工業(yè)信息安全應(yīng)急處置工具箱標(biāo)準(zhǔn)體系研究

張曉帆，黃海波，2，朱麗娜

（1.國家工業(yè)信息安全發(fā)展研究中心，北京 100036；2.北京郵電大學(xué)經(jīng)濟管理學(xué)院，北京 100876）

0 引言

工業(yè)信息安全是工業(yè)領(lǐng)域信息安全的總稱，從內(nèi)容來看，工業(yè)信息安全泛指工業(yè)運行過程中的信息安全，涉及工業(yè)領(lǐng)域各個環(huán)節(jié)，包括工業(yè)控制系統(tǒng)信息安全、工業(yè)互聯(lián)網(wǎng)安全、工業(yè)數(shù)據(jù)安全、工業(yè)云安全、工業(yè)物聯(lián)網(wǎng)安全等內(nèi)容。其核心任務(wù)就是要確保工業(yè)自動化、信息化、網(wǎng)絡(luò)化、智能化等基礎(chǔ)設(shè)施的安全。工業(yè)信息安全應(yīng)急處置工具箱適用于工業(yè)企業(yè)現(xiàn)場發(fā)生工業(yè)信息安全事件的快速應(yīng)急處置，作為一種工業(yè)級、一體化、專用型的安全產(chǎn)品，憑借豐富的處置功能、高效的分析能力和便捷的可操作性，已成為工業(yè)企業(yè)、安全企業(yè)開展現(xiàn)場應(yīng)急處置的必備工具。

1 研究背景意義

“十三五”以來，國家高度重視工業(yè)信息安全頂層設(shè)計，強化工業(yè)信息安全工作體系建設(shè)，落實工業(yè)企業(yè)主體責(zé)任，提升工業(yè)信息安全保障技術(shù)能力，為工業(yè)信息安全產(chǎn)業(yè)發(fā)展全面提速奠定了良好的基礎(chǔ)。隨著國家對工業(yè)信息安全及工業(yè)互聯(lián)網(wǎng)等產(chǎn)業(yè)的重視程度逐漸提升，行業(yè)利好政策不斷發(fā)布。2020年3月，工業(yè)和信息化部發(fā)布《工業(yè)和信息化部辦公廳關(guān)于推動工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》提出要加快健全安全保障體系，包括建立企業(yè)分級安全管理制度、完善安全技術(shù)監(jiān)測體系、健全安全工作機制以及加強安全技術(shù)產(chǎn)品創(chuàng)新，進(jìn)一步促進(jìn)我國工業(yè)信息安全行業(yè)的產(chǎn)業(yè)優(yōu)化升級。工業(yè)信息安全應(yīng)急工作作為守護安全的最后一道防線，作用至關(guān)重要。因此，研發(fā)推廣工業(yè)信息安全的應(yīng)急處置裝備，是落實國家工業(yè)信息安全防護能力建設(shè)整體部署的重要組成部分，是推進(jìn)建設(shè)制造強國和網(wǎng)絡(luò)強國建設(shè)不斷邁上新臺階的有效工作。

近年來全球工業(yè)信息安全事件日益頻發(fā)，工業(yè)領(lǐng)域逐漸成為黑客攻擊的重點目標(biāo)，工業(yè)企業(yè)對信息安全應(yīng)急處置裝備的需求不斷提升。在2020年新冠疫情全球大流行的背景下，國家工業(yè)信息安全發(fā)展研究中心共跟蹤公開發(fā)布的工業(yè)信息安全事件274件[1]，其中勒索軟件攻擊共92件，占比33.6%，涉及20余個國家的多個重點行業(yè)。勒索病毒已成為工業(yè)信息安全頭號威脅，新型勒索軟件直指工業(yè)控制系統(tǒng)。如2021年6月，美國核武器合同商Sol Oriens遭REvil勒索軟件攻擊；2021年5月，美最大燃油運輸管道商科洛尼爾被迫暫停輸送業(yè)務(wù)，對美國東海岸燃油供應(yīng)造成了嚴(yán)重影響，政府宣布緊急狀態(tài)；2020年12家電巨頭惠而浦遭Nefilim勒索談判失敗，敏感數(shù)據(jù)遭黑客泄露；2020年8月，佳能遭到Maze勒索軟件攻擊，據(jù)傳10TB重要數(shù)據(jù)被盜；2020年6月，本田汽車Honda遭受勒索軟件Snake攻擊，導(dǎo)致電腦和其他裝置無法作業(yè)，部分工廠停工。此外，據(jù)國家工業(yè)信息安全漏洞庫數(shù)據(jù)，2020年新增2138個工業(yè)信息安全漏洞，環(huán)比上升22.2%。其中涉及335家廠商。在收錄的通用型漏洞中，超危漏洞379個，高危漏洞899個，高危及以上漏洞占比62.5%。這些漏洞一旦被利用，將會造成破壞性后果。綜合來看，隨著我國工業(yè)信息安全行業(yè)的風(fēng)險逐年上升，下游工業(yè)企業(yè)對于信息安全的需求越發(fā)強勁，下游應(yīng)用領(lǐng)域內(nèi)企業(yè)對工業(yè)信息安全產(chǎn)品的需求促使工業(yè)信息安全行業(yè)發(fā)展趨勢向好，有利于工業(yè)信息安全行業(yè)的持續(xù)發(fā)展。然而由于工業(yè)信息安全與傳統(tǒng)網(wǎng)絡(luò)安全在原理上、技術(shù)上、功能上的顯著差異，市面上的網(wǎng)絡(luò)安全應(yīng)急工具箱、保合規(guī)工具箱等產(chǎn)品無法滿足此類需求，國內(nèi)的工業(yè)信息安全應(yīng)急處置箱產(chǎn)品及配套標(biāo)準(zhǔn)仍存在一定空白。

針對我國工業(yè)信息安全事件應(yīng)急處置工作中面臨工業(yè)現(xiàn)場缺少專業(yè)的信息安全應(yīng)急處置技術(shù)人員、易用的信息安全應(yīng)急處置技術(shù)工具、需要建立快速、可靠的協(xié)調(diào)聯(lián)動應(yīng)急處置機制等問題與挑戰(zhàn)，研發(fā)出一套科學(xué)有效的工業(yè)信息安全應(yīng)急處置工具箱，從而解決工業(yè)現(xiàn)場缺少專業(yè)的信息安全應(yīng)急處置技術(shù)人員、缺少易用的信息安全應(yīng)急處置技術(shù)工具以及工業(yè)信息安全事件需要建立快速、可靠的協(xié)調(diào)聯(lián)動應(yīng)急處置機制等問題。隨著工業(yè)信息安全應(yīng)急處置工具箱的試點工作逐步開展，目前亟需研制一套科學(xué)有效的工業(yè)信息安全應(yīng)急處置工具箱配套標(biāo)準(zhǔn)，為規(guī)范工業(yè)信息安全應(yīng)急處置工具箱技術(shù)指標(biāo)、指導(dǎo)相關(guān)產(chǎn)品研發(fā)使用、切實提高工業(yè)企業(yè)信息安全應(yīng)急技術(shù)保障能力等提供標(biāo)準(zhǔn)支撐。

2 國內(nèi)外研究現(xiàn)狀

目前，國內(nèi)外關(guān)于工業(yè)信息安全方面的標(biāo)準(zhǔn)主要集中與管理體系、技術(shù)理論和安全合規(guī)等方面內(nèi)容，缺乏具體針對工業(yè)信息安全應(yīng)急處置工具產(chǎn)品的具體標(biāo)準(zhǔn)。美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布的一系列關(guān)于信息安全的指南NIST SP800標(biāo)準(zhǔn)已成為美國和國際安全界廣泛認(rèn)可的實施標(biāo)準(zhǔn)，現(xiàn)有的192個標(biāo)準(zhǔn)最新相關(guān)標(biāo)準(zhǔn)為2020年發(fā)布的SP.800-184《網(wǎng)絡(luò)安全事件應(yīng)急指南》，規(guī)定了各類組織機構(gòu)應(yīng)如何在遭遇網(wǎng)絡(luò)攻擊后恢復(fù)并還原其安全性受到嚴(yán)重打擊的業(yè)務(wù)系統(tǒng)；我國工業(yè)信息安全標(biāo)準(zhǔn)化工作成果主要聚焦于工業(yè)控制系統(tǒng)安全，并正逐步形成涵蓋安全管理、系統(tǒng)安全防護、產(chǎn)品安全評估的工控信息安全標(biāo)準(zhǔn)體系，出臺了GB/T 25069-2010 《信息安全技術(shù) 術(shù)語》[2]、GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》[3]等標(biāo)準(zhǔn)規(guī)范，但絕大多數(shù)標(biāo)準(zhǔn)正處于草案或征求意見階段，且缺乏具體針對工業(yè)信息安全應(yīng)急的相關(guān)產(chǎn)品標(biāo)準(zhǔn)。

因此，本項目擬研制的《工業(yè)信息安全應(yīng)急處置工具箱產(chǎn)品標(biāo)準(zhǔn)》填補了國內(nèi)外該領(lǐng)域的研究空白，借鑒已有關(guān)于工業(yè)信息安全應(yīng)急領(lǐng)域重要的理論體系、管理規(guī)范、技術(shù)標(biāo)準(zhǔn)，具備一定的技術(shù)創(chuàng)新性、成果突破性和市場前瞻性。

3 工業(yè)信息安全應(yīng)急處置工具箱標(biāo)準(zhǔn)體系研究

3.1 范圍

工業(yè)信息安全應(yīng)急處置工具箱標(biāo)準(zhǔn)應(yīng)規(guī)定軍工、機械制造、石油石化、鋼鐵、市政等典型工業(yè)行業(yè)的通用工業(yè)信息安全應(yīng)急處置工具箱的型式、結(jié)構(gòu)組成及參數(shù)、要求、試驗方法、檢測規(guī)則、標(biāo)志、包裝、運輸和貯存。適用于針對工業(yè)信息安全事件的應(yīng)急處置工具箱類產(chǎn)品的設(shè)計、研發(fā)、生產(chǎn)、驗收、檢驗檢測。

3.2 主要技術(shù)內(nèi)容

（1）范圍：規(guī)定了軍工、機械制造、石油石化、鋼鐵、市政等典型工業(yè)行業(yè)的通用工業(yè)信息安全應(yīng)急處置工具箱的型式、結(jié)構(gòu)組成及參數(shù)、要求、試驗方法、檢測規(guī)則、標(biāo)志、包裝、運輸和貯存。

（2）規(guī)范性引用文件：GB/T 25069-2010 《信息安全技術(shù) 術(shù)語》、《工業(yè)控制系統(tǒng)信息安全防護指南》[4]、GB/T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》等。

（3）術(shù)語和定義；

（4）型式、結(jié)構(gòu)組成和基本參數(shù)：規(guī)定了工業(yè)信息安全應(yīng)急處置工具箱的型式、結(jié)構(gòu)組成、基本參數(shù)。工業(yè)信息安全應(yīng)急處置工具箱應(yīng)包括安全事件現(xiàn)場應(yīng)急所需的U盤、網(wǎng)線、HDMI高清線、上網(wǎng)卡等硬件線材工具、應(yīng)急處置技術(shù)平臺、數(shù)據(jù)取證、日志分析、流程分析、工業(yè)協(xié)議解析、威脅分析等軟件工具以及配套的遠(yuǎn)程應(yīng)急支援服務(wù)平臺。

（5）技術(shù)要求：規(guī)定了一般要求、使用環(huán)境條件、維修性、可靠性、設(shè)計及配置、制造和整體性能的要求。①性能要求：工具箱應(yīng)支持對工業(yè)主機、工業(yè)控制器、工業(yè)機器人、工業(yè)網(wǎng)絡(luò)設(shè)備等常用工業(yè)現(xiàn)場設(shè)備的應(yīng)急處置功能，支持千兆電口、光口、422/485串口等常見通訊接口，支持西門子、施耐德、ABB、三菱等典型工業(yè)設(shè)備的識別檢測等；②功能要求：應(yīng)具備資產(chǎn)管理、流量審計、日志分析、調(diào)查取證、處置報告生成、遠(yuǎn)程專家支援等應(yīng)急處置功能，為用戶提供專業(yè)、快速、全面的應(yīng)急檢測功能，并支持對檢測結(jié)果數(shù)據(jù)的關(guān)聯(lián)分析、統(tǒng)計對比。為提供更全面、實時、深入的應(yīng)急處置能力和完整可靠的應(yīng)急處置方案，應(yīng)急工具箱應(yīng)具備后端配套的遠(yuǎn)程應(yīng)急支援服務(wù)平臺，集成威脅情報數(shù)據(jù)、智能分析大腦和遠(yuǎn)程專家資源，提供全面一體化的工業(yè)信息安全應(yīng)急處置解決方案。③可靠性要求：為降低對工業(yè)生產(chǎn)現(xiàn)場不必要的干擾，工具箱應(yīng)在具備豐富處置功能、高效分析能力的基礎(chǔ)上，提供靈活的可接入性、輕量級的便攜性以及友好的用戶操作體驗，內(nèi)置的系統(tǒng)代碼經(jīng)過安全性檢測，連續(xù)運行6小時以上不會發(fā)生故障等。

（6）試驗方法：規(guī)定了實驗條件、各種運行試驗、可靠性試驗、運行速度檢測和安全性試驗的要求。（1）技術(shù)指標(biāo)試驗方法：應(yīng)對工業(yè)信息安全應(yīng)急處置工具箱的配套軟硬件、支持的工業(yè)現(xiàn)場設(shè)備種類、支持的協(xié)議識別種類、支持的設(shè)備品牌種類等進(jìn)行測試驗證；（2）功能指標(biāo)試驗方法：分別針對應(yīng)急工具箱的現(xiàn)場數(shù)據(jù)取證、攻擊行為檢測、協(xié)議識別解析、預(yù)置應(yīng)急處置模板、遠(yuǎn)程協(xié)同支援等核心功能及關(guān)鍵指標(biāo)進(jìn)行針對性詳細(xì)測試；（3）針對標(biāo)準(zhǔn)規(guī)定的相關(guān)指標(biāo)，開展工業(yè)信息安全應(yīng)急處置工具箱產(chǎn)品的穩(wěn)定性和可靠性測試驗證，如安全測試、穩(wěn)定性測試等。

4 結(jié)語

工業(yè)信息安全應(yīng)急處置工具箱是一種工業(yè)級、一體化、專用型的安全產(chǎn)品，該標(biāo)準(zhǔn)研制擬通過全面厘清工業(yè)信息安全應(yīng)急處置工具箱產(chǎn)品的維度要素，明確工業(yè)信息安全應(yīng)急處置工具箱的關(guān)鍵技術(shù)指標(biāo)，對工業(yè)信息安全應(yīng)急處置工具箱應(yīng)參照的技術(shù)指標(biāo)、功能指標(biāo)等通用產(chǎn)品規(guī)范作出規(guī)定，并梳理國防軍工、機械制造、石油石化、鋼鐵、市政等典型行業(yè)工業(yè)信息安全事件應(yīng)急處置的應(yīng)用場景、特點要求及相應(yīng)功能。研制實施該標(biāo)準(zhǔn)，可有效促進(jìn)提升工業(yè)企業(yè)安全事件應(yīng)急處置能力，進(jìn)一步提高我國工業(yè)信息安全應(yīng)急工作的體系化、流程化、標(biāo)準(zhǔn)化程度，為國家工業(yè)信息安全保駕護航。