基于PDCA循環(huán)的工業(yè)控制系統(tǒng)網(wǎng)絡安全管理研究與實踐

賴金志

（廣東輕工職業(yè)技術學院，廣東 廣州 510300）

1 引言

工業(yè)控制系統(tǒng)是實現(xiàn)工業(yè)生產(chǎn)自動化的系統(tǒng)總稱，廣泛應用于能源、電力、石油、石化、交通和航空等關鍵基礎設施領域，是工業(yè)生產(chǎn)運行的核心大腦，也是智能制造的基石與生命線。據(jù)統(tǒng)計，80%以上的國家關鍵信息基礎設施及智慧城市業(yè)務系統(tǒng)依賴工業(yè)控制系統(tǒng)進行控制[1]。隨著工業(yè)控制系統(tǒng)與物聯(lián)網(wǎng)、互聯(lián)網(wǎng)日益深度融合，在大幅提升智能化、信息化程度的同時，也帶來了層出不窮的各類新型攻擊技術和手段。工業(yè)控制系統(tǒng)一旦被成功攻擊，輕則造成停工停產(chǎn)、業(yè)務中斷，重則將危害人員生命健康，不僅直接帶來巨大的經(jīng)濟損失，還將威脅產(chǎn)業(yè)發(fā)展的安全基礎，對國家安全、經(jīng)濟發(fā)展和社會穩(wěn)定等產(chǎn)生嚴重影響。因此工業(yè)控制系統(tǒng)網(wǎng)絡安全是實施制造強國和網(wǎng)絡強國戰(zhàn)略的重要保障[2]。

2 工業(yè)控制系統(tǒng)網(wǎng)絡安全風險分析

2.1 安全漏洞風險

安全漏洞是工業(yè)控制系統(tǒng)面臨的首要安全問題。工業(yè)控制系統(tǒng)一般基于計算機操作系統(tǒng)開發(fā)，因此與傳統(tǒng)信息系統(tǒng)一樣，也存在各種安全漏洞，且漏洞數(shù)量連年成高發(fā)態(tài)勢，其中半數(shù)以上為高危漏洞，涉及能源、制造、商業(yè)設施、水務、市政等重點領域。根據(jù)我國國家信息安全漏洞共享平臺（CNVD）統(tǒng)計數(shù)據(jù)，如圖1所示，2020年共收錄工業(yè)控制系統(tǒng)行業(yè)漏洞706個，較上一年增長159%，和2016年相比更是增長了4倍有余[3]。然而與傳統(tǒng)信息系統(tǒng)不同，工業(yè)控制系統(tǒng)追求的是高可靠性、可用性和實時性，由于升級維護成本高、周期長，可能影響企業(yè)生產(chǎn)安全和生產(chǎn)穩(wěn)定性，部分系統(tǒng)設備自投入運行后直至下線都沒有進行一次更新升級，導致很多工業(yè)控制系統(tǒng)都是帶著安全漏洞運行，存在巨大的安全風險。

圖1 2016-2020年CNVD工業(yè)控制系統(tǒng)行業(yè)漏洞收錄情況

2.2 安全防護能力不足

傳統(tǒng)的工業(yè)控制系統(tǒng)基于IT（Information Technology信息技術）和OT（Operation Technology操作技術）技術相對隔離的基礎上進行設計，更側重于功能安全，對網(wǎng)絡安全考慮不足，普遍缺乏有效的網(wǎng)絡安全防護和數(shù)據(jù)通信保密措施，存在身份鑒別和訪問控制不嚴格、配置維護不足、病毒庫防御功能滯后、加密算法過時等諸多安全隱患；并且由于工業(yè)控制系統(tǒng)一般處于相對孤立工作的模式下，在設計之初并未考慮在復雜網(wǎng)絡環(huán)境中的安全性，在基于工業(yè)互聯(lián)網(wǎng)的工業(yè)控制系統(tǒng)開始朝向更深層次網(wǎng)絡化、集成化方向發(fā)展的今天，設備聯(lián)網(wǎng)機制缺乏安全保障。

2.3 安全管理風險

工業(yè)控制系統(tǒng)網(wǎng)絡安全管理普遍存在以下問題：對于網(wǎng)絡安全的重視程度有待加強，工控企業(yè)沒有建立合理有效的網(wǎng)絡安全組織體系和制度保障，缺乏完整有效的安全策略與管理流程，在研發(fā)、設計、施工和運維中，缺少對安全的控制和執(zhí)行基本的安全管理規(guī)定，例如在缺少運維審計機制的情況下，運維人員在調試過程中可能出現(xiàn)設備隨意接入、人員誤操作、非法外聯(lián)、病毒傳播等情況，帶來較大安全風險，2010年震網(wǎng)病毒入侵伊朗納坦茲核工廠就是通過U盤傳播進去的；網(wǎng)絡安全教育培訓不足，導致人員網(wǎng)絡安全意識和技術水平較為薄弱，如社會工程學相關的定向釣魚攻擊可能使重要崗位人員淪為外部威脅入侵的跳板。

3 工業(yè)控制系統(tǒng)網(wǎng)絡安全管理研究

長期以來，業(yè)內對保障網(wǎng)絡安全的手段更偏重于依靠技術。廠商在安全技術和產(chǎn)品的研發(fā)上不遺余力，新技術和新產(chǎn)品不斷涌現(xiàn)；消費者也更加相信安全產(chǎn)品，把主要的預算也都投入到安全產(chǎn)品的采購上。然而，僅僅依靠技術和產(chǎn)品保障網(wǎng)絡安全的愿望卻往往難盡人意，許多復雜、多變的安全威脅和隱患靠安全產(chǎn)品是無法消除的。調查顯示，在所有的網(wǎng)絡安全事件中，有70%以上是由于管理方面的原因造成的，其中人是最重要的因素[4]，而這些安全問題中的絕大部分是可以通過完善的網(wǎng)絡安全管理來避免。在做好技術防護的基礎上，工業(yè)控制系統(tǒng)網(wǎng)絡安全保障歸根到底還是要依托管理的完善，并最終落實到人員的執(zhí)行效果上。

3.1 基于PDCA模型的網(wǎng)絡安全管理

網(wǎng)絡安全管理總體而言包含建章立制、規(guī)范操作、落實責任、強化培訓、整改隱患等主要環(huán)節(jié)，長效化、常態(tài)化開展日常工作，使各個環(huán)節(jié)、時時處處的網(wǎng)絡安全工作安排專人負責執(zhí)行，按照管理辦法落實并符合要求，從而實現(xiàn)網(wǎng)絡安全。網(wǎng)絡安全管理不是一次性的靜態(tài)過程，而是人員、制度、執(zhí)行三者緊密結合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程，遵循管理的一般模式——PDCA模型，如圖1所示，即計劃（Plan）、實施（Do）、檢查（Check）和措施（Act），是一種持續(xù)改進的管理模式[5]。

圖2 PDCA循環(huán)圖

計劃（Plan）——根據(jù)等級保護要求、風險評估結果、自身業(yè)務需求來制定安全目標和管理措施；

實施（Do）——實施所規(guī)劃的安全管理措施；

檢查（Check）——根據(jù)策略、制度和標準，對安全管理措施的實施情況進行符合性檢查；

措施（Action）——根據(jù)檢查結果采取應對措施，改進安全管理現(xiàn)狀。

以上四個過程不是運行一次就結束，而是周而復始地進行，一個循環(huán)執(zhí)行結束解決一些問題，而未解決的問題進入下一個循環(huán)，不斷循環(huán)，持續(xù)改進。

3.2 制度的落實執(zhí)行是網(wǎng)絡安全管理的關鍵

在網(wǎng)絡安全管理工作中，健全的管理制度體系以及良好的執(zhí)行效果是一個組織網(wǎng)絡安全得以保障及維系的關鍵因素。《網(wǎng)絡安全法》規(guī)定，網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，制定內部安全管理制度和操作規(guī)程。工業(yè)控制系統(tǒng)的運營者基本建立了較為完備的管理制度體系以滿足等級保護的要求，但在具體落實執(zhí)行上則普遍存在以下問題：部分制度的條款是為了滿足等級保護要求而制定，空喊口號提要求，實際可操作性不強；部分條款由于人力和管理成本等客觀原因所限，在當前情況下無法按照要求來執(zhí)行，無法完全落地；由于對管理制度的落實執(zhí)行情況沒有周期性的考核，存在部分運維人員存在對制度不學習、不知道、不執(zhí)行、不遵守的現(xiàn)象。

因此筆者在開展A公司工業(yè)控制系統(tǒng)網(wǎng)絡安全管理實踐項目中，以管理制度為抓手，以落實執(zhí)行為核心，基于上述PDCA模型覆蓋網(wǎng)絡安全管理周期。

4 A公司工業(yè)控制系統(tǒng)網(wǎng)絡安全管理實踐

4.1 工作總體思路

首先對A公司發(fā)布的網(wǎng)絡安全相關管理制度進行全面梳理，構建管理制度體系框架，對應PDCA模型中的計劃階段（Plan）。建立完整的管理制度庫，對制度進行統(tǒng)一管理；對現(xiàn)有制度條款進行修訂和完善；分析制度條款的可操作性，對于重要環(huán)節(jié)制定標準化的表格、文檔等執(zhí)行記錄，作為制度執(zhí)行情況審查的依據(jù)；對應實施階段（Do）。定期開展網(wǎng)絡安全管理自查，根據(jù)對管理制度的執(zhí)行情況進行檢查的結果，對管理制度體系的合理性和適用性進行審定，再進行相應的修訂和完善，對應檢查（Check）和措施（Action）階段。如此完成一次PDCA循環(huán)過程。通過不斷循環(huán)，不斷改進，最終實現(xiàn)持續(xù)的網(wǎng)絡安全。

圖3 基于PDCA模型的網(wǎng)絡安全管理工作思路

4.2 構建管理制度體系框架

參考等級保護安全管理方面的要求，結合A公司日常工作實際情況，形成一個相對完整的管理制度體系框架，覆蓋物理、網(wǎng)絡、主機系統(tǒng)、數(shù)據(jù)、應用、人員、應急、建設和運維等方面應建設的管理制度。全面梳理A公司歷年來發(fā)布的與網(wǎng)絡安全相關的管理制度，完成分析歸類，將現(xiàn)有制度全部納入到制度體系框架中，建立完整的管理制度庫。

長期以來A公司管理制度的發(fā)布、修訂和廢止主要通過內部辦公系統(tǒng)發(fā)文，形式較為分散，網(wǎng)絡安全相關的制度沒有匯總，查詢和管理較為不便，有時需要查詢某一事項相關的制度，要在辦公系統(tǒng)通過關鍵詞進行搜索，不但很容易遺漏，也不利于對制度的學習和落實。此外，存在有些制度發(fā)布之后，除了參與制定的人員之外沒有人知道它的內容，更不用說按照條款規(guī)定來執(zhí)行。為此在構建管理制度體系框架的基礎上，在A公司辦公系統(tǒng)建立網(wǎng)絡安全管理制度庫，將網(wǎng)絡安全所有相關管理制度進行匯總展示，按照體系框架的各個方面進行分類，建立包含制度名稱、內容、發(fā)布時間、文號、發(fā)布范圍、責任部門、關鍵詞等內容的索引，便于查詢和管理，作為今后對制度進行新增、評審和修訂的支撐。同時設立專職網(wǎng)絡安全管理員對制度庫進行管理，規(guī)范流程，嚴格版本管理，涉及制度的發(fā)布、修訂和廢止必須同步在管理制度庫進行更新。

4.3 對現(xiàn)有制度進行評審和修訂

在對A公司現(xiàn)有制度的梳理過程中發(fā)現(xiàn)，網(wǎng)絡安全相關制度數(shù)量多、時間跨度長。由于之前沒有進行統(tǒng)一的版本管理，部分年代久遠的制度已不適應當前的工作現(xiàn)狀，部分制度有新版本發(fā)布卻又沒有明確被廢止，部分制度可以進行整合，部分制度中所述部門名稱因為公司機構調整的原因已發(fā)生變化，部分制度與等級保護要求對照存在內容遺漏、不規(guī)范和可操作性不強的問題。因此通過組織相關部門人員開展制度的評審和修訂工作，對已不適用和已有新版本發(fā)布的制度發(fā)文明確進行廢止，對同類型同事項的制度進行整合，對制度條款中與當前實際情況不符合的內容進行修訂，對與等級保護要求存在差距的內容進行制度的補充和完善。通過完成上述工作，使得各項制度更貼近實際，更具可操作性。

4.4 抓好制度的落實執(zhí)行

管理制度的關鍵在于執(zhí)行。再完善的制度條款，如果沒有可操作性，不能得到良好的執(zhí)行和落實，則只會是停留在一紙空文，達不到預期管理規(guī)范的目的。在A公司的實踐過程中引入PPT分析法（圖4）來對制度條款的可操作性進行分析和評估。當制度條款內容能確認由誰來執(zhí)行、執(zhí)行的流程和需要什么技術手段這三個要素的，則為“實”，具備可操作性，否則為“虛”，需要進行修訂。有了完善的制度，更要有良好的執(zhí)行。除了通過教育培訓等方式增強業(yè)務人員執(zhí)行制度要求的自覺性，更需要通過管理手段來進行監(jiān)督和審查。對于網(wǎng)絡安全工作中數(shù)據(jù)備份和恢復、場地環(huán)境監(jiān)測等關鍵環(huán)節(jié)，根據(jù)制度條款規(guī)定內容制定標準化的表格、文檔等執(zhí)行記錄，由相關人員按照要求填寫，作為制度落實情況的審查依據(jù)。

圖4 PPT分析法

4.5 定期開展網(wǎng)絡安全管理自查

在A公司建立網(wǎng)絡安全管理定期自查機制，重點以上文中所述關鍵環(huán)節(jié)的執(zhí)行記錄作為主要依據(jù)，對管理制度的執(zhí)行情況進行檢查，對執(zhí)行不到位的地方進行整改，對因實際條件所限確系不能執(zhí)行的制度要求，對相應內容進行刪減，杜絕有制度無落實的情況。通過對管理制度的執(zhí)行情況進行檢查，從而對管理制度體系的合理性和適用性進行評審，建立行之有效的良性循環(huán)。

5 結語

工業(yè)控制系統(tǒng)的網(wǎng)絡安全問題是當前面臨的重大挑戰(zhàn)。本文研究了基于PDCA管理模型，通過構建網(wǎng)絡安全管理制度體系框架，建立完整的管理制度庫進行統(tǒng)一管理，對現(xiàn)有制度條款進行修訂和完善，對于關鍵環(huán)節(jié)制定制度執(zhí)行情況審查的依據(jù)，定期對管理制度的執(zhí)行情況進行檢查，從而對管理制度體系的合理性和適用性進行評審。這樣持續(xù)改進的管理模式在A公司工業(yè)控制系統(tǒng)日常網(wǎng)絡安全工作實踐中收到了良好成效，建立和完善了科學有效的網(wǎng)絡安全制度管理體系，促進了管理制度制定、發(fā)布、執(zhí)行、檢查、修訂和廢止工作的程序化、規(guī)范化，制度條款要求得到了良好的執(zhí)行和落實，各項工作有據(jù)可依，有據(jù)可查，實現(xiàn)了持續(xù)的網(wǎng)絡安全。