我國工業企業信息安全現狀及下一步工作建議
為切實提升我國工業企業安全防護水平,工業和信息化部先后發布了《工業控制系統信息安全防護指南》(以下簡稱《防護指南》)和《工業控制系統信息安全防護能力評估方法》(以下簡稱《評估方法》)等指導性文件,并在全國范圍內主持開展工業控制系統年度企業自查、地區抽查、遴選評估等針對工業企業的多方位、多層次信息安全防護能力評估工作,對我國工業信息安全防護水平的提升起到了實質性推動作用。
參照《評估方法》的有關要求,在執行工業信息安全檢查評估工作中,相關工作組以量化評估的方式選取了國內 32 家具有代表性的工業企業開展了調研評估工作。評估內容針對工業企業工業控制系統的規劃、設計、建設、運行、維護等全生命周期安全防護能力等,并形成工業企業信息安全防護評估結果。評估結果表明,大多數工業企業信息安全防護水平已達到“基本合格”的狀態,但存在明顯短板,亟需進一步提升。
一、工業企業信息安全評估結果分析
通過分析 32 家重點行業工業企業信息安全評估數據,工業企業信息安全防護水平基本情況反映如下。
( 一 ) 近八成工業企業的信息安全防護水平已滿足基線要求,但整體防護水平仍有待提升
從整體數據(見圖 1)來看,21.87% 的(7 家)工業企業評估結果為“不合格”,46.87% 的(15 家)工業企業評估結果為“基本合格”,15.63% 的(5 家)工業企業評估結果為“一般”,15.63% 的(5 家)工業企業評估結果為“良好”,尚無企業被評估為“優秀”。《防護指南》作為工業企業信息安全評估的基線要求,被評估為“良好”及“優秀”水平的工業企業占比不足兩成,工業企業信息安全防護工作有待進一步強化。
圖 1 工業企業信息安全防護能力評估結果
( 二 ) 工控安全防護工作存在明顯短板
從各項得分情況來看(見圖 2),工業企業在“配置和補丁管理”和“安全軟件選擇與管理”兩方面得分率不足 60%,分別為 49.28% 和 58.70%。“安全監測和應急預案演練”“數據安全”和“供應鏈管理”得分率分別為 60.22%、61.66% 和 61.96%,均處于較低水平。工業企業在技術防護方面存在明顯短板,系統日常安全維護缺失,生產網絡安全狀態無法確定,終端安全防護不足,在安全策略配置和主機缺陷修復方面未采取有效措施,無法保證工控系統安全穩定運行。
圖 2 各指標項得分結果
( 三 ) 工業企業數據安全、供應鏈管理等管理體系不健全
工業企業在數據安全、供應鏈等方面管理不足,未對數據按照重要程度進行分級分類管理,無法形成以數據為核心的安全防護體系,在數據安全防護方面存在缺失;供應鏈管理方面僅在與供應商的合同中體現部分內容,如系統自身功能無法正常使用,企業對因系統、設備缺陷導致的信息安全事件責任劃分不明晰,工控系統后期安全維護方面關注較少。對于工控自研系統,安全防護能力更為薄弱。工業企業在數據安全、供應鏈管理方面管理制度明顯缺失,無法對工業數據、工控系統形成有效的安全保障。
二、我國工業企業信息安全防護短板原因分析
( 一 ) 連續型生產作業給工業企業配置和補丁管理工作帶來挑戰
工業企業鋼鐵、石油、化工等多個行業現場主機因業務連續性無法停止進行安全修復,導致工業控制系統“帶病”運行。以乙烯生產工藝為例,工業控制系統在設計階段未同步進行安全保障建設,系統天然缺少安全防護體系;在上線前未進行安全評估檢測,無法確定工業控制系統的安全防護狀態;上線后開車連續運行時間通常 3 至 4 年,任何非計劃內的停機或設備重啟都會對整個生產線造成經濟損失,企業無法接受設備頻繁更新升級操作。當工控設備出現新的安全漏洞時,缺少相適應的維護保障機制,較難通過更新升級等方式來消除設備自身的安全威脅。此外,工業企業的生產任務繁重,停車檢修一般分工段分期進行,較少出現全流程停車檢修。由于流程行業的工控系統一般涉及大量生產工藝設備,存在跨設備、跨系統、跨工段的現象,因此僅利用檢修窗口期完成對于工控系統的安全補丁測試、驗證和安裝工作較難完成。
( 二 ) 國產安全軟件兼容適配問題制約工業企業安全防護能力的提升
安全軟件通常部署在工業控制系統的工程師站、操作員站及數據庫服務器中。雖然部分企業已安裝傳統安全軟件,但傳統安全軟件只能針對常規的病毒進行防護,并不完全適用于工控環境。且部分傳統軟件由于兼容性測試工作不足,影響工業軟件相關配置文件、支持組件等正常運轉,影響工控系統的穩定運行。現場核查中發現,國外安全廠商與橫河電機、西門子等工控廠商的深度合作,使其安全軟件在合作的工業企業應用中效果良好。相比國外安全廠商的快速發展,國內安全廠商任重道遠。
( 三 ) 工控安全組織架構不明晰,管理體系不完善,安全管理難以落地
工業企業未設置專職工控安全管理部門,工控安全管理職責由信息化或設備生產等部門代管,將信息化管理制度落實在工業控制系統層面,導致制度與管理對象不匹配,無法有效落實管理,使得工業控制系統數據安全、供應鏈安全無法得到安全保障。企業生產現場按照信息化標準管理或僅對業務生產進行管理,對數據安全和供應鏈環節未進行規范化要求,導致出現管理短板,無法形成對工業控制系統數據、供應鏈等安全保障體系,不利于工業控制系統信息安全防護。
三、下一步工作建議
( 一 ) 扎實推進工控安全防護貫標工作,量化工控安全防護現狀
定期開展多層次的工控安全防護能力評估貫標工作,聯合地方主管部門組織開展各省市工業企業的工控安全防護培訓工作,充分調動地方工業信息安全資源,形成多級聯動的技術支撐體系,增強企業安全責任意識,針對企業安全短板整理歸納安全解決方案,全面提升企業安全防護能力,依靠貫標真正解決企業工控安全防護難題;依托《網絡安全法》《評估方法》《工業數據分類分級指南(試行)》,指導企業完善工控企業數據安全、供應鏈管理方面的管理體系,并對各行業工業企業信息安全保障能力進行量化,依托大數據分析方法分析我國工業企業工控安全現狀,進一步細化各行業工業信息安全平均線,有針對性地解決工業企業面臨的共性問題,為工業信息安全行業監管提供科學指導。
( 二 ) 推動工業控制系統全生命周期安全檢測及評估
按照信息系統安全“三同步”原則,推動工業控制系統與安全保障措施同步設計、 同步建設、同步運行,完善工業控制系統安全防護體系;在工業控制系統上線前進行安全評估,檢驗系統上線前的安全狀態,健全系統因無法維護或漏洞修復引起的安全隱患;根據工業控制系統業務持續情況,合理安排維護管理策略,針對系統運行特點,在停車檢修期間修復系統內存在的安全缺陷,完善系統內設備、終端等安全策略,健全系統的安全防護體系。
( 三 ) 推動國產安全軟件的適配工作,提升工控企業終端防護能力
推動國內安全廠商與工控企業的深度合作,在鋼鐵、石油、化工等多個行業進行試點,集中力量加強安全軟件的研發及測試,完善工控控制系統安全軟件的兼容性,提升安全軟件在不同工控環境下的可靠性和可用性,切實解決工業企業安全軟件供給不足的問題。同時,建立國產安全軟件的供應鏈管理體系,在安全軟件投入使用前需經過第三方權威機構的安全測試,從供應鏈源頭保障工業控制系統的安全。
