工业控制系统安全标准是工业控制系统安全保障体系的重要组成部分,对于各行业企事业单位开展工业控制系统安全防护工作具有促进、规范和指导等多重意义。由于我国工业控制系统安全防护建设整体起步较晚,工业控制系统安全标准亦有明显的滞后。随着近年来以信安标委为主导的标准化组织加快了工业控制系统安全标准制定的进程,我国工业控制系统安全标准体系逐渐步入了“快车道”,大量工业控制系统安全标准相继发布。为了能够帮助各行业企事业单位更深入了解工控安全标准,威努特开设“一文读懂工业控制系统安全标准”系列连载文章,分多期对现有工业控制系统安全标准进行详细解读。
我国现有的工业控制系统安全标准体系主要可分为安全等级、安全要求、安全实施和安全测评四个大类,对应工控系统安全防护实施过程的规划、建设和测评各个阶段,并在各阶段起到相应的规范和指导作用。安全等级类标准在安全规划阶段提供工控系统的定级指导,确定防护总体目标;安全要求类标准在安全建设阶段强化对工控安全防护技术、管理和产品的要求;安全实施类标准主要为工控安全防护建设实施过程提供指导;安全测评类标准则是规范工控系统安全评估和产品安全检测的方法和流程。
按照工控安全标准体系的逻辑架构,我们的连载文章将从安全等级类标准GB/T 36324-2018《信息安全技术 工业控制系统信息安全分级规范》(以下简称“分级规范”)标准开始,对整个体系中的工控安全标准进行一一解读。
标准概述
2011年,工信部下发了《关于加强工业控制系统信息安全管理的通知》([2011]451号),为贯彻落实工信部通知相关精神,实现对工业控制系统信息安全应采取分等级管理的要求,提出工业控制系统信息安全级别划分规则和定级方法,为工业控制系统信息安全定级提供技术依据和工作指导,根据信安标委的标准专项项目任务书,2012年标准承接单位开始着手标准编写的工作,于2018年6月标准正式发布。
标准范围
“本标准规定了基于风险评估的工业控制系统信息安全等级划分规则和定级方法,提出了等级划分模型和定级要素,包括工业控制系统资产重要程度、存在的潜在风险影响程度和需抵御的信息安全威胁程度,并提出了工业控制系统信息安全四个等级的特征。”
——深度解读:分级规范提出了1-4级的安全分级划分,与国内信息安全等级保护的等级划分基本一致(信息系统安全保护等级划分为5级,实际使用的是1-4级),与国际标准IEC-62443中工业控制系统信息安全等级划分保持一致(划分为1-4级)。分级规范中工业控制系统安全级别与“等保”网络安全保护等级具有一定的兼容性,原网络安全保护等级的定级因素(受侵害客体及对客体的侵害程度)包含在分级规范中工业控制系统信息安全定级因素的一个维度(受侵害潜在影响程度)中。当忽略工业控制系统重要性程度、工业控制系统信息安全威胁两个维度时,得到的工业控制系统安全级别与“等保”网络安全保护等级基本一致。也就是说,如果一个工业控制系统安全级别已经按照原来“等保”方法进行定级,会存在考虑问题不完整,产生一定偏差,但不会产生大的冲突和错误,仍然存在一定的兼容性。简而言之,在开展工控系统的“等保”建设定级时可参考分级规范的模型和定级要素进行定级。
“分级规范适用于工业生产企业以及相关行政管理部门,为工业控制系统信息安全等级的划分提供指导,为工业控制系统信息安全的规划、设计、运维以及评估和管理提供依据。”
——深度解读:对于工业生产企业而言,分级规范可以在安全规划和设计阶段提供定级指导,明确工业控制安全防护总体目标和主要防护措施(可基于1-4级系统的特征梳理防护总体目标);同时上级监管部门亦可根据下属各单位的工控系统定级情况制定指导、监督、检查和强化措施等多种不同程度的监管机制。
标准核心要点
定级对象
“对工业控制系统划分信息安全等级,其定级对象是一个具体的完整的工业控制系统,也可以是这个工业控制系统中相对独立的一部分。”
——深度解读:以汽车制造企业为例,定级时可把冲压、焊装、涂装和总装车间整体工业控制系统进行定级,亦可对关键的总装车间工业控制系统进行单独定级,但是一般情况下工业控制系统中相对独立的一部分的安全等级不应高于其整体的工业控制系统的安全等级。级别定义
分级规范中工业控制系统信息安全级别是依据风险影响等级来界定的,分为四级。同时对1-4级工业控制系统的特征进行了界定,主要从受破坏后的影响程度、抵御威胁程度、安全防护能力和上级监管四个维度进行特征的区分和定义,对工业企业的防护粒度、上级监管力度上有显著的等级差异,为用户方和监管单位提供参考。
安全等级 | 受破坏后的影响程度 | 抵御威胁程度 | 安全防护能力 | 上级监管 |
第一级工业控制系统 | 会对一般领域的工业生产运行造成损害,或者对公民、企业和其他组织的合法权益及重要财产造成损害,但不会损害国家安全(特别是其中的国家经济安全)、环境安全、社会秩序、公共利益和人员生命 | 应使工业控制系统能够抵御来自个人、拥有少量资源的故意威胁,一般的环境威胁,一般的意外威胁,以及其他相当危害程度威胁所造成资产损失的信息安全风险 | 应至少具有对系统资产、运行环境、安全风险的基本认识,采取基本的信息安全控制措施,检测系统异常和安全事件,应急响应的执行和维护等方面的安全保护能力 | 应得到所属企业依据国家有关管理规范和技术标准的保护和管理 |
第二级工业控制系统 | 会对一般领域的工业生产运行造成重大损害,或者对重点领域的工业生产运行造成损害,或者对公民、企业和其他组织的合法权益及重要财产造成严重损害,或者对环境安全、社会秩序、公共利益和人员生命造成损害,但不会损害国家安全(特别是其中的国家经济安全) | 应使工业控制系统能够抵御来自有组织的团体、拥有中等资源的故意威胁,一般的环境威胁,严重的意外威胁,以及其他相当危害程度威胁所造成资产损失的信息安全风险 | 应至少具有对系统资产、运行环境、安全风险的比较全面认识,初步建立风险管理战略;采取比较全面的信息安全控制措施;及时检测系统异常和安全事件;应急响应的执行和维护,防止事件扩大和减轻影响;基本恢复受安全事件影响的工业控制系统运行等方面的安全保护能力 | 第二级工业控制系统信息安全应得到所属企业依据国家有关管理规范和技术标准的保护和管理,以及国家主管部门和信息安全监管部门的指导 |
第三级工业控制系统 | 会对重点领域的工业生产运行造成重大损害,或者对关键领域的工业生产运行造成损失,或者对环境安全、社会秩序、公共利益和人员生命造成严重损害,或者会对国家安全(特别是其中的国家经济安全)造成损害 | 应使工业控制系统能够抵御来自敌对组织、有组织的团体拥有中等程度资源的故意威胁,严重的环境威胁,特别严重的意外威胁,以及其他相当危害程度威胁所造成资产损失的信息安全风险 | 应至少具有对系统资产、运行环境、安全风险的全面认识,建立风险管理战略,实施信息安全治理;采取全面的信息安全控制措施,确保与组织的风险管理战略相一致;及时和全面监测系统异常和安全事件;应急响应的执行和维护,防止事件扩大和减轻影响;恢复受安全事件影响的工业控制系统运行等方面的安全保护能力 | 应得到所属企业依据国家有关管理规范和技术标准的保护和管理,以及国家主管部门和信息安全监管部门的监督、检查 |
第四级工业控制系统 | 会对关键领域的工业生产运行造成重大损害,或者对环境安全、社会秩序、公共利益和人员生命造成特别严重损害,或者对国家安全(特别是其中的国家经济安全)造成严重损害 | 应使工业控制系统能够抵御来自敌对组织、拥有丰富资源的故意威胁,特别严重的环境威胁,特别严重的意外威胁,以及其他相当危害程度威胁所造成资产损失的信息安全风险 | 应至少具有对系统资产、运行环境、安全风险的全面认识,建立全面风险管理战略,实施信息安全治理;采取全面的信息安全控制措施,确保与组织的风险管理战略相一致;连续和全面监测系统异常和安全事件,采取必要的应对措施;应急响应的执行和维护,防止事件扩大和减轻影响,采取改进措施;及时恢复受安全事件影响的工业控制系统运行等方面的安全保护能力 | 应得到所属企业依据国家有关管理规范和技术标准的管理,以及国家主管部门和信息安全监管部门强化的监督、检查 |
定级要素
工业控制系统信息安全定级要素及其之间的关系如下图所示:
工业控制系统资产重要程度:根据工业控制系统所在工业生产行业领域重要性划分为一般领域、重点领域和关键领域(常规熟知的如钢铁、化工、电力、天然气、城市轨道交通、城市供水供气供热等均属于重点领域)。资产的作用价值一般是根据工控资产对象在工业企业生产过程中承担的业务重要性进行评价。资产的获取价值则是指资产自身原始成本、更换或再造成本。从分级规范给出的重要程度特征值表中可以看出资产作用价值是影响资产重要性的关键指标,这一点也符合工业生产企业特别是连续型生产企业优先保障生产业务可靠性的特点。
工业控制系统资产重要程度 | 工业控制系统行业领域 |
一般领域 | 重点领域 | 关键领域 |
工业控制系统资产价值 | 资产作用价值一般且资产获取价值一般 | 1 | 2 | 3 |
资产作用价值一般且资产获取价值很高 | 2 | 3 | 4 |
资产作用价值中等 | 2 | 3 | 4 |
资产作用价值很高 | 3 | 4 | 5 |
说明:资产重要程度特征值取值范围从1到5特征值越高表示资产重要程度越高
受侵害后潜在影响程度:反映了工业控制系统信息安全受到侵害后产生的直接损失和间接损失,包括对工业控制系统及其相关生产装置的影响,对工业生产运行安全的影响,以及对其他受侵害对象(如公民、企业、其他组织的合法权益及重要财产安全,环境安全、社会秩序、公共利益和人员生命安全,国家安全、国家经济安全)的影响。
受侵害后潜在影响程度 | 受侵害的程度 |
一般损害 | 严重损害 | 特别严重损害 |
受 侵 害 的 对 象 | 工业控制系统及相关生产装置安全 | 1 | 2 | 3 |
工业生产运行安全和公民、企业、其他组织的合法权益及重要财产安全 | 1 | 2 | 3 |
社会秩序、公共利益、环境安全和人员生命安全 | 2 | 3 | 4 |
国家安全(特别是其中的国家经济安全) | 3 | 4 | 5 |
说明:潜在影响程度特征值取值范围从1到5,特征值越高表示受侵害后潜在影响程度越高。
需抵御的信息安全威胁程度:在工业控制系统在面临客观存在的众多威胁中,依据工业控制系统、相关生产装置以及所属企业或行业共同固有脆弱性及其可利用性,信息安全事件发生的可能性,所确定的实际需要抵御的信息安全威胁。需要抵御的信息安全威胁等级范围为1-5,5为最高。
定级流程
分级规范主要基于风险评估过程制定工业控制系统信息安全定级流程。典型的信息安全风险评估活动主要包括:确定评估对象、风险识别、风险计算。工业控制系统信息安全定级流程上采用了一致的方法和流程。定级流程的确定工业控制系统定级对象,是在设定风险评估的对象;定级流程的确定工业控制系统资产重要程度、确定受侵害后的潜在影响程度、确定需抵御的信息安全威胁程度,属于风险分析的风险识别过程;定级流程的确定工业控制系统信息安全等级,属于风险计算活动。
(1) 确定定级对象
分级规范要求定级的工业控制系统具备四个基本条件:
定级的工业控制系统须是能够独立运行的完整工业控制系统,具备独立运行的所有服务器、工程师站、采集接口和通信网络等组件,不必依赖其他系统或与其他系统没有控制信息的交换,如典型DCS系统包含上位机、下位控制组件、数据采集模块、控制网络和现场控制设备,可构成独立完整的系统。
定级的工业控制系统须是相对独立的单元,能够承担整个生产业务系统中的一部分控制过程实现部分业务应用,可将一个独立的控制子系统或多个子系统构成的独立生产单元设定为定级对象,但这些子系统须具有共同的安全需求。
定级的工业控制系统具有工业控制系统的基本要素,定级对象应包含自动化系统全部基本要素(检测器、控制器、执行器和对象),并能独立完成工业生产中某个完整控制过程,不能为单一的某个控制组件。
定级的工业控制系统具有唯一确定的安全责任单位,要求企业在定级前对定级工业控制系统的安全责任单位有明确的划分。
(2) 确定资产重要程度
通过对定级工业控制系统的资产价值、行业领域和业务使命三个要素判定资产重要程度,要求企业在定级前对自身生产业务中的工业控制系统业务重要程度进行合理划分,重要程度特征值应该是参考企业内所有系统资产的一个相对值,能够体现出各系统的重要程度差异,例如一个火力发电厂中DCS系统的资产价值和业务使命相比SIS系统高,那么在资产重要程度上DCS系统的特征值也要体现的较高。
(3) 确定受侵害后的潜在影响程度
分级规范对于定级工业控制系统受侵害的影响程度分析主要依据以下几个方面:◇确认工业控制系统是否受到侵害:主要通过定级工业控制系统信息安全的可用性、完整性、保密性属性的部分或全部是否受到破坏判断。
确认受侵害后的方式表现,主要分为对系统服务的破坏和业务数据的破坏,两种侵害表现形式中的侵害对象和影响程度都有不同,对系统服务侵害更多影响的是系统可用性,对业务数据侵害更多影响的是系统业务运行完整性和保密性。
评价受侵害的对象,一般包括国家安全(特别是其中的国家经济安全),环境安全和人民生命安全、社会秩序稳定、公共利益、工业生产运行安全,以及公民、企业和其他组织的合法权益及重要财产安全,以及工业控制系统及相关生产装置,且分级规范中给出了各类对象的判定条件。
评价受侵害的程度,按照一般损害、严重损害、特别损害三个等级对各类受侵害对象的受侵害程度进行定义,分级规范给出了各类对象受侵害程度的划分条件。
(4) 确定需抵御的信息安全威胁程度
分级规范主要从面临的信息安全威胁、信息安全事件发生可能性对安全威胁程度特征进行定义:◇面临的信息安全威胁主要从威胁来源、威胁表现形式和威胁程度等方面进行识别,对定级对象面临威胁的分析主要包括:常见的威胁列表、业界的统计和分析、系统自身历史安全事件等。
信息安全事件发生可能性应该是建立在对定级工业控制系统的充分脆弱性评估基础上,充分结合业界数据对发生频度进行定义和分析,并通过脆弱性可利用程度和发生频度判定信息安全事件发生可能性特征值。
信息安全事件可能性 | 固有脆弱性可利用容易度 |
低 | 中 | 高 |
威胁发生频度 | 低 | 1 | 2 | 3 |
中 | 2 | 3 | 4 |
高 | 3 | 4 | 5 |
(5) 确定工业控制系统信息安全等级
最后,用已确定的工业控制系统资产重要程度特征值、受侵害潜在影响程度特征值、需抵御的信息安全威胁程度特征值,在下表中查找对应的级别,即可确定基于工业控制系统信息安全风险的工业控制系统信息安全等级。
资产重要程度特征值 | 受侵害后潜在影响程度特征值 | 需抵御的信息安全威胁程度特征值 |
1 | 2 | 3 | 4 | 5 |
1 | 1 | 第一级(1) | 第一级(2) | 第一级(3) | 第一级(4) | 第二级(5) |
2 | 1 | 第一级(2) | 第一级(3) | 第一级(4) | 第二级(5) | 第二级(6) |
3 | 1 | 第一级(3) | 第一级(4) | 第二级(5) | 第二级(6) | 第二级(7) |
4 | 1 | 第一级(4) | 第二级(5) | 第二级(6) | 第二级(7) | 第三级(8) |
5 | 1 | 第二级(5) | 第二级(6) | 第二级(7) | 第三级(8) | 第三级(9) |
1 | 2 | 第一级(2) | 第一级(3) | 第一级(4) | 第二级(5) | 第二级(6) |
2 | 2 | 第一级(3) | 第一级(4) | 第二级(5) | 第二级(6) | 第二级(7) |
3 | 2 | 第一级(4) | 第二级(5) | 第二级(6) | 第二级(7) | 第三级(8) |
4 | 2 | 第二级(5) | 第二级(6) | 第二级(7) | 第三级(8) | 第三级(9) |
5 | 2 | 第二级(6) | 第二级(7) | 第三级(8) | 第三级(9) | 第三级(10) |
1 | 3 | 第一级(3) | 第一级(4) | 第二级(5) | 第二级(6) | 第二级(7) |
2 | 3 | 第一级(4) | 第二级(5) | 第二级(6) | 第二级(7) | 第三级(8) |
3 | 3 | 第二级(5) | 第二级(6) | 第二级(7) | 第三级(8) | 第三级(9) |
4 | 3 | 第二级(6) | 第二级(7) | 第三级(8) | 第三级(9) | 第三级(10) |
5 | 3 | 第二级(7) | 第三级(8) | 第三级(9) | 第三级(10) | 第四级(11) |
1 | 4 | 第一级(4) | 第二级(5) | 第二级(6) | 第二级(7) | 第三级(8) |
2 | 4 | 第二级(5) | 第二级(6) | 第二级(7) | 第三级(8) | 第三级(9) |
3 | 4 | 第二级(6) | 第二级(7) | 第三级(8) | 第三级(9) | 第三级(10) |
4 | 4 | 第二级(7) | 第三级(8) | 第三级(9) | 第三级(10) | 第四级(11) |
5 | 4 | 第三级(8) | 第三级(9) | 第三级(10) | 第四级(11) | 第四级(12) |
1 | 5 | 第二级(5) | 第二级(6) | 第二级(7) | 第三级(8) | 第三级(9) |
2 | 5 | 第二级(6) | 第二级(7) | 第三级(8) | 第三级(9) | 第三级(10) |
3 | 5 | 第二级(7) | 第三级(8) | 第三级(9) | 第三级(10) | 第四级(11) |
4 | 5 | 第三级(8) | 第三级(9) | 第三级(10) | 第四级(11) | 第四级(12) |
5 | 5 | 第三级(9) | 第三级(10) | 第四级(11) | 第四级(12) | 第四级(13) |
说明:表中括号内的数字是工业控制系统信息安全等级特征值,其中工业控制系统资产重要程度特征值、受侵害后潜在影响程度特征值、需抵御的信息安全威胁程度特征值的取值范围均为1-5。工业控制系统信息安全等级特征值的取值范围均为1-13,与等级的对应关系为:工业控制系统信息安全等级第一级对应特征值取值范围是1-4,第二级是5-7,第三级是8-10,第四级是11-13。
总结语
分级规范提供了以工业控制系统风险影响为基准的工业控制系统信息安全等级划分规则和定级方法,提出了等级模型和定级要素,明确了各个等级工业控制系统所具备的潜在风险影响、信息安全威胁、信息安全能力和信息安全管理方面的特征。适用于工业自动化生产企业以及相关行政管理部门,为工业控制系统信息安全等级的划分提供指导,亦可为大量工业企业开展工业控制系统安全防护建设特别是等保合规性建设过程中的系统定级提供更科学、准确定级方法和指导。
来源:威努特工控安全