張曉帆，黃海波，2，朱麗娜

（1.國(guó)家工業(yè)信息安全發(fā)展研究中心，北京 100036；2.北京郵電大學(xué)經(jīng)濟(jì)管理學(xué)院，北京 100876）

0 引言

工業(yè)信息安全是工業(yè)領(lǐng)域信息安全的總稱，從內(nèi)容來(lái)看，工業(yè)信息安全泛指工業(yè)運(yùn)行過(guò)程中的信息安全，涉及工業(yè)領(lǐng)域各個(gè)環(huán)節(jié)，包括工業(yè)控制系統(tǒng)信息安全、工業(yè)互聯(lián)網(wǎng)安全、工業(yè)數(shù)據(jù)安全、工業(yè)云安全、工業(yè)物聯(lián)網(wǎng)安全等內(nèi)容。其核心任務(wù)就是要確保工業(yè)自動(dòng)化、信息化、網(wǎng)絡(luò)化、智能化等基礎(chǔ)設(shè)施的安全。工業(yè)信息安全應(yīng)急處置工具箱適用于工業(yè)企業(yè)現(xiàn)場(chǎng)發(fā)生工業(yè)信息安全事件的快速應(yīng)急處置，作為一種工業(yè)級(jí)、一體化、專用型的安全產(chǎn)品，憑借豐富的處置功能、高效的分析能力和便捷的可操作性，已成為工業(yè)企業(yè)、安全企業(yè)開(kāi)展現(xiàn)場(chǎng)應(yīng)急處置的必備工具。

1 研究背景意義

“十三五”以來(lái)，國(guó)家高度重視工業(yè)信息安全頂層設(shè)計(jì)，強(qiáng)化工業(yè)信息安全工作體系建設(shè)，落實(shí)工業(yè)企業(yè)主體責(zé)任，提升工業(yè)信息安全保障技術(shù)能力，為工業(yè)信息安全產(chǎn)業(yè)發(fā)展全面提速奠定了良好的基礎(chǔ)。隨著國(guó)家對(duì)工業(yè)信息安全及工業(yè)互聯(lián)網(wǎng)等產(chǎn)業(yè)的重視程度逐漸提升，行業(yè)利好政策不斷發(fā)布。2020年3月，工業(yè)和信息化部發(fā)布《工業(yè)和信息化部辦公廳關(guān)于推動(dòng)工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》提出要加快健全安全保障體系，包括建立企業(yè)分級(jí)安全管理制度、完善安全技術(shù)監(jiān)測(cè)體系、健全安全工作機(jī)制以及加強(qiáng)安全技術(shù)產(chǎn)品創(chuàng)新，進(jìn)一步促進(jìn)我國(guó)工業(yè)信息安全行業(yè)的產(chǎn)業(yè)優(yōu)化升級(jí)。工業(yè)信息安全應(yīng)急工作作為守護(hù)安全的最后一道防線，作用至關(guān)重要。因此，研發(fā)推廣工業(yè)信息安全的應(yīng)急處置裝備，是落實(shí)國(guó)家工業(yè)信息安全防護(hù)能力建設(shè)整體部署的重要組成部分，是推進(jìn)建設(shè)制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)不斷邁上新臺(tái)階的有效工作。

近年來(lái)全球工業(yè)信息安全事件日益頻發(fā)，工業(yè)領(lǐng)域逐漸成為黑客攻擊的重點(diǎn)目標(biāo)，工業(yè)企業(yè)對(duì)信息安全應(yīng)急處置裝備的需求不斷提升。在2020年新冠疫情全球大流行的背景下，國(guó)家工業(yè)信息安全發(fā)展研究中心共跟蹤公開(kāi)發(fā)布的工業(yè)信息安全事件274件[1]，其中勒索軟件攻擊共92件，占比33.6%，涉及20余個(gè)國(guó)家的多個(gè)重點(diǎn)行業(yè)。勒索病毒已成為工業(yè)信息安全頭號(hào)威脅，新型勒索軟件直指工業(yè)控制系統(tǒng)。如2021年6月，美國(guó)核武器合同商Sol Oriens遭REvil勒索軟件攻擊；2021年5月，美最大燃油運(yùn)輸管道商科洛尼爾被迫暫停輸送業(yè)務(wù)，對(duì)美國(guó)東海岸燃油供應(yīng)造成了嚴(yán)重影響，政府宣布緊急狀態(tài)；2020年12家電巨頭惠而浦遭Nefilim勒索談判失敗，敏感數(shù)據(jù)遭黑客泄露；2020年8月，佳能遭到Maze勒索軟件攻擊，據(jù)傳10TB重要數(shù)據(jù)被盜；2020年6月，本田汽車Honda遭受勒索軟件Snake攻擊，導(dǎo)致電腦和其他裝置無(wú)法作業(yè)，部分工廠停工。此外，據(jù)國(guó)家工業(yè)信息安全漏洞庫(kù)數(shù)據(jù)，2020年新增2138個(gè)工業(yè)信息安全漏洞，環(huán)比上升22.2%。其中涉及335家廠商。在收錄的通用型漏洞中，超危漏洞379個(gè)，高危漏洞899個(gè)，高危及以上漏洞占比62.5%。這些漏洞一旦被利用，將會(huì)造成破壞性后果。綜合來(lái)看，隨著我國(guó)工業(yè)信息安全行業(yè)的風(fēng)險(xiǎn)逐年上升，下游工業(yè)企業(yè)對(duì)于信息安全的需求越發(fā)強(qiáng)勁，下游應(yīng)用領(lǐng)域內(nèi)企業(yè)對(duì)工業(yè)信息安全產(chǎn)品的需求促使工業(yè)信息安全行業(yè)發(fā)展趨勢(shì)向好，有利于工業(yè)信息安全行業(yè)的持續(xù)發(fā)展。然而由于工業(yè)信息安全與傳統(tǒng)網(wǎng)絡(luò)安全在原理上、技術(shù)上、功能上的顯著差異，市面上的網(wǎng)絡(luò)安全應(yīng)急工具箱、保合規(guī)工具箱等產(chǎn)品無(wú)法滿足此類需求，國(guó)內(nèi)的工業(yè)信息安全應(yīng)急處置箱產(chǎn)品及配套標(biāo)準(zhǔn)仍存在一定空白。

針對(duì)我國(guó)工業(yè)信息安全事件應(yīng)急處置工作中面臨工業(yè)現(xiàn)場(chǎng)缺少專業(yè)的信息安全應(yīng)急處置技術(shù)人員、易用的信息安全應(yīng)急處置技術(shù)工具、需要建立快速、可靠的協(xié)調(diào)聯(lián)動(dòng)應(yīng)急處置機(jī)制等問(wèn)題與挑戰(zhàn)，研發(fā)出一套科學(xué)有效的工業(yè)信息安全應(yīng)急處置工具箱，從而解決工業(yè)現(xiàn)場(chǎng)缺少專業(yè)的信息安全應(yīng)急處置技術(shù)人員、缺少易用的信息安全應(yīng)急處置技術(shù)工具以及工業(yè)信息安全事件需要建立快速、可靠的協(xié)調(diào)聯(lián)動(dòng)應(yīng)急處置機(jī)制等問(wèn)題。隨著工業(yè)信息安全應(yīng)急處置工具箱的試點(diǎn)工作逐步開(kāi)展，目前亟需研制一套科學(xué)有效的工業(yè)信息安全應(yīng)急處置工具箱配套標(biāo)準(zhǔn)，為規(guī)范工業(yè)信息安全應(yīng)急處置工具箱技術(shù)指標(biāo)、指導(dǎo)相關(guān)產(chǎn)品研發(fā)使用、切實(shí)提高工業(yè)企業(yè)信息安全應(yīng)急技術(shù)保障能力等提供標(biāo)準(zhǔn)支撐。

2 國(guó)內(nèi)外研究現(xiàn)狀

目前，國(guó)內(nèi)外關(guān)于工業(yè)信息安全方面的標(biāo)準(zhǔn)主要集中與管理體系、技術(shù)理論和安全合規(guī)等方面內(nèi)容，缺乏具體針對(duì)工業(yè)信息安全應(yīng)急處置工具產(chǎn)品的具體標(biāo)準(zhǔn)。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布的一系列關(guān)于信息安全的指南NIST SP800標(biāo)準(zhǔn)已成為美國(guó)和國(guó)際安全界廣泛認(rèn)可的實(shí)施標(biāo)準(zhǔn)，現(xiàn)有的192個(gè)標(biāo)準(zhǔn)最新相關(guān)標(biāo)準(zhǔn)為2020年發(fā)布的SP.800-184《網(wǎng)絡(luò)安全事件應(yīng)急指南》，規(guī)定了各類組織機(jī)構(gòu)應(yīng)如何在遭遇網(wǎng)絡(luò)攻擊后恢復(fù)并還原其安全性受到嚴(yán)重打擊的業(yè)務(wù)系統(tǒng)；我國(guó)工業(yè)信息安全標(biāo)準(zhǔn)化工作成果主要聚焦于工業(yè)控制系統(tǒng)安全，并正逐步形成涵蓋安全管理、系統(tǒng)安全防護(hù)、產(chǎn)品安全評(píng)估的工控信息安全標(biāo)準(zhǔn)體系，出臺(tái)了GB/T 25069-2010 《信息安全技術(shù) 術(shù)語(yǔ)》[2]、GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[3]等標(biāo)準(zhǔn)規(guī)范，但絕大多數(shù)標(biāo)準(zhǔn)正處于草案或征求意見(jiàn)階段，且缺乏具體針對(duì)工業(yè)信息安全應(yīng)急的相關(guān)產(chǎn)品標(biāo)準(zhǔn)。

因此，本項(xiàng)目擬研制的《工業(yè)信息安全應(yīng)急處置工具箱產(chǎn)品標(biāo)準(zhǔn)》填補(bǔ)了國(guó)內(nèi)外該領(lǐng)域的研究空白，借鑒已有關(guān)于工業(yè)信息安全應(yīng)急領(lǐng)域重要的理論體系、管理規(guī)范、技術(shù)標(biāo)準(zhǔn)，具備一定的技術(shù)創(chuàng)新性、成果突破性和市場(chǎng)前瞻性。

3 工業(yè)信息安全應(yīng)急處置工具箱標(biāo)準(zhǔn)體系研究

3.1 范圍

工業(yè)信息安全應(yīng)急處置工具箱標(biāo)準(zhǔn)應(yīng)規(guī)定軍工、機(jī)械制造、石油石化、鋼鐵、市政等典型工業(yè)行業(yè)的通用工業(yè)信息安全應(yīng)急處置工具箱的型式、結(jié)構(gòu)組成及參數(shù)、要求、試驗(yàn)方法、檢測(cè)規(guī)則、標(biāo)志、包裝、運(yùn)輸和貯存。適用于針對(duì)工業(yè)信息安全事件的應(yīng)急處置工具箱類產(chǎn)品的設(shè)計(jì)、研發(fā)、生產(chǎn)、驗(yàn)收、檢驗(yàn)檢測(cè)。

3.2 主要技術(shù)內(nèi)容

（1）范圍：規(guī)定了軍工、機(jī)械制造、石油石化、鋼鐵、市政等典型工業(yè)行業(yè)的通用工業(yè)信息安全應(yīng)急處置工具箱的型式、結(jié)構(gòu)組成及參數(shù)、要求、試驗(yàn)方法、檢測(cè)規(guī)則、標(biāo)志、包裝、運(yùn)輸和貯存。

（2）規(guī)范性引用文件：GB/T 25069-2010 《信息安全技術(shù) 術(shù)語(yǔ)》、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》[4]、GB/T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等。

（3）術(shù)語(yǔ)和定義；

（4）型式、結(jié)構(gòu)組成和基本參數(shù)：規(guī)定了工業(yè)信息安全應(yīng)急處置工具箱的型式、結(jié)構(gòu)組成、基本參數(shù)。工業(yè)信息安全應(yīng)急處置工具箱應(yīng)包括安全事件現(xiàn)場(chǎng)應(yīng)急所需的U盤(pán)、網(wǎng)線、HDMI高清線、上網(wǎng)卡等硬件線材工具、應(yīng)急處置技術(shù)平臺(tái)、數(shù)據(jù)取證、日志分析、流程分析、工業(yè)協(xié)議解析、威脅分析等軟件工具以及配套的遠(yuǎn)程應(yīng)急支援服務(wù)平臺(tái)。

（5）技術(shù)要求：規(guī)定了一般要求、使用環(huán)境條件、維修性、可靠性、設(shè)計(jì)及配置、制造和整體性能的要求。①性能要求：工具箱應(yīng)支持對(duì)工業(yè)主機(jī)、工業(yè)控制器、工業(yè)機(jī)器人、工業(yè)網(wǎng)絡(luò)設(shè)備等常用工業(yè)現(xiàn)場(chǎng)設(shè)備的應(yīng)急處置功能，支持千兆電口、光口、422/485串口等常見(jiàn)通訊接口，支持西門(mén)子、施耐德、ABB、三菱等典型工業(yè)設(shè)備的識(shí)別檢測(cè)等；②功能要求：應(yīng)具備資產(chǎn)管理、流量審計(jì)、日志分析、調(diào)查取證、處置報(bào)告生成、遠(yuǎn)程專家支援等應(yīng)急處置功能，為用戶提供專業(yè)、快速、全面的應(yīng)急檢測(cè)功能，并支持對(duì)檢測(cè)結(jié)果數(shù)據(jù)的關(guān)聯(lián)分析、統(tǒng)計(jì)對(duì)比。為提供更全面、實(shí)時(shí)、深入的應(yīng)急處置能力和完整可靠的應(yīng)急處置方案，應(yīng)急工具箱應(yīng)具備后端配套的遠(yuǎn)程應(yīng)急支援服務(wù)平臺(tái)，集成威脅情報(bào)數(shù)據(jù)、智能分析大腦和遠(yuǎn)程專家資源，提供全面一體化的工業(yè)信息安全應(yīng)急處置解決方案。③可靠性要求：為降低對(duì)工業(yè)生產(chǎn)現(xiàn)場(chǎng)不必要的干擾，工具箱應(yīng)在具備豐富處置功能、高效分析能力的基礎(chǔ)上，提供靈活的可接入性、輕量級(jí)的便攜性以及友好的用戶操作體驗(yàn)，內(nèi)置的系統(tǒng)代碼經(jīng)過(guò)安全性檢測(cè)，連續(xù)運(yùn)行6小時(shí)以上不會(huì)發(fā)生故障等。

（6）試驗(yàn)方法：規(guī)定了實(shí)驗(yàn)條件、各種運(yùn)行試驗(yàn)、可靠性試驗(yàn)、運(yùn)行速度檢測(cè)和安全性試驗(yàn)的要求。（1）技術(shù)指標(biāo)試驗(yàn)方法：應(yīng)對(duì)工業(yè)信息安全應(yīng)急處置工具箱的配套軟硬件、支持的工業(yè)現(xiàn)場(chǎng)設(shè)備種類、支持的協(xié)議識(shí)別種類、支持的設(shè)備品牌種類等進(jìn)行測(cè)試驗(yàn)證；（2）功能指標(biāo)試驗(yàn)方法：分別針對(duì)應(yīng)急工具箱的現(xiàn)場(chǎng)數(shù)據(jù)取證、攻擊行為檢測(cè)、協(xié)議識(shí)別解析、預(yù)置應(yīng)急處置模板、遠(yuǎn)程協(xié)同支援等核心功能及關(guān)鍵指標(biāo)進(jìn)行針對(duì)性詳細(xì)測(cè)試；（3）針對(duì)標(biāo)準(zhǔn)規(guī)定的相關(guān)指標(biāo)，開(kāi)展工業(yè)信息安全應(yīng)急處置工具箱產(chǎn)品的穩(wěn)定性和可靠性測(cè)試驗(yàn)證，如安全測(cè)試、穩(wěn)定性測(cè)試等。

4 結(jié)語(yǔ)

工業(yè)信息安全應(yīng)急處置工具箱是一種工業(yè)級(jí)、一體化、專用型的安全產(chǎn)品，該標(biāo)準(zhǔn)研制擬通過(guò)全面厘清工業(yè)信息安全應(yīng)急處置工具箱產(chǎn)品的維度要素，明確工業(yè)信息安全應(yīng)急處置工具箱的關(guān)鍵技術(shù)指標(biāo)，對(duì)工業(yè)信息安全應(yīng)急處置工具箱應(yīng)參照的技術(shù)指標(biāo)、功能指標(biāo)等通用產(chǎn)品規(guī)范作出規(guī)定，并梳理國(guó)防軍工、機(jī)械制造、石油石化、鋼鐵、市政等典型行業(yè)工業(yè)信息安全事件應(yīng)急處置的應(yīng)用場(chǎng)景、特點(diǎn)要求及相應(yīng)功能。研制實(shí)施該標(biāo)準(zhǔn)，可有效促進(jìn)提升工業(yè)企業(yè)安全事件應(yīng)急處置能力，進(jìn)一步提高我國(guó)工業(yè)信息安全應(yīng)急工作的體系化、流程化、標(biāo)準(zhǔn)化程度，為國(guó)家工業(yè)信息安全保駕護(hù)航。