今日頭條
官方微信
官方抖音
資訊頻道1 引言
為了符合工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)要求和產(chǎn)品功能要求,工業(yè)控制系統(tǒng)供應(yīng)商正在為工業(yè)控制系統(tǒng)產(chǎn)品開(kāi)發(fā)信息安全軟件,以滿足當(dāng)今主流市場(chǎng)工業(yè)用戶的迫切需求,從而達(dá)到其產(chǎn)品在市場(chǎng)的主導(dǎo)地位。由于工控信息安全事故頻發(fā),工業(yè)控制系統(tǒng)供應(yīng)商也在為其工控產(chǎn)品開(kāi)發(fā)一些更好的、更深層次的信息安全軟件,同時(shí),為工業(yè)用戶方便進(jìn)行工業(yè)控制系統(tǒng)運(yùn)作管理及其信息安全運(yùn)作管理,工業(yè)控制系統(tǒng)供應(yīng)商正努力應(yīng)對(duì)并開(kāi)發(fā)出相應(yīng)的工業(yè)控制系統(tǒng)信息安全監(jiān)控軟件。因此,在市場(chǎng)上開(kāi)始涌現(xiàn)各種各樣工業(yè)控制系統(tǒng)供應(yīng)商的信息安全監(jiān)控軟件。
隨著網(wǎng)絡(luò)安全的快速推進(jìn),工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)安全的重要組成部分,已經(jīng)引起人們的高度關(guān)注,工業(yè)控制系統(tǒng)供應(yīng)商在這方面也是短板,因此,傳統(tǒng)的信息安全產(chǎn)品供應(yīng)商憑借其網(wǎng)絡(luò)安全專業(yè)優(yōu)勢(shì),正快速進(jìn)入工業(yè)控制系統(tǒng)領(lǐng)域,為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)開(kāi)發(fā)出相應(yīng)的信息安全產(chǎn)品和信息安全軟件。最初,這些信息安全產(chǎn)品供應(yīng)商為滿足工業(yè)控制系統(tǒng)用戶信息安全要求,為工業(yè)控制系統(tǒng)安裝必要的網(wǎng)絡(luò)隔離設(shè)備,為用戶配置相應(yīng)的監(jiān)控軟件。其次,為擴(kuò)展工業(yè)控制系統(tǒng)整個(gè)網(wǎng)絡(luò)的監(jiān)控,他們與工業(yè)控制系統(tǒng)供應(yīng)商展開(kāi)合作,共同開(kāi)發(fā),既擴(kuò)展原網(wǎng)絡(luò)隔離設(shè)備的監(jiān)控,又整合工業(yè)控制系統(tǒng)供應(yīng)商各個(gè)控制網(wǎng)絡(luò)各設(shè)備的部分事件、網(wǎng)絡(luò)報(bào)警記錄,使得工業(yè)控制系統(tǒng)整個(gè)網(wǎng)絡(luò)的監(jiān)控成為可能。于是,工業(yè)安全監(jiān)測(cè)審計(jì)平臺(tái)、工業(yè)安全管控平臺(tái)等軟件監(jiān)控逐漸出現(xiàn),從而滿足工業(yè)控制系統(tǒng)用戶的信息安全要求。
同時(shí)我們還應(yīng)該看到,工業(yè)控制系統(tǒng)供應(yīng)商為工業(yè)控制系統(tǒng)產(chǎn)品開(kāi)發(fā)信息安全軟件,信息安全產(chǎn)品商為工業(yè)控制系統(tǒng)開(kāi)發(fā)網(wǎng)絡(luò)隔離設(shè)備、工業(yè)安全監(jiān)測(cè)審計(jì)平臺(tái)、工業(yè)安全管控平臺(tái)等軟件監(jiān)控,這基本能夠滿足一般工業(yè)控制系統(tǒng)用戶的信息安全需求。然而,工業(yè)控制系統(tǒng)用戶的快速發(fā)展,大型的工業(yè)控制系統(tǒng)用戶不斷發(fā)展壯大,對(duì)于大型廠級(jí)的企業(yè)用戶或者集團(tuán)公司級(jí)的用戶,需要對(duì)各個(gè)工廠工業(yè)控制系統(tǒng)信息安全進(jìn)行有效管理,那么在廠級(jí)或集團(tuán)級(jí)也需要這些信息安全信息。為此,一些專門從事企業(yè)資源計(jì)劃(ERP)管理軟件供應(yīng)商也開(kāi)始考慮如何在原有ERP軟件產(chǎn)品中增加這些工業(yè)控制系統(tǒng)信息安全信息, 于是,GRC(Governance, Risk and ComplianceManagement)企業(yè)管控、風(fēng)險(xiǎn)與符合性管理軟件正開(kāi)始走進(jìn)大眾的視野,也就是說(shuō),大型廠級(jí)集團(tuán)級(jí)企業(yè)用戶的工業(yè)控制系統(tǒng)信息安全管理可以納入GRC企業(yè)管控、風(fēng)險(xiǎn)與符合性管理軟件平臺(tái)。
工業(yè)控制系統(tǒng)供應(yīng)商、信息安全產(chǎn)品供應(yīng)商、企業(yè)管控軟件供應(yīng)商等通過(guò)相互合作,共同推進(jìn)工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控技術(shù)的發(fā)展,為工業(yè)控制系統(tǒng)用戶提供更多的信息安全管控選擇。其中,工業(yè)控制系統(tǒng)供應(yīng)商、信息安全產(chǎn)品供應(yīng)商的軟件與監(jiān)控是必備配置,而企業(yè)管控軟件供應(yīng)商的軟件與監(jiān)控則要視企業(yè)自身規(guī)模和管理要求選擇配置。
下面將對(duì)工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控架構(gòu)進(jìn)行介紹,對(duì)工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控進(jìn)行詳細(xì)分析,并對(duì)工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控趨勢(shì)進(jìn)行分析。
2 工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控架構(gòu)
工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控架構(gòu)按照ANSI/ISA-99.00.01企業(yè)分層模型,可繪制典型工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控架構(gòu),示意圖如圖1所示。
圖1 典型工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控架構(gòu)示意圖
典型的工業(yè)控制系統(tǒng)包括現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、過(guò)程監(jiān)控層、制造執(zhí)行系統(tǒng)層、企業(yè)管理層和外部網(wǎng)絡(luò)。那么,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控,需要考慮在現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、過(guò)程監(jiān)控層、制造執(zhí)行系統(tǒng)層和企業(yè)管理層的部署。從圖1中可以看出,在現(xiàn)場(chǎng)設(shè)備層和現(xiàn)場(chǎng)控制層,工業(yè)控制系統(tǒng)供應(yīng)商需要為其產(chǎn)品配置相應(yīng)的工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控;在過(guò)程監(jiān)控層和制造執(zhí)行系統(tǒng)層,工業(yè)控制系統(tǒng)供應(yīng)商和信息安全產(chǎn)品供應(yīng)商需要為各自產(chǎn)品配置相應(yīng)的工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控;在企業(yè)管理層,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控則由企業(yè)管控軟件供應(yīng)商配置,當(dāng)然,若企業(yè)規(guī)模較小,也可以由網(wǎng)絡(luò)信息安全產(chǎn)品供應(yīng)商配置。
在圖1中,每個(gè)設(shè)備都是作為一個(gè)端點(diǎn)來(lái)考慮,每個(gè)網(wǎng)絡(luò)都必須考慮。因此,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控必須考慮所有端點(diǎn)和所有網(wǎng)絡(luò)。早期,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控主要集中在各端點(diǎn)上,近幾年,控制網(wǎng)絡(luò)、信息網(wǎng)絡(luò)的軟件監(jiān)控也逐步形成。
3 工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控分析
為便于分析工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控,本節(jié)按照現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、過(guò)程監(jiān)控層、制造執(zhí)行系統(tǒng)層、企業(yè)管理層的劃分,對(duì)各層中出現(xiàn)的工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控進(jìn)行詳細(xì)分析。
3.1 現(xiàn)場(chǎng)設(shè)備層信息安全軟件與監(jiān)控
在現(xiàn)場(chǎng)設(shè)備層,需要對(duì)總線型現(xiàn)場(chǎng)設(shè)備、無(wú)線設(shè)備和RTU進(jìn)行一些信息安全軟件配置。
3.1.1 總線型現(xiàn)場(chǎng)設(shè)備
對(duì)于總線型現(xiàn)場(chǎng)設(shè)備,需要按照端點(diǎn)來(lái)保護(hù)。通常,這種端點(diǎn)保護(hù)包括以下兩個(gè)方面:
(1)現(xiàn)場(chǎng)設(shè)備補(bǔ)丁軟件;
(2)總線訪問(wèn)控制軟件。(注:目前還在開(kāi)發(fā)中)
3.1.2 無(wú)線設(shè)備
對(duì)于無(wú)線設(shè)備,需要按照端點(diǎn)來(lái)保護(hù)。通常這種端點(diǎn)保護(hù)包括以下幾個(gè)方面:
(1)無(wú)線設(shè)備補(bǔ)丁軟件;
(2)數(shù)據(jù)傳輸加密軟件協(xié)議WPA2;
(3)無(wú)線通信設(shè)備規(guī)范要求的軟件。
3.1.3 RTU
對(duì)于RTU,需要按照端點(diǎn)來(lái)保護(hù)。通常這種端點(diǎn)保護(hù)包括以下幾個(gè)方面:
(1)RTU補(bǔ)丁軟件;
(2)監(jiān)視、控制與數(shù)據(jù)采集要求的軟件。(注:這點(diǎn)與下面提到的端點(diǎn)保護(hù)類似)
3.2 現(xiàn)場(chǎng)控制層信息安全軟件與監(jiān)控
在現(xiàn)場(chǎng)控制層,需要對(duì)包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分散型控制系統(tǒng)(DCS)、安全儀表控制系統(tǒng)(SIS)、可編程邏輯控制系統(tǒng)(PLC)的控制器或控制站進(jìn)行一些信息安全軟件配置。
對(duì)于每個(gè)控制器或控制站,均需要按照端點(diǎn)來(lái)保護(hù)。通常,這種端點(diǎn)保護(hù)包括以下幾個(gè)方面:
(1)補(bǔ)丁軟件
工業(yè)控制系統(tǒng)供應(yīng)商應(yīng)提供合格的相關(guān)補(bǔ)丁,包括產(chǎn)品用到的操作系統(tǒng)制造商和工業(yè)控制系統(tǒng)應(yīng)用軟件的安全補(bǔ)丁。
(2)風(fēng)暴保護(hù)
對(duì)于控制器和通信模塊,一旦出現(xiàn)網(wǎng)絡(luò)風(fēng)暴,可以通過(guò)網(wǎng)絡(luò)過(guò)濾,阻止不支持的流量并保護(hù)各控制節(jié)點(diǎn)。
3.3 過(guò)程監(jiān)控層信息安全軟件與監(jiān)控
在過(guò)程監(jiān)控層,需要對(duì)包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分散型控制系統(tǒng)(DCS)、安全儀表控制系統(tǒng)(SIS)、可編程邏輯控制器(PLC)的工程師站、操作站、OPC服務(wù)器、實(shí)時(shí)數(shù)據(jù)庫(kù)、監(jiān)控中心等進(jìn)行信息安全軟件與監(jiān)控配置,可分為各端點(diǎn)保護(hù)和工業(yè)安全監(jiān)測(cè)審計(jì)平臺(tái)。
3.3.1 各端點(diǎn)保護(hù)
對(duì)于工程師站、操作站、服務(wù)器等,均需要按照端點(diǎn)來(lái)保護(hù)。通常,這種端點(diǎn)保護(hù)包括以下三個(gè)方面軟件:
(1)內(nèi)置型軟件
·補(bǔ)丁和防病毒軟件
工業(yè)控制系統(tǒng)供應(yīng)商應(yīng)提供合格的相關(guān)補(bǔ)丁,包括產(chǎn)品用到的操作系統(tǒng)制造商和工業(yè)控制系統(tǒng)應(yīng)用軟件的安全補(bǔ)丁,對(duì)此層各端點(diǎn)也是適用的。
防毒軟件進(jìn)行定時(shí)查毒和殺毒,發(fā)揮入侵檢測(cè)和預(yù)防的作用,確保各端點(diǎn)的安全。目前常見(jiàn)的防毒軟件有McAfee、Symantec等。
·訪問(wèn)與賬戶管理軟件
訪問(wèn)與賬戶管理通常采用基于用戶、角色、位置的訪問(wèn)與賬戶管理,也可基于對(duì)象和屬性等級(jí)進(jìn)行訪問(wèn)與賬戶管理。
·主機(jī)型防火墻軟件
基于主機(jī)的防火墻技術(shù)是部署在工作站或控制器的軟件解決方案,用于控制進(jìn)出特定設(shè)備的流量。
·備份與恢復(fù)軟件
通過(guò)有效的災(zāi)難性恢復(fù),避免由于事故導(dǎo)致系統(tǒng)數(shù)據(jù)和應(yīng)用數(shù)據(jù)的大量丟失。同時(shí)通過(guò)系統(tǒng)管理特點(diǎn),可選擇全部備份與恢復(fù)、部分備份與恢復(fù)。
(2)基本型軟件
·審計(jì)跟蹤軟件
審計(jì)跟蹤(audit trail),是系統(tǒng)活動(dòng)的流水記錄。該記錄按事件從始至終的途徑,順序檢查審計(jì)跟蹤記錄、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)。審計(jì)跟蹤通過(guò)日志方式提供應(yīng)負(fù)責(zé)任人員的活動(dòng)證據(jù)以支持職能的實(shí)現(xiàn)。審計(jì)跟蹤記錄系統(tǒng)活動(dòng)和用戶活動(dòng)。系統(tǒng)活動(dòng)包括操作系統(tǒng)和應(yīng)用程序進(jìn)程的活動(dòng);用戶活動(dòng)包括用戶在操作系統(tǒng)中和應(yīng)用程序中的活動(dòng)。通過(guò)借助適當(dāng)?shù)墓ぞ吆鸵?guī)程,審計(jì)跟蹤可以發(fā)現(xiàn)違反安全策略的活動(dòng)、影響運(yùn)行效率的問(wèn)題以及程序中的錯(cuò)誤。
通常,審計(jì)日志包含信息如操作的時(shí)間與日期、操作的節(jié)點(diǎn)、操作的用戶名稱、操作的類型、受操作影響的對(duì)象和屬性、涉及系統(tǒng)的其他信息。
·工作站、網(wǎng)絡(luò)和軟件監(jiān)控軟件
工作站、網(wǎng)絡(luò)設(shè)備的正確運(yùn)行直接影響到控制系統(tǒng)的運(yùn)行和可靠性,通過(guò)連續(xù)監(jiān)控這些設(shè)備,可以主動(dòng)發(fā)現(xiàn)一些異常行為,優(yōu)化系統(tǒng)的可用性。
·移動(dòng)介質(zhì)和設(shè)備信息安全軟件
移動(dòng)介質(zhì)和移動(dòng)設(shè)備的使用,直接影響系統(tǒng)的安全。通過(guò)掃描和監(jiān)控這些移動(dòng)介質(zhì)和設(shè)備,可以主動(dòng)阻止對(duì)系統(tǒng)的攻擊。
(3)增強(qiáng)型軟件
·數(shù)字簽名軟件
系統(tǒng)可以為一些配置信息、報(bào)表或控制運(yùn)用定義為某個(gè)用戶簽名,從而保證這些信息不會(huì)輕易修改。
·白名單軟件
通過(guò)白名單策略,在用戶端和服務(wù)器端阻止未批準(zhǔn)的軟件運(yùn)行。
·高級(jí)訪問(wèn)控制軟件
為方便后期維修支持,提供高級(jí)訪問(wèn)控制,實(shí)現(xiàn)安全遠(yuǎn)程訪問(wèn)。
3.3.2 工控審計(jì)與監(jiān)測(cè)平臺(tái)
工控審計(jì)與監(jiān)測(cè)平臺(tái)是一款專門針對(duì)工業(yè)控制系統(tǒng)的審計(jì)和威脅監(jiān)測(cè)平臺(tái)。其主要功能包括:
(1)檢測(cè)針對(duì)工業(yè)控制協(xié)議的網(wǎng)絡(luò)攻擊、工控協(xié)議畸形報(bào)文、用戶異常操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播,并實(shí)時(shí)報(bào)警。
(2)支持對(duì)工控系統(tǒng)通訊記錄的回溯,便于后續(xù)的事故調(diào)查。
(3)與工業(yè)控制系統(tǒng)供應(yīng)商進(jìn)行整合,提取其設(shè)備運(yùn)行日志信息。
工控審計(jì)與監(jiān)測(cè)平臺(tái)與下面講到的管控平臺(tái)是獨(dú)立運(yùn)作且信息共享的關(guān)系。一方面,監(jiān)測(cè)審計(jì)平臺(tái)為管控平臺(tái)提供日志及分析數(shù)據(jù),助其更好的監(jiān)管全網(wǎng)系統(tǒng)與安全設(shè)備。另一方面,管控平臺(tái)也為監(jiān)測(cè)審計(jì)平臺(tái)更好地運(yùn)行提供監(jiān)控助力,保證其運(yùn)行穩(wěn)定、數(shù)據(jù)真實(shí)可信。
工控審計(jì)與監(jiān)測(cè)平臺(tái)已開(kāi)始出現(xiàn)并投入使用,其典型工控審計(jì)與監(jiān)測(cè)平臺(tái)信息示意圖如圖2所示。
圖2 典型工控審計(jì)與監(jiān)測(cè)平臺(tái)信息示意圖
3.4 制造執(zhí)行系統(tǒng)(MES)層信息安全軟件與監(jiān)控
在制造執(zhí)行系統(tǒng)(MES)層,需要對(duì)包括工廠信息管理系統(tǒng)(PIMS)、先進(jìn)控制系統(tǒng)(APC)、歷史數(shù)據(jù)庫(kù)、計(jì)劃排產(chǎn)、倉(cāng)儲(chǔ)管理等進(jìn)行信息安全軟件與監(jiān)控配置,通常可分為各端點(diǎn)保護(hù)和工業(yè)安全管控平臺(tái)。
3.4.1 各端點(diǎn)保護(hù)
對(duì)于服務(wù)器等,均需要按照端點(diǎn)來(lái)保護(hù)。通常,這種端點(diǎn)保護(hù)軟件與第3.3節(jié)提到的各端點(diǎn)保護(hù)軟件類似,在此不再展開(kāi)分析。
3.4.2 工業(yè)安全管控平臺(tái)
工業(yè)安全管控平臺(tái)是一種對(duì)工業(yè)控制生產(chǎn)網(wǎng)和管理網(wǎng)中部署的系統(tǒng)和工控安全設(shè)備進(jìn)行監(jiān)控、配置和運(yùn)維的產(chǎn)品。主要通過(guò)行為審計(jì)、事件追蹤、日志管理和安全域管理等功能,感知和分析網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)態(tài)勢(shì),提升網(wǎng)絡(luò)安全事件的預(yù)判能力,以便于及時(shí)遏制可能的威脅。
其主要功能有:
(1)統(tǒng)一的安全設(shè)備及信息資產(chǎn)管理;
(2)全網(wǎng)網(wǎng)絡(luò)及安全設(shè)備態(tài)勢(shì)監(jiān)視、整體安全感知;
(3)閉環(huán)流程的事件處理管控。
工業(yè)安全管控平臺(tái)已開(kāi)始出現(xiàn)并投入使用,其典型工業(yè)安全管控平臺(tái)示意圖如圖3所示。
圖3 某系統(tǒng)工業(yè)安全管控平臺(tái)示意圖
3.5 企業(yè)管理層信息安全軟件與監(jiān)控
在企業(yè)管理層,需要對(duì)包括財(cái)務(wù)管理、銷售管理、人事管理、供應(yīng)鏈管理等進(jìn)行信息安全軟件與監(jiān)控配置,這些均需信息技術(shù)部門負(fù)責(zé)。由于工業(yè)安全管控平臺(tái)并不能完全滿足大型廠級(jí)集團(tuán)級(jí)企業(yè)用戶對(duì)工業(yè)控制系統(tǒng)信息安全管理的需求,這時(shí)它們可以接入GRC企業(yè)管控平臺(tái)。因此,在這層的信息安全軟件與監(jiān)控配置,一般可分為工業(yè)安全管控平臺(tái)和GRC企業(yè)管控平臺(tái)。
3.5.1 工業(yè)安全管控平臺(tái)
通常,這種工業(yè)安全管控平臺(tái)軟件與第3.4節(jié)提到的工業(yè)安全管控平臺(tái)軟件相同,在此不再展開(kāi)分析。
3.5.2 GRC企業(yè)管控平臺(tái)
GRC(Governance, Risk and ComplianceManagement)的概念在國(guó)內(nèi)才剛剛興起,但其在國(guó)外已經(jīng)發(fā)展相當(dāng)長(zhǎng)時(shí)間。GRC以美國(guó)安然、法國(guó)興業(yè)銀行等一系列反面教材為觸發(fā)點(diǎn),以《薩班斯法案》(Sarbanes-Oxley Act ,簡(jiǎn)稱SOX法案)為源泉,貫穿企業(yè)治理、風(fēng)險(xiǎn)管理和合規(guī)經(jīng)營(yíng)等各方面。隨著企業(yè)的發(fā)展,以整體管控、戰(zhàn)略執(zhí)行為目標(biāo),實(shí)現(xiàn)企業(yè)管控、風(fēng)險(xiǎn)規(guī)避、戰(zhàn)略績(jī)效、業(yè)務(wù)流程管理及包括質(zhì)量、安全、環(huán)境等在內(nèi)各種符合性管理,服務(wù)于管理層和決策層的GRC管控系統(tǒng)被認(rèn)為是企業(yè)在日益復(fù)雜的競(jìng)爭(zhēng)環(huán)境下賴以生存和發(fā)展的必然和有效選擇 。
中國(guó)經(jīng)濟(jì)快速增長(zhǎng)帶動(dòng)中國(guó)企業(yè)不斷做大、做強(qiáng),并邁出國(guó)門,但在擴(kuò)張并走向世界的過(guò)程中,中國(guó)企業(yè)逐漸暴露出低效率低績(jī)效、管控能力薄弱、不合規(guī)不透明等諸多管控問(wèn)題,不少企業(yè)也因此遭受了重大損失,GRC正是很好解決這些問(wèn)題的管理方法與工具。
(1)GRC完整定義
GRC是在企業(yè)的各經(jīng)營(yíng)業(yè)務(wù)之上,以戰(zhàn)略為中心,以流程管理為基礎(chǔ),通過(guò)績(jī)效管理和風(fēng)險(xiǎn)內(nèi)控管理措施,對(duì)各項(xiàng)經(jīng)營(yíng)管理過(guò)程進(jìn)行管理和控制,保障戰(zhàn)略和經(jīng)營(yíng)目標(biāo)達(dá)成的管理方法和工具的總稱。GRC涉及以下三個(gè)組成部分:
·Governance(治理/管控):建立完整的制度安排和治理框架,公平對(duì)待各利益相干者,制定公司戰(zhàn)略目標(biāo)和政策,監(jiān)督績(jī)效,遵從法律及制度規(guī)定,透明和披露經(jīng)營(yíng)狀況,對(duì)各項(xiàng)經(jīng)營(yíng)管理過(guò)程本身進(jìn)一步進(jìn)行管理和監(jiān)督。
·Risk Management(風(fēng)險(xiǎn)管理):對(duì)所有業(yè)務(wù)和法規(guī)風(fēng)險(xiǎn)進(jìn)行結(jié)構(gòu)化的識(shí)別、評(píng)估、緩解、監(jiān)視和控制。
·Compliance Management(符合性管理):通過(guò)內(nèi)部控制管理機(jī)制和體系,確保各項(xiàng)制度和法規(guī)得以遵從、政策得以貫徹、各項(xiàng)經(jīng)營(yíng)和管理目標(biāo)得以有效達(dá)成。
(2)GRC治理模型
GRC管控的主要目的是保障基于企業(yè)管控和治理的戰(zhàn)略執(zhí)行,因此企業(yè)治理是一個(gè)結(jié)果,更是一個(gè)手段。而對(duì)齊戰(zhàn)略目標(biāo),以業(yè)務(wù)運(yùn)營(yíng)為基礎(chǔ),注重業(yè)務(wù)執(zhí)行與監(jiān)控,關(guān)注防范風(fēng)險(xiǎn)與合規(guī),并引入績(jī)效考核的企業(yè)管控閉環(huán)(如圖4所示)保證了企業(yè)管控的有效性,也保證了企業(yè)治理的持續(xù)性。
圖4 企業(yè)管控閉環(huán)模型圖
(3)GRC與工業(yè)控制系統(tǒng)信息安全
針對(duì)快速崛起與發(fā)展的中國(guó)企業(yè)來(lái)說(shuō),GRC是用于改善企業(yè)做強(qiáng)、做大過(guò)程中所面對(duì)突出管理問(wèn)題(如經(jīng)營(yíng)績(jī)效、集團(tuán)管控、合規(guī)透明)的管理方法體系和工具集合。
GRC管控軟件是一個(gè)集成化的解決方案,其大致可以包含決策支持(集團(tuán)管控、董事會(huì)治理、領(lǐng)導(dǎo)交辦、領(lǐng)導(dǎo)駕駛艙、辦公平臺(tái)、決策系統(tǒng)等)、戰(zhàn)略績(jī)效管理(業(yè)務(wù)戰(zhàn)略體系、全面預(yù)算管理、平衡計(jì)分卡、戰(zhàn)略監(jiān)控、戰(zhàn)略報(bào)告、績(jī)效管理、人力資源管理、報(bào)告管理等)、流程管理(業(yè)務(wù)流程管理、流程績(jī)效、工作任務(wù)管理、協(xié)同管理等)、風(fēng)險(xiǎn)管理(風(fēng)險(xiǎn)管理、審計(jì)管理、合同管理、安全管理、質(zhì)量管理等)、合規(guī)管理(SOX合規(guī)、行業(yè)合規(guī)、內(nèi)控系統(tǒng)等)、信息安全管理(信息安全合規(guī)、信息安全風(fēng)險(xiǎn)管理、訪問(wèn)控制管理、信息安全服務(wù)、安全與目錄管理、策略管理等)及展現(xiàn)(門戶、與其它業(yè)務(wù)系統(tǒng)的集成等)等幾大類。通常,GRC的集合視圖如圖5所示。
圖5 GRC的集合視圖
工業(yè)控制系統(tǒng)信息安全,作為信息安全管理的重要組成部分,基于定義商業(yè)影響、理解常規(guī)和運(yùn)作風(fēng)險(xiǎn)、流程化處理等方面考慮,在GRC管控平臺(tái)信息安全管理模塊中,提供以下解決方案:
· 建立信息安全策略和標(biāo)準(zhǔn);
· 檢測(cè)和響應(yīng)攻擊;
· 識(shí)別和更正信息安全缺陷;
· 執(zhí)行風(fēng)險(xiǎn)評(píng)估和監(jiān)控。
通過(guò)以上解決方案,實(shí)現(xiàn)降低整個(gè)信息安全風(fēng)險(xiǎn),盡可能降低由信息安全事件和符合性帶來(lái)的成本開(kāi)銷,以及精簡(jiǎn)識(shí)別、測(cè)量和監(jiān)控信息安全流程。
一般地,GRC企業(yè)管控平臺(tái)中關(guān)于信息安全管理的主要內(nèi)容包括以下幾點(diǎn):
· 信息安全問(wèn)題管理;
· 信息安全與策略程序管理;
· 信息安全常規(guī)管理;
· 信息安全控制保障;
· 信息安全漏洞程序;
· 信息安全事件管理;
· 信息安全運(yùn)作與違規(guī)管理;
· 信息安全風(fēng)險(xiǎn)管理;
· 外設(shè)部件互連(PCI)管理。
GRC企業(yè)管控平臺(tái)中信息安全管理的監(jiān)控畫面有多種,取決于用戶信息安全管理的需求。 GRC-信息安全風(fēng)險(xiǎn)管理示意圖如圖6所示。
圖6 GRC-信息安全風(fēng)險(xiǎn)管理示意圖
(4)GRC產(chǎn)品供應(yīng)商
· 國(guó)外GRC服務(wù)廠商及解決方案
國(guó)外GRC市場(chǎng)中處于引領(lǐng)者地位的主要有Axentis、BWise、MetricStream、OpenPages、Thomson Reuters、Oracle等。這些GRC廠商通過(guò)持續(xù)更新,提升GRC理念和技術(shù)產(chǎn)品水平,贏得越來(lái)越廣泛的市場(chǎng)和越來(lái)越龐大的客戶群體;這些廠商不僅在其技術(shù)實(shí)力方面占有絕對(duì)領(lǐng)先地位,而且通過(guò)理念研究和戰(zhàn)略指導(dǎo)等也正在塑造其GRC領(lǐng)導(dǎo)者的角色。
國(guó)外GRC市場(chǎng)中僅隨其后開(kāi)始向引領(lǐng)地位沖擊的主要有Archer、Cura、Mega、Methodware、 Protiviti、Strategic Thought等。在過(guò)去兩年,這些廠商GRC理念與產(chǎn)品取得大幅改善,他們逐漸向世界領(lǐng)先企業(yè)提供GRC各個(gè)領(lǐng)域的優(yōu)秀解決方案和產(chǎn)品;雖然理念水平、技術(shù)平臺(tái)及市場(chǎng)占有率等還沒(méi)有達(dá)到領(lǐng)導(dǎo)者的地位,但他們?nèi)匀粫?huì)在繁雜的GRC市場(chǎng)中繼續(xù)保持強(qiáng)勁的競(jìng)爭(zhēng)地位。
國(guó)外GRC市場(chǎng)中還有SAI Global、SAP、Trintech、Aline、IDS Scheer、CA、Compliance360、DoubleCheck、Neohapsis、List Group、Optial、Sword Achiever、Trintech、Xactium等參與者。這些廠商對(duì)于GRC理念的研究大多基于自己原有解決方案,GRC產(chǎn)品也限定在其本身產(chǎn)品線相關(guān)的某GRC領(lǐng)域。雖然目前他們的解決方案還不夠全面,市場(chǎng)份額還不夠大,但其長(zhǎng)期積累的客戶群體和強(qiáng)大的技術(shù)實(shí)力也將幫助他們?cè)贕RC市場(chǎng)中快速成長(zhǎng)。
· 國(guó)內(nèi)GRC服務(wù)廠商及解決方案
國(guó)內(nèi)對(duì)于GRC理論和實(shí)踐的研究相對(duì)較晚,國(guó)內(nèi)廠商的管理經(jīng)驗(yàn)和客戶積累與國(guó)外也存在一定差距,所以國(guó)內(nèi)GRC管控軟件提供商的GRC解決方案大多是基于原有解決方案的擴(kuò)展,而很少有形成涉及GRC領(lǐng)域全方位的解決方案集合。目前國(guó)內(nèi)提供GRC領(lǐng)域服務(wù)的廠商主要有慧點(diǎn)科技、用友、博科資訊、炎黃盈動(dòng)、第一會(huì)達(dá)等。
4 工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控趨勢(shì)
工業(yè)控制系統(tǒng)信息安全已然引起工業(yè)控制系統(tǒng)用戶密切關(guān)注,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控是工業(yè)控制系統(tǒng)信息安全必不可少的環(huán)節(jié)。在工業(yè)現(xiàn)代化快速發(fā)展的今天,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控顯得尤為重要,工業(yè)控制系統(tǒng)供應(yīng)商、網(wǎng)絡(luò)信息安全產(chǎn)品供應(yīng)商、企業(yè)管控軟件供應(yīng)商、工業(yè)控制系統(tǒng)用戶都必須認(rèn)真對(duì)待工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控。
從工業(yè)控制系統(tǒng)市場(chǎng)發(fā)展和市場(chǎng)出現(xiàn)的來(lái)自不同工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控來(lái)看,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控產(chǎn)品正逐步走向規(guī)范化、集成化和產(chǎn)品更完善的趨勢(shì)。
4.1 信息安全軟件與監(jiān)控規(guī)范化
工業(yè)控制系統(tǒng)信息安全事件的頻繁發(fā)生以及其導(dǎo)致的嚴(yán)重后果,必然引起各國(guó)政府和相關(guān)工業(yè)控制系統(tǒng)用戶的高度重視,如何有效推進(jìn)工業(yè)控制系統(tǒng)信息安全,加強(qiáng)管理工業(yè)控制系統(tǒng)信息安全,應(yīng)用軟件與監(jiān)控產(chǎn)品是大勢(shì)所趨。那么,這必將對(duì)軟件與監(jiān)控產(chǎn)品提出規(guī)范化的要求。
正如前文所述,工業(yè)控制系統(tǒng)供應(yīng)商、信息安全產(chǎn)品供應(yīng)商和企業(yè)管控軟件供應(yīng)商都在努力開(kāi)發(fā)這些工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控產(chǎn)品,目前市場(chǎng)上的軟件與監(jiān)控產(chǎn)品種類繁多,對(duì)于工業(yè)控制系統(tǒng)用戶而言,如何正確選擇配置是關(guān)鍵,因此,市場(chǎng)上也需要更加規(guī)范化的要求。顯然,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控產(chǎn)品規(guī)范化是必然的大趨勢(shì)。
4.2 信息安全軟件與監(jiān)控集成化
由于工業(yè)控制系統(tǒng)中的產(chǎn)品和網(wǎng)絡(luò)多種多樣,工業(yè)控制系統(tǒng)供應(yīng)商會(huì)為其工控產(chǎn)品開(kāi)發(fā)自身設(shè)備的軟件與監(jiān)控,信息安全產(chǎn)品供應(yīng)商會(huì)為其網(wǎng)絡(luò)產(chǎn)品開(kāi)發(fā)自身設(shè)備的軟件與監(jiān)控,那么,工控產(chǎn)品和網(wǎng)絡(luò)產(chǎn)品信息安全軟件與監(jiān)控只有做好集成,才可以統(tǒng)一集成至企業(yè)管控軟件供應(yīng)商的監(jiān)控平臺(tái)。因此,工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控必須集成設(shè)計(jì)。
同時(shí),工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控是由工業(yè)控制系統(tǒng)供應(yīng)商、信息安全產(chǎn)品供應(yīng)商和企業(yè)管控軟件供應(yīng)商各自開(kāi)發(fā)設(shè)計(jì),如何將這些軟件與監(jiān)控整合在一起,這是對(duì)工業(yè)控制系統(tǒng)信息安全有效管理提出的要求,也是工業(yè)控制系統(tǒng)用戶提出的要求。
4.3 信息安全軟件與監(jiān)控更完善
從上面幾節(jié)介紹可以看出,目前出現(xiàn)的工業(yè)控制系統(tǒng)信息安全軟件與監(jiān)控還在起步階段,隨著工業(yè)控制系統(tǒng)信息安全技術(shù)的深入開(kāi)發(fā),其軟件與監(jiān)控將走向更完善。
(1)信息安全技術(shù)軟件更完善
工業(yè)控制系統(tǒng)信息安全技術(shù)有很多種類,目前市場(chǎng)上出現(xiàn)的工業(yè)控制系統(tǒng)信息安全技術(shù)軟件還是比較有限的。因此,工業(yè)控制系統(tǒng)信息安全軟件將有待于進(jìn)一步推進(jìn)和完善。
(2)信息安全監(jiān)控更完善目前,工業(yè)控制系統(tǒng)信息安全監(jiān)控市場(chǎng)紛繁復(fù)雜,需要工業(yè)控制系統(tǒng)供應(yīng)商、網(wǎng)絡(luò)信息安全產(chǎn)品供應(yīng)商和企業(yè)管控軟件供應(yīng)商各自開(kāi)放并兼容設(shè)計(jì),努力建立一個(gè)統(tǒng)一的信息安全監(jiān)控,為工業(yè)控制系統(tǒng)用戶節(jié)約時(shí)間、人力和物力,實(shí)現(xiàn)工業(yè)控制系統(tǒng)信息安全的集中監(jiān)控。因此,工業(yè)控制系統(tǒng)信息安全監(jiān)控需要工業(yè)控制系統(tǒng)供應(yīng)商、信息安全產(chǎn)品供應(yīng)商和企業(yè)管控軟件供應(yīng)商通力合作,并不斷走向完善。
5 結(jié)語(yǔ)
通過(guò)上述工業(yè)控制系統(tǒng)信息安全軟件和監(jiān)控分析可知,工業(yè)控制系統(tǒng)信息安全軟件和監(jiān)控已逐漸形成,在整個(gè)工業(yè)控制系統(tǒng)信息安全方案部署中,是不可缺少的部分。只有認(rèn)真而系統(tǒng)地學(xué)習(xí)和運(yùn)用這些軟件與監(jiān)控,才能有效解決工業(yè)控制系統(tǒng)信息安全事件頻發(fā),保證工業(yè)控制系統(tǒng)正常運(yùn)行,為國(guó)民經(jīng)濟(jì)建設(shè)和發(fā)展保駕護(hù)航。
同時(shí),我們也應(yīng)該看到,工業(yè)控制系統(tǒng)信息安全軟件和監(jiān)控部署還剛剛起步。隨著工業(yè)控制系統(tǒng)不斷發(fā)展和廣泛運(yùn)用,其信息安全軟件和監(jiān)控必將快速推進(jìn)。因此,我們應(yīng)對(duì)工業(yè)控制系統(tǒng)信息安全軟件和監(jiān)控統(tǒng)籌兼顧,積極運(yùn)用和部署,真正做好工業(yè)控制系統(tǒng)信息安全建設(shè)。
作者簡(jiǎn)介
肖建榮(1969-),男,高級(jí)工程師,現(xiàn)就職于巴斯夫(中國(guó))有限公司,從事工業(yè)自動(dòng)化儀表的工程設(shè)計(jì)、調(diào)試、運(yùn)行維護(hù)工作,先后完成多個(gè)國(guó)內(nèi)、國(guó)際項(xiàng)目的工程設(shè)計(jì)、調(diào)試工作。
參考文獻(xiàn):
[1] http://www.smartdot.com / [EB / OL].
[2] https://new.abb.com / control-systems / system-800xa / cyber-security [EB / OL].
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)