內容概述：隨著(zhù)新漏洞的不斷出現或攻擊手段的提高，現有設備及系統的安全防護能力將無(wú)法抵御新的攻擊手段，因此工業(yè)用戶(hù)需要進(jìn)行現場(chǎng)測評和周期性評估，以適應變化的安全環(huán)境，通過(guò)評估結果呈現的風(fēng)險趨勢，并根據定制KPI安全指標綜合分析風(fēng)險，幫助工業(yè)用戶(hù)識別、控制、降低或消除安全風(fēng)險。本文基于持續“PDCA”的工控安全運維管理是依據國家相關(guān)標準、規范和指南要求，面向企業(yè)用戶(hù)、針對工控網(wǎng)絡(luò )與系統，簡(jiǎn)要介紹所開(kāi)展的全生命周期安全運維管理。通過(guò)循序漸進(jìn)的評價(jià)和改進(jìn)，統計隱患和潛在的工控安全隱患的實(shí)時(shí)趨勢，持續提供風(fēng)險分析報告及安全整改建議，幫助企業(yè)發(fā)現漏洞，降低工業(yè)企業(yè)網(wǎng)絡(luò )與信息安全風(fēng)險。

關(guān)鍵詞：工控安全運維；PDCA；測試評估服務(wù)；工控安全風(fēng)險

1　工控系統應用與安全風(fēng)險的博弈

工業(yè)控制系統面臨的風(fēng)險，除了產(chǎn)品本身存在的出廠(chǎng)缺陷、軟件更新速度慢、防護策略缺失等因素外，核心要素還是因為聯(lián)網(wǎng)而引發(fā)的不確定性。但是技術(shù)發(fā)展的趨勢是不可逆的，在面臨新技術(shù)、新應用、新模式?jīng)_擊的同時(shí)，也接受著(zhù)信息化、網(wǎng)絡(luò )化、智能化所帶給我們的便利，以及因開(kāi)放、共享帶來(lái)的安全問(wèn)題。因此，工控網(wǎng)絡(luò )與信息系統作為網(wǎng)絡(luò )安全中的關(guān)鍵信息基礎設施，信息管理人員必須做好防護工作，以保障“兩化融合”發(fā)展過(guò)程的快速、持續和穩定。

1.1　兩化融合、智能制造的大趨勢

兩化融合的提出背景是人類(lèi)社會(huì )經(jīng)過(guò)多年發(fā)展，進(jìn)入了信息文明階段。人類(lèi)社會(huì )文明走過(guò)了三個(gè)階段，并與之相對應產(chǎn)生了三種文明形態(tài)。

第一是農業(yè)階段，大家從一萬(wàn)多年前形成了農業(yè)文明；第二從十七世紀末開(kāi)始進(jìn)入了工業(yè)文明，與之相對應形成了工業(yè)文化。那么從20世紀50年代開(kāi)始經(jīng)過(guò)第三次浪潮的描述，也就是說(shuō)世界進(jìn)入了信息化階段。在農業(yè)階段解決了人類(lèi)的生存問(wèn)題，在工業(yè)階段解決了機器代替手工，快速提高人類(lèi)生活品質(zhì)的問(wèn)題。在信息化階段，通過(guò)信息通信技術(shù)實(shí)現了社會(huì )與經(jīng)濟的融合，將信息化貫穿了人類(lèi)生活的方方面面。

工業(yè)化正經(jīng)歷世界經(jīng)濟的第三次革命，隨著(zhù)科學(xué)與技術(shù)革命的發(fā)展，其內涵也在不斷的發(fā)生變化。工業(yè)化經(jīng)歷了三次的工業(yè)革命的劇變，第一次工業(yè)革命以1775年，蒸汽機發(fā)明為代表的大機器生產(chǎn)取代手工業(yè)生產(chǎn)，極大提高了生產(chǎn)力。第二次工業(yè)革命，自然科學(xué)開(kāi)始同技術(shù)生產(chǎn)緊密結合起來(lái)，在提高生產(chǎn)力發(fā)展方面發(fā)揮更為重要的作用。第三次工業(yè)革命，是自動(dòng)化技術(shù)快速發(fā)展提高了生產(chǎn)力，帶來(lái)了全新的研發(fā)設計、生產(chǎn)制造和經(jīng)營(yíng)管理過(guò)程。在第三次工業(yè)革命有這樣一些代表性的事件，1952年第一臺數控機床的出現，1971年微處理芯片的發(fā)明，80年代初計算機輔助設計的技術(shù)在產(chǎn)品設計中的應用。那么第三次工業(yè)革命在不同的時(shí)期又可以分為數字化、網(wǎng)絡(luò )化、智能化階段。

1.2　信息產(chǎn)業(yè)發(fā)展與安全行業(yè)監管的兩難境地

傳統信息安全與工業(yè)控制信息安全區別之一是對業(yè)務(wù)的整合能力。傳統信息安全在不同用戶(hù)之間所面臨的系統非常類(lèi)似，而工控系統在不同用戶(hù)、不同行業(yè)的應用方法存在很大差異，信息安全管理人員需要從企業(yè)生產(chǎn)和業(yè)務(wù)流程的視角，理解風(fēng)險與安全。

作為工業(yè)領(lǐng)域的信息化決策者，首先要保證的一定是生產(chǎn)運行的實(shí)時(shí)性、持續性和穩定性，也就是信息和網(wǎng)絡(luò )系統的功能性和可用性。信息化決策是由企業(yè)最高決策層負責的，俗稱(chēng)信息化工程皆為“一把手”工程，從決策主體的角度，保障了信息化和企業(yè)經(jīng)營(yíng)發(fā)展的高度一致。

雖然這些信息化、智能化技術(shù)提高了生產(chǎn)力并降低了成本，但它們使關(guān)鍵任務(wù)系統暴露在新的風(fēng)險中，例如工業(yè)關(guān)鍵業(yè)務(wù)系統突然停機、上位機誤操作和竊取敏感信息等，這些風(fēng)險直接威脅到工業(yè)用戶(hù)的業(yè)務(wù)增長(cháng)和連續性。無(wú)論是短暫還是長(cháng)時(shí)間的停機，在工業(yè)制造的操作環(huán)境中是至關(guān)重要的，并且直接影響公司的收入流，造成不可估量的損失。例如，在汽車(chē)行業(yè)業(yè)務(wù)的停機時(shí)間成本高達130萬(wàn)美元每小時(shí)。一旦攻擊者進(jìn)入連續生產(chǎn)的制造業(yè)工控網(wǎng)絡(luò )，宕機的風(fēng)險就會(huì )增加。惡意攻擊者或可能的競爭對手可以關(guān)閉生產(chǎn)線(xiàn)，甚至破壞昂貴的機器，造成重大損失。

可當信息化系統遇到安全問(wèn)題的時(shí)候，最高負責人普遍無(wú)法直接做出決策。一方面改善安全狀況需要復雜的應對策略，而安全策略幾乎沒(méi)有固定的理論模型，只有依靠官方標準、行業(yè)經(jīng)驗和政策指南等推導出的試探性的方法。另一方面，安全建設并不會(huì )直接產(chǎn)生生產(chǎn)效益，這就要求安全防護解決方案要具備有效性和及時(shí)性。

根據調查，在大多數工業(yè)企業(yè)，對于工業(yè)網(wǎng)絡(luò )中安全的決策者通常為CISO（首席信息安全官）或CSO（首席安全官），他們負責整個(gè)企業(yè)，包括傳統IT/企業(yè)網(wǎng)絡(luò )/業(yè)務(wù)網(wǎng)絡(luò )和工業(yè)制造/生產(chǎn)/ SCADA網(wǎng)絡(luò )的安全。盡管CISO/CSO是決策者，但真正工業(yè)網(wǎng)絡(luò )的完善防護解決方案，還是需要了解工業(yè)控制或智能制造核心技術(shù)和業(yè)務(wù)流程的工作人員。因此，既保證信息化系統的正常運維，又要不損害系統可用性的無(wú)擾式管理和維護方法至關(guān)重要，這對工業(yè)企業(yè)來(lái)說(shuō)幾乎是極其困難的。因此，如何讓企業(yè)信息化的各級參與者，都能夠投入到信息安全的管理決策，是解決工業(yè)企業(yè)信息安全規則設計和管理運維的有效方法。

圖1 分級需求管理

1.3　態(tài)勢分析與預警的必要性

隨著(zhù)信息和網(wǎng)絡(luò )技術(shù)的深入應用，決策者開(kāi)始由發(fā)生了什么、為什么發(fā)生，過(guò)渡到將要發(fā)生什么、如何規避風(fēng)險?，F有的傳統IT信息安全解決方案都不適合工業(yè)網(wǎng)絡(luò )。傳統IT信息安全解決方案通常是為某些特定入侵行為或活動(dòng)而設計的防御集合，它可能會(huì )為工業(yè)現場(chǎng)的流程化生產(chǎn)，增加不必要的管理風(fēng)險，從而危及工業(yè)業(yè)務(wù)本身的連續性。此外，這些解決方案無(wú)法覆蓋復雜而又缺少公開(kāi)資料的工業(yè)協(xié)議，因此無(wú)法在工業(yè)網(wǎng)絡(luò )中最大限度地發(fā)揮它們的潛力。

對于工控安全的管理，除了需要引入“白名單”管理思想，還需要配合一定的態(tài)勢感知預警平臺，從而為各級決策部門(mén)提供主動(dòng)風(fēng)險監測、被動(dòng)威脅發(fā)現、威脅情報收集與整合、威脅分析溯源等全方位、一體化態(tài)勢感知服務(wù)。同時(shí)這些服務(wù)可以幫助控制工程師和工廠(chǎng)信息化系統管理者保持警覺(jué)，匹配預警等級，提前知曉風(fēng)險，防范事故。

圖2 決策進(jìn)化的三個(gè)階段

1.4　監管與保障的思考

網(wǎng)絡(luò )信息安全問(wèn)題不僅關(guān)乎廣大人民群眾工作生活，更與國家安全與國家發(fā)展息息相關(guān)。近些年，根據互聯(lián)網(wǎng)安全事件事項涉及的領(lǐng)域，國家中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組（以下簡(jiǎn)稱(chēng)“網(wǎng)信辦”）、工業(yè)和信息化部、公安部等多家主要政府機構協(xié)同擔負著(zhù)互聯(lián)網(wǎng)安全管理職能。

網(wǎng)信辦著(zhù)眼于國家安全和長(cháng)遠發(fā)展，統籌協(xié)調涉及經(jīng)濟、政治、文化、社會(huì )及軍事等各個(gè)領(lǐng)域的網(wǎng)絡(luò )安全和信息化重大問(wèn)題，研究制定網(wǎng)絡(luò )安全和信息化發(fā)展戰略、宏觀(guān)規劃和重大政策，推動(dòng)國家網(wǎng)絡(luò )安全和信息化法治建設，不斷增強安全保障能力。

工信部承擔著(zhù)通信網(wǎng)絡(luò )安全及其信息安全管理的責任，主要從宏觀(guān)層面負責協(xié)調、維護國家層面信息安全，承擔國家信息安全保障體系的建設，對政府部門(mén)、重點(diǎn)行業(yè)重要信息系統與基礎信息網(wǎng)絡(luò )的安全保障工作進(jìn)行指導監督，同時(shí)負責協(xié)調網(wǎng)絡(luò )與信息安全重大事件的處理。

公安部承擔著(zhù)對計算機信息系統安全保護工作進(jìn)行監督、檢查、指導；對計算機信息系統安全進(jìn)行評估與審驗；對計算機違法犯罪案件依法查處等多項職責。

而針對工控安全的監管責任還不夠清晰，存在著(zhù)“九龍治水”的現象，規?；I(yè)企業(yè)往往面臨著(zhù)基礎設施安全、等保測評和定期檢查評估等同時(shí)監管的壓力。ARC的一份市場(chǎng)調研顯示，工業(yè)企業(yè)的首要需求是如何提升生產(chǎn)效率、提高生產(chǎn)利潤，甚至很多工業(yè)企業(yè)才剛剛解決自動(dòng)化和網(wǎng)絡(luò )化的技術(shù)更新，在信息化方面還處于探索階段。目前我國的工控安全領(lǐng)域發(fā)展與歐美發(fā)達國家相比尚有一定差距，但我國的市場(chǎng)有其特殊性和不可替代性，若有政府或相關(guān)機構組織站出來(lái)對行業(yè)適當保障和引導，避免無(wú)序發(fā)展，最終以行業(yè)應用推動(dòng)市場(chǎng)發(fā)展，將催生更加龐大完善的市場(chǎng)。

如果政府過(guò)度參與，強制企業(yè)采取全方位的防護，成本會(huì )提到很高，對企業(yè)產(chǎn)生較大負擔。工信部發(fā)布的《工業(yè)控制系統信息安全防護指南》值得參考，它指出工業(yè)企業(yè)還是首先進(jìn)行風(fēng)險評估，根據資產(chǎn)的重要程度、安全問(wèn)題出現的概率、影響程度來(lái)采取適當措施加以防護比較權宜。我們建議：

加強安全意識；

普及安全知識；

持續關(guān)注風(fēng)險；

逐步推進(jìn)防護；

推廣應用示范。

2 “PDCA”管理與對標服務(wù)體系

為使工業(yè)企業(yè)管理人員對關(guān)鍵信息基礎設施樹(shù)立和保持安全意識，在適當的時(shí)間采取適當的措施，以及在長(cháng)期的網(wǎng)絡(luò )安全態(tài)勢中發(fā)現最新風(fēng)險，需要一種持續的全生命周期管理方法來(lái)管理工控網(wǎng)絡(luò )和工控系統，進(jìn)而循序漸進(jìn)地改進(jìn)防護方案。我們引入了“PDCA”方法和“對標”思想來(lái)解決以上問(wèn)題，結合主動(dòng)監測、可視化交互、被動(dòng)威脅感知等技術(shù)，讓用戶(hù)能夠方便進(jìn)行風(fēng)險管理，在紛繁復雜的防護解決方案中做出經(jīng)濟、適合、實(shí)用的決策。

2.1 “PDCA”循序漸進(jìn)體系

PDCA管理循環(huán)，由美國質(zhì)量管理專(zhuān)家戴明提出，又稱(chēng)戴明環(huán)。它是全面質(zhì)量管理所應遵循的科學(xué)程序。PDCA循環(huán)作為全面質(zhì)量管理體系運轉的基本方法，其實(shí)施需要搜集大量數據資料，并綜合運用各種管理技術(shù)和方法。全面質(zhì)量管理活動(dòng)的全部過(guò)程，就是質(zhì)量計劃的制訂和組織實(shí)現的過(guò)程，這個(gè)過(guò)程就是按照PDCA循環(huán)，不停頓地周而復始地運轉。

P（計劃 PLAN）：從問(wèn)題的定義到行動(dòng)計劃；

D（實(shí)施 DO）：實(shí)施行動(dòng)計劃；

C（檢查 CHECK）：評估結果；

A（處理 ACTION）：標準化和進(jìn)一步推廣。

圖3 PDCA的發(fā)展過(guò)程

（1）特點(diǎn)

PDCA循環(huán)，可以使我們的思想方法和工作步驟更加條理化、系統化、圖像化和科學(xué)化。它具有如下特點(diǎn)：

大環(huán)套小環(huán)，小環(huán)保大環(huán)，互相促進(jìn)，推動(dòng)大循環(huán)；

PDCA循環(huán)是爬樓梯上升式的循環(huán)，每轉動(dòng)一周，質(zhì)量就提高一步；

PDCA循環(huán)是綜合性循環(huán)，4個(gè)階段是相對的，它們之間不是截然分開(kāi)的。

（2）八個(gè)步驟

步驟一：分析現狀，找出題目：強調的是對現狀的把握和發(fā)現題目的意識、能力，發(fā)掘題目是解決題目的第一步，是分析題目的條件。

步驟二：分析產(chǎn)生題目的原因：找準題目后分析產(chǎn)生題目的原因至關(guān)重要，運用頭腦風(fēng)暴法等多種集思廣益的科學(xué)方法，把導致題目產(chǎn)生的所有原因統統找出來(lái)。

步驟三：要因確認：區分主因和次因是最有效解決題目的關(guān)鍵。

步驟四：擬定措施、制定計劃（5W1H）即：為什么制定該措施（Why）？達到什么目標（What）？在何處執行（Where）？由誰(shuí)負責完成（Who）？什么時(shí)間完成（when）？如何完成（How）？措施和計劃是執行力的基礎，盡可能使其具有可操性。

步驟五：執行措施、執行計劃：高效的執行力是組織完成目標的重要一環(huán)。

步驟六：檢查驗證、評估效果：“下屬只做你檢查的工作，不做你希望的工作”IBM的前CEO郭士納的這句話(huà)將檢查驗證、評估效果的重要性一語(yǔ)道破。

步驟七：標準化，固定成績(jì)：標準化是維持企業(yè)治理現狀不下滑，積累、沉淀經(jīng)驗的最好方法，也是企業(yè)治理水平不斷提升的基礎?？梢赃@樣說(shuō)，標準化是企業(yè)治理系統的動(dòng)力，沒(méi)有標準化，企業(yè)就不會(huì )進(jìn)步，甚至下滑。

步驟八：處理遺留題目。所有題目不可能在一個(gè)PDCA循環(huán)中全部解決，遺留的題目會(huì )自動(dòng)轉進(jìn)下一個(gè)PDCA循環(huán)，如此，周而復始，螺旋上升。

2.2　標準與規范的選擇

2.2.1　工業(yè)控制系統安全控制應用指南GB/T32919-2016

安全（security）及其相關(guān)概念間的關(guān)系。其中的控制是指：應用于工業(yè)控制系統中管理、運行和技術(shù)上的保護措施和對策，以保護工業(yè)控制系統及其信息的保密性、完整性和可用性等。應用這些控制的目的是，減少脆弱性或影響，抵御工業(yè)控制系統所面臨的安全威脅，從而緩解工業(yè)控制系統的安全風(fēng)險，以滿(mǎn)足利益相關(guān)者的安全需要。

圖4 安全（SECURITY）及其相關(guān)概念

工業(yè)控制系統安全是一項系統工程，單一的產(chǎn)品和技術(shù)不能有效地保護工業(yè)控制系統安全，組織應在充分挖掘工業(yè)控制系統安全需求的基礎上，制定滿(mǎn)足組織使命和業(yè)務(wù)功能需求的工業(yè)控制系統安全戰略。

圖5 安全控制基線(xiàn)完善過(guò)程

針對工業(yè)控制系統存在的脆弱性，分析工業(yè)控制系統面臨的威脅和風(fēng)險，評估風(fēng)險發(fā)生的可能性以及風(fēng)險發(fā)生可能造成的影響和危害，制定風(fēng)險處置原則和處置計劃，將工業(yè)控制系統安全風(fēng)險控制在可接受的水平。

圖6 工業(yè)控制系統的安全控制的三個(gè)級別

2.2.2　工業(yè)控制系統信息安全防護指南

2016年10月17日《工業(yè)控制系統信息安全防護指南》正式印發(fā)，為工業(yè)企業(yè)如何開(kāi)展工業(yè)控制系統信息安全工作提供了可操作性的防護措施，并可進(jìn)一步提升相關(guān)人員的工業(yè)控制系統信息安全防護意識，推進(jìn)產(chǎn)業(yè)的整體良性發(fā)展，切實(shí)提升國家關(guān)鍵信息基礎設施控制系統的安全防護水平。

自從2011年9月《關(guān)于加強工業(yè)控制系統信息安全管理的通知》（工信部協(xié)[2011]451號）文件發(fā)布之后，國內各行各業(yè)對工業(yè)控制系統信息安全的認識都達到了一個(gè)新的高度，電力、石化、制造、煙草等多個(gè)行業(yè)，陸續制定了相應的指導性文件，來(lái)指導相應行業(yè)安全檢查與整改活動(dòng)。451號文填補了國內工業(yè)控制系統信息安全的政策空白，由此拉開(kāi)了行業(yè)發(fā)展的帷幕。

然而，隨著(zhù)國家信息安全機構職能的調整，工控安全管理工作在后續一段時(shí)間基本處于暫停狀態(tài)。直到中編辦對工信部在2015年9月16日發(fā)布的新“三定”職責中明確：“擬定工業(yè)控制系統網(wǎng)絡(luò )與信息安全規劃、政策、標準并組織實(shí)施，加強工業(yè)控制系統網(wǎng)絡(luò )安全審查”，工控安全相關(guān)工作正式納入工信部的職責范圍之后，工信部以信息化和軟件服務(wù)司為主管司局，開(kāi)始加快工控安全的保障工作。今年5月20日，《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見(jiàn)》（國發(fā)〔2016〕28號）文件明確提出:“以提升工業(yè)信息安全監測、評估、驗證和應急處置等能力為重點(diǎn)，依托現有科研機構，建設國家工業(yè)信息安全保障中心，為制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展提供安全支撐?！薄吨改稀饭卜譃?1個(gè)大項30個(gè)條目，涵蓋了安全技術(shù)體系和安全管理體系。

2.3 “對標”方法

2.3.1　分值評估法

依據《工業(yè)控制系統信息安全防護指南》以及本方法中的評估內容及方法，明確了具體的評分方式，評價(jià)企業(yè)工業(yè)控制系統信息安全的防護能力的情況，并給出量化的評分標準。本評分標準從11個(gè)方面設置了30個(gè)大項，61個(gè)小項，129個(gè)評分細項。

（1）評分方法。評估標準滿(mǎn)分為100分，評分采用扣分制，評分細項的分值作為評分的最小單元。

（2）高風(fēng)險項。高風(fēng)險項共25小項，其分值相對較高。高風(fēng)險項是企業(yè)工控安全防護中基礎和關(guān)鍵的項，其不滿(mǎn)足要求可能造成較大信息安全風(fēng)險，建議限期整改。

（3）基于證據的方法。為了保證評估結果的公正和客觀(guān)，評分的判斷須有充分的證據，證據包括負責人談話(huà)、制度文件、運行記錄、核查結果和測試報告等。

圖7 信息的跨平臺交互與共享

2.3.2　與業(yè)務(wù)系統的對應融合

在考慮“對標”打分項設計時(shí)，針對不同決策層級、復雜異構網(wǎng)絡(luò )等問(wèn)題，在考慮工控安全需求時(shí)，我們需要有針對性的解決方案。根據企業(yè)信息化普遍存在的“由上至下”的決策流程和“自下至上”的數據采集流程特點(diǎn)，我們需要將工控安全整體進(jìn)行細致化的拆分，再結合具體企業(yè)的自身特點(diǎn)，根據各環(huán)節對生產(chǎn)運行影響的危害程度，精準設計可實(shí)踐、可執行的信息安全決策過(guò)程。

作者簡(jiǎn)介：

魏欽志，烽臺科技（北京）有限公司聯(lián)合發(fā)起人、董事長(cháng)，燈塔實(shí)驗室執行合伙人。工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟副秘書(shū)長(cháng)，計算機病毒防御技術(shù)國家工程實(shí)驗室技術(shù)委員會(huì )委員，中國化工學(xué)會(huì )青年委員。在智能制造、工業(yè)控制信息化和自動(dòng)化行業(yè)有十余年工作經(jīng)驗，六年工控安全經(jīng)驗。參與并主導過(guò)工業(yè)信息安全產(chǎn)品設計，被發(fā)改委納入信息安全專(zhuān)項資金的支持計劃。帶領(lǐng)團隊參與和推動(dòng)國內主要工控安全標準制訂與應用，面向行業(yè)用戶(hù)提供評估及保障服務(wù)。

摘自《自動(dòng)化博覽》2017年9月刊