本文探讨了工业控制系统信息安全面临的挑战,强调了人员、流程和管理体系在提升安全中的关键作用。通过风险分析、定制化的安全管理程序和遵循IEC62443标准,提出如何在现有技术框架下提升工控系统的防护能力,并关注持续更新和管理体系的有效性。
工业控制系统信息安全起点较低,目前普遍存在信息安全隐患。但如果直接从技术上提高工业控制系统的信息安全能力又有较多现实问题。比如工业控制系统的从业人员一般不了解信息安全;工业系统投资巨大,推倒重建可能性低;从生产和稳定的角度,不能轻易升级补丁等。这些都说明提升工控系统信息安全的现状是有诸多困难的。那么这是否说明就无法提高工控系统的信息安全能力了呢?答案当然是否定的。我们看看构成信息安全的三个要素,除了技术之外,人和相应的信息安全管理流程也是重要的组成因素。显而易见,工业控制系统信息安全管理体系的建设,约束好“人”的角色、权限和责任,定义好相关的流程,可以在现有的工业控制系统信息安全技术框架下提升工控系统整体的信息安全防护能力。
在信息安全管理体系中,ISO 27001最为普遍认可。但是工控系统与传统信息系统不同的是,以操作系统和办公软件为基础的传统信息系统多以完成某项功能为主要目的,但是工业控制系统是以过程控制为主要手段,为企业的业务提供支撑。不同业务逻辑的企业其工业控制系统的运作逻辑不尽相同,工控系统的信息安全管理体系如果照搬传统信息系统的ISO 27001标准来执行,就可能造成诸多不适的问题。在这个背景下,IEC 62443相关部分就给我们提供了一种解决思路,如何建立适合工业控制系统的安全管理程序。
首先,做信息安全免不了要进行风险分析。如前文所述,不同企业的业务逻辑不同,也决定了其工业控制系统需要应对的风险也不同。因此,工控信息安全管理体系需要建立在有效的风险分析和业务合理性分析之上,从而确定这个企业基于业务关系需要面对和承受的风险。
了解风险之后,就必须制定相应的管理政策和流程去应对这些可能出现的风险。因此,一个好的工控系统信息安全管理体系需要建立合适的流程和策略来完善管理范围、人员管理、安全责任、业务保障等方面要求。流程和策略是定义需求及实现的管理要求,必须有相应的应对措施才能有效降低系统风险。这些措施可以是技术手段,也可以是管理手段,总之是根据企业业务要求而选定的可降低特定风险的措施和手段。这些措施的实现也是工控系统信息安全管理体系需要重点囊括的部分。即使有好的分析、好的设计,但是最终无法落实到工控系统中,那就难以提升工控系统的信息安全防护能力。
信息安全是一个内外比较的循环过程。当外部威胁在变换时,很难保证现有措施能够防御变化后的外部威胁。如何保持工控系统信息安全维持在特定需要的水平,保持管理体系要求的一致性;并且做好对相关事件的追踪,促进管理体系的持续更新,维护整个工控系统信息安全防护的能力,也是工控信息安全管理体系重要的内容。
值得注意的是,技术的更新、法律法规的实施、企业业务结构和流程的变化都会导致最初的各种分析已经不再具备时效性。一个良好的工控信息安全管理体系应当定期或不定期的检查整个体系要求,确定其管理手段和措施的时效性,确实为保障工控系统信息安全提供有效的指导。
最后,希望行业各方能够携手共进,共同真实、有效的推进工控系统的信息安全的各项工作,助力提升工控行业的信息安全水平。
3174
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
