隨著信息化和工業(yè)化的深度融合,傳統(tǒng)的工業(yè)生產(chǎn)系統(tǒng)逐步由單機走向互聯(lián),由封閉走向開放,極大促進了工業(yè)生產(chǎn)的網(wǎng)絡(luò)化、智能化、協(xié)同化。但同時也帶來了工業(yè)信息安全風(fēng)險隱患,加強工業(yè)信息安全標準化工作、發(fā)揮標準在工業(yè)信息安全建設(shè)中的引導(dǎo)作用,已成為保障工業(yè)信息安全的一項重要工作。然而,當前我國工業(yè)信息安全相關(guān)概念頗多,工業(yè)互聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全、工業(yè)物聯(lián)網(wǎng)安全、工業(yè)云安全、工業(yè)互聯(lián)網(wǎng)平臺安全、工業(yè)數(shù)據(jù)安全等概念相互交叉重疊,甚至同一個名詞在不同的領(lǐng)域會有不同的含義,概念的模糊不清使得在標準研制、應(yīng)用等過程中存在概念理解偏差、條款解讀不到位等問題。此外,我國工業(yè)信息安全標準重復(fù)和缺失現(xiàn)象并存,體系化建設(shè)不足,標準化工作相對滯后。因此,為體系化推進工業(yè)信息安全標準化建設(shè),急需厘清工業(yè)信息安全相關(guān)概念,建立完善工業(yè)信息安全標準體系,更加科學(xué)地指導(dǎo)工業(yè)信息安全標準化工作。
一、工業(yè)信息安全概念與內(nèi)涵
工業(yè)信息安全是近年來新興的一個概念。國內(nèi)最早包含工業(yè)信息安全一詞的官方政府文件是《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》(國發(fā)〔2016〕28號),該文件的7項重點任務(wù)之一就是“提高工業(yè)信息系統(tǒng)安全水平”,明確規(guī)定要“制定完善工業(yè)信息安全管理等政策法規(guī),健全工業(yè)信息安全標準體系……提升工業(yè)信息安全監(jiān)測、評估、驗證和應(yīng)急處置等能力”。
直觀理解,一切涉及工業(yè)領(lǐng)域的信息安全都屬于工業(yè)信息安全范疇,其內(nèi)涵十分豐富。從重要性來看,工業(yè)信息安全是網(wǎng)絡(luò)安全的重要組成,是國家總體安全觀在工業(yè)領(lǐng)域的重點體現(xiàn),事關(guān)經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全,做好工業(yè)信息安全工作是關(guān)系國計民生和國家長治久安的大事;從保障內(nèi)容來看,工業(yè)信息安全泛指各工業(yè)相關(guān)領(lǐng)域的信息安全,包括工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)平臺安全、工業(yè)物聯(lián)網(wǎng)安全、工業(yè)數(shù)據(jù)安全、工業(yè)云安全等,相關(guān)概念之間的關(guān)系如圖1所示。
其中,工業(yè)互聯(lián)網(wǎng)安全屬于工業(yè)信息安全的子集,因為工業(yè)互聯(lián)網(wǎng)的兩大屬性是“工業(yè)”和“互聯(lián)”,而實際工業(yè)生產(chǎn)經(jīng)營過程中,還存在未連入工業(yè)互聯(lián)網(wǎng)的工業(yè)系統(tǒng)和設(shè)備,其信息安全也屬于工業(yè)信息安全范疇。工業(yè)互聯(lián)網(wǎng)包括工業(yè)云、工業(yè)數(shù)據(jù)、工業(yè)控制系統(tǒng)、工業(yè)物聯(lián)網(wǎng)及其他新興的工業(yè)互聯(lián)網(wǎng)形態(tài)。工業(yè)云是工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)物聯(lián)網(wǎng)的基礎(chǔ)技術(shù)。工業(yè)互聯(lián)網(wǎng)平臺除工業(yè)云外,還包括邊緣層、工業(yè)應(yīng)用以及平臺上的工業(yè)數(shù)據(jù),并且與工業(yè)物聯(lián)網(wǎng)有交叉關(guān)系。工業(yè)控制系統(tǒng)的硬件構(gòu)件與物聯(lián)網(wǎng)之間存在交叉關(guān)系。由此,各相關(guān)對象之間的安全關(guān)系也有了對應(yīng)關(guān)系。
圖1 工業(yè)信息安全概念圖
綜上,與傳統(tǒng)計算機網(wǎng)絡(luò)安全相比,工業(yè)信息安全在保障對象、安全需求等方面有其特殊性。例如,工業(yè)信息安全的主要目的是確保工業(yè)(產(chǎn)業(yè))發(fā)展的安全,其保護需求往往融合考慮了信息安全、功能安全和生產(chǎn)安全等多種安全需求,更側(cè)重于維護生產(chǎn)或運行過程的可靠穩(wěn)定。工業(yè)屬性帶來的保護場景多樣、安全措施通用性較差等給工業(yè)信息安全帶來了挑戰(zhàn),傳統(tǒng)的網(wǎng)絡(luò)安全保障體系已難以做到全面有效防護,亟待建立更專業(yè)的工業(yè)信息安全保障體系。
二、工業(yè)信息安全標準體系建設(shè)思路及框架
2019年3月8日,工業(yè)和信息化部與國家標準化管理委員會聯(lián)合發(fā)布《工業(yè)互聯(lián)網(wǎng)綜合標準化體系建設(shè)指南》,該指南第三章明確提出工業(yè)互聯(lián)網(wǎng)標準體系框架,框架對安全標準進行了系統(tǒng)的描述。2019年5月13日,《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》(GB/T 22239-2019)、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》(GB/T28448-2019)等標準正式發(fā)布,等保2.0時代正式來臨。相較于等保1.0標準,等保2.0標準擴展了云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制以及大數(shù)據(jù)安全等新技術(shù)新應(yīng)用的安全保護要求,保護對象更加全面,內(nèi)涵更加豐富。其中,等保2.0標準安全框架明確提出了“應(yīng)針對等級保護對象特點建立安全技術(shù)體系和安全管理體系,構(gòu)建具備相應(yīng)等級安全保護能力的網(wǎng)絡(luò)安全綜合防御體系”。依據(jù)《工業(yè)互聯(lián)網(wǎng)綜合標準化體系建設(shè)指南》及等保2.0標準的安全框架的要求,本文按照多維考慮、橫向分類、縱向分層的總體思想,構(gòu)建了如圖2所示的工業(yè)信息安全標準體系框架。其中基礎(chǔ)共性標準是指基礎(chǔ)性、綱領(lǐng)性、框架性等方面的標準。橫向分類是指從多個維度分類提出工業(yè)信息安全標準,包括但不限于以下4個維度。
(1)生命周期安全防護:從設(shè)計、制造、集成、運行維護等工業(yè)產(chǎn)品全生命周期的安全需求出發(fā),分別制定標準;
(2)基礎(chǔ)安全防護:包括設(shè)備和控制安全、平臺安全、虛擬化安全、數(shù)據(jù)安全、標識解析安全、網(wǎng)絡(luò)和應(yīng)用安全等;
(3)產(chǎn)品和服務(wù)安全:包括人提供的服務(wù)、云、云服務(wù)、服務(wù)類產(chǎn)品等的相關(guān)安全標準;
(4)安全監(jiān)督管理:明確廠商、集成商、用戶、服務(wù)商、設(shè)計院等角色的安全主體責(zé)任,方便相關(guān)政府部門的安全監(jiān)督管理。
分類、分層設(shè)計的目的是按照工業(yè)企業(yè)、邊緣接入、工業(yè)云、工業(yè)APP等豎向?qū)哟翁岢龉I(yè)領(lǐng)域的安全標準。
與等保2.0標準安全框架相比,本框架囊括了工業(yè)互聯(lián)網(wǎng)全生命周期安全技術(shù)和安全管理標準,這與等保2.0標準的要求相一致。同時,本框架還擴展了安全服務(wù)標準要求,將安全技術(shù)要求從全生命周期安全防護和基礎(chǔ)安全防護2個角度進行細化。這樣更符合工業(yè)領(lǐng)域“流程化” 生產(chǎn)和管理的情況,從而能夠更全面、清晰地為工業(yè)互聯(lián)網(wǎng)安全標準的制定提供參考。
圖2 工業(yè)信息安全標準體系框架
三、工業(yè)信息安全標準體系完善及落地
為加快推進工業(yè)信息安全標準體系的建設(shè),下一步應(yīng)重點從體系完善和標準落地方面著手,讓工業(yè)信息安全標準體系真正發(fā)揮指導(dǎo)性作用。
一是加強科研機構(gòu)、高校、企業(yè)等各相關(guān)主體的合作,聯(lián)合多方共同完善標準體系。組織工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、系統(tǒng)集成商、相關(guān)科研院所及研究機構(gòu)等,共同編寫《工業(yè)信息安全標準化白皮書》等研究成果,建立完善科學(xué)、合理、可操作的工業(yè)信息安全標準體系。
二是按照標準體系開展標準研制,通過試點應(yīng)用提高標準體系和相關(guān)標準的實用性。圍繞行業(yè)發(fā)展需求、企業(yè)需求等,切實發(fā)揮標準體系的指導(dǎo)作用,加快研制急需專用標準,并加強標準宣貫培訓(xùn)和試點應(yīng)用,解決行業(yè)、企業(yè)在工業(yè)信息安全管理和防護中的痛點、難點,及時根據(jù)技術(shù)的發(fā)展和企業(yè)的實際應(yīng)用需求制定相關(guān)標準。
三是充分發(fā)揮各標準技術(shù)委員會的作用,加強各標準委員會的協(xié)調(diào)合作,指導(dǎo)相應(yīng)的成員單位按照標準體系厘清標準定位、做好標準銜接。當前,國內(nèi)有TC260、TC573、TC124等多個標準技術(shù)委員會致力于信息安全標準化工作。其中,全國信息化和工業(yè)化融合管理標準化技術(shù)委員會(TC573)是在信息化和工業(yè)化融合(以下簡稱兩化融合)趨勢下成立的標準化工作組織,設(shè)有兩化融合管理體系(WG1)、工業(yè)互聯(lián)網(wǎng)管理(WG6)、工業(yè)信息安全(WG7)等標準工作組。WG7是國內(nèi)建立的首個工業(yè)信息安全標準工作組,致力于工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全等相關(guān)標準的研究、制修訂及宣貫培訓(xùn)等工作。為進一步推進工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全等標準的制修訂和落地實施,WG7工作組應(yīng)加強指導(dǎo)工作組各成員單位按照標準體系開展工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全等標準的研究及制修訂工作,并積極推動標準在相關(guān)行業(yè)企業(yè)的試點應(yīng)用工作,確保工作組推行的標準在行業(yè)企業(yè)的適用性。同時,加強與其他標準技術(shù)委員會或工作組之間的交流合作,逐步形成分工明確、定位清晰、重點突出、相互補充的標準工作格局。
(原載于《保密科學(xué)技術(shù)》雜志2019年7月刊)