解析CMMM智能制造能力成熟度模型-信息安全

随着物联网、云计算、大数据等技术的快速发展,以及新一代信息技术与传统工业的加速融合,工业控制系统越来越多采用通用协议、通用硬件和通用软件(IP化、IT化),以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出,也成为企业推进智能制造的主要技术挑战。在PTRM模型中信息安全作为一个独立的能力子域被划入到技术能力要素中。

今天将围绕信息安全能力子域标准继续聊,在GB/T 39116-2020标准中对信息安全能力子域成熟度要求是这样描述的,如表1:

表1 信息安全能力成熟度要求

通过对信息安全五级能力成熟度要求进行梳理,可从中总结了三个关键活动特征,即管理机制、风险评估和技术措施,等级成熟度要求基本都是围绕这三个活动特征在描述和深化。


表2 信息安全描述的核心活动

对于一级,a条描述的是企业应制定信息安全管理规范,并有效执行;b条是企业应成立信息安全协调小组。这与前面解读的能力子域一级要求中只需具备规划意识,而不需要有具体规划制度不同,信息安全问题从企业使用第一台主机、部署第一套系统开始就已经存在。因此,制定信息安全管理规范并成立信息安全协调小组是每家企业都必须具备的基础。这里信息安全管理制度包括总则、职责、策略与原则、物理与环境安全、网络安全管理、密码与保密、病毒与漏洞、信息资源、信息安全事件管理、涉密制度(涉密机构)等,同时需要成立信息安全协调小组来保证管理机制的运行。

对于二级,需要在一级的基础上定期开展信息安全风险评估,包括物理安全、技术安全、管理安全。物理安全包含防雷、防火、防盗、温湿度控制等;技术安全包含工控网络安全、工控设备安全、工控主机安全等;管理安全通常涉及机构、制度、流程、安全意识等。评估方法需根据威胁出现的频率、脆弱性严重程度来确认安全事件发生的可能性,同时利用资产的价值和脆弱性严重程度来评估安全事件造成的损失,最后通过安全事件的可能性和损失来计算风险值。

在信息安全能力评估诊断中可重点考察企业以下能力:1)工业主机上是否安装正规的工业防病毒软件,并进行安全配置和补丁管理;2)是否建立工业主机的系统配置清单,定期进行配置审计;3)是否能对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试;4)是否密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。

对于三级,a条要求工业控制网络边界应具有边界防控能力。在信息化时代,很多制造企业的办公网和生产网是隔离的,因为两者在网络标准和信息安全防护要求上都存在差别。一般来说,办公网安全要求级别较低,生产网安全要求更高,如果两者要实现数据连通,必须在网络边界部署工业防火墙、安全网关或网闸等防护设备,这个衔接点就是网络安全边界。对于制造企业,网络边界包含企业内网与外网(互联网、集团网、银行网等)的边界、企业内网不同网络区域(服务器集群、办公网、生产网、工业控制网、视频监控网络等)的边界。

三级能力成熟度要求企业工业控制网络边界具有边界防护能力。三级b条要求企业工业控制设备的远程访问应进行安全管理和加固。在智能制造能力评估诊断过程中,对于企业是否具备信息安全三级能力成熟度要求,可重点评估企业的以下方面:
1)工业控制系统的开发、测试和生产环境是否分离?2)企业是否在工业控制网络、企业网以及互联网之间构建了安全防护?所采用的技术是VLAN隔离?防火墙?还是网闸?安全网关?不同技术在防护能力上有差别;3)是否采用数据单向访问控制等策略进行安全加固;4)是否对访问时限进行控制,并采用加标锁定策略;5)远程维护是否采用虚拟专用网络(VPN)等远程接入方式进行;5)是否保留工业控制系统的相关访问日志,并对操作过程进行安全审计等。可以预见,随着智能制造的深入,工业边缘计算系统越来越多地部署到工业系统中,企业对这样的信息安全需求将会越来越强烈。

对于四级和五级,a条要求企业工业网络部署具有深度包解析功能的安全设备,深度包检测技术是在传统IP数据包检测技术之上增加了对应用层数据的应用协议识别、数据包内容检测与深度解码。目前一些工业级防火墙已经能针对工控网络中的IT/OT流量进行全方位安全防护,通过应用识别、深度数据包解析以及一体化安全策略进行安全过滤,结合白名单、入侵防御、病毒检测等技术进行安全威胁检测和防护,保障工控网络安全。

b条要求企业建立离线测试环境,对工业现场使用的设备进行安全性测试。如任何设备在上线前必须经过安全性测试;测试必须是离线进行的;c条要求企业具备自学习、自优化功能的安全防护措施;自适应安全架构,将持续的监控和分析过程分为:预防预测、组织与防护、检测与监控、响应与调查。从能力成熟度要求看,对于四级、五级的要求,主要是防患于未然,安全防护系统能自主分析判断安全风险,并通过不断地优化分析模型,实现智能化的堵漏,无需人员干预。 对于非IT专业出身的评估人员,信息安全涉及的底层软硬件技术比较复杂,很难去完全弄清楚。但对于信息安全能力子域能力成熟度评估,可以记住一些主要的等级特征。表3列出一些关键性的等级特征,可作为信息安全能力子域评估诊断的依据和参考。

表3 信息安全能力子域等级关键特征