關(guān)鍵詞：工業(yè)控制系統(tǒng)；成熟度模型；信息安全

1　引言

隨著信息技術(shù)的快速發(fā)展，工業(yè)控制系統(tǒng)面臨著越來越多的信息安全威脅，保護(hù)工控系統(tǒng)免受惡意攻擊和未授權(quán)訪問的影響變得越來越關(guān)鍵。因此，工業(yè)控制系統(tǒng)信息安全防護(hù)的重要性日益凸顯，提高工業(yè)控制系統(tǒng)的信息安全防護(hù)能力變得至關(guān)重要。為提升企業(yè)工業(yè)控制系統(tǒng)信息安全領(lǐng)域綜合防護(hù)能力，并貫徹落實(shí)《國(guó)務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》有關(guān)要求，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院聯(lián)合“產(chǎn)學(xué)研用測(cè)”41家單位通過對(duì)現(xiàn)有的信息安全技術(shù)和工業(yè)控制系統(tǒng)的特點(diǎn)進(jìn)行綜合考量，歷時(shí)多年共同研制發(fā)布了《成熟度模型》國(guó)家標(biāo)準(zhǔn)。

《成熟度模型》標(biāo)準(zhǔn)從機(jī)構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力4個(gè)方面對(duì)企業(yè)所處的防護(hù)水平進(jìn)行了指標(biāo)評(píng)價(jià)，為企業(yè)評(píng)估和提升工業(yè)控制系統(tǒng)信息安全防護(hù)能力提供了科學(xué)的依據(jù)和方法，對(duì)企業(yè)工業(yè)控制系統(tǒng)信息安全建設(shè)極具參考價(jià)值。

2　標(biāo)準(zhǔn)綜述

《成熟度模型》給出了工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型，規(guī)定了核心保護(hù)對(duì)象安全和通用安全的成熟度等級(jí)要求，提出了能力成熟度等級(jí)核驗(yàn)方法，適用于工業(yè)控制系統(tǒng)設(shè)計(jì)、建設(shè)、運(yùn)維等相關(guān)方進(jìn)行工業(yè)控制系統(tǒng)信息安全防護(hù)能力建設(shè)，以及對(duì)企業(yè)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度等級(jí)進(jìn)行核驗(yàn)。

該成熟度模型是對(duì)企業(yè)的能力成熟度進(jìn)行度量的一個(gè)模型，為企業(yè)衡量其當(dāng)前的實(shí)踐、流程、方法的能力水平提供了參考基準(zhǔn)。該模型包括安全能力要素、能力成熟度等級(jí)和能力建設(shè)過程三個(gè)維度，如圖1所示。

圖1 成熟度模型架構(gòu)

（1）安全能力要素

安全能力要素從機(jī)構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力四個(gè)方面對(duì)企業(yè)工業(yè)控制系統(tǒng)信息安全防護(hù)過程應(yīng)具備的安全能力進(jìn)行了量化，是客觀評(píng)價(jià)企業(yè)工控安全防護(hù)能力的主要評(píng)價(jià)指標(biāo)。

機(jī)構(gòu)建設(shè)是確保工業(yè)控制系統(tǒng)信息安全的基礎(chǔ)，它涉及到信息安全機(jī)構(gòu)的設(shè)立、職責(zé)分配、溝通協(xié)作等多個(gè)方面。通過明確組織結(jié)構(gòu)和職責(zé)分配，企業(yè)可以更好地實(shí)施信息安全策略，應(yīng)對(duì)各種信息安全威脅和挑戰(zhàn)。

制度流程的核心作用是保障企業(yè)構(gòu)建并維持一套健全、系統(tǒng)的安全管理體系及操作流程，以此規(guī)范企業(yè)人員的安全操作行為，保證信息安全措施得以切實(shí)執(zhí)行，并促進(jìn)持續(xù)優(yōu)化以適應(yīng)不斷演進(jìn)的安全挑戰(zhàn)。

技術(shù)工具的主要作用是通過有效的技術(shù)手段和產(chǎn)品工具來落實(shí)安全要求，保護(hù)工業(yè)控制系統(tǒng)免受各種安全威脅，旨在提高系統(tǒng)的安全性、可靠性和韌性，確保工業(yè)控制系統(tǒng)的正常運(yùn)行和生產(chǎn)安全。

人員能力的主要作用是確保企業(yè)具備足夠的專業(yè)技能和知識(shí)，以便有效執(zhí)行信息安全防護(hù)工作，并持續(xù)提升人員的安全防護(hù)水平。

（2）能力成熟度等級(jí)

能力成熟度等級(jí)根據(jù)安全能力要素所處能力水平，自低向高將企業(yè)工控安全防護(hù)能力定義為基礎(chǔ)建設(shè)級(jí)、規(guī)范防護(hù)級(jí)、集成管控級(jí)、綜合協(xié)同級(jí)、智能優(yōu)化級(jí)5個(gè)不同級(jí)別。能力成熟度等級(jí)的劃分可以更加精確地評(píng)估企業(yè)在信息安全防護(hù)方面的能力和水平。通過劃分等級(jí)，可以為企業(yè)提供明確的安全防護(hù)目標(biāo)和方向，指導(dǎo)其逐步提升安全防護(hù)能力。

（3）能力建設(shè)過程

能力建設(shè)過程對(duì)核心保護(hù)對(duì)象和通用保護(hù)對(duì)象共計(jì)10個(gè)過程類提出了相應(yīng)的安全防護(hù)要求，為工業(yè)控制系統(tǒng)信息安全防護(hù)提供了一套系統(tǒng)化、分層次的實(shí)施框架，以指導(dǎo)和評(píng)估工業(yè)企業(yè)在信息安全防護(hù)方面的能力建設(shè)，確保工業(yè)控制系統(tǒng)的信息安全防護(hù)能力得到全面提升和持續(xù)優(yōu)化。

3　基于成熟度模型架構(gòu)的防護(hù)建設(shè)淺析

3.1　能力成熟度模型等級(jí)分析

工業(yè)控制系統(tǒng)信息安全防護(hù)能力建設(shè)過程維度共包含10個(gè)過程類、40個(gè)過程域，共計(jì)365個(gè)基本實(shí)踐。其中10個(gè)過程類分別從核心保護(hù)對(duì)象和通用安全進(jìn)行了劃分。具體過程類與過程域的內(nèi)容可參考圖2所示。

圖2 成熟度模型過程類與過程域

依據(jù)對(duì)這10個(gè)過程類在安全能力要素維度的基本實(shí)踐要求，下文分別對(duì)各成熟等級(jí)的安全防護(hù)要求進(jìn)行了分析。

（1）能力成熟度等級(jí)1—基礎(chǔ)建設(shè)級(jí)

該等級(jí)主要基于企業(yè)的特定業(yè)務(wù)場(chǎng)景和知識(shí)經(jīng)驗(yàn)水平，在現(xiàn)有的工控安全防護(hù)的技術(shù)基礎(chǔ)和條件上，開展工業(yè)控制系統(tǒng)信息安全防護(hù)能力建設(shè)，如表1所示。

表1 基礎(chǔ)建設(shè)級(jí)要求解析

該等級(jí)建設(shè)還未形成規(guī)范化、流程化的工作方式，相關(guān)工作多依賴信息安全人員主觀經(jīng)驗(yàn)，建設(shè)過程對(duì)于文檔形式記錄也未要求，無法對(duì)安全建設(shè)工作進(jìn)行再復(fù)制。

（2）能力成熟度等級(jí)2—規(guī)范防護(hù)級(jí)

該等級(jí)的企業(yè)可以建立并記錄工控安全防護(hù)能力建設(shè)工作，可以涵蓋工業(yè)控制設(shè)備、工業(yè)主機(jī)、工業(yè)網(wǎng)絡(luò)和工業(yè)數(shù)據(jù)等關(guān)鍵領(lǐng)域，并可以使企業(yè)能夠以重復(fù)的方式執(zhí)行。該等級(jí)的企業(yè)還可以通過采用數(shù)字化裝備、信息技術(shù)手段等，有針對(duì)性地開展安全防護(hù)，在各個(gè)層面構(gòu)建起獨(dú)立且可復(fù)制的安全防護(hù)能力，如表2所示。

表2 規(guī)范防護(hù)級(jí)要求解析

（3）能力成熟度等級(jí)3—集成管控級(jí)

該等級(jí)的企業(yè)在已實(shí)施的規(guī)范防護(hù)措施基礎(chǔ)上，進(jìn)一步利用集成化工具與系統(tǒng)，對(duì)工業(yè)控制系統(tǒng)中的設(shè)備、主機(jī)、系統(tǒng)、網(wǎng)絡(luò)及數(shù)據(jù)等實(shí)施集中統(tǒng)一的管控。同時(shí)，該等級(jí)的企業(yè)整合并優(yōu)化相關(guān)防護(hù)規(guī)章制度，構(gòu)建體系化的管理制度，以增強(qiáng)企業(yè)內(nèi)部工控安全在集中管理和統(tǒng)一控制方面的能力，如表3所示。該等級(jí)與規(guī)范防護(hù)級(jí)的主要區(qū)別在于其使用集成化工具來策劃和管理工業(yè)控制系統(tǒng)信息安全，提高了工作效率和防護(hù)能力。

表3 集成管控級(jí)要求解析

（4）能力成熟度等級(jí)4—綜合協(xié)同級(jí)

該等級(jí)的企業(yè)在面對(duì)不同產(chǎn)線、廠區(qū)、工廠以及產(chǎn)業(yè)鏈上下游相關(guān)單位時(shí)，可以綜合考量安全風(fēng)險(xiǎn)需求，開展安全防護(hù)建設(shè)工作，并可以建立一個(gè)多層次、協(xié)同工作的安全管理架構(gòu)，利用態(tài)勢(shì)感知、集中管理等技術(shù)，實(shí)現(xiàn)對(duì)安全威脅的快速響應(yīng)和有效防御，達(dá)成綜合決策、協(xié)調(diào)防護(hù)的安全能力，如表4所示。該等級(jí)與集成管控級(jí)的主要區(qū)別在于其強(qiáng)化了執(zhí)行過程的綜合決策和協(xié)調(diào)防護(hù)要求。

表4 綜合協(xié)同級(jí)要求解析

（5）能力成熟度等級(jí)5—智能優(yōu)化級(jí)

該等級(jí)的企業(yè)可運(yùn)用人工智能、主動(dòng)防御、內(nèi)生安全等先進(jìn)技術(shù)，使其與已有的安全防護(hù)設(shè)備、系統(tǒng)、制度體系深度融合，從而構(gòu)建能夠智能化演進(jìn)的安全防護(hù)系統(tǒng)，打造自我進(jìn)化、自我優(yōu)化的安全防護(hù)體系，如表5所示。與綜合協(xié)同級(jí)的主要區(qū)別在于其執(zhí)行過程的智能優(yōu)化和演進(jìn)能力，能夠?qū)崿F(xiàn)自動(dòng)優(yōu)化和適應(yīng)性改進(jìn)。

表5 智能優(yōu)化級(jí)要求解析

基于對(duì)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型五個(gè)等級(jí)要求的深入分析，本文提出了從機(jī)構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力四個(gè)關(guān)鍵安全要素出發(fā)的能力建設(shè)思路。借助這四個(gè)安全要素的能力建設(shè)，推動(dòng)工業(yè)企業(yè)整體工控安全防護(hù)能力逐步提升。

3.2　防護(hù)能力建設(shè)思路

（1）機(jī)構(gòu)建設(shè)

建立一個(gè)健全、務(wù)實(shí)、有效、統(tǒng)一指揮、統(tǒng)一步調(diào)的完善的安全管理機(jī)構(gòu)，明確機(jī)構(gòu)成員的安全職責(zé)，是安全管理得以實(shí)施、推廣的基礎(chǔ)。

企業(yè)應(yīng)設(shè)置專門的工業(yè)控制系統(tǒng)安全管理機(jī)構(gòu)，成立由企業(yè)負(fù)責(zé)人牽頭，信息化、生產(chǎn)管理、設(shè)備管理等相關(guān)部門組成的信息安全協(xié)調(diào)小組。各相關(guān)部門在信息安全協(xié)調(diào)小組的指導(dǎo)下，按照管理機(jī)制，明確工控安全管理責(zé)任人，落實(shí)工控安全責(zé)任制，部署工控安全防護(hù)措施。通過管理機(jī)制，企業(yè)實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)信息安全防護(hù)人員的角色及其職責(zé)分配，并建立有效的工作考核機(jī)制。

（2）安全管理制度

網(wǎng)絡(luò)安全管理制度是開展工業(yè)控制系統(tǒng)安全建設(shè)、運(yùn)行、運(yùn)維以及安全管理工作必須遵從的管理辦法、規(guī)范、細(xì)則；網(wǎng)絡(luò)安全管理制度體系文件可以采取多級(jí)模式，構(gòu)建層次清晰、功能相對(duì)獨(dú)立的管理制度體系，便于企業(yè)參照并開展制度體系建設(shè)。具體管理制度體系可參考圖3所示。

圖3 多級(jí)模式管理制度體系

（3）技術(shù)工具

圖4 工業(yè)控制系統(tǒng)信息安全防護(hù)技術(shù)框架

根據(jù)《成熟度模型》中10個(gè)過程類中的5個(gè)成熟度等級(jí)的技術(shù)工具部分的要求，本文構(gòu)建了一個(gè)全面的工業(yè)控制系統(tǒng)信息安全防護(hù)技術(shù)框架，如圖4所示。該框架詳細(xì)闡述了為滿足技術(shù)工具要求所需采取的關(guān)鍵技術(shù)措施，并推薦了相應(yīng)的安全產(chǎn)品和服務(wù)。企業(yè)可參照此框架，結(jié)合自身評(píng)估的成熟度等級(jí)，選擇適宜的技術(shù)措施和推薦的安全產(chǎn)品及服務(wù)，以確保符合國(guó)家標(biāo)準(zhǔn)的成熟度等級(jí)要求，實(shí)現(xiàn)信息安全的系統(tǒng)化管理和防護(hù)。

（4）人員能力

企業(yè)可以通過對(duì)相關(guān)技術(shù)人員進(jìn)行相應(yīng)的培訓(xùn)或者組織相關(guān)人員通過考取相關(guān)的防護(hù)資質(zhì)，來達(dá)到人員能力的提升。通過人員能力的提升，可以使企業(yè)的相關(guān)人員具備工業(yè)控制系統(tǒng)信息安全防護(hù)資質(zhì)和工程實(shí)踐經(jīng)驗(yàn)，充分理解企業(yè)在工業(yè)控制系統(tǒng)信息安全防護(hù)過程中面臨的安全風(fēng)險(xiǎn)，具備風(fēng)險(xiǎn)控制和改進(jìn)方案的能力。

4　企業(yè)應(yīng)用成熟度模型步驟

基于上文對(duì)成熟度模型架構(gòu)及其防護(hù)建設(shè)深度的分析，企業(yè)可以依據(jù)自身的成熟度等級(jí)，有效運(yùn)用該成熟度模型來加強(qiáng)工業(yè)控制系統(tǒng)的信息安全防護(hù)能力。實(shí)際的應(yīng)用流程如圖5所示，為企業(yè)提供了分步驟實(shí)施的具體指導(dǎo)。

圖5 成熟度模型使用步驟

（1）選擇適合的成熟度等級(jí)

在使用成熟度模型時(shí)，企業(yè)首先需要根據(jù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度等級(jí)的定義，并結(jié)合業(yè)務(wù)實(shí)際情況，通過自我評(píng)估自身的工業(yè)控制系統(tǒng)信息安全防護(hù)能力，可以從機(jī)構(gòu)建設(shè)、制度流程、技術(shù)工具和人員能力等方面進(jìn)行自我評(píng)估。企業(yè)根據(jù)自我評(píng)估結(jié)果選擇擬達(dá)到的工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度等級(jí)。

（2）選擇適用的安全域

在確定擬達(dá)到的能力成熟度等級(jí)后，企業(yè)根據(jù)工業(yè)控制系統(tǒng)核心保護(hù)對(duì)象所覆蓋的業(yè)務(wù)場(chǎng)景防護(hù)要求，選取適用于自身的工業(yè)控制系統(tǒng)信息安全防護(hù)過程域。對(duì)于不適用于企業(yè)目前的業(yè)務(wù)場(chǎng)景防護(hù)要求，可以直接將其刪除，無需進(jìn)行相應(yīng)等級(jí)核驗(yàn)。

（3）進(jìn)行成熟度等級(jí)核驗(yàn)

企業(yè)基于對(duì)能力成熟度模型各過程域內(nèi)容的理解，進(jìn)行成熟度等級(jí)核驗(yàn)，看等級(jí)評(píng)估是否準(zhǔn)確。

（4）識(shí)別與核驗(yàn)等級(jí)的差距

根據(jù)選擇的安全域的安全要求與自身的安全現(xiàn)狀對(duì)比，企業(yè)識(shí)別工業(yè)控制系統(tǒng)信息安全防護(hù)能力現(xiàn)狀并分析與核驗(yàn)等級(jí)之間的差異，根據(jù)識(shí)別的結(jié)果，確定要改進(jìn)的具體目標(biāo)和內(nèi)容。

（5）制定防護(hù)能力提升計(jì)劃

在識(shí)別的基礎(chǔ)上，企業(yè)制定工業(yè)控制系統(tǒng)信息安全防護(hù)能力提升的具體的行動(dòng)計(jì)劃，通過依據(jù)行動(dòng)計(jì)劃逐步實(shí)施改進(jìn)措施，并定期進(jìn)行復(fù)審，以確保安全措施得到有效執(zhí)行，并根據(jù)最新的安全威脅和技術(shù)發(fā)展進(jìn)行相應(yīng)的措施調(diào)整。

伴隨著企業(yè)業(yè)務(wù)的發(fā)展變化，企業(yè)可定期復(fù)核、明確適合的能力成熟度等級(jí)，按照成熟度模型使用步驟，重新進(jìn)行等級(jí)確定、安全過程域選擇等，逐步提升其工業(yè)控制系統(tǒng)信息安全防護(hù)能力。至此，從識(shí)別目標(biāo)成熟度等級(jí)開始，到最終的實(shí)施和復(fù)核，構(gòu)成了一個(gè)全面的循環(huán)體系。通過這個(gè)“5步法”的閉環(huán)流程確保了企業(yè)能夠有條不紊地增強(qiáng)其工業(yè)控制系統(tǒng)的信息安全防護(hù)能力，以使企業(yè)持續(xù)改進(jìn)及不斷適應(yīng)新的安全挑戰(zhàn)。

5　結(jié)語

《成熟度模型》為企業(yè)的工業(yè)控制系統(tǒng)信息安全建設(shè)提供了全面、系統(tǒng)的指導(dǎo)框架。通過遵循國(guó)家標(biāo)準(zhǔn)，結(jié)合企業(yè)實(shí)際情況，企業(yè)可以構(gòu)建起一套科學(xué)、有效的信息安全防護(hù)體系，從而保障工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行。本文通過對(duì)成熟度模型框架各等級(jí)要求進(jìn)行深入研究和分析，并在此基礎(chǔ)上從安全能力要素的維度提出了企業(yè)工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)思路，為企業(yè)在網(wǎng)絡(luò)安全體系建設(shè)方面提供了一定參考。

作者簡(jiǎn)介

張　蕓（1986-）女，河北邯鄲人，碩士，現(xiàn)就職于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司，主要從事工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)安全方面的研究。

參考文獻(xiàn)：

[1] NIST. SP 800-53 Rev.5. Security and privacy controls for information systems and organizations[EB/OL]. (2021-08-01).

[2] NIST. SP 800-82 Rev.2. Guide to industrial control systems (ICS) security[EB/OL]. (2021-08-15).

[3] Cybersecurity and infrastructure security agency. Shifing the balance of cyber-security risk: principles and approaches for security by design and default[R].

2023.

[4] 朱琳, 陸明. 信息系統(tǒng)建設(shè)者視角下生命周期安全管理研究[J]. 信息安全研究, 2020, 6 (12) : 1139 - 1144.

[5] 姚相振, 趙梓桐, 周睿康, 等. 《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》國(guó)家標(biāo)準(zhǔn)解讀[J]. 國(guó)家標(biāo)準(zhǔn)解讀信息安全報(bào), 2020: 48 - 52.

摘自《自動(dòng)化博覽》2025年1月刊