内容概述：随着新漏洞的不断出现或攻击手段的提高，现有设备及系统的安全防护能力将无法抵御新的攻击手段，因此工业用户需要进行现场测评和周期性评估，以适应变化的安全环境，通过评估结果呈现的风险趋势，并根据定制KPI安全指标综合分析风险，帮助工业用户识别、控制、降低或消除安全风险。本文基于持续“PDCA”的工控安全运维管理是依据国家相关标准、规范和指南要求，面向企业用户、针对工控网络与系统，简要介绍所开展的全生命周期安全运维管理。通过循序渐进的评价和改进，统计隐患和潜在的工控安全隐患的实时趋势，持续提供风险分析报告及安全整改建议，帮助企业发现漏洞，降低工业企业网络与信息安全风险。

关键词：工控安全运维；PDCA；测试评估服务；工控安全风险

1　工控系统应用与安全风险的博弈

工业控制系统面临的风险，除了产品本身存在的出厂缺陷、软件更新速度慢、防护策略缺失等因素外，核心要素还是因为联网而引发的不确定性。但是技术发展的趋势是不可逆的，在面临新技术、新应用、新模式冲击的同时，也接受着信息化、网络化、智能化所带给我们的便利，以及因开放、共享带来的安全问题。因此，工控网络与信息系统作为网络安全中的关键信息基础设施，信息管理人员必须做好防护工作，以保障“两化融合”发展过程的快速、持续和稳定。

1.1　两化融合、智能制造的大趋势

两化融合的提出背景是人类社会经过多年发展，进入了信息文明阶段。人类社会文明走过了三个阶段，并与之相对应产生了三种文明形态。

第一是农业阶段，大家从一万多年前形成了农业文明；第二从十七世纪末开始进入了工业文明，与之相对应形成了工业文化。那么从20世纪50年代开始经过第三次浪潮的描述，也就是说世界进入了信息化阶段。在农业阶段解决了人类的生存问题，在工业阶段解决了机器代替手工，快速提高人类生活品质的问题。在信息化阶段，通过信息通信技术实现了社会与经济的融合，将信息化贯穿了人类生活的方方面面。

工业化正经历世界经济的第三次革命，随着科学与技术革命的发展，其内涵也在不断的发生变化。工业化经历了三次的工业革命的剧变，第一次工业革命以1775年，蒸汽机发明为代表的大机器生产取代手工业生产，极大提高了生产力。第二次工业革命，自然科学开始同技术生产紧密结合起来，在提高生产力发展方面发挥更为重要的作用。第三次工业革命，是自动化技术快速发展提高了生产力，带来了全新的研发设计、生产制造和经营管理过程。在第三次工业革命有这样一些代表性的事件，1952年第一台数控机床的出现，1971年微处理芯片的发明，80年代初计算机辅助设计的技术在产品设计中的应用。那么第三次工业革命在不同的时期又可以分为数字化、网络化、智能化阶段。

1.2　信息产业发展与安全行业监管的两难境地

传统信息安全与工业控制信息安全区别之一是对业务的整合能力。传统信息安全在不同用户之间所面临的系统非常类似，而工控系统在不同用户、不同行业的应用方法存在很大差异，信息安全管理人员需要从企业生产和业务流程的视角，理解风险与安全。

作为工业领域的信息化决策者，首先要保证的一定是生产运行的实时性、持续性和稳定性，也就是信息和网络系统的功能性和可用性。信息化决策是由企业最高决策层负责的，俗称信息化工程皆为“一把手”工程，从决策主体的角度，保障了信息化和企业经营发展的高度一致。

虽然这些信息化、智能化技术提高了生产力并降低了成本，但它们使关键任务系统暴露在新的风险中，例如工业关键业务系统突然停机、上位机误操作和窃取敏感信息等，这些风险直接威胁到工业用户的业务增长和连续性。无论是短暂还是长时间的停机，在工业制造的操作环境中是至关重要的，并且直接影响公司的收入流，造成不可估量的损失。例如，在汽车行业业务的停机时间成本高达130万美元每小时。一旦攻击者进入连续生产的制造业工控网络，宕机的风险就会增加。恶意攻击者或可能的竞争对手可以关闭生产线，甚至破坏昂贵的机器，造成重大损失。

可当信息化系统遇到安全问题的时候，最高负责人普遍无法直接做出决策。一方面改善安全状况需要复杂的应对策略，而安全策略几乎没有固定的理论模型，只有依靠官方标准、行业经验和政策指南等推导出的试探性的方法。另一方面，安全建设并不会直接产生生产效益，这就要求安全防护解决方案要具备有效性和及时性。

根据调查，在大多数工业企业，对于工业网络中安全的决策者通常为CISO（首席信息安全官）或CSO（首席安全官），他们负责整个企业，包括传统IT/企业网络/业务网络和工业制造/生产/ SCADA网络的安全。尽管CISO/CSO是决策者，但真正工业网络的完善防护解决方案，还是需要了解工业控制或智能制造核心技术和业务流程的工作人员。因此，既保证信息化系统的正常运维，又要不损害系统可用性的无扰式管理和维护方法至关重要，这对工业企业来说几乎是极其困难的。因此，如何让企业信息化的各级参与者，都能够投入到信息安全的管理决策，是解决工业企业信息安全规则设计和管理运维的有效方法。

图1 分级需求管理

1.3　态势分析与预警的必要性

随着信息和网络技术的深入应用，决策者开始由发生了什么、为什么发生，过渡到将要发生什么、如何规避风险。现有的传统IT信息安全解决方案都不适合工业网络。传统IT信息安全解决方案通常是为某些特定入侵行为或活动而设计的防御集合，它可能会为工业现场的流程化生产，增加不必要的管理风险，从而危及工业业务本身的连续性。此外，这些解决方案无法覆盖复杂而又缺少公开资料的工业协议，因此无法在工业网络中最大限度地发挥它们的潜力。

对于工控安全的管理，除了需要引入“白名单”管理思想，还需要配合一定的态势感知预警平台，从而为各级决策部门提供主动风险监测、被动威胁发现、威胁情报收集与整合、威胁分析溯源等全方位、一体化态势感知服务。同时这些服务可以帮助控制工程师和工厂信息化系统管理者保持警觉，匹配预警等级，提前知晓风险，防范事故。

图2 决策进化的三个阶段

1.4　监管与保障的思考

网络信息安全问题不仅关乎广大人民群众工作生活，更与国家安全与国家发展息息相关。近些年，根据互联网安全事件事项涉及的领域，国家中央网络安全和信息化领导小组（以下简称“网信办”）、工业和信息化部、公安部等多家主要政府机构协同担负着互联网安全管理职能。

网信办着眼于国家安全和长远发展，统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题，研究制定网络安全和信息化发展战略、宏观规划和重大政策，推动国家网络安全和信息化法治建设，不断增强安全保障能力。

工信部承担着通信网络安全及其信息安全管理的责任，主要从宏观层面负责协调、维护国家层面信息安全，承担国家信息安全保障体系的建设，对政府部门、重点行业重要信息系统与基础信息网络的安全保障工作进行指导监督，同时负责协调网络与信息安全重大事件的处理。

公安部承担着对计算机信息系统安全保护工作进行监督、检查、指导；对计算机信息系统安全进行评估与审验；对计算机违法犯罪案件依法查处等多项职责。

而针对工控安全的监管责任还不够清晰，存在着“九龙治水”的现象，规模化工业企业往往面临着基础设施安全、等保测评和定期检查评估等同时监管的压力。ARC的一份市场调研显示，工业企业的首要需求是如何提升生产效率、提高生产利润，甚至很多工业企业才刚刚解决自动化和网络化的技术更新，在信息化方面还处于探索阶段。目前我国的工控安全领域发展与欧美发达国家相比尚有一定差距，但我国的市场有其特殊性和不可替代性，若有政府或相关机构组织站出来对行业适当保障和引导，避免无序发展，最终以行业应用推动市场发展，将催生更加庞大完善的市场。

如果政府过度参与，强制企业采取全方位的防护，成本会提到很高，对企业产生较大负担。工信部发布的《工业控制系统信息安全防护指南》值得参考，它指出工业企业还是首先进行风险评估，根据资产的重要程度、安全问题出现的概率、影响程度来采取适当措施加以防护比较权宜。我们建议：

加强安全意识；

普及安全知识；

持续关注风险；

逐步推进防护；

推广应用示范。

2 “PDCA”管理与对标服务体系

为使工业企业管理人员对关键信息基础设施树立和保持安全意识，在适当的时间采取适当的措施，以及在长期的网络安全态势中发现最新风险，需要一种持续的全生命周期管理方法来管理工控网络和工控系统，进而循序渐进地改进防护方案。我们引入了“PDCA”方法和“对标”思想来解决以上问题，结合主动监测、可视化交互、被动威胁感知等技术，让用户能够方便进行风险管理，在纷繁复杂的防护解决方案中做出经济、适合、实用的决策。

2.1 “PDCA”循序渐进体系

PDCA管理循环，由美国质量管理专家戴明提出，又称戴明环。它是全面质量管理所应遵循的科学程序。PDCA循环作为全面质量管理体系运转的基本方法，其实施需要搜集大量数据资料，并综合运用各种管理技术和方法。全面质量管理活动的全部过程，就是质量计划的制订和组织实现的过程，这个过程就是按照PDCA循环，不停顿地周而复始地运转。

P（计划 PLAN）：从问题的定义到行动计划；

D（实施 DO）：实施行动计划；

C（检查 CHECK）：评估结果；

A（处理 ACTION）：标准化和进一步推广。

图3 PDCA的发展过程

（1）特点

PDCA循环，可以使我们的思想方法和工作步骤更加条理化、系统化、图像化和科学化。它具有如下特点：

大环套小环，小环保大环，互相促进，推动大循环；

PDCA循环是爬楼梯上升式的循环，每转动一周，质量就提高一步；

PDCA循环是综合性循环，4个阶段是相对的，它们之间不是截然分开的。

（2）八个步骤

步骤一：分析现状，找出题目：强调的是对现状的把握和发现题目的意识、能力，发掘题目是解决题目的第一步，是分析题目的条件。

步骤二：分析产生题目的原因：找准题目后分析产生题目的原因至关重要，运用头脑风暴法等多种集思广益的科学方法，把导致题目产生的所有原因统统找出来。

步骤三：要因确认：区分主因和次因是最有效解决题目的关键。

步骤四：拟定措施、制定计划（5W1H）即：为什么制定该措施（Why）？达到什么目标（What）？在何处执行（Where）？由谁负责完成（Who）？什么时间完成（when）？如何完成（How）？措施和计划是执行力的基础，尽可能使其具有可操性。

步骤五：执行措施、执行计划：高效的执行力是组织完成目标的重要一环。

步骤六：检查验证、评估效果：“下属只做你检查的工作，不做你希望的工作”IBM的前CEO郭士纳的这句话将检查验证、评估效果的重要性一语道破。

步骤七：标准化，固定成绩：标准化是维持企业治理现状不下滑，积累、沉淀经验的最好方法，也是企业治理水平不断提升的基础。可以这样说，标准化是企业治理系统的动力，没有标准化，企业就不会进步，甚至下滑。

步骤八：处理遗留题目。所有题目不可能在一个PDCA循环中全部解决，遗留的题目会自动转进下一个PDCA循环，如此，周而复始，螺旋上升。

2.2　标准与规范的选择

2.2.1　工业控制系统安全控制应用指南GB/T32919-2016

安全（security）及其相关概念间的关系。其中的控制是指：应用于工业控制系统中管理、运行和技术上的保护措施和对策，以保护工业控制系统及其信息的保密性、完整性和可用性等。应用这些控制的目的是，减少脆弱性或影响，抵御工业控制系统所面临的安全威胁，从而缓解工业控制系统的安全风险，以满足利益相关者的安全需要。

图4 安全（SECURITY）及其相关概念

工业控制系统安全是一项系统工程，单一的产品和技术不能有效地保护工业控制系统安全，组织应在充分挖掘工业控制系统安全需求的基础上，制定满足组织使命和业务功能需求的工业控制系统安全战略。

图5 安全控制基线完善过程

针对工业控制系统存在的脆弱性，分析工业控制系统面临的威胁和风险，评估风险发生的可能性以及风险发生可能造成的影响和危害，制定风险处置原则和处置计划，将工业控制系统安全风险控制在可接受的水平。

图6 工业控制系统的安全控制的三个级别

2.2.2　工业控制系统信息安全防护指南

2016年10月17日《工业控制系统信息安全防护指南》正式印发，为工业企业如何开展工业控制系统信息安全工作提供了可操作性的防护措施，并可进一步提升相关人员的工业控制系统信息安全防护意识，推进产业的整体良性发展，切实提升国家关键信息基础设施控制系统的安全防护水平。

自从2011年9月《关于加强工业控制系统信息安全管理的通知》（工信部协[2011]451号）文件发布之后，国内各行各业对工业控制系统信息安全的认识都达到了一个新的高度，电力、石化、制造、烟草等多个行业，陆续制定了相应的指导性文件，来指导相应行业安全检查与整改活动。451号文填补了国内工业控制系统信息安全的政策空白，由此拉开了行业发展的帷幕。

然而，随着国家信息安全机构职能的调整，工控安全管理工作在后续一段时间基本处于暂停状态。直到中编办对工信部在2015年9月16日发布的新“三定”职责中明确：“拟定工业控制系统网络与信息安全规划、政策、标准并组织实施，加强工业控制系统网络安全审查”，工控安全相关工作正式纳入工信部的职责范围之后，工信部以信息化和软件服务司为主管司局，开始加快工控安全的保障工作。今年5月20日，《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号）文件明确提出:“以提升工业信息安全监测、评估、验证和应急处置等能力为重点，依托现有科研机构，建设国家工业信息安全保障中心，为制造业与互联网融合发展提供安全支撑。”《指南》共分为11个大项30个条目，涵盖了安全技术体系和安全管理体系。

2.3 “对标”方法

2.3.1　分值评估法

依据《工业控制系统信息安全防护指南》以及本方法中的评估内容及方法，明确了具体的评分方式，评价企业工业控制系统信息安全的防护能力的情况，并给出量化的评分标准。本评分标准从11个方面设置了30个大项，61个小项，129个评分细项。

（1）评分方法。评估标准满分为100分，评分采用扣分制，评分细项的分值作为评分的最小单元。

（2）高风险项。高风险项共25小项，其分值相对较高。高风险项是企业工控安全防护中基础和关键的项，其不满足要求可能造成较大信息安全风险，建议限期整改。

（3）基于证据的方法。为了保证评估结果的公正和客观，评分的判断须有充分的证据，证据包括负责人谈话、制度文件、运行记录、核查结果和测试报告等。

图7 信息的跨平台交互与共享

2.3.2　与业务系统的对应融合

在考虑“对标”打分项设计时，针对不同决策层级、复杂异构网络等问题，在考虑工控安全需求时，我们需要有针对性的解决方案。根据企业信息化普遍存在的“由上至下”的决策流程和“自下至上”的数据采集流程特点，我们需要将工控安全整体进行细致化的拆分，再结合具体企业的自身特点，根据各环节对生产运行影响的危害程度，精准设计可实践、可执行的信息安全决策过程。

作者简介：

魏钦志，烽台科技（北京）有限公司联合发起人、董事长，灯塔实验室执行合伙人。工业控制系统信息安全产业联盟副秘书长，计算机病毒防御技术国家工程实验室技术委员会委员，中国化工学会青年委员。在智能制造、工业控制信息化和自动化行业有十余年工作经验，六年工控安全经验。参与并主导过工业信息安全产品设计，被发改委纳入信息安全专项资金的支持计划。带领团队参与和推动国内主要工控安全标准制订与应用，面向行业用户提供评估及保障服务。

摘自《自动化博览》2017年9月刊