xué)研用各方力量進(jìn)一步聚焦管理體系構建、貫標工作推廣、遴選試點(diǎn)示范、服務(wù)能力建設等方面持續開(kāi)展相關(guān)工作，促進(jìn)工業(yè)企業(yè)工控安全防護能力躍升。

一是深入推進(jìn)工控安全政策標準的宣貫實(shí)施。結合前期網(wǎng)絡(luò )安全相關(guān)貫標工作經(jīng)驗，在全國范圍內開(kāi)展工控安全防護能力成熟度模型國家標準及指南的宣貫工作，面向工業(yè)基礎好、安全需求強、技術(shù)儲備足的重點(diǎn)地區和行業(yè)，組織開(kāi)展貫標試點(diǎn)工作，厘清全國工業(yè)企業(yè)工控安全防護能力底數，繪制重點(diǎn)地區和行業(yè)工控安全防護能力指數地圖。

二是啟動(dòng)地區/行業(yè)工控安全防護能力示范工作。結合貫標試點(diǎn)工作基礎，遴選一批工控安全防護貫標示范案例，逐步形成可復制、可推廣的示范工程，引導企業(yè)將指南和工控安全防護能力成熟度模型有關(guān)要求，納入企業(yè)信息化發(fā)展戰略，形成典型示范效應，帶動(dòng)更多工業(yè)企業(yè)參與并實(shí)施貫標工作，引導地方和社會(huì )資源加大配套投入。

三是注重工控安全貫標公共服務(wù)能力建設。進(jìn)一步完善工控安全貫標公共服務(wù)平臺，組織研發(fā)標準符合性數據智能采集、內容合規性智能診斷等配套工具，為工業(yè)企業(yè)開(kāi)展自對標、自診斷、自評價(jià)等工作提供技術(shù)支撐，降低企業(yè)實(shí)施工控安全貫標的資源消耗，提升貫標結果的客觀(guān)性、準確性和科學(xué)性。

作者簡(jiǎn)介：

姚相振 （1984-），男，山東德州人，高級工程師，博士，現就職于中國電子技術(shù)標準化研究院，研究方向為網(wǎng)絡(luò )安全。

趙梓桐 （1992-），男，遼寧錦州人，工程師，碩士，現就職于中國電子技術(shù)標準化研究院，研究方向為網(wǎng)絡(luò )安全。

周?？?nbsp;（1990-），男，浙江東陽(yáng)人，工程師，碩士，現就職于中國電子技術(shù)標準化研究院，研究方向為網(wǎng)絡(luò )安全、密碼學(xué)。

李琳 （1983-），男，山東濟南人，高級工程師，博士，現就職于中國電子技術(shù)標準化研究院，研究方向為網(wǎng)絡(luò )安全。

參考文獻：

[1]楊楠.網(wǎng)絡(luò )空間軍事化及其國際政治影響[J].外交評論(外交學(xué)院學(xué)報),2020,37(03):69–93,6-7.

[2]NIST.SP800-53Rev.5.SecurityandPrivacyControlsforInformationSystemsandOrganizations[EB/OL].[2021-08-01].

[3]NIST.SP800-82Rev.2.GuidetoIndustrialControlSystems(ICS)Security[EB/OL].[2021-08-15].[4]GB/T32919-2016,信息安全技術(shù)工業(yè)控制系統安全控制應用指南[S].

摘自《自動(dòng)化博覽》2022年7月刊