工业控制系统是工业生产运行的基础核心,为提升工业控制系统网络安全防护水平,2024年1月工业和信息化部发布《工业控制系统网络安全防护指南》(工信部网安〔2024〕14号,以下简称《指南》),指导提升新型工业化下工业控制系统(以下简称工控系统)网络安全防护能力。
一、工控系统网络安全为新型工业化保驾护航
(一)工控系统网络安全对工业稳定高效运行具有重要意义
工控系统负责对工业生产过程进行测量、控制等,通常由各类传感器、仪器仪表、控制器/系统、执行机构等组成。典型工控系统产品包括但不限于:PLC、DCS、SCADA、工业仪器仪表等。工控系统既可作为独立系统也可嵌入到各类装备,是工业生产过程的神经中枢,广泛应用于制造业及工业基础设施。工控系统一旦受到网络攻击,轻则导致数据破坏、生产紊乱、产品质量受损,重则导致核心技术泄密、装备损坏、火灾、爆炸、有毒有害物质泄漏等严重后果,可影响工业生产安全甚至产业链供应链稳定。
(二)工控系统网络安全是护航新型工业化的必要保障
深入推进智能制造发展、工业互联网融合应用、数字化转型是推动新型工业化高质量发展的重要手段,实现跨域信息流打通和业务互联互通是关键环节,这也使得工业生产边界被大幅扩大,传统相对封闭的工控系统面临的网络攻击威胁日益严峻。自“震网病毒”发生以来,工控系统网络攻击快速升级到APT2.0时代,表现出高隐蔽性、深潜伏性和长期纠缠性。工控系统在工业生产系统中处于中下层,向上连接工厂信息系统,向下直接控制各类工业装备。做好工控系统网络安全不仅能打造一个可抵御外部攻击的内生健壮工业生产系统,还能与外部IT信息安全形成合力,共同构筑面向工业生产的安全防护体系,加快推动工业转型升级。
二、工业视角下工控系统网络安全需求分析
(一)传统工业场景差异性需求
与信息系统相比,传统工业场景中工控系统首要任务是实现测量、控制、监控等工业过程,其设计之初通常较少考虑网络安全。工业控制系统量大面广,应用场景多样,不同行业不同场景对网络安全需求存在较大差异。对于存在远程操控的场景,如电力行业变电站、油气管网站场等,监控中心/调度中心通过通信网络下达操控指令,存在较高的网络安全风险,需构建适用行业的专用工控系统网络安全防护体系。对于信息化程度较低的工厂,工控系统通常是封闭的系统,更多面对的是管理风险,需构建严格安全管理制度。对于信息化程度较高的工厂,通常已实现了工控系统与MES等管控系统的互联互通,但多数场景仅实现简单数据交互且以上行数据为主,面临较高的信息安全风险,需构建以边界防护为主的工控系统网络安全解决方案。
(二)制造系统数字化网络化智能化发展需求
制造系统正向数字化、网络化、智能化方向快速发展,具体发展方向可概括为:泛在互联、虚实融合、智能管控等。泛在互联是指制造系统的所有环节、要素、终端之间实现互联互通与互操作;虚实融合是指制造系统的物理实体(设备、产线等)与以软件为载体的虚拟实体实现虚实双向映射与互动;智能管控是指在工业数据驱动下对人员、设备、物料、能源等制造资源进行管理和调控,实现优化配置。在新发展趋势下,工控系统作为制造系统的核心和基础,必然带来与外部更广泛、更密集的数据和信息交互,上层管控软件也更加深度介入对工控系统的操控,对工控系统网络安全带来了新挑战。
(三)新技术和新生产模式不断产生新需求
在新型工业化发展背景下,IT技术与OT技术加速融合,物联网、人工智能、大数据、云计算、边缘计算、5G等新技术加快在工业领域融合应用。对于工控系统本身,以TSN、APL等为代表的工业通信技术,正朝着分布式、虚拟化、智能化方向快速发展。智能制造的持续深入推进催生了主体协同研发、设计制造服务一体化、上下游深度协同的智慧供应链等新生产模式,体现了制造环节、工业企业等多维度的协同性。新技术和新生产模式使得制造系统的边界已经超越了传统上局限于企业内部和物理区域的范围,IT网和OT网更加紧密互联,网络空间和物理空间的耦合节点增多,生产安全管理与网络安全管理的界限模糊,从IT网渗透至OT网的网络攻击有了更多可行路径。因此,亟需提升工控系统网络安全防护水平,以需满足新形势下的发展需求。
三、《指南》为工控系统网络安全指明系统化实施路径
(一)统筹兼顾的顶层设计
新形势下全面提升工控系统网络安全防护水平是一项系统工程,需要综合考虑技术、管理、运营等方面,兼顾工业控制系统网络安全现状与未来发展趋势。《指南》突出了全面性、系统化和机制层面闭环,从安全管理、技术防护、安全运营、责任落实4个方面,提出33条切实可行的工业控制系统网络安全防护要求,从顶层设计视角制定工控系统网络安全防护的实施路径,在配置管理、供应链安全、上云安全、系统数据安全、监测预警、应急处置、评估评测、责任落实等方面给出了具体要求和引导,依据《指南》可综合构建企业工控网络安全防护体系。
(二)系统化技术防护
依据《指南》,工业企业可建设全面的、纵深的工控系统网络安全防护体系。《指南》防护内容覆盖了工控系统涉及到的所有对象,包括工程师站、操作员站、工业数据库服务器等工业主机,工业交换机、工业路由器等工业网络设备,控制器、工业仪器仪表等工业智能终端设备,还有工业控制网络、工控系统产生的工业数据等。《指南》兼顾了主动防护与被动防护,既采用恶意代码查杀、应用软件白名单、身份认证、横向隔离、访问控制、通信加密等被动防护技术手段,也采用蜜罐等威胁诱捕技术捕获网络攻击行为,提升主动防御能力。《指南》贯彻纵深防御理念,利用杀毒软件、防火墙、安全监测设备、安全审计平台等软件和设备,在前端对风险监测预警,在后端做应急处置,围绕工控系统分别在主机与终端、架构与边界、云端、应用部署安全防护措施,形成系统化安全技术防护能力。
(三)体系化管理和运营
《指南》围绕“资产管理、配置管理、供应链安全、宣传教育”明确了工控系统安全管理要求,要求企业建立工控系统资产清单并定期更新,建立配置清单并开展审计,对关键主机设备、网络设备、控制设备等实施冗余备份,要求供应链各方明确需履行的安全责任和义务,定期开展宣传教育,增强人员网络安全意识。《指南》围绕“监测预警、运营中心、应急处置、安全评估、漏洞管理”提出了体系化的安全运营要求,要求工业企业及时发现、预警安全风险,捕获网络攻击行为,实现安全设备的统一管理和策略配置,制定工控安全事件应急预案并定期开展演练,每年至少开展一次重要工业控制系统防护能力相关评估。
四、推进《指南》落地应用的几点思考和建议
(一)建立健全工控安全标准体系
推进工控安全标准体系研究,升级已有标准与立项新方向标准相结合,推动形成支撑《指南》落地应用的配套规范体系。加快重要工控系统识别规则等标准研制,强化重要工控系统安全管理;加快安全评价方法、评估工作要求等标准研制,规范测试过程与评价结果;加快重点行业防护指引等标准研制,指导企业开展安全防护能力建设。
(二)提升工控安全产业供给水平
鼓励工控产品厂商、工业企业与安全厂商、高校及科研院所等加强合作,加快工控安全防护技术创新,结合大数据、人工智能等技术,提升安全监测、威胁发现、应急处置、数据分析等方面的能力;加快工控安全防护产品研制,为不同行业、不同体量的工业企业提供适应其业务需求的安全解决方案。研究推进优秀解决方案评选与供应商服务评价等工作。
(三)深化工控系统安全管理与认证评估
通过会议、培训等多种形式开展政策解读与宣贯,引导企业积极落实《指南》及相关政策与标准要求,提升企业安全意识与管理水平。建立健全工业控制系统网络安全检测、认证、评估体系,推动将DCS等工控系统纳入《网络关键设备和网络安全专用产品目录》,探索建立工业控制产品认证、网络关键设备检测双模式。试点开展工业控制系统网络安全评估,逐步将评估机构纳入认证体系,以评促建、以评促改,助力企业提升工控安全防护能力。