金台资讯工业信息安全标准体系研究与思考

随着信息化和工业化的深度融合 , 传统的工业生产系统逐步由单机走向互联 , 由封闭走向开放 , 极大促进了工业生产的网络化、智能化、协同化 。 但同时也带来了工业信息安全风险隐患 , 加强工业信息安全标准化工作、发挥标准在工业信息安全建设中的引导作用 , 已成为保障工业信息安全的一项重要工作 。 然而 , 当前我国工业信息安全相关概念颇多 , 工业互联网安全、工业控制系统安全、工业物联网安全、工业云安全、工业互联网平台安全、工业数据安全等概念相互交叉重叠 , 甚至同一个名词在不同的领域会有不同的含义 , 概念的模糊不清使得在标准研制、应用等过程中存在概念理解偏差、条款解读不到位等问题 。 此外 , 我国工业信息安全标准重复和缺失现象并存 , 体系化建设不足 , 标准化工作相对滞后 。 因此 , 为体系化推进工业信息安全标准化建设 , 急需厘清工业信息安全相关概念 , 建立完善工业信息安全标准体系 , 更加科学地指导工业信息安全标准化工作 。
一、工业信息安全概念与内涵
工业信息安全是近年来新兴的一个概念 。 国内最早包含工业信息安全一词的官方政府文件是《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号) , 该文件的7项重点任务之一就是“提高工业信息系统安全水平” , 明确规定要“制定完善工业信息安全管理等政策法规 , 健全工业信息安全标准体系……提升工业信息安全监测、评估、验证和应急处置等能力” 。
直观理解 , 一切涉及工业领域的信息安全都属于工业信息安全范畴 , 其内涵十分丰富 。 从重要性来看 , 工业信息安全是网络安全的重要组成 , 是国家总体安全观在工业领域的重点体现 , 事关经济发展、社会稳定和国家安全 , 做好工业信息安全工作是关系国计民生和国家长治久安的大事;从保障内容来看 , 工业信息安全泛指各工业相关领域的信息安全 , 包括工业控制系统安全、工业互联网安全、工业互联网平台安全、工业物联网安全、工业数据安全、工业云安全等 , 相关概念之间的关系如图1所示 。
其中 , 工业互联网安全属于工业信息安全的子集 , 因为工业互联网的两大属性是“工业”和“互联” , 而实际工业生产经营过程中 , 还存在未连入工业互联网的工业系统和设备 , 其信息安全也属于工业信息安全范畴 。 工业互联网包括工业云、工业数据、工业控制系统、工业物联网及其他新兴的工业互联网形态 。 工业云是工业互联网平台及工业物联网的基础技术 。 工业互联网平台除工业云外 , 还包括边缘层、工业应用以及平台上的工业数据 , 并且与工业物联网有交叉关系 。 工业控制系统的硬件构件与物联网之间存在交叉关系 。 由此 , 各相关对象之间的安全关系也有了对应关系 。
金台资讯工业信息安全标准体系研究与思考
文章图片
图1工业信息安全概念图
综上 , 与传统计算机网络安全相比 , 工业信息安全在保障对象、安全需求等方面有其特殊性 。 例如 , 工业信息安全的主要目的是确保工业(产业)发展的安全 , 其保护需求往往融合考虑了信息安全、功能安全和生产安全等多种安全需求 , 更侧重于维护生产或运行过程的可靠稳定 。 工业属性带来的保护场景多样、安全措施通用性较差等给工业信息安全带来了挑战 , 传统的网络安全保障体系已难以做到全面有效防护 , 亟待建立更专业的工业信息安全保障体系 。
二、工业信息安全标准体系建设思路及框架
2019年3月8日 , 工业和信息化部与国家标准化管理委员会联合发布《工业互联网综合标准化体系建设指南》 , 该指南第三章明确提出工业互联网标准体系框架 , 框架对安全标准进行了系统的描述 。 2019年5月13日 , 《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)等标准正式发布 , 等保2.0时代正式来临 。 相较于等保1.0标准 , 等保2.0标准扩展了云计算、移动互联、物联网、工业控制以及大数据安全等新技术新应用的安全保护要求 , 保护对象更加全面 , 内涵更加丰富 。 其中 , 等保2.0标准安全框架明确提出了“应针对等级保护对象特点建立安全技术体系和安全管理体系 , 构建具备相应等级安全保护能力的网络安全综合防御体系” 。 依据《工业互联网综合标准化体系建设指南》及等保2.0标准的安全框架的要求 , 本文按照多维考虑、横向分类、纵向分层的总体思想 , 构建了如图2所示的工业信息安全标准体系框架 。 其中基础共性标准是指基础性、纲领性、框架性等方面的标准 。 横向分类是指从多个维度分类提出工业信息安全标准 , 包括但不限于以下4个维度 。