隨著信息化和工業(yè)化的深度融合,傳統(tǒng)的工業(yè)生產(chǎn)系統(tǒng)逐步由單機走向互聯(lián),由封閉走向開放,極大促進了工業(yè)生產(chǎn)的網(wǎng)絡化、智能化、協(xié)同化。但同時也帶來了工業(yè)信息安全風險隱患,加強工業(yè)信息安全標準化工作、發(fā)揮標準在工業(yè)信息安全建設中的引導作用,已成為保障工業(yè)信息安全的一項重要工作。然而,當前我國工業(yè)信息安全相關概念頗多,工業(yè)互聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全、工業(yè)物聯(lián)網(wǎng)安全、工業(yè)云安全、工業(yè)互聯(lián)網(wǎng)平臺安全、工業(yè)數(shù)據(jù)安全等概念相互交叉重疊,甚至同一個名詞在不同的領域會有不同的含義,概念的模糊不清使得在標準研制、應用等過程中存在概念理解偏差、條款解讀不到位等問題。此外,我國工業(yè)信息安全標準重復和缺失現(xiàn)象并存,體系化建設不足,標準化工作相對滯后。因此,為體系化推進工業(yè)信息安全標準化建設,急需厘清工業(yè)信息安全相關概念,建立完善工業(yè)信息安全標準體系,更加科學地指導工業(yè)信息安全標準化工作。

一、工業(yè)信息安全概念與內(nèi)涵

工業(yè)信息安全是近年來新興的一個概念。國內(nèi)最早包含工業(yè)信息安全一詞的官方政府文件是《國務院關于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》(國發(fā)〔2016〕28號),該文件的7項重點任務之一就是“提高工業(yè)信息系統(tǒng)安全水平”,明確規(guī)定要“制定完善工業(yè)信息安全管理等政策法規(guī),健全工業(yè)信息安全標準體系……提升工業(yè)信息安全監(jiān)測、評估、驗證和應急處置等能力”。

直觀理解,一切涉及工業(yè)領域的信息安全都屬于工業(yè)信息安全范疇,其內(nèi)涵十分豐富。從重要性來看,工業(yè)信息安全是網(wǎng)絡安全的重要組成,是國家總體安全觀在工業(yè)領域的重點體現(xiàn),事關經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全,做好工業(yè)信息安全工作是關系國計民生和國家長治久安的大事;從保障內(nèi)容來看,工業(yè)信息安全泛指各工業(yè)相關領域的信息安全,包括工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)平臺安全、工業(yè)物聯(lián)網(wǎng)安全、工業(yè)數(shù)據(jù)安全、工業(yè)云安全等,相關概念之間的關系如圖1所示。

其中,工業(yè)互聯(lián)網(wǎng)安全屬于工業(yè)信息安全的子集,因為工業(yè)互聯(lián)網(wǎng)的兩大屬性是“工業(yè)”和“互聯(lián)”,而實際工業(yè)生產(chǎn)經(jīng)營過程中,還存在未連入工業(yè)互聯(lián)網(wǎng)的工業(yè)系統(tǒng)和設備,其信息安全也屬于工業(yè)信息安全范疇。工業(yè)互聯(lián)網(wǎng)包括工業(yè)云、工業(yè)數(shù)據(jù)、工業(yè)控制系統(tǒng)、工業(yè)物聯(lián)網(wǎng)及其他新興的工業(yè)互聯(lián)網(wǎng)形態(tài)。工業(yè)云是工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)物聯(lián)網(wǎng)的基礎技術。工業(yè)互聯(lián)網(wǎng)平臺除工業(yè)云外,還包括邊緣層、工業(yè)應用以及平臺上的工業(yè)數(shù)據(jù),并且與工業(yè)物聯(lián)網(wǎng)有交叉關系。工業(yè)控制系統(tǒng)的硬件構件與物聯(lián)網(wǎng)之間存在交叉關系。由此,各相關對象之間的安全關系也有了對應關系。

綜上,與傳統(tǒng)計算機網(wǎng)絡安全相比,工業(yè)信息安全在保障對象、安全需求等方面有其特殊性。例如,工業(yè)信息安全的主要目的是確保工業(yè)(產(chǎn)業(yè))發(fā)展的安全,其保護需求往往融合考慮了信息安全、功能安全和生產(chǎn)安全等多種安全需求,更側重于維護生產(chǎn)或運行過程的可靠穩(wěn)定。工業(yè)屬性帶來的保護場景多樣、安全措施通用性較差等給工業(yè)信息安全帶來了挑戰(zhàn),傳統(tǒng)的網(wǎng)絡安全保障體系已難以做到全面有效防護,亟待建立更專業(yè)的工業(yè)信息安全保障體系。

二、工業(yè)信息安全標準體系建設思路及框架

2019年3月8日,工業(yè)和信息化部與國家標準化管理委員會聯(lián)合發(fā)布《工業(yè)互聯(lián)網(wǎng)綜合標準化體系建設指南》,該指南第三章明確提出工業(yè)互聯(lián)網(wǎng)標準體系框架,框架對安全標準進行了系統(tǒng)的描述。2019年5月13日,《信息安全技術網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)、《信息安全技術網(wǎng)絡安全等級保護測評要求》(GB/T28448-2019)等標準正式發(fā)布,等保2.0時代正式來臨。相較于等保1.0標準,等保2.0標準擴展了云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制以及大數(shù)據(jù)安全等新技術新應用的安全保護要求,保護對象更加全面,內(nèi)涵更加豐富。其中,等保2.0標準安全框架明確提出了“應針對等級保護對象特點建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網(wǎng)絡安全綜合防御體系”。依據(jù)《工業(yè)互聯(lián)網(wǎng)綜合標準化體系建設指南》及等保2.0標準的安全框架的要求,本文按照多維考慮、橫向分類、縱向分層的總體思想,構建了如圖2所示的工業(yè)信息安全標準體系框架。其中基礎共性標準是指基礎性、綱領性、框架性等方面的標準。橫向分類是指從多個維度分類提出工業(yè)信息安全標準,包括但不限于以下4個維度。

(1)生命周期安全防護:從設計、制造、集成、運行維護等工業(yè)產(chǎn)品全生命周期的安全需求出發(fā),分別制定標準;

(2)基礎安全防護:包括設備和控制安全、平臺安全、虛擬化安全、數(shù)據(jù)安全、標識解析安全、網(wǎng)絡和應用安全等;

(3)產(chǎn)品和服務安全:包括人提供的服務、云、云服務、服務類產(chǎn)品等的相關安全標準;

(4)安全監(jiān)督管理:明確廠商、集成商、用戶、服務商、設計院等角色的安全主體責任,方便相關政府部門的安全監(jiān)督管理。

與等保2.0標準安全框架相比,本框架囊括了工業(yè)互聯(lián)網(wǎng)全生命周期安全技術和安全管理標準,這與等保2.0標準的要求相一致。同時,本框架還擴展了安全服務標準要求,將安全技術要求從全生命周期安全防護和基礎安全防護2個角度進行細化。這樣更符合工業(yè)領域“流程化” 生產(chǎn)和管理的情況,從而能夠更全面、清晰地為工業(yè)互聯(lián)網(wǎng)安全標準的制定提供參考。

三、工業(yè)信息安全標準體系完善及落地

為加快推進工業(yè)信息安全標準體系的建設,下一步應重點從體系完善和標準落地方面著手,讓工業(yè)信息安全標準體系真正發(fā)揮指導性作用。

一是加強科研機構、高校、企業(yè)等各相關主體的合作,聯(lián)合多方共同完善標準體系。組織工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、系統(tǒng)集成商、相關科研院所及研究機構等,共同編寫《工業(yè)信息安全標準化白皮書》等研究成果,建立完善科學、合理、可操作的工業(yè)信息安全標準體系。

二是按照標準體系開展標準研制,通過試點應用提高標準體系和相關標準的實用性。圍繞行業(yè)發(fā)展需求、企業(yè)需求等,切實發(fā)揮標準體系的指導作用,加快研制急需專用標準,并加強標準宣貫培訓和試點應用,解決行業(yè)、企業(yè)在工業(yè)信息安全管理和防護中的痛點、難點,及時根據(jù)技術的發(fā)展和企業(yè)的實際應用需求制定相關標準。

三是充分發(fā)揮各標準技術委員會的作用,加強各標準委員會的協(xié)調合作,指導相應的成員單位按照標準體系厘清標準定位、做好標準銜接。當前,國內(nèi)有TC260、TC573、TC124等多個標準技術委員會致力于信息安全標準化工作。其中,全國信息化和工業(yè)化融合管理標準化技術委員會(TC573)是在信息化和工業(yè)化融合(以下簡稱兩化融合)趨勢下成立的標準化工作組織,設有兩化融合管理體系(WG1)、工業(yè)互聯(lián)網(wǎng)管理(WG6)、工業(yè)信息安全(WG7)等標準工作組。WG7是國內(nèi)建立的首個工業(yè)信息安全標準工作組,致力于工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全等相關標準的研究、制修訂及宣貫培訓等工作。為進一步推進工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全等標準的制修訂和落地實施,WG7工作組應加強指導工作組各成員單位按照標準體系開展工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全等標準的研究及制修訂工作,并積極推動標準在相關行業(yè)企業(yè)的試點應用工作,確保工作組推行的標準在行業(yè)企業(yè)的適用性。同時,加強與其他標準技術委員會或工作組之間的交流合作,逐步形成分工明確、定位清晰、重點突出、相互補充的標準工作格局。

(原載于《保密科學技術》雜志2019年7月刊)