基于建設工業控制系統內生安全能力的探討

◆張瀏驊 劉克松

(廣州賽寶認證中心服務有限公司 廣東 510610)

1 引言

隨著工業化和信息化的不斷深度融合，工業控制系統作為工業生產制造的中樞，沿著網絡化和智能化方向加速發展，為企業提高生產效率、優化復雜工藝、實現數字化轉型奠定了堅實的基礎。但是，新的技術也帶來了新的安全問題，數據資產的不斷增加，網絡邊界變得越來越模糊，從設備安全側的攻擊和威脅來看，單純依賴技術安全和管理安全等手段，無法做到對工業控制系統信息安全（簡稱“工控安全”）的真正保障。因此，需要面向工業控制系統構建具備“內生安全”功能的保障體系。

2 內生安全的重要性

在信息化向云化、數據化、智能化升級的過程中，業務、數據和應用都出現了變化，安全環境和安全需求隨之改變。傳統的網絡信息安全的內涵和外延也在發生變化，網絡攻擊的目標從單純的數據破壞升級到威脅社會穩定，僅依靠過去的邊界防護的思路已然無法真正解決內部的安全問題。

內生安全具有自適應、自主、自生長三個特點，如果可以從內生安全的角度提升設備本身的安全能力，就能使信息化系統從內生長出一種“免疫”能力。這種能力可以隨著業務的增長而持續提升，從而保證信息系統安全、社會經濟穩定。

3 建立具備內生安全的工業控制系統的必要性

傳統的工業控制系統是封閉網絡，其安全需求較少需要考慮來自外界網絡的威脅，其安全建設導向更多采用的是應對特定威脅或面向特定的合規政策的“創口貼”建設模式，如遇到一個病毒就采取一些措施防御這個病毒，一個新合規點出來就上一些設備，因此功能安全可有效地保障工業控制系統可靠運行。

但近年來，隨著工控網絡與互聯網的互聯互通，工業控制系統正面臨著攻擊來源更多樣、攻擊手段更復雜、攻擊對象更廣泛、攻擊后果更嚴重的態勢。面對頻發的工控安全事件，僅依靠傳統的“補丁”式修復或“圍堵”式被動防御體系已無法有效應對，過多的碎片化的安全產品堆砌，無法形成體系化的能力。因此，工業控制系統的安全穩固不僅要保證邊界和接口的安全，更加要把重心放到控制系統內部，需要面向“能力導向”，進行體系化的內生安全能力建設，實現功能安全與信息安全的深度融合，從而抵御和消除未知威脅。

4 如何建設具有內生安全能力的工業控制系統

工業控制系統內生安全建立分為三個步驟：一是“提前規劃”，從技術層面實現安全與信息化深度結合；二是“疊加演進”，既要積極建設安全基礎設施，又要建設工業控制系統安全機制；三是“統籌協調”，做到運行、技術、人和管理規范的完整輸出。

4.1 提前規劃，打下基礎

首先，能力導向的建設需要做到安全與信息化同步規劃、同步建設，實現安全與信息化的深度結合和全面覆蓋，從而實現工業控制系統的“內生安全”能力。

工業企業在開展工業控制系統內生安全建設的初級階段時，可以根據《工業控制系統信息安全防護建設實施規范》[1]（簡稱“實施規范”）同步開展工業控制系統的規劃、建設、運維三方面。《實施規范》是基于《工業控制系統信息安全防護指南》制定的，指導了工業企業在其規劃初期完成工業控制系統信息安全防護分析、設計工作，統籌考慮了工業控制系統及安全防護設備的選擇，設計形成內外融合的一體化安全防護方案，同時設計配套的安全管理組織機構及規章制度，形成完善的工業控制系統信息安全防護體系，為工業控制系統構建內生安全能力打下堅實的基礎。

4.2 疊加演進，層層遞進

其次，根據SANS的網絡信息安全滑動標尺基礎模型[2]（如圖 1所示），安全能力建設分為五個階段：第一個階段是基礎結構安全；第二個階段是縱深防御；第三個階段是積極防御；第四個階段是威脅情報，威脅情報包括了收集數據將數據利用轉化為信息，并將信息生產、加工為評估結果；第五階段是反制進攻。

圖1 SANS的網絡信息安全滑動標尺基礎模型

前兩個階段是偏靜態的綜合防御能力；第三、四階段是偏動態的綜合防御能力，前面階段是后面階段的基礎，后面階段是前面階段的疊加，不同階段相互依賴、相互促進、疊加演進。

比如偏靜態的綜合防御能力中的零信任[3]是一個新的訪問模型，它解決的是大量終端、應用和人群在訪問集中數據時能否動態、能否可信的授權，不僅防外部黑客攻擊，也能防御內部威脅。零信任的實現需要結合業務流程，結合業務數據，還要疊加威脅情報、大數據分析等能力。

偏動態的綜合防御能力中的態勢感知與安全運營平臺，更多的是把安全能力和信息化進行結合，基于來自前兩個階段的安全數據采集，并結合核心應用系統和業務系統的數據，進行綜合研判進行分析，從而掌握態勢、發現威脅，最終做出處置和響應。

在工業控制系統內生安全能力的建設過程中，可以參考這個“疊加演進”原則，協同云服務商、IT服務商、工控安全產品服務商和科研機構的團隊能力，把零信任訪問控制、態勢感知與安全運營、工業控制系統網絡的攻防演習等數據流程與安全與業務體系、安全與信息化體系的運營流程緊密結合起來，共同應對來自攻擊側的威脅。

4.3 統籌協調，完整輸出

最后，工業控制系統的信息安全是一個動態的變化過程，需要工業控制系統的運行跟隨信息化變化、產品變化、威脅變化、情報變化和監管變化等做出不同的動作和響應。而人則是工業控制系統安全運行的關鍵，只有通過完善安全運營人員、分析響應人員和攻防滲透人員等的培養體系，才能及時動態地解決漏洞與補丁、產品和策略部署調整、威脅的獵殺、事件的監測與響應、情報數據的收集分析與溯源研判、安全眾測與攻防演練等問題。

因此，工業控制系統的信息安全通過初期規劃、建設和疊加演進之后，其內生安全能力的形成的還需要有運行、技術、人和管理規范的統籌協調，才能形成一個完整的系統和體系，將能力有效輸出。

5 產生的效果

通過建設工業控制系統的內生安全能力，將安全體系、安全能力和安全措施內置進去，讓安全成為工業控制系統的“內生能力”，可以產生三種效果：

一是產生“免疫功能”的自適應能力，針對一般性工控網絡攻擊實現自我發現、自我修復、自我平衡，針對大型工控網絡攻擊實現提前預測、實時告警和應急響應；針對極端網絡災難時，防止關鍵業務中斷。

二是產生“內外兼修”的自主能力，工業控制系統清楚了解自身內部資產、業務特性和安全需求，便可將其工控安全系統與業務系統進行深度融合，以自主解決內部產生的安全問題。

三是產生“不斷進化”的自生長能力，通過不斷抵抗工控網絡攻擊動態提升工業控制系統的安全防護能力，實現發現問題、解決問題的良性循環。

最終，內生安全能力將滲透到工業控制系統的各個方面，形成工業控制系統強有力的免疫系統，實現企業安全生產、產業創新發展和社會和諧穩定的良好局面。

6 總結

內生安全是新一代信息化的基礎和保障，也是工業控制系統安全體系建設的目標和方向。在我國大力發展自主創新信息化技術的大背景下，功能安全與信息安全相結合是達到內生安全的有效途徑和必由之路。

在即將到來的“十四五”時期，工業控制系統信息安全相關行業應把握內生安全這一機遇，聚合所有細分領域安全企業的能力，共同構建信息化系統和安全系統聚合、業務數據和安全數據聚合、IT人才和安全人才聚合的安全生態，為建設具備內生安全能力的工業控制系統提供科學有效保障。