行業:打造汽車智能制造企業工業控制系統安全體系
一、當下工業控制系統安全形勢
信息化與工業化深度融合的今天,無論是關乎國計民生的石化、電力、水利、鐵路、民航等基礎保障行業,還是逐漸成規模的物聯網、移動互聯網等新型行業,交互已成工業控制系統的重要特性。互聯與交互體驗提升的同時,威脅也在與日俱增。
2010年,震驚世界的“震網病毒”對工業控制系統的肆虐給予我們極大的警示。現階段我國工控系統的安全形勢非常嚴峻。據調查,約80%的企業從來不對工控系統進行升級和漏洞修補,有52%的工控系統與企業的管理系統、內網甚至互聯網連接;此外,一些存在漏洞的國外工控產品依然在國內的某些重要裝置上使用。更為嚴重的問題還在于,我們對于發現風險源頭缺乏手段,對控制風險的技術與方法缺乏必要的研究。
今天就結合2017年在汽車智能制造工控安全建設的經驗,給大家梳理一下如何打造中國汽車智能制造工業控制系統的安全體系。
二、中國汽車智能制造安全現狀分析
實際上,在我國社會經濟與科技水平都得到了快速發展的形勢下的汽車智能制造行業安全建設情況已經有很大程度的好轉,并且取得了一定的成績。但隨著一系列針對工業控制系統攻擊事件的發生,越來越多工業控制系統面臨的安全問題浮出水面。
通過在汽車制造行業的工控安全建設的案例分析總結汽車智能制造工業控制系統安全現狀如下:
(1)中國汽車智能制造的工業控制系統安全建設責任不明確,尚未建立相應的工業控制系統的信息安全管理組織。
(2)涉及工業控制系統的信息安全制度和規范體系不健全,各項監督制度不健全,缺乏有效的反饋和跟蹤。
(3)施工企業的內部管理相對薄弱,尤其是在制度建設、現場管理都存在不足,安全防護措施不合理,施工人員、運維人員都沒有經過系統的培訓就上崗。
(4)技術上缺乏縱深防御的信息安全技術體系,主機、網絡、應用、數據等方面都表現的控制力度不足,整體防護薄弱。
(5)缺乏先進的、實用的技術手段對基礎網絡與信息系統進行有效的防護、檢測、響應、預警、恢復等等。
(6)缺乏對已使用的生產系統(DCS、PLC、SCADA等)的技術把控,無法判斷其安全性。
三、安全體系建設愿景及目標
建設愿景
工業控制系統安全是網絡安全建設中不可分割的一部分,工業控制系統的網絡安全建設離不開業務信息化的融合。可以說,工控安全和業務信息化是一體之兩翼、驅動之雙輪,必須統一謀劃、統一部署、統一推進、統一實施,做到協調一致、齊頭并進;切實防范、控制和化解信息化進程中可能產生的風險,以安全保發展,以發展促安全,建立實施關鍵信息基礎設施保護制度。所以汽車企業需要建立全生命周期的、一流的工業控制系統信息安全技術體系、管理體系、保障體系。
該體系應當立足現狀,保障發展,適當超前,覆蓋汽車總裝、焊接等業務全流程,通過實現建立汽車企業先進實用、完整可靠的信息安全技術體系,保障信息化建設和應用,支撐公司業務發展和總體戰略的實施。
建設目標
汽車企業需要根據安全建設愿景,從管理體系、風險控制、技術設施和運行服務等方面入手,堅持“以安全保發展,以發展促安全”的網絡安全觀,遵循國家信息安全政策,全面落實工控網絡安全合規要求,注重安全可控與積極防御,持續完善工控網絡安全體系,最終實現“確保安全生產、企業穩定、風險可控”的戰略目標。
通過對汽車制造企業工業控制系統從管理體系、風險控制、技術設施和運行服務等方面入手,堅持“以安全保發展,以發展促安全”的網絡安全觀,遵循國家信息安全政策,全面落實信息安全合規要求,注重安全可控與積極防御,持續完善信息安全體系,構建面向網絡、計算機、信息系統、數據的全方位立體信息安全體系。進而保證全年無生產事故,無人員傷亡事故。
四、安全體系總體框架設計
體系化的設計思想是從全局性策略出發,以互聯互通的安全技術為保障,以平臺化的管理工具為支撐,輔以長期可靠的安全運維保障和規范化的安全管理,搭建出真正能夠有效對抗威脅,保障應用的安全體系。
針對汽車制造企業工業控制系統網絡的實際情況和管控安全防護需求,設計3個安全體系,分別是安全管理體系、安全技術體系和安全控制體系。通過這3個體系為汽車制造企業工業生產網絡形成有效的安全監管能力、安全防護能力和安全運維能力,同時為汽車制造企業工業控制系統的運行提供安全的網絡運行環境和應用安全支撐,保障汽車制造企業工控系統進行安全可靠的業務流連接、業務數據交換和生產運營,實現以安全保業務,用安全促業務的目標,為企業制造企業工控安全建設的深入發展奠定基礎。
五、結論
震網“Stuxnet”事件之后,工控安全這一主題受到廣泛關注,國內外都取得一定的成果,深耕汽車制造行業,總結分析汽車制造工控系統的架構資產、面臨的威脅、存在的脆弱性與安全措施等內容,通過提出工控系統網絡安全管理體系、工控系統網絡安全控制體系和工控系統網絡安全技術體系的體系架構來指導風險評估工作、安全建設工作、安全管理制度建立、工控安全基線建設等工作,為汽車制造企業工業控制系統安全建設打下堅實的基礎。
