工业信息安全应急处置工具箱标准体系研究

张晓帆，黄海波，2，朱丽娜

（1.国家工业信息安全发展研究中心，北京 100036；2.北京邮电大学经济管理学院，北京 100876）

0 引言

工业信息安全是工业领域信息安全的总称，从内容来看，工业信息安全泛指工业运行过程中的信息安全，涉及工业领域各个环节，包括工业控制系统信息安全、工业互联网安全、工业数据安全、工业云安全、工业物联网安全等内容。其核心任务就是要确保工业自动化、信息化、网络化、智能化等基础设施的安全。工业信息安全应急处置工具箱适用于工业企业现场发生工业信息安全事件的快速应急处置，作为一种工业级、一体化、专用型的安全产品，凭借丰富的处置功能、高效的分析能力和便捷的可操作性，已成为工业企业、安全企业开展现场应急处置的必备工具。

1 研究背景意义

“十三五”以来，国家高度重视工业信息安全顶层设计，强化工业信息安全工作体系建设，落实工业企业主体责任，提升工业信息安全保障技术能力，为工业信息安全产业发展全面提速奠定了良好的基础。随着国家对工业信息安全及工业互联网等产业的重视程度逐渐提升，行业利好政策不断发布。2020年3月，工业和信息化部发布《工业和信息化部办公厅关于推动工业互联网加快发展的通知》提出要加快健全安全保障体系，包括建立企业分级安全管理制度、完善安全技术监测体系、健全安全工作机制以及加强安全技术产品创新，进一步促进我国工业信息安全行业的产业优化升级。工业信息安全应急工作作为守护安全的最后一道防线，作用至关重要。因此，研发推广工业信息安全的应急处置装备，是落实国家工业信息安全防护能力建设整体部署的重要组成部分，是推进建设制造强国和网络强国建设不断迈上新台阶的有效工作。

近年来全球工业信息安全事件日益频发，工业领域逐渐成为黑客攻击的重点目标，工业企业对信息安全应急处置装备的需求不断提升。在2020年新冠疫情全球大流行的背景下，国家工业信息安全发展研究中心共跟踪公开发布的工业信息安全事件274件[1]，其中勒索软件攻击共92件，占比33.6%，涉及20余个国家的多个重点行业。勒索病毒已成为工业信息安全头号威胁，新型勒索软件直指工业控制系统。如2021年6月，美国核武器合同商Sol Oriens遭REvil勒索软件攻击；2021年5月，美最大燃油运输管道商科洛尼尔被迫暂停输送业务，对美国东海岸燃油供应造成了严重影响，政府宣布紧急状态；2020年12家电巨头惠而浦遭Nefilim勒索谈判失败，敏感数据遭黑客泄露；2020年8月，佳能遭到Maze勒索软件攻击，据传10TB重要数据被盗；2020年6月，本田汽车Honda遭受勒索软件Snake攻击，导致电脑和其他装置无法作业，部分工厂停工。此外，据国家工业信息安全漏洞库数据，2020年新增2138个工业信息安全漏洞，环比上升22.2%。其中涉及335家厂商。在收录的通用型漏洞中，超危漏洞379个，高危漏洞899个，高危及以上漏洞占比62.5%。这些漏洞一旦被利用，将会造成破坏性后果。综合来看，随着我国工业信息安全行业的风险逐年上升，下游工业企业对于信息安全的需求越发强劲，下游应用领域内企业对工业信息安全产品的需求促使工业信息安全行业发展趋势向好，有利于工业信息安全行业的持续发展。然而由于工业信息安全与传统网络安全在原理上、技术上、功能上的显著差异，市面上的网络安全应急工具箱、保合规工具箱等产品无法满足此类需求，国内的工业信息安全应急处置箱产品及配套标准仍存在一定空白。

针对我国工业信息安全事件应急处置工作中面临工业现场缺少专业的信息安全应急处置技术人员、易用的信息安全应急处置技术工具、需要建立快速、可靠的协调联动应急处置机制等问题与挑战，研发出一套科学有效的工业信息安全应急处置工具箱，从而解决工业现场缺少专业的信息安全应急处置技术人员、缺少易用的信息安全应急处置技术工具以及工业信息安全事件需要建立快速、可靠的协调联动应急处置机制等问题。随着工业信息安全应急处置工具箱的试点工作逐步开展，目前亟需研制一套科学有效的工业信息安全应急处置工具箱配套标准，为规范工业信息安全应急处置工具箱技术指标、指导相关产品研发使用、切实提高工业企业信息安全应急技术保障能力等提供标准支撑。

2 国内外研究现状

目前，国内外关于工业信息安全方面的标准主要集中与管理体系、技术理论和安全合规等方面内容，缺乏具体针对工业信息安全应急处置工具产品的具体标准。美国国家标准与技术研究所（NIST）发布的一系列关于信息安全的指南NIST SP800标准已成为美国和国际安全界广泛认可的实施标准，现有的192个标准最新相关标准为2020年发布的SP.800-184《网络安全事件应急指南》，规定了各类组织机构应如何在遭遇网络攻击后恢复并还原其安全性受到严重打击的业务系统；我国工业信息安全标准化工作成果主要聚焦于工业控制系统安全，并正逐步形成涵盖安全管理、系统安全防护、产品安全评估的工控信息安全标准体系，出台了GB/T 25069-2010 《信息安全技术 术语》[2]、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》[3]等标准规范，但绝大多数标准正处于草案或征求意见阶段，且缺乏具体针对工业信息安全应急的相关产品标准。

因此，本项目拟研制的《工业信息安全应急处置工具箱产品标准》填补了国内外该领域的研究空白，借鉴已有关于工业信息安全应急领域重要的理论体系、管理规范、技术标准，具备一定的技术创新性、成果突破性和市场前瞻性。

3 工业信息安全应急处置工具箱标准体系研究

3.1 范围

工业信息安全应急处置工具箱标准应规定军工、机械制造、石油石化、钢铁、市政等典型工业行业的通用工业信息安全应急处置工具箱的型式、结构组成及参数、要求、试验方法、检测规则、标志、包装、运输和贮存。适用于针对工业信息安全事件的应急处置工具箱类产品的设计、研发、生产、验收、检验检测。

3.2 主要技术内容

（1）范围：规定了军工、机械制造、石油石化、钢铁、市政等典型工业行业的通用工业信息安全应急处置工具箱的型式、结构组成及参数、要求、试验方法、检测规则、标志、包装、运输和贮存。

（2）规范性引用文件：GB/T 25069-2010 《信息安全技术 术语》、《工业控制系统信息安全防护指南》[4]、GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》等。

（3）术语和定义；

（4）型式、结构组成和基本参数：规定了工业信息安全应急处置工具箱的型式、结构组成、基本参数。工业信息安全应急处置工具箱应包括安全事件现场应急所需的U盘、网线、HDMI高清线、上网卡等硬件线材工具、应急处置技术平台、数据取证、日志分析、流程分析、工业协议解析、威胁分析等软件工具以及配套的远程应急支援服务平台。

（5）技术要求：规定了一般要求、使用环境条件、维修性、可靠性、设计及配置、制造和整体性能的要求。①性能要求：工具箱应支持对工业主机、工业控制器、工业机器人、工业网络设备等常用工业现场设备的应急处置功能，支持千兆电口、光口、422/485串口等常见通讯接口，支持西门子、施耐德、ABB、三菱等典型工业设备的识别检测等；②功能要求：应具备资产管理、流量审计、日志分析、调查取证、处置报告生成、远程专家支援等应急处置功能，为用户提供专业、快速、全面的应急检测功能，并支持对检测结果数据的关联分析、统计对比。为提供更全面、实时、深入的应急处置能力和完整可靠的应急处置方案，应急工具箱应具备后端配套的远程应急支援服务平台，集成威胁情报数据、智能分析大脑和远程专家资源，提供全面一体化的工业信息安全应急处置解决方案。③可靠性要求：为降低对工业生产现场不必要的干扰，工具箱应在具备丰富处置功能、高效分析能力的基础上，提供灵活的可接入性、轻量级的便携性以及友好的用户操作体验，内置的系统代码经过安全性检测，连续运行6小时以上不会发生故障等。

（6）试验方法：规定了实验条件、各种运行试验、可靠性试验、运行速度检测和安全性试验的要求。（1）技术指标试验方法：应对工业信息安全应急处置工具箱的配套软硬件、支持的工业现场设备种类、支持的协议识别种类、支持的设备品牌种类等进行测试验证；（2）功能指标试验方法：分别针对应急工具箱的现场数据取证、攻击行为检测、协议识别解析、预置应急处置模板、远程协同支援等核心功能及关键指标进行针对性详细测试；（3）针对标准规定的相关指标，开展工业信息安全应急处置工具箱产品的稳定性和可靠性测试验证，如安全测试、稳定性测试等。

4 结语

工业信息安全应急处置工具箱是一种工业级、一体化、专用型的安全产品，该标准研制拟通过全面厘清工业信息安全应急处置工具箱产品的维度要素，明确工业信息安全应急处置工具箱的关键技术指标，对工业信息安全应急处置工具箱应参照的技术指标、功能指标等通用产品规范作出规定，并梳理国防军工、机械制造、石油石化、钢铁、市政等典型行业工业信息安全事件应急处置的应用场景、特点要求及相应功能。研制实施该标准，可有效促进提升工业企业安全事件应急处置能力，进一步提高我国工业信息安全应急工作的体系化、流程化、标准化程度，为国家工业信息安全保驾护航。