随着信息化与工业化不断深入融合,信息技术深刻影响和改变着石油石化行业经营管理方式,信息技术在油田、炼油、化工、销售全产业链上得到应用,信息系统已经成为各企业经营管理、生产运营、营销服务的中枢神经,智能油气田、智能炼化、销售电商平台、一体化客户管理、全球供应链与物流等信息化工作取得初步进展,正在促进引领石油石化行业的发展。工业控制系统的定义是指由计算机与工业过程控制部件组成的自动控制系统。 

本文所指的工业控制系统是指用于监视和控制石油石化行业生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络等;存量工业控制系统是指已正式投入生产运行、尚无退运计划的工业控制系统。 

一、存量工业控制系统等级保护实施的扩展基本原则 

存量工业控制系统等级保护实施工作除要遵守信息系统等级保护实施的“自主保护、重点保护、同步建设、动态调整”原则之外,还应按照国家和行业对信息安全等级保护的有关要求,坚持以下原则:

结构优先原则 

结构安全是存量工业控制系统的安全基础。存量工业控制系统大多投运时间较早,在最初投运时缺乏安全功能设计,难以进行技术改造或改造成本巨大。通过优化结构,强化边界防护,减少对威胁的暴露面,降低脆弱性的可利用性,设置多道防线,重点防护实时控制系统。在确保结构安全的前提下,通过规范内部物理和环境、网络和通信、设备和计算、应用和数据安全,加强安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理,提高系统整体安全防护能力,保证存量工业控制系统运行及重要数据的安全。 

联合防护原则

存量工业控制系统安全除依靠运行单位外,还需依靠系统供应商和安全服务机构。同时,大多数存量工业控制系统随着企业规模的壮大,数字化、集中化、自动化程度会越来越高,不同厂商的工业控制系统集成互联,集控或者远控功能不断增强。存量工业控制系统还可能隶属于不同责任主体。互联的存量工业控制系统除需根据自身特点和安全保护等级要求,采取技术与管理措施提高自身防护能力之外,还应实行联合防护,提高互联对端的存量工业控制系统的安全。上位工控系统企业还可利用其资源和技术优势,加强对下位工控系统的技术监督和指导。在应急工作中,也需要采用联合应急方式。 

安全可控原则

存量工业控制系统在进行系统设计、开发,关键设备选型时应满足安全可控的原则。优先选择经过国家网络安全审查或者我国自主研发,具有自主知识产权的系统及设备,严格禁止选用经国家相关管理部门检测认定并经有关部门通报存在漏洞和风险的系统及设备。

存量工业控制系统所使用的服务器、网络设备、安全设备、安全服务等均应通过逐步淘汰选用符合国家及行业标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求。服务器、网络设备、安全设备、安全服务的提供者不得设置恶意程序。发现服务器、网络设备、安全设备、安全服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。 

立体防御原则  

存量工业控制系统安全防护工作应形成立体防御格局,在空间上,形成横向(与本单位管理类信息系统的边界)及纵向(不同责任主体或同一责任主体在不同地域的广域网边界)边界防护的基础上,将防护措施逐步深入到承载业务系统运行的主机、数据库、网络设备、安全设备等,加强安全基线和策略的配置,合理优化设备和系统的功能参数,提升系统本体安全防护能力,逐步形成栅格状的纵深防御体系。在管理上,形成技术与管理互补格局,技术不足管理补,管理不足技术补,完善管理制度、落实各项措施,加强对人员和行为的管控。在时间上,形成全生命周期的立体防御,在系统设计、开发、建设、运行、退运等阶段开展相应的安全技术及管理工作,在各个阶段使系统的安全防护能力匹配于其所面临的安全风险。 

二、角色和职责

存量工业控制系统等级保护实施过程中涉及的主要角色有:国家管理部门(公安机关、国家保密部门、密码管理部门、行业主管部门等),工控系统所属单位或具有垂直管理关系上级单位的主管信息安全管理工作的部门,运行单位,信息安全服务机构、测评机构,信息安全产品供应商,上位工控系统运行单位或调度机构,设计单位和系统供应商。 

信息安全产品供应商  

信息安全产品供应商负责按照国家及行业网络安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。

存量工业控制系统专用产品供应商除应做好上述工作外,还应当以合同条款或者保密协议的方式保证其所提供的设备及系统符合有关规定,在设备及系统的全生命周期内对其负责;并按照国家有关要求做好保密工作,禁止关键技术和设备的扩散。 

存量工业控制系统供应商 

存量工业控制系统供应商应按照存量工业控制系统安全等级保护的管理规范和技术标准,配合运行单位存量工业控制系统进行整改和重新部署,不得设置恶意程序。一旦发现其产品和服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施按照规定及时告知用户并向有关主管部门报告。

存量工业控制系统供应商应当为其产品、服务持续提供安全维护;在规定的期限内,不得终止提供安全维护。

存量工业控制系统供应商提供的产品、服务具有数据采集功能的,应将所采集的数据类型和需求向运行单位说明,并取得同意后方可实施。

此外在设备选型及配置时,应当禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备;对于已投入运行的系统及设备,应按照国家能源局及其派出机构的要求及时配合运行单位进行整改。 

存量工业控制系统设计单位

工业控制系统设计单位和供应商可能为不同单位。存量工业控制系统技改时,运行单位需协调系统原设计单位对技改部分进行安全确认,确保所实施的技改细节与原系统设计细节无冲突。存量工业控制系统设计单位规划设计信息系统时,应明确系统的安全保护需求,设计合理的安全总体方案,制定安全实施计划,负责信息系统安全建设工程的实施。在设计过程中,应充分考虑系统整体结构方面与存量工业控制系统安全防护原则的一致性,以及主机、网络、应用、数据等方面与存量工业控制系统信息安全等级保护要求的一致性。 

上位工控系统运行单位或调度机构  

当本级工业控制系统与上位工控系统运行单位为不同单位时。上位工控系统运行单位或调度机构需对下位工控系统运行单位的等级保护工作实施技术监督。

本级工控系统安全防护实施方案需经本企业的上级专业管理部门和信息安全管理部门以及相应上位工控系统运行单位或调度机构的审核,方案实施完成后应当报请上述机构参与验收工作。

接入上位工控系统网络的设备和应用系统,其接入技术方案和安全防护措施必须经直接负责的上位工控系统或调度机构同意。

建立健全联合防护和应急机制,制定专项应急预案。上位工控系统运行单位或调度机构负责统一指挥其接入或调度范围内的工业控制系统安全应急处理。

其它角色和职能参见国标《信息系统安全等级保护实施指南》(GB/T 25058-2010)。 

三、存量工业控制系统定级与备案 

定级阶段的目标是运行单位按照国家和行业有关标准和管理规范,确定划入等级保护对象范围内的工业控制系统的安全保护等级,经相关信息安全管理部门审核、批准后,报公安机关备案,获取《信息系统安全等级保护备案证明》,行业主管部门有要求的,定级备案结果抄送行业主管部门备案。 

工业控制系统和等级保护对象均是个统称。需对工业控制系统进行分析,划分其需纳入等级保护对象的范围,在划分了等级保护对象后,逐一对各工业控制系统进行分析,确定作为同一定级对象的工业控制系统的基本特征。应根据其承载业务和管理方式的变化动态、合理确定工业控制系统的定级对象。定级对象的基本特征为:

(1)具有唯一确定的安全责任单位 

作为定级对象的工业控制系统应能够唯一地确定其安全责任单位。如果运行单位(如调度中心或工厂运行班组)负责系统安全建设、运行维护等过程的全部安全责任,则运行单位可以成为此系统的安全责任单位;如果一个单位中的不同下级单位分别承担系统不同方面的安全责任,则该系统的安全责任单位应是这些下级单位共同所属的单位,如班组1运行DCS1,班组2运行DCS2,DCS1和DCS2为同一供应商同一型号的产品,单位(如厂级层面)有意将DCS1和DCS2统一定级为一个系统,则其责任单位可由班组1和班组2的上级单位如安生部承担。 

(2)具有信息系统的基本要素

作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。在具体的工业控制系统中,PLC、RTU等所处理的业务是业务系统的一部分,其不具备信息系统的基本要素。 

(3)承载单一或相对独立的业务应用

定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。

应避免单个装置或设备(如PLC、RTU等)作为单个定级对象进行备案。同一安全区域同一安全责任单位同一等级的工业控制系统可以整合成一个系统进行备案。定级备案结果需相对合理,没有绝对正确和绝对统一的定级备案结果。 

四、存量工业控制系统等级测评与安全防护评估 

等级测评是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。工业控制系统安全防护评估是评估机构依据国家标准或行业评估规范等,对工业控制系统的安全防护状况进行评估的活动。等级测评和安全防护评估各有侧重与优势,宜同步开展测评与评估,有助于全面测评和评估单个已定级的工业控制系统自身的等级保护状况和与之互联或关联的其它工业控制系统的整体安全防护状况。等级测评与安全防护评估阶段的目标是按照系统安全总体方案的要求,结合系统安全建设项目计划,分期分步落实安全措施。

测评与评估阶段的工作流程如图2和图3所示。

图2 等级保护测评阶段工作流程

图3 安全防护评估阶段工作流程

五、存量工业控制系统整改与实施

存量工业控制系统安全整改是等级保护工作的重要环节。本活动发生在存量工业控制系统等级测评、安全评估、安全自查、监督检查等工作之后,主要是针对测评、评估、自查、检查工作中发现的安全问题进行有计划的建设整改或技术改造。

安全建设整改工作包括整改方案制定、安全整改实施、整改结果验证等主要过程。安全建设整改阶段的工作流程如图4所示。

图4  存量工业控制系统整改流程

存量工业控制系统的整改技术措施,应先在测试环境中测试和验证通过后,再部署到实际生产环境中,并尽量选择大小修期间、停机状态进行,避免对生产过程造成影响。整改实施前应制定应急措施,并做好备份工作,确保即使出现问题系统也能够回退并恢复到整改前的状态。

短期内可进行整改的技术类问题需要运行单位、开发单位、设计单位共同参与;需添加设备,与其他单位联合进行整改的安全问题,其整改周期较长,应列入技术改造计划,联合设计单位、开发单位、供应商以及其他运行单位共同进行。从开发单位、设备供应商获得技术支持有难度的,应上报上级单位或行业主管部门统一规划部署,依法依规协调督促系统和设备原厂提供商支持、配合系统单位的安全加固整改工作,有效落实网络安全整改措施。

对于行业普遍存在的、整改难度较大的安全问题,可上报行业主管部门,在行业主管部门的指导下,联合行业内其他单位共同选出典型单位,进行试点实施,形成经典案例,确认无误后再在其他同类单位推广应用。

整改过程中需采购新系统或新设备的,应当选择使用经过国家检测认证的系统及设备,禁止选用经国家相关管理部门检测认定并经通报存在漏洞和风险的系统及设备。管理类安全问题的整改可与技术类安全问题的整改同步进行,确保尽快完善管理制度体系,并保证技术措施和管理措施相互促进、相互弥补。

作者简介:陈雪鸿  国家能源信息中心高级工程师,主要研究方向为为电力信息化及其信息安全。

声明:本文来自工业安全产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。