基于工控業務場景構建工控安全成熟度模型
隨著IT與OT加速融合一體化,大數據、云計算、人工智能、邊緣計算、區塊鏈、5G等新技術新應用在工業領域飛速發展,工業信息安全形勢日趨嚴峻和復雜。近年來,我國各級政府和行業主管部門對工業信息安全高度重視,工業企業安全意識顯著增強,推動了工業信息安全市場的蓬勃發展。但與此同時,我國大多數企業的工業信息安全建設缺乏體系化的規劃和布局,往往以“打地鼠式”單點設備采購來應對,面臨“項目建什么”、“怎么建”、“防護效果怎么樣”等諸多問題。
因此,構建工控安全成熟度模型可以幫助企業評估當前工控安全建設水平、發現安全體系建設中的短板并確定下一階段工作的努力方向和建設目標,從而幫助企業在威脅與挑戰并存的數字化轉型大環境下把握先機。一、傳統的安全成熟度模型
安全成熟度模型在傳統IT領域并不是一個新概念。市場上流傳較廣的安全成熟度模型,如信息安全能力成熟度模型(IS-CMM)、《信息安全技術 數據安全能力成熟度模型》(DSMM)等,大多借鑒了軟件能力成熟度模型(CMMI)的評估標準。這類傳統的安全成熟度模型更突出“階段性”,通過列出每個成熟度級別應該具備的安全能力和對應的安全控制措施,引導用戶(特別是安全建設“零基礎”的企業)按照成熟度級別進行順序性的安全能力建設。
然而,對于已經形成一定安全能力的企業,傳統的安全成熟度模型在實踐中也暴露了一些短板。參照SANS網絡安全滑動標尺模型,安全技術能力的進階帶來了安全成本的上升,但與其對應的安全投資價值卻呈現遞減屬性(圖1)。然而,企業用戶在實踐中為了達到更高的成熟度級別往往會盲目增加安全控制措施,造成安全技術和產品上的過度支出。因此,在面對安全技術/工具成本上升和資源預算有限時,企業需要一套新的方法論,以解決關鍵安全問題為基礎,明確工控安全項目建設優先級,從而在最大程度上降低企業工控安全風險。
二、工控安全成熟度模型
在借鑒ARC咨詢公司OT安全研究和傳統安全成熟度模型的基礎上,烽臺科技依托自身在工控安全領域多年的咨詢服務經驗,以“人員專業能力、安全運營能力、安全防護能力”三重能力建設為導向,以反映用戶工控安全項目建設優先級為核心,構建了面向工業/OT場景的工控安全成熟度模型1.0(圖2)。從定位上來看,工控安全成熟度模型主要有以下幾個目標:
? 充分考慮工業場景安全需求,為工控安全項目建設和落地實踐提供指導;
? 為等保2.0、工控安全防護指南、工業互聯網企業分類分級等合規政策驅動下的工控安全建設提供對標參考和有效補充;
? 為評估現有工控安全措施有效性、管理和降低風險提供可循環執行和持續改進的工具。
(一)三重維度(縱軸)
與傳統安全成熟度模型不同,工控安全成熟度模型1.0(以下簡稱“模型”)圍繞人員、流程、技術這三項工控安全建設投入的基本要素(圖3),提出了企業用戶在工控安全建設中應重點關注的人員專業能力、安全運營能力和安全防護能力這三重維度和對應的優先級。
- 高優先級:人員專業能力
長期以來,工控安全人才短缺問題已成為行業共識。但由于專業人才培養周期長、職業資格認證缺失、人才挖掘渠道單一,工業企業用戶的工控安全招工用工困境愈發突出,只能依賴企業內部的傳統信息安全團隊、IT部門或生產控制部門建設和管理工控安全項目。而在實踐中,工業企業用戶普遍會選擇周期更短、見效更快的方式,即通過采購外部安全廠商提供的安全技術、防護產品和解決方案來“彌補”安全人員的不足和技能短缺,而并未從根本上解決自身的工控安全問題(圖4)。
人員能力維度在模型中是指為實現安全防護技術和運營管理工作的有效執行,組織相關人員應具備的專業技能和能力水平。模型將人員專業能力作為安全投入的最高優先級,強調了人員在工控安全項目建設中的重要性。加大工控安全人員專業能力建設投入,不僅可以提高企業自身工控安全防護水平、筑牢工控安全“最后一道防線”,也是企業實現工控安全投資利益最大化的選擇。
- 中優先級:安全運營能力
安全運營能力在模型中體現在兩個方面:安全業務流程和管理技術工具,著重強調要持續投入與安全建設內容相匹配的業務保障體系和技術管理工具。業務流程是將用戶的工控安全保障體系及相關制度規范進行落地建設的一系列業務活動,而管理技術是用來選擇、實施和維持不同階段安全防護技術有效性的工具集。
當前,工業企業用戶的工控安全業務流程設計和決策范圍仍然較小,用戶高層參與度較低,企業資源調度不充分,安全建設與實際生產運行業務結合度低,工控安全效能尚未得到發揮。依據網絡安全框架(NIST CSF),組織在開始工控安全建設前,應先確定要實現的安全目標并制定安全策略,而業務流程銜接了組織整體的工控安全策略和安全措施,是執行工控安全策略的路線圖,也是企業用戶進行安全運營管理的具體工作步驟。因此,優先確定工控安全的業務流程并進行相應的預算投入是實施安全措施的基礎。
從安全運營的角度來看,管理技術作為工控安全業務流程的落地表現,是連接企業內部工控安全人員與外部采購的安全防護工具的重要媒介。隨著工控安全技術的更新迭代,防護產品和解決方案愈發復雜多樣,越來越多的工業企業用戶希望通過投資于最新的安全技術來獲得價值。但成功的安全項目“三分靠技術、七分靠管理”。由于缺少對安全產品配置和運維的經驗,以外采防護設備為主的工控安全建設可能會造成防護工具不兼容、技術過于復雜等現象,反而給企業人員和管理造成了更大的負擔。通過實施管理技術,企業內部工控安全人員將有能力對安全防護工具進行控制、分析、管理和統一編排。
- 低優先級:安全防護能力
模型將安全防護能力作為一項基礎能力,放在了工控安全建設項目投資優先級的末端。事實上,部署安全防護設備已經成為工控安全建設最為常見的手段。從商業價值的角度來看,企業可以通過實施安全防護措施在短期內快速降低安全風險。但安全能力建設是一個循序漸進的過程,企業需結合自身業務情況,對應不同工藝流程和工控系統的重要程度,進行有計劃、分階段的安全防護技術投資。
模型保留了傳統成熟度模型中安全防護能力建設的增量特性,即每一階段的安全技術建設并非從零開始,而是在前一階段的基礎上增加一層防護能力。同時,模型列舉了與核心技術能力相匹配的典型安全防護產品,為企業選擇相應的供應商提供了參考。
總的來看,工控安全建設的本質是在現有資源和預算下最小化安全風險,從而獲得最大化的安全投資價值。因此,工控安全建設應結合企業自身實際,確定適當的項目和投資優先級,力圖在人員、流程和技術這三個要素中取得平衡,最終促進三者成熟度能力共同進階。
(二)能力進階(橫軸)
在定義了能力維度和優先級的基礎上,模型提出了工控安全建設中每一項能力維度進階的方向和步驟,并且列舉了實現不同級別的安全成熟度應在人員、流程和技術層面投入的最低水平。
- IT與OT融合的人員能力建設
模型中定義了安全人員專業能力建設的三個階段。在工控安全建設的初期階段,企業內部安全人員需至少具備基礎IT、計算機和網絡技能以及基礎自動化與電控技能,來實現基本安全保障。隨著企業工控安全建設成熟度的進階,相關安全人員需要具備增強型的IT+OT網絡安全專業水平,從而更好地落實業務流程,并且有能力通過使用管理工具來發揮安全防護技術效能。當工控安全建設進入到成熟度較高的階段時,企業需要投入與工控安全建設需求相匹配的安全團隊,而團隊中的人員應能夠實現對最新的安全防護技術和管理工具的綜合分析、集成、管控和編排。因此,相關安全人員需要具備高級融合型網絡安全與自動化專業水平,有能力應對更加高級的工控安全威脅。(圖5)
- 從全面評估到“大安全”運營
模型將工控安全運營能力建設分為了兩個階段。當工控安全建設處于早期階段時,企業需要以系統防護為核心思想,通過開展檢測、評估、實施和運維等工作,并配套應用工控資產清單、業務數據流、風險管理、脆弱性管理、PKI管理等工具,從而保證防護產品的有效性。當工控安全建設進入較成熟階段時,企業則需要以檢查、響應和應急恢復為抓手,全面加強對安全事件管理的能力,同時輔以威脅情報、安全運營中心(SOC)集成、協同管理等運營管理工具。
1) 傳統信息安全監測體系
通過SOC、SIEM、UEBA、SOAR、IDS、流量分析、安全審計等監測手段,對以下典型安全信息進行監測:
? 信息安全事件;
? 告警趨勢統計;
? 資產漏洞統計;
? 外部威脅信息;
? 威脅態勢統計等;
所有的工作以信息安全風險處置為核心(安全本位主義),難以說明風險與業務、業務部門的關系。
2) 以業務為主集中化安全監測
通過工業控制現場典型的MES、EMS、SCADA、SOE等監測系統,收集設備日志、通訊故障、實時/歷史報警的數據,建立以業務穩定運行為核心的生產安全監測體系:
? 生產產量相關信息
? 人員相關信息
? 環境相關信息
? 災害相關信息
? 業務系統組態畫面
? 重要設備運行狀態
? 風、水、電、氣系統狀態
? 其他生產安全相關信息
3) 融合體系的“大安全”運營
隨著工控安全建設成熟度的提升,安全業務流程的重點將從系統防護向事件管理的方向進階,而安全管理工具應從單點安全技術管控向安全集成與統一編排的方向迭代和演進,最終實現工控安全運營能力從全面評估向“大安全”運營升級(圖6)。
- 安全防護能力進階
模型提出了五個防護能力進階的階段,分別為基礎保護、邊界防護、縱深防御、主動監測、運營管理。與其他成熟度模型和框架有所不同,工控安全成熟度模型側重于將工控安全項目建設的不同階段與企業面臨的安全風險類型和威脅程度進行對應,確定每一階段的工控安全建設應實現的安全目標、需要采取的安全策略,以及應考慮的解決方案類型。
1) 第一階段:基礎防護
基礎防護在成熟度模型是工控安全項目建設的初級階段。安全項目投入以采購單點防護設備為核心,以“信息物理安全、存儲介質安全管控與加固、病毒查殺、反惡意軟件與漏洞管理”等終端過濾技術手段為主要建設思路。若項目處于基礎防護階段,則表示用戶工控安全意識較為薄弱,實際的安全投入不足,安全防護整體水平處于低位。
2) 第二階段:邊界防護級
邊界防護是成熟度模型的第二階段,突出了工控系統和OT環境對于區域隔離和身份認證的需求,圍繞“邊界隔離與防火墻、審計、身份認證與權限管理”等技術和產品開展安全防護建設。若項目處于邊界防護級,表示工業企業用戶已經部署了一定的安全技術和防護產品,并投入了一定的人力資源和管理措施。
3) 第三階段:縱深防御
縱深防御是安全成熟度模型的第三個階段。與前兩個階段相比,這一階段的安全建設強調體系化防御能力,典型的技術解決方案包括“應用白名單、物理和邏輯隔離、邊緣計算網關”等。若項目處于縱深防御階段,則表示企業用戶已經建立了相對完善的安全體系,并在人員能力和組織建設、管理制度和流程措施、防護技術和產品應用層面均已進行了有效的布局,并基本可以滿足工控安全合規建設需求。
4) 第四階段:態勢監測
態勢監測是安全成熟度模型的第四個階段。態勢監測階段的安全建設已經不再以“合規需求”為導向,而從企業的內生需求出發,以“異常和入侵檢測、態勢感知、威脅監測”等主動安全防御技術作為抓手。若項目處于態勢監測階段,表示企業用戶能夠將技術與管理手段有效融合,并具備了與態勢監測技術相匹配的安全人才和一定的業務管控能力。
5) 第五階段:運營管理
運營管理是安全成熟度模型的最高階段。運營管理階段的安全建設以“集中化安全管理平臺”為核心,強調的是對安全威脅實現綜合分析,并對工業資產和安全防護設備實現集中化的綜合運營管控。
(三)合規性對標
另外,企業在構建工控安全技術防護方案時,要考慮以監管機構的相關技術與管理標準作為依據,從而實現安全建設的合規性對標。
? 《信息安全技術-網絡安全等級保護基本要求》(簡稱等保2.0)
等保2.0在安全通用要求的基礎上,針對工業控制系統場景專門提出了安全擴展要求內容,從安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全建設管理等方面對工業控制系統等級保護建設提出要求(圖7)。
? 工信部《工業控制系統信息安全防護指南》
《工業控制系統信息安全防護指南》(圖8)從管理和技術兩方面入手,涵蓋了從安全軟件選型、訪問控制策略構建、數據安全保護、資產配置管理等11個方面的安全防護要求,為企業工控安全建設提供了合規性參考。
三、成熟度模型的用途
工控安全成熟度模型是一套用于工控安全建設、管理和持續運營的工具和方法論,對于工業企業用戶、工控安全服務廠商和第三方機構,以及整個工控安全產業生態建設都具有重要作用。
對于工業企業用戶而言,工控安全成熟度模型為企業開展工控安全項目建設、管理、運營等活動提供了自評估工具。一方面,幫助企業確定了自身在安全技術、管理手段、業務流程和人員能力上的短板,明確安全投入的優先級別,更好地優化和量化工控安全投資的價值;另一方面,為工控安全建設的采購決策和落地實踐提供了明確的方向。工控安全成熟度模型(右側)分別指出了可以提供安全防護技術/產品、管理技術工具、幫助企業落地安全業務流程、提升安全人員專業能力的廠商類型和第三方機構。
對于工控安全服務廠商或第三方機構而言,工控安全成熟度模型可以用于獨立評估工控安全項目在技術、流程和人員方面的實際成熟度,解決工業企業用戶在采取了主動防御技術、但缺少配套能力建設之后產生的“虛假安全感”。同時,根據工控安全防護產品/解決方案在模型中覆蓋的成熟度階段,工控安全服務廠商或第三方機構還可以幫助企業有效定位和評估安全防護產品廠商的能力水平。
從產業生態的角度來看,工控安全建設是一項持續性、系統性工程,工業企業用戶不可能依靠單一類型的安全廠商解決全部問題。工控安全成熟度模型明確了防護產品廠商、服務廠商、具有安全運營能力的集成廠商和第三方檢測評估機構等工控安全產業鏈各主體在工控安全建設中的分工和作用。
因此,為增強工控安全項目效能,全面提升工業企業安全防護能力,產業鏈各方主體應充分發揮優勢、深化合作,共同參與到工控安全建設中,推動工控安全產業生態良性發展。
