关键词：工业控制系统；成熟度模型；信息安全

1　引言

随着信息技术的快速发展，工业控制系统面临着越来越多的信息安全威胁，保护工控系统免受恶意攻击和未授权访问的影响变得越来越关键。因此，工业控制系统信息安全防护的重要性日益凸显，提高工业控制系统的信息安全防护能力变得至关重要。为提升企业工业控制系统信息安全领域综合防护能力，并贯彻落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》有关要求，中国电子技术标准化研究院联合“产学研用测”41家单位通过对现有的信息安全技术和工业控制系统的特点进行综合考量，历时多年共同研制发布了《成熟度模型》国家标准。

《成熟度模型》标准从机构建设、制度流程、技术工具和人员能力4个方面对企业所处的防护水平进行了指标评价，为企业评估和提升工业控制系统信息安全防护能力提供了科学的依据和方法，对企业工业控制系统信息安全建设极具参考价值。

2　标准综述

《成熟度模型》给出了工业控制系统信息安全防护能力成熟度模型，规定了核心保护对象安全和通用安全的成熟度等级要求，提出了能力成熟度等级核验方法，适用于工业控制系统设计、建设、运维等相关方进行工业控制系统信息安全防护能力建设，以及对企业工业控制系统信息安全防护能力成熟度等级进行核验。

该成熟度模型是对企业的能力成熟度进行度量的一个模型，为企业衡量其当前的实践、流程、方法的能力水平提供了参考基准。该模型包括安全能力要素、能力成熟度等级和能力建设过程三个维度，如图1所示。

图1 成熟度模型架构

（1）安全能力要素

安全能力要素从机构建设、制度流程、技术工具和人员能力四个方面对企业工业控制系统信息安全防护过程应具备的安全能力进行了量化，是客观评价企业工控安全防护能力的主要评价指标。

机构建设是确保工业控制系统信息安全的基础，它涉及到信息安全机构的设立、职责分配、沟通协作等多个方面。通过明确组织结构和职责分配，企业可以更好地实施信息安全策略，应对各种信息安全威胁和挑战。

制度流程的核心作用是保障企业构建并维持一套健全、系统的安全管理体系及操作流程，以此规范企业人员的安全操作行为，保证信息安全措施得以切实执行，并促进持续优化以适应不断演进的安全挑战。

技术工具的主要作用是通过有效的技术手段和产品工具来落实安全要求，保护工业控制系统免受各种安全威胁，旨在提高系统的安全性、可靠性和韧性，确保工业控制系统的正常运行和生产安全。

人员能力的主要作用是确保企业具备足够的专业技能和知识，以便有效执行信息安全防护工作，并持续提升人员的安全防护水平。

（2）能力成熟度等级

能力成熟度等级根据安全能力要素所处能力水平，自低向高将企业工控安全防护能力定义为基础建设级、规范防护级、集成管控级、综合协同级、智能优化级5个不同级别。能力成熟度等级的划分可以更加精确地评估企业在信息安全防护方面的能力和水平。通过划分等级，可以为企业提供明确的安全防护目标和方向，指导其逐步提升安全防护能力。

（3）能力建设过程

能力建设过程对核心保护对象和通用保护对象共计10个过程类提出了相应的安全防护要求，为工业控制系统信息安全防护提供了一套系统化、分层次的实施框架，以指导和评估工业企业在信息安全防护方面的能力建设，确保工业控制系统的信息安全防护能力得到全面提升和持续优化。

3　基于成熟度模型架构的防护建设浅析

3.1　能力成熟度模型等级分析

工业控制系统信息安全防护能力建设过程维度共包含10个过程类、40个过程域，共计365个基本实践。其中10个过程类分别从核心保护对象和通用安全进行了划分。具体过程类与过程域的内容可参考图2所示。

图2 成熟度模型过程类与过程域

依据对这10个过程类在安全能力要素维度的基本实践要求，下文分别对各成熟等级的安全防护要求进行了分析。

（1）能力成熟度等级1—基础建设级

该等级主要基于企业的特定业务场景和知识经验水平，在现有的工控安全防护的技术基础和条件上，开展工业控制系统信息安全防护能力建设，如表1所示。

表1 基础建设级要求解析

该等级建设还未形成规范化、流程化的工作方式，相关工作多依赖信息安全人员主观经验，建设过程对于文档形式记录也未要求，无法对安全建设工作进行再复制。

（2）能力成熟度等级2—规范防护级

该等级的企业可以建立并记录工控安全防护能力建设工作，可以涵盖工业控制设备、工业主机、工业网络和工业数据等关键领域，并可以使企业能够以重复的方式执行。该等级的企业还可以通过采用数字化装备、信息技术手段等，有针对性地开展安全防护，在各个层面构建起独立且可复制的安全防护能力，如表2所示。

表2 规范防护级要求解析

（3）能力成熟度等级3—集成管控级

该等级的企业在已实施的规范防护措施基础上，进一步利用集成化工具与系统，对工业控制系统中的设备、主机、系统、网络及数据等实施集中统一的管控。同时，该等级的企业整合并优化相关防护规章制度，构建体系化的管理制度，以增强企业内部工控安全在集中管理和统一控制方面的能力，如表3所示。该等级与规范防护级的主要区别在于其使用集成化工具来策划和管理工业控制系统信息安全，提高了工作效率和防护能力。

表3 集成管控级要求解析

（4）能力成熟度等级4—综合协同级

该等级的企业在面对不同产线、厂区、工厂以及产业链上下游相关单位时，可以综合考量安全风险需求，开展安全防护建设工作，并可以建立一个多层次、协同工作的安全管理架构，利用态势感知、集中管理等技术，实现对安全威胁的快速响应和有效防御，达成综合决策、协调防护的安全能力，如表4所示。该等级与集成管控级的主要区别在于其强化了执行过程的综合决策和协调防护要求。

表4 综合协同级要求解析

（5）能力成熟度等级5—智能优化级

该等级的企业可运用人工智能、主动防御、内生安全等先进技术，使其与已有的安全防护设备、系统、制度体系深度融合，从而构建能够智能化演进的安全防护系统，打造自我进化、自我优化的安全防护体系，如表5所示。与综合协同级的主要区别在于其执行过程的智能优化和演进能力，能够实现自动优化和适应性改进。

表5 智能优化级要求解析

基于对工业控制系统信息安全防护能力成熟度模型五个等级要求的深入分析，本文提出了从机构建设、制度流程、技术工具和人员能力四个关键安全要素出发的能力建设思路。借助这四个安全要素的能力建设，推动工业企业整体工控安全防护能力逐步提升。

3.2　防护能力建设思路

（1）机构建设

建立一个健全、务实、有效、统一指挥、统一步调的完善的安全管理机构，明确机构成员的安全职责，是安全管理得以实施、推广的基础。

企业应设置专门的工业控制系统安全管理机构，成立由企业负责人牵头，信息化、生产管理、设备管理等相关部门组成的信息安全协调小组。各相关部门在信息安全协调小组的指导下，按照管理机制，明确工控安全管理责任人，落实工控安全责任制，部署工控安全防护措施。通过管理机制，企业实现对工业控制系统信息安全防护人员的角色及其职责分配，并建立有效的工作考核机制。

（2）安全管理制度

网络安全管理制度是开展工业控制系统安全建设、运行、运维以及安全管理工作必须遵从的管理办法、规范、细则；网络安全管理制度体系文件可以采取多级模式，构建层次清晰、功能相对独立的管理制度体系，便于企业参照并开展制度体系建设。具体管理制度体系可参考图3所示。

图3 多级模式管理制度体系

（3）技术工具

图4 工业控制系统信息安全防护技术框架

根据《成熟度模型》中10个过程类中的5个成熟度等级的技术工具部分的要求，本文构建了一个全面的工业控制系统信息安全防护技术框架，如图4所示。该框架详细阐述了为满足技术工具要求所需采取的关键技术措施，并推荐了相应的安全产品和服务。企业可参照此框架，结合自身评估的成熟度等级，选择适宜的技术措施和推荐的安全产品及服务，以确保符合国家标准的成熟度等级要求，实现信息安全的系统化管理和防护。

（4）人员能力

企业可以通过对相关技术人员进行相应的培训或者组织相关人员通过考取相关的防护资质，来达到人员能力的提升。通过人员能力的提升，可以使企业的相关人员具备工业控制系统信息安全防护资质和工程实践经验，充分理解企业在工业控制系统信息安全防护过程中面临的安全风险，具备风险控制和改进方案的能力。

4　企业应用成熟度模型步骤

基于上文对成熟度模型架构及其防护建设深度的分析，企业可以依据自身的成熟度等级，有效运用该成熟度模型来加强工业控制系统的信息安全防护能力。实际的应用流程如图5所示，为企业提供了分步骤实施的具体指导。

图5 成熟度模型使用步骤

（1）选择适合的成熟度等级

在使用成熟度模型时，企业首先需要根据工业控制系统信息安全防护能力成熟度等级的定义，并结合业务实际情况，通过自我评估自身的工业控制系统信息安全防护能力，可以从机构建设、制度流程、技术工具和人员能力等方面进行自我评估。企业根据自我评估结果选择拟达到的工业控制系统信息安全防护能力成熟度等级。

（2）选择适用的安全域

在确定拟达到的能力成熟度等级后，企业根据工业控制系统核心保护对象所覆盖的业务场景防护要求，选取适用于自身的工业控制系统信息安全防护过程域。对于不适用于企业目前的业务场景防护要求，可以直接将其删除，无需进行相应等级核验。

（3）进行成熟度等级核验

企业基于对能力成熟度模型各过程域内容的理解，进行成熟度等级核验，看等级评估是否准确。

（4）识别与核验等级的差距

根据选择的安全域的安全要求与自身的安全现状对比，企业识别工业控制系统信息安全防护能力现状并分析与核验等级之间的差异，根据识别的结果，确定要改进的具体目标和内容。

（5）制定防护能力提升计划

在识别的基础上，企业制定工业控制系统信息安全防护能力提升的具体的行动计划，通过依据行动计划逐步实施改进措施，并定期进行复审，以确保安全措施得到有效执行，并根据最新的安全威胁和技术发展进行相应的措施调整。

伴随着企业业务的发展变化，企业可定期复核、明确适合的能力成熟度等级，按照成熟度模型使用步骤，重新进行等级确定、安全过程域选择等，逐步提升其工业控制系统信息安全防护能力。至此，从识别目标成熟度等级开始，到最终的实施和复核，构成了一个全面的循环体系。通过这个“5步法”的闭环流程确保了企业能够有条不紊地增强其工业控制系统的信息安全防护能力，以使企业持续改进及不断适应新的安全挑战。

5　结语

《成熟度模型》为企业的工业控制系统信息安全建设提供了全面、系统的指导框架。通过遵循国家标准，结合企业实际情况，企业可以构建起一套科学、有效的信息安全防护体系，从而保障工业控制系统的安全稳定运行。本文通过对成熟度模型框架各等级要求进行深入研究和分析，并在此基础上从安全能力要素的维度提出了企业工业控制系统安全防护建设思路，为企业在网络安全体系建设方面提供了一定参考。

作者简介

张　芸（1986-）女，河北邯郸人，硕士，现就职于北京天融信网络安全技术有限公司，主要从事工业控制系统安全、工业互联网安全方面的研究。

参考文献：

[1] NIST. SP 800-53 Rev.5. Security and privacy controls for information systems and organizations[EB/OL]. (2021-08-01).

[2] NIST. SP 800-82 Rev.2. Guide to industrial control systems (ICS) security[EB/OL]. (2021-08-15).

[3] Cybersecurity and infrastructure security agency. Shifing the balance of cyber-security risk: principles and approaches for security by design and default[R].

2023.

[4] 朱琳, 陆明. 信息系统建设者视角下生命周期安全管理研究[J]. 信息安全研究, 2020, 6 (12) : 1139 - 1144.

[5] 姚相振, 赵梓桐, 周睿康, 等. 《信息安全技术工业控制系统信息安全防护能力成熟度模型》国家标准解读[J]. 国家标准解读信息安全报, 2020: 48 - 52.

摘自《自动化博览》2025年1月刊