隨著信息化和工業(yè)化的深度融合,傳統(tǒng)的工業(yè)生產(chǎn)系統(tǒng)逐步由單機(jī)走向互聯(lián),由封閉走向開放,極大促進(jìn)了工業(yè)生產(chǎn)的網(wǎng)絡(luò)化、智能化、協(xié)同化。但同時(shí)也帶來(lái)了工業(yè)信息安全風(fēng)險(xiǎn)隱患,加強(qiáng)工業(yè)信息安全標(biāo)準(zhǔn)化工作、發(fā)揮標(biāo)準(zhǔn)在工業(yè)信息安全建設(shè)中的引導(dǎo)作用,已成為保障工業(yè)信息安全的一項(xiàng)重要工作。然而,當(dāng)前我國(guó)工業(yè)信息安全相關(guān)概念頗多,工業(yè)互聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全、工業(yè)物聯(lián)網(wǎng)安全、工業(yè)云安全、工業(yè)互聯(lián)網(wǎng)平臺(tái)安全、工業(yè)數(shù)據(jù)安全等概念相互交叉重疊,甚至同一個(gè)名詞在不同的領(lǐng)域會(huì)有不同的含義,概念的模糊不清使得在標(biāo)準(zhǔn)研制、應(yīng)用等過(guò)程中存在概念理解偏差、條款解讀不到位等問(wèn)題。此外,我國(guó)工業(yè)信息安全標(biāo)準(zhǔn)重復(fù)和缺失現(xiàn)象并存,體系化建設(shè)不足,標(biāo)準(zhǔn)化工作相對(duì)滯后。因此,為體系化推進(jìn)工業(yè)信息安全標(biāo)準(zhǔn)化建設(shè),急需厘清工業(yè)信息安全相關(guān)概念,建立完善工業(yè)信息安全標(biāo)準(zhǔn)體系,更加科學(xué)地指導(dǎo)工業(yè)信息安全標(biāo)準(zhǔn)化工作。
一、工業(yè)信息安全概念與內(nèi)涵
工業(yè)信息安全是近年來(lái)新興的一個(gè)概念。國(guó)內(nèi)最早包含工業(yè)信息安全一詞的官方政府文件是《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》(國(guó)發(fā)〔2016〕28號(hào)),該文件的7項(xiàng)重點(diǎn)任務(wù)之一就是“提高工業(yè)信息系統(tǒng)安全水平”,明確規(guī)定要“制定完善工業(yè)信息安全管理等政策法規(guī),健全工業(yè)信息安全標(biāo)準(zhǔn)體系……提升工業(yè)信息安全監(jiān)測(cè)、評(píng)估、驗(yàn)證和應(yīng)急處置等能力”。
直觀理解,一切涉及工業(yè)領(lǐng)域的信息安全都屬于工業(yè)信息安全范疇,其內(nèi)涵十分豐富。從重要性來(lái)看,工業(yè)信息安全是網(wǎng)絡(luò)安全的重要組成,是國(guó)家總體安全觀在工業(yè)領(lǐng)域的重點(diǎn)體現(xiàn),事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全,做好工業(yè)信息安全工作是關(guān)系國(guó)計(jì)民生和國(guó)家長(zhǎng)治久安的大事;從保障內(nèi)容來(lái)看,工業(yè)信息安全泛指各工業(yè)相關(guān)領(lǐng)域的信息安全,包括工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)平臺(tái)安全、工業(yè)物聯(lián)網(wǎng)安全、工業(yè)數(shù)據(jù)安全、工業(yè)云安全等,相關(guān)概念之間的關(guān)系如圖1所示。
其中,工業(yè)互聯(lián)網(wǎng)安全屬于工業(yè)信息安全的子集,因?yàn)楣I(yè)互聯(lián)網(wǎng)的兩大屬性是“工業(yè)”和“互聯(lián)”,而實(shí)際工業(yè)生產(chǎn)經(jīng)營(yíng)過(guò)程中,還存在未連入工業(yè)互聯(lián)網(wǎng)的工業(yè)系統(tǒng)和設(shè)備,其信息安全也屬于工業(yè)信息安全范疇。工業(yè)互聯(lián)網(wǎng)包括工業(yè)云、工業(yè)數(shù)據(jù)、工業(yè)控制系統(tǒng)、工業(yè)物聯(lián)網(wǎng)及其他新興的工業(yè)互聯(lián)網(wǎng)形態(tài)。工業(yè)云是工業(yè)互聯(lián)網(wǎng)平臺(tái)及工業(yè)物聯(lián)網(wǎng)的基礎(chǔ)技術(shù)。工業(yè)互聯(lián)網(wǎng)平臺(tái)除工業(yè)云外,還包括邊緣層、工業(yè)應(yīng)用以及平臺(tái)上的工業(yè)數(shù)據(jù),并且與工業(yè)物聯(lián)網(wǎng)有交叉關(guān)系。工業(yè)控制系統(tǒng)的硬件構(gòu)件與物聯(lián)網(wǎng)之間存在交叉關(guān)系。由此,各相關(guān)對(duì)象之間的安全關(guān)系也有了對(duì)應(yīng)關(guān)系。
圖1 工業(yè)信息安全概念圖
綜上,與傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全相比,工業(yè)信息安全在保障對(duì)象、安全需求等方面有其特殊性。例如,工業(yè)信息安全的主要目的是確保工業(yè)(產(chǎn)業(yè))發(fā)展的安全,其保護(hù)需求往往融合考慮了信息安全、功能安全和生產(chǎn)安全等多種安全需求,更側(cè)重于維護(hù)生產(chǎn)或運(yùn)行過(guò)程的可靠穩(wěn)定。工業(yè)屬性帶來(lái)的保護(hù)場(chǎng)景多樣、安全措施通用性較差等給工業(yè)信息安全帶來(lái)了挑戰(zhàn),傳統(tǒng)的網(wǎng)絡(luò)安全保障體系已難以做到全面有效防護(hù),亟待建立更專業(yè)的工業(yè)信息安全保障體系。
二、工業(yè)信息安全標(biāo)準(zhǔn)體系建設(shè)思路及框架
2019年3月8日,工業(yè)和信息化部與國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布《工業(yè)互聯(lián)網(wǎng)綜合標(biāo)準(zhǔn)化體系建設(shè)指南》,該指南第三章明確提出工業(yè)互聯(lián)網(wǎng)標(biāo)準(zhǔn)體系框架,框架對(duì)安全標(biāo)準(zhǔn)進(jìn)行了系統(tǒng)的描述。2019年5月13日,《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T28448-2019)等標(biāo)準(zhǔn)正式發(fā)布,等保2.0時(shí)代正式來(lái)臨。相較于等保1.0標(biāo)準(zhǔn),等保2.0標(biāo)準(zhǔn)擴(kuò)展了云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制以及大數(shù)據(jù)安全等新技術(shù)新應(yīng)用的安全保護(hù)要求,保護(hù)對(duì)象更加全面,內(nèi)涵更加豐富。其中,等保2.0標(biāo)準(zhǔn)安全框架明確提出了“應(yīng)針對(duì)等級(jí)保護(hù)對(duì)象特點(diǎn)建立安全技術(shù)體系和安全管理體系,構(gòu)建具備相應(yīng)等級(jí)安全保護(hù)能力的網(wǎng)絡(luò)安全綜合防御體系”。依據(jù)《工業(yè)互聯(lián)網(wǎng)綜合標(biāo)準(zhǔn)化體系建設(shè)指南》及等保2.0標(biāo)準(zhǔn)的安全框架的要求,本文按照多維考慮、橫向分類、縱向分層的總體思想,構(gòu)建了如圖2所示的工業(yè)信息安全標(biāo)準(zhǔn)體系框架。其中基礎(chǔ)共性標(biāo)準(zhǔn)是指基礎(chǔ)性、綱領(lǐng)性、框架性等方面的標(biāo)準(zhǔn)。橫向分類是指從多個(gè)維度分類提出工業(yè)信息安全標(biāo)準(zhǔn),包括但不限于以下4個(gè)維度。
(1)生命周期安全防護(hù):從設(shè)計(jì)、制造、集成、運(yùn)行維護(hù)等工業(yè)產(chǎn)品全生命周期的安全需求出發(fā),分別制定標(biāo)準(zhǔn);
(2)基礎(chǔ)安全防護(hù):包括設(shè)備和控制安全、平臺(tái)安全、虛擬化安全、數(shù)據(jù)安全、標(biāo)識(shí)解析安全、網(wǎng)絡(luò)和應(yīng)用安全等;
(3)產(chǎn)品和服務(wù)安全:包括人提供的服務(wù)、云、云服務(wù)、服務(wù)類產(chǎn)品等的相關(guān)安全標(biāo)準(zhǔn);
(4)安全監(jiān)督管理:明確廠商、集成商、用戶、服務(wù)商、設(shè)計(jì)院等角色的安全主體責(zé)任,方便相關(guān)政府部門的安全監(jiān)督管理。
分類、分層設(shè)計(jì)的目的是按照工業(yè)企業(yè)、邊緣接入、工業(yè)云、工業(yè)APP等豎向?qū)哟翁岢龉I(yè)領(lǐng)域的安全標(biāo)準(zhǔn)。
與等保2.0標(biāo)準(zhǔn)安全框架相比,本框架囊括了工業(yè)互聯(lián)網(wǎng)全生命周期安全技術(shù)和安全管理標(biāo)準(zhǔn),這與等保2.0標(biāo)準(zhǔn)的要求相一致。同時(shí),本框架還擴(kuò)展了安全服務(wù)標(biāo)準(zhǔn)要求,將安全技術(shù)要求從全生命周期安全防護(hù)和基礎(chǔ)安全防護(hù)2個(gè)角度進(jìn)行細(xì)化。這樣更符合工業(yè)領(lǐng)域“流程化” 生產(chǎn)和管理的情況,從而能夠更全面、清晰地為工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的制定提供參考。
圖2 工業(yè)信息安全標(biāo)準(zhǔn)體系框架
三、工業(yè)信息安全標(biāo)準(zhǔn)體系完善及落地
為加快推進(jìn)工業(yè)信息安全標(biāo)準(zhǔn)體系的建設(shè),下一步應(yīng)重點(diǎn)從體系完善和標(biāo)準(zhǔn)落地方面著手,讓工業(yè)信息安全標(biāo)準(zhǔn)體系真正發(fā)揮指導(dǎo)性作用。
一是加強(qiáng)科研機(jī)構(gòu)、高校、企業(yè)等各相關(guān)主體的合作,聯(lián)合多方共同完善標(biāo)準(zhǔn)體系。組織工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)、系統(tǒng)集成商、相關(guān)科研院所及研究機(jī)構(gòu)等,共同編寫《工業(yè)信息安全標(biāo)準(zhǔn)化白皮書》等研究成果,建立完善科學(xué)、合理、可操作的工業(yè)信息安全標(biāo)準(zhǔn)體系。
二是按照標(biāo)準(zhǔn)體系開展標(biāo)準(zhǔn)研制,通過(guò)試點(diǎn)應(yīng)用提高標(biāo)準(zhǔn)體系和相關(guān)標(biāo)準(zhǔn)的實(shí)用性。圍繞行業(yè)發(fā)展需求、企業(yè)需求等,切實(shí)發(fā)揮標(biāo)準(zhǔn)體系的指導(dǎo)作用,加快研制急需專用標(biāo)準(zhǔn),并加強(qiáng)標(biāo)準(zhǔn)宣貫培訓(xùn)和試點(diǎn)應(yīng)用,解決行業(yè)、企業(yè)在工業(yè)信息安全管理和防護(hù)中的痛點(diǎn)、難點(diǎn),及時(shí)根據(jù)技術(shù)的發(fā)展和企業(yè)的實(shí)際應(yīng)用需求制定相關(guān)標(biāo)準(zhǔn)。
三是充分發(fā)揮各標(biāo)準(zhǔn)技術(shù)委員會(huì)的作用,加強(qiáng)各標(biāo)準(zhǔn)委員會(huì)的協(xié)調(diào)合作,指導(dǎo)相應(yīng)的成員單位按照標(biāo)準(zhǔn)體系厘清標(biāo)準(zhǔn)定位、做好標(biāo)準(zhǔn)銜接。當(dāng)前,國(guó)內(nèi)有TC260、TC573、TC124等多個(gè)標(biāo)準(zhǔn)技術(shù)委員會(huì)致力于信息安全標(biāo)準(zhǔn)化工作。其中,全國(guó)信息化和工業(yè)化融合管理標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC573)是在信息化和工業(yè)化融合(以下簡(jiǎn)稱兩化融合)趨勢(shì)下成立的標(biāo)準(zhǔn)化工作組織,設(shè)有兩化融合管理體系(WG1)、工業(yè)互聯(lián)網(wǎng)管理(WG6)、工業(yè)信息安全(WG7)等標(biāo)準(zhǔn)工作組。WG7是國(guó)內(nèi)建立的首個(gè)工業(yè)信息安全標(biāo)準(zhǔn)工作組,致力于工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全等相關(guān)標(biāo)準(zhǔn)的研究、制修訂及宣貫培訓(xùn)等工作。為進(jìn)一步推進(jìn)工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全等標(biāo)準(zhǔn)的制修訂和落地實(shí)施,WG7工作組應(yīng)加強(qiáng)指導(dǎo)工作組各成員單位按照標(biāo)準(zhǔn)體系開展工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全等標(biāo)準(zhǔn)的研究及制修訂工作,并積極推動(dòng)標(biāo)準(zhǔn)在相關(guān)行業(yè)企業(yè)的試點(diǎn)應(yīng)用工作,確保工作組推行的標(biāo)準(zhǔn)在行業(yè)企業(yè)的適用性。同時(shí),加強(qiáng)與其他標(biāo)準(zhǔn)技術(shù)委員會(huì)或工作組之間的交流合作,逐步形成分工明確、定位清晰、重點(diǎn)突出、相互補(bǔ)充的標(biāo)準(zhǔn)工作格局。
(原載于《保密科學(xué)技術(shù)》雜志2019年7月刊)