近日,顶象成为工业控制系统信息安全防护能力推进分会(简称“工控安全推进分会”)会员单位,助力工控安全贯标试点示范,帮助工业企业开展工控安全防护工作。
工控安全推进分会由中国电子技术标准化研究院、中国电子信息产业发展研究院、工业和信息化部电子第五研究所、国家工业信息安全发展研究中心联合成立,聚焦促进工控安全防护能力提升,凝聚产学研用优势资源,重点推动工控安全“四个一”工作,助力国家工控安全保障体系建设。旗下工控安全防护能力贯标公共服务平台,主要为贯标工作开展提供基础技术支撑服务。
“工控安全贯标”的前世今生
工业控制系统作为制造业的“神经中枢”,事关工业生产稳定运行和人民生命财产安全,为保障工控系统安全,工业和信息化部陆续发布《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)、《工业控制系统信息安全防护能力评估工作管理办法》(工信软函〔2018〕188号)等系列政策文件,为建立工控安全防护体系指明方向。
2017年,全国信息安全标准化技术委员会2017年下达的信息安全国家标准制定项目(国标计划号:20173583-T-469),中国电子技术标准化研究院、工业和信息化部电子一所、国家信息技术安全研究中心等单位成立标准编制组,起草《信息安全技术工业控制系统信息安全防护能力评价方法》。
2019年,国家电网、海康威视、成都燃气、中石油长庆石化等单位开展标准内容试点验证。
2020年5月,标准编制组在全国信息安全标准化技术委员会和国家标准化管理委员会网站上发布标准相关材料,面向社会公开征求意见。
2020年9月,标准编制组召开闭门研讨会,邀请石油化工、能源电力等行业专家,召开闭门研讨会对本标准行业适用性、科学性、有效性等内容进行深入交流和探讨。
2020年12月,全国信息安全标准化技术委员会WG5(信息安全评估工作组)组织召开标准送审稿研讨会,会后标准编制组根据专家意见进行集中修改。
2021年4月,全国信息安全标准化技术委员会组织召开送审稿专家审查会,参会专家一致同意通过对本标准的审查。同时,为支撑工业控制系统信息安全行业主管部门工作需要,结合工业企业工控安全防护实际需求,标准文件修改为《信息安全技术工业控制系统信息安全防护能力成熟度模型》。
工控安全防护能力的三大维度
《信息安全技术工业控制系统信息安全防护能力成熟度模型》适用于工业控制系统设计、建设、运维等相关方进行工业控制系统信息安全防护能力建设,对组织工业控制系统信息安全防护能力成熟度进行评估。文件列出了工业控制系统信息安全防护能力的成熟度模型,规定了核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。
所谓“能力成熟度模型”就是对一个组织的能力成熟度进行度量的模型,包括一系列代表能力和 进展的特征、 属性、指示或者模式。具体来看,工控安全防护能力主要包含安全能力要素、能力成熟度等级和能力建设过程等三个维度。
1、安全能力要素维度:包含机构建设、制度流程、技术工具和人员能力等四方面。
2、能力成熟度等级维度:分为智能优化、综合系统、集成管控、规范防护和基础建设等五个等级。
3、能力建设过程维度:包含核心保护对象安全和通用安全两个方面。其中,核心保护对象安全主要包含工业设备安全、工业主机安全、工业网络边界安全、工业控制软件安全和工业数据安全等5个过程类,共计20个过程域,188个 基本实践;而通用安全主要包含安全规划与机构、人员管理与培训、物理与环境安全、监测预警与应急相应、供应链安全保障等5个过程类,共计20个过程域, 177个基本实践。
工控安全防护能力的五个等级
工控安全防护能力成熟度等级划分为五级:1级是基础建设级,包括45项安全要求;2级是规范防护级,包括167项安全要求;3级是集成管控级,包括259项安全要求;4级是综合协同级,包括320项安全要求;5级是智能优化级,包括365项安全要求。
级别1,基础建设级:组织能够依据工业控制系统信息安全防护的技术基础和条件开展基本保护工作,安全防护能力建设主要基于特定业务场景,尚未形成规范化、流程化的工作方式,相关工作多依赖信息安全人员主观经验,建设过程未要求以文档形式记录,无法形成可复制。
例如,工业控制系统信息安全防护PA可被标识,初步建立工业控制系统信息安全管理制度,但主要基于组织的特定业务场景和知识经验水平,未形成规范化、流程化的工作方式。
级别2,规范保护级:组织建立并记录工业控制系统信息安全防护能力建设工作,能够针对工业控制设备、工业主机、工业网络、工业数据等方面,制定规范化安全防护制度、规章,使得组织能够以重复的方式执行,采用数字化装备、信息技术手段等,有针对性的开展安全防护,面向各方面形成独立、可复制的安全防护能力。
例如,工业控制系统信息安全防护PA(过程域,就是实现同一安全目标的相关工业控制系统信息安全防护基础实践的集合)管理符合标准的规定,相关BP(基本实现,就是实现某一安全目标的工业控制系统信息安 全防护相关活动)的执行是规范化的,并可对实践情况进行过程验证,与等级1“基础建设”主要区别是BP执行过程被规范地计划和管理。
级别3,集成管控级:组织能够对工业控制系统设备、主机、系统、网络、数据等方面,在规范防护已有工作基础上,通过集成化工具、系统等,对相对独立的单点防护设备进行集中统一管控,同时整合相关防护规章制度文件,形成体系化制度,实现组织内部工业控制 系统信息安全的集中管理、统一控制的安全防护能力。
例如,对工业控制系统设备、主机、系统、网络、数据等方面进行集中统一管控,并形成体系化制度。与等级2“规范防护”的主要区别在于,使用集成化工具来策划和管理工业控制系统信息安全。
级别4,综合协同级:组织能够面向不同产线、厂区、工厂及产业链上下游相关单位,统筹考虑信息安全风险需求,开展安全防护建设,建立多级协 同的安全管理体系,并通过态势感知、统一管控等技术手段实现综合决策、协调防护的安全能力。
例如,统筹考虑不同产线、厂区、工厂及产业链上下游相关单位的信息安全风险需求,建立多级协同的安全防护体系。与等级3“集成管控”的主要区别在于执行过程的综合决策和协调防护。
级别5,智能优化级:组织能够采用人工智能、主动防御、内生安全等先进技术,与已有安全防护设备、系统、制度体系深度融合,使得可通过知识学习、 智能建模分析等技术,构建可智能化演进的安全防护系统,形成具有自决策、自进化能力的安全防护体系。
例如,将已有安全防护设备、系统、制度体系进行深度融合,形成具有自决策、自进化能力的安全防 护体系。与等级4“综合协同”的主要区别在于执行过程的智能优化和演进。
顶象助力工业互联网安全建设
顶象是一家以大规模风险实时计算技术为核心的业务安全公司,旨在帮助客户构建自主可控的风险安全体系,实现业务可持续的增长。作为CNNVD(国家信息安全漏洞库)、CICSVD(国家工业信息安全漏洞库)重要技术支撑单位,顶象是工信部、人保部、共青团中央等12个部门主办“2020年全国工业互联网安全技术技能大赛”的出题方和裁判员,并获得主办方颁发的“突出贡献奖”荣誉称号。
基于多年安全技术研究、业务安全攻防实战经验,顶象推出了一整套工控安全智能防护系统,拥有漏洞挖掘、未知威胁发现、风险预测感知、威胁欺骗诱捕、主动安全防御能力,为石油石化、能源电力、轨道交通、智能制造等工业领域提供覆盖全生命周期的安全体系。
漏洞挖掘能力
顶象洞见实验室致力于工控安全深度攻防技术研究,主要面向底层工控设备和装置( PLC、DCS、SCADA等)以及各类组态软件的漏洞挖掘和安全研究,拥有30余名资深安全研究人员团队,基于领先的工业系统漏洞挖掘与利用、漏洞模糊测试和工业协议分析技术,每月平均挖掘原创0day漏洞100个以上,为国内外数十家知名工业企业提供过安全检测服务,获得了客户的高度认可与好评。
通过符号执行和污点跟踪分析,结合顶象独有的人工智能技术,实现X86、X86_64、 ARM、MIPS等主流架构的无源码二进制文件漏洞挖掘,能够快速定位包括内存越界、溢出等各种类型安全漏洞。并通过集成了数万种扫描插件的自主研发的非入侵式无损智能扫描系统,对设备进行完整性、脆弱性、安全性进行全面检测与评估,提升设备的安全性、可靠性和稳定性。
安全防御能力
独有的“虚拟补丁”技术,能够自动生成基于已知漏洞的针对性防护策略,实时监控各类工控漏洞攻击,阻断各类威胁。同时能够实时发现当前网络中的存在的各类资产,识别数据流中的各种网络攻击,并能够对重要操作行为进行安全审计。这是业内首个不依赖设备厂家升级和修复、无要专业人员手动操作,也可以完成未知缺陷动态修复的解决方案。该方案修复功能完全可逆可追溯,确保生产环境完全可控。
未知威胁发现能力
基于顶象领先的人工智能和安全技术,通过有/无监督的机器学习的威胁行为建模,对被检系统中的行为进行自动聚类与分类,精准识别网络内的正常和异常行为,发现各类潜在攻击和未知威胁,提升网络和设备的安全检测结果,协助安全运维人员将威胁消灭在萌芽状态,进一步提升整体的安全性。
风险感知预测能力
基于知识图谱技术,打通不同层次的风险数据,实现风险的统一的采集、汇聚、融合与关联。结合内部和外部风险知识,深入挖掘分析,形成独有的风险知识图谱。进而追溯风险原因和传播机制,实现风险的感知和预测,协同网内往外联防联控,帮助安全人员制定更科学有效的防护策略,让企业从被动防御转为主动保障。
威胁诱捕能力
先进的第三代的欺骗诱捕技术,通过自动化高度仿真海量的资产和服务,主动引诱攻击者攻击仿真的“幻影系统”,详细观察记录攻击手法、入侵行为、访问记录、威胁破坏等。并通过实时的行为分析,结合关联网络、智能模型建设和风控引擎,对攻击者进行快速溯源和风险特征分析,帮助运营者进行针对性防御。该技术在每年的实战攻防演习得到充分实践证明,目前已在多个企业落地,良好保障了行业企业的业务安全运行。
成为工控安全推进分会会员单位后,顶象将发挥自身能力和优势,助力工控安全贯标试点示范,帮助工业企业开展工控安全防护工作,增强企业员工安全意识,提升企业安全防护和管理水平,保障工业互联网业务安全运行,推动行业健康发展。