行业:打造汽车智能制造企业工业控制系统安全体系
一、当下工业控制系统安全形势
信息化与工业化深度融合的今天,无论是关乎国计民生的石化、电力、水利、铁路、民航等基础保障行业,还是逐渐成规模的物联网、移动互联网等新型行业,交互已成工业控制系统的重要特性。互联与交互体验提升的同时,威胁也在与日俱增。
2010年,震惊世界的“震网病毒”对工业控制系统的肆虐给予我们极大的警示。现阶段我国工控系统的安全形势非常严峻。据调查,约80%的企业从来不对工控系统进行升级和漏洞修补,有52%的工控系统与企业的管理系统、内网甚至互联网连接;此外,一些存在漏洞的国外工控产品依然在国内的某些重要装置上使用。更为严重的问题还在于,我们对于发现风险源头缺乏手段,对控制风险的技术与方法缺乏必要的研究。
今天就结合2017年在汽车智能制造工控安全建设的经验,给大家梳理一下如何打造中国汽车智能制造工业控制系统的安全体系。
二、中国汽车智能制造安全现状分析
实际上,在我国社会经济与科技水平都得到了快速发展的形势下的汽车智能制造行业安全建设情况已经有很大程度的好转,并且取得了一定的成绩。但随着一系列针对工业控制系统攻击事件的发生,越来越多工业控制系统面临的安全问题浮出水面。
通过在汽车制造行业的工控安全建设的案例分析总结汽车智能制造工业控制系统安全现状如下:
(1)中国汽车智能制造的工业控制系统安全建设责任不明确,尚未建立相应的工业控制系统的信息安全管理组织。
(2)涉及工业控制系统的信息安全制度和规范体系不健全,各项监督制度不健全,缺乏有效的反馈和跟踪。
(3)施工企业的内部管理相对薄弱,尤其是在制度建设、现场管理都存在不足,安全防护措施不合理,施工人员、运维人员都没有经过系统的培训就上岗。
(4)技术上缺乏纵深防御的信息安全技术体系,主机、网络、应用、数据等方面都表现的控制力度不足,整体防护薄弱。
(5)缺乏先进的、实用的技术手段对基础网络与信息系统进行有效的防护、检测、响应、预警、恢复等等。
(6)缺乏对已使用的生产系统(DCS、PLC、SCADA等)的技术把控,无法判断其安全性。
三、安全体系建设愿景及目标
建设愿景
工业控制系统安全是网络安全建设中不可分割的一部分,工业控制系统的网络安全建设离不开业务信息化的融合。可以说,工控安全和业务信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施,做到协调一致、齐头并进;切实防范、控制和化解信息化进程中可能产生的风险,以安全保发展,以发展促安全,建立实施关键信息基础设施保护制度。所以汽车企业需要建立全生命周期的、一流的工业控制系统信息安全技术体系、管理体系、保障体系。
该体系应当立足现状,保障发展,适当超前,覆盖汽车总装、焊接等业务全流程,通过实现建立汽车企业先进实用、完整可靠的信息安全技术体系,保障信息化建设和应用,支撑公司业务发展和总体战略的实施。
建设目标
汽车企业需要根据安全建设愿景,从管理体系、风险控制、技术设施和运行服务等方面入手,坚持“以安全保发展,以发展促安全”的网络安全观,遵循国家信息安全政策,全面落实工控网络安全合规要求,注重安全可控与积极防御,持续完善工控网络安全体系,最终实现“确保安全生产、企业稳定、风险可控”的战略目标。
通过对汽车制造企业工业控制系统从管理体系、风险控制、技术设施和运行服务等方面入手,坚持“以安全保发展,以发展促安全”的网络安全观,遵循国家信息安全政策,全面落实信息安全合规要求,注重安全可控与积极防御,持续完善信息安全体系,构建面向网络、计算机、信息系统、数据的全方位立体信息安全体系。进而保证全年无生产事故,无人员伤亡事故。
四、安全体系总体框架设计
体系化的设计思想是从全局性策略出发,以互联互通的安全技术为保障,以平台化的管理工具为支撑,辅以长期可靠的安全运维保障和规范化的安全管理,搭建出真正能够有效对抗威胁,保障应用的安全体系。
针对汽车制造企业工业控制系统网络的实际情况和管控安全防护需求,设计3个安全体系,分别是安全管理体系、安全技术体系和安全控制体系。通过这3个体系为汽车制造企业工业生产网络形成有效的安全监管能力、安全防护能力和安全运维能力,同时为汽车制造企业工业控制系统的运行提供安全的网络运行环境和应用安全支撑,保障汽车制造企业工控系统进行安全可靠的业务流连接、业务数据交换和生产运营,实现以安全保业务,用安全促业务的目标,为企业制造企业工控安全建设的深入发展奠定基础。
五、结论
震网“Stuxnet”事件之后,工控安全这一主题受到广泛关注,国内外都取得一定的成果,深耕汽车制造行业,总结分析汽车制造工控系统的架构资产、面临的威胁、存在的脆弱性与安全措施等内容,通过提出工控系统网络安全管理体系、工控系统网络安全控制体系和工控系统网络安全技术体系的体系架构来指导风险评估工作、安全建设工作、安全管理制度建立、工控安全基线建设等工作,为汽车制造企业工业控制系统安全建设打下坚实的基础。
