SCI论文(www.lunwensci.com):
摘 要:本文参考了 GB/T22239-2019《信息技术网络安全等级保护基本要求》以及烟草行业等级保护相关标准要求,提 出了针对烟草商业企业工控系统的网络安全自评估方法,通过对烟草商业企业工业控制系统对象、安全措施及安全能力的识 别,构建工业控制系统等级保护 2.0 网络安全自评估模型,并介绍了模型的应用方法。
关键词:等级保护测评 ;烟草商业企业工业控制系统 ;网络安全自评估
Research on Network Security Self-assessment Method of Industrial Control System of Tobacco Commercial Enterprise Based on Protection of Cybersecurity
HAN Han
(Suzhou Branch of Anhui Tobacco Company, Suzhou Anhui 234000)
【Abstract】: This article refers to GB/T22239-2019 Information Security Technology-baseline for Classified Protection of Cybersecurity and the relevant standard requirements of tobacco industry graded protection, and proposes a network security self-assessment method for the industrial control system of tobacco commercial enterprises. Identify objects, safety measures and safety capabilities, construct an industrial control system grade protection 2.0 network security self-assessment model, and introduce the application method of the model.
【Key words】: grade protection evaluation;industrial control system of tobacco commercial enterprise;network security self-evaluation
0 引言
随着智能制造、工业互联网的兴起和发展,传统的 相对独立和封闭的工业控制系统逐渐向网络化、智能化 方向发展,这些变革给工业控制系统带来新的发展机 遇,但随之而来也产生了新的网络安全威胁。
2019 年,网络安全等级保护系列新标准正式发布、 实施,新标准增加了工业控制系统扩展要求。烟草商业 企业工业控制系统作为重要信息系统,其对系统的可靠 性、实时性、控制性要求较高,系统遭受破坏或攻击将对企业产生严重影响。
为顺应国家网络安全等级保护要求,相关单位开展 了等级测评工作,但因系统测评周期为每一年或两年一 次,因部分单位信息部门人员及能力相对有限,出现了网络安全防护能力评估的真空期,可能导致无法及时发 现系统的网络安全风险。
因此,烟草商业企业急需形成自己的工业控制系统 网络安全自评估方法,笔者根据在烟草商业企业信息部 门的信息化建设、运维经验,参考了国际国内相关标 准,通过对烟草商业企业工业控制系统对象、安全措施 及安全能力的识别,构建烟草商业企业工业控制系统网 络安全等级保护自评估模型。
1 烟草商业企业工业控制系统架构
烟草商业企业常见工业控制系统主要包括物流配送系 统和烟叶复烤两大类 [1],其中物流控制系统(包括仓储、 分拣、配送物流控制物流配送等)以及其他子系统 [1], 烟叶复烤控制系统主要包括复烤控制系统、物流控制系统、动力能源控制系统以及其他子系统 [1],系统框架如图 1[1] 所示 :
2 烟草商业企业工业控制系统安全评估模型
区别于传统的信息系统,工业控制系统生产网络运 行环境相对封闭,对于系统时效性和运行效率要求较 高,但在安全性方面考虑较少,由于工业互联网、生产 管理决策等需要,需要与管理网络、互联网连接,由此 带来更多的网络安全风险。基于等级保护 2.0“一个中 心,三重防护” [2] 的纵深防御模型,需要从计算环境安 全、通信网络、网络边界构建防御体系,最终通过安全 管理中心实现集中管理,从而构建工业控制系统安全框 架。为此,各单位纷纷开展了网络安全建设工作,如何 评估工业控制系统网络安全防护能力,安全防护能力是 否满足等级保护要求。
首先,应明确工业控制系统保护对象 ;其次,识别 系统已有安全措施并对相关措施作用在保护对象后具备 的安全防护能力进行分析 ;最后,通过对比等级保护标 准要求与现有的安全防护能力之间的差距,并对差距进 行汇总整理,从而形成自评估结果。
安全技术能力是系统安全措施作用于保护对象上形成的抵抗外部攻击的一种防护能力。据此,构建 SCMO 矩阵模型 [3],用以评估安全措施作用于保护对象是否有效,如表 1 所示。
“0”表示不具备相应的安全能力 ;“1”表示具备相应 的安全能力 ;“-1”系统部署了安全产品,但仍未形成相 应的安全能力。“0”为定量,“1”和“-1”为变量。“―” 表示当前安全措施无法作用于或不适用于保护对象 [4]。
根据工业控制系统网络安全等级保护安全能力评估 模型,如图 2 所示,分析得出系统安全技术防护能力,与等级保护基本要求的测评项进行分析评估。将评估发 现的不符合项作为问题进行脆弱性分析,汇总整理后制 定整改加固计划并组织实施,从而达到提升系统安全能 力的目的。
3 烟草商业企业工业控制系统安全评估模型应用
由于篇幅所限,笔者仅选取作用于一个评估对象的 部分安全措施进行评估。基于商业企业工控系统网络安 全等级保护安全评估模型,选取物流分拣系统,系统网 络拓扑如图 3 所示,笔者选取的评估对象为系统生产网 边界。通过识别系统服务器区边界已部署的安全措施, 评估相关安全措施是否能够使网络边界具备相应的安全 能力,再对比等级保护标准要求行进行符合性评价。
根据 YC/T 494-2014 :烟草工业企业生产网与管理 网网络互联安全规范要求,互联接口应具备访问控制措施 [5],通过拓扑图可以识别系统在生产网边界部署了工控防火墙、行为管理系统两项技术措施。通过实地查看分析,发现防火墙配置合理,具备逻辑隔离功能故安全能力评价为“1”(具备相应的安全能力) ;发现行为管理系统特征库过期,故安全能力评价为“-1”(系统部署了安全产品,但仍未形成相应的安全能力) ;发现边界从技术层面缺乏对网络攻击行为的日志分析,故安全能力评价为“0”,如表 2 所示。完成安全防护能力评估后,通过对比等级保护第二级要求进行最终的符合性评价,如表 3 所示 :
4 结语
当前烟草行业信息化程度越来越高,外部网络安全 威胁、监管要求迫使企业内部不断提升网络安全防护能 力。文章参考了 SCMO 矩阵评估模型,以此为基础构 建了烟草商业企业工业控制系统网络安全等级保护自评 估模型,通过选取典型的烟草商业企业工业控制系统的重要保护对象,对作用于保护对象的已有安全措施的有效性评价,对比等级保护基本要求,实现了工业控制系 统的自评估。可以看到,此方法操作上可行,易于烟草 商业企业工业控制系统相关运行维护人员掌握,可通过 此方法及时进行安全评估和后续的问题加固,从而增强 系统抵御风险的安全防护能力。
参考文献
[1] 陈子弘.烟草物联网网络安全模型研究[J].信息网络安全, 2015(9):217-220.
[2] 王肖奕.公司信息网络安全及防护方式研究[J].信息与电脑, 2016(6):216-217.
[3] 张振峰,张志文,王睿超.网络安全等级保护2.0云计算安全合 规能力模型[J].信息网络安全,2019(11):1-7.
[4] 赵全洲,司成伟.浅谈烟草行业工控网络安全风险的威胁评 估[J].通讯世界,2019(8):63-65.
[5] 陈兴毕,李源,殷耀华,等.基于烟草工控系统网络安全风险评估的研究与应用[J].信息技术与网络安全,2019(7):19-26+37.
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/jisuanjilunwen/35628.html
