随着信息化和工业化的深度融合,传统的工业生产系统逐步由单机走向互联,由封闭走向开放,极大促进了工业生产的网络化、智能化、协同化。但同时也带来了工业信息安全风险隐患,加强工业信息安全标准化工作、发挥标准在工业信息安全建设中的引导作用,已成为保障工业信息安全的一项重要工作。然而,当前我国工业信息安全相关概念颇多,工业互联网安全、工业控制系统安全、工业物联网安全、工业云安全、工业互联网平台安全、工业数据安全等概念相互交叉重叠,甚至同一个名词在不同的领域会有不同的含义,概念的模糊不清使得在标准研制、应用等过程中存在概念理解偏差、条款解读不到位等问题。此外,我国工业信息安全标准重复和缺失现象并存,体系化建设不足,标准化工作相对滞后。因此,为体系化推进工业信息安全标准化建设,急需厘清工业信息安全相关概念,建立完善工业信息安全标准体系,更加科学地指导工业信息安全标准化工作。
一、工业信息安全概念与内涵
工业信息安全是近年来新兴的一个概念。国内最早包含工业信息安全一词的官方政府文件是《篮球比分关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),该文件的7项重点任务之一就是“提高工业信息系统安全水平”,明确规定要“制定完善工业信息安全管理等政策法规,健全工业信息安全标准体系……提升工业信息安全监测、评估、验证和应急处置等能力”。
直观理解,一切涉及工业领域的信息安全都属于工业信息安全范畴,其内涵十分丰富。从重要性来看,工业信息安全是网络安全的重要组成,是国家总体安全观在工业领域的重点体现,事关经济发展、社会稳定和国家安全,做好工业信息安全工作是关系国计民生和国家长治久安的大事;从保障内容来看,工业信息安全泛指各工业相关领域的信息安全,包括工业控制系统安全、工业互联网安全、工业互联网平台安全、工业物联网安全、工业数据安全、工业云安全等,相关概念之间的关系如图1所示。
其中,工业互联网安全属于工业信息安全的子集,因为工业互联网的两大属性是“工业”和“互联”,而实际工业生产经营过程中,还存在未连入工业互联网的工业系统和设备,其信息安全也属于工业信息安全范畴。工业互联网包括工业云、工业数据、工业控制系统、工业物联网及其他新兴的工业互联网形态。工业云是工业互联网平台及工业物联网的基础技术。工业互联网平台除工业云外,还包括边缘层、工业应用以及平台上的工业数据,并且与工业物联网有交叉关系。工业控制系统的硬件构件与物联网之间存在交叉关系。由此,各相关对象之间的安全关系也有了对应关系。
图1 工业信息安全概念图
综上,与传统计算机网络安全相比,工业信息安全在保障对象、安全需求等方面有其特殊性。例如,工业信息安全的主要目的是确保工业(产业)发展的安全,其保护需求往往融合考虑了信息安全、功能安全和生产安全等多种安全需求,更侧重于维护生产或运行过程的可靠稳定。工业属性带来的保护场景多样、安全措施通用性较差等给工业信息安全带来了挑战,传统的网络安全保障体系已难以做到全面有效防护,亟待建立更专业的工业信息安全保障体系。
二、工业信息安全标准体系建设思路及框架
2019年3月8日,工业和信息化部与国家标准化管理委员会联合发布《工业互联网综合标准化体系建设指南》,该指南第三章明确提出工业互联网标准体系框架,框架对安全标准进行了系统的描述。2019年5月13日,《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)等标准正式发布,等保2.0时代正式来临。相较于等保1.0标准,等保2.0标准扩展了云计算、移动互联、物联网、工业控制以及大数据安全等新技术新应用的安全保护要求,保护对象更加全面,内涵更加丰富。其中,等保2.0标准安全框架明确提出了“应针对等级保护对象特点建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系”。依据《工业互联网综合标准化体系建设指南》及等保2.0标准的安全框架的要求,本文按照多维考虑、横向分类、纵向分层的总体思想,构建了如图2所示的工业信息安全标准体系框架。其中基础共性标准是指基础性、纲领性、框架性等方面的标准。横向分类是指从多个维度分类提出工业信息安全标准,包括但不限于以下4个维度。
(1)生命周期安全防护:从设计、制造、集成、运行维护等工业产品全生命周期的安全需求出发,分别制定标准;
(2)基础安全防护:包括设备和控制安全、平台安全、虚拟化安全、数据安全、标识解析安全、网络和应用安全等;
(3)产品和服务安全:包括人提供的服务、云、云服务、服务类产品等的相关安全标准;
(4)安全监督管理:明确厂商、集成商、用户、服务商、设计院等角色的安全主体责任,方便相关政府部门的安全监督管理。
分类、分层设计的目的是按照工业企业、边缘接入、工业云、工业APP等竖向层次提出工业领域的安全标准。
与等保2.0标准安全框架相比,本框架囊括了工业互联网全生命周期安全技术和安全管理标准,这与等保2.0标准的要求相一致。同时,本框架还扩展了安全服务标准要求,将安全技术要求从全生命周期安全防护和基础安全防护2个角度进行细化。这样更符合工业领域“流程化” 生产和管理的情况,从而能够更全面、清晰地为工业互联网安全标准的制定提供参考。
图2 工业信息安全标准体系框架
三、工业信息安全标准体系完善及落地
为加快推进工业信息安全标准体系的建设,下一步应重点从体系完善和标准落地方面着手,让工业信息安全标准体系真正发挥指导性作用。
一是加强科研机构、高校、企业等各相关主体的合作,联合多方共同完善标准体系。组织工业企业、工业互联网平台企业、系统集成商、相关科研院所及研究机构等,共同编写《工业信息安全标准化白皮书》等研究成果,建立完善科学、合理、可操作的工业信息安全标准体系。
二是按照标准体系开展标准研制,通过试点应用提高标准体系和相关标准的实用性。围绕行业发展需求、企业需求等,切实发挥标准体系的指导作用,加快研制急需专用标准,并加强标准宣贯培训和试点应用,解决行业、企业在工业信息安全管理和防护中的痛点、难点,及时根据技术的发展和企业的实际应用需求制定相关标准。
三是充分发挥各标准技术委员会的作用,加强各标准委员会的协调合作,指导相应的成员单位按照标准体系厘清标准定位、做好标准衔接。当前,国内有TC260、TC573、TC124等多个标准技术委员会致力于信息安全标准化工作。其中,全国信息化和工业化融合管理标准化技术委员会(TC573)是在信息化和工业化融合(以下简称两化融合)趋势下成立的标准化工作组织,设有两化融合管理体系(WG1)、工业互联网管理(WG6)、工业信息安全(WG7)等标准工作组。WG7是国内建立的首个工业信息安全标准工作组,致力于工业信息安全、工业互联网安全等相关标准的研究、制修订及宣贯培训等工作。为进一步推进工业信息安全、工业互联网安全等标准的制修订和落地实施,WG7工作组应加强指导工作组各成员单位按照标准体系开展工业信息安全、工业互联网安全等标准的研究及制修订工作,并积极推动标准在相关行业企业的试点应用工作,确保工作组推行的标准在行业企业的适用性。同时,加强与其他标准技术委员会或工作组之间的交流合作,逐步形成分工明确、定位清晰、重点突出、相互补充的标准工作格局。
(原载于《保密科学技术》杂志2019年7月刊)